WO2003079609A1 - Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente - Google Patents

Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente Download PDF

Info

Publication number
WO2003079609A1
WO2003079609A1 PCT/DE2003/000760 DE0300760W WO03079609A1 WO 2003079609 A1 WO2003079609 A1 WO 2003079609A1 DE 0300760 W DE0300760 W DE 0300760W WO 03079609 A1 WO03079609 A1 WO 03079609A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
document
cryptographic module
encrypted
test
Prior art date
Application number
PCT/DE2003/000760
Other languages
English (en)
French (fr)
Inventor
Bernd Meyer
Jürgen Lang
Original Assignee
Deutsche Post Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to NZ535247A priority Critical patent/NZ535247A/en
Application filed by Deutsche Post Ag filed Critical Deutsche Post Ag
Priority to EP03722214A priority patent/EP1486028B1/de
Priority to DE50301269T priority patent/DE50301269D1/de
Priority to US10/506,908 priority patent/US7409062B2/en
Priority to AT03722214T priority patent/ATE305684T1/de
Priority to JP2003577477A priority patent/JP4286150B2/ja
Priority to AU2003229491A priority patent/AU2003229491B8/en
Priority to CA002479144A priority patent/CA2479144A1/en
Priority to SI200330135T priority patent/SI1486028T1/sl
Publication of WO2003079609A1 publication Critical patent/WO2003079609A1/de
Priority to NO20044277A priority patent/NO20044277L/no
Priority to HK05104169A priority patent/HK1071488A1/xx
Priority to US11/968,919 priority patent/US20080109359A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • G07B2017/00766Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board

Definitions

  • the invention relates to a method for creating counterfeit-proof documents or data sets, key information being generated and encrypted checking information being formed from the key information and a transaction indicator.
  • the invention further relates to a value transfer center and a cryptographic module.
  • cryptographic module is used when creating the document.
  • Such known cryptographic modules are distinguished by the fact that they contain electronic data or process data in their interior
  • a cryptographic module can be viewed as a secure, sealed unit in which security-related processes can be viewed carried out that cannot be manipulated from the outside.
  • a globally recognized standard for such cryptographic modules is the standard for cryptographic modules with the designation FIPS Pub 140 published by the US national authority for standardization NIST.
  • a cryptographic module is used to create tamper-proof documents, the authenticity of which third parties are interested in, a common realization is that the cryptographic module is used to securely store cryptographic keys that are stored within the module and only there, serve to encrypt test values.
  • So-called signature cards are known, for example, as are issued by certification authorities or trust centers for the creation of digital signatures.
  • This signature card designed as a microprocessor chip card, also contains a cryptographic module in this microprocessor chip.
  • Such modules usually contain one or more asymmetrical key pairs, which are characterized by the fact that encryption that is generated with the so-called private key can only be undone with the associated public key and that encryption that is created with the public keys are generated, can only be undone with the associated private key.
  • public keys are intended for publication and distribution, whereas private keys may not be issued and, when used together with cryptographic modules, may never leave these modules.
  • modules contain algorithms, for example for generating checksums or / in the example of the digital signature, for creating a so-called digital fingerprint or “hash value”, which is distinguished by the fact that it relates any data content to information that is generally significantly quantitatively shortened - art depicts that the result is irreversible and unambiguous and that different results are produced for different data contents with which the algorithm is fed.
  • Such a digital signature is usually checked as follows: The recipient receives the document and the encrypted check value. The recipient also needs, and this is what the invention described later aims at, and uses the public key of the document manufacturer to decrypt the verifier that the document manufacturer had encrypted with his private key within the cryptographic module. After decryption, the recipient has the unencrypted check value. Furthermore, in the next step, the recipient applies the same algorithm for creating a check value to the received document. In the third step, the recipient finally compares the self-generated test value with the decrypted test value of the document manufacturer. If both test values match, the document has not been tampered with and the authenticity of the document has been proven beyond any doubt. In the case of known digital signatures, the authenticity of the document ' tested by the manufacturer.
  • the public key of the document manufacturer is also digitally signed by a so-called certification body or "CA" and is assigned to a specific cryptographic module or a specific owner of the cryptographic module.
  • CA certification body
  • the recipient of the document takes the public key of the document manufacturer not simply given as given, but also checks that it belongs to the document manufacturer by checking the digital signature of the public key in the manner described above.
  • this problem can be described using an example in such a way that in order to test the authenticity of a conventional digitally signed document, it is necessary to have the public key or the key certificate of the document manufacturer or its cryptographic module available during the check. If, as usual, documents from different document manufacturers are to be checked on a test part, it is necessary to have all public keys or all key certificates of all documents to have available.
  • Attaching the key or key certificate is disadvantageous if. the scope of the document must be kept as ⁇ low and an attached key to would be printed, to be transmitted or processed record enlarge excessively.
  • Storing a public key at the test center is particularly disadvantageous if access to keys stored at the test center is not possible due to practical or time considerations, for example with a very high number of keys that have to be accessed in a very short time ,
  • German patent specification DE 100 20 563 C2 it is known from the applicant's German patent specification DE 100 20 563 C2 to generate a secret in a generic method in a security module, which encrypts the secret together with information that provides information about the identity of the security module hand over to a certification body, decrypt the secret in the certification body, thereby recognizing the identity of the security module, then the secret together with information to encrypt the identity of the document manufacturer in such a way that only one verifier can decrypt it and then transmit the secret to a document manufacturer.
  • the document manufacturer enters his own data into the security module, the security module irreversibly linking the data himself brought in by the document manufacturer with the secret, and no conclusions about the secret are possible.
  • This known method is characterized in that the result of the irreversible linkage of the data brought in by the document manufacturer with the secret, the data brought in by the document manufacturer and the encrypted information from the certification body form the document which is transmitted to the testing body.
  • This known method is particularly suitable for producing and checking counterfeit-proof stamps of a postal company. Such stamps are generated by customers of a postal company using a personal cryptographic module and applied to the shipment as a machine-readable barcode. The machine-readable barcode has only a very limited amount of data and therefore does not allow the customer's public key to be included. In addition, in the so-called letter production, the digital stamps must be read and checked in the shortest possible time, which also eliminates the possibility of accessing a database of potentially many millions of public keys in a split second.
  • the invention is based on the object of further developing a known method such that it can be carried out independently of direct communication between the cryptographically trustworthy contact point and the document manufacturer.
  • this object is achieved in that the creation of the random key information and the formation of the encrypted check information from the key information and the transaction indicator take place in a cryptographically trustworthy contact point, that the cryptographically trustworthy contact point encrypts the key information, and that the encrypted check - Information and the encrypted key information are transmitted from the cryptographically trustworthy contact point to an intermediate point, so that the intermediate point temporarily stores the encrypted key information and the encrypted test information and at a later point in time from the transmission between the cryptographically trustworthy contact point and the intermediate point decoupled transmitted to a cryptographic module of a document manufacturer.
  • the invention therefore provides that the cryptographic module is also supplied with two types of data when it is fed via an intermediate point, for example via communication partners that are not trustworthy in the cryptographic sense, which data remain on the one hand in the cryptographic module and on the other hand to the document appended, whereby the information remaining in the cryptographic module is used to secure the document information about a check value and the information transferred into the document is used to ensure that the document is secured by the Evidence of cryptographic module.
  • the invention has a number of advantages. It enables the generation of forgery-proof documents in a large number of applications, especially in those cases in which there is no direct connection between the document ment manufacturer and the trustworthy contact point. For example, this makes it possible to create tamper-proof documents without the use of computers and / or a data connection to the trustworthy contact point.
  • the key information is created by generating it randomly, although the invention can be carried out with a predefinable set of key information.
  • the respective random generation of the key information is particularly advantageous because it avoids storing a large number of key information.
  • the encrypted key information and / or the encrypted test information are such that they cannot be decrypted in the intermediate point.
  • Decrypting the key information by the cryptographic module has several advantages. This makes it possible for a user of the cryptographic module, in particular a document manufacturer, to receive confirmation that they have received information from the trustworthy contact point, in particular money value information created by the trustworthy contact point. This also makes it possible for the cryptographic module to use the key information it contains for subsequent encryption. A preferred use of the key information is used to encrypt the document manufacturer's own data.
  • the document manufacturer expediently transfers its own data to the cryptographic module in a process that is as automated as possible.
  • a particularly preferred embodiment of the invention is characterized in that the cryptographic module irreversibly links the data introduced by the document manufacturer with the key information.
  • the result of the irreversible linkage of the data introduced by the document manufacturer with the decrypted key information form a document and / or a data record which is transmitted to a test center.
  • the encrypted test information is introduced into the document transmitted to the test center.
  • the ones that remain in the cryptographic module Information is encrypted in such a way that it can be decrypted in the cryptographic module and that the information remaining in the cryptographic module is a value that is difficult or impossible to predict.
  • the cryptographic module is supplied via cryptographically untrustworthy communication partners in such a way that an exchange of information within a dialog is not necessary.
  • the cryptographic module is supplied via cryptographically untrustworthy communication partners in such a way that the forwarding of the information to the cryptographic module is time-decoupled.
  • the cryptographic module is supplied by a trustworthy body, even if it is fed via cryptographically untrustworthy communication partners, on whose information the test center can rely.
  • cryptographic encryption is used by a trustworthy body to provide trustworthy information for the cryptographic module, which the checkpoint can undo.
  • the method is advantageously carried out in such a way that. that the tamper-proof documents or data records created contain monetary information.
  • the monetary information is cryptographically linked to the document or the data record in such a way that a check value can be formed by a comparison between the monetary information and the document or the data record.
  • the monetary information contains evidence of the payment of postage amounts.
  • Another advantage is that the monetary information proving payment of a postage amount is linked to identification information from the document manufacturer.
  • a very important field of application of the invention is the generation of postage indicia.
  • Various intermediate points can be used in this essential application.
  • a value transfer center from a franking machine manufacturer can be used as an intermediate point.
  • Another object of the invention is a value transfer center with an interface for loading amounts of value.
  • the value transfer center advantageously functions as an interface for receiving encrypted information from a cryptographically trustworthy contact point and for temporarily storing the received encrypted information.
  • the information is encrypted in such a way that it cannot be decrypted in the value transfer center.
  • a cryptographic module for generating counterfeit-proof documents with means for outputting encrypted test information and a test value is particularly advantageous.
  • the cryptographic module contains at least one means for receiving and decrypting key information and at least one means for receiving a document or a data record, and that the cryptographic module has at least one means for generating a check value for the document or has the record.
  • FIG. 1 shows the basic principle of a known cryptographic method
  • FIG. 2 is a schematic diagram for a schematic representation of a generation of digital frankings
  • Fig. 3 is a schematic representation of particularly preferred
  • German patent DE 100 20 563 C2 a method for creating counterfeit-proof documents is known from German patent DE 100 20 563 C2, in which the need to use information from the cryptographic module of the document manufacturer for checking is eliminated. Instead, this method is based on the fact that a random number is formed in the customer's cryptographic module. The exact process with its three parties involved (1st document manufacturer with cryptographic module, 2nd verification body and 3rd trustworthy contact point) is shown in the attached FIG. 1. The numbers referred to in the following text re- late to the illustrated in Fig. 1 steps of • procedure.
  • a random number is generated and stored in the cryptographic module of the document manufacturer (1), which, together with the identity or identification number of the document manufacturer or the cryptographic module, is transmitted in encrypted form (2) to a trusted location (3).
  • This trustworthy body decrypts the random number and the identification number (4), checks the legality of the request (5) and then encrypts the random number and a newly formed transaction indicator in such a way that only the verifier is able to do so Undo encryption (6).
  • the random number encrypted in this way and the transaction indicator are returned to the document manufacturer (7).
  • the document manufacturer now enters the document to be secured in the cryptographic module (8).
  • a test value is formed there using the plain text of the document and the random number that is still stored (9).
  • the document is now transmitted in plain text, the encrypted random number transmitted by the trustworthy body and the encrypted transaction indicator, as well as the test information (10) generated in the cryptographic module.
  • the authenticity is determined after a rough check of the document structure (11) by decrypting the random number and the transaction indicator that were encrypted in the trustworthy contact point (12).
  • a test value is formed from the random number just decrypted (13).
  • This test value is finally compared with the test value transmitted by the document manufacturer (14). If the two match, then it is ensured that the document was generated using a specific cryptographic module, since the required random number is only available there and this module has cryptographically secured exchange of information with the trustworthy contact point. Since, on the one hand, a certain cryptographic module was used and, on the other hand, the test value matches, both the identity of the document manufacturer and the authenticity of the document are ensured.
  • the described method is used by Deutsche Post for the production of Internet stamps under the name "PC franking".
  • PC franking the authenticity of the documents is checked without using key information. mations that are specific to the cryptographic module. Rather, the inspection body relies in part on information from a trustworthy contact point.
  • a method for generating digital documents and data sets is created, which can take place without direct contact between a cryptographically trustworthy contact point and the cryptographic module, or a document manufacturer using the cryptographic module.
  • the generation of the documents and data records is in no way limited to the generation of postage indicia or to postal items provided with postage indicia, the use of the method and device features shown in a method for generating digital postage is a particularly preferred embodiment of the invention.
  • FIG. 2 The schematic model or the mode of operation of the new digital franking is shown in FIG. 2 outlined and described below:
  • the postal company electronically provides the provider with machine-related information for future feeding into the digital franking machine.
  • This information includes, among other things, key information for use in the machine and a so-called “ValidityString”, which is used for later Exam- used in the mail center as well as information on customer creditworthiness. Parts of this information are encrypted in such a way that they can only be decrypted within the franking machine.
  • a default loading process is carried out between the customer's digital franking machine and the manufacturer's remote dialing specification center with the aim of increasing the available postage value in the franking machine.
  • the machine-related information (previously provided by Deutsche Post) is also transferred to a tamper-proof area of the digital franking machine.
  • Such a loading process in which the information (provided by the postal company) is transferred to the machine, should be carried out regularly within certain tolerances, for example once within a predeterminable time interval, for example monthly. If no new specifications are to be loaded, a corresponding communication process must be carried out once a month between the free stamp machine and the specification center, in which the information provided by the postal company is also transferred to the machine. Communication between the specification center and the digital franking machine must be secured in an appropriate and verifiable manner.
  • step 3 After the default loading process (step 1), secure, electronic communication about the purchase of a certain postage amount for a customer takes place between the provider's default center and the postal company's Postage Point, which acts as a trustworthy contact point. With this data transfer, billing and usage information is transferred to the postal company. Since the provision of information for the next loading process described above can be done clearly in advance, it is possible, but not necessary, to combine steps 3 and 1, so that step 3 • the charging process just completed meets step 1 for the subsequent charging process.
  • the postal company will invoice the customer directly by direct debit for the postage amount purchased from the trustworthy contact point, the postal company's postage point.
  • the digital franking imprints contain a two-dimensional matrix code (2D barcode), which contains additional data which, as described in step 1, was made available in advance by the postal company and which is used in the letter center to check the validity become.
  • 2D barcode two-dimensional matrix code
  • mailpieces with digital franking imprint can be admitted, for example, mailbox, post office can be provided by the postal service opportunities'.
  • the postage values loaded by the customer can be compared with the postage values read in the mail center.
  • the key information m key is encrypted by the post company's Postage Point, which serves as trustworthy communication parts, in such a way that decryption is only possible in the tamper-proof the digital franking machine (cryptographic module) is possible.
  • the test information VS which is already encrypted, can be transmitted to the franking machine or the cryptographic module without further transport encryption. By encrypting the key information m ⁇ y , decryption is only possible in the cryptographic module of the franking machine, but not on the untrustworthy communication path.
  • FIG. 3 shown schematically:
  • key information is formed in a trustworthy contact point, which corresponds in practice to the postage point of the postal company. This key information will later be used in the cryptographic module to create a test value. It makes sense to keep this key information later in the cryptographic module and will not leave it.
  • a so-called test information is created. This is compiled from the key information from step 1, a transaction indicator that contains additional information about the customer's next charging process, and further information.
  • the compilation and subsequent encryption of these elements of the test information takes place in such a way that only the test body is later able to undo this encryption.
  • the compilation and subsequent encryption of these elements of the test information also takes place in such a way that even with knowledge of the key information in plain text, which, however, is theoretically outside the trustworthy contact point and outside of the cryptographic module is hardly possible, a detection of the key for encrypting the test information for subsequent decryption at the test point is avoided.
  • the key information generated in the first step is encrypted in such a way that decryption can only take place in the cryptographic module at the document manufacturer, but not on the transmission route to it.
  • a fourth step the two types of information are transferred, preferably together with other information that further increases the security against manipulation, about the upcoming charging process of the customer.
  • this is the key information created in step 1 and encrypted in step 3, which is later loaded into the cryptographic module, decrypted there and also remains there for the creation of tamper-proof documents.
  • this is the encrypted check information formed in step 2, which can only be decrypted by the checkpoint and which is appended to each document that is later created by the document manufacturer.
  • Information that is relevant in the context of this invention, together with other information about the upcoming charging process of the customer, is temporarily stored in the untrustworthy location. It is not possible to decrypt the two relevant types of information at this point. In particular, is a detection of the key that was used in the trusted agency to the. Encrypting test information in such a way that only the test center can decrypt it again, if only because the clear text of the key information, which would be necessary for such a so-called clear text tack, is not available. 6. In a sixth step, the information provided by the trustworthy body is decoupled in time, for example as part of the next loading process, and transferred to the cryptographic module at the document manufacturer.
  • the seventh step indicates communication between the untrustworthy entity and the cryptographic module, which is preferably secured cryptographically by additional suitable means.
  • the practical implementation involves communication between a manufacturer's default center and its franking machine with cryptographic module, which must be protected against manipulation due to the electronically exchanged loading amount. If this communication had not been protected, an unauthorized increase in the loading amount would be possible. Therefore, only in the sense of this invention does the manufacturer's default center count as an "untrustworthy" place. In practical implementation, the default center can be classified as trustworthy.
  • the key information which was encrypted in step 3, is decrypted and then stored. This key information will be used later to secure documents by creating a check value. To avoid the plaintext attacks mentioned above, it is important that the key information cannot be read from the cryptographic module, but is only used within the module by processes that are also included.
  • Test information from step 2 saved. Since this information is already encrypted and is no longer required in the cryptographic module for data processing, its storage is outside the cryptographic module possible. The encrypted test information is later attached to each saved document for use in the test center.
  • the customer or document manufacturer enters the content of the document to be secured into the cryptographic module.
  • Plain text information of the document using the key information still stored from step 1 is a test value.
  • the formation of the test value takes place using a standard test value method, e.g. MAC, HMAC symmetrical signature etc.
  • MAC MAC
  • HMAC symmetrical signature
  • a common feature of several particularly preferred embodiments is that the plain text of the document is usually shortened irreversibly and is encrypted simultaneously or subsequently with a key, in this case the key information from step 1.
  • the overall document preferably consists of several, in particular three ingredients.
  • a first component is the actual plain text information of the document.
  • the encrypted check information from step 2 is appended to the document text, which was stored in step 9 in the cryptographic module or outside the module and from then on is added to each document to be secured.
  • the test value formed in step 11 is attached as a third component of the overall document.
  • the document reaches the inspection agency, where it is checked for structural completeness and integrity. In the specific application of the invention for checking postage indicia, further conclusiveness checks can also take place at this point. Find. In this case, since the secured document corresponds to the machine-readable franking mark, this can be used against other mailing information such as address and postal address. Type of delivery and general information such as the date are checked. In this way it can be excluded that a valid franking mark is used to frank a consignment that does not match this franking mark.
  • test information encrypted in step 2 is decrypted again.
  • the test information which is composed of several components, is broken down into its components again.
  • the key information and the transaction indicator are obtained in particular. The latter can serve as an additional check. For example, the identity of the customer or document manufacturer stored in the transaction indicator can be compared with a positive list of desired document manufacturers or a negative list of undesired document manufacturers stored in the test center.
  • a test value is created in analogy to step 11. Following the same procedure as in step 11, the plain text information of the document that is present in the checking station is now extracted using the key information just decrypted
  • Step 14 formed a test value. If different methods for creating test values can be possible in the cryptographic module, the specific choice of the method must also be appended to the document or in the document from the document manufacturer to the test center.
  • test value created in the cryptographic module and attached to the document is compared with the test value created in the test center. Only if both test values match it is guaranteed that the document was created by the document manufacturer using the cryptographic module.
  • the invention makes it possible to generate tamper-proof documents and to reliably check the authenticity of the data contained in the document and / or the identity of the document manufacturer.
  • test information required for this is preferably provided by the trustworthy contact point and / or the cryptographic module.
  • the invention is suitable for the production of any documents. However, it is particularly advantageous to use the invention for generating digital documents of a relatively small amount of data in the order of magnitude of a few bits up to documents with a total size including checking information up to approximately 60 bytes. Particularly preferred documents within the meaning of the invention are validity notes for a large number of application areas. It is particularly advantageous to use the invention for checking digital postage indicia for postal items, since it enables the postage indicia to be generated particularly quickly and easily. It can also be used for other areas as proof of payment of money amounts - digital tokens - or as another carrier of money value information.
  • the invention is particularly suitable for all applications where in addition to the document creator at least one auditor have an interest in the integrity of the réelles- '.
  • the invention is suitable for wide areas of application, in particular for the creation of digital tokens for a large number of areas of application, for example as flight tickets, tickets, theater or cinema tickets.
  • such documents can be printed out by the document manufacturer himself, it being possible for the document manufacturer to use existing credits - or loan amounts - for this purpose and in this way receive reliable proof of the payment.
  • documents can be generated, for example, using a conventional personal computer or a cryptographically unsecured printer.
  • a particular advantage of the invention is that the creation of the documents can take place without a connection between the generation of the documents without a direct connection between the document manufacturer and the trustworthy contact point.
  • document production is also possible with the interposition of one or more intermediate points, or with communication via data paths that are cryptographically impossible or difficult to secure.
  • the cryptographically trustworthy contact point and / or the test center receive means to ensure that no unauthorized documents have been generated or that no documents have been falsified. This makes it possible to a 'particularly simple and reliable way to generate testable secure digital documents and to verify those documents reliably.
  • Such a check can be carried out in various ways, the cryptographic process steps mentioned being simple and reliable to use.
  • the means and method steps shown according to the invention can also be applied to documents which are also encrypted before or during the creation of the counterfeit security in the sense of this invention.
  • the method is preferably not applied to an unencrypted plain text, but rather to an encrypted text, but the methods of this invention do not differ.
  • the encryption it would also be possible for the encryption to also take place in the cryptographic module and thus, as shown in FIG. 3, an intermediate step of the encryption to take place between steps 10 and 11 described here.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Inspection Of Paper Currency And Valuable Securities (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Cleaning In Electrography (AREA)
  • Document Processing Apparatus (AREA)
  • Image Processing (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erstellung prüfbar fälschungssicherer elektronischer Dokumente mit einem extern gespeisten kryptografischen Modul, wobei die Prüfung der Unverfälschtheit der Dokumente ohne Benutzung von Schlüsselinformationen erfolgt, die dem kryptografischen Modul eigen sind. Erfindungsgemäß zeichnen sich das Verfahren und die Vorrichtung dadurch aus, dass das kryptografische Modul auch bei einer Speisung über kryptografisch nicht vertrauenswürdige Kommunikationspartner mit zwei Arten von Daten versorgt wird, die zum einen im kryptografischen Modul verbleiben und die zum anderen an das Dokument angehängt werden, wobei die im kryptografischen Modul verbleibenden Informationen genutzt werden, um die Dokumentinformationen über einen Prüfwert abzusichern und wobei die in das Dokument übernommenen Informationen dazu dienen, im Rahmen einer Prüfung der Unverfälschtheit des Dokuments in einer Prüfstelle die Absicherung des Dokuments durch das kryptografische Modul nachzuweisen.

Description

Verfahren und Vorrichtung zur Erstellung prüfbar fälschungssicherer Dokumente
Beschreibung :
Die Erfindung betrifft ein Verfahren zur Erstellung fälschungssicherer Dokumente oder Datensätze, wobei eine Schlüsselinformation erzeugt und eine verschlüsselte Prüfinforma- tion aus der Schlüsselinformation und einem Transaktions-Indikator gebildet wird.
Die Erfindung betrifft ferner ein WertubertragungsZentrum und ein kryptografisches Modul .
Es ist eine Vielzahl von Verfahren zur Erzeugung fälschungssicherer Dokumente und zu ihrer Überprüfung bekannt . Übliche Verfahren basieren auf der Erstellung digitaler Signaturen oder verschlüsselter PrüfInformationen, die im Rahmen der Er- Stellung des Dokuments angefertigt werden.
Zu unterscheiden ist dabei zwischen Dokumenten, bei denen der Ersteller ein Interesse an der Unverfälschtheit hat und solchen, bei denen Dritte ein Interesse an der Unverfälschtheit haben.
Hat ein Dritter Interesse an der Fälschungssicherheit von Dokumenten, so ist es bekannt, dass bei der Erstellung des Dokuments ein sogenanntes „kryptografisches Modul" hinzugezogen wird. Solche bekannten kryptografischen Module zeichnen sich dadurch aus, dass sie in ihrem Inneren elektronische Daten beinhalten oder Daten verarbeiten, die von außen nicht unbemerkt eingesehen oder manipuliert werden können. Ein kryptografisches Modul kann als sichere, versiegelte Ein- heit betrachtet werden, in der sicherheitsrelevante Prozesse durchgeführt werden, die von außen nicht manipuliert werden können. Ein weltweit anerkannter Standard für solche kryptografischen Module ist der von der US-amerikanischen nationalen Behörde für Standardisierung NIST veröffentlichte Stan- dard für kryptografische Module mit der Bezeichnung FIPS Pub 140.
Wird zur Erstellung fälschungssicherer Dokumente, an deren Unverfälschtheit Dritte interessiert sind, ein kryptografi- sches Modul eingesetzt, so besteht eine übliche Realisierung darin, dass das kryptografische Modul genutzt wird, um kryptografische Schlüssel sicher zu hinterlegen, die innerhalb des Moduls, und nur dort, zur Verschlüsselung von Prüfwerten dienen. Bekannt sind beispielsweise sogenannte Signaturkarten, wie sie von Zertifizierungsbehörden oder Trustcentern zur Erstellung von digitalen Signaturen ausgegeben werden. Auch diese Signaturkarteh, ausgeführt als Mikroprozessor- Chipkarte, enthalten in eben diesem Microporzessor-Chip ein kryptografisches Modul.
In solchen Modulen sind in der Regel ein oder mehrere asym- metrische Schlüsselpaare hinterlegt, die sich dadurch auszeichnen, dass Verschlüsselungen, die mit dem sogenannten privaten Schlüssel erzeugt werden, nur mit dem zugehörigen öffentlichen Schlüssel rückgängig gemacht werden können und dass Verschlüsselungen, die mit dem öffentlichen Schlüssel erzeugt werden, nur mit dem zugehörigen privaten Schlüssel rückgängig gemacht werden können. Gemäß ihrer Bezeichnung sind öffentliche Schlüssel dabei zur Veröffentlichung und beliebigen Verbreitung vorgesehen, wogegen private Schlüssel nicht ausgegeben werden dürfen und bei einer Verwendung zu- sammen mit kryptografischen Modulen diese Module zu keinem Zeitpunkt verlassen dürfen. Weiterhin hinterlegt in solchen Modulen sind Algorithmen etwa zur PrüfSummenbildung oder/ im Beispiel der digitalen Signatur, zur Erstellung eines sogenannten digitalen Fingerabdrucks oder „Hash-Werts", der sich dadurch auszeichnet, dass er beliebigen Dateninhalt auf eine in der Regel quantitativ deutlich verkürzte Information der- art abbildet, dass das Resultat irreversibel und eindeutig ist und dass für verschiedene Dateninhalte, mit denen der Algorithmus gespeist wird, jeweils unterschiedliche Resultate entstehen.
Die Erstellung eines fälschungssicheren Dokuments, an dessen Unverfälschtheit Dritte interessiert sind, mittels eines kryptografischen Moduls, das asymmetrische Schlüssel und einen Algorithmus zur Erstellung von Prüfwerten enthält, ge- schieht üblicherweise wie folgt: Zunächst wird unter Anwendung des Algorithmus zur Erstellung von Prüfwerten ein solcher Prüfwert erstellt, der sich auf das zu sichernde Dokument bezieht. Dann wird ein privater Schlüssel im kryptografischen Modul benutzt, um den Prüfwert zu verschlüsseln. Die Kombination dieser' beiden Vorgänge .wird als Erstellung einer „digitalen Signatur" bezeichnet.
Die Prüfung einer solchen digitalen Signatur geschieht üblicherweise wie folgt : Der Empfänger erhält das Dokument und den verschlüsselten Prüfwert . Der Empfänger benötigt weiterhin, und darauf zielt die später geschilderte Erfindung ab, den öffentlichen Schlüssel des Dokumentherstellers und verwendet diesen zur Entschlüsselung des Prüf erts, den der Dokumenthersteller mit seinem privaten Schlüssel innerhalb des kryptografischen Moduls verschlüsselt hatte. Nach der Entschlüsselung besitzt der Empfänger somit den unverschlüsselten Prüfwert . Weiterhin wendet der Empfänger im nächsten Schritt den gleichen Algorithmus zur Erstellung eines Prüfwerts auf das empfangene Dokument an. Im dritten Schritt schließlich vergleicht der Empfänger den selbst erzeugten Prüfwert mit dem entschlüsselten Prüfwert des Dokumentherstellers. Stimmen beide Prüfwerte überein, so wurde das Dokument nicht verfälscht und die Unverfälschtheit des Dokuments ist zweifelsfrei nachgewiesen. Üblicherweise wird bei bekann- ten digitalen Signaturen auch die Authentizität des Dokument- ' herstellers geprüft. Dies geschieht, indem der öffentliche Schlüssel des Dokumentherstellers von einer sogenannten Zertifizierungsstelle oder „CA" ebenfalls digital signiert und einem bestimmten kryptografischen Modul, beziehungsweise einem bestimmten Inhaber des kryptografischen Moduls, zugeordnet wird. Der Empfänger des Dokuments nimmt in diesem Fall den öffentlichen Schlüssel des Dokumentherstellers nicht einfach als gegeben an, sondern überprüft diesen ebenfalls auf Zugehörigkeit zum Dokumenthersteller, indem er die digitale Signatur des öffentlichen Schlüssels in der oben geschilderten Weise überprüft .
Bei diesen bekannten Verfahren besteht das Problem, dass zur Prüfung der Unverfälschtheit eines Dokuments eine Information erforderlich ist, die unmittelbar mit der Verwendung von Schlüsseln durch den Dokumenthersteller mittels des kryptografischen Moduls zusammenhängt. Im oben angeführten üblichen Beispiel der Erstellung von digitalen Signaturen handelt es sich um den öffentlichen Schlüssel des Dokumentherstellers bzw. dessen kryptografischen Moduls, der zur Prüfung herangezogen werden muss. Im Falle der Signatur des öffentlichen Schlüssels durch eine Zertifizierungsstelle wird das Gesamtgebilde aus öffentlichem Schlüssel, Identifikation des Anwenders dieses Schlüssels sowie der digitalen Signatur der Zer- tifizierungsstelle als „Schlüsselzertifikat" bezeichnet.
Zusammengefasst lässt sich diese Problematik an einem Beispiel derart schildern, dass es zur Prüfung der Unverfälschtheit eines üblichen digital signierten Dokuments erforderlich ist, den öffentlichen Schlüssel oder das Schlüsselzertifikat des Dokumentherstellers bzw. seines kryptografischen Moduls bei der Prüfung zur Verfügung zu haben. Sollen an einer Prüfsteile, wie üblich, Dokumente verschiedener Dokumenthersteller geprüft werden, so ist es erforderlich, dort alle öffent- liehen Schlüssel oder alle Schlüsselzertifikate aller Doku- menthersteller zur Verfügung zu haben.
Es existieren verschiedene Möglichkeiten, der Anforderung gerecht zu werden, den öffentlichen Schlüssel des Dokumenther- stellers bei der Prüfung zur Verfügung zu haben. So ist es möglich, den öffentlichen Schlüssel oder das Schlüsselzertifikat des Dokumentherstellers an das zu sichernde Dokument anzuhängen. Eine weitere Möglichkeit besteht darin, den öffentlichen Schlüssel an der Prüfstelle zu hinterlegen und bei Bedarf auf diesen zuzugreifen.
Die bekannten Verfahren sind jedoch mit Nachteilen verbunden.
Das Anhängen des Schlüssels oder des Schlüsselzertifikats ist dann .nachteilig, wenn. der Umfang des Dokuments möglichst gering gehalten werden muss und ein angehängter Schlüssel den zu druckenden, zu übertragenden oder zu verarbeitenden Datensatz übermäßig vergrößern würde.
Eine Hinterlegung eines öffentlichen Schlüssels an der Prüfstelle ist insbesondere dann nachteilig, wenn ein Zugriff auf an der Prüfstelle hinterlegte Schlüssel aus praktischen oder zeitlichen Erwägungen nicht möglich ist, beispielsweise bei einer sehr hohen Anzahl von vorgehaltenen Schlüsseln, auf die in sehr kurzer Zeit zugegriffen werden müsste.
Zur Lösung dieser bekannten Nachteile ist es aus der Deutschen Patentschrift DE 100 20 563 C2 der Anmelderin bekannt, bei einem gattungsgemäßen Verfahren in einem Siche- rungsmodul ein Geheimnis zu erzeugen, das Geheimnis zusammen mit Informationen, die Auskunft über die Identität des Sicherungsmoduls geben, verschlüsselt an eine Bescheinigungsstelle zu übergeben, das Geheimnis in der Bescheinigungsstelle zu entschlüsseln, hierdurch die Identität des Sicherungsmoduls zu erkennen, anschließend das Geheimnis zusammen mit Informa- tionen zur Identität des Dokumentherstellers derart zu verschlüsseln, dass nur eine Prüfstelle eine Entschlüsselung vornehmen kann, um dann das Geheimnis an einen Dokumenthersteller zu übermitteln. Bei diesem Verfahren gibt der Doku- menthersteller eigene Daten in das Sicherungsmodul ein, wobei das Sicherungsmodul die selbst von dem Dokumenthersteller eingebrachten Daten mit dem Geheimnis irreversibel verknüpft und wobei keine Rückschlüsse auf das Geheimnis möglich sind. Dieses bekannte Verfahren zeichnet sich dadurch aus, dass das Ergebnis der irreversiblen Verknüpfung der von dem Dokument- hersteller eingebrachten Daten mit dem Geheimnis, die von dem Dokumenthersteller selbst eingebrachten Daten sowie die verschlüsselten Informationen der Bescheinigungsstelle das Dokument bilden, das an die Prüfungsstelle übermittelt wird. Die- ses bekannte Verfahren eignet sich insbesondere zur Erzeugung und Prüfung fälschungssicherer Briefmarken eines Postunternehmens. Solche Briefmarken werden durch Kunden eines Postunternehmens unter Verwendung eines persönlichen kryptografischen Moduls erzeugt und als maschinenlesbarer Barcode auf die Sendung aufgebracht. Der maschinenlesbare Barcode hat nur einen sehr begrenzten Datenumfang und erlaubt es somit nicht, den öffentlichen Schlüssel des Kunden mit einzubringen. Außerdem müssen in der sogenannten Brief roduktion die digitalen Briefmarken in kürzester Zeit gelesen und geprüft wer- den, wodurch die Möglichkeit, in Sekundenbruchteilen auf eine Datenbasis von möglicherweise vielen Millionen öffentlicher Schlüssel zuzugreifen, ebenfalls entfällt.
Der Erfindung liegt die Aufgabe zugrunde, ein bekanntes Ver- fahren so weiter zu entwickeln, dass es unabhängig von einer unmittelbaren Kommunikation zwischen der kryptografiseh vertrauenswürdigen Kontaktstelle und dem Dokumenthersteller durchgeführt werden kann. Erfindungsgemäß wird diese Aufgabe dadurch gelöst, dass die Erstellung der zufälligen Schlüsselinformation und die Bildung der verschlüsselten PrüfInformation aus der Schlüsselinformation und dem Transaktionsindikator in einer kryptogra- fisch vertrauenswürdigen Kontaktstelle erfolgen, dass die kryptografisch vertrauenswürdige Kontaktstelle die Schlüssel- Information verschlüsselt, und dass die verschlüsselte Prüf- information und die verschlüsselte Schlüsselinformation von der kryptografisch vertrauenswürdigen Kontaktstelle an eine Zwischenstelle übermittelt werden, dass die Zwischenstelle die verschlüsselte Schlüsselinformation und die verschlüsselte PrüfInformation zwischenspeichert und zu einem späteren Zeitpunkt zeitlich von der Übertragung zwischen der kryp- tografisch vertrauenswürdigen Kontaktstelle und- der Zwischen- stelle entkoppelt an ein kryptografisches Modul eines Dokumentherstellers übermittelt .
Die Erfindung sieht somit vor, dass das kryptografische Modul auch bei einer Speisung über eine Zwischenstelle, beispiels- weise über im kryptografischen Sinn nicht vertrauenswürdige Kommunikationspartner mit zwei Arten von Daten versorgt wird, die zum einen im kryptografischen Modul verbleiben und die zum anderen an das Dokument angehängt werden, wobei die im kryptografischen Modul verbleibenden Informationen genutzt werden, um die DokumentInformationen über einen Prüfwert abzusichern und wobei die in das Dokument übernommenen Informationen dazu dienen, im Rahmen einer Prüfung der Unverfälscht- heit des Dokuments in einer Prüfstelle die Absicherung des Dokuments durch das kryptografische Modul nachzuweisen.
Die Erfindung beinhaltet eine Vielzahl von Vorteilen. Sie ermöglicht eine Erzeugung fälschungssicherer Dokumente in einer Vielzahl von Anwendungsfällen, insbesondere bei solchen Fällen, bei denen keine direkte Verbindung zwischen dem Doku- menthersteller und der vertrauenswürdigen Kontaktstelle besteht. Beispielsweise ist es hierdurch möglich, fälschungssichere Dokumente ohne einen Einsatz von Computern und/oder eine Datenverbindung zu der vertrauenswürdigen Kontaktstelle zu erstellen.
Grundsätzlich ist es möglich, die Schlüsselinformation nach einem vorgegebenen Muster auszuwählen. Dies erleichtert jedoch kryptografische Entschlüsselungsattacken (Enigma-Prob- lern) .
Es ist besonders vorteilhaft, dass die Schlüsselinformation dadurch erstellt wird, dass sie zufällig gebildet wird, obwohl die Erfindung mit einem vorgebbaren Satz von Schlüssel- Informationen durchgeführt werden kann. Die jeweilige zufällige Erzeugung der Schlüsselinformationen ist deshalb besonders vorteilhaft, da so eine Speicherung einer Vielzahl von Schlüsselinformationen vermieden wird.
Es hat sich als zweckmäßig erwiesen, das's die verschlüsselte Schlüsselinformation und/oder die verschlüsselte Prüfinformation so beschaffen sind, dass sie in der Zwischenstelle nicht entschlüsselt werden können.
Eine Entschlüsselung der Schlüsselinformationen durch das kryptografische Modul beinhaltet mehrere Vorteile. Hierdurch ist es möglich, dass ein Benutzer des kryptografischen Moduls, insbesondere ein Dokumenthersteller, eine Bestätigung erhält, Informationen der vertrauenswürdigen Kontaktstelle, insbesondere von der vertrauenswürdigen Kontaktstelle geschaffene Geldwerteinformationen erhalten zu haben. Außerdem ist es hierdurch möglich, dass das kryptografische Modul die enthaltene Schlüsselinformation für eine nachfolgende Verschlüsselung einsetzt. Ein bevorzugter Einsatz der Schlüsselinformationen dient zu einer Verschlüsselung von eigenen Daten des Dokumentherstellers.
Zweckmäßigerweise übergibt der Dokumenthersteller die eigenen Daten in einem möglichst automatisierten Verfahren dem kryptografischen Modul .
Eine besonders bevorzugte Ausführungsform der Erfindung zeichnet sich dadurch aus, dass das kryptografische Modul die vom Dokumenthersteller eingebrachten Daten mit der Schlüssel- Information irreversibel verknüpft.
Hierbei ist es besonders vorteilhaft, dass die irreversible Verknüpfung zwischen den von- dem Dokumenthersteller eingebrachten Daten und der entschlüsselten Schlüsselinformation dadurch erfolgt, dass unter Verwendung der Schlüsselinformation ein Prüfwert für das Dokument gebildet wird.
Ferner ist es besonders zweckmäßig, dass das Ergebnis der irreversiblen Verknüpfung der von dem Dokumenthersteller eingebrachten Daten mit der entschlüsselten Schlüsselinformation ein Dokument und/oder einen Datensatz bilden, der an eine Prüfstelle übermittelt wird.
Es hat sich weiter als zweckmäßig erwiesen, dass das an die Prüfstelle übermittelte Dokument die von dem Dokumenthersteller eingebrachten eigenen Daten wenigstens teilweise im Klartext enthält .
Dazu ist es besonders zweckmäßig, dass in das an die Prüf- stelle übermittelte Dokument die- verschlüsselte Prüfinformation eingebracht wird.
Vorteilhaft ist, dass .die im kryptografischen Modul verblei- benden Informationen derart verschlüsselt sind, dass diese im kryptografischen Modul entschlüsselt werden können und dass es sich bei der im kryptografischen Modul verbleibenden Information um einen Wert handelt, der nicht oder nur schwer vorhersagbar ist.
Besonders vorteilhaft ist, dass die Versorgung des kryptografischen Moduls über kryptografisch nicht vertrauenswürdige Kommunikationspartner derart erfolgt, dass ein Austausch von Informationen innerhalb eines Dialogs nicht erforderlich ist.
Ebenfalls von besonderem Vorteil ist, dass die Versorgung des kryptografischen Moduls über kryptografisch nicht vertrauenswürdige Kommunikationspartner derart erfolgt, dass die Wei- terreichung der Informationen an das kryptografische Modul zeitlich entkoppelt ist.
Als wichtig und zweckmäßig hat sich ergeben, dass die Versorgung des kryptografischen Moduls auch bei einer Speisung über kryptografisch nicht vertrauenswürdige Kommunikationspartner durch eine vertrauenswürdige Stelle erfolgt, auf deren Informationen sich die Prüfstelle verlassen kann.
Vorteilhaft ist dabei, dass zur Bereitstellung vertrauenswür- diger Informationen für das kryptografische Modul durch eine vertrauenswürdige Stelle kryptografische Verschlüsselungen angewendet werden, die die Prüfstelle rückgängig machen kann.
Eine zweckmäßige Weiterentwicklung des Verfahrens sieht vor, es so durchzuführen, dass die beiden Arten von Daten kryptografisch miteinander verknüpft sind, jedoch nicht auf dem Wege der Kryptoanalyse aufgedeckt werden.
Dazu hat sich als Vorteil gezeigt, dass die kryptografische Verknüpfung der beiden Arten von Daten dergestalt ist, dass nichtlineare Anteile, die nur der vertrauenswürdigen Kontaktstelle und der Prüfstelle bekannt sind, hinzugefügt werden.
Vorteilhafterweise wird das Verfahren so durchgeführt ,. dass die erstellten fälschungssicheren Dokumente oder Datensätze geldwerte Informationen enthalten.
Es ist zweckmäßig, dass die geldwerte Information kryptogra- fisch mit dem Dokument oder dem Datensatz derart verbunden ist, dass durch einen Vergleich zwischen der geldwerten In- formation und dem Dokument oder den Datensatz ein Prüfwert gebildet werden kann.
Ferner ist es vorteilhaft, dass die geldwerten Informationen einen Nachweis über die Entrichtung von Portobeträgen enthalten.
Ein weiterer Vorteil ist darin gegeben, dass die eine Entrichtung eines Portobetrages nachweisenden geldwerte Informationen mit Identifikationsangaben des Dokumentherstellers verknüpft sind.
Ferner ist es nützlich, dass der Nachweis über die Entrich- tung eines Portobeitrages mit einer Adressangabe verknüpft ist .
Ein sehr wichtiges Anwendungsgebiet der Erfindung ist die Erzeugung von Freimachungsvermerken. In diesem wesentlichen Anwendungsfall können verschiedene Zwischenstellen eingesetzt werden. Beispielsweise kann ein WertubertragungsZentrum eines Frankiermaschinenherstellers als Zwischenstelle genutzt werden.
Ein weiterer Gegenstand der Erfindung ist ein Wertübertra- gungszentrum mit einer Schnittstelle zum Laden von Wertbeträgen. In der entsprechenden Weiterentwicklung der Erfindung fungiert das Wertübertragungszentrum vorteilhafterweise als eine Schnittstelle zum Empfang von verschlüsselten Informationen einer kryptografisch vertrauenswürdigen Kontaktstelle und zur Zwischenspeicherung der empfangenen verschlüsselten Informationen.
Es ist vorteilhaft, dass die Informationen so verschlüsselt sind, dass sie in dem WertubertragungsZentrum nicht entschlüsselt werden können.
Ferner ist es vorteilhaft, dass es Mittel für einen Empfang von Wertübertragungsaufforderungen durch wenigstens ein kryp- tografisches Modul und zur zeitlich entkoppelten Weitergabe der erhaltenen verschlüsselten Informationen enthält.
Besonders vorteilhaft ist ein kryptografisches Modul zur Erzeugung fälschungssicherer Dokumente mit Mitteln zur Ausgabe von verschlüsselten PrüfInformationen und eines Prüfwerts.
Eine vorteilhafte Ausführungsform sieht vor, dass das kryptografische Modul wenigstens ein Mittel zum Empfang und zur Entschlüsselung von Schlüsselinformationen und wenigstens ein Mittel zum Empfang eines Dokuments oder eines Datensatzes enthält, und dass das kryptografische Modul über wenigstens ein Mittel zur Erstellung eines Prüfwerts für das Dokument oder den Datensatz verfügt.
Weitere Vorzüge, Besonderheiten und zweckmäßige Weiterbildun- gen der Erfindung ergeben sich aus den Unteransprüchen und der nachfolgenden Darstellung bevorzugter Ausführungsbei- spiele anhand der Zeichnungen.
Von den Zeichnungen zeigt
Fig. 1 das Grundprinzip eines bekannten kryptografischen Verfahrens, Fig. 2 eine Prinzipskizze für eine Prinzipdarstellung einer erfindungsgemäßen Erzeugung digitaler Freimachungen und
Fig. 3 eine Prinzipdarstellung besonders bevorzugter
Verfahrensschritte für die Erzeugung fälschungssicherer Dokumente.
Zur Lösung dieses Problems ist aus der Deutschen Patent- schrift DE 100 20 563 C2 ein Verfahren zur Erstellung fälschungssicherer Dokumente bekannt, bei dem die Notwendigkeit, Informationen aus dem kryptografischen Modul des Dokumentherstellers zur Prüfung zu verwenden, entfällt. Statt dessen basiert dieses Verfahren darauf, dass eine Zufallszahl im kryp- tografischen Modul des Kunden gebildet wird. Das genaue Verfahren mit seinen drei beteiligten Parteien (1. Dokumenthersteller mit kryptografischem Modul, 2. Prüfstelle und 3. Vertrauenswürdige Kontaktstelle) ist in der beigefügten Fig. 1 dargestellt. Die im nachfolgenden Text genannten Nummern be- ziehen sich auf die in der Fig. 1 dargestellten Schritte des Verfahrens .
In Fig. 1 wird im kryptografischen Modul des Dokumentherstel- lers eine Zufallszahl erzeugt und gespeichert (1) , die zusammen mit der Identität oder Identifikationsnummer des Dokumentherstellers oder des kryptografischen Moduls verschlüsselt (2) an eine vertrauenswürdige Stelle übermittelt wird (3) . Diese vertrauenswürdige Stelle entschlüsselt die Zu- fallszahl und.die Identifikationsnummer (4), überprüft die Rechtmäßigkeit der Anfrage (5) und verschlüsselt daraufhin die Zufallszahl und einen neu gebildeten Transaktions-Indikator in der Weise, dass nur die Prüfstelle in der Lage ist, diese Verschlüsselung rückgängig zu machen (6) . Die derart verschlüsselte Zufallszahl und der Transaktions-Indikator werden an den Dokumenthersteller zurückgesandt (7) . Bei der späteren Erzeugung fälschungssicherer Dokumente gibt der Dokumenthersteller nun das zu sichernde Dokument in das kryptografische Modul ein (8) . Dort wird unter Verwendung des Do- kumenten-Klartextes und der noch immer gespeicherten Zufallszahl ein Prüfwert gebildet (9) . Übertragen zur Prüfstelle wird nun das Dokument im Klartext, die von der vertrauenswürdigen Stelle übertragene verschlüsselte Zufallszahl und der verschlüsselte Transaktionsindikator sowie die im kryptogra- fischen Modul erzeugte PrüfInformation (10) . In der Prüfstelle erfolgt die Feststellung der Unverfälschtheit nach einer Grobprüfung der Dokumentenstruktur (11) durch Entschlüsselung -der Zufallszahl und des Transaktions-Indikators, die in der vertrauenswürdigen Kontaktstelle verschlüsselt worden waren (12) . Anschließend wird wie im kryptografischen Modul des Dokumentherstellers unter Verwendung des Dokumen- ten-Klartexts und. der soeben entschlüsselten Zufallszahl ein Prüfwert gebildet (13) . Dieser Prüfwert wird schließlich mit dem vom Dokumenthersteller übertragenen Prüfwert verglichen (14) . Stimmen beide überein, so ist sichergestellt, dass das Dokument unter Verwendung eines bestimmten kryptografischen Moduls erzeugt wurde, da die erforderliche Zufallszahl nur dort vorhanden ist und dieses Modul kryptogra isch abgesichert mit der vertrauenswürdigen Kontaktstelle Informationen ausgetauscht hat. Da zum einen ein bestimmtes kryptografi- sches Modul verwendet wurde und zum anderen der Prüfwert übereinstimmt, ist sowohl die Identität des Dokumentherstellers als auch die Unverfälschtheit des Dokuments sichergestellt.
Das beschriebene Verfahren wird in Abwandlung von der Deutschen Post für die Herstellung von Internet-Briefmarken unter der Bezeichnung „PC-Frankierung" eingesetzt. Es zeichnet sich zusammengefasst dadurch aus, dass die Prüfung der Unver- falschtheit der Dokumente ohne Benutzung von Schlüsselinfor- mationen erfolgen kann, die dem kryptografischen Modul eigen sind. Vielmehr verlässt sich die Prüfstelle zum Teil auf Informationen einer vertrauenswürdigen Kontaktstelle.
Erfindungsgemäß wird ein Verfahren zur Erzeugung digitaler Dokumente und Datensätze geschaffen, das ohne einen direkten Kontakt zwischen einer kryptografisch vertrauenswürdigen Kontaktstelle und dem kryptografischen Modul, beziehungsweise einem das kryptografische Modul einsetzenden Dokumentherstel- 1er erfolgen kann.
Obwohl die Erzeugung der Dokumente und Datensätze keineswegs auf die Erzeugung von Freimachungsvermerken, beziehungsweise auf mit Freimachungsvermerke versehene Postsendungen be- schränkt ist, stellt der Einsatz der dargestellten Verfahrens- und Vorrichtungsmerkmale in einem Verfahren zur Erzeugung digitaler Freimachungen eine besonders bevorzugte Ausführungsform der Erfindung dar.
Eine derartige Ausführungsform wird nachfolgend anhand von' Fig. 2 dargestellt.
Das schematische Modell beziehungsweise die Funktionsweise der neuen digitalen Freistempelung ist in FIG. 2 skizziert und nachfolgend beschrieben:
1. Im Vorfeld des Ladevorgangs zwischen dem VorgabeZentrum des Anbieters und der Digitalen Freistempelmaschine des Kunden stellt das Postunternehmen dem Anbieter auf elektronischem Wege maschinenbezogene Informationen zur zukünftigen Einspeisung in die Digitalen Freistempelmaschinen zur Verfügung. Diese Informationen umfassen unter anderem eine Schlüsselinformation zur Verwendung in der Maschine und einen sogenannten „ValidityString", der zur späteren Prüfung- im Briefzentrum verwendet wird sowie Informationen zur Bonität von Kunden. Teile dieser Informationen sind derart verschlüsselt, dass si nur innerhalb der Freistempelmaschine entschlüsselt werden können.
2. Zwischen der Digitalen Freistempelmaschine des Kunden und dem Fernwähl-Vorgabezentrum des Herstellers wird ein Vorgabe -Ladevorgang mit dem Ziel durchgeführt, den verfügbaren Portowert in der Freistempelmaschine zu erhöhen. Während dieses Ladevorgangs werden auch die (zuvor von der Deutschen Post bereitgestellten) maschinenbezogenen Informationen in einen manipulationssicheren Bereich der Digitalen Freistempelmaschine übertragen. Ein derartiger Ladevorgang, bei dem .die (von dem Postunternehmen bereitgestellten) Informationen in die Maschine übertragen werden, sollte innerhalb bestimmter Toleranzen regelmäßig, beispielsweise einmal innerhalb eines vorgebbaren Zeitintervalls, beispielsweise monatlich erfolgen. Falls keine neue Vorgaben geladen werden sollen, ist einmal monatlich ein entsprechender Kommunikationsvorgang zwischen der Frei- Stempelmaschine und dem VorgabeZentrum durchzuführen, bei dem ebenfalls die von dem Post nternehmen bereitgestellten Informationen in die Maschine übertragen werden. Die Kommunikation zwischen VorgabeZentrum und Digitaler Freistempelmaschine muss in angemessener und überprüfbarer Weise ' abgesichert sein.
3. Im Nachgang des Vorgabe-Ladevorgangs (Schritt 1.) findet zwischen dem Vorgabezentrum des Anbieters, und dem als vertrauenswürdige Kontaktstelle dienenden Postage-Point des Postunternehmens eine gesicherte, elektronische Kommunika- tion über den Kauf eines bestimmten Portobetrags für einen Kunden statt. Bei dieser Datenübertragung werden Abrech- nungs- und Nutzungsinformationen an das Postunternehmen übertragen. Da die oben beschriebene Bereitstellung von Informationen für den nächsten Ladevorgang deutlich im voraus erfolgen kann, ist es möglich, aber nicht notwendig, die Schritte 3 und 1 zu kombinieren, sodass Schritt 3 des soeben abgeschlossenen Ladevorgangs mit Schritt 1 für den nachfolgenden Ladevorgang zusammentreffen.
4. Den bei der vertrauenswürdigen Kontaktstelle, dem Postage- Point des Postunternehmens, gekauften Portobetrag stellt das Postunternehmen dem Kunden unmittelbar per Lastschrift in Rechnung .
5. Mit der geladenen Digitalen Freistempelmaschine können prinzipiell so lange gültige digitale Frei stempelabdrucke ausgedruckt werden, bis das Guthaben aufgebraucht ist. Die digitalen Freistempelabdrucke enthalten einen zweidimensi- onalen Matrixcode (2D-Barcode) , in dem zusätzliche Daten enthalten sind, die unter anderem, wie in Schritt 1 beschrieben, im Vorfeld von dem Postunternehmen zur Verfügung gestellt wurden und die im Briefzentrum zur Prüfung der Gültigkeit herangezogen werden.
6. Postsendungen mit digitalem Freistempelabdruck können über die von dem Postunternehmen bereitgestellten Möglichkeiten', z.B. Briefkasten, Postfiliale, eingeliefert werden.
7. Sendungen mit digitalem Freistempelabdruck werden von dem Postunternehmen nach Überprüfung der Gültigkeit befördert.
8. In einem Abgleich können geladene Portowerte des Kunden mit den im Briefzentrum gelesenen Portowerten verglichen werden.
Bei den Informationen, die, wie im o.g. Schritt 1 beschrieben, vorab von der Deutschen Post zur Verfügung gestellt werden, sind im Sinne der vorliegenden Erfindung zwei Bestand- teile von Bedeutung, nämlich zum einen eine Schlüsselinformation key zur Verwendung in der Maschine und zum anderen eine sogenannte PrüfInformation VS . Die Schlusselinfόrmation mkey wird vom Postage Point des PostUnternehmens, der als vertrauenswürdige Kommunikationssteile dient, derart verschlüsselt, dass eine Entschlüsselung nur im manipulationssicheren Be- reich der Digitalen Freistempelmaschine (kryptografisch.es Modul) möglich ist. Die in sich bereits verschlüsselte PrüfInformation VS kann ohne weitere Transportverschlüsselung an die Freistempelmaschine bzw. das kryptografische Modul über- tragen werden. Durch die Verschlüsselung der Schlüsselinformation m^y ist eine Entschlüsselung nur im kryptografischen Modul der Freistempelmaschine möglich, nicht jedoch auf dem nicht vertrauenswürdigen Kommunikationsweg.
Das Prinzip der Sicherheit der Erstellung fälschungssicherer Dokumente mit einem extern auf unsicherem Weg gespeisten kryptografischen Modul wird in der FIG. 3 schematisch dargestellt:
1. In einem ersten Schritt wird in einer vertrauenswürdigen Kontaktstelle, die in der praktischen Realisierung dem Postage Point des Postunternehmens entspricht, eine Schlüsselinformation gebildet. Diese Schlüsselinformation dient später dazu, im kryptografischen Modul zur Erstellung eines Prüfwerts herangezogen zu werden. Sinnvollerweise verbleibt diese SchlüsselInformation später im kryptografischen Modul und wird dieses nicht verlassen.
2. In einem zweiten Schritt wird eine sogenannte Prüfinforma- tion gebildet. Diese wird zusammengestellt aus der Schlüsselinformation aus Schritt 1, einem Transaktions-Indikator, der Zusatzinformationen zum nächsten Ladevorgang des Kunden enthält, sowie aus weiteren Informationen. Die Zusammenstellung und anschließende Verschlüsselung dieser Elemente der Prüfinformation geschieht in einer Weise, dass nur die Prüfstelle später in der Lage ist, diese Verschlüsselung wieder rückgängig zu machen. Die Zusammenstellung und anschließende Verschlüsselung dieser Elemente der PrüfInformation geschieht außerdem in einer Weise, dass auch mit Kenntnis der Schlüsselinformationen im Klartext, was jedoch theoretisch außerhalb der vertrauenswür- digen Kontaktstelle und außerhalb des kryptografischen Moduls kaum möglich ist, eine Aufdeckung des Schlüssels zur Verschlüsselung der PrüfInformationen zur anschließenden Entschlüsselung an der Prüfstelle vermieden wird.
3. In einem dritten Schritt werden die im ersten Schritt erzeugten Schlüsselinformationen derart verschlüsselt, dass eine Entschlüsselung nur im kryptografischen Modul beim Dokumenthersteller erfolgen kann, nicht jedoch auf dem Übertragungsweg dorthin.
4. In einem vierten Schritt werden nun, vorzugsweise zusammen mit anderen, die Manipulationssicherheit weiter erhöhenden Informationen zum anstehenden Ladevorgang des Kunden, die zwei Arten von Informationen übergeben. Zum einen handelt es sich dabei um die in Schritt 1 erstellte und in Schritt 3 verschlüsselte Schlüsselinformation, die später in das kryptografische Modul geladen, dort entschlüsselt wird und dort auch zur Erstellung fälschungssicherer Dokumente verbleibt . Zum anderen handelt es sich dabei um die in Schritt 2 gebildete verschlüsselte Prüfinformation, die nur von der Prüfstelle wieder entschlüsselt werden kann und die an jedes vom Dokumenthersteller später erzeugte Dokument angehängt wird.
5. In einem fünften Schritt werden die zwei Arten von
Informationen, die im Rahmen dieser Erfindung relevant sind, zusammen mit anderen Informationen zum anstehenden Ladevorgang des Kunden in der nicht vertrauenswürdigen Stelle zwischengespeichert. Eine Entschlüsselung der beiden relevanten Arten von Informationen ist an dieser Stelle nicht möglich. Insbesondere ist eine Aufdeckung des Schlüssels, der in der vertrauenswürdigen Stelle verwendet wurde, um die. PrüfInformationen derart zu verschlüsseln, dass nur die Prüfstelle diese wieder entschlüsseln kann, schon deshalb nicht möglich, weil der Klartext der Schlüsselinformation, der für eine solche sogenannte Klartextat- tacke notwendig wäre, nicht vorliegt. 6. In einem sechsten Schritt werden die von der vertrauenswürdigen Stelle zur Verfügung gestellten Informationen zeitlich entkoppelt, z.B. im Rahmen des nächsten Ladevorgangs, an das kryptografische Modul beim Dokument- hersteiler übergeben.
7. Der siebte Schritt weist auf die Kommunikation zwischen nicht vertrauenswürdiger Stelle und kryptografischem Modul hin, die vorzugsweise durch zusätzliche geeignete Mittel kryptografisch abgesichert ist. Immerhin handelt es sich in der praktischen Realisierung um die Kommunikation zwischen einem Vorgabezentrum eines Herstellers und dessen Freistempelmaschine mit kryptografischem Modul, die schon wegen des elektronisch ausgetauschten Ladebetrags gegen Manipulationen geschützt werden muss. Wäre diese Kommuni- kation nicht geschützt, so wäre eine unberechtigte Erhöhung des Ladebetrags möglich. Nur im Sinne dieser Erfindung gilt daher das VorgabeZentrum des Herstellers als „nicht vertrauenswürdige" Stelle, in der praktischen Realisierung ist das Vorgabezentrum durchaus als vertrauens- würdig einzustufen.
8. Im achten Schritt findet eine Entschlüsselung und anschließende Speicherung der Schlüsselinformation statt, die in Schritt 3 verschlüsselt wurde. Diese Schlüsselinformation wird später benutzt, um Dokumente durch Erstel- lung eines Prüfwerts abzusichern. Zur Vermeidung von oben bereits erwähnten Klartext-Attacken ist es wichtig, dass die Schlüsselinformation nicht aus dem kryptografischen Modul ausgelesen werden kann, sondern nur innerhalb des Moduls durch ebenfalls beinhaltete Prozesse verwendet wird.
9. In einem neunten Schritt wird die verschlüsselte
Prüfinformation aus Schritt 2 gespeichert . Da diese Information bereits verschlüsselt ist und nicht weiter im kryptografischen Modul zur Datenverarbeitung benötigt wird, ist ihre Speicherung außerhalb des kryptografischen Moduls möglich. Die verschlüsselte PrüfInformation wird später an jedes gesicherte Dokument angehängt, um in der Prüfstelle verwendet zu werden.
10. In einem zehnten, vorzugsweise zeitlich entkoppelten Schritt gibt der Kunde bzw. Dokumenthersteller die Inhalte des zu sichernden Dokuments in das kryptografische Modul ein.
11. In einem elften Schritt wird mit den eingegebenen
Klartextinformationen des Dokuments unter Verwendung der noch gespeicherten Schlüsselinformation aus Schritt 1 ein Prüfwert gebildet. Die Bildung des Prüfwerts findet durch Anwendung eines üblichen Prüfwert-Verfahrens statt, wie z.B. MAC, HMAC symmetrische Signatur o.a.. Mehreren besonders bevorzugten Ausführungsformen ist gemein, dass der Klartext des Dokuments in der Regel irreversibel verkürzt und gleichzeitig oder anschließend mit einem Schlüssel, in diesem Falle der Schlüsselinformation aus Schritt 1, verschlüsselt wird.
12. In einem zwölften Schritt ' ird nun das Dokument übertra- gen. Das Gesamtdokument besteht dabei vorzugsweise aus mehreren, insbesondere drei Bestandteilen. Ein erster Bestandteil ist die eigentliche Klartextinformation des Dokuments .
Als zweiter Bestandteil des Gesamtdokuments sind an den Dokumententext die verschlüsselten Prüfinformationen aus Schritt 2 angehängt, die in Schritt 9 im kryptografischen Modul oder außerhalb des Moduls gespeichert wurden und fortan jedem zu sichernden Dokument beigefügt werden. Als dritter Bestandteil des Gesamtdokuments ist der in Schritt 11 gebildete Prüfwert angehängt.
13. Im dreizehnten Schritt erreicht das Dokument die Prüf- stelle, wo es auf strukturelle Vollständigkeit und Unversehrtheit geprüft wird. In der konkreten Anwendung der Erfindung zur Prüfung von Freimachungsvermerken können an dieser Stelle auch weitere Schlüssigkeitsprüfungen statt- finden. Da in diesem Falle das gesicherte Dokument dem maschinenlesbaren Frankiervermerk entspricht, kann dieser gegen andere SendungsInformationen wie Anschrift und Sen- . dungsart sowie allgemeine Informationen wie das Datum ge- prüft werden. Hierdurch kann ausgeschlossen werden, dass ein in sich gültiger Frankiervermerk zur Freimachung einer nicht zu diesem Frankiervermerk passenden Sendung verwendet wird.
1 . Im vierzehnten Schritt wird die in Schritt 2 verschlüs- selte Prüfinformation wieder entschlüsselt. Die aus mehreren Komponenten zusammengesetzte PrüfInformation wird wieder in ihre Bestandteile zerlegt. Neben anderen Informationen werden dabei insbesondere die Schlüsselinformation und der Transaktions-Indikator gewonnen. Letzterer kann einer zusätzlichen Prüfung dienen. So kann beispielsweise die im Transaktions-Indikator hinterlegte Identität des Kunden bzw. Dokumentherstellers mit einer in der Prüf- stelle hinterlegten Positivliste erwünschter Dokumenthersteller oder einer Negativliste unerwünschter Dokumenther- steller verglichen werden.
15. In einem fünfzehnten Schritt wird in Analogie zu Schritt 11 ein Prüfwert erstellt. Nach dem gleichen Verfahren wie bei Schritt 11 werden nun die in der Prüfstelle vorliegenden Klartextinformationen des Dokuments unter Verwendung der soeben entschlüsselten Schlüsselinformation aus
Schritt 14 ein Prüfwert gebildet . Können verschiedene Verfahren zur Erstellung von Prüfwerten im kryptografischen Modul möglich sein, so muss die konkrete Wahl des Verfahrens ebenfalls angehängt an das Dokument oder im Dokument vom Dokumenthersteller an die Prüfstelle übertragen werden.
16. Im abschließenden Schritt sechzehn wird der im kryptografischen Modul erstellte und an das Dokument angehängte Prüfwert mit dem in der Prüfstelle erstellten Prüf- wert verglichen. Nur wenn beide Prüfwerte übereinstimmen, ist gewährleistet, dass das Dokument unter Verwendung des kryptografischen Moduls beim Dokumentherstellers erstellt wurde .
Ein in missbräuchlicher Absicht agierender Dokumenther- steller, der ein gesichertes Dokument eines Kunden vortäuschen will, jedoch nicht Zugriff auf dessen kryptografi- sches Modul hat, wird nicht in der Lage sein, die Schlüsselinformation aus Schritt 1 zu erhalten und zu entschlüsseln. Diese ist jedoch unabdingbar, um einen Prüfwert her- zustellen, der mit dem in der Prüfstelle hergestellten übereinstimmt. Erfindet ein in missbräuchlicher Absicht agierender Dokumenthersteller hingegen eine geeignete Schlüsselinformation, die er auch sinngemäß korrekt zur Bildung eines Prüfwerts anwenden kann, so gelingt es ihm nicht, eine hierzu passende verschlüsselte PrüfInformation herzustellen. Diese verschlüsselte PrüfInformation müsste derart verschlüsselt sein, dass nur die Prüfstelle in der Lage ist, eine Entschlüsselung vorzunehmen. Ohne Kenntnis der verwendeten Schlüssel ist dies nicht möglich. Folglich ist das System sicher und nicht überwindbar.
Durch die Erfindung ist es möglich, fälschungssichere Dokumente zu erzeugen und die Unverfälschtheit der in dem Dokument enthaltenen Daten und/oder die Identität des Dokument- herstellers zuverlässig zu prüfen.
Alle hierzu erforderlichen PrüfInformationen werden vorzugsweise durch die vertrauenswürdige Kontaktstelle und/oder das kryptografische Modul zur Verfügung gestellt.
Die Erfindung eignet sich für eine Erzeugung beliebiger Doku- mente. Es ist jedoch besonders vorteilhaft, die Erfindung für eine Erzeugung digitaler Dokumente einer verhältnismäßig geringen Datenmenge in der Größenordnung von wenigen Bit bis zu Dokumenten mit einer Gesamtgröße einschließlich Prüfinformationen bis etwa 60 byte einzusetzen. Besonders bevorzugte Dokumente im Sinne der Erfindung sind Gültigkeitsvermerke für eine Vielzahl von Anwendungsgebieten. Es ist besonders vorteilhaft, die Erfindung für eine Überprüfung digitaler Freimachungsvermerke für Postsendungen einzu- setzen, da sie eine besonders schnelle und einfache Erzeugung der Freimachungsvermerke ermöglicht. Ein Einsatz für andere Gebiete als Nachweis für die Entrichtung von Geldbeträgen - digitale Wertmarken -, beziehungsweise als sonstiger Träger einer Geldwertinformation ist gleichfalls möglich.
Die Erfindung eignet sich insbesondere für alle Anwendungsfälle, bei denen außer dem Dokumentersteller wenigstens eine Prüfinstanz ein Interesse an der Unverfälschtheit des Dokuments-' haben. Die Erfindung eignet sich hierdurch für weite Anwendungsbereiche, insbesondere für die Erstellung von digitalen Wertmarken für eine Vielzahl von Einsatzgebieten, beispielsweise als Flugtickets, Fahrkarten, Theater- oder Kinokarten. Derartige Dokumente können mit Hilfe der Erfindung von dem Dokumenthersteller selber ausgedruckt werden, wobei es möglich ist, dass der Dokumenthersteller hierzu vorhandene Guthaben - oder Kreditbeträge - ausnutzt und auf diese Weise einen zuverlässigen Beweis der Zahlung erhält.
Das Erzeugen dieser Dokumente kann beispielsweise über einen herkömmlichen Personalcomputer oder einen kryptografisch nicht gesicherten Drucker erfolgen. Ein besonderer Vorteil der Erfindung ist, dass die Erstellung der Dokumente ohne eine Verbindung zwischen der Erzeugung der Dokumente ohne direkte Verbindung zwischen dem Dokumenthersteller und der vertrauenswürdigen Kontaktstelle erfolgen kann. Die Dokumenther- Stellung ist hierdurch auch bei Zwischenschaltung .einer oder mehrerer Zwischenstellen, beziehungsweise bei einer Kommunikation über kryptografisch nicht oder nur schwer sicherbare Datenwege möglich. Die kryptografisch vertrauenswürdige Kontaktstelle und/oder die Prüfstelle erhalten Mittel um sicherzustellen, dass keine unberechtigten Dokumente erzeugt wurden, beziehungsweise dass keine Dokumente verfälscht wurden. Hierdurch ist es auf eine 'besonders einfache und zuverlässige Weise möglich, prüfbar sichere digitale Dokumente zu erzeugen und diese Dokumente zuverlässig zu überprüfen.
Eine derartige Prüfung kann auf verschiedene Weisen erfolgen, wobei die genannten kryptografischen Verfahrensschritte ein- fach und zuverlässig angewendet werden können. Hierdurch ist ein Einsatz der Erfindung außerhalb der besonders bevorzugten Überprüfung der Echtheit digitaler Freimachungen von Postsendungen, beispielsweise durch eine Überprüfung der Echtheit der digitalen Fahrkarten, Flugtickets ect. durch einen Kon- trolleur, beziehungsweise bei einer Einlasskontrolle, möglich.
Die dargestellten erfindungsgemäßen Mittel und Verfahrens- schritte können auch auf Dokumente angewendet werden, die vor oder während der Erstellung der Fälschungssicherheit im Sinne dieser Erfindung ebenfalls verschlüsselt werden. In diesem Fall wird das Verfahren vorzugsweise nicht auf einen unverschlüsselten Klartext, sondern einen verschlüsselten Text angewandt, wobei sich jedoch die Verfahren dieser Erfindung nicht unterscheiden. Je nach Ausprägungsform wäre es gleich- falls möglich, dass die Verschlüsselung ebenfalls im kryptografischen Modul erfolgt und somit nach Darstellung in Fig. 3 ein Zwischenschritt der Verschlüsselung zwischen den hier geschilderten Schritten zehn und elf erfolgen würde.

Claims

Patentansprüche :
1. Verfahren zur Erstellung fälschungssicherer Dokumente oder Datensätze, wobei eine Schlüsselinformation erzeugt wird und wobei eine verschlüsselte PrüfInformation aus der Schlüsselinformation und einem Transaktionsindikator gebildet wird, d a d u r c h g e k e n n z e i c hn e t, dass die Erstellung der zufälligen Schlüsselinformation und die Bildung der verschlüsselten Prüfinformation aus der Schlüsselinformation und dem Transaktionsindikator in einer kryptografisch vertrauenswürdigen Kontaktstelle erfolgen, dass die kryptografisch vertrauenswürdige Kontaktstelle die Schlusselinformation verschlüsselt, und dass die verschlüsselte PrüfInformation und die verschlüsselte Schlüsselinforma- tion von der kryptografisch vertrauenswürdigen Kontaktstelle an eine Zwischenstelle übermittelt werden, dass die Zwischenstelle die verschlüsselte Schlüsselinformation und die verschlüsselte PrüfInformation zwischenspeichert und zu einem späteren Zeitpunkt zeitlich von der Übertragung zwischen der kryptografisch vertrauenswürdigen Kontaktstelle und der Zwischenstelle entkoppelt an ein kryptografisches Modul eines Dokumentherstellers übermittelt .
2. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t, dass die Schlüsselinformation so erstellt wird, dass die Schlüsselinformation zufällig gebildet wird.
3. Verfahren nach einem oder mehreren der vorangegangenen Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass die verschlüsselte Schlüsselinformation und/oder die verschlüsselte PrüfInformation so beschaffen sind, dass sie in der Zwischenstelle nicht entschlüsselt werden können.
4. Verfahren nach einem oder mehreren der vorangegangenen Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass das kryptografische Modul vorzugsweise mit einem in dem kryptografischen Modul enthaltenen Schlüssel eine Entschlüsselung der Schlüsselinformation vornimmt.
5. Verfahren nach einem oder mehreren der vorangegangenen Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass der Dokumenthersteller eigene Daten dem kryptografischen Modul übergibt .
6. Ver ahren nach einem oder mehreren der vorangegangenen Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass das kryptografische Modul die vom Dokumenthersteller eingebrachten Daten mit der Schlüsselinformation irreversibel verknüpft-.
7. Verfahren nach Anspruch 6, d a d u r c h g e k e n n z e i c h n e t, dass die irreversible Verknüpfung zwischen den von dem Dokumenthersteller eingebrachten Daten und der entschlüsselten Schlüsselinformation dadurch erfolgt, dass unter Verwendung der Schlüs- selinformation ein Prüfwert für das Dokument gebildet wird.
8. Verfahren nach einem oder beiden der Ansprüche 6 oder 7, d a d u r c h g e k e n n z e i c h n e t, dass das Ergebnis der irreversiblen Verknüpfung der von dem Doku- menthersteller eingebrachten Daten mit der entschlüsselten Schlüsselinformation ein Dokument und/oder einen Datensatz bilden, der an eine Prüfstelle übermittelt wird.
9. Verfahren nach Anspruch 8, d a d u r c h g e k e n n z e i c h n e "t, dass das an die Prüf stelle übermittelte Dokument die von dem Dokumenthersteller eingebrachten eigenen Daten wenigstens teilweise im Klartext enthält .
10. Verfahren nach einem oder beiden der Ansprüche 8 oder 9, d a d u r c h g e k e n n z e i c h n e t, dass in das an die Prüfstelle übermittelte Dokument die verschlüsselte PrüfInformation eingebracht wird.
11. Verfahren, nach einem oder mehreren der vorangegangenen Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass in dem kryptografischen Modul Informationen verbleiben, die derart verschlüsselt sind, dass sie im kryptografischen Modul entschlüsselt werden können.
12. Verfahren nach einem oder mehreren der vorangegangenen Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass die Versorgung des kryptografischen Moduls mit den Informationen auch bei einer Speisung über im kryptografischen Sinne nicht vertrauenswürdige Kommunikationspart- ner durch eine kryptografisch vertrauenswürdige Stelle erfolgt, auf deren Information sich die Prüfstelle verlassen kann.
13. Verfahren nach Anspruch 12, d a d u r c h g e k e n n z e l e h n e t, dass zur Bereitstellung ver- trauenswürdiger Informationen für das kryptografische Modul durch eine vertrauenswürdige Stelle kryptografische Verschlüsselungen angewendet werden, die die Prüfstelle rückgängig machen kann.
14. Verfahren nach einem oder mehreren der Ansprüche .. bis 13, d a d u r c h g e k e n n z e i c h n e t, dass die
Versorgung des kryptografischen Moduls über kryptogra- fisch nicht vertrauenswürdige Kommunikationspartner derart- erfolgt, dass die Weiterreichung der Informationen an das kryptografische Modul zeitlich entkoppelt ist.
15. Verfahren nach einem oder mehreren der Ansprüche 1 bis
14, d a d u r c h g e k e n n z e i c h n e t, dass die Versorgung des kryptografischen Moduls über kryptogra- fisch nicht vertrauenswürdige Kommunikationspartner derart erfolgt, dass ein Austausch von Informationen innerhalb eines Dialogs nicht erforderlich ist.
16. Verfahren nach einem oder mehreren der Ansprüche 1 bis 14, d a d u r c h g e k e n n z e i c h n e t, dass die beiden Arten von Daten kryptografisch miteinander verknüpft sind, jedoch nicht auf dem Wege der Kryptoanalyse aufgedeckt werden.
17. Verfahren nach Anspruch 16, d a du r c h g e k e n n z e i c h n e t, dass die kryptografische Verknüpfung der beiden Arten von Daten dergestalt ist, dass nicht lineare Anteile, die nur der vertrauenswürdigen Kontaktstelle und der Prüfstelle bekannt sind, hinzugefügt werden. -. ■
18. Verfahren nach einem oder mehreren der vorangegangenen Ansprüche, d a du r c h g e k e n n z e i c h n e t, dass die erstellten fälschungssicheren Dokumente oder Datensätze Geldwerteinformationen enthalten.
19. Verfahren nach 18, d a d u r c h g e k e n n z e i c h n e t, dass die Geldwerteinformation kryptografisch mit dem Dokument oder dem Datensatz derart verbunden ist, dass durch einen Vergleich zwischen den Geldwerteinformationen und dem Dokument oder den Datensatz ein Prüfwert gebildet werden kann.
20. Verfahren nach einem oder beiden der Ansprüche 18 oder
19, d a d u r c h g e k e n n z e i c h n e t, dass die Geldwerteinformationen einen Nachweis über die Entrichtung von Portobeträgen enthalten.
21. Verfahren nach Anspruch 20, d a d u r c h g e k e n n z e i c h n e t, dass die den Entrichtung des Portobetrages nachweisenden geldwerter Informationen mit Identifikationsangaben des Dokumentherstellers verknüpft sind.
22. Verfahren nach einem oder beiden der Ansprüche 20 oder 21, d a d u r c h g e k e n n z e i c h n e t, dass die geltwerten Informationen mit einer Adressangabe verknüpft werden.
23. WertubertragungsZentrum mit einer Schnittstelle zum Laden von Wertbeträgen, d d u r c h g e k e n n z e i c h n e t, dass das Wertubertragungs- Zentrum eine Schnittstelle zum Empfang von verschlüsselten Informationen einer kryptografisch vertrauenswürdigen Kontaktstelle und zur Zwischenspeicherung der empfangenen verschlüsselten Informationen enthält.
24. Wertübertragungszentrum nach Anspruch 23, d a d u r c h g e k e n n z e i c h n e t , dass die Informationen so verschlüsselt sind, dass sie in dem Wertübertragungszentrum nicht entschlüsselt werden können.
25. WertübetragungsZentrum nach einem oder mehreren der Ansprüche 23 bis 24 , d a d u r c h g e k e n n z e i c h n e t, dass es Mittel für einen Empfang von Wertübertragungsaufforderungen durch wenigstens ein kryptografisches Modul und zur zeitlich entkoppelten Weitergabe der erhaltenen verschlüsselten Informationen enthält .
26. Kryptografisches Modul zur Erzeugung fälschungssicherer Dokumtente mit Mitteln zur Ausgabe von verschlüsselten PrüfInformationen und eines Prüfwerts, d a d u r c h g e k e n n z e i c h n e t, dass das kryptografische Modul wenigstens ein Mittel zum Empfang und zur Entschlüs- seiung von Schlüsselinformationen und wenigstens ein Mittel zum Empfang eines Dokuments oder eines Datensatzes enthält, und dass das kryptografische Modul wenigstens ein Mittel zur Erstellung eines Prüfwerts für das Dokument oder den Datensatz unter Verwendung der Schlüsselinformation enthält .
PCT/DE2003/000760 2002-03-13 2003-03-10 Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente WO2003079609A1 (de)

Priority Applications (12)

Application Number Priority Date Filing Date Title
JP2003577477A JP4286150B2 (ja) 2002-03-13 2003-03-10 照合可能な偽造防止ドキュメントの生成のための方法と装置
EP03722214A EP1486028B1 (de) 2002-03-13 2003-03-10 Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente
DE50301269T DE50301269D1 (de) 2002-03-13 2003-03-10 Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente
US10/506,908 US7409062B2 (en) 2002-03-13 2003-03-10 Method and device for the generation of checkable forgery-proof documents
AT03722214T ATE305684T1 (de) 2002-03-13 2003-03-10 Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente
NZ535247A NZ535247A (en) 2002-03-13 2003-03-10 Method and device for the generation of checkable forgery-proof documents
AU2003229491A AU2003229491B8 (en) 2002-03-13 2003-03-10 Method and device for the generation of checkable forgery-proof documents
CA002479144A CA2479144A1 (en) 2002-03-13 2003-03-10 Method and device for the generation of checkable forgery-proof documents
SI200330135T SI1486028T1 (sl) 2002-03-13 2003-03-10 Postopek in priprava za tvorjenje preverljivo pred ponaredbo varnih dokumentov
NO20044277A NO20044277L (no) 2002-03-13 2004-10-08 Fremgangsmate og anordning for utvikling av kontrollerbare forfalskningssikre dokumenter
HK05104169A HK1071488A1 (en) 2002-03-13 2005-05-18 Method and device for the generation of checkable forgery-proof documents
US11/968,919 US20080109359A1 (en) 2002-03-13 2008-01-03 Value Transfer Center System

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10211265.7 2002-03-13
DE10211265A DE10211265A1 (de) 2002-03-13 2002-03-13 Verfahren und Vorrichtung zur Erstellung prüfbar fälschungssicherer Dokumente

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US11/968,919 Continuation US20080109359A1 (en) 2002-03-13 2008-01-03 Value Transfer Center System

Publications (1)

Publication Number Publication Date
WO2003079609A1 true WO2003079609A1 (de) 2003-09-25

Family

ID=27815639

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2003/000760 WO2003079609A1 (de) 2002-03-13 2003-03-10 Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente

Country Status (17)

Country Link
US (2) US7409062B2 (de)
EP (1) EP1486028B1 (de)
JP (1) JP4286150B2 (de)
CN (1) CN100473004C (de)
AT (1) ATE305684T1 (de)
AU (1) AU2003229491B8 (de)
CA (1) CA2479144A1 (de)
DE (2) DE10211265A1 (de)
DK (1) DK1486028T3 (de)
ES (1) ES2250889T3 (de)
HK (1) HK1071488A1 (de)
NO (1) NO20044277L (de)
NZ (1) NZ535247A (de)
PL (1) PL373765A1 (de)
RU (1) RU2323531C2 (de)
WO (1) WO2003079609A1 (de)
ZA (1) ZA200407274B (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007011309B4 (de) * 2007-03-06 2008-11-20 Francotyp-Postalia Gmbh Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine
US8572695B2 (en) * 2009-09-08 2013-10-29 Ricoh Co., Ltd Method for applying a physical seal authorization to documents in electronic workflows
US11132685B1 (en) 2020-04-15 2021-09-28 Capital One Services, Llc Systems and methods for automated identity verification

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5142577A (en) * 1990-12-17 1992-08-25 Jose Pastor Method and apparatus for authenticating messages
WO2000055817A1 (en) * 1999-03-18 2000-09-21 Consignia Plc Improvements relating to postal services
DE10020563A1 (de) * 1999-10-07 2001-04-19 Deutsche Post Ag Verfahren zur Erstellung und Überprüfung fälschungssicherer Dokumente
DE10020566A1 (de) * 2000-04-27 2001-10-31 Deutsche Post Ag Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken
DE10020402A1 (de) * 2000-04-27 2001-10-31 Deutsche Post Ag Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606609A (en) * 1994-09-19 1997-02-25 Scientific-Atlanta Electronic document verification system and method
US5812666A (en) * 1995-03-31 1998-09-22 Pitney Bowes Inc. Cryptographic key management and validation system
US5987140A (en) * 1996-04-26 1999-11-16 Verifone, Inc. System, method and article of manufacture for secure network electronic payment and credit collection
US5982506A (en) * 1996-09-10 1999-11-09 E-Stamp Corporation Method and system for electronic document certification
US5872848A (en) * 1997-02-18 1999-02-16 Arcanvs Method and apparatus for witnessed authentication of electronic documents
WO1998039876A1 (en) * 1997-03-06 1998-09-11 Skylight Software, Inc. Cryptographic digital identity method
JP4447668B2 (ja) 1997-03-26 2010-04-07 ソニー株式会社 データ送受信方法及び装置
US6023296A (en) * 1997-07-10 2000-02-08 Sarnoff Corporation Apparatus and method for object based rate control in a coding system
JPH11175607A (ja) 1997-12-05 1999-07-02 Hitachi Ltd 書類送付システムおよび方法
US20020023057A1 (en) * 1999-06-01 2002-02-21 Goodwin Johnathan David Web-enabled value bearing item printing
CA2425184A1 (en) 1999-10-07 2003-04-07 Deutsche Post Ag Method for producing and checking forge-proof documents
US7251632B1 (en) * 1999-10-18 2007-07-31 Stamps. Com Machine dependent login for on-line value-bearing item system
US6724894B1 (en) * 1999-11-05 2004-04-20 Pitney Bowes Inc. Cryptographic device having reduced vulnerability to side-channel attack and method of operating same
US6438530B1 (en) * 1999-12-29 2002-08-20 Pitney Bowes Inc. Software based stamp dispenser
US7251728B2 (en) * 2000-07-07 2007-07-31 Message Secure Corporation Secure and reliable document delivery using routing lists
DE10056599C2 (de) * 2000-11-15 2002-12-12 Deutsche Post Ag Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5142577A (en) * 1990-12-17 1992-08-25 Jose Pastor Method and apparatus for authenticating messages
WO2000055817A1 (en) * 1999-03-18 2000-09-21 Consignia Plc Improvements relating to postal services
DE10020563A1 (de) * 1999-10-07 2001-04-19 Deutsche Post Ag Verfahren zur Erstellung und Überprüfung fälschungssicherer Dokumente
DE10020566A1 (de) * 2000-04-27 2001-10-31 Deutsche Post Ag Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken
DE10020402A1 (de) * 2000-04-27 2001-10-31 Deutsche Post Ag Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken

Also Published As

Publication number Publication date
US20080109359A1 (en) 2008-05-08
DE50301269D1 (de) 2006-02-09
CA2479144A1 (en) 2003-09-25
JP2005528015A (ja) 2005-09-15
EP1486028B1 (de) 2005-09-28
US20050226422A1 (en) 2005-10-13
CN100473004C (zh) 2009-03-25
HK1071488A1 (en) 2005-07-15
RU2323531C2 (ru) 2008-04-27
ZA200407274B (en) 2006-02-22
ATE305684T1 (de) 2005-10-15
RU2004126947A (ru) 2005-06-27
JP4286150B2 (ja) 2009-06-24
NZ535247A (en) 2006-02-24
CN1647447A (zh) 2005-07-27
AU2003229491B8 (en) 2008-08-28
DK1486028T3 (da) 2006-02-06
AU2003229491B2 (en) 2008-04-10
EP1486028A1 (de) 2004-12-15
NO20044277L (no) 2004-10-08
DE10211265A1 (de) 2003-10-09
US7409062B2 (en) 2008-08-05
AU2003229491A1 (en) 2003-09-29
PL373765A1 (en) 2005-09-19
ES2250889T3 (es) 2006-04-16

Similar Documents

Publication Publication Date Title
DE3841393C2 (de) Zuverlässiges System zur Feststellung der Dokumentenechtheit
DE69434621T2 (de) Postgebührensystem mit nachprüfbarer Unversehrtheit
DE69932028T2 (de) System und Verfahren zum Unterdrücken von übertragenen Aussendungen einer kryptographischen Vorrichtung
EP1405274B1 (de) Verfahren zum überprüfen der gültigkeit von digitalen freimachungsvermerken
DE69533611T2 (de) Frankiermaschinenvorrichtung, System und Verfahren zum Kommunizieren mit Frankiermaschinen
DE3841389C2 (de) Informationsübermittlungssystem zur zuverlässigen Bestimmung der Echtheit einer Vielzahl von Dokumenten
EP0944027B1 (de) Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke
DE69634944T2 (de) Sichere Benutzerbeglaubigung für elektronischen Handel unter Verwendung eines Wertezählersystems
DE69634397T2 (de) Verfahren zum Erzeugen von Wertmarken in einem offenen Zählsystem
DE102007052458A1 (de) Frankierverfahren und Postversandsystem mit zentraler Portoerhebung
EP1107190B1 (de) Frankierverfahren und -vorrichtung
EP1337974B1 (de) Verfahren zum versehen von postsendungen mit freimachungsvermerken
DE10305730B4 (de) Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken
EP1807808B1 (de) Verfahren und vorrichtung zum frankieren von postsendungen
EP1150256B1 (de) Verfahren zur sicheren Distribution von Sicherheitsmodulen
EP1279147B1 (de) Verfahren zum versehen von postsendungen mit freimachungsvermerken
DE19830055A1 (de) Verfahren zur sicheren Übertragung von Dienstdaten an ein Endgerät und Anordnung zur Durchführung des Verfahrens
EP1486028B1 (de) Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente
DE10020561C2 (de) Sicherungsmodul und Verfahren zur Erstellung fälschungssicherer Dokumente
EP1340197B1 (de) Verfahren zum versehen von postsendungen mit frankierungsvermerken
EP1222512B1 (de) Sicherungsmodul und verfahren zur erstellung fälschungssicherer dokumente
WO2009083102A1 (de) Vorrichtung und verfahren zur verarbeitung von messwerten, verwendung eines speichermediums zur sicherung von signierten softwarekomponenten
DE10051818A1 (de) Verfahren zur Überprüfung von auf Postsendungen aufgebrachten Frankiervermerken

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NI NO NZ OM PH PL PT RO RU SC SD SE SG SK SL TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2003722214

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2004/07274

Country of ref document: ZA

Ref document number: 535247

Country of ref document: NZ

Ref document number: 2003577477

Country of ref document: JP

Ref document number: 200407274

Country of ref document: ZA

Ref document number: 373765

Country of ref document: PL

WWE Wipo information: entry into national phase

Ref document number: 2479144

Country of ref document: CA

WWE Wipo information: entry into national phase

Ref document number: 2986/DELNP/2004

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 20038082381

Country of ref document: CN

ENP Entry into the national phase

Ref document number: 2004126947

Country of ref document: RU

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 2003229491

Country of ref document: AU

WWP Wipo information: published in national office

Ref document number: 2003722214

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 10506908

Country of ref document: US

WWG Wipo information: grant in national office

Ref document number: 2003722214

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 535247

Country of ref document: NZ