WO2004046897A1 - Verfahren zum schutz eines tragbaren datenträgers - Google Patents

Verfahren zum schutz eines tragbaren datenträgers Download PDF

Info

Publication number
WO2004046897A1
WO2004046897A1 PCT/EP2003/012249 EP0312249W WO2004046897A1 WO 2004046897 A1 WO2004046897 A1 WO 2004046897A1 EP 0312249 W EP0312249 W EP 0312249W WO 2004046897 A1 WO2004046897 A1 WO 2004046897A1
Authority
WO
WIPO (PCT)
Prior art keywords
action
fbz
data carrier
carried out
operator error
Prior art date
Application number
PCT/EP2003/012249
Other languages
English (en)
French (fr)
Inventor
Franz Weikmann
Eric Johnson
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to AU2003282079A priority Critical patent/AU2003282079A1/en
Priority to EP03773695A priority patent/EP1563360A1/de
Publication of WO2004046897A1 publication Critical patent/WO2004046897A1/de

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1083Counting of PIN attempts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system

Definitions

  • the invention relates to a method for protecting a portable data carrier according to the preamble of claim 1.
  • Secret data are often stored in portable data carriers and / or secret algorithms are implemented. These can be used, for example, to identify the data carrier as genuine to a terminal, i.e. H. authenticate the disk. Furthermore, the secret data or the secret algorithms are required for authentication of the terminal by the data carrier. Finally, the secret data or algorithms can be used to check a secret number or a biometric feature in order to determine whether a user is authorized to use the data carrier, i. H. the user is authenticated. In order to prevent the secret data or algorithms used in the authentication process from being spied on, it is already known to limit the number of authentication attempts by a misuse payer. The incorrect operator payer is incremented with each authentication attempt and reset when the authentication attempt is successful. If the incorrect operator pays a threshold value, no further authentication attempts are permitted.
  • DE 43 39460 CI discloses a challenge-and-response method for authentication, which is carried out in the context of charging a value memory of a portable data carrier.
  • a lock is set up in the data carrier, which can only be released by changing an error counter status. Then the error counter status is changed and the lock is released.
  • authentication parameters are determined both in the terminal and in the data carrier and in the data carrier ger compared with each other. If there is a match, the blocking device is deactivated, so that the value memory can be recharged and the error counter can be reset.
  • the object of the invention is to further increase the security standard for portable data carriers and, in particular, to restrict the unauthorized access to cryptographic functions.
  • the invention is based on a method for protecting a portable data carrier, wherein an operator error payer is provided, by means of which the number of calls to an action of the data carrier is recorded and an execution of the action is only permitted if the operator error number is below a predefinable threshold value lies.
  • the invention makes use of the knowledge that actions are usually also carried out from a portable data carrier that cannot be secured directly with a misuse payer in the usual way, but that if carried out any number of times, there is still the risk of Disclosure of secret data or algorithms exists.
  • This stems from the fact that, in the conventional sense, the use of an incorrectly operated payer only comes into question when the data are checked for correctness when they are carried out. Depending on the result of the check, the operator error payer incremented each time the action is called is reset or not.
  • the actions secured in the conventional way with a misuse payer are generally particularly critical with regard to potential spying because it depends on them, for example, how to continue using the application or access to data.
  • the operator error payer is assigned to several actions of the data carrier by incrementing the operator error counter when a first action is called and resetting the operator error counter when a second action is successfully carried out. This has the advantage that any actions on the data carrier can be secured with a wrong operator payer against continually repeated calls. It is particularly advantageous that no change in the specification is required for the use of the invention with a data carrier.
  • the first action and the second action can be integrated into a sequence, so that when the data carrier is operated correctly, the second action is always carried out when the first action is carried out. This ensures that if the data carrier is operated correctly after incrementing the operator error payer, there is always the possibility of resetting the operator error counter. At least one further action can be carried out between the first action and the second action. This has the advantage that the further action can also be secured with the incorrect operator payer.
  • the operator error payer is preferably incremented at the beginning of the first action. The incrementation can take place immediately before or immediately after the check.
  • the method according to the invention is used to secure first actions which are designed such that secret data are processed and / or secret algorithms are used when they are carried out.
  • the first action can consist, for example, of generating a random number, encrypting a character string, calculating a checksum or generating a digital signature.
  • the first action is usually designed so that when it is carried out the data carrier does not check whether there is authorized use of the data carrier.
  • the second action is usually designed so that when it is carried out, information transmitted to the data carrier is checked and the operator who pays the operator is reset if the check is successful.
  • the invention is explained below with reference to the embodiments shown in the drawing.
  • the exemplary embodiments each relate to an application situation in which commands are transmitted from a terminal to a portable data carrier.
  • the disk ger which can be designed as a chip card, for example, processes the commands and, if necessary, transmits a result to the terminal.
  • the execution of commands which are critical in this respect is secured by the method according to the invention by a misuse payer. This is illustrated using some typical command sequences.
  • Fig. 2 is a flowchart for a further command sequence, which is also secured with the inventive method and
  • Fig. 3 is a flow chart for yet another command sequence, which in turn is secured with the inventive method.
  • FIG. 1 shows a flowchart which is used to explain the protection of a command which is referred to as INTERNAL AUTHENTICATE.
  • the data carrier encrypts a random number or a character string, which the terminal transmits to it as plain text for this purpose, and outputs the result of the encryption to the terminal.
  • a potential attacker could have this command executed on the data carrier and thereby determine the encrypted text associated with a given plain text.
  • the determined encrypted text may draw conclusions about the encryption method and the key used. The chances of success of such an attack depend, among other things, on the strength of the encryption method, the key length used and the number of calls to the command. With the procedure explained below, the number of calls to the command can be limited to a few, so that the described attack is almost hopeless even with a relatively weak encryption method and a short key.
  • step S1 The flow of the flow chart begins with a step S1, which is executed first when the INTERNAL AUTHENTICATE command is called and in which a query is made as to whether the operator error number FBZ is less than a predeterminable threshold value MAX. If this condition is not met, the flow of the flow chart is finished, i. H. neither the encryption provided by the INTERNAL AUTHENTICATE command nor any other flowchart commands are executed. If the query in step S1 is fulfilled, i. H. if the operator error counter FBZ is less than the threshold MAX, step S1 is followed by a step S2 in which the operator error number FBZ is incremented. Then comes one
  • Step S3 in which the actual processing of the INTERNAL AUTHENTICATE command is carried out, d. H. encryption takes place in particular.
  • the affiliation of steps S1, S2 and S3 to the command INTERNAL AUTHENTICATE is illustrated by a dashed frame.
  • Step S3 is followed by step S4, in which a command labeled INITIALIZE is executed.
  • This command performs initializations, the details of which are for the invention are not relevant.
  • Step S4 is followed by step S5 with the execution of a PURCHASE command, in which a payment transaction is carried out with the data carrier within an exchange application.
  • the execution of the PURCHASE command also includes a step S6 and a step S7.
  • step S6 which immediately follows step S5
  • a query is made as to whether the execution of the PURCHASE command in step S5 was successful. If this is the case, step S7 is carried out next, in which the operator error counter FBZ is reset.
  • the execution of the flowchart ends with the execution of step S7. If the query of step S6 is not fulfilled, the flowchart is ended without resetting the operator error counter FBZ.
  • FIG. 2 shows a flow diagram for a further command sequence, in which the command INTERNAL AUTHENTICATE is again secured.
  • This command sequence is characterized in that the reset of the operator error operator FBZ is carried out as part of a PIN check, in which it is determined whether a secret number has been entered correctly.
  • the statements relating to FIG. 1 apply correspondingly to this command sequence and the process sequence is also designed analogously.
  • Steps S8, S9 and S10 follow one another in this order and are identical to steps S1, S2 and S3 in FIG. 1.
  • Step S10 is followed by a step S11 in which the PIN check is carried out.
  • a query is made as to whether the PIN check was successful.
  • the operating error counter FBZ is then reset in a step S13 and the flow of the flow chart is ended. Otherwise, the flow of the flow chart is ended without resetting the error condition counter FBZ.
  • the affiliation of steps S8, S9 and S10 to the INTERNAL AUTHENTICATE command and steps S11, S12 and S13 for PIN checking are each represented by a dashed frame.
  • step S14 shows a flowchart for yet another command sequence, a GET CHALLENGE command being saved.
  • a random number of data carriers is generated, for example, using a cryptographic algorithm.
  • the generation procedure is to be protected against any number of calls.
  • the statements relating to FIG. 1 also apply in a corresponding manner to the command sequence of FIG. 3.
  • step S16 represents the actual execution of the GET CHALLENGE command, ie the generation of the random number.
  • Step S16 is followed by a step S17 in which a command is executed for which it can be checked by the data carrier whether the execution was authorized. Which command it is in detail is of secondary importance.
  • step S18 it is checked whether the command has been executed successfully, ie whether the required authorization was present. The authorization is generally checked on the basis of information transmitted to the data carrier. If the check is positive, step S19 follows in which the operator error counter FBZ is reset. This completes the flow chart. If the check in step S18 shows that the command was not successfully carried out, the flow of the flow chart is ended without resetting the error counter FBZ.
  • commands can be secured against being called up, but also, for example, a CALCULATE MAC command, in which a checksum is calculated or a SIGN command, in which a digital signature is created, etc.
  • the checking and incrementing the operator error counter FBZ preferably takes place before the actual execution of the command, in order to make possible manipulations as difficult as possible.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Schutz eines tragbaren Datenträgers, wobei ein Fehlbedienungszähler (FBZ) vorgesehen ist, mit dem die Anzahl der Aufrufe einer Aktion des Datenträgers erfasst wird und wobei eine Durchführung der Aktion nur dann zugelassen wird, wenn der Fehlbedienungszähler (FBZ) unterhalb eines vorgebbaren Schwellwerts (MAX) liegt. Das erfindungsgemässe Verfahren zeichnet sich dadurch aus, dass der Fehlbedienungszähler (FBZ) mehreren Aktionen des Datenträgers zugeordnet wird, indem ein Inkrementieren des Fehlbedienungszählers (FBZ) bei einem Aufruf einer ersten Aktion und ein Rücksetzen des Fehlbedienungszählers (FBZ) bei einer erfolgreichen Durchführung einer zweiten Aktion erfolgt.

Description

Verfahren zum Schutz eines tragbaren Datenträgers
Die Erfindung betrifft ein Verfahren zum Schutz eines tragbaren Datenträgers gemäß dem Oberbegriff des Anspruchs 1.
In tragbaren Datenträgern sind häufig geheime Daten gespeichert und/ oder geheime Algorithmen implementiert. Diese können beispielsweise dazu verwendet werden, den Datenträger gegenüber einem Endgerät als echt auszuweisen, d. h. eine Authentifizierung des Datenträgers durchzuführen. Weiterhin werden die geheimen Daten bzw. die geheimen Algorithmen für eine Authentifizierung des Endgeräts durch den Datenträger benötigt. Schließlich können die geheimen Daten bzw. Algorithmen zur Prüfung einer Geheimzahl oder eines biometrischen Merkmals herangezogen werden, um festzustellen, ob ein Benutzer zur Verwendung des Datenträgers berechtigt ist, d. h. es wird eine Authentifizierung des Benutzers durchgeführt. Um ein Ausspähen der beim Authentifizierungsvorgang eingesetzten geheimen Daten oder Algorithmen zu verhindern, ist es bereits bekannt, die Anzahl der Authentifizierungsversuche durch einen Fehlbedienungszahler zu begrenzen. Der Fehlbedienungszahler wird bei jedem Authentifizierungsversuch inkrementiert und bei einem erfolgreichen Authentifizierungsversuch zurückgesetzt. Überschreitet der Fehlbedienungszahler einen Schwellwert, so wird kein weiterer Authentifizierungsversuch mehr zugelassen.
Aus der DE 43 39460 CI ist ein Challenge-and-Response- Verfahren zur Au- thentifizierung bekannt, die im Rahmen einer Aufladung eines Wertespeichers eines tragbaren Datenträgers durchgeführt wird. Dabei wird im Datenträger eine Sperre eingerichtet, die nur durch Verändern eines Fehlerzähler- standes aufgehoben werden kann. Danach wird der Fehlerzählerstand geändert und damit die Sperre aufgehoben. Mittels einer Zufallszahl eines End- geräts und mittels geheimer Schlüsseldaten werden sowohl im Endgerät als auch im Datenträger Authentifikationsparameter ermittelt und im Datenträ- ger miteinander verglichen. Bei einer Übereinstimmung wird die Sperrvorrichtung deaktiviert, so dass der Wertespeicher wieder aufladbar ist und der Fehlerzähler rücksetzbar ist.
Der Erfindung liegt die Aufgabe zugrunde, den Sicherheitsstandard bei tragbaren Datenträgern weiter zu erhöhen und insbesondere den unbefugten Aufruf von kryptographischen Funktionen einzuschränken.
Diese Aufgabe wird durch ein Verfahren mit der Merkmalskombination des Anspruchs 1 gelöst.
Die Erfindung geht aus von einem Verfahren zum Schutz eines tragbaren Datenträgers, wobei ein Fehlbedienungszahler vorgesehen ist, mit dem die Anzahl der Aufrufe einer Aktion des Datenträgers erf asst wird und wobei eine Durchführung der Aktion nur dann zugelassen wird, wenn der Fehlbedienungszahler unterhalb eines vorgebbaren Schwellwerts liegt.
Weiterhin wird bei der Erfindung von der Erkenntnis Gebrauch gemacht, dass von einem tragbaren Datenträger in der Regel auch Aktionen durchge- führt werden, die nicht auf die übliche Weise direkt mit einem Fehlbedienungszahler abgesichert werden können, bei deren beliebig häufiger Ausführung aber dennoch die Gefahr einer Preisgabe geheimer Daten oder Algorithmen besteht. Dies rührt daher, dass für den Einsatz eines Fehlbedienungszahlers im herkömmlichen Sinn nur Aktionen in Frage kommen, bei deren Durchführung Daten auf ihre Korrektheit geprüft werden. Abhängig vom Ergebnis der Prüfung wird der bei jedem Aufruf der Aktion inkremen- tierte Fehlbedienungszahler zurückgesetzt oder nicht. Die auf herkömmliche Weise mit einem Fehlbedienungszahler abgesicherten Aktionen sind zwar in der Regel besonders kritisch im Hinblick auf ein potentielles Ausspähen, da von ihnen beispielsweise die weitere Durchführung der Anwendung oder der Zugriff auf Daten abhängt. Es sind aber keineswegs die einzigen Aktio- - nen, bei deren Ausführung geheime Daten oder Algorithmen potentiell ausgespäht werden können, da auch bei anderen Aktionen, die nicht auf her- kömmliche Weise mit einem Fehlbedienungszahler abgesichert werden können, beispielsweise Zufallszahlen erzeugt oder Verschlüsselungen von Informationen durchgeführt werden. Bei einer beliebig häufigen Wiederholung dieser ungesicherten Aktionen könnte beispielsweise versucht werden, Rückschlüsse auf die verwendeten Prozeduren zur Generierung der Zufalls- zahlen oder auf die verwendeten Schlüssel bzw. Verschlüsselungsalgorithmen zu ziehen. Um dies zu verhindern, wird der Fehlbedienungszahler erfindungsgemäß mehreren Aktionen des Datenträgers zugeordnet, indem ein Inkrementieren des Fehlbedienungszahlers bei einem Aufruf einer ersten Aktion und ein Rücksetzen des Fehlbedienungszahlers bei einer erf olgrei- chen Durchführung einer zweiten Aktion erfolgt. Dies hat den Vorteil, dass sich beliebige Aktionen des Datenträgers mit einem Fehlbedienungszahler gegen f ortwährend wiederholtes Aufrufen absichern lassen. Dabei ist es insbesondere vorteilhaft, dass für den Einsatz der Erfindung bei einem Datenträger keine Veränderung der Spezifikation erforderlich ist.
Beim erfindungsgemäß en Verfahren können die erste Aktion und die zweite Aktion in eine Sequenz eingebunden sein, so dass bei einem ordnungsgemäßen Betrieb des Datenträgers bei einer Ausführung der ersten Aktion stets auch die zweite Aktion ausgeführt wird. Dadurch wird sichergestellt, dass bei einem ordnungsgemäßen Betrieb des Datenträgers nach einem Inkrementieren des Fehlbedienungszahlers stets die Möglichkeit besteht, den Fehlbedienungszahler zurückzusetzen. Zwischen der ersten Aktion und der zweiten Aktion kann wenigstens eine weitere Aktion ausgeführt werden. Dies hat den Vorteil, dass die weitere Aktion ebenfalls mit dem Fehlbedienungszahler abgesichert werden kann.
In einem bevorzugten Ausführungsbeispiel wird zu Beginn der ersten Akti- on überprüft, ob der Fehlbedienungszahler unterhalb eines Schwellwerts liegt und eine Durchführung der ersten Aktion nur dann zugelassen, wenn die Überprüfung ein positives Ergebnis liefert. Weiterhin wird der Fehlbedienungszahler vorzugsweise zu Beginn der ersten Aktion inkrementiert. Die Inkrementierung kann dabei unmittelbar vor oder unmittelbar nach der Überprüfung erfolgen. Die frühzeitige Ausführung dieser Sicherheitsmaßnahmen ermöglicht einen besonders guten Schutz vor Manipulationen.
Mit dem erfindungsgemäßen Verfahren werden insbesondere erste Aktionen abgesichert, die so ausgebildet sind, dass bei deren Durchführung geheime Daten verarbeitet und/ oder geheime Algorithmen angewendet werden. Die erste Aktion kann beispielsweise in einer Erzeugung einer Zufallszahl, einer Verschlüsselung einer Zeichenfolge, einer Berechnung einer Prüfsumme oder einer Erzeugung einer digitalen Signatur bestehen. Dabei ist die erste Aktion in der Regel so ausgebildet, dass bei deren Durchführung vom Da- tenträger nicht geprüft wird, ob eine autorisierte Benutzung des Datenträgers vorliegt. Die zweite Aktion ist dagegen in der Regel so ausgebildet, dass bei deren Durchführung eine dem Datenträger übermittelte Information geprüft wird und der Fehlbedienungszahler zurückgesetzt wird, wenn die Prüfung erfolgreich verläuft.
Die Erfindung wird im folgenden anhand der in der Zeichnung dargestellten Ausführungsbeispiele näher erläutert. Die Ausführungsbeispiele beziehen sich jeweils auf eine Anwendungssituation, bei der einem tragbaren Datenträger von einem Endgerät Kommandos übermittelt werden. Der Datenträ- ger, der beispielsweise als Chipkarte ausgebildet sein kann, arbeitet die Kommandos ab und übermittelt gegebenenfalls ein Ergebnis an das Endgerät. Um ein Ausspähen der bei der Abarbeitung der Kommandos eingesetzten Daten und/ oder Algorithmen zu verhindern, wird die Ausführung von in dieser Hinsicht kritischen Kommandos mittels des erfindungsgemäßen Verfahrens durch einen Fehlbedienungszahler abgesichert. Dies wird an Hand einiger typischer Kommandosequenzen beispielhaft erläutert.
Es zeigen
Fig. 1 ein Flußdiagramm für eine Kommandosequenz, die mit dem erfindungsgemäßen Verfahren abgesichert wird,
Fig. 2 ein Flußdiagramm für eine weitere Kommandosequenz, die ebenfalls mit dem erfindungsgemäßen Verfahren abgesichert wird und
Fig. 3 ein Flußdiagramm für eine nochmals andere Kommandosequenz, die wiederum mit dem erfindungsgemäßen Verfahren abgesichert wird.
In Fig. 1 ist ein Flußdiagramm dargestellt, anhand dessen die Absicherung eines Kommandos erläutert wird, das als INTERNAL AUTHENTICATE bezeichnet wird. Bei der Durchführung dieses Kommandos verschlüsselt der Datenträger eine Zufallszahl oder eine Zeichenfolge, die ihm zu diesem Zweck vom Endgerät als Klartext übermittelt wurde, und gibt das Ergebnis der Verschlüsselung an das Endgerät aus. Ein potentieller Angreifer könnte dem Datenträger dieses Kommando ausführen lassen und dadurch den zu einem vorgegebenen Klartext zugehörigen verschlüsselten Text ermitteln. Durch eine fortwährende Ausführung des Kommandos mit einer systematischen Variation des Klartextes ließen sich aus dem jeweils ermittelten ver- schlüsselten Text möglicherweise Rückschlüsse auf das Verschlüsselungsverfahren und den verwendeten Schlüssel ziehen. Wie groß die Erfolgsaussichten eines derartigen Angriffs sind, hängt unter anderem von der Stärke des Verschlüsselungsverfahrens, von der verwendeten Schlüssellänge und von der Anzahl der Aufrufe des Kommandos ab. Mit der im folgenden erläuterten Vorgehensweise kann die Anzahl der Aufrufe des Kommandos auf einige wenige begrenzt werden, so dass der geschilderte Angriff auch bei einem relativ schwachen Verschlüsselungsverfahren und einem kurzen Schlüssel nahezu aussichtslos ist.
Der Durchlauf des Flußdiagramms beginnt mit einem Schritt Sl, der bei einem Aufruf des Befehls INTERNAL AUTHENTICATE als erstes ausgeführt wird und bei dem abgefragt wird, ob der Fehlbedienungszahler FBZ kleiner als ein vorgebbarer Schwellwert MAX ist. Falls diese Bedingung nicht erfüllt ist, ist der Durchlauf des Flußdiagramms beendet, d. h. es werden weder die beim Befehl INTERNAL AUTHENTICATE vorgesehene Verschlüsselung noch irgendwelche anderen Befehle des Flußdiagramms ausgeführt. Falls die Abfrage im Schritt Sl erfüllt ist, d. h. der Fehlbedienungszahler FBZ kleiner als der Schwellwert MAX ist, schließt sich an Schritt Sl ein Schritt S2 an, bei dem der Fehlbedienungszahler FBZ inkrementiert wird. Danach folgt ein
Schritt S3, bei dem die eigentliche Abarbeitung des Kommandos INTERNAL AUTHENTICATE durchgeführt wird, d. h. insbesondere die Verschlüsselung erfolgt. Die Zugehörigkeit der Schritte Sl, S2 und S3 zu dem Kommando INTERNAL AUTHENTICATE wird durch eine gestrichelt dargestellte Umrahmung veranschaulicht.
An Schritt S3 schließt sich ein Schritt S4 an, in dem ein mit INITIALISE bezeichnetes Kommando ausgeführt wird. Bei diesem Kommando werden Initialisierungen durchgeführt, wobei die Details hierzu für die Erfindung nicht relevant sind. Auf Schritt S4 folgt mit einem Schritt S5 die Ausführung eines Kommandos PURCHASE, bei dem mit dem Datenträger ein Zahlungsvorgang innerhalb einer Börsenanwendung durchgeführt wird. Wie durch eine gestrichelte Umrahmung angedeutet ist, schließt die Ausführung des Kommandos PURCHASE auch einen Schritt S6 und einen Schritt S7 mit ein. Im Schritt S6, der unmittelbar auf Schritt S5 folgt, wird abgefragt , ob die Durchführung des Kommandos PURCHASE gemäß Schritt S5 erfolgreich verlaufen ist. Falls dies der Fall ist, wird als nächstes der Schritt S7 ausgeführt, bei dem der Fehlbedienungszahler FBZ zurückgesetzt wird. Mit der Ausführung des Schrittes S7 ist der Durchlauf des Flußdiagramms beendet. Ist die Abfrage des Schrittes S6 nicht erfüllt, so wird der Durchlauf des Flußdiagramms ohne Rücksetzung des Fehlbedienungszahlers FBZ beendet.
Insgesamt ergibt sich somit, dass eine Ausführung des Kommandos INTERNAL AUTHENTICATE nur dann möglich ist, wenn der Fehlbedienungszahler FBZ noch nicht den Schwellwert MAX erreicht hat und dass der Fehlbedienungszahler FBZ bei jeder Ausführung des Kommandos inkrementiert wird. Ein Rücksetzen des Fehlbedienungszahlers FBZ erfolgt nur dann, wenn das Kommando PURCHASE gemäß Schritt S5 erfolgreich ausgeführt wurde, so dass ohne eine erfolgreiche Ausführung des Kommandos
PURCHASE die Anzahl der Ausführungen des Kommandos INTERNAL AUTHENTICATE auf Werte unterhalb des Schwellwerts MAX begrenzt wird. Alternativ zur Darstellung der Fig. 1 ist es auch möglich, das Rücksetzen des Fehlbedienungszahler FBZ an eine erfolgreiche Ausführung des Kommandos INITIALISE zu knüpfen.
Fig. 2 zeigt ein Flußdiagramm für eine weitere Kommandosequenz, bei der wiederum das Kommando INTERNAL AUTHENTICATE abgesichert wird. Diese Kommandosequenz zeichnet sich dadurch aus, dass die Rücksetzung des Fehlbedienungszahlers FBZ im Rahmen einer PIN-Prüfung erfolgt, bei der ermittelt wird, ob eine Geheimzahl richtig eingegeben wurde. Die Ausführungen zu Fig. 1 gelten für diese Kommandosequenz entsprechend und auch der Verfahrensablauf ist analog ausgebildet. Die Schritte S8, S9 und S10 folgen in dieser Reihenfolge aufeinander und stimmen identisch mit dem Schritten Sl, S2 und S3 der Fig. 1 überein. An Schritt S10 schließt sich ein Schritt Sll an, in dem die PIN-Prüfung durchgeführt wird. In einem darauffolgenden Schritt S12 wird abgefragt, ob die PIN-Prüfung erfolgreich verlief. Wenn dies der Fall ist, wird anschließend in einem Schritt S13 der Fehlbe- dienungszähler FBZ zurückgesetzt und der Durchlauf des Flußdiagramms ist beendet. Andernfalls wird der Durchlauf des Flußdiagramms ohne Zurücksetzen des Fehlbedingungszählers FBZ beendet. Bei diesem Ausführungsbeispiel ist die Zugehörigkeit der Schritte S8, S9 und S10 zum Kommando INTERNAL AUTHENTICATE sowie der Schritte Sll, S12 und S13 zur PIN-Prüfung jeweils durch eine gestrichelte Umrahmung dargestellt.
Fig. 3 zeigt ein Flußdiagramm für eine nochmals andere Kommandosequenz, wobei ein Kommando GET CHALLENGE abgesichert wird. Bei diesem Kommando wird eine Zufallszahl von Datenträger beispielsweise mit einem Kryptoalgorithmus erzeugt. Durch die Anwendung des erfindungsgemäßen Verfahrens soll die Generierungsprozedur gegen beliebig viele Aufrufe geschützt werden. Auch für die Kommandosequenz der Fig. 3 haben die Ausführungen zu Fig. 1 in entsprechender Weise Gültigkeit. Gemäß dem Flußdiagramm der Fig. 3 wird zunächst ein Schritt S14 und dann ein Schritt S15 ausgeführt, die den Schritten Sl und S2 der Fig. 1 identisch entsprechen. Auf Schritt S15 folgt ein Schritt S16, der die eigentliche Durchführung des Kommandos GET CHALLENGE repräsentiert, d. h. die Erzeugung der Zufallszahl. Durch eine gestrichelte Umrahmung ist verdeutlicht, dass die Schritte S14, S15 und S16 dem Kommando GET CHALLENGE zuzuordnen sind. An Schritt S16 schließt sich ein Schritt S17 an, in dem ein Kommando ausgeführt wird, für das sich durch den Datenträger nachprüfen lässt, ob die Ausführung autorisiert war. Um welches Kommando es sich dabei im einzelnen handelt, ist zweitrangig. Als nächstes wird in einem Schritt S18 geprüft, ob das Kommando erfolgreich ausgeführt wurde, d. h. ob die erforderliche Autorisierung vorlag. Die Autorisierung wird in der Regel anhand einer dem Datenträger übermittelten Information überprüft. Falls die Prüfung positiv verläuft, schließt sich ein Schritt S19 an, bei dem der Fehlbedienungszahler FBZ zurückgesetzt wird. Damit ist der Durchlauf des Flußdiagramms been- det. Ergibt die Prüfung in Schritt S18, dass das Kommando nicht erfolgreich durchgeführt wurde, wird der Durchlauf des Flußdiagramms ohne Rücksetzung des Fehlerzählers FBZ beendet.
Mit dem erfindungsgemäßen Verfahren lassen sich nicht nur die explizit ge- nannten Kommandos gegen ein beliebiges Aufrufen absichern, sondern beispielsweise auch ein Kommando CALCULATE MAC, bei dem eine Prüfsumme berechnet wird oder ein Kommando SIGN, bei dem eine digitale Signatur erstellt wird usw. Das Prüfen und Inkrementieren des Fehlbedienungszahlers FBZ findet dabei jeweils bevorzugt vor der eigentlichen Aus- führüng des Kommandos statt, um potentielle Manipulationen möglichst zu erschweren.
Seitens des Endgeräts sind für den Einsatz des erfindungsgemäßen Verfahrens keine Änderungen erforderlich, d. h. es können unverändert die übli- chen Kommandos an den Datenträger übermittelt werden. Beim Einsatz des erfindungsgemäßen Verfahrens ändert sich lediglich die interne Abarbeitung der Kommandos im Datenträger.

Claims

P a t e n t a n s p r ü c h e
1. Verfahren zum Schutz eines tragbaren Datenträgers, wobei ein Fehl- bedienungszähler (FBZ) vorgesehen ist, mit dem die Anzahl der Aufrufe einer Aktion des Datenträgers erfasst wird und wobei eine Durchführung der Aktion nur dann zugelassen wird, wenn der Fehlbedienungszahler (FBZ) unterhalb eines vorgebbaren Schwellwerts (MAX) liegt, dadurch gekennzeichnet, dass der Fehlbedienungszahler (FBZ) mehreren Aktionen des Datenträgers zugeordnet wird, indem ein Inkrementieren des Fehlbedienungszahlers (FBZ) bei einem Aufruf einer ersten Aktion und ein Rücksetzen des Fehlbedienungszahlers (FBZ) bei einer erfolgreichen Durchführung einer zweiten Aktion erfolgt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erste Aktion und die zweite Aktion in eine Sequenz eingebunden sind, so dass bei einem ordnungsgemäßen Betrieb des Datenträgers bei einer Ausführung der ersten Aktion stets auch die zweite Aktion ausge- führt wird.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zwischen der ersten und der zweiten Aktion wenigstens eine weitere Aktion ausgeführt wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zu Beginn der ersten Aktion überprüft wird, ob der Fehlbedienungszahler (FBZ) unterhalb des Schwellwerts (MAX) liegt und eine Durchführung der ersten Aktion nur dann zugelassen wird, wenn die Überprüfung ein positives Ergebnis liefert.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Fehlbedienungszahler (FBZ) zu Beginn der ersten Aktion inkrementiert wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Durchführung der ersten Aktion geheime Daten verarbeitet und/ oder geheime Algorithmen angewendet werden.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Aktion in einer Erzeugung einer Zufallszahl, einer Verschlüsselung einer Zeichenfolge, einer Berechnung einer Prüf summe oder einer Erzeugung einer digitalen Signatur besteht.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Durchführung der ersten Aktion vom Datenträger nicht geprüft wird, ob eine autorisierte Benutzung des Datenträgers vorliegt.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Durchführung der zweiten Aktion eine dem Datenträger übermittelte Information geprüft wird und der Fehlbedienungszahler (FBZ) zurückgesetzt wird, wenn die Prüfung erfolgreich verläuft.
PCT/EP2003/012249 2002-11-04 2003-11-03 Verfahren zum schutz eines tragbaren datenträgers WO2004046897A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
AU2003282079A AU2003282079A1 (en) 2002-11-04 2003-11-03 Method for the protection of a portable data carrier
EP03773695A EP1563360A1 (de) 2002-11-04 2003-11-03 Verfahren zum schutz eines tragbaren datentr gers

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE2002151265 DE10251265A1 (de) 2002-11-04 2002-11-04 Verfahren zum Schutz eines tragbaren Datenträgers
DE10251265.5 2002-11-04

Publications (1)

Publication Number Publication Date
WO2004046897A1 true WO2004046897A1 (de) 2004-06-03

Family

ID=32103299

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2003/012249 WO2004046897A1 (de) 2002-11-04 2003-11-03 Verfahren zum schutz eines tragbaren datenträgers

Country Status (4)

Country Link
EP (1) EP1563360A1 (de)
AU (1) AU2003282079A1 (de)
DE (1) DE10251265A1 (de)
WO (1) WO2004046897A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008027456A1 (de) 2008-06-09 2009-12-10 Giesecke & Devrient Gmbh Verfahren zum Schutz eines tragbaren Datenträgers

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006061338A1 (de) * 2006-12-22 2008-06-26 Giesecke & Devrient Gmbh Authentisierung portabler Datenträger

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0570924A2 (de) * 1992-05-20 1993-11-24 Siemens Aktiengesellschaft Verfahren zur Authentifizierung eines Systemteiles durch einen anderen Systemteil in einem Informationsübertragungssystem bestehend aus einem Terminal und einer tragbaren Datenträgeranordnung
DE4339460C1 (de) * 1993-11-19 1995-04-06 Siemens Ag Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines Informationsübertragungssystems nach dem Challenge-and Response-Prinzip
EP0973134A1 (de) * 1998-07-17 2000-01-19 International Business Machines Corporation System und Verfahren zum Schützen von geheimen Informationen gegen analytische Spionage
WO2000030049A1 (fr) * 1998-11-18 2000-05-25 Gemplus Procede de controle d'utilisation d'une carte a puce

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0570924A2 (de) * 1992-05-20 1993-11-24 Siemens Aktiengesellschaft Verfahren zur Authentifizierung eines Systemteiles durch einen anderen Systemteil in einem Informationsübertragungssystem bestehend aus einem Terminal und einer tragbaren Datenträgeranordnung
DE4339460C1 (de) * 1993-11-19 1995-04-06 Siemens Ag Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines Informationsübertragungssystems nach dem Challenge-and Response-Prinzip
EP0973134A1 (de) * 1998-07-17 2000-01-19 International Business Machines Corporation System und Verfahren zum Schützen von geheimen Informationen gegen analytische Spionage
WO2000030049A1 (fr) * 1998-11-18 2000-05-25 Gemplus Procede de controle d'utilisation d'une carte a puce

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008027456A1 (de) 2008-06-09 2009-12-10 Giesecke & Devrient Gmbh Verfahren zum Schutz eines tragbaren Datenträgers

Also Published As

Publication number Publication date
EP1563360A1 (de) 2005-08-17
DE10251265A1 (de) 2004-05-13
AU2003282079A1 (en) 2004-06-15

Similar Documents

Publication Publication Date Title
EP2215609B1 (de) Verfahren zum freischalten einer chipkartenfunktion mittels fernüberprüfung
DE69031889T2 (de) Verfahren zur Erzeugung einer einmaligen Zahl für eine Mikroschaltungskarte und Verwendung derselben zur Zusammenarbeit der Karte mit einem Wirtssystem
EP1326469B1 (de) Verfahren und Anordnung zur Überprüfung der Authentizität eines Dienstanbieters in einem Kommunikationsnetz
DE69616960T2 (de) Verfahren zum Durchführen einer gegenseitigen Authentifizierung
DE102012110499B4 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
EP0654919A2 (de) Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines Informationsübertragungssystems nach dem Challenge-and-Response-Prinzip
WO2011054462A1 (de) Verfahren zur sicheren interaktion mit einem sicherheitselement
EP2126858B1 (de) Chipkarte und verfahren zur freischaltung einer chipkarten-funktion
DE102007041370B4 (de) Chipkarte, elektronisches Gerät, Verfahren zur Herstellung einer Chipkarte und Verfahren zur Inbenutzungnahme einer Chipkarte
WO2004046897A1 (de) Verfahren zum schutz eines tragbaren datenträgers
EP1912184A2 (de) Vorrichtung und Verfahren zur Erzeugung von Daten
WO2008046733A1 (de) Verfahren zum freischalten einer chipkarte
DE19818998B4 (de) Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlüssel einer Chipkarte
EP1116358A1 (de) Verfahren zur authentifikation zumindest eines teilnehmers bei einem datenaustausch
WO2020057938A1 (de) Verfahren für eine sichere kommunikation in einem kommunikationsnetzwerk mit einer vielzahl von einheiten mit unterschiedlichen sicherheitsniveaus
EP3903440B1 (de) Verfahren zum betreiben von im zähler-modus betriebenen schlüsselstromgeneratoren zur sicheren datenübertragung, schlüsselstromgenerator mit zähler-modus-betrieb zur sicheren datenübertragung und computer-programm-produkt zur schlüsselstromerzeugung
DE102009014919A1 (de) Verfahren und Vorrichtung zum Authentifizieren eines Benutzers
EP2734984B1 (de) Verfahren zum schutz eines chipkarten-terminals gegen unberechtigte benutzung
EP1054364A2 (de) Verfahren zur Erhöhung der Sicherheit bei digitalen Unterschriften
WO2023072423A1 (de) Autorisieren einer anwendung auf einem sicherheitselement
EP2230648A1 (de) Einmalkennwortmaske zum Ableiten eines Einmalkennworts
EP2834767B1 (de) Computersystem sowie verfahren zum sicheren booten eines computersystems
EP1714203A1 (de) System mit wenigstens einem computer und wenigstens einem tragbaren datenträger
WO2018103791A1 (de) Chipimplantat mit zweifaktorauthentifizierung
EP1715617A2 (de) Verfahren zum Betreiben eines Systems mit einem tragbaren Datenträger und einem Endgerät

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2003773695

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2003773695

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP