WO2006089710A1 - Sicherheitsmodul - Google Patents

Sicherheitsmodul Download PDF

Info

Publication number
WO2006089710A1
WO2006089710A1 PCT/EP2006/001551 EP2006001551W WO2006089710A1 WO 2006089710 A1 WO2006089710 A1 WO 2006089710A1 EP 2006001551 W EP2006001551 W EP 2006001551W WO 2006089710 A1 WO2006089710 A1 WO 2006089710A1
Authority
WO
WIPO (PCT)
Prior art keywords
security module
interface
data
computer
input data
Prior art date
Application number
PCT/EP2006/001551
Other languages
English (en)
French (fr)
Inventor
Ullrich Martini
Kolja Vogel
Stephan Beinlich
Thomas Stocker
Georg Kramposthuber
Gunnar Schlaich
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Publication of WO2006089710A1 publication Critical patent/WO2006089710A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/83Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Definitions

  • the invention relates generally to the field of security of electronic systems, and more particularly to the field of spyware protection. More particularly, the invention relates to a security module, system and method that enable secure data entry and processing.
  • Smart card-like devices with a keyboard and possibly a display would be suitable for secure data entry, but are relatively complex and expensive.
  • the costs for the keyboard and the display also cause the necessary measures for tamper protection extra effort.
  • card readers for connection to conventional computers are known.
  • Such card readers are usually designed in a compact design with a slot for inserting the chip card.
  • the card readers do not have their own operating or display elements; rather, the keyboard and the screen of the computer connected to the card reader are used.
  • the computer forwards keystrokes of the user to the card reader - and the smart card inserted therein - and displays outputs of the smart card on the computer screen.
  • the computer is not necessarily as can be safely viewed.
  • a virus or worm may have modified the operating system of the computer to record and send keystrokes to an unauthorized third party. This allows secret input data, eg passwords, to be spied out.
  • the card reader just described is more expensive than ordinary card readers because of the additional features provided. Moreover, there is As with all card readers, the problem is that the required mechanical contacts can lead to malfunctions if they are soiled. Furthermore, of course, the size of the card reader must be adapted to the size of the chip card used.
  • a card reader which is connected by means of an adapter to a keyboard and a computer.
  • This card reader also has an operating mode in which keystrokes are only processed by the card reader and remain hidden from the connected computer.
  • the card reader includes a processor, a read-only memory, and a volatile random access memory; For the permanent storage of personal data, only the smart card inserted in the card reader is used.
  • DE 10224209 B4 discloses a security module designed as a chip card, which is able to communicate with a terminal via a first interface and with an authorization device via a second interface.
  • the authorization device is used to transmit a PIN (PIN) to the security module.
  • PIN PIN
  • the secret number may either be stored in the authorization device or entered into the authorization device via a keyboard of the authorization device.
  • the invention has the object to solve the above problems at least in part.
  • the invention is intended to create a particularly cost-effective technique for the secure input of confidential data.
  • this should be particularly reliable and / or can be produced in a particularly compact design.
  • this object is achieved in whole or in part by a security module having the features of claim 1, a system having the features of claim 16 and a method having the features of claim 17.
  • the dependent claims define preferred further developments of the invention.
  • the invention is based on the basic idea of providing a security module which is connected between an input device and a computer.
  • the security module forwards input data from the input device to the computer, while in a second mode of operation, the incoming input data is processed in the security module and not or at least not completely forwarded to the computer.
  • individual data that is stored permanently in a memory of the security module and that is specific to the security module and / or to a user is used.
  • the invention enables a secure and against spying by the computer protected data entry with extremely little effort.
  • the security module can be made much cheaper than a combination of smart card and card reader. Compared with such a combination, the security module according to the invention can also be manufactured in much smaller designs. Since the microcontroller of the security module according to the invention is firmly integrated in this, the security module has a high reliability and is not prone to contact disturbances.
  • an already existing input device eg a standard PC keyboard - are also used for secure data entry.
  • a "permanent" storage of the individual data is to be understood in particular as a non-volatile storage over several operating mode changes.
  • the individual data may remain unchanged throughout the lifetime of the security module or from time to time - e.g. whenever the user changes an adjustable password - to be changed.
  • the individual data are specific to the security module and / or the user according to the invention. This is e.g. then the case when the individual data uniquely identify the security module and / or the user, or even if the individual data contains a secret associated with the user - e.g. a password or biometric data - included.
  • the inventive processing of the input data in the second operating mode is characterized in that at least some of the input data - namely the input data to be kept secret - are not sent to the connected computer, and that the individual data enter into the processing.
  • the processing may include, for example, a signature generation - with a key defined by the individual data - and / or a user authentication - with a secret verifiable using the individual data or personal characteristic of the user.
  • operation mode signaling is provided to the user.
  • This can be for example an optical signaling by an indication on the security module or the connected input device.
  • a keyboard or a biometric sensor-for example a fingerprint sensor-or another device can serve as an input device in different configurations.
  • the security module is designed as a compact and / or encapsulated module.
  • the security module can be configured without its own operating elements and / or without contacts for connection to an external chip card.
  • the security module is narrower than 50 mm and preferably narrower than 30 mm.
  • At least the interface used for communication with the computer corresponds in preferred embodiments with respect to the electrical signal level and with regard to the protocols used a USB interface.
  • the mechanical design can also comply with the USB standard. However, there are also deviating mechanical configurations are provided in which attachable adapter or special connection cables are used.
  • USB in the present document means the Universal Serial Bus according to the specifications of the USB ⁇ m ⁇ lementors Forum, Inc.
  • the first interface serving to obtain the input data can also be a USB interface in one of the variants of meaning just described.
  • a radio technology for communication via the first and / or the second interface can also be used. be used.
  • this particular Bluetooth® technology is provided.
  • Another alternative interface protocol for the first and / or the second interface is PS / 2.
  • the security module is adapted to communicate with the computer via an Internet Protocol, in particular TCP / IP.
  • the security module can use the already existing second interface or have a third interface, which is specially provided for communication with the computer via the Internet protocol.
  • the method according to the invention is provided with features which correspond to the features described above and / or the features mentioned in the dependent apparatus claims.
  • FIG. 1 is a schematic view of a security module connected to an input device and a computer according to an embodiment of the invention
  • FIG. 2 is an exemplary flow chart of communication and processing operations in the embodiment of FIG. 1;
  • FIG. 3 shows a cross section through an embodiment of a security module according to the invention,
  • Fig. 4 is a plan view of the security module shown in Fig. 3, and
  • Fig. 5 is a schematic view as in Fig. 1 for a further embodiment of a security module according to the invention.
  • the system shown in FIG. 1 has a security module 10, an input device 12 and a computer 14.
  • a first channel 16 serves for data communication between the input device 12 and the security module 10.
  • the data communication between the security module 10 and the computer 14 takes place via a second channel 18.
  • the security module 10 is designed as a compact module, which has an integral or consisting of several firmly interconnected parts existing housing. In the exemplary embodiments described here, the security module 10 is not set up for communication with an external chip card and therefore has no contacts and no slot for such a chip card. Rather, the security module 10 includes a microcontroller 20, as commonly used in a smart card, as a fixed integrated component. The security module 10 can therefore also be referred to as a card token or smart token.
  • the microcontroller 20 has a plurality of regions of different functionality on a single semiconductor chip, of which in the schematic representation of FIG. 1 a processor 22 and a memory 24 are shown.
  • the memory 24 is in turn subdivided into a plurality of memory fields that are configured in different technologies. For example, you can a random access memory configured as a RAM, a read-only memory configured as a mask-programmed ROM, and a nonvolatile rewritable memory configured as an EEPROM or flash memory.
  • One operating system and several control programs are contained in read only memory 28 and partly in nonvolatile rewritable memory 30.
  • the security module 10 has also been individualized prior to being handed over to the user or in a special user session.
  • individual data 32 has been written in the non-volatile rewritable memory 30.
  • the individual data 32 are specific to the respective security module 10 and / or a user registered for this security module 10.
  • the individual data 32 uniquely identify the security module 10 and / or the user.
  • the individual data 32 may be a secret of the user - e.g. As a password or a secret number or biometric information - included. Such a secret is specific to the user, even if it does not necessarily uniquely identify the user, because possibly two users could use the same secret number.
  • the input device 12 may be, for example, a keyboard - in particular a conventional computer keyboard - or a pointing device or a biometric sensor - eg a fingerprint sensor.
  • the computer 14 is configured in the embodiment described here as a standard personal computer (PC) or workstation or other host.
  • the computer 14 is adapted to cooperate with the input device 12 and - via the intermediary of the security module 10 - to receive input data from the input device 12.
  • the input device 12 communicates via the first channel 16 with a first interface 34 of the security module 10.
  • the computer 14 communicates via the second channel 18 and a second interface 36 with the security module 10.
  • Each of the two channels 16, 18 may be configured wireless or wired.
  • the two interfaces 34, 36 are compatible with the electrical and logical characteristics of the corresponding channel 16, 18.
  • a wired channel may be used, for example, as a serial keyboard port - e.g. as a PS / 2 channel or according to the USB specifications.
  • a wireless channel 16, 18 may e.g. be designed as a Bluetooth radio link.
  • the two channels 16, 18 use the same data transmission technology, while in other embodiments, different communication technologies for the two channels 16, 18 are provided.
  • the first channel 16 may be configured in Bluetooth technology, while the second channel 18 runs via a USB cable and thus also takes over the power supply of the security module 10 by the computer 14.
  • the interfaces 34, 36 are shown only schematically. It is understood that in various embodiments, the control electronics required for one or both of these interfaces 34, 36 can either be integrated on the semiconductor chip of the microcontroller 20 or configured as at least one module separate from the microcontroller 20.
  • the security module 10 has a first and a second operating mode.
  • the security module 10 forwards input data from the input device 12 to the computer 14.
  • the second operating mode which is also referred to as a data intercepting mode, the security module 10 receives Confidential input data - eg a password or a secret number - from the input device 12 and processes this input data, without getting to the second channel 18 and the computer 14 connected thereto.
  • the computer 14 is not a trusted device because it operates under a common operating system and is therefore exposed to all types of attacks. However, the operation of the security module 10 in the data removal mode reliably prevents secret input data from reaching the computer 14. In some embodiments, all input data input in the second mode of operation is considered confidential data and hidden from the computer 14, while in other embodiments, some input data in the second mode of operation is forwarded to the computer 14 and others intercepted.
  • the input device 12 Since the input device 12, the first channel 16 and the security module 10 also process the secret input data in the data download mode, these three components must be trusted. With regard to the security module 10, technologies and methods are used which are known as such from the chip card area.
  • the input device 12 can be regarded as safe in particular if it does not have its own vulnerable operating system because of its simplicity. This is the case, for example, with commercially available PC keyboards and also with other devices that separate between data channels and control channels.
  • the first channel 16 line-bound signals can be heard only with considerable effort; if necessary, an encryption can take place. If the first channel 16 is designed as a radio transmission link, data should be transmitted thereon only encrypted, as is the case for example with the Bluetooth technology.
  • Fig. 2 illustrates the just described summary operation using an example procedure.
  • the security module 10 operates in the transparent operating mode.
  • the security module 10 forwards the input data 38 originating from the input device 12 without changing the content - at most, if necessary, with a protocol conversion between the first channel 16 and the second channel 18 - to the computer 14.
  • a change to the second operating mode takes place.
  • This change may, in some embodiments, be initiated by the computer 14 through a mode change command 42 if, for example, the computer 14 requires user authentication for further processing of an application program to be executed.
  • the mode change can also be triggered by a user action, for example by pressing a key on a predetermined key of the input device 12 or by pressing a switch, not shown, of the security module 10th
  • the security module 10 processes further input data 38 'in step 44.
  • the security module 10 therefore does not forward the secret input data 38 'to the computer 14.
  • the individual data 32 stored in the security module 10 are used, for example, to verify the entered password.
  • the security module 10 outputs corresponding result data 46 to the computer 14.
  • This result data 46 can either only indicate the fact of the successful verification or the results of further processing steps 44 - eg a signature calculated by the security module 10 in step 44 - contain.
  • the various processing operations may be performed in step 44 to obtain different types of result data 46.
  • the security module 10 does not itself verify the secret input data 38 1 , but instead only uses a key specified by the individual data 32 to route the resulting result data 46 via the computer 14 to a suitable background system ,
  • both the secret input data 38 'and the individual data 32 flow into the processing in step 44, at least in part, in order thus to achieve a two-factor authentication.
  • the security module 10 After the secret input data 38 'has been completely entered, the security module 10 reverts to the transparent operating mode in step 48, in which further non-secret input data 38 "are forwarded to the computer 14.
  • the processing of the secret input data 38' in FIG Step 44 does not necessarily have to be completed at this time, but rather time-consuming processing operations may be performed or continued even after the mode change, in which case the forwarding of the non-secret input data 38 "is done in parallel or interleave with the processing in Step 44 and, if appropriate, the output of the result data 46.
  • an optical mode indicator is provided in some embodiments.
  • the security module 10 may turn on a display of the input device 12 - eg, the NumLock display of a PC keyboard - as long as the data intercept mode is active.
  • a corresponding display can also be provided by a light-emitting diode installed in the security module 10. The user is then allowed to enter secret information only when the ad is activated.
  • a step of switching the indication of the operating mode from a signal representing the "transparent mode” to a signal representing the "data intercepting mode” is made only after the change of the operating mode to the "data intercepting mode” in step 40.
  • the security module 10 in the transparent operating mode monitors the forwarded input data 38, 38 "and switches to the data intercept mode as soon as certain data or data sequences occur provided that secret passwords are always initiated with a predetermined control sequence (eg Ctrl-AIt-P) As soon as the security module 10 recognizes corresponding character sequences in the input data 38, 38 "in these embodiments, it automatically switches to the data intercept mode.
  • a predetermined control sequence eg Ctrl-AIt-P
  • security module 10 recognizes corresponding character sequences in the input data 38, 38 "in these embodiments, it automatically switches to the data intercept mode.
  • An exemplary application of the method described herein is home banking. When the user wishes to complete a remittance form, security module 10 switches to data intercept mode. This is indicated to the user, for example, by a light-emitting diode.
  • Part of the processing of this data in step 44 is that in the security module 10, a data structure is added, which corresponds to the transfer form.
  • Input data that is not required to be kept secret - for example, the data entered in the transfer form - are also forwarded to the computer 14 in the data intercept mode and displayed to the user for checking on the screen of the computer 14.
  • the user After the remittance form is completed, the user enters his personal identification number (PIN). This secret number is not forwarded to the computer 14, but used in the security module 10 for authenticating the user on the basis of the individual data 32. If the authentication was successful, the security module 10 signs the data structure corresponding to the transfer form and sends the result data 46 thus obtained to the computer 14. The computer 14, in turn, forwards the result data 46 to a background computer of the bank. The security module 10 now changes back to the transparent operating mode; the LED display goes out.
  • PIN personal identification number
  • Another application example would be to perform steps for a local login on the computer 14 or a remote login to a remote computer.
  • the computer 14 displays a prompt. Then, the user requests a mode switch to the keyboard 12 by a predetermined keystroke on the keyboard Data interception mode on.
  • the security module 10 changes to the requested mode and then signals the user to the new mode.
  • the user authenticates himself to the security module 10, for example by entering his PIN or by means of his. Fingerprint. If the authentication of the user is successful, the security module authenticates itself to the computer.
  • the computer shares the rights associated with the user's login on the computer. A confirmation from the computer to the security module that the user's authentication to the computer (login) was successful can be used by the security module as a trigger for a change of the displayed mode and a subsequent change to the transparent mode.
  • the security module 10 has a module body 50, which, like a chip card, is approximately 0.76 mm thick and is used, for example. made of PVC or PET.
  • each of the chip modules 56, 58 contains a semiconductor chip and a plurality of contact fields, which partly form external contacts of the interfaces 34, 36 and partly internal contacts of the security module 10.
  • the chip modules 56, 58 with their contact fields can, for example, the usual size of chip cards size of about 10 mm x 10 mm to 12 mm x 12 mm have, and the width of the module body 50 and the entire security module 10 need only be slightly larger.
  • the semiconductor chip of the first chip module 56 is configured as a USB master chip 60, while the semiconductor chip of the second chip module 58 forms the microcontroller 20.
  • a light emitting diode 62 which is connected to the internal contacts of the second chip module 58, serves to indicate the operating mode.
  • Power supply of the first chip module 56 - are embedded in an upper shell 64 of the security module 10.
  • a lower shell 66 is provided, which provides additional mechanical stability of the security module 10.
  • the cups 64, 66 may e.g. be produced in a plastic injection molding process.
  • the upper shell 64 is not shown for reasons of clarity.
  • This upper shell 64 has the same outline as the lower shell 66 shown in FIG. 4. It can therefore be seen that the upper shell 64 covers exactly the two internal contact rows of the chip modules 56, 58 and the internal connection lines, while the two external contact rows, which form the two interfaces 34, 36, remain free.
  • the mechanical configuration of the two interfaces 34, 36 - corresponding to the external contact rows of the chip modules 56, 58 - differs from the specification of the USB specification.
  • two special cables are used which have at one end a socket for the contacts of the interfaces 34, 36.
  • the first cable has a USB "B” plug for connection to the input device 12, and the second cable has a USB "A” plug for connection to the computer 14.
  • suitable adapters may be used for use with standard USB cables.
  • alternative embodiments are provided in which the connection ends of the security module 10 are also designed mechanically in accordance with the USB specification, that is to say with a USB "A" socket for the interface 34 and a USB 11 B "socket for the interface 36 ,
  • Fig. 5 shows schematically a further embodiment of the invention with a security module 10 ', which is designed as an Internet-enabled chip module.
  • a security module 10 ' Via a third interface 68, e.g. a USB interface, the Internet security module 10 'is connected to the computer 14.
  • a third channel 70 for a common Internet protocol - here e.g. TCP / IP - formed.
  • the Internet security module 10 can communicate with an Internet server 74 via the computer 14 and the Internet 72.
  • the computer 14 serves only as a gateway; no special software installation is required.
  • a particularly high level of security is achieved because secure communication takes place directly between the Internet security module 10 'and the Internet server 74.
  • Internet-enabled smart cards are known as such, for example, from WO 2004/059562 A2; the contents of this document are hereby incorporated in the present text.
  • the Internet security module 10 In order to enable spy-protected authentication of the user also in the Internet security module 10 ', the technology already described in detail is used, in which the Internet security module 10' with its interfaces 34, 36 is connected between the input device 12 and the computer 14. Again, at least the two operating modes described are provided. It goes without saying that the Internet security module 10 'shown only schematically in FIG. 5 can have the features described above in specific embodiments; For example, an indication of the operating mode can be provided.
  • the second interface 36 is designed as a USB interface, which provides both the second channel 18 and the third channel 70 by means of a suitable protocol.
  • the Internet traffic can be handled via the second interface 36; the third interface 68 can then be omitted.
  • the security module may include other components, e.g. a fingerprint sensor or a camera.

Abstract

Ein Sicherheitsmodul (10) ist dazu eingerichtet, in einem ersten Betriebsmodus Eingabedaten, die an einer ersten Schnittstelle (34) eintreffen, an eine zweite Schnittstelle (36) weiterzuleiten, und in einem zweiten Betriebsmodus die an der ersten Schnittstelle (34) eintreffenden Eingabedaten unter Verwendung von dauerhaft im Sicherheitsmodul (10) gespeicherten Individualdaten (32) und ohne Weiterleitung zumindest mancher der Eingabedaten an die zweite Schnittstelle (36) zu verarbeiten. Ein System beinhaltet ein solches Sicherheitsmodul (10), ein an die erste Schnittstelle (34) angeschlossenes Eingabegerät (12) und einen an die zweite Schnittstelle (36) angeschlossenen Computer (14). Die Erfindung schafft eine kostengünstige Technik zur sicheren Eingabe von geheimzuhaltenden Daten.

Description

Sicherheitsmodul
Die Erfindung betrifft allgemein das Gebiet der Sicherheit elektronischer Systeme und insbesondere das Gebiet der ausspähungsgeschützten Daten- eingäbe. Genauer betrifft die Erfindung ein Sicherheitsmodul, ein System und ein Verfahren, die eine sichere Dateneingabe und -Verarbeitung ermöglichen.
Für sicherheitskritische Anwendungen wie z.B. die Benutzerauthentifizie- rung bei einer Finanztransaktion oder die elektronische Signatur werden gegenwärtig Chipkarten (smart cards) in unterschiedlichen Ausgestaltungen eingesetzt. Solche Chipkarten haben einen hohen Entwicklungsgrad erreicht und können daher als hinreichend sicher angesehen werden. Es stellt sich jedoch das Problem, wie eine erforderliche Dateneingabe - z.B. die Eingabe einer Geheimzahl oder eines geheimen Kennworts - ebenfalls auf sichere und ausspähungsgeschützte Weise durchgeführt werden kann.
Chipkartenähnliche Geräte mit einer Tastatur und gegebenenfalls einer Anzeige (system on card) wären zur sicheren Dateneingabe geeignet, sind aber relativ aufwändig und teuer. Ähnliches gilt für externe Terminals mit Tastatur und Anzeige, wie sie beispielsweise in Form von Kartenterminals zur bargeldlosen Zahlung bekannt sind. Neben den Kosten für die Tastatur und die Anzeige verursachen auch die erforderlichen Maßnahmen zum Manipulationsschutz zusätzlichen Aufwand.
Als kostengünstigere Lösung sind Kartenleser zum Anschluss an übliche Computer bekannt. Solche Kartenleser sind meist in kompakter Bauform mit einem Schlitz zum Einschieben der Chipkarte ausgestaltet. Die Kartenleser weisen keine eigenen Bedienungs- oder Anzeigenelemente auf; vielmehr werden die Tastatur und der Bildschirm des an den Kartenleser angeschlossenen Computers verwendet. Bei Verwendung eines solchen Kartenlesers leitet der Computer unter Steuerung eines geeigneten Anwendungsprogramms Tastatureingaben des Benutzers an den Kartenleser - und die in diesen eingesteckte Chipkarte - weiter und stellt Ausgaben der Chipkarte auf dem Computerbildschirm dar. Hierbei besteht jedoch das Problem, dass der Computer nicht unbedingt als sicher angesehen werden kann. Beispielsweise kann durch einen Virus oder Wurm das Betriebssystem des Computers derart modifiziert worden sein, dass Tastatureingaben aufgezeichnet und an einen unautorisierten Dritten gesendet werden. Dadurch können geheime Eingabedaten, z.B. Kennwörter, ausgespäht werden.
Eine sichere Variante des gerade beschriebenen Kartenlesers ist gegenwärtig von der Firma GEMPLUS SA, Marseille, Frankreich, unter der Produktbe- Zeichnung GemPC 420 erhältlich. Gemäß der Beschreibung in dem Artikel "Secure Electronic Signatures wlien Trojan Horses and Worms are Lurking" von Pierre Girard, Jean-Luc Giraud und Laurent Gauteron, "e-Smart"-Konferenz, September 2004, wird dieser Kartenleser zwischen die Computertastatur und den Computer geschaltet. In einem transparenten Betriebsmodus leitet der Kartenleser die zwischen dem Computer und der Tastatur ausgetauschten Daten ohne Interaktion weiter. In einem vertrauenswürdigen Betriebsmodus sendet der Kartenleser dagegen die von der Tastatur stammenden Daten nur an die eingesteckte Chipkarte und nicht an den Computer. In diesem Betriebsmodus, der durch eine Leuchtdiode optisch angezeigt wird, kann der Benutzer geheime Informationen ohne Gefahr einer Ausspähung durch den Computer eingeben.
Der gerade beschriebene Kartenleser ist jedoch wegen der bereitgestellten Zusatzfunktionen teurer als gewöhnliche Kartenleser. Überdies besteht bei ihin - wie bei allen Kartenlesern - das Problem, dass die erforderlichen mechanischen Kontakte bei Verschmutzung zu Fehlfunktionen führen können. Ferner muss naturgemäß die Größe des Kartenlesers an die Baugröße der verwendeten Chipkarte angepasst sein.
Aus dem US-Patent 5,844,497 ist ein Kartenleser bekannt, der mittels eines Adapters an eine Tastatur und einen Computer angeschlossen wird. Auch dieser Kartenleser weist einen Betriebsmodus auf, in dem Tastatureingaben nur vom Kartenleser verarbeitet werden und dem angeschlossenen Compu- ter verborgen bleiben. Der Kartenleser beinhaltet einen Prozessor, einen Festwertspeicher und einen flüchtigen Schreib-Lese-Speicher; zur dauerhaften Speicherung persönlicher Daten dient ausschließlich die in den Kartenleser eingesteckte Chipkarte.
DE 10224209 B4 offenbart ein als Chipkarte ausgestaltetes Sicherheitsmodul, das über eine erste Schnittstelle mit einem Terminal und über eine zweite Schnittstelle mit einer Autorisierungseinrichtung zu kommunizieren vermag. Die Autorisierungseinrichtung dient zur Übermittlung einer Geheimzahl (PIN) an das Sicherheitsmodul. Die Geheimzahl kann hierbei entweder in der Autorisierungseinrichtung gespeichert sein oder über eine Tastatur der Autorisierungseinrichtung in diese eingegeben werden.
Die Erfindung hat die Aufgabe, die oben genannten Probleme zumindest zum Teil zu lösen. Insbesondere soll durch die Erfindung eine besonders kostengünstige Technik zur sicheren Eingabe von geheimzuhaltenden Daten geschaffen werden. In bevorzugten Ausgestaltungen eines erfindungsgemäßen Sicherheitsmoduls soll dieses besonders zuverlässig sein und/ oder sich in besonders kompakter Bauweise herstellen lassen. Erfindungsgemäß wird diese Aufgabe ganz oder zum Teil gelöst durch ein Sicherheitsmodul mit den Merkmalen des Anspruchs 1, ein System mit den Merkmalen des Anspruchs 16 und ein Verfahren mit den Merkmalen des Anspruchs 17. Die abhängigen Ansprüche definieren bevorzugte Weiterbil- düngen der Erfindung.
Die Erfindung beruht auf der Grundidee, ein Sicherheitsmodul bereitzustellen, das zwischen ein Eingabegerät und einen Computer geschaltet wird. In einem ersten Betriebsmodus leitet das Sicherheitsmodul Eingabedaten von dem Eingabegerät an den Computer weiter, während in einem zweiten Betriebsmodus die eintreffenden Eingabedaten im Sicherheitsmodul verarbeitet und nicht oder zumindest nicht vollständig an den Computer weitergeleitet werden. Bei der Verarbeitung werden Individualdaten, die in einem Speicher des Sicherheitsmoduls dauerhaft gespeichert sind und die für das Si- cherheitsmodul und/ oder für einen Benutzer spezifisch sind,,, herangezogen. Indem sowohl die geheimen Eingabedaten als auch die gespeicherten Individualdaten in die Verarbeitung eingehen, kann z.B. eine sichere Zwei- Faktor- Authentisierung erreicht werden.
Die Erfindung ermöglicht mit äußerst geringem Aufwand eine sichere und gegen Ausspähung durch den Computer geschützte Dateneingabe. Insbesondere kann das Sicherheitsmodul deutlich kostengünstiger als eine Kombination aus Chipkarte und Kartenleser hergestellt werden. Verglichen mit einer solchen Kombination kann das erfindungsgemäße Sicherheitsmodul ferner in deutlich kleineren Bauformen hergestellt werden. Da der Mikro- controller des erfindungsgemäßen Sicherheitsmoduls fest in dieses integriert ist, weist das Sicherheitsmodul eine hohe Zuverlässigkeit auf und ist nicht für Kontaktstörungen anfällig. In vielen Ausgestaltungen kann durch die Erfindung ein ohnedies schon vorhandenes Eingabegerät - z.B. eine übliche PC-Tastatur - auch zur sicheren Dateneingabe genutzt werden.
In der Wortwahl des vorliegenden Dokuments ist unter einer "dauerhaften" Speicherung der Individualdaten insbesondere eine nicht-flüchtige Speicherung über mehrere Betriebsmoduswechsel hinweg zu verstehen. Die Individualdaten können über die gesamte Lebensdauer des Sicherheitsmoduls hinweg unverändert bleiben oder von Zeit zu Zeit - z.B. immer dann, wenn der Benutzer ein einstellbares Kennwort ändert - geändert werden. Die In- dividualdaten sind erfindungsgemäß für das Sicherheitsmodul und/ oder den Benutzer spezifisch. Dies ist z.B. dann der Fall, wenn die Individualdaten das Sicherheitsmodul und/ oder den Benutzer eindeutig kennzeichnen, oder auch dann, wenn die Individualdaten ein dem Benutzer zugeordnetes Geheimnis - z.B. ein Kennwort oder biometrische Daten - enthalten.
Die erfindungsgemäße Verarbeitung der Eingabedaten im zweiten Betriebsmodus zeichnet sich dadurch aus, dass zumindest manche der Eingabedaten - nämlich die geheimzuhaltenden Eingabedaten - nicht an den angeschlossenen Computer gesendet werden, und dass die Individualdaten in die Verar- beitung eingehen. Die Verarbeitung kann beispielsweise eine Signaturerzeugung - mit einem durch die Individualdaten definierten Schlüssel - und/ oder eine Benutzerauthentisierung - mit einem unter Verwendung der Individualdaten verifizierbaren Geheimnis oder persönlichen Merkmal des Benutzers - umfassen.
Um zu verhindern, dass der Benutzer vertrauliche Daten ungewollt im ersten, nicht sicheren Betriebsmodus des Sicherheitsmoduls eingibt, ist in bevorzugten Ausgestaltungen eine Betriebsmodus-Signalisierung an den Benutzer vorgesehen. Dies kann beispielsweise eine optische Signalisierung durch eine Anzeige auf dem Sicherheitsmodul oder dem angeschlossenen Eingabegerät sein. Als Eingabegerät kann in unterschiedlichen Ausgestaltungen beispielsweise eine Tastatur oder ein biometrischer Sensor - z.B. ein Fingerabdruck-Sensor - oder eine andere Vorrichtung dienen.
Vorzugsweise ist das Sicherheitsmodul als kompaktes und/ oder gekapseltes Modul ausgestaltet. Insbesondere kann das Sicherheitsmodul ohne eigene Bedienungselemente und/ oder ohne Kontakte zur Verbindung mit einer externen Chipkarte ausgestaltet sein. In einer besonders praktischen Bauform ist das Sicherheitsmodul schmäler als 50 mm und vorzugsweise schmäler als 30 mm.
Zumindest die zur Kommunikation mit dem Computer dienende Schnittstelle entspricht in bevorzugten Ausgestaltungen hinsichtlich der elektrischen Signalpegel und hinsichtlich der verwendeten Protokolle einer USB-Schnittstelle. Die mechanische Bauform kann ebenfalls dem USB-Standard entsprechen. Es sind jedoch auch abweichende mechanische Ausgestaltungen vorgesehen, bei denen aufsteckbare Adapter oder spezielle Verbindungskabel verwendet werden. Unter der Bezeichnung "USB" wird im vorliegenden Dokument der Universal Serial Bus gemäß den Spezifikationen des USB ϊmγlementors Forum, Inc., verstanden. In bevorzugten Ausgestaltungen erfolgt die Stromversorgung des Sicherheitsmoduls - und gegebenenfalls auch des Eingabegeräts - über die zweite Schnittstelle durch den angeschlossenen Computer.
Auch die erste, zum Erhalt der Eingabedaten dienende Schnittstelle kann eine USB-Schnittstelle in einer der gerade beschriebenen Bedeutungsvarianten sein. In Ausführungsalternativen kann jedoch auch eine Funktechnologie zur Kommunikation über die erste und/ oder die zweite Schnittstelle ver- wendet werden. Als kostengünstige und stromsparende Ausgestaltung ist hierzu insbesondere die Bluetooth®-Technologie vorgesehen. Ein weiteres alternatives Schnittstellenprotokoll für die erste und/ oder die zweite Schnittstelle ist PS/2.
In manchen Ausführungsformen der Erfindung ist das Sicherheitsmodul dazu eingerichtet, mit dem Computer über ein Internet-Protokoll, insbesondere TCP/ IP, zu kommunizieren. Das Sicherheitsmodul kann hierzu die bereits vorhandene zweite Schnittstelle nutzen oder eine dritte Schnittstelle aufweisen, die speziell zur Kommunikation mit dem Computer über das Internet-Protokoll vorgesehen ist.
Das erfindungsgemäße Verfahren ist in bevorzugten Weiterbildungen mit Merkmalen ausgestattet, die den oben beschriebenen und/ oder den in den abhängigen Vorrichtungsansprüchen genannten Merkmalen entsprechen.
Weitere Merkmale, Aufgaben und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen. Es wird auf die schematischen Zeichnungen verwiesen, in denen zeigen:
Fig. 1 eine schematische Ansicht eines an ein Eingabegerät und einen Computer angeschlossenen Sicherheitsmoduls nach einem Ausführungsbeispiel der Erfindung,
Fig. 2 ein beispielhaftes Ablauf diagramm von Kommunikations- und Verarbeitungsvorgängen in dem Ausführungsbeispiel von Fig. 1, Fig. 3 einen Querschnitt durch ein Ausführungsbeispiel eines erfindungsgemäßen Sicherheitsmoduls,
Fig. 4 eine Draufsicht auf das in Fig. 3 gezeigte Sicherheitsmodul, und
Fig. 5 eine schematische Ansicht wie in Fig. 1 für ein weiteres Ausführungsbeispiel eines erfindungsgemäßen Sicherheitsmoduls.
Das in Fig. 1 dargestellte System weist ein Sicherheitsmodul 10, ein Eingabe- gerät 12 und einen Computer 14 auf. Ein erster Kanal 16 dient zur Datenkommunikation zwischen dem Eingabegerät 12 und dem Sicherheitsmodul 10. Die Datenkommunikation zwischen dem Sicherheitsmodul 10 und dem Computer 14 erfolgt über einen zweiten Kanal 18.
Das Sicherheitsmodul 10 ist als kompaktes Modul ausgestaltet, das ein einstückiges oder aus mehreren fest miteinander verbundenen Teilen bestehendes Gehäuse aufweist. In den hier beschriebenen Ausführungsbeispielen ist das Sicherheitsmodul 10 nicht zur Kommunikation mit einer externen Chipkarte eingerichtet und weist daher keine Kontakte und keinen Einschub für eine solche Chipkarte auf. Vielmehr enthält das Sicherheitsmodul 10 einen Mikrocontroller 20, wie er üblicherweise in einer Chipkarte verwendet wird, als fest integrierten Bestandteil. Das Sicherheitsmodul 10 kann daher auch als card token oder smart token bezeichnet werden.
Der Mikrocontroller 20 weist auf einem einzigen Halbleiterchip mehrere Bereiche unterschiedlicher Funktionalität auf, von denen in der schematischen Darstellung von Fig. 1 ein Prozessor 22 und ein Speicher 24 gezeigt sind. Der Speicher 24 ist seinerseits in mehrere Speicherfelder unterteilt, die in unterschiedlichen Technologien ausgestaltet sind. Beispielsweise können ein als RAM ausgestalteter Arbeitsspeicher 26, ein als maskenprogrammier- tes ROM ausgestalteter Festwertspeicher 28 und ein als EEPROM oder Flash- Speicher ausgestalteter nicht-flüchtiger überschreibbarer Speicher 30 vorgesehen sein. Ein Betriebssystem und mehrere Steuerprogramme sind teils im Festwertspeicher 28 und teils im nicht-flüchtigen überschreibbaren Speicher 30 enthalten.
Ähnlich wie dies bei Chipkarten üblich ist, ist auch das Sicherheitsmodul 10 vor der Herausgabe an den Benutzer oder in einer speziellen Benutzersit- zung individualisiert worden. Hierbei wurden Individualdaten 32 in den nicht-flüchtigen überschreibbaren Speicher 30 eingeschrieben. Die Individualdaten 32 sind für das jeweilige Sicherheitsmodul 10 und/ oder einen für dieses Sicherheitsmodul 10 registrierten Benutzer spezifisch. So können z.B. die Individualdaten 32 das Sicherheitsmodul 10 und/ oder den Benutzer eindeutig kennzeichnen. Alternativ oder zusätzlich können die Individualdaten 32 ein Geheimnis des Benutzers - z. B. ein Kennwort oder eine Geheimnummer oder biometrische Informationen - enthalten. Ein solches Geheimnis ist für den Benutzer spezifisch, auch wenn es den Benutzer nicht notwendigerweise eindeutig kennzeichnet, weil möglicherweise zwei Be- nutzer dieselbe Geheimzahl verwenden könnten.
Das Eingabegerät 12 kann beispielsweise eine Tastatur - insbesondere eine übliche Computer-Tastatur - oder ein Zeigegerät oder ein biometrischer Sensor - z.B. ein Fingerabdrucksensor - sein. Der Computer 14 ist im hier beschriebenen Ausführungsbeispiel als üblicher persönlicher Computer (PC) oder Arbeitsplatzrechner oder anderer Host ausgestaltet. Der Computer 14 ist dazu eingerichtet, mit dem Eingabegerät 12 zusammenzuarbeiten und - unter Vermittlung des Sicherheitsmoduls 10 - Eingabedaten von dem Eingabegerät 12 zu erhalten. Hierzu kommuniziert das Eingabegerät 12 über den ersten Kanal 16 mit einer ersten Schnittstelle 34 des Sicherheitsmoduls 10. Der Computer 14 kommuniziert über den zweiten Kanal 18 und eine zweite Schnittstelle 36 mit dem Sicherheitsmodul 10. Jeder der beiden Kanäle 16, 18 kann drahtlos oder drahtgebunden ausgestaltet sein.
Die beiden Schnittstellen 34, 36 sind kompatibel mit den elektrischen und logischen Eigenschaften des entsprechenden Kanals 16, 18. Ein drahtgebundener Kanal kann beispielsweise als serieller Tastaturanschluss - z.B. als PS/2-Kanal oder gemäß den USB-Spezifikationen - ausgestaltet sein. Ein drahtloser Kanal 16, 18 kann z.B. als Bluetooth- Funkstrecke ausgebildet sein. In manchen Ausgestaltungen benutzen die beiden Kanäle 16, 18 die gleiche Datenübertragungstechnologie, während in anderen Ausgestaltungen unterschiedliche Kommunikationstechnologien für die beiden Kanäle 16, 18 vorgesehen sind. Beispielsweise kann der erste Kanal 16 in Bluetooth-Techno- logie ausgestaltet sein, während der zweite Kanal 18 über ein USB-Kabel verläuft und damit auch die Stromversorgung des Sicherheitsmoduls 10 durch den Computer 14 übernimmt.
In Fig. 1 sind die Schnittstellen 34, 36 lediglich schematisch gezeigt. Es ver- steht sich, dass in unterschiedlichen Ausführungsformen die für eine oder beide dieser Schnittstellen 34, 36 erforderliche Steuerelektronik entweder auf dem Halbleiterchip des Mikrocontrollers 20 integriert oder als mindestens eine vom Mikrocontroller 20 getrennte Baugruppe ausgestaltet sein kann.
Das Sicherheitsmodul 10 weist einen ersten und einen zweiten Betriebsmodus auf. In dem ersten Betriebsmodus, der auch als transparenter Modus bezeichnet wird, leitet das Sicherheitsmodul 10 Eingabedaten vom Eingabegerät 12 an den Computer 14 weiter. In dem zweiten Betriebsmodus, der auch als Datenabfangmodus bezeichnet wird, erhält das Sicherheitsmodul 10 vertrauliche Eingabedaten - z.B. ein Kennwort oder eine Geheimzahl - von dem Eingabegerät 12 und verarbeitet diese Eingabedaten, ohne dass sie an den zweiten Kanal 18 und den daran angeschlossenen Computer 14 gelangen.
Der Computer 14 stellt kein vertrauenswürdiges Gerät dar, da er unter einem üblichen Betriebssystem arbeitet und deshalb allen Arten von Angriffen ausgesetzt ist. Durch den Betrieb des Sicherheitsmoduls 10 im Daten- abf angmodus wird jedoch zuverlässig verhindert, dass geheime Eingabe- daten an den Computer 14 gelangen. In manchen Ausgestaltungen werden alle im zweiten Betriebsmodus eingehenden Eingabedaten als vertrauliche Daten angesehen und gegenüber dem Computer 14 verborgen, während in anderen Ausgestaltungen manche Eingabedaten im zweiten Betriebsmodus an den Computer 14 weitergeleitet und andere abgefangen werden.
Da das Eingabegerät 12, der erste Kanal 16 und das Sicherheitsmodul 10 auch im Datenabf angmodus die geheimen Eingabedaten verarbeiten, muss diesen drei Komponenten vertraut werden können. Hinsichtlich des Sicherheitsmoduls 10 werden dazu Technologien und Verfahren eingesetzt, die als solche aus dem Chipkartenbereich bekannt sind. Das Eingabegerät 12 kann insbesondere dann als sicher angesehen werden, wenn es wegen seiner Einfachheit kein eigenes angreifbares Betriebssystem aufweist. Dies ist z.B. bei handelsüblichen PC-Tastaturen und auch bei anderen Vorrichtungen, die zwischen Datenkanälen und Steuerkanälen trennen, der Fall. Im Hinblick auf den ersten Kanal 16 können leitungsgebundene Signale nur mit beträchtlichen Aufwand abgehört werden; gegebenenfalls kann eine Verschlüsselung erfolgen. Wenn der erste Kanal 16 als Funkübertragungsstrecke ausgebildet ist, sollten Daten darauf nur verschlüsselt übertragen werden, wie dies z.B. bei der Bluetooth-Technologie der Fall ist. Fig. 2 veranschaulicht die gerade zusammenfassend beschriebene Arbeitsweise anhand eines Beispielablaufs. Zu Beginn des Beispielablaufs arbeitet das Sicherheitsmodul 10 im transparenten Betriebsmodus. Hier leitet das Sicherheitsmodul 10 die vom Eingabegerät 12 stammenden Eingabedaten 38 ohne inhaltliche Veränderung - höchstens, falls erforderlich, mit einer Protokollumsetzung zwischen dem ersten Kanal 16 und dem zweiten Kanal 18 - an den Computer 14 weiter. In Schritt 40 erfolgt ein Wechsel in den zweiten Betriebsmodus. Dieser Wechsel kann in manchen Ausgestaltungen vom Computer 14 durch einen Moduswechselbefehl 42 angestoßen werden, wenn der Computer 14 z.B. zur weiteren Abarbeitung eines auszuführenden Anwendungsprogramms eine Benutzerauthentisierung benötigt. Alternativ kann der Moduswechsel aber auch durch eine Benutzeraktion angestoßen werden, beispielsweise durch einen Tastendruck auf eine vorbestimmte Taste des Eingabegerätes 12 oder durch Betätigen eines nicht dargestellten Schalters des Sicherheitsmoduls 10.
In dem nun gegebenen Datenabfangmodus verarbeitet das Sicherheitsmodul 10 in Schritt 44 weitere Eingabedaten 38'. Diese weiteren Eingabedaten 38' werden im vorliegenden Beispielablauf als geheim angesehen, weil sie z.B. ein geheimes Kennwort angeben. Das Sicherheitsmodul 10 leitet daher die geheimen Eingabedaten 38' nicht an den Computer 14 weiter. Bei der Verarbeitung in Schritt 44 werden die im Sicherheitsmodul 10 gespeicherten Indi- vidualdaten 32 herangezogen, um z.B. das eingegebene Kennwort zu verifi- zieren. Bei einer erfolgreichen Verifikation - und damit einer erfolgreichen Authentisierung des Benutzers - gibt das Sicherheitsmodul 10 entsprechende Ergebnisdaten 46 an den Computer 14 aus. Diese Ergebnisdaten 46 können entweder nur die Tatsache der erfolgreichen Verifikation anzeigen oder die Resultate weiterer Verarbeitungsschritte 44 - z.B. eine vom Sicherheitsmodul 10 in Schritt 44 berechnete Signatur - enthalten.
Es versteht sich, dass in unterschiedlichen Ausführungsformen die unter- schiedlichsten Verarbeitungsvorgänge in Schritt 44 ausgeführt werden können, um unterschiedliche Arten von Ergebnisdaten 46 zu erhalten. So kann beispielsweise vorgesehen sein, dass das Sicherheitsmodul 10 die geheimen Eingabedaten 381 nicht selbst verifiziert, sondern lediglich unter Verwendung eines durch die Individualdaten 32 angegebenen Schlüssels verschlüs- seit, um die so erhaltenen Ergebnisdaten 46 über den Computer 14 an ein geeignetes Hintergrundsystem zu leiten. Bei den hier beschriebenen Ausführungsbeispielen fließen in die Verarbeitung in Schritt 44 sowohl die geheimen Eingabedaten 38' als auch die Individualdaten 32 jeweils zumindest zum Teil ein, um somit eine Zwei-Faktor- Authentisierung zu erreichen.
Nachdem die geheimen Eingabedaten 38' vollständig eingegeben worden sind, wechselt das Sicherheitsmodul 10 in Schritt 48 wieder in den transparenten Betriebsmodus, in dem weitere, nicht als geheim angesehene Eingabedaten 38" an den Computer 14 weitergeleitet werden. Die Verarbeitung der geheimen Eingabedaten 38' in Schritt 44 braucht zu diesem Zeitpunkt noch nicht notwendigerweise abgeschlossen zu sein; gerade zeitaufwändige Verarbeitungsvorgänge können vielmehr auch nach dem Moduswechsel durchgeführt oder fortgesetzt werden. In diesem Fall erfolgt die Weiterleitung der nicht-geheimen Eingabedaten 38" parallel oder verzahnt (interleaveä) mit dem Verarbeitungsvorgang in Schritt 44 und gegebenenfalls der Ausgabe der Ergebnisdaten 46.
Das gerade beschriebene Verfahren ist sicher, sofern der Benutzer die geheimen Eingabedaten 38' nur im Datenabfangmodus - und nicht im transpa- renten Modus - eingibt. Um eine Kontrolle des jeweiligen Betriebsmodus durch den Benutzer zu ermöglichen, ist in manchen Ausgestaltungen eine optische Modusanzeige vorgesehen. Beispielsweise kann das Sicherheitsmodul 10 eine Anzeige des Eingabegeräts 12 - z.B. die NumLock- Anzeige einer PC-Tastatur - einschalten, solange der Datenabfangmodus aktiv ist. Alternativ oder zusätzlich kann auch eine entsprechende Anzeige durch eine im Sicherheitsmodul 10 eingebaute Leuchtdiode vorgesehen sein. Der Benutzer darf dann geheimzuhaltende Informationen nur eingeben, wenn die Anzeige aktiviert ist.
Ein Schritt des Umschaltens der Anzeige des Betriebsmodus von einem Signal, das den „transparenten Modus" repräsentiert, auf ein Signal, das den „Datenabfangmodus" repräsentiert, erfolgt erst nachdem der Wechsel des Betriebsmodus in den „Datenabfangmodus" in Schritt 40 erfolgt ist. Dagegen erfolgt ein Schritt des Umschaltens der Anzeige des Betriebsmodus von einem Signal, das den „Datenabfangmodus" repräsentiert, auf ein Signal, das den „transparenten Modus" repräsentiert, bevor in Schritt 48 der Betriebsmodus in den „Datenabfangmodus" gewechselt wird.
Alternativ oder zusätzlich zu einer Anzeige des Betriebsmodus kann in manchen Ausführungsbeispielen vorgesehen sein, dass das Sicherheitsmodul 10 im transparenten Betriebsmodus die weitergeleiteten Eingabedaten 38, 38" überwacht und in den Datenabfangmodus umschaltet, sobald bestimmte Daten oder Datenfolgen auftreten. Beispielsweise kann in manchen Ausge- staltungen vorgesehen, sein, dass geheime Kennworte immer mit einer vorbestimmten Steuersequenz (z.B. Ctrl- AIt-P) eingeleitet werden. Sobald in diesen Ausgestaltungen das Sicherheitsmodul 10 entsprechende Zeichenfolgen in den Eingabedaten 38, 38" erkennt, schaltet es automatisch auf den Datenabfangmodus um. Eine beispielhafte Anwendung des hier beschriebenen Verfahrens ist das Homebanking. Wenn der Benutzer ein Überweisungsformular ausfüllen möchte, schaltet das Sicherheitsmodul 10 in den Datenabfangmodus. Dies wird dem Benutzer z.B. durch eine Leuchtdiode angezeigt. Der Benutzer gibt nun die Daten für das Überweisungsformular im Datenabfangmodus ein. Teil der Verarbeitung dieser Daten in Schritt 44 ist, dass im Sicherheitsmodul 10 eine Datenstruktur aufgefüllt wird, die dem Überweisungsformular entspricht. Eingabedaten, die nicht geheimhaltungsbedürftig sind - z.B. die in das Überweisungsformular eingegebenen Daten - werden auch im Datenabfangmodus an den Computer 14 weitergeleitet und dem Benutzer zur Kontrolle auf dem Bildschirm des Computers 14 angezeigt.
Nachdem das Überweisungsformular ausgefüllt ist, gibt der Benutzer seine Geheimzahl (PIN - personal identification number) ein. Diese Geheimzahl wird nicht an den Computer 14 weitergeleitet, sondern im Sicherheitsmodul 10 zur Authentisierung des Benutzers anhand der Individualdaten 32 verwendet. War die Authentisierung erfolgreich, so signiert das Sicherheitsmodul 10 die dem Überweisungsformular entsprechende Datenstruktur und sendet die so erhaltenen Ergebnisdaten 46 an den Computer 14. Der Computer 14 leitet seinerseits die Ergebnisdaten 46 an einen Hintergrundrechner der Bank weiter. Das Sicherheitsmodul 10 wechselt nun wieder in den transparenten Betriebsmodus; die Leuchtdiodenanzeige erlischt.
Ein weiteres Anwendungsbeispiel wäre die Ausführung von Schritten für einen lokalen Login auf dem Computer 14 oder einem entfernten Login auf einen entfernten Computer. Der Computer 14 zeigt eine Eingabeaufforderung an. Daraufhin fordert der Benutzer durch einen vorbestimmten Tastendruck auf der Tastatur 12, einen Moduswechsel in den Datenabfangmodus an. Das Sicherheitsmodul 10 wechselt in den angeforderten Modus und signalisiert dem Benutzer danach den neuen Modus. Der Benutzer authentisiert sich gegenüber dem Sicherheitsmodul 10, beispielsweise durch Eingabe seiner PIN oder mittels seines. Fingerabdrucks. Ist die Authentisierung des Benutzers erfolgreich, authentisiert sich das Sicherheitsmodul gegenüber dem Computer. Der Computer gibt die mit dem Login des Benutzers verbundenen Rechte auf dem Computer frei. Eine Bestätigung des Computers für das Sicherheitsmodul, daß die Authentisierung des Benutzers gegenüber dem Computer (Login) erfolgreich war, kann das Sicherheitsmodul als Auslöser für einen Wechsel des angezeigten Modus und einen anschließenden Wechsel in den transparenten Modus verwenden.
Fig. 3 zeigt einen Querschnitt durch eine besonders kompakte Ausgestaltung des Sicherheitsmoduls 10, dessen Schnittstellen 34, 36 hinsichtlich ihrer elektrischen Eigenschaften und des verwendeten Protokolls als USB-Schnittstellen ausgestaltet sind. Bei der Konstruktion dieses Sicherheitsmoduls 10 werden möglichst weitgehend Techniken eingesetzt, die aus der Herstellung von Chipkarten bekannt sind. So weist das Sicherheitsmodul 10 einen Modul- körper 50 auf, der ebenso wie eine Chipkarte ungefähr 0,76 mm dick ist und z.B. aus PVC oder PET besteht.
In den Modulkörper 50 sind zwei Kavitäten 52, 54 eingearbeitet, in die je ein Chipmodul 56, 58 eingesetzt ist. Jedes der Chipmodule 56, 58 enthält einen Halbleiterchip und mehrere Kontaktfelder, die teils externe Kontakte der Schnittstellen 34, 36 und teils interne Kontakte des Sicherheitsmoduls 10 bilden. Die Chipmodule 56, 58 mit ihren Kontaktfeldern können z.B. die bei Chipkarten übliche Größe von ungefähr 10 mm x 10 mm bis 12 mm x 12 mm aufweisen, und die Breite des Modulkörpers 50 und des gesamten Sicherheitsmoduls 10 braucht nur geringfügig größer zu sein.
Der Halbleiterchip des ersten Chipmoduls 56 ist als USB-Master-Chip 60 ausgestaltet, während der Halbleiterchip des zweiten Chipmoduls 58 den Mikrocontroller 20 bildet. Eine Leuchtdiode 62, die mit den internen Kontakten des zweiten Chipmoduls 58 verbunden ist, dient zur Anzeige des Betriebsmodus. Die Leuchtdiode 62 und deren Verbindungsleitungen zum zweiten Chipmodul 58 sowie weitere interne Verbindungsleitungen zwi- sehen den beiden Chipmodulen 56, 58 - zur Datenübertragung und zur
Spannungsversorgung des ersten Chipmoduls 56 - sind in eine obere Schale 64 des Sicherheitsmoduls 10 eingebettet. Symmetrisch zur oberen Schale 64 ist eine untere Schale 66 vorgesehen, die für zusätzliche mechanische Stabilität des Sicherheitsmoduls 10 sorgt. Die Schalen 64, 66 können z.B. in einem Kunststoff -Spritzgussverfahren hergestellt werden.
Bei der in Fig. 4 dargestellten Draufsicht auf das Ausführungsbeispiel von Fig. 3 ist aus Gründen der klareren Darstellung die obere Schale 64 nicht gezeigt. Diese obere Schale 64 weist den gleichen Umriss wie die in Fig. 4 dargestellte untere Schale 66 auf. Es ist daher ersichtlich, dass die obere Schale 64 genau die beiden internen Kontaktreihen der Chipmodule 56, 58 und die internen Verbindungsleitungen überdeckt, während die beiden externen Kontaktreihen, die die beiden Schnittstellen 34, 36 bilden, frei bleiben.
In dem in Fig. 3 und Fig. 4 gezeigten Ausführungsbeispiel unterscheidet sich die mechanische Ausgestaltung der beiden Schnittstellen 34, 36 - entsprechend den externen Kontaktreihen der Chipmodule 56, 58 - von der Vorgabe der USB-Spezifikation. Zum Anschluss des Sicherheitsmoduls 10 werden in manchen Ausgestaltungen zwei spezielle Kabel verwendet, die an einem Ende eine Buchse für die Kontakte der Schnittstellen 34, 36 aufweisen. Am anderen Ende hat das erste Kabel einen USB-"B"-Stecker zum Anschluss an das Eingabegerät 12, und das zweite Kabel weist einen USB-"A"-Stecker zum Anschluss an den Computer 14 auf. Alternativ können auch geeignete Adapter zur Verwendung mit üblichen USB-Kabeln eingesetzt werden. Ferner sind Ausführungsalternativen vorgesehen, bei denen die Anschlussenden des Sicherheitsmoduls 10 auch mechanisch gemäß der USB-Spezifikation, also mit einer USB-" A"-Buchse für die Schnittstelle 34 und einer USB-11B"- Buchse für die Schnittstelle 36, ausgestaltet sind.
Fig. 5 zeigt schematisch ein weiteres Ausführungsbeispiel der Erfindung mit einem Sicherheitsmodul 10', das als Internet-fähiges Chipmodul ausgestaltet ist. Über eine dritte Schnittstelle 68, z.B. eine USB-Schnittstelle, ist das Inter- net-Sicherheitsmodul 10' an den Computer 14 angeschlossen. Zwischen dem Computer 14 und dem Internet-Sicherheitsmodul 10' wird dadurch ein dritter Kanal 70 für ein übliches Internet-Protokoll - hier z.B. TCP/IP - gebildet.
Weil das Internet-Sicherheitsmodul 10' das Internet-Protokoll TCP/IP unmit- telbar unterstützt, kann das Internet-Sicherheitsmodul 10' über den Computer 14 und das Internet 72 mit einem Internet-Server 74 kommunizieren. Der Computer 14 dient lediglich als Gateway; es ist keine spezielle Softwareinstallation erforderlich. Hierdurch wird eine besonders hohe Sicherheit erreicht, weil eine gesicherte Kommunikation unmittelbar zwischen dem Internet-Sicherheitsmodul 10' und dem Internetserver 74 stattfindet. Internet-fähige Chipkarten sind als solche z.B. aus WO 2004/059562 A2 bekannt; der Inhalt dieses Dokuments wird hiermit in den vorliegenden Text aufgenommen. Um auch bei dem Internet-Sicherheitsmodul 10' eine ausspähungsgeschützte Authentisierung des Benutzers zu ermöglichen, wird die bereits ausführlich dargestellte Technik eingesetzt, bei der das Internet-Sicherheitsmodul 10' mit seinen Schnittstellen 34, 36 zwischen das Eingabegerät 12 und den Computer 14 geschaltet ist. Auch hier sind mindestens die beiden beschriebenen Betriebsmodi vorgesehen. Es versteht sich, dass das in Fig. 5 nur schematisch gezeigte Internet-Sicherheitsmodul 10' in konkreten Ausführungsformen die oben beschriebenen Merkmale aufweisen kann; z.B. kann eine Anzeige des Betriebsmodus vorgesehen sein.
In einer Ausführungsform des Internet-Sicherheitsmoduls 10' ist zumindest die zweite Schnittstelle 36 als USB-Schnittstelle ausgestaltet, die durch ein geeignetes Protokoll sowohl den zweiten Kanal 18 als auch den dritten Kanal 70 bereitstellt. In diesem Fall kann auch der Internet-Datenverkehr über die zweite Schnittstelle 36 abgewickelt werden; die dritte Schnittstelle 68 kann dann entfallen.
Die hier beschriebenen Ausführungsbeispiele der Erfindung sollen als Erläuterung und nicht als Einschränkung des Erfindungsbereichs verstanden wer- den. Weitere Abwandlungen sind möglich und für den Fachmann offensichtlich; beispielsweise können durch Kombination der einzelnen Merkmale der hier beschriebenen Ausführungsbeispiele weitere erfindungsgemäße Ausführungsformen erhalten werden. Ferner kann das Sicherheitsmodul weitere Bestandteile, z.B. einen Fingerabdruck-Sensor oder eine Kamera, aufweisen.

Claims

P a t e n t a n s p r ü c h e
1. Sicherheitsmodul (10, 10') mit: einem fest in das Sicherheitsmodul (10, 10') integrierten Mikro- Controller (20), der einen Prozessor (22) und mindestens einen
Speicher (24) aufweist, wobei der Speicher (24) dauerhaft gespeicherte Individualdaten (32) enthält, die für das Sicherheitsmodul (10, 10') und/ oder einen Benutzer spezifisch sind, einer ersten Schnittstelle (34) zum Erhalt von Eingabedaten (38, 38', 38") von einem externen Eingabegerät (12), und einer zweiten Schnittstelle (36) zur Kommunikation mit einem externen Computer (14), wobei das Sicherheitsmodul (10, 10') dazu eingerichtet ist, in einem ersten Betriebsmodus die an der ersten Schnittstelle (34) ein- treffenden Eingabedaten (38, 38") an die zweite Schnittstelle (36) weiterzuleiten, und das Sicherheitsmodul (10, 101) ferner dazu eingerichtet ist, in einem zweiten Betriebsmodus die an der ersten Schnittstelle (34) eintreffenden Eingabedaten (381) unter Verwendung der Indivi- dualdaten (32) und ohne Weiterleitung zumindest mancher der
Eingabedaten (381) an die zweite Schnittstelle (36) zu verarbeiten (44).
2. Sicherheitsmodul (10, 10') nach Anspruch 1, dadurch gekenn- zeichnet, dass die Verarbeitung (44) der Eingabedaten (38') durch das Sicherheitsmodul (10, 10') eine Authentisierung des Benutzers beinhaltet.
3. Sicherheitsmodul (10, 10') nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, dass die Verarbeitung (44) der Eingabedaten (38') eine Signaturerzeugung beinhaltet.
4. Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Sicherheitsmodul (10, 10') dazu eingerichtet ist, eine Signalisierung des Betriebsmodus an den Benutzer zu veranlassen.
5. Sicherheitsmodul (10, 10') nach Anspruch 4, dadurch gekennzeichnet, dass die Signalisierung des Betriebsmodus durch eine optische Anzeige auf dem Sicherheitsmodul (10, 10') erfolgt.
6. Sicherheitsmodul (10, 10') nach Anspruch 4 oder Anspruch 5, dadurch gekennzeichnet, dass die Signalisierung des Betriebsmodus durch eine optische Anzeige auf dem an das Sicherheitsmodul (10, 10') angeschlossenen Eingabegerät (12) erfolgt.
7. Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass das Sicherheitsmodul (10, 10') frei von Bedienelementen ist.
8. Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Sicherheitsmodul (10, 10') frei von Anschlüssen zur Verbindung mit einem externen Datenträger ist.
9. Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Sicherheitsmodul (10, 10') eine Breite von weniger als 50 mm aufweist. 10. Sicherheitsmodul (10,
10') nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Individualdaten (32) in einem elektrisch programmierbaren Speicher oder einem nichtflüchtigen überschreibbaren Speicher (30) enthalten sind.
11. Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass das Sicherheitsmodul (10, 10') zum Anschluss einer Tastatur als Eingabegerät (12) vorgesehen ist.
12. Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass die erste Schnittstelle (34) und/ oder die zweite Schnittstelle (36) zumindest in elektrischer und logischer Hinsicht eine USB-Schnittstelle sind/ ist.
13. Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass zumindest die erste Schnittstelle (34) eine Schnittstelle zur drahtlosen Kommunikation, insbesondere eine Bluetooth-Schnittstelle, ist.
14. Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass das Sicherheitsmodul (10, 10') dazu eingerichtet ist, mit dem Computer (14) über ein Internet- Protokoll, insbesondere TCP/ IP, zu kommunizieren.
15. Sicherheitsmodul (10, 10') nach Anspruch 14, dadurch gekennzeichnet, dass das Sicherheitsmodul (10, 10') eine dritte Schnittstelle (68) zur Kommunikation mit dem Computer (14) über das Internet-Protokoll aufweist.
16. System mit einem Sicherheitsmodul (10, 10') nach einem der Ansprüche 1 bis 15 sowie einem an die erste Schnittstelle (34) des Sicherheitsmoduls (10, 10') angeschlossenen Eingabegerät (12) und einem an die zweite Schnittstelle (36) des Sicherheitsmoduls (10, 10') angeschlossenen Computer (14).
17. Verfahren zum Betrieb eines Sicherheitsmoduls (10, 10'), insbesondere eines Sicherheitsmoduls (10, 10') nach einem der Ansprüche
1 bis 15, wobei - das Sicherheitsmodul (10, 10') einen fest in das Sicherheitsmodul
(10, 10') integrierten Mikrocontroller (20) mit einem Prozessor (22) und mindestens einem Speicher (24) aufweist und der Speicher (24) dauerhaft gespeicherte Individualdaten (32) enthält, die für das Sicherheitsmodul (10, 10') und/ oder einen Benutzer spezifisch sind, und wobei das Sicherheitsmodul (10, 10') über eine erste Schnittstelle (34) Eingabedaten (38, 38', 38") von einem externen Eingabegerät (12) erhält und über eine zweite Schnittstelle (36) mit einem externen Computer (14) kommuniziert, wobei - das Sicherheitsmodul (10, 10') in einem ersten Betriebsmodus die an der ersten Schnittstelle (34) eintreffenden Eingabedaten (38, 38") an die zweite Schnittstelle (36) weiterleitet, und - das Sicherheitsmodul (10, 10') in einem zweiten Betriebsmodus die an der ersten Schnittstelle (34) eintreffenden Ein- gabedaten (38') unter Verwendung der Individualdaten (32) und ohne Weiterleitung zumindest mancher der Eingabedaten (38') an die zweite Schnittstelle (36) verarbeitet (44).
18. Verfahren nach Ansprüche 17, dadurch gekennzeichnet, dass dem Benutzer der Betriebsmodus signalisiert wird.
19. Verfahren nach Ansprüche 18, dadurch gekennzeichnet, dass dem Benutzer der Betriebsmodus durch eine optische Anzeige auf dem Sicherheitsmodul signalisiert wird.
20. Verfahren nach Ansprüche 18, dadurch gekennzeichnet, dass dem Benutzer der Betriebsmodus durch durch eine optische Anzeige auf dem an das Sicherheitsmodul angeschlossenen
Eingabegerät signalisiert wird.
PCT/EP2006/001551 2005-02-24 2006-02-21 Sicherheitsmodul WO2006089710A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005008433.8 2005-02-24
DE200510008433 DE102005008433A1 (de) 2005-02-24 2005-02-24 Sicherheitsmodul

Publications (1)

Publication Number Publication Date
WO2006089710A1 true WO2006089710A1 (de) 2006-08-31

Family

ID=36283827

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/001551 WO2006089710A1 (de) 2005-02-24 2006-02-21 Sicherheitsmodul

Country Status (2)

Country Link
DE (1) DE102005008433A1 (de)
WO (1) WO2006089710A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009004430A1 (de) 2009-01-13 2010-07-15 Giesecke & Devrient Gmbh Manipulationssicherheit eines Endgeräts
DE102009014572A1 (de) 2009-03-24 2010-09-30 Giesecke & Devrient Gmbh Verfahren und Vorrichtung zur sicheren Weiterleitung von Eingabedaten
EP2371084A1 (de) * 2008-12-18 2011-10-05 Her Majesty the Queen in Right of Canada as represented by the Minister of National Defence System, vorrichtung und verfahren zur sicheren bereitstellung von schlüsselauthentifizierungsinformationen
US8302174B2 (en) 2008-12-18 2012-10-30 James A. McAlear System, device and method for secure provision of key credential information

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2007779A3 (cs) 2007-11-08 2009-05-20 Monet+,A.S. Zpusob zabezpecení autorizovaného zadávání dat a zarízení k jeho provádení
DE102008042180B4 (de) * 2008-09-17 2010-09-23 Zf Friedrichshafen Ag Verfahren und System zur sicheren Übertragung von Daten
TWI451740B (zh) * 2008-09-24 2014-09-01 Shrisinha Technology Corp Hardware Password Verification Method and Its System
DE102008050441A1 (de) * 2008-10-08 2010-04-15 Straub, Tobias Autonome Vorrichtung zum Schutz der Authentizität von in digitaler Form vorliegenden Daten
EP2202662A1 (de) * 2008-12-24 2010-06-30 Gemalto SA Tragbare Sicherheitsvorrichtung, die gegen Keylogger-Programme schützt
EP2908262B1 (de) * 2014-02-18 2016-02-17 Nxp B.V. Sicherheitstoken, Verfahren zur Ausführung einer Transaktion und Computerprogrammprodukt

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0587375A2 (de) * 1992-09-04 1994-03-16 ALGORITHMIC RESEARCH Ltd. Sicherheitseinheit für Datenverarbeitungssysteme
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
DE19540973A1 (de) * 1995-11-03 1997-05-07 Strohschneider Sabine Verfahren zur Eingabesicherung und für Transaktionen von digitalen Informationen
FR2749680A1 (fr) * 1996-06-05 1997-12-12 Ckd Sa Dispositif pour la securisation de transactions informatisees, notamment pour le paiement electronique
US5844497A (en) * 1996-11-07 1998-12-01 Litronic, Inc. Apparatus and method for providing an authentication system
WO2001010079A1 (en) * 1999-07-29 2001-02-08 Safe Technology Co., Ltd. Adapter having secure function and computer secure system using it
DE10224209A1 (de) * 2002-05-31 2003-12-24 Infineon Technologies Ag Autorisierungseinrichtung-Sicherheitsmodul -Terminal-System
DE10251054A1 (de) * 2002-11-02 2004-05-19 Andreas Morgner Vorrichtung und Verfahren zur Verwaltung, Speicherung und automatisierten Eingabe von Zeichen bzw. Zeichengruppen in Computer

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7111324B2 (en) * 1999-01-15 2006-09-19 Safenet, Inc. USB hub keypad

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
EP0587375A2 (de) * 1992-09-04 1994-03-16 ALGORITHMIC RESEARCH Ltd. Sicherheitseinheit für Datenverarbeitungssysteme
DE19540973A1 (de) * 1995-11-03 1997-05-07 Strohschneider Sabine Verfahren zur Eingabesicherung und für Transaktionen von digitalen Informationen
FR2749680A1 (fr) * 1996-06-05 1997-12-12 Ckd Sa Dispositif pour la securisation de transactions informatisees, notamment pour le paiement electronique
US5844497A (en) * 1996-11-07 1998-12-01 Litronic, Inc. Apparatus and method for providing an authentication system
WO2001010079A1 (en) * 1999-07-29 2001-02-08 Safe Technology Co., Ltd. Adapter having secure function and computer secure system using it
DE10224209A1 (de) * 2002-05-31 2003-12-24 Infineon Technologies Ag Autorisierungseinrichtung-Sicherheitsmodul -Terminal-System
DE10251054A1 (de) * 2002-11-02 2004-05-19 Andreas Morgner Vorrichtung und Verfahren zur Verwaltung, Speicherung und automatisierten Eingabe von Zeichen bzw. Zeichengruppen in Computer

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2371084A1 (de) * 2008-12-18 2011-10-05 Her Majesty the Queen in Right of Canada as represented by the Minister of National Defence System, vorrichtung und verfahren zur sicheren bereitstellung von schlüsselauthentifizierungsinformationen
EP2371084A4 (de) * 2008-12-18 2012-04-04 James A Mcalear System, vorrichtung und verfahren zur sicheren bereitstellung von schlüsselauthentifizierungsinformationen
US8302174B2 (en) 2008-12-18 2012-10-30 James A. McAlear System, device and method for secure provision of key credential information
DE102009004430A1 (de) 2009-01-13 2010-07-15 Giesecke & Devrient Gmbh Manipulationssicherheit eines Endgeräts
EP2209084A1 (de) 2009-01-13 2010-07-21 Giesecke&Devrient Manipulationssicherheit eines Endgeräts
DE102009014572A1 (de) 2009-03-24 2010-09-30 Giesecke & Devrient Gmbh Verfahren und Vorrichtung zur sicheren Weiterleitung von Eingabedaten

Also Published As

Publication number Publication date
DE102005008433A1 (de) 2006-08-31

Similar Documents

Publication Publication Date Title
WO2006089710A1 (de) Sicherheitsmodul
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
EP3289508B1 (de) Verfahren zur erzeugung einer elektronischen signatur
EP2137664B1 (de) Verfahren zur erzeugung bestätigter transaktionsdaten und vorrichtung dazu
EP2106605B1 (de) Verfahren und system zur erhöhung der sicherheit bei der erstellung elektronischer signaturen mittels chipkarte
DE60036231T2 (de) Gerät zur Authentifizierung einer Nachricht
EP3748521B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP3428830B1 (de) Id-token mit geschütztem mikrocontroller
EP0970447A2 (de) Netzwerkunterstütztes chipkarten-transaktionsverfahren
EP1697820B1 (de) Verfahren zur freischaltung eines zugangs zu einem computersystem oder zu einem programm
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
EP3289509B1 (de) Verfahren zur erzeugung einer elektronischen signatur
AT503263A2 (de) Vorrichtung zur erstellung digitaler signaturen
DE102012224083A1 (de) Verfahren zur Personalisierung eines Secure Elements (SE) und Computersystem
EP2127317B1 (de) Verfahren, anordnung, system und softwaremittel zur sicheren datenübertragung
WO2016146726A1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
EP2169579A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
DE10259270A1 (de) Personalisierung von Sicherheitsmoduln
DE102012215630A1 (de) Verfahren zur Personalisierung eines Secure Elements (SE) und Computersystem
EP3361436B1 (de) Verfahren zur freigabe einer transaktion
EP3451263A1 (de) Sicherheitssystem zur ausführung einer elektronischen anwendung
EP2300956A1 (de) Vorrichtung zur mobilen datenverarbeitung
EP1416449A2 (de) Sicherheitsmodul und Verfahren zur Durchführung von vertraulichen elektronischen Transaktionen
DE102019109343A1 (de) Verfahren und Vorrichtung zur Übertragung digitaler Daten
WO2005073826A1 (de) System mit wenigstens einem computer und wenigstens einem tragbaren datenträger

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06707126

Country of ref document: EP

Kind code of ref document: A1

WWW Wipo information: withdrawn in national office

Ref document number: 6707126

Country of ref document: EP