WO2018095564A1 - Checking the integrity of a safety-relevant application - Google Patents

Checking the integrity of a safety-relevant application Download PDF

Info

Publication number
WO2018095564A1
WO2018095564A1 PCT/EP2017/001350 EP2017001350W WO2018095564A1 WO 2018095564 A1 WO2018095564 A1 WO 2018095564A1 EP 2017001350 W EP2017001350 W EP 2017001350W WO 2018095564 A1 WO2018095564 A1 WO 2018095564A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
sensor data
user
data
terminal
Prior art date
Application number
PCT/EP2017/001350
Other languages
German (de)
French (fr)
Inventor
Ullrich Martini
Florian Gawlas
Original Assignee
Giesecke+Devrient Mobile Security Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke+Devrient Mobile Security Gmbh filed Critical Giesecke+Devrient Mobile Security Gmbh
Publication of WO2018095564A1 publication Critical patent/WO2018095564A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Definitions

  • the present invention is directed to a method for securely authenticating a user by means of a terminal, preferably by transmitting optical sensor data for authentication to an authentication authority.
  • the invention is further directed to a terminal for secure authentication and an authentication arrangement, which is set up according to the method.
  • a computer program product is proposed with control commands which implement the method or operate the terminal according to the invention and the authentication arrangement.
  • a security document eg. B. holds an ID card
  • biometric features of the user can be used, which enable a test service or a security officer to check whether the value document is actually to be assigned to the user, who holds the document.
  • security features of value documents are merely designed to perform such an authentication of the user in such a way that the user personally holds the physical value document. Accordingly, a remote authentication is not possible, wherein a user holds a security document by means of a webcam, for example.
  • a user on the two side makes a manipulation of such an authentication service.
  • various techniques of augmented reality are known, which can falsify the recorded image in a purely virtual manner in such a way that, for example, the user's face together with its biometric data can be modified.
  • the hardware used for user authentication can be registered by the user himself and therefore manipulated.
  • authentication services provide their own hardware, such as an ATM, which is also administered by the authentication service.
  • the user wants to authenticate with conventional hardware without using specially provided hardware from the provider.
  • provision of hardware administrated by the supplier would represent additional expenditure and reduce the acceptance of such a method by the user.
  • a method for secure authentication by means of a terminal comprising the steps of detecting sensor data of a user by means of at least one sensor in the terminal for remote authentication of the user and the closure of the detected sensor data of the user together with stored desired data containing the expected sensor data describe. This is followed by a remote decryption by an authentication authority and comparing the detected sensor data with the stored target data for authentication of the user, wherein the encryption takes place in a secure environment of the terminal.
  • Authenticating the terminal implies in a preparatory method step an authentication of the user in such a way that the latter provides authentication data by means of a terminal, preferably a mobile terminal.
  • the user has corresponding sensors, which are installed in the terminal.
  • any sensors can be used which can detect user-related features.
  • this may be a microphone and / or a camera.
  • the user it is possible for the user to authenticate himself via the camera of, for example, his laptop to the authentication point, while keeping a security feature in front of the camera.
  • it is also possible to perform a voice authentication of the user such that a stored voice sample of the user is used for authentication.
  • the terminal to provide further sensors, such as a fingerprint sensor.
  • a picture of the user can be combined with his fingerprint.
  • authentication is also to be understood as meaning an identification, in particular an enrollment, as used in so-called videoident methods.
  • an authenticating entity eg, a bank
  • the target data may be metadata describing the expected sensor data. This is therefore an information that can take into account the characteristics of the respective sensor and include an indication of the authenticity of the sensor data determined.
  • security features can be stored in the setpoint data which, for example, must be present in an image which in the present case is referred to as sensor data. On the basis of this setpoint data, it can be verified in subsequent process steps whether the detected sensor data are actually genuine.
  • the target data in the final device itself be stored and are preferably stored in a secure environment of the terminal.
  • the encrypting of the detected sensor data of the user together with stored setpoint data is performed in such a way that conventional encryption algorithms can be used which both encode the sensor data of the user together with stored setpoint data, or also encrypt the detected sensor data and encrypt the stored setpoint data separately.
  • the encrypted data is then transmitted via a communication interface from the terminal to the authentication authority.
  • the skilled person is familiar with other components that find use. Typically, these are network technology components.
  • the received data is encrypted. This is done remotely since the encryption is preferably done in the terminal and the decryption is done in the authentication site. Thus, remote decryption relies on the data being first transmitted and then decrypted according to one aspect of the present invention. Since the authentication point now the detected sensor data and the stored target data is present, this is able to compare the sensor data with the stored target data and to check for deviations. For example, the desired data have safety margins, which are given only if the sensors used or the sensor works as specified. If, therefore, these target data are not present within the sensor data, then it can be concluded that the supposedly detected sensor data are manipulated.
  • the target data describe optical security features that must be present with sensor data that maps the user. If the user's image has been manipulated or the surface of a value document has been manipulated, sensor data of the user is detected, but this sensor data does not have the required security features. Thus, a comparison of the detected sensor data with the stored nominal data results in the fact that there is no agreement with regard to the security features.
  • the method is aborted because the sensor data is manipulated.
  • manipulations can be identified, which both focus on the image of the user and also indicate a manipulation of the sensors themselves.
  • the sensors may be configured to independently encode security features into a fingerprint or an image of the user. These encoded security features are stored as nominal data and must therefore also be present in the acquired sensor data.
  • the sensor data recorded is actually the sensor data to be expected.
  • the expected sensor data are correlated with the target data and thus describe sensor data, which are real and thus one identify authorized users.
  • the expected sensor data are true sensor data of a non-manipulated sensor.
  • the detected sensor data reflect the authorized user
  • problems with the detection of the sensor data For example, the user deposits a voice sample, whereupon the microphone picks up unexpected background noise.
  • the user upon a negative comparison of the detected sensor data with the stored nominal data, to request the user to provide new sensor data.
  • This can be followed by known method steps, which suggest that a certain number of repetitions is possible or a so-called time-out is provided after the process is aborted without a positive authentication.
  • the terminal provides a secure environment that performs all safety-critical process steps.
  • Safety-critical method steps are, in particular, the encryption of the sensor data or the acquisition of the sensor data.
  • the secure environment also provides means to check whether the sensors used are manipulated or not.
  • the secured environment can also be backed up both in terms of software technology and hardware. In terms of hardware, this can be done in such a way that, for example, structural features are provided which counteract manipulations.
  • different memory can be provided for different components. This prevents multiple components from sharing a single memory, potentially giving them access to unauthorized memory.
  • control commands can be hardwired provided that is, physically implemented so that no software attacks are possible.
  • Corresponding security features can also be implemented by software, which in turn includes cryptographic methods, as well as a corresponding rights management.
  • the secured environment is set up to check a functionality of the at least one sensor according to a stored specification.
  • This has the advantage that the secured environment can determine whether the sensor or the sensors have been manipulated. If, for example, an imaging sensor, ie a camera, has been replaced, it is possible that this camera no longer works according to the specification. Thus, this is detected by the secure environment, and the sensor data can be discarded. For this purpose, for example, test steps can be provided which record test sensor data and evaluate it.
  • the secure environment personalizes control commands to encrypt the sensor data.
  • This has the advantage that control commands that perform safety-critical tasks are not always delivered or implemented in the same form, but rather they are personalized, for example, by inserting counters, timestamps or the like to later check whether the control commands have been manipulated or not.
  • the secure environment performs the encryption in response to a sensor identity.
  • This has the advantage that the encryption of the data takes place in such a way that, for example, a sensor identifier which encodes it for the terminal, the secured environment and / or the authentication site is encoded. makes it possible to check whether the sensor to be used has actually been used. Thus, it is thus possible to prevent a sensor from being replaced, whereupon the sensor data can no longer be decrypted on the part of the authentication point.
  • the secure environment performs encryption with changing keys.
  • This has the advantage that a first key can be used for a first encryption and a first decryption, and a second key for a second encryption and a second decryption.
  • different keys can be used for each authentication process.
  • This increases security by allowing an attacker to exploit a wrongly received key only for a single authentication process. In this case, it is only necessary to ensure that the terminal or the secure environment as well as the authentication point each have knowledge about which key is now to be used.
  • decryption with corresponding keys also takes place. For example, this can be done by asymmetric encryption.
  • the secure environment performs encryption using session keys. This has the advantage that the cryptographic keys used are discarded after a completed authentication process. This in turn increases the security of the proposed method.
  • the secure environment provides both control commands and physical features Securing the lock before.
  • This has the advantage that the secured environment is both software-technically and hardware-technically adapted to withhold manipulation.
  • known methods can be used, which include, for example, cryptographic methods.
  • the secure environment performs the encryption using a security element.
  • a security element This has the advantage that a "Secure Element" SE can be used, as provided for example with respect to a SIM card or an eUICC.
  • the secure environment establishes a secure connection with the authentication authority.
  • This has the advantage that the data transmission is also particularly secure since the data transmission transmits both the stored nominal data and the detected sensor data.
  • the stored nominal data enable an authenticity check of the detected sensor data.
  • the target data can have security features, for example, which are always to be coded into the sensor data.
  • the setpoint data provides an indication of a genuineness of the acquired sensor data, since these provide particularly characteristic features of the sensor data. ben and thus describe the expected sensor data such that a deviation of expected sensor data is detected by manipulated sensor data.
  • encrypting comprises signing.
  • the secured environment can also sign the resulting data packet in such a way that it can also be determined on the receiver side, that is to say on the side of the authentication point, whether the encrypted data was manipulated per se.
  • the secure environment provides an interface to conventional applications. This has the advantage that the secure environment can already communicate with implemented applications, and in particular that safety-critical control commands can be executed in the secure environment, while the rest of the business logic can be stored in unsecured memories.
  • the object is also achieved by a terminal for secure authentication, with at least one sensor for remote authentication of the user, a device for capturing sensor data of the user and a crypto unit, configured to encrypt the detected sensor data of the user together with stored desired data, the expected Describe sensor data, wherein the encrypting takes place in a secure environment of the terminal.
  • an authentication arrangement for secure authentication by means of a terminal with at least one message. sor in the terminal for remote authentication of the user, set up for detecting sensor data of the user, as well as a cryptography unit configured to encrypt the detected sensor data of the user together with stored setpoint data, which describe the expected sensor data, as well as a remote authentication, set up for Decrypting and comparing the detected sensor data with the stored target data for authentication of the user, wherein the encrypting takes place in a secure environment of the terminal.
  • the object is achieved by a computer program product with control commands which implement the proposed method or operate the proposed terminal and the proposed authentication arrangement.
  • the sensor data of the user does not relate solely to direct data of the user, such as an image, a fingerprint or a vote, but rather, these sensor data also include security features, such as identity documents, which are held to the sensor.
  • the method proposes method scribes, which can also be physically implemented by means of structural features in the terminal or in the authentication arrangement.
  • the terminal as well as the authentication arrangement provides structural features, which can also be implemented as method steps.
  • the authentication arrangement can alternatively also be referred to as an authentication arrangement, since this only reflects the perspective of the end user. Should the end user be referring to the authentication authority identify, the proposed arrangement may be referred to as an authentication arrangement. However, if a service or sensitive data is released, this is an authentication arrangement.
  • the authentication center can also be referred to as an authentication center, since it accepts personal data of the user who is to authenticate it.
  • FIG. V shows an authentication arrangement according to one aspect of the present invention
  • FIG. 3 shows a mobile terminal and an authentication center according to a
  • FIG. 4 is a flowchart of a secure authentication method according to one aspect of the present invention.
  • Fig. 1 shows a mobile terminal 1 and an authentication point 7, which provide the authentication arrangement in their interaction.
  • an identification using image data z For example, an ID card or a used device may be manipulated, with a recipient of the data unable to determine the manipulation.
  • the mobile device 1 is a sensor 2, z.
  • As a camera, wherein recorded with the sensor data is sent to an application 4.
  • the application 4 is located in a secure environment, also called Trusted Application Kernel 3.
  • the application 4 combines the sensor data with target data to be acquired and encrypts it with an encryption application 5 and sends it via a data connection 6 to a server 7, the data being authenticated by the secure environment TAK.
  • the server 7 decrypts and verifies the data, whether they are authenticated by TAK and whether the recorded sensor data match with sensor data to be recorded.
  • a video identification method can be implemented.
  • Fig. 2 shows a mobile terminal with a camera and a sensor. Furthermore, a cryptography unit is provided for encrypting and signing data.
  • the secure environment is associated with different sensors, such as the camera or a microphone.
  • the secure environment is installed in the present Fig. 2 center left within the terminal. This is mainly installed below the display.
  • the application ie the control commands, is executed.
  • the secure environment is not only connected to the sensors, but is also set up to establish a secure connection to a server, that is to say an authentication point.
  • a crypto module for decryption is also provided on the server side.
  • a symmetric or asymmetric encryption can be performed.
  • a protected data stream that is encrypted and / or signed is exchanged between the terminal on the left side and the server on the right side.
  • a document eg. As a passport or driver's license
  • an application is created which, with the help of the secure area TAK, determines that it is running on an unmanipulated telephone or PC and therefore securely ii has manipulated access to the camera and sensors of the device.
  • SSL connection to an online service that verifies and validates these security properties.
  • this online service is a service offered by the Authentication Body. Further data, eg The location of the phone, visible Wi-Fi networks can also be consulted. Thus, manipulation attempts by users can be made much more difficult.
  • a secure environment ie a trusted application kernel TAK, which represents a client-server application, can be attested with the help that an application runs on an unmanipulated mobile phone and neither the data nor the running time instance of the application is manipulated.
  • TAK trusted application kernel
  • FIG. 3 shows on the left side a secure authentication terminal in accordance with an aspect of the present invention, and on the right side shows an authentication site operating predominantly as a cloud service.
  • the terminal on the left side has an application, that is to say an application which communicates with a secure environment TAK by means of an interface Client API.
  • various components are provided, which are arranged within the secured area.
  • a security element ie a secure element, as well as software-based security systems.
  • Security systems include, for example, a fingerprint sensor, cryptographic systems with keys, a specially secured memory and biometric sensors, such. B. a camera.
  • an authentication point On the right side, an authentication point is shown, which also has a secure area.
  • the secured area must also be provided in both units, namely the terminal and the authentication point.
  • all method steps which are executed by the terminal can also be performed inversely by the authentication authority. If, therefore, an encryption takes place on the sender side, a decryption always takes place on the receiver side as well.
  • the inventive method can be performed distributed to the two units.
  • FIG. 4 shows a method for secure authentication by means of a terminal, with the steps of detecting 100 sensor data of a user by means of at least one sensor in the terminal for remote authentication of the user. Furthermore, an encryption 101 of the detected sensor data of the user takes place together with stored setpoint data which describe the expected sensor data. In addition, a remote decrypting 102 is performed by an authentication authority and comparing 103 of the acquired sensor data with the stored target data for authentication of the user, wherein the encryption 101 takes place in a secured environment of the terminal.

Abstract

The invention relates to a method for the secure authentication of a user by means of a terminal, preferably by transmitting optical sensor data for authentication with respect to an authentication entity. The invention further relates to a terminal for secure authentication and to an authentication arrangement, which is configured according to the method. The invention further relates to a computer program product having control commands, which implement the method and operate the terminal and the authentication arrangement according to the invention.

Description

Integritätsprüfung einer sicherheitsrelevanten Applikation  Integrity check of a security-relevant application
Die vorliegende Erfindung ist gerichtet auf ein Verfahren zum sicheren Au- thentifizieren eines Benutzers mittels eines Endgeräts, vorzugsweise durch Übermittlung von optischen Sensordaten zur Authentifizierung gegenüber einer Authentifizierungsstelle. Die Erfindung ist ferner gerichtet auf ein Endgerät zum sicheren Authentifizieren sowie eine Authentisierungsanord- nung, welche entsprechend dem Verfahren eingerichtet ist. Ferner wird ein Computerprogrammprodukt vorgeschlagen mit Steuerbefehlen, welche das Verfahren implementieren bzw. das erfindungsgemäße Endgerät und die Authentisierungsanordnung betreiben. The present invention is directed to a method for securely authenticating a user by means of a terminal, preferably by transmitting optical sensor data for authentication to an authentication authority. The invention is further directed to a terminal for secure authentication and an authentication arrangement, which is set up according to the method. Furthermore, a computer program product is proposed with control commands which implement the method or operate the terminal according to the invention and the authentication arrangement.
Bekannt sind diverse Verfahren zur Authentifizierung eines Benutzers gegenüber einem Dienstanbieter, welcher sensible Daten oder sensible Dienste anbietet. Hierzu erfolgt typischerweise die Eingabe einer Benutzerkennung sowie eines Passworts. Hierbei ist es jedoch besonders nachteilig, dass ein Benutzer beispielsweise sein Passwort verlieren bzw. vergessen kann und sich somit keinen Zugriff zu sensiblen Diensten verschaffen kann. Ein weiterer Nachteil hierbei ist es, dass eine Benutzerkennung typischerweise öffentlich ist und auch ein Angreifer eventuell unberechtigterweise auf das Passwort zugreifen kann. Somit ist es einem Angreifer möglich, Zugang zu den sensiblen Daten und Dienst zu erlangen, wodurch erheblicher Schaden entstehen kann. Various methods are known for authenticating a user to a service provider, which offers sensitive data or sensitive services. Typically, this is done by entering a user ID and a password. However, it is particularly disadvantageous that a user can lose or forget his password, for example, and thus can not gain access to sensitive services. Another disadvantage here is that a user ID is typically public and an attacker may possibly unauthorized access to the password. Thus, it is possible for an attacker to gain access to the sensitive data and service, which can cause considerable damage.
Um solche Sicherheitsrisiken weitgehend auszuschließen, sind Verifikationsverfahren bekannt, bei denen ein Benutzer beispielsweise ein Sicherheitsdokument, z. B. einen Ausweis, vorhält und somit eine Authentisierung einleitet. Hierbei können biometrische Merkmale des Benutzers Einsatz finden, welche einem Prüf dienst bzw. einem Sicherheitsbeamten eine Prüfung ermöglichen, ob das Wertdokument tatsächlich dem Benutzer zuzuordnen ist, der das Dokument vorhält. Hierbei ist es jedoch besonders nachteilig, dass solche Sicherheitsmerkmale von Wertdokumenten lediglich darauf ausgelegt sind, eine derartige Authentisierung des Benutzers derart durchzuführen, dass der Benutzer persönlich das physische Wertdokument vorhält. Nicht möglich ist demgemäß eine entfernte Authentisierung, wobei ein Benutzer beispielsweise mittels einer Webcam ein Sicherheitsdokument vorhält. In order to largely exclude such security risks, verification methods are known in which a user, for example, a security document, eg. B. holds an ID card, and thus initiates authentication. In this case, biometric features of the user can be used, which enable a test service or a security officer to check whether the value document is actually to be assigned to the user, who holds the document. However, it is particularly disadvantageous that such security features of value documents are merely designed to perform such an authentication of the user in such a way that the user personally holds the physical value document. Accordingly, a remote authentication is not possible, wherein a user holds a security document by means of a webcam, for example.
Generell ist es zwar möglich, dass ein Dienstanbieter eine Authentisierung eines Benutzers mittels einer Webcam zulässt, wobei jedoch wiederum unterschiedliche Angriffsszenarien entstehen. So ist es beispielsweise möglich, dass der Benutzer ein Ausweisdokument mitsamt einem Lichtbild bereitstellt, dieses Lichtbild jedoch nicht das ist, welches auf dem Ausweisdokument tatsächlich hinterlegt ist. So könnte der Benutzer mittels eines herkömmlichen Druckers ein eigenes Lichtbild ausdrucken und dieses auf dem Ausweisdokument platzieren. Da eine Verifikation lediglich mittels einer Webcam erfolgt, ist es oftmals nicht möglich, eine derart einfache Fälschung zu erkennen. Dies wiederum ist der Fall, da Sicherheitsdokumente typischerweise auf ein direktes physisches Übergeben an das Sicherheitspersonal ausgelegt sind. Although it is generally possible for a service provider to authorize a user by means of a webcam, in turn, different attack scenarios arise. For example, it is possible for the user to provide an identification document together with a photograph, but this photograph is not what is actually stored on the identification document. For example, the user could use a conventional printer to print their own photograph and place it on the ID card. Since a verification is done only by means of a webcam, it is often not possible to detect such a simple forgery. This in turn is the case because security documents are typically designed for direct physical delivery to security personnel.
Ferner besteht der Nachteil, dass ein Benutzer sof twareseitig eine Manipulation eines solchen Authentisierungsdienstes vornimmt. So ist es beispielsweise möglich, vorab ein Video einer berechtigten Person mitsamt Sicherheitsdokument aufzunehmen und dies mehrfach gegenüber dem Authentisie- rungsdienst vorzuspielen. Ferner sind diverse Techniken des Augmented Realität bekannt, die rein virtuell das Aufnahmebild derart abfälschen können, dass beispielsweise das Gesicht des Benutzers mitsamt dessen biometrischen Daten abgeändert werden kann. Ferner ist es jedoch möglich, vorgehaltene Ausweisdokumente virtuell derart abzuändern oder zu ersetzen, dass sich eben auch eine nicht-berechtigte Person authentisieren kann. Hierbei ist es insbesondere bekannt, ein Echtzeitbild bereitzustellen, indem die Person bzw. das Ausweisdokument derart animiert ist, dass das Gesicht und das Ausweisdokument auch unterschiedlichen Winkeln der Kameraperspektive folgen kann und somit ein vermeintlich echtes Authentisieren stattfinden kann. Furthermore, there is the disadvantage that a user on the two side makes a manipulation of such an authentication service. Thus, it is possible, for example, to record a video of an authorized person together with a security document in advance and audition this several times in relation to the authentication service. Furthermore, various techniques of augmented reality are known, which can falsify the recorded image in a purely virtual manner in such a way that, for example, the user's face together with its biometric data can be modified. Furthermore, however, it is possible to virtually modify or replace stored identification documents in such a way that that even an unauthorized person can authenticate himself. In this case, it is particularly known to provide a real-time image in that the person or the ID document is animated in such a way that the face and the ID document can also follow different angles of the camera perspective and thus a supposedly authentic authentication can take place.
Insbesondere ist es auch nachteilig, dass die verwendete Hardware zur Be- nutzerauthentisierung von dem Benutzer selbst adrninistriert und daher manipuliert werden kann. Typischerweise stellen Authentisierungsdienste ihre eigene Hardware bereit, beispielsweise ein Bankautomat, die eben auch von dem Authentisierungsdienst administriert wird. Typischerweise möchte sich jedoch der Benutzer mit herkömmlicher Hardware authentisieren, ohne hierbei speziell bereitgestellte Hardware des Anbieters zu verwenden. Ein Bereitstellen von anbieterseitig administrierter Hardware würde hingegen einen Mehraufwand darstellen und die Akzeptanz eines solchen Verfahrens beim Benutzer mindern. In particular, it is also disadvantageous that the hardware used for user authentication can be registered by the user himself and therefore manipulated. Typically, authentication services provide their own hardware, such as an ATM, which is also administered by the authentication service. Typically, however, the user wants to authenticate with conventional hardware without using specially provided hardware from the provider. On the other hand, provision of hardware administrated by the supplier would represent additional expenditure and reduce the acceptance of such a method by the user.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren zum sicheren entfernten Authentisieren bereitzustellen, bei dem trotz des geringen technischen Aufwands eine sichere Authentisierung stattfinden kann. Es ist ferner eine Aufgabe der vorliegenden Erfindung, ein entsprechendes Endgerät bereitzustellen sowie eine Authentisierungsanordnung zum sicheren Authentifizieren. Ferner ist es eine Aufgabe der vorliegenden Erfindung, ein entsprechend eingerichtetes Computerprogrammprodukt bereitzustellen, mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren bzw. das vorgeschlagene Endgerät und die Authentisierungsanordnung betreiben. Die Aufgabe wird gelöst durch ein Verfahren mit den Merkmalen des Patentanspruchs 1. Weitere vorteilhafte Ausgestaltungen sind in den Unter ansprächen angegeben. It is therefore an object of the present invention to provide a method for secure remote authentication in which secure authentication can take place despite the low technical overhead. It is a further object of the present invention to provide a corresponding terminal and an authentication arrangement for secure authentication. Furthermore, it is an object of the present invention to provide a correspondingly configured computer program product with control commands which implement the proposed method or operate the proposed terminal and the authentication arrangement. The object is achieved by a method having the features of claim 1. Further advantageous embodiments are given in the sub-claims.
Demgemäß wird ein Verfahren zum sicheren Authentifizieren mittels eines Endgeräts vorgeschlagen, mit den Schritten des Erfassens von Sensordaten eines Benutzers mittels mindestens eines Sensors in dem Endgerät zum entfernten Authentisieren des Benutzers sowie des Verschlüsseins der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben. Hierauf erfolgt ein entferntes Entschlüsseln durch eine Authentifizierungsstelle und Vergleichen der erfassten Sensordaten mit den abgespeicherten Solldaten zur Authentifizierung des Benutzers, wobei das Verschlüsseln in einer gesicherten Umgebung des Endgeräts erfolgt. Accordingly, a method for secure authentication by means of a terminal is proposed, comprising the steps of detecting sensor data of a user by means of at least one sensor in the terminal for remote authentication of the user and the closure of the detected sensor data of the user together with stored desired data containing the expected sensor data describe. This is followed by a remote decryption by an authentication authority and comparing the detected sensor data with the stored target data for authentication of the user, wherein the encryption takes place in a secure environment of the terminal.
Ein Authentifizieren des Endgeräts impliziert in einem vorbereitenden Verfahrensschritt ein Authentisieren des Benutzers derart, dass dieser mittels eines Endgeräts, vorzugsweise ein mobiles Endgerät, Authentisierungsdaten bereitstellt. Hierzu verfügt der Benutzer über entsprechende Sensoren, welche in dem Endgerät verbaut sind. Hierbei können jegliche Sensoren Verwendung finden, welche benutzerbezogene Merkmale erfassen können. Insbesondere kann es sich hierbei um ein Mikrofon und/ oder eine Kamera handeln. Somit ist es dem Benutzer möglich, sich über die Kamera beispielsweise seines Laptops gegenüber der Authentisierungsstelle zu authentisieren, wobei er ein Sicherheitsmerkmal vor die Kamera hält. Analog hierzu ist es auch möglich, eine Stimmauthentisierung des Benutzers derart durchzuführen, dass eine hinterlegte Stimmprobe des Benutzers zur Authentisierung Verwendung findet. Ferner ist es möglich, dass das Endgerät weitere Sensoren bereitstellt, wie beispielsweise einen Fingerabdruckssensor. Somit ist es möglich, einzelne Sensoren bzw. eine Kombination daraus zum Bereitstellen der Sensordaten zu verwenden. So kann beispielsweise ein Bild des Benutzers mit seinem Fingerabdruck kombiniert werden. Im Rahmen der Erfindung ist unter Authentisierung auch eine Identifizierung, insbesondere ein Enrollment zu verstehen, wie es bei sogenannten Videoident- Verfahren zum Einsatz kommt. Beispielsweise sieht in einem Videoident- Verfahren eine au- thentisierende Stelle, z.B. eine Bank, ein Bild eines Kundens zum ersten Mal und versucht anhand der vorhandenen Informationen, die Identität des Kundens festzustellen, indem die Informationen auf Plausibilität geprüft werden. Authenticating the terminal implies in a preparatory method step an authentication of the user in such a way that the latter provides authentication data by means of a terminal, preferably a mobile terminal. For this purpose, the user has corresponding sensors, which are installed in the terminal. In this case, any sensors can be used which can detect user-related features. In particular, this may be a microphone and / or a camera. Thus, it is possible for the user to authenticate himself via the camera of, for example, his laptop to the authentication point, while keeping a security feature in front of the camera. Analogously, it is also possible to perform a voice authentication of the user such that a stored voice sample of the user is used for authentication. Furthermore, it is possible for the terminal to provide further sensors, such as a fingerprint sensor. Thus it is possible to use individual sensors or a combination thereof for providing the sensor data. For example, a picture of the user can be combined with his fingerprint. In the context of the invention, authentication is also to be understood as meaning an identification, in particular an enrollment, as used in so-called videoident methods. For example, in a videoident process, an authenticating entity, eg, a bank, sees a picture of a customer for the first time, and uses the information available to determine the identity of the customer by checking the information for plausibility.
Hierbei ist es jedoch problematisch, dass der Benutzer generell seine Hardware selbst administriert und ggf. die Sensoren manipulieren kann. Hierdurch wird es potenziell dem Benutzer ermöglicht, gefälschte Sensordaten zu ermitteln. Dem begegnet die vorliegende Erfindung dadurch, dass zum Einen zu den erfassten Sensordaten abgespeicherte Solldaten vorliegen, welche die zu erwartenden Sensordaten beschreiben. Ferner erfolgt mindestens das Verschlüsseln in einer gesicherten Umgebung des Endgeräts. In this case, however, it is problematic that the user can generally administer his own hardware and possibly manipulate the sensors. This potentially enables the user to identify fake sensor data. This is countered by the present invention in that, on the one hand, setpoint data stored with the acquired sensor data are present, which describe the expected sensor data. Furthermore, at least the encryption takes place in a secure environment of the terminal.
Bei den Solldaten kann es sich um Metadaten handeln, welche die zu erwartenden Sensordaten beschreiben. Hierbei handelt es sich also um eine Information, die Charakteristika des jeweiligen Sensors berücksichtigen können und einen Hinweis auf die Echtheit der ermittelten Sensordaten beinhalten. Beispielsweise können in den Solldaten Sicherheitsmerkmale hinterlegt werden, welche beispielsweise in ein Bild, welches vorliegend als Sensordaten bezeichnet wird, vorhanden sein müssen. Anhand dieser Solldaten kann in darauffolgenden Verfahrensschritten verifiziert werden, ob die erfassten Sensordaten tatsächlich echt sind. Hierzu können die Solldaten in dem End- gerät selbst abgespeichert werden und werden vorzugsweise in einer gesicherten Umgebung des Endgeräts abgespeichert. The target data may be metadata describing the expected sensor data. This is therefore an information that can take into account the characteristics of the respective sensor and include an indication of the authenticity of the sensor data determined. For example, security features can be stored in the setpoint data which, for example, must be present in an image which in the present case is referred to as sensor data. On the basis of this setpoint data, it can be verified in subsequent process steps whether the detected sensor data are actually genuine. For this purpose, the target data in the final device itself be stored and are preferably stored in a secure environment of the terminal.
Das Verschlüsseln der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten erfolgt derart, dass herkömmliche Verschlüsselungsalgorithmen Einsatz finden können, die sowohl die Sensordaten des Benutzers mitsamt abgespeicherten Solldaten verschlüsseln, oder aber auch die erfassten Sensordaten verschlüsseln und separat die abgespeicherten Solldaten verschlüsseln. Die verschlüsselten Daten werden anschließend über eine Kommunikationsschnittstelle von dem Endgerät an die Authentifizierungs- stelle übermittelt. Hierbei sind dem Fachmann weitere Komponenten bekannt, die Verwendung finden. Typischerweise sind dies netzwerktechnisch eingerichtete Komponenten. The encrypting of the detected sensor data of the user together with stored setpoint data is performed in such a way that conventional encryption algorithms can be used which both encode the sensor data of the user together with stored setpoint data, or also encrypt the detected sensor data and encrypt the stored setpoint data separately. The encrypted data is then transmitted via a communication interface from the terminal to the authentication authority. In this case, the skilled person is familiar with other components that find use. Typically, these are network technology components.
Ferner ist es besonders vorteilhaft, die verschlüsselten Daten zu signieren und diese über eine gesicherte Kornmunikationsverbindung von dem Endgerät an die Authentifizierungsstelle zu übermitteln. Dieses Übermitteln kann auch über eine Luftschnittstelle erfolgen, derart, dass beispielsweise ein Mobiltelefon die verschlüsselten Daten an die Authentifizierungsstelle übermittelt. Furthermore, it is particularly advantageous to sign the encrypted data and to transmit it via a secure communication link from the terminal to the authentication site. This transmission can also take place via an air interface, such that, for example, a mobile telephone transmits the encrypted data to the authentication point.
Nach einem Empfangen der verschlüsselten Daten durch die Authentifizierungsstelle erfolgt ein Verschlüsseln der empfangenen Daten. Dies wird entfernt durchgeführt, da das Verschlüsseln vorzugsweise in dem Endgerät durchgeführt wird und das Entschlüsseln in der Authentifizierungsstelle durchgeführt wird. Somit stellt das entfernte Entschlüsseln darauf ab, dass die Daten gemäß einem Aspekt der vorliegenden Erfindung zuerst übertragen werden und dann entschlüsselt werden. Da der Authentifizierungsstelle nunmehr die erfassten Sensordaten und die abgespeicherten Solldaten vorliegen, ist diese in der Lage, die Sensordaten mit den abgespeicherten Solldaten zu vergleichen und hierbei auf Abweichungen zu prüfen. Beispielsweise weisen die Solldaten Sicherheitsmerlanale auf, welche nur dann gegeben sind, falls die verwendeten Sensoren bzw. der Sensor spezifikationsgemäß arbeitet. Liegen also diese Solldaten innerhalb der Sensordaten nicht vor, so kann daraus geschlossen werden, dass die vermeintlich erfassten Sensordaten manipuliert sind. Beispielsweise beschreiben die Solldaten optische Sicherheitsmerkmale, welche bei Sensordaten vorliegen müssen, die den Benutzer abbilden. Wurde das Abbild des Benutzers manipuliert bzw. die Oberfläche eines Wertdokuments manipuliert, so werden zwar Sensordaten des Benutzers erfasst, diese Sensordaten weisen aber nicht die geforderten Sicherheitsmerkmale auf. Somit ergibt ein Vergleichen der erfassten Sensordaten mit den abgespeicherten Solldaten, dass eben keine Übereinstimmung bezüglich den Sicherheitsmerkmalen gegeben ist. After the encrypted data has been received by the authentication authority, the received data is encrypted. This is done remotely since the encryption is preferably done in the terminal and the decryption is done in the authentication site. Thus, remote decryption relies on the data being first transmitted and then decrypted according to one aspect of the present invention. Since the authentication point now the detected sensor data and the stored target data is present, this is able to compare the sensor data with the stored target data and to check for deviations. For example, the desired data have safety margins, which are given only if the sensors used or the sensor works as specified. If, therefore, these target data are not present within the sensor data, then it can be concluded that the supposedly detected sensor data are manipulated. For example, the target data describe optical security features that must be present with sensor data that maps the user. If the user's image has been manipulated or the surface of a value document has been manipulated, sensor data of the user is detected, but this sensor data does not have the required security features. Thus, a comparison of the detected sensor data with the stored nominal data results in the fact that there is no agreement with regard to the security features.
Somit erfolgt ein negatives Vergleichen, und das Verfahren wird abgebrochen, da die Sensordaten manipuliert sind. Hierzu lassen sich Manipulationen identifizieren, welche sowohl auf das Abbild des Benutzers abstellen als auch auf eine Manipulation der Sensoren an sich hindeuten. Beispielsweise können die Sensoren eingerichtet sein, eigenständig Sicherheitsmerkmale in einen Fingerabdruck oder ein Abbild des Benutzers einzucodieren. Diese eincodierten Sicherheitsmerkmale werden als Solldaten hinterlegt und müssen somit in den erfassten Sensordaten ebenfalls vorliegen. Thus, a negative comparison is made and the method is aborted because the sensor data is manipulated. For this purpose, manipulations can be identified, which both focus on the image of the user and also indicate a manipulation of the sensors themselves. For example, the sensors may be configured to independently encode security features into a fingerprint or an image of the user. These encoded security features are stored as nominal data and must therefore also be present in the acquired sensor data.
Ist dies der Fall, so erfolgt ein positives Vergleichen, und es wird daraus geschlossen, dass die erfassten Sensordaten tatsächlich die zu erwartenden Sensordaten sind. Die zu erwartenden Sensordaten sind mit den Solldaten korreliert und beschreiben somit Sensordaten, welche echt sind und somit einen berechtigten Benutzer identifizieren. Somit handelt es sich also bei den zu erwartenden Sensordaten um echte Sensordaten eines nicht-manipulierten Sensors. If this is the case, a positive comparison takes place, and it is concluded that the sensor data recorded is actually the sensor data to be expected. The expected sensor data are correlated with the target data and thus describe sensor data, which are real and thus one identify authorized users. Thus, the expected sensor data are true sensor data of a non-manipulated sensor.
Ferner ist es möglich, dass zwar die erfassten Sensordaten den berechtigten Benutzer widerspiegeln, dass es hierbei jedoch Probleme bei der Erfassung der Sensordaten gibt. Beispielsweise hinterlegt der Benutzer eine Stimmprobe, worauf das Mikrofon unerwartete Hintergrundgeräusche aufnimmt. Somit ist es möglich, bei einem negativen Vergleichen der erfassten Sensordaten mit den abgespeicherten Solldaten den Benutzer aufzufordern, erneute Sensordaten bereitzustellen. Hierauf können bekannte Verfahrensschritte erfolgen, die vorschlagen, dass eine gewisse Anzahl an Wiederholungen möglich ist oder ein sogenannter Time-out vorzusehen ist, nachdem ohne eine positive Authentisierung der Vorgang abgebrochen wird. Furthermore, it is possible that, although the detected sensor data reflect the authorized user, there are problems with the detection of the sensor data. For example, the user deposits a voice sample, whereupon the microphone picks up unexpected background noise. Thus, it is possible, upon a negative comparison of the detected sensor data with the stored nominal data, to request the user to provide new sensor data. This can be followed by known method steps, which suggest that a certain number of repetitions is possible or a so-called time-out is provided after the process is aborted without a positive authentication.
Hierbei ist es besonders vorteilhaft, dass das Endgerät eine gesicherte Umgebung vorsieht, die alle sicherheitskritischen Verfahrensschritte ausführt. Bei sicherheitskritischen Verfahrensschritten handelt es sich insbesondere um das Verschlüsseln der Sensordaten bzw. das Erfassen der Sensordaten. Hierbei ist es vorgesehen, dass die gesicherte Umgebung auch Mittel bereitstellt, zu überprüfen, ob die verwendeten Sensoren manipuliert sind oder nicht. Auch kann die gesicherte Umgebung sowohl softwaretechnisch als auch hardwaretechnisch gesichert werden. Hardwaretechnisch kann dies derart erfolgen, dass beispielsweise strukturelle Merkmale vorgesehen sind, die Manipulationen entgegenwirken. So können für unterschiedliche Komponenten unterschiedliche Speicher vorgesehen werden. Hierdurch wird verhindert, dass sich mehrere Komponenten einen einzigen Speicher teilen und somit ggf. Zugriff auf unberechtigte Speicherbereiche erhalten. Auch können in der gesicherten Umgebung Steuerbefehle fest verdrahtet vorgesehen sein, d. h. also derart physisch implementiert werden, dass keine Softwareangriffe möglich sind. Entsprechende Sicherheitsmerkmale können auch softwaretechnisch implementiert werden, was wiederum kryptographische Verfahren beinhaltet, wie auch ein entsprechendes Rechtemanagement. It is particularly advantageous that the terminal provides a secure environment that performs all safety-critical process steps. Safety-critical method steps are, in particular, the encryption of the sensor data or the acquisition of the sensor data. In this case, it is provided that the secure environment also provides means to check whether the sensors used are manipulated or not. The secured environment can also be backed up both in terms of software technology and hardware. In terms of hardware, this can be done in such a way that, for example, structural features are provided which counteract manipulations. Thus, different memory can be provided for different components. This prevents multiple components from sharing a single memory, potentially giving them access to unauthorized memory. Also in the secure environment control commands can be hardwired provided that is, physically implemented so that no software attacks are possible. Corresponding security features can also be implemented by software, which in turn includes cryptographic methods, as well as a corresponding rights management.
Gemäß einem Aspekt der vorliegenden Erfindung ist die gesicherte Umgebung eingerichtet, eine Funktionalität des mindestens einen Sensors gemäß einer abgespeicherten Spezifikation zu überprüfen. Dies hat den Vorteil, dass die gesicherte Umgebung feststellen kann, ob der Sensor bzw. die Sensoren manipuliert wurden. Wurde beispielsweise ein bildgebender Sensor, also eine Kamera, ausgewechselt, so ist es möglich, dass diese Kamera nicht mehr gemäß der Spezifikation arbeitet. Somit wird das von der gesicherten Umgebung erkannt, und es können die Sensordaten verworfen werden. Hierzu können beispielsweise Testschritte vorgesehen sein, welche Testsensordaten erfassen und diese auswerten. According to one aspect of the present invention, the secured environment is set up to check a functionality of the at least one sensor according to a stored specification. This has the advantage that the secured environment can determine whether the sensor or the sensors have been manipulated. If, for example, an imaging sensor, ie a camera, has been replaced, it is possible that this camera no longer works according to the specification. Thus, this is detected by the secure environment, and the sensor data can be discarded. For this purpose, for example, test steps can be provided which record test sensor data and evaluate it.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung personalisiert die gesicherte Umgebung Steuerbefehle zum Verschlüsseln der Sensordaten. Dies hat den Vorteil, dass Steuerbefehle, welche sicherheitskritische Aufgaben übernehmen, nicht stets in gleicher Form ausgeliefert bzw. implementiert werden, sondern vielmehr werden diese beispielsweise mittels Einfügens von Zählern, Zeitstempeln oder dergleichen personalisiert, um später überprüfen zu können, ob die Steuerbefehle manipuliert wurden oder nicht. In accordance with another aspect of the present invention, the secure environment personalizes control commands to encrypt the sensor data. This has the advantage that control commands that perform safety-critical tasks are not always delivered or implemented in the same form, but rather they are personalized, for example, by inserting counters, timestamps or the like to later check whether the control commands have been manipulated or not.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die gesicherte Umgebung das Verschlüsseln in Abhängigkeit einer Sensoridentität durch. Dies hat den Vorteil, dass das Verschlüsseln der Daten derart erfolgt, dass beispielsweise eine Sensorkennung eincodiert wird, die es dem Endgerät, der gesicherten Umgebung und/ oder der Authentifizierungsstelle er- möglicht zu überprüfen, ob tatsächlich der zu verwendende Sensor auch genutzt wurde. Somit lässt sich also verhindern, dass ein Sensor ausgetauscht wird, worauf sich die Sensordaten auf Seiten der Authentifizierungsstelle nicht mehr entschlüsseln lassen. According to another aspect of the present invention, the secure environment performs the encryption in response to a sensor identity. This has the advantage that the encryption of the data takes place in such a way that, for example, a sensor identifier which encodes it for the terminal, the secured environment and / or the authentication site is encoded. makes it possible to check whether the sensor to be used has actually been used. Thus, it is thus possible to prevent a sensor from being replaced, whereupon the sensor data can no longer be decrypted on the part of the authentication point.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die gesicherte Umgebung das Verschlüsseln mit wechselnden Schlüsseln durch. Dies hat den Vorteil, dass bei einem ersten Verschlüsseln und einem ersten Entschlüsseln ein erster Schlüssel verwendet werden kann und bei einem zweiten Verschlüsseln und einem zweiten Entschlüsseln eben ein zweiter Schlüssel. Somit können pro Authentifizierungsvorgang jeweils unterschiedliche Schlüssel verwendet werden. Dies erhöht wiederum die Sicherheit dadurch, dass ein Angreifer einen zu Unrecht erhaltenen Schlüssel lediglich für einen einzelnen Authentifizierungsvorgang nutzen kann. Hierbei ist lediglich sicherzustellen, dass das Endgerät bzw. die sichere Umgebung wie auch die Authentifizierungsstelle jeweils Wissen darüber haben, welcher Schlüssel nunmehr zu verwenden ist. Analog zum Verschlüsseln mit wechselndem Schlüssel findet auch ein Entschlüsseln mit entsprechenden Schlüsseln statt. Beispielsweise kann dies mittels asymmetrischer Verschlüsselung durchgeführt werden. According to another aspect of the present invention, the secure environment performs encryption with changing keys. This has the advantage that a first key can be used for a first encryption and a first decryption, and a second key for a second encryption and a second decryption. Thus, different keys can be used for each authentication process. This, in turn, increases security by allowing an attacker to exploit a wrongly received key only for a single authentication process. In this case, it is only necessary to ensure that the terminal or the secure environment as well as the authentication point each have knowledge about which key is now to be used. As with encryption with a changing key, decryption with corresponding keys also takes place. For example, this can be done by asymmetric encryption.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die gesicherte Umgebung das Verschlüsseln mittels Sitzungsschlüsseln durch. Dies hat den Vorteil, dass die verwendeten kryptographischen Schlüssel nach einem abgeschlossenen Authentifizierungsvorgang verworfen werden. Hierdurch erhöht sich wiederum die Sicherheit des vorgeschlagenen Verfahrens. In accordance with another aspect of the present invention, the secure environment performs encryption using session keys. This has the advantage that the cryptographic keys used are discarded after a completed authentication process. This in turn increases the security of the proposed method.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung sieht die gesicherte Umgebung sowohl Steuerbefehle als auch physische Merkmale zur Sicherung des Verschlüsseins vor. Dies hat den Vorteil, dass die gesicherte Umgebung sowohl softwaretechnisch als auch hardwaretechnisch eingerichtet ist, Manipulation zurückzuhalten. Hierbei können bekannte Verfahren Einsatz finden, die beispielsweise kryptographische Verfahren umfassen. According to another aspect of the present invention, the secure environment provides both control commands and physical features Securing the lock before. This has the advantage that the secured environment is both software-technically and hardware-technically adapted to withhold manipulation. Here, known methods can be used, which include, for example, cryptographic methods.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die gesicherte Umgebung das Verschlüsseln unter Verwendung eines Sicherheitselements durch. Dies hat den Vorteil, dass ein„Secure Element" SE Verwendung finden kann, wie es beispielsweise bezüglich einer SIM-Karte bzw. einer eUICC vorgesehen ist. According to another aspect of the present invention, the secure environment performs the encryption using a security element. This has the advantage that a "Secure Element" SE can be used, as provided for example with respect to a SIM card or an eUICC.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung stellt die gesicherte Umgebung eine gesicherte Verbindung mit der Authentifizierungs- stelle her. Dies hat den Vorteil, dass auch die Datenübertragung besonders gesichert ist, da die Datenübertragung sowohl die abgespeicherten Solldaten als auch die erfassten Sensordaten überträgt. Hierbei ist es ebenfalls vorteilhaft, die gesicherte Umgebung ebenfalls zur Herstellung der gesicherten Verbindung zu verwenden, da bereits hier eine Manipulation stattfinden kann. So wäre es generell möglich, bezüglich der gesicherten Verbindung einen falschen Adressat einzustellen, wodurch also zwar die Verbindung gesichert wäre, der Adressat jedoch nicht die Authentifizierungsstelle wäre. Dies kann erfindungsgemäß verhindert werden. According to another aspect of the present invention, the secure environment establishes a secure connection with the authentication authority. This has the advantage that the data transmission is also particularly secure since the data transmission transmits both the stored nominal data and the detected sensor data. In this case, it is likewise advantageous to also use the secured environment for establishing the secure connection, since manipulation can already take place here. So it would be generally possible to set a false addressee with respect to the secure connection, which means that although the connection would be secured, the addressee would not be the authentication point. This can be prevented according to the invention.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung ermöglichen die abgespeicherten Solldaten eine Echtheitsprüfung der erfassten Sensordaten. Dies hat den Vorteil, dass die Solldaten beispielsweise Sicherheitsmerkmale aufweisen können, welche stets in die Sensor daten einzucodieren sind. Somit geben die Solldaten einen Hinweis auf eine Echtheit der erfassten Sensordaten, da diese besonders charakteristische Merkmale der Sensordaten vorge- ben und somit die zu erwartenden Sensordaten derart beschreiben, dass ein Abweichen von zu erwartenden Sensordaten von manipulierten Sensordaten erkannt wird. According to a further aspect of the present invention, the stored nominal data enable an authenticity check of the detected sensor data. This has the advantage that the target data can have security features, for example, which are always to be coded into the sensor data. Thus, the setpoint data provides an indication of a genuineness of the acquired sensor data, since these provide particularly characteristic features of the sensor data. ben and thus describe the expected sensor data such that a deviation of expected sensor data is detected by manipulated sensor data.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst das Verschlüsseln ein Signieren. Dies hat den Vorteil, dass beispielsweise die gesicherte Umgebung auch das resultierende Datenpaket derart signieren kann, dass auch auf Empfängerseite, also auf der Seite der Authentifizierungsstelle, festgestellt werden kann, ob die verschlüsselten Daten an sich manipuliert wurden. According to another aspect of the present invention, encrypting comprises signing. This has the advantage that, for example, the secured environment can also sign the resulting data packet in such a way that it can also be determined on the receiver side, that is to say on the side of the authentication point, whether the encrypted data was manipulated per se.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung stellt die gesicherte Umgebung eine Schnittstelle zu herkömmlichen Anwendungen bereit. Dies hat den Vorteil, dass die gesicherte Umgebung auch bereits mit implementierten Anwendungen kommunizieren kann, und insbesondere, dass sicherheitskritische Steuerbefehle in der gesicherten Umgebung ausgeführt werden können, während die übrige Geschäftslogik in ungesicherten Speichern abgelegt sein kann. In accordance with another aspect of the present invention, the secure environment provides an interface to conventional applications. This has the advantage that the secure environment can already communicate with implemented applications, and in particular that safety-critical control commands can be executed in the secure environment, while the rest of the business logic can be stored in unsecured memories.
Die Aufgabe wird auch gelöst durch ein Endgerät zum sicheren Authentifizieren, mit mindestens einem Sensor zum entfernten Authentisieren des Benutzers, ein Gerät zum Erfassen von Sensordaten des Benutzers sowie einer Kryptograpmeeinheit, eingerichtet zum Verschlüsseln der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben, wobei das Verschlüsseln in einer gesicherten Umgebung des Endgeräts erfolgt. The object is also achieved by a terminal for secure authentication, with at least one sensor for remote authentication of the user, a device for capturing sensor data of the user and a crypto unit, configured to encrypt the detected sensor data of the user together with stored desired data, the expected Describe sensor data, wherein the encrypting takes place in a secure environment of the terminal.
Die Aufgabe wird auch gelöst durch eine Authentisierungsanordnung zum sicheren Authentifizieren mittels eines Endgeräts mit mindestens einem Sen- sor in dem Endgerät zum entfernten Authentisieren des Benutzers, eingerichtet zum Erfassen von Sensordaten des Benutzers, sowie einer Kryptographieeinheit eingerichtet zum Verschlüsseln der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben, sowie eine entfernt angeordnete Authentifizie- rungsstelle, eingerichtet zum Entschlüsseln und Vergleichen der erfassten Sensordaten mit den abgespeicherten Solldaten zur Authentifizierung des Benutzers, wobei das Verschlüsseln in einer gesicherten Umgebung des Endgeräts erfolgt. The object is also achieved by an authentication arrangement for secure authentication by means of a terminal with at least one message. sor in the terminal for remote authentication of the user, set up for detecting sensor data of the user, as well as a cryptography unit configured to encrypt the detected sensor data of the user together with stored setpoint data, which describe the expected sensor data, as well as a remote authentication, set up for Decrypting and comparing the detected sensor data with the stored target data for authentication of the user, wherein the encrypting takes place in a secure environment of the terminal.
Ferner wird die Aufgabe gelöst durch ein Computerprogrammprodukt mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren bzw. das vorgeschlagene Endgerät und die vorgeschlagene Authentisierungsan- ordnung betreiben. Furthermore, the object is achieved by a computer program product with control commands which implement the proposed method or operate the proposed terminal and the proposed authentication arrangement.
Generell beziehen sich die Sensordaten des Benutzers nicht lediglich auf direkte Daten des Benutzers, also beispielsweise ein Abbild, ein Fingerabdruck oder eine Stimmabgabe, sondern vielmehr umfassen diese Sensordaten auch Sicherheitsmerkmale, wie beispielsweise Ausweisdokumente, welche dem Sensor vorgehalten werden. In general, the sensor data of the user does not relate solely to direct data of the user, such as an image, a fingerprint or a vote, but rather, these sensor data also include security features, such as identity documents, which are held to the sensor.
Generell schlägt das Verfahren Verfahrensschrirte vor, welche auch mittels struktureller Merkmale in dem Endgerät bzw. in der Authentifizierungsan- ordnung physisch umgesetzt werden können. Somit stellt das Endgerät sowie die Authentifizierungsanordnung strukturelle Merkmale bereit, welche auch als Verfahrensschritte implementiert werden können. Die Authentisie- rungsanordnung kann alternativ auch als Authentifizierungsanordnung bezeichnet werden, da dies lediglich die Perspektive des Endanwenders widerspiegelt. Soll sich der Endanwender bezüglich der Authentifizierungsstelle identifizieren, so kann die vorgeschlagene Anordnung als Authentisierungs- anordung bezeichnet werden. Erfolgt jedoch ein Freigeben eines Dienstes bzw. von sensiblen Daten, so handelt es sich hierbei um eine Authentifizierungsanordnung. Somit kann auch die Authentif izierungsstelle als eine Au- thentisierungsstelle bezeichnet werden, da diese persönliche Daten des Benutzers entgegennimmt, die diesen authentisieren sollen. In general, the method proposes method scribes, which can also be physically implemented by means of structural features in the terminal or in the authentication arrangement. Thus, the terminal as well as the authentication arrangement provides structural features, which can also be implemented as method steps. The authentication arrangement can alternatively also be referred to as an authentication arrangement, since this only reflects the perspective of the end user. Should the end user be referring to the authentication authority identify, the proposed arrangement may be referred to as an authentication arrangement. However, if a service or sensitive data is released, this is an authentication arrangement. Thus, the authentication center can also be referred to as an authentication center, since it accepts personal data of the user who is to authenticate it.
Weitere vorteilhafte Ausgestaltungen werden anhand der beigefügten Figuren näher erläutert. Es zeigt: Further advantageous embodiments will be explained in more detail with reference to the accompanying figures. It shows:
Fig. V. eine Authentifizierungsanordnung gemäß einem Aspekt der vorliegenden Erfindung; FIG. V shows an authentication arrangement according to one aspect of the present invention; FIG.
Fig. 2: eine Authentifizierungsanordnung gemäß einem weiteren Aspekt der vorliegenden Erfindung;  2 shows an authentication arrangement according to another aspect of the present invention;
Fig. 3: ein mobiles Endgerät und eine Authentif izierungsstelle gemäß einem  3 shows a mobile terminal and an authentication center according to a
Aspekt der vorliegenden Erfindung; und  Aspect of the present invention; and
Fig. 4: ein Ablaufdiagramm eines Verfahrens zum sicheren Authentifizieren gemäß einem Aspekt der vorliegenden Erfindung.  4 is a flowchart of a secure authentication method according to one aspect of the present invention.
Fig. 1 zeig ein mobiles Endgerät 1 und eine Authentifizierungsstelle 7, die in ihrem Zusammenwirken die Authentifizierungsanordnung bereitstellen. Bei einer Identifikation mittels Bilddaten können z. B. ein Ausweis oder ein verwendetes Gerät manipuliert sein, wobei ein Empfänger der Daten die Manipulation nicht feststellen kann. In dem Mobilgerät 1 befindet sich ein Sensor 2, z. B. eine Kamera, wobei mit dem Sensor aufgenommene Daten an eine Anwendung 4 gesendet werden. Die Anwendung 4 befindet sich in einer gesicherten Umgebung, auch Trusted Application Kernel 3 genannt. Die Anwendung 4 kombiniert die Sensordaten mit zu erfassenden Solldaten und verschlüsselt diese mit einer Verschlüsselungsanwendung 5 und sendet diese über eine Datenverbindung 6 an einen Server 7, wobei die Daten von der sicheren Umgebung TAK authentisiert werden. Der Server 7 entschlüsselt und überprüft die Daten, ob sie von TAK authentisiert sind und ob die aufgenommenen Sensordaten mit aufzunehmenden Sensordaten übereinstimmen. Somit kann beispielsweise ein Video-Identifikations- Verfahren implementiert werden. Fig. 1 shows a mobile terminal 1 and an authentication point 7, which provide the authentication arrangement in their interaction. In an identification using image data z. For example, an ID card or a used device may be manipulated, with a recipient of the data unable to determine the manipulation. In the mobile device 1 is a sensor 2, z. As a camera, wherein recorded with the sensor data is sent to an application 4. The application 4 is located in a secure environment, also called Trusted Application Kernel 3. The application 4 combines the sensor data with target data to be acquired and encrypts it with an encryption application 5 and sends it via a data connection 6 to a server 7, the data being authenticated by the secure environment TAK. The server 7 decrypts and verifies the data, whether they are authenticated by TAK and whether the recorded sensor data match with sensor data to be recorded. Thus, for example, a video identification method can be implemented.
Fig. 2 zeigt ein mobiles Endgerät mit einer Kamera und einen Sensor. Ferner ist eine Kryptographieeinheit zum Verschlüsseln und Signieren von Daten vorgesehen. Wie vorliegend gezeigt, ist die sichere Umgebung mit unterschiedlichen Sensoren, beispielsweise der Kamera oder einem Mikrofon, verbunden. Die gesicherte Umgebung ist in der vorliegenden Fig. 2 mittig links innerhalb des Endgeräts verbaut. Diese ist vorwiegend unterhalb des Displays verbaut. Innerhalb dieser gesicherten Umgebung wird die Applikation, also die Steuerbefehle, ausgeführt. Wie vorliegend gezeigt ist, ist die gesicherte Umgebung nicht lediglich mit den Sensoren verbunden, sondern ist ferner auch eingerichtet, eine gesicherte Verbindung mit einem Server, also einer Authentifizierungsstelle, aufzubauen. Hierzu ist auf der Seite des Servers ebenfalls ein Kryptomodul zum Entschlüsseln vorgesehen. Hierzu kann eine symmetrische oder asymmetrische Verschlüsselung durchgeführt werden. Somit wird ein geschützter Datenstrom, der verschlüsselt und/ oder signiert ist, zwischen dem Endgerät auf der linken Seite und dem Server auf der rechten Seite ausgetauscht. Fig. 2 shows a mobile terminal with a camera and a sensor. Furthermore, a cryptography unit is provided for encrypting and signing data. As shown herein, the secure environment is associated with different sensors, such as the camera or a microphone. The secure environment is installed in the present Fig. 2 center left within the terminal. This is mainly installed below the display. Within this secure environment, the application, ie the control commands, is executed. As shown in the present case, the secure environment is not only connected to the sensors, but is also set up to establish a secure connection to a server, that is to say an authentication point. For this purpose, a crypto module for decryption is also provided on the server side. For this purpose, a symmetric or asymmetric encryption can be performed. Thus, a protected data stream that is encrypted and / or signed is exchanged between the terminal on the left side and the server on the right side.
Somit kann über eine Online-Verbindung geprüft werden, ob ein Dokument, z. B. ein Ausweis oder ein Führerschein, echt ist. Dabei sollen insbesondere Fälschungsversuche auf der Anwenderseite aufgedeckt werden. Somit wird eine Applikation geschaffen, die mit Hilfe des sicheren Bereichs TAK feststellt, dass sie auf einem unmanipulierten Telefon oder PC läuft und daher sicher ii manipulierten Zugriff auf Kamera und Sensoren des Geräts hat. Ferner findet eine SSL- Verbindung zu einem Online-Service statt, der diese Sicherheitseigenschaften überprüft und bestätigt. Bei diesem Online-Service handelt es sich beispielsweise um einen Dienst, der von der Authentif izie- rungsstelle angeboten wird. Weitere Daten, z. B. Position des Telefons, sichtbare Wi-Fi-Netze, können ebenfalls hinzugezogen werden. Somit können Manipulationsversuche durch Anwender deutlich erschwert. Thus, it can be checked via an online connection, if a document, eg. As a passport or driver's license, is genuine. In particular, counterfeiting attempts on the user side are to be uncovered. Thus, an application is created which, with the help of the secure area TAK, determines that it is running on an unmanipulated telephone or PC and therefore securely ii has manipulated access to the camera and sensors of the device. There is also an SSL connection to an online service that verifies and validates these security properties. For example, this online service is a service offered by the Authentication Body. Further data, eg The location of the phone, visible Wi-Fi networks can also be consulted. Thus, manipulation attempts by users can be made much more difficult.
Somit wird also insbesondere eine sichere Umgebung geschaffen, also eine Trusted Application Kernel TAK, die eine Client-Server- Anwendung darstellt, mit deren Hilfe attestiert werden kann, dass eine Applikation auf einem unmanipulierten Mobiltelefon läuft und weder die Daten noch die Lauf zeitinstanz der Applikation manipuliert ist. Thus, in particular, a secure environment is created, ie a trusted application kernel TAK, which represents a client-server application, can be attested with the help that an application runs on an unmanipulated mobile phone and neither the data nor the running time instance of the application is manipulated.
Fig. 3 zeigt auf der linken Seite ein Endgerät zum sicheren Authentifizieren gemäß einem Aspekt der vorliegenden Erfindung und zeigt auf der rechten Seite eine Authentifizierungsstelle, welche vorwiegend als ein Cloud-Service betrieben wird. Das Endgerät auf der linken Seite weist eine Anwendung, also eine Applikation auf, die mittels einer Schnittstelle Client API mit einer sicheren Umgebung TAK kommuniziert. Hierzu sind diverse Komponenten vorgesehen, die innerhalb des gesicherten Bereichs angeordnet sind. Hierbei handelt es sich beispielsweise um ein Sicherheitselement, also ein Secure- Element, sowie softwarebasierte Sicherungssysteme. Sicherungssysteme sind beispielsweise ein Fingerabdruckssensor, Kryptographiesysteme mit Schlüsseln, ein speziell gesicherter Speicher sowie biometrische Sensoren, wie z. B. eine Kamera. 3 shows on the left side a secure authentication terminal in accordance with an aspect of the present invention, and on the right side shows an authentication site operating predominantly as a cloud service. The terminal on the left side has an application, that is to say an application which communicates with a secure environment TAK by means of an interface Client API. For this purpose, various components are provided, which are arranged within the secured area. This is, for example, a security element, ie a secure element, as well as software-based security systems. Security systems include, for example, a fingerprint sensor, cryptographic systems with keys, a specially secured memory and biometric sensors, such. B. a camera.
Auf der rechten Seite ist eine Authentifizierungsstelle gezeigt, die ebenfalls über einen gesicherten Bereich verfügt. Somit ist es besonders vorteilhaft, dass der gesicherte Bereich auch in beiden Einheiten, nämlich dem Endgerät und der Authentifizierungsstelle, vorzusehen ist. Somit lassen sich also alle Verfahrensschritte, welche durch das Endgerät ausgeführt werden, auch in- vers durch die Authentifizierungsstelle ausführen. Erfolgt also senderseitig ein Verschlüsseln, erfolgt stets auch empfängerseitig ein Entschlüsseln. Somit kann das erfindungsgemäße Verfahren verteilt auf die beiden Einheiten durchgeführt werden. On the right side, an authentication point is shown, which also has a secure area. Thus, it is particularly advantageous the secured area must also be provided in both units, namely the terminal and the authentication point. Thus, all method steps which are executed by the terminal can also be performed inversely by the authentication authority. If, therefore, an encryption takes place on the sender side, a decryption always takes place on the receiver side as well. Thus, the inventive method can be performed distributed to the two units.
Fig. 4 zeigt ein Verfahren zum sicheren Authentifizieren mittels eines Endgeräts, mit den Schritten des Erfassens 100 von Sensor daten eines Benutzers mittels mindestens eines Sensors in dem Endgerät zum entfernten Authenti- sieren des Benutzers. Ferner erfolgt ein Verschlüsseln 101 der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben. Außerdem erfolgt ein entferntes Entschlüsseln 102 durch eine Authentifizierungsstelle und Vergleichen 103 der erfassten Sensordaten mit den abgespeicherten Solldaten zur Authentifizierung des Benutzers, wobei das Verschlüsseln 101 in einer gesicherten Umgebung des Endgeräts erfolgt. 4 shows a method for secure authentication by means of a terminal, with the steps of detecting 100 sensor data of a user by means of at least one sensor in the terminal for remote authentication of the user. Furthermore, an encryption 101 of the detected sensor data of the user takes place together with stored setpoint data which describe the expected sensor data. In addition, a remote decrypting 102 is performed by an authentication authority and comparing 103 of the acquired sensor data with the stored target data for authentication of the user, wherein the encryption 101 takes place in a secured environment of the terminal.
In weiteren optionalen, darauffolgenden Verfahrensschritten kann bei einer positiven Authentisierung eine Authentifizierung des Benutzers derart erfolgen, dass diesem Zugang zu sensiblen Daten bzw. sensiblen Diensten gewährt wird. Ferner erkennt der Fachmann, dass teilweise Unterschritte vorzusehen sind, um den erfindungsgemäßen Erfolg herbeizuführen. In further optional, subsequent method steps, in the case of a positive authentication, an authentication of the user can take place in such a way that it is granted access to sensitive data or sensitive services. Furthermore, the person skilled in the art recognizes that sub-steps are sometimes to be provided in order to bring about the success of the invention.
Vorliegend nicht gezeigt ist ein Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren implementieren bzw. die physischen Komponenten betreiben. Not shown in the present case is a computer program product with control commands which implement the method or operate the physical components.

Claims

P a t e n t a n s p r ü c h e 1. Verfahren zum sicheren Authentifizieren mittels eines Endgeräts (1), mit den Schritten:  A secure method of authentication using a terminal (1), comprising the steps of:
Erfassen (100) von Sensor daten eines Benutzers mittels mindestens eines Sensors (2) in dem Endgerät (1) zum entfernten Authentisieren des Be- nutzers; Detecting (100) sensor data of a user by means of at least one sensor (2) in the terminal (1) for remote authentication of the user;
Verschlüsseln (101) der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben; und entferntes Entschlüsseln (102) durch eine Authentifizierungsstelle (7), dadurch gekennzeichnet, dass ein Vergleichen (103) der erfassten Sensordaten mit den abgespeicherten Solldaten zur Authentifizierung des Benutzers erfolgt und, dass das Verschlüsseln (101) in einer gesicherten Umgebung (3) des Endgeräts (1) erfolgt. Encrypting (101) the detected sensor data of the user together with stored setpoint data which describe the expected sensor data; and remote decrypting (102) by an authentication authority (7), characterized in that a comparison (103) of the acquired sensor data with the stored target data for authentication of the user is performed and in that the encryption (101) in a secure environment (3) of the Terminal (1) takes place.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) eingerichtet ist, eine Funktionalität des mindestens einen Sensors (2) gemäß einer abgespeicherten Spezifikation zu überprüfen. 2. The method according to claim 1, characterized in that the secured environment (3) is set up to check a functionality of the at least one sensor (2) according to a stored specification.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) Steuerbefehle zum Verschlüsseln (101) der Sensordaten personalisiert. 3. The method according to claim 1 or 2, characterized in that the secure environment (3) personalizes control commands for encrypting (101) the sensor data.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) das Verschlüsseln (101) in Abhängigkeit einer Sensoridentität durchführt. 4. The method according to any one of the preceding claims, characterized in that the secure environment (3) performs the encrypting (101) in response to a sensor identity.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) das Verschlüsseln (101) mit wechselnden Schlüsseln durchführt. 5. The method according to any one of the preceding claims, characterized in that the secure environment (3) performs the encrypting (101) with changing keys.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) das Verschlüsseln (101) mittels Sitzungsschlüsseln durchführt. 6. The method according to any one of the preceding claims, characterized in that the secure environment (3) performs the encryption (101) by means of session keys.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) sowohl Steuerbefehle als auch physische Merkmale zur Sicherung des Verschlüsseins (101) vorsieht. 7. The method according to any one of the preceding claims, characterized in that the secure environment (3) provides both control commands as well as physical features for securing the Verschlußins (101).
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) das Verschlüsseln (101) unter Verwendung eines Sicherheitselements durchführt. 8. The method according to any one of the preceding claims, characterized in that the secure environment (3) performs the encrypting (101) using a security element.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) eine gesicherte Verbindung (6) mit der Authentifizierungsstelle (7) herstellt. 9. The method according to any one of the preceding claims, characterized in that the secure environment (3) establishes a secure connection (6) with the authentication point (7).
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die abgespeicherten Solldaten eine Echtheitsprüfung der erfassten Sensordaten ermöglichen. 10. The method according to any one of the preceding claims, characterized in that the stored setpoint data enable an authenticity check of the detected sensor data.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Verschlüsseln (101) ein Signieren umfasst. 11. The method according to any one of the preceding claims, characterized in that the encrypting (101) comprises a signing.
12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Umgebung (3) eine Schnittstelle zu herkömmlichen Anwendungen bereitstellt. 12. The method according to any one of the preceding claims, characterized in that the secure environment (3) provides an interface to conventional applications.
13. Endgerät (1) zum sicheren Authentifizieren, mit: mindestens einem Sensor (2) zum entfernten Authentisieren eines Benutzers, eingerichtet zum Erfassen (100) von Sensordaten des Benutzers; einer Kryptographieeinheit (5) eingerichtet zum Verschlüsseln (101) der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensor daten beschreiben, dadurch gekennzeichnet, dass das Verschlüsseln (101) in einer gesicherten Umgebung (3) des Endgeräts (1) erfolgt. 13. A terminal (1) for secure authentication, comprising: at least one sensor (2) for remotely authenticating a user, configured to capture (100) sensor data of the user; a cryptography unit (5) configured to encrypt (101) the detected sensor data of the user together with stored target data describing the expected sensor data, characterized in that the encryption (101) in a secure environment (3) of the terminal (1) ,
14. Authentisierungsanordnung zum sicheren Authentifizieren mittels eines Endgeräts (1), mit: mindestens einem Sensor (2) in dem Endgerät zum entfernten Authentisieren eines Benutzers, eingerichtet zum Erfassen von Sensordaten des Benutzers; einer Kryptographieeinheit (5) eingerichtet zum Verschlüsseln (101) der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben; und eine entfernt angeordnete Authentifizierungsstelle (7) eingerichtet zum Entschlüsseln (102) und Vergleichen (103) der erfassten Sensor daten mit den abgespeicherten Solldaten zur Authentifizierung des Benutzers, dadurch gekennzeichnet, dass das Verschlüsseln (101) in einer gesicherten Umgebung (3) des Endgeräts (1) erfolgt. 14. An authentication arrangement for secure authentication by means of a terminal (1), comprising: at least one sensor (2) in the terminal for remotely authenticating a user, configured to capture sensor data of the user; a cryptography unit (5) configured to encrypt (101) the detected sensor data of the user together with stored setpoint data which describe the expected sensor data; and a remote authentication center (7) configured to decrypt (102) and compare (103) the acquired sensor data with the stored target data for authenticating the user, characterized in that the encrypting (101) in a secure environment (3) of the terminal (3) 1).
15. Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren gemäß einem der Ansprüche 1 bis 12 implementieren. A computer program product having control instructions implementing the method of any one of claims 1 to 12.
PCT/EP2017/001350 2016-11-23 2017-11-16 Checking the integrity of a safety-relevant application WO2018095564A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016013990.0 2016-11-23
DE102016013990.0A DE102016013990A1 (en) 2016-11-23 2016-11-23 Integrity check of a security-relevant application

Publications (1)

Publication Number Publication Date
WO2018095564A1 true WO2018095564A1 (en) 2018-05-31

Family

ID=60856997

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/001350 WO2018095564A1 (en) 2016-11-23 2017-11-16 Checking the integrity of a safety-relevant application

Country Status (2)

Country Link
DE (1) DE102016013990A1 (en)
WO (1) WO2018095564A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018009301A1 (en) 2018-11-27 2020-05-28 Giesecke+Devrient Mobile Security Gmbh Authenticating a user remotely

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070198861A1 (en) * 2006-01-18 2007-08-23 Pfu Limited Method and apparatus for processing information, and computer program product
US20150095999A1 (en) * 2013-10-01 2015-04-02 Kalman Csaba Toth Electronic Identity and Credentialing System
US20160162729A1 (en) * 2013-09-18 2016-06-09 IDChecker, Inc. Identity verification using biometric data

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2005209A3 (en) * 2002-09-10 2005-12-14 Ivi Smart Technologies, Inc. Safe biometric verification of identity
EP1783650B1 (en) * 2005-10-26 2011-01-12 Swisscom AG Method and communication system for comparing biometric data obtained by means of biometric sensors with reference data
US9361440B2 (en) * 2007-12-21 2016-06-07 Apple Inc. Secure off-chip processing such as for biometric data
US9160536B2 (en) * 2011-11-30 2015-10-13 Advanced Biometric Controls, Llc Verification of authenticity and responsiveness of biometric evidence and/or other evidence

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070198861A1 (en) * 2006-01-18 2007-08-23 Pfu Limited Method and apparatus for processing information, and computer program product
US20160162729A1 (en) * 2013-09-18 2016-06-09 IDChecker, Inc. Identity verification using biometric data
US20150095999A1 (en) * 2013-10-01 2015-04-02 Kalman Csaba Toth Electronic Identity and Credentialing System

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DR. FÜRHOFF ET AL: "BaFin - Rundschreiben - Rundschreiben 1/2014 (GW) - Verdachtsmeldung nach 11, 14 GwG und ...", BUNDESANSTALT FÜR FINANZDIENSTLEISTUNGSAUFSICHT RECHT & REGELUNGEN, 5 March 2014 (2014-03-05), XP055456192, Retrieved from the Internet <URL:https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1401_gw_verwaltungspraxis_vm.html> [retrieved on 20180302] *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018009301A1 (en) 2018-11-27 2020-05-28 Giesecke+Devrient Mobile Security Gmbh Authenticating a user remotely
EP3660730A1 (en) 2018-11-27 2020-06-03 Giesecke+Devrient Mobile Security GmbH Remote user authentication

Also Published As

Publication number Publication date
DE102016013990A1 (en) 2018-05-24

Similar Documents

Publication Publication Date Title
EP1946481B1 (en) Method for generating an advanced electronic signature for an electronic document
EP3319006B1 (en) Method for offline authenticity testing of a virtual document
EP3318999B1 (en) Method for issuing a virtual version of a document
EP1777907B1 (en) Method and devices for carrying out cryptographic operations in a client-server network
EP3529736A1 (en) Providing and checking the validity of a virtual document
EP2454700A1 (en) Method for producing a soft token
WO2011131715A1 (en) Method for reading an attribute from an id token
EP3336735B1 (en) Creation of a database for dynamic multi-factor authentication
EP3465513B1 (en) User authentication by means of an id token
US11444784B2 (en) System and method for generation and verification of a subject&#39;s identity based on the subject&#39;s association with an organization
DE102017121648B3 (en) METHOD FOR REGISTERING A USER AT A TERMINAL DEVICE
EP3206151B1 (en) Method and system for authenticating a mobile telecommunication terminal on a service computer system and mobile telecommunication terminal
WO2018095564A1 (en) Checking the integrity of a safety-relevant application
EP3336732B1 (en) User authentication with a plurality of characteristics
DE19703970B4 (en) Method for collecting data and transmitting it in authentic form
WO2016041843A1 (en) Method and arrangement for authorising an action on a self-service system
DE102017006200A1 (en) Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable.
EP3882796A1 (en) User authentication using two independent security elements
EP3289509A1 (en) Method for generating an electronic signature
DE102022000857B3 (en) Procedure for the secure identification of a person by a verification authority
EP2880810B1 (en) Authentication of a document to a reading device
DE102017012249A1 (en) Mobile terminal and method for authenticating a user to a terminal by means of a mobile terminal
EP3289507B1 (en) Id token, system, and method for generating an electronic signature
DE102021103997A1 (en) User authentication using two independent security elements
EP3552189A1 (en) Chip implant with two-factor authentication

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17822128

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17822128

Country of ref document: EP

Kind code of ref document: A1