DE60103523T2 - Verfahren zum schutz eines elektronischen bausteines gegen betrug - Google Patents

Verfahren zum schutz eines elektronischen bausteines gegen betrug Download PDF

Info

Publication number
DE60103523T2
DE60103523T2 DE60103523T DE60103523T DE60103523T2 DE 60103523 T2 DE60103523 T2 DE 60103523T2 DE 60103523 T DE60103523 T DE 60103523T DE 60103523 T DE60103523 T DE 60103523T DE 60103523 T2 DE60103523 T2 DE 60103523T2
Authority
DE
Germany
Prior art keywords
electronic chip
application
certificate
value
secret key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60103523T
Other languages
English (en)
Other versions
DE60103523D1 (de
Inventor
Henri Gilbert
Marc Girault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of DE60103523D1 publication Critical patent/DE60103523D1/de
Application granted granted Critical
Publication of DE60103523T2 publication Critical patent/DE60103523T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Description

  • Bereich der Erfindung
  • Die vorliegende Erfindung betrifft ein Schutzverfahren eines elektronischen Chips eines Benutzers gegen Betrug.
  • Die Erfindung findet darin eine sehr vorteilhafte Anwendung, als sie den Schutz gegen den Missbrauch von Chips mit integriertem Schaltkreis mit verkabelter Logik oder- mit Mikroprozessor und insbesondere von elektronischen Chips erlaubt, die vorausbezahlte, bei verschiedenen Transaktionen, wie zum Beispiel die Herstellung von Telefonkommunikationen, die Bezahlung von Gegenständen in einem Geldautomaten, das Anmieten von Parkraum über eine Parkuhr, die Bezahlung einer Leistung, wie zum Beispiel ein öffentliches Verkehrsmittel oder die Bereitstellung von Infrastruktur (Maut, Museum, Bibliothek) ausrüsten.
  • Beschreibung des Standes der Technik
  • Vorausbezahlte Karten können derzeitig Gegenstand verschiedener Arten des Betrugs sein. Eine erste Art des Betrugs besteht im unbefugten Duplizieren der Karte, wobei zur Bezeichnung dieser Operation häufig der Begriff Klonen verwendet wird. Eine zweite Art des Missbrauchs besteht in der Änderung der einer Karte eigenen Daten, insbesondere des in der Karte eingeschriebenen Kreditbetrags. Zur Bekämpfung dieser Betrugsfälle wird auf die Kryptographie zurückgegriffen, einerseits, um die Authentifizierung der Karte mittels einer Authentifizierung zu gewährleisten, und / oder um die Authentifizierung der Daten mittels einer digitalen Unterschrift zu gewährleisten, und andererseits, um die Vertraulichkeit der Daten mittels einer Chiffrierung zu gewährleisten. Die Kryptographie bringt zwei Einheiten ins Spiel, einen Überprüfer und ein zu überprüfendes Objekt, und sie kann entweder symmetrisch oder asymmetrisch sein. Wenn sie symmetrisch ist, teilen sich die beiden Einheiten genau dieselbe Information, insbesondere einen geheimen Schlüssel, wenn sie asymmetrisch ist, besitzt eine der beiden Einheiten ein Paar Schlüssel, von denen einer geheim ist und der andere öffentlich; es gibt keinen gemeinsamen geheimen Schlüssel. In zahlreichen Systemen wird nur die symmetrische Kryptographie mit vorausbezahlten Karten umgesetzt, denn die asymmetrische Kryptographie bleibt langsam und kostspielig. Die ersten in der symmetrischen Kryptographie entwickelten Authentifizierungsmechanismen bestehen in der einmaligen Berechnung eines für jede Karte unterschiedlichen Zertifikats, in seiner Speicherung im Speicher der Karte, in seinem Auslesen bei jeder Transaktion und seiner Überprüfung durch Abfrage einer Anwendung des die Transaktion unterstützenden Netzes, in dem die bereits zugewiesenen Zertifikate gespeichert sind. Diese Mechanismen gewährleisten einen ungenügenden Schutz. Das Zertifikat kann nämlich ausspioniert, missbräuchlich reproduziert und wieder abgespielt werden, denn es ist für eine vorgegebene Karte immer dasselbe. Zwecks Berücksichtigung der geringen Anzahl von zwischen zwei Wiederaufladevorgängen im Fall einer vorausbezahlten, wiederaufladbaren Karte oder im Verlauf der Lebensdauer einer vorausbezahlten, nicht wiederaufladbaren Karte umgesetzten Authentifizierungen werden die passiven Authentifizierungsmechanismen durch Mechanismen ersetzt oder vervollständigt, die einen geheimen Schlüssel zu Authentifizierungs- oder Ausführungszwecken einer Anweisung und / oder zu Authentifizierungszwecken von Daten einsetzen. Der für jede Karte unterschiedliche geheime und zu Beginn in die Karte eingeschriebene oder, im Fall einer wiederaufladbaren Karte, bei einem Wiederaufladevorgang in die Karte wiedereingeschriebene Schlüssel wird von der Karte selbst bei jeder Authentifizireung zwecks Berechnung eines Zertifikats verwendet.
  • Ein erster Mechanismus dieser Art ist Gegenstand der Anmeldung FR 89 09734 (FR-A-2650097). Das beschriebene Verfahren besteht in der Bestimmung einer nicht linearen Funktion, wobei diese Funktion der Anwendung bekannt ist und in Form eines Zustandsautomaten in einem elektronischen Chip integriert ist. Bei einer Authentifizierung berechnen der elektronische Chip und die Anwendung ein Zertifikat, das das Ergebnis der auf eine bei jeder Authentifizierung vorbestimmte Liste von Argumenten angewendeten Funktion ist; wobei die Liste von Argumenten einen Zufallswert enthalten kann, wobei der Zufallswert ein durch die Anwendung bei jeder Authentifizierung vorbestimmter Wert, ein im elektronischen Chip enthaltener Wert und ein dem elektronischen Chip und der Anwendung bekannter geheimer Schlüssel ist. Wenn das vom elektronischen Chip berechnete Zertifikat mit dem von der Anwendung berechneten Zertifikat identisch ist, wird der elektronische Chip für authentisch befunden, und die Transaktion zwischen dem elektronischen Chip und der Anwendung wird zugelassen.
  • Ein zweiter Schutzmechanismus für Karten durch aktive, auf eine auf der Nutzung eines eine bedingungslose Sicherheit für eine begrenzte Anzahl von Authentifizierungen gewährleistenden Authentifizierungscodes basierende logische Funktion zurückgreifende Authentifizierung ist Gegenstand des Antrages FR 95 12144 (FR-A-2739994) und wird ebenfalls im in den Unterlagen der Konferenz CARDIS'98 er schienenen Artikel „Solutions for Low Cost Authentication and Message Authentication" beschrieben. Die Nutzung einer derartigen logischen Funktion gewährleistet einen Schutz gegen das Wiederabspielen und eine vom geheimen Schlüssel kontrollierte Abnutzung. In den auf der Speicherkarte basierenden in diesem Patent betrachteten Anwendungen kann man vorteilhaft auf eine von einem geheimen Schlüssel und von Parametern, wie dem von der Karte erhaltenen Zufallswert und ggf. von internen oder von der Karte erhaltenen Daten der Karte abhängende logische lineare Funktion zurückgreifen. Die in FR 95 12144 beschriebene Familie logischer Funktionen bildet einen besonders für die Beanspruchungen von synchronen Karten geeigneten und auf die Berechnungen von Skalarprodukten Modulo 2 zwischen binären Vektoren zurückgreifenden Sonderfall.
  • Jeder der beiden zuvor genannten Mechanismen besitzt spezifische Vor- und Nachteile. Was den ersten Mechanismus anbelangt, der auf der (beim aktuellen Kenntnisstand nicht nachweisbaren) Hypothese der IT-Sicherheit der eingesetzten nicht linearen Funktion beruht, lassen die von den beschränkten Berechnungskapazitäten von Chips mit verkabelter Logik auferlegten sehr starken Einschränkungen keine so große Sicherheitsmarge wie für die üblichen Algorithmen mit geheimem Schlüssel zu, und aus diesem Grunde kann die Offenlegung der detaillierten Spezifikation der eingesetzten nicht linearen Funktion ein Risiko darstellen. Was den zweiten Mechanismus anbetrifft, besitzt er den Vorteil, von einer nachweisbaren Sicherheit zu profitieren, solange die Anzahl der Authentifizierungen einen bestimmten Schwellenwert nicht überschreitet, und es gibt daher kein mit der Offenlegung der eingesetzten linearen Funktion zu sammenhängendes Risiko, allerdings jedoch kann die dieser Lösung inhärente Notwendigkeit zur strikten Beschränkung der Anzahl der Benutzungen der Authentifizierungsfunktion während der Lebensdauer des Chips (oder im Fall von wiederaufladbaren Karten, zwischen zwei Wiederaufladevorgängen) eine für einige Anwendungen schwer zu erfüllende Auflage darstellen. Darüber hinaus können die sich nicht auf die Chips mit verkabelter Logik sondern auf die zur Überprüfung dieser Chips verwendeten Sicherheitsmodule gerichteten Angriffe im Falle des zweiten Mechanismus und nach denen ein Betrüger Überprüfungsmodulen zufällige Antworten liefern würde, bis eine ausreichende Anzahl von richtigen, durch Zufall erhaltenen Antworten zufällig erreicht wäre und ihm somit das mit einer Kartennummer seiner Wahl verbundene Geheimnis geliefert wird, schwerer abzuwehren sein.
  • Zusammenfassung der Erfindung
  • Somit besteht das von der Erfindung zu lösende technische Problem darin, ein Schutzverfahren eines elektronischen Chips eines Benutzers gegen Betrug vorzuschlagen, das die Stufen umfasst:
    – Bestimmung einer der Anwendung bekannten und im elektronischen Chip integrierten logischen Funktion g der Anwendung,
    – Zuordnung eines ersten, nur dem elektronischen Chip und der Anwendung bekannten und im elektronischen Chip geheim gehaltenen geheimen Schlüssels K zum elektronischen Chip,
    – Erzeugung eines variablen, Zufallswert genannten Eingangswortes R bei jeder Authentifizierung des elektronischen Chips
    – Berechnung eines Zertifikats durch den elektronischen Chip und die Anwendung, wobei das Zertifikat das Ergebnis der auf eine wenigstens den Zufallswert R und den geheimen Schlüssel K umfassende Liste von Argumenten angewendeten logischen Funktion g ,
    das eine erhöhte Sicherheit gewährleistet.
  • Eine Lösung des gestellten technischen Problems besteht gemäß dieser Erfindung darin, dass das genannte Verfahren darüber hinaus Stufen umfasst, die bestehen aus:
    – Bestimmung einer nicht linearen, der Anwendung bekannten und im elektronischen Chip integrierten Funktion f
    – Zuordnung eines zweiten, nur dem elektronischen Chip und der Anwendung bekannten und im elektronischen Chip geheim gehaltenen geheimen Schlüssels K' zum elektronischen Chip,
    – Bestimmung einer Maske M mittels der auf eine zweite, wenigstens einen Teil des geheimen Schlüssels K' umfassenden Liste von Argumenten) angewendeten nicht linearen Funktion f bei jeder Authentifizierung des elektronischen Chips,
    – Verdecken des Wertes des Zertifikats Sp mittels der Maske M, um der Anwendung nur den Wert des verdeckten Zertifikats zur Verfügung zu stellen,
    – Überprüfen des verdeckten wertes des durch den elektronischen Chip berechneten Zertifikats durch die Anwendung
  • Somit verdeckt das erfindungsgemäße Verfahren, das den Schutz eines elektronischen Chips gegen Betrug bei Transaktionen zwischen dem elektronischen Chip und einer Anwendung betrifft, den durch den elektronischen Chip berechneten Wert des Zertifikats S bevor die Anwendung ihn liest, um seinen Wert zu überprüfen und zu bestimmen, ob der elektronische Chip authentisch ist; wobei die Berechnung des Zertifikats S und die Bestimmung der Maske M jeweils eine von einem ersten, im elektronischen Chip integrierten Schlüssel abhängende logische Funktion und eine nicht lineare, von einem zweiten, ebenfalls im elektronischen Chip integrierten Schlüssel abhängende Funktion einsetzen, wobei die Funktionen und die Schlüssel der Anwendung bekannt sind.
  • Das erfindungsgemäße Verfahren löst das gestellte Problem, denn der Wert des vom elektronischen Chip berechneten Zertifikats S ist nicht im Klartext verfügbar, sondern in einer verdeckten Form. Infolgedessen kann der Betrüger nicht einfach das Berechnungsergebnis zwischen dem elektronischen Chip und der Anwendung abfangen und es später wieder abspielen. Er muss den Wert der logischen Funktion und des ersten Schlüssels kennen; die die Berechnung des Zertifikats erlauben, und den wert der nicht linearen Funktion und des zweiten Schlüssels, die zur Bestimmung der Maske eingesetzt werden.
  • Die Anwendung überprüft die Richtigkeit des verdeckten Wertes entweder nach der Berechnung der Werte des Zertifikats und der Maske M zum Maskieren des wertes des Zertifikats mittels der Maske M und zum Vergleichen dieses verdeckten Wertes mit dem vom elektronischen Chip berechneten Wert oder durch Aufdecken des durch den elektronischen Chip mittels der umgekehrten Funktion der Maske berechneten verdeckten Zertifikats und durch Vergleichen des aufgedeckten Wertes mit dem von der Anwendung berechneten Wert des Zertifikats. Wenn die verglichenen Werte identisch sind, wird der elektronische Chip für authentisch befunden und die Transaktion zwischen dem elektronischen Chip und der Anwendung wird zugelassen.
  • Ein besonderer Umsetzungsmodus erlaubt vorteilhaft die gleichzeitige Gewährleistung der Authentifizierung der Karte und die Authentifizierung von Daten durch den Einsatz des Wertes bestimmter Daten bei der Berechnung des Zertifikats. In einem ersten Fall können diese Daten im elektronischen Chip gespeichert werden und durch die Nummer des elektronischen Chips oder durch einen dem elektronischen Chip zugeordneten Kredit gebildet werden. In einem zweiten Fall werden diese Daten bei der Authentifizierungsoperation in den elektronischen Chip durch die Anwendung eingeschrieben.
  • Obwohl es vorzuziehen ist, unabhängige Schlüssel K du K' zu verwenden, kann eine Abhängigkeit in Form einer Funktion vorhanden sein, die die Berechnung des Schlüssels K' ausgehend vom Schlüssel K zulässt. Die Zuordnung der Schlüssel zu einem elektronischen Chip wird entweder bei der individuellen Gestaltung des Chips bei Abschluss der Fertigung oder bei einer Wiederaufladeoperation des elektronischen Chips im Falle eines wiederaufladbaren elektronischen Chips durchgeführt.
  • Gemäß eines anderen besonderen Umsetzungsmodus kann die Bestimmung der Schlüssel K und K' durch die Anwendung einer Diversifizierungsmethode erfolgen, deren Eingangsargumente die Nummer des elektronischen Chips und ein geheimer Mastercode sind, was vorteilhaft der Anwendung die Wiederherstellung der geheimen Schlüssel jedes elektronischen Chips nach dem Lesen der Nummer des Chips erlaubt; dann ist keinerlei Speichern der geheimen Schlüssel der Chips notwendig.
  • Gemäß einem anderen Umsetzungsmodus ist der Schlüssel K ein Wort einer bestimmten Anzahl von in Sequenzen K[i] zusammengefassten Bits, wobei jede Sequenz K[i] eine der Zahl von Bits der Eingangsargumente gleiche und als Ganzes genommene Anzahl von Bits ohne den Schlüssel K hat, die logische Funktion g in der Durchführung von skalaren Produkten Modulo 2 zwischen den Bits einer bestimmten Sequenz K[i] und den Bits der Eingangsargumente ohne den Schlüssel K besteht.
  • Die nicht lineare Funktion f kann als Eingangsargument entweder den Schlüssel K', oder den Zufallswert R oder die internen Daten D des elektronischen Chips oder die dem elektronischen Chip durch die Anwendung gelieferten Daten D' oder eine Kombination derselben haben; wobei jedes Argument eine für den Betrüger zu überwindende Schwierigkeit hinzufügt.
  • Gemäß einem anderen besonderen Umsetzungsmodus wird der Zufallswert R durch die Anwendung ausgehend von einer von der Anwendung erzeugten zufälligen Zahl bestimmt, und der Zufallswert R wird durch die Anwendung auf den elektronischen Chip übertragen.
  • Gemäß einem anderen besonderen Umsetzungsmodus wird der Zufallswert R ausgehend von einer Folge von aufeinander folgenden ganzen, durch die Anwendung (2) und den elektronischen Chip erzeugten Zahlen bestimmt.
  • Gemäß einem anderen besonderen Umsetzungsmodus hat die nicht lineare Funktion f darüber hinaus wenigstens einen vom Zustand des elektronischen Chips zum Zeitpunkt der Authentifizierung abhängigen Parameter c als Eingangsargument. Gemäß einer ersten Variante dieses Modus wird der Wert des Parameters c ausgehend von wenigstens dem Wert eines im elektronischen Chip enthaltenen und bei jeder Authentifizierung inkrementierten Zählers berechnet. Gemäß einer zweiten Variante dieses Modus wird der Wert des Parameters c ausgehend von wenigstens dem Wert eines im elektronischen Chip enthaltenen und bei jeder Authentifizierung inkrementierten Zählers und dem Zufallswert R berechnet.
  • Gemäß einem anderen besonderen Umsetzungsmodus wird die Maskierung des Zertifikats mittels der Maske M mittels einer Chiffrierungsfunktion und insbesondere einer Exclusiv-ODER-Funktion von Bit zu Bit berechnet.
  • Gemäß einem besonderen Umsetzungsmodus wird die Anzahl von Authentifizierungen des elektronischen Chips auf einen maximalen, durch die Anwendung bestimmten und in den elektronischen Chip eingeschriebenen Wert v beschränkt. Gemäß einer Variante dieses Modus enthält der elektronische Chip einen bei jeder Authentifizierung inkrementierten Zähler, der elektronische Chip stoppt jede Authentifizierungsberechnung, wenn der Wert des Zählers den maximalen Wert V erreicht.
  • Kurze Beschreibung der Zeichnungen
  • weitere Merkmale und Vorteile der Erfindung werden bei der nachfolgenden Beschreibung unter Bezugnahme auf die beigefügten Zeichnungen von besonderen Ausführungsmodi deutlich, die beispielhaft und nicht einschränkend gegeben werden.
  • 1 ist ein Schema eines erfindungsgemäßen Verfahrens.
  • 2 ist ein Schema einer nicht linearen Funktion f.
  • Beschreibung eines Realisierungsmodus
  • 1 stellt schematisch ein erfindungsgemäßes Schutzverfahren eines elektronischen Chips 1 eines Benutzers gegen den Betrug bei Transaktionen zwischen einer Anwendung 2 und dem elektronischen Chip 1 dar.
  • Die Anwendung 2 kann vollständig oder teilweise in einem Terminal mit nicht überwachter Selbstbedienung delokalisiert sein, wie zum Beispiel einem öffentlichen Telefon oder einem Zugangs-Drehkreuz für ein öffentliches Verkehrsmittel. Der Benutzer besitzt einen zum Beispiel auf einer vorausbezahlten Karte integrierten elektronischen Chip 1, die ihm die Herstellung einer Transaktion mit der Anwendung 2 erlauben soll. Diese Transaktionen können in der Herstellung von Telefonkommunikationen, der Zahlung von Gegenständen in einem Geldautomaten, dem Anmieten von Parkraum über eine Parkuhr, der Bezahlung einer Leistung, wie zum Beispiel einem öffentlichen Verkehrsmittel oder der Bereitstellung von Infrastruktur bestehen.
  • Das Verfahren erlaubt die Authentifizierung des elektronischen Chips 1. Der elektronische Chip 1 wird zum Zeitpunkt seiner Fertigung individuell gestaltet und eventuell bei einer Wiederaufladeoperation mittels einer Identnummer i und einem anfänglichen Wert eines mit der Anwendung zusammenhängenden Wertes D, für die er bestimmt ist; der Wert D stellt im Allgemeinen den dem elektronischen Chip 1 für eine bestimmte Anwendung 2 zugeordneten Kredit dar.
  • Das Verfahren besteht, bei dieser Operation der individuellen Gestaltung oder bei einer Operation vor der Vermarktung des elektronischen Chips 1, in der Bestimmung der für die Authentifizierung entweder des elektronischen Chips 1 oder der Anwendung 2 notwendigen Anfangsbedingungen. Diese Anfangsbedingungen umfassen die Bestimmung 3 einer logischen Funktion g, einer nicht linearen Funktion f, eines ersten geheimen Schlüssels K und eines zweiten geheimen Schlüssels K'. Die logische Funktion g ist der Anwendung 2 bekannt und wird in den elektronischen Chip 1 in Form von logischen Schaltkreisen 4, wie zum Beispiels den Gliedern ODER, Exclusiv-ODER, UND, Nicht UND, usw. integriert.
  • Die nicht lineare Funktion f kann in Form eines aus einer Folge von ein Schieberegister bildenden, einem Speicher und Exclusiv-ODER-Operatoren zugeordneten Registern gebildeten Schaltkreises 5 integriert werden; eine derartige Funktion wird als Zustandsautomat bezeichnet und ist zum Beispiel in 2 dargestellt. Gemäß diesem Beispiel besteht die Funktion f aus einem ersten Exclusiv-ODER-Operator 6, einem Schieberegister, das 4 Bits umfasst, vier Kippschaltungen r0 bis r3 und vier Exclusiv-ODER-Operatoren 7 bis 10 und einem Speicher 11 in der Größe von 16 × 4 Bits. Jeder Exclusiv-ODER-Operator 6 bis 10 hat zwei Eingänge und einen Ausgang. Jede Kippschaltung r0 bis r3 hat einen Dateneingang, zwei Datenausgänge und einen nicht dargestellten Zeitgebereingang. Der Speicher 11 hat vier Eingänge und vier Ausgänge und einen nicht dargestellten Zeitgebereingang. Die Eingangsargumente e5, e6, die gemäß diesem Ausführungsmodus wenigstens einen Teil des zweiten geheimen Schlüssels K' und den Zufallswert R umfassen, sind auf einem der Eingänge des ersten Exclusiv-ODER-Operators 6 vorhanden. Der Ausgang des ersten Exclusiv-ODER-Operators ist an den ersten Eingang des zweiten Exclusiv-ODER-Operators 7 angeschlossen. Der Eingang der Kippschaltungen r0, r1, r2 und r3 ist am Ausgang eines Exclusiv-ODER-Operators 7 bis 10 angeschlossen. Der erste Ausgang der Kippschaltungen r0, r1 und r2 ist an einen ersten Eingang eines Exclusiv-ODER-Operators 8 bis 10 angeschlossen. Der zweite Ausgang der Kippschaltungen r0, r1, r2 und r3 ist an einen Eingang des Speichers 11 angeschlossen. Der zweite Eingang der Exclusiv-ODER-Operatoren 7 bis 10 ist an einen Ausgang des Speichers 11 angeschlossen. Der erste Ausgang der Kippschaltung r3 liefert den durch die auf die Argumente e5, e6 angewendete Funktion f berechneten Wert der Maske M, die gemäß diesem Realisierungsmodus wenigstens einen Teil des zweiten geheimen Schlüssels K' und den Zufallswert R umfassen. Jeder Authentifizierung des elektronischen Chips 1 oder der Anwendung 2 entspricht eine der Anzahl von Bits der Eingangsargumente gleiche Anzahl von Zeitimpulsen; die Bits der Maske M treten bei jedem Zeitimpuls im Ausgang 12 in Serie aus.
  • Der erste, im Allgemeinen auf individuelle Weise einem elektronischen Chip zugeordnete Schlüssel K besteht typischerweise aus einem Wort aus einigen Dutzend bis einigen Tausend Bits; dieses Wort ist der Anwendung bekannt und wird im elektronischen Chip 1 geheim gehalten. Gemäß einem besonderen Realisierungsmodus des Verfahrens speichert die Anwendung den Schlüssel K jedoch nicht selbst, sondern ein sogenanntes Master-Geheimnis. Dieses Master-Geheimnis ist von der Art, dass es durch eine sogenannte Diversifizierungsmethode die Wiederherstellung des Schlüssels K ausgehend von der Identnummer i des Chips zulässt.
  • Wie auch immer der Realisierungsmodus des Verfahrens aussieht, der Schlüssel K wird typischerweise im Chip in einem Festspeicher 13, wie zum Beispiel einem PROM gespeichert. Insbesondere wenn der elektronische Chip 1 vom wie deraufladbaren Typ ist – bei einem auf einer vorausbezahlten wiederaufladbaren Karte integrierten Chip ist das der Fall – kann auch zum Schreiben auf den Festspeicher zugegriffen werden, wie zum Beispiel ein EEPROM.
  • Der zweite Schlüssel K' stellt sich als Schlüssel K in Form eines Wortes mit einer bestimmten Anzahl von Bits dar. Die Schlüssel K und K' werden im Chip gespeichert, typischerweise in demselben Speicher 13 an unterschiedlichen Adressen, doch die Bestimmung der Bits von K' (beziehungsweise K) kann in bestimmten Fällen vom Schlüssel K (beziehungsweise K') abhängen.
  • Nach der Operation der individuellen Gestaltung wird der elektronische Chip 1 vermarktet, und der Benutzer kann eine Transaktion mit einer Anwendung 2 vornehmen. Das vom Schema in 1 dargestellte Authentifizierungsverfahren besteht in der Authentifizierung des elektronischen Chips 1 durch die Anwendung 2.
  • In einer ersten Stufe des Verfahrens erzeugt die Anwendung ein Zufallswert genanntes Wort R. Das Wort R umfasst eine bestimmte Anzahl von Bits zwecks Vermeidung jeglichen missbräuchlichen Versuchs des Wiederabspielens; typischerweise liegt die Anzahl der Bits in der Größenordnung von einigen Dutzend Bits. Das Wort R wird mithilfe eines Zufallsgenerators oder eines Pseudo-Zufallsgenerators erzeugt. In einem besonderen Realisierungsmodus können die aufeinander folgend erzeugten Worte R aus einer Folge von aufeinander folgenden ganzen Zahlen bestehen. Das Wort R ist ein Eingangsargument für die Berechnung des Zertifikats S. Damit der elektronische Chip 1 Zugang zum Wort R hat, führt die Anwendung 2 ein Schreibvorgang 14 im Chip 1 aus, oder der Chip 1 liest das Wort R in der Anwendung 2. Der Austausch zwischen dem Chip 1 und der Anwendung 2 kann gemäß einem bei der individuellen Gestaltung des Chips 1 festgelegten Protokoll erfolgen; der Wert R kann zum Beispiel kodiert sein. Das Wort R wird zeitweise in einem Pufferspeicher 15 des elektronischen Chips 1 sowie in der Anwendung 2 gespeichert.
  • In einer zweiten Stufe des Verfahrens berechnen 16, 17 die Anwendung 2 einerseits und der Chip 1 andererseits ein jeweils mit S und Sp bezeichnetes Zertifikat. Das Zertifikat S, beziehungsweise Sp ist das Ergebnis der durch die auf eine wenigstens den Zufallswert R und den Schlüssel K umfassende Liste von Argumenten e1, e2 angewendete logische Funktion g durchgeführten Berechnung. In den besonderen Realisierungsmodi des Verfahrens umfasst die Liste der Argumente e1, e2 darüber hinaus die Identnummer i des elektronischen Chips 1 oder einen oder mehrere im elektronischen Chip 1 enthaltene werte D oder einen oder mehrere, durch die Anwendung erzeugte und in den elektronischen Chip 1 vor der Authentifizierung geschriebene Werte D' oder eine Kombination der vorherigen Argumente.
  • In einer dritten Stufe besteht das Verfahren aus der Bestimmung 18, 19 einer Maske M mittels der nicht linearen Funktion f. Die Maske M ist das Ergebnis der auf eine Liste von Argumenten e5, e6 angewendeten nicht linearen Funktion f, wie oben unter Bezugnahme auf 2 beschrieben. Die Maske M besteht aus einer vorbestimmten Anzahl m von Bits, die typischerweise gleich einem Dutzend Bits ist. Der Realisierungsmodus, nach dem die Anzahl m gleich der Anzahl von Bits des Zertifikats S ist, hat den Vorteil, dass das verdeckte Zertifikat absolut keine Information über den Wert des Zertifikats S offen legt; dies ist nicht der Fall, wenn die Länge m der Maske M kürzer ist als die Länge des Zertifikats S.
  • In einer vierten Stufe des Verfahrens verdeckt 20 der elektronische Chip 1 den Wert des Zertifikats Sp, den er mittels der Maske M berechnet hat. In einem ersten Realisierungsmodus wird die Verdeckung 20 mittels einer Chiffrierungsfunktion berechnet. Eine Chiffrierungsfunktion ist eine bijektive, durch einen Schlüssel parametrierte Funktion, der einem Satz von werten einen anderen Satz von Werten entsprechen lässt; zum Beispiel kann die Funktion F : x → x + k Modulo 2 , wobei x = 0 oder 1 ist und k = 0 oder 1 als Chiffrierungsfunktion genutzt werden. Die Chiffrierungsfunktion kann aus einer Exclusiv-ODER-Operation zwischen dem Zertifikat Sp und der Maske M bestehen. Das Ergebnis der Verdeckungsoperation ergibt den verdeckten Wert des Zertifikats Spm, der temporär in einem Pufferspeicher 21 des elektronischen Chips 1 gespeichert wird.
  • In einer fünften Stufe des Verfahrens führt die Anwendung ein Lesen 22 des Pufferspeichers 21 durch, oder der Chip 1 schreibt das verdeckte Zertifikat Spm in die Anwendung 2. Der Austausch zwischen dem Chip 1 und der Anwendung 2 kann gemäß einem ähnlichen Protokoll wie dem erfolgen, das für den Austausch des Zufallswertes R verwendet wird. Die Anwendung 2 überprüft dann den vom Chip 1 berechneten Wert Spm des verdeckten Zertifikats durch Vergleich 23 mit dem Wert S des Zertifikats, den sie selbst berechnet hat. Zur Durchführung des Vergleichs 23 verdeckt 24 entweder die Anwendung 2 wie dargestellt den Wert S des Zertifikats mittels der Maske M, um den verdeckten Wert Sm zu erhalten und ihn mit dem Wert Spm zu vergleichen 23, oder die Anwendung 2 deckt den Wert Spm durch Einsetzen einer umgekehrten Funktion der Maske M auf, um den Wert Sp zu erhalten und ihn mit dem Wert S zu vergleichen.
  • Eine Variante des zuvor unter Bezugnahme auf die 1 und 2 beschriebenen Verfahrens erlaubt vorteilhaft bestimmten, in der Simulation des Verhaltens einer Anwendung mithilfe einer Authentifizierung der Anwendung durch den elektronischen Chip gegenüber einem elektronischen Chip bestehenden Betrugsversuchen abzuhelfen. Gemäß dieser Variante werden zuvor durch die Anwendung durchgeführte Operationen durch den elektronischen Chip und umgekehrt durchgeführt. Somit:
    – wird bei jeder Authentifizierung der Anwendung das Zufallswert genannte variable Eingangswort R bevorzugt vom elektronischen Chip erzeugt,
    – berechnet die Anwendung ein Zertifikat und verdeckt es mittels der Maske M, um nur den Wert des verdeckten Zertifikats für den elektronischen Chip zur Verfügung zu stellen,
    – wird die Vergleichsoperation der berechneten Zertifikatwerte einerseits durch den elektronischen Chip und andererseits durch die Anwendung durch den elektronischen Chip durchgeführt.
  • Gegenstand der Erfindung ist darüber hinaus ein zu Transaktionen mit einer Anwendung bestimmter elektronischer Chip, wobei die Transaktionen ein erfindungsgemäßes Verfahren umsetzen. Der Chip umfasst:
    Der Chip umfasst:
    – Einen nicht-volatilen Speicher, wie zum Beispiel einen PROM oder einen EEPROM zum Speichern des ersten geheimen Schlüssels K und des zweiten geheimen Schlüssels K'
    – Einen ersten elektronischen Schaltkreis, wie zum Beispiel einen Mikroprozessor, einen programmierbaren logischen Schaltkreis (EPLD oder PAL gemäß der angelsächsischen Terminologie) zur Berechnung des Zertifikats Sp und zum Berechnen der Maske M,
    – integrierte Schaltkreise, in denen die logische Funktion g und die nicht lineare Funktion f integriert sind,
    – einen zweiten elektronischen Schaltkreis, wie zum Beispiel einen Mikroprozessor, einen programmierbaren logischen Schaltkreis (EPLD oder PAL gemäß der angelsächsischen Terminologie) zum Verdecken des Zertifikats mit der Maske M.
  • Gegenstand der Erfindung ist darüber hinaus eine vorausbezahlte Karte mit einem derartigen elektronischen Chip.
  • Gegenstand der Erfindung ist darüber hinaus eine für Transaktionen mit derartigen elektronischen Chips bestimmte Vorrichtung, wobei die Transaktionen ein erfindungsgemäßes Verfahren umsetzen. Die Vorrichtung umfasst:
    – ein Speichermittel mit geheimen Schlüsseln (K, K'), elektronische Chips, die logische Funktion g und die nicht lineare Funktion f,
    – ein Berechnungsmittel zum Berechnen des Zertifikats S und zum Berechnen der Maske M,
    – ein Überprüfungsmittel zum Überprüfen des verdeckten Wertes Spm des durch einen elektronischen Chip berechneten Zertifikats.
  • Die Vorrichtung ist in einer Einrichtung enthalten, wie zum Beispiel einem öffentlichen Telefon, einer Zugangsbeschränkung für eine öffentliche Leistung (ein Zu gangsdrehkreuz zur U-Bahn, ein Zugangsdrehkreuz zu einer Bibliothek, usw.), einer Parkuhr.

Claims (30)

  1. Verfahren zum Schutz eines elektronischen Chips (1) eines Benutzers gegen Betrug bei Transaktionen zwischen einer Anwendung (2) und dem elektronischen Chip (1) mit den Stufen: – Bestimmung (3) einer der Anwendung (2) bekannten und im elektronischen Chip (1) integrierten logischen Funktion g, – Zuordnung eines ersten, nur dem elektronischen Chip (1) und der Anwendung (2) bekannten und im elektronischen Chip (1) geheim gehaltenen geheimen Schlüssels K zum elektronischen Chip (1), – Erzeugung eines variablen, Zufallswert genannten Eingangswortes R bei jeder Authentifizierung des elektronischen Chips (1), – Berechnung (16) eines Zertifikats Sp durch den elektronischen Chip (1) und Berechnung (17) eines Zertifikats S durch die Anwendung (2), wobei jedes Zertifikat Sp, S das Ergebnis der auf eine erste, wenigstens den Zufallswert R und den geheimen Schlüssel K umfassende Liste von Argumenten (e1, e2) angewendeten logischen Funktion g ist, dadurch gekennzeichnet, dass das genannte Verfahren darüber hinaus die Stufen umfasst: – Bestimmung einer nicht linearen, der Anwendung (2) bekannten und im elektronischen Chip (1) integrierten Funktion, – Zuordnung eines zweiten, nur dem elektronischen Chip (1) und der Anwendung (2) bekannten und im elektronischen Chip (1) geheim gehaltenen geheimen Schlüssels K' zum elektronischen Chip (1), – Bestimmung (18, 19) einer Maske M mittels der auf eine zweite, wenigstens einen Teil des geheimen Schlüssels K' umfassenden Liste von Argumenten (e5, e6) angewendeten nicht linearen Funktion f bei jeder Authentifizierung des elektronischen Chips (1), – Verdecken (20) des Wertes des Zertifikats Sp mittels der Maske M, um der Anwendung (2) nur den Wert des verdeckten Zertifikats (Spm) zur Verfügung zu stellen, – Überprüfen des verdeckten Wertes (Spm) des durch den elektronischen Chip (1) berechneten Zertifikats durch die Anwendung (2) .
  2. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die Überprüfung des durch den elektronischen Chip (1) berechneten verdeckten Wertes (Spm) des Zertifikats durch die Anwendung (2) besteht aus: – Aufdecken des verdeckten wertes (Spm) des durch den elektronischen Chip (1) berechneten Zertifikats mittels der Maske M und – Vergleichen des durch den elektronischen Chip (1) berechneten Wertes des Zertifikats Sp mit dem des durch die Anwendung (2) berechneten des Zertifikats (S).
  3. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die Überprüfung durch die Anwendung (2) des verdeckten Wertes (Spm) des durch den elektronischen Chip (1) berechneten Zertifikats besteht aus: – Verdecken (24) des durch die Anwendung (2) berechneten Wertes des Zertifikats S mittels der Maske M und – Vergleichen (23) des verdeckten Wertes (Spm) des durch den elektronischen Chip (1) berechneten Zertifikats mit dem durch die Anwendung (2) berechneten verdeckten Wert des Zertifikats (Sm).
  4. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass das Verdecken (20) des Zertifikats Sp mittels der Maske M mittels einer Chiffrierungsfunktion berechnet wird.
  5. Verfahren gemäß Anspruch 4, dadurch gekennzeichnet, dass die Chiffrierungsfunktion eine Exklusiv-ODER-Operation von Bit zu Bit ist.
  6. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass der Zufallswert R durch die Anwendung (2) ausgehend von einer durch die Anwendung (2) erzeugten zufälligen Zahl bestimmt wird und dass der Zufallswert R durch die Anwendung (2) auf den elektronischen Chip (1) übertragen wird.
  7. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass der Zufallswert R ausgehend von einer Folge von der Anwendung (2) und dem elektronischen Chip (1) erzeugten aufeinander folgenden ganzen Zahlen bestimmt wird.
  8. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass jedes Zertifikat Sp, S und die Maske M dieselbe Anzahl von Bits haben.
  9. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, das jedes Zertifikat Sp, S das Ergebnis der auf die erste, wenigstens den Zufallswert R, den geheimen Schlüs sel K und die internen Daten D des elektronischen Chips (1) umfassende Liste von Argumenten (e1, e2) angewendeten logischen Funktion g ist.
  10. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, das jedes Zertifikat Sp, S das Ergebnis der auf die erste, wenigstens den Zufallswert R, den geheimen Schlüssel K und die dem elektronischen Chip (1) durch die Anwendung (2) bei der Authentifizierung gelieferten Daten D' umfassende Liste von Argumenten (e1, e2) anwendeten logischen Funktion g ist .
  11. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass der geheime Schlüssel K aus einer Folge von Werten K[i] besteht und dass die den Wert jedes Zertifikats Sp, S bestimmende logische Funktion g aus einer Berechnung von Skalarprodukten Modulo 2 aus jedem Wert K[i] und den Eingangsargumenten mit Ausnahme des Schlüssels K der logischen Funktion g besteht.
  12. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die geheimen Schlüssel K und K' unabhängig voneinander gewählt werden.
  13. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die nicht lineare Funktion f darüber hinaus wenigstens den Zufallswert R als Eingangsargument hat.
  14. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die nicht lineare Funktion f darüber hinaus we nigstens die internen Daten des elektronischen Chips als Eingangsargumente (e5 , e6) hat .
  15. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die nicht lineare Funktion f darüber hinaus wenigstens die dem elektronischen Chip (1) durch die Anwendung (2) gelieferten Daten D' als Eingangsargumente (e5, e6) hat.
  16. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die nicht lineare Funktion f darüber hinaus wenigstens einen vom Zustand des elektronischen Chips (1) zum Zeitpunkt der Authentifizierung abhängigen Parameter c als Eingangsargumente (e5 , e6) hat .
  17. Verfahren gemäß Anspruch 16, dadurch gekennzeichnet, dass der Wert des Parameters c ausgehend wenigstens vom Wert eines im elektronischen Chip (1) enthaltenen und bei jeder Authentifizierung inkrementierten Zählers berechnet wird.
  18. Verfahren gemäß Anspruch 16, dadurch gekennzeichnet, dass der Wert des Parameters c ausgehend wenigstens vom Wert eines im elektronischen Chip (1) enthaltenen und bei jeder Authentifizierung inkrementierten Zählers und des Zufallswertes R berechnet wird.
  19. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die Zahl der Authentifizierungen des elektronischen Chips (1) auf einen durch die Anwendung (2) bestimm ten und im elektronischen Chip (1) eingeschriebenen maximalen Wert V beschränkt ist.
  20. Verfahren gemäß Anspruch 19, dadurch gekennzeichnet, dass der elektronische Chip (1) einen bei jeder Authentifizierung inkrementierten Zähler beinhaltet und dass der elektronische Chip (1) jede Authentifizierungsberechnung beendet, wenn der Wert des Zählers den maximalen Wert V erreicht.
  21. Schutzverfahren eines elektronischen Chips (1) eines Benutzers gegen Betrug bei Transaktionen zwischen einer Anwendung (2) und einem elektronischen Chip (1) mit den Stufen: – Bestimmung einer der Anwendung (2) bekannten und im elektronischen Chip (1) integrierten logischen Funktion g, – Zuordnung eines ersten, nur dem elektronischen Chip (1) und der Anwendung (2) bekannten und im elektronischen Chip (1) geheim gehaltenen geheimen Schlüssels K zum elektronischen Chip (1), – Erzeugung eines variablen, Zufallswert genannten Eingangswortes R bei jeder Authentifizierung der Anwendung (2), – Berechnung eines Zertifikats Sp durch den elektronischen Chip (1) und Berechnung eines Zertifikats S durch die Anwendung (2), wobei jedes Zertifikat Sp, S das Ergebnis der auf eine erste, wenigstens den Zufallswert R und den geheimen Schlüssel K umfassende Liste von Argumenten (e1, e2) angewendete logischen Funktion g ist, dadurch ge kennzeichnet, dass das genannte Verfahren darüber hinaus die Stufen umfasst: – Bestimmung einer nicht linearen, der Anwendung (2) bekannten und im elektronischen Chip (1) integrierten Funktion f, – Zuordnung eines zweiten, nur dem elektronischen Chip (1) und der Anwendung (2) bekannten und im elektronischen Chip (1) geheim gehaltenen (13) geheimen Schlüssels K' zum elektronischen Chip (1), – Bestimmung (18, 19) einer mittels der wenigstens auf einen Teil des geheimen Schlüssels K' angewendeten nicht linearen Funktion f berechneten Maske M bei jeder Authentifizierung der Anwendung (2), – Verdecken des Wertes des Zertifikats S mittels der Maske M, um dem elektronischen Chip (1) nur den verdeckten Wert des Zertifikats (Sm) zur Verfügung zu stellen, – Überprüfung des durch die Anwendung (2) berechneten verdeckten Wertes des Zertifikats (Sm) durch den elektronischen Chip (1).
  22. Verfahren gemäß Anspruch 21, dadurch gekennzeichnet, dass der Zufallswert R durch den elektronischen Chip (1) ausgehend von einer durch den elektronischen Chip (1) erzeugten Zufallszahl bestimmt wird und dass der Zufallswert R durch den elektronischen Chip (1) auf die Anwendung (2) übertragen wird.
  23. Verfahren gemäß Anspruch 21, dadurch gekennzeichnet, dass der Zufallswert R ausgehend von einer Folge von durch die Anwendung (2) und den elektronischen Chip (1) erzeugter aufeinander folgenden ganzen Zahlen bestimmt wird.
  24. Für Transaktionen mit einer Anwendung (2) bestimmter elektronischer Chip (1), wobei die Transaktionen ein Verfahren gemäß Anspruch 1 bis 20 umsetzen, dadurch gekennzeichnet, dass er umfasst: – Ein Speichermittel (13) zum Speichern des ersten geheimen Schlüssels K und des zweiten geheimen Schlüssels K' – Ein Berechnungsmittel (16, 18) zum Berechnen des Zertifikats Sp und zum Berechnen der Maske M, wobei das Zertifikat das Ergebnis der auf die erste wenigstens den Zufallswert R und den geheimen Schlüssel K umfassende Liste von Argumenten (e1, e2) angewendete logischen Funktion g ist, wobei die Maske M mittels der auf die zweite, wenigstens einen Teil des geheimen Schlüssels K' umfassende Liste von Argumenten (e5, e6) angewendete nicht linearen Funktion f bestimmt wird, – ein elektronisches Mittel (4, 5), in das die logische Funktion g und die nicht lineare Funktion f integriert sind, – ein Maskierungsmittel (20) zum Verdecken des Zertifikats mit der Maske M.
  25. Elektronischer Chip (1) gemäß Anspruch 24, dadurch gekennzeichnet, dass er darüber hinaus umfasst: – Ein Mittel zum Zählen der Anzahl von Authentifizierungen des elektronischen Chips (1) für eine vorgegebene Anwendung (2) zum Kontrollieren der Nutzungsdauer des elektronischen Chips (1).
  26. Vorausbezahlte Karte mit einem elektronischen Chip (1) gemäß Anspruch 24.
  27. Für Transaktionen mit elektronischen Chips (1) bestimmte Vorrichtung, wobei die Transaktionen ein Verfahren gemäß Anspruch 1 bis 20 umsetzen, dadurch gekennzeichnet, dass sie umfasst: – ein Speichermittel, in dem die geheimen Schlüssel K und K' der elektronischen Chips, die logische Funktion g und die nicht lineare Funktion f gespeichert sind, – ein Berechnungsmittel zur Berechnung des Zertifikats S und zur Berechnung der Maske M, wobei das Zertifikat das Ergebnis der auf die erste, wenigstens den Zufallswert R und den geheimen Schlüssel K umfassende Liste von Argumenten (e1, e2) angewendeten logischen Funktion g ist, wobei die Maske M mittels der auf die zweite, wenigstens einen Teil des geheimen Schlüssels K' umfassende Liste von Argumenten (e5, e6) angewendete, nicht linearen Funktion f bestimmt wird, – ein Überprüfungsmittel zur Überprüfung des verdeckten Wertes (Spm) des durch einen elektronischen Chip (1) berechneten Zertifikats.
  28. Öffentliches Telefon mit einer Vorrichtung gemäß Anspruch 27.
  29. Zugangsbeschränkung zu einer öffentlichen Leistung mit einer Vorrichtung gemäß Anspruch 27.
  30. Parameter mit einer Vorrichtung gemäß Anspruch 27.
DE60103523T 2000-03-30 2001-03-19 Verfahren zum schutz eines elektronischen bausteines gegen betrug Expired - Lifetime DE60103523T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0004313 2000-03-30
FR0004313A FR2807245B1 (fr) 2000-03-30 2000-03-30 Procede de protection d'une puce electronique contre la fraude
PCT/FR2001/000810 WO2001075821A1 (fr) 2000-03-30 2001-03-19 Procede de protection d'une puce electronique contre la fraude

Publications (2)

Publication Number Publication Date
DE60103523D1 DE60103523D1 (de) 2004-07-01
DE60103523T2 true DE60103523T2 (de) 2005-06-30

Family

ID=8848867

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60103523T Expired - Lifetime DE60103523T2 (de) 2000-03-30 2001-03-19 Verfahren zum schutz eines elektronischen bausteines gegen betrug

Country Status (8)

Country Link
US (1) US7165177B2 (de)
EP (1) EP1269431B1 (de)
JP (1) JP4659148B2 (de)
AT (1) ATE268035T1 (de)
DE (1) DE60103523T2 (de)
ES (1) ES2222354T3 (de)
FR (1) FR2807245B1 (de)
WO (1) WO2001075821A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2826531B1 (fr) 2001-06-26 2003-10-24 France Telecom Procede cryptographique pour la protection d'une puce electronique contre la fraude
US7707621B2 (en) * 2002-12-02 2010-04-27 Silverbrook Research Pty Ltd Creation and usage of mutually exclusive messages
DE112004000140T5 (de) * 2003-01-13 2006-02-09 Rambus Inc., Los Altos Kodierte Schreibmaske
US6826663B2 (en) 2003-01-13 2004-11-30 Rambus Inc. Coded write masking

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2650097B1 (fr) 1989-07-19 1992-12-31 Pailles Jean Claude Carte a microcircuit cable et procede de transaction entre une carte a microcircuit cable correspondante et un terminal
EP0440158B1 (de) * 1990-01-30 1997-09-10 Kabushiki Kaisha Toshiba Gegenseitiges Erkennungssystem
US5201000A (en) * 1991-09-27 1993-04-06 International Business Machines Corporation Method for generating public and private key pairs without using a passphrase
DE4138861A1 (de) * 1991-11-26 1992-10-01 Siemens Nixdorf Inf Syst Verfahren zur gegenseitigen authentifikation eines elektronischen partners mit einem kommunikationssystem
TW200624B (en) * 1992-04-06 1993-02-21 American Telephone & Telegraph A universal authentication device for use over telephone lines
FR2704081B1 (fr) * 1993-04-16 1995-05-19 France Telecom Procédé de mise à jour d'une carte à mémoire et carte à mémoire pour la mise en Óoeuvre de ce procédé.
DE69533328T2 (de) * 1994-08-30 2005-02-10 Kokusai Denshin Denwa Co., Ltd. Beglaubigungseinrichtung
FR2739994B1 (fr) 1995-10-17 1997-11-14 Henri Gilbert Procede cryptographique de protection contre la fraude
JPH09128507A (ja) * 1995-11-02 1997-05-16 Oki Electric Ind Co Ltd 相互認証方法
CH690530A5 (de) * 1995-12-11 2000-09-29 Ip Tpg Holdco Sarl Verfahren zur Echtheitskontrolle eines bei einer Transaktion verwendeten vorausbezahlten Zahlungsmittels.
US6058476A (en) * 1996-05-22 2000-05-02 Matsushita Electric Industrial Co., Inc. Encryption apparatus for ensuring security in communication between devices
US6073236A (en) * 1996-06-28 2000-06-06 Sony Corporation Authentication method, communication method, and information processing apparatus
NL1003939C2 (nl) * 1996-09-02 1998-03-04 Nederland Ptt Systeem, alsmede eerste inrichting, alsmede tweede inrichting, alsmede werkwijze.
JPH10222618A (ja) * 1997-01-31 1998-08-21 Toshiba Corp Icカード及びicカード処理システム
JP4268690B2 (ja) * 1997-03-26 2009-05-27 ソニー株式会社 認証システムおよび方法、並びに認証方法
JPH1168732A (ja) * 1997-08-12 1999-03-09 Iryo Joho Syst Kaihatsu Center ネットワークシステムにおける相互認証装置および相互認証方法
DE69832038D1 (de) * 1998-03-06 2005-12-01 St Microelectronics Srl Verfahren und Vorrichtung zur Authentifizierung und zur elektronischen Unterschrift
SE512335C2 (sv) * 1998-05-12 2000-02-28 Sectra Communications Ab Mobil och/eller trådlös telefon
TW449991B (en) * 1999-01-12 2001-08-11 Ibm Method and system for securely handling information between two information processing devices

Also Published As

Publication number Publication date
ATE268035T1 (de) 2004-06-15
JP2003529988A (ja) 2003-10-07
FR2807245B1 (fr) 2002-05-24
US20030159039A1 (en) 2003-08-21
ES2222354T3 (es) 2005-02-01
EP1269431B1 (de) 2004-05-26
FR2807245A1 (fr) 2001-10-05
EP1269431A1 (de) 2003-01-02
DE60103523D1 (de) 2004-07-01
JP4659148B2 (ja) 2011-03-30
US7165177B2 (en) 2007-01-16
WO2001075821A1 (fr) 2001-10-11

Similar Documents

Publication Publication Date Title
DE4339460C1 (de) Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines Informationsübertragungssystems nach dem Challenge-and Response-Prinzip
EP0281057B1 (de) Schaltungsanordnung zur Sicherung des Zugangs zu einem Datenverarbeitungssystem mit Hilfe einer Chipkarte
DE69704684T2 (de) Vorrichtung und Verfahren zur Authentifizierung von Zugangsrechten eines Benutzers zu Betriebsmitteln nach dem Challenge-Response-Prinzip
EP1818844B1 (de) Verfahren zur Benutzung von Sicherheitstoken
EP1099197B1 (de) Vorrichtung zum liefern von ausgangsdaten als reaktion auf eingangsdaten und verfahren zum überprüfen der authentizität und verfahren zum verschlüsselten übertragen von informationen
EP1618519A2 (de) Verfahren zur verarbeitung von daten
DE102012206341A1 (de) Gemeinsame Verschlüsselung von Daten
DE60103515T2 (de) Kryptografisches verfahren zum schutz gegen betrug
EP1687932B1 (de) Autorisierung einer Transaktion
EP1010146A2 (de) Verfahren zur gegenseitigen authentifizierung zweier einheiten
DE60119111T2 (de) Zugriffssteuerung zu einem datenverarbeitungsmittel
DE19527715A1 (de) Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
EP0570924A2 (de) Verfahren zur Authentifizierung eines Systemteiles durch einen anderen Systemteil in einem Informationsübertragungssystem bestehend aus einem Terminal und einer tragbaren Datenträgeranordnung
DE60103523T2 (de) Verfahren zum schutz eines elektronischen bausteines gegen betrug
EP1425723B1 (de) Initialisieren einer chipkarte
DE102017125930A1 (de) Computerimplementiertes Verfahren zum Ersetzen eines Datenstrings durch einen Platzhalter
DE60203909T2 (de) Kryptographisches verfahren zum schutz eines elektronischen chips gegen betrug
EP4111399B1 (de) Verfahren, endgerät, überwachungsinstanz sowie bezahlsystem zum verwalten von elektronischen münzdatensätzen
EP1817752A2 (de) Verfahren zur personalisierung von chipkarten
EP1116358B1 (de) Verfahren zur authentifikation zumindest eines teilnehmers bei einem datenaustausch
EP1722336A2 (de) Vorrichtung und Verfahren zur Erzeugung von Daten für eine Initialisierung von Sicherheitsdatenträgern
EP1573955B1 (de) Verschl sselungsverfahren
DE19841886C2 (de) Verfahren und Vorrichtung zur Erzeugung von Paßwörtern
DE10162310A1 (de) Verfahren und Anordnung zur Übertragung von Signalen von erzeugenden Funktionseinheiten an verarbeitende Funktionseinheiten elektrischer Schaltungen
DE102005038106A1 (de) Verfahren zur Absicherung der Authentisierung eines tragbaren Datenträgers gegen ein Lesegerät über einen unsicheren Kommunikationsweg

Legal Events

Date Code Title Description
8364 No opposition during term of opposition