-
Bereich der Erfindung
-
Die
vorliegende Erfindung betrifft ein Schutzverfahren eines elektronischen
Chips eines Benutzers gegen Betrug.
-
Die
Erfindung findet darin eine sehr vorteilhafte Anwendung, als sie
den Schutz gegen den Missbrauch von Chips mit integriertem Schaltkreis mit
verkabelter Logik oder- mit
Mikroprozessor und insbesondere von elektronischen Chips erlaubt,
die vorausbezahlte, bei verschiedenen Transaktionen, wie zum Beispiel
die Herstellung von Telefonkommunikationen, die Bezahlung von Gegenständen in
einem Geldautomaten, das Anmieten von Parkraum über eine Parkuhr, die Bezahlung
einer Leistung, wie zum Beispiel ein öffentliches Verkehrsmittel
oder die Bereitstellung von Infrastruktur (Maut, Museum, Bibliothek)
ausrüsten.
-
Beschreibung des Standes
der Technik
-
Vorausbezahlte
Karten können
derzeitig Gegenstand verschiedener Arten des Betrugs sein. Eine erste
Art des Betrugs besteht im unbefugten Duplizieren der Karte, wobei
zur Bezeichnung dieser Operation häufig der Begriff Klonen verwendet
wird. Eine zweite Art des Missbrauchs besteht in der Änderung der
einer Karte eigenen Daten, insbesondere des in der Karte eingeschriebenen
Kreditbetrags. Zur Bekämpfung
dieser Betrugsfälle
wird auf die Kryptographie zurückgegriffen,
einerseits, um die Authentifizierung der Karte mittels einer Authentifizierung
zu gewährleisten,
und / oder um die Authentifizierung der Daten mittels einer digitalen
Unterschrift zu gewährleisten,
und andererseits, um die Vertraulichkeit der Daten mittels einer
Chiffrierung zu gewährleisten.
Die Kryptographie bringt zwei Einheiten ins Spiel, einen Überprüfer und
ein zu überprüfendes Objekt,
und sie kann entweder symmetrisch oder asymmetrisch sein. Wenn sie
symmetrisch ist, teilen sich die beiden Einheiten genau dieselbe
Information, insbesondere einen geheimen Schlüssel, wenn sie asymmetrisch
ist, besitzt eine der beiden Einheiten ein Paar Schlüssel, von
denen einer geheim ist und der andere öffentlich; es gibt keinen gemeinsamen
geheimen Schlüssel.
In zahlreichen Systemen wird nur die symmetrische Kryptographie
mit vorausbezahlten Karten umgesetzt, denn die asymmetrische Kryptographie
bleibt langsam und kostspielig. Die ersten in der symmetrischen
Kryptographie entwickelten Authentifizierungsmechanismen bestehen
in der einmaligen Berechnung eines für jede Karte unterschiedlichen
Zertifikats, in seiner Speicherung im Speicher der Karte, in seinem
Auslesen bei jeder Transaktion und seiner Überprüfung durch Abfrage einer Anwendung
des die Transaktion unterstützenden
Netzes, in dem die bereits zugewiesenen Zertifikate gespeichert
sind. Diese Mechanismen gewährleisten
einen ungenügenden
Schutz. Das Zertifikat kann nämlich
ausspioniert, missbräuchlich
reproduziert und wieder abgespielt werden, denn es ist für eine vorgegebene
Karte immer dasselbe. Zwecks Berücksichtigung
der geringen Anzahl von zwischen zwei Wiederaufladevorgängen im
Fall einer vorausbezahlten, wiederaufladbaren Karte oder im Verlauf
der Lebensdauer einer vorausbezahlten, nicht wiederaufladbaren Karte
umgesetzten Authentifizierungen werden die passiven Authentifizierungsmechanismen
durch Mechanismen ersetzt oder vervollständigt, die einen geheimen Schlüssel zu
Authentifizierungs- oder Ausführungszwecken
einer Anweisung und / oder zu Authentifizierungszwecken von Daten
einsetzen. Der für
jede Karte unterschiedliche geheime und zu Beginn in die Karte eingeschriebene
oder, im Fall einer wiederaufladbaren Karte, bei einem Wiederaufladevorgang
in die Karte wiedereingeschriebene Schlüssel wird von der Karte selbst
bei jeder Authentifizireung zwecks Berechnung eines Zertifikats
verwendet.
-
Ein
erster Mechanismus dieser Art ist Gegenstand der Anmeldung FR 89
09734 (FR-A-2650097). Das beschriebene Verfahren besteht in der
Bestimmung einer nicht linearen Funktion, wobei diese Funktion der
Anwendung bekannt ist und in Form eines Zustandsautomaten in einem
elektronischen Chip integriert ist. Bei einer Authentifizierung
berechnen der elektronische Chip und die Anwendung ein Zertifikat,
das das Ergebnis der auf eine bei jeder Authentifizierung vorbestimmte
Liste von Argumenten angewendeten Funktion ist; wobei die Liste
von Argumenten einen Zufallswert enthalten kann, wobei der Zufallswert
ein durch die Anwendung bei jeder Authentifizierung vorbestimmter
Wert, ein im elektronischen Chip enthaltener Wert und ein dem elektronischen
Chip und der Anwendung bekannter geheimer Schlüssel ist. Wenn das vom elektronischen
Chip berechnete Zertifikat mit dem von der Anwendung berechneten
Zertifikat identisch ist, wird der elektronische Chip für authentisch
befunden, und die Transaktion zwischen dem elektronischen Chip und der
Anwendung wird zugelassen.
-
Ein
zweiter Schutzmechanismus für
Karten durch aktive, auf eine auf der Nutzung eines eine bedingungslose
Sicherheit für
eine begrenzte Anzahl von Authentifizierungen gewährleistenden
Authentifizierungscodes basierende logische Funktion zurückgreifende
Authentifizierung ist Gegenstand des Antrages FR 95 12144 (FR-A-2739994)
und wird ebenfalls im in den Unterlagen der Konferenz CARDIS'98 er schienenen Artikel „Solutions
for Low Cost Authentication and Message Authentication" beschrieben. Die
Nutzung einer derartigen logischen Funktion gewährleistet einen Schutz gegen
das Wiederabspielen und eine vom geheimen Schlüssel kontrollierte Abnutzung.
In den auf der Speicherkarte basierenden in diesem Patent betrachteten
Anwendungen kann man vorteilhaft auf eine von einem geheimen Schlüssel und
von Parametern, wie dem von der Karte erhaltenen Zufallswert und
ggf. von internen oder von der Karte erhaltenen Daten der Karte
abhängende
logische lineare Funktion zurückgreifen.
Die in FR 95 12144 beschriebene Familie logischer Funktionen bildet
einen besonders für
die Beanspruchungen von synchronen Karten geeigneten und auf die
Berechnungen von Skalarprodukten Modulo 2 zwischen binären Vektoren
zurückgreifenden
Sonderfall.
-
Jeder
der beiden zuvor genannten Mechanismen besitzt spezifische Vor-
und Nachteile. Was den ersten Mechanismus anbelangt, der auf der (beim
aktuellen Kenntnisstand nicht nachweisbaren) Hypothese der IT-Sicherheit
der eingesetzten nicht linearen Funktion beruht, lassen die von
den beschränkten
Berechnungskapazitäten
von Chips mit verkabelter Logik auferlegten sehr starken Einschränkungen
keine so große
Sicherheitsmarge wie für
die üblichen
Algorithmen mit geheimem Schlüssel zu,
und aus diesem Grunde kann die Offenlegung der detaillierten Spezifikation
der eingesetzten nicht linearen Funktion ein Risiko darstellen.
Was den zweiten Mechanismus anbetrifft, besitzt er den Vorteil,
von einer nachweisbaren Sicherheit zu profitieren, solange die Anzahl
der Authentifizierungen einen bestimmten Schwellenwert nicht überschreitet,
und es gibt daher kein mit der Offenlegung der eingesetzten linearen Funktion
zu sammenhängendes
Risiko, allerdings jedoch kann die dieser Lösung inhärente Notwendigkeit zur strikten
Beschränkung
der Anzahl der Benutzungen der Authentifizierungsfunktion während der Lebensdauer
des Chips (oder im Fall von wiederaufladbaren Karten, zwischen zwei
Wiederaufladevorgängen)
eine für
einige Anwendungen schwer zu erfüllende
Auflage darstellen. Darüber
hinaus können die
sich nicht auf die Chips mit verkabelter Logik sondern auf die zur Überprüfung dieser
Chips verwendeten Sicherheitsmodule gerichteten Angriffe im Falle des
zweiten Mechanismus und nach denen ein Betrüger Überprüfungsmodulen zufällige Antworten
liefern würde,
bis eine ausreichende Anzahl von richtigen, durch Zufall erhaltenen
Antworten zufällig
erreicht wäre
und ihm somit das mit einer Kartennummer seiner Wahl verbundene
Geheimnis geliefert wird, schwerer abzuwehren sein.
-
Zusammenfassung der Erfindung
-
Somit
besteht das von der Erfindung zu lösende technische Problem darin,
ein Schutzverfahren eines elektronischen Chips eines Benutzers gegen
Betrug vorzuschlagen, das die Stufen umfasst:
– Bestimmung
einer der Anwendung bekannten und im elektronischen Chip integrierten
logischen Funktion g der Anwendung,
– Zuordnung eines ersten, nur
dem elektronischen Chip und der Anwendung bekannten und im elektronischen
Chip geheim gehaltenen geheimen Schlüssels K zum elektronischen
Chip,
– Erzeugung
eines variablen, Zufallswert genannten Eingangswortes R bei jeder
Authentifizierung des elektronischen Chips
– Berechnung eines Zertifikats
durch den elektronischen Chip und die Anwendung, wobei das Zertifikat das
Ergebnis der auf eine wenigstens den Zufallswert R und den geheimen
Schlüssel
K umfassende Liste von Argumenten angewendeten logischen Funktion g
,
das eine erhöhte
Sicherheit gewährleistet.
-
Eine
Lösung
des gestellten technischen Problems besteht gemäß dieser Erfindung darin, dass das
genannte Verfahren darüber
hinaus Stufen umfasst, die bestehen aus:
– Bestimmung einer nicht linearen,
der Anwendung bekannten und im elektronischen Chip integrierten Funktion
f
– Zuordnung
eines zweiten, nur dem elektronischen Chip und der Anwendung bekannten
und im elektronischen Chip geheim gehaltenen geheimen Schlüssels K' zum elektronischen
Chip,
– Bestimmung
einer Maske M mittels der auf eine zweite, wenigstens einen Teil
des geheimen Schlüssels
K' umfassenden Liste
von Argumenten) angewendeten nicht linearen Funktion f bei jeder
Authentifizierung des elektronischen Chips,
– Verdecken
des Wertes des Zertifikats Sp mittels der Maske M, um der Anwendung
nur den Wert des verdeckten Zertifikats zur Verfügung zu stellen,
– Überprüfen des
verdeckten wertes des durch den elektronischen Chip berechneten
Zertifikats durch die Anwendung
-
Somit
verdeckt das erfindungsgemäße Verfahren,
das den Schutz eines elektronischen Chips gegen Betrug bei Transaktionen
zwischen dem elektronischen Chip und einer Anwendung betrifft, den durch
den elektronischen Chip berechneten Wert des Zertifikats S bevor
die Anwendung ihn liest, um seinen Wert zu überprüfen und zu bestimmen, ob der elektronische
Chip authentisch ist; wobei die Berechnung des Zertifikats S und
die Bestimmung der Maske M jeweils eine von einem ersten, im elektronischen
Chip integrierten Schlüssel
abhängende
logische Funktion und eine nicht lineare, von einem zweiten, ebenfalls
im elektronischen Chip integrierten Schlüssel abhängende Funktion einsetzen,
wobei die Funktionen und die Schlüssel der Anwendung bekannt
sind.
-
Das
erfindungsgemäße Verfahren
löst das gestellte
Problem, denn der Wert des vom elektronischen Chip berechneten Zertifikats
S ist nicht im Klartext verfügbar,
sondern in einer verdeckten Form. Infolgedessen kann der Betrüger nicht
einfach das Berechnungsergebnis zwischen dem elektronischen Chip
und der Anwendung abfangen und es später wieder abspielen. Er muss
den Wert der logischen Funktion und des ersten Schlüssels kennen;
die die Berechnung des Zertifikats erlauben, und den wert der nicht
linearen Funktion und des zweiten Schlüssels, die zur Bestimmung der
Maske eingesetzt werden.
-
Die
Anwendung überprüft die Richtigkeit
des verdeckten Wertes entweder nach der Berechnung der Werte des
Zertifikats und der Maske M zum Maskieren des wertes des Zertifikats
mittels der Maske M und zum Vergleichen dieses verdeckten Wertes
mit dem vom elektronischen Chip berechneten Wert oder durch Aufdecken
des durch den elektronischen Chip mittels der umgekehrten Funktion
der Maske berechneten verdeckten Zertifikats und durch Vergleichen des
aufgedeckten Wertes mit dem von der Anwendung berechneten Wert des
Zertifikats. Wenn die verglichenen Werte identisch sind, wird der
elektronische Chip für
authentisch befunden und die Transaktion zwischen dem elektronischen
Chip und der Anwendung wird zugelassen.
-
Ein
besonderer Umsetzungsmodus erlaubt vorteilhaft die gleichzeitige
Gewährleistung
der Authentifizierung der Karte und die Authentifizierung von Daten
durch den Einsatz des Wertes bestimmter Daten bei der Berechnung
des Zertifikats. In einem ersten Fall können diese Daten im elektronischen Chip
gespeichert werden und durch die Nummer des elektronischen Chips
oder durch einen dem elektronischen Chip zugeordneten Kredit gebildet
werden. In einem zweiten Fall werden diese Daten bei der Authentifizierungsoperation
in den elektronischen Chip durch die Anwendung eingeschrieben.
-
Obwohl
es vorzuziehen ist, unabhängige Schlüssel K du
K' zu verwenden,
kann eine Abhängigkeit
in Form einer Funktion vorhanden sein, die die Berechnung des Schlüssels K' ausgehend vom Schlüssel K zulässt. Die
Zuordnung der Schlüssel
zu einem elektronischen Chip wird entweder bei der individuellen
Gestaltung des Chips bei Abschluss der Fertigung oder bei einer
Wiederaufladeoperation des elektronischen Chips im Falle eines wiederaufladbaren
elektronischen Chips durchgeführt.
-
Gemäß eines
anderen besonderen Umsetzungsmodus kann die Bestimmung der Schlüssel K und
K' durch die Anwendung
einer Diversifizierungsmethode erfolgen, deren Eingangsargumente
die Nummer des elektronischen Chips und ein geheimer Mastercode
sind, was vorteilhaft der Anwendung die Wiederherstellung der geheimen
Schlüssel
jedes elektronischen Chips nach dem Lesen der Nummer des Chips erlaubt;
dann ist keinerlei Speichern der geheimen Schlüssel der Chips notwendig.
-
Gemäß einem
anderen Umsetzungsmodus ist der Schlüssel K ein Wort einer bestimmten
Anzahl von in Sequenzen K[i] zusammengefassten Bits, wobei jede
Sequenz K[i] eine der Zahl von Bits der Eingangsargumente gleiche
und als Ganzes genommene Anzahl von Bits ohne den Schlüssel K hat,
die logische Funktion g in der Durchführung von skalaren Produkten
Modulo 2 zwischen den Bits einer bestimmten Sequenz K[i] und den
Bits der Eingangsargumente ohne den Schlüssel K besteht.
-
Die
nicht lineare Funktion f kann als Eingangsargument entweder den
Schlüssel
K', oder den Zufallswert
R oder die internen Daten D des elektronischen Chips oder die dem
elektronischen Chip durch die Anwendung gelieferten Daten D' oder eine Kombination
derselben haben; wobei jedes Argument eine für den Betrüger zu überwindende Schwierigkeit hinzufügt.
-
Gemäß einem
anderen besonderen Umsetzungsmodus wird der Zufallswert R durch
die Anwendung ausgehend von einer von der Anwendung erzeugten zufälligen Zahl
bestimmt, und der Zufallswert R wird durch die Anwendung auf den
elektronischen Chip übertragen.
-
Gemäß einem
anderen besonderen Umsetzungsmodus wird der Zufallswert R ausgehend
von einer Folge von aufeinander folgenden ganzen, durch die Anwendung
(2) und den elektronischen Chip erzeugten Zahlen bestimmt.
-
Gemäß einem
anderen besonderen Umsetzungsmodus hat die nicht lineare Funktion
f darüber hinaus
wenigstens einen vom Zustand des elektronischen Chips zum Zeitpunkt
der Authentifizierung abhängigen
Parameter c als Eingangsargument. Gemäß einer ersten Variante dieses
Modus wird der Wert des Parameters c ausgehend von wenigstens dem
Wert eines im elektronischen Chip enthaltenen und bei jeder Authentifizierung
inkrementierten Zählers
berechnet. Gemäß einer
zweiten Variante dieses Modus wird der Wert des Parameters c ausgehend von
wenigstens dem Wert eines im elektronischen Chip enthaltenen und
bei jeder Authentifizierung inkrementierten Zählers und dem Zufallswert R
berechnet.
-
Gemäß einem
anderen besonderen Umsetzungsmodus wird die Maskierung des Zertifikats
mittels der Maske M mittels einer Chiffrierungsfunktion und insbesondere
einer Exclusiv-ODER-Funktion von Bit zu Bit berechnet.
-
Gemäß einem
besonderen Umsetzungsmodus wird die Anzahl von Authentifizierungen
des elektronischen Chips auf einen maximalen, durch die Anwendung
bestimmten und in den elektronischen Chip eingeschriebenen Wert
v beschränkt.
Gemäß einer Variante
dieses Modus enthält
der elektronische Chip einen bei jeder Authentifizierung inkrementierten Zähler, der
elektronische Chip stoppt jede Authentifizierungsberechnung, wenn
der Wert des Zählers
den maximalen Wert V erreicht.
-
Kurze Beschreibung der
Zeichnungen
-
weitere
Merkmale und Vorteile der Erfindung werden bei der nachfolgenden
Beschreibung unter Bezugnahme auf die beigefügten Zeichnungen von besonderen
Ausführungsmodi
deutlich, die beispielhaft und nicht einschränkend gegeben werden.
-
1 ist
ein Schema eines erfindungsgemäßen Verfahrens.
-
2 ist
ein Schema einer nicht linearen Funktion f.
-
Beschreibung eines Realisierungsmodus
-
1 stellt
schematisch ein erfindungsgemäßes Schutzverfahren
eines elektronischen Chips 1 eines Benutzers gegen den
Betrug bei Transaktionen zwischen einer Anwendung 2 und
dem elektronischen Chip 1 dar.
-
Die
Anwendung 2 kann vollständig
oder teilweise in einem Terminal mit nicht überwachter Selbstbedienung
delokalisiert sein, wie zum Beispiel einem öffentlichen Telefon oder einem
Zugangs-Drehkreuz für
ein öffentliches
Verkehrsmittel. Der Benutzer besitzt einen zum Beispiel auf einer
vorausbezahlten Karte integrierten elektronischen Chip 1,
die ihm die Herstellung einer Transaktion mit der Anwendung 2 erlauben
soll. Diese Transaktionen können
in der Herstellung von Telefonkommunikationen, der Zahlung von Gegenständen in
einem Geldautomaten, dem Anmieten von Parkraum über eine Parkuhr, der Bezahlung
einer Leistung, wie zum Beispiel einem öffentlichen Verkehrsmittel
oder der Bereitstellung von Infrastruktur bestehen.
-
Das
Verfahren erlaubt die Authentifizierung des elektronischen Chips 1.
Der elektronische Chip 1 wird zum Zeitpunkt seiner Fertigung
individuell gestaltet und eventuell bei einer Wiederaufladeoperation
mittels einer Identnummer i und einem anfänglichen Wert eines mit der
Anwendung zusammenhängenden
Wertes D, für
die er bestimmt ist; der Wert D stellt im Allgemeinen den dem elektronischen
Chip 1 für
eine bestimmte Anwendung 2 zugeordneten Kredit dar.
-
Das
Verfahren besteht, bei dieser Operation der individuellen Gestaltung
oder bei einer Operation vor der Vermarktung des elektronischen
Chips 1, in der Bestimmung der für die Authentifizierung entweder
des elektronischen Chips 1 oder der Anwendung 2 notwendigen
Anfangsbedingungen. Diese Anfangsbedingungen umfassen die Bestimmung 3 einer
logischen Funktion g, einer nicht linearen Funktion f, eines ersten
geheimen Schlüssels
K und eines zweiten geheimen Schlüssels K'. Die logische Funktion g ist der Anwendung 2 bekannt
und wird in den elektronischen Chip 1 in Form von logischen
Schaltkreisen 4, wie zum Beispiels den Gliedern ODER, Exclusiv-ODER,
UND, Nicht UND, usw. integriert.
-
Die
nicht lineare Funktion f kann in Form eines aus einer Folge von
ein Schieberegister bildenden, einem Speicher und Exclusiv-ODER-Operatoren
zugeordneten Registern gebildeten Schaltkreises 5 integriert
werden; eine derartige Funktion wird als Zustandsautomat bezeichnet
und ist zum Beispiel in 2 dargestellt. Gemäß diesem
Beispiel besteht die Funktion f aus einem ersten Exclusiv-ODER-Operator 6,
einem Schieberegister, das 4 Bits umfasst, vier Kippschaltungen
r0 bis r3 und vier Exclusiv-ODER-Operatoren 7 bis 10 und
einem Speicher 11 in der Größe von 16 × 4 Bits. Jeder Exclusiv-ODER-Operator 6 bis 10 hat
zwei Eingänge
und einen Ausgang. Jede Kippschaltung r0 bis r3 hat einen Dateneingang,
zwei Datenausgänge
und einen nicht dargestellten Zeitgebereingang. Der Speicher 11 hat
vier Eingänge
und vier Ausgänge
und einen nicht dargestellten Zeitgebereingang. Die Eingangsargumente
e5, e6, die gemäß diesem
Ausführungsmodus
wenigstens einen Teil des zweiten geheimen Schlüssels K' und den Zufallswert R umfassen, sind auf
einem der Eingänge
des ersten Exclusiv-ODER-Operators 6 vorhanden.
Der Ausgang des ersten Exclusiv-ODER-Operators ist an den ersten Eingang
des zweiten Exclusiv-ODER-Operators 7 angeschlossen. Der
Eingang der Kippschaltungen r0, r1, r2 und r3 ist am Ausgang eines
Exclusiv-ODER-Operators 7 bis 10 angeschlossen.
Der erste Ausgang der Kippschaltungen r0, r1 und r2 ist an einen
ersten Eingang eines Exclusiv-ODER-Operators 8 bis 10 angeschlossen.
Der zweite Ausgang der Kippschaltungen r0, r1, r2 und r3 ist an
einen Eingang des Speichers 11 angeschlossen. Der zweite Eingang
der Exclusiv-ODER-Operatoren 7 bis 10 ist an einen
Ausgang des Speichers 11 angeschlossen. Der erste Ausgang
der Kippschaltung r3 liefert den durch die auf die Argumente e5, e6 angewendete Funktion
f berechneten Wert der Maske M, die gemäß diesem Realisierungsmodus
wenigstens einen Teil des zweiten geheimen Schlüssels K' und den Zufallswert R umfassen. Jeder
Authentifizierung des elektronischen Chips 1 oder der Anwendung 2 entspricht
eine der Anzahl von Bits der Eingangsargumente gleiche Anzahl von
Zeitimpulsen; die Bits der Maske M treten bei jedem Zeitimpuls im
Ausgang 12 in Serie aus.
-
Der
erste, im Allgemeinen auf individuelle Weise einem elektronischen
Chip zugeordnete Schlüssel
K besteht typischerweise aus einem Wort aus einigen Dutzend bis
einigen Tausend Bits; dieses Wort ist der Anwendung bekannt und
wird im elektronischen Chip 1 geheim gehalten. Gemäß einem
besonderen Realisierungsmodus des Verfahrens speichert die Anwendung
den Schlüssel
K jedoch nicht selbst, sondern ein sogenanntes Master-Geheimnis. Dieses
Master-Geheimnis
ist von der Art, dass es durch eine sogenannte Diversifizierungsmethode
die Wiederherstellung des Schlüssels
K ausgehend von der Identnummer i des Chips zulässt.
-
Wie
auch immer der Realisierungsmodus des Verfahrens aussieht, der Schlüssel K wird
typischerweise im Chip in einem Festspeicher 13, wie zum
Beispiel einem PROM gespeichert. Insbesondere wenn der elektronische
Chip 1 vom wie deraufladbaren Typ ist – bei einem auf einer vorausbezahlten wiederaufladbaren
Karte integrierten Chip ist das der Fall – kann auch zum Schreiben auf
den Festspeicher zugegriffen werden, wie zum Beispiel ein EEPROM.
-
Der
zweite Schlüssel
K' stellt sich als
Schlüssel
K in Form eines Wortes mit einer bestimmten Anzahl von Bits dar.
Die Schlüssel
K und K' werden
im Chip gespeichert, typischerweise in demselben Speicher 13 an
unterschiedlichen Adressen, doch die Bestimmung der Bits von K' (beziehungsweise
K) kann in bestimmten Fällen
vom Schlüssel
K (beziehungsweise K')
abhängen.
-
Nach
der Operation der individuellen Gestaltung wird der elektronische
Chip 1 vermarktet, und der Benutzer kann eine Transaktion
mit einer Anwendung 2 vornehmen. Das vom Schema in 1 dargestellte
Authentifizierungsverfahren besteht in der Authentifizierung des
elektronischen Chips 1 durch die Anwendung 2.
-
In
einer ersten Stufe des Verfahrens erzeugt die Anwendung ein Zufallswert
genanntes Wort R. Das Wort R umfasst eine bestimmte Anzahl von Bits zwecks
Vermeidung jeglichen missbräuchlichen
Versuchs des Wiederabspielens; typischerweise liegt die Anzahl der
Bits in der Größenordnung
von einigen Dutzend Bits. Das Wort R wird mithilfe eines Zufallsgenerators
oder eines Pseudo-Zufallsgenerators
erzeugt. In einem besonderen Realisierungsmodus können die
aufeinander folgend erzeugten Worte R aus einer Folge von aufeinander
folgenden ganzen Zahlen bestehen. Das Wort R ist ein Eingangsargument
für die
Berechnung des Zertifikats S. Damit der elektronische Chip 1 Zugang
zum Wort R hat, führt die
Anwendung 2 ein Schreibvorgang 14 im Chip 1 aus,
oder der Chip 1 liest das Wort R in der Anwendung 2.
Der Austausch zwischen dem Chip 1 und der Anwendung 2 kann
gemäß einem
bei der individuellen Gestaltung des Chips 1 festgelegten
Protokoll erfolgen; der Wert R kann zum Beispiel kodiert sein. Das
Wort R wird zeitweise in einem Pufferspeicher 15 des elektronischen
Chips 1 sowie in der Anwendung 2 gespeichert.
-
In
einer zweiten Stufe des Verfahrens berechnen 16, 17 die
Anwendung 2 einerseits und der Chip 1 andererseits
ein jeweils mit S und Sp bezeichnetes Zertifikat. Das Zertifikat
S, beziehungsweise Sp ist das Ergebnis der durch die auf eine wenigstens den
Zufallswert R und den Schlüssel
K umfassende Liste von Argumenten e1, e2 angewendete logische Funktion g durchgeführten Berechnung.
In den besonderen Realisierungsmodi des Verfahrens umfasst die Liste
der Argumente e1, e2 darüber hinaus
die Identnummer i des elektronischen Chips 1 oder einen oder
mehrere im elektronischen Chip 1 enthaltene werte D oder
einen oder mehrere, durch die Anwendung erzeugte und in den elektronischen
Chip 1 vor der Authentifizierung geschriebene Werte D' oder eine Kombination
der vorherigen Argumente.
-
In
einer dritten Stufe besteht das Verfahren aus der Bestimmung 18, 19 einer
Maske M mittels der nicht linearen Funktion f. Die Maske M ist das
Ergebnis der auf eine Liste von Argumenten e5,
e6 angewendeten nicht linearen Funktion
f, wie oben unter Bezugnahme auf 2 beschrieben.
Die Maske M besteht aus einer vorbestimmten Anzahl m von Bits, die
typischerweise gleich einem Dutzend Bits ist. Der Realisierungsmodus,
nach dem die Anzahl m gleich der Anzahl von Bits des Zertifikats
S ist, hat den Vorteil, dass das verdeckte Zertifikat absolut keine
Information über
den Wert des Zertifikats S offen legt; dies ist nicht der Fall,
wenn die Länge
m der Maske M kürzer
ist als die Länge
des Zertifikats S.
-
In
einer vierten Stufe des Verfahrens verdeckt 20 der elektronische
Chip 1 den Wert des Zertifikats Sp, den er mittels der
Maske M berechnet hat. In einem ersten Realisierungsmodus wird die
Verdeckung 20 mittels einer Chiffrierungsfunktion berechnet.
Eine Chiffrierungsfunktion ist eine bijektive, durch einen Schlüssel parametrierte
Funktion, der einem Satz von werten einen anderen Satz von Werten entsprechen
lässt;
zum Beispiel kann die Funktion F : x → x + k Modulo 2 , wobei x =
0 oder 1 ist und k = 0 oder 1 als Chiffrierungsfunktion genutzt
werden. Die Chiffrierungsfunktion kann aus einer Exclusiv-ODER-Operation
zwischen dem Zertifikat Sp und der Maske M bestehen. Das Ergebnis
der Verdeckungsoperation ergibt den verdeckten Wert des Zertifikats
Spm, der temporär
in einem Pufferspeicher 21 des elektronischen Chips 1 gespeichert
wird.
-
In
einer fünften
Stufe des Verfahrens führt die
Anwendung ein Lesen 22 des Pufferspeichers 21 durch,
oder der Chip 1 schreibt das verdeckte Zertifikat Spm in
die Anwendung 2. Der Austausch zwischen dem Chip 1 und
der Anwendung 2 kann gemäß einem ähnlichen Protokoll wie dem
erfolgen, das für
den Austausch des Zufallswertes R verwendet wird. Die Anwendung 2 überprüft dann
den vom Chip 1 berechneten Wert Spm des verdeckten Zertifikats
durch Vergleich 23 mit dem Wert S des Zertifikats, den
sie selbst berechnet hat. Zur Durchführung des Vergleichs 23 verdeckt 24 entweder
die Anwendung 2 wie dargestellt den Wert S des Zertifikats
mittels der Maske M, um den verdeckten Wert Sm zu erhalten und ihn
mit dem Wert Spm zu vergleichen 23, oder die Anwendung 2 deckt
den Wert Spm durch Einsetzen einer umgekehrten Funktion der Maske
M auf, um den Wert Sp zu erhalten und ihn mit dem Wert S zu vergleichen.
-
Eine
Variante des zuvor unter Bezugnahme auf die 1 und 2 beschriebenen
Verfahrens erlaubt vorteilhaft bestimmten, in der Simulation des Verhaltens
einer Anwendung mithilfe einer Authentifizierung der Anwendung durch
den elektronischen Chip gegenüber
einem elektronischen Chip bestehenden Betrugsversuchen abzuhelfen.
Gemäß dieser
Variante werden zuvor durch die Anwendung durchgeführte Operationen
durch den elektronischen Chip und umgekehrt durchgeführt. Somit:
– wird bei
jeder Authentifizierung der Anwendung das Zufallswert genannte variable
Eingangswort R bevorzugt vom elektronischen Chip erzeugt,
– berechnet
die Anwendung ein Zertifikat und verdeckt es mittels der Maske M,
um nur den Wert des verdeckten Zertifikats für den elektronischen Chip zur Verfügung zu
stellen,
– wird
die Vergleichsoperation der berechneten Zertifikatwerte einerseits
durch den elektronischen Chip und andererseits durch die Anwendung
durch den elektronischen Chip durchgeführt.
-
Gegenstand
der Erfindung ist darüber
hinaus ein zu Transaktionen mit einer Anwendung bestimmter elektronischer
Chip, wobei die Transaktionen ein erfindungsgemäßes Verfahren umsetzen. Der
Chip umfasst:
Der Chip umfasst:
– Einen nicht-volatilen Speicher,
wie zum Beispiel einen PROM oder einen EEPROM zum Speichern des ersten
geheimen Schlüssels
K und des zweiten geheimen Schlüssels
K'
– Einen
ersten elektronischen Schaltkreis, wie zum Beispiel einen Mikroprozessor,
einen programmierbaren logischen Schaltkreis (EPLD oder PAL gemäß der angelsächsischen
Terminologie) zur Berechnung des Zertifikats Sp und zum Berechnen
der Maske M,
– integrierte
Schaltkreise, in denen die logische Funktion g und die nicht lineare
Funktion f integriert sind,
– einen zweiten elektronischen
Schaltkreis, wie zum Beispiel einen Mikroprozessor, einen programmierbaren
logischen Schaltkreis (EPLD oder PAL gemäß der angelsächsischen
Terminologie) zum Verdecken des Zertifikats mit der Maske M.
-
Gegenstand
der Erfindung ist darüber
hinaus eine vorausbezahlte Karte mit einem derartigen elektronischen
Chip.
-
Gegenstand
der Erfindung ist darüber
hinaus eine für
Transaktionen mit derartigen elektronischen Chips bestimmte Vorrichtung,
wobei die Transaktionen ein erfindungsgemäßes Verfahren umsetzen. Die
Vorrichtung umfasst:
– ein
Speichermittel mit geheimen Schlüsseln
(K, K'), elektronische
Chips, die logische Funktion g und die nicht lineare Funktion f,
– ein Berechnungsmittel
zum Berechnen des Zertifikats S und zum Berechnen der Maske M,
– ein Überprüfungsmittel
zum Überprüfen des
verdeckten Wertes Spm des durch einen elektronischen Chip berechneten
Zertifikats.
-
Die
Vorrichtung ist in einer Einrichtung enthalten, wie zum Beispiel
einem öffentlichen
Telefon, einer Zugangsbeschränkung
für eine öffentliche
Leistung (ein Zu gangsdrehkreuz zur U-Bahn, ein Zugangsdrehkreuz
zu einer Bibliothek, usw.), einer Parkuhr.