[go: up one dir, main page]

DE69814406T2 - Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter - Google Patents

Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter Download PDF

Info

Publication number
DE69814406T2
DE69814406T2 DE69814406T DE69814406T DE69814406T2 DE 69814406 T2 DE69814406 T2 DE 69814406T2 DE 69814406 T DE69814406 T DE 69814406T DE 69814406 T DE69814406 T DE 69814406T DE 69814406 T2 DE69814406 T2 DE 69814406T2
Authority
DE
Germany
Prior art keywords
secret
personalization
data
specific
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69814406T
Other languages
English (en)
Other versions
DE69814406D1 (de
Inventor
Louis Yves AUDEBERT
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HID Global SAS
Original Assignee
ActivCard SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ActivCard SA filed Critical ActivCard SA
Application granted granted Critical
Publication of DE69814406D1 publication Critical patent/DE69814406D1/de
Publication of DE69814406T2 publication Critical patent/DE69814406T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3558Preliminary personalisation for transfer to user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Transceivers (AREA)

Description

  • Die vorliegende Erfindung bezieht sich in allgemeiner Weise auf Systeme zur gesicherten elektronischen Kommunikation, und noch besonderer auf solche Systeme, bei denen tragbare gesicherte elektronische Vorrichtungen es gestatten, mit einer anderen elektronischen Einheit eine Kommunikation einzurichten und/oder zu dieser Zugang zu haben.
  • Zahlreiche Systeme zur elektronischen Kommunikation machen es erforderlich, den Zugang der Anwender auf vorbestimmte Anwendungen zu kontrollieren, wobei diese Kontrolle im allgemeinen nach sich zieht, Personen und/oder Nachrichten zu authentifizieren. Das ist insbesondere der Fall, wenn es darum geht, den Zugang zu einem Rechner oder allgemeiner zu einem Informatiknetz zu kontrollieren, dessen Benutzung Personen vorbehalten ist, die sich ordnungsgemäß ausgewiesen haben. Solche Netzwerke können zum Beispiel dazu dienen, alle Arten von Dienstleistungen anzubieten, die ein Geschäft nach sich ziehen, meistens mit wirtschaftlichem Gegenwert, wie den Einkauf von zu Hause aus, das Bezahlfernsehen, den Verkehr mit der Bank von zu Hause aus, interaktive Fernsehspiele, und so weiter...
  • Systeme zur Zugangskontrolle werden insbesondere in den Druckschriften US-A-3 806 874, US-A-4 601 011, US-A-4 720 860, US-A-4 800 590 und US-A-5 060 263 beschrieben. Die in diesen Druckschriften beschriebenen Systeme beziehen sich auf eine tragbare gesicherte elektronische Vorrichtung, die durch Verschlüsselung einer Variablen ein Passwort erzeugt. Eine Verifikationseinheit führt dieselbe Berechnung oder eine ähnliche Berechnung mit der gleichen oder annähernd der gleichen Variablen aus und berechtigt zum Zugang zu der verlangten Anwendung, wenn Übereinstimmung zwischen den in der tragbaren Vorrichtung und der Einheit zur Überprüfung erzeugten Passwörtern vorhanden ist. Die Variable kann eine zufällige oder pseudozufällige Zahl sein, nachfolgend Zufallszahl genannt, die von der Verifikationseinheit der tragbaren Vorrichtung übermittelt wird, oder sie kann genauso gut in unabhängiger Weise in der tragbaren Vorrichtung und der Verifikationseinheit erzeugt werden, beispielsweise von einer Uhr und/oder einem Ereigniszähler.
  • Weil die in der tragbaren Vorrichtung und der Verifikationseinheit vorgenommene Verschlüsselung auf einen symmetrischen Algorithmus und einen geheimen Schlüssel zurückgreift, zum Beispiel den Algorithmus DES (Data Encryption Standard), beruht die Sicherheit (les Systems auf der Bewahrung des geheimen Charakters des sowohl in der tragbaren Vorrichtung wie auch in der Verifikationseinheit gespeicherten Schlüssels.
  • In bestimmten Fällen kann der Schlüssel statisch sein, das heißt er behält während der gesamten Lebenszeit der tragbaren Vorrichtung den selben Wert.
  • In anderen Fällen kann der Schlüssel dynamisch sein, das heißt er verändert sich mit der Zeit im Gebrauch, zum Beispiel aus dem Inhalt eines durch ein Uhrsignal inkrementierten Zählers und/oder eines Ereigniszählers.
  • Ob der Schlüssel nun statisch oder dynamisch ist, er muss anfänglich, das heißt wenn die Vorrichtung personalisiert wird, einen vorbestimmten Wert aufweisen, der sowohl in der tragbaren elektronischen Vorrichtung wie auch in einer mit der Verifikationseinheit verbundenen Datenbank gespeichert ist. Wenn ein Anwender eine Zugangsanforderung vornimmt, muss er sich auf die eine oder andere Weise, beispielsweise mittels einer öffentlichen Identifikationszahl oder einer Zahl zur persönlichen Identifikation (PIN) bei der Verifikationseinheit identifizieren, die von der Datenbank den statischen Schlüssel, oder wenn es sich um einen dynamischen Schlüssel handelt, die eventuell zur Berechnung des gültigen Schlüssels notwendigen Informationen erhält.
  • Die Sicherheitsprobleme stellen sich mit den gleichen Begriffen bei den Systemen zur gesicherten elektronischen Kommunikation mittels tragbarer elektronischer Vorrichtungen und Verifikationseinheit(en), die auf eine Verschlüsselung und Entschlüsselung mittels asymmetrischem Algorithmus mit öffentlichem(n) Schlüssel(n) und nicht öffentlichem(n) Schlüssel(n) zurückgreifen. In der Abfolge der durch einen solchen Algorithmus in Betrieb genommenen Abläufe (Authentifizierung, Unterschrift und so weiter...) muss der geheime Charakter eines oder mehrerer der in den Vorrichtungen und/oder den Verifikationseinheiten gespeicherten Schlüssel in der Tat bewahrt werden.
  • Während des Vorgangs zur Personalisierung wird/werden dieser oder diese Schlüssel und andere geheime Personalisierungsdaten durch die Institution, die dem Endanwender die Vorrichtung ausliefert, in der Vorrichtung abgespeichert. Um diese Personalisierungsdaten zu schützen, ist es insbesondere durch die Druckschrift WO 93/10509 bekannt, dem Lieferanten einer Speicherkarte zu gestatten, den anfänglichen Schlüssel, der von dem Hersteller der Karte implantiert wurde, durch einen neuen Hauptschlüssel zum Zugang zu den Personalisierungsdaten zu ersetzen.
  • Es ist ebenfalls aus der Druckschrift EP-A-0173103 bekannt, geheime Identifikationsdaten einer Chipkarte in einem Speicher derselben zu speichern. Wenn eine Karte von dem Hersteller dem Lieferanten ausgeliefert wird, wird dem Lieferanten von dem Hersteller auf getrennte Art ein versiegeltes Faltblatt zugeschickt, auf dem eine Hauptschlüssel-Date PMK aufgedruckt ist. Die Date PMK wird in die Chipkarte eingeführt, oder sie wird mit einer in dieser gespeicherten PMK-Date verglichen. Die Einführung einer primären Kontonummer PAN in die Karte wird nur erlaubt, wenn Übereinstimmung vorhanden ist. Dem Anwender der Karte wird von dem Lieferanten unter versiegeltem Faltblatt eine anfängliche persönliche Identifikationsnummer IPIN zugeschickt. Auf der Ebene des Anwenders werden die Date IPIN, die er erhalten hat, und eine in der Karte gespeicherte Date IPIN verglichen. Die Registrierung der persönlichen Identifikationsnummer der Karte kann nur erhalten werden, wenn Übereinstimmung gegeben ist.
  • Andererseits führt die große Entwicklung, die die Systeme zur gesicherten elektronischen Kommunikation erfahren, dazu sich Produkte auszudenken, die die Inbetriebnahme mehrerer verschiedener Anwendungen erlauben und die für ein und dieselbe Anwendung mehrere Sicherheitsniveaus bereitstellen. Es stellt sich dann das Problem, die Unabhängigkeit der Anwendungen und der dazugehörigen Sicherheitsniveaus, das heißt der verschiedenen von der Vorrichtung in Betrieb genommenen Funktionen, zu garantieren.
  • Die Erfindung hat unter anderen Zielen das Ziel, eine tragbare gesicherte elektronische Vorrichtung zur Kommunikation mit einer anderen elektronischen Einheit bereitzustellen, die es erlaubt, eine solche Unabhängigkeit der Funktionen sicherzustellen.
  • Gemäß der Erfindung wird dieses Ziel erreicht mittels einer tragbaren gesicherten elektronischen Vorrichtung zur Kommunikation, wie im Anspruch 1 und den Unteransprüchen 2 bis 12 definiert.
  • Die Erfindung hat auch in Übereinstimmung mit dem Anspruch 13 und den Unteransprüchen 14 bis 18 ein Verfahren zum Initialisieren einer solchen tragbaren gesicherten elektronischen Vorrichtung zur Kommunikation zum Gegenstand.
  • Die Erfindung hat noch ein System zur gesicherten Kommunikation zum Gegenstand, umfassend eine Gesamtheit von tragbaren gesicherten elektronischen Vorrichtungen zur Kommunikation, wie vorstehend definiert, und mindestens ein Werkzeug zum Initialisieren von Personalisierungskenngrößen zum Laden in jede der Vorrichtungen von
    • – Daten zur Personalisierung, die den verschiedenen Funktionen der Vorrichtung gemeinsam sind,
    • – besonderen Daten zur Personalisierung,
    • – besonderen geheimen Daten.
  • Gemäß einem besonderen Merkmal der Erfindung umfasst das System außerdem ein Werkzeug zum Initialisieren von Herstellungskenngrößen zur anfänglichen Ladung einer umprogrammierbaren geheimen Date in jede der Vorrichtungen, die für jede Vorrichtung spezifisch ist und für den geheimen Zugangscode in spezifischer Personalisierung steht.
  • Schließlich hat die Erfindung ein System zur gesicherten Kommunikation zum Gegenstand, umfassend eine Gesamtheit von Vorrichtungen, die Mittel zur Inbetriebnahme von Abläufen der Authentifizierung wie vorstehend definiert und mindestens eine Verifikationseinheit enthalten.
  • Andere besondere Merkmale und Vorteile der Erfindung werden sich aus der nun folgenden Beschreibung von Ausführungsformen ergeben, die als Beispiel gegeben werden und von den beiliegenden Zeichnungen veranschaulicht werden, in denen:
  • Die 1 ein allgemeines Schema eines Systems zur gesicherten Kommunikation gemäß der Erfindung ist, angewendet auf die Zugangskontrolle;
  • Die 2 ein Diagramm ist, das die Abläufe der Initialisierung bei der Herstellung der Kenngrößen der tragbaren elektronischen Vorrichtung veranschaulicht, die einen Teil des Systems der 1 bildet;
  • Die 3 ein Diagramm ist, das eine Variante der Abläufe zur Initialisierung bei der Herstellung der Kenngrößen der tragbaren elektronischen Vorrichtung veranschaulicht, die einen Teil des Systems der 1 bildet;
  • Die 4 ein Diagramm ist, das die Abläufe der Initialisierung der Personalisierungskenngrößen der tragbaren elektronischen Vorrichtung veranschaulicht, die einen Teil des Systems der 1 bildet;
  • Die 5 ein allgemeines Organigramm ist, das in synthetischer Form die verschiedenen Phasen der Initialisierung der tragbaren elektronischen Vorrichtung veranschaulicht, die einen Teil des Systems der 1 bildet.
  • Von dem in der 1 wiedergegebenen System zur Zugangskontrolle wird angenommen, dass es einen bedingten Zugang zu einer Anwendung gewährt, die durch das Rechteck 1 symbolisiert wird. Der Begriff „Anwendung" muss in einem sehr weiten Sinn verstanden werden. Er bezeichnet jede Anwendung, zu welcher der Zugang von einer Berechtigung abhängt, die eine Authentifizierung eingreifen lässt, die eine Verifikation der Vorrichtung (Karte) einschließt, mit deren Hilfe die Anfrage formuliert wird, und vorzugsweise ebenfalls eine Identifikation der Person, die Zugang zu der Anwendung verlangt, um zu wissen, ob das Verlangen gerechtfertigt ist.
  • Die Anwendung kann von jeder Art sein, zum Beispiel die Kontrolle des Zugangs zu einer Örtlichkeit, zu einem Informatiknetzwerk oder zu einem Rechner, die Ausführung einer finanziellen oder anderen Transaktion (Einkauf von zu Hause aus, Bezahlfernsehen, Verkehr mit der Bank von zu Hause aus, interaktive Fernsehspiele), und so weiter... Im Übrigen fällt die Authentifizierung von Personen und/oder von Nachrichten (elektronische Unterschrift) ausdrücklich unter die Reichweite der vorliegenden Erfindung.
  • Gemäß dem in 1 veranschaulichten Ausführungsbeispiel umfasst das System zur Zugangskontrolle eine erste tragbare Einheit oder Vorrichtung 2, die im Folgenden auch „Karte" genannt wird, und mindestens eine zweite Einheit zur Überprüfung 3. Das System zur Zugangskontrolle gemäß der Erfindung kann eine große Anzahl von Karten 2 und eine oder mehrere Verifikationseinheiten 3 umfassen, aber in jedem Fall in einer allgemein geringeren Anzahl. Die Anzahlen der Karten 2 und der Einheiten 3 sind in keiner Weise begrenzend für die Erfindung.
  • Die Karte 2 zeigt sich zum Beispiel in der Form eines Kleinrechners oder einer Kreditkarte, und sie umfasst eine Tastatur 4, die das Eingeben von Informationen zulässt, wie zum Beispiel eine persönliche Identifikationsnummer PIN, ebenso wie verschiedene Funktionstasten 5. Sie umfasst ebenso einen Bildschirm zum Anzeigen 6, zum Beispiel aus flüssigen Kristallen, und ist mit einem integrierten Schaltkreis ausgestattet, der einen programmierten Mikro-Steuereinheit 7 wie auch einen permanenten Einlesespeicher 8 vom ROM-Typ und einen aus RAM-Speicher gebildeten umprogrammierbaren Speicher 9 umfasst, und unter Umständen einen EEPROM-Speicher. Der permanente Speicher 8 und der umprogrammierbare Speicher 9 sind vom Äußeren der Karte aus nicht zugänglich, und die Vielfachleitungen für Daten und Adressen der Mikro-Steuereinheit 7 sind ebenfalls von außen nicht zugänglich, um ein Auslesen oder eine Abwandlung der in den Speichern 8 und 9 enthaltenen Informationen in betrügerischer Absicht von außen aus unmöglich zu machen.
  • Der Bereich des permanenten Speichers 8 (ROM) umfasst einen Programmund einen Datenbereich.
  • Der Programmbereich umfasst Programmbefehle in Bezug auf die Inbetriebnahme der folgenden Abläufe:
    • 1. Die Sicherungsabläufe
    • – Identifikation des Inhabers
    • – Authentifizierung des Inhabers gegenüber der Verifikationseinheit
    • – Authentifizierung der Verifikationseinheit und der Personalisierungseinheit
    • – Authentifizierung der Nachricht
    • – Verschlüsselung/Entschlüsselung
    • – gegebenenfalls elektronische Unterschrift
    • – ...
    • 2. Die Personalisierungsabläufe
    • – bei der Herstellung
    • – bei den verschiedenen Personalisierungsvorgängen bei dem oder den Kunden
    • 3. Die Abläufe in Bezug auf die Anwendungen) der Karte
    • 4. Die Kommunikationsabläufe
    • – Kommunikation mit dem Anwender: Anzeige, Tastatur,
    • – Kommunikation mit der Einheit zur Verifikation oder zur Personalisierung
    • – Infrarot
    • – DTMF
    • – Kommunikation mit einem Lesegerät
    • – Kommunikation mit einer Chipkarte
    • – usw...
  • Der Datenbereich umfasst die für eine Herstellungsschablone gemeinsamen Daten:
    • 1. Schlüssel für das ROM (KROM)
    • 2. die Versionsnummer der Anwendung
    • 3. usw...
  • Der umprogrammierbare Speicherbereich 9 vom Typ RAM oder gegebenenfalls EEPROM speichert die nachfolgend beschriebenen Informationen:
    • 1. Die während der verschiedenen Phasen der Initialisierung der Herstellungskenngrößen und der Personalisierungskenngrößen eingegebenen Daten: Diese Daten sind gemäß den Sicherheitsniveaus und gemäß den Anwendungen gegliedert, wobei die Veränderung eines Datenbereiches von der Authentifizierung der Institution abhängt, die die Personalisierung anfordert: Zugangscode als Funktion einer von der Karte erzeugten Zufallszahl, Unterschrift,... Diese Daten können geheim (geheime Schlüssel) sein oder abfragbar, jedoch nicht veränderbar sein, es handelt sich um:
    • – geheime Schlüssel zum Personalisieren
    • – geheime Schlüssel mit Bezug auf die Sicherungsabläufe: Authentifizierung der Institution, Authentifizierung der Nachricht, Erzeugung von Zufallszahlen,
    • – anwendungsbezogene Daten: Inhalt der Nachrichten, verlangte Typen der Sicherungsabläufe,...
    • – Daten betreffend die Nutzung der Karte in einer gegebenen Anwendung: verlangte Länge für die persönliche Identifikationszahl (PIN), Länge der Zufallszahl, Format des Zugangscodes...
    • – allen Anwendungen gemeinsame Daten: Wert der PIN, Wert der Uhr, Wert der Zähler, Inhalt der Standardnachrichten.
    • 2. Die Arbeitsdaten
  • Die Karte 2 umfasst ebenfalls eine Vorrichtung zur Kommunikation 10, die es gestattet, mit der Verifikationseinheit 3 zu kommunizieren, oder auch mit einem Werkzeug zur Herstellung oder einem Werkzeug zum Personalisieren, wie dies nachfolgend beschrieben werden wird, entweder unmittelbar oder über eine Verbindung zur Übermittlung über eine mehr oder weniger lange Entfernung. Diese Vorrichtung zur Kommunikation 10 kann sich unter verschiedenen Aspekten darbieten, zum Beispiel als eine Kabelverbindung in zwei Richtungen, eine telephonische Verbindung in zwei Richtungen in DTMF, eine Verbindung in zwei Richtungen über Infrarotstrahlen, eine „im verbundenen Modus" genannte Verbindung in zwei Richtungen, bei der die Karte in ein geeignetes Lesegerät eingeführt wird, Mittel zum optischen Empfangen, die in der Einheit 3 mit Mitteln zum Auslesen von auf dem Bildschirm 6 angezeigten Informationen verbunden sind, wie zum Beispiel in der Druckschrift EP-A-0 399 897 beschrieben, oder jeder anderen in der Technik wohlbekannten Vorrichtung zum Übermitteln.
  • Schließlich ist eine Quelle elektrischer Energie (nicht wiedergegeben) vorgesehen, zum Beispiel eine elektrische Batterie mit verringerten Dimensionen, um die verschiedenen Schaltkreise der Karte 2 zu versorgen und ihr unabhängiges Funktionieren zu gestatten.
  • Die Einheit 3 umschließt zuallererst Schnittstellenmittel, die gestatten die Kommunikation mit der Karte 2 mittels der Vorrichtung zur Kommunikation 10 zu gewährleisten. Diese Schnittstellenmittel, die durch ein Rechteck 12 symbolisiert werden, können sich unter verschiedenen Formen darbieten. Es kann sich zum Beispiel um ein spezielles Auslesegerät handeln, aber es kann sich genauso gut um ein Rechnerterminal handeln, um einen Personalcomputer, der zum Beispiel in ein Netz eingebunden ist, und so weiter... Die Besonderheit dieser Schnittstellenmittel 12 ist, dass sie es gestatten, die Kommunikation mit der oder den Karten 2 zu gewährleisten, mit denen sie über die Vorrichtung zur Kommunikation 10 verbunden sind.
  • Die Schnittstellenmittel 12 können auch eine Tastatur 13 und einen Bildschirm zum Anzeigen 14 umfassen, um einem Anwender zu erlauben, einem. Teil 15 der Einheit 3 mitzuteilende Informationen einzugeben, wie zum Beispiel Passwörter oder mit Bezug auf die Anwendung 1 zu authentifizierende Daten. Indessen kann die Eingabe dieser Daten auf andere Weisen verwirklicht werden, insbesondere automatisch ohne manuelle Mitwirkung des Anwenders, zum Beispiel durch das einfache Einführen der Karte 2 in die Schnittstelle 12, oder durch die Aussendung modulierter Infrarotstrahlen, die mittels einer der Funktionstasten 5 befohlen wird.
  • Die Schnittstelle 12 kommuniziert mit dem Teil 15 der Einheit 3, den wir „Server" nennen werden. Diese durch die Verbindung 16 symbolisierte Kommunikation kann über kurze oder lange Entfernung mit jedem geeigneten Mittel erfolgen. Die über diese Verbindung umlaufenden Informationen sind insbesondere das auf dem Server 15 zu kontrollierende Passwort und unter Umständen Daten, die in dem Server zu authentifizieren und zu nützen sind.
  • Der Server 15 umfasst insbesondere einen Prozessor 17 und einen Speicher 18. Der Prozessor 17 ist in der Lage, die Anwendungen 1 bedingt freizugeben, die durch die von den Karten 2 formulierten Zugangsanforderungen angestrebt werden.
  • Die Mikro-Steuereinheit 7 der Karte 2 ist programmiert, um in Verbindung mit der Verifikationseinheit 3 die Sicherheit der Kommunikationen im weiten Sinn zu gewährleisten, zum Beispiel die Authentifizierung eines mit der Karte 2 ausgerüsteten Anwenders, die Zertifizierung der Nachrichten, die Absicherung der Transaktionen, und so weiter... Diese Abläufe der Authentifizierung, der Zertifizierung und so weiter... sind den Fachleuten wohl bekannt und sie werden in der vorliegenden Anmeldung nicht im Einzelnen beschrieben. Diese Abläufe verwenden die Verschlüsselung und/oder Entschlüsselung in der Karte 2 und/oder der Einheit 3 einer oder mehrerer Informationen durch einen Algorithmus mit öffentlichem Schlüssel und mit nicht öffentlichem Schlüssel oder einen Algorithmus mit geheimem Schlüssel, welche Schlüssel in dem der Mikro-Steuereinheit 7 zugeordneten programmierbaren Speicher 9 und/oder dem Speicher 18 des „Servers" 15 gespeichert sind.
  • In der nun folgenden Beschreibung nimmt die Erfindung Algorithmen mit geheimem Schlüssel in Betrieb, aber es muss sich verstehen, dass sie in keiner Weise auf diesen Typ von Algorithmus beschränkt ist.
  • Auf diese Weise besteht zum Beispiel ein Arbeitsablauf zur Authentifizierung durch einen Algorithmus mit geheimem Schlüssel darin, eine Variable parallel in der Karte 2 und in der Verifikationseinheit 3 durch diesen Algorithmus und einen geheimen gemeinsamen Schlüssel KSEA zu verschlüsseln, nachdem sich der Anwender bei der Verifikationseinheit identifiziert hat, und dann, im Allgemeinen in der Verifikationseinheit 3, die beiden sich aus der Verschlüsselung dieser Variablen ergebenden Passwörter ASEA zu vergleichen. In den asynchrone genannten Systemen ist diese Zahl eine zufällige Zahl, die von der Verifikationseinheit 3 erzeugt wird und der Karte 2 übermittelt wird. In den synchrone genannten Systemen ist diese Variable dynamisch, das heißt es handelt sich um eine Zahl, die sich während der Betriebszeit als Funktion des Inhalts eines Zeitzählers und/oder eines Ereigniszählers in der Karte 2 und der Einheit 3 entwickelt. Die synchronen Systeme setzen mit bestimmten genauen Toleranzen einen Übereinstimmung zwischen den Inhalten der Zeitzähler und/oder der Ereigniszähler der Karte 2 und des Inhalts einer Datenbank an der mit der Karte 2 verknüpften Adresse voraus, die einen Teil der Verifikationseinheit 3 bildet oder zu der diese Zugang hat, um den Vorgang der Authentifizierung in Betrieb zu nehmen. Ausführliche Beispiele dieser Abläufe zur Authentifizierung werden zum Beispiel in der Druckschrift EP-A-0 338 936 und in der französischen Patentanmeldung Nr. 96 04798, niedergelegt am 17. April 1996 (FR-A-2747814) gegeben, auf die man Bezug nehmen kann.
  • Wie vorher angedeutet, können der oder die Schlüssel zum Verschlüsseln und/oder Entschlüsseln, die in der Karte 2 und dem Server 15 gespeichert sind, statisch sein, das heißt sie behalten den gleichen Wert während der ganzen Lebensdauer des Produktes, oder dynamisch, das heißt ihr Wert entwickelt sich mit der Zeit. Der Wert dieser dynamischen Schlüssel kann selbst eine Funktion des Inhalts von Zeitzählern und/oder Ereigniszählern sein, wie zum Beispiel beschrieben in dem französischen Patent Nr. 96 04798, eingereicht am 17. April 1996 (FR-A-2747815).
  • Sowohl bei einem statischen Schlüssel wie auch bei einem dynamischen Schlüssel ist es notwendig, bei der Initialisierungsphase der Herstellungskenngrößen oder der Personalisierungskenngrößen der Karte 2 in dem programmierbaren Speicher 9 derselben einen Ausgangswert zu laden, der den statischen Schlüssel, den anfänglichen dynamischen Schlüssel oder eine die Berechnung des anfänglichen dynamischen Schlüssels gestattende Wurzel bildet. In einem System, das eine große Anzahl von Karten umfasst, zum Beispiel mehrere Tausend bis zu mehreren Zehntausend, stellt die Verwaltung von einem oder mehreren geheimen Schlüsseln eigens für jede Karte und jeder verschieden von denen aller anderer Karten Sicherheitsprobleme. Es ist in der Tat wünschenswert, dass der Endanwender der Karte sicher ist, dass die von dieser gewährte Sicherheit nicht die Gefahr läuft, in Folge von Programmierungstätigkeiten, die vorher von der oder den mit der Initialisierung der Herstellungskenngrößen und/oder der Personalisierungskenngrößen der Karte beauftragten Institutionen) in Gang gebracht wurden, in Frage gestellt zu werden.
  • Diese Sicherheitsprobleme werden noch verstärkt durch die aktuellen Entwicklungen der Systeme zur gesicherten Kommunikation, die in der Lage sein müssen, den mit der Vielfalt der Anwendungen und der Vielfalt der Sicherheitsniveaus für eine Anwendung verbundenen Anforderungen zu entsprechen. Deshalb muss zum Beispiel für ein Sicherheitssystem mit gegebener Konfiguration, das heißt eine Gesamtheit von Karten und den in den Karten 2 und den Verifikationseinheiten 3 zur Gewährleistung der vorbestimmten Funktionalitäten implantierten verknüpften Anwendungen, ein und dieselbe Karte für verschiedene Anwendungen benutzt werden können, zum Beispiel für die Authentifizierung bei einem Informatiknetz oder dergleichen, um an eine oder mehrere Ressourcen dieses Netzes zu gelangen (wobei für den Zugang zu jeder Ressource eine unterschiedliche Authentifizierung benötigt werden kann), den Einkauf von zu Hause aus, und so weiter... Darüber hinaus können für ein und dieselbe Anwendung mehrere Sicherheitsniveaus vorgesehen sein, zum Beispiel abhängig von Anwenderkategorien, derart dass die Karten in Abhängigkeit von den Endanwendern von diesen selbst personalisiert werden müssen.
  • Die Vielzahl der Anwendungen für ein und dasselbe Sicherheitssystem und der Sicherheitsniveaus für ein und dieselbe Anwendung, zusammen mit den unterschiedlichen Lebensphasen, die das System zwischen seiner Herstellung und seiner Auslieferung an den Endanwender erfährt, bewirken dass es für ein und dasselbe System, gleichzeitig oder nicht, verschiedene für die Handhabung. der Sicherheitsprobleme verantwortliche Betreiber oder Administratoren geben kann.
  • Wenn man einen einfachen Fall betrachtet, wo das Sicherheitssystem nur eine einzige Anwendung umfasst, kann eine Karte während ihres Lebenszyklus zwischen einer bestimmten Anzahl von Institutionen umlaufen, nämlich:
    • – dem Hersteller oder Lieferanten, der das Sicherheitssystem dem Kunden verkauft;
    • – einem Generaladministrator, der der Sicherheitsverantwortliche des Kunden sein kann, welcher mehrere geographische Standorte haben kann, wobei jeder Standort seine eigene Organisation zum Betrieb des Sicherheitssystems hat, die von denjenigen der anderen Standorte unabhängig ist;
    • – örtlichen Administratoren, jeder verantwortlich für den Betrieb des Sicherheitssystems der Firma auf der Ebene eines geographischen Standortes; und
    • – den Endanwendern, die jeder Inhaber einer Karte 2 sind und diese auf der Ebene eines oder mehrerer vorbestimmter geographischer Standorte benutzen.
  • Der Betrieb eines solchen Sicherheitssystems setzt voraus, dass sobald einmal eine Lieferung Karten von dem Lieferanten oder dem Hersteller an einen Kunden verkauft worden ist, nur der Generaladministrator diese Lieferung Karten verwenden kann und ein anderer Kunde sie nicht verwenden kann. Daher muss:
    • – einerseits der Hersteller oder Lieferant bei der Herstellung eine bestimmte Anzahl von Kenngrößen initialisieren, die einer für einen gegebenen Kunden bestimmten Lieferung Karten gemeinsam sind, der als einziger seine Personalisierungskenngrößen in den Karten initialisieren kann;
    • – andererseits der unwiderrufliche Charakter des Vorgangs der Personalisierung durch den Kunden gesichert sein: wenn der Generaladministrator einmal die Karten personalisiert hat, können diese nicht mehr von dem Lieferanten oder dem Hersteller verwendet werden.
  • Einmal im Besitz der Lieferung von Karten, initialisiert der Generaladministrator in den Karten alle Personalisierungskenngrößen, die allen Standorten gemeinsam sind. Die Karten werden sodann auf mehrere Standorte verteilt, in deren jedem ein örtlicher Administrator die für den betreffenden Standort charakteristischen Personalisierungskenngrößen initialisiert. Wenn Karten an mehreren Standorten verwendet und erkannt werden können sollen, werden sie einem ersten örtlichen Administrator gegeben, um mit den Personalisierungskenngrößen des ersten Standortes initialisiert zu werden, dann einem zweiten örtlichen Administrator, um mit den Personalisierungskenngrößen des zweiten Standortes initialisiert zu werden, und so weiter... In diesem Sinnzusammenhang ist es notwendig, die Unabhängigkeit der Mittel zur Administration sicher zu stellen, das heißt dass:
    • – ein örtlicher Administrator X nur die Personalisierungskenngrößen des Standortes X initialisieren kann: die Tatsache, die Personalisierungskenngrößen des Standortes X initialisieren zu können, zieht nicht die Möglichkeit nach sich, die Personalisierungskenngrößen des Standortes Y initialisieren zu können; noch die Personalisierungskenngrößen des Standortes Y zu kennen;
    • – die Tatsache, Generaladministrator zu sein, nicht die Kenntnis der Personalisierungskenngrößen der verschiedenen Standorte nach sich zieht, was dazu dient, die Unabhängigkeit der Administration auf der Ebene jedes Standortes sicher zu stellen.
  • Diese verschiedenen Funktionalitäten werden mittels den Abläufen zum Initialisieren der Herstellungskenngrößen und der Personalisierungskenngrößen in Betrieb genommen, die jetzt unter Bezugnahme auf die 2 bis 4 beschrieben werden.
  • Die 2 ist ein Diagramm, das die Abläufe zum Initialisieren der Daten oder Kenngrößen bei der Herstellung, nachfolgend Herstellungskenngrößen genannt, veranschaulicht, die einer Lieferung Karten, die für einen gegebenen Kunden bestimmt sind, gemeinsam sind. In dieser Abbildung zeigt die linke Spalte die von dem Lieferanten der Karte vorgenommenen Arbeitsgänge, das heißt von der Institution, die für die Lieferung des Sicherheitssystems an den Kunden verantwortlich ist. Die mittlere Spalte zeigt die von einem Werkzeug 20 zur Herstellung der Karten 2 bewerkstelligten Arbeitsgänge, wobei der Hersteller die gleiche Institution wie der Lieferant sein kann oder nicht. Endlich zeigt die rechte Spalte die Arbeitsgänge, die in der Karte 2 bewerkstelligt werden. Das von dem Hersteller verwendete Werkzeug 20 umfasst herkömmliche materielle und programmförmige Mittel, die zu beschreiben hier nicht der Ort ist, und die unter anderem gestatten, eine bestimmte Anzahl von Daten zu erarbeiten und sie auf die Karten 2 zu übertragen, um deren programmierbaren Speicher 20 zu programmieren. In der linken Spalte der 2 erscheinen eine gewisse Anzahl von geheimen Schlüsseln KROM, KPEM, KALE und KMES, die einer für einen gegebenen Kunden bestimmten Lieferung Karten gemeinsam sind.
  • Der Schlüssel KROM wird von dem Lieferanten definiert und ist nur ihm selbst bekannt. Dieser Schlüssel KROM wird in dem permanenten Einlesespeicher 8 der Karten bei der Maskierung der integrierten Schaltkreise integriert, aber er ist dem Hersteller der Karten 2 nicht bekannt, wenn dieser nicht die selbe Institution wie der Lieferant ist. Zu diesem Zweck kann er zum Beispiel in verschlüsselter Form in dem Steuerungsprogramm des Herstellungswerkzeugs der Karten versteckt sein.
  • Die Schlüssel KPE M, KALE und KMES werden ebenfalls von dem Lieferanten ausgewählt und in verschlüsselter Form von diesem in das Steuerungsprogramm des Herstellungswerkzeugs eingeführt. Die Werte dieser drei Schlüssel werden dem Kunden in vertraulicher Form mitgeteilt, vorzugsweise getrennt von der Lieferung Karten, die für ihn bestimmt ist. Der Schlüssel KPE M ist ein Hauptschlüssel zur Personalisierung, der gestattet, einen für jede Karte in Abhängigkeit von ihrer Seriennummer charakteristischen Personalisierungsschlüssel zu erzeugen, wie im folgenden beschrieben werden wird. Der Schlüssel KALE ist ein Schlüssel, der es den Karten erlaubt, Zufallszahlen zu erzeugen, und der Schlüssel KMES ist ein Schlüssel, der es erlaubt ein Alphabet und Nachrichten in den Karten zu laden.
  • Wie in der mittleren Spalte der 2 gezeigt, wird die mit einer gegebenen Karte verknüpfte Seriennummer NS von dem Werkzeug zur Herstellung 20 ausgelesen, und diese Nummer NS wird mit Hilfe des Hauptschlüssels zur Personalisierung KPEM von einem Algorithmus einem Verschlüsselungsverfahren E unterworfen (Block 100). Das Ergebnis dieser Verschlüsselung ist ein spezifischer, für die Karte charakteristischer Personalisierungsschlüssel KPER, der bei 101 mittels eines Algorithmus und des Schlüssels KROM einer inversen Operation: E – 1 unterworfen wird, um eine Date E(KPER) herzustellen. Der Schlüssel KPER wird bei 102 und 103 verwendet, um die Daten E(KMES) und E(KALE) zu erzeugen, ausgehend von den Schlüsseln KMES beziehungsweise KALE, dank der inversen Operation E – 1. Wenn in dem was vorherging und was folgt B = E[KX](A) das Ergebnis der Verschlüsselung E einer Date A mittels eines Schlüssels KX ist, dann steht E – 1 für die inverse Operation A = E – 1 [KX](B), die erlaubt, mit Hilfe des Schlüssels KX zum Ausgang die Date A zu erhalten, indem am Eingang des Verschlüsselungsalgorithmus die Date B eingegeben wird.
  • Für eine gegebene Karte 2 enthalten die Herstellungskenngrößen (Block 104) die Seriennummer NS, wobei die Ausgangsdaten der Blöcke 101, 102 und 103 und der Zustand eines inneren Zeitzählers des Werkzeugs zur Herstellung es gestatten, einen Zeitzähler der Karte 2 zu initialisieren, insbesondere wenn das System dynamische Variablen und/oder Schlüssel in Betrieb nimmt.
  • Nach Stellung der Kenngrößen auf Null und Initialisierung der inneren Kenngrößen der betroffenen Karte 2 wird diese in einen Zustand der Erwartung des Empfangs eines Herstellungsrasters gesetzt (Block 105). In dem Abschnitt 106 erhält die Karte 2 den aus den vorher ermittelten Daten zusammengesetzten Herstellungsraster (Block 104). Mit Hilfe des ihm einprogrammierten Programms berechnet der Mikroregler 7 sodann in 107 mit der Operation E ausgehend von der Date E(KPER) und dem Schlüssel KROM den Schlüssel KPER. Er berechnet ebenfalls mit Hilfe der Operation E in 108 ausgehend von der Date E(KMES) und dem Schlüssel KPER den Schlüssel KMES, und bei 109 ausgehend von der Date E(KALE) und dem Schlüssel KPER den Schlüssel KALE.
  • In dem Abschnitt 110 werden die Seriennummer NS und die Schlüssel KPER, KALE und KMES in dem Speicher gespeichert, und die Karte ist dazu bereit, im Hinblick auf ihre Personalisierung an einen Kunden ausgeliefert zu werden.
  • In dem vorstehend beschriebenen Vorgang genügt es, das Format des Herstellungsrasters (Block 104) zu kennen, um Kenngrößen in eine Karte zu laden, weil diese Operation keinen Zugangscode benötigt. Aber ein Betrüger, der das Format dieses Herstellungsrasters kennt, wäre trotzdem nicht in der Lage, diese Karte zu personalisieren und auszunutzen, weil er den Schlüssel KROM nicht kennen würde.
  • Die 3 beschreibt eine Ausführungsvariante des Vorgangs der Initialisierung der Herstellungskenngrößen, die den Vorteil hat, den Schlüssel KROM und den Schlüssel KPEM nicht in das Programm zur Initialisierung der Herstellungskenngrößen des Werkzeugs zur Herstellung 20 einzuführen. Zu diesem Zweck berechnet der Lieferant (linke Spalte) mit Hilfe eines für ihn charakteristischen Programms die Daten E(KPER), E(KMES) und E(KALE), jeweils ausgehend von den Daten KPER, KMES und KALE und dem Schlüssel KROM. Nach der Berechnung dieser Daten in 111, 112 und 113 mittels eines Vorgangs E – 1 werden diese von dem Lieferanten in das Programm zur Initialisierung der Herstellungskenngrößen des Herstellungswerkzeugs 20 eingeführt (Abschnitt 114).
  • Nach dem Auslesen der Seriennummer der betreffenden Karte durch das Werkzeug 20 bei 115, und nach Einstellung der Kenngrößen auf Null und Initialisierung der internen Kenngrößen der Karte bei 116, überträgt das Herstellungswerkzeug 20 die Herstellungskenngrößen auf die Karte (Abschnitt 117): es handelt sich um die Seriennummer NS, die Daten E – 1(KPER), E – 1(KMES) und E-1(KALE), sowie den Zustand des internen Zeitzählers. Nach Empfang des diesbezüglichen Rasters (Abschnitt 118) berechnet der Mikroregler 6 durch die Operation E mit Hilfe der Date E(KPE M) und des Schlüssels KROM den Schlüssel KPE M (Abschnitt 119). Er berechnet sodann durch die Operation E mittels der Date NS und dem Hauptschlüssel zur Personalisierung KPE M den für die Karte charakteristischen Personalisierungsschlüssel KPE R (Abschnitt 120). Endlich berechnet der Mikroregler 7 in 121 und 122 durch die Operation E, ausgehend von den Daten E(KALE) beziehungsweise E(KMES) und dem in dem permanenten Speicher 8 der Karte gespeicherten Schlüssel KROM, die Schlüssel KALE und KMES. In dem Abschnitt 123 werden die Daten NS, KPER, KALE und KMES in dem progammierbaren Speicher 9 der Karte 2 gespeichert. Diese Daten sind dieselben wie diejenigen, die durch den mit Blick auf 2 beschriebenen Vorgang zur Initialisierung der Herstellungskenngrößen erhalten wurden.
  • Wenn die Herstellungskenngrößen einer für einen gegebenen Kunden bestimmten Lieferung von Karten auf diese Weise initialisiert worden sind, werden diese an den Kunden ausgeliefert. Die dieser Lieferung gemeinsamen Schlüssel, das heißt der Hauptschlüssel zur Personalisierung KPE M, der Schlüssel KALE, der gestattet Zufallszahlen zu erzeugen, und der Schlüssel, der gestattet das Alphabet und Nachrichten zu laden, das heißt KMES, werden in vertraulicher Weise dem Kunden mitgeteilt. Jede Karte enthält im Speicher die Schlüssel KALE und KMES, die dieser Lieferung von Karten gemeinsam sind, ebenso wie die den Schlüssel KPE R und die Seriennummer NS, die für sie charakteristisch sind.
  • Außerdem enthält die Karte 2 im Speicher einen Code oder eine Nummer, die es gestattet die Version des Programms zu identifizieren, das den integrierten Schaltkreisen dieser Karte bei deren Maskierung implantiert wurde. In der Tat kann die Version des implantierten Programms von einer Lieferung Karten zur anderen verschieden sein, und. innerhalb ein und derselben Lieferung für einen Kunden bestimmter Karten kann es unter Umständen mehrere Gruppen von Karten, ausgestattet mit unterschiedlichen Versionen des Programms, geben, in Abhängigkeit von den von dem Kunden geäußerten Bedürfnisse hinsichtlich der Verwendung der Karten. Der Code oder die Nummer jeder Version des Programms, das in den Karten implantiert ist, die ihm geliefert wurden, wird von dem Lieferanten dem Kunden mitgeteilt. Dieser letztere verfügt auch über das Programm oder die Programme, die in Abhängigkeit von der Version des in diese implantierten Programms zur Personalisierung seiner Karten nötig sind.
  • Der Vorgang zur Personalisierung der Karten 2 durch den Kunden wird durch die 4 veranschaulicht, in der die linke Spalte für die von einem Werkzeug zur Personalisierung 30 in Betrieb genommenen Operationen und die rechte Spalte für die in den Karten 2 in Betrieb genommenen Operationen steht. Das Werkzeug zur Personalisierung 30 weist eine derjenigen der Verifikationseinheit 3 ähnliche Struktur auf, das heißt dass es Mittel zur Kommunikation mit den Karten 2 umfasst, einen Prozessor zur Informationsverarbeitung, Speicher die insbesondere das Programm oder die Programme enthalten, die zur Personalisierung der Karten in Abhängigkeit von der Version des in diese implantierten Programms nötig sind, und eine Datenbank, enthaltend die Werte der Schlüssel KPEM, KALE und KMES und die Personalisierungskenngrößen, die in Abhängigkeit von der Version des in diese implantierten Programms in die Karten 2 zu laden sind.
  • In der 4 ist die Karte in dem Abschnitt 200 in einem Zustand der Erwartung eines Rasters zur Eröffnung der von dem Werkzeug zum Personalisieren ausgehenden Kommunikation. In dem Abschnitt 201 eröffnet das Werkzeug zum Personalisieren die Kommunikation mit der zu personalisierenden Karte und sendet das Raster zur Eröffnung einer Kommunikation INIT-MAT aus. In dem Abschnitt 202 erhält die Karte das Raster zur Eröffnung einer Kommunikation INIT-MAT und sendet an das Werkzeug zum Personalisieren ein Raster zur Identifikation IDENT-MAT, das den Code oder die Nummer des Programms einschließt, das sie enthält. In dem Abschnitt 203 erhält das Werkzeug zum Personalisieren 30 den Raster zur Identifikation IDENT-MAT und die Versionsnummer des Programms wird in die Datenbank eingegeben, um dort unter anderem die in die Karte zu ladenden Personalisierungskenngrößen aus zu lesen. In dem Abschnitt 204 sendet das Werkzeug zum Personalisieren 30 einen Raster zur Programminitialisierung INIT-LOG aus, der in 205 von der Karte empfangen wird, die dann in den Abschnitt 206 übergeht.
  • In dem Abschnitt 206 berechnet die Karte durch die Operation E mittels des Schlüssels K(ALE) (Block 207) eine Zufallszahl, sodann die Date E(NS) durch Verschlüsselung der Seriennummer NS der Karte mittels eines Schlüssels, der selbst wiederum das Ergebnis der Verschlüsselung durch eine logische Funktion F der Versionsnummer NL des Programms mittels der in 207 berechneten Zufallszahl ist. Nach diesen Verschlüsselungsvorgängen 208 und 209 sendet die Karte bei 210 einen Raster zur Identifikation IDENT-LOG aus, der die Zufallszahl und E(NS), enthält. Dieser Raster wird in 211 von dem Werkzeug zum Personalisieren 30 empfangen, das mittels einer Operation F in 212 an der Zahl NL mittels der von der Karte übermittelten Zufallszahl und einer Operation E-1 in 213 an E(NS) mittels des Ergebnisses der in 212 durchgeführten Operation die Seriennummer NS der Karte erzeugt. Die Seriennummer NS der im Verlauf der Personalisierung befindlichen Karte wird in die Datenbank eingegeben, um dem Kunden das Aufbewahren einer Tabelle der Personalisierungsdaten jeder Karte zu gestatten. In 214 berechnet das Werkzeug zur Personalisierung den für die Karte charakteristischen Schlüssel KPER durch einen Verschlüsselungsvorgang E der Seriennummer NS mittels des Hauptschlüssels zur Personalisierung KPEM, der von der Datenbank des Werkzeugs 30 geliefert wird. Das Werkzeug berechnet dann in 215 durch Verschlüsselung F der Zufallszahl mittels des Schlüssel KPER ein Passwort zur Authentifizierung APO (das den Zugangscode zur Personalisierung der Karte bildet): APO = F[KPER] (Zufallszahl).
  • Im Abschnitt 216 konstruiert das Werkzeug zum Personalisieren die gemeinsamen Personalisierungsdaten der Karte, ausgehend von dem in 215 berechneten Passwort und den von der Datenbank erhaltenen Personalisierungskenngrößen. Diese gemeinsamen Personalisierungsdaten enthalten Befehlscodes zur Personalisierung, das Passwort APO zur Authentifizierung des Werkzeugs zum Personalisieren, einen für die Karte charakteristischen neuen geheimen Schlüssel zur Personalisierung NKPE R, der dazu bestimmt ist, den anfänglichen Schlüssel zur Personalisierung KPE R zu ersetzen, und die verschiedenen Personalisierungskenngrößen, enthaltend zum Beispiel einen oder mehrere geheime Schlüssel KSEA zum Berechnen des Passworts zur Authentifizierung ASEA gegenüber der Verifikationseinheit 3 (APE A = E[KSEA](Zufallszahl), sowie geheime sekundäre oder besondere Schlüssel zum Personalisieren KPE RX, KPRY, und so weiter... die für jeden Standort X, Y usw., für den die Karte personalisiert werden soll, charakteristisch sind.
  • Im Abschnitt 217 werden diese Personalisierungsdaten in der Form mehrerer Raster der Karte übermittelt.
  • Im Abschnitt 218 empfängt die Karte die Raster zur Personalisierung, verifiziert die Befehlscodes zur Personalisierung, speichert die empfangenen Daten und schickt eine Empfangsnachricht an das Werkzeug zum Personalisieren.
  • Im Abschnitt 219 berechnet die Karte einen Code oder ein Passwort APC zur Verifizierung des Passworts zur Authentifizierung APO durch Zufallsverschlüsselung gemäß der logischen Funktion F mittels des spezifischen Schlüssels zur Personalisierung KPE R, der in ihrem Speicher bei 110 oder 123 gespeichert ist: APC = F[KPE R](Zufallszahl).
  • In dem Abschnitt 220 überprüft die Karte, ob das von dem Werkzeug zum Personalisieren 30 empfangene Passwort zur Authentifizierung APO mit dem von der Karte berechneten Passwort zur Verifizierung APC kohärent ist, und merkt sich im Fall des Zutreffens bei 221 die Personalisierungsdaten: diese Kohärenz kann zum Beispiel daraus bestehen, dass die beiden Passwörter identisch sind, wie die 4 es darstellt, aber sie kann genauso gut aus der Tatsache bestehen, dass diese beiden Passwörter durch eine andere vorbestimmte Beziehung miteinander verbunden sind.
  • Endlich ersetzt im Abschnitt 222 die Karte den alten Schlüssel KPE R durch den neuen Schlüssel zur Personalisierung NKKPER, den sie von dem Werkzeug zum Personalisieren empfangen hat. Dieser neue Schlüssel NKPER ist dem Lieferanten nicht bekannt, für den es daher unmöglich ist, Zugang zu den Personalisierungsdaten des Kunden zu erlangen. Der Lese- oder Schreibzugang zu diesen Personalisierungsdaten benötigt die Eingabe eines neuen Passwortes zur Authentifizierung NAPO = F[NKPER] (Zufallszahl) in die Karte durch das Werkzeug zum Personalisieren, das mit dem in der Karte wie bei 219 angezeigt berechneten Passwort zum Überprüfen NAPO kohärent ist, wobei NAPO und NAPO auf der Grundlage einer neuen, in der Karte erzeugten und dem Werkzeug zum Personalisieren übermittelten Zufallszahl berechnet werden.
  • Indessen erlaubt die Kenntnis des gemeinsamen geheimen Schlüssels zum Personalisieren NKPER nicht, die sekundären geheimen Schlüssel zum Personalisieren KPERX, KPERY und so weiter ... aus zu lesen, die in dem Abschnitt 221 in die Karte geladen wurden, noch irgendeinen anderen geheimen Schlüssel.
  • In der Tat können die geheimen Schlüssel nicht ausgelesen werden, denn das Programm des Mikroreglers 7 umfasst keinen Befehl zum Lesen dieser Kenngrößen. Nach dem Abschnitt 222 kann der Generaladministrator die Karten den örtlichen Administratoren der Standorte X, Y, und so weiter ... übergeben, deren jeder mit Hilfe eines Verfahrens gleich demjenigen der 4, das erneut in Einzelheiten zu beschreiben hier nicht der Ort ist, in der Lage ist, in die Karte die Personalisierungskenngrößen zu laden, die für den Standort charakteristisch sind, für den er verantwortlich ist. Zu diesem Zweck wird der für die Personalisierung der Karte für jeden Standort charakteristische sekundäre Schlüssel in vertraulicher Weise von dem Generaladministrator dem betreffenden örtlichen Administrator mitgeteilt.
  • Mittels des sekundären Schlüssels, der ihm mitgeteilt wurde, ladet der örtliche Administrator die für den betreffenden Standort charakteristischen Daten in die Karte, zum Beispiel einen Schlüssel zur Authentifizierung für die Berechnung eines Passworts zur Authentifizierung gegenüber einer Verifikationseinheit dieses Standorts. Auf diese Weise kann der örtliche Administrator des Standortes X einen Schlüssel zur Authentifizierung KSEAX, der örtliche Administrator des Standortes Y einen Schlüssel zur Authentifizierung KSEAY, und so weiter ... laden. Im Verlauf des Vorgangs zur Personalisierung der Karte für einen gegebenen Standort X hat der örtliche Administrator die Möglichkeit, in der Karte den von dem Generaladministrator für den betreffenden Standort erhaltenen sekundären Schlüssel zur Personalisierung KPERX durch einen neuen sekundären Schlüssel zur Personalisierung NKPERX zu ersetzen, wie in der 4 beschrieben: Dies verbietet dem Generaladministrator, Zugang zum Lesen und/oder Abändern der Personalisierungskenngrößen der Karten zu haben, deren sekundärer Schlüssel zum Personalisieren abgewandelt worden ist. Die Abwandlung der sekundären Schlüssel erlaubt ebenfalls, die Dichtheit zwischen den verschiedenen Segmenten oder Funktionen der Karte sicher zu stellen. Indem man die sekundären Schlüssel KPERX, KPERY, und so weiter... (die durch NKPERX, NKPERY und so weiter... ersetzt werden) abwandelt, schützt man sich gegen einen Angriff, der darauf abzielt, in den Segmenten andere geheime Daten einzuschreiben. Diese Art von Angriff ist beschränkt, denn es ist nicht möglich, diese geheimen Daten zu lesen, sogar wenn man den betreffenden geheimen sekundären Schlüssel zur Personalisierung besitzt. Man stellt aber so den ausschließlichen Zugang zur Personalisierung jedes Segments sicher, ebenso wie man den ausschließlichen Zugang zu den gemeinsamen Personalisierungsdaten mit dem Schlüssel KPER, NKPER sicherstellt.
  • Vorzugsweise ermöglicht der für die Karte spezifische Schlüssel KPER, NKPER nach Personalisierung der Segmente mittels der sekundären Schlüssel. KPERX, KPERY, NKPERX, NKPERY, diese letzteren zu löschen, um wenn nötig einen neuen Vorgang der Initialisierung der Gesamtheit der Personalisierungskenngrößen der Karte durchzuführen. Diese Möglichkeit kann im Fall einer Anomalie nützlich sein, um zu verhindern, dass die Vorrichtung endgültig unbrauchbar wird.
  • Indessen kann als eine Variante vorgesehen sein, diese Möglichkeit zu verbieten.
  • Das allgemeine Organigramm der 5 veranschaulicht die hauptsächlichen Phasen des Programms, das in einer Karte 2 abläuft, die mit mehreren Segmenten versehen ist, die nach einer Initialisierung der gemeinsamen Personalisierungskenngrößen mit für sie charakteristischen Kenngrößen initialisiert werden müssen, wenn angestrebt wird, mit Hilfe der Karte Funktionen in Gang zu setzen, die für jedes Segment charakteristisch sind.
  • Das Programm beginnt bei 300, und bei 301 wird ein Test durchgeführt, um zu bestimmen, ob es sich um das erste Inbetriebsetzen der Karte nach dem Zurückstellen auf Null ZAN („RESET") handelt.
  • Im zutreffenden Fall wird der Speicher bei 302 auf Null gesetzt, sodann geht man zu einem Test 303 über, um zu bestimmen ob ein für die Initialisierung der Kenngrößen bei der Herstellung (von dem Hersteller initialisierte Kenngrößen) stehender Hinweis aktiv ist. Wenn das Ergebnis des Tests 301 negativ ist, wird direkt zu dem Test 303 übergegangen.
  • Ist das Ergebnis des Tests 303 negativ, geht das Programm in einen Zustand der Erwartung der Initialisierung der Herstellungskenngrößen (Abschnitt 304) über. Der folgende Abschnitt 305 entspricht der Initialisierung der Herstellungskenngrößen in der Karte 2, wie mit Bezug auf die 2 und 3 beschrieben. Wenn diese Initialisierung vollzogen ist, wird beim Abschnitt 306 ein Hinweis aktiviert, und das Programm geht zurück an den Beginn des Tests 303.
  • Wenn das Ergebnis des Tests 303 positiv ist, das heißt dass die Herstellungskenngrößen initialisiert worden sind, geht das Programm zu einem Test 307 über, um fest zu stellen, ob ein für die Initialisierung der gemeinsamen Personalisierungskenngrößen durch den Kunden stehender Hinweis aktiv ist. Wenn das Ergebnis negativ ist, geht das Programm in einen Zustand der Erwartung der Initialisierung der gemeinsamen Personalisierungskenngrößen über (Abschnitt 308). Der folgende Abschnitt 309 entspricht der Initialisierung der gemeinsamen Personalisierungskenngrößen in der Karte 2, wie mit Bezug auf die 4 beschrieben. Diese gemeinsamen Personalisierungskenngrößen enthalten unter anderen die umprogrammierbaren Schlüssel zur Personalisierung KPERX, KPERY, die für jedes Segment oder jede Funktion besondere sind. Wenn diese Personalisierung erreicht ist, wird im Abschnitt 310 ein Hinweis aktiviert, und das Programm geht zum Beginn des Tests 307 zurück.
  • Wenn das Ergebnis des Tests 307 positiv ist, geht das Programm zu dem Test 311 über, um festzustellen, ob ein für die Initialisierung der für die verschiedenen Segmente der Karte charakteristischen oder besonderen Personalisierungskenngrößen stehender Hinweis aktiv ist. Wenn das Ergebnis negativ ist, geht das Programm in einen Zustand der Erwartung der Initialisierung der für die Segmente besonderen Personalisierungskenngrößen über (Abschnitt 312). Der Abschnitt 313 entspricht der Initialisierung der für die Segmente besonderen Personalisierungskenngrößen in der Karte 2. Diese Initialisierung ist für jedes Segment von der Eingabe eines korrekten Zugangscodes APX, APY in die Karte abhängig, der eine Funktion des diesem Segment zugeordneten Schlüssels KPERX, KPERY und einer von der Karte dem Werkzeug zum Personalisieren gelieferten Zufallszahl ist, wie mit Bezug auf die 4 beschrieben. Je nach den Umständen kann diese Initialisierung von dem Generaladministrator oder von örtlichen Administratoren auf der Ebene der verschiedenen geographischen Standort durchgeführt werden, wie vorstehend beschrieben. Im Verlauf dieses Vorgangs der Initialisierung. der besonderen Personalisierungskenngrößen kann der verantwortliche Administrator den anfänglichen Schlüssel zur Personalisierung KPERX, KPERY, der für das Segment in Betracht im Abschnitt 309 geladen worden war, durch einen neuen besonderen Schlüssel zum Personalisieren NKPERX, NKPERY ersetzen. Nur der Inhaber dieses neuen Schlüssels NKPERX, NKPERY kann den neuen Zugangscode NAPX, NAPY erzeugen und in Zukunft (zum Lesen und/oder zum Schreiben, je nach der Programmierung der Mittel zur Befehlsverarbeitung) Zugang zu den für das betreffende Segment besonderen Personalisierungsdaten erhalten, und der Inhaber des speziellen Schlüssels zur Personalisierung KPER (oder NKPER, falls dieser abgewandelt wurde) hat keinen Zugang, wenn er nicht den neuen besonderen Schüssel zum Zugang kennt.
  • Wenn die Initialisierung der Personalisierungskenngrößen aller Segmente erreicht wurde, wird ein Hinweis im Abschnitt 314 aktiviert, das Ergebnis des Tests 311 ist positiv und das Programm geht. zum Abschnitt 315 über, der für den Zugang des Endanwenders zu den von deren Programm bewerkstelligten verschiedenen Funktionen der Karte steht.
  • Wie vorstehend angedeutet, ist die Erfindung nicht auf die Inbetriebnahme symmetrischer Algorithmen mit geheimem Schlüssel begrenzt, und sie ist genauso in dem Fall anwendbar, wo die Abläufe zur Initialisierung der Kenngrößen der Karte auf asymmetrische Algorithmen mit öffentlichem Schlüssel und nicht öffentlichem Schlüssel zurückgreifen. In diesem Fall wird der öffentliche Schlüssel in der Karte oder Vorrichtung 2 gespeichert, die Zufallszahl wird immer in der Vorrichtung 2 erzeugt und der nicht öffentliche Schlüssel wird in einem Werkzeug zum Personalisieren oder in einer von dem Werkzeug zum Personalisieren verwendeten Chipkarte gespeichert.
  • Die Verwendung asymmetrischer Algorithmen gestattet jedoch nicht, eine Ableitung der Schlüssel zu bewerkstelligen, denn das Konzept des Mutterschlüssels existiert in diesem Typ von Algorithmus nicht.

Claims (21)

  1. Tragbare gesicherte elektronische Vorrichtung zur Kommunikation mit mindestens einer elektronischen Einheit zur Inbetriebnahme mindestens einer Funktion, umfassend: – Mittel zum Speichern von Daten (8, 9), – Schnittstellenmittel mit mindestens einem äußeren Werkzeug, um Daten in die Mittel zum Speichern zu laden, – Mittel zum Verarbeiten von Daten (7), enthaltend Initialisierungsmittel, um in Reaktion auf die Eingabe eines spezifischen geheimen Codes zum personalisierten Zugang APO in diese Vorrichtung die Abwandlung dieses spezifischen Zugangscodes und das Laden von Personalisierungsdaten in die Mittel zum Speichern zuzulassen, dadurch gekennzeichnet, daß die Vorrichtung zur Inbetriebnahme einer Vielzahl von Funktionen (X, Y, ...) eingerichtet ist und umfasst: – erste Mittel (7, 309), veranlasst durch diesen spezifischen geheimen Code zum personalisierten Zugang APO, in die Mittel zum Speichern (9) eine Vielzahl von besonderen, umprogrammierbaren geheimen Daten (KPERX, KPERY, ...) zu laden, die jeweils für voneinander verschiedene besondere geheime Codes zum personalisierten Zugang (APX, APY, ...) stehen, von denen jeder der Personalisierung einer besonderen Funktion (X, Y, ...) der Vorrichtung zugewiesen ist; – zweite Mittel (7, 313), veranlasst durch diese besonderen geheimen Codes zum personalisierten Zugang (APX, APY...), in die Mittel zum Speichern (9) besondere Personalisierungsdaten (KSEAX, KSEAY...) zu laden, die jeweils der Inbetriebnahme der Funktionen (X, Y ...) durch die Mittel zum Verarbeiten (7) zugewiesen sind. – Mittel zum Verhindern (7; 313), dafür eingerichtet, die Veränderung irgendwelcher der besonderen, geheimen Daten (KPERX, KPE RY...) nach ihrem Laden in die Mittel zum Speichern nicht zu gestatten, und das Laden der für eine Funktion (X, Y, ...) eigentümlichen Personalisierungsdaten (KSEAX, KSEAY) nur in Reaktion auf die Eingabe desjenigen (APX, APY ...) der besonderen geheimen Codes zum personalisierten Zugang zu gestatten, der bereits der Funktion (X, Y) zugewiesen wurde.
  2. Vorrichtung gemäß Anspruch 1, dadurch gekennzeichnet, daß die Mittel zum Verhindern (7) dafür eingerichtet sind, den Zugriff zum Lesen irgendwelcher der geheimen Daten (KPER, KPERX, KPERY...) zu verbieten.
  3. Vorrichtung gemäß einem der Ansprüche 1 und 2, dadurch gekennzeichnet, daß die Mittel zum Verhindern dafür eingerichtet sind, den Zugriff zum Lesen und zum Schreiben der Mittel zur Verarbeitung (7) auf die besonderen Personalisierungsdaten (KSEAX, KSEAY...) mittels des spezifischen geheimen Codes zum personalisierten Zugang (APO, NAPO) zu verbieten.
  4. Vorrichtung gemäß einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Mittel zum Verhindern dafür eingerichtet sind, den Zugriff zum Lesen der besonderen Personalisierungsdaten (KSEAX, KSEAY) nachfolgend auf das Laden dieser Daten zu verbieten, mittels der besonderen geheimen Codes zum personalisierten Zugang (APX, APY...), die den Funktionen (X, Y, ...) zugewiesen sind.
  5. Vorrichtung gemäß einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Mittel zum Verhindern dafür eingerichtet sind, den Zugriff zum Lesen der für eine Funktion (X, Y ...) eigentümlichen Personalisierungsdaten (KSEAX, KSEAY...) zu erlauben, mittels des besonderen geheimen Codes zum personalisierten Zugang (APX, APY, NAPX, NAPY...) welcher der Funktion zugewiesen ist.
  6. Vorrichtung gemäß einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Mittel zum Verarbeiten (7) dafür eingerichtet sind, mittels des spezifischen geheimen Codes zum personalisierten Zugang (APO, NAPO) das Löschen der vorher in die Mittel zum Speichern geladenen besonderen, geheimen Daten (KPERX, KPERY) und der besonderen Personalisierungsdaten (KSEAX, KSEAY...) und das Laden neuer besonderer geheimer Daten (NKPERX, NKPERY...) zu erlauben.
  7. Vorrichtung gemäß einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß der spezifische geheime Code zum personalisierten Zugang (APO) ein Zugangscode zum Laden von Personalisierungsdaten (Param-perso) in die Mittel zum Speichern ist, die für die Gesamtheit der Funktionen (X, Y ...) der Vorrichtung gemeinsam sind.
  8. Vorrichtung gemäß einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß sie dritte Mittel (7, 305) zum Laden einer spezifischen umprogrammierbaren geheimen Date (KPER), die für den spezifischen geheimen Code zum personalisierten Zugang (APO) steht, in die Mittel zum Speicher umfasst, wobei die Mittel zur Initialisierung (7, 200222) dafür eingerichtet sind, das Ersetzen der spezifischen geheimen Date (KPER) durch eine neue spezifische geheime Date (NKPER), die für einen neuen spezifischen geheimen Code zum personalisierten Zugang (NAPO) steht, nur in Reaktion auf die Anwendung des spezifischen geheimen Zugangscodes (APO) auf die Mittel zum Verarbeiten (7) zu erlauben, der ein Abbild der spezifischen geheimen Date (KPER) ist, die ersetzt werden soll.
  9. Vorrichtung gemäß Anspruch 8, dadurch gekennzeichnet, daß die Mittel zum Speichern mindestens einen permanenten Speicher (8) umfassen, in dem ein geheimer Basisschlüssel (KROM) gespeichert ist, wobei die Mittel zum Initialisieren (7) erste Mittel (7, 107) zum Berechnen eines Anfangswertes der spezifischen geheimen Date (KPER) in Abhängigkeit von dem geheimen Basisschlüssel (KRO M) und einer geheimen Anfangskenngröße (E(KPER); E(KPEM)) umfassen.
  10. Vorrichtung gemäß einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, daß die geheime Date (KPER, NKPER) ein geheimer Schlüssel zum Berechnen eines Codes (APC, NAPC) zur Verifikation des spezifischen Codes zum personalisierten Zugang (APO, NAPO) ist, für den die geheime Date steht.
  11. Vorrichtung gemäß Anspruch 10, dadurch gekennzeichnet, daß die Mittel zum Verarbeiten (7) zweite Mittel zum Berechnen des Codes zur Verifikation (APC, APX, APY) durch Verschlüsselung einer Variablen mittels des geheimen Schlüssels zum Berechnen (KPE R, KPERX, KPERY...) umfassen.
  12. Vorrichtung gemäß einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß die Personalisierungsdaten mindestens eine Vielzahl von geheimen, untereinander verschiedenen und jeweils einer der Funktionen zugewiesenen Schlüsseln zur Authentifizierung (KSEAX, KSEAY) umfassen, und daß, die Mittel zum Verarbeiten (7) dritte Mittel zum Berechnen eines Codes zur Authentifizierung (APEA) gegenüber einer Verifikationseinheit (3) in Abhängigkeit von einem der geheimen Schlüssel zu Authentifizierung (KSEAX, KSEAY) umfassen.
  13. Verfahren zum Initialisieren einer Vorrichtung gemäß einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, daß es umfasst: – einen ersten Abschnitt des Initialisierens (100110; 111123), der daraus besteht, in den Mitteln zum Speichern (9) einen geheimen, umprogrammierbaren Schlüssel zur Personalisierung (KPER), spezifisch für die Vorrichtung, zu definieren und zu speichern, – einen zweiten Abschnitt der Personalisierung (201222), der daraus besteht, mittels eines spezifischen geheimen Codes zum personalisierten Zugang (APO) in Abhängigkeit von dem spezifischen Schlüssel zur Personalisierung (KPER) in die Mittel zum Speichern Personalisierungsdaten (Param-Perso), die für die Funktionen gemeinsam sind, zu laden, sowie besondere geheime umprogrammierbare Schlüssel (KPERX, KPERY) zum Berechnen der besonderen geheimen Codes zum personalisierten Zugang (APX, APY), die jeweils dem Laden der besonderen Personalisierungsdaten, mit Bezug auf eine der Funktionen (X, Y), zugewiesen sind, und den spezifischen Schlüssel zur Personalisierung (KPER) zu verändern, und – einen dritten Abschnitt der Personalisierung (313), der daraus besteht, für jede der Funktionen (X, in den Mitteln zum Speichern mittels des entsprechenden besonderen geheimen Codes zum personalisierten Zugang (APX, APY) die auf die Funktion bezogenen Personalisierungsdaten (KSEAX, KSEAY) zu laden.
  14. Verfahren gemäß Anspruch 13, dadurch gekennzeichnet, daß der dritte Abschnitt eine Stufe umfasst, die daraus besteht, während des Ladens der besonderen Personalisierungsdaten, die sich auf mindestens eine der Funktionen (X, Y) beziehen, den besonderen geheimen Schlüssel (KPERX, KPERY) zum Berechnen des besonderen geheimen Zugangscodes (APX, APY), welcher der Funktion zugewiesen ist, zu verändern.
  15. Verfahren gemäß einem der Ansprüche 13 und 14, dadurch gekennzeichnet, daß der erste Abschnitt des Initialisierens umfasst: – mindestens eine erste Phase des Initialisierens, die daraus besteht, mindestens eine geheime Date (KPEM; E(KPEM)) zu definieren, gemeinsam für eine Gesamtheit von Vorrichtungen, die für eine gleiche Einheit bestimmt sind,.. – mindestens eine zweite Phase des Initialisierens, umfassend die Stufen, bestehend für jede Vorrichtung der Gesamtheit aus: a) dem Lesen einer spezifischen Identifikationsdate (NS), die von der Vorrichtung gehalten wird, b) dem Berechnen eines ersten geheimen spezifischen Schlüssels zur Personalisierung (KPER), in Abhängigkeit von der geheimen gemeinsamen Date (KPEM; E(KPEM)) und von der Identifikationsdate (NS), c) dem Speichern der Identifikationsdate (NS) und des ersten geheimen spezifischen Schlüssels zur Personalisierung (KPER) in den Mitteln zum Speichern (9).
  16. Verfahren gemäß Anspruch 15, dadurch gekennzeichnet, daß der zweite Abschnitt des Personalisierens die Stufen umfasst, die für jede Vorrichtung der Gesamtheit bestehen aus: a) dem Herausziehen (209) der spezifischen Identifikationsdate (NS) aus der Vorrichtung (2), b) dem Berechnen (214) in einem ersten äußeren Werkzeug (30) des ersten spezifischen Schlüssels zur Personalisierung (KPER) in Abhängigkeit von der geheimen gemeinsamen Date (KPEM) und von der spezifischen Identifikationsdate (NS), c) dem Berechnen (215) in dem äußeren Werkzeug (30) eines ersten spezifischen geheimen Zugangscodes (APO) in Abhängigkeit von dem ersten spezifischen Schlüssel zur Personalisierung (KPER) und von einer Zufallszahl, die von der Vorrichtung übermittelt wird, d) dem Übermitteln (217) aus dem ersten Werkzeug an die Vorrichtung (2) des ersten spezifischen geheimen Zugangscodes (APO) mit Personalisierungskenngrößen, umfassend einen zweiten spezifischen Schlüssel zur Personalisierung (NKPER), der von dem ersten spezifischen Schlüssel zur Personalisierung (KPER) verschieden ist. e) dem Berechnen (219) in der Vorrichtung (2) eines Codes (APO) zur Verifikation des ersten spezifischen geheimen Zugangscodes (APO) in Abhängigkeit von dem ersten spezifischen Schlüssel zur Personalisierung (KPER) und von der Zufallszahl, f) dem Vergleichen (220) in der Vorrichtung des ersten spezifischen geheimen Zugangscodes (APO) und des Codes zur Verifikation (APO) und, in Reaktion auf eine Übereinstimmung der Codes, g) dem Speichern (221) der Personalisierungskenngrößen in den Mitteln zum Speichern (9), und h) dem Ersetzen (222) des ersten spezifischen Schlüssels zur Personalisierung (KPER) durch den zweiten spezifischen Schlüssel zur Personalisierung (NKPER) in den Mitteln zum Speichern (9).
  17. Verfahren gemäß einem der Ansprüche 15 und 16, dadurch gekennzeichnet, daß der erste Abschnitt des Initialisierens eine dritte Phase umfasst, die daraus besteht, anfänglich einen gemeinsamen geheimen Basisschlüssel (KROM) in einem permanenten Speicher (8) der Mittel zum Speichern aufzubewahren, und daß die Stufen a) und b) der zweiten Phase des Initialisierens bestehen aus: – dem Eingeben der gemeinsamen geheimen Date (KPEM) und des Basisschlüssels (KROM) in ein zweites äußeres Werkzeug (20), – dem Lesen der Identifikationsdate (NS) mittels des zweiten Werkzeuges, – dem Berechnen (100) des spezifischen Schlüssels zur Personalisierung (KPER) mittels des zweiten Werkzeugs (20), – dem Verschlüsseln (101) des spezifischen Schlüssels zur Personalisierung (KPER) mittels des gemeinsamen Basisschlüssels (KROM) in dem zweiten äußeren Werkzeug (20), – dem Übertragen (104) aus dem zweiten Werkzeug (20) an die Vorrichtung (2) des Ergebnisses (E(KPER)) der Verschlüsselung, und – dem Entschlüsseln (107) des Ergebnisses (E(KPER)) in der Vorrichtung mittels des Basisschlüssels (KROM), um den spezifischen Schlüssel zur Personalisierung (KPER) wieder herzustellen.
  18. Verfahren gemäß einem der Ansprüche 15 und 16, dadurch gekennzeichnet, daß der erste Abschnitt des Initialisierens eine dritte Phase umfasst, die daraus besteht, anfänglich, einen gemeinsamen geheimen Basisschlüssel (KROM) in einem permanenten Speicher (8) der Mittel zum Speichern aufzubewahren, und daß die erste Phase außerdem darin besteht, die geheime gemeinsame Date (KPEM) mittels des gemeinsamen Basisschlüssels (KROM) zu verschlüsseln (111), und das Ergebnis (E(KPEM)) der Verschlüsselung in ein zweites äußeres Werkzeug (20) einzugeben, und daß die zweite Phase außerdem besteht aus: a) dem Lesen (115) der spezifischen Identifikationsdate (NS) mittels des zweiten Werkzeugs (20) und dem Übermitteln der Identifikationsdate (NS) und des Ergebnisses (E(KPEM)) der Verschlüsselung an die Vorrichtung, b) dem Entschlüsseln (119) des Ergebnisses (E(KPEM)) der Verschlüsselung in der Vorrichtung (2) mittels des Basisschlüssels (KROM), um die gemeinsame geheime Date (KPEM) wieder herzustellen, um sodann den spezifischen Schlüssel zur Personalisierung (KPER) zu berechnen (120).
  19. System zur gesicherten Kommunikation, dadurch gekennzeichnet, daß es eine Gesamtheit von Vorrichtungen gemäß einem der Ansprüche 1 bis 12 umfasst und mindestens ein Werkzeug (30) zur Initialisierung von Personalisierungskenngrößen für das Laden in jede der Vorrichtungen – von Personalisierungsdaten (Param-perso), die für die verschiedenen Funktionen, (X, Y ...) der Vorrichtung gemeinsam sind, – von besonderen Personalisierungsdaten (KSEAX, KSEAY...), und – von besonderen geheimen Daten (KPERX, KEP RY...)
  20. System zur gesicherten Kommunikation gemäß Anspruch 19, dadurch gekennzeichnet, daß es außerdem ein Werkzeug (20) zur Initialisierung von Herstellungskenngrößen für das anfängliche Laden einer geheimen umprogrammierbaren Date (KPER) in jeder der Vorrichtungen umfasst, die für jede Vorrichtung spezifisch ist und die für den geheimen besonderen Zugangscode (APO) zur Personalisierung steht.
  21. System zur gesicherten Kommunikation, dadurch gekennzeichnet, daß es eine Gesamtheit von Vorrichtungen gemäß Anspruch 12 und mindestens eine Einheit zur Verifikation (3) umfasst.
DE69814406T 1997-08-21 1998-08-19 Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter Expired - Lifetime DE69814406T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9710548 1997-08-21
FR9710548A FR2767624B1 (fr) 1997-08-21 1997-08-21 Dispositif portable electronique pour systeme de communication securisee, et procede d'initialisation de ses parametres
PCT/FR1998/001820 WO1999010848A1 (fr) 1997-08-21 1998-08-19 Dispositif portable electronique pour systeme de communication securisee, et procede d'initialisation de ses parametres

Publications (2)

Publication Number Publication Date
DE69814406D1 DE69814406D1 (de) 2003-06-12
DE69814406T2 true DE69814406T2 (de) 2004-05-27

Family

ID=9510423

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69814406T Expired - Lifetime DE69814406T2 (de) 1997-08-21 1998-08-19 Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter

Country Status (10)

Country Link
US (1) US6308268B1 (de)
EP (1) EP1004100B1 (de)
JP (1) JP2001514454A (de)
CN (1) CN1271448A (de)
AT (1) ATE239956T1 (de)
AU (1) AU735885B2 (de)
CA (1) CA2300933A1 (de)
DE (1) DE69814406T2 (de)
FR (1) FR2767624B1 (de)
WO (1) WO1999010848A1 (de)

Families Citing this family (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2306139C (en) 1997-10-14 2007-04-17 Visa International Service Association Personalization of smart cards
ES2175601T3 (es) * 1998-01-14 2002-11-16 Irdeto Access Bv Circuito integrado y tarjeta inteligente que lo contiene.
US6615189B1 (en) 1998-06-22 2003-09-02 Bank One, Delaware, National Association Debit purchasing of stored value card for use by and/or delivery to others
US7809642B1 (en) 1998-06-22 2010-10-05 Jpmorgan Chase Bank, N.A. Debit purchasing of stored value card for use by and/or delivery to others
US6032136A (en) 1998-11-17 2000-02-29 First Usa Bank, N.A. Customer activated multi-value (CAM) card
US7660763B1 (en) 1998-11-17 2010-02-09 Jpmorgan Chase Bank, N.A. Customer activated multi-value (CAM) card
US6882984B1 (en) 1999-06-04 2005-04-19 Bank One, Delaware, National Association Credit instrument and system with automated payment of club, merchant, and service provider fees
US7370004B1 (en) 1999-11-15 2008-05-06 The Chase Manhattan Bank Personalized interactive network architecture
US8793160B2 (en) 1999-12-07 2014-07-29 Steve Sorem System and method for processing transactions
US6615190B1 (en) 2000-02-09 2003-09-02 Bank One, Delaware, National Association Sponsor funded stored value card
US6941279B1 (en) 2000-02-23 2005-09-06 Banke One Corporation Mutual fund card method and system
FR2806858B1 (fr) * 2000-03-22 2002-05-03 France Telecom Procede cryptographique de protection contre la fraude
US7113914B1 (en) 2000-04-07 2006-09-26 Jpmorgan Chase Bank, N.A. Method and system for managing risks
FR2810139B1 (fr) 2000-06-08 2002-08-23 Bull Cp8 Procede de securisation de la phase de pre-initialisation d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede
WO2002011019A1 (en) 2000-08-01 2002-02-07 First Usa Bank, N.A. System and method for transponder-enabled account transactions
FR2816731B1 (fr) * 2000-11-14 2003-01-03 Gemplus Card Int Procede de chargement et de personnalisation des informations et programmes charges dans une carte a puce
US6631849B2 (en) 2000-12-06 2003-10-14 Bank One, Delaware, National Association Selectable multi-purpose card
US7433829B2 (en) 2000-12-12 2008-10-07 Jpmorgan Chase Bank, N.A. System and method for managing global risk
US6985873B2 (en) 2001-01-18 2006-01-10 First Usa Bank, N.A. System and method for administering a brokerage rebate card program
US7313546B2 (en) 2001-05-23 2007-12-25 Jp Morgan Chase Bank, N.A. System and method for currency selectable stored value instrument
US7133971B2 (en) * 2003-11-21 2006-11-07 International Business Machines Corporation Cache with selective least frequently used or most frequently used cache line replacement
US7133662B2 (en) * 2001-05-24 2006-11-07 International Business Machines Corporation Methods and apparatus for restricting access of a user using a cellular telephone
US6834795B1 (en) * 2001-06-29 2004-12-28 Sun Microsystems, Inc. Secure user authentication to computing resource via smart card
US6983364B2 (en) * 2001-06-29 2006-01-03 Hewlett-Packard Development Company, Lp. System and method for restoring a secured terminal to default status
US7860789B2 (en) 2001-07-24 2010-12-28 Jpmorgan Chase Bank, N.A. Multiple account advanced payment card and method of routing card transactions
US7809641B2 (en) 2001-07-26 2010-10-05 Jpmorgan Chase Bank, National Association System and method for funding a collective account
US8800857B1 (en) 2001-08-13 2014-08-12 Jpmorgan Chase Bank, N.A. System and method for crediting loyalty program points and providing loyalty rewards by use of an electronic tag
US8020754B2 (en) 2001-08-13 2011-09-20 Jpmorgan Chase Bank, N.A. System and method for funding a collective account by use of an electronic tag
US6945453B1 (en) 2001-08-13 2005-09-20 Bank One Delaware N.A. System and method for funding a collective account by use of an electronic tag
US7306141B1 (en) 2001-08-13 2007-12-11 Jpmorgan Chase Bank, N.A. System and method for funding a collective account by use of an electronic tag
FR2829603A1 (fr) * 2001-09-11 2003-03-14 St Microelectronics Sa Procede et dispositif de stockage et de lecture de donnees numeriques sur un support physique
US7103576B2 (en) 2001-09-21 2006-09-05 First Usa Bank, Na System for providing cardless payment
US7099850B1 (en) 2001-09-21 2006-08-29 Jpmorgan Chase Bank, N.A. Methods for providing cardless payment
US6970817B2 (en) * 2001-10-31 2005-11-29 Motorola, Inc. Method of associating voice recognition tags in an electronic device with records in a removable media for use with the electronic device
US20030097582A1 (en) * 2001-11-19 2003-05-22 Yves Audebert Method and system for reducing personal security device latency
US7512566B1 (en) 2001-12-11 2009-03-31 Jpmorgan Chase Bank, N.A. System and method for using a stored value account having subaccount feature
US6857565B2 (en) * 2001-12-14 2005-02-22 Damon Eugene Smith Electronic traveler's checks
US20030163703A1 (en) * 2002-02-28 2003-08-28 Robins Mark Nelson Image key security system and method
US20030163716A1 (en) * 2002-02-28 2003-08-28 Robins Mark Nelson Card key security system and method
US7756896B1 (en) 2002-03-11 2010-07-13 Jp Morgan Chase Bank System and method for multi-dimensional risk analysis
US7899753B1 (en) 2002-03-25 2011-03-01 Jpmorgan Chase Bank, N.A Systems and methods for time variable financial authentication
US20180165441A1 (en) 2002-03-25 2018-06-14 Glenn Cobourn Everhart Systems and methods for multifactor authentication
US20040210498A1 (en) 2002-03-29 2004-10-21 Bank One, National Association Method and system for performing purchase and other transactions using tokens with multiple chips
US8751391B2 (en) 2002-03-29 2014-06-10 Jpmorgan Chase Bank, N.A. System and process for performing purchase transactions using tokens
DE10216384A1 (de) * 2002-04-12 2003-10-30 Scm Microsystems Gmbh Zugangskontrollnetzwerk
US6941468B2 (en) * 2002-05-06 2005-09-06 Thomson Licensing Hand-held device forgotten password notification
US20030220145A1 (en) * 2002-05-22 2003-11-27 Erickson Craig S. Digital camera and networking accessories for a portable video game device
US8239304B1 (en) 2002-07-29 2012-08-07 Jpmorgan Chase Bank, N.A. Method and system for providing pre-approved targeted products
US7809595B2 (en) 2002-09-17 2010-10-05 Jpmorgan Chase Bank, Na System and method for managing risks associated with outside service providers
US20040122736A1 (en) 2002-10-11 2004-06-24 Bank One, Delaware, N.A. System and method for granting promotional rewards to credit account holders
TW595195B (en) * 2003-04-04 2004-06-21 Benq Corp Network lock method and related apparatus by ciphered network lock and inerasable deciphering key
US8306907B2 (en) 2003-05-30 2012-11-06 Jpmorgan Chase Bank N.A. System and method for offering risk-based interest rates in a credit instrument
US7669236B2 (en) * 2004-11-18 2010-02-23 Biogy, Inc. Determining whether to grant access to a passcode protected system
US7086586B1 (en) 2003-08-13 2006-08-08 Bank One, Delaware, National Association System and method for a card payment program providing mutual benefits to card issuers and cardholders based on financial performance
US7953663B1 (en) 2003-09-04 2011-05-31 Jpmorgan Chase Bank, N.A. System and method for financial instrument pre-qualification and offering
US8239323B2 (en) 2003-09-23 2012-08-07 Jpmorgan Chase Bank, N.A. Method and system for distribution of unactivated bank account cards
TWI283524B (en) * 2004-04-09 2007-07-01 Lite On Technology Corp Method to control and manage an authentication mechanism using an active identification device
US8429006B1 (en) 2004-06-18 2013-04-23 Jpmorgan Chase Bank, N.A. System and method for offer targeting
US7467106B1 (en) 2004-06-18 2008-12-16 Jpmorgan Chase Bank, N.A. System and method for offer management
EP1766839B1 (de) * 2004-07-15 2013-03-06 Anakam, Inc. System und verfahren zum blockieren eines unautorisierten netzwerk-log bei der verwendung eines gestohlenen passworts
US8296562B2 (en) 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
US8528078B2 (en) 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US7676834B2 (en) * 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
US7392222B1 (en) 2004-08-03 2008-06-24 Jpmorgan Chase Bank, N.A. System and method for providing promotional pricing
US7979716B2 (en) 2004-11-18 2011-07-12 Biogy, Inc. Method of generating access keys
US7770018B2 (en) * 2004-11-18 2010-08-03 Biogy, Inc. Setting up a security access system
US7702911B2 (en) * 2004-11-18 2010-04-20 Biogy, Inc. Interfacing with a system that includes a passcode authenticator
US20060107309A1 (en) * 2004-11-18 2006-05-18 Michael Fiske Using an access key
US8209751B2 (en) * 2004-11-18 2012-06-26 Biogy, Inc. Receiving an access key
US7565548B2 (en) 2004-11-18 2009-07-21 Biogy, Inc. Biometric print quality assurance
US20090228714A1 (en) * 2004-11-18 2009-09-10 Biogy, Inc. Secure mobile device with online vault
US20060107315A1 (en) * 2004-11-18 2006-05-18 Michael Fiske System that uses access keys
US7707622B2 (en) 2004-11-18 2010-04-27 Biogy, Inc. API for a system having a passcode authenticator
US7886155B2 (en) 2004-12-20 2011-02-08 Biogy, Inc. System for generating requests to a passcode protected entity
US20060107312A1 (en) * 2004-11-18 2006-05-18 Michael Fiske System for handing requests for access to a passcode protected entity
US20080288786A1 (en) * 2004-12-20 2008-11-20 Michael Stephen Fiske System with access keys
EP1691338A1 (de) * 2005-02-14 2006-08-16 Axalto S.A. Verfahren zur Diversifizierung eines Schutzschlüssels in einem Beglaubigungstoken
US8630898B1 (en) 2005-02-22 2014-01-14 Jpmorgan Chase Bank, N.A. Stored value card provided with merchandise as rebate
US7401731B1 (en) 2005-05-27 2008-07-22 Jpmorgan Chase Bank, Na Method and system for implementing a card product with multiple customized relationships
US8408455B1 (en) 2006-02-08 2013-04-02 Jpmorgan Chase Bank, N.A. System and method for granting promotional rewards to both customers and non-customers
US7784682B2 (en) 2006-02-08 2010-08-31 Jpmorgan Chase Bank, N.A. System and method for granting promotional rewards to both customers and non-customers
US7753259B1 (en) 2006-04-13 2010-07-13 Jpmorgan Chase Bank, N.A. System and method for granting promotional rewards to both customers and non-customers
US7505918B1 (en) 2006-05-26 2009-03-17 Jpmorgan Chase Bank Method and system for managing risks
KR100854731B1 (ko) * 2006-07-21 2008-08-27 (주)네오프리라인 휴대용 전자기기의 인증방법 및 그 장치
DE102006037879A1 (de) * 2006-08-11 2008-02-14 Bundesdruckerei Gmbh Lesegerät für ein Dokument, Verfahren zum Lesen eines Datenobjekts und Computerprogrammprodukt
FR2905216B1 (fr) * 2006-08-25 2009-03-06 Thales Sa Procede de personnalisation d'un composant de securite, notamment en milieu non protege
US8533821B2 (en) * 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
US8676642B1 (en) 2007-07-05 2014-03-18 Jpmorgan Chase Bank, N.A. System and method for granting promotional rewards to financial account holders
US8417601B1 (en) 2007-10-18 2013-04-09 Jpmorgan Chase Bank, N.A. Variable rate payment card
USD582977S1 (en) 2008-02-21 2008-12-16 Jpmorgan Chase Bank, N.A. Transaction device
US8515996B2 (en) * 2008-05-19 2013-08-20 Emulex Design & Manufacturing Corporation Secure configuration of authentication servers
US20100269162A1 (en) 2009-04-15 2010-10-21 Jose Bravo Website authentication
EP2312437A1 (de) * 2009-09-30 2011-04-20 Thomson Licensing Erkennen von Client-Softwareversionen
US8683609B2 (en) * 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US8838988B2 (en) 2011-04-12 2014-09-16 International Business Machines Corporation Verification of transactional integrity
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
CN112491558A (zh) * 2020-11-26 2021-03-12 湖南中育至诚数字科技有限公司 多应用芯片卡的数据写入方法、系统及存储介质

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE381940B (sv) 1972-04-11 1975-12-22 Gretag Ag Anordning for enskild identifiering av ett flertal individer
IL64675A0 (en) 1981-12-30 1982-03-31 Greenberg Avigdor Data verification system
US4650975A (en) * 1984-08-30 1987-03-17 Casio Computer Co., Ltd. IC card and an identification system thereof
US4800590A (en) 1985-01-14 1989-01-24 Willis E. Higgins Computer key and computer lock system
GB2206431B (en) * 1987-06-30 1991-05-29 Motorola Inc Data card circuits
FR2626095B1 (fr) * 1988-01-20 1991-08-30 Sgs Thomson Microelectronics Systeme de securite pour proteger des zones de programmation d'une carte a puce
US5060263A (en) 1988-03-09 1991-10-22 Enigma Logic, Inc. Computer access control system and method
DE3927270C2 (de) * 1989-08-18 1996-07-11 Deutsche Telekom Ag Verfahren zum Personalisieren von Chipkarten
US5534857A (en) * 1991-11-12 1996-07-09 Security Domain Pty. Ltd. Method and system for secure, decentralized personalization of smart cards
JPH06236447A (ja) * 1993-02-09 1994-08-23 Mitsubishi Electric Corp Icカード用マイクロコンピュータ
FR2731536B1 (fr) * 1995-03-10 1997-04-18 Schlumberger Ind Sa Procede d'inscription securisee d'informations dans un support portable

Also Published As

Publication number Publication date
FR2767624A1 (fr) 1999-02-26
AU735885B2 (en) 2001-07-19
CN1271448A (zh) 2000-10-25
AU9077098A (en) 1999-03-16
FR2767624B1 (fr) 2002-05-10
DE69814406D1 (de) 2003-06-12
CA2300933A1 (en) 1999-03-04
US6308268B1 (en) 2001-10-23
JP2001514454A (ja) 2001-09-11
EP1004100B1 (de) 2003-05-07
EP1004100A1 (de) 2000-05-31
ATE239956T1 (de) 2003-05-15
WO1999010848A1 (fr) 1999-03-04

Similar Documents

Publication Publication Date Title
DE69814406T2 (de) Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE69807210T2 (de) Gesichertes mehrzweckkartensystem und -verfahren
DE69521156T2 (de) Verfahren zum Authentisieren eines Schalterterminals in einem System zur Durchführung von Überweisungen
DE69824437T2 (de) Personalisieren von chipkarten
DE69435079T2 (de) Chipkarte für eine Vielzahl von Dienstleistungsanbietern und für entfernte Aufstellung derselben
DE69529103T2 (de) Verfahren zum Handhaben der Sicherheit einer Speicherkarte, und Speicherkarte und geeignete Transaktionsvorrichtung
DE69826318T2 (de) Kartenaktivierung an der verteilungsstelle
DE69215501T2 (de) Werttransfersystem
DE69901585T2 (de) Kartenausgabe für ein Mehrzahl von Veranstaltungen mit Chipkarten
DE69927643T2 (de) Informationsverarbeitung und Datenspeicherung
DE69531711T2 (de) Sichere Geldübertragungstechniken mit Chipkarten
DE69607041T2 (de) Verfahren zum geschützten elektronischen zahlungsmittels
DE68929002T2 (de) Tragbares elektronisches Gerät zur Herstellung einer geschützten Verbindung mit einem Datenanbieter mittels Endgerät
DE60218057T2 (de) Sichere handhabung von gespeicherten wertdaten objekten
DE69531082T2 (de) Verfahren und Vorrichtung mit einem Verschlüsselungskopfteil, die es ermöglicht, Software zu erproben
EP1360644B1 (de) Sicherheitsmodul mit flüchtigem speicher zur speicherung eines algorithmuscodes
EP3956845A1 (de) Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem
DE3319919A1 (de) Schutzsystem fuer intelligenz-karten
DE60008795T2 (de) Informatikvorrichtung zur anwendung von akkredtierungsdaten auf eine software oder auf einen dienst
DE10297521T5 (de) Verbraucher-zentrisches kontext-bewußtes Vermittlungsmodell
DE69016765T2 (de) Verfahren zur Erzeugung einer Pseudozufallszahl in einem Datenbearbeitungssystem und ein System zur Ausführung dieses Verfahrens.
DE10212619A1 (de) Sichere Benutzerauthentisierung über ein Kommunikationsnetzwerk
DE19947986A1 (de) System und Verfahren zum Herunterladen von Anwendungsteilen auf eine Chipkarte

Legal Events

Date Code Title Description
8364 No opposition during term of opposition