+

WO1996010811A1 - Process for generating electronic signatures and use of a pseudo-random generator therefor - Google Patents

Process for generating electronic signatures and use of a pseudo-random generator therefor Download PDF

Info

Publication number
WO1996010811A1
WO1996010811A1 PCT/DE1995/001326 DE9501326W WO9610811A1 WO 1996010811 A1 WO1996010811 A1 WO 1996010811A1 DE 9501326 W DE9501326 W DE 9501326W WO 9610811 A1 WO9610811 A1 WO 9610811A1
Authority
WO
WIPO (PCT)
Prior art keywords
signature
pseudo
random generator
calculation
data
Prior art date
Application number
PCT/DE1995/001326
Other languages
German (de)
French (fr)
Inventor
Hartmut Schrenk
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE4436697A external-priority patent/DE4436697C2/en
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO1996010811A1 publication Critical patent/WO1996010811A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption

Definitions

  • the invention relates to a method for generating electronic signatures, in particular in a portable data carrier arrangement, which can be designed, for example, as a chip card, and to the use of a pseudo-random generator for generating such an electronic signature.
  • Portable data carrier arrangements implemented as chip cards are used in a variety of ways as electronic means of payment according to the principle of an electronic wallet.
  • a prepaid amount of money is entered in a non-volatile memory of the EEPROM type.
  • the EEPROM is switched by the internal chip logic in such a way that it only allows a reduction in the counter value as a value counter in the field. This reduction takes place at the cash registers or vending machines according to the value of the goods purchased.
  • the value counter of the wallet can only be increased again at special charging stations, whereby the holder of the card must pay the corresponding value.
  • Cash transfer transactions are naturally a manipulation incentive and are therefore subject to manipulation risk. Fraud can affect all three partners who participate in the payment system: the owner of the exchange (buyer), the owner of the sales terminal (seller) and the system operator (bank, clearing house).
  • the owner of the sales terminal could of course also manipulate his device in such a way that he draws too much money from his wallet, or that he submits changed or copied data records to the clearing house for settlement. This also requires authentication of the terminal, the check being carried out with roles exchanged as described above.
  • the object of the present invention is to provide a cost-effective and fraud-proof method for generating an electronic signature.
  • Pseudo-random generators have long been known from the literature. They can be produced using shift registers with comparatively little effort. However, they were not suitable for executing security procedures in payment systems because they could not be protected against cryptological attacks with sufficient security.
  • a pseudo-random generator that can be used for such purposes is, however, described in EP 0 616429 A1. It is used in the manner according to the invention for generating an electronic signature.
  • the signature counter prevents a calculated signature from being repeated systematically and / or from being reconstructed using the periodicity of the pseudo-random number sequence that is output.
  • the present invention thus describes a method with which pseudo-random number generators can be used for the manipulation-proof generation of signatures.
  • the Circuit complexity is low, so that implementation is also possible with very inexpensive memory cards.
  • a method according to the invention is described in more detail as an exemplary embodiment using a memory card with a wallet function and the possibility of signing transactions.
  • the monetary values are stored in EEPROM memory cells, which are functionally treated as a counter, which is constructed, for example, according to EP 0321 727 B2.
  • the value counter can advantageously only be changed in one direction via the internal logic, i.e. it can only be reduced or devalued.
  • debits are made in such a way that the counter reading is reduced in accordance with the value of the purchased goods.
  • the old meter reading is certified according to the invention, ie provided with a signature. Certification is carried out with a calculation run using the pseudo-random generator already mentioned. For the calculation run, at least the current status of the value counter of the wallet, the content of the signature counter according to the invention and a secret code stored in the EEPROM are entered as bank key, with the knowledge of which monetary value operations are confirmed by the issuing bank of the stock exchange card. In addition, information for identifying the relevant stock exchange and the involved sales terminal can also advantageously be entered as input for the calculation in the arithmetic unit. In the simplest way, these can be serial numbers that can be read in plain text. All of the variables mentioned influence the pseudo-random sequence that is generated as a result of the calculation.
  • the randomness does not allow conclusions to be drawn from the signature to the input data such as meter readings or keys.
  • This signature is clearly assigned to the status of the value counter of a specific stock exchange, a specific transaction and a specific terminal.
  • the random sequence of the signature must be long enough so that different meter readings do not lead to the same signature by chance.
  • a signature of 16 bits in length should at least be used. In this case there are over 64,000 possible different signatures. It is unlikely that a fraudster for manipulated meter readings for which the matching signature is missing will subsequently reconstruct a correct signature by chance.
  • the signature must be limited in length because very long bit sequences would make it easier to recalculate the input data.
  • the secret chip code represents the bank's approval of the signed meter reading.
  • the secret code is advantageously chip-specific in order not to endanger the system in the event of a key being corrupted and also to ensure a more precise assignment of transactions.
  • the key contained in a stock exchange can be uniquely identified at the bank as part of the clearing via the chip identification data.
  • Identification data of the chip and the terminal are advantageously also incorporated into the signature as additional input into the pseudo-random generator.
  • the debiting is carried out.
  • H. the meter reading changed.
  • the changed meter reading is also provided with a signature.
  • the sales terminal the amounts of money received are collected as differences in meter readings from the transactions that have occurred with various wallets or with the same wallet and submitted to the clearing house for settlement together with the associated signatures and the plain text identification data of the stock exchange chip and the sales terminal.
  • a security feature of the method is that a signature cannot be repeated systematically and can therefore always be clearly assigned to the meter readings and card data. If there is no suspicion of fraud, the individual amounts for each sales terminal can be added without taking the signatures into account and be settled. However, if a statistical check is to be carried out to determine whether manipulated amounts of money are involved or if there is a specific suspicion of fraud, the history of each wallet can be reconstructed from the demands of the various sellers by lining up the meter readings. Manipulation of amounts of money can be clearly identified and localized where the signatures of meter readings recalculated in the clearing house do not match the signatures supplied by the wallet. If an exchange was acquired anonymously by a bank, there is no subsequent assignment of the amounts of money to the buying habits of a particular person. If the checks show that the checked meter readings overlap or even double, fraud has been proven.
  • the inconsistent signatures can be used to reconstruct, for example, whether the seller subsequently changed the amounts of money in the data records that he sent for settlement, without permission. Any double submissions can also be recognized by the matching signature, which should not be repeatable due to the continuously changing status of the signature counter.
  • the monetary claims asserted for settlement as the difference between two levels of the value counter are only authorized if the assigned signatures originate from immediately successive invoices. This can be recognized from the fact that the levels of the signature counter used for the signature calculation may differ only by one unit. The seller cannot therefore construct himself unauthorized additional amounts of money as an illegal combination of differences between meter readings that do not belong together but are correctly signed.
  • the counterfeited amount can no longer be recovered after detection of a faulty signature due to anonymity.
  • the wallet is rechargeable, the suspect card can be recognized and deactivated at the latest when it is booked via a blacklist.
  • the wallet can of course also be personal, which means that it is set to the name of a specific person.
  • the authorization to use the exchange may depend on the correct entry of a PIN code by the user. In this case, the anonymity of the user is no longer given and a possible shortfall can be corrected subsequently.
  • the holder of the exchange could of course also try to manipulate the book value of his exchange on the transmission link in his favor as part of the reloading of his exchange at a loading machine.
  • the manipulation can, however, already be recognized by the loading machine by having the signature of the changed meter readings output from the card for checking during the booking. For this purpose, it makes sense to invalidate the amount booked if the signature is incorrect.
  • the secret bank code in the wallet is protected by the principle according to the invention, which rules out the systematic repetition of a signature. The protection not only prevents the systematic testing of keys on a stock exchange chip, but also limits the possibilities of spying on a stock exchange chip with physical means with regard to its structure or the secret with measuring tips and dynamic analysis methods.
  • the number of shift register cells of the pseudo-random generator can also be comparatively small, even for well-secured signatures, so that the pseudo-random generator requires only a small chip area, so that it can also be used in inexpensive memory chips.
  • a shift register of 47 cells already enables a period length of the output bit sequences of more than 10 ⁇ 14. This number of different states of the pseudo-random generator also offers a sufficiently large key space with key lengths of 47 bits
  • the length of the shift register can be increased to 64 levels.
  • the signature counter is only deleted after the value counter has been written or deleted. A signature calculated after deletion is different in every case because the meter reading to be signed has changed. Since either the value counter or the signature counter is always changed to generate a signature, it is ensured that a signature can never be systematically repeated in an abusive manner.
  • the counting range of the signature counter must be such that, even if one is terminated O 9 1
  • the EEPROM area changed when the stock exchange is recharged can itself be configured as a counter that cannot be reset. According to EP 0321 727 B1, this counter can be implemented in several stages using relatively few EEPROM cells and little effort and changes automatically with each recharge. It is in accordance with the invention that the information of this load counter is also entered into the pseudo-random generator when a signature is generated.
  • this loading certificate can be entered into the pseudo-random generator as additional information for calculating a signature and would then, with a high probability, prevent a signature from being repeated again.
  • the signature method according to the invention is not intended for the detection of counterfeit system components and assumes that the partners involved in transactions such as wallet or sales terminal have been authentically authenticated and securely authenticated using the known Challenge & Response methods prior to signature calculation. Rather, as explained several times, it should make a change in transmission data between the partners recognizable. The interests and responsibilities of the bank are determined using the bank key.
  • the bank has an interest in ensuring that this key is neither known to the buyer nor the seller. Bank keys should therefore not be stored in the terminal. It is therefore advantageous if a different key is used for the mutual authentication of the wallet and the sales terminal than for the processes in which monetary values are signed.
  • result data from a previous authentication as proof of the correct procedure with as input in the pseudo -Random generator can be entered for the calculation of the signature and thus influence the signature.
  • This can be a previously calculated response itself or parts of a response or a release signal which, after mutual authentication in the chip, generates the result of a positive comparison with the response calculated in the terminal by the internal logic and intervenes in an internal flag was saved. It is advantageous if a signature in the stock exchange chip can only be calculated using an internal release logic after such a release signal has been generated after mutual authentication of the stock exchange chip and the sales terminal.

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)

Abstract

A process is disclosed for generating electronic signatures in a data carrier arrangement with at least a non-volatile memory and a pseudo-random generator. The non-volatile memory is subdivided into at least one value zone that works as a counter, a zone for counting carried out signature calculations and a zone for storing a secret signature code. The contents of said memory zones are used as input data by the pseudo-random generator to calculate a signature and the result of said calculation represents the electronic signature of the institution associated with the secret code for the contents of the value zone.

Description

Verfahren zum Erzeugen elektronischer Signaturen und Verwen- düng eines Pseudo-Zufallsgenerators hierzuMethod for generating electronic signatures and using a pseudo-random generator for this
Die Erfindung betrifft ein Verfahren zum Erzeugen elektroni¬ scher Signaturen insbesondere in einer tragbaren Datenträger¬ anordnung, die beispielsweise als Chipkarte ausgebildet sein kann, sowie die Verwendung eines Pseudo-Zufallsgenerators zur Erzeugung einer solchen elektronischen Signatur.The invention relates to a method for generating electronic signatures, in particular in a portable data carrier arrangement, which can be designed, for example, as a chip card, and to the use of a pseudo-random generator for generating such an electronic signature.
Als Chipkarten realisierte tragbare Datenträgeranordnungen finden einen vielfältigen Einsatz als elektronisches Zah- lungsmittel nach dem Prinzip einer elektronischen Geldbörse. Hierbei ist in einem nichtflüchtigen Speicher vom EEPROM-Typ ein vorausbezahlter Geldbetrag eingetragen. Das EEPROM ist dabei in vielen Fällen durch die interne Chiplogik so ge¬ schaltet, daß es als Wertzähler im Feld nur eine Herabsetzung des Zählerwertes erlaubt. Diese Herabsetzung erfolgt an den Ladekassen oder Verkaufsautomaten entsprechend dem Wert der gekauften Ware. Der Wertzähler der Geldbörse kann nur an speziellen Ladestationen durch Aufbuchung wieder erhöht werden, wobei der Inhaber der Karte den entsprechenden Gegen- wert leisten muß.Portable data carrier arrangements implemented as chip cards are used in a variety of ways as electronic means of payment according to the principle of an electronic wallet. Here, a prepaid amount of money is entered in a non-volatile memory of the EEPROM type. In many cases, the EEPROM is switched by the internal chip logic in such a way that it only allows a reduction in the counter value as a value counter in the field. This reduction takes place at the cash registers or vending machines according to the value of the goods purchased. The value counter of the wallet can only be increased again at special charging stations, whereby the holder of the card must pay the corresponding value.
Geldwerte Umbuchvorgänge sind naturgemäß einem Manipulations¬ anreiz und damit einem Manipulationsrisiko unterworfen. Von einem Betrug können alle drei Partner betroffen sein, die an dem Zahlungssysten teilhaben: der Inhaber der Börse (Käufer), der Inhaber des Verkaufsterminals (Verkäufer) und der System¬ betreiber (Bank, Clearingstelle) .Cash transfer transactions are naturally a manipulation incentive and are therefore subject to manipulation risk. Fraud can affect all three partners who participate in the payment system: the owner of the exchange (buyer), the owner of the sales terminal (seller) and the system operator (bank, clearing house).
Betrugsrisiken in elektronischen ZahlungsSystemen lassen sich mit modernen elektronischen Verfahren und leistungsfähigen Kartenchips stark herabsetzen. Die Echtheitsprüfung eines Börsenchips (Fälschung?, Simulation?, Kopie?) kann in einem Verkaufsterminal mit den bekannten Challenge & Response- Verfahren überprüft werden. Dazu sendet der Prüfer (hier das Terminal) eine Zufallszahl an den Prüfling (hier die Karte) . Nur der echte Prüfling ist in der Lage, diese Challenge korrekt modifiziert als Response zurückzugeben. Um die rich¬ tige Response zu ermitteln, enthält die Karte als Beweismit¬ tel ein Geheimnis. Gegen Ausforschung aus einer Response ist dieses Geheimnis durch ein kryptologisch wirksames Rechenwerk geschützt.Fraud risks in electronic payment systems can be greatly reduced with modern electronic processes and powerful card chips. The authenticity check of a stock exchange chip (counterfeit ?, simulation?, Copy?) Can be done in one Sales terminal can be checked using the familiar Challenge & Response procedures. To do this, the examiner (here the terminal) sends a random number to the candidate (here the card). Only the real examinee is able to return this challenge, correctly modified, as a response. In order to determine the correct response, the card contains a secret as evidence. This secret is protected against exploration from a response by a cryptologically effective arithmetic unit.
Umgekehrt könnte natürlich auch der Inhaber des Verkaufster¬ minal sein Gerät in der Weise manipulieren, das es zu viel Geld aus der Geldbörse abbucht, oder daß es geänderte oder kopierte Datensätze zur Abrechnung bei der Clearingstelle einreicht. Damit ist auch eine Authentifikation des Terminals gefordert, wobei die Prüfung wie oben beschrieben mit ausge¬ tauschten Rollen erfolgt.Conversely, the owner of the sales terminal could of course also manipulate his device in such a way that he draws too much money from his wallet, or that he submits changed or copied data records to the clearing house for settlement. This also requires authentication of the terminal, the check being carried out with roles exchanged as described above.
Elektronische Echtheits- oder Berechtigungsprüfungen nach dem Challenge & Response-Prinzip lassen sich heute sowohl mit den leistungsfähigen und flexiblen Mikroprozessorkarten als auch mit den kostengünstigeren Speicherkarten, in denen die Si¬ cherheitslogik fest verdrahtet ist, realisieren.Electronic authenticity or authorization checks based on the Challenge & Response principle can be implemented today both with the powerful and flexible microprocessor cards and with the less expensive memory cards in which the security logic is hard-wired.
Ein Betrug könnte aber auch bei echten Karten in der Weise ablaufen, daß Geldbeträge nach der Echtheitsprüfung während ihrer Übertragung durch betrügerische Manipulation an den Übertragungsstrecken Börse-Verkaufsterminal; Verkaufstermi- nal-Clearingstelle; Börse- Ladestation (=Bank) verfälscht werden: der Verkäufer bucht in der Börse einen höheren Betrag als angegeben oder mehrere Beträge ab; der Verkäufer macht gegenüber der Clearingstelle einen erhöhten Betrag oder ein Duplikat geltend; der Käufer verringert am Verkaufsautomaten den abzubuchenden Betrag; der Käufer manipuliert bei der Aufbuchung den aufzubuchenden Betrag. Mit Mikroprozessorkarten lassen sich auch die übertragenen Geldbeträge durch elektronische Signaturverfahren gegen unerlaubte Abänderung schützen. Speicherkarten, deren niedri¬ gere Herstellkosten vielfach erst die Installation derartiger Zahlungssyteme ermöglichen, konnten die für eine elektroni¬ sche Unterschrift erforderliche Rechenleistung bisher nicht bei vertretbarem Aufwand erbringen. In den installierten ZahlungsSystemen wurden elektronische Signaturen entweder nur mit Mikroprozessoren erzeugt, oder es wurde in lokalen Zah- lungssystemen auf eine Signatur verzichtet.However, fraud could also occur with real cards in such a way that amounts of money after the authenticity check during their transmission by fraudulent manipulation on the transmission links exchange-sales terminal; Sales terminal clearing house; Exchange charging station (= bank) can be falsified: the seller debits a higher amount than specified or several amounts in the exchange; the seller claims an increased amount or a duplicate against the clearing house; the buyer reduces the amount to be debited at the vending machine; the buyer manipulates the amount to be booked when booking. Microprocessor cards can also be used to protect the transferred amounts of money against unauthorized changes using electronic signature processes. Memory cards, the lower manufacturing costs of which often make it possible to install such payment systems, have so far not been able to provide the computing power required for an electronic signature at a reasonable cost. In the installed payment systems, electronic signatures were either generated only with microprocessors, or a signature was not used in local payment systems.
Die vorliegende Erfindung hat die Aufgabe, ein kostengünsti¬ ges und betrugssicheres Verfahren zum Erzeugen einer elektro¬ nischen Signatur anzugeben.The object of the present invention is to provide a cost-effective and fraud-proof method for generating an electronic signature.
Die Aufgabe wird durch ein Verfahren gemäß dem Anspruch 1 und eine Verwendung ga äß dem Anspruch 8 gelöst. Vorteillhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.The object is achieved by a method according to claim 1 and a use according to claim 8. Advantageous developments of the invention are specified in the subclaims.
Pseudo-Zufallsgeneratoren sind aus der Literatur seit länge¬ rem bekannt. Sie sind mit vergleichsweise geringem Aufwand mittels Schieberegistern herzustellen. Sie waren jedoch für die Durchführung der Sicherheitsprozeduren in Zahlungssyste- men nicht geeignet, da sie nicht ausreichend sicher gegen kryptologische Angriffe schützbar waren. Ein für solche Zwecke brauchbarer Pseudo-Zufallsgenerator ist jedoch in der EP 0 616429 AI beschrieben. Er wird in erfindungsgemäßer Weise zur Erzeugung einer elektronischen Signatur verwendet.Pseudo-random generators have long been known from the literature. They can be produced using shift registers with comparatively little effort. However, they were not suitable for executing security procedures in payment systems because they could not be protected against cryptological attacks with sufficient security. A pseudo-random generator that can be used for such purposes is, however, described in EP 0 616429 A1. It is used in the manner according to the invention for generating an electronic signature.
Durch den Signaturzähler wird gemäß der vorliegenden Erfin¬ dung verhindert, daß eine errechnete Signatur sich nochmals systematisch wiederholt und/oder über die Periodizität der ausgegebenen Pseudo-Zufallszahlen-Folge rekonstruiert werden kann. Vorliegende Erfindung beschreibt damit ein Verfahren, mit dem Pseudo-Zufallszahlen-Generatoren zur manipulierεiche- ren Erzeugung von Signaturen verwendet werden können. Der Schaltungsaufwand ist dabei gering, so daß eine Realisierung auch mit sehr kostengünstigen Speicherkarten möglich ist.According to the present invention, the signature counter prevents a calculated signature from being repeated systematically and / or from being reconstructed using the periodicity of the pseudo-random number sequence that is output. The present invention thus describes a method with which pseudo-random number generators can be used for the manipulation-proof generation of signatures. The Circuit complexity is low, so that implementation is also possible with very inexpensive memory cards.
Ein erfindungsgemäßes Verfahren wird als Ausführungsbeispiel anhand einer Speicherkarte mit Geldbörsenfunktion und Signa¬ turmöglichkeit für Transaktionen näher beschrieben. Die Geldwerte sind, wie auch in anderen Speicherkarten in EEPROM- Speicherzellen gespeichert, die funktioneil als Zähler behan¬ delt werden, der beispielsweise gemäß der EP 0321 727 B2 aufgebaut ist. Aus Gründen der Manipulationssicherheit ist dabei über die interne Logik der Wertzähler vorteilhaft nur in einer Richtung veränderbar, d.h. er kann nur herabgesetzt oder entwertet werden. Eine Abbuchung erfolgt wie üblich in der Weise, daß der Zählerstand entsprechend dem Wert der eingekauften Ware erniedrigt wird.A method according to the invention is described in more detail as an exemplary embodiment using a memory card with a wallet function and the possibility of signing transactions. As in other memory cards, the monetary values are stored in EEPROM memory cells, which are functionally treated as a counter, which is constructed, for example, according to EP 0321 727 B2. For reasons of security against manipulation, the value counter can advantageously only be changed in one direction via the internal logic, i.e. it can only be reduced or devalued. As usual, debits are made in such a way that the counter reading is reduced in accordance with the value of the purchased goods.
Bevor eine Abbuchung beginnt, wird erfindungsgemäß der alte Zählerstand zertifiziert, d.h. mit einer Signatur versehen. Zertifiziert wird mit einem Rechenlauf unter Verwendung des bereits erwähnten Pseudo-Zufallsgenerators. Für den Rechen¬ lauf werden wenigstens der aktuelle Stand des Wertzählers der Geldbörse, der Inhalt des erfindungsgemäßen Signaturzählers und ein im EEPROM gespeicherter, geheimer Code als Bank- Schlüssel eingegeben, mit dessen Kenntnis Geldwerte Operatio- nen durch die ausgebende Bank der Börsenkarte bestätigt werden. Hinzu können als Eingabe vorteilhaft auch Informatio¬ nen zur Identifikation der betreffenden Börse und des betei¬ ligten Verkaufsterminals mit zur Berechnung in das Rechenwerk eingegeben werden. Das können im einfachsten im Klartext lesbare Seriennummern sein. Alle genannten Größen beeinflus¬ sen die Pseudo-Zufallsfolge, die als Ergebnis des Rechenlau¬ fes generiert wird. Die Zufälligkeit erlaubt es nicht, aus der Signatur auf die Eingabedaten wie Zählerstände oder Schlüssel zurückzuschließen. Diese Signatur ist dem Stand des Wertzählers einer bestimmten Börse, einer bestimmten Transak¬ tion und einem bestimmten Terminal eindeutig zugeordnet. Die Zufallsfolge der Signatur muß ausreichend lang sein, damit nicht unterschiedliche Zählerstände zufällig zur glei¬ chen Signatur führen. Eine Signatur von 16 Bit Länge sollte wenigstens verwendet werde. In diesem Falle gibt es über 64. 000 mögliche, unterschiedliche Signaturen. Es ist unwahr¬ scheinlich, daß ein Betrüger für manipulierte Zählerstände, zu denen die passende Signatur fehlt, durch Zufall nachträg¬ lich eine korrekte Signatur rekonstruiert. Die Signatur muß andererseits in ihrer Länge begrenzt sein, weil sehr lange Bitfolgen ein Rückrechnen der Eingabedaten erleichtern wür¬ den. Der geheime Chipcode repräsentiert in dieser Signatur die Zustimmung der Bank zum signierten Zählerstand. Der geheime Code ist vorteilhaft chipspezifisch, um im Falle der Korrumpierung eines Schlüssels nicht das System zu gefährden und außerdem eine genauere Zuordnung von Transaktionen si¬ cherzustellen. Der in einer Börse enthaltene Schlüssel kann bei der Bank im Rahmen des Clearings über die Chip-Identifi¬ kationsdaten eindeutig identifiziert werden.Before debiting begins, the old meter reading is certified according to the invention, ie provided with a signature. Certification is carried out with a calculation run using the pseudo-random generator already mentioned. For the calculation run, at least the current status of the value counter of the wallet, the content of the signature counter according to the invention and a secret code stored in the EEPROM are entered as bank key, with the knowledge of which monetary value operations are confirmed by the issuing bank of the stock exchange card. In addition, information for identifying the relevant stock exchange and the involved sales terminal can also advantageously be entered as input for the calculation in the arithmetic unit. In the simplest way, these can be serial numbers that can be read in plain text. All of the variables mentioned influence the pseudo-random sequence that is generated as a result of the calculation. The randomness does not allow conclusions to be drawn from the signature to the input data such as meter readings or keys. This signature is clearly assigned to the status of the value counter of a specific stock exchange, a specific transaction and a specific terminal. The random sequence of the signature must be long enough so that different meter readings do not lead to the same signature by chance. A signature of 16 bits in length should at least be used. In this case there are over 64,000 possible different signatures. It is unlikely that a fraudster for manipulated meter readings for which the matching signature is missing will subsequently reconstruct a correct signature by chance. On the other hand, the signature must be limited in length because very long bit sequences would make it easier to recalculate the input data. In this signature, the secret chip code represents the bank's approval of the signed meter reading. The secret code is advantageously chip-specific in order not to endanger the system in the event of a key being corrupted and also to ensure a more precise assignment of transactions. The key contained in a stock exchange can be uniquely identified at the bank as part of the clearing via the chip identification data.
In die Signatur werden vorteilhaft auch Identifikationsdaten des Chips und des Terminals als zusätzliche Eingabe in den Pseudo-Zufallsgenerator mit eingearbeitet. Nach Zertifizie¬ rung des alten Zählerstandes wird die Abbuchung vorgenommen, d. h. der Zählerstand geändert. Der geänderte Zählerstand wird ebenfalls mit einer Signatur versehen. Im Verkaufstermi- nal werden die eingenommenen Geldbeträge als Differenzen von Zählerständen aus den angefallenen Transaktionen mit ver¬ schiedenen Geldbörsen oder mit der gleichen Geldbörse gesam¬ melt und zur Abrechnung samt den dazugehörenden Signaturen und den Klartext-Identifikationsdaten von Börsenchip und Verkaufsterminal bei der Clearingstelle eingereicht.Identification data of the chip and the terminal are advantageously also incorporated into the signature as additional input into the pseudo-random generator. After the old meter reading has been certified, the debiting is carried out. H. the meter reading changed. The changed meter reading is also provided with a signature. In the sales terminal, the amounts of money received are collected as differences in meter readings from the transactions that have occurred with various wallets or with the same wallet and submitted to the clearing house for settlement together with the associated signatures and the plain text identification data of the stock exchange chip and the sales terminal.
Ein Sicherheitsmerkmal des Verfahrens ist , daß eine Signatur nicht systematisch wiederholt und damit den Zählerständen und Kartendaten immer eindeutig zugeordnet werden kann. Liegt kein Betrugsverdacht vor, so können die Einzelbeträge für jedes Verkaufsterminal ohne Beachtung der Signaturen addiert und abgerechnet werden. Soll jedoch statistisch kontrolliert werden, ob auch manipulierte Geldbeträge im Spiel sind oder liegt ein bestimmter Betrugsverdacht vor, so läßt sich die Historie jeder Geldbörse durch Aneinanderreihung der Zähler- stände aus den Forderungen der verschiedenen Verkäufer rekon¬ struieren. Eine Manipulation von Geldbeträgen läßt sich eindeutig feststellen und dort lokalisieren, wo die in der Clearingstelle nachgerechneten Signaturen von Zählerständen nicht mit den von der Geldbörse gelieferten Signaturen über- einstimmen. Wenn eine Börse anonym von einer Bank erworben wurde, ist eine nachträgliche Zuordnung der Geldbeträge zu den Kaufgewohnheiten einer bestimmten Person nicht gegeben. Zeigt sich bei den Kontrollen, daß sich für die überprüften Zählerstände Überlappungen oder gar Verdoppelungen ergeben, so ist Betrug nachgewiesen.A security feature of the method is that a signature cannot be repeated systematically and can therefore always be clearly assigned to the meter readings and card data. If there is no suspicion of fraud, the individual amounts for each sales terminal can be added without taking the signatures into account and be settled. However, if a statistical check is to be carried out to determine whether manipulated amounts of money are involved or if there is a specific suspicion of fraud, the history of each wallet can be reconstructed from the demands of the various sellers by lining up the meter readings. Manipulation of amounts of money can be clearly identified and localized where the signatures of meter readings recalculated in the clearing house do not match the signatures supplied by the wallet. If an exchange was acquired anonymously by a bank, there is no subsequent assignment of the amounts of money to the buying habits of a particular person. If the checks show that the checked meter readings overlap or even double, fraud has been proven.
Bei der Nachrechnung kann anhand der unstimmigen Signaturen beispielsweise klar rekonstruiert werden, ob der Verkäufer Geldbeträge in den Datensätzen, die er zur Abrechnung schickt, nachträglich unerlaubt geändert hat. Auch eventuelle Doppeleinreichungen sind an der übereinstimmenden Signatur erkennbar, die ja wegen des fortlaufend geänderten Standes des Signaturzählers nicht wiederholbar sein sollten. Die zur Abrechnung geltend gemachten Geldforderungen als Differenz zweier Stände des Wertzählers sind nur berechtigt, wenn die zugeordneten Signaturen aus unmittelbar aufeinanderfolgenden Rechnungen entstammen. Das ist daran erkennbar, daß die zur Signaturberechnung verwendeten Stände des Signaturzählers sich nur um eine Einheit unterscheiden dürfen. Der Verkäufer kann sich also nicht unerlaubt zusätzliche Geldbeträge als unerlaubte Differenzen-Kombination nicht zusammengehörender, aber korrekt signierter Zählerstände selbst konstruieren. Dem Verkäufer nützt es auch nichts, wenn er in betrügerischer Absicht alle an seinem Terminal getätigten Transaktionen heimlich aufzeichnet, um aus der Summe vieler Datensätze eventuell besser Rückschlüsse auf die Eingabedaten ziehen zu können. Ein eventueller Zusammenhang zwischen Signaturen ist schwer erkennbar, da über das Signaturverfahren eine Signatur sich systematisch nicht wiederholen kann.During the recalculation, the inconsistent signatures can be used to reconstruct, for example, whether the seller subsequently changed the amounts of money in the data records that he sent for settlement, without permission. Any double submissions can also be recognized by the matching signature, which should not be repeatable due to the continuously changing status of the signature counter. The monetary claims asserted for settlement as the difference between two levels of the value counter are only authorized if the assigned signatures originate from immediately successive invoices. This can be recognized from the fact that the levels of the signature counter used for the signature calculation may differ only by one unit. The seller cannot therefore construct himself unauthorized additional amounts of money as an illegal combination of differences between meter readings that do not belong together but are correctly signed. It is also of no use to the seller if he fraudulently records all transactions made at his terminal in order to be able to better draw conclusions about the input data from the sum of many data records. A possible connection between signatures is difficult to recognize because the signature process cannot systematically repeat a signature.
Sollte ein Verdacht auf einen Inhaber einer Börse fallen, der beispielsweise an einem nicht überwachten Verkaufsautomat die abzubuchenden Daten an der Übertragungsstrecke manipuliert, so ist der gefälschte Betrag nach Erkennung einer fehlerhaf¬ ten Signatur wegen der Anonymität nachträglich nicht mehr einzutreiben. Ist die Geldbörse jedoch wiederaufladbar, so kann spätestens im Rahmen der Aufbuchung über eine Sperrliste die verdächtige Karte erkannt und deaktiviert werden. Die Geldbörse kann natürlich auch persönlich sein, -das heißt auf den Namen einer bestimmten Person eingestellt sein. Die Berechtigung zur Benutzung der Börse kann in diesem Fall von der korrekten Eingabe eines PIN-Codes durch den Benutzer abhängig gemacht sein. In diesem Fall ist die Anonymität des Benutzers nicht mehr gegeben und ein eventueller Fehlbetrag nachträglich korrigierbar. Normalerweise ist jedoch davon auszugehen daß der Inhaber der Börse beim Abbuchen in einem Verkaufsterminal weniger Einfluß auf die gebuchten Beträge hat als der Verkäufer, der ja sein Terminal zu Lasten des Börseninhabers oder zu Lasten der Bank/Clearingstelle präpa¬ riert haben könnte und am einfachsten und mit dem größten Vorteil Einfluß auf die übertragenen Daten nehmen könnte.If a holder of a stock exchange is suspected, who manipulates the data to be debited on the transmission link, for example at a non-monitored vending machine, the counterfeited amount can no longer be recovered after detection of a faulty signature due to anonymity. However, if the wallet is rechargeable, the suspect card can be recognized and deactivated at the latest when it is booked via a blacklist. The wallet can of course also be personal, which means that it is set to the name of a specific person. In this case, the authorization to use the exchange may depend on the correct entry of a PIN code by the user. In this case, the anonymity of the user is no longer given and a possible shortfall can be corrected subsequently. Normally, however, it can be assumed that the owner of the exchange has less influence on the booked amounts when debiting in a sales terminal than the seller, who could have prepared his terminal at the expense of the exchange owner or at the expense of the bank / clearing house, and the simplest and could have the greatest advantage in influencing the transmitted data.
Der Inhaber der Börse könnte natürlich auch im Rahmen der Wiederaufladung seiner Börse an einem Ladeautomat versuchen, den Aufbuchwert seiner Börse an der Übertragungsstrecke zu seinen Gunsten zu manipulieren. Die Manipulation kann jedoch bereits vom Ladeautomat erkannt werden, indem er sich während der Aufbuchung die Signatur der geänderten Zählerstände zur Überprüfung von der Karte ausgeben läßt. Hierzu ist es sinn¬ voll, bei fehlerhafter Signatur den aufgebuchten Betrag ungültig zu machen.The holder of the exchange could of course also try to manipulate the book value of his exchange on the transmission link in his favor as part of the reloading of his exchange at a loading machine. The manipulation can, however, already be recognized by the loading machine by having the signature of the changed meter readings output from the card for checking during the booking. For this purpose, it makes sense to invalidate the amount booked if the signature is incorrect.
Erhält ein Betrüger Kenntnis vom Geheimnis einer gültigen Geldbörse, so könnte er Geldbörsen duplizieren, die alle eine korrekt signierte Abbuchung zulassen würden. Er könnte auch signierte Datensätze ohne Geldbörse erzeugen, deren Unrecht¬ mäßigkeit von der Bank nicht automatisch zu erkennen wäre. Der geheime Bankcode in der Geldbörse ist jedoch durch das erfindungsgemäße Prinzip, das eine systematische Wiederholung einer Signatur ausschließt, geschützt. Der Schutz verhindert nicht nur die systematische Erprobung von Schlüsseln an einem Börsenchip, sondern begrenzt auch die Möglichkeiten, einen Börsenchip mit physikalischen Mitteln hinsichtlich seines Aufbaus oder des Geheimnisses mit Meßspitzen und dynamischen Analyseverfahren auszuspionieren. Die Anzahl der Schiebere¬ gisterzellen des Pseudo-Zufallsgenerators kann auch für gut gesicherte Signaturen vergleichsweise gering sein, der Pseu- do-Zufallsgenerator benötigt damit nur wenig Chipfläche, so daß er auch in kostengünstigen Speicherchips eingesetzt werden kann. Ein Schieberegister von 47 Zellen ermöglicht bereits eine Periodenlänge der ausgegebenen Bitfolgen von mehr als 10Λ14. Diese Zahl von unterschiedlichen Zuständen des Pseudo-Zufallsgenerators bietet auch einen ausreichend großen Schlüsselraum bei Schlüssellängen von 47 Bit zurIf a fraudster gets to know the secret of a valid wallet, he could duplicate purses, all one would allow correctly signed debit. It could also generate signed data records without a wallet, the illegality of which the bank would not be able to automatically detect. However, the secret bank code in the wallet is protected by the principle according to the invention, which rules out the systematic repetition of a signature. The protection not only prevents the systematic testing of keys on a stock exchange chip, but also limits the possibilities of spying on a stock exchange chip with physical means with regard to its structure or the secret with measuring tips and dynamic analysis methods. The number of shift register cells of the pseudo-random generator can also be comparatively small, even for well-secured signatures, so that the pseudo-random generator requires only a small chip area, so that it can also be used in inexpensive memory chips. A shift register of 47 cells already enables a period length of the output bit sequences of more than 10 Λ 14. This number of different states of the pseudo-random generator also offers a sufficiently large key space with key lengths of 47 bits
Trennung der individuellen Geheimnisse der einzelnen Geldbör¬ sen. Für sehr hohe Sicherheit gegen Schlüsselsimulation kann die Länge des Schieberegisters auf 64 Stufe vergrößert wer¬ den.Separation of the individual secrets of the individual purses. For very high security against key simulation, the length of the shift register can be increased to 64 levels.
Das Ausforschen des geheimen Schlüssels durch Probieren ist durch die Begrenzung der Anzahl der Versuche durch den Zähl- umfang des Signaturzählers eingeschränkt. Gelöscht wird der Signaturzähler erfindungsgemäß erst, nachdem der Wertzähler geschrieben oder gelöscht worden ist. Eine nach dem Löschen berechnete Signatur fällt in jedem Falle unterschiedlich aus, weil sich der zu signierende Zählerstand geändert hat. Da stets entweder der Wertzähler oder der Signaturzähler zur Erzeugung einer Signatur geändert wird, ist sichergestellt, daß eine Signatur mißbräuchlich niemals systematisch wieder¬ holt werden kann. Der Zählumfang des Signaturzählers muß so bemessen sein, daß auch bei einem eventuellen Abbruch einer O 9 1Researching the secret key by trial and error is restricted by the number of attempts being limited by the counting range of the signature counter. According to the invention, the signature counter is only deleted after the value counter has been written or deleted. A signature calculated after deletion is different in every case because the meter reading to be signed has changed. Since either the value counter or the signature counter is always changed to generate a signature, it is ensured that a signature can never be systematically repeated in an abusive manner. The counting range of the signature counter must be such that, even if one is terminated O 9 1
9 Zertifizierung, bei der der Wertzähler nicht verändert wurde, eine ausreichende Wiederholmöglickeit ohne Veränderung des Wertzählers besteht. Ein Zählumfang von 16 Bit dürfte alle Eventualitäten abdecken.9 Certification where the value counter has not been changed, there is sufficient repeatability without changing the value counter. A count of 16 bits should cover all eventualities.
Mit der bisher angegebenen Konfiguration des Signaturverfah¬ rens kann noch nicht völlig ausgeschlossen werden, daß nach der Wiederaufladung einer Geldbörse die früheren Zustände von Wertzähler und Signaturzähler sich noch einmal wiederholen und damit die gleiche Signatur später nochmals verwendet werden könnte. Jede Wiederaufladung läßt sich jedoch an die Bedingung knüpfen, daß vorher ein nichtflüchtiger Schreibvor¬ gang im Börsenchip stattgefunden haben muß. Werden die dabei veränderten EEPROM-Daten erfindungsgemäß bei der Berechnung einer Signatur als Eingabe in den Pseudo-Zufallsgenerator mit einbezogen, so fällt die Signatur nach der Wiederaufladung anders aus als alle früheren.With the configuration of the signature method specified so far, it cannot yet be completely ruled out that after a wallet has been recharged, the previous states of the value counter and signature counter repeat themselves again and the same signature could therefore be used again later. Each recharge can, however, be linked to the condition that a non-volatile write operation must have taken place in the stock exchange chip beforehand. If, according to the invention, the EEPROM data modified in the process are included in the calculation of a signature as input into the pseudo-random generator, the signature after recharging is different from all previous ones.
Der bei der Wiederaufladung der Börse veränderte EEPROM- Bereich kann selbst als nicht rücksetzbarer Zähler konfigu¬ riert sein. Dieser Zähler kann selbst entsprechend der EP 0321 727 Bl mehrstufig mittels relativ wenig EEPROM-Zellen und wenig Aufwand realisiert werden und verändert sich auto¬ matisch bei jeder Wiederaufladung. Es ist erfindungsgemäß, daß auch die Information dieses Ladezählers bei der Erzeugung einer Signatur mit in den Pseudo-Zufallsgenerator eingegeben wird.The EEPROM area changed when the stock exchange is recharged can itself be configured as a counter that cannot be reset. According to EP 0321 727 B1, this counter can be implemented in several stages using relatively few EEPROM cells and little effort and changes automatically with each recharge. It is in accordance with the invention that the information of this load counter is also entered into the pseudo-random generator when a signature is generated.
Auch ohne Schreiben eines Ladezählers kann bei jeder Wieder- aufladung vom Bankenterminal eine Zufallszahl nichtfluchtig in einem nur durch die Bank veränderbaren EEPROM-Bereich eingeschrieben werden. Dieses Ladezertifikat kann erfindungs¬ gemäß als zusätzliche Information zur Berechnung einer Signa¬ tur in den Pseudo-Zufallsgenerator eingegeben werden und würde dann mit hoher Wahrscheinlichkeit verhindern, daß sich eine Signatur noch einmal wiederholt. Das erf ndungsgemäße Signaturverfahren ist nicht zur Erken¬ nung gefälschter Systemkomponenten bestimmt und geht davon aus, daß die bei Transaktionen beteiligten Partner wie Geld¬ börse oder Verkaufsterminal echt und vor einer Signaturrech- nung mit den bekannten Challenge & Response-Verfahren sicher authentifiziert worden sind. Es soll vielmehr wie mehrfach erläutern eine Veränderung von Übertragungsdaten zwischen den Partnern erkennbar machen. Die Interessen und die Verantwor¬ tung der Bank werden dabei über den Bankschlüssel festgelegt. Die Bank hat ein Interesse daran, daß dieser Schlüssel weder dem Käufer noch dem Verkäufer bekannt sind. Bankschlüssel sollten daher im Terminal nicht hinterlegt sein. Es ist daher vorteilhaft, wenn für die gegenseitige Authentifikation von Geldbörse und Verkaufsterminal ein anderer Schlüssel verwen- det wird als für die Vorgänge, bei denen Geldwerte unter¬ zeichnet werden.Even without writing a load counter, a random number can be written non-volatilely in an EEPROM area that can only be changed by the bank with each recharge from the bank terminal. According to the invention, this loading certificate can be entered into the pseudo-random generator as additional information for calculating a signature and would then, with a high probability, prevent a signature from being repeated again. The signature method according to the invention is not intended for the detection of counterfeit system components and assumes that the partners involved in transactions such as wallet or sales terminal have been authentically authenticated and securely authenticated using the known Challenge & Response methods prior to signature calculation. Rather, as explained several times, it should make a change in transmission data between the partners recognizable. The interests and responsibilities of the bank are determined using the bank key. The bank has an interest in ensuring that this key is neither known to the buyer nor the seller. Bank keys should therefore not be stored in the terminal. It is therefore advantageous if a different key is used for the mutual authentication of the wallet and the sales terminal than for the processes in which monetary values are signed.
Da sowohl die Überprüfung von Abbuchungen einer Geldbörse als auch eine Aufbuchung bei der Wiederaufladung im Interesse der Bank sind ist es vorteilhaft, wenn zur Erzeugung der Signatu¬ ren und für Berechtigungsprüfungen zum Wiederaufladen der Geldbörse der gleiche geheime Schlüssel verwendet wird.Since both checking the debits of a wallet and a top-up during reloading are in the interest of the bank, it is advantageous if the same secret key is used to generate the signatures and for authorization checks to reload the wallet.
Um sicherzustellen, daß tatsächlich nur authentifizierte Partner bei der Erzeugung einer Signatur des Zählerstandes der Geldbörse beteiligt waren, ist es auch erfindungsgemäß, daß zur Berechnung der Signatur in der Karte Ergebnisdaten aus einer vorausgehenden Authentifikation als Nachweis für den korrekten Ablauf mit als Eingabe in den Pseudo-Zufallsge- nerator für die Berechnung der Signatur eingegeben werden und damit die Signatur beeinflussen. Das kann einmal eine vorher berechnete Response selbst oder Teile einer Response sein oder aber ein Freigabesignal, das nach einer gegenseitigen Authentifikation im Chip als Ergebnis eines positiven Ver- gleichs mit der im Terminal berechneten Response durch die interne Logik erzeugt und in einem internen Flag zwischenge¬ speichert wurde. Dabei ist es von Vorteil, wenn über eine interne Freigabelo¬ gik eine Signatur im Börsenchip erst berechnet werden kann, nachdem ein solches Freigabesignal nach gegenseitiger Authen- tifikation von Börsenchip und Verkaufsterminal erzeugt worden ist.In order to ensure that only authenticated partners were actually involved in the generation of a signature of the counter reading of the wallet, it is also in accordance with the invention that for calculating the signature in the card, result data from a previous authentication as proof of the correct procedure with as input in the pseudo -Random generator can be entered for the calculation of the signature and thus influence the signature. This can be a previously calculated response itself or parts of a response or a release signal which, after mutual authentication in the chip, generates the result of a positive comparison with the response calculated in the terminal by the internal logic and intervenes in an internal flag was saved. It is advantageous if a signature in the stock exchange chip can only be calculated using an internal release logic after such a release signal has been generated after mutual authentication of the stock exchange chip and the sales terminal.
Es sind mit den bereits genannten Quellenangaben heute auch Verfahren bekannt, wie mit Hilfe eines Pseudo-Zufallsgenera- tors auch die gegenseitigen Authentifikationsprüfungen von Geldbörse und Terminal durchführen lassen. Es ist daher vorteilhaft, wenn aus Kostengründen der gleiche Pseudo-Zu¬ fallsgenerator oder Komponenten des Pseudo-Zufallsgenerators gemeinsam für die Durchführung von Authentifikationsrechnun- gen und Signaturrechnungen eingesetzt werden. With the sources already mentioned, methods are also known today of how the mutual authentication checks of the wallet and terminal can also be carried out with the aid of a pseudo-random generator. It is therefore advantageous if, for reasons of cost, the same pseudo-random generator or components of the pseudo-random generator are used together to carry out authentication calculations and signature calculations.

Claims

Patentansprüche claims
1. Verfahren zum Erzeugen elektronischer Signaturen in einer Datenträgeranordnung, die zumindest einen nicht-flüchtigen Speicher und einen Pseudo-Zufalls-Generator aufweist, wobei der nicht-flüchtige Speicher in wenigstens einen als Zähler fungierenden Wertbereich, einen Bereich zum Zählen durchgeführter Signaturrechnungen und einen Bereich für einen geheimen Signaturcode unterteilt ist, und wobei die Inhalte dieser Speicherbereiche als Eingangsdaten für eine Signaturrechnung mittels des Pseudo-Zufalls-Genera- tors verwendet werden und das Ergebnis dieser Rechnung die elektronische Signatur einer dem Geheimcode zugeordneten Institution für den Inhalt des Wertbereichs darstellt.1. A method for generating electronic signatures in a data carrier arrangement which has at least one non-volatile memory and a pseudo-random generator, the non-volatile memory in at least one value area acting as a counter, an area for counting signature calculations and an area is divided for a secret signature code, and the contents of these memory areas are used as input data for a signature calculation by means of the pseudo-random generator and the result of this calculation represents the electronic signature of an institution assigned to the secret code for the content of the value range.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der nicht-flüchtige Speicher einen als Ladezähler fungierenden Bereich aufweist, dessen Inhalt ebenfalls als Eingangsdatum für eine Signaturrechnung mittels des Pseudo-Zufalls-Genera- tors verwendet wird.2. The method according to claim 1, characterized in that the non-volatile memory has an area acting as a load counter, the content of which is also used as an input date for a signature calculation by means of the pseudo-random generator.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß der nicht-flüchtige Speicher einen spezifische Daten der Datenträgeranordnung enthaltenden Bereich aufweist, dessen Inhalt ebenfalls als Eingangsdatum für eine Signaturrechnung mittels des Pseudo-Zufalls-Generators verwendet wird.3. The method according to claim 1 or 2, characterized in that the non-volatile memory has a specific data of the data carrier arrangement containing area, the content of which is also used as an input date for a signature calculation by means of the pseudo-random generator.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der nicht-flüchtige Speicher einen Bereich aufweist, in den bei jedem Aufladevorgang von einem Ladeterminal neue Daten einegeschrieben werden, die ebenfalls als Eingangsdaten für eine Signaturrechnung mittels des Pseudo-Zufalls-Generators verwendet werden.4. The method according to any one of the preceding claims, characterized in that the non-volatile memory has an area into which new data is written by a charging terminal during each charging process, which data is also used as input data for a signature calculation by means of the pseudo-random generator become.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß von außen in die Datenträgeranordnung einzugebende Daten eines Terminals ebenfalls als Eingangsda- turn für eine Signaturrechnung mittels des Pseudo-Zufalls- Generators verwendet wird.5. The method according to any one of the preceding claims, characterized in that data to be entered from the outside into the data carrier arrangement of a terminal also as input data. turn is used for a signature calculation using the pseudo-random generator.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Response einer Authentifikationsrech- nung ebenfalls als Eingangsdatum für eine Signaturrechnung mittels des Pseudo-Zufalls-Generators verwendet wird.6. The method according to any one of the preceding claims, characterized in that the response of an authentication calculation is also used as an input date for a signature calculation by means of the pseudo-random generator.
7. Verfahren nach einem der Ansprüche 1 bis 5, dadurch ge- kennzeichnet, daß ein Freigabesignal als Ergebnis einer erfolgreichen Authentifikation zwischen der tragbaren Daten¬ trägeranordnung und einem Terminal ebenfalls als Eingangsda¬ tum für eine Signaturrechnung mittels des Pseudo-Zufalls- Generators verwendet wird.7. The method according to any one of claims 1 to 5, characterized in that a release signal as a result of successful authentication between the portable data carrier arrangement and a terminal is also used as an input date for a signature calculation by means of the pseudo-random generator .
8. Verwendung eines Pseudo-Zufalls-Generators zur Erzeugung einer elektronischen Signatur in einer Datenträgeranordnung, die außer dem Pseudo-Zufalls-Generator zumindest einen nicht- flüchtigen Speicher aufweist, wobei der nicht-flüchtige Speicher in wenigstens einen als Zähler fungierenden Wertbereich, einen Bereich zum Zählen durchgeführter Signaturrechnungen und einen Bereich für einen geheimen Signaturcode unterteilt ist, und wobei die Inhalte dieser Speicherbereiche als Eingangsdaten für eine Signaturrechnung mittels des Pseudo-Zufalls-Genera¬ tors verwendet werden und das Ergebnis dieser Rechnung die elektronische Signatur einer dem Geheimcode zugeordneten Institution für den Inhalt des Wertbereichs darstellt. 8. Use of a pseudo-random generator for generating an electronic signature in a data carrier arrangement which, in addition to the pseudo-random generator, has at least one non-volatile memory, the non-volatile memory in at least one value area functioning as a counter, an area for counting executed signature calculations and an area for a secret signature code, and the contents of these memory areas are used as input data for a signature calculation by means of the pseudo-random generator and the result of this calculation is the electronic signature of an institution assigned to the secret code for represents the content of the value range.
PCT/DE1995/001326 1994-09-30 1995-09-25 Process for generating electronic signatures and use of a pseudo-random generator therefor WO1996010811A1 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DEP4435139.9 1994-09-30
DE4435139 1994-09-30
DEP4436697.3 1994-10-13
DE4436697A DE4436697C2 (en) 1994-09-30 1994-10-13 Process for generating electronic signatures

Publications (1)

Publication Number Publication Date
WO1996010811A1 true WO1996010811A1 (en) 1996-04-11

Family

ID=25940670

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE1995/001326 WO1996010811A1 (en) 1994-09-30 1995-09-25 Process for generating electronic signatures and use of a pseudo-random generator therefor

Country Status (1)

Country Link
WO (1) WO1996010811A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2757979A1 (en) * 1996-12-27 1998-07-03 Gemplus Card Int DYNAMIC DATA INTERPRETATION PROCESS FOR A CHIP CARD
FR2829645A1 (en) * 2001-09-10 2003-03-14 St Microelectronics Sa Authentication method, e.g. for use with a smart card, whereby a secret quantity or key is delivered to an integrated circuit forming part of an external device or reader used in authentication
EP1308909A1 (en) * 2001-11-06 2003-05-07 Xiring Method for generating pseudo-random data in a chipcard, and associated authentication method and system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0299826A1 (en) * 1987-07-10 1989-01-18 Schlumberger Industries Method and system for authenticating electronic memory cards
EP0320489A2 (en) * 1987-12-07 1989-06-14 Automations- Und Informationssysteme Gesellschaft M.B.H. Method to increase IC-card security, and IC-card making use of this method
EP0409701A1 (en) * 1989-07-19 1991-01-23 France Telecom Hard-wired micro-circuit card and transaction method between a respective hard-wired micro-circuit card and a terminal
EP0434551A1 (en) * 1989-12-19 1991-06-26 Bull Cp8 Method of generating a pseudo-random number in a dataprocessing-system, and a system for carrying out the method
DE4119924A1 (en) * 1991-06-17 1992-12-24 Siemens Ag Protecting credit balance stored in chip=card - using certificate generated by particular party to validate balance transferred from chip=card to debit-card point
GB2261538A (en) * 1991-11-13 1993-05-19 Bank Of England Transaction authentication system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0299826A1 (en) * 1987-07-10 1989-01-18 Schlumberger Industries Method and system for authenticating electronic memory cards
EP0320489A2 (en) * 1987-12-07 1989-06-14 Automations- Und Informationssysteme Gesellschaft M.B.H. Method to increase IC-card security, and IC-card making use of this method
EP0409701A1 (en) * 1989-07-19 1991-01-23 France Telecom Hard-wired micro-circuit card and transaction method between a respective hard-wired micro-circuit card and a terminal
EP0434551A1 (en) * 1989-12-19 1991-06-26 Bull Cp8 Method of generating a pseudo-random number in a dataprocessing-system, and a system for carrying out the method
DE4119924A1 (en) * 1991-06-17 1992-12-24 Siemens Ag Protecting credit balance stored in chip=card - using certificate generated by particular party to validate balance transferred from chip=card to debit-card point
GB2261538A (en) * 1991-11-13 1993-05-19 Bank Of England Transaction authentication system

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2757979A1 (en) * 1996-12-27 1998-07-03 Gemplus Card Int DYNAMIC DATA INTERPRETATION PROCESS FOR A CHIP CARD
WO1998029843A1 (en) * 1996-12-27 1998-07-09 Gemplus S.C.A Dynamic data interpretation method for a chip card
AU723007B2 (en) * 1996-12-27 2000-08-17 Gemplus S.C.A. Method of dynamically interpreting data by a chip card
FR2829645A1 (en) * 2001-09-10 2003-03-14 St Microelectronics Sa Authentication method, e.g. for use with a smart card, whereby a secret quantity or key is delivered to an integrated circuit forming part of an external device or reader used in authentication
WO2003023725A1 (en) * 2001-09-10 2003-03-20 Stmicroelectronics S.A. Authentication protocol with memory integrity verification
US7886163B2 (en) 2001-09-10 2011-02-08 Stmicroelectronics S.A. Authentication protocol with memory integrity verification
EP1308909A1 (en) * 2001-11-06 2003-05-07 Xiring Method for generating pseudo-random data in a chipcard, and associated authentication method and system
FR2832008A1 (en) * 2001-11-06 2003-05-09 Xiring METHOD FOR GENERATING PSEUDO-RANDOM DATA IN A CHIP CARD, AND AUTHENTICATION METHOD AND ITS SYSTEM

Similar Documents

Publication Publication Date Title
DE69215501T2 (en) VALUE TRANSFER SYSTEM
DE69211407T2 (en) Process for electronic payment by chip card using numbered tokens and card for execution
EP0605070B1 (en) Method for cash sum transfer into and from smart cards
DE69801500T2 (en) SECURED METHOD FOR MONITORING THE TRANSFER OF VALUE UNITS IN A GAME SYSTEM WITH CHIP CARDS
DE69225197T2 (en) Electronic payment system
DE69012692T2 (en) Hard-wired microcircuit card and method for performing a transaction between such a card and a terminal.
EP0306892B1 (en) Circuitry of which at least a part contains a card for business, identification and/or actuation purposes
DE69031889T2 (en) Method of generating a unique number for a microcircuit card and using the same to cooperate the card with a host system
DE69623893T2 (en) A value storage system using a secure encryption protocol
DE4119924C3 (en) Process for securing loadable credit in chip cards
US7006998B2 (en) Payment system
WO1998037524A1 (en) Transaction method using a mobile device
EP0646898A2 (en) System to effect transactions with a multi-functional card provided with an electronic wallet
CH685891A5 (en) A method as security concept to prevent unauthorized use of a payment instrument for cashless settling on imprest
DE102009034436A1 (en) Method for payment of cash value amount in form of electronic money, involves transmitting signed data set to non-central instance by transmission of signed data set from central instance and receiving of signed data set
DE102009038645A1 (en) Method for transferring monetary amount in form of electronic record between two non-central entities, involves receiving private key of asymmetric key non central entity, and signing of record
DE4230866B4 (en) Data exchange system
WO1998050894A1 (en) System for secured reading and processing of data on intelligent data carriers
DE19604876C1 (en) Process for transaction control of electronic wallet systems
WO1996010811A1 (en) Process for generating electronic signatures and use of a pseudo-random generator therefor
DE4436697C2 (en) Process for generating electronic signatures
EP1066607B1 (en) Device and method for securely dispensing items with a monetary value
CN1221507A (en) Method and device for loading input data into algorithm during authentication
DE10009710A1 (en) Exchanging payment information for Internet compatible cashless payment transactions involves transferring customer-allocated identity code with owed amounts
DE60210270T2 (en) Method in which electronic payment cards are used to secure the transactions

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): CN JP KR RU UA US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载