Die Erfindung betrifft allgemein auf mobilen Endgeräten vorliegende elektronische Identifikationsdokumente und betrifft insbesondere ein Verfahren zur sicheren Speicherung eines elektronischen Identifikationsdokuments auf einem mobilen Endgerät sowie ein Verfahren zum sicheren Auslesen eines solchermaßen gespeicherten elektronischen Identifikationsdokuments. Die Erfindung betrifft ferner ein mobiles Endgerät zum Einsatz in derartigen Verfahren.

Einheitliche Dokumentenstandards erleichtern es Grenzbeamten, die Gültigkeit von Ausweisdokumenten schnell und zuverlässig zu prüfen. Sie sorgen daher für Sicherheit und Komfort auf Reisen und erlauben es Reisenden teilweise sogar, vollautomatisierte Kontrollen zu passieren. Die Dokumentenstandards werden auf internationaler Ebene festgelegt, beispielsweise durch Gremien der Internationalen Zivilluftfahrt-Organisation (ICAO) oder der Internationalen Organisation für Normung (ISO). Wesentliche Vorgaben für Reisepässe, ID-Dokumente und Führerscheine finden sich insbesondere in dem ICAO Standard Doc9303 und der ISO 18013. Im Rahmen dieser Beschreibung wird der Begriff Identifikationsdokument als Oberbegriff für Reisepässe, Führerscheine und andere ID-Dokumente verwendet. Seit kurzem gibt es Überlegungen, solche Identifikationsdokumente in elektronischer Form auf Mobiltelefone zu übertragen. Dabei könnte das Identifikationsdokument vollständig in die SIM-Karte des Mobiltelefons eingebracht und bei einem Auslesevorgang mit einem Inspektionssystem über eine Nahfeldkommunikations (NFC)- Schnittstelle ausgelesen werden. Eine solche Lösung bietet ein hohes Maß an Sicherheit der Daten und hohe Fälschungssicherheit, da sich das gesamte Identifikationsdokument in der SIM- Karte befindet und die verschlüsselte Kommunikation durchgängig von der SIM-Karte bis in das Inspektionssystem reicht.

Allerdings sind herkömmliche SIM-Karten nicht für die schnelle Übertra- gung der benötigten großen Datenmengen optimiert. Im Gegensatz zum elektronischen Zahlungsverkehr müssen beim Auslesen eines elektronischen Identifikationsdokuments wegen der enthaltenen biometrischen Merkmale, beispielsweise eines Gesichtsbilds oder von Fingerabdrücken, größere Datenmengen von mindestens 25 kB übertragen werden. Ohne besondere Op- timierung beträgt der Zeitbedarf für das Auslesen und Prüfen eines elektronischen Identifikationsdokuments daher etwa 20 Sekunden, was ein signifikantes Hindernis für die Einführung solcher elektronischer Dokumente darstellt. Entsprechend müssten für das Einbringen von Identifikationsdokumenten in eine SIM-Karte speziell angepasste SIM-Karten mit den notwendigen kryp- tographischen Methoden und mit einer Erweiterung des Betriebssystems zur Beschleunigung des ISO Secure Messagings verwendet werden. Der erforderlichen Anpassung der Speichergröße und der Standardisierung einer Be- schleuniger-Schnittstelle steht allerdings der hohe Kostendruck im SIM- Kartenbereich entgegen.

Ausgehend davon liegt der Erfindung die Aufgabe zugrunde, die Nachteile des Stands der Technik zu vermeiden und insbesondere einen Weg aufzu- zeigen, ein elektronisches Identifikationsdokument in einem Mobiltelefon sicher in einer Weise abzulegen, dass es schnell ausgelesen und geprüft werden kann. Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind Gegenstand der abhängigen Ansprüche. Der Grundgedanke der Erfindung besteht dabei darin, die eine hohe Performance beim Auslesen eines elektronischen Identifikationsdokuments von einem Mobiltelefon dadurch zu erreichen, dass nur die sicherheitskritische Operation des Kopierschutzes in einem sicheren Element des Mobiltelefons durchgeführt wird, während die sichere Übertragung der Daten von dem wesentlich leistungsfähigeren Applikationsprozessor des Mobiltelefons übernommen wird. Ein geeignet gespeichertes elektronisches Identifikationsdokument lässt sich dann durch das Zusammenspiel der im Speicher des leistungsfähigen Applikationsprozessors abgelegten biographischen Daten und von im sicheren Element abgelegten kryptographischen Daten sowohl schnell als auch sicher auslesen, wie nachfolgend im Detail erläutert.

Die Erfindung enthält zunächst ein Verfahren zur sicheren Speicherung eines elektronischen Identifikationsdokuments auf einem mobilen Endgerät, welches einen Applikationsprozessor mit einem Applikationsprozessorspei- eher und ein sicheres Element aufweist, bei dem kryptographische Daten für den Kopierschutz des elektronischen Identifikationsdokuments in dem sicheren Element gespeichert werden, und ein Biographiedatenobjekt, das die gewünschten biographischen Daten des elektronischen Identifikationsdokuments aufweist, digital signiert wird und die signierten Daten in dem Applikationsprozessorspeicher gespeichert werden. Mit Vorteil ist dabei vorgesehen, dass die kryptographischen Daten einen privaten Schlüssel KsE_priv des sicheren Elements umfassen, und dass das Biographiedatenobjekt einen zugehörigen zertifizierten öffentlichen Schlüssel KsE_pub des sicheren Elements enthält.

Die biographischen Daten des elektronischen Identifikationsdokuments umfassen vorteilhaft biometrische Daten, insbesondere ein biometrisches Gesichtsbild und/ oder einen oder mehrere Fingerabdrücke. Die Signatur des Biographiedatenobjekts wird bei dem Speicherungsverfahren mit Vorteil mit einem privaten Schlüssel KpB_ _P riv einer Personalisierungsbehörde erzeugt. Der zugehörige öffentliche Schlüssel KpB_ _pu b der Personalisierungsbehörde ist den Inspektionssystemen vorteilhaft bekannt, so dass diese die Signatur verifizieren können. Das mobile Endgerät stellt beispielsweise ein Mobiltele- fon, insbesondere ein Smartphone dar.

Durch ein solches Speicherverfahren wird das elektronische Identifikationsdokument manipulationsgeschützt auf dem mobilen Endgerät abgelegt, so dass es in einem nachfolgend beschriebenen Ausleseverfahren schnell und zuverlässig von dem Endgerät ausgelesen werden kann.

Für das Auslesen des Identifikationsdokuments enthält die Erfindung ein Verfahren zum sicheren Auslesen eines elektronischen Identifikationsdokuments, das gemäß einem Speicherverfahren der oben beschriebenen Art auf einem mobilen Endgerät gespeichert worden ist, welches einen Applikationsprozessor mit einem Applikationsprozessorspeicher und ein sicheres Element aufweist. Bei diesem Ausleseverfahren wird das Biographiedatenobjekt von dem Applikationsprozessor aus dem Applikationsprozessorspeicher an ein Inspektionssystem übertragen, - extrahiert das Inspektionssystem die biographischen Daten aus dem übertragenen Biographiedatenobjekt, wird mit den in dem sicheren Element gespeicherten kryptographischen Daten eine Echtheitsprüfung der extrahierten biographischen Daten durchgeführt, und betrachtet das Inspektionssystem nur im Fall einer erfolgreichen Echtheitsprüfung die extrahierten biographischen Daten des elektronischen Identifikationsdokuments als gültig.

In einer vorteilhaften Verfahrensvariante umfassen die kryptographischen Daten einen privaten Schlüssel KsE_ _P riv des sicheren Elements und das Biographiedatenobjekt enthält einen zugehörigen zertifizierten öffentlichen Schlüssel KsE_pub des sicheren Elements. Dabei wird der öffentliche Schlüssel KsE_pub des sicheren Elements zusammen mit den biographischen Daten aus dem Biographiedatenobjekt extrahiert und ist dem Inspektionssystem daher nach dem Extraktionsschritt bekannt. Zur Echtheitsprüfung ist dann weiter vorgesehen, dass das Inspektionssystem eine Aufforderung an das sichere Element übermittelt, das sichere Element die übermittelte Aufforderung mit seinem privaten Schlüssel KsE_ _P riv signiert und die signierte Aufforderung als Antwort an das Inspektionssystem übermittelt, und - das Inspektionssystem die übermittelte Antwort mit Hilfe des aus dem Biographiedatenobjekt extrahierten öffentlichen Schlüssels

sE_pub verifiziert und nur im Fall einer erfolgreichen Verifikation eine erfolgreiche Echtheitsprüfung feststellt. Bei der Aufforderung handelt es typischerweise um eine Aufforderung in einem Challenge-Response-Verfahren, beispielsweise in Form einer großen Zufallszahl bzw. Pseudozufallszahl.

Mit Vorteil verifiziert das Inspektionssystem bei dem Verfahren mit Hilfe des öffentlichen Schlüssels Kpß_ _P ub einer Personalisierungsbehörde auch die Signatur des Biographiedatenobjekts, um sicherzustellen, dass das Biographiedatenobjekt nicht manipuliert wurde.

Durch die vorgenommen Echtheitsprüfung ist zudem sichergestellt, dass das extrahierte Biographiedatenobjekt nicht geklont worden ist, sondern tatsächlich zu dem ausgelesenen mobilen Endgerät gehört. Nur in diesem Fall kann nämlich die Verifikation der mit dem privaten Schlüssel KsE_priv signierten Aufforderung mit dem aus dem Biographiedatenobjekt extrahierten öffentlichen Schlüssel KsE_pub gelingen.

In einer vorteilhaften Verfahrensvariante wird das Biographiedatenobjekt von dem Applikationsprozessor über eine Nahfeldkommunikations (NFC)- Schnittstelle an das Inspektionssystem übertragen. Dazu wird insbesondere im Rahmen einer Host Card Emulation (HCE), die auf dem Applikations- prozessor ausgeführt wird, über die NFC-Schnittstelle eine Smartcard simuliert. Die rechenintensiven Operationen des Auslesevorgangs, nämlich die Übertragung der Daten und die Verschlüsselung der Luftschnittstelle werden somit auf dem Applikationsprozessor ausgeführt, so dass für diese Funktionen ausreichend Leistung zur Verfügung steht. Zudem ist der Applikationsprozessor des mobilen Endgeräts typischerweise über eine per- formante Schnittstelle an den NFC-Controller des Endgeräts angebunden. An das sichere Element werden dagegen nur geringe Rechenanforderungen gestellt, es muss lediglich die übermittelte Aufforderung mit seinem privaten Schlüssel KsE_ riv signieren, also beispielsweise eine RSA Signatur rechnen. Für das sichere Element können somit beispielsweise Standard eSE oder SIM-Karten verwendet werden, da nur Speicherplatz und Code für den privaten Schlüssel KsE_ _P riv und das Rechnen der RSA-Signatur benötigt werden. Auch wenn gegenwärtig die Nahfeldkommunikation für die Datenübertragung bevorzugt ist, kann das Verfahren anstelle der NFC-Schnittstelle grundsätzlich auch andere Übertragungswege nutzen, insbesondere Bluetooth Low Energy, WLAN, VCode, Flicker Code auf einem Display des mobilen Endgeräts, oder auch andere optische Verfahren. Gerade optische Ver- fahren können praktisch von großer Bedeutung sein, da viele Inspektionssysteme über Vollseiten-Dokumentenleser verfügen.

In einem weiteren Aspekt stellt die Erfindung ein mobiles Endgerät bereit, das einen Applikationsprozessor mit einem Applikationsprozessorspeicher und ein sicheres Element aufweist, und das dazu ausgestaltet ist, im Rahmen der oben beschriebenen Speicher- und Ausleseverfahren eingesetzt zu werden. Mit Vorteil weist das mobile Endgerät eine Schnittstelle für die Nahbereichskommunikation auf, wobei NFC derzeit besonders bevorzugt ist. Das mobile Endgerät enthält daher insbesondere einen NFC-Controller und eine NFC- Antenne für die Nahfeldkommunikation.

Weitere Ausführungsbeispiele sowie Vorteile der Erfindung werden nachfolgend anhand der Figuren erläutert, bei deren Darstellung auf eine maß- stabs- und proportionsgetreue Wiedergabe verzichtet wurde, um die Anschaulichkeit zu erhöhen.

Es zeigen:

Fig. 1 eine schematische Darstellung der an einem Auslesevorgang eines auf einem Smartphone gespeicherten elektronischen Iden- tifikationsdokuments beteiligten Komponenten, und

Fig. 2 den Verfahrensablauf beim sicheren Auslesen eines elektronischen Identifikationsdokuments nach einem Ausführungsbeispiel der Erfindung.

Die Erfindung wird nun am Beispiel eines Auslesevorgangs eines auf einem Smartphone 10 gespeicherten elektronischen Identifikationsdokuments erläutert. Figur 1 zeigt dazu schematisch die am Auslesevorgang beteiligten Komponenten und Fig. 2 stellt den zugehörigen Verfahrensablauf beim si- cheren Auslesen des gespeicherten elektronischen Identifikationsdokuments dar.

Das als mobiles Endgerät eingesetzte Smartphone 10 enthält neben anderen, für die vorliegende Erfindung nicht wesentlichen Komponenten, insbeson- dere einen Applikationsprozessor 20 mit einem Applikationsprozessorspeicher 22, ein sicheres Element 30, einen NFC-Controller 40 und eine NFC- Antenne 42. Das sichere Element 30 ist beispielsweise in Form einer SIM- Karte, eines embedded Secure Elements oder eines Trusted Execution En- vironments (TEE) ausgebildet.

Das elektronische Identifikationsdokument stellt im Ausführungsbeispiel einen elektronischen Reisepass dar, der neben herkömmlichen biographischen Daten des Inhabers, wie etwa Vor- und Nachnahme, Geburtstag, Ge- schlecht und Nationalität, auch biometrische Daten, insbesondere ein biometrisches Gesichtsbild und Fingerabdrücke der beiden Zeigefingers des Inhabers aufweist. Die herkömmlichen biographischen Daten und die biometrischen Daten werden in der vorliegenden Beschreibung zusammen als biographische Daten BD bezeichnet.

Das elektronische Identifikationsdokument enthält weiter einen signierten öffentlichen Schlüssel KsE_pub des sicheren Elements 30 des Smartphones 10 in Form eines Zertifikats Z. Die biographischen Daten BD bilden zusammen mit dem Zertifikat Z ein Biographiedatenobjekt B = BD || Z, wobei das Sym- bol " II " die Konkatenierung von Daten bezeichnet.

Dieses Biographiedatenobjekt B = BD || Z wurde bei der Ausgabe des elektronischen Reisepasses von einer Personalisierungsbehörde mit einem privaten Schlüssel KpB_ _P ri der Personalisierungsbehörde digital signiert um eine nachträgliche Modifikation der biographischen Daten BD und des Zertifikats Z zu verhindern.

Das signierte Biographiedatenobjekt SigB = B || SIG(B, KpB_ _P riv) ist in dem Speicher 22 des Applikationsprozessors 20 des Smartphones 10 abgelegt, der zwar selbst keinen gesicherten Speicherbereich darstellt, der jedoch über eine performante Schnittstelle 24 mit dem NFC-Controller 40 verbunden ist und daher beim Auslesevorgang eine schnelle verschlüsselte Übertragung des relativ großen signierten Biographiedatenobjekts SigB an ein Inspektionssys- tem 50 erlaubt. Da das signierte Biographiedatenobjekt SigB mit dem biometrischen Daten (Gesichtsbild und Fingerabdrücke ) große Datenmengen von mindestens 25 kB, typischerweise sogar etwa 60 kB, enthält, ist eine performante Anbindung an den NFC-Controller 40 für ein schnelles Auslesen der biographischen Daten von entscheidender Bedeutung.

Um der Tatsache Rechnung zu tragen, dass das signierte Biographiedatenobjekt SigB nicht in einem gesicherten Speicherbereich abgelegt ist, wird der Kopierschutz des Biographiedatenobjekts durch das sichere Element 30 mit den darin gespeicherten kryptographischen Daten gewährleistet. Konkret enthält das sichere Element 30 einen privaten Schlüssel KSE. _priv eines asymmetrischen Kryptosystems, dessen zugehöriger signierter öffentlicher Schlüssel KsE_pub als Zertifikat Z im Biographiedatenobjekt B enthalten ist.

Durch das Zusammenspiel des im performant angebundenen Applikations- prozessorspeicher 22 abgelegten signierten Biographiedatenobjekts SigB mit dem asymmetrischen Kryptosystem des sicheren Elements 30 kann das elektronische Identifikationsdokument schnell und dennoch sicher ausgelesen werden: Auf Seiten des Smartphones 10 wird der Auslese vor gang von einer auf dem Applikationsprozessor 20 laufenden Anwendung gesteuert, die nachfolgend als Mobile-ID-App 26 bezeichnet ist. Um einen sicheren Auslesevorgang des auf dem Smartphone 10 gespeicherten elektronischen Identifikationsdokuments durch ein Inspektionssystem 50 einzuleiten, beispielsweise bei einer Grenzkontrolle, wird das Smartphone 10 auf ein NFC-Lesegerät 52 des Inspektionssystems 50 gelegt. Über die NFC-Schnittstelle wird in einem Schritt S201 in an sich bekannter Weise ein sicherer authentischer Übertragungskanal 54 zwischen dem Inspektionssystem 50 und der obile-ID-App 26 des Smartphones 10 aufgebaut. Beispielsweise kann ein sicherer Kanal mit Hilfe des SAC (Supplemental Access Control)-Sicherheitsprotokolls erfolgen, bei dem das PACE (Password Authenticated Connection Establishment- Protokoll zum Einsatz kommt. Nach Aufbau des sicheren authentischen Übertragungskanals sendet das Inspektionssystem 50 über diesen Kanal in Schritt S202 eine Aufforderung zur Übermittlung der biographischen Daten und des Zertifikats für den Kopierschutz an die Mobile-ID-App 26. Die Mobile-ID-App 26 und damit der Applikationsprozessor 20 übermittelt daraufhin in Schritt S203 das im Ap- plikationsprozessorspeicher 22 abgelegte signierte Biographiedatenobjekt SigB an das Inspektionssystem 50.

In Schritt S204 extrahiert das Inspektionssystem 50 die biographischen Daten BD und das Zertifikat Z aus dem übermittelten signierten Biographiedaten- objekt SigB. Weiter verifiziert das Inspektionssystem 50 mit Hilfe des ihm bekannten öffentlichen Schlüssels KpB_ _pu b der Personalisierungsbehörde die Signatur des Biographiedatenobjekts SIG(B, KpB_ _P riv) und stellt damit dessen Authentizität sicher. Nun prüft das Inspektionssystem 50 noch den Kopierschutz des Biographiedatenobjekts um weiter sicherzustellen, dass das von dem Smartphone 10 ausgelesene Biographiedatenobjekt B tatsächlich zu diesem Smartphone gehört und nicht von einem anderen mobilen Endgerät geklont wurde. Dazu übermittelt das Inspektionssystem 50 in Schritt S205 eine Aufforderung eines Challenge-Response- Verfahrens, beispielsweise eine große Zufallszahl s, an die Mobile-ID-App 26, welche die Aufforderung in Schritt S206 an das sichere Element 30 weiterreicht. Das sichere Element 30 signiert in Schritt S207 die Zufallszahl s mit seinem privaten Schlüssel KsE_pri und übermittelt die signierte Aufforderung

SIG(s, KsE_ _P riv) als Antwort des Challenge-Response- Verfahrens in Schritt S208 an die Mobile-ID-App 26, welche diese in Schritt S209 an das Inspektionssystem 50 weiterreicht.

Dem Inspektionssystem 50 ist aus dem Biographiedatenobjekt B das Zertifikat Z und damit der öffentliche Schlüssel KsE_pub des sicheren Elements 30 bekannt. Das Inspektionssystem 50 kann somit mit diesem öffentlichen Schlüssel in Schritt S210 die Signatur der Zufallszahl s verifizieren und im Fall einer erfolgreichen Verifikation davon ausgehen, dass das Biographiedatenobjekt B tatsächlich zu dem ausgelesenen Smartphone 10 gehört und nicht geklont wurde. Wurde das Biographiedatenobjekt nämlich von einem anderen Smartphone nur auf das ausgelesene Smartphone übertragen, so passen der öffentlichen Schlüssel KsE2_pub des sicheren Elements SE2 des an- deren Smartphones und der für die Signatur der Aufforderung verwendete private Schlüssel KsE_ _P riv des sicheren Elemente SE des ausgelesenen Smartphones nicht zusammen und die Verifikation muss misslingen. Durch die beschriebene Vorgehensweise ist somit der Kopierschutz trotz der Speicherung des Biographiedatenobjekts in einem selbst nicht abgesicherten Spei- cherbereich sichergestellt.

Das beschriebene Ausleseverfahren bietet eine sehr gute Performance, da die nicht sicherheitskritischen Funktionen, nämlich die Datenübermittlung des Biographiedatenobjekts und die Verschlüsselung der Luftschnittstelle von dem Applikationsprozessor 20 des Smartphones mit hoher Geschwindigkeit ausgeführt werden können. Im sicheren Element 30, das selbst typischerweise nur schlecht an den NFC-Contr oller 40 des Smartphones 10 angebunden ist, müssen nur die sicherheitskritischen Funktionen ausgeführt werden, nämlich die Signierung einer übermittelten Aufforderung mit dem privaten Schlüssel KsE_priv. Insgesamt ist das beschriebene Ausleseverfahren nicht nur sehr schnell, sondern auch zuverlässiger als Lösungen, bei denen das gesamte elektronische Identifikationsdokument in einer SIM-Karte abgelegt ist, da das Feld des NFC-Lesers bei der erfindungsgemäßen Lösung nicht die SIM- Karte und den NFC-Contr oller mit Energie versorgen muss.