B e s c h r e i b u n g

Die Erfindung betrifft ein Verfahren zur Überprüfung eines Dokumentes, insbesondere eines Wert- und/oder Sicherheitsdokumentes. Des Werteren betrifft die Erfindung ein Dokument sowie ein Computersystem zur Durchführung eines solchen Verfahrens.

Aus dem Stand der Technik, beispielsweise aus der DE 10 2008 041 990 A1, sind Verfahren zur Überprüfung eines Dokumentes bekannt, bei denen Dokumentendaten sowie eine Signatur der Dokumentendaten auf dem Dokument aufgebracht sind. Zur Prüfung des Dokumentes werden die Dokumentendaten sowie die Signatur ausgelesen und anschließend die Signatur geprüft.

Des Weiteren sind Verfahren bekannt, bei denen in einem Hintergrundsystem, bei- spielsweise einem Servercomputersystem, dokumentenspezifische Informationen gespeichert sein können. Die dokumentenspezifischen Informationen können beispielsweise Sperrinformationen, ein Gültigkeitszeitraum oder andere Informationen sein, die die Gültigkeit des Dokumentes bestätigen oder widerlegen können. Ein Nutzcomputersystem kann beispielsweise Dokumentendaten aus dem Dokument auslesen und zur Überprüfung des Dokuments über eine gesicherte Verbindung eine Freigabeanfrage an das Servercomputersystem senden. Die Freigabeanfrage enthält Üblicherweise verschlüsselte Dokumentendaten, die vom Servercomputersystem zur Überprüfung entschlüsselt werden. Das Servercomputersystem kann mit den entschlüsselten Daten auf die zu diesen Daten hinterlegten dokumentenspezifh sehen Informationen zugreifen und abhängig von den hinterlegten Informationen eine Freigabeinformation senden.

Werden die Dokumentendaten des Ausweises übermittelt, könnten diese gespeichert und beispielsweise ein Bewegungsprofil des Nutzers erstellt werden, auch wenn diese Dokumentendaten verschlüsselt übermittelt werden.

Aufgabe der Erfindung ist es deshalb, ein Verfahren, ein Dokument sowie ein Computersystem bereitzustellen, die eine Überprüfung eines Dokumentes ermöglichen, wobei eine größtmögliche Anonymität des Nutzers gewährleistet sein soll.

Die der Erfindung zugrunde liegende Aufgabe wird mit den Merkmaien der unabhängigen Patentansprüche gelöst. Ausführungsformen der Erfindung sind Gegenstand der abhängigen Ansprüche. Ausführungsformen der Erfindung sind besonders vorteilhaft, da das an das Servercomputersystem gesendete Prüfmerkmal neben den Dokumenteninformation auch aus einem Zufallswert ermittelt wurde, sodass keine Zurückverfolgung des Prüf- merkmals zu den Dokumentendaten möglich ist. Es werden somit keine Daten des Dokumenteninhabers, sondern lediglich das anonymisierte Prüfmerkmal an das Servercomputersystem gesendet. Somit ist es nicht möglich, dass personenspezifische Daten auf dem Servercomputersystem gespeichert werden können. Es ist zu- dem nicht erforderlich, auf dem Servercomputersystem oder auf dem Nutzercomputersystem personenspezifische Daten zu speichern. Somit ist eine größtmögliche Anonymität bei gleichzeitiger sicherer Übeφrüfungsmöglichkeit des Dokumentes sichergestellt. Unter einem .Nutzer" wird im Folgenden eine natürliche Person verstanden.

Unter einem„Wert-, Ausweis- oder Sicherhertsdokumenf wird im Folgenden ein papier- und/oder kunststoffbasiertes Dokument verstanden, auf dem personenspezifische und/oder dokumentenspezifische Informationen optisch lesbar aufgebracht sind, die eine Identifizierung des Nutzers oder des Dokumentes, beispielsweise für die Freigabe und Nutzung bestimmter Dienste oder Funktionen ermöglicht. Darunter fallen zum Beispiel Ausweisdokumente, insbesondere Reisepässe, Personalausweise, Visa sowie Führerscheine, Fahrzeugscheine, Fahrzeugbriefe, Firmenausweise, Gesundheitskarten oder andere I D-Dokumente sowie auch Frachtbriefe oder sonstige Berechtigungsnachweise. Beispielsweise kann das Dokument auch ein Wertgutschein oder eine Zugangskarte sein.

In einer Ausführungsform der Erfindung kann das Dokument ein„Machine Readable Travel Document (MRTD)" wie von der internationalen Luftfahrtbehörde (ICAO) spezifiziert sein. Ein solches Dokument ermöglicht die Identifizierung des Inhabers mittels einem Online-Verfahren. Ausführungsformen der Erfindung ermöglichen die Offline-Identifikation eines MRTD, wenn kein Netzwerk zur Verfügung steht.

Unter„Informationen" werden im Folgenden alle Angaben verstanden, die auf das Dokument aufgebracht sind und eine Person und/oder das Dokument betreffen bzw. eine Identifizierung der Person und/oder des Dokumentes ermöglichen. Beispielsweise sind die Informationen personenbezogene Daten oder Daten, mit welchen eine Freigabe für bestimmte Dienste erfolgen kann. Die Informationen können für eine einmalige Authentifizierung des Dokumentes ausgebildet sein, wie beispielsweise bei einem Wertgutschein. Nach einmaliger Authentifizierung kann das Dokument für eine erneute Authentifizierung gesperrt werden. Alternativ können die In- formationen aber auch für eine wiederholte Authentifizierung vorgesehen sein, wobei auch eine definierte Anzahl von Authentifizierungsvorgängen denkbar ist und nach Erreichen dieser Anzahl keine weitere Authentifizierung erfolgen kann.

Unter einem„optischer Sensor" wird eine Sensor oder eine Schnittstelle verstanden, über die Informationen optisch erfasst werden können. Beispielsweise ist der optische Sensor eine Kamera.

Unter einem„Nutzercomputersystem" wird hier ein Computersystem verstanden, auf welches der Nutzer Zugriff hat. Hierbei kann es sich zum Beispiel um einen Per- sonal Computer (PC), ein Tablet PC oder ein Telekommunikationsendgerät, insbesondere ein Smartphone, handeln. Das Nutzercomputersystem hat eine Schnittstelle zur Verbindung mit einem Kommunikationsnetzwerk, wobei es sich bei dem Kommunikationsnetzwerknetzwerk um ein privates oder öffentliches Netzwerk handeln kann, insbesondere das Internet. Je nach Ausführungsform kann diese Verbin- dung auch über ein Mobilfunknetz hergestellt werden. Des Weiteren verfügt das Nutzercomputersystem über einen optischen Sensor zur Erfassung der Informationen.

Unter einem„Telekommunikationsendgerät'' wird hier ein tragbares, batteriebetriebenes Gerät mit einer Schnittstelle für ein Kommunikationsnetzwerk verstanden, insbesondere ein Mobiltelefon, ein Smartphone oder ein portabler Computer, wie zum Beispiel ein Laptop, Notebook oder Tablet-PC mit einer Schnittstelle für das Kommunikationsnetzwerk. Die Schnittstelle für das Kommunikationsnetzwerk kann eine Mobilfunkschnittstelle sein oder eine Schnittstelle für eine andere kabelgebundene oder drahtlose Kommunikation, wie eine Bluetooth- und/oder eine WLAN- Schnittstelle. Unter„Schnittstellen" werden hier jegliche Vorrichtungen am Computersystem bzw. am Telekommunikationsendgerät verstanden, über die eine Verbindung zu einem Kommunikationsnetzwerk aufgebaut werden kann. Die Schnittstellen können beispielsweise für eine drahtlose Kommunikation mit einem Kommunikationsnetzwerk ausgebildet sein. Es ist aber auch möglich, dass die Schnittstellen zur Anbindung des Computersystems oder des Telekommunikationsendgerätes an ein kabelgebundenes Kommunikationsnetzwerk ausgebildet sind.

Unter einem„Kommunikationsnetzwerk" wird hier jede Art von Telekommunikationsnetzwerk verstanden, in die sich das Nutzercomputersystem, insbesondere das Telekommunikationsendgerät, mit einer Schnittstelle einwählen kann. Insbesondere umfasst dieser Begriff Telekommunikationsnetzwerke, welche nach einem Mobilfunkstandard, wie zum Beispiel einem GSM-, UMTS-, CDMA- oder einem LTE- Standard arbeiten. Des Weiteren sind Kommunikationsnetzwerke wie kabelgebundene Internetnetzwerke, Wireless-LAN-Netzwerke oder Verbindungen über Bluetooth oder eine andere Schnittstelle des Telekommunikationsendgerätes möglich. Über ein solches Kommunikationsnetzwerk kann beispielsweise eine Verbindung mit dem Internet hergestellt werden. Alternativ kann die Verbindung unmittelbar über ein WLAN-Netzwerk, eine Bluetooth-Verbindung oder eine andere Nahbereichsverbindung aufgebaut werden.

Unter einem„Servercomputersystem" wird ein Datenverarbeitungssystem verstanden, welches die Identität eines Nutzers gegenüber Dritten in automatisierter Form bestätigen oder verneinen kann. Beispielsweise kann es sich bei dem Servercomputersystem um ein el D-Provider-Computersystem handeln.

Ein„el D-Provider-Computersystem" ist ein Datenverarbeitungssystem welches die Identität eines Nutzers gegenüber Dritten in automatisierter Form bestätigen oder verneinen kann. Ein„el D-Provider-Computersystem" befindet sich vorzugsweise in einer besonders geschützten Umgebung, insbesondere in einem so genannten Trust-Center, sodass die Bestätigung einer Identität eines Nutzers durch ein elD- Provider-Computersystem eine besonders hohe Verlässlichkeit aufweist. Unter„maschinenlesbar in optischer Form aufgebrachten Informationen" werden beispielsweise verstanden:

- Guillochen: Guillochen werden mit Hilfe von so genanntem Liniendruck auf das Dokument aufgedruckt. Sie bestehen im Allgemeinen aus in verschiedenen Fanben übereinander gedruckten Wellen- und Schleifenmustern; - Mikro-Schrift: Hierbei handelt es sich um aufgedruckte Schriftzüge in kleinster Schrift. Mit bloßem Auge lässt sich die Mikro-Schrift kaum erkennen. Beispielsweise ist Mikro-Schrift auf den Euro-Banknoten als Bildelement in die Motive eingearbeitet. Mit Hilfe einer Lupe kann die Mikro-Schrift gelesen werden;

- Aufdruck eines metameren Systems: Aufgrund metamerer Farbgleichheit können unterschiedliche spektrale Zusammensetzungen des Lichts bei Menschen den gleichen Farbeindruck hervorrufen und zum Beispiel mittels Farbfiltern oder variablen Beleuchtungsquellen optisch wahrnehmbar ge- macht werden;

- Aufdruck mit Fluoreszenz-, Phosphoreszenz- und/oder Up-Conversion- Farben; - Aufdruck mit Infrarot-Farbe: Die Farbe wird nur unter Infrarot-Strahlung für

Lesegeräte mit entsprechenden Sensoren detektierbar. Beispielsweise sind Euro-Banknoten mit diesem optischen Sicherheitsmerkmal ausgestattet; - Barcode, insbesondere ein- oder zweidimensionale Barcodes, monochrom oder mehrfarbig;

- QR-Code - Hologramm und Kinegram (transparent oder reflektierend); Wasserzeichen;

- digitale Wasserzeichen, die eine sichtbare und/oder maschinell auslesbare Information tragen.

Die mit solchen optischen Sicherheitsmerkmalen aufgebrachten Informationen kön- nen visuell, insbesondere auch kognitiv von einem Nutzer, erfassbar sein, insbesondere mit einem optischen Sensor maschinell erfassbar sein. Das Dokument selbst benötigt keine Schnittsteile zum Auslesen der Daten oder des Zufallswertes, so dass die Herstellung des Dokuments vereinfacht werden kann. Insbesondere ist es für das Verfahren nicht erforderlich, dass das Dokument einen Chip aufweisen muss.

Auf dem Dokument sind erfindungsgemäß ein fälschungssicheres Bild und ein Code aufgebracht, wobei der Code mit einem Abbild des Bildes ermittelt wird, wobei das Abbild eine gegenüber dem Bild reduzierte Datenmenge aufweist, wobei das Ver- fahren die folgenden Schritte aufweist:

- optisches Auslesen des Codes durch das Nutzercomputersystem,

- berechnen des Abbildes aus dem Code durch das Nutzercomputersystem,

- vergleichen des Abbildes mit dem Bild durch den Nutzer und/oder durch das Nutzercomputersystem.

Ein fälschungssicheres Bild meint hier ein Bild, welches mit einem oder mehreren Sicherheitsmerkmalen versehen ist. Solche Sicherheitsmerkmale können optischer oder nicht-optische Natur sein.

Die binäre Darstellung des Abbildes ist kleiner oder gleich der binären Darstellung des Bildes. Die Datenmenge kann beispielsweise durch Verringerung der Auflösung durch Skalierung, Verringerung des abgedeckten Farbraumes durch Zusammenführen von Farben oder andere bekannte Reduktionsmethoden erfolgen. Insbesondere ist die Datenmenge derart reduziert, dass der optisch lesbare Code des Abbildes nur einen begrenzten Platz auf dem Dokument benötigt. Die Reduzierung der Da- tenmenge kann also in Abhängigkeit von dem auf dem Dokument zur Verfügung stehenden Platz gewählt werden, wobei das Abbild weiterhin kognitiv vom Nutzer erfasst und mit dem Bild verglichen werden kann. Anschließend kann der Code des Abbildes aus dem Abbild erstellt werden, wobei der Code des Abbildes beispielsweise mit einem privaten Schlüssel des Nutzers verschlüsselt wird, wobei der zuge- hörige öffentliche Schlüssel von einer hoheitlichen Stelle beglaubigt/zertifiziert ist.

Durch den Vergleich des Abbildes mit dem Bild ist eine weitere optische Überprüfung des Dokumentes durch den Nutzer möglich, wobei diese Überprüfung auch ohne Verbindung zu einem Servercomputersystem erfolgen kann, da der Code des Abbildes auf das Dokument aufgebracht ist und vom Nutzercomputersystem erfasst werden kann.

Der Code des Abbildes kann mit der Signatur verbunden sein, insbesondere konkateniert, und zusammen als einzelner optisch lesbarer Code empfangen wer- den; im Folgenden bezeichnet„Code" wahlweise sowohl die Variante, bei der nur der Code des Abbildes enthalten ist, als auch die Variante, wo der Code des Abbildes und die Signatur enthalten sind. Somit ist nur ein Empfangsvorgang erforderlich, wodurch das Verfahren vereinfacht werden kann. Um die Sicherheit des Prüfmerkmals zu erhöhen, kann der Code des Abbildes auch zur Ermittlung des Prüfmerkmals verwendet werden.

Wird eine Überprüfungsanfrage an ein Servercomputersystem gesendet, kann die Überprüfungsanfrage zur Erhöhung der Sicherheit zumindest eine der folgenden Angaben enthalten:

- Zeitstempel der Anfrage, wobei der Zeitstempel insbesondere signiert ist, - Identität des Anfragesteilers,

- Signatur über Teile der Anfrage,

- Öffentlicher Schlüssel des Anfragesteliers. Die Signatur, die Identität und/oder der öffentliche Schlüssel können vom Servercomputersystem überprüft werden und nur bei erfolgreicher Überprüfung erfolgt ein Datenbankzugriff.

Die Freigabeinformation kann zumindest eine der folgenden Angaben enthalten:

- Zeitstempel des Antwortzeitpunktes, wobei der Zeitstempel insbesondere signiert ist,

- Elemente aus der Anfrage,

- Signatur über Teile der Anfrage.

Das Nutzcomputersystem kann den Zeitstempel, die Elemente und/oder die Signatur überprüfen. Bei erfolgreicher Überprüfung erfolgt eine Anzeige des empfangenen Signals. Bei nicht erfolgreicher Überprüfung wird eine Fehlermeldung auf dem Bildschirm des Nutzcomputersystems angezeigt.

Die Übermittlung weiterer Daten kann die Sicherheit des Überprüfungsverfahrens erhöhen. So kann durch Übermittlung von Zeitstempel der Zeitpunkt der Anfrage oder die Aktualität der Freigabeinformationen geprüft werden. Wird die Identität des Anfragesteilers übermittelt, kann geprüft werden, ob der Anfragesteller für eine sol- che Überprüfungsanfrage berechtigt ist, wodurch sichergestellt ist, dass die Freigabeinformation nicht an unberechtigte Nutzer übermittelt wird. Ebenso kann mit der Übermittlung einer Signatur oder eines Schlüssels sichergestellt werden, dass der Anfragesteiler für eine solche Überprüfungsanfrage berechtigt ist. Die dokumentenspezifischen Informationen können beispielsweise Freigabeinformationen und/oder Sperrinformationen sein. Dies ermöglicht eine einfache Prüfung des Dokumentes ohne dass zusätzliche Informationen, insbesondere nutzerspezifi- sehe Informationen, erforderlich sind. Insbesondere ist es nicht erforderlich, nutzerspezifische Informationen oder Daten auf dem Servercomputersystem zu speichern. Das Servercomputersystem benötigt lediglich das anonymisierte Prüfmerkmal sowie die dem Prüfmerkmal zugeordneten Sperr- oder Freigabeinformation. Da keine nirt- zerspezifischen Daten auf dem Servercomputersystem gespeichert sind, ist eine größtmögliche Anonymität des Nutzers gewährleistet.

Vor dem Aufbau der Verbindung kann eine Überprüfung des Dokumentes mit folgenden Schritten erfolgen:

- Empfang einer Signatur des Prüfmerkmals,

- Prüfung der Signatur,

- Erstellen eines Authentifizierungssignals durch das Nutzercomputersystem, wenn die Prüfung erfolgreich war,

- Anzeige des Authentifizierungssignals auf dem Bildschirm des Nutzer- com putersystems.

Somit kann bereits vor dem Aufbau der Verbindung mit dem Servercomputersystem die Integrität des Dokumentes überprüft werden, wobei auch bei diesem Verfahren durch das anonymisierte Prüfmerkmal eine Speicherung der personenspezifischen Daten nicht erforderlich ist. Zudem kann auch hier das Prüfmerkmal verwendet werden, so dass keine werteren Informationen oder Daten erforderlich sind.

Auf dem Dokument ist erfindungsgemäß ein fälschungssicheres Bild aufgebracht, wobei das Verfahren die folgenden Schritte aufweist:

- Empfang eines Codes, der aus einem Abbild des Bildes, das eine gegenüber dem Bild reduzierte Datenmenge hat, ermittelt wurde oder des Abbildes selbst durch das Nutzercomputersystem,

- Berechnen des Abbildes des Bildes aus dem Code, falls nicht das Abbild des Bildes selbst empfangen wurde,

- Vergleich des Abbildes mit dem Bild durch den Nutzer. Die Signatur und/oder der Code können auf das Dokument aufgebracht sein und durch das Nutzercomputersystem ausgelesen werden. Somit kann bereits eine erste Überprüfung des Dokumentes durch Prüfen der Signatur sowie Sichtprüfung des Abbildes und des Bildes erfolgen bevor eine Venbindung zum Servercomputersystem aufgebaut ist. Das Abbild kann ohne eine Verbindung zum Servercomputersystem angezeigt und mit dem Bild des Ausweises verglichen werden. Ebenso kann die Signatur ohne Venbindung zum Server empfangen werden und das Prüfmerkmal mit dem ausgelesenen Prüfmerkmal verglichen werden.

Sind die Signatur und/oder der Code in optisch erfassbarer Form auf das Dokument aufgebracht, können diese visuell, insbesondere auch kognitiv, von einem Nutzer erfassbar sein, insbesondere mit einem optischen Sensor maschinell erfassbar sein. Das Dokument selbst benötigt keine Schnittstelle zum Auslesen der Daten oder des Zufallswertes, so dass die Herstellung des Dokuments vereinfacht werden kann. Insbesondere ist es für das Verfahren nicht erforderlich, dass das Dokument einen Chip aufweisen muss.

Alternativ können die Signatur und/oder der Code auf einem Servercomputersystem gespeichert sein, wobei das Nutzercomputersystem eine gesicherte Verbindung zum Servercomputersystem herstellt und die Signatur und/oder der Code vom Nutzercomputersystem ausgelesen werden. In dieser Ausführungsform kann die Da- tenmenge, die auf das Dokument aufgebracht wird, reduziert werden.

Der Zufallswert kann hochentropisch sein und insbesondere eine Zeichenlänge von zumindest fünf Zeichen aufweisen, wobei die einzelnen Zeichen insbesondere den Wert einer Ziffer oder eines Buchstabens annehmen können. Beispielsweise kann der Zufallswert mit einer Binary Symmetrie Source erzeugt werden und eine maximale Entropie aufweisen. Bei der Herstellung des Dokuments können auf dem Servercomputersystem eine Signatur, Daten zur Bestimmung der Identität und/oder ein öffentlicher Schlüssel eines zum Senden einer Überprüfungsanfrage einer berechtigten Nutzers gespeichert werden.

Beispielsweise weist ein Dokument zur Durchführung eines solchen Verfahrens eine maschinenlesbare Zone (machine readable zone, MRZ) auf, in der die Dokumentendaten in optisch, und optional kognitiv, erfassbarer Form aufgebracht sind, so dass diese mit einer Schnittstelle, beispielsweise einem Lesegerät, erfasst werden können. Insbesondere können für den Zufallswert freie Stellen der maschinenlesbaren Zone genutzt werden. Die für den Schlüssel verwendeten Bereiche der Dokumentendaten können beispielsweise unmittelbar vor dem Zufallswert angeordnet sein, so dass diese Teile sowie der Zufallswert gemeinsam ausgelesen werden können.

Auf dem Dokument können des Weiteren eine Signatur eines Prüfmerkmals in maschinenlesbarer Form optisch aufgebracht sein, das aus den Dokumentendaten sowie einem Schlüssel, der aus dem Zufallswert und Teilen der personen- und/oder dokumentenspezrfischen Daten ermittelt wurde, gespeichert sein.

Erfindungsgemäß sind auf dem Dokument ein Bild und ein Code in maschinenlesbarer Form optisch aufgebracht, wobei der Code aus einem Abbild des Bildes und optional der Signatur des Prüfmerkmals ermittelt wurde, wobei das Abbild eine ge- genüber dem Bild reduzierte Datenmenge hat.

Der Code des Abbildes und die Signatur können gemeinsam in maschinenlesbarer Form optisch aufgebracht sein. Das Dokument kann des Weiteren einen Speicher aufweisen, in dem eine Signatur eines Prüfmerkmals gespeichert ist, das aus den personen- und/oder dokumenten- spezifischen Daten sowie einem Schlüssel, der aus dem Zufallswert und Teilen der personen- und/oder dokumentenspezifischen Daten ermittelt wurde, wobei das Dokument eine Schnittstelle zum Auslesen des Speichers aufweist.

Das Dokument kann dadurch sowohl optisch, gegebenenfalls sogar ohne Verbindung zu einem Servercomputersystem ausgelesen und überprüft werden. Ist ein Nutzercomputersystem mit einer entsprechenden Schnittstelle zum Auslesen des Dokumentes vorhanden, können die Daten auch über die Schnittstelle aus dem Speicher ausgelesen werden und eine entsprechende Überprüfung des Dokumentes mit den ausgelesenen Daten erfolgen.

Im Weiteren werden Ausführungsformen der Erfindung mit Bezugnahme auf die Zeichnungen näher erläutert. Es zeigen:

Figur 1 ein System zur Durchführung eines Verfahrens zur Authentifizierung eines Ausweis- oder Sicherheitsdokumentes,

Figur 2 eine Darstellung eines Verfahrens zur Authentifizierung eines Ausweis- oder Sicherheitsdokumentes, und Figur 3 eine Darstellung eines Verfahrens Verfahren zur Herstellung und/oder

Personalisierung eines Wert-, Ausweis- oder Sicherheitsdokuments.

In Figur 1 ist ein Computersystem 100 zur Authentifizierung eines Dokumentes 102, beispielsweise eines Ausweis- oder Sicherheitsdokument, gezeigt.

Das Dokument 102 ist einem Nutzer 106 und/oder einem Dienst bzw. einer Funktion zugeordnet. Auf der Oberfläche des Dokumentes 102 ist eine maschinenlesbare Zone (machine readable zone, MRZ) vorgesehen. In der maschinenlesbaren Zone sind personen- und/oder dokumentenspezifische Daten 104 aufgedruckt, aufgeprägt oder auf andere Weise aufgebracht, so dass diese mit einem Sensor, insbesondere mit einem optischen Sensor, erfasst werden können. Die personen- und/oder dokumentenspezifischen Daten 104 enthalten beispielsweise persönliche Daten des Nutzers 106 wie den Namen oder die Adresse des Nutzers 106. Alternativ oder ergänzend können die personen- und/oder dokumentenspezifischen Daten 104 auch Daten enthalten, die für die Nutzung eines Dienst oder einer Funktion erforderlich sind, beispielsweise Zugangsdaten.

Des Weiteren ist in der maschinenlesbaren Zone ein Zufallswert 105 aufgedruckt. Der Zufallswert 105 ist vorzugsweise hochentropisch und weist eine Zeichenlänge von zumindest fünf Zeichen auf, wobei die einzelnen Zeichen insbesondere den Wert einer Ziffer oder eines Buchstabens annehmen können.

Des Weiteren ist auf dem Ausweisdokument ein Bild 107 des Nutzers aufgebracht. Es können auch weitere Informationen oder Daten, die die Identifizierung des Nutzers ermöglichen, auf das Dokument 102 aufgebracht sein.

Des Weiteren sind eine Signatur 109 eines nachfolgend näher beschriebenen Prüfmerkmals 115 sowie ein Code 111 auf das Dokument 102 aufgebracht. In diesem Beispiel enthält der Code 111 folglich nicht ebenfalls die Signatur 109, sondern lediglich den Code des Abbildes 107.

Das Prüfmerkmal 115 wird aus den personen- und/oder dokumentenspezifischen Daten 104 sowie einem Schlüssel 113 ermittelt. Der Schlüssel 113 setzt sich zusammen aus dem Zufallswert 105 sowie bei der Erstellung und Registrierung des Dokumentes festgelegten Teilen 104a der personen- und/oder dokumentenspez ^' rfi- sehen Daten 104. Das Prüfmerkmal 115 wird aus dem Schlüssel 113 und den personen- und/oder dokumentenspezifischen Daten 104 berechnet. Die für den Schlüssel verwendeten Teile 104a der personen- und/oder dokumentenspezifischen Daten 104 können beispielsweise unmittelbar vor dem Zufallswert 105 angeordnet sein, so dass diese Teile 104a sowie der Zufallswert 105 gemeinsam ausgelesen werden können. Durch die Verwendung des Zufallswertes 105 ist eine Ermittlung der für das Prüfmerkmal 115 verwendeten personen- und/oder dokumentenspezifischen Daten 104 praktisch unmöglich, so dass aus dem Prüfmerkmal 115 keine Rückschlüsse auf die personen- und/oder dokumentenspezifischen Daten 104 und somit auf den Karten- inhaber geschlossen werden können.

Der Code 111 ist aus einem Abbild des Bildes 107 gebildet. Aus dem Bild 107 wurde ein Abbild erzeugt, dessen binäre Darstellung kleiner oder gleich der binären Darstellung des Bildes ist. Die Datenmenge ist beispielsweise durch Verringerung der Auflösung durch Skalierung, Verringerung des abgedeckten Farbraumes durch zusammenführen von Farben oder andere bekannte Reduktionsmethoden reduziert, so dass ein optisch lesbarer Code 111 des Abbildes erstellt werden kann. Die Reduzierung ist derart gewählt, dass das aus dem Code 111 erstellte Abbild weiterhin kognitiv vom Nutzer 106 erfasst und mit dem Bild 107 verglichen werden kann.

Die personen- und/oder dokumentenspezifischen Daten 104, der Zufallswert 105, die Signatur 109 und der Code 111 können mit einem optischen Sensor erfasst werden. Insbesondere können die personen- und/oder dokumentenspezifischen Daten 104 und der Zufallswert 105 von einer Person visuell erfasst werden. Bei- spielsweise sind die Informationen in Schriftform auf das Dokument aufgebracht, so dass sowohl eine kognitive Erfassung wie auch eine maschinelle Lesbarkeit bzw. eine Erfassung mit einem Sensor der personen- und/oder dokumentenspezifischen Daten 104 möglich ist. Die personen- und/oder dokumentenspezifischen Daten 104, der Zufallswert 105, die Signatur 109 und der Code 111 sind auf das Dokument 102 aufgedruckt.

Alternativ können die Informationen mit anderen bekannten Verfahren auf das Dokument aufgebracht sein. Das System 100 weist des Weiteren ein Nutzercomputersystem 108 sowie ein Servercomputersystem 110 auf, die jeweils über eine Schnittstelle 112, 114 verfügen, um über ein Kommunikationsnetzwerk 116 eine Verbindung 118 zwischen dem Nutzercomputersystem 108 und dem Servercomputersystem 110 aufzubauen.

Die Schnittstellen 112, 114 können beispielsweise für eine drahtlose Kommunikati- on mit dem Kommunikationsnetzwerk 116 ausgebildet sein. Es ist aber auch möglich, dass die Schnittstellen 112, 114 zur Anbindung des Nutzercomputersystems 108 bzw. des Servercomputersystem 110 an ein kabelgebundenes Kommunikationsnetzwerk ausgebildet sind. Das Kommunikationsnetzwerk kann beispielsweise ein Mobilfunknetzwerk sein, wie zum Beispiel einem GSM-, UMTS-, CDMA- oder einem LTE-Netzwerk. Alternativ sind auch wie kabelgebundene Internetnetzwerke, Wireless-LAN-Netzwerke oder Verbindungen über Bluetooth oder eine andere Schnittsteilen 112, 114 möglich. Über ein solches Kommunikationsnetzwerk kann beispielsweise eine Verbindung mit dem Internet hergestellt werden. Alternativ kann die Verbindung unmittelbar über ein WLAN-Netzwerk, eine Bluetooth-Verbindung oder eine andere Nahbereichsverbindung aufgebaut werden.

Vorzugsweise erfolgt eine Übertragung von Daten zwischen dem Nutzercomputer- system 108 und dem Servercomputersystem 110 über eine Ende-zu-Ende- Verschlüsselung. Für die Ende-zu-Ende-Verschlüsselung kann ein vorzugsweise flüchtiger (ephemerer) symmetrischer Schlüssel verwendet werden, der beispielsweise anlässlich der Ausführung eines kryptographischen Protokolls zwischen dem Nutzercomputersystem 108 und dem Servercomputersystem 110 vereinbart wird.

Das Nutzercomputersystem 108 hat eine Schnittstelle 120, hier ein optisches Lesegerät zur optischen Erfassung der personen- und/oder dokumentenspezifischen Daten 104, des Zufallswerts 105, der Signatur 109 und des Codes 111 auf dem Dokument 102. Beispielsweise ist das optische Lesegerät eine Kamera, die eine Auf- nähme der Informationen erstellen kann. Des Weiteren weist das Nutzercomputersystem 108 einen Prozessor 122 zum Ausführen von Programminstruktionen 124, 125, 126, 127, 128, 129 auf. Die Pro- gramminstruktionen 124 dienen zum Auslesen der personen- und/oder dokumen- tenspezifischen Daten 104, des Zufallswerts 105, der Signatur 109 und des Codes 111 auf dem Dokument 102. Die Programminstruktionen 125 dienen zum nachfolgend näher erläuterten Erstellen eines Prüfmerkmals. Die Programminstruktionen 126 dienen dem Prüfen der Signatur 109. Die Programminstruktionen 127 dienen dem Berechnen eines Abbildes aus dem Code 111. Die Programminstruktionen 128 dienen dem Erstellen und Senden einer Überprüfungsanfrage vom Nutzercompu- tersystem 108 an das Servercomputersystem 110. Die Programminstruktionen 129 dienen dem Empfang einer ersten oder eines zweiten Signals vom Servercomputersystem 110.

Das Nutzercomputersystem 108 kann durch jedes Computersystem gebildet sein, das eine Schnittstelle 112 sowie ein optisches Lesegerät, insbesondere einen optischen Sensor, aufweist. Das Nutzercomputersystem 108 ist beispielsweise ein mobiles Telekommunikationsendgerät.

Das Servercomputersystem 110 weist einen Speicher 135 sowie einen Prozessor 136 auf. Im Speicher 135 sind ein Prüfmerkmal 115 des Dokuments 102 sowie do- kumentenspezifische Informationen 117 gespeichert. Die dokumentenspezifischen Informationen 117 sind derart abgespeichert, dass eine eindeutige Zuordnung der dokumentenspezifischen Informationen 117 zum Prüfmerkmal 115 möglich ist. Die dokumentenspezifischen Informationen 117 können beispielsweise Sperrinformatio- nen, also Informationen über eine temporäre oder dauerhafte Ungültigkeit des Dokumentes 102, Freigabeinformationen, also Informationen über eine temporäre oder dauerhafte Gültigkeit, ein Güftigkeitszeitraum oder andere Informationen sein, die die Gültigkeit des Dokumentes bestimmen. Des Weiteren können weitere Informationen 119 gespeichert sein, die dem Prüfmerkmal 115 zugeordnet sind, beispielsweise eine Signatur oder Angaben zur Identität eines zur Überprüfung der Gültigkeit des Dokumentes berechtigten Nutzers. Des Weiteren sind im Speicher 135 Programminstruktionen 138, 140, 142, 144 gespeichert, die jeweils durch den Prozessor 136 ausgeführt werden können. Die Programminstruktionen 138 dienen dem Empfang einer Oberprüfungsanfrage vom Nut- zercomputersystem 108. Die Programminstruktionen 140 dienen zum Zugriff auf die im Speicher 135 gespeicherten Prüfmerkmale 115 bzw. auf die dem Prüfmerkmal 115 zugeordneten Informationen 117, 119. Die Programm Instruktionen 142 dienen der Überprüfung der einem Prüfmerkmal 115 zugeordneten Informationen 117, 119. Die Programminstruktionen 144 dienen dem Senden eines ersten oder eines zwei- ten Signals.

Die Authentifizierung des Dokuments 102 erfolgt mit dem in Figur 2 dargestellten Verfahren. In einem ersten Schritt werden die personen- und/oder dokumentenspezifischen Daten 104, der Zufallswert 105, die Signatur 109 und der Code 111 auf dem Dokument 102 mit dem Lesegerät des Nutzercomputersystems 108 erfasst. Beispielsweise wird durch das Lesegerät ein Bild des Dokumentes 102 erstellt. Durch Programminstruktionen 124 können die personen- und/oder dokumentenspezifischen Daten 104, der Zufallswert 105, die Signatur 109 und der Code 111 auf dem Bild des Dokuments 102 identifiziert werden. Durch den Informationen zugeordnete Identifikationsmerkmale kann beispielswiese das Auffinden bzw. identifizieren der personen- und/oder dokumentenspezifischen Daten 104, des Zufallswerts 105, der Signatur 109 und des Codes 111 erleichtert werden.

Nach dem Erfassen der personen- und/oder dokumentenspezifischen Daten 104, des Zufallswerts 105 wird durch die Programminstruktionen 125 aus diesen das Prüfmerkmal 115 berechnet. Aus dem Zufallswert 105 und den Teilen 104a der personen- und/oder dokumentenspezifischen Daten 104 wird ein Schlüssel 113 erstellt. Anschließend wird aus diesem Schlüssel 113 sowie den personen- und/oder dokumentenspezifischen Daten 104 mit einer vorzugsweise pseudozufälligen Falttürfunk- tion das Prüfmerkmal 115 berechnet. Da der Schlüssel 113 neben den personen- und/oder dokumentenspezifischen Daten 104 den Zufallswert 105 beinhaltet, ist eine RückVerfolgung der personen- und/oder dokumentenspezifischen Daten 104 aus dem Prüfmerkmal 115 praktisch unmöglich. Somit ist das Prüfmerkmal 115 anonymisiert, da es nicht möglich ist, aus dem Prüfmerkmal 115 Rückschlüsse auf den Inhaber des Dokumentes 102 oder die personen- und/oder dokumentenspezifischen Daten 104 zu ziehen.

In einem ersten Überprüfungsschritt wird durch die Programminstruktionen 126 die- ses Prüfmerkmal 115 mit der ebenfalls ausgelesenen Signatur 109 des Prüfmerk- mals 115 verifiziert. Ist diese Überprüfung erfolgreich, wird auf dem Bildschirm 146 des Nutzercomputersystems 108 eine Information über die erfolgreiche Überprüfung angezeigt. Dieser erste Überprüfungsschritt kann ohne eine Verbindung zu einem Netzwerk oder einem Servercomputersystem 110 erfolgen, so dass auch ohne eine solche Verbindung bereits eine erste Prüfung des Dokumentes 102 erfolgen kann.

Des Weiteren wird durch die Programm Instruktionen 127 aus dem Code 111 ein Abbild berechnet und auf dem Bildschirm 146 des Nutzercomputersystems angezeigt. Der Nutzer kann das Abbild zum einen mit dem auf dem Dokument 102 auf- gebrachten Bild 107 vergleichen, um das Dokument zu prüfen. Zum anderen kann das Abbild mit dem Inhaber des Dokumentes 102 verglichen werden. Auch dieser Überprüfungsschritt kann ohne eine Verbindung zu einem Netzwerk oder einem Servercomputersystem 110 erfolgen. Nachfolgend wird zur weiteren Überprüfung des Dokumentes 102 eine gesicherte Verbindung zwischen dem Nutzcomputersystem 108 und dem Servercomputersystem 110 aufgebaut, beispielsweise mit Ende-zu-Ende-Verschlüsselung, und eine Überprüfungsanfrage gesendet. Die Überprüfungsanfrage enthält das Prüfmerkmal 115 sowie weitere Informationen, die die Berechtigung des Nutzers zur Überprü- fungsanfrage nachweisen. Beispielsweise enthält die Überprüfungsanfrage Daten zur Identität des Nutzers, einem signierten Zeitstempel über den Zeitpunkt der Überprüfungsanfrage, eine Signatur über Teile der Anfrage oder einen öffentlichen Schlüssel des Nutzers. Diese Informationen können, wie nachfolgend erläutert wird, bei einer vorangegangenen Registrierung im Servercomputersystem 110 gespeichert werden. Nach Empfang der Überprüfungsanfrage und erfolgreicher Prüfung der Berechtigung zur Überprüfungsanfrage erfolgt ein Datenbankzugriff auf den Speicher 135 des Servercomputersystems 110, wobei zunächst geprüft wird, ob im Speicher 135 ein entsprechendes Prüfmerkmal 115 gespeichert ist und dokumentenspezifische Informationen 117 zu diesem Prüfmerkmal 115 gespeichert sind.

Sind dem Prüfmerkmal 115 keine dokumentenspezifische Informationen 117 zugeordnet oder ist kein entsprechendes Prüfmerkmal 115 gespeichert, wird ein erstes Signal erstellt, wobei das erste Signal die Ungültigkeit des Dokumentes 102 anzeigt. Dieses erste Signal wird an das Nutzercomputersystem 108 gesendet und nach dem Empfang auf dem Bildschirm 146 des Nutzcomputersystems 108 angezeigt.

Ist das Prüfmerkmal 115 gespeichert und sind dem Prüfmerkmal 115 dokumentenspezifische Informationen 117 zugeordnet, werden diese geprüft, ein zweites Signal erstellt, an das Nutzercomputersystem 108 gesendet und auf dem Bildschirm 146 angezeigt.

Das Prüfen der dokumentenspezifischen Informationen 117 kann lediglich die Prüfung der Art der dokumentenspezifischen Informationen 117 beinhalten. Es wird beispielsweise festgestellt, dass die dokumentenspezifischen Informationen 117 lediglich Sperrinformationen oder Freigabeinformationen sind, also lediglich die Information„gültig" oder„ungültig" enthalten. In diesem Fall kann das zweite Signal die dokumentenspezifischen Informationen 117 enthalten.

Alternativ kann eine ausführlichere Prüfung erfolgen, beispielsweise, wenn die dokumentenspezifische Informationen 117 einen Gültigkeitszeitraum enthalten. In diesem Fall kann geprüft werden, ob die Überprüfungsanfrage innerhalb dieses Zeitraumes erfolgt und abhängig von diesem Überprüfungsergebnis eine Information „gültig" oder„ungültig" erstellt werden. Das zweite Signal kann also die dokumen- tenspezrfische Informationen 117 oder ein Ergebnis einer Überprüfung der doku- mentenspezifischen Informationen 117 beinhalten. Werden die dokumentenspezifi- schen Informationen 117 übermittelt, kann auch eine Prüfung durch das Nutzer- Computersystem 108 oder den Nutzer erfolgen.

Optional können das erste oder das zweite Signal weitere Informationen beinhalten, beispielsweise einen signierten Zeitstempel, über den Zeitpunkt des Absendens der Überprüfungsinformation, über den das Nutzercomputersystem 108 die Aktualität der dokumentenspezifische Informationen 117 prüfen kann. Alternativ kann ein Zeitintervall für das Absenden der Überprüfungsanfrage und den Empfang der Signale festgelegt werden. Des Weiteren können Elemente der Überprüfungsanfrage gesendet werden, die mit der ursprünglichen Überprüfungsanfrage verglichen werden können oder eine Signatur über Teile der Überprüfungsanfrage, die eine Prüfung der Signale ermöglichen.

Ein Verfahren zur Herstellung bzw. zur Personalisierung eines Dokumentes 102 ist in Figur 3 erläutert. Nach dem Bereitstellen des Dokumentes 102 werden die personen- und/oder do- kumentenspezifischen Daten 104, der Zufallswert 105, das Bild 107, die Signatur 109 und der Code 111 ermittelt und auf das Dokument 102 aufgebracht. Beispielsweise werden die personen- und/oder dokumentenspezifischen Daten 104, der Zufallswerts 105, das Biid 107, die Signatur 109 und der Codes 111 auf das Dokument 102 aufgedruckt und/oder aufgeprägt.

Vorzugsweise werden die personen- und/oder dokumentenspezifischen Daten 104, der Zufallswert 105 und das Bild in einer Form aufgebracht, dass diese mit einem optischen Sensor sowie kognitiv durch den Nutzer erfasst werden können. Bei- spielsweise sind die personen- und/oder dokumentenspezifischen Daten 104 und der Zufallswert 105 in Klarschrift auf das Dokument 102 aufgebracht. Die Signatur ist beispielsweise in Form eines Barcodes oder in einer anderen optisch erfassba- ren Form aufgebracht, der Code 111 ist bereits in einer optisch erfassbaren Form und wird dementsprechend aufgebracht.

Aus dem Bild 107 wurde vorab ein Abbild erzeugt, dessen binäre Darstellung kleiner oder gleich der binären Darstellung des Bildes 107 ist. Die Datenmenge ist beispielsweise durch Verringerung der Auflösung durch Skalierung, Verringerung des abgedeckten Farbraumes durch zusammenführen von Farben oder andere bekannte Reduktionsmethoden reduziert, und aus diesem Abbild ein Code 111 des Abbildes erstellt. Die Reduzierung ist derart gewählt, dass das aus dem Code 111 erstell- te Abbild weiterhin kognitiv vom Nutzer 106 erfasst und mit dem Bild 107 verglichen werden kann.

Des Weiteren wurde vorab durch ein Identitätsservercomputersystem das Prüfmerkmal 115 aus den personen- und/oder dokumentenspezifischen Daten 104 und dem Zufallswert 105 berechnet, indem aus dem Zufallswert 105 und Teilen 104a der personen- und/oder dokumentenspezifischen Daten 104 ein Schlüssel 113 erstellt wurde und aus diesem Schlüssel 113 sowie den personen- und/oder dokumentenspezifischen Daten 104 mit einer vorzugsweise pseudozufälligen Falttürfunk- tion das Prüfmerkmal 115 berechnet wurde. Anschließend wurde dieses Prüfmerk- mal 115 signiert und die Signatur 109 erstellt.

Bei einem Identifikationsserversystem handelt es sich um ein Serversystem, auf dem die personen- und/oder dokumentenspezifischen Daten 104 gespeichert sind, oder welches auf solche zurückgreifen kann. Femer wird durch das ldentifikations- Serversystem der Zufallswert 105 festgelegt und ebenfalls gespeichert.

Anschließend wird eine gesicherte Venbindung zwischen dem Identitätsservercomputersystem und dem Servercomputersystem 110 aufgebaut, beispielsweise mit Ende-zu-Ende-Verschlüsselung, und das Prüfmerkmal sowie vom Identitätsserver- Computersystem erstellte dokumentenspezifische Informationen 117 an das Servercomputersystem übermittelt. Ein Nutzer 106 kann sich oder sein Nutzercomputersystem 108 registrieren, wobei entsprechende Daten, durch die die Identität des Nutzers und/oder des Nutzercomputersystems ermittelt werden kann, in das Identitätsservercomputersystem eingegeben und von diesem über die sichere Verbindung an das Servercomputersystem übermittelt werden können.

Das in Figur 1 beschriebene System ermöglicht eine Überprüfung des Dokumentes ohne dass Nutzerdaten übermittelt werden müssen. Somit ist eine größtmögliche Anonymisierung des Nutzers bei der Überprüfung des Dokumentes 102 sicherge- stellt. Im Servercomputersystem 110 müssen keine personen- und/oder dokumen- tenspezifischen Daten 104 gespeichert sein, sondern lediglich das anonymisierte Prüfmerkmal 115 sowie die dokumentenspezifischen Informationen.

In einer alternativen Ausführungsform können der Code 111 des Abbildes und/oder die Signatur 109 auch auf dem Servercomputersystem gespeichert sein. In dieser Ausführungsform wird zuerst die gesicherte Verbindung zwischen Nutzercomputersystem 108 und Servercomputersystem 110 aufgebaut und den Code 111 des Abbildesund/oder die Signatur 109 empfangen. Anschließend kann die Überprüfung der Signatur 109 bzw. des Prüfmerkmals 115 sowie die kognitive Überprüfung des Abbildes des Bildes 107 durch den Nutzer erfolgen.

Die personen- und/oder dokumentenspezifischen Daten 104, der Zufallswert 105, die Signatur 109 und der Code 111 des Abbildes können auch in einem Speicher des Dokumentes 102 gespeichert sein und über eine entsprechende Schnittstelle vom Nutzercomputersystem 108 ausgelesen werden. Das Dokument 102 kann in dieser Ausführungsform einen Chip zur Ausführung von Programminstruktionen aufweisen, um ein Nutzercomputersystem 108 gegenüber dem Dokument zu authentifizieren und ein Auslesen der Informationen aus dem Speichers zu ermögli- chen.