Die Erfindung betrifft ein Verfahren zum beschleunigten kontaktlosen Auslesen eines elektronischen Identifikationsdokuments mittels eines Terminals.

Ein elektronisches Identifikationsdokument im Sinn der Erfindung umfasst zumindest einen Mikroprozessorchip, in dem Identifikationsdaten der Person, welcher das Identifikationsdokument zugeordnet ist, in mit einem Datenschlüssel verschlüsselter Form abgespeichert sind, und einen Schlüssel- Speicher, in dem der zur Verschlüsselung der Identifikationsdaten verwendete Schlüssel abgespeichert ist. Als elektronisches Identifikationsdokument kann insbesondere ein elektronischer Reisepass oder eine elektronische Identifikationskarte (z.B. elektronischer Personalausweis) vorgesehen sein. Elektronische Identifikationsdokumente werden z.B. an Grenzkontrollen oder anderen Kontrollstationen, wie sie z.B. an Flughäfen vorgesehen sind, zur Personenkontrolle durch Terminals (Schreib-/ Lesegeräte) massenhaft kontaktlos ausgelesen. Dabei werden die Identifikationsdaten aus dem Datenspeicher des Identifikationsdokuments kontaktlos an das Terminal über- tragen, an irgend einer Stelle mit dem Schlüssel entschlüsselt, und im Terminal überprüft.

Empfohlene Mechanismen zur gesicherten Kommunikation zwischen maschinenlesbaren Reisedokumenten, wie z.B. elektronischen Reisepässen, und entsprechenden Terminals sind in der Technischen Richtlinie TR-03110, Version V 2.05, des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschrieben (BSI Technical Guideline TR-03110 Version 2.05) (im Folgenden BSI TR-03110). Insbesondere sind in BSI TR-03110 Mechanismen zur Authen- tisierung zwischen dem Terminal und einem Mikroprozessorchip des Reise- dokuments beschrieben, sowie Mechanismen zur Vereinbarung und Ableitung gemeinsamer Sitzungsschlüssel zwischen dem Terminal und dem Mik- roprozessorchip des maschinenlesbaren Reisedokuments. Insbesondere ist in BSI TR-03110 in Kapitel 4 angeführt: in Kap. 4.2 das PACE Protokoll (PACE = Password Authenticated Connection Establishment), das die gegenseitige Authentisierung und (optional EC, EUiptic Curve) Diffie-Hellman Schlüssel- Vereinbarung zur Vereinbarung von Sitzungsschlüsseln zwischen dem Mikroprozessorchip und dem Terminal beschreibt; in Kap. 4.3 die Chip Authentisierung, mit Authentisierung des Mikroprozessorchip gegenüber dem Terminal und Vereinbarung von Sitzungsschlüsseln, aus denen Datenschlüssel ableitbar sind. Dabei wird durch sowohl den Mikroprozessorchip als auch das Terminal jeweils ein erster Sitzungsschlüssel KMAC erzeugt, der zur Authentisierung zwischen Chip und Terminal verwendet wird, und ein zweiter Sitzungsschlüssel KENC erzeugt, aus dem anschließend ein Transportschlüssel KSE abgeleitet wird, mit dem zwischen Chip und Terminal zu übertragende Daten verschlüsselt werden.

DE 10 2005 038 092 AI offenbart ein Verfahren zur maschinellen Prüfung von in einem Passbuch elektronisch gespeicherten Daten.

DE 100 37 176 C2 offenbart als elektronisches Identifikationsdokument eine Ausweiskarte mit einem optischen Speicher und einem integrierten Schaltkreis, wobei im optischen Speicher personalisierte Daten verschlüsselt abgespeichert sind, verschlüsselt mit einem kryptographischen Schlüssel, der in dem integrierten Schaltkreis der Ausweiskarte abgespeichert ist. Die Ausweiskarte soll durch ein externes Schreib-/ Lesegerät (Terminal) ausgelesen werden. Der integrierte Schaltkreis führt hierzu eine Authentifikationsprü- fung an dem Schreib-/ Lesegerät durch und gibt nach positiver Authentifika- tionsprüfung den Schlüssel zur Übermittlung an das Schreib-/ Lesegerät frei. Die im optischen Speicher verschlüsselt abgespeicherten personalisierten Daten werden an das Schreib-/ Lesegerät zur Entschlüsselung mit dem Schlüssel übermittelt.

Eine Personenkontrolle an Hand von elektronischen Identifikationsdoku- menten mit dem in DE 100 37 176 C2 beschriebenen Verfahren ist zeitauf- wändig, da zunächst eine Authentisierung des Terminals durchgeführt werden muss, dann der Schlüssel ausgelesen werden muss, und schließlich die Identifikationsdaten ausgelesen und entschlüsselt werden müssen. Das Auslesen von integrierten Schaltkreisen in elektronischen Identifikationsdokumenten erfolgt üblicherweise kontaktlos mit RFID-Technik (RFID: radio-frequency identif ication) im kurzreichweitigen Funkbereich, genauer im proximity coupling Bereich, der Reichweiten von bis zu maximal ca. 15 Zentimeter umfasst, bei einer Übertragungsfrequenz von meistens 13,56 MHz, entsprechend Reichweiten von ca. 7 bis ca. 15 Zentimetern. Die Kommunikation für Identifikationskarten im kurzreichweitigen proximity coupling Funkbereich ist in ISO/IEC 14443 standardisiert. Die kurze Reichweite gewährt Schutz vor Ausspähen der Daten, während sie gerade funkübertragen werden.

Speziell im Bereich der Logistik und Lagerhaltung mittels RFID-Etiketten wird Kontaktlos-Kommunikation im langreichweitigen Funkbereich verwendet, mit Betriebsfrequenzen im Bereich von einigen Gigahertz und Reichweiten von einigen Metern, typischerweise 3-6 Metern. Zur Kommuni- kation zwischen elektronischen Geräten werden langreichweitige Funkverbindungen im UHF-Bereich verwendet, mit Betriebsfrequenzen im Bereich einiger weniger GHz, und Reichweiten im Bereich von einigen zehn Metern bis einigen hundert Metern, z.B. WLAN (Wireless Local Area Network), mit z.B. 2,4 GHz oder 5 GHz Betriebsfrequenz, oder IrDA (Infrared Data Associ- ation). Die langen Reichweiten erleichtern ein Abfangen von übertragenen Daten während der Funkübertragung, weshalb langreichweitige Funkverbindungen für die Übertragung sicherheitskritischer Daten nachteilig sind. Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren zum beschleunigten kontaktlosen Auslesen eines elektronischen Identifikationsdokuments mittels eines Terminals zu schaffen, das schnell und zugleich sicher ist.

Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.

Bei dem Verfahren nach Anspruch 1 werden zunächst, im Datenleseschritt, die verschlüsselten Identifikationsdaten, die eine vergleichsweise große Da- tenmenge bilden, über eine langreichweitige Funkverbindung übertragen. Dies kann beispielsweise geschehen, während der Inhaber des Identifikationsdokuments in einer Warteschlange an einer Kontrollstelle steht, an der das Identifikationsdokument kontrolliert werden soll. Hierdurch kann die große Datenmenge der Identifikationsdaten während einer herkömmlicher- weise ungenutzten Zeitspanne, z.B. während des Wartens in der Warteschlange, ausgelesen werden. Die besonders sicherheitskritische Übertragung des Datenschlüssels, mit dem die verschlüsselten Identifikationsdaten entschlüsselt werden können, an das Terminal, erfolgt anschließend über eine kurzreichweitige Funkverbindung. Durch die geringe Reichweite der kurzreichweitigen Funkverbindung ist ein guter Schutz gegen missbräuchli- ches Ausspähen des Datenschlüssels, während er in der Luft ist, d.h. gerade funkübertragen ist, gewährleistet. In der Regel kann die Datenschlüssel- Übertragung erst erfolgen, nachdem der Inhaber das Identifikationsdokument bewusst an der Kontrollstelle vorgelegt hat. Daher ist gemäß Anspruch 1 ein Verfahren zum beschleunigten kontaktlosen Auslesen eines elektronischen Identifikationsdokuments mittels eines Terminals geschaffen, das schnell und zugleich sicher ist.

Der Schlüsselspeicher ist für einen Mikroprozessor (Chip) des Identifikationsdokuments zugänglich. Der Datenschlüssel ist beispielsweise ein symmetrischer Schlüssel, mit dem die Identifikationsdaten verschlüsselt worden sind.

Als Iangreichweitige Funkverbindung ist wahlweise eine Funkverbindung mit einer Reichweite aus dem Bereich von ungefähr 1 Meter bis ungefähr einigen hundert Metern vorgesehen und/ oder mit einer Betriebsfrequenz aus dem Bereich von ungefähr 0,3 GHz bis ungefähr 10 GHz, vorzugsweise ungefähr 2 GHz bis ungefähr 6 GHz, z.B. 2,4 GHz oder 5 GHz, z.B. UHF- RFID oder WLAN oder IrDA.

Als kurzreichweitige Funkverbindung ist wahlweise eine Funkverbindung mit einer Reichweite aus dem Bereich von ungefähr 1 Zentimeter bis unge- fähr 15 Zentimetern vorgesehen und/ oder mit einer Betriebsfrequenz aus dem Bereich von ungefähr 3 MHz bis ungefähr 20 GHz, vorzugsweise bei 13,56 GHz, z.B. gemäß ISO/IEC 14443.

Wahlweise werden im Datenleseschritt die Identifikationsdaten einfach aus- gelesen, ohne vorherige Authentisierung, und ohne vorherige Verschlüsselung der Identifikationsdaten. Da die Identifikationsdaten in verschlüsselter Form im Datenspeicher abgespeichert sind, kann ein Unberechtigter, der die Identifikationsdaten ausliest, sie nicht entschlüsseln. Das derartige einfache Auslesen bietet somit dennoch eine beschränkte Sicherheit. Optional ist gewünscht, dass ein Unbefugter auch die verschlüsselten Identifikationsdaten nicht auslesen kann oder sogar keinerlei Zugriffsmöglichkeit auf den Datenspeicher hat. Deshalb ist wahlweise für den Zugriff auf den Datenspeicher eine Authentisierung erforderlich, wie nachfolgend beschrieben ist. Der Datenspeicher muss hierfür Verbindung zu einem Mikroprozessor haben, wohingegen beim einfachen Auslesen ein Datenspeicher ohne Mikroprozessor- Anbindung ausreichend ist. Wahlweise ist der Datenspeicher für den Mikroprozessor zugänglich, z.B. falls Datenspeicher, Schlüsselspeicher und Mikroprozessor direkt im Identifikationsdokument integriert sind, insbesondere auf einem einzigen Chip integriert sind. Alternativ hat das Identifikationsdokument einen weiteren Mikroprozessor, und der Datenspeicher ist für diesen zugänglich. Beispiels- weise sind der Datenspeicher und der weitere Mikroprozessor in einem gesonderten Etikett oder Tag angeordnet, das an dem Identifikationsdokument angebracht ist, z.B. aufgeklebt ist.

Bei Ausführungsformen, wo der Datenspeicher für den Mikroprozessor, z.B. im Hauptdokument, oder den weiteren Mikroprozessor, z.B. in einem Tag oder Etikett, zugänglich ist, wird wahlweise im Datenleseschritt, bevor die Identifikationsdaten an das Terminal übermittelt werden, ein erster Authen- tisierungsvorgang durchgeführt, bei dem mindestens eine Authentisierung zwischen dem Mikroprozessor und dem Terminal oder dem weiteren Mik- roprozessor und dem Terminal durchgeführt wird. Wahlweise wird weiter ein Transportschlüssel zur Verschlüsselung der zu übermittelnden Identifikationsdaten berechnet, und werden die Identifikationsdaten mit dem Transportschlüssel verschlüsselt. Auf die Verschlüsselung der Identifikati- onsdaten mit einem Transportschlüssel kann optional verzichtet werden, da sie ohnehin verschlüsselt im Datenspeicher abgespeichert sind.

Wahlweise wird im Schlüsselleseschritt, bevor der Datenschlüssel an das Terminal übermittelt wird, ein - der Unterscheidbarkeit halber„zweiter" genannter - Authentisierungsvorgang durchgeführt, bei dem mindestens eine Authentisierung zwischen dem Mikroprozessorchip und dem Terminal durchgeführt wird. Vorzugsweise wird zudem ein Schlüssel- Transportschlüssel zur Verschlüsselung des zu übermittelnden Datenschlüs- sels berechnet, und der Datenschlüssel mit dem Schlüssel-Transportschlüssel verschlüsselt, bevor er an das Terminal übertragen wird. Wahlweise ist der Datenschlüssel unverschlüsselt im Schlüsselspeicher abgespeichert und sollte somit vor der Übermittlung an das Terminal verschlüsselt werden. Falls der Datenschlüssel in verschlüsselter Form im Schlüsselspeicher abgespeichert ist, kann wahlweise die zusätzliche Verschlüsselung mit dem Schlüssel- Transportschlüssel entfallen. Dann muss allerdings der Schlüssel zum Entschlüsseln des Datenschlüssels an das Terminal bekanntgegeben werden.

Der„zweite" Authentisierungsvorgang kann wahlweise der einzige Authen- tisierungsvorgang sein, in dem Fall, wenn der vorhergehende Datenlese- schritt ohne Authentisierung gegenüber dem Datenspeicher bzw. dem zugeordneten Mikroprozessor erfolgt.

Alternativ wird nur im Datenleseschritt eine Authentisierung durchgeführt, insbesondere Authentisierung des Terminals gegenüber dem Datenspeicher bzw. genau gesagt Authentisierung des Terminals gegenüber dem dem Datenspeicher zugeordneten Mikroprozessor, und im Schlüsselleseschritt keine Authentisierung durchgeführt. Diese Lösung ist denkbar, da der Schlüsselleseschritt über die kurzreichweitige Funkverbindung durchgeführt wird und somit nicht so leicht abgehorcht werden kann. Wahlweise wird hierbei im Datenleseschritt ein Transportschlüssel berechnet, der wahlweise nur zur Verschlüsselung der Identifikationsdaten für den Datenleseschritt, wahlweise nur zur Verschlüsselung des Datenschlüssels für den Schlüsselleseschritt, wahlweise sowohl zur Verschlüsselung der Identifikationsdaten als auch zur Verschlüsselung des Datenschlüssels verwendet wird, jeweils vor Übermittlung der jeweiligen Daten an das Terminal.

Alternativ werden insgesamt zwei Authentisierungsvorgänge durchgeführt, je einer im Datenleseschritt und einer im Schlüsselleseschritt. Wahlweise wird in jedem Authentisierungsvorgang ein eigener Transportschlüssel erzeugt, jeweils wie weiter oben beschrieben. Wahlweise wird ein im ersten Authentisierungsvorgang, beim Datenleseschritt erzeugter Transportschlüssel auch oder nur zur Verschlüsselung des Datenschlüssels im Schlüssellese- schritt verwendet.

Wahlweise werden während des ersten und/ oder zweiten Authentisie- rungsvorgangs ein oder mehrere Sitzungsschlüssel zwischen dem Mikroprozessor bzw. weiteren Mikroprozessor und dem Terminal vereinbart, und aus zumindest einem Sitzungsschlüssel der Transportschlüssel bzw. Schlüssel-Transportschlüssel abgeleitet.

Wahlweise wird im - ggf. jeweiligen - Authentisierungsvorgang eine gegenseitige oder einseitige Authentisierung und Diffie-Hellman Schlüsselverein- barung zwischen dem Mikroprozessor bzw. weiteren Mikroprozessor und dem Terminal durchgeführt, insbesondere gemäß PACE Protokoll Kap. 4.2 oder gemäß Chip Authentisierung Kap. 4.3 oder gemäß Terminal Authentisierung Kap. 4.4 der BSI TR-031 0. Ein erfindungsgemäßes Identifikationsdokument hat einen Mikroprozessor, einen Datenspeicher, in dem Identifikationsdaten in mit einem Datenschlüssel verschlüsselter oder zumindest entschlüsselbarer Form abgespeichert oder abspeicherbar sind, und einen für den Mikroprozessor zugänglichen Schlüsselspeicher, in dem der Datenschlüssel abgespeichert oder abspeicherbar ist, und ist gekennzeichnet durch eine langreichweitige Schnittstelle, über die eine langreichweitige Funkverbindung zwischen dem Datenspeicher und einem Terminal herstellbar ist, und eine kurzreichweitige Schnittstelle, über die eine kurzreichweitige Funkverbindung zwischen dem

Schlüsselspeicher und einem Terminal herstellbar ist, und dadurch, dass der Datenschlüssel oder der Schlüsselspeicher derart gesichert ist, dass eine Übertragung des Datenschlüssels oder sonstiger Daten aus dem Schlüsselspeicher an ein Terminal über die kurzreichweitige Funkverbindung möglich ist und über die langreichweitige Funkverbindung nicht möglich ist. Hierdurch wird ein unbemerktes Ausspähen des Datenschlüssels aus der Luftschnittstelle, also während der Datenschlüssel gerade funkübertragen wird, verhindert oder zumindest stark erschwert.

Der Datenspeicher ist wahlweise in das Identifikationsdokument fest inte- griert. Wahlweise sind der Datenspeicher, der Schlüsselspeicher und der Mikroprozessor auf einem einzigen Chip integriert, der mit der langreich- weitigen Schnittstelle und der kurzreichweitigen Schnittstelle gekoppelt o- der koppelbar ist. Wahlweise ist der Datenspeicher für den Mikroprozessor, der auch dem Schlüsselspeicher zugeordnet ist, zugänglich.

Wahlweise sind der Datenspeicher und die langreichweitige Schnittstelle in einem gesonderten, an einem Hauptkörper des Identifikationsdokuments angebrachten Etikett angeordnet. Das Etikett oder Tag kann ein reines Spei- cher-RFID-Etikett ohne Mikroprozessor sein. Alternativ weist das Etikett einen weiteren Mikroprozessor auf, wobei optional der Datenspeicher für den weiteren Mikroprozessor zugänglich ist. Das Etikett ist z.B. auf dem Hauptkörper aufgeklebt. Bei der Variante des Identifikationsdokuments mit einem separaten Etikett für den Datenspeicher und dem Schlüsselspeicher im Hauptdokument sind der Datenspeicher und die langreichweitige Schnittstelle baulich vom

Hauptdokument des Identifikationsdokuments getrennt. Somit ist der im Hauptdokument angeordnete Schlüsselspeicher baulich gegenüber der lang- reichweitigen Schnittstelle zugriffsgeschützt. Im Fall, dass Datenspeicher, Schlüsselspeicher und Mikroprozessor im Hauptdokument, wahlweise auf demselben Chip, vorgesehen sind, wird Zugriffsschutz auf den Schlüsselspeicher gegenüber der langreichweitigen Schnittstelle beispielsweise auf Softwareebene oder Protokollebene erreicht, durch geeignete Software oder geeignete Protokolle zum Zugreifen auf den Schlüsselspeicher und Datenspeicher.

Ein erfindungsgemäßes Terminal zum kontaktlosen Auslesen eines elektronischen Identifikationsdokuments zeichnet sich aus durch: eine langreich- weitige Terminal-Schnittstelle, über die, über die langreichweitige Schnittstelle des Identifikationsdokuments, eine langreichweitige Funkverbindung zu dem Datenspeicher des Identifikationsdokuments herstellbar ist; und eine kurzreichweitige Terminal-Schnittstelle, über die, über die kurzreichweitige Schnittstelle des Identifikationsdokuments, eine kurzreichweitige Funkver- bindung zu dem Schlüsselspeicher des Identifikationsdokuments herstellbar ist. Die kurzreichweitige Terminal-Schnittstelle hat exklusiven Zugriff auf den Schlüsselspeicher des Identifikationsdokuments, d.h. die langreichweitige Terminal-Schnittstelle kann nicht auf den Schlüsselspeicher zugreifen. Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen:

Fig. 1 ein Identifikationsdokument gemäß einer Ausführungsform der Er- findung, in schematischer Darstellung;

Fig. 2 einen Datenleseschritt gemäß einer Ausführungsform eines erfindungsgemäßen Verfahrens;

Fig. 3 einen Schlüsselleseschritt gemäß einer Ausführungsform eines erfindungsgemäßen Verfahrens;

Fig. 4 einen elektronischen Reisepass, gemäß einer Ausführungsform der Erfindung.

Fig. 1 zeigt ein Identifikationsdokument 10 (z.B. Personalausweis) gemäß einer Ausführungsform der Erfindung, in schematischer Darstellung. Das Identifikationsdokument 10 hat einen Mikroprozessor P, einen daran angebundenen Schlüsselspeicher 14 und einen ebenfalls angebundenen Datenspeicher 11. Im Datenspeicher 11 sind Identifikationsdaten ID in verschlüsselter Form abgespeichert. Die Identifikationsdaten ID sind mit einem symmetrischen Datenschlüssel KD verschlüsselt. Der Datenschlüssel KD ist in dem speziell gesicherten Schlüsselspeicher 14 unverschlüsselt abgespeichert. Das Identifikationsdokument 10 hat weiter eine langreichweitige Schnittstelle 12, über die eine langreichweitige Funkverbindung zu einem Terminal 20 herstellbar ist, und eine kurzreichweitige Schnittstelle 13, über die eine kurz- reichweitige Funkverbindung zu einem Terminal 20 herstellbar ist. Der Da- tenschlüssel KD ist derart gesichert, dass eine Übertragung des Datenschlüssels KD an das Terminal 20 über die kurzreichweitige Funkverbindung 13 möglich ist und über die langreichweitige Funkverbindung 12 nicht möglich ist. Über die kurzreichweitige Schnittstelle 13 ist also ein auslesender Zugriff auf den Schlüsselspeicher 14 möglich, über die langreichweitige Schnittstelle 12 hingegen nicht. An die langreichweitige Schnittstelle 12 ist dagegen der Datenspeicher 11 angebunden, in dem die verschlüsselten Identifikationsdaten ID abgespeichert sind. Im Beispiel aus Fig. 1 sind der Datenspeicher 11, der Schlüsselspeicher 14, die langreichweitige Schnittstelle 12 und die kurz- reichweitige Schnittstelle 13 an denselben und einzigen Mikroprozessor P des Identifikationsdokuments 10 angekoppelt. Die Zugriffssicherung auf den Schlüsselspeicher 14 gegenüber der langreichweitigen Funkschnittstelle 13 ist chipintern gelöst, z.B. auf Protokollebene oder Softwareebene. Fig. 2 zeigt einen Datenleseschritt gemäß einer Ausführungsform eines erfindungsgemäßen Verfahrens. Der Datenleseschritt umfasst einen über die langreichweitige Schnittstelle 12 durchgeführten Authentisierungsvorgang, in dem eine gegenseitige Authentisierung und Diffie-Hellman Schlüsselvereinbarung zwischen dem Mikroprozessor P in Bezug auf den Datenspeicher 11 und dem Terminal 20 durchgeführt wird, gemäß dem PACE Protokoll Kap. 4.2 der BSI TR-03110. Dabei werden zwei Sitzungsschlüssel KMAC, KENC berechnet. Anhand des Authentisierungs-Sitzungsschlüssels KMAC authentisieren sich der Mikroprozessor P und das Terminal 20 gegenseitig. Aus dem zweiten Sitzungsschlüssel KENC wird ein Transportschlüssel KT abgeleitet, mit dem im Mikroprozessor P die Identifikationsdaten ID aus dem Datenspeicher 11 verschlüsselt werden. Anlässlich einer erfolgreichen Terminal- Authentisierung wird das Terminal 20 als berechtigt angesehen. Optional kann die Verschlüsselung der Identifikationsdaten ID mit dem Transportschlüssel KT an dieser Stelle entfallen, da die Identifikationsdaten ID ohnehin mit dem Datenschlüssel KD verschlüsselt sind. Die ggf. mit KT verschlüsselten Identifikationsdaten ID werden vom Mikroprozessor 11 über die langreichweitige Schnittstelle 12 an das Terminal 20 übertragen und ggf. mit KT beim Terminal 20 entschlüsselt. Die entschlüsselten Identifikationsdaten ID sind immer noch mit dem Datenschlüssel KD verschlüsselt. Fig. 3 zeigt einen Schlüsselleseschritt gemäß einer Ausführungsform eines erfindungsgemäßen Verfahrens. Der Schlüsselleseschritt umfasst einen über die kurzreichweitige Schnittstelle 13 durchgeführten Authentisierungsvor- gang, in dem eine gegenseitige Authentisierung und Diffie-Hellman Schlüsselvereinbarung zwischen dem Mikroprozessor P und dem Terminal 20 durchgeführt wird, gemäß dem PACE Protokoll Kap. 4.2 der BSI TR-03110. Dabei werden zwei Sitzungsschlüssel KMAC-KD, KENC-KD berechnet. Anhand des Authentisierungs-Sitzungsschlüssels KMAC-KD authentisieren sich das Terminal 20 und der Mikroprozessor P in Bezug auf den Schlüsselspeicher 14 gegenseitig. Aus dem zweiten Sitzungsschlüssel KENC-KD wird ein zweiter Transportschlüssel KT-KD abgeleiten, mit dem durch den Mikroprozessor P oder unter Steuerung des Mikroprozessors P der Datenschlüssel KD aus dem Schlüsselspeicher 14 verschlüsselt wird. Der mit dem Trans- portschlüssel KT-KD verschlüsselte Datenschlüssel KD wird vom Mikroprozessor P über die kurzreichweitige Schnittstelle 12 an das Terminal 20 übertragen und beim Terminal 20 entschlüsselt.

Nun entschlüsselt das Terminal mit dem entschlüsselten Datenschlüssel KD die verschlüsselten Identifikationsdaten ID.

Fig. 4 zeigt, in schematischer Darstellung, einen elektronischen Reisepass, mit einer Datenseite 10 als Identifikationsdokument 10, gemäß einer Ausführungsform der Erfindung. Die Datenseite 10 hat einen Mikroprozessorchip P mit einem integrierten Schlüsselspeicher 14 und eine kurzreichweitige Kontaktlos-Schnittstelle (Funkschnittstelle) 13, über die nach erfolgreicher Authentisierung der im Schlüsselspeicher 14 abgespeicherte Datenschlüssel KD auslesbar ist. Auf eine Oberfläche der Datenseite 10 ist ein UHF-RFID-Etikett TG aufgeklebt, mit einer langreichweitigen Kontaktlos-Schnittstelle (Anten- ne) 13 und einem mit der langreichweitigen Kontaktlos-Schnittstelle (Antenne) 13 gekoppelten Datenspeicher 11, in dem verschlüsselte Identifikationsdaten ID abgespeichert sind, verschlüsselt mit dem im Schlüsselspeicher 14 abgespeicherten symmetrischen Datenschlüssel KD. Das UHF-RFID-Etikett TG hat im Beispiel aus Fig. 4 keinen Mikroprozessor und ist somit ein reines Speicheretikett. Alternativ kann das UHF-RFID-Etikett TG zusätzlich einen eigenen Mikroprozessor P-2 haben.