NOLTE MICHAEL (DE)
| WO2004003712A2 | 2004-01-08 |
| EP0531784A2 | 1993-03-17 | |||
| US6311165B1 | 2001-10-30 | |||
| US6546492B1 | 2003-04-08 |
| 1. | Verfahren zur Freischaltung von über Netzwerkfunktionen durchgeführte Aktualisierungen von Funktionen eines Moduls, insbesondere für Selbstbedienungsgeräte, wobei das Modul die folgenden Merkmale umfasst: einen Entschlüssler, einen Passworteingang für ein Passwort, vorzugsweise eine integrierte Tastatur, einen Nachrichteneingang für einen Freischaltsatz, wobei das Verfahren die folgenden Verfahrensschritte umfasst: der Freischaltsatz wird von einer Autorisierungsstelle erzeugt und mit einem Passwort, das von einem Passwortgenerator erzeugt wird, verschlüsselt und an den Nachrichteneingang des Moduls geschickt, das Passwort wird ein einer Bedienoberfläche der Autorisierungsstelle entnommen und über den Passworteingang an das Modul weitergeleitet, der Freischaltsatz wird im Modul mit dem eingegebenen Passwort entschlüsselt, das Ergebnis wird nach vorgegebenen Kriterien geprüft, und im positiven Fall wird die Freischaltung bewirkt. |
| 2. | Verfahren nach Anspruch 1 , wobei das Modul eine Zeiterfassung enthält und der Freischaltsatz ein Freischaltintervall enthält, welches bei der Prüfung berücksichtigt wird. |
| 3. | Verfahren nach Anspruch 1 oder 2, wobei die Zeit zwischen Eingang des Passworts und Prüfung des Freischaltsatzes durch ein vorgegebenes Zeitintervall beschränkt ist. |
| 4. | Verfahren nach einem der Ansprüche 1 bis 3, wobei das Modul einen geheimen Schlüssel und einen passenden Entschlüssler enthält und der Freischaltsatz mit dem geheimen Schlüssel vor der Prüfung entschlüsselt wird. |
| 5. | Verfahren nach dem vorigen Anspruch, wobei die Entschlüsslung mit dem Passwort entfällt. |
| 6. | Verfahren nach einem der Ansprüche 1 bis 3, wobei das Modul einen öffentlichen Schlüssel und einen passenden Signaturprüfer enthält, mit dem der Freischaltsatz vor der Entschlüsslung mit dem Passwort geprüft wird. |
| 7. | Verfahren nach einem der Ansprüche 1 bis 3, wobei das Modul unmittelbar mit einer Steuerung verbunden ist, die die Authentizität des Freigabesatzes in Bezug auf eine Authentisierungsstelle sichert. |
| 8. | Verfahren zur Erzeugung eines Freischaltsatzes für ein Modul nach einem der vorhergehenden Ansprüche, mit den Merkmalen: ein Passwortgenerator erzeugt ein Zufallspasswort, eine Bedienoberfläche erlaubt die Entnahme des Passworts, ein Verschlüssler verschlüsselt einen Freischaltsatz vorgegebener Redundanz mit dem Passwort, der Freischaltsatz wird an das Modul gesendet oder zum Abruf bereitgehalten. |
| 9. | Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass der Freischaltsatz eine Identitätsnummer des Moduls enthält. |
| 10. | Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass der Freischaltsatz alternativ oder zusätzlich mit einem weiteren Schlüssel verschlüsselt oder signiert wird. |
Die Erfindung betrifft ein Verfahren zur gesicherten Funktionsfreischaltung von Modulen, insbesondere für Selbstbedienungsgeräte. Bei Selbstbedienungsgeräten wie insbesondere Bankautomaten wird in immer größerem Umfang die Aktualisierung von wichtigen Funktionen und Daten automatisch über Netzwerkfunktionen durchgeführt. Dabei ist es erwünscht, dass unabhängig von einer technischen Sicherung der Übertragungswege oder Aktualisierungsprotokolle eine Freischaltung durch einen Techniker oder einen anderen Bediener erfolgt.
Unter einem Modul versteht man eine Sammlung von Routinen und Datenstrukturen, die eine bestimmte Aufgabe ausführen. Module bestehen in der Regel aus zwei Teilen: einer Schnittstelle und einer Implementation. Die Schnittstelle liefert alle Konstanten, Datentypen, Variabein und Routinen, die wiederum anderen Modulen oder Routinen zugänglich sind. Die Implementation stellt den privaten, d.h. nur dem Modul zugänglichen Teil dar und enthält den Quellcode, der die eigentlichen Routinen im Modul realisiert. Bei einem Modul gemäß der Erfindung kann es sich insbesondere um einen Schlüsselspeicher oder ein gesichertes PIN-Pad (EPP) handeln. Nach dem Stand der Technik wird in einem zu aktualisierenden Modul ein eindeutiges Passwort gespeichert, das der Bediener eingeben muss, damit der Aktualisierungsvorgang endgültig wirksam wird. Diese Lösung ist jedoch bekanntermaßen nur mit einem Sicherheitsverlust einsetzbar, insbesondere wenn z.B. für alle Moduln das gleiche Passwort verwendet wird. Ist das Passwort fest den Modulen zugeordnet und wird es aktuell aus einer Datenbank abgefragt, so kann es mehrfach verwendet werden und erfordert eine besondere Absicherung der Datenbank.
Aufgabe der Erfindung ist es daher, ein Verfahren für eine Funktionsfreischaltung für ein Modul anzugeben, die ähnlich einfach bedienbar ist wie ein Passwort, aber eine erhöhte Sicherheit bietet.
Die Lösung ist eine gesicherte Funktionsfreischaltung für ein Modul, wobei jeweils ein einmalig generiertes Passwort verwendet wird, das von dem Bediener von einer Autorisierungsstelle unabhängig, z.B. telefonisch, erfragt und in das Modul eingegeben wird. Die Autorisierungsstelle erstellt einen Freischaltsatz, der mit
dem Passwort verschlüsselt wird. Der Freischaltsatz wird an das Modul übertragen, dort geprüft und ausgewertet, woraufhin die Aktualisierungsfunktion für eine bestimmte Zeitspanne freigegeben wird.
Eine erste Ausführungsform der Erfindung benutzt folgenden Ablauf: 1. Der Bediener wendet sich unter Angabe des zu aktualisierenden Moduls, z.B. einer Seriennummer, telefonisch oder per gesicherter Web-Anwendung an eine Autorisierungsstelle.
2. In der Autorisierungsstelle wird über eine Computeranwendung ein Zufallspasswort PW erzeugt und an den Bediener zurückgegeben. Das Zufallspasswort PW ist als Schlüssel für ein symmetrisches Verschlüsslungsverfahren geeignet; ist es zu kurz, wird es entweder dupliziert oder mit festen Zeichen aufgefüllt.
3. Ferner wird in der Autorisierungszentrale ein Freischaltsatz erzeugt, der im wesentlichen aus der Seriennummer ID und einer Gültigkeitsdauer VALID besteht und mit dem Passwort PW verschlüsselt wird. Die Gültigkeitsdauer wird in der Regel als absolute Zeit für Beginn und Ende der Gültigkeit angegeben.
4. Der Freischaltsatz wird von der Autorisierungszentrale an das zu aktualisierende Modul übermittelt. Bevorzugt werden hierzu Web-Services verwendet, bei denen das Modul über eine standardisierte Schnittstelle mittels SOAP eine Anfrage an eine bekannte Netzadresse stellt und als Antwort den Freischaltsatz erhält. SOAP ist die Abkürzung für „Simple Object Access Protocol" und stellt eine Methode für verschiedene Anwendungen zur Verfügung, mit denen über das Internet plattformunabhängig in Kontakt getreten werden kann. Alternativ kann der Freischaltsatz auch von der Autorisierungszentrale an das Modul geschickt werden, entweder gleichfalls über Web-Services, Software- Verteilungseinrichtungen.
5. Das Modul, das für eine Aktualisierung freigeschaltet werden soll, verwendet das vom Bediener eingegebene Passwort PW zur Entschlüsslung des Freischaltsatzes und prüft die übermittelte Seriennummer auf Gleichheit mit der eigenen Seriennummer sowie die Gültigkeitsdauer auf Plausiblität. Zutreffendenfalls wird die Aktualisierungsfunktion bis zum Ende der Gültigkeitsdauer freigeschaltet. Bevorzugt wird im Modul auch für das vom Bediener eingegebene Passwort eine Gültigkeitsdauer intern vermerkt, beispielsweise von minus zwei Minuten bis plus fünf Minuten, innerhalb derer der
Freischaltsatz eingetroffen sein muß. Eine negative Zeitangabe ist zweckmäßig, da der Freischaltsatz schneller eintreffen kann, als der Bediener das Passwort eingegeben hat, wenn die Übermittlung von der Autorisierungszentrale initiiert wird. In Fig. 1 ist das Verfahren gemäß der Erfindung dargestellt. Ein Bediener B sendet die Identifikation ID an die Autorisierungszentrale A. Dort wird mit einem Zufallszahlengenerator RND ein neues Zufallspasswort PW erzeugt, dass einerseits dem Bediener B zur Verfügung gestellt wird und andererseits dazu verwendet wird, einen Datensatz, dargestellt als <ID,VALID> P w, zu verschlüsseln. VALID bezeichnet hierbei die Gültigkeitsdauer. Dieser Datensatz wird an das freizuschaltende Modul M gesendet. Parallel dazu gibt der Bediener das Einmal- Passwort PW in das Modul ein. Damit entschlüsselt das Modul M den Datensatz <ID,VALID>pw und prüft, durch Fragezeichen symbolisiert, sowohl die ID als auch die Gültigkeitsangaben VALID. Die Sicherheit der Lösung wird zum einen dadurch erreicht, daß der Kommunikationsweg vom Bediener zur Autorisierungsstelle nicht mit der Übermittlung von der Autorisierungsstelle zum Modul korreliert ist und daher ein erfolgreicher Angriff quasi gleichzeitig zwei Kommunikationswege angreifen muss. Hierbei sind Gültigkeitsdauern zweckmäßig, um das Zeitfenster klein zu halten.
Zum zweiten wird die Sicherheit dadurch erreicht, daß das Modul Freigabesätze nur von bestimmten, d.h. authentischen Quellen annimmt. Je nach Grad der erwünschten Sicherheit wird dies bereits dadurch erreicht, daß das Modul den Freischaltsatz von einer bekannten Netzadresse abruft. Ob die damit erreichte Sicherheit als ausreichend angesehen wird, ist keine technische Frage mehr.
Die Authentizität des Freischaltsatzes kann zusätzlich durch kryptographische Mittel gesichert werden.
In einer ersten Variante enthält das freizuschaltende Modul einen Schlüsselspeicher für einen geheimen Schlüssel eines symmetrischen Verschlüsslungsverfahrens. Die Verteilung solcher Schlüssel ist ein bekanntes Problem, für das verschiedene Lösungen allgemein bekannt sind und ggf. für den jeweiligen Fall zugeschnitten oder entwickelt werden. Im einfachsten Fall wird der Schlüssel vom Hersteller eingeschrieben und ist unveränderlich. In diesem Fall wird der Freischaltsatz entweder nochmals, hier mit dem geheimen Schlüssel des Moduls, verschlüsselt und im Modul doppelt entschlüsselt, d.h sowohl mit dem
geheimen gespeicherten Schlüssel als auch mit dem Passwort. In diesem Fall ist aber die Verschlüsslung mit dem Passwort entbehrlich; das Passwort kann im Klartext in den Freischaltsatz zusammen mit Seriennummer und Gültigkeitsangaben aufgenommen werden. In einer zweiten, bevorzugten Variante umfaßt das Modul einen Entschlüssler für asymmetrische Kryptographie und einen Speicher für einen privaten Schlüssel. Der Freischaltsatz wird verschlüsselt, indem der zu dem privaten Schlüssel gehörige, üblicherweise als öffentlich bezeichnete Schlüssel verwendet wird. Damit ist sichergestellt, daß auf dem Weg zum Modul das Passwort nicht entziffert werden kann. Wie in der vorigen Variante wird eine Authentizität dadurch erreicht, daß nur derjenige, der den "öffentlichen" Schlüssel kennt, den Datensatz verschlüsseln kann. Wird der "öffentliche" Schlüssel wie ein geheimer Schlüssel bei symmetrischer Verschlüsslung vertraulich gehalten, dann ist so auch die Authentizität des Passworts in gleichem Maße gesichert. Auch kann das Modul einen öffentlichen Schlüssel der Autorisierungsstelle enthalten und der Freischaltsatz von der Autorisierungsstelle mit dem zugehörigen privaten Schlüssel signiert werden. In diesem Fall wird der Datensatz aus Seriennummer und Gültigkeitsangaben mit dem Passwort verschlüsselt; die Verschlüsslung mit dem öffentlichen Schlüssel des Moduls ist nicht notwendig. Ob der Aufwand zur Verteilung des öffentlichen Schlüssels der Autorisierungsstelle gerechtfertigt ist, ist wiederum nur im Rahmen von Sicherheitsrichtlinien zu entscheiden und keine technische Frage.
Vielfach hat das Modul eine recht einfache Schnittstelle und ist ausschließlich mit einer Steuerung, beispielsweise in einem Geldautomaten oder einem Selbstbedienungsgerät, verbunden. In diesem Fall ist es durchaus sinnvoll, die Authentizität des Freischaltsatzes durch die Steuerung und insbesondere dort implementierte kryptographische Verfahren zu sichern, insbesondere durch eine Verbindung mit dem HTTPS Protokoll oder durch die Anwendung der in dem Standard für Sicherheit von SOAP Nachrichten beschriebenen Maßnahmen. Dem Modul wird dann der so außerhalb authentisierte Freischaltsatz übermittelt. In diesem Fall sollte allerdings der Freischaltsatz immer mit dem Passwort verschlüsselt sein, selbst wenn die restliche Verbindung zur Autorisierungszentrale ohnehin verschlüsselt ist. Der Vorteil dieser Lösung liegt darin, daß die Schlüsselverteilung einfacher sein kann.