Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
PROCESS FOR GENERATING ELECTRONIC SIGNATURES AND USE OF A PSEUDO-RANDOM GENERATOR THEREFOR
Document Type and Number:
WIPO Patent Application WO/1996/010811
Kind Code:
A1
Abstract:
A process is disclosed for generating electronic signatures in a data carrier arrangement with at least a non-volatile memory and a pseudo-random generator. The non-volatile memory is subdivided into at least one value zone that works as a counter, a zone for counting carried out signature calculations and a zone for storing a secret signature code. The contents of said memory zones are used as input data by the pseudo-random generator to calculate a signature and the result of said calculation represents the electronic signature of the institution associated with the secret code for the contents of the value zone.

Inventors:
SCHRENK HARTMUT (DE)
Application Number:
PCT/DE1995/001326
Publication Date:
April 11, 1996
Filing Date:
September 25, 1995
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS AG (DE)
SCHRENK HARTMUT (DE)
International Classes:
G07F7/08; G07F7/10; (IPC1-7): G07F7/10; G07F7/08
Foreign References:
EP0320489A21989-06-14
DE4119924A11992-12-24
EP0409701A11991-01-23
EP0434551A11991-06-26
EP0299826A11989-01-18
GB2261538A1993-05-19
Download PDF:
Claims:
Patentansprüche
1. Verfahren zum Erzeugen elektronischer Signaturen in einer Datenträgeranordnung, die zumindest einen nichtflüchtigen Speicher und einen PseudoZufallsGenerator aufweist, wobei der nichtflüchtige Speicher in wenigstens einen als Zähler fungierenden Wertbereich, einen Bereich zum Zählen durchgeführter Signaturrechnungen und einen Bereich für einen geheimen Signaturcode unterteilt ist, und wobei die Inhalte dieser Speicherbereiche als Eingangsdaten für eine Signaturrechnung mittels des PseudoZufallsGenera tors verwendet werden und das Ergebnis dieser Rechnung die elektronische Signatur einer dem Geheimcode zugeordneten Institution für den Inhalt des Wertbereichs darstellt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der nichtflüchtige Speicher einen als Ladezähler fungierenden Bereich aufweist, dessen Inhalt ebenfalls als Eingangsdatum für eine Signaturrechnung mittels des PseudoZufallsGenera tors verwendet wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß der nichtflüchtige Speicher einen spezifische Daten der Datenträgeranordnung enthaltenden Bereich aufweist, dessen Inhalt ebenfalls als Eingangsdatum für eine Signaturrechnung mittels des PseudoZufallsGenerators verwendet wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der nichtflüchtige Speicher einen Bereich aufweist, in den bei jedem Aufladevorgang von einem Ladeterminal neue Daten einegeschrieben werden, die ebenfalls als Eingangsdaten für eine Signaturrechnung mittels des PseudoZufallsGenerators verwendet werden.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß von außen in die Datenträgeranordnung einzugebende Daten eines Terminals ebenfalls als Eingangsda turn für eine Signaturrechnung mittels des PseudoZufalls Generators verwendet wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Response einer Authentifikationsrech nung ebenfalls als Eingangsdatum für eine Signaturrechnung mittels des PseudoZufallsGenerators verwendet wird.
7. Verfahren nach einem der Ansprüche 1 bis 5, dadurch ge kennzeichnet, daß ein Freigabesignal als Ergebnis einer erfolgreichen Authentifikation zwischen der tragbaren Daten¬ trägeranordnung und einem Terminal ebenfalls als Eingangsda¬ tum für eine Signaturrechnung mittels des PseudoZufalls Generators verwendet wird.
8. Verwendung eines PseudoZufallsGenerators zur Erzeugung einer elektronischen Signatur in einer Datenträgeranordnung, die außer dem PseudoZufallsGenerator zumindest einen nicht flüchtigen Speicher aufweist, wobei der nichtflüchtige Speicher in wenigstens einen als Zähler fungierenden Wertbereich, einen Bereich zum Zählen durchgeführter Signaturrechnungen und einen Bereich für einen geheimen Signaturcode unterteilt ist, und wobei die Inhalte dieser Speicherbereiche als Eingangsdaten für eine Signaturrechnung mittels des PseudoZufallsGenera¬ tors verwendet werden und das Ergebnis dieser Rechnung die elektronische Signatur einer dem Geheimcode zugeordneten Institution für den Inhalt des Wertbereichs darstellt.
Description:
Verfahren zum Erzeugen elektronischer Signaturen und Verwen- düng eines Pseudo-Zufallsgenerators hierzu

Die Erfindung betrifft ein Verfahren zum Erzeugen elektroni¬ scher Signaturen insbesondere in einer tragbaren Datenträger¬ anordnung, die beispielsweise als Chipkarte ausgebildet sein kann, sowie die Verwendung eines Pseudo-Zufallsgenerators zur Erzeugung einer solchen elektronischen Signatur.

Als Chipkarten realisierte tragbare Datenträgeranordnungen finden einen vielfältigen Einsatz als elektronisches Zah- lungsmittel nach dem Prinzip einer elektronischen Geldbörse. Hierbei ist in einem nichtflüchtigen Speicher vom EEPROM-Typ ein vorausbezahlter Geldbetrag eingetragen. Das EEPROM ist dabei in vielen Fällen durch die interne Chiplogik so ge¬ schaltet, daß es als Wertzähler im Feld nur eine Herabsetzung des Zählerwertes erlaubt. Diese Herabsetzung erfolgt an den Ladekassen oder Verkaufsautomaten entsprechend dem Wert der gekauften Ware. Der Wertzähler der Geldbörse kann nur an speziellen Ladestationen durch Aufbuchung wieder erhöht werden, wobei der Inhaber der Karte den entsprechenden Gegen- wert leisten muß.

Geldwerte Umbuchvorgänge sind naturgemäß einem Manipulations¬ anreiz und damit einem Manipulationsrisiko unterworfen. Von einem Betrug können alle drei Partner betroffen sein, die an dem Zahlungssysten teilhaben: der Inhaber der Börse (Käufer), der Inhaber des Verkaufsterminals (Verkäufer) und der System¬ betreiber (Bank, Clearingstelle) .

Betrugsrisiken in elektronischen ZahlungsSystemen lassen sich mit modernen elektronischen Verfahren und leistungsfähigen Kartenchips stark herabsetzen. Die Echtheitsprüfung eines Börsenchips (Fälschung?, Simulation?, Kopie?) kann in einem

Verkaufsterminal mit den bekannten Challenge & Response- Verfahren überprüft werden. Dazu sendet der Prüfer (hier das Terminal) eine Zufallszahl an den Prüfling (hier die Karte) . Nur der echte Prüfling ist in der Lage, diese Challenge korrekt modifiziert als Response zurückzugeben. Um die rich¬ tige Response zu ermitteln, enthält die Karte als Beweismit¬ tel ein Geheimnis. Gegen Ausforschung aus einer Response ist dieses Geheimnis durch ein kryptologisch wirksames Rechenwerk geschützt.

Umgekehrt könnte natürlich auch der Inhaber des Verkaufster¬ minal sein Gerät in der Weise manipulieren, das es zu viel Geld aus der Geldbörse abbucht, oder daß es geänderte oder kopierte Datensätze zur Abrechnung bei der Clearingstelle einreicht. Damit ist auch eine Authentifikation des Terminals gefordert, wobei die Prüfung wie oben beschrieben mit ausge¬ tauschten Rollen erfolgt.

Elektronische Echtheits- oder Berechtigungsprüfungen nach dem Challenge & Response-Prinzip lassen sich heute sowohl mit den leistungsfähigen und flexiblen Mikroprozessorkarten als auch mit den kostengünstigeren Speicherkarten, in denen die Si¬ cherheitslogik fest verdrahtet ist, realisieren.

Ein Betrug könnte aber auch bei echten Karten in der Weise ablaufen, daß Geldbeträge nach der Echtheitsprüfung während ihrer Übertragung durch betrügerische Manipulation an den Übertragungsstrecken Börse-Verkaufsterminal; Verkaufstermi- nal-Clearingstelle; Börse- Ladestation (=Bank) verfälscht werden: der Verkäufer bucht in der Börse einen höheren Betrag als angegeben oder mehrere Beträge ab; der Verkäufer macht gegenüber der Clearingstelle einen erhöhten Betrag oder ein Duplikat geltend; der Käufer verringert am Verkaufsautomaten den abzubuchenden Betrag; der Käufer manipuliert bei der Aufbuchung den aufzubuchenden Betrag.

Mit Mikroprozessorkarten lassen sich auch die übertragenen Geldbeträge durch elektronische Signaturverfahren gegen unerlaubte Abänderung schützen. Speicherkarten, deren niedri¬ gere Herstellkosten vielfach erst die Installation derartiger Zahlungssyteme ermöglichen, konnten die für eine elektroni¬ sche Unterschrift erforderliche Rechenleistung bisher nicht bei vertretbarem Aufwand erbringen. In den installierten ZahlungsSystemen wurden elektronische Signaturen entweder nur mit Mikroprozessoren erzeugt, oder es wurde in lokalen Zah- lungssystemen auf eine Signatur verzichtet.

Die vorliegende Erfindung hat die Aufgabe, ein kostengünsti¬ ges und betrugssicheres Verfahren zum Erzeugen einer elektro¬ nischen Signatur anzugeben.

Die Aufgabe wird durch ein Verfahren gemäß dem Anspruch 1 und eine Verwendung ga äß dem Anspruch 8 gelöst. Vorteillhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.

Pseudo-Zufallsgeneratoren sind aus der Literatur seit länge¬ rem bekannt. Sie sind mit vergleichsweise geringem Aufwand mittels Schieberegistern herzustellen. Sie waren jedoch für die Durchführung der Sicherheitsprozeduren in Zahlungssyste- men nicht geeignet, da sie nicht ausreichend sicher gegen kryptologische Angriffe schützbar waren. Ein für solche Zwecke brauchbarer Pseudo-Zufallsgenerator ist jedoch in der EP 0 616429 AI beschrieben. Er wird in erfindungsgemäßer Weise zur Erzeugung einer elektronischen Signatur verwendet.

Durch den Signaturzähler wird gemäß der vorliegenden Erfin¬ dung verhindert, daß eine errechnete Signatur sich nochmals systematisch wiederholt und/oder über die Periodizität der ausgegebenen Pseudo-Zufallszahlen-Folge rekonstruiert werden kann. Vorliegende Erfindung beschreibt damit ein Verfahren, mit dem Pseudo-Zufallszahlen-Generatoren zur manipulierεiche- ren Erzeugung von Signaturen verwendet werden können. Der

Schaltungsaufwand ist dabei gering, so daß eine Realisierung auch mit sehr kostengünstigen Speicherkarten möglich ist.

Ein erfindungsgemäßes Verfahren wird als Ausführungsbeispiel anhand einer Speicherkarte mit Geldbörsenfunktion und Signa¬ turmöglichkeit für Transaktionen näher beschrieben. Die Geldwerte sind, wie auch in anderen Speicherkarten in EEPROM- Speicherzellen gespeichert, die funktioneil als Zähler behan¬ delt werden, der beispielsweise gemäß der EP 0321 727 B2 aufgebaut ist. Aus Gründen der Manipulationssicherheit ist dabei über die interne Logik der Wertzähler vorteilhaft nur in einer Richtung veränderbar, d.h. er kann nur herabgesetzt oder entwertet werden. Eine Abbuchung erfolgt wie üblich in der Weise, daß der Zählerstand entsprechend dem Wert der eingekauften Ware erniedrigt wird.

Bevor eine Abbuchung beginnt, wird erfindungsgemäß der alte Zählerstand zertifiziert, d.h. mit einer Signatur versehen. Zertifiziert wird mit einem Rechenlauf unter Verwendung des bereits erwähnten Pseudo-Zufallsgenerators. Für den Rechen¬ lauf werden wenigstens der aktuelle Stand des Wertzählers der Geldbörse, der Inhalt des erfindungsgemäßen Signaturzählers und ein im EEPROM gespeicherter, geheimer Code als Bank- Schlüssel eingegeben, mit dessen Kenntnis Geldwerte Operatio- nen durch die ausgebende Bank der Börsenkarte bestätigt werden. Hinzu können als Eingabe vorteilhaft auch Informatio¬ nen zur Identifikation der betreffenden Börse und des betei¬ ligten Verkaufsterminals mit zur Berechnung in das Rechenwerk eingegeben werden. Das können im einfachsten im Klartext lesbare Seriennummern sein. Alle genannten Größen beeinflus¬ sen die Pseudo-Zufallsfolge, die als Ergebnis des Rechenlau¬ fes generiert wird. Die Zufälligkeit erlaubt es nicht, aus der Signatur auf die Eingabedaten wie Zählerstände oder Schlüssel zurückzuschließen. Diese Signatur ist dem Stand des Wertzählers einer bestimmten Börse, einer bestimmten Transak¬ tion und einem bestimmten Terminal eindeutig zugeordnet.

Die Zufallsfolge der Signatur muß ausreichend lang sein, damit nicht unterschiedliche Zählerstände zufällig zur glei¬ chen Signatur führen. Eine Signatur von 16 Bit Länge sollte wenigstens verwendet werde. In diesem Falle gibt es über 64. 000 mögliche, unterschiedliche Signaturen. Es ist unwahr¬ scheinlich, daß ein Betrüger für manipulierte Zählerstände, zu denen die passende Signatur fehlt, durch Zufall nachträg¬ lich eine korrekte Signatur rekonstruiert. Die Signatur muß andererseits in ihrer Länge begrenzt sein, weil sehr lange Bitfolgen ein Rückrechnen der Eingabedaten erleichtern wür¬ den. Der geheime Chipcode repräsentiert in dieser Signatur die Zustimmung der Bank zum signierten Zählerstand. Der geheime Code ist vorteilhaft chipspezifisch, um im Falle der Korrumpierung eines Schlüssels nicht das System zu gefährden und außerdem eine genauere Zuordnung von Transaktionen si¬ cherzustellen. Der in einer Börse enthaltene Schlüssel kann bei der Bank im Rahmen des Clearings über die Chip-Identifi¬ kationsdaten eindeutig identifiziert werden.

In die Signatur werden vorteilhaft auch Identifikationsdaten des Chips und des Terminals als zusätzliche Eingabe in den Pseudo-Zufallsgenerator mit eingearbeitet. Nach Zertifizie¬ rung des alten Zählerstandes wird die Abbuchung vorgenommen, d. h. der Zählerstand geändert. Der geänderte Zählerstand wird ebenfalls mit einer Signatur versehen. Im Verkaufstermi- nal werden die eingenommenen Geldbeträge als Differenzen von Zählerständen aus den angefallenen Transaktionen mit ver¬ schiedenen Geldbörsen oder mit der gleichen Geldbörse gesam¬ melt und zur Abrechnung samt den dazugehörenden Signaturen und den Klartext-Identifikationsdaten von Börsenchip und Verkaufsterminal bei der Clearingstelle eingereicht.

Ein Sicherheitsmerkmal des Verfahrens ist , daß eine Signatur nicht systematisch wiederholt und damit den Zählerständen und Kartendaten immer eindeutig zugeordnet werden kann. Liegt kein Betrugsverdacht vor, so können die Einzelbeträge für jedes Verkaufsterminal ohne Beachtung der Signaturen addiert

und abgerechnet werden. Soll jedoch statistisch kontrolliert werden, ob auch manipulierte Geldbeträge im Spiel sind oder liegt ein bestimmter Betrugsverdacht vor, so läßt sich die Historie jeder Geldbörse durch Aneinanderreihung der Zähler- stände aus den Forderungen der verschiedenen Verkäufer rekon¬ struieren. Eine Manipulation von Geldbeträgen läßt sich eindeutig feststellen und dort lokalisieren, wo die in der Clearingstelle nachgerechneten Signaturen von Zählerständen nicht mit den von der Geldbörse gelieferten Signaturen über- einstimmen. Wenn eine Börse anonym von einer Bank erworben wurde, ist eine nachträgliche Zuordnung der Geldbeträge zu den Kaufgewohnheiten einer bestimmten Person nicht gegeben. Zeigt sich bei den Kontrollen, daß sich für die überprüften Zählerstände Überlappungen oder gar Verdoppelungen ergeben, so ist Betrug nachgewiesen.

Bei der Nachrechnung kann anhand der unstimmigen Signaturen beispielsweise klar rekonstruiert werden, ob der Verkäufer Geldbeträge in den Datensätzen, die er zur Abrechnung schickt, nachträglich unerlaubt geändert hat. Auch eventuelle Doppeleinreichungen sind an der übereinstimmenden Signatur erkennbar, die ja wegen des fortlaufend geänderten Standes des Signaturzählers nicht wiederholbar sein sollten. Die zur Abrechnung geltend gemachten Geldforderungen als Differenz zweier Stände des Wertzählers sind nur berechtigt, wenn die zugeordneten Signaturen aus unmittelbar aufeinanderfolgenden Rechnungen entstammen. Das ist daran erkennbar, daß die zur Signaturberechnung verwendeten Stände des Signaturzählers sich nur um eine Einheit unterscheiden dürfen. Der Verkäufer kann sich also nicht unerlaubt zusätzliche Geldbeträge als unerlaubte Differenzen-Kombination nicht zusammengehörender, aber korrekt signierter Zählerstände selbst konstruieren. Dem Verkäufer nützt es auch nichts, wenn er in betrügerischer Absicht alle an seinem Terminal getätigten Transaktionen heimlich aufzeichnet, um aus der Summe vieler Datensätze eventuell besser Rückschlüsse auf die Eingabedaten ziehen zu können. Ein eventueller Zusammenhang zwischen Signaturen ist

schwer erkennbar, da über das Signaturverfahren eine Signatur sich systematisch nicht wiederholen kann.

Sollte ein Verdacht auf einen Inhaber einer Börse fallen, der beispielsweise an einem nicht überwachten Verkaufsautomat die abzubuchenden Daten an der Übertragungsstrecke manipuliert, so ist der gefälschte Betrag nach Erkennung einer fehlerhaf¬ ten Signatur wegen der Anonymität nachträglich nicht mehr einzutreiben. Ist die Geldbörse jedoch wiederaufladbar, so kann spätestens im Rahmen der Aufbuchung über eine Sperrliste die verdächtige Karte erkannt und deaktiviert werden. Die Geldbörse kann natürlich auch persönlich sein, -das heißt auf den Namen einer bestimmten Person eingestellt sein. Die Berechtigung zur Benutzung der Börse kann in diesem Fall von der korrekten Eingabe eines PIN-Codes durch den Benutzer abhängig gemacht sein. In diesem Fall ist die Anonymität des Benutzers nicht mehr gegeben und ein eventueller Fehlbetrag nachträglich korrigierbar. Normalerweise ist jedoch davon auszugehen daß der Inhaber der Börse beim Abbuchen in einem Verkaufsterminal weniger Einfluß auf die gebuchten Beträge hat als der Verkäufer, der ja sein Terminal zu Lasten des Börseninhabers oder zu Lasten der Bank/Clearingstelle präpa¬ riert haben könnte und am einfachsten und mit dem größten Vorteil Einfluß auf die übertragenen Daten nehmen könnte.

Der Inhaber der Börse könnte natürlich auch im Rahmen der Wiederaufladung seiner Börse an einem Ladeautomat versuchen, den Aufbuchwert seiner Börse an der Übertragungsstrecke zu seinen Gunsten zu manipulieren. Die Manipulation kann jedoch bereits vom Ladeautomat erkannt werden, indem er sich während der Aufbuchung die Signatur der geänderten Zählerstände zur Überprüfung von der Karte ausgeben läßt. Hierzu ist es sinn¬ voll, bei fehlerhafter Signatur den aufgebuchten Betrag ungültig zu machen.

Erhält ein Betrüger Kenntnis vom Geheimnis einer gültigen Geldbörse, so könnte er Geldbörsen duplizieren, die alle eine

korrekt signierte Abbuchung zulassen würden. Er könnte auch signierte Datensätze ohne Geldbörse erzeugen, deren Unrecht¬ mäßigkeit von der Bank nicht automatisch zu erkennen wäre. Der geheime Bankcode in der Geldbörse ist jedoch durch das erfindungsgemäße Prinzip, das eine systematische Wiederholung einer Signatur ausschließt, geschützt. Der Schutz verhindert nicht nur die systematische Erprobung von Schlüsseln an einem Börsenchip, sondern begrenzt auch die Möglichkeiten, einen Börsenchip mit physikalischen Mitteln hinsichtlich seines Aufbaus oder des Geheimnisses mit Meßspitzen und dynamischen Analyseverfahren auszuspionieren. Die Anzahl der Schiebere¬ gisterzellen des Pseudo-Zufallsgenerators kann auch für gut gesicherte Signaturen vergleichsweise gering sein, der Pseu- do-Zufallsgenerator benötigt damit nur wenig Chipfläche, so daß er auch in kostengünstigen Speicherchips eingesetzt werden kann. Ein Schieberegister von 47 Zellen ermöglicht bereits eine Periodenlänge der ausgegebenen Bitfolgen von mehr als 10 Λ 14. Diese Zahl von unterschiedlichen Zuständen des Pseudo-Zufallsgenerators bietet auch einen ausreichend großen Schlüsselraum bei Schlüssellängen von 47 Bit zur

Trennung der individuellen Geheimnisse der einzelnen Geldbör¬ sen. Für sehr hohe Sicherheit gegen Schlüsselsimulation kann die Länge des Schieberegisters auf 64 Stufe vergrößert wer¬ den.

Das Ausforschen des geheimen Schlüssels durch Probieren ist durch die Begrenzung der Anzahl der Versuche durch den Zähl- umfang des Signaturzählers eingeschränkt. Gelöscht wird der Signaturzähler erfindungsgemäß erst, nachdem der Wertzähler geschrieben oder gelöscht worden ist. Eine nach dem Löschen berechnete Signatur fällt in jedem Falle unterschiedlich aus, weil sich der zu signierende Zählerstand geändert hat. Da stets entweder der Wertzähler oder der Signaturzähler zur Erzeugung einer Signatur geändert wird, ist sichergestellt, daß eine Signatur mißbräuchlich niemals systematisch wieder¬ holt werden kann. Der Zählumfang des Signaturzählers muß so bemessen sein, daß auch bei einem eventuellen Abbruch einer

O 9 1

9 Zertifizierung, bei der der Wertzähler nicht verändert wurde, eine ausreichende Wiederholmöglickeit ohne Veränderung des Wertzählers besteht. Ein Zählumfang von 16 Bit dürfte alle Eventualitäten abdecken.

Mit der bisher angegebenen Konfiguration des Signaturverfah¬ rens kann noch nicht völlig ausgeschlossen werden, daß nach der Wiederaufladung einer Geldbörse die früheren Zustände von Wertzähler und Signaturzähler sich noch einmal wiederholen und damit die gleiche Signatur später nochmals verwendet werden könnte. Jede Wiederaufladung läßt sich jedoch an die Bedingung knüpfen, daß vorher ein nichtflüchtiger Schreibvor¬ gang im Börsenchip stattgefunden haben muß. Werden die dabei veränderten EEPROM-Daten erfindungsgemäß bei der Berechnung einer Signatur als Eingabe in den Pseudo-Zufallsgenerator mit einbezogen, so fällt die Signatur nach der Wiederaufladung anders aus als alle früheren.

Der bei der Wiederaufladung der Börse veränderte EEPROM- Bereich kann selbst als nicht rücksetzbarer Zähler konfigu¬ riert sein. Dieser Zähler kann selbst entsprechend der EP 0321 727 Bl mehrstufig mittels relativ wenig EEPROM-Zellen und wenig Aufwand realisiert werden und verändert sich auto¬ matisch bei jeder Wiederaufladung. Es ist erfindungsgemäß, daß auch die Information dieses Ladezählers bei der Erzeugung einer Signatur mit in den Pseudo-Zufallsgenerator eingegeben wird.

Auch ohne Schreiben eines Ladezählers kann bei jeder Wieder- aufladung vom Bankenterminal eine Zufallszahl nichtfluchtig in einem nur durch die Bank veränderbaren EEPROM-Bereich eingeschrieben werden. Dieses Ladezertifikat kann erfindungs¬ gemäß als zusätzliche Information zur Berechnung einer Signa¬ tur in den Pseudo-Zufallsgenerator eingegeben werden und würde dann mit hoher Wahrscheinlichkeit verhindern, daß sich eine Signatur noch einmal wiederholt.

Das erf ndungsgemäße Signaturverfahren ist nicht zur Erken¬ nung gefälschter Systemkomponenten bestimmt und geht davon aus, daß die bei Transaktionen beteiligten Partner wie Geld¬ börse oder Verkaufsterminal echt und vor einer Signaturrech- nung mit den bekannten Challenge & Response-Verfahren sicher authentifiziert worden sind. Es soll vielmehr wie mehrfach erläutern eine Veränderung von Übertragungsdaten zwischen den Partnern erkennbar machen. Die Interessen und die Verantwor¬ tung der Bank werden dabei über den Bankschlüssel festgelegt. Die Bank hat ein Interesse daran, daß dieser Schlüssel weder dem Käufer noch dem Verkäufer bekannt sind. Bankschlüssel sollten daher im Terminal nicht hinterlegt sein. Es ist daher vorteilhaft, wenn für die gegenseitige Authentifikation von Geldbörse und Verkaufsterminal ein anderer Schlüssel verwen- det wird als für die Vorgänge, bei denen Geldwerte unter¬ zeichnet werden.

Da sowohl die Überprüfung von Abbuchungen einer Geldbörse als auch eine Aufbuchung bei der Wiederaufladung im Interesse der Bank sind ist es vorteilhaft, wenn zur Erzeugung der Signatu¬ ren und für Berechtigungsprüfungen zum Wiederaufladen der Geldbörse der gleiche geheime Schlüssel verwendet wird.

Um sicherzustellen, daß tatsächlich nur authentifizierte Partner bei der Erzeugung einer Signatur des Zählerstandes der Geldbörse beteiligt waren, ist es auch erfindungsgemäß, daß zur Berechnung der Signatur in der Karte Ergebnisdaten aus einer vorausgehenden Authentifikation als Nachweis für den korrekten Ablauf mit als Eingabe in den Pseudo-Zufallsge- nerator für die Berechnung der Signatur eingegeben werden und damit die Signatur beeinflussen. Das kann einmal eine vorher berechnete Response selbst oder Teile einer Response sein oder aber ein Freigabesignal, das nach einer gegenseitigen Authentifikation im Chip als Ergebnis eines positiven Ver- gleichs mit der im Terminal berechneten Response durch die interne Logik erzeugt und in einem internen Flag zwischenge¬ speichert wurde.

Dabei ist es von Vorteil, wenn über eine interne Freigabelo¬ gik eine Signatur im Börsenchip erst berechnet werden kann, nachdem ein solches Freigabesignal nach gegenseitiger Authen- tifikation von Börsenchip und Verkaufsterminal erzeugt worden ist.

Es sind mit den bereits genannten Quellenangaben heute auch Verfahren bekannt, wie mit Hilfe eines Pseudo-Zufallsgenera- tors auch die gegenseitigen Authentifikationsprüfungen von Geldbörse und Terminal durchführen lassen. Es ist daher vorteilhaft, wenn aus Kostengründen der gleiche Pseudo-Zu¬ fallsgenerator oder Komponenten des Pseudo-Zufallsgenerators gemeinsam für die Durchführung von Authentifikationsrechnun- gen und Signaturrechnungen eingesetzt werden.