Bereitstellung von Authentisierungsinformationen

Die vorliegende Erfindung betrifft eine Vorrichtung und ein Verfahren zu sicheren

Aufbewahrung, Verwaltung und Bereitstellung von Authentisierungsinformationen, wobei die Vorrichtung aus mindestens einer Hardware-Komponente besteht und eine

Einrichtung zur Verarbeitung und Speicherung von Daten sowie eine

Verbindungsanordnung zur Kommunikation mit einem Computer oder anderen elektronischen Geräten umfasst.

Die vermehrte Präsenz von Internet und elektronischen Geräten im täglichen Leben führt dazu, dass man eine Vielzahl von Passwörtern, Benutzernamen, Kontonummern und andere vertrauliche Informationen verwalten und im Gedächtnis behalten muss. Hinzu kommt, dass die unterschiedlichen elektronischen Geräte und die verschiedenen Provider meist auch unterschiedliche Anforderungen und Regeln für den Gebrauch von Passwörtern, Benutzernamen etc. haben, wobei aus Sicherheitsgründen grundsätzlich vermieden werden sollte, Passwörter mehrfach oder einfache, einem Muster folgende oder Eselsbrücken aufweisende Passwörter zu verwenden. Darüber hinaus werden die Methoden, fremde Daten abzugreifen, immer subtiler und gefährlicher, so dass ein dringender Bedarf besteht, die eigenen Authentisierungsdaten besser und zugleich einfacher zu sichern.

Es sind zahlreiche Systeme zum Verwalten und Schützen von Authentisierungsdaten bekannt, wobei es sich meist um Software Lösungen handelt, die eine Software

Installation auf jedem einzelnen Gerät eines Benutzers voraussetzen und beispielsweise nicht für BOOT/HD-PW/Harddisk-Verschlüsselungsschutz einsetzbar sind. Reine

Hardware Lösungen gibt es relativ wenig und sie haben alle den Nachteil, dass sie nur eine sehr beschränkte Funktionalität und Sicherheit sowie meist einen sehr spezifischen Einsatzzweck besitzen.

Die US 2013/0314208 A1 beschreibt eine einen biometrischen Sensor umfassende Vorrichtung zur Authentifizierung, wobei eine tragbare Speichereinrichtung zum elektronischen Speichern von vertraulichen Daten als Schlüssel genutzt wird, um diese Daten an eine andere Vorrichtung weiterzugeben. Aruna.D.Mane et al. beschreiben in„Locker Security System Using RFID And GSM Technology" Mai 2013; International Journal of Advanced in Engineering & Technology (IJAET); Vol. 6, Issue 2, pp. 973-980; ISSN: 2231 -1963 ein Schließfach

Sicherheitssystem, wobei RFID und GSM Technologien verwendet werden. Das System ist insbesondere für Banken vorgesehen und verhindert, dass nichtauthentifizierte Personen Zugang zum Schließfach oder Tresor haben.

In der US 2005/0061879 A1 wird ein Zugangsauthentisierungssystem beschrieben, das eine Vorrichtung zur Datenverarbeitung, ein Speichermedium und ein RFID TAG umfasst. Die eingegebenen Authentisierungsdaten und die Schlüsseldaten werden auf das RFID TAG übertragen und dann mit einem dort gespeicherten zweiten Datensatz verglichen. Bei Übereinstimmung werden vom System die

Zugangsauthentisierungsdaten generiert.

Die CN 203166952 U und die CN 203180939 U beschreiben Eingabevorrichtungen für Passwörter im Zusammenhang mit dem Zugang zum online Banking.

Die bekannten Systeme haben den Mangel, dass sie zwar einige der vom Benutzer für eine sichere und einfache Authentifizierung gewünschten Eigenschaften und Funktionen aufweisen, wobei ihre Funktionalität im Einzelfall jedoch insgesamt viele Wünsche offen lässt, da die vorhandenen Systeme meist stark spezialisiert sind und es sich oft um Insellösungen handelt, die auf lediglich ein Problem und dessen Lösung gerichtet sind.

Somit besteht die Aufgabe der vorliegenden Erfindung darin, eine einzelne Vorrichtung und ein entsprechendes Verfahren zur Verfügung zu stellen, welche möglichst viele bzw. nach Möglichkeit alle der vom jeweiligen Benutzer benötigten

Authentisierungsmaßnahmen unterstützt. Ziel der Erfindung ist somit eine gebündelte und offene Lösung, wobei ein Großteil der Authentisierungsaufgaben mit einem identischen Sicherheitsstandard und dem gleichen Verfahren erledigt werden. Zu den dafür notwendigen Eigenschaften und Aufgaben gehören insbesondere die Möglichkeit zur Emulation einer Tastatur, die Möglichkeit an verschiedene unterschiedliche Geräte angeschlossen zu werden, die Nutzungsmöglichkeit auch schon vor dem Start des Betriebssystems, der Schutz des Login Passwortes, die Möglichkeit zur Speicherung, Verwaltung und Nutzung von vielen bis nahezu unbegrenzt vielen ID-Datensätzen, die Auswahlmöglichkeit eines Datensatzes z.B. über ein Display, Variations- und

Kombinationsmöglichkeiten beim Einsatz des Systems, wie z.B. User-ID + Passwort, nur Passwort, mit oder ohne TAB oder CR/LF, die Startmöglichkeit eines Programms oder einer Website vor der Identifizierung und Authentisierung, unbegrenzte

Mehrbenutzermöglichkeit ohne„Teilung" des persönlichen Passwortes und eine alternative oder zusätzliche automatische Eingabemöglichkeit von TANs. Gelöst wird die Aufgabe durch eine Vorrichtung und ein Verfahren zur sicheren

Aufbewahrung, Verwaltung, Erstellung und Bereitstellung von

Authentisierungsinformationen, wobei die Vorrichtung eine Verbindungsanordnung zur Kommunikation mit einem Computer oder anderen elektronischen Geräten, eine Einrichtung zur Verarbeitung und Speicherung von Daten und eine zusätzliche

Einrichtung für die lokale Authentisierung des Benutzers gegenüber der

erfindungsgemäßen Vorrichtung sowie die Bereitstellung von

Entschlüsselungsinformationen umfasst. Bei der zusätzlichen Einrichtung handelt es sich vorzugsweise um eine separate Einrichtung, wobei die erfindungsgemäße

Vorrichtung vorzugsweise nur dann einsatzbereit ist, wenn die zusätzliche separate Einrichtung in Kontakt mit der Vorrichtung ist oder sich in der Nähe der Vorrichtung befindet. Die erfindungsgemäße Vorrichtung ist dafür eingerichtet, Daten als

Zeichenkette an das angeschlossene elektronische Gerät oder den Computer zu übermitteln, wobei die Daten so übermittelt werden, dass sie den manuellen Eingaben eines Benutzers über ein Human Interface Device (HID) entsprechen, um zu erreichen, dass die Ziel-Authentisierungsinstanz keine oder nur marginale Anpassung an die erfindungsgemäße Vorrichtung braucht. Dies kann beispielsweise durch die Emulation einer Tastatur erfolgen. Die separate zusätzliche Einrichtung umfasst vorteilhaft eine NFC-Technologie und die Kommunikation mit der separaten zusätzlichen Einrichtung basiert vorzugsweise, aber nicht ausschließlich, auf der RFID-Technologie. Dabei kann die separate zusätzliche Einrichtung ein Smartphone, eine Smartwatch oder ein anderes, eine RFID-Technologie umfassendes Gerät oder auch ein elektronischer

Personalausweis sein. Die Authentisierungsinformationen werden an lokale oder indirekt abgesetzte Authentisierungsinstanzen nach deren Anforderungen übertragen.

Bei dem Verfahren selber unterscheidet man zwischen der sogenannten Ziel- Authentisierung, bei dem der Benutzer gegenüber dem Ziel, z.B. einem Computer, einem Betriebssystem oder einer Applikation, den Beweis der Authentizität führt. Dieser Vorgang wird stellvertretend für den Benutzer von der erfindungsgemäßen Vorrichtung durchgeführt. Um sicherzustellen, dass nur der Berechtigte diesen Vorgang auslösen kann, ist eine weitere lokale Authentisierung vorgeschaltet, mit deren Hilfe der Benutzer seine Authentizität gegenüber der erfindungsgemäßen Vorrichtung nachweist. Dies erfolgt beispielsweise mit Hilfe eines elektronischen Ausweises und/oder der Eingabe einer PIN. Dieser Vorgang kann zusätzlich durch die Prüfung biometrischer Merkmale komplettiert oder ersetzt werden. Die Authentisierungsdaten umfassen u.a. Benutzernamen, Passworte,

Transaktionsnummern, Einmalpassworte, Zertifikate, Authentisierungs-Token und/oder digitale Schlüssel. Die Verbindungsanordnung zur Kommunikation mit einem Computer oder anderen elektronischen Geräten ist dabei vorteilhaft so gestaltet, dass eine

Eingabe von Hand auch dann entfallen kann, wenn z.B. der Computer noch kein

Betriebssystem geladen hat, wobei die Verbindungsanordnung eine PS/2-Schnittstelle, eine USB-Schnittstelle, eine serielle Schnittstelle, ein Kabel oder eine Bluetooth- oder eine sonstige kabellose Schnittstelle ist.

Die Einrichtung zur Verarbeitung und Speicherung von Daten ist vorzugsweise ein Mikrocontroller und umfasst bei einer bevorzugten Ausgestaltung ein Tastenfeld sowie mindestens eine Einrichtung zur Statusanzeige, die wiederum vorteilhaft LEDs und/oder ein Textfeld bzw. ein graphisches Display umfasst. Darüber hinaus umfasst die

Einrichtung zur Verarbeitung von Daten vorzugsweise einen Zufallszahlengenerator, um u.a. sogenannte„starke Passworte" zu erzeugen, wobei es sich vorteilhaft um einen „true random number generator" handelt.

Die erfindungsgemäße Vorrichtung umfasst eine Software zur Einrichtung, Generierung und Verschlüsselung von Identitätsnachweisen sowie bei einer weiteren möglichen Ausführungsform eine Einrichtung zur Abfrage von biometrischen Merkmalen. Daneben besitzt die Vorrichtung vorteilhaft ein weitgehend plattformunabhängiges

Einrichtungstool, mit dem der Benutzer eine große Anzahl von

Authentisierungsdatensätzen verwalten kann.

Die erfindungsgemäße Vorrichtung ist somit eine Microcomputerlösung, welche Benutzernamen und Passworte aber auch andere Berechtigungsnachweise, bzw. Informationen aus der sich solche erzeugen lassen, sicher aufbewahrt und verwaltet. Sichere, also lange und komplexe Passworte, sind somit kein Problem mehr, denn die erfindungsgemäße Vorrichtung meldet sich beispielsweise als Tastatur am Computer, Tablet oder Smartphone an und übernimmt die Eingabe der Authentisierungsdaten. Gegenüber den bekannten Password Safe Softwarelösungen, wie zum Beispiel „keepass", hat die erfindungsgemäße Vorrichtung den Vorteil, dass sie schon funktioniert, bevor ein Betriebssystem gestartet wurde, und somit z.B. auch Harddisk- Passworte, Harddisks-Verschlüsselungspassworte und Boot- bzw. BlOS-Passworte schützen kann. Außerdem ist die Vorrichtung ein abgeschlossenes System aus Hardware und Software, bei dem kein Trojaner die Verschlüsselung aufbrechen und die Passworte unbemerkt ausspionieren kann.

Gleichzeitig besitzt die erfindungsgemäße Vorrichtung alle Vorteile der

Softwarelösungen, so dass u.a. die Passworte mit starken kryptographischen Verfahren geschützt werden können. Da auch die manuelle Eingabe entfällt, können problemlos sehr lange und komplexe Passworte verwendet werden. Darüber hinaus kann man für jeden Login ein unterschiedliches Passwort wählen, da keine Notwendigkeit besteht, sich das Passwort zu merken. Weiterhin können zufällige Passworte generiert werden, so dass bei genügender Länge des Passwortes ein Cracken des Passwortes quasi unmöglich ist.

Die Vorrichtung umfasst ein Verwaltungsprogramm, welches es auf einfache Art ermöglicht, Identitäts-Datensätze, bestehend aus Programm-Start-Sequenz oder URL und weiterer Information, wie z.B. einer Kurzbeschreibung sowie Benutzernamen und Geheimnissen zur Authentisierung, wie z.B. Passworte, anzulegen und zu verändern. Für alle Fälle, in denen der Nutzer aufgefordert wird, ein neues Passwort zu wählen, ist ein einfacher Passwort-Wechsel möglich. Die Identitäts-Datensätze können in einem File sichergestellt werden. Dabei sorgt vorteilhaft eine sichere Verschlüsselung dafür, dass diese nur in dieselbe erfindungsgemäße Vorrichtung wieder eingelesen werden können. Der Benutzer kann die Sicherstellung somit auch ohne Risiko in der Cloud, auf fremden Servern oder seinem Smartphone ablegen.

Bei der Inbetriebnahme und jedes Mal, wenn die Vorrichtung für eine bestimmte Zeit nicht genutzt wurde, ist die Eingabe einer PIN von wählbarer Länge vorgesehen. Dazu sieht eine vorteilhafte Ausgestaltung der erfindungsgemäßen Vorrichtung vor, dass die Vorrichtung eine Eingabevorrichtung zur Auswahl eines Authentifizierungsdatensatzes und zur sicheren Eingabe von PINs und PUKs umfasst. Schon wenige Ziffern bieten einen guten Schutz, denn durch die abgekapselte HW&SW Lösung ist ein

Durchprobieren mehrerer PINs so gut wie ausgeschlossen. Vorteilhaft ist ein kleines integriertes Display vorgesehen, auf dem zu erkennen ist, welcher ID Datensatz ausgewählt wurde. Per Knopfdruck kann dann ein Login Vorgang gestartet werden, bei dem zuvor ausgewählt werden kann, welche Teile des Datensatzes, also beispielsweise Benutzername und Passwort oder nur Letzteres übermittelt werden. In vielen Fällen kann sogar auf das Starten der Applikation oder der Eingabe einer URL verzichtet werden, weil die erfindungsgemäße Vorrichtung das mit erledigen kann.

Eine komfortablere Ausführungsform der vorliegenden Erfindung sieht eine Lösung vor, die auch für größere Unternehmen und/oder an Arbeitsplätzen für mehrere Benutzer geeignet ist. Dabei ist vorgesehen, dass beliebig viele ID Datensätze gespeichert werden können. Neben dem Tastenfeld für PIN Eingabe und Datensatzauswahl enthält diese Ausgestaltung einen Leser für berührungslose Funkspeicherchips. Die Datensätze können jetzt für jeden Benutzer individuell und sicher verschlüsselt gespeichert werden. Dafür kann beispielsweise eine Karte, ein Schlüsselanhänger, ein kleines Armband oder einfach ein Klebe-Etikett ausgewählt werden. Der Knopfdruck zur Übergabe von User-ID und Passwort wird dadurch ersetzt, dass der Chip kurz in die Nähe (ca. 5 cm) der erfindungsgemäßen Vorrichtung gebracht wird.

Für Unternehmen ist die erfindungsgemäße Vorrichtung dazu vorzugsweise als „Familienversion" vorgesehen, wobei alle Chips, die an einer der Familien-Boxen (Box = erfindungsgemäße Vorrichtung) eingerichtet wurden, auch an allen anderen Boxen innerhalb der Familie benutzt werden können. Als wichtiger zusätzlicher Schutz ist vorzugsweise vorgesehen, die Benutzungsmöglichkeit von fremden Chips zu blockieren.

Die oben genannte komfortablere Ausführungsform der vorliegenden Erfindung ist vorteilhaft auch für ein Cloud Identity Management eingerichtet. So können Anbieter von Cloud Dienstleistungen dem Benutzer personalisierte Zugänge zu ihren

Dienstleistungen einfach per Chip zusenden. Via Download von QR Codes kann das Verwaltungsprogramm der erfindungsgemäßen Vorrichtung vorhandene Chips programmieren, so dass selbst das Abwarten des Postweges entfallen kann.

Neben den beiden oben genannten Ausführungsformen der erfindungsgemäßen

Vorrichtung kann die Vorrichtung darüber hinaus kundenspezifisch eingerichtet werden, wobei als mögliche Erweiterung die Verwendung biometrischer Merkmale, wie z.B. ein Fingerabdruck, anstatt der oder zusätzlich zur Eingabe einer PIN für die lokale

Authentisierung vorgesehen sein. Denkbar ist auch die Verbindung mit bestehenden oder neu zu schaffenden Schließanlagen, damit derselbe Chip sowohl für physische als auch für IT Zugangskontrolle verwendet werden kann. Umgekehrt kann die

erfindungsgemäße Vorrichtung auch so modifiziert werden, dass sie direkt in eine Schließanlage eingebunden werden kann. Ob im Einzelfall eine Integration mit einer bestehenden Lösung - wirtschaftlich vertretbar - möglich ist, muss natürlich geprüft werden und hängt stark von den Einzelheiten der bestehenden Lösung ab. Denkbar ist auch der Einbau in vorhandene USB-oder Bluetooth-Tastaturen oder eine

Kombinationslösung mit diesen.

Eine vorteilhafte zusätzliche Anwendung der vorliegenden Erfindung ist der Einsatz als TAN-Generator, wobei das Abtippen der TAN entfällt und die TAN stattdessen beispielsweise über ein USB Interface übermittelt wird. Auch in diesem Fall meldet sich der TAN-Generator als Tastatur am Rechner, Tablet oder Smartphone an, wofür üblicherweise keine zusätzliche Software benötigt wird.

Der vorliegenden Erfindung liegt die Idee zugrunde, eine aus einer oder mehreren Hardware Komponenten und der zugehörigen Software bestehende Vorrichtung bereitzustellen, welche die herkömmliche Entitäten-Authentisierung deutlich sicherer, einfacher ausführbar und die vielen heute meist notwendigen Identitäten und

zugehörigen Berechtigungsnachweise (Credentials) kontrollier- und handhabbar macht. Die zu authentisierende Entität ist im Normalfall ein Mensch, die Vorrichtung erlaubt aber auch den Schutz anderer Entitäten, wie z.B. Softwareprogramme etc.

Die erfindungsgemäße Vorrichtung verbessert herkömmliche Vorrichtungen mit ähnlichem Zweck entscheidend durch die Verwendung des USB HID Interfaces, um an und gegenüber bestehenden Computern und anderen elektronischen Geräten eine Tastatur zu emulieren. Die Kommunikation kann dabei über (USB-) Stecker oder Kabel direkt oder auch über drahtlose Fernverbindungen, wie z.B.„Bluetooth" erfolgen. So ist es nicht mehr notwendig, Berechtigungsnachweise von Hand einzugeben oder per Software zu kopieren. Im Gegensatz zu herkömmlichen Vorrichtungen mit ähnlichem Zweck ist normalerweise kein oder nur ein minimaler Eingriff in die zu schützenden Systeme notwendig. Die Vorrichtung erlaubt darüber hinaus auch die Verwaltung und einfache Eingabe von Berechtigungsnachweisen, bevor das zu schützende

Computersystem ein Betriebssystem geladen hat (sogenannte pre boot authentication), womit sie sich entscheidend von den herkömmlichen Systemen unterscheidet.

Die erfindungsgemäße Vorrichtung speichert, liefert und/oder generiert

Berechtigungsnachweise, wie z.B. Passworte, TANs (Transaktionsnummern),

Einmalpassworte, Authentisierungstoken, private oder symmetrische kryptographische Schlüssel, PINs (personal Identification numbers) oder Antworten auf Testfragen. Damit ermöglicht die Vorrichtung, das„Wissen" (Kenntnis aller Geheimnisse zum

Berechtigungsnachweis) durch eine wählbare Kombination von„Besitz" (z.B. eines RFID PICC's),„Eigenschaft" (z.B. eines biometrischen Merkmals, wie ein

Fingerabdruck) und einfacherem„Wissen" (gleich einer PIN) zu ersetzen. Falls PIN Schutz gewählt wird, ist dieser gegenüber herkömmlichen reinen Software

Vorrichtungen mit ähnlichem Zweck weitaus sicherer, da ein potentieller Angreifer keine Software zum Angriff verwenden kann und dadurch sowie durch zusätzliche

Maßnahmen, wie Sperrung nach einer bestimmten Anzahl von Fehlversuchen, der Aufwand für einen Angriff (bei gleicher PIN Länge) um Größenordnungen schwieriger ausfällt. Im Endeffekt wird so selbst mit einer 4- oder 6-stelligen PIN ein adäquater Schutz aufgebaut, was bei reinen Softwarelösungen nicht der Fall ist. Deshalb besteht eine zusätzliche Einsatzmöglichkeit der erfindungsgemäßen Vorrichtung im Schutz von herkömmlichen Softwarevorrichtungen mit ähnlichem Zweck („kaskadierender Einsatz").

Die erfindungsgemäße Vorrichtung arbeitet vorzugsweise mit modernen, anerkannten und von einschlägigen Stellen zertifizierten kryptographischen Methoden, um die Berechtigungsnachweise vor unerlaubtem Kopieren und Verwenden zu schützen. Im Gegensatz zu reinen Software Vorrichtungen mit ähnlichem Zweck sind Angriffe mit dem Ziel, die notwendigen Schlüssel in Erfahrung zu bringen, um Größenordnungen schwieriger und aufwändiger durchzuführen, da ein potentieller Angreifer keinen Zugriff zum Arbeitsspeicher erlangen kann, ohne eine extrem teure und zeitlich und

technologisch aufwändige physische Analyse der Vorrichtung. Solche Angriffe sind darüber hinaus von jedermann leicht zu bemerken, was bei herkömmlichen reinen Software Vorrichtungen nicht gegeben ist. Die Vorrichtung enthält vorteilhaft für unterschiedliche Anwendungen einen Zufallszahlengenerator, welcher die Anforderungen an die einschlägige Qualität der Zufallszahlen erfüllt und mit dessen Hilfe sich auch zufällige Berechtigungsnachweise erzeugen lassen. Diese Option ist eine vorteilhafte Alternative zur Eingabe von

Berechtigungsnachweisen über ein Verwaltungsprogramm.

Die Vorrichtung erlaubt selbst in Ihrer einfachsten Ausführungsform die Speicherung von einer Produkt-Serien-abhängigen Menge von Identifikations-Datensätzen. Über eine eingebaute nummerisches Tastenfeld wird bei Inbetriebnahme ein PIN eingegeben. Diese Eingabe muss nach einer einstellbaren Zeit ohne Benutzung wiederholt werden. Des Weiteren wird über das Tastenfeld ein Identifikations-Datensatz ausgewählt. Soweit die Vorrichtung eine eigene Anzeige enthält, wird eine Kennung des Datensatzes angezeigt. Durch Drücken einer speziellen Taste wird dieser Datensatz, bzw. Teile davon über die USB, HID (Tastatur) Schnittstelle gesendet, nachdem zuvor der

Berechtigungsnachweis mit dem kurzfristig erzeugten Schlüssel entschlüsselt wurde. Der Schlüssel wird danach sofort wieder gelöscht (überschrieben). Die Pflege

(Einrichten, Löschen und Verändern) der Datensätze über ein mitgeliefertes

Computerprogramm und die serielle (USB) Schnittstelle ist jederzeit vom Anwender selbst durchführbar. Ausführungen sind möglich, welche zusätzlich oder anstatt der PIN die Nutzung über weitere Methoden, insbesondere über die Abfrage biometrischer Merkmale, freischalten.

Die Vorrichtung enthält in einer vorteilhaften Ausführungsform zusätzlich zum Tastenfeld eine Anzeige und einen RFID Leser. In diesem Falle werden die ersten Identifi kations- Datensätze, deren Anzahl konfigurationsabhängig ist, in der Vorrichtung gespeichert sowie weitere Datensätze auf den RFID-PICCs. Dies dient dazu, systemabhängige Datensätze, wie z.B. solche die Boot-, Harddisk-, oder Harddisk-Verschlüsselungs- Passworte enthalten, von persönlichen Datensätze, wie z.B. solchen, die Benutzer Login Daten enthalten, jeweils unter Kontrolle des jeweiligen Besitzers bzw. Delegierten getrennt verwalten zu können. Auch die systemabhängigen Datensätze sind nur verwendbar, wenn die Entität, identifiziert und über eine wählbare Kombination von PIN und PICC freigegeben ist. Selbst wenn die PICC vollständig kompromittiert würde, würde dies nicht zur Aufdeckung der Berechtigungsnachweise führen, da dazu zwingend der Zugang zur Vorrichtung und ggf. (wenn so gewählt) Kenntnis der PIN notwendig wäre. PICCs können jederzeit unter Verwendung einer Master-PICC gesperrt und entsperrt werden. Ausführungen, welche zusätzlich oder anstatt der PIN die

Nutzung über weitere Methoden freischalten, insbesondere die Abfrage biometrischer Merkmale, sind möglich.

Die Vorrichtung in der Ausführung als TAN-Generator funktioniert vergleichbar mit den herkömmlichen (Hardware) Vorrichtungen dieser Art, jedoch mit dem Unterschied, dass keine Keyboard Eingabe an einem Display abgelesen und von Hand eingegeben werden muss, sondern die Übertragung durch USB HID (Tatstatur) erfolgt.

Ausführungsformen, welche zusätzlich oder anstatt der PIN für die lokale

Authentisierung die Nutzung weiterer Methoden einbeziehen, insbesondere die Abfrage biometrischer Merkmale, sind auch hier möglich. Darüber hinaus sind selbstverständlich auch Kombinationen mit den zuvor angeführten Ausführungsformen möglich, wobei auch eine oder alle vorgenannten Ausführungsformen in existierende USB HID Geräte, wie z.B. abgesetzte Tastaturen, Bluetooth Tastaturen, Computer-Mäuse oder Joysticks eingebaut bzw. integriert werden können.

Eine weitere vorteilhafte Ausgestaltung der vorliegenden Erfindung bietet Anbietern von Netzwerkdiensten die Möglichkeit, ihren Nutzern RFID PICCs zu senden, welche einen einfachen, schnellen personalisierten Zugang zu ihren Dienstleistungen ermöglichen. Alternativ kann die Vorrichtung mit Hilfe eines mitgelieferten Programms an einem Computer angezeigte oder eingescannte Kodierungen, wie z.B. QR-Codes, einlesen. Ein Freischaltungs- und Personalisierungsverfahren bei der ersten Anwendung sorgt dafür, dass auf dem Transportweg gestohlene oder insbesondere im Falle von

Kodierungen kopierte Cloud-Ident Datensätze nicht verwendet werden können. In diesem Falle enthält der Identitäts-Datensatz auch die Information, um soweit wie möglich Programme und/oder„URLs" automatisch aufzurufen bzw. einzugeben. Bei der erfindungsgemäßen Vorrichtung handelt es sich um eine separate Einrichtung, die nach erfolgreicher Authentisierung des Benutzers verschlüsselt gespeicherte Passwörter des Benutzers entschlüsselt und dann als Klartext beispielsweise über den USB-Port des Computers oder eines anderen elektronischen Gerätes übermittelt.

Im Folgenden werden die erfindungsgemäße Vorrichtung und das Verfahren zusätzlich anhand von Abbildungen und einem Flussdiagramm ausführlich erläutert. Dabei zeigt Figur 1 eine perspektivische Darstellung eines Beispiels für eine Vorrichtung zusammen mit einem RFID TAG. Die Figuren 2 bis 6 beinhalten Flussdiagramme, in denen der Verfahrensablauf systematisch wiedergegeben ist.

Die Figur 1 zeigt in einer perspektivischen Darstellung eine vorteilhafte Ausgestaltung einer erfindungsgemäßen Vorrichtung 1 zur sicheren Aufbewahrung, Verwaltung,

Erstellung und Bereitstellung von Authentisierungsinformationen, wobei die Vorrichtung 1 einen USB-Anschluss 2 als Verbindungsanordnung zur Kommunikation mit einem Computer oder anderen elektronischen Geräten umfasst. Darüber hinaus besitzt die Vorrichtung 1 ein Display 3 zur Statusanzeige, ein Tastenfeld 4 und, eine RFID-Antenne 5 zum Lesen und Schreiben von Funkspeicherchips. Gleichzeitig ist in Figur 1 als zusätzliche Einrichtung 6 ein RFID TAG zu sehen, der für die lokale Authentifizierung des Benutzers an der Vorrichtung 1 und die Bereitstellung von

Entschlüsselungsinformationen und Zielinformationen für Daten vorgesehen ist. Wie aus den Figuren 2 bis 6 zu erkennen ist, wird bei dem erfindungsgemäßen

Verfahren zur sicheren Aufbewahrung, Verwaltung, Erstellung und Bereitstellung von Authentifizierungsanforderungen eine entsprechende Vorrichtung, die eine

Verbindungsanordnung 2 zur Kommunikation mit einem Computer oder anderen elektronischen Geräten und eine Einrichtung zur Verarbeitung und Speicherung von Daten umfasst, in einem ersten Schritt mit dem Computer oder den anderen

elektronischen Geräten verbunden. Dazu muss in Abhängigkeit vom Betriebssystem auf dem Zielgerät gegebenenfalls vorher ein passender Treiber installiert werden. In einem weiteren Schritt werden dann die Authentisierungsinformationen ausgewählt. Nach der Auswahl des Authentisierungsdatensatzes wird vorzugsweise eine separate zusätzliche Einrichtung 6 für die lokale Authentisierung des Benutzers gegenüber der

erfindungsgemäßen Vorrichtung und die Bereitstellung von Entschlüsselungs- und Zielinformationen für Daten in Kontakt mit der Vorrichtung 1 oder in die Nähe der Vorrichtung 1 gebracht. Es werden Klartextinformationen mit Hilfe von Daten auf der Vorrichtung 1 und der zusätzlichen Einrichtung 6 generiert, die dann übertragen werden, wobei die Daten als Zeichenkette an das angeschlossene elektronische Gerät oder den Computer so übermittelt werden, dass sie den Eingaben eines Benutzers über ein

Human Interface Device (HID) entsprechen, womit dann die Ziel-Authentisierung erfolgt.

Zur Figur 2 ist anzumerken, dass die Startsequenz bei jeder erneuten Aktivierung des Gerätes durchlaufen wird. Sie entscheidet darüber, ob das Gerät fabrikneu ist und zunächst initialisiert werden muss, oder ob es sofort einsatzbereit ist. Wenn die

Initialisierung bereits erfolgt ist, erwartet das Gerät eine PIN-Eingabe und einen dazugehörenden PICC. Wird diese Kommunikation nicht angeboten, wird nach einer stetig anwachsenden Zeitverzögerung eine erneute Authentisierung erwartet. Wird die Kombination aus PIN und PICC akzeptiert, fährt das Programm mit der Hauptroutine fort. Die parallel dargestellte Initialisierungssequenz wird beim ersten Start des Gerätes oder bei explizitem Aufruf durchlaufen. Hier wird ein sogenannter Master-Key erzeugt. Danach wird in eine weitere Routine zur Anlage des Nutzers weitergeleitet.

In der Figur 3 ist die Hauptroutine dargestellt. Das Gerät erwartet Eingaben und kann in Abhängigkeit davon in verschiedene Subroutinen bzw. Unterprogramme verzweigen. Dazu wird die Nutzeraktivität in Abhängigkeit von der Zeit überwacht. Dazu sind folgende Möglichkeiten vorgegeben:

- Wenn eine gewisse Zeit der Inaktivität verstrichen ist, springt das Programm

zurück auf Start und erwartet eine Authentifizierung. - Wenn ein valides Signal über einen PICC empfangen wird, wird der aktuelle Authentisierungsdatensatz, z.B. die erste Kombination aus Login-Informationen und Passwort übertragen (C).

- Wenn eine Sondertaste (up, down, ok) gedrückt wird, wird (D) eine

entsprechender anderer Datensatz ausgewählt oder weitere .Aktionen ausgeführt, wie z.B. das Löschen oder Setzen von„Flags", welche die (spätere Ausgabe von Feldern des Datensatzes steuern. Im Falle von„DEL" wirde die letzte (Nicht-Aktions)-Eingabe gelöscht. Die in der Figur 4 dargestellten Unterprogramme sind zum einen die

Übertragungsroutine für eine I D/Passwortkombination in Abhängigkeit von einem validen PICC (C), zum anderen das Unterprogramm zur Abarbeitung verschiedener Funktionen zur Interpretation von Tasteingaben (D). Letztere Routine verfügt über weitere Verzweigungsmöglichkeiten. Diese ermöglichen zum einen das Bearbeiten der Sicherheitsinformationen direkt am Gerät (F) und zum anderen die Aktivierung der seriellen Schnittstelle zum Eingabegerät (E).

Figur 5 zeigt die Unterroutinen zur Bearbeitung der Sicherheitskombinationen auf dem Gerät (F) und die Unterroutine zur Verbindungsherstellung mit dem PC.

In der Figur 6 wird das Unterprogramm zur Erstellung eines neuen bzw. zur

Re-Initialisierung eines vorhandenen Benutzer-PICC dargestellt.