Schaltungsanordnung eines elektronischen Siegels Die vorliegende Erfindung ist gerichtet auf eine Schaltungsanordnung, wel che eingerichtet ist, in effizienter Weise eine Detektion einer Manipulation des elektronischen Siegels derart auszuführen, dass ein geringer technischer Aufwand entsteht. Ferner können solche Manipulationsversuche vollauto matisch erkannt werden. Die vorliegende Erfindung ist ferner gerichtet auf ein entsprechend eingerichtetes Verfahren zur Herstellung der vorgeschlage nen Schaltungsanordnung sowie auf ein Computerprogrammprodukt mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren.

DE 102025005556 Al zeigt ein elektronisches Siegel, wobei zur Erfassung unterschiedlicher physikalischer Eigenschaften eine Recheneinheit Anwen dung findet. Hierbei ist jedoch nicht beschrieben, wie komplexe Signale er zeugt werden können, um hiermit einzelne Leiterschleifen anzusprechen, und insbesondere ist nicht gezeigt, wie mehrere Recheneinheiten im vorge schlagenen Kontext miteinander interagieren können.

EP 3009967 Al zeigt einen RFID-Chip, der einen Mini-Controller und eine Antenne aufweist. Ferner sind hierbei Sperreinheiten gezeigt, welche läng lich ausgestaltet sind. Hierbei wird jedoch typischerweise auf einen bekann ten RFID-Chip zurückgegriffen, der nicht über die Recheneinheiten verfügt, wie sie im vorliegenden Kontext vorgeschlagen werden.

Um die Echtheit und Unversehrtheit eines Guts sicherzustellen, wird in der Regel das Gut mit einem Siegel versehen. Anhand des Siegels, oftmals auch Plombe genannt, kann festgestellt werden, ob eine Manipulation am Gut vor- genommen wurde. Die Unversehrtheit des Guts zeigt gleichzeitig dessen Un versehrtheit und gilt oftmals als Beweis für dessen Echtheit. Das Gut kann ein Behältnis sein, in dem ein zu sichernder Gegenstand angeordnet ist.

Das Siegel verhindert in der Regel nicht eine Manipulation des Guts und/ o- der des Gegenstands in dem Gut; es dient in der Regel lediglich als Manipu lationsnachweis. Z.B. wird durch das Siegel nachgewiesen, dass ein Behälter für sensible Inhalte, bspw. eine Transportbox für Wertgegenstände, ein Brief umschlag oder ein Gehäuse eines geeichten Instruments, z.B. Zähler, nicht (unberechtigt) geöffnet wurde. Ist das Siegel nicht zerstört (gebrochen, ange griffen), kann davon ausgegangen werden, dass der sensible Inhalt nicht ma nipuliert wurde. Nur berechtigte Personen dürfen üblicherweise Siegel an bringen und entfernen.

Generell ist es somit bekannt, dass Leiterschleifen an Recheneinheiten ange ordnet werden, wo bei einem Durchtrennen solcher Leiter schleifen eine Rückmeldung in die Recheneinheiten nicht mehr möglich ist. So ist es gene rell bekannt, dass mittels der Leiterschleifen unterschiedliche physikalische Eigenschaften einer Sperreinheit abgefragt werden. So sind solche Leiter schleifen typischerweise derart länglich ausgeformt, dass diese mitsamt einer weiteren Sperreinrichtung ein Schloss bzw. einen Container versiegeln kön nen. Solche physikalischen Eigenschaften sind beispielsweise elektrische Ei genschaften, wie z. B. ein elektrischer Leitwert, eine Kapazität oder Phasen verschiebung, oder aber auch optische Eigenschaften, wie z. B. ein Lichtbre chungsindex oder akustische Eigenschaften.

Ein Nachteil der bekannten Siegel besteht darin, dass hier lediglich der Zu stand des über das Filament gebildeten Stromkreises ermittelt wird, wobei nur zwischen den Zuständen Offen/ Geschlossen unterschieden werden kann. Da der ermittelte Zustand in einem Tamper-Bit abgelegt wird, welches zudem unverschlüsselt kontaktlos ausgelesen werden kann, ist es für einen Angreifer ein Leichtes, ein durchgetrenntes Filament (Stahlseil) elektrisch zu verbinden und somit einem Lesegerät ein geschlossenes Siegel vorzutäu schen. Hierzu wird nur eine einzige elektrisch leitende Verbindung zwischen den beiden aufgetrennten Teilstücken des Filaments angeordnet.

Ein Nachteil der Chips gemäß dem Stand der Technik besteht darin, dass bei der durchgeführten einfachen Widerstandsmessung gegen Ground, also ge gen Masse, gemessen wird. Würden hier mehrere Leiterschleifen eingesetzt, so würden diese alle gegen Ground gemessen. Hier würde es einem Angrei fer ausreichen, einfach alle vorhandenen Leitungen miteinander zu verbin den, so dass diese automatisch auf Ground zu liegen kommen. Das heute eingesetzte Verfahren eignet sich also nicht für die Verwendung mit mehre ren Leiterschleifen.

Hierbei ist es gemäß dem Stand der Technik besonders nachteilig, dass un terschiedliche Chip- bzw. Mikrocontroller vorgesehen werden, die einen gro ßen technischen Aufwand bedeuten, und hierbei zudem redundante Bauteile bereitstellen. So besteht Bedarf an einer vereinfachten Schaltungsanordnung, welche es ermöglicht, eine Vielzahl der beschriebenen Leiterschleifen bezüg lich ihrem Status abzuprüfen und somit automatisiert zu erkennen, ob eine Manipulation eines Siegels vorliegt.

Gegenüber einem weiteren Stand der Technik ist es ein Problem, dass zur Versiegelung zwar generell mehrere Leiterschleifen vorgesehen werden, diese sind jedoch jeweils getrennt an eine einzelne Recheneinheit angeschlos sen. Somit erfolgt bei einem Kombinieren bekannter Siegelvorrichtungen stets eine Verwendung bekannter Siegel, die mehrfach verwendet werden. Nicht jedoch gezeigt ist es, dass mehrere Leiterschleifen in vorteilhafter Weise derart kombiniert werden, dass sich zwar die Sicherheit des Siegels insgesamt erhöht, nicht jedoch der technische Aufwand linear mit erhöht.

Demgemäß ist es eine Aufgabe der vorliegenden Erfindung, eine effi iente Schaltungsanordnung mit Recheneinheiten zur Detektion einer Manipula tion eines elektronischen Siegels bereitzustellen, welche mit geringem techni schem Aufwand bereitgestellt werden kann und dennoch verhindert, dass ein Manipulationsversuch eines Siegels verborgen wird. Es ist ferner eine Aufgabe der vorliegenden Erfindung, ein entsprechend eingerichtetes Ver fahren zur Herstellung der Schaltungsanordnung bereitzustellen sowie ein Computerprogrammprodukt mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren.

Die Aufgabe wird gelöst mittels einer Schaltungsanordnung zur Detektion einer Manipulation eines elektronischen Siegels mit den Merkmalen des Pa tentanspruchs 1. Weitere vorteilhafte Ausgestaltungen sind in den Unteran sprüchen angegeben.

Demgemäß wird eine Schaltungsanordnung mit Recheneinheiten zur Detek tion einer Manipulation eines elektronischen Siegels vorgeschlagen, mit einer Mehrzahl von Leiterschleifen, die derart an Recheneinheiten angeordnet ist, dass die Leiterschleifen eine Rückmeldung in die Recheneinheiten ermögli chen, wobei mindestens zwei Recheneinheiten vorgesehen sind, und die Lei terschleifen mittels konfigurierbarer Schnittstellen an den Recheneinheiten angeschlossen sind.

Die Schaltungsanordnung ist derart in ein elektronisches Siegel integriert, dass eine Mehrzahl von Leiterschleifen an Recheneinheiten angeordnet sind. Hierbei werden insbesondere weitere Komponenten genutzt, die beispiels weise eine Datenkommunikation derart realisieren, dass die Ergebnisse der Manipulationsüberprüfung drahtlos ausgelesen werden können. Bei einer Leiterschleife handelt es sich typischerweise um ein länglich ausgeformtes leitendes Element, welches z. B. eine Schlaufe ausbildet, somit kann mittels der Schlaufe und ggf. mittels weiterer Sperreinrichtungen eine Schließwir kung erzielt werden. Die Leiterschleifen haben hierbei diejenige Funktion, dass sie einen Kommunikationskanal bezüglich einer Rückmeldung in die einzelnen Recheneinheiten bereitstellen sowie auch eine physische Sperr funktion, beispielsweise in einem Zusammenwirken mit weiteren Elementen, bereitstellen.

Die Leiterschleifen werden derart an den Recheneinheiten angeordnet, dass die beiden Enden der Leiterschleifen eine Kommunikationsschnittstelle zu der jeweiligen Recheneinheit darstellen. Somit handelt es sich also bei den Leiterschleifen um einen Kommunikationskanal bzw. einen Rückmeldungs kanal, der einen Aufschluss darüber gibt, ob die Leiterschleife intakt ist oder nicht. So können die Recheneinheiten bestimmte Rechenfunktionen ausfüh ren, die vorsehen, dass hier mindestens ein Wert mittels einer Leiterschleife bereitgestellt wird. Wird hierbei die Leiterschleife durchtrennt, so können die Recheneinheiten nicht mehr ordnungsgemäß arbeiten, und es kommt zu kei ner Ausgabe oder einer fehlerhaften Ausgabe. Somit kann erkannt werden, dass die Leiterschleifen manipuliert werden, da diese typischerweise durch trennt werden.

Durch die Mehrzahl der Leiterschleifen wird bewerkstelligt, dass eine ganz bestimmte Verschaltung der einzelnen Recheneinheiten derart entsteht, dass genau diese Verschaltung notwendig ist, um ein einwandfreies Arbeiten der Recheneinheiten zu garantieren. Manipuliert nun ein Angreifer das Siegel, so wird die Leiterschleifen durchtrennt, da diese mindestens im Zusammenwir ken mit einem weiteren Sperrelement eine Sperrfunktion implementieren. Hierbei ist es nicht das primäre Ziel, die Manipulation an sich zu verhindern, sondern vielmehr soll festgestellt werden, dass das Siegel überhaupt mani puliert ist. Da eine Mehrzahl von Leiterschleifen vorgesehen ist, sind auch entsprechend viele Eingänge bzw. Ausgänge an der Recheneinheit vorhan den. Möchte der Angreifer nunmehr die abgetrennten Leiterschleifen wieder an den Recheneinheiten anschließen, so muss er dies genau in der Reihen folge tun, wie er diese von den Recheneinheiten abgetrennt hat. Hierzu ist es also notwendig, genau diejenige Verschaltung wiederherzustellen, welche vor dem Manipulationsversuch vorgeherrscht hat.

Die einzelnen Recheneinheiten weisen typischerweise eine Synchronität der art auf, dass diese deterministisch stets einen Prüfalgorithmus ausführen, und falls eine Verschaltung nicht mehr in gewünschter Weise vorliegt, zu ei nem falschen Ergebnis gelangen, da beispielsweise ein Startwert nicht über geben werden kann. Somit kann es notwendig sein, eine Recheneinheit be reitzustellen, welche die physikalischen Eigenschaften der Leiterschleifen zu mindest indirekt auswerten. Ein solches indirektes Auswerten kann nun bei spielsweise derart erfolgen, dass die Berechnungen in Abhängigkeit der Rückmeldung erfolgen und somit anhand der Rückmeldung erkannt wird, falls eine Leiterschleife durchtrennt ist.

Es werden hierzu mindestens zwei Recheneinheiten vorgesehen, wobei eine Recheneinheit auf einer Mehrzahl von Leiterschleifen abprüfen kann. Dies unterscheidet von bekannten Verfahren bereits dadurch, dass unterschiedli che Recheneinheiten vorgesehen werden können, die derart verschaltet wer den können, dass eben eine Rückmeldung von einer ersten Recheneinheit in eine zweite Recheneinheit möglich ist. Hierdurch wird also erreicht, dass mindestens zwei Recheneinheiten derart in Serie geschaltet werden können, dass ein falscher Ausgabewert sofort auffallen würde. Dies ist bezüglich be kannter Verfahren insbesondere deshalb vorteilhaft, das bekannte Verfahren lediglich dynamisch zur Laufzeit eine einzelne Recheneinheit betreiben, die Parameter bezüglich aus der Leiterschleife bzw. den Leiterschleifen erfasst und diese Parameter mit Referenzparameter vergleicht.

Es kann hingegen mittels der mindestens zwei Recheneinheiten bewerkstel ligt werden, dass dynamisch zur Laufzeit Berechnungen durchgeführt wer den können, die ausgehend von einem gleichen Startwert deterministisch zu gleichen Ergebnissen können müssen. Somit muss also kein statischer Refe renzwert ausgelesen werden, sondern in einem besonders gesicherten Be reich kann ein Referenzwert errechnet werden und somit über die gesamte Lebenszeit der Siegelvorrichtung eine Ausgabesequenz erzeugt werden, wel che mit der Ausgabesequenz übereinstimmen muss, die anhand einer Leiter schleife erzeugt wurde.

Hierbei ist es vorteilhaft, die Schnittstellen der Leiterschleifen bzw. der Re cheneinheiten derart dynamisch zu konfigurieren, dass hierbei einem An greifer nicht ersichtlich ist, zu welchem Zeitpunkt er die abgetrennten Leiter schleifen wie anordnen muss. So befindet sich die vorgeschlagene Schal tungsanordnung initial in einem bestimmten Verschaltungszustand. Werden nunmehr die Leiterschleifen abgetrennt, so muss ein Angreifer um die Mani pulation zu verbergen, genau die ursprüngliche Verschaltung wieder her stel len. Nur dies gewährleistet, dass die Recheneinheiten gemäß der initialen Verschaltung wieder operieren können und somit ein Manipulationsversuch nicht auffällt. Mittels der konfigurierbaren Schnittstellen ist es jedoch möglich, die Bele gung der einzelnen Schnittstellen derart zu verändern, dass an einem Ein gang bzw. einem PIN oder Port in einer weiteren Iteration eines Berechnens nunmehr ein anderer Eingabewert erwartet wird. So ist es beispielsweise auch möglich, die Richtung der jeweiligen Schnittstelle derart zu verändern, dass ein Eingang zu einem Ausgang wird bzw. umgekehrt.

Möchte also ein Angreifer die vorgesehene Verschaltung zwischen Rechen einheiten und Leiterschleifen wiederherstellen, so kann er sich zu keinem Zeitpunkt sicher sein, welche nunmehr die erwartete Verschaltung ist und kann diese somit auch nicht nachbilden. Somit wird ausgeschlossen, dass der Angreifer mittels technischer Hilfsmittel die einzelnen Schnittstellen derart ausmisst, dass er Information über die Belegung einer Schnittstelle als ein Eingang oder ein Ausgang erhält.

Ferner ist es beispielsweise möglich, dass die einzelnen Recheneinheiten je weils deterministische Pseudozufallszahlen in Abhängigkeit einer Rückmel dung mittels der Leiterschleifen erzeugen. Somit erzeugen die einzelnen Re cheneinheiten jeweils gleiche Zahlensequenzen, falls diese ordnungsgemäß verschaltet sind. Wird die ordnungsgemäße Verschaltung gelöst, so fällt min destens eine Recheneinheit aus bzw. liefert einen falschen Wert. Dies wird er kannt, da die einzelnen Recheneinheiten nicht mehr synchron laufen bzw. unterschiedliche Ausgabesequenzen erzeugen. Somit wird also ein Manipu lationsversuch eines elektronischen Siegels erkannt.

Um einem Angreifer also nach einem Durchtrennen der Leiterschleifen ein richtiges Zusammenschalten zu erschweren, können anstatt eines Chips für alle Leiterschleifen mehrere Chips, z. B. je Leiterschleife, verwendet werden. Anstatt der Vielzahl an Chips kann nur ein Chip verwendet werden, wobei die anderen Chips durch Dioden- Arrays ersetzt werden. Das Auslesen und Zuordnen von Enden durchtrennter Leiterschleifen ist somit kaum möglich. Somit werden also mindestens zwei Recheneinheiten vorgeschlagen, wobei der Stand der Technik teilweise hier lediglich eine Recheneinheit vorsieht. Somit stellt sich der Vorteil ein, dass das richtige Zusammenschalten daher erschwert wird, dass mit den mehreren Chips also auch mehrere Kombinati onsmöglichkeiten des Anschlusses der Leiterschleifen an den Recheneinhei ten entstehen. Mit steigender Anzahl von Recheneinheiten bzw. Leiterschlei fen werden die Kombinationsmöglichkeiten erhöht und somit wird es einem Angreifer erschwert, eine gewünschte Schnittstellenkonfiguration einzustel len. Somit kann also auch in besonders vorteilhafter Weise die Sicherheits stufe des elektronischen Siegels eingestellt werden.

Somit ist es also vorteilhaft, mehrere Recheneinheiten vorzusehen. Es wurde jedoch überraschenderweise erkannt, dass es nicht zwingendermaßen not wendig ist, besonders aufwändige Recheneinheiten bereitzustellen, welche beispielsweise einzelne Komponenten redundant aufweisen.

So reicht es bereits, dass eine Recheneinheit als ein Chip bzw. ein Mikrocon troller ausgestaltet wird und weitere Recheneinheiten hardwareeffizient als Schaltungen bzw. Dioden ausgestaltet werden. Somit wird vorgeschlagen, unterschiedlich ausgestaltete Recheneinheiten zu verwenden insbesondere eine Recheneinheit, die besonders performant ausgestaltet ist und zudem über weitere Komponente verfügt bzw. mit diesen kommunikativ verbun den ist. So kann diese gesonderte Recheneinheit derart ausgestaltet werden, dass diese über eine Kommunikationsschnittstelle zum Auslesen des Mani pulationsversuchs verfügt. Somit ist es also nicht notwendig, bezüglich aller verwendeten Recheneinheiten eine Kommunikationsschnittstelle vorzuse hen, sondern vielmehr können die einzelnen Recheneinheiten intern mit der gesonderten Recheneinheit derart verschaltet werden, dass diese drahtge bunden Ausgabewerte an diese gesonderte Recheneinheit übermitteln und lediglich die gesonderte Recheneinheit mittels der Luftschnittstelle mit einem Lesegerät kommuniziert. Somit ist es möglich, die vorgeschlagene Schal tungsanordnung derart effizient auszugestalten, dass eben nicht vollständige einzelne Chips verbaut werden, beispielsweise RFID-Chips, sondern viel mehr reicht ein einzelner vollwertiger Chip aus, der Operationen für weitere Recheneinheiten übernimmt, hardwaretechnisch schlanker ausgestaltet sind.

Somit kann eine erste Recheneinheit verwendet werden, welche über eine Luftschnittstelle verfügt, und weitere Recheneinheiten, welche lediglich über drahtgebundene Kommunikationsschnittstellen zu diesen bevorzugten Re cheneinheiten bereitstellen. Somit werden also einzelne Recheneinheiten nicht lediglich kombiniert bzw. in Serie geschaltet, sondern es wurde er kannt, dass hierbei Hardwarekapazitäten eingespart werden können und eine Funktion lediglich durch eine einzelne Recheneinheit ausgeführt wer den muss. Somit können weitere Recheneinheiten derart hardwareeffizient ausgestaltet werden, dass diese lediglich das Rückmelden mittels einer Lei terschleife bzw. das Ausführen von Operationen in Abhängigkeit der Rück meldung bewerkstelligen müssen. Somit sind die mindestens zwei Rechen einheiten derart unterschiedlich ausgestaltet, dass diese in ihrem Funktions umfang variieren. Ferner ist es möglich, die einzelnen Recheneinheiten be züglich ihrer Performanz bzw. ihren Speicherkapazitäten unterschiedlich auszugestalten. Beispielsweise kann eine Recheneinheit ausgestaltet sein, softwaretechnisch Steuerbefehle auszuführen, und weitere Recheneinheiten können lediglich als logische Schaltungen bzw. Gatter realisiert werden. Hierbei ist es möglich, die Schnittstellen mittels einer Recheneinheit zu konfi gurieren, oder aber hierzu eine gesonderte Konfigurationseinheit vorzuhal ten. Bei den Konfigurationen der Schnittstellen kann es sich um zufällig aus gewählte Konfigurationen handeln, welche allerdings vorab den Rechenein heiten bekannt sein müssen. Somit ist den Recheneinheiten die Information verfügbar, wie welche Schnittstelle interpretiert werden muss, was der An greifer jedoch nicht weiß. Somit können die einzelnen Schnittstellen, also die Eingänge und Ausgänge der Recheneinheiten, auch dynamisch zur Laufzeit variiert werden, und die Schnittstellen können umkonßguriert bzw. neu kon figuriert werden.

Gemäß einem Aspekt der vorliegenden Erfindung ist je Recheneinheit eine Mehrzahl von Leiterschleifen angeordnet. Dies hat den Vorteil, dass nicht le diglich mehrere Recheneinheiten vorgesehen sind, sondern vielmehr auf mehrere Leiterschleifen, wodurch die Möglichkeit der Kombinationsmög- lichkeiten eines Anschlusses einer Leiterschleife an mindestens einer Rechen einheit erhöht wird. So wird eine Leiterschleife typischerweise mittels eines Eingangs und eines Ausgangs an mindestens einer Recheneinheit ange schlossen und bei einem Durchtrennen der Leiterschleife erhöht sich somit die Anzahl der vorzusehenen Schnittstellen.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung sind die konfigu rierbaren Schnittstellen eingerichtet, je Leiterschleife einen Eingang und ei nen Ausgang von einer einzigen Recheneinheit oder einen Eingang einer ers ten Recheneinheit oder einen Ausgang einer zweiten Recheneinheit bereitzu stellen. Dies hat den Vorteil, dass die Schnittstellen bezüglich einer Kommu nikationsrichtung derart einstellbar sind, dass sich die Kombinationsmög- lichkeiten eines Anschlusses einer Leiterschleife nicht lediglich auf die Schnittstellen an sich beziehen, sondern dass hierbei bei den Schnittstellen zwischen Eingang und Ausgang unterschieden wird. Ferner ist es möglich, die Rückmeldung derart zu implementieren, dass ein Ausgang einer Rechen einheit mittels der Leiterschleife auch einen Eingang der gleichen Rechenein heit darstellt. Alternativ oder additiv können Leiterschleifen vorgesehen sein, die einen Ausgang aus einer Recheneinheit darstellen und die Rückmel dung mittels eines Eingangs in einer weiteren, unterschiedlichen Rechenein heit erfolgt. Hierbei ist es also möglich, dass eine Leiterschleife eine einzelne Recheneinheit rückmeldet, oder aber auch, dass eine Leiterschleife zwei Re cheneinheiten in Serie schaltet.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist eine An schlussmatrix vorgesehen, welche eine Schnittstellenkonfiguration abspei chert, die einen Hinweis darauf bereitstellt, wie eine physische Schnittstelle mittels Steuerbefehlen interpretiert werden soll. Dies hat den Vorteil, dass die physischen Schnittstellen derart bezüglich ihren Anschlüssen einstellbar sind, dass auf einer physischen Schnittstelle unterschiedliche Eingabesignale bzw. Ausgabesignale erwartet werden können. So kann also eine Zuweisung von Signalen an die einzelnen Schnittstellen erfolgen, ohne dass hierbei ein physisches Anpassen der Schnittstelle notwendig ist. Beispielsweise dient eine erste Schnittstelle als Eingang einer ersten Leiterschleife. In weiteren Verfahrensschritten kann eine solche Belegung derart umkonfiguriert wer den, dass diese Schnittstelle nunmehr den Ausgang einer zweiten Leiter schleife darstellt. Somit wird also die virtuelle Belegung der vorhandenen physischen Schnittstellen derart variiert, dass ein Angreifer nicht erkennen kann, wie er abgetrennte Leiterschleifen nunmehr konkret anschließen muss. Selbst wenn ein Angreifer, welcher die Leiterschleifen durchtrennt hat, die ursprüngliche Kombination ausgemessen hat, ist es jedoch mittels der An schlussmatrix möglich, die Schnittstellenkonfiguration derart abzuändern, dass in weiteren Verfahrensschritten eine andere Konfiguration vorherrscht, und somit eine ausgemessene Schnittstellenkonfiguration nicht mehr valide ist. Hierdurch wird es einem Angreifer weiter erschwert, eine Manipulation des elektronischen Siegels mittels Durchschneidens der Leiterschleife zu ver bergen.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist mindestens eine Recheneinheit als eine Mehrzahl von Dioden vorgesehen. Dies hat den Vorteil, dass nicht stets teure Chips eingesetzt werden müssen, sondern viel mehr können die mehreren Chips durch eine Vielzahl von Dioden ersetzt werden. Hierbei ist es besonders vorteilhaft, dass lediglich ein einzelner Chip, beispielsweise ein UHF-Chip (UHF - Ultra-High-Frequency), vorzuse hen ist, und ferner lediglich bestimmte Anordnungen von Dioden. Somit ist die vorgeschlagene Schaltungsanordnung besonders hardwareeffizient und ist somit mit einem geringen technischen Aufwand realisierbar.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung liegen mehrere Recheneinheiten als ein einzelnes Dioden- Array vor. Dies hat den Vorteil, dass bereits verfügbare Komponenten verwendet werden können und somit die vorgeschlagene Schaltungsanordnung besonders effizient bereitgestellt werden kann. Somit ist es also möglich, ein elektronisches Siegel mit gerin gem technischem Aufwand bereitzustellen und hierbei zudem lediglich Komponenten zu verwenden, welche von geringem Gewicht sind und zu dem stromsparend betrieben werden können. Dies ist insbesondere deshalb vorteilhaft, da eine Stromversorgung des elektronischen Siegels anhand einer Induktionsspule bewerkstelligt werden kann. Hierbei werden lediglich ge ringe Stromstärken erreicht und insofern ist das vorgeschlagene Dioden- Ar ray besonders vorteilhaft. Gemäß einem weiteren Aspekt der vorliegenden Erfindung liegt mindestens eine Recheneinheit als ein Chip und/ oder ein UHF-Chip vor. Dies hat den Vorteil, dass lediglich mindestens eine Recheneinheit, also eine Auswahl der Recheneinheiten, als ein Chip vorliegen muss, wobei weitere Recheneinhei ten vorgesehen werden können, die weniger performant ausgestaltet wer den. Somit müssen also nicht alle Recheneinheiten als ein Chip vorliegen, wodurch wieder technischer Aufwand eingespart werden kann.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung liegt mindestens eine Recheneinheit als ein Chip vor, der kommunikativ mit einer Antenne gekoppelt ist. Dies hat den Vorteil, dass wiederum lediglich eine Rechenein heit mit weiteren Komponenten verbunden werden muss, und dass bei spielsweise eine Antenne nicht stets für jede Recheneinheit vorgehalten wer den muss. Besonders bevorzugt ist es, dass genau eine Recheneinheit als ein Chip vorliegt, der mit einer Antenne kommunikativ gekoppelt ist. Eine kom munikative Kopplung bezieht sich hierbei nicht lediglich auf eine Nachrich tenübermittlung, sondern vielmehr ist es auch möglich, mittels der Antenne eine Strominduktion derart herbeizuführen, dass die Recheneinheit und ggf. weitere Komponenten mit Strom versorgt werden können.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist mindestens eine Recheneinheit als ein Dioden- Array vorgesehen, welches kommunikativ mit einem Chip gekoppelt ist. Dies hat den Vorteil, dass sowohl eine Rechen einheit als ein Chip vorliegen kann, als auch ein Dioden- Array, welches zu dem in einen bestehenden Chip integrierbar ist oder zumindest mit diesem Chip koppelbar ist. Somit erfolgt ein Bereitstellen einer Schaltungsanord nung, bei der sowohl separate Chips Verwendung finden können als auch Chips, die mit Dioden- Arrays kombiniert sind. Gemäß einem weiteren Aspekt der vorliegenden Erfindung liegen die konfi gurierbaren Schnittstellen als jeweils ein Pin bzw. ein Port vor. Dies hat den Vorteil, dass bekannte Schnittstellen der elektronischen Komponenten wie derverwendet werden können und hierbei sich der beschriebene vorteilhafte Effekt derart einstellt, dass die einzelnen Pins bezüglich ihrer Konfiguration verändert werden können.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist mindestens eine Auswahl der konfigurierbaren Schnittstellen mit einer Schutzdiode und/ oder einer ESD-Schutzdiode versehen. Dies hat den Vorteil, dass an je dem Pin eines Dioden- Array eine Schutzschaltung vorgehalten werden kann, um einen echten Chip vorzutäuschen. Diese Anordnung ermöglicht es, dass ein Angreifer keine Kenntnisnahme über die tatsächlich verwendete Hard warestruktur erlangt.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist ein Massean schluss einer ersten Recheneinheit mit einem Masseanschluss einer zweiten Recheneinheit verbunden. Dies hat den Vorteil, dass ein Angreifer von au ßerhalb des elektronischen Siegels nicht mehr zwischen einem echten und ei nem vorgetäuschten Chip unterscheiden kann.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist die Siegelvor richtung kontaktlos auslesbar. Dies hat den Vorteil, dass die Schaltungsan ordnung mindestens einen RFID-Chip aufweisen kann und zudem beispiels weise eine Antenne vorgesehen werden kann, einen Manipulationsversuch anzeigen kann. So ist es beispielsweise möglich, dass die Schaltungsanord nung bei einem Manipulationsversuch selbsttätig ein Signal aussendet oder aber, dass ein Lesegerät vorgehalten wird, welches die Schaltungsanordnung kon taktlos, d. h. mittels einer Luftschnittstelle, ausliest. Somit ist es also mög lich, einen entsprechenden Fehler abzuspeichern, falls eine Manipulation be kannt wurde, und diesen Fehler mittels eines Lesegeräts auszulesen. Somit erfolgt also eine vollautomatisierte Überprüfung einer Manipulation des elektronischen Siegels.

Die Aufgabe wird auch gelöst durch ein Verfahren zur Herstellung einer Schaltungsanordnung mit Recheneinheiten zur Detektion einer Manipula tion eines elektronischen Siegels, aufweisend ein Bereitstellen einer Mehrzahl von Leiterschleifen, die derart an Recheneinheiten angeordnet ist, dass die Leiterschleifen eine Rückmeldung in die Recheneinheiten ermöglichen, wo bei mindestens zwei Recheneinheiten bereitgestellt werden und die Leiter schleifen mittels konfigurierbarer Schnittstellen an den Recheneinheiten an geschlossen werden.

Es ist ein Aspekt der vorliegenden Erfindung, dass mindestens eine Rechen einheit als ein Dioden- Array bereitgestellt wird. Dies hat den Vorteil, dass die vorgeschlagene Schaltungsanordnung besonders hardwareeffizient be reitgestellt werden kann und insbesondere, dass nicht lediglich vollwertige Chips verwendet werden müssen, sondern eben auch mindestens ein Dio den- Array Verwendung finden kann. Somit erfolgt eine Vereinfachung der Chips derart, dass die Recheneinheiten, entweder als Chip, als Dioden- Array oder einer Kombination hieraus bereitgestellt werden können.

Die Aufgabe wird auch gelöst durch ein Computerprogrammprodukt mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren bzw. die einzelnen Verfahrensschritte veranlassen, falls sie auf einem Rechner zur Ausführung gebracht werden. Hierbei ist es besonders vorteilhaft, dass die vorgeschlagenen strukturellen Merkmale auch als Verfahrensschritt implementiert werden können. So kann jeder Verfahrensschritt ein strukturelles Merkmal der vorgeschlagenen Schal tungsanordnung nachbilden.

Weitere vorteilhafte Ausgestaltungen werden anhand der beigefügten Figu ren näher erläutert. Es zeigen:

Fig. 1: eine Verbindung einer Vielzahl von Leiterschleifen mit wenigstens zwei Chips gemäß einem Aspekt der vorliegenden Erfindung;

Fig. 2: eine Schutzschaltung eines Chips, welche an jedem Pin eines Dio den- Arrays vorgehalten wird gemäß einem Aspekt der vorliegen den Erfindung;

Fig. 3: eine Interface-Schaltung, durch welche es möglich wird, beide An schlüsse zu Leiterschleifen wechselweise als Signaleingang oder Signalausgang zu betreiben, gemäß einem weiteren Aspekt der vor liegenden Erfindung; und

Fig. 4: ein schematisches Ablaufdiagramm eines Verfahrens zur Herstel lung einer Schaltungsanordnung zur Detektion einer Manipulation eines elektronischen Siegels gemäß einem weiteren Aspekt der vor liegenden Erfindung.

Fig. 1 zeigt zur Veranschaulichung des zugrundeliegenden Anwendungssze narios die Verbindung einer Vielzahl von Leiter schleifen mit wenigstens zwei Chips im Zustand vor, während und nach einem Angriff auf das elekt ronische Siegel. In der obersten Figur ist hierbei eine initiale Verschaltung von Leiterschleifen in Recheneinheiten angedeutet. Hierbei wird ersichtlich, dass jede Leiterschleife über zwei Enden verfügt, welche mittels Schnittstel len bzw. Pins an einer Recheneinheit angebracht ist. Hierbei erfolgen ein Kontaktieren der Leiterschleife und ein Rückmelden in die Recheneinheit. Auf der linken Seite sind entsprechende Recheneinheiten angeordnet, welche beispielsweise eine deterministische Rechenroutine ausführen und hierbei aufgrund der intakten Verschaltung mittels der Leiter schleifen stets gleiche Ergebnisse erzielen. Dies ist solange der Fall, wie die Leiterschleifen unver sehrt sind und somit einen Kommunikationskanal bereitstellen.

Wie in der Mitte der Fig. 1 gezeigt ist, erfolgt nunmehr ein Lösen des Siegels, wobei die entsprechenden Leiterschleifen durchtrennt werden. Somit kann generell eine Manipulation des elektronischen Siegels erkannt werden. Hier bei mag ein Angreifer jedoch die Absicht haben, das Siegel wieder zu repa rieren, um eine Manipulation zu verbergen. Hierbei wäre es notwendig, dass der Angreifer die zerstörten Leiterschleifen bzw. die durchtrennten Leiter schleifen wieder derart anordnet, dass sie die gewünschte Verschaltung, wie sie beispielsweise im oberen Bereich der Fig. 1 gezeigt ist, wiederherstellen. Dies wird dadurch erschwert, dass mindestens zwei Recheneinheiten vorge sehen sind und zudem eine Mehrzahl von Leiterschleifen an den Rechenein heiten angeordnet ist. Somit kann also der Angreifer die ursprüngliche Ver schaltung bzw. die Anordnung der Mehrzahl der Leiterschleifen an den Re cheneinheiten lediglich dann wiederherstellen, wenn er Kenntnisse über die Schnittstellenkonfiguration hat.

Ein Ausführungsbeispiel ist in Figur 1 dargestellt. Um einem potentiellen Angreifer das richtige Zusammenschalten der Leiterschleifen, nach einem Durchtrennen derselben, zusätzlich zu erschweren, wird eine Vielzahl von Leiterschleifen an wenigstens zwei oder mehrere Chips angeschlossen. Hier bei muss nur ein Chip mit einer Antenne verbunden werden, so dass auch nur einer der mehreren Chips vom Lesegerät ausgelesen werden muss. Es ist aber auch vorstellbar, alle drei Chips nacheinander auszulesen um den Zu stand der Leiterschleifen zu überprüfen. In letzterem Fall müssten alle Chips den Zustand „ok" melden, damit ein derartiges elektronisches Siegel als un beschädigt betrachtet werden kann.

Fig. 2 zeigt eine analoge Verschaltung gemäß Fig. 1, wobei jedoch aus Effizi enzgründen auf der linken Seite keine vollwertigen Chips mehr angeordnet sind, sondern vielmehr wird lediglich ein einzelner Chip vorgesehen und weitere Funktionalität wird unter Verwendung eines Dioden- Arrays herbei geführt. Eine solche Anordnung erkennt der Angreifer typischerweise selbst dann nicht, falls ihm technische Hilfsmittel vorliegen, mit denen er die ein zelnen Pins der Recheneinheiten auslesen kann. Vorliegend werden also die Recheneinheiten mittels eines UHF-Chips sowie mit einem Dioden- Array be reitgestellt. Hierbei erkennt der Fachmann, dass auch diverse Chips bzw. di verse Dioden- Arrays verwendet werden können.

Um nicht eine Vielzahl teurer Chips einsetzen zu müssen, ist in einer bevor zugten Weiterbildung vorgesehen, die mehreren Chips durch eine Vielzahl von Dioden (Dioden Array) zu ersetzen, so dass nur ein einzelner „echter" UHF-Chip eingesetzt werden muss. Um einem potentiellen Angreifer wel cher über Messmittel (Ohmmeter, Kennlinienschreiber) verfügt, einen echten Chip vorzutäuschen, wird ein jeder Anschluss für eine der Leiterschleifen mit Dioden beschältet, wie dies in Form von ESD-Schutzdioden bei einem echten Chip der Fall ist. Zusätzlich kann der Ground-(Masse-)Anschluss des einen UHF-Chips mit dem Ground-(Masse-)Anschluss des Dioden Arrays verbunden werden. So kann ein Angreifer von außen nicht mehr zwischen „echten" und vorgetäuschten Chip- Anschlüssen unterscheiden. Es versteht sich von selbst, dass das Dioden Array in einen zweiten, unabhängigen Chip integriert werden kann (siehe Figur 2), welche in einer anderen, ggf. preis günstigeren Halbleitertechnologie, als der UHF-Chip hergestellt werden kann. Hierbei wird ein jeder Anschluss mit je einer ESD-Schutzdiode ausge stattet, so wie wenigstens eine gemeinsame Vcc Spannungsregelung (Zener diode) vor gehalten.

Fig. 3 zeigt eine beispielhafte Anordnung, welche vorliegend Verwendung finden kann. Hierzu ist im oberen Bereich der Fig. 3 eine Recheneinheit ange ordnet, welche eine längliche Leiterschleife aufweist. Im unteren Bereich sind weitere Recheneinheiten angeordnet, welche beispielsweise als ein Dioden- Array implementiert werden können. Ferner zeigt die Fig. 3 eine Mehrzahl von Leiterschleifen, welche sowohl eine einzelne Recheneinheit derart kon taktieren können, dass eine Rückmeldung aus dieser Recheneinheit und wie der in diese Recheneinheit erfolgt, wie es oben in der vorliegenden Fig. 3 ge zeigt ist. Die unteren Leiterschleifen schalten einzelne Recheneinheiten der art in Serie, dass ein Ausgang einer ersten Recheneinheit mit einem Eingang einer zweiten Recheneinheit mittels einer Leiterschleife verbunden ist. Hier bei ist es generell möglich, die einzelnen Eingänge und Ausgänge der Leiter schleifen bzw. der Recheneinheiten derart zu konfigurieren, dass diese mit tels einer Anschlussmatrix variierbar sind. Hierbei müsste also ein Angreifer zum Verbergen einer Manipulation stets die durchtrennten Leiterschleifen derart anordnen, wie es die Anschlussmatrix vorsieht. Da der Angreifer je doch keine Kenntnis der Anschlussmatrix hat, so kann er auch nach einem Durchschneiden der Leiterschleifen die gewünschte Schnittstellenkonfigura tion nicht herstellen.

Fig. 4 zeigt ein schematisches Ablaufdiagramm eines Verfahrens zum Her stellen einer Schaltungsanordnung mit Recheneinheiten zur Detektion einer Manipulation eines elektronischen Siegels, aufweisend ein Bereitstellen 100 einer Mehrzahl von Leiterschleifen, die derart an Recheneinheiten angeord net ist, dass die Leiterschleifen eine Rückmeldung an die Recheneinheiten er möglichen, wobei mindestens zwei Recheneinheiten bereitgestellt 101 wer den, und die Leiterschleifen mittels konfigurierbarer Schnittstellen in den Re- cheneinheiten angeschlossen 102 werden.

Um einen Angreifer nach dem Durchtrennen der Leiter schleifen ein richtiges Zusammenschalten zu erschweren, können anstatt eines Chips für alle Lei terschleifen mehrere Chips, z. B. je Leiterschleife, verwendet werden. Anstatt der Vielzahl von Chips kann nur ein Chip verwendet werden, wobei die an deren Chips durch Dioden- Arrays ersetzt werden. Das Auslesen und Zuord nen von Enden durchtrennter Leiterschleifen ist somit kaum möglich.