DIGITALE DATENSIGNIERUNG IN EINER CHIPKARTE MIT INTEGRIERTER ANZEIGE Die Erfindung betrifft eine Vorrichtung zum digitalen Signieren mit einer Kommunikationsschnittstelle zur Kommunikation mit einem externen Da- tenreservoir, einer Anzeigeeinheit zum Darstellen der zu signierenden Da- ten, einer vom Benutzer bedienbaren Bestätigungsvorrichtung sowie einem Prozessor und Speicher zur Durchführung der Signieroperation.

Die Erfindung betrifft ferner ein Verfahren zum digitalen Signieren von Da- ten durch einen Benutzer, bei dem die zu signierenden Daten an ein tragba- res Signiergerät übertragen werden, im Signiergerät dem Benutzer angezeigt und durch Betätigen einer Bestätigungsvorrichtung durch den Benutzer mit Hilfe eines Prozessors digital signiert werden.

Aus der DE 197 54101 C2 ist eine Vorrichtung zur Erzeugung kryptographi- scher Signaturen bekannt, die eine bidirektionale Datenschnittstelle zum Austausch von Daten mit einem Computer, ein Bedienelement zum Freige- ben einer Signaturberechnungsoperation, eine Datenanzeigeeinheit für die Darstellung der zu signierenden Daten und einen integrierten Prozessor zur unmittelbaren Ausführung der Signaturberechnungsoperation aufweist.

Bei der Anwendung der bekannten Vorrichtung hat der Benutzer eine un- mittelbare Kontrolle darüber, welche Daten mit der digitalen Signatur verse- hen werden. Insbesondere werden nur diejenigen Daten signiert, die dem Benutzer auf der Datenanzeigeeinheit angezeigt werden. Es kann daher nicht vorkommen, dass durch ein Virenprogramm dem nichtsahnenden Be- nutzer die eigentlich zu signierenden Daten auf dem Bildschirm eines Com- puters angezeigt werden, während manipulierte oder komplett ausgetausch- te Daten mit Hilfe eines Signaturprogramms signiert werden.

Dennoch sind auch bei der bekannten Vorrichtung Manipulationen möglich, da die Vorrichtung zur Erzeugung kryptographischer Signaturen selbst die Möglichkeit bietet, den Datenverkehr zwischen der Datenquelle, der Daten- anzeigeeinheit und dem der unmittelbaren Ausführung der Signaturberech- nungsoperation dienenden Prozessor zu manipulieren.

Aus der DE 197 47 603 C2 ist ein weiteres Verfahren zum Signieren einer Nachricht bekannt. Bei dem bekannten Verfahren wird die Nachricht von einer Sendevorrichtung, beispielsweise einem Computer, an eine Empfangs- vorrichtung, beispielsweise einen Nachrichten-Server, übertragen und an- schließend von der Empfangsvorrichtung an ein Mobilfunktelefon weiter- geleitet, wo die Nachricht dem Benutzer angezeigt wird und signiert werden kann. Anschließend wird die signierte Nachricht vom Mobilfunktelefon an die Empfangsvorrichtung zurückübertragen.

Ein Nachteil des bekannten Verfahrens besteht darin, dass ein Mobilfunkte- lefon, wie jede andere Datenverarbeitungsanlage auch manipulierbar ist.

Daher bietet auch das bekannte Verfahren letztlich keine Sicherheit dafür, dass die angezeigten Daten mit den signierten Daten übereinstimmen.

Ausgehend von diesem Stand der Technik liegt der Erfindung die Aufgabe zugrunde, eine gegen Manipulation gesicherte Vorrichtung und ein gegen Manipulation sicheres Verfahren zum digitalen Signieren von Daten zu schaffen.

Diese Aufgaben werden durch die Merkmale der unabhängigen Ansprüche gelöst. In davon abhängigen Ansprüchen sind vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung angegeben.

Bei der Vorrichtung und dem Verfahren sind die Anzeigeeinheit, die Bestä- tigungsvorrichtung, der Prozessor und der zur Durchführung der Si- gnieroperation notwendige Speicher jeweils in eine einstückig ausgebildete Hülle eingebettet. Damit bildet die Anzeigeeinheit, die Bestätigungsvorrich- tung, der Prozessor sowie der zum Durchführen der Signieroperation not- wendige Datenspeicher eine Einheit, deren einzelne Komponenten vor Zu- griffen und damit vor Manipulationsversuchen geschützt sind. Darüber hin- aus bietet die Vorrichtung den Vorteil, dass sie als integriertes Gerät leicht handhabbar ist.

Bei einer bevorzugten Ausführungsform ist die Vorrichtung als Chipkarte ausgebildet, in die die Anzeigeeinheit, die Bestätigungsvorrichtung, der Pro- zessor sowie die zur Durchführung der Signieroperation notwendigen Spei- cher eingebettet sind. Diese Chipkarte kann der Benutzer stets bei sich tra- gen, so dass ein für eine Manipulation notwendiger Zugriff auf die Chipkar- te wesentlich erschwert ist.

Bei einer weiteren bevorzugten Ausführungsform ist die Anzeigeeinheit auf der Chipkarte so ausgebildet, dass die Anzeigeeinheit auch dann noch sicht- bar und die Bestätigungsvorrichtung auch dann noch betätigbar sind, wenn die Chipkarte in ein Terminal eingesteckt ist, so dass der Benutzer unmittel- bar nach der Datenübertragung die übertragenen Daten sichten und durch Betätigen der Bestätigungsvorrichtung den Signiervorgang veranlassen kann.

Bei einer weiteren vorteilhaften Ausgestaltung der Chipkarte ist die Chip- karte mit einem Energiespeicher ausgestattet, so dass die Chipkarte außer- halb eines Terminals gelesen werden kann. Dies ermöglicht eine großflächige

Ausgestaltung der Anzeigeeinheit, die sich im wesentlichen über eine ge- samte Seite der Chipkarte erstrecken kann.

In einer Weiterbildung oder Abwandlung dazu ist es auch möglich, an der Chipkarte eine Kommunikationsschnittstelle vorzusehen, die mit Hilfe von Kurzstreckenfunk mit einem Terminal kommuniziert. Auch in diesem Fall ist es möglich,. die Anzeigeeinheit so groß zu wählen, dass sie sich im we- sentlichen über die gesamte Seitenfläche der Chipkarte erstreckt.

Weitere vorteilhafte Ausgestaltungen betreffen die Steuerung der Anzeige- einheit. Bei einer Ausführungsform der Chipkarte sind seitlich an der Anzei- geeinheit Sensorzeilen vorgesehen. Indem der Benutzer an den Sensorzeilen entlang streicht, kann der Benutzer die Lage des in der Anzeigeeinheit ange- zeigten Bildausschnitts steuern.

Bei einer weiteren Ausführungsform ist die Chipkarte mit einem biometri- schen Sensor ausgestattet. Durch Überstreichen des biometrischen Sensors mit einem Finger kann die Lage des in der Anzeigeeinheit dargestellten Bildausschnitts gesteuert und der Signiervorgang durch Auflegen eines regi- strierten Fingers ausgelöst werden.

Nachfolgend wird die Erfindung beispielhaft anhand der beigefügten Zeich- nungen erläutert. Es zeigen : Figur 1 eine Aufsicht auf eine Chipkarte, die zum Signieren von Daten ein- gerichtet ist ; Figur 2 eine Aufsicht auf eine abgewandelte Chipkarte, die zum Signieren von Daten eingerichtet ist ; und

Figur 3 eine Aufsicht auf ein weiteres Ausführungsbeispiel einer zum Si- gnieren geeigneten Chipkarte.

In Figur 1 ist eine Chipkarte 1 in ISO-Normabmessungen schematisch darge- stellt, die zum Signieren von Daten eingerichtet ist. Die Chipkarte 1 weist ein Modul 2 auf, das einen Prozessor, einen zum Durchführen von Signieropera- tionen notwendigen Datenspeicher und eine Kommunikationsschnittstelle zu einem Chipkartenterminal umfasst. Außerdem verfügt die Chipkarte 1 über eine Anzeige 3, in der die zu signierenden Daten dargestellt werden.

Der in der Anzeige 3 dargestellte Bildausschnitt kann mit Hilfe von Naviga- tionstasten 4 ausgewählt werden. An den Rändern der Anzeige 3 sind Bal- kendiagramme 5 angeordnet, die dem Benutzer Größe und Position des in der Anzeige 3 dargestellten Bildausschnitts im Verhältnis zum Gesamtbild anzeigen. Der Benutzer kann daher mit Hilfe der Navigationstasten 4 das Gesamtbild abfahren und überprüfen, ob die im Gesamtbild dargestellten Daten den Daten entsprechen, die er beispielsweise in einen an das Terminal angeschlossenen PC zur Aufgabe einer Bestellung eingegeben hat. Falls dies der Fall ist, kann der Benutzer eine Bestätigungstaste 6 drücken, durch die ein Signiervorgang in der Chipkarte 1 ausgelöst wird. Der Signiervorgang wird dabei von dem im Modul 2 ausgebildeten Prozessor ausgeführt, wobei der Prozessor auf im Modul 2 ebenfalls ausgebildete Datenspeicher zurück- greift. Gegebenenfalls können im Datenspeicher Signierdaten abgelegt sein, die zum Ausführen der Signieroperation notwendig sind. Die Signierdaten können zum Beispiel zum Signieren notwendige Schlüsseldaten sein.

Nach dem Ende der Signieroperation werden die signierten Daten über die im Modul 2 ausgebildete Kommunikationsschnittstelle zurück an das Ter- minal übertragen.

Falls der Benutzer die in der Anzeige 3 anzeigbaren Daten nicht signieren möchte, kann er die Daten durch Drücken einer Löschtaste 7 löschen.

Bei der Chipkarte 1 aus Figur 1 lässt sich der Datenverkehr zwischen der Anzeige 3 und dem Modul 2 nur schwer manipulieren, da die Anzeige 3 und das Modul 2 in einem einstückig ausgebildeten Grundkörper 8 der Chipkar- te 1 eingebettet sind. Außerdem kann die Chipkarte 1 aufgrund ihrer gerin- gen Größe von einem Benutzer stets mitgeführt werden, was den Zugriff auf die Chipkarte 1 zusätzlich erschwert.

In Figur 2 ist ein weiteres Ausführungsbeispiel der Chipkarte 1 dargestellt.

Das in Figur 2 dargestellte Ausführungsbeispiel der Chipkarte 1 verfügt an Seitenflächen 9 über Sensorzeilen 10, die der Navigation in der Anzeige 3 dienen. Indem der Benutzer mit einem Finger 11 an den Sensorzeilen 10 entlangstreicht, kann der Bildausschnitt in der Anzeige 3 verschoben wer- den. Der Benutzer braucht daher nicht wie bei der in Figur 1 dargestellten Chipkarte 1 die richtige Navigationstaste 4 auswählen, sondern kann intuitiv den Bildinhalt durch eine entsprechende Fingerbewegung 11 entlang den Sensorzeilen 10 verschieben.

Bei den Sensorzeilen kann 10 kann es sich um sogenannte Zeilensensoren handeln, wie sie etwa im Bereich der Biometrie eingesetzt werden. Gegebe- nenfalls können die Sensorzeilen 10 dann auch zur Benutzerauthentisierung dienen.

In Figur 3 ist ein weiteres Ausführungsbeispiel der Chipkarte 1 dargestellt, das mit einem biometrischen Sensor 12 ausgestattet ist. Wenn der Benutzer einen Finger über den biometrischen Sensor 12 bewegt, folgt der in der An-

zeige 3 dargestellte Bildinhalt dieser Bewegung. Die Signieroperation und die Löschoperation, die bei den in den Figuren 1 und 2 dargestellten Ausfüh- rungsbeispielen durch Betätigen der Bestätigungstaste 6 und der Löschtaste 7 ausgelöst werden, werden bei dem Ausführungsbeispiel gemäß Figur 3 durch Auflegen eines bestimmten, vorher auf der Chipkarte 1 registrierten Fingers auf den biometrischen Sensor 12 ausgelöst., Bei den in den Figuren 1 bis 3 dargestellten Ausführungsbeispielen ist die Größe der Anzeige 3 jeweils so gewählt, dass die Anzeige 3 vom Benutzer auch dann gelesen werden kann, wenn die Chipkarte 1 in ein zugehöriges Terminal eingesteckt ist. Falls diese Ausführungsbeispiele der Chipkarte 1 nur dann verwendet werden sollen, wenn die Chipkarten 1 in das zugehöri- ge Terminal eingesteckt sind, brauchen die Chipkarten 1 nicht mit einer Bat- terie oder einem ähnlichen Energiespeicher ausgestattet zu sein. Es ist jedoch auch möglich, die Chipkarten 1 mit einer Batterie oder einer anderen Ener- giequelle, wie beispielsweise einer Solarzelle, auszustatten, so dass die An- zeige 3 auch außerhalb des Terminals gelesen werden kann. In diesem Fall kann sich die Anzeige 3 im wesentlichen über die gesamte Fläche der Chip- karte erstrecken. Dies gilt insbesondere dann, wenn die Anzeige 3 auf der dem Modul 2 gegenüberliegenden Seite angeordnet ist, da das Modul 2 nicht überdeckt werden darf, wenn eine störungsfreie Kommunikation zwischen dem Terminal und der Chipkarte 1 gewährleistet sein soll.

Wenn die Chipkarte mit einer Batterie oder anderen Energiequelle ausgestat- tet ist, kann der Benutzer auch die Bestätigungstaste 6 auch drücken, wenn die Chipkarte nicht in das Terminal eingesteckt ist. Beim erneuten Einschie- ben der Chipkarte in das Terminal wird dann die Rückübertragung der si- gnierten Daten auf das Terminal vollzogen.

Bei einer weiteren abgewandelten Ausführungsform der Chipkarte ist die Chipkarte mit einer für die drahtlosen Kommunikation eingerichteten Kommunikationsschnittstelle ausgestattet, so dass der Datenaustausch zwi- schen dem Terminal und der Chipkarte auf drahtlosem Wege erfolgen kann.

Neben der Infrarottechnik ist hierbei besonders der Kurzstreckenfunk nach dem sogenannten Bluetooth-Standard geeignet. Der Bluetooth-Standard ist dem Fachmann bekannt und als solcher nicht Gegenstand der Erfindung.

Ferner sei darauf hingewiesen, dass die Anzeige 3 nicht nur zum Anzeigen der zu signierenden Daten, sondern auch zur Eingabe von Daten, z. B. für Formularfelder von Formularen oder von einmal verwendbaren Passwör- tern, verwendet werden kann. Darüber hinaus können auf der Anzeige 3 auch Abfrageergebnisses, z. B. die Salden einer Kontoabfrage im Rahmen des HBCI-Standards, dargestellt werden. In Betracht kommt auch die Verwen- dung der Chipkarte als sogenannte Smartcard mit Internet-Technologie.

Die hier beschriebenen Chipkarten weisen ein hohes Maß an Sicherheit auf, weil sowohl die Anzeige der zu signierenden Daten als auch die Signaturo- peration in einer sicheren Umgebung stattfinden. Im Vergleich zum Stand der Technik ergeben sich mit der Verwendung der Chipkarten wesentlich geringere Kosten, da auf Klasse-3-Terminals oder Vorschaltboxen verzichtet werden kann. Weiterhin ist von Vorteil, dass die Chipkarten universell ein- setzbar sind. Insbesondere können die Chipkarten leicht mitgenommen und an unterschiedlichen Terminals verwendet werden.

Obgleich die vorgeschlagene Vorrichtung bevorzugt in Form einer Chipkar- te ausgebildet ist, ist sie nicht auf diese Gestalt beschränkt. In Betracht kommt vielmehr jede Art von tragbarem Datenträger, auf der die benötigten Komponenten, d. h. Modul 2, Anzeige 3, Sensorzeilen 10 u. s. w. realisierbar sind.