eines portablen Datenträgers Die vorliegende Erfindung betrifft ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Terminaleinrichtung sowie einen entsprechend eingerichteten Datenträger und eine Terrrimaleinrichtung.

Ein portabler Datenträger, beispielsweise in Form eines elektronischen Aus- weisdokuments, umfasst einen integrierten Schaltkreis mit einem Prozessor und einem Speicher. In dem Speicher sind einen Nutzer des Datenträgers betreffende Daten gespeichert. Auf dem Prozessor ist eine Authentisierungs- applikation ausführbar, über welche sich der Datenträger gegenüber einer Teirninaleinrichtung authentisieren kann, im Fall eines Ausweisdokuments beispielsweise bei einer Grenzkontrolle oder dergleichen.

Während eines solchen Authentisierungsverfahrens wird eine gesicherte Datenkommunikation zwischen dem Datenträger und der Terminaleinrichtung vorbereitet, indem ein geheimer Kommunikationsschlüssel zur symmetri- sehen Verschlüsselung einer nachfolgenden Datenkommunikation vereinbart wird, beispielsweise mittels des bekannten Schlüsselaustauschverfahrens nach Diffie und Hellman oder anderen geeigneten Verfahren. Weiterhin verifiziert in der Regel zumindest das Terminal die Authentizität des Datenträgers, beispielsweise anhand eines Zertifikats.

Zur Durchführung eines Verfahrens zur Vereinbarung des geheimen Kommunikationsschlüssels ist es notwendig, dass sowohl das Terminal als auch der Datenträger jeweils einen geheimen Schlüssel und einen öffentlichen Schlüssel bereitstellen. Das Zertifikat des Datenträgers kann beispielsweise dessen öffentlichen Schlüssel betreffen.

Wird jeder Datenträger einer Menge oder Gruppe von Datenträgern mit ei- nem individuellen Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel und einem geheimen Schlüssel, personalisiert, ergeben sich Probleme hinsichtlich der Anonymität des Nutzers des Datenträgers. Es wäre dann möglich, jede Verwendung des Datenträgers eindeutig dem entsprechenden Nutzer zuzuordnen und auf diese Weise beispielsweise ein vollständiges Bewe- gungsprofil des Nutzers anzulegen. Um diesem Aspekt gerecht zu werden, ist vorgeschlagen worden, eine Mehrzahl oder Gruppe von Datenträgern mit jeweils einem identischen, so genannten Gruppenschlüsselpaar, bestehend aus einem öffentlichen Gruppenschlüssel und einem geheimen Gruppenschlüssel, auszustatten. Damit kann die Anonymität eines Nutzers, zumin- dest innerhalb der Gruppe, wieder hergestellt werden. Nachteilig an dieser Lösung ist, dass in dem Fall, dass einer der Datenträger der Gruppe kompromittiert wird, die gesamte Gruppe von Datenträgern ausgetauscht werden muss. Wenn beispielsweise der geheime Gruppenschlüssel eines der Datenträger der Gruppe ausgespäht worden ist, kann keiner der Datenträger der Gruppe sicher weiterverwendet werden. Aufwand und Kosten einer notwendigen Austauschaktion können enorm sein.

Aufgabe der vorliegenden Erfindung ist es, ein Authentisierungsverfahren vorzuschlagen, welches die Anonymität des Nutzers wahrt und bei dem die Kompromittierung eines der Datenträger keine negativen Auswirkungen auf die Sicherheit anderer Datenträger hat.

Diese Aufgabe wird durch ein Verfahren, einen Datenträger, eine Terminaleinrichtung und ein System mit den Merkmalen der nebengeordneten An- sprüche gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben.

Ein erfindungsgemäßes Verfahren zum Authentisieren eines portablen Da- tenträgers gegenüber einer Terminaleinrichtung umf asst die folgenden Schritte: In dem Datenträger wird ein öffentlicher Sitzungsschlüssel von einem datenträgerindividuellen öffentlichen Schlüssel abgeleitet. Dieser datenträgerindividuelle öffentliche Schlüssel ist seinerseits von einem öffentlichen Gruppenschlüssel abgeleitet worden. Weiterhin wird in dem Datenträger ein geheimer Sitzungsschlüssel von einem datenträgerindividuellen geheimen Schlüssel abgeleitet, welcher seinerseits von einem geheimen Gruppenschlüssel abgeleitet worden ist. Der datenträgerindividuelle öffentliche Schlüssel und der datenträgerindividuelle geheime Schlüssel sind in dem Datenträger gespeichert, nicht jedoch der geheime Gruppenschlüssel und der öffentliche Gruppenschlüssel. Im Rahmen der Authentisierung des Datenträgers gegenüber der Terrnmaleinrichtung werden der öffentliche und der geheime Sitzungsschlüssel verwendet. Der Datenträger wird seinen geheimen Sitzungsschlüssel verwenden. Den öffentlichen Sitzungsschlüssel stellt der Datenträger für die Terminaleinrichtung bereit, welche diesen im Rah- men der Authentisierung des Datenträgers verwendet.

Insbesondere kann zwischen dem Datenträger und der Terrnmaleinrichtung ein geheimer Kommunikationsschlüssel vereinbart werden. Der Datenträger weist dazu den öffentlichen und den geheimen Sitzungsschlüssel auf. Die Terrnmaleinrichtung weist ihrerseits dazu einen öffentlichen Terminalschlüssel und einen geheimen Terminalschlüssel auf. Schließlich verifiziert die Terminaleinrichtung den öffentlichen Sitzungsschlüssel des Datenträgers. Ein erfindungsgemäßer portabler Datenträger umfasst demnach einen Prozessor, einen Speicher und eine Datenkommunikationsschnittstelle zur Datenkommunikation mit einer Terminaleinrichtung sowie eine Authentisie- rungseinrichtung. Diese ist eingerichtet, einen geheimen Sitzungsschlüssel aus einem in dem Speicher gespeicherten datenträgerindividuellen geheimen Schlüssel abzuleiten. Die Aumentisierungseinrichtung ist weiter eingerichtet, einen öffentlichen Sitzungsschlüssel aus einem in dem Speicher gespeicherten datenträgerindividuellen öffentlichen Schlüssel abzuleiten. Ferner kann sie einen geheimen Kommunikationsschlüssel mit der Termmaleinrichtung zu vereinbaren. Dazu verwendet die Aumentisierungseinrichtung den öffentlichen Sitzungsschlüssel und den geheimen Sitzungsschlüssel.

Eine erfindungsgemäße Terminaleinrichtung schließlich ist zur Datenkommunikation mit einem erfindungsgemäßen portablen Datenträger eingerichtet sowie zum Vereinbaren eines geheimen Kommunikationsschlüssels mit dem Datenträger unter Verwendung eines öffentlichen Terminalschlüssels und eines geheimen Teiminalschlüssels. Die Terminaleinrichtung ist weiter eingerichtet, einen öffentlichen Sitzungsschlüssel des Datenträgers, welcher von einem öffentlichen Gruppenschlüssel über einen datenträgerindividuellen öffentlichen Schlüssel abgeleitet worden ist, zu verifizieren.

In dem erfindungsgemäßen Verfahren ist ein Speichern des geheimen Gruppenschlüssels in dem Datenträger nicht mehr notwendig. Demnach kann ein solcher bei einem Angriff auf den Datenträger auch nicht ausgespäht werden. Geheime Sitzungsschlüssel anderer, nicht angegriffener Datenträger einer Gruppe von Datenträgern können weiterverwendet werden. Ein Verfolgen des Nutzers des Datenträgers anhand des geheimen Sitzungsschlüssels des Datenträgers, welcher eventuell in einem challenge-response- Verfahren zur Authentifikation gegenüber der Terminaleinrichtung einge- setzt wird, ist nicht möglich, da sich dieser Sitzungsschlüssel von einer Verwendung zur nächsten ändert.

Vorzugsweise verifiziert die Terriunaleinrichtung den öffentlichen Sitzungs- Schlüssel des Datenträgers mittels eines Zertifikats des öffentlichen Gruppenschlüssels, welches auf dem Datenträger gespeichert ist. Dazu prüft die Terminaleinrichtung zunächst das Zertifikat. Danach vollzieht die Terminaleinrichtung die Ableitung des öffentlichen Sitzungsschlüssels aus dem öffentlichen Gruppenschlüssel über den datenträgerindividuellen öffentlichen Schlüssel nach. Die dafür notwendigen Ableitungsinformationen werden von dem Datenträger bereitgestellt. Auf diese Weise kann der Datenträger als ein Datenträger der Gruppe, welche dem Gruppenschlüsselpaar zugeordnet sind, authentisiert werden, jedoch nicht anhand eines datenträgerindividuellen Zertifikats - welches erfindungsgemäß nicht vorgesehen ist - verfolgt werden. Lediglich das allen Datenträgern der Gruppe gleiche Zertifikat des öffentlichen Gruppenschlüssels ist auf dem Datenträger gespeichert, wodurch die Anonymität des Nutzers des Datenträgers gewahrt bleibt.

Gemäß einer bevorzugten Ausführungsform werden der datenträgerindivi- duelle öffentliche Schlüssel und der datenträgerindividuelle geheime Schlüssel in einer Personalisierungsphase des Datenträgers von dem öffentlichen Gruppenschlüssel und dem geheimen Gruppenschlüssel abgeleitet und in dem Datenträger gespeichert. Ebenfalls in dieser Phase kann das Zertifikat des öffentlichen Gruppenschlüssels in den Datenträger eingebracht und ge- speichert werden.

Vorzugsweise wird der datenträgerindividuelle geheime Schlüssel von dem geheimen Gruppenschlüssel unter Verwendung einer ersten Zufallszahl abgeleitet. Dazu kann jede geeignete Operation verwendet werden, welche als Eingabedaten - unter anderem - den geheimen Gruppenschlüssel sowie die erste Zufallszahl aufnehmen zu dem datenträgerindividuellen geheimen Schlüssel verarbeiten kann. Beispielsweise können mathematische Operationen, wie Multiplikation, Exponentiation oder ähnliche, zur Anwendung kommen. Der datenträgerindividuelle öffentliche Schlüssel kann dann mittels des zuvor abgeleiten datenträgerindividuellen geheimen Schlüssels abgeleitet werden. Dies ist z.B. dann sinnvoll, wenn auch der öffentliche Gruppenschlüssel mit Hilfe des geheimen Gruppenschlüssels gebildet worden ist, beispielsweise mittels modularer Exponentiation, wie aus dem Diffie- Hellman-Schlüsselaustauschverfahren bekannt. Es ist auch möglich, den datenträgerindividuellen öffentlichen Schlüssel in anderer Weise von dem öffentlichen Gruppenschlüssel abzuleiten.

In ähnlicher Weise erfolgt auch die Ableitung des geheimen Sitzungsschlüs- sels und des öffentlichen Sitzungsschlüssels von dem datenträgerindividuellen geheimen Schlüssel bzw. dem datenträgerindividuellen öffentlichen Schlüssel randomisiert, also abhängig von einer zweiten Zufallszahl. Auch hier können verschiedene Ableitungsoperationen verwendet werden, welche als Eingangsdaten zumindest jeweils den jeweiligen datenträgerindividuel- len Schlüssel und die zweite Zufallszahl erlauben. In der Regel unterscheidet sich die Ableitung des geheimen Sitzungsschlüssels von der Ableitung des öffentlichen Sitzungsschlüssels. Allerdings wird für gewöhnlich für die Ableitung beider Schlüssel des Sitzungsschlüsselpaars dieselbe zweite Zufallszahl verwendet. Da bei jeder Verwendung des Datenträgers, d.h. bei jeder Authentisierung gegenüber einer Terminaleinrichtung, ein neues Sitzungsschlüsselpaar abgeleitet wird, ist ein Rückverfolgen des Datenträgers anhand der Sitzungsschlüssel nicht möglich. Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird der geheime Kommunikationsschlüssel mittels eines bekannten Diffie-Hellman-Schlüsselaustauschverfahrens vereinbart. Diesem liegt eine vorgegebene Primitivwurzel modulo einer vorgegebenen Primzahl zugrun- de. Der datenträgerindividuelle geheime Schlüssel wird von dem geheimen Gruppenschlüssel durch Multiplikation mit der ersten Zufallszahl abgeleitet. Der datenträgerindividuelle öffentliche Schlüssel berechnet sich aus einer Exponentiation der Primitivwurzel mit dem datenträgerindividuellen geheimen Schlüssel. Dabei ist der öffentliche Gruppenschlüssel durch Expo- nentiation der Primitivwurzel mit dem geheimen Gruppenschlüssel gebildet. Das erfindungsgemäße Verfahren - mit vorzugsweise randomisiert wechselnden Sitzungsschlüsseln - lässt sich somit ohne wesentliche Änderungen in bekannte ähnliche Protokolle - welche ein fest an den Datenträger gebundenes Schlüsselpaar vorsehen - und das Diffie-Hellman- Verfahren verwen- den, integrieren.

Der geheime Sitzungsschlüssel kann durch Multiplikation des datenträgerindividuellen geheimen Schlüssels mit der zweiten Zufallszahl gebildet werden. Dann wird der öffentliche Sitzungsschlüssel durch Exponentiation des datenträgerindividuellen Schlüssels mit der zweiten Zufallszahl abgeleitet. Auf diese Weise ergibt sich, dass sich der öffentliche Sitzungsschlüssel dadurch berechnen lässt, dass eine Exponentiation des öffentlichen Gruppenschlüssels mit dem Produkt der ersten mit der zweiten Zufallszahl gebildet wird.

Damit das Terminal den öffentlichen Sitzungsschlüssel des Datenträgers verifizieren kann, sendet der Datenträger den öffentlichen Sitzungsschlüssel, das Produkt der ersten mit der zweiten Zufallszahl sowie das Zertifikat des öffentlichen Gruppenschlüssels an die Terminaleinrichtung. Die Terrrdnaleinrichtung verifiziert den öffentlichen Sitzungsschlüssel - nachdem sie das Zertifikat des öffentlichen Gruppenschlüssels geprüft hat -, indem sie eine Exponentiation des öffentlichen Gruppenschlüssels mit dem Produkt der beiden Zufallszahlen bildet. Diese Berechnung ergibt, wie vorstehend beschrieben, gerade den öffentlichen Sitzungsschlüssel - solange dieser in der vorgeschriebenen Weise von dem öffentlichen Gruppenschlüssel über den datenträgerindividuellen öffentlichen Schlüssel abgeleitet worden ist. Der öffentliche Sitzungsschlüssel kann also alleine anhand des öffentli- chen Gruppenschlüssels verifiziert werden. Auf diese Weise wird der Datenträger, unter Beachtung der Anonymität des Nutzers des Datenträger und ohne dass es eines datenträgerindividuellen Zertifikats bedarf, als dem öffentlichen Gruppenschlüssel zugehörig authentisiert. Als Datenträger wird vorliegend beispielsweise ein elektronisches Ausweisdokument, eine Chipkarte, eine SIM-Karte, eine sichere Multimediakarte oder ein sicherer USB-Token verstanden. Die Termmaleinrichtung kann ein beliebiger Authentisierungspartner sein. Insbesondere kann es ein lokales oder ein entferntes Terminal, ein entfernter Server oder ein anderer Daten- träger.

Wie vorstehend mehrfach angedeutet, werden zum Ableiten datenträgerindividueller geheimer Schlüssel und datenträgerindividueller öffentlicher Schlüssel einer Mehrzahl verschiedener Datenträger, die eine Gruppe von Datenträgern bilden, jeweils dieselben öffentlichen bzw. geheimen Gruppenschlüssel verwendet. Es ist natürlich möglich, mehrere Gruppen von Datenträgern vorzusehen, welche jeweils einem eigenen Gruppenschlüsselpaar zugeordnet sind. Im Folgenden wird die Erfindung mit Bezug auf die beiliegenden Zeichnungen beispielhaft beschrieben. Darin zeigen:

Figur 1 schematisch eine bevorzugte Ausführungsform eines erf in- dungsgemäßen Datenträgers und die

Figuren 2 und 3 Schritte einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zum Authentisieren des Datenträgers aus Fig. 1 gegenüber einer Termmaleinrichtung.

Mit Bezug auf Fig. 1 umfasst ein Datenträger 10, der hier als Chipkarte dargestellt ist, Datenkommunikationsschnittstellen 20, 20', einen Prozessor 30 sowie verschiedene Speicher 40, 50 und 60. Der Datenträger 10 kann auch in anderer Bauform vorliegen.

Als Datenkommunikationsschnittstellen 20, 20' umfasst der Datenträger 10 ein Kontaktfeld 20 zur kontaktbehafteten Datenkommunikation sowie eine Antennenspule 20' zur kontaktlosen Datenkommunikation. Alternative Da- tenkommur-ikationsschnittstellen können vorgesehen sein. Es ist weiterhin möglich, dass der Datenträger 10 lediglich eine Art der Dateiikommunikati- on unterstützt, also lediglich kontaktbehaftet oder kontaktlos.

Der nicht flüchtige, nicht wiederbeschreibbare ROM-Speicher 40 umfasst ein Betriebssystem (OS) 42 des Datenträgers 10, welches den Datenträger 10 steuert. Zumindest Teile des Betriebssystems 42 können auch in dem nicht flüchtigen, wiederbeschreibbaren Speicher 50 gespeichert sein. Dieser kann beispielsweise als FLASH-Speicher vorliegen. Der Speicher 50 umfasst eine Aumentisierungseiiuichtung 52, mittels welcher eine Authentisierung des Datenträgers 10 gegenüber einer Terrninalein- richtung durchgeführt werden kann. Dabei finden die ebenfalls in dem Speicher gespeicherten, datenträgerindividuellen Schlüssel 54, 56 sowie ein digi- tales Zertifikat 58 ihre Anwendung. Die Funktionsweise der Authentisie- rungseinrichtung 52, die Schlüssel 54, 56 und das Zertifikat 58 sowie deren Rolle während eines Authentisierungsverfahrens werden mit Bezug auf die Figuren 2 und 3 genauer beschrieben. Der Speicher 50 kann weitere Daten enthalten, beispielsweise seinen Nutzer betreffende Daten.

Der flüchtige, wiederbeschreibbare RAM-Speicher 60 dient dem Datenträger 10 als Arbeitsspeicher.

Der Datenträger 10 kann, wenn er beispielsweise ein elektronisches Aus- weisdokument darstellt, weitere Merkmale umfassen (nicht gezeigt). Diese können sichtbar auf einer Oberfläche des Datenträgers 10 aufgebracht, beispielsweise aufgedruckt, sein und den Nutzer des Datenträgers bezeichnen, beispielsweise durch seinen Namen oder ein Foto. Mit Bezug auf die Figuren 2 und 3 wird nun eine Ausführungsform des Verfahrens zur Authentisierung des Datenträgers 10 gegenüber einer Terrninal- einrichtung genauer beschrieben. In Fig. 2 sind vorbereitende Schritte gezeigt. Diese können beispielsweise während der Herstellung des Datenträgers 10, etwa in einer Personalisierungsphase, durchgeführt werden.

In einem ersten Schritt Sl werden ein geheimer Gruppenschlüssel SK sowie ein öffentlicher Gruppenschlüssel PK gebildet. Der Schlüssel PK berechnet sich als Ergebnis einer Exponentiation einer vorgegebenen Prirnitivwurzel g modulo einer vorgegebenen Primzahl p. Sämtliche im Folgenden beschrie- benen Berechnungen sind modulo der Primzahl p zu lesen, ohne dass dies stets explizit angegeben ist. Die beiden Schlüssel SK und PK bilden ein Gruppenschlüsselpaar und stellen die Grundlage für die nachstehend beschriebene Schlüsselarchitektur für eine Gruppe von gleichartigen Datenträ- gern 10 bereit.

In Schritt S2 wird ein Zertifikat CPK gebildet, welches zur Verifikation des öffentlichen Gruppenschlüssels PK dient. Schritt S3 findet während der Personalisierung des Datenträgers 10 statt. Dabei wird der Datenträger 10, welcher einen Datenträger einer vorgegebenen Gruppe von Datenträgern darstellt, mit einem datenträgerindividuellen Schlüsselpaar SKi, PKi ausgestattet, welches randomisiert, d.h. abhängig von einer ersten Zufallszahl RNDi, von dem Gruppenschlüsselpaar SK, PK abge- leitet wird. Auf diese Weise wird jeder Datenträger 10 der Gruppe mit einem eigenen, datenträgerindividuellen Schlüsselpaar ausgestattet, welches sich von einem entsprechenden Schlüsselpaar eines anderen Datenträgers der Gruppe - auf rund der randomisierten Komponente bei der Schlüsselableitung - unterscheidet. Auf der anderen Seite verbindet alle Datenträger 10 der Gruppe die Tatsache, dass ihr Schlüsselpaar von dem gleichen Gruppenschlüsselpaar SK, PK abgeleitet worden ist.

In Teilschritt TS31 wird ein datenträgerindividueller geheimer Schlüssel SKi abgeleitet, indem der geheime Gruppenschlüssel SK mit der Zufallszahl RNDi multipliziert wird.

Der datenträgerindividuelle öffentliche Schlüssel PKi berechnet sich in Teilschritt TS32 anschließend als Ergebnis einer Exponentiation der vorstehend erwähnten Primitivwurzel g mit dem zuvor gebildeten, datenträgerindividuellen geheimen Schlüssel SKi.

Die derart abgeleiteten Schlüssel SKi und PKi werden in Teilschritt TS33 zu- sammen mit der Zufallszahl RNDi und dem Zertifikat CPK in dem Datenträger 10 gespeichert. Dieser ist damit eingerichtet, mittels seiner Authentisierungseinrichtung 52 eine Authentisierung gegenüber einer Terminaleinrichtung durchzuführen, wie dies mit Bezug auf Fig. 3 genauer beschrieben wird.

Zur Vorbereitung einer Schlüsselvereinbarung mit der Termmaleinrichtung (vgl. Schritt S7) leitet die Authentisierungseinrichtung 52 in Schritt S4 einen geheimen Sitzungsschlüssel SKsession ab. Dieser geheime Sitzungsschlüssel SKsession bildet zusammen mit dem nachstehend beschriebenen öffentlichen Sitzungsschlüssel PKsession (vgl. Schritt S5) ein Sitzungsschlüsselpaar. Dieses Schlüsselpaar wird in dem Datenträger von der Aumentisierungseinrichtung 52 allerdings nur in Verbindung mit einer einzigen Authentisierung gegenüber einer Termmaleinrichtung verwendet. Zum Durchführen jeder zukünftigen, weiteren Authentisierung wird durch die Aumentisienmgseinrichtung 52, in der nachfolgend beschriebenen Weise, jeweils ein neues Sitzungsschlüsselpaar aus dem datenträgerindividuellen Schlüsselpaar SKi, PKi abgeleitet.

Das Sitzungsschlüsselpaar wird ebenfalls mit Hilfe einer randomisierten Komponente gebildet. Dazu wird von der Aumentisiemngseinrichtung 52 eine zweite Zufallszahl RNDsession erzeugt oder bereitgestellt. Der geheime Sitzungsschlüssel SKsession berechnet sich dann aus einer Multiplikation des datenträgerindividuellen geheimen Schlüssels SKi mit der zweiten Zufallszahl RNDsession. Der öffentliche Sitzungsschlüssel PKsession wird in Schritt S5 als Ergebnis der Exponentiation des datenträgerindividuellen öffentlichen Schlüssels PKi mit der zweiten Zufallszahl RNDsession abgeleitet. In Schritt S6 sendet die Authen- tisierungseinrichtung 52 den öffentlichen Sitzungsschlüssel PKsession, den Wert RNDi*RNDsession, der sich aus der Multiplikation der ersten und der zweiten Zufallszahl ergibt, sowie das Zertifikat CPK an die Terminaleinrichtung. In Schritt S7 wird nun zwischen der Aumentisierungseinrichrung 52 des Datenträgers 10 und der Termmaleinrichtung ein Kommunikationsschlüssel KK vereinbart. Dieser dient zur Verschlüsselung einer nachfolgenden Datenkommunikation zwischen dem Datenträger 10 und der Terminaleinrichtung mittels eines symmetrischen Verschlüsselungsverfahrens. Die Schlüsselver- einbarung kann mit bekannten Verfahren durchgeführt werden, beispielsweise dem Diffie-Hellman-Schlüsselaustauschverf ahren.

Abschließend prüft die Ternünaleinrichtung in Schritt S8 die Authentizität des Datenträgers 10. Dazu prüft sie in einem ersten Teilschritt TS81 das Zerti- fikat CPK des öffentlichen Gruppenschlüssels PK, welcher dem Terminal bekannt ist. Anschließend verifiziert die Tern inaleinrichtung den öffentlichen Sitzungsschlüssel PKsession des Datenträgers 10. Dazu berechnet die Terminaleinrichtung das Ergebnis der Exponentiation des öffentlichen Gruppenschlüssels mit dem Produkt RNDi*RNDsession der beiden Zufallszahlen und vergleicht dieses Ergebnis mit dem öffentlichen Sitzungsschlüssel PKsession. Durch diese Berechnung vollzieht die Terrninaleinrichtung die Ableitung des öffentlichen Sitzungsschlüssels PK Session, ausgehend von dem öffentlichen Gruppenschlüssel PK über den datenträgerindividuellen öffentlichen Schlüssel PKi,nach. Dies gilt, da PKses; = PKi ^A (RNDsession) (vgl. Schritt S5)

= (g ^A (SKi)) ^Λ (RNDsession) (vgl. Teilschritt TS32)

= (g ^A (SK*RNDi)) ^Λ (RNDsession) (vgl. Teilschritt TS31)

= (g ^A SK) ^A ( RNDi*RNDsession) (math. Umformulierung)

= ΡΚ ^Λ ( RNDi*RNDsession) (vgl. Schritt Sl).

Stirnmt das Ergebnis mit dem öffentlichen Sitzungsschlüssel PKsession überein, gilt der Datenträger 10 als verifiziert. Im gegenteiligen Fall bricht die Terrrünaleinrichtung das Authentisierungsverfahren ab. Das Verfahren ermöglicht es somit, dass der Nutzer des Datenträgers 10 - zumindest innerhalb der Gruppe von Datenträgern, die demselben Grup- penschlüsselpaar SK, PK zugeordnet sind - anonym bleiben kann. Es ist nicht möglich, die Verwendung des Datenträgers 10 auf den Nutzer zurückzu verfolgen, da einerseits pro Sitzung wechselnde Sitzungsschlüssel SKsession, PKsession verwendet werden und andererseits die Verifikation des Datenträgers 10 lediglich mittels des Zertifikats CP des öffentlichen Gruppenschlüssels PK erfolgt - der für alle Datenträger der Gruppe gleich ist - und nicht mittels eines datenträgerindividuellen Zertifikats. Weiterhin vorteilhaft ist, dass ein Speichern des geheimen Gruppenschlüssels SK in den Datenträgern 10 der Gruppe verzichtbar ist.

Im Rahmen der vorliegenden Lösung kann eine Multiplikation eine beliebige gruppenspezifische Multiplikation und eine Exponentiation eine beliebige gruppenspezifische Exponentiation sein. Multiplikation und Exponentiation können auf Basis des diskreten Logarithmus oder auf Basis elliptischer Kurven durchgeführt werden. Zudem kann man bei der Ableitung beispielsweise des individuellen Schlüssels SKi = SK*RNDi eine modifizierte Ableitung verwenden, um die Berechnung von SK zu erschweren. Beispielsweise kann gewählt werden: SKi = RNDi ^A SK.