Tragbare Datenträger werden insbesondere in Form von Chipkarten vielfäl- tig eingesetzt. Je nach vorgesehenem Einsatzzweck können sehr hohe Si- cherheitsstandards erreicht werden, so dass Manipulationsversuche kaum Erfolgschancen haben. Dennoch ist bei einem Verlust oder Diebstahl einer Chipkarte Vorsicht angeraten, insbesondere wenn nicht definitiv ausge- schlossen werden kann, dass ein Dritter Kenntnis von persönlichen Geheim- daten haben könnte, die für die Benutzung der Chipkarte benötigt werden.

Besonders kritisch ist in diesen Zusammenhang die Ausgabe der Chipkarte an den Benutzer, da diese in der Regel nicht durch eine persönliche Aushän- digung, sondern auf dem Versandweg erfolgt. Es sind deshalb Vorkehrun- gen zu treffen, dass die Chipkarte nur vom berechtigten Benutzer in Betrieb genommen werden kann. Hierzu ist es bereits bekannt, eine für die Inbe- triebnahme der Chipkarte benötigte persönliche Geheimzahl zeitversetzt mit separater Post an den Benutzer zu senden. Bereits durch die getrennte Zu- stellung kann das Missbrauchsrisiko erheblich reduziert werden, da ein Un- berechtigter nicht nur eine, sondern zwei Sendungen abfangen müsste. Hin- zu kommt noch, dass der berechtigte Benutzer in der Regel über die bevor- stehende Zusendung der Chipkarte und der Geheimzahl informiert ist. Ein Ausbleiben des Eingangs der je nach gewählter Vorgehensweise zuerst ge- sandten Chipkarte oder Geheimzahl könnte somit vom Benutzer gemeldet werden und daraufhin die Nachsendung der Geheimzahl bzw. der Chipkar- te gestoppt werden. Dadurch könnte verhindert werden, dass ein Unberech- tigter in den gemeinsamen Besitz von Chipkarte und Geheimzahl käme.

Trotz dieser vielfach praktizierten und bewährten Vorgehensweise besteht vor allem bei Anwendungen mit sehr hohen Sicherheitsanforderungen, wie

beispielsweise Signaturanwendungen, der Bedarf, möglichst jedes potentielle Risiko auszuschalten. Insbesondere soll möglichst auch das Restrisiko elimi- niert werden, dass ein Unberechtigter sowohl die Sendung mit der Chipkarte als auch die Sendung mit der persönlichen Geheimzahl unbemerkt abfängt und dadurch die Chipkarte unberechtigterweise benutzen kann. Außerdem besteht häufig die Forderung, dass die Inbetriebnahme der Chipkarte durch den Benutzer persönlich zu erfolgen hat. Selbst bei einer ordnungsgemäßen Übermittlung der Chipkarte und der Geheimzahl an den Benutzer ist aber nicht gewährleistet, dass die Inbetriebnahme der Chipkarte tatsächlich vom Benutzer vorgenommen wird, da der Benutzer die Geheimzahl an einen Dritten weitergeben kann, der dann die Inbetriebnahme der Chipkarte vor- nehmen könnte. Im Nachhinein lässt sich nicht feststellen, wer die Chipkarte tatsächlich in Betrieb genommen hat.

Der Erfindung liegt die Aufgabe zugrunde, die Ausgabe eines tragbaren Da- tenträgers an einen Benutzer möglichst sicher zu gestalten.

Diese Aufgabe wird durch ein Verfahren mit der Merkmalskombination des Anspruchs 1 gelöst.

Beim erfindungsgemäßen Verfahren zur Ausgabe eines tragbaren Datenträ- gers an einen Benutzer werden im tragbaren Datenträger Referenzdaten ab- gelegt, die vom tragbaren Datenträger für eine Prüfung von eingegebenen Verifikationsdaten herangezogen werden. Eine Aktivierung des tragbaren Datenträgers für die Benutzung erfolgt nur dann, wenn die Prüfung der ein- gegebenen Verifikationsdaten ein positives Ergebnis liefert. Die Besonderheit des erfindungsgemäßen Verfahrens besteht dabei darin, dass für die Erzeu- gung der Referenzdaten vor Übermittlung des tragbaren Datenträgers an den Benutzer biometrische Daten des Benutzers unter Aufsicht einer Regi-

strierungsstelle erfasst werden und nach Übermittlung des tragbaren Daten- trägers an den Benutzer für die zur Aktivierung des tragbaren Datenträgers erforderliche Prüfung als Verifikationsdaten vom Benutzer aktuell erfasste biometrische Daten oder daraus abgeleitete Daten verwendet werden.

Das erfindungsgemäße Verfahren hat den Vorteil, dass ein sehr hoher Si- cherheitsstandard bei der Ausgabe eines tragbaren Datenträgers an einen Benutzer gewährleistet ist. Dabei ist es insbesondere von Vorteil, dass der tragbare Datenträger ausschließlich vom Benutzer persönlich aktiviert wer- den kann und sich dies auch nachträglich belegen lässt. Schließlich ist es noch von Vorteil, dass die biometrischen Daten in der Registrierungsstelle unter Aufsicht von fachkundigem Personal erfasst werden, so dass bei der Erfassung Fehler weitgehend vermieden werden können und somit eine ho- he Betriebssicherheit bei der Aktivierung des tragbaren Datenträgers er- reichbar ist.

Im Zusammenhang mit der Erfassung der biometrischen Daten bei der Regi- strierungsstelle wird in der Regel eine Identitätsprüfung des Benutzers durchgeführt. Dadurch ist gewährleistet, dass die aus den erfassten biome- trischen Daten erzeugten Referenzdaten mit hoher Zuverlässigkeit der Per- son des Benutzers zugeordnet werden können.

Vorzugsweise erfolgt eine Aktivierung des tragbaren Datenträgers für die Benutzung nur dann, wenn ein vorgegebener Grad an Übereinstimmung zwischen den eingegebenen Verifikationsdaten und den gespeicherten Refe- renzdaten erreicht wird. Durch geeignete Vorgabe des geforderten Grads an Übereinstimmung kann im Hinblick auf die jeweilige Anwendung, für die der tragbare Datenträger vorgesehen ist, zum einen ein zuverlässigen Schutz vor einer Aktivierung durch einen Unberechtigten gewährleistet werden

und zum anderen eine Verweigerung der Aktivierung gegenüber dem rechtmäßigen Benutzer weitgehend vermieden werden. Zu einer erhöhten Sicherheit trägt es auch bei, wenn eine Aktivierung des tragbaren Datenträ- gers für die Benutzung nur dann erfolgt, wenn die eingegebenen Verifikati- onsdaten nicht identisch mit den gespeicherten Referenzdaten übereinstim- men, da bei einer identischen Übereinstimmung die Gefahr besteht, dass als Verifikationsdaten eine Kopie der Referenzdaten verwendet wird.

Weiterhin kann es im Rahmen des erfindungsgemäßen Verfahrens vorgese- hen sein, dass vom Benutzer über eine Datenverbindung ein für den tragba- ren Datenträger erzeugtes Zertifikat bei einer Registrierungsbehörde freige- schaltet wird. Damit kann der Benutzer dafür Sorge tragen, dass das Zertifi- kat, dass bei der Benutzung des tragbaren Datenträgers von Bedeutung ist, erst dann allgemein verfügbar ist, nachdem er den tragbaren Datenträger aktiviert hat.

Die gespeicherten Referenzdaten können zusätzlich bei einer Anwendung, für die der tragbare Datenträger vorgesehen ist, verwendet werden. Durch diese Doppelfunktion kann beim tragbaren Datenträger Speicherplatz einge- spart werden. Zudem kann das hohe Sicherheitsniveau der Referenzdaten über die Aktivierung des tragbaren Datenträgers hinaus genutzt werden.

Das erfindungsgemäße Verfahren kann insbesondere zur Ausgabe eines tragbaren Datenträgers angewendet werden, der für die Erzeugung einer Signatur eingesetzt wird. Bei einer derartigen Anwendung ist eine zweifels- freie Feststellung der Urheberschaft der Signatur und somit des Benutzers des tragbaren Datenträgers sehr wichtig. Der tragbare Datenträger kann ins- besondere als eine Chipkarte ausgebildet sein, die bei sehr handlichen Ab- messungen einen sehr hohen Sicherheitsstandard bietet.

Die Erfindung wird im folgenden anhand des in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert, bei dem der tragbare Datenträger als Chipkarte ausgebildet ist.

Die einzige Fig. zeigt eine schematische Darstellung der erfindungsgemäßen Vorgehensweise bei der Ausgabe einer Chipkarte an einen Benutzer. Die Darstellung bezieht sich insbesondere auf die Ausgabe einer Chipkarte für eine Signaturanwendung an einen Benutzer. Eine derartige Chipkarte dient dazu, ein in digitaler Form vorliegendes Dokument mit einer Signatur zu versehen die zum einen fälschungssicher ist und zum anderen von jedem Dritten auf ihre Echtheit hin überprüfbar ist. Hierzu ist in der Chipkarte ein geheimer Schlüssel zugriffsgeschützt abgelegt, mit dessen Hilfe ein aus dem Dokument gebildeter Hash-Wert zur Erzeugung einer Signatur einer kryp- tographischen Operation unterzogen wird. Bei der kryptographischen Ope- ration handelt es sich in der Regel um eine Entschlüsselung mit einem ge- heimen Schlüssel. Die so erzeugte Signatur kann beispielsweise an das Do- kument angehängt werden. Zur Prüfung der Echtheit der Signatur und gleichzeitig auch der Authentizität des damit signierten Dokuments kann jeder Dritte von einer Zertifizierungsbehörde ein dem Unterzeichner des Dokuments zugeordnetes Zertifikat anfordern. Mit Hilfe des Zertifikats wird die Signatur einer kryptographischen Operation unterzogen. Dabei handelt es sich in der Regel um eine Verschlüsselung mit einem öffentlichen Schlüs- sel. Das Ergebnis wird mit einem Hash-Wert verglichen, der auf Basis des signierten Dokuments gebildet wird. Eine Übereinstimmung bedeutet zum einen, dass der geheime und der öffentliche Schlüssel korrespondieren und die Signatur somit echt ist. Zum anderen folgt aus einer Übereinstimmung, dass die kryptographischen Operationen auf Basis des gleichen Dokuments

durchgeführt wurden und somit das dem Dritten vorliegende Dokument authentisch ist.

Angesichts der weitreichenden Konsequenzen, die das Signieren eines Do- kuments auslösen kann, ist das erfindungsgemäße Verfahren so aufgebaut, dass die an den Benutzer ausgegebene Chipkarte nur von diesem persönlich aktiviert werden kann. Eine Aktivierung durch einen Dritten auch mit Ein- verständnis des Benutzers ist ausgeschlossen. Dies gelingt zum einen da- durch, dass die Aktivierung an biometrische Daten des Benutzers geknüpft wird und zum anderen durch eine von Anfang an sichere Zuordnung der dafür benötigten biometrischen Referenzdaten zur Person des Benutzers. Im einzelnen wird folgendermaßen vorgegangen : Der Benutzer, der in der Fig. mit dem Bezugszeichen 1 bezeichnet wird, wendet sich in einem Schritt S1 persönlich an eine öffentliche Registrierungs- stelle 2. Dort wird die Identität des Benutzers 1 beispielsweise anhand eines vom Benutzer 1 vorgelegten Ausweisdokuments überprüft. Wenn die Identi- tät des Benutzers 1 festgestellt ist werden persönliche Daten und biometri- sche Referenzdaten des Benutzers 1 erfasst. Dabei ist es insbesondere wich- tig, dass die biometrischen Referenzdaten unter Aufsicht der Registrierungs- stelle 2 erfasst werden, um eine definitive Zuordnung der biometrischen Re- ferenzdaten zur Person des Benutzers 1 sicherzustellen und eine unsachge- mäße Erfassung der biometrischen Referenzdaten zu vermeiden, die bei der späteren Aktivierung der Chipkarte Probleme verursachen könnte. Von der Sorgfalt, die von der Registrierungsstelle 2 angewendet wird, hängen somit die Sicherheit und die Funktionsfähigkeit der Anwendungen, für die die Chipkarte vorgesehen ist, wesentlich ab. Um die Sicherheit und Funktions- fähigkeit weiter zu verbessern werden als biometrische Referenzdaten in der

Regel nicht die erfassten biometrischen Rohdaten verwendet, sondern es findet eine Aufbereitung dieser Rohdaten statt.

In einem auf Schritt S1 folgenden Schritt S2 versendet die Registrierungs- stelle 2 die erfassten persönlichen Daten und biometrischen Referenzdaten des Benutzers 1 auf einem gesicherten Weg an eine Registrierungsbehörde 3.

Die Registrierungsbehörde 3 versendet die Daten in einem Schritt S3 auf ei- nem gesicherten Weg an einen Personalisierer 4. Bei dem Personalisierer 4 kann es sich beispielsweise um einen Hersteller von Chipkarten handeln.

Der Personalisierer 4 veranlasst die Generierung eines Schlüsselpaars beste- hend aus einem geheimen und einem zugehörigen öffentlichen Schlüssel.

Der geheime Schlüssel wird zugriffsgeschützt in der Chipkarte abgelegt. Für den öffentlichen Schlüssel fordert der Personalisierer 4 in einem Schritt S4 ein Zertifikat von einer Zertifizierungsbehörde 5 an. Die Zertifizierungsbe- hörde 5 erzeugt das Zertifikat und sendet es in einem Schritt S5 an den Per- sonalisierer 4. Weiterhin speichert die Zertifizierungsbehörde 5 das Zertifikat ab und stellt es auf Wunsch jedermann zur Verfügung. Der Personalisierer 4 führt eine Personalisierung der Chipkarte durch, in deren Rahmen die für die Verwendung der Chipkarte durch den Benutzer 1 benötigten Daten in die Chipkarte eingeschrieben werden. Diese Daten umfassen insbesondere auch die biometrischen Referenzdaten des Benutzers 1. Nach der Personali- sierung sendet der Personalisierer 4 die personalisierte Chipkarte in einem Schritt S6 an die Registrierungsbehörde 3. Die Chipkarte befindet sich dabei in einem deaktivierten Zustand, d. h. eine Verwendung der Chipkarte ist erst nach vorheriger Aktivierung durch den Benutzer 1 möglich. Dadurch soll eine missbräuchliche Verwendung der Chipkarte vor der Übergabe an den Benutzer 1 verhindert werden. Die Registrierungsbehörde 3 leitet die Chip- karte in einem Schritt S 7 an den Benutzer 1 weiter. Während dieser Weiter- leitung an den Benutzer 1 ist die Chipkarte weiterhin deaktiviert.

Der Benutzer 1 führt in einem Schritt S8 eine Aktivierung der Chipkarte durch. Hierzu veranlasst der Benutzer 1 beispielsweise unter Zuhilfenahme eines geeigneten Endgeräts die Eingabe seiner biometrischen Daten in die Chipkarte. Angesichts der Komplexität der biometrischen Daten, die sich beispielsweise auf einen Fingerabdruck, der Struktur des Augenhinder- grunds usw. beziehen können, wir dabei je nach Leistungsfähigkeit der Chipkarte und der vorgesehenen Anwendung beispielsweise so vorgegan- gen, dass vom Endgerät bereits eine Vorauswertung der biometrischen Da- ten durchgeführt wird und die so ermittelten Daten anstelle der Rohdaten als biometrische Verifikationsdaten an die Chipkarte weitergeleitet werden.

In der Chipkarte werden die eingegebenen biometrischen Verifikationsdaten mit den gespeicherten biometrischen Referenzdaten verglichen. Bei einem ausreichenden Grad an Übereinstimmung wird davon ausgegangen, dass die biometrischen Verifikationsdaten vom berechtigten Benutzer 1 stammen, von dem zuvor bei der Registrierungsstelle 2 die biometrischen Referenzda- ten erfasst wurden. Folglich wird die Chipkarte für die Benutzung aktiviert.

Reicht der Grad an Übereinstimmung nicht aus, so unterbleibt die Aktivie- rung der Chipkarte. In dem Sonderfall einer perfekten Übereinstimmung unterbleibt die Aktivierung ebenfalls, da angesichts der mit einer gewissen Messungenauigkeit behafteten Erfassung sowohl der Referenzdaten als auch der Verifikationsdaten nicht mit einer perfekten Übereinstimmung zu rech- nen ist. Tritt dennoch eine perfekte Übereinstimmung auf, so deutet das dar- auf hin, dass für die Verifikationsdaten eine Kopie der Referenzdaten ver- wendet wird und somit ein Manipulationsversüch vorliegt.

Die Aktivierung der Chipkarte gemäß der Erfindung wird insbesondere zur Absicherung des Transports der Chipkarte eingesetzt, so dass die Chipkarte durch eine erfolgreiche Aktivierung für die weitere Benutzung freigeschaltet

wird und damit überhaupt erst einsetzbar wird. Im Rahmen dieser Benut- zung, d. h. beim vorliegenden Ausführungsbeispiel beim Signieren eines Dokuments, ist zusätzlich jedes Mal ein Berechtigungsnachweis seitens des Benutzers 1 für die Durchführung der Anwendung zu erbringen. Dieser Be- rechtigungsnachweis kann wiederum auf der Basis von biometrischen Daten geführt werden, wobei insbesondere die gleichen Referenzdaten verwendet werden können, die bereits bei der erstmaligen Aktivierung der Chipkarte nach der Ausgabe an den Benutzer verwendet wurden.

Beim vorliegenden Ausführungsbeispiel wird vom Benutzer 1 vor der Ver- wendung der Chipkarte zum Signieren von Dokumenten in einem Schritt S9 das Zertifikat bei der Zertifizierungsbehörde 5 freigeschaltet. Durch die Frei- schaltung wird das Zertifikat für jedermann zugänglich gemacht, so dass jeder eine dem Benutzer 1 zugerechnete Signatur auf ihre Echtheit prüfen kann. Dieser Überprüfungsmöglichkeit kommt eine wichtige Bedeutung im Hinblick auf die Akzeptanz der Signatur des Benutzers 1 durch Dritte zu, da diese nur dann eine Signatur akzeptieren werden, wenn sie die Möglichkeit haben, deren Echtheit auf einfache Weise zuverlässig überprüfen zu können.

Die Freischaltung des Zertifikats durch den Benutzer 1 kann beispielsweise über das Internet erfolgen.