Tragbare Datenträger, insbesondere Chipkarten, können vielfältig eingesetzt werden, etwa zur Abwicklung von Transaktionen des Zahlungsverkehrs, als Ausweisdokumente bei Zugangskontrollen, als Berechtigungsnachweis zur Nutzung eines Mobilfunksystems usw. Bevor ein tragbarer Datenträger bei einer Anwendung eingesetzt werden kann, ist es in der Regel erforderlich, im Rahmen einer Initialisierung und einer nachfolgenden Personalisierung Daten in einen nichtflüchtigen Speicher des tragbaren Datenträgers zu laden.

Bei der Initialisierung werden beispielsweise Ergänzungen eines Betriebssy- stems des tragbaren Datenträgers, das in einem Permanentspeicher des trag- baren Datenträgers gespeichert ist, in den nichtflüchtigen Speicher einge- schrieben und-Dateistrukturen angelegt. Weiterhin wird die nachfolgende \, Personalisierung vorbereitet. Soweit die Möglichkeit dazu besteht, werden die Daten unter äußerer Vorgabe von physikalischen Speicheradressen in den nichtflüchtigen Speicher eingeschrieben, um die für das Einschreiben benötigte Zeit möglichst gering zu halten. Ein möglichst schnelles Einschrei- ben wird deshalb angestrebt, da mit einer Zunahme der Zeit, die für das Ein- schreiben der Daten benötigt wird, in der Regel auch die Kosten für die In- itialisierung bzw. Personalisierung zunehmen.

Bei der Personalisierung werden im nichtflüchtigen Speicher zum Beispiel Anwendungen installiert und personenbezogene Daten eingeschrieben, wo- bei die physikalischen Speicheradressen in der Regel nicht bekannt sind.

Deshalb werden die Daten ohne äußere Vorgabe der physikalischen Spei- cheradressen in den nichtflüchtigen Speicher eingeschrieben und es wird jeweils vom tragbaren Datenträger entschieden, welche Daten in welcher Form unter welcher physikalischen Adresse abgelegt werden. Dadurch lässt

sich beispielsweise ein Überschreiben von noch benötigten Speicherplätzen zuverlässig verhindern, da die Speicherplatzbelegung innerhalb des tragba- ren Datenträgers zu jedem Zeitpunkt bekannt ist. Allerdings ist bei dieser Vorgehensweise bei großen Datenmengen ein hoher Zeitaufwand für das Einschreiben in den Speicher erforderlich.

Eine mögliche Realisierung des Einschreibens von Daten in eine Chipkarte mit und ohne äußere Vorgabe der physikalischen Speicheradressen ist aus der WO 00/52635 bekannt. Dort wird vorgeschlagen, zur Reduzierung der für das Einschreiben von Personalisierungsdaten in eine Chipkarte benötig- ten Zeit die Chipkarte mit einer gesonderten Speicherschnittstelle auszurü- sten. Die gesonderte Speicherschnittstelle ist mit den externen Anschlüssen des Chips elektrisch leitend verbunden, so daß der Speicher unter Umge- hung des Mikroprozessors der Chipkarte direkt zugänglich ist. Über Schalt- mittel, die in eine Speichersteuerlogik des Speichers integriert sind, kann zwischen einem direkten Ladebetrieb und einem vom Mikroprozessor un- terstützten. Ladebetrieb umgeschaltet werden. Bei dem vom Mikroprozessor unterstützten Ladebetrieb werden Daten asynchron bei einer vom Mikro- prozessor vorgegebenen Taktfrequenz von einer Personalisierungseinrich- tung an den Mikroprozessor übertragen und unter Mitwirkung des Mikro- prozessors in den Speicher geschrieben. Bei dem direkten Ladebetrieb wer- den die Daten direkt von der Personalisierungseinrichtung in den Speicher geladen, wobei die Datenübertragung synchron bei einer durch die Persona- lisierungseinrichtung vorgegebenen Übertragungsfrequenz erfolgt.

Mit dem direkten Ladebetrieb lassen sich die Personalisierungszeiten, vergli- chen mit dem vom Mikroprozessor unterstützten Ladebetrieb, zwar prinzi- piell erheblich verkürzen. Voraussetzung hierfür ist aber, daß jeweils im ein- zelnen bekannt ist, wie der Speicher mit den einzuschreibenden Daten belegt

werden soll. Die physikalische Speicherbelegung kann aber in der Regel von der Personalisierungseinrichtung nicht frei vorgegeben werden, sondern hängt beispielsweise vom jeweils vorgesehenen Personalisierungsprofil ab.

Um den direkten Ladebetrieb anwenden zu können, müßte somit für jedes Personalisierungsprofil eine eigene Personalisierungsprozedur bereitgestellt werden und bei der Personalisierung jeweils eine dieser Personalisierungs- prozeduren aufgerufen werden. Dies würde einen sehr hohen Aufwand er- fordern. Außerdem sind in der Regel auch innerhalb desselben Personalisie- rungsprofils zumindest einige der Personalisierungsdaten für verschiedene Chipkarten inhaltlich verschieden, wodurch zusätzliche Schwierigkeiten ent- stehen. Die praktische Anwendung des direkten Ladebetriebs bei der Perso- nalisierung von Chipkarten ist daher mit großen Problemen verbunden.

Wie in"Handbuch der-CKplcarten", Wolfgang Rankl/Wolfgang Effing, 4.

Auflage (2002) S. 645-648 erwähnt, ist es zwar prinzipiell möglich, die Chip- karte zur Ermittlung der physikalischen Speicheradressen mittels geeigneter Simulationsprogramme nachzubilden. Angesichts des dafür erforderlichen hohen Aufwands ist diese Vorgehensweise allerdings nur sehr bedingt ge- eignet. Es wird daher in demselben Dokument vorgeschlagen, eine Chipkar- te, die in einem ansonsten nicht benutzten Speicherbereich ein Dump- Programm enthält, mittels logischer Kommandos, d. h. ohne äußere Vorgabe der physikalischen Speicheradressen, zu initialisieren. Mit dem Dump- Programm wird anschließend der initialisierte Speicher ausgelesen und die erhaltenen Daten werden auf die physikalischen Adressen der zu initialisie- renden Chipkarten geschrieben.

DE 199 39 290 A1 offenbart für Multiapplikationschipkarten ein Personalisie- rungskonzept, nach dem mit Hilfe von Anwendungsbeschreibungsdatensät- zen einerseits und Personalisierungsbeschreibungsdatensätzen andererseits

sichergestellt wird, daß eine-von mehreren-Chipkartenanwendung nur auf die ihr jeweils zugewiesenen Personalisierungsdatenfelder zugreifen kann.

DE 195 36 548 AI offenbart weiterhin ein Personalisierungskonzept für Chipkarten mit einer Initialisierungsphase und einer nachfolgenden Perso- nalisierungsphase, wobei die Personalisierung mit Hilfe von Personalisie- rungstabellen erfolgt. Gegenstand der Schrift ist vor allem die Erstellung von Werkzeugen für Initialisierung, Personalisierung und Kommunikation zu einer Chipkarte.

Der Erfindung liegt die Aufgabe zugrunde, den Zeit-und Kostenaufwand bei der Personalisierung von tragbaren Datenträgern zu verringern.

Diese Aufgabe wird durch ein Verfahren mit der Merkmalskombination des Anspruchs 1 gelöst.

Beim erfindungsgemäßen Verfahren zum Laden von tragbaren Datenträgern mit Daten werden für mehrere tragbare Datenträger identische Allgemein- daten ohne äußere Vorgabe physikalischer Speicheradressen in einen nicht- flüchtigen Speicher eines ersten tragbaren Datenträgers eingeschrieben. Da- nach wird ein Speicherinhalt wenigstens eines Teilbereichs des nichtflüchti- gen Speichers des ersten tragbaren Datenträgers ausgelesen und unter Ein- beziehung der zugehörigen physikalischen Speicheradressen wird ein Spei- cherabbild für diesen Teilbereich erzeugt. Schließlich wird das Speicherab- bild unter Verwendung der zugehörigen physikalischen Speicheradressen in nichtflüchtige Speicher weiterer tragbarer Datenträger eingeschrieben. Die Besonderheit des erfindungsgemäßen Verfahrens besteht darin, daß jeweils nach dem Einschreiben des Speicherabbilds in den nichtflüchtigen Speicher eines der weiteren tragbaren Datenträger von diesem weiteren tragbaren

Datenträger eine Rekonvertierungsroutine ausgeführt wird zur Rekonvertie- rung des mit dem Speicherabbild geladenen nichtflüchtigen Speichers.

Die Erfindung hat den Vorteil, daß mit einfachen Mitteln und ohne aufwen- dige Vorarbeiten sehr kurze Ladezeiten beim Laden der tragbaren Datenträ- ger mit Daten erzielt werden. Trotzdem bestehen durch die erfindungsge- mäß vorgesehene Rekonvertierungsroutine Gestaltungsmöglichkeiten im Hinblick auf die Belegung der nichtflüchtigen Speicher der tragbaren Daten- träger.

Die Allgemeindaten können beispielsweise Anwendungssoftware, insbeson- dere JAVA Packages und JAVA Applets, beinhalten. Im Rahmen einer In- itialisierung des ersten tragbaren Datenträgers können eine Leseroutine zum Auslesen des nichtflüchtigen Speichers, oder für die Ausführung der Lese- routine zwingend benötigte Zusatzdaten in den nichtflüchtigen Speicher des ersten tragbaren Datenträgers eingeschrieben werden. Weiterhin kann im Rahmen der Initialisierung die Rekonvertierungsroutine in den nichtflüchti- gen Speicher des ersten tragbaren Datenträgers eingeschrieben werden.

Das erfindungsgemäße Verfahren kann so angelegt sein, daß der Speicherin- halt des nichtflüchtigen Speichers des ersten tragbaren Datenträgers nur dann ausgelesen wird, wenn zuvor eine Sicherheitsprüfung erfolgreich durchgeführt wurde. Dadurch können ein unberechtigtes Auslesen und der potentiell damit verbundene Missbrauch verhindert werden. Aus den glei- chen Gründen kann auch vorgesehen sein, daß der-aus dem nichtflüchtigen Speicher des ersten tragbaren Datenträgers ausgelesene Speicherinhalt ver- schlüsselt wird. Weitere Sicherheitsvorkehrungen können darin bestehen, daß die Erzeugung des Speicherabbilds des nichtflüchtigen Speichers des ersten tragbaren Datenträgers nur einmal zugelassen wird und daß die Lese-

routine zum Auslesen des nichtflüchtigen Speichers des ersten tragbaren Datenträgers oder die für die Ausführung der Leseroutine zwingend benö- tigten Zusatzdaten nach der Erzeugung des Speicherabbilds gelöscht wer- den. In der Regel wird das Speicherabbild jeweils erst vor dem Einschreiben in die nichtflüchtigen Speicher der weiteren tragbaren Datenträger ent- schlüsselt.

Die Rekonvertierung der nichtflüchtigen Speicher der weiteren tragbaren Datenträger kann jeweils datenträgerspezifisch durchgeführt werden. Auf diese Weise kann trotz der Verwendung des gleichen Speicherabbilds für alle weiteren tragbaren Datenträger jeweils eine individuelle Speicherbele- gung erzeugt werden. Im Rahmen der Rekonvertierung der nichtflüchtigen Speicher der weiteren tragbaren Datenträger können beispielsweise Zufalls- zahlen erzeugt und gespeicherte Datençersclllüsselt. werden. Nach der lle- konvertierung der nichtflüchtigen Speicher der weiteren tragbaren Daten- träger können jeweils Individualdaten, die für den jeweiligen tragbaren Da- tenträger spezifisch sind, ohne äußere Vorgabe einer physikalischen Spei- cheradresse in den nichtflüchtigen Speicher des jeweiligen tragbaren Daten- trägers geschrieben werden.

Mittels des erfindungsgemäßen Verfahrens können insbesondere als Chip- karten ausgebildete tragbare Datenträger mit Daten geladen werden.

Die Erfindung wird nachstehend anhand des in der Zeichnung dargestellten Ausführungsbeispiels erläutert, das sich auf das Einschreiben von Daten in eine JAVA Chipkarte bezieht.

Es zeigen : Fig. 1 eine schematische Darstellung der Architektur einer Chipkarte, Fig. 2 ein Flußdiagramm für die Erzeugung eines Speicherabbilds eines nichtflüchtigen Speichers einer ersten Chipkarte, Fig. 3 ein Flußdiagramm zur Veranschaulichung der erfindungsgemäßen Vorgehensweise zur Initialisierung und Personalisierung weiterer Chipkarten mit Hilfe des Speicherabbilds und Fig. 4 ein Flußdiagramm einer Variante der erfindungsgemäßen Vorge- hensweise zur Initialisierung und Personalisierung von Chipkarten Fig. 1 zeigt eine schematische Darstellung der Architektur einer Chipkarte 1, bei der das erfindungsgemäße Verfahren angewendet werden kann. Die Chipkarte 1 weist eine Steuereinheit 2 auf, die die Funktionsabläufe der Chipkarte 1 steuert. Die Steuereinheit 2 ist mit einer Ein-/Ausgabeeinheit 3, einem Permanentspeicher 4, einem nichtflüchtigen Speicher 5 und einem flüchtigen Speicher 6 verbunden.

Die Ein-/Ausgabeeinheit 3 dient der Kommunikation mit externen Geräten, die durch eine berührende Kontaktierung der Chipkarte 1 oder kontaktlos abgewickelt werden kann. Im Permanentspeicher 4 sind Daten abgelegt, die während der gesamten Lebensdauer der Chipkarte 1 unverändert erhalten bleiben. Dabei wird der Begriff Daten im Folgenden sehr allgemein im Sinne beliebiger Informationen unabhängig von deren Inhalt verwendet und es werden darunter beispielsweise Programme, Parameter, personenbezogene Angaben, Schlüssel usw. subsumiert. Insbesondere ist im Permanentspeicher

4 das Betriebssystem der Chipkarte 1 gespeichert. Der flüchtige Speicher 6 dient als Arbeitsspeicher für die Steuereinheit 2. Im flüchtigen Speicher 6 bleibt der Speicherinhalt nur solange erhalten, wie die Chipkarte 1 mit einer Betriebspannung versorgt wird. Der nichtflüchtige Speicher 5 kann während der Lebensdauer der Chipkarte 1 immer wieder neu beschrieben werden.

Der jeweilige Speicherinhalt bleibt auch dann erhalten, wenn die Chipkarte 1 nicht mit der Betriebsspannung versorgt wird. Im nichtflüchtigen Speicher 5 sind beispielsweise Ergänzungen zum Betriebssystem, Anwendungssoft- ware, Schlüssel, personenbezogene Daten usw. abgelegt. Diese Daten wer- den vor der Auslieferung der Chipkarte 1 an den Kunden in den nichtflüch- tigen Speicher 5 eingeschrieben und verwandeln die bis zu diesem Zeitpunkt lediglich mit einigen Grundfunktionen ausgestatte Chipkarte 1 in ein in der Regel höchst komplexes Produkt, das über sämtliche Funktionalitäten und Informationen für das jeweils vorgesehene. Anwendungsspektrum verfügt. z Dies hat zur Folge, daß in der Regel sehr große Datenmengen in den nicht- flüchtigen Speicher 5 eingeschrieben werden müssen.

Wie im Folgenden noch näher erläutert wird, bezieht sich das erfindungs- gemäße Verfahren auf dieses Einschreiben der Daten in den nichtflüchtigen Speicher 5 vor dem Ausliefern der Chipkarte 1 an den Kunden. Das Ein- schreiben erfolgt teils mit sehr hoher Geschwindigkeit im Rahmen einer Komplettierungsroutine während der Initialisierung der Chipkarte 1 und teils im Rahmen einer vergleichsweise langsamen Personalisierungsroutine, wobei es durch das erfindungsgemäße Verfahren ermöglicht wird, einen Großteil der Daten im Rahmen der Komplettierungsroutine einzuschreiben.

Bei der Komplettierungsroutine werden die Daten unter äußerer Vorgabe der zugehörigen physikalischen Speicheradresse in den nichtflüchtigen Spei- cher 5 eingeschrieben. Dies bedeutet, daß nicht nur die Daten selbst sondern jeweils auch deren physikalische Speicheradresse an die Chipkarte 1 über-

mittelt werden. Aus diesem Grund werden vor der Durchführung der Kom- plettierungsroutine alle mit der Komplettierungsroutine einzuschreibenden Daten und deren physikalische Speicheradressen zu einem einzuschreiben- den Speicherabbild zusammengestellt. Die Erzeugung des Speicherabbilds wird anhand von Fig. 2 erläutert.

Fig. 2 zeigt ein Flußdiagramm für die Erzeugung des Speicherabbilds. Das Speicherabbild braucht nur ein einziges Mal mit Hilfe einer ersten Chipkarte 1 erzeugt zu werden und kann dann in eine Vielzahl von weiteren Chipkar- ten 1 eingeschrieben werden. Dabei ist allerdings darauf zu achten, daß die erste Chipkarte 1 den Produktionsprozess nicht verläßt. Die erste Chipkarte 1 wird in einem Schritt SI auf übliche Weise initialisiert, d. h. es wird insbe- sondere auch eine Komplettierungsroutine mit den üblicherweise dafür vor- <BR> <BR> <BR> <BR> gesehenen Daten durchgeführt. Zusätzlich zu. den üblichen. Daten, werden<BR> beim erfindungsgemäßen Verfahren mit der Komplettierungsroutine noch weitere Daten in den nichtflüchtigen Speicher 5 der ersten Chipkarte 1 ein- geschrieben. Diese weiteren Daten repräsentieren eine Leseroutine zum Auslesen des nichtflüchtigen Speichers 5 der ersten Chipkarte 1, eine Rekon- vertierungsroutine, einen Leseschlüssel und einen Ladeschlüssel, deren Be- deutung jeweils im Folgenden noch näher erläutert wird.

Statt der Leseroutine können die weiteren Daten auch lediglich für die Aus- führung der Leseroutine zwingend benötigte Zusatzdaten enthalten. In die- sem Fall ist die Leseroutine selbst bereits im Permanentspeicher 4 vorhanden und kann durch Kombination mit den Zusatzdaten ausgeführt werden. So- fern sie bereits im Permanentspeicher 4 vorhanden sind, sind auch die Schlüssel als weitere Daten für die Komplettierungsroutine entbehrlich.

Schließlich enthalten die weiteren Daten für die Komplettierungsroutine ein

Flag, das kenntlich macht, daß die Daten für einen gemäß der Erfindung ab- gewandelten Einschreibvorgang vorgesehen sind.

Um die vorstehend genannten weiteren Daten in den für die Komplettierung üblicherweise vorgesehenen Datensatz einfügen zu können, wird dieser zu- nächst entschlüsselt. Anschließend werden die Einfügungen vorgenommen und es erfolgt eine Verschlüsselung der Ergebnisse. Diese Zusammenstel- lung der Daten für die Komplettierung kann entweder im Rahmen des Pro- duktionsablaufs erfolgen, innerhalb dessen die Komplettierungsroutine aus- geführt wird oder davon getrennt bereits zu einem früheren Zeitpunkt, so daß für den Produktionsablauf bereits die fertig aufbereiteten Daten zur Ver- fügung gestellt werden. <BR> <BR> <BR> <P>An Schritt SI schließt sich ein Schritt S2 an, in dem eine Personalisierung. der<BR> A, ersten Chipkarte 1 durchgeführt wird. Diese Personalisierung beschränkt sich allerdings auf das Einschreiben nur derjenigen Daten in den nichtflüch- tigen Speicher 5 der ersten Chipkarte 1, die gleichermaßen für mehrere Chipkarten 1 vorgesehen sind und im folgenden als Allgemeindaten be- zeichnet werden. Das Einschreiben erfolgt jeweils ohne äußere Vorgabe der physikalischen Speicheradresse. Als Allgemeindaten können auf diese Weise unter anderem allgemeine Personendaten, JAVA Packages, JAVA Applets usw. in den nichtflüchtigen Speicher 5 der ersten Chipkarte 1 eingeschrieben werden. Zweckmäßig werden weiter Schlüssel auf die Karte gebracht, die für im Rahmen der vorgesehenen Kartennutzungen anfallende kryptogra- phische Berechnungen benötigt werden. Um mit dem erfindungsgemäßen Verfahren den größtmöglichen Nutzen zu erzielen, sollten möglichst alle Allgemeindaten im Schritt S2 in den nichtflüchtigen Speicher 5 der ersten Chipkarte 1 eingeschrieben werden. Lediglich kartenspezifische Indivi- dualdaten, die jeweils nur für eine einzige Chipkarte 1 vorgesehen sind,

werden im Rahmen der Personalisierung gemäß Schritt S2 nicht eingeschrie- ben.

Die auf die Karten aufgebrachten Schlüssel, zweckmäßig auch die anderen auf die Chipkarte 1 gebrachten Daten, werden nicht im Klartext abgespei- chert sondern verschleiert. Die Verschleierung erfolgt beispielsweise durch eine Transformation durch Verknüpfung mit Zufallswerten Um das nachfolgende Einbringen der kartenspezifischen Individualdaten abzusichern, werden in Schritt S2 zusammen mit den Allgemeindaten zweckmäßig ferner weitere Schlüssel in den nichtflüchtigen Speicher 5 der Chipkarte 1 geschrieben. Diese weiteren Schlüssel werden dann beim Ein- bringen der kartenspezifischen Individualdaten für eine Verifikation bzw. eine gegenseitige Authentisierung herangezogen.

Nach der Personalisierung wird in einem sich anschließenden Schritt S3 ge- prüft, ob ein Auslesen des nichtflüchtigen Speichers 5 der ersten Chipkarte 1 mit der Leseroutine zulässig ist. Diese Prüfung kann so angelegt sein, daß der im nichtflüchtigen Speicher 5 oder im Permanentspeicher 4 abgelegte Leseschlüssel mit einem eingegebenen Wert verglichen wird. Wegen der ho- hen Sicherheitseinforderungen wird nur ein einziger Eingabeversuch zuge- lassen. Weiterhin kann beispielsweise anhand einer irreversibel zerstörbaren Leitungsverbindung geprüft werden, ob es sich um ein erstmaliges Auslesen des nichtflüchtigen Speichers 5 handelt.

Wenn die Prüfung zu einem positiven Ergebnis führt, d. h. wenn die Verifi- zierung des Leseschlüssels erfolgreich ist oder es sich um ein erstmaliges Auslesen handelt, schließt sich an Schritt S3 ein Schritt S4 an, in dem zum Schutz der Leseroutine im nichtflüchtigen Speicher 5 der ersten Chipkarte 1

befindliche Zustandsmarken und Daten, die nur zur Aktivierung, nicht aber zur laufenden Ausführung der Leseroutine benötigt werden, sowie eine ge- gebenenfalls vorgenommene Speicherreservierung gelöscht werden, so daß ein zukünftiger potentieller Mißbrauch der Leseroutine ausgeschlossen wird.

Unmittelbar vor der Ausgabe des ersten Datenblockes wird durch die Lese- routine desweiteren der interne Zustand der Chipkarte 1 auf einen Wert ge- setzt, der demjenigen einer fabrikneuen Chipkarte entspricht. Für eine- mißbräuchliche-normale Verwendung müßte die Chipkarte 1 dann voll- ständig neu initialisiert werden. Eine normale Verwendung der Chipkarte 1 mit unveränderter Speicherbelegung wird daher sicher unterbunden.

Die Chipkarte 1 ist auf diese Weise auch dann gegen Mißbrauch gesichert, wenn während desvLesevorganges. eine Stromunterbrechung auftritt. Wei- . \4 terhin besteht die Möglichkeit, eine irreversible Unterbrechung einer Lei- tungsverbindung vorzunehmen, durch die sich zweifelsfrei feststellen läßt, daß die Leseroutine bereits ausgeführt wurde.

Auf den Sicherungsschritt S4 folgt ein Schritt S5, in dem der nichtflüchtige Speicher 5 der ersten Chipkarte 1 ausgelesen wird. Dabei wird jeweils begin- nend mit einer definierten physikalischen Speicheradresse ein definierter Teilbereich des nichtflüchtigen Speichers 5 ausgelesen und in einen Puffer innerhalb der ersten Chipkarte 1 geschrieben. Der so ermittelte Speicherin- halt wird mit der physikalischen Speicheradresse kombiniert und mit Hilfe des dafür im Permanentspeicher 4 oder im nichtflüchtigen Speicher 5 der ersten Chipkarte 1 abgelegten Ladeschlüssels verschlüsselt. Danach wird die so erzeugte verschlüsselte Datensequenz an die Ein-/Ausgabeeinheit 3 der ersten Chipkarte 1 weitergeleitet und an eine externe Personalisierungsein- richtung ausgegeben. Anschließend wird in gleicher Weise ein weiterer Teil-

bereich des nichtflüchtigen Speichers 5 beginnend von einer höheren physi- kalischen Speicheradresse ausgelesen.

Diese Vorgehensweise wird so oft wiederholt, bis der gesamte Inhalt des nichtflüchtigen Speichers 5 ausgelesen ist. Zweckmäßig werden Transakti- onszähler dabei weggelassen. Ebenfalls weggelassen werden leere Bereiche, die auf den weiteren zu personalisierenden Chipkarten 1 aufgrund eines für diese ausgeführten Löschkommandos bereits richtig belegt sind.

Alle ausgelesenen Daten werden in mit dem Ladeschlüssel verschlüsselter Form an die Personalisierungseinrichtung übertragen. Ausgelesene Geheim- daten, insbesondere auch die Implementierung der Leseroutine sowie die für die Ausführung der Leseroutine zwingend benötigten Zusatzdaten werden jeweils durch einen vorgegebenen Wert ersetzt oder gar-nicht erst ausgege- ben, um ein Ausspähen zu verhindern.

In der externen Personalisierungseinrichtung werden die empfangenen ver- schlüsselten Datensequenzen zu dem Speicherabbild zusammengesetzt.

Hierbei müssen die Datensequenzen nicht entschlüsselt werden, sondern können in einer Form abgelegt werden, die direkt zum Laden in weitere Chipkarten verwendet werden kann.

Zur wirksamen Mißbrauchsvermeidung kann dem Auslesen ein Schritt S6 nachgeschaltet sein, in dem die Leseroutine physikalisch gelöscht wird.

Mit dem Schritt S6 ist der Durchlauf des Flußdiagramms beendet. Zum Schritt S5 gelangt man auch direkt von Schritt S3, wenn die dortige Prüfung zu einem negativen Ergebnis führt.

Das mit dem in Fig. 2 dargestellten Ablauf erzeugte Speicherabbild des nichtflüchtigen Speichers 5 der Chipkarte 1 wird auf eine Vielzahl weiterer Chipkarten 1 übertragen, in die danach zur vollständigen Fertigstellung der Personalisierung nur noch einige wenige Individualdaten eingeschrieben werden. Diese Vorgehensweise ist in Fig. 3 dargestellt.

Fig. 3 zeigt ein Flußdiagramm zur Veranschaulichung der erfindungsgemä- ßen Vorgehensweise zur Initialisierung und Personalisierung weiterer Chip- karten 1 mit Hilfe des Speicherabbilds. Im Gegensatz zu Fig. 2 wird diese Vorgehensweise nicht bei der ersten Chipkarte 1, sondern bei einer Vielzahl von weiteren Chipkarten 1 angewendet, die auf diese Weise mit allen für die spätere Verwendung der Chipkarte 1 benötigten Daten versehen werden.

Der Durchlauf desElußdia-graImns wird mite Lem. Schritt S75 gestartet,. in dem geprüft wird, ob ein Einschreiben des Speicherabbilds in den nichtflüch- tigen Speicher 5 der Chipkarte 1 zulässig ist. Dies kann ähnlich wie bei dem in Fig. 2 dargestellten Auslesen des nichtflüchtigen Speichers 5 zur Erzeu- gung des Speicherabbilds beispielsweise vom Ergebnis einer Schlüsselverifi- kation oder vom Zustand einer irreversibel zerstörbaren Leitungsverbin- dung abhängig gemacht werden. Falls ein Einschreiben nicht zugelassen wird, wird keine Personalisierung durchgeführt und der Durchlauf des Flußdiagramms ist beendet.

Anderenfalls wird mit einem Schritt S8 fortgefahren, in dem das Speicherab- bild unter Vorgabe von physikalischen Speicheradressen in den nichtflüchti- gen Speicher 5 der Chipkarte 1 eingeschrieben wird. Dieses Einschreiben erfolgt im Rahmen der Durchführung der Komplettierungsroutine. Beim Einschreiben wird das in der Personalisierungseinrichtung mit dem Lade- schlüssel verschlüsselte Speicherabbild in der Chipkarte 1 Datensequenz für

Datensequenz mit dem Ladeschlüssel wieder entschlüsselt und an die jeweils vorgesehene physikalische Speicheradresse im nichtflüchtigen Speicher 5 geschrieben.

Auf Schritt S8 folgt ein Schritt S9, in dem geprüft wird, ob das Speicherab- bild fehlerfrei in den nichtflüchtigen Speicher 5 eingeschrieben wurde. Wird dabei ein Fehler festgestellt, so wird die Bearbeitung abgebrochen, der Durchlauf des Flußdiagrammes beendet.

Ist das Ergebnis der Prüfung in Schritt S9 positiv, werden an der Chipkarte 1 ein"RESET"und ein"REBOOT"durchgeführt. Anschliel3end wird in einem Schritt S10 die mit dem Speicherabbild in den nichtflüchtigen Speicher 5 ein- geschriebene Rekonvertierungsroutine gestartet.

Die Rekonvertierungsroutine ist für das erfindungsgemäße Verfahren von wesentlicher Bedeutung. Alle für den weiteren Personalisierungsprozeß be- nötigten Schlüssel, d. h. ebenso Schlüssel an bekannten Positionen wie etwa Schlüssel z. B. in Java-Objekten, die bei der vorhergehenden Personalisierung dynamisch angelegt wurden, werden bei der Rekonvertierung an die, zu per- sonalisierende Chipkarte 1 angepaßt. Die Rekonvertierung ermöglicht es, daß die Chipkarte 1 mit den Daten des Speicherabbildes im nichtflüchtigen Speicher 5 für die weitere, die Karte individualisierende Personalisierung genutzt werden kann. Für die Durchführung der Rekonvertierung ist es er- forderlich, daß das vollständige Speicherabbild in unverschlüsselter Form im nichtflüchtigen Speicher 5 vorliegt. Im Rahmen der Rekonvertierung wird der Speicherinhalt des nichtflüchtigen Speichers 5 der Chipkarte 1 chipindi- viduell aufgearbeitet, d. h. mehrere Chipkarten 1, in deren nichtflüchtige Speicher 5 das gleiche Speicherabbild eingeschrieben wurde, unterscheiden sich nach der Rekonvertierung bezüglich ihrer Speicherbelegung. Die für die

Rekonvertierung benötigten Funktionalitäten und Adressinformationen sind im Permanentspeicher 4 und/oder im nichtflüchtigen Speicher 5 abgelegt.

Die tatsächliche Durchführung der Rekonvertierung erfolgt durch die in den nichtflüchtigen Speicher 5 eingeschriebene Rekonvertierungsroutine.

Bereits bei der Initialisierung der Chipkarte 1 oder aber im Rahmen der Re- konvertierung werden Tabellen mit chipindividuellen Zufallszahlen gene- riert und gespeichert. Mit diesen chipindividuellen Zufallszahlen werden alle mit den Zufallswerten der ersten Chipkarte, von der die Daten gemäß dem Flußdiagramm nach Fig. 2 an die Personalisierungseinrichtung übertra- gen wurden, verschleierten Elemente, d. h. in der Regel insbesondere die für innerhalb der vorgesehenen Kartennutzungen vorzunehmende kryptogra- phische Berechnungen benötigten Schlüssel, umgeschlüsselt, so daß die Ele- <BR> <BR> mente in auf die. (Chipkarte 1 abgestimmter., verschlei=erter Fozrm vorliegen.<BR>

Für die Umschlüsselung werden die verschleierten Elemente unter Verwen- dung der für die Chipkarte 1 individuellen Zufallszahlen einer Transforma- tion unterworfen, welche bewirkt, daß die Elemente in von der Chipkarte 1 vorgenommenen Berechnungen, die auf den in der Chipkarte 1 gültigen Zu- fallszahlen beruhen, benutzbar sind. Beispielsweise wird ein aus einem Grundschlüsselsatz k durch Verschleierung mit einem, wenigstens eine Zu- fallszahl enthaltenden Zufallszahlensatz Z1 erzeugter, verschleierter Schlüs- selsatz k'auf der Chipkarte 1 transformiert in einen Schlüsselsatz k", der in Verbindung mit einem, ebenfalls wenigstens eine Zufallszahl enthaltenden Zufallszahlensatz Z2 der Chipkarte 1 für alle von der Chipkarte 1 auszufüh- renden kryptographischen Berechungen verwendet wird.

Im Anschluß an Schritt S10 wird die die Chipkarte individualisierende Per- sonalisierung gestartet. Hierzu wird zunächst in einem Schritt Sll überprüft,

ob eine weitere Ergänzung des im nichtflüchtigen Speicher 5 liegenden, re- konvertierten Speicherabbildes zulässig ist.

Die Zulässigkeit setzt die erfolgreiche Durchführung einer Schlüsselverifika- tion sowie einer gegenseitigen Authentisierung zwischen Chipkarte 1 und Personalisierungseinrichtung voraus. Für die Prüfung werden die Schlüssel verwendet, die beim Einbringen der Allgemeindaten in Schritt S2 von der Personalisierungseinrichtung in den nichtflüchtigen Speicher 5 gebracht, im nachfolgenden Schritt S5 in das Speicherabbild übernommen, anschließend mit dem Speicherabbild in den nichtflüchtigen Speicher 5 der herzustellen- den Chipkarte 1 geschrieben und im Zuge der chipindividuellen Rekonver- tierung des Speicherabbildes in Schritt S10 mit den Schlüsselinhalten wieder harmonisiert wurden.

Nach Schritt Sll wird ein Schritt S12 ausgeführt, in dem die Chipkarte 1 in- dividuell personalisiert wird. Hierbei werden Individualdaten wie bei- spielsweise personenbezogene Daten ohne äußere Vorgabe der physikali- schen Speicheradresse in den nichtflüchtigen Speicher 5 der Chipkarte 1 ein- geschrieben. Der Umfang dieser Individualdaten ist in der Regel sehr viel geringer als der mit Hilfe des Speicherabbilds eingeschriebenen Allgemein- daten. Das Einschreiben der Individualdaten kann so erfolgen, das die logi- sche Strukturierung des nichtflüchtigen Speichers 5 nicht mehr verändert wird, sondern lediglich die konkreten Inhalte einiger Speicherplätze. Dies kann beispielsweise dadurch geschehen, daß die Individualdaten im Spei- cherabbild vorgesehene Platzhalter ersetzen.

An Schritt S12 schließt sich ein Schritt S13 an, in dem in der Chipkarte 1 eine Kennung gesetzt wird, daß die Personalisierung erfolgreich abgeschlossen wurde. Der Durchlauf des Flußdiagramms ist damit beendet.

Sofern die Sicherheitsanforderungen an den Personalisierungsprozeß und die Struktur der Personalisierung dies zulassen, kann in einer Variante des vorbeschriebenen Verfahrens vorgesehen sein, auch die Ausführung des Schrittes S12 prinzipiell vollständig in die Personalisierungseinrichtung zu verlagern und dort vor dem Schreiben, d. h. vor der Ausführung der Schritte S7 und S8 auszuführen. Die zur Personalisierung einer Chipkarte 1 benötigte Zeit läßt sich dadurch weiter reduzieren. Eine mögliche Schrittfolge bei die- ser Variante ist in Fig. 4 veranschaulicht.

Bei der Personalisierung der Chipkarte 1 im Schritt S2 werden hierbei in den nichtflüchtigen Speicher 5 Pseudoindividualdaten eingeschrieben, welche als Platzhalter für die nachfolgend in Schritt S12 aufzubringenden kartenspezifi- schen Individualdaten dienen. Die Pseudoindividualdaten sind zweckmäßig A) als solche leicht erkennbar und haben etwa die Struktur"NUMMER1", die später durch eine konkrete, individuelle Zahl, z. B."0123456", zu ersetzen ist.

Die bei der Durchführung des Schrittes S5 ausgelesenen und an die Persona- lisierungseinrichtung übertragenen Daten werden dort entschlüsselt, um in einem Schritt S14 die Positionen der mit Pseudoindividualdaten belegten Felder zu ermitteln.

Die ermittelten Pseudoindividualdatenfelder werden sodann in der Perso- nalisierungseinrichtung mit für die zu personalisierende Chipkarte 1 spezifi- schen Individualdaten belegt. Hierzu erfolgt in der Personalisierungseinrich- tung analog zu Schritt Sll eine Prüfung, ob der Personalisierungsschritt S 12 durchgeführt werden darf. Anschließend werden die kartenspezifischen In- dividualdaten auf die Platzhalter geschrieben. Der resultierende Datensatz wird sodann, nach Prüfung der Zulässigkeit gemäß Schritt S7, in einem

Schreibvorgang S8 auf die Chipkarte 1 übertragen. Für die Übertragung werden die Daten zweckmäßig wieder durch Verschlüsselung mit einem, zu einem auf der Chipkarte 1 befindlichen, korrespondierenden Ladeschlüssel gesichert.

Nachfolgend wird der auf die Chipkarte 1 gebrachte Datensatz, nach Ent- schlüsselung der Daten mit dem Ladeschlüssel, einer Rekonvertierung ge- mäß Schritt S10 unterzogen. Die Rekonvertierung erfolgt in der gleichen Weise wie weiter oben beschrieben.

Eine nachgeschaltete besondere Personalisierung gemäß Schritt S 12 ist grundsätzlich nicht mehr erforderlich. Allerdings kann es aufgrund der Art der kartenspezifischen Individualdaten vorkommen, daß sich ein Teil der Individualdaten für eine Enbringung mit Hilfe von Pseudoindividualdaten grundsätzlich nicht eignet. Beispielsweise gilt das für Daten, die auf der Ver- knüpfung einer kartenspezifischen Zufallszahl mit Individualdaten beruhen.

Solche Daten können erst nach der Rekonvertierung angelegt werden. In einem solchen Fall ist der Rekonvertierung in Schritt S10 noch ein zusätzli- cher Personalisierungsschritt nach Art des Schrittes S12 nachgelagert, in dem die in der Personalisierungseinrichtung nicht einarbeitbaren Daten auf die Chipkarte 1 gebracht werden.

Als Abwandlung zu vorstehend beschriebener Variante kann die Nutzung einer Verschlüsselungstechnik vorgesehen sein, die es zuläßt die Ermittlung der Pseudoindividualdatenfelder in der Personalisierungseinrichtung auch ohne vollständinge Entschlüsselung der übertragenen Daten durchzuführen.

Dann werden wie zuvor die Pseudoindividualdatenfelder ermittelt, aller- dings ohne daß zuvor eine Entschlüsselung sämtlicher Daten erfolgt, und mit für die zu personalisierende Chipkarte 1 spezifischen Individualdaten belegt. Die belegten Felder werden anschließend mit dem Ladeschlüssel ver- schlüsselt. Der danach vorliegende gesamte, verschlüsselte Datensatz wird sodann in Schritt S8 auf die Chipkarte 1 geschrieben, wo er entschlüsselt und nachfolgend einer Rekonvertierung unterworfen wird.