DE102013103531B4 - Data processing apparatus for authenticating execution of an electronic application - Google Patents
Data processing apparatus for authenticating execution of an electronic application Download PDFInfo
- Publication number
- DE102013103531B4 DE102013103531B4 DE102013103531.0A DE102013103531A DE102013103531B4 DE 102013103531 B4 DE102013103531 B4 DE 102013103531B4 DE 102013103531 A DE102013103531 A DE 102013103531A DE 102013103531 B4 DE102013103531 B4 DE 102013103531B4
- Authority
- DE
- Germany
- Prior art keywords
- electronic
- identification
- electronic identification
- data processing
- processing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
Abstract
Die Erfindung betrifft eine Datenverarbeitungsvorrichtung (100) zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes (105), mit: einer Kommunikationsschnittstelle (101), welche ausgebildet ist, eine elektronische Identifikation aus einem elektronischen Identifikationsdokument (105) auszulesen; und einem Prozessor (103), welcher ausgebildet ist, die Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation zu authentifizieren.The invention relates to a data processing device (100) for authenticating an execution of an electronic application by means of an electronic identification document (105), comprising: a communication interface (101) configured to read an electronic identification from an electronic identification document (105); and a processor (103) configured to authenticate the execution of the electronic application by means of the electronic identification.
Description
Die vorliegende Erfindung betrifft das Gebiet der elektronischen Authentifizierung bzw. Authentisierung.The present invention relates to the field of electronic authentication.
Der Internetartikel ”Abylon Logon 7.3 mit zentraler Administration. Online-Beitrag auf www.itseccity.de, 16. Oktober 2008.URL: http://www.itseccity.de/content/produkte/zugriffsschutz/081016_pro_zgr_abylonsoft.html” beschäftigt sich mit dem Aspekt, sich ohne Passwort, nur mit einer Chipkarte, einem USB-Token oder einer CD an einen Rechner anzumelden.The article "Abylon Logon 7.3 with central administration. Online article on www.itseccity.de, 16 October 2008.URL: http://www.itseccity.de/content/produkte/zugriffsschutz/081016_pro_zgr_abylonsoft.html "deals with the aspect, without password, only with one Chip card, a USB token or a CD to a computer to log.
Elektronische Anwendungen bzw. Dienste, wie beispielsweise Signatur oder Verschlüsselung von E-Mails sowie Durchführung elektronischer Zahlungsvorgänge, haben sich im geschäftlichen Bereich nachhaltig etabliert.Electronic applications or services, such as signature or encryption of e-mails and electronic payment transactions, have become established in the business sector.
Zur Nutzung derartiger Anwendungen ist zumeist eine Authentifizierung des Nutzers erforderlich, welche üblicherweise durch den Besitz einer elektronisch auslesbaren Karte, beispielsweise einer elektronischen Signatur- oder Verschlüsselungskarte oder einer elektronischen Bankkarte, gewährleistet wird. Darüber hinaus kann eine Authentifizierung des Nutzers mittels eines Kennwortes, beispielsweise einer persönlichen Identifikationsnummer (PIN) oder einer Transaktionsnummer (TAN), durchgeführt werden. Die Nutzung einer Mehrzahl von elektronisch auslesbaren Karten sowie einer Mehrzahl von Kennwörtern erweist sich jedoch häufig als unkomfortabel.To use such applications, an authentication of the user is usually required, which is usually ensured by the possession of an electronically readable card, such as an electronic signature or encryption card or an electronic bank card. In addition, an authentication of the user by means of a password, such as a personal identification number (PIN) or a transaction number (TAN), are performed. The use of a plurality of electronically readable cards and a plurality of passwords, however, often proves to be uncomfortable.
Neuere elektronische Identifikationsdokumente, beispielsweise der neue Personalausweis (nPA), bieten bereits die Möglichkeit einer elektronischen Signierung. Zur Authentifizierung eines Besitzers des neuen Personalausweises für die jeweilige Anwendung wird jedoch eine übergeordnete Instanz, beispielsweise die eID (elektronische Identifikation), benötigt. Hierzu wird jedoch eine Kommunikationsinfrastruktur benötigt, um eine Kommunikationsverbindung zu der eID aufzubauen.Newer electronic identification documents, such as the new identity card (nPA), already offer the possibility of electronic signing. To authenticate an owner of the new identity card for the respective application, however, a higher-level entity, for example the eID (electronic identification), is required. However, this requires a communication infrastructure to establish a communication link to the eID.
Es ist daher die Aufgabe der vorliegenden Erfindung, ein effizientes Authentifizierungskonzept zu schaffen.It is therefore the object of the present invention to provide an efficient authentication concept.
Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.This object is solved by the features of the independent claims. Advantageous forms of further development are the subject of the dependent claims, the description and the drawings.
Die Erfindung basiert auf der Erkenntnis, dass eine Authentifizierung einer Ausführung einer Anwendung, wie beispielsweise einer Verschlüsselung, mittels einer elektronischen Identifikation eines elektronisch auslesbaren Identifikationsdokumentes, beispielsweise eines elektronischen Personalausweises, durchgeführt werden kann. Bei der elektronischen Identifikation kann es sich beispielsweise um eine sog. Restricted Identification handeln, welche für die Identifikation elektronischer Identifikationsdokumente vorgesehen ist.The invention is based on the recognition that an authentication of an execution of an application, such as an encryption, by means of an electronic identification of an electronically readable identification document, such as an electronic identity card, can be performed. The electronic identification may be, for example, a so-called restricted identification, which is provided for the identification of electronic identification documents.
Gemäß einem ersten Aspekt betrifft die Erfindung eine Datenverarbeitungsvorrichtung zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes, mit: einer Kommunikationsschnittstelle, welche ausgebildet ist, eine elektronische Identifikation aus einem elektronischen Identifikationsdokument auszulesen; und einem Prozessor, welcher ausgebildet ist, die Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation zu authentifizieren.According to a first aspect, the invention relates to a data processing device for authenticating an execution of an electronic application by means of an electronic identification document, comprising: a communication interface, which is designed to read out an electronic identification from an electronic identification document; and a processor configured to authenticate the execution of the electronic application using the electronic identification.
Gemäß einer Ausführungsform umfasst der Begriff „Authentifizierung” auch die Autorisierung und/oder die Authentisierung.According to one embodiment, the term "authentication" also includes the authorization and / or the authentication.
Die Datenverarbeitungsvorrichtung kann beispielsweise ein Dokumentenlesegerät für das Identifikationsdokument sein. Die Datenverarbeitungsanlage kann zudem über ein Display sowie ein Tastenfeld zur zusätzlichen Eingabe einer persönlichen Identifikationsnummer verfügen. Gemäß einer Ausführungsform ist die Datenverarbeitungsvorrichtung ein Komfortleser für einen neuen Personalausweis (nPA).The data processing device may be, for example, a document reader for the identification document. The data processing system may also have a display and a keypad for additional input of a personal identification number. According to one embodiment, the data processing device is a comfort reader for a new identity card (nPA).
Das Identifikationsdokument kann beispielsweise eines der folgenden Identifikationsdokumente sein: Identitätsdokument, wie Personalausweis, Reisepass, Zugangskontrollausweis, Berechtigungsausweis, Unternehmensausweis, Steuerzeichen oder Ticket, Geburtsurkunde, Führerschein oder Kraftfahrzeugausweis, Zahlungsmittel, beispielsweise eine Bankkarte oder Kreditkarte. Das Identifikationsdokument kann ferner einen elektronisch auslesbaren Schaltkreis, beispielsweise einen RFID-Chip umfassen. Das Identifikationsdokument kann ein- oder mehrlagig bzw. papier- und/oder kunststoffbasiert sein. Das Identifikationsdokument kann aus kunststoffbasierten Folien aufgebaut sein, welche zu einem Kartenkörper mittels Verkleben und/oder Laminieren zusammengefügt werden, wobei die Folien bevorzugt ähnliche stoffliche Eigenschaften aufweisen. Gemäß einer Ausführungsform ist das Identifikationsdokument ein neuer Personalausweis (nPA).The identification document can be, for example, one of the following identification documents: Identity document, such as identity card, passport, access control card, authorization card, company card, tax stamp or ticket, birth certificate, driving license or motor vehicle pass, means of payment, for example a bank card or credit card. The identification document may further comprise an electronically readable circuit, for example an RFID chip. The identification document can be single-layered or multi-layered or paper and / or plastic-based. The identification document can be constructed from plastic-based films which are joined together to form a card body by means of gluing and / or lamination, the films preferably having similar material properties. According to one embodiment, the identification document is a new identity card (nPA).
Die elektronische Anwendung kann beispielsweise eine kryptographische Signierung, Verschlüsselung und/oder Authentisierung von E-Mails umfassen. Zudem kann die elektronische Anwendung die Generierung von Transaktionsnummern (TANs) umfassen.The electronic application may include, for example, a cryptographic signing, encryption and / or authentication of e-mails. In addition, the electronic application may include the generation of transaction numbers (TANs).
Zur Ausführung der elektronischen Anwendung kann beispielsweise eine elektronische Emulation elektronisch auslesbarer Karten, wie beispielsweise elektronischer Signatur- oder Verschlüsselungskarten sowie elektronischer Bankkarten, vorgesehen sein. Ein Beispiel für eine Emulation ist die Emulation eines PKCS#11-kompatiblen kryptografischen Tokens. To execute the electronic application, for example, an electronic emulation of electronically readable cards, such as electronic signature or encryption cards and electronic bank cards, may be provided. An example of emulation is the emulation of a PKCS # 11 compliant cryptographic token.
Die Ausführung der elektronischen Anwendung umfasst beispielsweise die Ausführung eines maschinenlesbaren Programmcodes der elektronischen Anwendung auf einem Prozessor. Die Ausführung der elektronischen Anwendung kann auch die Freischaltung bzw. Freigabe eines fest verdrahteten elektronischen Schaltkreises, beispielsweise eines Programmable Logic Array (PLA) oder eines Field Programmable Gate Array (FPGA), welcher die elektronische Anwendung realisiert, umfassen.The execution of the electronic application includes, for example, the execution of a machine-readable program code of the electronic application on a processor. Implementation of the electronic application may also include enabling a hardwired electronic circuit, such as a Programmable Logic Array (PLA) or Field Programmable Gate Array (FPGA), which implements the electronic application.
Die Kommunikationsschnittstelle ist beispielsweise ausgebildet, mit einem Identifikationsdokument des Nutzers zu kommunizieren und eine elektronische Identifikation aus dem elektronischen Identifikationsdokument auszulesen. Die Kommunikation kann beispielsweise drahtlos oder drahtgebunden erfolgen. Hierbei kann die Kommunikationsschnittstelle elektrisch mit elektrischen Anschlüssen eines elektronischen Identifikationsdokumentes verbindbar bzw. kontaktierbar sein.The communication interface is designed, for example, to communicate with an identification document of the user and to read out an electronic identification from the electronic identification document. The communication can for example be wireless or wired. In this case, the communication interface can be electrically connected or contacted with electrical connections of an electronic identification document.
Der Prozessor ist ausgebildet, die Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation zu authentifizieren. Der Prozessor kann hierfür die elektronische Identifikation mit einer vorgespeicherten Identifikation des Nutzers vergleichen. Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die elektronische Anwendung auszuführen.The processor is configured to authenticate the execution of the electronic application by means of the electronic identification. For this purpose, the processor can compare the electronic identification with a pre-stored identification of the user. In one embodiment, the processor is configured to execute the electronic application.
Die Datenverarbeitungsvorrichtung ermöglicht, dass das elektronische Identifikationsdokument als Vertrauensanker des Nutzers verwendet werden kann und auf den Einsatz weiterer elektronisch auslesbarer Karten oder den Einsatz weiterer Kennwörter zum Authentifizieren der Ausführung elektronischer Anwendungen verzichtet werden kann.The data processing device allows the electronic identification document to be used as a trust anchor of the user and to dispense with the use of further electronically readable cards or the use of further passwords for authenticating the execution of electronic applications.
Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die elektronische Anwendung bei erfolgreicher Authentifizierung der Ausführung der elektronischen Anwendung auszuführen.In one embodiment, the processor is configured to execute the electronic application upon successful authentication of the execution of the electronic application.
Die erfolgreiche Authentifizierung der Ausführung der elektronischen Anwendung kann beispielsweise dann vorliegen, wenn die aus dem elektronischen Identifikationsdokument ausgelesene elektronische Identifikation des Nutzers mit einer vorgespeicherten elektronischen Identifikation des Nutzers übereinstimmt.The successful authentication of the execution of the electronic application can be present, for example, when the electronic identification of the user read from the electronic identification document matches a prestored electronic identification of the user.
Durch die vorgenannte Ausführungsform wird der Vorteil erreicht, dass nur ein einziger Prozessor benötigt wird, um die Authentifizierung und die Ausführung der elektronischen Anwendung durchführen zu können.The aforementioned embodiment achieves the advantage that only a single processor is required in order to be able to carry out the authentication and the execution of the electronic application.
Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die ausgelesene elektronische Identifikation mit einer vorgespeicherten elektronischen Identifikation zu vergleichen, um die Ausführung der elektronischen Anwendung zu authentifizieren oder zu authentisieren.According to one embodiment, the processor is configured to compare the read electronic identification with a pre-stored electronic identification to authenticate or authenticate the execution of the electronic application.
Der Vergleich der ausgelesenen elektronischen Identifikation mit einer vorgespeicherten elektronischen Identifikation kann beispielsweise eine Prüfung auf Identität der ausgelesenen elektronischen Identifikation mit einer vorgespeicherten elektronischen Identifikation umfassen. Der Vergleich der ausgelesenen elektronischen Identifikation mit einer vorgespeicherten elektronischen Identifikation kann zudem die Berechnung und den Abgleich von Prüfsummen umfassen.The comparison of the read-out electronic identification with a pre-stored electronic identification can include, for example, a check for identity of the read electronic identification with a pre-stored electronic identification. The comparison of the read electronic identification with a prestored electronic identification can also include the calculation and comparison of checksums.
Dadurch wird der Vorteil erreicht, dass eine einfache Authentifizierung der Ausführung der elektronischen Anwendung durchgeführt werden kann.Thereby, the advantage is achieved that a simple authentication of the execution of the electronic application can be performed.
Gemäß einer Ausführungsform ist ferner ein Speicher zum Bereitstellen zumindest einer vorgespeicherten elektronischen Identifikation vorgesehen, wobei der Prozessor ausgebildet ist, die ausgelesene elektronische Identifikation mit der vorgespeicherten elektronischen Identifikation zu vergleichen, und die Ausführung der elektronischen Anwendung bei Übereinstimmung zwischen der ausgelesenen elektronische Identifikation und der vorgespeicherten elektronischen Identifikation zu authentifizieren.According to one embodiment, there is further provided a memory for providing at least one prestored electronic identification, wherein the processor is configured to compare the read electronic identification with the prestored electronic identification and the execution of the electronic application if the read out electronic identification and the prestored electronic identification match to authenticate electronic identification.
Der Speicher zum Bereitstellen zumindest einer vorgespeicherten elektronischen Identifikation kann durch eine elektronische speicherfähige Baugruppe, wie beispielsweise ein Random Access Memory (RAM) oder ein Read Only Memory (ROM), realisiert sein.The memory for providing at least one pre-stored electronic identification can be realized by an electronic memory-capable module, such as a random access memory (RAM) or a read only memory (ROM).
Dadurch wird der Vorteil erreicht, dass die zumindest eine vorgespeicherte elektronische Identifikation zum Vergleich mit der ausgelesenen elektronischen Identifikation bereitsteht. Zudem können mehrere vorgespeicherte elektronische Identifikationen für eine Mehrzahl elektronischer Anwendungen vorgespeichert werden. Dadurch kann die Datenverarbeitungsvorrichtung für eine Mehrzahl elektronischer Anwendungen eingesetzt werden.As a result, the advantage is achieved that the at least one prestored electronic identification is ready for comparison with the read-out electronic identification. In addition, multiple prestored electronic identifications may be pre-stored for a plurality of electronic applications. As a result, the data processing device can be used for a plurality of electronic applications.
Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, ein elektronisches Zertifikat oder ein qualifiziertes elektronisches Zertifikat, insbesondere ein einem Nutzer des elektronischen Identifikationsdokumentes zugeordnetes elektronisches Zertifikat, mit der elektronischen Identifikation aus dem elektronischen Identifikationsdokument auszulesen, wobei der Prozessor ausgebildet ist, die elektronische Identifikation aus dem ausgelesenen elektronischen Zertifikat zu extrahieren.According to one embodiment, the communication interface is formed, an electronic certificate or a qualified electronic Certificate, in particular an electronic certificate associated with a user of the electronic identification document, with the electronic identification read from the electronic identification document, wherein the processor is adapted to extract the electronic identification from the read electronic certificate.
Das elektronische Zertifikat kann beispielweise gemäß dem ITU-T X.509 Standard erzeugt sein und/oder bereitgestellt sein. Das elektronische Zertifikat kann ferner über einen öffentlichen Schlüssel sowie einen privaten Schlüssel im Sinne einer Public-Key-Infrastruktur verfügen. Das qualifizierte elektronische Zertifikat kann beispielsweise eine qualifizierte elektronische Signatur (QES) nach dem deutschen Signaturgesetz umfassen.The electronic certificate may for example be produced and / or provided according to the ITU-T X.509 standard. The electronic certificate may also have a public key and a private key in the sense of a public-key infrastructure. The qualified electronic certificate may, for example, include a qualified electronic signature (QES) according to the German signature law.
Die Extraktion der elektronischen Identifikation aus dem ausgelesenen elektronischen Zertifikat kann das Auslesen von Metadaten des ausgelesenen elektronischen Zertifikats, beispielsweise von Angaben über den Zertifikatinhaber, die Zertifikatsseriennummer und/oder den Zertifikatsaussteller, umfassen. Darüber hinaus kann die Extraktion der elektronischen Identifikation aus dem ausgelesenen elektronischen Zertifikat beispielsweise die Verknüpfung mit einem weiteren Zertifikat, beispielsweise einem der Datenverarbeitungsvorrichtung zugeordneten Zertifikat, umfassen.The extraction of the electronic identification from the read electronic certificate may include the reading of metadata of the read electronic certificate, for example, information about the certificate holder, the certificate serial number and / or the certificate issuer. In addition, the extraction of the electronic identification from the read electronic certificate, for example, the link with another certificate, for example, a certificate associated with the data processing device include.
Durch die Nutzung eines elektronischen Zertifikats oder eines qualifizierten elektronischen Zertifikats wird beispielsweise der Vorteil erreicht, dass die elektronische Identifikation des Nutzers in standardisierter Weise formatiert ist und ausgelesen werden kann. Zudem kann durch eine Verifikation des elektronischen Zertifikates oder des qualifizierten elektronischen Zertifikats eine weitere Authentifizierung des Nutzers durchgeführt werden.By using an electronic certificate or a qualified electronic certificate, for example, the advantage is achieved that the electronic identification of the user is formatted in a standardized manner and can be read out. In addition, a further authentication of the user can be carried out by a verification of the electronic certificate or the qualified electronic certificate.
Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, eine eingeschränkte Identifikation, insbesondere eine Restricted Identification, des elektronischen Identifikationsdokumentes als die elektronische Identifikation auszulesen.According to one embodiment, the communication interface is designed to read out a restricted identification, in particular a restricted identification, of the electronic identification document as the electronic identification.
Die eingeschränkte Identifikation, beispielsweise die Restricted Identification, kann beispielsweise eindeutig dem Identifikationsdokument des Nutzers zugeordnet sein. Die eingeschränkte Identifikation, beispielsweise die Restricted Identification, kann beispielsweise gemäß den technischen Richtlinien bzw. Vorgaben für die Erzeugung einer elektronischen Identifikation eines neuen Personalausweises (nPA) erzeugt werden.The restricted identification, for example the restricted identification, for example, can be uniquely associated with the identification document of the user. The restricted identification, for example the restricted identification, can be generated, for example, in accordance with the technical guidelines and specifications for generating an electronic identification of a new identity card (nPA).
Das Auslesen der eingeschränkten Identifikation und/oder der Restricted Identification kann die Verknüpfung eines öffentlichen Schlüssels, beispielsweise der Datenverarbeitungsvorrichtung, mit einem privaten Schlüssel, beispielsweise des Identifikationsdokumentes, umfassen. Die Verknüpfung zudem kann eine kryptographische Verschränkung und/oder eine Hashwertbildung umfassen.The reading of the restricted identification and / or the restricted identification may comprise linking a public key, for example the data processing device, with a private key, for example the identification document. The link can also include a cryptographic entanglement and / or a hash value formation.
Dadurch wird der Vorteil erreicht, dass eine elektronische Identifikation, welche dem elektronischen Identifikationsdokument zugeordnet ist, zur Authentifizierung eingesetzt werden kann.As a result, the advantage is achieved that an electronic identification, which is assigned to the electronic identification document, can be used for authentication.
Gemäß einer Ausführungsform ist die elektronische Anwendung eine der folgenden elektronischen Anwendungen: kryptographische Verschlüsselung, kryptographische Verschlüsselung mittels eines PKCS#11-Tokens, elektronische Signatur, Generierung einer Banktransaktionsnummer.According to one embodiment, the electronic application is one of the following electronic applications: cryptographic encryption, cryptographic encryption using a PKCS # 11 token, electronic signature, generation of a bank transaction number.
Die kryptographische Verschlüsselung kann symmetrische und asymmetrische Verschlüsselungsverfahren umfassen.Cryptographic encryption may include symmetric and asymmetric encryption techniques.
Das PKCS#11-Token kann eine Programmierschnittstelle umfassen, die eine generische Schnittstelle zu kryptografischen Token spezifiziert. Ein PKCS#11-Token kann darüber hinaus ein Cryptographic Token Interface gemäß der Public Key Cryptography Standards (PKCS) umfassen.The PKCS # 11 token may include a programming interface that specifies a generic interface to cryptographic tokens. A PKCS # 11 token may further include a cryptographic token interface according to Public Key Cryptography Standards (PKCS).
Die elektronische Signatur kann beispielsweise durch die Bereitstellung eines privaten Signaturschlüssels und eines öffentlichen Signaturprüfschlüssels einer Public Key Infrastruktur (PKI) ermöglicht werden.The electronic signature can be made possible, for example, by the provision of a private signature key and a public signature verification key of a public key infrastructure (PKI).
Die Generierung einer Banktransaktionsnummer umfasst beispielsweise die Ausführung eines maschinenlesbaren Programmcodes zur Erzeugung einer pseudo-zufälligen Zahlen- und/oder Symbolfolge.The generation of a bank transaction number includes, for example, the execution of a machine-readable program code for generating a pseudorandom number and / or symbol sequence.
Dadurch wird der Vorteil erreicht, dass die Authentifizierung der Ausführung typischer elektronischer Anwendungen mittels des elektronischen Identifikationsdokumentes möglich wird.This achieves the advantage that the authentication of the execution of typical electronic applications by means of the electronic identification document is possible.
Gemäß einer Ausführungsform kann die elektronische Identifikation des elektronischen Identifikationsdokumentes des Nutzers zusätzlich zur Schlüssel- bzw. Zertifikatserweiterung, zur Hashwertbildung und/oder als kryptographischer Salt eingesetzt werden.According to one embodiment, the electronic identification of the user's electronic identification document can be used in addition to the key or certificate extension, for hash value formation and / or as cryptographic salt.
Dadurch wird der Vorteil erreicht, dass die Leistungsfähigkeit der elektronischen Anwendungen, beispielsweise die Entropie der kryptographischen Schlüssel, zusätzlich verbessert werden kann.This has the advantage that the performance of the electronic applications, for example the entropy of the cryptographic keys, can be additionally improved.
Gemäß einer Ausführungsform ist der Prozessor ausgebildet, eine Funktionalität einer elektronischen Karte, insbesondere einer kryptographischen Verschlüsselungskarte, einer elektronischen Bankkarte, einer elektronischen Zugangskarte, zu emulieren, um die elektronische Anwendung auszuführen. According to one embodiment, the processor is configured to emulate a functionality of an electronic card, in particular a cryptographic encryption card, an electronic bank card, an electronic access card in order to execute the electronic application.
Die elektronische Karte kann dem Nutzer eindeutig zugeordnet sein und den Nutzer zur Nutzung bzw. Verwendung einer elektronischen Anwendung oder eines elektronischen Systems autorisieren.The electronic card may be uniquely associated with the user and authorize the user to use or use an electronic application or electronic system.
Die kryptographische Verschlüsselungskarte kann beispielsweise zur Verschlüsselung von E-Mails eingesetzt werden. Die elektronische Bankkarte kann beispielsweise zur elektronischen Initiierung elektronischer Überweisungen verwendet werden. Die elektronische Zugangskarte kann beispielsweise eine Eintrittskarte bzw. ein Ticket sein.The cryptographic encryption card can be used, for example, for the encryption of e-mails. The electronic bank card can be used, for example, for the electronic initiation of electronic transfers. The electronic access card can be, for example, an entrance ticket or a ticket.
Die Emulation kann eine Nachahmung bzw. Nachbildung eines Verhaltens eines elektronischen Systems, beispielsweise eines Computersystems oder einer elektronischen Schaltung, oder einer elektronischen Anwendung, beispielsweise einer elektronischen Verschlüsselung oder einer elektronischen Signierung, umfassen. Die Emulation kann beispielsweise durch eine gleichzeitige Verwendung von Hardwarekomponenten und Softwarekomponenten in der Datenverarbeitungsvorrichtung realisiert werden.The emulation may include mimicking a behavior of an electronic system, such as a computer system or electronic circuit, or an electronic application, such as electronic encryption or electronic signing. The emulation can be realized, for example, by a simultaneous use of hardware components and software components in the data processing device.
Dadurch wird der Vorteil erreicht, dass die Funktionalität einer Mehrzahl verschiedener elektronischer Systeme oder elektronischer Anwendungen durch die Datenverarbeitungsvorrichtung bereitgestellt werden kann.Thereby, the advantage is achieved that the functionality of a plurality of different electronic systems or electronic applications can be provided by the data processing device.
Gemäß einer Ausführungsform ist die Datenverarbeitungsvorrichtung ein Dokumentenlesegerät zum Zugreifen auf elektronische Identifikationsdokumente.According to one embodiment, the data processing device is a document reader for accessing electronic identification documents.
Das Dokumentenlesegerät kann beispielsweise ein Komfortlesegerät für den neuen Personalausweis (nPA) umfassen. Das Dokumentenlesegerät kann zudem über ein Display sowie ein Tastenfeld zur zusätzlichen Eingabe einer persönlichen Identifikationsnummer verfügen. Das Dokumentenlesegerät kann ferner ausgebildet sein, eine Verifikation des Identifikationsdokumentes durchzuführen, wobei die Verifikation den Austausch von elektronischen Zertifikaten und elektronischen Kennungen zwischen dem Dokumentenlesegerät und dem elektronischen Identifikationsdokument umfassen kann.The document reader may include, for example, a comfort reader for the new identity card (nPA). The document reader can also have a display and a keypad for additional input of a personal identification number. The document reader may further be configured to perform a verification of the identification document, wherein the verification may include the exchange of electronic certificates and electronic identifiers between the document reader and the electronic identification document.
Das Dokumentenlesegerät kann ferner über ein sicherheits-evaluiertes kryptografisches Modul verfügen. Das sicherheits-evaluierte kryptografische Modul kann als Schlüsselspeicher zur Speicherung kryptographischer Schlüssel und/oder Zertifikate eingesetzt werden.The document reader may also have a security-evaluated cryptographic module. The security-evaluated cryptographic module can be used as a key store for storing cryptographic keys and / or certificates.
Das Zugreifen auf das elektronische Identifikationsdokument kann das Auslesen der elektronischen Identifikation aus dem elektronischen Identifikationsdokument umfassen.Accessing the electronic identification document may include reading the electronic identification from the electronic identification document.
Durch den Einsatz eines Dokumentenlesegerätes wird der Vorteil erreicht, dass standardisierte Dokumentenlesegeräte als Datenverarbeitungsvorrichtung eingesetzt werden können. Ferner können durch den Einsatz eines Dokumentenlesegerätes etablierte Verfahren und Algorithmen zur Kommunikation mit dem elektronischen Identifikationsdokument und zur Verifikation des elektronischen Identifikationsdokumentes eingesetzt werden.Through the use of a document reader, the advantage is achieved that standardized document readers can be used as a data processing device. Furthermore, established methods and algorithms for communicating with the electronic identification document and for verifying the electronic identification document can be used by the use of a document reader.
Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die elektronische Identifikation des elektronischen Identifikationsdokumentes kryptographisch zu verarbeiten.According to one embodiment, the processor is configured to cryptographically process the electronic identification of the electronic identification document.
Die kryptographische Verarbeitung kann beispielsweise eine Schlüssel- bzw. Zertifikatserweiterung, eine Hashwertbildung und/oder eine Erzeugung eines kryptographischen Salt umfassen.The cryptographic processing may include, for example, a key or certificate extension, a hash value formation and / or a generation of a cryptographic salt.
Gemäß einem weiteren Aspekt betrifft die Erfindung ein Verfahren zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes, mit: Auslesen einer elektronischen Identifikation aus einem elektronischen Identifikationsdokument; und Authentifizieren der Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation.According to a further aspect, the invention relates to a method for authenticating an execution of an electronic application by means of an electronic identification document, comprising: reading an electronic identification from an electronic identification document; and authenticating the execution of the electronic application by means of the electronic identification.
Das Verfahren ermöglicht auf eine effiziente Weise das Authentifizieren der Ausführung einer elektronischen Anwendung mittels des elektronischen Identifikationsdokumentes.The method makes it possible to authenticate the execution of an electronic application by means of the electronic identification document in an efficient manner.
Das Auslesen der elektronischen Identifikation kann die Verifikation des elektronischen Identifikationsdokumentes umfassen. Die Verifikation kann beispielsweise die Echtheitsprüfung des elektronischen Identifikationsdokumentes umfassen.The reading of the electronic identification may include the verification of the electronic identification document. The verification may include, for example, the authenticity check of the electronic identification document.
Das Verfahren kann beispielsweise mit der beschriebenen Datenverarbeitungsvorrichtung durchgeführt werden. Weitere Merkmale des Verfahrens ergeben sich unmittelbar aus der Funktionalität der beschriebenen Datenverarbeitungsvorrichtung.The method can be carried out, for example, with the described data processing device. Further features of the method emerge directly from the functionality of the described data processing device.
Gemäß einer Ausführungsform wird das Verfahren mittels eines Dokumentenlesegerätes zum Zugreifen auf elektronische Identifikationsdokumente ausgeführt.According to one embodiment, the method is performed by means of a document reader for accessing electronic identification documents.
Durch den Einsatz eines Dokumentenlesegerätes zum Zugreifen auf elektronische Identifikationsdokumente wird der Vorteil erreicht, dass standardisierte Dokumentenlesegeräte für das Verfahren eingesetzt werden können. Ferner können durch den Einsatz eines Dokumentenlesegerätes etablierte Verfahren und Algorithmen zur Kommunikation mit dem elektronischen Identifikationsdokument und zur Verifikation des elektronischen Identifikationsdokumentes eingesetzt werden. Through the use of a document reader for accessing electronic identification documents, the advantage is achieved that standardized document readers can be used for the method. Furthermore, established methods and algorithms for communicating with the electronic identification document and for verifying the electronic identification document can be used by the use of a document reader.
Gemäß einer Ausführungsform umfasst das Verfahren ein Emulieren einer Funktionalität einer elektronischen Karte, insbesondere einer kryptographischen Verschlüsselungskarte, einer elektronischen Bankkarte, einer elektronischen Zugangskarte, um die elektronische Anwendung auszuführen.According to one embodiment, the method comprises emulating a functionality of an electronic card, in particular a cryptographic encryption card, an electronic bank card, an electronic access card to execute the electronic application.
Dadurch wird der Vorteil erreicht, dass die Funktionalität einer Mehrzahl verschiedener elektronischer Systeme oder elektronischer Anwendungen durch die Datenverarbeitungsvorrichtung mittels der Emulation bereitgestellt werden kann.Thereby, the advantage is achieved that the functionality of a plurality of different electronic systems or electronic applications can be provided by the data processing device by means of the emulation.
Gemäß einem weiteren Aspekt betrifft die Erfindung ein Computerprogramm zum Ausführen des Verfahrens, wenn das Computerprogramm auf einem Computer, insbesondere auf einem Dokumentenlesegerät zum Zugreifen auf elektronische Identifikationsdokumente, ausgeführt wird.According to a further aspect, the invention relates to a computer program for carrying out the method when the computer program is executed on a computer, in particular on a document reader for accessing electronic identification documents.
Das Computerprogramm kann beispielsweise in einem Speicher des Computers abgelegt sein und von einem Prozessor des Computers ausgeführt werden.For example, the computer program may be stored in a memory of the computer and executed by a processor of the computer.
Durch den Einsatz des Computerprogrammes wird der Vorteil erreicht, dass das beschriebene Verfahren automatisiert und wiederholbar ausgeführt werden kann.Through the use of the computer program, the advantage is achieved that the method described can be carried out automatically and repeatably.
Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:Further embodiments will be explained with reference to the accompanying drawings. Show it:
Die Datenverarbeitungsvorrichtung
Die Kommunikationsschnittstelle
Der Prozessor
Das elektronische Identifikationsdokument
Auf der Datenverarbeitungsvorrichtung
Soll beispielsweise eine E-Mail signiert oder eine Transaktionsnummer (TAN) generiert werden, so kann die Datenverarbeitungsvorrichtung
Die Datenverarbeitungsvorrichtung
Daraus kann abgeleitet werden, dass das qualifizierte elektronische Zertifikat des Identifikationsdokumentes
Um ein höheres Authentisierungslevel, beispielsweise eine zuverlässigere Authentifizierung, zu ermöglichen, kann die Datenverarbeitungsvorrichtung
Weitere statische Informationen, die der Datenverarbeitungsvorrichtung
Unter Zuhilfenahme dieser weiteren statischen Informationen bzw. Daten kann das elektronische Identifikationsdokument
Die Eingabe der Signatur-PIN oder die Gültigkeit des Zertifikats können zur Nutzung der elektronischen Anwendung der Datenverarbeitungsvorrichtung
Gemäß einer Ausführungsform kann zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes
Die beschriebenen Varianten können somit die Identität des elektronischen Identifikationsdokumentes
Gemäß einer Ausführungsform können die beschriebenen Varianten zudem bezüglich ihrer Funktionalität erweitert werden. Wenn mit der elektronischen Anwendung auf der Datenverarbeitungsvorrichtung
Die elektronischen Anwendungen der Datenverarbeitungsvorrichtung
Die beschriebenen Ausführungsbeispiele verdeutlichen somit, dass unter Zuhilfenahme einer entsprechenden Datenverarbeitungsvorrichtung
Das elektronische Identifikationsdokument
Gemäß einer Ausführungsform können die elektronischen Anwendungen in der Datenverarbeitungsvorrichtung
Gemäß einer Ausführungsform ist es nicht notwendig, ein Passwort einzugeben, weil die Card Access Number (CAN) des elektronischen Identifikationsdokumentes
Gemäß einer Ausführungsform können vielfältige elektronische Anwendungen auf der Datenverarbeitungsvorrichtung
Gemäß einer Ausführungsform genügt auch ein Zertifikat, das beispielsweise nur 0 Sekunden gültig ist. Somit kann dieses Zertifikat nicht für QES, sondern nur für die hierin beschrieben weiteren Funktionen, insbesondere Authentifizierung, eingesetzt werden kann.According to one embodiment, a certificate which is valid for example only for 0 seconds is sufficient. Thus, this certificate can not be used for QES, but only for the other functions described herein, in particular authentication.
Gemäß einer Ausführungsform ist eine Anpassung von Anwendungen, die auf einem Computer bzw. Desktop ausgeführt werden und ein kryptografisches Sicherheitstoken nutzen, wie beispielsweise eine E-Mail-Signatur, eine Client-Authentisierung im Browser oder ein Computer-Login bzw. Desktop-Login, optional.According to one embodiment, customization of applications running on a computer or desktop using a cryptographic security token, such as an e-mail signature, browser client authentication or a computer login or desktop login, is possible. optional.
BezugszeichenlisteLIST OF REFERENCE NUMBERS
- 100100
- DatenverarbeitungsvorrichtungData processing device
- 101101
- KommunikationsschnittstelleCommunication Interface
- 103103
- Prozessorprocessor
- 105105
- Identifikationsdokumentidentification document
- 200200
- Verfahren zum Authentifizieren einer AusführungMethod for authenticating an execution
- 201201
- Auslesen einer elektronischen IdentifikationReading an electronic identification
- 203203
- Authentifizieren der AusführungAuthenticate the execution
Claims (12)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013103531.0A DE102013103531B4 (en) | 2013-04-09 | 2013-04-09 | Data processing apparatus for authenticating execution of an electronic application |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013103531.0A DE102013103531B4 (en) | 2013-04-09 | 2013-04-09 | Data processing apparatus for authenticating execution of an electronic application |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102013103531A1 DE102013103531A1 (en) | 2014-10-09 |
DE102013103531B4 true DE102013103531B4 (en) | 2016-07-21 |
Family
ID=51567471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102013103531.0A Active DE102013103531B4 (en) | 2013-04-09 | 2013-04-09 | Data processing apparatus for authenticating execution of an electronic application |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102013103531B4 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112150158A (en) * | 2019-06-28 | 2020-12-29 | 华为技术有限公司 | Block chain transaction delivery verification method and device |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102005004902A1 (en) * | 2005-02-02 | 2006-08-10 | Utimaco Safeware Ag | Method for registering a user on a computer system |
US20070282881A1 (en) * | 2006-06-06 | 2007-12-06 | Red Hat, Inc. | Methods and systems for providing data objects on a token |
US7484089B1 (en) * | 2002-09-06 | 2009-01-27 | Citicorp Developmemt Center, Inc. | Method and system for certificate delivery and management |
US20130061303A1 (en) * | 2010-02-25 | 2013-03-07 | Idondemand, Inc. | Authentication System and Method in a Contactless Environment |
-
2013
- 2013-04-09 DE DE102013103531.0A patent/DE102013103531B4/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7484089B1 (en) * | 2002-09-06 | 2009-01-27 | Citicorp Developmemt Center, Inc. | Method and system for certificate delivery and management |
DE102005004902A1 (en) * | 2005-02-02 | 2006-08-10 | Utimaco Safeware Ag | Method for registering a user on a computer system |
US20070282881A1 (en) * | 2006-06-06 | 2007-12-06 | Red Hat, Inc. | Methods and systems for providing data objects on a token |
US20130061303A1 (en) * | 2010-02-25 | 2013-03-07 | Idondemand, Inc. | Authentication System and Method in a Contactless Environment |
Non-Patent Citations (1)
Title |
---|
Abylon Logon 7.3 mit zentraler Administration. Online-Beitrag auf www.itseccity.de, 16. Oktober 2008.URL: http://www.itseccity.de/content/produkte/zugriffsschutz/081016_pro_zgr_abylonsoft.html * |
Also Published As
Publication number | Publication date |
---|---|
DE102013103531A1 (en) | 2014-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3289508B1 (en) | Method for generating an electronic signature | |
EP2949094B1 (en) | Method for authenticating a user with respect to a machine | |
DE102011082101A1 (en) | A method of creating a soft token, computer program product, and service computer system | |
EP3748521B1 (en) | Method for reading attributes from an id token | |
EP2881289B1 (en) | Method for unlocking a vehicle locking assembly | |
EP3206151B1 (en) | Method and system for authenticating a mobile telecommunication terminal on a service computer system and mobile telecommunication terminal | |
DE102013103531B4 (en) | Data processing apparatus for authenticating execution of an electronic application | |
EP2752785B1 (en) | Method for personalisation of a secure element (SE) and computer system | |
EP3289509B1 (en) | Method for generating an electronic signature | |
DE102015209073B4 (en) | Method for reading attributes from an ID token | |
EP3271855A1 (en) | Method for generating a certificate for a security token | |
EP3248357B1 (en) | Certificate token for providing a digital certificate of a user | |
EP3304846B1 (en) | Identification of a person on the basis of a transformed biometric reference feature | |
EP2916252B1 (en) | Electronic transaction method and computer system | |
DE102012215630A1 (en) | Method for Personalizing a Secure Element (SE) and Computer System | |
EP2819079B1 (en) | Electronic transaction method and computer system | |
DE102021124640A1 (en) | Process for digitally exchanging information | |
DE102013022448B3 (en) | Electronic transaction process and computer system | |
EP4295605A1 (en) | User authentication by means of two independent security elements | |
DE102013022435B3 (en) | Electronic transaction process and computer system | |
EP2819077A1 (en) | Method for activating at least one service in an e-wallet | |
EP3248356A1 (en) | Certificate token for providing a digital certificate of a user | |
WO2015044047A1 (en) | Data access control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R082 | Change of representative |
Representative=s name: PATENTSHIP PATENTANWALTSGESELLSCHAFT MBH, DE |
|
R020 | Patent grant now final |