DE102013103531B4 - Data processing apparatus for authenticating execution of an electronic application - Google Patents

Data processing apparatus for authenticating execution of an electronic application Download PDF

Info

Publication number
DE102013103531B4
DE102013103531B4 DE102013103531.0A DE102013103531A DE102013103531B4 DE 102013103531 B4 DE102013103531 B4 DE 102013103531B4 DE 102013103531 A DE102013103531 A DE 102013103531A DE 102013103531 B4 DE102013103531 B4 DE 102013103531B4
Authority
DE
Germany
Prior art keywords
electronic
identification
electronic identification
data processing
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102013103531.0A
Other languages
German (de)
Other versions
DE102013103531A1 (en
Inventor
Frank Morgner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Priority to DE102013103531.0A priority Critical patent/DE102013103531B4/en
Publication of DE102013103531A1 publication Critical patent/DE102013103531A1/en
Application granted granted Critical
Publication of DE102013103531B4 publication Critical patent/DE102013103531B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs

Abstract

Die Erfindung betrifft eine Datenverarbeitungsvorrichtung (100) zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes (105), mit: einer Kommunikationsschnittstelle (101), welche ausgebildet ist, eine elektronische Identifikation aus einem elektronischen Identifikationsdokument (105) auszulesen; und einem Prozessor (103), welcher ausgebildet ist, die Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation zu authentifizieren.The invention relates to a data processing device (100) for authenticating an execution of an electronic application by means of an electronic identification document (105), comprising: a communication interface (101) configured to read an electronic identification from an electronic identification document (105); and a processor (103) configured to authenticate the execution of the electronic application by means of the electronic identification.

Description

Die vorliegende Erfindung betrifft das Gebiet der elektronischen Authentifizierung bzw. Authentisierung.The present invention relates to the field of electronic authentication.

Der Internetartikel ”Abylon Logon 7.3 mit zentraler Administration. Online-Beitrag auf www.itseccity.de, 16. Oktober 2008.URL: http://www.itseccity.de/content/produkte/zugriffsschutz/081016_pro_zgr_abylonsoft.html” beschäftigt sich mit dem Aspekt, sich ohne Passwort, nur mit einer Chipkarte, einem USB-Token oder einer CD an einen Rechner anzumelden.The article "Abylon Logon 7.3 with central administration. Online article on www.itseccity.de, 16 October 2008.URL: http://www.itseccity.de/content/produkte/zugriffsschutz/081016_pro_zgr_abylonsoft.html "deals with the aspect, without password, only with one Chip card, a USB token or a CD to a computer to log.

Elektronische Anwendungen bzw. Dienste, wie beispielsweise Signatur oder Verschlüsselung von E-Mails sowie Durchführung elektronischer Zahlungsvorgänge, haben sich im geschäftlichen Bereich nachhaltig etabliert.Electronic applications or services, such as signature or encryption of e-mails and electronic payment transactions, have become established in the business sector.

Zur Nutzung derartiger Anwendungen ist zumeist eine Authentifizierung des Nutzers erforderlich, welche üblicherweise durch den Besitz einer elektronisch auslesbaren Karte, beispielsweise einer elektronischen Signatur- oder Verschlüsselungskarte oder einer elektronischen Bankkarte, gewährleistet wird. Darüber hinaus kann eine Authentifizierung des Nutzers mittels eines Kennwortes, beispielsweise einer persönlichen Identifikationsnummer (PIN) oder einer Transaktionsnummer (TAN), durchgeführt werden. Die Nutzung einer Mehrzahl von elektronisch auslesbaren Karten sowie einer Mehrzahl von Kennwörtern erweist sich jedoch häufig als unkomfortabel.To use such applications, an authentication of the user is usually required, which is usually ensured by the possession of an electronically readable card, such as an electronic signature or encryption card or an electronic bank card. In addition, an authentication of the user by means of a password, such as a personal identification number (PIN) or a transaction number (TAN), are performed. The use of a plurality of electronically readable cards and a plurality of passwords, however, often proves to be uncomfortable.

Neuere elektronische Identifikationsdokumente, beispielsweise der neue Personalausweis (nPA), bieten bereits die Möglichkeit einer elektronischen Signierung. Zur Authentifizierung eines Besitzers des neuen Personalausweises für die jeweilige Anwendung wird jedoch eine übergeordnete Instanz, beispielsweise die eID (elektronische Identifikation), benötigt. Hierzu wird jedoch eine Kommunikationsinfrastruktur benötigt, um eine Kommunikationsverbindung zu der eID aufzubauen.Newer electronic identification documents, such as the new identity card (nPA), already offer the possibility of electronic signing. To authenticate an owner of the new identity card for the respective application, however, a higher-level entity, for example the eID (electronic identification), is required. However, this requires a communication infrastructure to establish a communication link to the eID.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein effizientes Authentifizierungskonzept zu schaffen.It is therefore the object of the present invention to provide an efficient authentication concept.

Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.This object is solved by the features of the independent claims. Advantageous forms of further development are the subject of the dependent claims, the description and the drawings.

Die Erfindung basiert auf der Erkenntnis, dass eine Authentifizierung einer Ausführung einer Anwendung, wie beispielsweise einer Verschlüsselung, mittels einer elektronischen Identifikation eines elektronisch auslesbaren Identifikationsdokumentes, beispielsweise eines elektronischen Personalausweises, durchgeführt werden kann. Bei der elektronischen Identifikation kann es sich beispielsweise um eine sog. Restricted Identification handeln, welche für die Identifikation elektronischer Identifikationsdokumente vorgesehen ist.The invention is based on the recognition that an authentication of an execution of an application, such as an encryption, by means of an electronic identification of an electronically readable identification document, such as an electronic identity card, can be performed. The electronic identification may be, for example, a so-called restricted identification, which is provided for the identification of electronic identification documents.

Gemäß einem ersten Aspekt betrifft die Erfindung eine Datenverarbeitungsvorrichtung zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes, mit: einer Kommunikationsschnittstelle, welche ausgebildet ist, eine elektronische Identifikation aus einem elektronischen Identifikationsdokument auszulesen; und einem Prozessor, welcher ausgebildet ist, die Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation zu authentifizieren.According to a first aspect, the invention relates to a data processing device for authenticating an execution of an electronic application by means of an electronic identification document, comprising: a communication interface, which is designed to read out an electronic identification from an electronic identification document; and a processor configured to authenticate the execution of the electronic application using the electronic identification.

Gemäß einer Ausführungsform umfasst der Begriff „Authentifizierung” auch die Autorisierung und/oder die Authentisierung.According to one embodiment, the term "authentication" also includes the authorization and / or the authentication.

Die Datenverarbeitungsvorrichtung kann beispielsweise ein Dokumentenlesegerät für das Identifikationsdokument sein. Die Datenverarbeitungsanlage kann zudem über ein Display sowie ein Tastenfeld zur zusätzlichen Eingabe einer persönlichen Identifikationsnummer verfügen. Gemäß einer Ausführungsform ist die Datenverarbeitungsvorrichtung ein Komfortleser für einen neuen Personalausweis (nPA).The data processing device may be, for example, a document reader for the identification document. The data processing system may also have a display and a keypad for additional input of a personal identification number. According to one embodiment, the data processing device is a comfort reader for a new identity card (nPA).

Das Identifikationsdokument kann beispielsweise eines der folgenden Identifikationsdokumente sein: Identitätsdokument, wie Personalausweis, Reisepass, Zugangskontrollausweis, Berechtigungsausweis, Unternehmensausweis, Steuerzeichen oder Ticket, Geburtsurkunde, Führerschein oder Kraftfahrzeugausweis, Zahlungsmittel, beispielsweise eine Bankkarte oder Kreditkarte. Das Identifikationsdokument kann ferner einen elektronisch auslesbaren Schaltkreis, beispielsweise einen RFID-Chip umfassen. Das Identifikationsdokument kann ein- oder mehrlagig bzw. papier- und/oder kunststoffbasiert sein. Das Identifikationsdokument kann aus kunststoffbasierten Folien aufgebaut sein, welche zu einem Kartenkörper mittels Verkleben und/oder Laminieren zusammengefügt werden, wobei die Folien bevorzugt ähnliche stoffliche Eigenschaften aufweisen. Gemäß einer Ausführungsform ist das Identifikationsdokument ein neuer Personalausweis (nPA).The identification document can be, for example, one of the following identification documents: Identity document, such as identity card, passport, access control card, authorization card, company card, tax stamp or ticket, birth certificate, driving license or motor vehicle pass, means of payment, for example a bank card or credit card. The identification document may further comprise an electronically readable circuit, for example an RFID chip. The identification document can be single-layered or multi-layered or paper and / or plastic-based. The identification document can be constructed from plastic-based films which are joined together to form a card body by means of gluing and / or lamination, the films preferably having similar material properties. According to one embodiment, the identification document is a new identity card (nPA).

Die elektronische Anwendung kann beispielsweise eine kryptographische Signierung, Verschlüsselung und/oder Authentisierung von E-Mails umfassen. Zudem kann die elektronische Anwendung die Generierung von Transaktionsnummern (TANs) umfassen.The electronic application may include, for example, a cryptographic signing, encryption and / or authentication of e-mails. In addition, the electronic application may include the generation of transaction numbers (TANs).

Zur Ausführung der elektronischen Anwendung kann beispielsweise eine elektronische Emulation elektronisch auslesbarer Karten, wie beispielsweise elektronischer Signatur- oder Verschlüsselungskarten sowie elektronischer Bankkarten, vorgesehen sein. Ein Beispiel für eine Emulation ist die Emulation eines PKCS#11-kompatiblen kryptografischen Tokens. To execute the electronic application, for example, an electronic emulation of electronically readable cards, such as electronic signature or encryption cards and electronic bank cards, may be provided. An example of emulation is the emulation of a PKCS # 11 compliant cryptographic token.

Die Ausführung der elektronischen Anwendung umfasst beispielsweise die Ausführung eines maschinenlesbaren Programmcodes der elektronischen Anwendung auf einem Prozessor. Die Ausführung der elektronischen Anwendung kann auch die Freischaltung bzw. Freigabe eines fest verdrahteten elektronischen Schaltkreises, beispielsweise eines Programmable Logic Array (PLA) oder eines Field Programmable Gate Array (FPGA), welcher die elektronische Anwendung realisiert, umfassen.The execution of the electronic application includes, for example, the execution of a machine-readable program code of the electronic application on a processor. Implementation of the electronic application may also include enabling a hardwired electronic circuit, such as a Programmable Logic Array (PLA) or Field Programmable Gate Array (FPGA), which implements the electronic application.

Die Kommunikationsschnittstelle ist beispielsweise ausgebildet, mit einem Identifikationsdokument des Nutzers zu kommunizieren und eine elektronische Identifikation aus dem elektronischen Identifikationsdokument auszulesen. Die Kommunikation kann beispielsweise drahtlos oder drahtgebunden erfolgen. Hierbei kann die Kommunikationsschnittstelle elektrisch mit elektrischen Anschlüssen eines elektronischen Identifikationsdokumentes verbindbar bzw. kontaktierbar sein.The communication interface is designed, for example, to communicate with an identification document of the user and to read out an electronic identification from the electronic identification document. The communication can for example be wireless or wired. In this case, the communication interface can be electrically connected or contacted with electrical connections of an electronic identification document.

Der Prozessor ist ausgebildet, die Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation zu authentifizieren. Der Prozessor kann hierfür die elektronische Identifikation mit einer vorgespeicherten Identifikation des Nutzers vergleichen. Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die elektronische Anwendung auszuführen.The processor is configured to authenticate the execution of the electronic application by means of the electronic identification. For this purpose, the processor can compare the electronic identification with a pre-stored identification of the user. In one embodiment, the processor is configured to execute the electronic application.

Die Datenverarbeitungsvorrichtung ermöglicht, dass das elektronische Identifikationsdokument als Vertrauensanker des Nutzers verwendet werden kann und auf den Einsatz weiterer elektronisch auslesbarer Karten oder den Einsatz weiterer Kennwörter zum Authentifizieren der Ausführung elektronischer Anwendungen verzichtet werden kann.The data processing device allows the electronic identification document to be used as a trust anchor of the user and to dispense with the use of further electronically readable cards or the use of further passwords for authenticating the execution of electronic applications.

Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die elektronische Anwendung bei erfolgreicher Authentifizierung der Ausführung der elektronischen Anwendung auszuführen.In one embodiment, the processor is configured to execute the electronic application upon successful authentication of the execution of the electronic application.

Die erfolgreiche Authentifizierung der Ausführung der elektronischen Anwendung kann beispielsweise dann vorliegen, wenn die aus dem elektronischen Identifikationsdokument ausgelesene elektronische Identifikation des Nutzers mit einer vorgespeicherten elektronischen Identifikation des Nutzers übereinstimmt.The successful authentication of the execution of the electronic application can be present, for example, when the electronic identification of the user read from the electronic identification document matches a prestored electronic identification of the user.

Durch die vorgenannte Ausführungsform wird der Vorteil erreicht, dass nur ein einziger Prozessor benötigt wird, um die Authentifizierung und die Ausführung der elektronischen Anwendung durchführen zu können.The aforementioned embodiment achieves the advantage that only a single processor is required in order to be able to carry out the authentication and the execution of the electronic application.

Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die ausgelesene elektronische Identifikation mit einer vorgespeicherten elektronischen Identifikation zu vergleichen, um die Ausführung der elektronischen Anwendung zu authentifizieren oder zu authentisieren.According to one embodiment, the processor is configured to compare the read electronic identification with a pre-stored electronic identification to authenticate or authenticate the execution of the electronic application.

Der Vergleich der ausgelesenen elektronischen Identifikation mit einer vorgespeicherten elektronischen Identifikation kann beispielsweise eine Prüfung auf Identität der ausgelesenen elektronischen Identifikation mit einer vorgespeicherten elektronischen Identifikation umfassen. Der Vergleich der ausgelesenen elektronischen Identifikation mit einer vorgespeicherten elektronischen Identifikation kann zudem die Berechnung und den Abgleich von Prüfsummen umfassen.The comparison of the read-out electronic identification with a pre-stored electronic identification can include, for example, a check for identity of the read electronic identification with a pre-stored electronic identification. The comparison of the read electronic identification with a prestored electronic identification can also include the calculation and comparison of checksums.

Dadurch wird der Vorteil erreicht, dass eine einfache Authentifizierung der Ausführung der elektronischen Anwendung durchgeführt werden kann.Thereby, the advantage is achieved that a simple authentication of the execution of the electronic application can be performed.

Gemäß einer Ausführungsform ist ferner ein Speicher zum Bereitstellen zumindest einer vorgespeicherten elektronischen Identifikation vorgesehen, wobei der Prozessor ausgebildet ist, die ausgelesene elektronische Identifikation mit der vorgespeicherten elektronischen Identifikation zu vergleichen, und die Ausführung der elektronischen Anwendung bei Übereinstimmung zwischen der ausgelesenen elektronische Identifikation und der vorgespeicherten elektronischen Identifikation zu authentifizieren.According to one embodiment, there is further provided a memory for providing at least one prestored electronic identification, wherein the processor is configured to compare the read electronic identification with the prestored electronic identification and the execution of the electronic application if the read out electronic identification and the prestored electronic identification match to authenticate electronic identification.

Der Speicher zum Bereitstellen zumindest einer vorgespeicherten elektronischen Identifikation kann durch eine elektronische speicherfähige Baugruppe, wie beispielsweise ein Random Access Memory (RAM) oder ein Read Only Memory (ROM), realisiert sein.The memory for providing at least one pre-stored electronic identification can be realized by an electronic memory-capable module, such as a random access memory (RAM) or a read only memory (ROM).

Dadurch wird der Vorteil erreicht, dass die zumindest eine vorgespeicherte elektronische Identifikation zum Vergleich mit der ausgelesenen elektronischen Identifikation bereitsteht. Zudem können mehrere vorgespeicherte elektronische Identifikationen für eine Mehrzahl elektronischer Anwendungen vorgespeichert werden. Dadurch kann die Datenverarbeitungsvorrichtung für eine Mehrzahl elektronischer Anwendungen eingesetzt werden.As a result, the advantage is achieved that the at least one prestored electronic identification is ready for comparison with the read-out electronic identification. In addition, multiple prestored electronic identifications may be pre-stored for a plurality of electronic applications. As a result, the data processing device can be used for a plurality of electronic applications.

Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, ein elektronisches Zertifikat oder ein qualifiziertes elektronisches Zertifikat, insbesondere ein einem Nutzer des elektronischen Identifikationsdokumentes zugeordnetes elektronisches Zertifikat, mit der elektronischen Identifikation aus dem elektronischen Identifikationsdokument auszulesen, wobei der Prozessor ausgebildet ist, die elektronische Identifikation aus dem ausgelesenen elektronischen Zertifikat zu extrahieren.According to one embodiment, the communication interface is formed, an electronic certificate or a qualified electronic Certificate, in particular an electronic certificate associated with a user of the electronic identification document, with the electronic identification read from the electronic identification document, wherein the processor is adapted to extract the electronic identification from the read electronic certificate.

Das elektronische Zertifikat kann beispielweise gemäß dem ITU-T X.509 Standard erzeugt sein und/oder bereitgestellt sein. Das elektronische Zertifikat kann ferner über einen öffentlichen Schlüssel sowie einen privaten Schlüssel im Sinne einer Public-Key-Infrastruktur verfügen. Das qualifizierte elektronische Zertifikat kann beispielsweise eine qualifizierte elektronische Signatur (QES) nach dem deutschen Signaturgesetz umfassen.The electronic certificate may for example be produced and / or provided according to the ITU-T X.509 standard. The electronic certificate may also have a public key and a private key in the sense of a public-key infrastructure. The qualified electronic certificate may, for example, include a qualified electronic signature (QES) according to the German signature law.

Die Extraktion der elektronischen Identifikation aus dem ausgelesenen elektronischen Zertifikat kann das Auslesen von Metadaten des ausgelesenen elektronischen Zertifikats, beispielsweise von Angaben über den Zertifikatinhaber, die Zertifikatsseriennummer und/oder den Zertifikatsaussteller, umfassen. Darüber hinaus kann die Extraktion der elektronischen Identifikation aus dem ausgelesenen elektronischen Zertifikat beispielsweise die Verknüpfung mit einem weiteren Zertifikat, beispielsweise einem der Datenverarbeitungsvorrichtung zugeordneten Zertifikat, umfassen.The extraction of the electronic identification from the read electronic certificate may include the reading of metadata of the read electronic certificate, for example, information about the certificate holder, the certificate serial number and / or the certificate issuer. In addition, the extraction of the electronic identification from the read electronic certificate, for example, the link with another certificate, for example, a certificate associated with the data processing device include.

Durch die Nutzung eines elektronischen Zertifikats oder eines qualifizierten elektronischen Zertifikats wird beispielsweise der Vorteil erreicht, dass die elektronische Identifikation des Nutzers in standardisierter Weise formatiert ist und ausgelesen werden kann. Zudem kann durch eine Verifikation des elektronischen Zertifikates oder des qualifizierten elektronischen Zertifikats eine weitere Authentifizierung des Nutzers durchgeführt werden.By using an electronic certificate or a qualified electronic certificate, for example, the advantage is achieved that the electronic identification of the user is formatted in a standardized manner and can be read out. In addition, a further authentication of the user can be carried out by a verification of the electronic certificate or the qualified electronic certificate.

Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, eine eingeschränkte Identifikation, insbesondere eine Restricted Identification, des elektronischen Identifikationsdokumentes als die elektronische Identifikation auszulesen.According to one embodiment, the communication interface is designed to read out a restricted identification, in particular a restricted identification, of the electronic identification document as the electronic identification.

Die eingeschränkte Identifikation, beispielsweise die Restricted Identification, kann beispielsweise eindeutig dem Identifikationsdokument des Nutzers zugeordnet sein. Die eingeschränkte Identifikation, beispielsweise die Restricted Identification, kann beispielsweise gemäß den technischen Richtlinien bzw. Vorgaben für die Erzeugung einer elektronischen Identifikation eines neuen Personalausweises (nPA) erzeugt werden.The restricted identification, for example the restricted identification, for example, can be uniquely associated with the identification document of the user. The restricted identification, for example the restricted identification, can be generated, for example, in accordance with the technical guidelines and specifications for generating an electronic identification of a new identity card (nPA).

Das Auslesen der eingeschränkten Identifikation und/oder der Restricted Identification kann die Verknüpfung eines öffentlichen Schlüssels, beispielsweise der Datenverarbeitungsvorrichtung, mit einem privaten Schlüssel, beispielsweise des Identifikationsdokumentes, umfassen. Die Verknüpfung zudem kann eine kryptographische Verschränkung und/oder eine Hashwertbildung umfassen.The reading of the restricted identification and / or the restricted identification may comprise linking a public key, for example the data processing device, with a private key, for example the identification document. The link can also include a cryptographic entanglement and / or a hash value formation.

Dadurch wird der Vorteil erreicht, dass eine elektronische Identifikation, welche dem elektronischen Identifikationsdokument zugeordnet ist, zur Authentifizierung eingesetzt werden kann.As a result, the advantage is achieved that an electronic identification, which is assigned to the electronic identification document, can be used for authentication.

Gemäß einer Ausführungsform ist die elektronische Anwendung eine der folgenden elektronischen Anwendungen: kryptographische Verschlüsselung, kryptographische Verschlüsselung mittels eines PKCS#11-Tokens, elektronische Signatur, Generierung einer Banktransaktionsnummer.According to one embodiment, the electronic application is one of the following electronic applications: cryptographic encryption, cryptographic encryption using a PKCS # 11 token, electronic signature, generation of a bank transaction number.

Die kryptographische Verschlüsselung kann symmetrische und asymmetrische Verschlüsselungsverfahren umfassen.Cryptographic encryption may include symmetric and asymmetric encryption techniques.

Das PKCS#11-Token kann eine Programmierschnittstelle umfassen, die eine generische Schnittstelle zu kryptografischen Token spezifiziert. Ein PKCS#11-Token kann darüber hinaus ein Cryptographic Token Interface gemäß der Public Key Cryptography Standards (PKCS) umfassen.The PKCS # 11 token may include a programming interface that specifies a generic interface to cryptographic tokens. A PKCS # 11 token may further include a cryptographic token interface according to Public Key Cryptography Standards (PKCS).

Die elektronische Signatur kann beispielsweise durch die Bereitstellung eines privaten Signaturschlüssels und eines öffentlichen Signaturprüfschlüssels einer Public Key Infrastruktur (PKI) ermöglicht werden.The electronic signature can be made possible, for example, by the provision of a private signature key and a public signature verification key of a public key infrastructure (PKI).

Die Generierung einer Banktransaktionsnummer umfasst beispielsweise die Ausführung eines maschinenlesbaren Programmcodes zur Erzeugung einer pseudo-zufälligen Zahlen- und/oder Symbolfolge.The generation of a bank transaction number includes, for example, the execution of a machine-readable program code for generating a pseudorandom number and / or symbol sequence.

Dadurch wird der Vorteil erreicht, dass die Authentifizierung der Ausführung typischer elektronischer Anwendungen mittels des elektronischen Identifikationsdokumentes möglich wird.This achieves the advantage that the authentication of the execution of typical electronic applications by means of the electronic identification document is possible.

Gemäß einer Ausführungsform kann die elektronische Identifikation des elektronischen Identifikationsdokumentes des Nutzers zusätzlich zur Schlüssel- bzw. Zertifikatserweiterung, zur Hashwertbildung und/oder als kryptographischer Salt eingesetzt werden.According to one embodiment, the electronic identification of the user's electronic identification document can be used in addition to the key or certificate extension, for hash value formation and / or as cryptographic salt.

Dadurch wird der Vorteil erreicht, dass die Leistungsfähigkeit der elektronischen Anwendungen, beispielsweise die Entropie der kryptographischen Schlüssel, zusätzlich verbessert werden kann.This has the advantage that the performance of the electronic applications, for example the entropy of the cryptographic keys, can be additionally improved.

Gemäß einer Ausführungsform ist der Prozessor ausgebildet, eine Funktionalität einer elektronischen Karte, insbesondere einer kryptographischen Verschlüsselungskarte, einer elektronischen Bankkarte, einer elektronischen Zugangskarte, zu emulieren, um die elektronische Anwendung auszuführen. According to one embodiment, the processor is configured to emulate a functionality of an electronic card, in particular a cryptographic encryption card, an electronic bank card, an electronic access card in order to execute the electronic application.

Die elektronische Karte kann dem Nutzer eindeutig zugeordnet sein und den Nutzer zur Nutzung bzw. Verwendung einer elektronischen Anwendung oder eines elektronischen Systems autorisieren.The electronic card may be uniquely associated with the user and authorize the user to use or use an electronic application or electronic system.

Die kryptographische Verschlüsselungskarte kann beispielsweise zur Verschlüsselung von E-Mails eingesetzt werden. Die elektronische Bankkarte kann beispielsweise zur elektronischen Initiierung elektronischer Überweisungen verwendet werden. Die elektronische Zugangskarte kann beispielsweise eine Eintrittskarte bzw. ein Ticket sein.The cryptographic encryption card can be used, for example, for the encryption of e-mails. The electronic bank card can be used, for example, for the electronic initiation of electronic transfers. The electronic access card can be, for example, an entrance ticket or a ticket.

Die Emulation kann eine Nachahmung bzw. Nachbildung eines Verhaltens eines elektronischen Systems, beispielsweise eines Computersystems oder einer elektronischen Schaltung, oder einer elektronischen Anwendung, beispielsweise einer elektronischen Verschlüsselung oder einer elektronischen Signierung, umfassen. Die Emulation kann beispielsweise durch eine gleichzeitige Verwendung von Hardwarekomponenten und Softwarekomponenten in der Datenverarbeitungsvorrichtung realisiert werden.The emulation may include mimicking a behavior of an electronic system, such as a computer system or electronic circuit, or an electronic application, such as electronic encryption or electronic signing. The emulation can be realized, for example, by a simultaneous use of hardware components and software components in the data processing device.

Dadurch wird der Vorteil erreicht, dass die Funktionalität einer Mehrzahl verschiedener elektronischer Systeme oder elektronischer Anwendungen durch die Datenverarbeitungsvorrichtung bereitgestellt werden kann.Thereby, the advantage is achieved that the functionality of a plurality of different electronic systems or electronic applications can be provided by the data processing device.

Gemäß einer Ausführungsform ist die Datenverarbeitungsvorrichtung ein Dokumentenlesegerät zum Zugreifen auf elektronische Identifikationsdokumente.According to one embodiment, the data processing device is a document reader for accessing electronic identification documents.

Das Dokumentenlesegerät kann beispielsweise ein Komfortlesegerät für den neuen Personalausweis (nPA) umfassen. Das Dokumentenlesegerät kann zudem über ein Display sowie ein Tastenfeld zur zusätzlichen Eingabe einer persönlichen Identifikationsnummer verfügen. Das Dokumentenlesegerät kann ferner ausgebildet sein, eine Verifikation des Identifikationsdokumentes durchzuführen, wobei die Verifikation den Austausch von elektronischen Zertifikaten und elektronischen Kennungen zwischen dem Dokumentenlesegerät und dem elektronischen Identifikationsdokument umfassen kann.The document reader may include, for example, a comfort reader for the new identity card (nPA). The document reader can also have a display and a keypad for additional input of a personal identification number. The document reader may further be configured to perform a verification of the identification document, wherein the verification may include the exchange of electronic certificates and electronic identifiers between the document reader and the electronic identification document.

Das Dokumentenlesegerät kann ferner über ein sicherheits-evaluiertes kryptografisches Modul verfügen. Das sicherheits-evaluierte kryptografische Modul kann als Schlüsselspeicher zur Speicherung kryptographischer Schlüssel und/oder Zertifikate eingesetzt werden.The document reader may also have a security-evaluated cryptographic module. The security-evaluated cryptographic module can be used as a key store for storing cryptographic keys and / or certificates.

Das Zugreifen auf das elektronische Identifikationsdokument kann das Auslesen der elektronischen Identifikation aus dem elektronischen Identifikationsdokument umfassen.Accessing the electronic identification document may include reading the electronic identification from the electronic identification document.

Durch den Einsatz eines Dokumentenlesegerätes wird der Vorteil erreicht, dass standardisierte Dokumentenlesegeräte als Datenverarbeitungsvorrichtung eingesetzt werden können. Ferner können durch den Einsatz eines Dokumentenlesegerätes etablierte Verfahren und Algorithmen zur Kommunikation mit dem elektronischen Identifikationsdokument und zur Verifikation des elektronischen Identifikationsdokumentes eingesetzt werden.Through the use of a document reader, the advantage is achieved that standardized document readers can be used as a data processing device. Furthermore, established methods and algorithms for communicating with the electronic identification document and for verifying the electronic identification document can be used by the use of a document reader.

Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die elektronische Identifikation des elektronischen Identifikationsdokumentes kryptographisch zu verarbeiten.According to one embodiment, the processor is configured to cryptographically process the electronic identification of the electronic identification document.

Die kryptographische Verarbeitung kann beispielsweise eine Schlüssel- bzw. Zertifikatserweiterung, eine Hashwertbildung und/oder eine Erzeugung eines kryptographischen Salt umfassen.The cryptographic processing may include, for example, a key or certificate extension, a hash value formation and / or a generation of a cryptographic salt.

Gemäß einem weiteren Aspekt betrifft die Erfindung ein Verfahren zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes, mit: Auslesen einer elektronischen Identifikation aus einem elektronischen Identifikationsdokument; und Authentifizieren der Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation.According to a further aspect, the invention relates to a method for authenticating an execution of an electronic application by means of an electronic identification document, comprising: reading an electronic identification from an electronic identification document; and authenticating the execution of the electronic application by means of the electronic identification.

Das Verfahren ermöglicht auf eine effiziente Weise das Authentifizieren der Ausführung einer elektronischen Anwendung mittels des elektronischen Identifikationsdokumentes.The method makes it possible to authenticate the execution of an electronic application by means of the electronic identification document in an efficient manner.

Das Auslesen der elektronischen Identifikation kann die Verifikation des elektronischen Identifikationsdokumentes umfassen. Die Verifikation kann beispielsweise die Echtheitsprüfung des elektronischen Identifikationsdokumentes umfassen.The reading of the electronic identification may include the verification of the electronic identification document. The verification may include, for example, the authenticity check of the electronic identification document.

Das Verfahren kann beispielsweise mit der beschriebenen Datenverarbeitungsvorrichtung durchgeführt werden. Weitere Merkmale des Verfahrens ergeben sich unmittelbar aus der Funktionalität der beschriebenen Datenverarbeitungsvorrichtung.The method can be carried out, for example, with the described data processing device. Further features of the method emerge directly from the functionality of the described data processing device.

Gemäß einer Ausführungsform wird das Verfahren mittels eines Dokumentenlesegerätes zum Zugreifen auf elektronische Identifikationsdokumente ausgeführt.According to one embodiment, the method is performed by means of a document reader for accessing electronic identification documents.

Durch den Einsatz eines Dokumentenlesegerätes zum Zugreifen auf elektronische Identifikationsdokumente wird der Vorteil erreicht, dass standardisierte Dokumentenlesegeräte für das Verfahren eingesetzt werden können. Ferner können durch den Einsatz eines Dokumentenlesegerätes etablierte Verfahren und Algorithmen zur Kommunikation mit dem elektronischen Identifikationsdokument und zur Verifikation des elektronischen Identifikationsdokumentes eingesetzt werden. Through the use of a document reader for accessing electronic identification documents, the advantage is achieved that standardized document readers can be used for the method. Furthermore, established methods and algorithms for communicating with the electronic identification document and for verifying the electronic identification document can be used by the use of a document reader.

Gemäß einer Ausführungsform umfasst das Verfahren ein Emulieren einer Funktionalität einer elektronischen Karte, insbesondere einer kryptographischen Verschlüsselungskarte, einer elektronischen Bankkarte, einer elektronischen Zugangskarte, um die elektronische Anwendung auszuführen.According to one embodiment, the method comprises emulating a functionality of an electronic card, in particular a cryptographic encryption card, an electronic bank card, an electronic access card to execute the electronic application.

Dadurch wird der Vorteil erreicht, dass die Funktionalität einer Mehrzahl verschiedener elektronischer Systeme oder elektronischer Anwendungen durch die Datenverarbeitungsvorrichtung mittels der Emulation bereitgestellt werden kann.Thereby, the advantage is achieved that the functionality of a plurality of different electronic systems or electronic applications can be provided by the data processing device by means of the emulation.

Gemäß einem weiteren Aspekt betrifft die Erfindung ein Computerprogramm zum Ausführen des Verfahrens, wenn das Computerprogramm auf einem Computer, insbesondere auf einem Dokumentenlesegerät zum Zugreifen auf elektronische Identifikationsdokumente, ausgeführt wird.According to a further aspect, the invention relates to a computer program for carrying out the method when the computer program is executed on a computer, in particular on a document reader for accessing electronic identification documents.

Das Computerprogramm kann beispielsweise in einem Speicher des Computers abgelegt sein und von einem Prozessor des Computers ausgeführt werden.For example, the computer program may be stored in a memory of the computer and executed by a processor of the computer.

Durch den Einsatz des Computerprogrammes wird der Vorteil erreicht, dass das beschriebene Verfahren automatisiert und wiederholbar ausgeführt werden kann.Through the use of the computer program, the advantage is achieved that the method described can be carried out automatically and repeatably.

Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:Further embodiments will be explained with reference to the accompanying drawings. Show it:

1 eine Datenverarbeitungsvorrichtung zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes gemäß einer Ausführungsform; und 1 a data processing device for authenticating execution of an electronic application by means of an electronic identification document according to an embodiment; and

2 ein Verfahren zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes gemäß einer Ausführungsform. 2 a method for authenticating execution of an electronic application using an electronic identification document according to an embodiment.

1 zeigt eine Datenverarbeitungsvorrichtung 100 zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes 105 gemäß einer Ausführungsform. Die Datenverarbeitungsvorrichtung 100 umfasst eine Kommunikationsschnittstelle 101 sowie einen Prozessor 103 und ist mit dem elektronischen Identifikationsdokument 105 verbindbar. 1 shows a data processing device 100 for authenticating an execution of an electronic application by means of an electronic identification document 105 according to one embodiment. The data processing device 100 includes a communication interface 101 as well as a processor 103 and is with the electronic identification document 105 connectable.

Die Datenverarbeitungsvorrichtung 100 ist ausgebildet, ein Authentifizieren einer Ausführung einer elektronischen Anwendung mittels des elektronischen Identifikationsdokumentes 105 zu ermöglichen. Die Datenverarbeitungsvorrichtung 100 ist beispielsweise ein Komfortlesegerät für den neuen Personalausweis (nPA). Die Datenverarbeitungsanlage 100 kann optional über ein Display sowie ein Tastenfeld zur zusätzlichen Eingabe einer persönlichen Identifikationsnummer verfügen.The data processing device 100 is configured to authenticate an execution of an electronic application by means of the electronic identification document 105 to enable. The data processing device 100 is for example a comfort reader for the new identity card (nPA). The data processing system 100 Optionally have a display and a keypad for additional entry of a personal identification number.

Die Kommunikationsschnittstelle 101 ist ausgebildet, mit einem Identifikationsdokument 105 zu kommunizieren und eine elektronische Identifikation aus dem elektronischen Identifikationsdokument 105 auszulesen. Die Kommunikation zwischen der Kommunikationsschnittstelle 101 und dem elektronischen Identifikationsdokument 105 kann drahtlos beispielsweise unter Verwendung des Radio Frequency Identification (RFID) Funkstandards erfolgen.The communication interface 101 is trained with an identification document 105 to communicate and an electronic identification from the electronic identification document 105 read. The communication between the communication interface 101 and the electronic identification document 105 can be wireless, for example, using the Radio Frequency Identification (RFID) radio standard.

Der Prozessor 103 ist ausgebildet, die Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation zu authentifizieren. Der Prozessor 103 kann hierfür die elektronische Identifikation mit einer vorgespeicherten elektronischen Identifikation vergleichen. Die vorgespeicherte elektronische Identifikation kann beispielsweise in einem Speicher abgelegt sein. Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die elektronische Anwendung auszuführen.The processor 103 is configured to authenticate the execution of the electronic application by means of the electronic identification. The processor 103 can compare the electronic identification with a pre-stored electronic identification. The pre-stored electronic identification can be stored, for example, in a memory. In one embodiment, the processor is configured to execute the electronic application.

Das elektronische Identifikationsdokument 105 ist ausgebildet, mit der Datenverarbeitungsvorrichtung 100 zu kommunizieren und eine elektronische Identifikation eines Nutzers bereitzustellen.The electronic identification document 105 is formed with the data processing device 100 communicate and provide an electronic identification of a user.

Auf der Datenverarbeitungsvorrichtung 100, beispielsweise dem Komfortleser, kann eine Anwendung ausgeführt werden, die eine Karte, beispielsweise eine Chipkarte, emuliert. Der Emulator kann dabei ein PKCS#11-kompatibles kryptografisches Token, wie beispielsweise eine Bankkarte oder ein elektronisches Ticket, nachbilden. Einer Chipkartenanwendung auf einem Computer, welcher in 1 nicht dargestellt ist, kann es beispielsweise so erscheinen, als ob die Chipkarte und kein elektronisches Identifikationsdokument 105, wie beispielsweise ein neuer Personalausweis (nPA), in die Datenverarbeitungsvorrichtung 100, beispielsweise den Komfortleser, eingelegt ist.On the data processing device 100 For example, the comfort reader, an application may be executed that emulates a card, such as a smart card. The emulator can thereby emulate a PKCS # 11-compatible cryptographic token, such as a bank card or an electronic ticket. A smart card application on a computer running in 1 is not shown, it may for example appear as if the smart card and no electronic identification document 105 , such as a new identity card (nPA), into the data processing device 100 , For example, the comfort reader, is inserted.

Soll beispielsweise eine E-Mail signiert oder eine Transaktionsnummer (TAN) generiert werden, so kann die Datenverarbeitungsvorrichtung 100 bzw. der Komfortleser bzw. der Emulator sicherstellen, dass diese elektronische Anwendung bzw. Operation mit dem elektronischen Identifikationsdokument 105, beispielsweise dem neuen Personalausweis (nPA), verknüpft werden kann.For example, if you want to sign an e-mail or generate a transaction number (TAN), so can the data processing device 100 or the comfort reader or the emulator ensure that this electronic application or operation with the electronic identification document 105 , for example, the new identity card (nPA), can be linked.

2 zeigt ein Verfahren 200 zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes 105 gemäß einer Ausführungsform. Das Verfahren 200 umfasst ein Auslesen 201 einer elektronischen Identifikation aus einem elektronischen Identifikationsdokument 105. Zudem umfasst das Verfahren 200 ein Authentifizieren 203 der Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation. 2 shows a method 200 for authenticating an execution of an electronic application by means of an electronic identification document 105 according to one embodiment. The procedure 200 includes a readout 201 an electronic identification from an electronic identification document 105 , In addition, the process includes 200 an authentication 203 the execution of the electronic application by means of the electronic identification.

Die Datenverarbeitungsvorrichtung 100, beispielsweise der Komfortleser, kann ein erweitertes Zugangskontrollverfahren bzw. ein Extended Access Control (EAC) Verfahren als Signaturterminal in Verbindung mit einer Card Access Number (CAN) durchführen und die Identitätsinformationen, beispielsweise den Namen des Inhabers, aus dem qualifizierten elektronischen Zertifikat des Identifikationsdokumentes 105, beispielsweise des neuen Personalausweises (nPA), einsetzen, um die elektronische Anwendung auf der Datenverarbeitungsvorrichtung 100, beispielsweise dem Komfortleser, freizuschalten. Nach dem erweitertes Zugangskontrollverfahren bzw. Extended Access Control (EAC) Verfahren kann die Datenverarbeitungsvorrichtung 100, beispielsweise der Komfortleser, schließen, dass es sich um ein echtes elektronisches Identifikationsdokument 105, beispielsweise einen echten neuen Personalausweis (nPA), handelt.The data processing device 100 For example, the comfort reader may perform an extended access control (EAC) procedure as a signature terminal in conjunction with a card access number (CAN) and the identity information, such as the owner's name, from the qualified electronic certificate of the identification document 105 For example, the new identity card (nPA), to use the electronic application on the data processing device 100 , for example, the comfort reader, unlock. According to the extended access control method or extended access control (EAC) method, the data processing device 100 For example, the comfort reader, conclude that it is a true electronic identification document 105 , for example, a genuine new identity card (nPA).

Daraus kann abgeleitet werden, dass das qualifizierte elektronische Zertifikat des Identifikationsdokumentes 105, beispielsweise des neuen Personalausweises (nPA), mit den Daten der eID-Funktion initialisiert wurde. Dies kann bedeuten, dass der Name im Zertifikat direkt aus der eID-Funktion stammt und authentisch ist. Zudem kann damit gewährleistet werden, dass bei einem Wechsel des qualifizierten elektronischen Zertifikats der Name des Inhabers gleich bleibt.From this it can be deduced that the qualified electronic certificate of the identification document 105 , for example, the new identity card (nPA), with the data of the eID function has been initialized. This may mean that the name in the certificate comes directly from the eID function and is authentic. In addition, it can be ensured that the name of the holder remains the same when the qualified electronic certificate is changed.

Um ein höheres Authentisierungslevel, beispielsweise eine zuverlässigere Authentifizierung, zu ermöglichen, kann die Datenverarbeitungsvorrichtung 100, beispielsweise der Komfortleser, zusätzlich eine Signatur-PIN des Inhabers des elektronischen Identifikationsdokumentes 105, beispielsweise des neuen Personalausweises (nPA), einsetzen, um die elektronische Anwendung auf der Datenverarbeitungsvorrichtung 100, beispielsweise dem Kartenleser, freizuschalten.In order to enable a higher level of authentication, for example a more reliable authentication, the data processing device can 100 For example, the comfort reader, in addition a signature PIN of the holder of the electronic identification document 105 For example, the new identity card (nPA), to use the electronic application on the data processing device 100 , for example, the card reader, unlock.

Weitere statische Informationen, die der Datenverarbeitungsvorrichtung 100, beispielsweise dem Komfortleser, während des erweiterten Zugangskontrollverfahrens bzw. des Extended Access Control (EAC) Verfahrens vorliegen können, um das elektronische Identifikationsdokument 105, beispielsweise den neuen Personalausweis (nPA), zu identifizieren, umfassen beispielsweise das EF.CardAccess, die Card Access Number (CAN) sowie das EF.CardSecurity.Other static information that the data processing device 100 For example, the comfort reader, may be present during the extended access control process or the Extended Access Control (EAC) method to the electronic identification document 105 For example, to identify the new identity card (nPA), include, for example, the EF.CardAccess, the Card Access Number (CAN) and the EF.CardSecurity.

Unter Zuhilfenahme dieser weiteren statischen Informationen bzw. Daten kann das elektronische Identifikationsdokument 105, beispielsweise der neue Personalausweis (nPA), zusätzlich eindeutig identifiziert werden. Für dieses Verfahren kann es vorteilhaft sein, dass das elektronische Identifikationsdokument 105, beispielsweise der neue Personalausweis (nPA), einmalig für eine qualifizierte elektronische Signatur (QES) initialisiert wurde mit einer Signatur-PIN und einem qualifizierten Zertifikat.With the aid of this additional static information or data, the electronic identification document 105 For example, the new identity card (nPA), additionally clearly identified. For this method, it may be advantageous that the electronic identification document 105 For example, the new ID card (nPA) was initialized once for a qualified electronic signature (QES) with a signature PIN and a qualified certificate.

Die Eingabe der Signatur-PIN oder die Gültigkeit des Zertifikats können zur Nutzung der elektronischen Anwendung der Datenverarbeitungsvorrichtung 100, beispielsweise des Chipkartenlesers, optional sein.The entry of the signature PIN or the validity of the certificate may be for use of the electronic application of the data processing device 100 , For example, the smart card reader, be optional.

Gemäß einer Ausführungsform kann zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes 105 die Datenverarbeitungsvorrichtung 100, beispielsweise der Komfortleser, mit einem Terminalzertifikat ausgestattet werden, welches die Restricted Identifikation (RI) des Identifikationsdokumentes 105, beispielsweise des neuen Personalausweises (nPA), unterstützt. Optional kann zudem die Authentisierung durch den Nutzer per Card Access Number (CAN) ermöglicht werden. Optional kann somit auf die wiederholte Eingabe der eID-PIN verzichtet werden. Gemäß einer Ausführungsform werden die elektronischen Anwendungen, beispielsweise des Chipkartenemulators, nur freigegeben, wenn die Restricted Identification des elektronischen Identifikationsdokumentes 105, beispielsweise des neuen Personalausweises (nPA), verifiziert werden konnte. Gemäß einer Ausführungsform kann das elektronische Identifikationsdokument 105, beispielsweise der neue Personalausweis (nPA), mit der Restricted Identification zuverlässig und eindeutig identifiziert werden.According to one embodiment, for authenticating execution of an electronic application by means of an electronic identification document 105 the data processing device 100 For example, the comfort reader, be equipped with a terminal certificate, which is the Restricted Identification (RI) of the identification document 105 , for example the new identity card (nPA). Optionally, authentication by the user can also be made possible via Card Access Number (CAN). Optionally, the repeated input of the eID PIN can thus be dispensed with. According to one embodiment, the electronic applications, for example of the smart card emulator, are only released if the restricted identification of the electronic identification document 105 , for example, the new identity card (nPA), could be verified. According to one embodiment, the electronic identification document 105 For example, the new identity card (nPA) can be reliably and uniquely identified with the Restricted Identification.

Die beschriebenen Varianten können somit die Identität des elektronischen Identifikationsdokumentes 105, beispielsweise des neuen Personalausweises (nPA), als Basis für weitere Anwendungen, beispielsweise eine Authentifizierung, nutzen.The variants described can thus identify the identity of the electronic identification document 105 , For example, the new identity card (nPA), as the basis for other applications, such as authentication use.

Gemäß einer Ausführungsform können die beschriebenen Varianten zudem bezüglich ihrer Funktionalität erweitert werden. Wenn mit der elektronischen Anwendung auf der Datenverarbeitungsvorrichtung 100, beispielsweise dem Komfortleser, beispielsweise ein X.509-Zertifikat oder eine Transaktionsnummer (TAN) generiert wird, so können die Identitätsdaten, beispielsweise die elektronische Identifikation, des elektronischen Identifikationsdokumentes 105, beispielsweise des neuen Personalausweises (nPA), die der Datenverarbeitungsvorrichtung 100, beispielsweise dem Leser, vorliegen, mit in eine Zertifikatserweiterung, beispielsweise des X.509-Zertifikats, oder einen Hash-Vorgang bei der Generierung einer Transaktionsnummer (TAN) eingehen. Auf diese Weise können die vorliegenden Identitätsdaten, beispielsweise die elektronische Identifikation, welche der Datenverarbeitungsvorrichtung 100, beispielsweise dem Komfortleser, vorliegen, auch einer Anwendung auf einem Computer bzw. einer elektronischen Anwendung der Datenverarbeitungsvorrichtung 100 mitgeteilt werden.According to one embodiment, the variants described may also be with respect to their Functionality can be extended. If with the electronic application on the data processing device 100 For example, the comfort reader, such as an X.509 certificate or a transaction number (TAN) is generated, so the identity data, such as the electronic identification of the electronic identification document 105 , For example, the new identity card (nPA), the data processing device 100 For example, the reader, with in a certificate extension, for example, the X.509 certificate, or a hash transaction in the generation of a transaction number (TAN) received. In this way, the present identity data, for example the electronic identification, that of the data processing device 100 , For example, the comfort reader, present, even an application on a computer or an electronic application of the data processing device 100 be communicated.

Die elektronischen Anwendungen der Datenverarbeitungsvorrichtung 100, beispielsweise eines Komfortlesers, können dabei unter Umständen kryptografische Schlüssel, beispielsweise zur Signatur einer E-Mail, benötigen. Diese können beispielsweise in einem sicheren Schlüsselspeicher der Datenverarbeitungsvorrichtung 100, beispielsweise des Komfortlesers, abgelegt werden. Gemäß der technischen Richtlinie TR-03119 kann die Datenverarbeitungsvorrichtung 100, beispielsweise der Komfortleser, über ein sicherheits-evaluiertes kryptografisches Modul verfügen.The electronic applications of the data processing device 100 For example, a comfort reader, it may require cryptographic keys, such as the signature of an e-mail. These can, for example, in a secure keystore of the data processing device 100 , For example, the comfort reader, are stored. According to the technical guideline TR-03119, the data processing device 100 For example, the comfort reader, have a security-evaluated cryptographic module.

Die beschriebenen Ausführungsbeispiele verdeutlichen somit, dass unter Zuhilfenahme einer entsprechenden Datenverarbeitungsvorrichtung 100, beispielsweise eines entsprechenden Kartenlesers, das elektronische Identifikationsdokument 105, beispielsweise der neue Personalausweis (nPA), einen Vertrauensanker für weitere Sicherheitsfunktionen oder Anwendungen der Datenverarbeitungsvorrichtung 100, beispielsweise des Komfortlesers, bilden kann. Dabei sollen beispielsweise folgende elektronische Anwendungen auf der Datenverarbeitungsvorrichtung 100, beispielsweise dem Kartenleser, in Verbindung mit dem elektronischen Identifikationsdokument 105, beispielsweise dem neuen Personalausweis (nPA), zur Verfügung stehen: Eine Installation neuer bzw. mehrerer Signaturschlüssel ohne Zuhilfenahme der qualifizierten elektronischen Signatur (QES) des Identifikationsdokumentes 105, beispielsweise des neuen Personalausweises (nPA); eine Signatur, Verschlüsselung und Authentisierung von E-Mails; eine Generierung von Transaktion-spezifischen Transaktionsnummern (TAN-Nummern).The described embodiments thus illustrate that with the aid of a corresponding data processing device 100 , For example, a corresponding card reader, the electronic identification document 105 For example, the new identity card (nPA), a trust anchor for other security features or applications of the data processing device 100 , For example, the comfort reader can form. In this case, for example, the following electronic applications on the data processing device 100 , For example, the card reader, in conjunction with the electronic identification document 105 For example, the new identity card (nPA), an installation of new or multiple signature keys without the help of the qualified electronic signature (QES) of the identification document 105 for example the new identity card (nPA); a signature, encryption and authentication of e-mails; a generation of transaction-specific transaction numbers (TAN numbers).

Das elektronische Identifikationsdokument 105, beispielsweise der neue Personalausweis (nPA), kann somit beispielsweise als Authentisierungstoken für Chipkartenanwendungen eingesetzt werden.The electronic identification document 105 For example, the new identity card (nPA) can thus be used for example as an authentication token for smart card applications.

Gemäß einer Ausführungsform können die elektronischen Anwendungen in der Datenverarbeitungsvorrichtung 100, beispielsweise im Chipkartenleser, ausgeführt werden. Gemäß einer Ausführungsform kann die Datenverarbeitungsvorrichtung 100, beispielsweise der Chipkartenleser, flexibel um neue Anwendungen erweitert werden und kann ein Display sowie ein Eingabefeld für persönliche Identifikationsnummern bzw. ein PIN-Pad umfassen. Die Datenverarbeitungsvorrichtung 100, beispielsweise der Chipkartenleser, kann zudem eine Plattform mit hohem Sicherheitsniveau bereitstellen.According to one embodiment, the electronic applications in the data processing device 100 , For example, in the smart card reader, running. According to one embodiment, the data processing device 100 , For example, the smart card reader, can be flexibly extended to new applications and can include a display and an input field for personal identification numbers or a PIN pad. The data processing device 100 , For example, the smart card reader, can also provide a platform with a high level of security.

Gemäß einer Ausführungsform ist es nicht notwendig, ein Passwort einzugeben, weil die Card Access Number (CAN) des elektronischen Identifikationsdokumentes 105 bzw. des Ausweises beispielsweise in der Datenverarbeitungsvorrichtung 100, beispielsweise im Komfortleser, bzw. auf einem Computer bzw. Desktop gespeichert werden kann. Somit kann es genügen, dass das elektronische Identifikationsdokument 105 bzw. der Ausweis in die Datenverarbeitungsvorrichtung 100, beispielsweise den Kartenleser, eingesteckt wird.According to one embodiment, it is not necessary to enter a password because the card access number (CAN) of the electronic identification document 105 or the badge for example in the data processing device 100 For example, in the comfort reader, or can be stored on a computer or desktop. Thus, it may suffice that the electronic identification document 105 or the card in the data processing device 100 , For example, the card reader, is inserted.

Gemäß einer Ausführungsform können vielfältige elektronische Anwendungen auf der Datenverarbeitungsvorrichtung 100, beispielsweise dem Kartenleser, genutzt werden, ohne dass der Nutzer jährlich ein neues qualifiziertes Zertifikat einsetzen muss. Gemäß einer Ausführungsform kann eine einzige Initialisierung des elektronischen Identifikationsdokumentes 105 bzw. des Ausweises ausreichend sein.According to one embodiment, a variety of electronic applications may be present on the computing device 100 , for example the card reader, without the user having to use a new, qualified certificate every year. According to one embodiment, a single initialization of the electronic identification document 105 or the ID card.

Gemäß einer Ausführungsform genügt auch ein Zertifikat, das beispielsweise nur 0 Sekunden gültig ist. Somit kann dieses Zertifikat nicht für QES, sondern nur für die hierin beschrieben weiteren Funktionen, insbesondere Authentifizierung, eingesetzt werden kann.According to one embodiment, a certificate which is valid for example only for 0 seconds is sufficient. Thus, this certificate can not be used for QES, but only for the other functions described herein, in particular authentication.

Gemäß einer Ausführungsform ist eine Anpassung von Anwendungen, die auf einem Computer bzw. Desktop ausgeführt werden und ein kryptografisches Sicherheitstoken nutzen, wie beispielsweise eine E-Mail-Signatur, eine Client-Authentisierung im Browser oder ein Computer-Login bzw. Desktop-Login, optional.According to one embodiment, customization of applications running on a computer or desktop using a cryptographic security token, such as an e-mail signature, browser client authentication or a computer login or desktop login, is possible. optional.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

100100
DatenverarbeitungsvorrichtungData processing device
101101
KommunikationsschnittstelleCommunication Interface
103103
Prozessorprocessor
105105
Identifikationsdokumentidentification document
200200
Verfahren zum Authentifizieren einer AusführungMethod for authenticating an execution
201201
Auslesen einer elektronischen IdentifikationReading an electronic identification
203203
Authentifizieren der AusführungAuthenticate the execution

Claims (12)

Datenverarbeitungsvorrichtung (100) zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes (105), das ein neuer Personalausweis ist, mit: einer Kommunikationsschnittstelle (101), welche ausgebildet ist, eine elektronische Identifikation aus einem elektronischen Identifikationsdokument (105) auszulesen; und einem Prozessor (103), welcher ausgebildet ist, die Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation zu authentifizieren, wobei der Prozessor (103) ausgebildet ist, eine Funktionalität einer elektronischen Karte, insbesondere einer kryptographischen Verschlüsselungskarte, einer elektronischen Bankkarte, einer elektronischen Zugangskarte, zu emulieren, um die elektronische Anwendung auszuführen.Data processing device ( 100 ) for authenticating an execution of an electronic application by means of an electronic identification document ( 105 ), which is a new identity card, comprising: a communication interface ( 101 ), which is formed, an electronic identification from an electronic identification document ( 105 ) read out; and a processor ( 103 ), which is designed to authenticate the execution of the electronic application by means of the electronic identification, wherein the processor ( 103 ) is adapted to emulate a functionality of an electronic card, in particular a cryptographic encryption card, an electronic bank card, an electronic access card to execute the electronic application. Datenverarbeitungsvorrichtung (100) nach Anspruch 1, wobei der Prozessor (103) ausgebildet ist, die elektronische Anwendung bei erfolgreicher Authentifizierung der Ausführung der elektronischen Anwendung auszuführen.Data processing device ( 100 ) according to claim 1, wherein the processor ( 103 ) is adapted to execute the electronic application upon successful authentication of the execution of the electronic application. Datenverarbeitungsvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei der Prozessor (103) ausgebildet ist, die ausgelesene elektronische Identifikation mit einer vorgespeicherten elektronischen Identifikation zu vergleichen, um die Ausführung der elektronischen Anwendung zu authentifizieren.Data processing device ( 100 ) according to any one of the preceding claims, wherein the processor ( 103 ) is adapted to compare the read electronic identification with a pre-stored electronic identification to authenticate the execution of the electronic application. Datenverarbeitungsvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei ferner ein Speicher zum Bereitstellen zumindest einer vorgespeicherten elektronischen Identifikation vorgesehen ist, und wobei der Prozessor (103) ausgebildet ist, die ausgelesene elektronische Identifikation mit der vorgespeicherten elektronischen Identifikation zu vergleichen, und die Ausführung der elektronischen Anwendung bei Übereinstimmung zwischen der ausgelesenen elektronische Identifikation und der vorgespeicherten elektronischen Identifikation zu authentifizieren.Data processing device ( 100 ) according to any one of the preceding claims, further comprising a memory for providing at least one prestored electronic identification, and wherein the processor ( 103 ) is adapted to compare the read electronic identification with the pre-stored electronic identification, and to authenticate the execution of the electronic application in case of correspondence between the read electronic identification and the pre-stored electronic identification. Datenverarbeitungsvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei die Kommunikationsschnittstelle (101) ausgebildet ist, ein elektronisches Zertifikat oder ein qualifiziertes elektronisches Zertifikat, insbesondere ein einem Nutzer des elektronischen Identifikationsdokumentes (105) zugeordnetes elektronisches Zertifikat, mit der elektronischen Identifikation aus dem elektronischen Identifikationsdokument (105) auszulesen, und wobei der Prozessor (103) ausgebildet ist, die elektronische Identifikation aus dem ausgelesenen elektronischen Zertifikat zu extrahieren.Data processing device ( 100 ) according to one of the preceding claims, wherein the communication interface ( 101 ), an electronic certificate or a qualified electronic certificate, in particular a user of the electronic identification document ( 105 ) associated with the electronic identification from the electronic identification document ( 105 ) and the processor ( 103 ) is designed to extract the electronic identification from the read electronic certificate. Datenverarbeitungsvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei die Kommunikationsschnittstelle (101) ausgebildet ist, eine eingeschränkte Identifikation, insbesondere eine Restricted Identification, des elektronischen Identifikationsdokumentes (105) als die elektronische Identifikation auszulesen.Data processing device ( 100 ) according to one of the preceding claims, wherein the communication interface ( 101 ), a restricted identification, in particular a restricted identification, of the electronic identification document ( 105 ) as the electronic identification. Datenverarbeitungsvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei die elektronische Anwendung eine der folgenden elektronischen Anwendungen ist: kryptographische Verschlüsselung, kryptographische Verschlüsselung mittels eines PKCS#11-Tokens, elektronische Signatur, Generierung einer Banktransaktionsnummer.Data processing device ( 100 ) according to one of the preceding claims, wherein the electronic application is one of the following electronic applications: cryptographic encryption, cryptographic encryption by means of a PKCS # 11 token, electronic signature, generation of a bank transaction number. Datenverarbeitungsvorrichtung (100) nach einem der vorstehenden Ansprüche, welche ein Dokumentenlesegerät zum Zugreifen auf elektronische Identifikationsdokumente (105) ist.Data processing device ( 100 ) according to one of the preceding claims, which is a document reader for accessing electronic identification documents ( 105 ). Datenverarbeitungsvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei der Prozessor (103) ausgebildet ist, die elektronische Identifikation des elektronischen Identifikationsdokumentes kryptographisch zu verarbeiten.Data processing device ( 100 ) according to any one of the preceding claims, wherein the processor ( 103 ) is configured to cryptographically process the electronic identification of the electronic identification document. Verfahren (200) zum Authentifizieren einer Ausführung einer elektronischen Anwendung mittels eines elektronischen Identifikationsdokumentes (105), das ein neuer Personalausweis ist, mit: Auslesen (201) einer elektronischen Identifikation aus einem elektronischen Identifikationsdokument (105); und Authentifizieren (203) der Ausführung der elektronischen Anwendung mittels der elektronischen Identifikation, Emulieren einer Funktionalität einer elektronischen Karte, insbesondere einer kryptographischen Verschlüsselungskarte, einer elektronischen Bankkarte, einer elektronischen Zugangskarte, um die elektronische Anwendung auszuführen.Procedure ( 200 ) for authenticating an execution of an electronic application by means of an electronic identification document ( 105 ), which is a new identity card, with: Readout ( 201 ) an electronic identification from an electronic identification document ( 105 ); and Authenticate ( 203 ) execution of the electronic application by means of the electronic identification, emulation of a functionality of an electronic card, in particular a cryptographic encryption card, an electronic bank card, an electronic access card to execute the electronic application. Verfahren (200) nach Anspruch 10, das mittels eines Dokumentenlesegerätes zum Zugreifen auf elektronische Identifikationsdokumente (105) ausgeführt wird.Procedure ( 200 ) according to claim 10, which by means of a document reader for Accessing electronic identification documents ( 105 ) is performed. Computerprogramm zum Ausführen des Verfahrens (200) nach Anspruch 10 oder 11, wenn das Computerprogramm auf einem Computer, insbesondere auf einem Dokumentenlesegerät zum Zugreifen auf elektronische Identifikationsdokumente (105), ausgeführt wird.Computer program for carrying out the method ( 200 ) according to claim 10 or 11, when the computer program is stored on a computer, in particular on a document reader for accessing electronic identification documents ( 105 ), is performed.
DE102013103531.0A 2013-04-09 2013-04-09 Data processing apparatus for authenticating execution of an electronic application Active DE102013103531B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102013103531.0A DE102013103531B4 (en) 2013-04-09 2013-04-09 Data processing apparatus for authenticating execution of an electronic application

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013103531.0A DE102013103531B4 (en) 2013-04-09 2013-04-09 Data processing apparatus for authenticating execution of an electronic application

Publications (2)

Publication Number Publication Date
DE102013103531A1 DE102013103531A1 (en) 2014-10-09
DE102013103531B4 true DE102013103531B4 (en) 2016-07-21

Family

ID=51567471

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013103531.0A Active DE102013103531B4 (en) 2013-04-09 2013-04-09 Data processing apparatus for authenticating execution of an electronic application

Country Status (1)

Country Link
DE (1) DE102013103531B4 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112150158A (en) * 2019-06-28 2020-12-29 华为技术有限公司 Block chain transaction delivery verification method and device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005004902A1 (en) * 2005-02-02 2006-08-10 Utimaco Safeware Ag Method for registering a user on a computer system
US20070282881A1 (en) * 2006-06-06 2007-12-06 Red Hat, Inc. Methods and systems for providing data objects on a token
US7484089B1 (en) * 2002-09-06 2009-01-27 Citicorp Developmemt Center, Inc. Method and system for certificate delivery and management
US20130061303A1 (en) * 2010-02-25 2013-03-07 Idondemand, Inc. Authentication System and Method in a Contactless Environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7484089B1 (en) * 2002-09-06 2009-01-27 Citicorp Developmemt Center, Inc. Method and system for certificate delivery and management
DE102005004902A1 (en) * 2005-02-02 2006-08-10 Utimaco Safeware Ag Method for registering a user on a computer system
US20070282881A1 (en) * 2006-06-06 2007-12-06 Red Hat, Inc. Methods and systems for providing data objects on a token
US20130061303A1 (en) * 2010-02-25 2013-03-07 Idondemand, Inc. Authentication System and Method in a Contactless Environment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Abylon Logon 7.3 mit zentraler Administration. Online-Beitrag auf www.itseccity.de, 16. Oktober 2008.URL: http://www.itseccity.de/content/produkte/zugriffsschutz/081016_pro_zgr_abylonsoft.html *

Also Published As

Publication number Publication date
DE102013103531A1 (en) 2014-10-09

Similar Documents

Publication Publication Date Title
EP3289508B1 (en) Method for generating an electronic signature
EP2949094B1 (en) Method for authenticating a user with respect to a machine
DE102011082101A1 (en) A method of creating a soft token, computer program product, and service computer system
EP3748521B1 (en) Method for reading attributes from an id token
EP2881289B1 (en) Method for unlocking a vehicle locking assembly
EP3206151B1 (en) Method and system for authenticating a mobile telecommunication terminal on a service computer system and mobile telecommunication terminal
DE102013103531B4 (en) Data processing apparatus for authenticating execution of an electronic application
EP2752785B1 (en) Method for personalisation of a secure element (SE) and computer system
EP3289509B1 (en) Method for generating an electronic signature
DE102015209073B4 (en) Method for reading attributes from an ID token
EP3271855A1 (en) Method for generating a certificate for a security token
EP3248357B1 (en) Certificate token for providing a digital certificate of a user
EP3304846B1 (en) Identification of a person on the basis of a transformed biometric reference feature
EP2916252B1 (en) Electronic transaction method and computer system
DE102012215630A1 (en) Method for Personalizing a Secure Element (SE) and Computer System
EP2819079B1 (en) Electronic transaction method and computer system
DE102021124640A1 (en) Process for digitally exchanging information
DE102013022448B3 (en) Electronic transaction process and computer system
EP4295605A1 (en) User authentication by means of two independent security elements
DE102013022435B3 (en) Electronic transaction process and computer system
EP2819077A1 (en) Method for activating at least one service in an e-wallet
EP3248356A1 (en) Certificate token for providing a digital certificate of a user
WO2015044047A1 (en) Data access control method

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R082 Change of representative

Representative=s name: PATENTSHIP PATENTANWALTSGESELLSCHAFT MBH, DE

R020 Patent grant now final