-
Die Erfindung betrifft eine Schaltungsanordnung sowie ein Verfahren, um den Schaltungsbetrieb solch einer Schaltungsanordnung zu unterbinden.
-
Chipkarten mit einem Security Controller werden beispielsweise für sicherheitsrelevante Anwendungen eingesetzt. Solche Chipkarten können für Zugangsberechtigungsnachweise, Bankkarten oder Bezahl-Fernseh-Zugangskarten verwendet werden. Häufig ist deren Nutzung nur für einen vorgegebenen Zeitraum vorgesehen oder soll nach der Ausgabe unterbunden werden, beispielsweise bei Aufhebung der Zugangsberechtigung oder Kündigung des Bezahl-Fernseh-Vertrages. Der Einzug solcher Karten durch den Herausgeber ist mit hohem Aufwand und Kosten verbunden oder nicht möglich. Deshalb haben diese Karten üblicherweise eine vorgegebene Gültigkeit, nach deren Ablauf ihr Betrieb unterbunden sein soll. Nach Ablauf der Gültigkeit sind diese Karten weiterhin im Umlauf, und es besteht die Gefahr, dass diese Karten von versierten Angreifern umprogrammiert und zweckentfremdet oder für illegale Zwecke eingesetzt werden können.
-
Um die Karten nach Ablauf ihrer Gültigkeit möglichst dauerhaft zu sperren, sind bisher verschiedene Ansätze verfolgt worden. Beispielsweise kann eine hardwaremäßig implementierte und programmierte Sicherung durch so genannte „Fuses“ vorgesehen sein, die nach Ablauf der Gültigkeit den Zugriff unterbindet. Da diese vor jeder Benutzung getestet wird, kann so nach Ablauf der Gültigkeit eine weitere Verwendung des Security Controllers behindert werden.
-
Weiterhin ist bekannt, in eine oder mehrere Speicherzellen Werte zu schreiben, die dann vom Programm oder von der Hardware des Security Controllers überprüft werden und gegebenenfalls die Sperrung des weiteren Programmablaufs auslösen.
-
Es ist ferner bekannt, die Programmierspannung eines Chips zu sperren, sodass dieser nicht mehr so leicht umprogrammiert werden kann.
-
Der Nachteil dieser Lösungen ist, dass bei derart gesperrten Chipkarten weiterhin der Security Controller in üblicher Weise gestartet werden kann, um ein Programm ablaufen zu lassen. Dieses Programm testet dann die Sicherheitsmerkmale. Sobald jedoch der Chip lauffähig ist, kann ein Angreifer versuchen, den Programmablauf zu stören und den Chip zu manipulieren.
-
Durch die Zerstörung von betriebswesentlichen Chipbestandteilen kann der Betrieb dauerhaft unterbunden werden, wie in der
DE 10 2004 021 346 A1 offenbart. Manipulationen sind in der
DE 102 47 485 A1 durch eine Erfassungsstruktur detektierbar und in der
DE 101 61 046 B4 durch den Ergebnisvergleich zweier Teilschaltungen, die dieselbe Funktion in unterschiedlicher Weise bereitstellen, so dass sich Manipulationen in unterschiedlicher Weise auf die jeweiligen Funktionsabläufe auswirken.
-
Ferner offenbart
DE 10 2004 016 342 A1 ein Verfahren und eine Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung. Dies wird dadurch realisiert, dass der Stromverbrauch der elektrischen Schaltung überwacht wird und basierend auf dem Überwachungsergebnis mittels eines Vergleichs mit Referenzdaten ein manipulativer Angriff erfasst wird.
-
Es stellt sich daher die Aufgabe, eine verbesserte Möglichkeit für eine Schaltungsanordnung und ein Verfahren zu finden, um die Schaltungsanordnung, beispielsweise in Chipkarten, möglichst dauerhaft zu sperren.
-
Die Aufgabe wird durch eine Schaltungsanordnung mit den Merkmalen des Patentanspruchs 1 und durch ein Verfahren mit den Merkmalen des nebengeordneten Patentanspruchs 16 gelöst.
-
Die Schaltungsanordnung, in deren Arbeitsbereich ein Systemparameter oder ein Umgebungsparameter innerhalb eines ersten Bereichs ist, umfasst ein Mittel zum Bereitstellen eines Dejustiersignals und einen an das Mittel gekoppelten Sensor zum Detektieren des Systemparameters oder des Umgebungsparameters. Der Sensor ist ausgebildet zu detektieren, ob der Systemparameter beziehungsweise der Umgebungsparameter in einem vorgegebenen zweiten Bereich liegt, und gibt ein Alarmsignal aus, wenn der Systemparameter beziehungsweise der Umgebungsparameter nicht in dem zweiten Bereich liegt, innerhalb dessen der erste Bereich liegt. Der Sensor ist ferner ausgebildet, in Reaktion auf das anliegende Dejustiersignal den zweiten Bereich dauerhaft derart zu verstellen, dass der zweite Bereich nicht den ersten Bereich umfasst.
-
Vorteil dieser Schaltungsanordnung ist, dass der Sensor derart dejustiert wird, dass nicht mehr auf einen Angriff hinweisende Betriebszustände, sondern vielmehr die im normalen Arbeitsbereich auftretenden Parameterwerte als Angriff gewertet werden, was geeignete Abwehrmaßnahmen auslöst. Dadurch wird der Betrieb beispielsweise eines Security Controllers, der die Schaltungsanordnung umfasst, von Anfang an unterbunden werden, sobald die Dejustierung des Sensors erfolgt ist. Somit werden die Möglichkeiten für den Angreifer, in den Ablauf des Security Controllers einzugreifen, erheblich eingeschränkt und die Reversibilität der Sperrung ist ebenfalls stark behindert.
-
Diese Art der Sperrung ist nicht nur auf Schaltungsanordnungen beschränkt, deren Lebensdauer abgelaufen ist, sondern kann generell verwendet werden, um Schaltungsanordnungen zu sperren, indem das Dejustiersignal angelegt wird.
-
Zur Speicherung der vorgegebenen Lebensdauer der Schaltungsanordnung ist bei dieser ein Speichermittel vorgesehen.
-
In einer einfachen Ausgestaltung der erfindungsgemäßen Schaltungsanordnung umfasst diese einen Eingang zum Anlegen des Dejustiersignals. Auf diese Weise wird die Schaltungsanordnung, die beispielsweise in einem Chip einer Chipkarte untergebracht ist, bei Kontakt der Chipkarte mit einem Chipkartenterminal gesperrt, indem das Chipkartenterminal das Dejustiersignal zur Chipkarte überträgt.
-
In einer alternativen Ausgestaltung wird das Dejustiersignal nicht als externes Signal, beispielsweise vom Terminal, bereitgestellt, sondern wird schaltungsintern von einer Prüfvorrichtung generiert. Bei diesem Ausführungsbeispiel hat die Schaltungsanordnung einen Zeitsignaleingang zum Anlegen eines Zeit angebenden Signals, das an eine Prüfvorrichtung gekoppelt ist. Die Prüfvorrichtung ist ausgebildet, zu überprüfen, ob die vorgegebene Lebensdauer der Schaltungsanordnung abgelaufen ist, und gibt in diesem Fall das Dejustiersignal aus. In diesem Fall kann die Kommunikation der Chipkarte mit dem Terminal, um das Zeit anzeigende Signal anzufragen, von der Chipkarte initialisiert werden.
-
In einer vorteilhaften Weiterbildung ist die Prüfeinheit derart ausgestaltet, dass sie beim Anlegen des Zeit anzeigenden Signals prüft, ob dessen Wert nachzeitig zu einem gespeicherten Wert des zuvor angelegten Zeit anzeigenden Signals ist. Auf diese Weise werden Manipulationsversuche unterbunden, die darauf beruhen, ein manipuliertes Zeit anzeigendes Signal anzulegen, um der Schaltungsanordnung beispielsweise durch ein falsches Datum vorzutäuschen, dass ihre Lebensdauer noch nicht abgelaufen ist.
-
Vorteilhafterweise ist die Schaltungsanordnung derart ausgebildet, dass sie eine Alarmaktion in Reaktion auf das Alarmsignal ausführt, um den weiteren Betrieb der Schaltungsanordnung zu unterbinden. Eine geeignete Alarmaktion ist beispielsweise das Versetzen der Schaltungsanordnung in einen vorbestimmten Zustand, oder die Ausführung eines Reset, oder die Unterbindung des Betriebs.
-
In einer vorteilhaften Ausgestaltung hat der zweite Bereich, hinsichtlich dessen der Sensor detektiert, eine erste Bereichsgrenze und eine zweite Bereichsgrenze. Zunächst ist der Sensor so justiert, dass die erste Bereichsgrenze größer als die zweite Bereichsgrenze ist. Der Sensor detektiert, ob der Systemparameter beziehungsweise der Umgebungsparameter kleiner als die erste Bereichsgrenze und größer als die zweite Bereichsgrenze ist. Wenn dieses nicht der Fall ist, kann auf einen Angriff geschlossen werden, und es wird das Alarmsignal ausgelöst. Bei der Dejustierung der Bereichsgrenzen werden diese derart verschoben, dass kein überlappender Bereich, innerhalb derer kein Alarm ausgelöst wird, mehr vorhanden ist. Vielmehr ist die erste Bereichsgrenze nunmehr kleiner oder gleich der zweiten Bereichsgrenze. Somit umfasst der zweite Bereich keine Parameterwerte mehr, für die kein Alarm ausgelöst wird. Auf diese Weise wird der Sensor dauerhaft umkonfiguriert, dass auch im normalen Betriebsmodus eine Aktivierung des Sensors erzielt wird. Dadurch herrscht ständig ein Alarmzustand, was den Security Controller beziehungsweise den Chip dauerhaft sperrt.
-
Für den Sensor sind vielfältige Ausgestaltungen denkbar. Der Sensor kann beispielsweise als ein Spannungssensor zur Detektion der Versorgungsspannung ausgebildet sein. Auch die Ausbildung als Taktfrequenzsensor ist denkbar. Mit diesen Ausgestaltungen werden typische Systemparameter detektiert. Ferner ist die Ausgestaltung des Sensors als Licht- oder Strahlungssensor oder als Temperatursensor denkbar. Diese Ausgestaltungen zielen eher auf die Detektion von Umgebungsparametern.
-
Die Verwendung solch einer Schaltungsanordnung ist nicht nur auf Chipkarten beschränkt. Eine weitere vorteilhafte Verwendung sind so genannte Dongles, die Schlüssel für Sicherheitssysteme generieren, beispielsweise in Form so genannter PINs für den elektronischen Bankverkehr. Übliche Ausgestaltungen dieser Dongles sind nicht auf die Kommunikation mit oder die Versorgung von einem Terminal angewiesen, sondern verfügen über eine interne Uhr zur Generierung des Zeit angebenden Signals und eine interne Spannungsversorgung.
-
Das Verfahren zielt darauf, einen normalen Betrieb einer integrierten Schaltungsanordnung auf einem Chip zu unterbinden, wobei die Schaltungsanordnung einen Sensor zum Detektieren eines Systemparameters oder eines Umgebungsparameters umfasst. Das Verfahren umfasst:
- - Prüfen, ob der detektierte Systemparameter oder der detektierte Umgebungsparameter in einem vorgegebenen Bereich liegt, wobei der Bereich derart vorgegeben ist, dass im Arbeitsbereich der Schaltungsanordnung der Systemparameter beziehungsweise der Umgebungsparameter in dem Bereich liegt,
- - den normalen Betrieb durchzuführen, wenn der detektierte Systemparameter beziehungsweise der detektierte Umgebungsparameter im Bereich liegt,
- - eine Alarmaktion durchzuführen, wenn der detektierte Systemparameter beziehungsweise der detektierte Umgebungsparameter außerhalb des Bereichs liegt,
- - in Reaktion auf ein Dejustiersignal den Bereich derart zu verändern, dass im Arbeitsbereich der Systemparameter beziehungsweise der Umgebungsparameter außerhalb des veränderten Bereichs liegt.
-
Vorteil dieses Verfahrens ist, dass der Sensor derart umkonfiguriert wird, dass bereits bei normalen Betriebsbedingungen der Schaltungsanordnung permanent eine Alarmaktion ausgelöst wird.
-
Vorteilhafterweise wird die Veränderung der Sensorparameter bei Ablauf einer vorgegebenen Lebensdauer durchgeführt, um sicherzustellen, dass der Betrieb danach permanent unterbunden wird.
-
Als weiteres Sicherheitsmerkmal wird überprüft, ob die Werte des Zeit angebenden Signals für nacheinander durchgeführte Vergleiche in plausibler zeitlicher Relation zu einander stehen. Auf diese Weise wird Manipulationsversuchen durch falsche, manipulierte Zeitangaben begegnet.
-
Auch beim Verfahren gibt es eine Reihe vorteilhafter System- oder Umgebungsparameter, wie die Spannung, die Taktfrequenz, die Temperatur oder die Licht- beziehungsweise Strahlungsintensität, die vom Sensor detektierbar sind.
-
Weitere vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Patentansprüchen angegeben.
-
Nachfolgend wird die Erfindung unter Bezugnahme auf die Zeichnung anhand von Ausführungsbeispielen erklärt.
-
Es zeigen:
- 1 eine schematische Darstellung eines ersten Ausführungsbeispiels einer Schaltungsanordnung in einer Chipkarte mit einem Terminal,
- 2 eine schematische Darstellung eines zweiten Ausführungsbeispiels einer Schaltungsanordnung in einer Chipkarte mit einem Terminal,
- 3 eine schematische Darstellung eines dritten Ausführungsbeispiels einer Schaltungsanordnung in einer Chipkarte mit einem Terminal,
- 4 eine schematische Darstellung einer Schaltungsanordnung in einem Dongle und
- 5 die Dejustierung von Bereichsgrenzen eines Sensors.
-
1 zeigt eine schematische Darstellung einer Chipkarte 1 mit einer Schaltungsanordnung, die mit einem Terminal 2 kommuniziert. Es sei bemerkt, dass es sich um eine schematische, stark vereinfachte Darstellung handelt, bei der Größenverhältnisse und bauartliche Merkmale unberücksichtigt bleiben. Üblicherweise sind die dargestellten Schaltungsblöcke in integrierter Form in einem Chip ausgebildet, der in einem Kartenkörper eingebracht ist.
-
Das Terminal 2 umfasst einen Terminalprozessor 3, der ausgebildet ist, ein Dejustiersignal S1 auszugeben.
-
Die Chipkarte 1 umfasst einen Sensor 5 zum Detektieren eines Parameters, der an einen Konfigurationsspeicher 4 gekoppelt ist. Im Konfigurationsspeicher 4 sind Konfigurationsparameter gespeichert, um den Sensor 5 zu justieren. Der Sensor 5 ist ausgebildet ein Alarmsignal S2 auszugeben. Der Sensor 5 ist der derart an einen Alarmschaltkreis 4 gekoppelt, dass dieser in Reaktion auf das Alarmsignal S2 eine Alarmaktion durchführt. Wenn der vom Sensor 5 zu detektierende Parameter außerhalb eines von den Konfigurationsparametern vorgegebenen Bereichs ist, gibt der Sensor 5 das Alarmsignal S2 aus.
-
Ein zu detektierender Parameter kann ein Systemparameter oder ein Umgebungsparameter sein. Darunter fallen auch die vom Terminal 2 zum Betrieb bereitstellbaren Signale, wie die Versorgungsspannung oder das Taktsignal.
-
Bei einer Chipkarte handelt es sich um ein reaktives System. Die zum Betrieb der auf der Chipkarte 1 vorgesehenen Schaltungsanordnung erforderlichen Signale werden vom Terminal 2 bereitgestellt. Um zu überprüfen, ob diese Systemparameter innerhalb des im normalen Betriebsmodus vorgesehenen Bereichs liegen, kann der Sensor 5 als Versorgungsspannungssensor oder als Taktfrequenzsensor ausgebildet sein.
-
Es ist aber auch denkbar, dass der Sensor 5 ausgebildet ist, um Umgebungsparameter zu detektieren. Geeignete Umgebungsparameter sind die Temperatur, Licht oder sonstige Strahlung. Wenn der vom Sensor 5 detektierte Parameter außerhalb des vorgegebenen Bereichs liegt, wird ein Alarmsignal ausgegeben. Solch eine Abweichung lässt auf einen Angriff schließen.
-
Wenn der Terminalprozessor 3 das Dejustiersignal S1 ausgibt und über einen Eingang 15 an die Schaltungsanordnung anlegt, wirkt dieses quasi als „Zerstörungsbefehl“. Die Konfigurationsparameter im Konfigurationsspeicher 4 werden derart gesetzt, dass die Schaltungsanordnung auch bei den normalen Betriebsmodus anzeigenden Parameterwerten das Alarmsignal S2 auslöst. Auf diese Weise wird der Sensor 5 dauerhaft so umkonfiguriert, dass auch im normalen Betriebsmodus eine Aktivierung dieser Sensorik erzielt wird, dadurch herrscht ständig ein Alarmzustand und der Chip mit der Schaltungsanordnung wird für die weitere Verwendung gesperrt.
-
Der Sensor 5 kann als Spannungssensor ausgebildet sein, der im Normalbetrieb verhindern soll, dass der Baustein mit der Schaltungsanordnung bei einer Versorgungsspannung über 5 V betrieben wird. Die Einstellung des Sensors 5 erfolgt durch geeignete Werte im Konfigurationsspeicher 4.
-
In 5 ist die Dejustierung veranschaulicht. Im Sensor 5 wird überprüft, ob die detektierte Spannung innerhalb eines vorgegebenen Bereichs ist. Dieser Bereich wird durch zwei Grenzen, einer ersten Grenze 11 und einer zweiten Grenze 12, begrenzt. Um keinen Alarm auszulösen, muss die detektierte Spannung sowohl unterhalb der ersten Grenze 11, beispielsweise 6 V, als auch oberhalb der zweiten Grenze 12, beispielsweise 4,5 V, sein. Dieses ist in 5 durch den überlappenden, schraffiert dargestellten Bereich veranschaulicht. Dieser Bereich ist so gewählt, dass im normalen Betriebsmodus beziehungsweise im Arbeitsbereich der Schaltungsanordnung der zu detektierende Parameter innerhalb dieses Bereichs liegt.
-
Das Dejustiersignal S1 löst aus, dass die erste und zweite Grenze 11, 12 verschoben werden. Der Alarmspannungsbereich des Sensors wird derart verändert, dass auch der Normalbetrieb nicht mehr möglich ist. Dieses geschieht beispielsweise durch Absenken der ersten Grenze 11 unterhalb der nunmehr angehobenen zweiten Grenze 12, sodass sich kein überlappender Bereich mehr vorgesehen ist, wie in 5 dargestellt ist. Somit umfasst der geänderte Bereich keine Werte, da die obere Grenze kleiner als die untere ist. Aber auch das signifikante Absenken des schraffierten Bereichs ist geeignet.
-
Die neue Konfiguration wird fest einprogrammiert, beispielsweise in ein so genannten EEPROM als Konfigurationsspeicher 4. Nach dieser Speicherung läuft der Chip noch mit den bisherigen Konfigurationsparametern, aber bei einem erneuten Starten werden die neuen Konfigurationsparameter übernommen. Der Sensor 5 wird dementsprechend eingestellt und somit auch der Chip für den Normalbetrieb gesperrt.
-
Die Festlegung solcher Grenzen ist beispielsweise auch für einen Taktfrequenzsensor oder einen Temperatursensor denkbar. Ein möglicher als Lichtsensor ausgestalteter Sensor 5 kann so eingestellt werden, dass das Alarmsignal S2 unabhängig von der Lichtintensität ausgelöst wird.
-
2 zeigt ein zweites Ausführungsbeispiel der Chipkarte 1, die mit dem Terminal 2 kommuniziert.
-
Bei diesem und den in den 3 und 4 dargestellten Ausführungsbeispielen geben gleiche Bezugszeichen gleiche Anordnungsteile wieder. Zur Vermeidung von Wiederholungen erfolgt keine mehrfache Beschreibung übereinstimmender Anordnungen.
-
2 unterscheidet sich von der 1 dahingehend, dass ein Speichermittel 13 vorgesehen ist, in dem die vorgegebene Lebensdauer abgespeichert ist. Hierbei handelt es sich vorteilhafterweise um einen nichtflüchtigen, und, aus Sicherheitsgründen, auch nicht wieder beschreibbaren Speicher. Bei der Kommunikation zwischen dem Terminal 2 und der Chipkarte 1 wird der Inhalt dieses Speichermittels 13 ausgelesen und vom Terminalprozessor 3 dahingehend überprüft, ob die Lebensdauer der Chipkarte 1 bereits abgelaufen ist. Wenn dieses der Fall ist, wird das Dejustiersignal S1 vom Terminalprozessor 3 ausgegeben, um die Chipkarte 1 zu sperren.
-
Das in 3 dargestellte Ausführungsbeispiel unterscheidet sich von den zuvor dargestellten darin, dass der Terminalprozessor 3 nunmehr ein Zeit angebendes Signal S3 ausgibt. Bei dem Zeit angebenden Signal S3 es sich beispielsweise um ein Datums- und/oder Uhrzeitsignal. Es ist aber auch denkbar, ein anders geartetes Zeit anzeigendes Signal S3 vorzusehen, beispielsweise den Zählerstand eines kontinuierlich im Terminal 2 hoch zählenden Zählers.
-
Im Unterschied zu den zuvor dargestellten Schaltungsanordnungen ist in der in 3 dargestellten Schaltungsanordnung eine Prüfvorrichtung 7 vorgesehen, die ausgebildet ist, das Dejustiersignal S1 auszugeben. Ferner ist das Speichermittel 13 an die Prüfvorrichtung 7 gekoppelt.
-
Die Prüfvorrichtung 7 prüft anhand des Zeit anzeigenden Signals S3 und der gespeicherten vorgegebenen Lebensdauer ob diese bereits abgelaufen ist. Wenn die vorgegebene Lebensdauer überschritten ist, wird das Dejustiersignal S1 von der Prüfvorrichtung 7 ausgegeben und löst die bereits geschrieben Veränderung der Konfigurationsparameter für den Sensor 5 aus.
-
Als weiteres, optionales Sicherheitsmittel kann die Prüfvorrichtung 7 ein weiteres Speichermittel 14 umfassen, oder an dieses gekoppelt sein. Im weiteren Speichermittel 14 wird der zuletzt angelegte Wert des Zeit anzeigenden Signals S3 abgespeichert, beispielsweise das Datum. Beim nächsten Vergleich wird der Wert des nunmehr anliegenden Zeit anzeigenden Signals S3 mit dem gespeicherten Wert verglichen. Hierbei wird überprüft, ob der anliegende Wert des Zeit anzeigenden Signals S3 nachzeitig zum gespeicherten Wert ist. Wenn dieses nicht der Fall ist, lässt das auf einen Angriff durch ein vorgetäuschtes Datum schließen.
-
In solch einem Fall löst die Prüfvorrichtung 7 eine Alarmaktion aus. Dieses kann erfolgen, indem das Dejustiersignal S1 bereitgestellt wird. Alternativ ist es auch denkbar, dass die Prüfvorrichtung 7 an den Alarmschaltkreis gekoppelt ist, um die Alarmaktion auszulösen. Letzteres hat den Vorteil, dass die Schaltungsanordnung zwar auf den Angriff reagiert, aber nicht dauerhaft gesperrt wird.
-
4 zeigt eine schematische Darstellung einer Schaltungsanordnung für ein so genanntes Dongle 8. Hierbei handelt es sich nicht wie bei einer Chipkarte 1 um ein reaktives System, sondern um ein proaktives System, das selbständig betreibbar ist. Deshalb ist es erforderlich, dass hierfür notwendige Mittel vorgesehen sind.
-
Das Dongle 8 weist zusätzlich eine Uhr 10 auf, die das Zeit angebende Signal S3 generiert. Diese Uhr 10 muss nicht notwendigerweise eine Uhr im eigentlichen Wortsinn sein, die die Uhrzeit und/oder das Datum bereitstellt, sondern es kann sich auch um einen Zähler als besonders einfache Ausgestaltung handeln. Ferner ist beim Dongle 8 eine Spannungsversorgungsvorrichtung 9 vorgesehen, die die Uhr 10 mit einer Versorgungsspannung speist, um das Zeit anzeigende Signal S3 zu generieren. Die Spannungsversorgungsvorrichtung 9 versorgt auch die anderen Blöcke der Schaltungsanordnung mit der Versorgungsspannung.
-
Bei diesem Ausführungsbeispiel wird das Zeit anzeigende Signal S3 schaltungsintern bereitgestellt und an die Prüfvorrichtung 7 gekoppelt. Die Funktionsweise der übrigen Blöcke ist wie bei den zuvor beschriebenen Chipkarten 1.
-
Auch wenn die Vorteile der Erfindung für Chipkarten und Dongles ausführlich dargelegt worden sind, kann die Erfindung auch in einer Vielzahl von sicherheitsrelevanten Schaltungsanordnungen eingesetzt werden, um diese dauerhaft zu sperren.
-
Bezugszeichenliste
-
- 1
- Chipkarte
- 2
- Terminal
- 3
- Terminalprozessor
- 4
- Konfigurationsspeicher
- 5
- Sensor
- 6
- Alarmschaltkreis
- 7
- Prüfvorrichtung
- 8
- Dongle
- 9
- Spannungsversorgungsvorrichtung
- 10
- Uhr
- 11
- erste Grenze
- 12
- zweite Grenze
- 13, 14
- Speichermittel
- 15, 16
- Eingang
- S1
- Dejustiersignal
- S2
- Alarmsignal
- S3
- Zeit angebendes Signal
- V
- Spannung