DE102009028064B4 - Procedure for HSM migration - Google Patents
Procedure for HSM migration Download PDFInfo
- Publication number
- DE102009028064B4 DE102009028064B4 DE102009028064.2A DE102009028064A DE102009028064B4 DE 102009028064 B4 DE102009028064 B4 DE 102009028064B4 DE 102009028064 A DE102009028064 A DE 102009028064A DE 102009028064 B4 DE102009028064 B4 DE 102009028064B4
- Authority
- DE
- Germany
- Prior art keywords
- computer system
- hsm
- token
- attribute
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Abstract
Verfahren zur Migration von einem ersten HSM (140; 101A) zu einem zweiten HSM (101B), wobei dem ersten HSM ein erstes asymmetrisches kryptographisches Schlüsselpaar mit einem ersten privaten (142; 142 A) und einem ersten öffentlichen Schlüssel (147 A) und ein erstes den ersten öffentlichen Schlüssel beinhaltendes Zertifikat (144; 144A) zugeordnet ist, mit folgenden Schritten:- Erzeugung eines zweiten asymmetrischen kryptographischen Schlüsselpaars mit einem zweiten privaten (142B) und einem zweiten öffentlichen Schlüssel (174B) durch das zweite HSM,- Senden einer Anforderung mit dem zweiten öffentlichen Schlüssel von dem zweiten HSM an das erste HSM,- Erzeugung eines zweiten Zertifikats (144B) von dem ersten HSM durch Signieren des zweiten öffentlichen Schlüssels mit dem ersten privaten Schlüssel, wobei mit Hilfe des zweiten Zertifikats und des ersten Zertifikats eine Zertifikatskettenprüfung durchgeführt wird.A method for migrating from a first HSM (140; 101A) to a second HSM (101B), the first HSM having a first private cryptographic key pair (142; 142A) and a first public key (147A) and a first first certificate (144, 144A) containing the first public key, comprising the steps of: - generating a second asymmetric cryptographic key pair with a second private (142B) and a second public key (174B) by the second HSM, - sending a request with the second public key from the second HSM to the first HSM, - generating a second certificate (144B) from the first HSM by signing the second public key with the first private key, using the second certificate and the first certificate, a certificate chain check is carried out.
Description
Die Erfindung betrifft ein Verfahren zur HSM Migration, sowie ein Verfahren zum Lesen von zumindest einem Attribut aus einem ID-Token, ein Computerprogrammprodukt, einen ID-Token sowie ein Computersystem mit Hilfe eines HSM.The invention relates to a method for HSM migration, and a method for reading at least one attribute from an ID token, a computer program product, an ID token and a computer system using an HSM.
Aus dem Stand der Technik sind verschiedene Verfahren zur Verwaltung der so genannten digitalen Identität eines Benutzers bekannt:Various methods for managing the so-called digital identity of a user are known from the prior art:
Microsoft Windows CardSpace ist ein Client-basiertes digitales Identitätssystem, welches es Internetbenutzern ermöglichen soll, deren digitale Identität gegenüber Online-Diensten mitzuteilen. Nachteilig ist hierbei unter anderem, dass der Nutzer seine digitale Identität manipulieren kann.Microsoft Windows CardSpace is a client-based digital identity system designed to allow Internet users to communicate their digital identity to online services. The disadvantage here is, inter alia, that the user can manipulate his digital identity.
Bei OPENID handelt es sich dagegen um ein Server-basiertes System. Ein so genannter Identity-Server speichert eine Datenbank mit den digitalen Identitäten der registrierten Nutzer. Nachteilig ist hieran unter anderem ein mangelhafter Datenschutz, da die digitalen Identitäten der Nutzer zentral gespeichert werden und das Nutzerverhalten aufgezeichnet werden kann.OPENID, on the other hand, is a server-based system. A so-called identity server stores a database with the digital identities of the registered users. One disadvantage of this is, inter alia, inadequate data protection, since the digital identities of the users are stored centrally and the user behavior can be recorded.
Aus
Aus
In den beiden Dokumenten
Die Druckschrift
Die Erfindung geht als nächstliegendem Stand der Technik von der Publikation der Autoren de
Der Erfindung liegt demgegenüber die Aufgabe zugrunde, ein verbessertes Verfahren zur HSM Migration, sowie ein Verfahren zum Lesen zumindest eines Attributs zu schaffen, sowie ein entsprechendes Computerprogrammprodukt, einen ID-Token und ein Computersystem.The invention is based on the object to provide an improved method for HSM migration, and a method for reading at least one attribute, and a corresponding computer program product, an ID token and a computer system.
Die der Erfindung zugrunde liegenden Aufgaben werden jeweils mit den Merkmalen der unabhängigen Patentansprüche gelöst. Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen angegeben.The objects underlying the invention are each achieved with the features of the independent claims. Embodiments of the invention are indicated in the dependent claims.
Durch die Erfindung wird eine Verfahren zur Migration von einem ersten HSM zu einem zweiten HSM geschaffen, wobei dem ersten HSM ein erstes asymmetrisches kryptographisches Schlüsselpaar mit einem ersten privaten und einem ersten öffentlichen Schlüssel und ein erstes den ersten öffentlichen Schlüssel beinhaltendes Zertifikat zugeordnet ist, mit folgenden Schritten:
- - Erzeugung eines zweiten asymmetrischen kryptographischen Schlüsselpaars mit einem zweiten privaten und einem zweiten öffentlichen Schlüssel durch das zweite HSM,
- - Senden einer Anforderung mit dem zweiten öffentlichen Schlüssel von dem zweiten HSM an das erste HSM,
- - Erzeugung eines zweiten Zertifikats von dem ersten HSM durch signieren des zweiten öffentlichen Schlüssels mit dem ersten privaten Schlüssel, wobei mit Hilfe des zweiten Zertifikats und des ersten Zertifikats eine Zertifikatskettenprüfung durchführbar ist.
- - Generation of a second asymmetric cryptographic key pair with a second private and a second public key by the second HSM,
- Sending a request with the second public key from the second HSM to the first HSM,
- Generating a second certificate from the first HSM by signing the second public key with the first private key, with the aid of the second certificate and the first certificate, a certificate chain check is feasible.
Unter einem „HSM“ , d.h. einem Hardware Security Module oder Hardware-Sicherheitsmodul (HSM) wird hier insbesondere ein (internes oder externes) Peripheriegerät für die effiziente und sichere Ausführung kryptographischer Operationen verstanden. Ein HSM ermöglicht es, die Vertrauenswürdigkeit und die Integrität von Daten und den damit verbundenen Informationen insbesondere in IT-Systemen sicherzustellen. Um die Vertrauenswürdigkeit zu gewährleisten, sollen die zum Einsatz kommenden kryptographischen Schlüssel sowohl softwaretechnisch als auch gegen physikalische Angriffe oder Seitenkanalangriffe geschützt werden. Ein Computersystem kann auch insgesamt als HSM ausgebildet sein.Under a "HSM", i. A hardware security module or hardware security module (HSM) is understood to mean, in particular, an (internal or external) peripheral device for the efficient and secure execution of cryptographic operations. An HSM makes it possible to ensure the trustworthiness and integrity of data and the associated information, especially in IT systems. In order to ensure the trustworthiness, the cryptographic keys used are to be protected by software as well as against physical attacks or side channel attacks. A computer system may also be designed as a whole HSM.
Ein HSM kann mehrere „slots“ aufweisen, um kryptographisches Schlüsselmaterial zu speichern. Jeder der slots hat die Funktionalität eines separaten HSM. Die slots werden auch als „partition“ bezeichnet.An HSM can have multiple "slots" to store cryptographic key material. Each of the slots has the functionality of a separate HSM. The slots are also referred to as "partition".
Unter einem „Zertifikat“ wird hier ein digitales Zertifikat verstanden, welches auch als Public-Key-Zertifikat bezeichnet wird. Bei einem Zertifikat handelt es sich um strukturierte Daten, die dazu dienen, einen öffentlichen Schlüssel eines asymmetrischen Kryptosystems einer Identität, wie zum Beispiel einer Person oder einer Vorrichtung, zuzuordnen. Beispielsweise kann das Zertifikat dem Standard X.509 oder einem anderen Standard entsprechen.A "certificate" here means a digital certificate, which is also referred to as a public-key certificate. A certificate is structured data that serves to associate a public key of an asymmetric cryptosystem with an identity, such as a person or device. For example, the certificate may conform to the standard X.509 or another standard.
Bei einem „Root-Zertifikat“ handelt es sich um ein Zertifikat, welches einer Wurzelzertifizierungsinstanz (Root-CA) des asymmetrischen Kryptosystems zugeordnet ist. Ein solches Root-Zertifikat wird auch als self-signed certificate bezeichnet. Im Unterschied zu einem Root-Zertifikat ist ein Link-Zertifikat nicht von derselben Instanz signiert, deren Identität es zugeordnet ist. Der Begriff Zertifikat wird im Weiteren so verwendet, dass damit ein Link-Zertifikat gemeint ist, außer es wird ausdrücklich der Terminus Root-Zertifikat verwendet.
Bei dem o.g. Verfahren geht es insbesondere um eine Migration eines Hardwaresicherheitsmoduls (HSM), das bei einem Zertifizierungsdiensteanbieter (ZDA) eingesetzt ist, bzw. einer den HSM treibenden Software, wobei die alten ausgerollten Zertifikate bzw. Identitätsdokumente prüfbar bleiben, obwohl der private Schlüssel des alten HSM nicht zugänglich ist.A "root certificate" is a certificate associated with a root CA of the asymmetric cryptosystem. Such a root certificate is also called a self-signed certificate. Unlike a root certificate, a link certificate is not signed by the same entity whose identity it is associated with. The term certificate is further used to mean a link certificate, except where the term root certificate is explicitly used.
Specifically, the above method involves migration of a Hardware Security Module (HSM) used by a Certification Services Provider (ZDA) or HSM-driving software, while the old rolled-out certificates or identity documents remain auditable, even though the private key of the old HSM is not accessible.
Wesentlich für die Funktionalität eines HSM ist die Unzugänglichkeit seines privaten Schlüssels, da dieser zum Schaffen einer Vertrauensstellung zwischen Kommunikationspartnern verwendet wird. Der Schutz des privaten Schlüssels geht so weit, dass das HSM bei dem Versuch den privaten Schlüssel auszulesen, sich selbst zerstört oder zumindest derart zurücksetzt, dass der private Schlüssel unwiederbringlich gelöscht wird.Essential to the functionality of an HSM is the inaccessibility of its private key, since it is used to create a trust relationship between communication partners. The protection of the private key goes so far that the HSM tries to read the private key, destroys itself or at least resets it in such a way that the private key is irretrievably deleted.
Dies bereitet Probleme bei einer Migration von einer bestehenden ZDA-Infrastruktur mit HSM und zugeordneter Software entweder auf ein neues HSM oder bei einem Wechsel zu einem anderen HSM- und/oder Software-Vendor, da der private Schlüssel auch nicht für den Administrator auslesbar ist. Dieses Problem wird beispielsweise auch in allen Ländern auftreten, die nach der EAC-Spezifikation (Extended Access Control) der ICAO (International Civil Aviation Organization) biometrische Daten in Identitätsdokumenten vorschreiben und zu einem späteren Zeitpunkt ihr HSM auf eine andere Version oder einen anderen Vendor umstellen wollen.This poses problems with migrating from an existing ZDA infrastructure with HSM and associated software either to a new HSM or to a switch to another HSM and / or software vendor since the private key is not readable by the administrator. For example, this issue will also occur in all countries that require biometric data in identity documents under the ICAO (International Civil Aviation Organization) Extended Access Control (EAC) specification and later convert their HSM to a different version or vendor want.
Die hier beschriebene Problemlösung beschreibt ein Verfahren zur Migration eines HSM, ohne dass der private Schlüssel des HSM ausgelesen zu werden braucht. Die Lösung wird dadurch erreicht, dass in einem einmaligen Migrationsschritt das neue HSM eine Zertifizierungsanforderung (Zertifikats-Request) an das alte HSM sendet und ein vom alten HSM mit dessen privatem Schlüssel unterzeichnetes Zertifikat erhält. Auf diese Weise ist das neue HSM in der Lage, beim ZDA gegenüber den ausgerollten Identitätsdokumenten derart aufzutreten, dass der Prüfvorgang der ausgerollten Identitätsdokumente wie vor der Migration abläuft, ohne dass irgendeine zwischengeschaltete Instanz von der Migration betroffen wäre.The problem solution described here describes a method for migrating an HSM without having to read out the private key of the HSM. The solution is achieved by sending the new HSM a certificate request (certificate request) to the old HSM in a one-time migration step and receiving a certificate signed by the old HSM with its private key. In this way, the new HSM is able to act on the rolled-out identity documents at the ZDA so that the checking process of the rolled-out identity documents proceeds as before the migration, without any intermediary instance being affected by the migration.
In der
Dies macht das Identitätsdokument erfindungsgemäß aber nicht, sondern es verlangt vielmehr, dass das ISS einen privaten Schlüssel zu einem Zertifikat besitzt, welches sich in einer Zertifikatskette bis zum Root-Zertifikat befindet und sich vom Identitätsdokument auch über die Signaturprüfungen der einzelnen Zertifikate prüfen lässt. Hier ist das Schlüsselpaar des Root-Zertifikats selber nicht relevant. Gemäß Ausführungsformen der vorliegenden Erfindung werden keine Informationen von privaten Schlüsseln mittels Transportschlüssel auf das andere HSM übertragen.This makes the identity document according to the invention but not, but it requires rather that the ISS has a private key to a certificate, which is in a certificate chain to the root certificate and can be checked by the identity document on the signature checks of the individual certificates. Here the key pair of the root certificate itself is not relevant. According to embodiments of the present invention, private key information is not transferred to the other HSM by means of a transport key.
Nach einer Ausführungsform der Erfindung erfolgt die Migration von dem ersten HSM zu dem zweiten HSM deutlich vor dem zu erwartenden Ende der Lebensdauer des ersten HSM. Dadurch soll sichergestellt werden, dass bei einem Ausfall des ersten HSM aufgrund des Erreichens von dessen Lebensdauer der von dem ersten Computersystem angebotene Dienst mit dem zweiten HSM nahtlos weitergeführt werden kann.According to one embodiment of the invention, the migration from the first HSM to the second HSM occurs well ahead of the expected end of the life of the first HSM. This is to ensure that in the event of failure of the first HSM due to the achievement of its lifetime of the offered by the first computer system service can continue seamlessly with the second HSM.
Nach einer Ausführungsform der Erfindung wird zusätzlich zu dem ersten Computersystem mit dem ersten HSM ein Ersatz-Computersystem mit dem zweiten HSM betrieben, wobei das Ersatz-Computersystem prinzipiell gleich wie das erste Computersystem aufgebaut ist. Bei einem Verlust des ersten Computersystems kann das Ersatz-Computersystem die Funktion des ersten Computersystems übemehmen. Das Ersatz-Computersystem bildet also einen „Backup“ für das erste Computersystem zur Schaffung von Ausfallsicherheit. Vorzugsweise wird das Ersatz-Computersystem räumlich getrennt von dem ersten Computersystem aufgestellt.According to one embodiment of the invention, in addition to the first computer system with the first HSM, a replacement computer system is operated with the second HSM, wherein the replacement computer system is basically the same as the first computer system. Upon a loss of the first computer system, the replacement computer system may take over the function of the first computer system. The replacement computer system thus forms a "backup" for the first computer system to provide reliability. Preferably, the replacement computer system is set up spatially separate from the first computer system.
Ausführungsformen der Erfindung sind auf eine Migration zwischen HSM's gerichtet. Ein Problem dabei ist, dass der private Schlüssel einer Software, es ist eine Certificate Authority Software, im folgenden CA genannt, der deren Zertifizierungsleistung erst ermöglicht, auslesegeschützt in einem HSM oder einer Chipkarte enthalten ist. Ein weiteres Problem ist, dass die Zertifizierungsleistung, die die abzulösende Software mit der abzulösenden Software mit dem abzulösenden HSM bzw. der abzulösenden Chipkarte erbringt, aufrecht erhalten werden muss, was nur mit dem privaten Schlüssel der abzulösenden Software aus dem abzulösenden HSM / der abzulösenden Chipkarte möglich ist. Mit dieser Erfindung wird eine Migration ermöglicht, die einen kontinuierlichen Betrieb bereits ausgerollter Komponenten ermöglicht. Die privaten Schlüssel der abzulösenden CA können nach der Migration gefahrlos gelöscht werden und die Hardware kann anderer Verwendung zugeführt werden.Embodiments of the invention are directed to migration between HSMs. A problem with this is that the private key of a software, it is a certificate authority software, in the following called CA, which makes their certification performance possible, is read-only protected in an HSM or a chip card. Another problem is that the certification performance, which provides the software to be replaced with the software to be replaced with the HSM to be replaced or the chip card to be replaced, must be maintained, which only with the private key of the software to be replaced from the HSM to be replaced / the chip card to be replaced is possible. With this invention, a migration is made possible, which allows a continuous operation of already rolled-out components. The private keys of the CA to be replaced can be safely deleted after the migration and the hardware can be put to other use.
Für eine HSM- und / oder HSM-SW-Migration sind zwei Punkte nach Ausführungsformen der Erfindung wesentlich:
- 1. Migration von einem bestehenden System mit einer alten CA und einem alten HSM zu einer neuen CA mit einem neuen HSM.
- 2. Betrieb der neuen CA mit dem neuen HSM
- 1. Migration from an existing system with an old CA and an old HSM to a new CA with a new HSM.
- 2. Operation of the new CA with the new HSM
zu 1.:to 1.:
1. Zunächst wird eine neue CA mit einem neuen HSM eingerichtet. Anschließend wird die Migration von der alten CA mit dem alten HSM zur neuen CA mit dem neuen HSM eingeleitet durch einen Zertifikats-Request von der neuen CA mit dem neuen HSM an die alte CA mit dem alten HSM, wobei der Zertifikats-Request einen vom neuen HSM erzeugten öffentlichen Schlüssel pub[HSM-neu] eines neu erzeugten Schlüsselpaares umfasst.1. First, a new CA is set up with a new HSM. Then the migration from the old CA with the old HSM to the new CA with the new HSM is initiated by a certificate request from the new CA with the new HSM to the old CA with the old HSM, with the certificate request one from the new one HSM generated public key pub [HSM-new] of a newly generated key pair.
Das alte HSM signiert den erhaltenen öffentlichen Schlüssel pub[HSM-neu] mit seinem alten privaten Schlüssel, um ein Link-Zertifikat zu bilden: Link-Cert=sig(pub[HSM-neu]) erstellt mit dem privaten Schlüssel des alten HSMs.The old HSM signs the received public key pub [HSM-new] with its old private key to form a link certificate: link-cert = sig (pub [HSM-new]) created with the private key of the old HSM.
Schließlich sendet die alte CA an die neue CA dann das Link-Zertifikat Link-Cert=sig(pub[HSM-neu]) wobei zur Signatur der privaten Schlüssel des alten HSMs genutzt wird. Weiterhin wird die bisher bestehende Zertifikatskette des alten HSMs an das neue HSM (über die jeweilige CA Software) geschickt.Finally, the old CA then sends the link certificate Link-Cert = sig (pub [HSM-new]) to the new CA, whereby the private key of the old HSM is used for the signature. Furthermore, the existing certificate chain of the old HSM will be sent to the new HSM (via the respective CA software).
Das alte HSM kann dann abgeschaltet werden.The old HSM can then be switched off.
zu 2.:to 2 .:
Ein Inspection System Server (im Folgenden ISS genannt) sendet an das neue HSM einen Zertifikats-Request mit dem öffentlichen Schlüssel des ISS (pub[ISS]). Die neue CA mit dem neuen HSM signiert diesen öffentlichen Schlüssel pub[ISS] dann mit seinem privaten Schlüssel priv[HSM-neu] um ein Zertifikat zu bilden: sig(pub[ISS]) unter Verwendung des privaten Schlüssels der neuen CA mit dem neuen HSM). Diese Signatur kann vom ISS mit dem von der alten CA mit dem HSM ausgestellten Link-Zertifikat verifiziert werden. Um das Link-Zertifikat zu verifizieren sind unter Umständen weitere Link-Zertifikate notwendig und das ursprüngliche Root Zertifikat. Diese Zertifikate stammen ebenfalls von der alten CA und dem alten HSM und wurden im Rahmen der Migration in die neue CA und in das neue HSM importiert.An Inspection System Server (hereafter referred to as ISS) sends to the new HSM a certificate request with the public key of the ISS (pub [ISS]). The new CA with the new HSM then signs this public key pub [ISS] with its private key priv [HSM-new] to form a certificate: sig (pub [ISS]) using the new CA's private key with the new one HSM). This signature can be verified by the ISS using the link certificate issued by the old CA with the HSM. In order to verify the link certificate, additional link certificates and the original root certificate may be required. These certificates also come from the old CA and the old HSM and were imported into the new CA and the new HSM as part of the migration.
Insgesamt erhält der ISS dann eine Zertifikatkette mit
- 1. dem ISS Zertifikat mit dem von der neuen CA signierten öffentlichen Schlüssel des aktuellen ISS Schlüsselpaares
- 2. dem modifizierten Link-Zertifikat mit dem von der alten CA und dem alten HSM signierten öffentlichen Schlüssel der neuen CA und dem neuen HSM
- 3. evtl. weiteren Link-Zertifikaten der alten CA und dem alten HSM
- 4. dem Root-Zertifikat der alten CA und dem alten HSM.
- 1. the ISS certificate with the public key of the current ISS key pair signed by the new CA.
- 2. the modified link certificate with the public key of the new CA and the new HSM signed by the old CA and the old HSM
- 3. possibly further link certificates of the old CA and the old HSM
- 4. the root certificate of the old CA and the old HSM.
Ein ID-Token, wie z.B. ein Pass, gegenüber welchen sich das ISS authentifizieren muss, erhält schließlich diese Zertifikatskette (mit Ausnahme des Root Zertifikates, welches als Vertrauensanker schon beim Personalisieren in den Pass eingebracht wurde). Beim Überprüfen kann der Pass feststellen, ob das ISS eine Vertrauensstellung zum neuen HSM hat und, ob das die neue CA mit dem neuen HSM eine Vertrauensstellung zur alten CA mit dem alten HSM hat. Sofern diese Vertrauenskette gegeben ist, gibt der Pass vertrauliche(re) Daten wie beispielsweise Fingerprints an das ISS frei.An ID token, such as a passport against which the ISS must authenticate, finally receives this certificate chain (with the exception of the root certificate, which was introduced as a trust anchor during personalization in the passport). During verification, the passport can determine if the ISS has a trust relationship with the new HSM and whether the new CA with the new HSM has a trust relationship with the old CA with the old HSM. If this chain of trust exists, the passport releases sensitive data, such as fingerprints, to the ISS.
Nach dem bisherigen Stand der Technik ist ein Wechsel der HSM-Hardware z. B. auf einen anderen Hersteller nicht möglich. Es muss für die gesamte Lebensdauer der Pässe mit dem Root-Zertifikat des alten HSM diese Infrastruktur vorgehalten werden. Die Hersteller behalten sich außerdem vor, bei größeren Firmware-Updates sämtliche HSM Daten zu löschen. Bei Major-Updates kann es außerdem sein, dass sich interne Firmware-Strukturen ändern und die Daten, selbst wenn sie durch ein Backup gesichert wurden, nicht mehr einspielbar sind. Vorteil des Verfahrens ist, dass alte CAs mit alten HSM's mit grundsätzlich nicht zugänglichen privaten Schlüsseln abgelöst werden können, ohne dass alle im Umlauf befindlichen Pässe plötzlich ungültig werden. Ferner ist eine Interoperabilität dergestalt ermöglicht, dass auch ein Vendor-Wechsel zwischen verschiedenen HSM's erfolgen kann.
Mit dieser Erfindung kann man zu jedem beliebigen Zeitpunkt die Hardware auch herstellerübergreifend wechseln.According to the prior art, a change of HSM hardware z. B. not possible to another manufacturer. This infrastructure must be kept for the entire life of the passports with the root certificate of the old HSM. The manufacturers also reserve the right to delete all HSM data for larger firmware updates. Major updates may also be due to internal firmware structures changing and the data, even backed up, becoming unplayable. Advantage of the method is that old CAs can be replaced with old HSM's with fundamentally inaccessible private keys, without all passports in circulation are suddenly invalid. Furthermore, interoperability is made possible in such a way that a vendor switch between different HSMs can take place.
With this invention, you can switch at any time, the hardware manufacturer independent.
Ausführungsformen der Erfindung lösen insbesondere die Aufgabe, eine bereits gelieferte CA-Software, mit der auch Pässe personalisiert werden, zu einem beliebigen späteren Zeitpunkt durch eine (noch nicht existente) neue CA-Software zu ersetzen und mit Zertifikaten dieser neuen CA die mit Zertifikaten der alten CA personalisierten Pässe weiterhin auslesen zu können.Embodiments of the invention solve in particular the task to replace an already delivered CA software, with which passports are personalized, at any later time by a (not yet existing) new CA software and certificates of this new CA with certificates of old CA personalized passports continue to be readable.
Nach Ausführungsformen der Erfindung wird ein Verfahren zum Lesen zumindest eines in einem ID-Token gespeicherten Attributs geschaffen, wobei der ID-Token einem Nutzer zugeordnet ist. Das Verfahren beinhaltet die folgenden Schritte: Authentifizierung des Nutzers gegenüber dem ID-Token; Authentifizierung eines ersten Computersystems gegenüber dem ID-Token; nach erfolgreicher Authentifizierung des Nutzers und des ersten Computersystems gegenüber dem ID-Token, Lesezugriff des ersten Computersystems auf das zumindest eine in dem ID-Token gespeicherte Attribut zur Übertragung des zumindest einen Attributs an ein zweites Computersystem. Hierdurch kann ein „Vertrauensanker“ geschaffen werden. Das erste Computersystem beinhaltet das erste bzw. nach Migration das zweite HSM, welches für die Authentifizierung eines ersten Computersystems gegenüber dem ID-Token und für die Signierung des zumindest einen Attributs verwendet wird. Bei dem ersten Computersystem kann es sich auch um das Ersatz-Computersystem handeln.According to embodiments of the invention, a method is provided for reading at least one attribute stored in an ID token, wherein the ID token is assigned to a user. The method includes the following steps: authenticating the user against the ID token; Authenticating a first computer system against the ID token; after successful authentication of the user and the first computer system against the ID token, read access of the first computer system to the at least one attribute stored in the ID token for transmitting the at least one attribute to a second computer system. This can create a "trust anchor". The first computer system includes the first or after migration the second HSM, which is used for the authentication of a first computer system against the ID token and for the signing of the at least one attribute. The first computer system may also be the replacement computer system.
Ausführungsformen der Erfindung ermöglichen das Lesen eines oder mehrerer der in einem ID-Token gespeicherten Attribute durch das erste Computersystem, wobei die Verbindung zwischen dem ID-Token und dem ersten Computersystem über ein Netzwerk, insbesondere das Internet, aufgebaut werden kann. Bei dem zumindest einem Attribut kann es sich um eine Angabe bezüglich der Identität des dem ID-Token zugeordneten Nutzers handeln, insbesondere bezüglich dessen so genannter digitaler Identität. Beispielsweise werden durch das erste Computersystem die Attribute Name, Vorname, Adresse gelesen, um diese Attribute an ein zweites Computersystem, zum Beispiel eines Online-Dienstes, weiterzuleiten.Embodiments of the invention allow one or more of the attributes stored in an ID token to be read by the first computer system, wherein the connection between the ID token and the first computer system may be established over a network, particularly the Internet. The at least one attribute may be an indication as to the identity of the user assigned to the ID token, in particular with regard to its so-called digital identity. For example, the first computer system reads the attributes name, first name, address to forward these attributes to a second computer system, for example an online service.
Es kann aber zum Beispiel auch nur ein einzelnes Attribut gelesen werden, welches nicht zur Feststellung der Identität des Nutzers, sondern beispielsweise zur Überprüfung der Berechtigung des Benutzers zur Inanspruchnahme eines bestimmten Online-Dienstes dient, wie zum Beispiel das Alter des Nutzers, wenn dieser einen Online-Dienst in Anspruch nehmen möchte, der einer bestimmten Altersgruppe vorbehalten ist, oder ein anderes Attribut, welches die Zugehörigkeit des Nutzers zu einer bestimmten Gruppe dokumentiert, welche zur Nutzung des Online-Dienstes berechtigt ist.However, it is also possible, for example, to read only a single attribute which does not serve to establish the identity of the user, but, for example, to check the authorization of the user to use a particular online service, such as the age of the user, if this one Online service that is reserved for a particular age group, or another attribute that documents the user's affiliation to a particular group that is authorized to use the online service.
Bei dem ID-Token kann es sich um ein tragbares elektronisches Gerät, wie zum Beispiel einen so genannten USB-Stick, handeln oder um ein Dokument, insbesondere ein Wert- oder Sicherheitsdokument.The ID token can be a portable electronic device, such as a so-called USB stick, or a document, in particular a value or security document.
Unter einem „Dokument“ werden erfindungsgemäß papierbasierte und/oder kunststoffbasierte Dokumente verstanden, wie zum Beispiel Ausweisdokumente, insbesondere Reisepässe, Personalausweise, Visa sowie Führerscheine, Fahrzeugscheine, Fahrzeugbriefe, Firmenausweise, Gesundheitskarten oder andere ID-Dokumente sowie auch Chipkarten, Zahlungsmittel, insbesondere Banknoten, Bankkarten und Kreditkarten, Frachtbriefe oder sonstige Berechtigungsnachweise, in die ein Datenspeicher zur Speicherung des zumindest einen Attributs integriert ist.According to the invention, a "document" is understood as meaning paper-based and / or plastic-based documents, such as identity documents, in particular passports, identity cards, visas and driving licenses, vehicle registration documents, vehicle documents, company identity cards, Health cards or other ID documents as well as chip cards, means of payment, in particular banknotes, bank cards and credit cards, waybills or other credentials, in which a data memory for storing the at least one attribute is integrated.
Ausführungsformen der Erfindung sind also besonders vorteilhaft, da das zumindest eine Attribut aus einem besonders vertrauenswürdigen Dokument, beispielsweise einem amtlichen Dokument, ausgelesen wird. Von besonderem Vorteil ist weiterhin, dass eine zentrale Speicherung der Attribute nicht erforderlich ist. Die Erfindung ermöglicht also ein besonders hohes Maß an Vertrauenswürdigkeit hinsichtlich der Mitteilung der zu einer digitalen Identität gehörenden Attribute, verbunden mit einem optimalen Datenschutz bei äußerst bequemer Handhabung.Embodiments of the invention are thus particularly advantageous since the at least one attribute is read from a particularly trustworthy document, for example an official document. Of particular advantage is further that a central storage of the attributes is not required. Thus, the invention enables a particularly high degree of trustworthiness with regard to the communication of the attributes belonging to a digital identity, combined with optimum data protection and extremely convenient handling.
Nach einer Ausführungsform der Erfindung hat das erste Computersystem zumindest ein Zertifikat, welches zur Authentifizierung des ersten Computersystems gegenüber dem ID-Token verwendet wird. Das Zertifikat beinhaltet eine Angabe derjenigen Attribute, für welche das erste Computersystem eine Leseberechtigung hat. Der ID-Token prüft anhand dieses Zertifikats, ob das erste Computersystem die erforderliche Leseberechtigung für den Lesezugriff auf das Attribut hat, bevor ein solcher Lesezugriff durch das erste Computersystem durchgeführt werden kann.According to one embodiment of the invention, the first computer system has at least one certificate which is used for authentication of the first computer system to the ID token. The certificate includes an indication of those attributes for which the first computer system has read permission. The ID token uses this certificate to verify that the first computer system has the read permission to read the attribute before such read access can be performed by the first computer system.
Nach einer Ausführungsform der Erfindung sendet das erste Computersystem das zumindest eine von dem ID-Token ausgelesene Attribut unmittelbar an ein zweites Computersystem. Bei dem zweiten Computersystem kann es sich zum Beispiel um einen Server zur Erbringung eines Online-Dienstes oder eines sonstigen Dienstes, wie zum Beispiel einer Bankdienstleistung oder zur Bestellung eines Produkts handeln. Beispielsweise kann der Nutzer ein Konto online eröffnen, wozu Attribute, die die Identität des Nutzers beinhalten, von dem ersten Computersystem an das zweite Computersystem einer Bank übertragen werden.According to one embodiment of the invention, the first computer system sends the at least one attribute read by the ID token directly to a second computer system. The second computer system may be, for example, a server for providing an on-line service or other service, such as a banking service or ordering a product. For example, the user can open an account online, for which attributes that include the identity of the user are transferred from the first computer system to the second computer system of a bank.
Nach einer Ausführungsform der Erfindung erfolgt die Übertragung der aus dem ID-Token gelesenen Attribute von dem ersten Computersystem zunächst an ein drittes Computersystem des Nutzers. Beispielsweise hat das dritte Computersystem einen üblichen Internetbrowser, mit dem der Nutzer eine Webseite des zweiten Computersystems öffnen kann. Der Nutzer kann in die Webseite eine Anforderung oder Bestellung für einen Dienst oder ein Produkt eingeben.According to one embodiment of the invention, the transfer of the attributes read from the ID token from the first computer system first to a third computer system of the user. For example, the third computer system has a standard Internet browser with which the user can open a web page of the second computer system. The user can enter a request or order for a service or product into the web page.
Das zweite Computersystem spezifiziert daraufhin diejenigen Attribute, zum Beispiel des Nutzers oder seines ID-Tokens, welche es für die Erbringung des Dienstes oder die Annahme der Bestellung benötigt. Die entsprechende Attributspezifikation, die die Spezifizierung dieser Attribute beinhaltet, wird sodann von dem zweiten Computersystem an das erste Computersystem gesendet. Dies kann mit oder ohne Zwischenschaltung des dritten Computersystems erfolgen. Im letzteren Fall kann der Nutzer das gewünschte erste Computersystem gegenüber dem zweiten Computersystem spezifizieren, beispielsweise durch Eingabe der URL des ersten Computersystems in eine Webseite des zweiten Computersystems von dem dritten Computersystem aus.The second computer system then specifies those attributes, for example the user or his ID token, which it needs for the provision of the service or the acceptance of the order. The corresponding attribute specification including the specification of these attributes is then sent from the second computer system to the first computer system. This can be done with or without the interposition of the third computer system. In the latter case, the user may specify the desired first computer system relative to the second computer system, for example by entering the URL of the first computer system into a web page of the second computer system from the third computer system.
Nach einer Ausführungsform der Erfindung beinhaltet die Dienst-Anforderung des Nutzers an das zweite Computersystem die Angabe eines Identifikators, wobei der Identifikator das erste Computersystem identifiziert. Beispielsweise handelt es sich bei dem Identifikator um einen Link, beispielsweise eine URL des ersten Computersystems.According to one embodiment of the invention, the service request of the user to the second computer system includes the indication of an identifier, wherein the identifier identifies the first computer system. For example, the identifier is a link, for example a URL of the first computer system.
Nach einer Ausführungsform der Erfindung wird die Attributspezifizierung nicht unmittelbar von dem zweiten Computersystem an das erste Computersystem gesendet, sondern zunächst von dem zweiten Computersystem an das dritte Computersystem. Das dritte Computersystem hat mehrere vordefinierte Konfigurationsdatensätze, wobei der dritte Computer mehrere vordefinierte Konfigurationsdatensätze aufweist, wobei jeder der Konfigurationsdatensätze eine Teilmenge der Attribute, zumindest eine Datenquelle und ein erstes Computersystem aus einer Menge von ersten Computersystemen spezifiziert, wobei die Attributspezifikation von dem zweiten Computersystem zunächst an das dritte Computersystem übertragen wird, sodass mittels des dritten Computersystems zumindest einer der Konfigurationsdatensätze auswählt wird, der eine Teilmenge der Attribute spezifiziert, welche das zumindest eine in der Attributspezifikation spezifizierte Attribut beinhaltet, und wobei der dritte Computer die Attributspezifikation an das erste Computersystem weiterleitet, und die Verbindung mit dem durch die Angabe der Datenquelle in dem ausgewählten Konfigurationsdatensatz spezifizierten ID-Token aufgebaut wird.According to one embodiment of the invention, the attribute specification is not sent directly from the second computer system to the first computer system, but first from the second computer system to the third computer system. The third computer system has a plurality of predefined configuration records, the third computer having a plurality of predefined configuration records, each of the configuration records specifying a subset of the attributes, at least one data source and a first computer system among a set of first computer systems, the attribute specification from the second computer system first the third computer system is transmitted so that at least one of the configuration data sets specifying a subset of the attributes including the at least one attribute specified in the attribute specification is selected by the third computer system, and wherein the third computer forwards the attribute specification to the first computer system, and the connection is established with the ID token specified by the specification of the data source in the selected configuration record.
Nach einer Ausführungsform der Erfindung werden die aus dem ID-Token ausgelesenen Attribute von dem ersten Computersystem signiert und dann an das dritte Computersystem übertragen. Der Nutzer des dritten Computersystems kann die Attribute also lesen, ohne sie jedoch verändern zu können. Erst nach Freigabe durch den Nutzer werden die Attribute von dem dritten Computersystem an das zweite Computersystem weitergeleitet.According to one embodiment of the invention, the attributes read from the ID token are signed by the first computer system and then transmitted to the third computer system. The user of the third computer system can thus read the attributes, but without being able to change them. Only after release by the user are the attributes forwarded from the third computer system to the second computer system.
Nach einer Ausführungsform der Erfindung kann der Nutzer die Attribute vor deren Weiterleitung durch weitere Daten ergänzen.According to one embodiment of the invention, the user can supplement the attributes before their forwarding by further data.
Nach einer Ausführungsform der Erfindung hat das erste Computersystem mehrere Zertifikate mit verschiedenen Leserechten. Aufgrund des Empfangs der Attributspezifikation wählt das erste Computersystem eines oder mehrere dieser Zertifikate aus, um die entsprechenden Attribute aus dem ID-Token oder mehreren verschiedenen ID-Token auszulesen. According to one embodiment of the invention, the first computer system has a plurality of certificates with different read rights. Upon receipt of the attribute specification, the first computer system selects one or more of these certificates to retrieve the corresponding attributes from the ID token or multiple different ID tokens.
Nach einer Ausführungsform der Erfindung hat das dritte Computersystem zumindest einen Konfigurationsdatensatz, welcher eine externe Datenquelle zur Abfrage eines weiteren Attributs von dem dritten Computersystem über das Netzwerk spezifiziert.According to one embodiment of the invention, the third computer system has at least one configuration data record which specifies an external data source for requesting a further attribute from the third computer system via the network.
Nach einer Ausführungsform der Erfindung erfolgt die Abfrage des weiteren Attributs, nachdem das zumindest eine Attribut aus dem ID-Token ausgelesen worden ist, und nachdem das dritte Computersystem das zumindest eine Attribut von dem ersten Computersystem empfangen hat, wobei die Abfrage das zumindest eine Attribut beinhaltet.According to one embodiment of the invention, after the at least one attribute has been read from the ID token and after the third computer system has received the at least one attribute from the first computer system, the query of the further attribute is performed, the query including the at least one attribute ,
In einem weiteren Aspekt betrifft die Erfindung ein Computerprogrammprodukt, insbesondere ein digitales Speichermedium, mit ausführbaren Programminstruktionen zur Durchführung eines erfindungsgemäßen Verfahrens.In a further aspect, the invention relates to a computer program product, in particular a digital storage medium, with executable program instructions for carrying out a method according to the invention.
In einem weiteren Aspekt betrifft die Erfindung einen ID-Token mit einem geschützten Speicherbereich zur Speicherung von zumindest einem Attribut, mit Mitteln zur Authentifizierung eines dem ID-Token zugeordneten Nutzers gegenüber dem ID-Token, Mitteln zur Authentifizierung eines ersten Computersystems gegenüber dem ID-Token, Mitteln zum Aufbau einer geschützten Verbindung zu dem ersten Computersystem, über die das erste Computersystem das zumindest eine Attribut auslesen kann, wobei eine notwendige Voraussetzung für das Auslesen des zumindest einen Attributs aus dem ID-Token durch das erste Computersystem die erfolgreiche Authentifizierung des Nutzers und des ersten Computersystems gegenüber dem ID-Token ist.In a further aspect, the invention relates to an ID token with a protected memory area for storing at least one attribute, with means for authenticating a user assigned to the ID token with respect to the ID token, means for authenticating a first computer system to the ID token Means for establishing a protected connection to the first computer system, via which the first computer system can read the at least one attribute, wherein a necessary condition for reading the at least one attribute from the ID token by the first computer system, the successful authentication of the user and of the first computer system against the ID token.
Zusätzlich zu der Authentifizierung des ersten Computersystems gegenüber dem ID-Token, wie sie an sich zum Beispiel als so genannte Extended Access Control für maschinenlesbare Reisedokumente (machine-readable travel documents - MRTD) bekannt und von der internationalen Luftfahrtbehörde ICAO spezifiziert ist, muss sich also der Nutzer gegenüber dem ID-Token authentifizieren. Beispielsweise wird durch eine erfolgreiche Authentifizierung des Nutzers gegenüber dem ID-Token dieser freigeschaltet, sodass die weiteren Schritte, nämlich die Authentifizierung des ersten Computersystems gegenüber dem ID-Token und/oder der Aufbau einer geschützten Verbindung zum Auslesen der Attribute, ablaufen können.In addition to the authentication of the first computer system against the ID token, as it is known per se as so-called Extended Access Control for machine-readable travel documents (MRTD) and specified by the international aviation authority ICAO, so must the user to authenticate against the ID token. For example, a successful authentication of the user against the ID token unlocks it, so that the further steps, namely the authentication of the first computer system with respect to the ID token and / or the establishment of a protected connection for reading out the attributes, can take place.
Nach einer Ausführungsform der Erfindung hat der ID-Token Mittel für eine Ende-zu-Ende-Verschlüsselung. Dies ermöglicht es, die Verbindung zwischen dem ID-Token und dem ersten Computersystem über ein drittes Computersystem des Nutzers aufzubauen, da der Nutzer aufgrund der Ende-zu-Ende-Verschlüsselung keine Änderungen der über die Verbindung übertragenen Daten vornehmen kann.According to one embodiment of the invention, the ID token has means for end-to-end encryption. This makes it possible to establish the connection between the ID token and the first computer system via a third computer system of the user, since the user can not make any changes to the data transmitted via the connection due to the end-to-end encryption.
In einem weiteren Aspekt betrifft die Erfindung ein Computersystem mit einem ersten HSM und einem zweiten HSM, wobei dem ersten HSM ein erstes asymmetrisches kryptografisches Schlüsselpaar mit einem ersten privaten und einem ersten öffentlichen Schlüssel und ein erstes, den ersten öffentlichen Schlüssel beinhaltendes Zertifikat zugeordnet sind, und wobei dem zweiten HSM ein zweites asymmetrisches kryptografisches Schlüsselpaar mit einem zweiten privaten und einem zweiten öffentlichen Schlüssel und ein zweites, den zweiten öffentlichen Schlüssel beinhaltendes Zertifikat zugeordnet sind, wobei das zweite Zertifikat den mit dem ersten privaten Schlüssel signierten zweiten öffentlichen Schlüssel beinhaltet.. Bei den ersten und zweiten HSMs kann es sich um verschiedene Slots desselben HSM handeln oder um zwei separate HSMs .In another aspect, the invention relates to a computer system having a first HSM and a second HSM, wherein the first HSM is associated with a first asymmetric cryptographic key pair having a first private and a first public key and a first certificate including the first public key, and wherein the second HSM is associated with a second asymmetric cryptographic key pair having a second private and a second public key and a second certificate including the second public key, the second certificate including the second public key signed with the first private key First and second HSMs may be different slots of the same HSM or two separate HSMs.
Beispielsweise befindet sich das erste HSM in einem ersten Computersystem A und das zweite HSM in einem ersten Computersystem B. Das erste Computersystem B kann für einen so genannten „Cold-Standby“ vorgesehen sein, das heißt als Ersatz-Computersystem für das erste Computersystem A, wenn dieses ausfällt. Das Computersystem beinhaltet also in diesem Fall die ersten Computersysteme A und B.For example, the first HSM is located in a first computer system A and the second HSM is in a first computer system B. The first computer system B can be provided for a so-called "cold standby", that is, as a replacement computer system for the first computer system A, if this fails. The computer system thus includes the first computer systems A and B in this case.
Nach einer Ausführungsform der Erfindung hat das Computersystem Mittel zur Sensierung eines Ausfalls des ersten HSMs bzw. des ersten Computersystems A, zu dem das erste HSM gehört, und Mittel zum Umschalten auf das zweite HSM bzw. das erste Computersystem B, zu dem das zweite HSM gehört. Hierdurch wird ein so genannter „Hot-Standby“ Betrieb ermöglicht. Die Umschaltung von dem ersten Computersystem A auf das zweite Computersystem B kann also innerhalb kürzester Zeit, beispielsweise im Bereich von Millisekunden, erfolgen, nachdem der Ausfall des ersten Computersystems A sensiert worden ist.According to one embodiment of the invention, the computer system has means for sensing a failure of the first HSM or computer system A to which the first HSM belongs and means for switching to the second HSM and the first computer system B to which the second HSM belongs belongs. This allows a so-called "hot standby" operation. The switchover from the first computer system A to the second computer system B can thus take place within the shortest possible time, for example in the range of milliseconds, after the failure of the first computer system A has been sensed.
Nach einer Ausführungsform der Erfindung sind die Mittel zur Sensierung zur Prüfung einer Time-Out-Bedingung ausgebildet. Beispielsweise wird durch die Mittel zur Sensierung überwacht, ob das Computersystem A bzw. das erste HSM auf eine Anforderung innerhalb einer vorgegebenen Zeit antwortet. Wenn dies nicht der Fall ist, so ist die Time-Out-Bedingung nicht erfüllt, sodass auf das Computersystem B umgeschaltet wird, und die Anforderung erneut an das Computersystem B gesendet wird.According to one embodiment of the invention, the means for sensing are designed to test a time-out condition. For example, the means for sensing monitors whether the computer system A or the first HSM is in response to a request within a predetermined time responds. If this is not the case, then the time-out condition is not fulfilled, so that the computer system B is switched over and the request is sent again to the computer system B.
Nach einer Ausführungsform der Erfindung hat das Computersystem Mittel zur Last-Verteilung zwischen zumindest den Computersystemen A und B. Dies hat den Vorteil, dass die Computersysteme A und B sowie im Bedarfsfall weitere prinzipiell gleich aufgebaute erste Computersysteme für die Verarbeitung von Anforderungen eingesetzt werden, sodass eine entsprechende große Anzahl solcher Anforderungen pro Zeiteinheit durch die parallel arbeitenden Computersysteme A, B, ... abgearbeitet werden können.According to one embodiment of the invention, the computer system has means for load distribution between at least the computer systems A and B. This has the advantage that the computer systems A and B and, if necessary, further basically identically constructed first computer systems are used for the processing of requests, so that a corresponding large number of such requests per unit time by the parallel computer systems A, B, ... can be processed.
Nach einer Ausführungsform der Erfindung sind die Mittel zur Last-Verteilung zur Bestimmung eines Last-Parameters für jedes der Computersysteme A, B, ... ausgebildet. Bei diesen Last-Parametern kann es sich um die Länge einer Warteschlange von zu verarbeitenden Anforderungen des betreffenden ersten Computersystems handeln, die aktuelle Auslastung des Prozessors des betreffenden ersten Computersystems oder einen anderen geeigneten Last-Parameter. Die Mittel zur Last-Verteilung sind dann so ausgebildet, dass zusätzlich an das Computersystem gerichtete Anforderungen so auf die ersten Computersysteme A, B, ... verteilt werden, dass sich die Werte der Last-Parameter der ersten Computersysteme aneinander angleichen.According to one embodiment of the invention, the means for distributing the load are designed to determine a load parameter for each of the computer systems A, B,.... These load parameters may be the length of a queue of requests to be processed by the particular first computer system, the current load of the processor of the particular first computer system, or other suitable load parameter. The means for distributing the load are then designed in such a way that additional requirements directed to the computer system are distributed to the first computer systems A, B,... Such that the values of the load parameters of the first computer systems are matched to one another.
In einem weiteren Aspekt betrifft die Erfindung ein erstes Computersystem mit Computersystem mit Mitteln zum Empfang einer Attributspezifikation über ein Netzwerk, wobei die Attributspezifikation zumindest ein Attribut spezifiziert, Mitteln zur Authentifizierung gegenüber einem ID-Token, Mitteln zum Lesen zumindest einen Attributs aus dem ID-Token über eine gesicherte Verbindung, wobei das Lesen des zumindest einen Attributs voraussetzt, dass sich ein dem ID-Token zugeordneter Nutzer gegenüber dem ID-Token authentifiziert hat.In another aspect, the invention relates to a first computer system with computer system having means for receiving an attribute specification over a network, the attribute specification specifying at least one attribute, means for authenticating against an ID token, means for reading at least one attribute from the ID token via a secure connection, wherein the reading of the at least one attribute requires that a user associated with the ID token has authenticated against the ID token.
Nach einer Ausführungsform der Erfindung kann das erste Computersystem Mittel zur Generierung einer Aufforderung an den Benutzer beinhalten. Nachdem das erste Computersystem die Attributspezifikation beispielsweise von dem zweiten Computersystem empfangen hat, sendet es daraufhin eine Aufforderung an das dritte Computersystem des Nutzers, sodass der Nutzer dazu aufgefordert wird, sich gegenüber dem ID-Token zu authentifizieren. Nachdem die Authentifizierung des Nutzers gegenüber dem ID-Token erfolgreich durchgeführt worden ist, erhält das erste Computersystem von dem dritten Computersystem eine Bestätigung. Daraufhin authentifiziert sich das erste Computersystem gegenüber dem ID-Token und es wird eine sichere Verbindung zwischen dem ID-Token und dem ersten Computersystem mit einer Ende-zu-Ende-Verschlüsselung aufgebaut.According to one embodiment of the invention, the first computer system may include means for generating a request to the user. After the first computer system has received the attribute specification from the second computer system, for example, it then sends a request to the user's third computer system so that the user is prompted to authenticate against the ID token. After the user's authentication against the ID token has been successfully performed, the first computer system receives an acknowledgment from the third computer system. Thereafter, the first computer system authenticates to the ID token and establishes a secure connection between the ID token and the first computer system with end-to-end encryption.
Nach einer Ausführungsform der Erfindung hat das erste Computersystem mehrere Zertifikate, die jeweils unterschiedliche Leserechte spezifizieren. Nach Empfang der Attributspezifikation wählt das erste Computersystem zumindest eines dieser Zertifikate mit den zum Lesen der spezifizierten Attribute ausreichenden Leserechten.According to one embodiment of the invention, the first computer system has a plurality of certificates each specifying different read rights. Upon receipt of the attribute specification, the first computer system selects at least one of these certificates with the read rights sufficient to read the specified attributes.
Nach einer Ausführungsform löst die vorliegende Erfindung das folgende Problem: Nach einem Ausfall eines Hardware Sicherheitsmoduls (HSM), auf dem das private Schlüsselmaterial einer Root Certificate Authority (Root-CA) für Identitäts-, Wert- oder Sicherheitsdokumente, im folgenden einfach als Sicherheitsdokumente bezeichnet, gespeichert ist, müssten alle Sicherheitsdokumente ausgetauscht werden, da deren Echtheit nur mittels der Root-CA festgestellt werden kann. Dies kann im Falle landesweit ausgegebener Sicherheitsdokumente zu einem hohen Kostenausfall führen.In one embodiment, the present invention solves the following problem: After a Hardware Security Module (HSM) failure, on which the private key material of a root certificate authority (root CA) for identity, value, or security documents, hereinafter referred to simply as security documents , stored, all security documents would have to be exchanged, since their authenticity can only be determined by means of the root CA. This can lead to a high cost loss in the case of nationwide issued security documents.
Hintergrund ist, dass für diese Feststellung der Echtheit oder die Authentifizierung es auf den Sicherheitsdokumenten ein Card-Verifiable-Zertifikat (CV-Zertifikat) gibt, das in letzter Instanz von der Root Certificate Authority (Root-CA) abhängt. Alle Hersteller von Sicherheitsdokumenten müssen sich daher auf die Root-CA beziehen, wenn sie CV-Zertifikate auf den Karten anbringen.The background is that for this authenticity or authentication determination there is a card verifiable certificate (CV certificate) on the security documents, which ultimately depends on the root certificate authority (root CA). All manufacturers of security documents must therefore refer to the root CA when they apply CV certificates to the cards.
Neben der Authentifizierung ist die Root-CA auch für den Einzug von Karten (Revocation Service) wichtig. öffentliche und private Schlüssel können beispielsweise von dem Hochsicherheitsmodul (HSM) erzeugt und gespeichert werden.In addition to authentication, the root CA is also important for card insertion (revocation service). For example, public and private keys can be generated and stored by the High Security Module (HSM).
Es wird daher nach einer Ausführungsform vorgeschlagen, rechtzeitig vor einem erwarteten Ausfall des HSM, beispielsweise auf der Grundlage der MTBF-(Mean Time Before Failure)-Angaben des Herstellers, eine Backup-Root-CA mit eigenem HSM aufzusetzen. Dies erfolgt vorteilhaft, indem der öffentliche Schlüssel der Backup-Root-CA von der Produktiv-Root-CA signiert wird, und zwar mit dem privaten Schlüssel der Produktiv-Root-CA. In einer Zertifikatskette vom zu prüfenden Sicherheitsdokument über verschiedene CA's hinweg bis zu einer Root-CA ist dann auch die Backup-Root-CA in der Lage, als Root-CA zu arbeiten. Die bisherige Produktiv-Root-CA kann dann abgeschaltet werden oder die Backup-Root-CA kann als sogenanntes „Hot-Standby“ arbeiten, um eine hohe Verfügbarkeit bereitzustellen.It is therefore proposed according to one embodiment, set up in time before an expected failure of the HSM, for example, based on the MTBF (Mean Time Before Failure) information from the manufacturer, a backup root CA with its own HSM. This is advantageously done by signing the public key of the backup root CA from the productive root CA, using the private key of the productive root CA. In a certificate chain from the security document to be checked across different CA's to a root CA, the backup root CA is then also able to work as the root CA. The previous productive root CA can then be switched off or the backup root CA can work as a so-called "hot standby" to provide high availability.
Ausführungsformen des erfindungsgemäßen ersten Computersystems sind besonders vorteilhaft, da sie in Kombination mit der Notwendigkeit der Authentifizierung des Nutzers gegenüber dem ID-Token einen Vertrauensanker für die unverfälschte digitale Identität des Nutzers bilden. Hierbei ist von besonderem Vorteil, dass dies keine vorherige Registrierung des Nutzers gegenüber dem Computersystem erfordert sowie auch keine zentrale Speicherung der die digitalen Identitäten bildenden Attribute der Nutzer.Embodiments of the first computer system according to the invention are particularly advantageous since, in combination with the necessity of the Authenticate the user to the ID token as an anchor of trust for the user's unadulterated digital identity. It is of particular advantage that this requires no prior registration of the user with respect to the computer system as well as no central storage of the users' digital identities forming attributes.
Nach einer Ausführungsform der Erfindung empfängt das erste Computersystem zusammen mit der Attributspezifikation einen Identifikator des zweiten Computersystems. Mit Hilfe des Identifikators identifiziert das Computersystem das zweite Computersystem, welches die Identifikationsdienste in Anspruch nehmen möchte, um diese Dienstleistung gegenüber dem zweiten Computersystem zu vergebühren.According to one embodiment of the invention, the first computer system, together with the attribute specification, receives an identifier of the second computer system. With the aid of the identifier, the computer system identifies the second computer system that wishes to use the identification services to charge that service to the second computer system.
Nach einer Ausführungsform der Erfindung handelt es sich bei dem Computersystem um ein behördlich zertifiziertes Trust-Center, insbesondere ein Signaturgesetzkonformes Trust-Center.According to one embodiment of the invention, the computer system is an officially certified trust center, in particular a signature center compliant trust center.
Im Weiteren werden Ausführungsformen der Erfindung mit Bezugnahme auf die Zeichnungen näher erläutert. Es zeigen:
-
1 ein Blockdiagramm einer Ausführungsform erfindungsgemäßer Computersysteme, -
2 ein Flussdiagramm einer Ausführungsform eines erfindungsgemäßen Verfahrens, -
3 ein Blockdiagramm einer Ausführungsform erfindungsgemäßer Computersysteme mit Hot-Standby-Funktionalität, -
4 ein Blockdiagramm einer Ausführungsform erfindungsgemäßer Computersysteme mit einer Load-Balancing-Funktionalität, -
5 ein Blockdiagramm einer Ausführungsform erfindungsgemäßer Computersysteme, -
6 ein Flussdiagramm einer Ausführungsform eines erfindungsgemäßen Verfahrens, -
7 ein Blockdiagramm weiterer Ausführungsformen erfindungsgemäßer Computersysteme, -
8 ein UML-Diagramm einer weiteren Ausführungsform eines erfindungsgemäßen Verfahrens.
-
1 a block diagram of an embodiment of computer systems according to the invention, -
2 a flow chart of an embodiment of a method according to the invention, -
3 a block diagram of an embodiment of computer systems according to the invention with hot standby functionality, -
4 a block diagram of an embodiment of computer systems according to the invention with a load-balancing functionality, -
5 a block diagram of an embodiment of computer systems according to the invention, -
6 a flow chart of an embodiment of a method according to the invention, -
7 a block diagram of further embodiments of computer systems according to the invention, -
8th a UML diagram of another embodiment of a method according to the invention.
Elemente der nachfolgenden Ausführungsformen, die einander entsprechen, werden mit denselben Bezugszeichen gekennzeichnet.Elements of the following embodiments which correspond to each other are indicated by the same reference numerals.
Die
Das Computersystem A hat ferner einen Speicher
Das Computersystem A hat ferner einen Prozessor
Ferner wird ein weiteres Computersystem B zur Verfügung gestellt, welches prinzipiell gleich aufgebaut sein kann, wie das Computersystem A. Das HSM
Zur Migration von dem Computersystem A mit seinem HSM
Zunächst wird durch Ausführung der Programminstruktionen
Der öffentliche Schlüssel
Das Zertifikat
Alternativ oder zusätzlich kann ein Verzeichnisserver
Nach der Erzeugung des Zertifikats
Die
Bei Inbetriebnahme des Computersystems A hat dieses ein erstes asymmetrisches kryptografisches Schüsselpaar bestehend aus dem Schlüssel
In dem Schritt
In dem Schritt
Statt einer Migration von dem Computersystem A zu dem Computersystem B kann auch lediglich eine Migration von dem HSM
Der Anlass für eine Migration von dem ersten HSM
Bei den hier betrachteten Ausführungsformen handelt es sich z.B. um ein Zwei-Schichten-Systeme. Es sind aber auch Ausführungsformen mit mehr als zwei Schichten möglich, insbesondere ein n-Schichten-System, wobei n jede beliebige natürliche Zahl sein kann. Insbesondere kann die Zertifikatskette eine Document Verifying Certificate Authority (DVCA) beinhalten.The embodiments considered here are e.g. around a two-tier systems. However, embodiments with more than two layers are also possible, in particular an n-layer system, where n can be any natural number. In particular, the certificate chain may include a Document Verifying Certificate Authority (DVCA).
Nach einer weiteren Ausführungsform sind die Computersysteme A und B insgesamt als HSMs ausgebildet.According to another embodiment, the computer systems A and B are formed overall as HSMs.
Die
Das Hot-Standby-Modul
Durch Ausführung der Programminstruktionen
Die Programminstruktionen
Das Hot-Standby-Modul
Die
Durch Ausführung der Programminstruktionen
Wenn eine zusätzliche Anforderung
Die
Das Nutzer-Computersystem
Der ID-Token
Der geschützte Bereich
Der elektronische Speicher
Das Zertifikat muss nicht zwangsläufig in dem elektronischen Speicher
Der ID-Token
Bei einer Ausführungsform mit PIN gibt der Nutzer
Alternativ wird ein biometrisches Merkmal des Nutzers
Die Programminstruktionen
Beispielsweise wird durch das kryptographische Protokoll ein Extended Access Control-Verfahren implementiert, wie es für maschinenlesbare Reisedokumente (machine-readable travel documents - MRTD) von der internationalen Luftfahrtbehörde (ICAO) spezifiziert ist. Durch erfolgreiche Ausführung des kryptographischen Protokolls authentifiziert sich das ID-Provider-Computersystem
Die Programminstruktionen
Alternativ zu der in der
Das ID-Provider-Computersystem
Wenn für das ID-Provider-Computersystem
Das ID-Provider-Computersystem
Die Programminstruktionen
Das ID-Provider-Computersystem
Ein Dienst-Computersystem
Das Dienst-Computersystem
Je nach der Art des beauftragten oder bestellten Produkts oder der Dienstleistung muss das Dienst-Computersystem
Beispielsweise ist es für die Eröffnung eines Bankkontos oder den Kauf eines Mobiltelefons mit einem dazugehörigen Vertrag erforderlich, dass der Nutzer
Je nach Anwendungsfall muss der Nutzer
Zur Inanspruchnahme des von dem Dienst-Computersystem
- 1.
Authentifizierung des Nutzers 102 gegenüber dem ID-Token 106 .Der Nutzer 102 authentifiziert sich gegenüber dem ID-Token 106 . Bei einer Implementierung mit PIN gibt derNutzer 102 hierzu seine PIN beispielsweise über das Nutzer-Computersystem 100 oder einen daran angeschlossenen Chipkarten-Terminal ein. DurchAusführung der Programminstruktionen 130 prüft dann der ID-Token 106 die Korrektheit der eingegebenen PIN. Wenn die eingegebene PIN mit dem indem geschützten Speicherbereich 120 gespeicherten Referenzwert der PIN übereinstimmt, sogilt der Nutzer 102 als authentifiziert. Analog kann vorgegangen werden, wenn ein biometrisches Merkmal desNutzers 102 zu dessen Authentifizierung verwendet wird, wie oben beschrieben. - 2. Authentifizierung des ID-Provider-
Computersystems 136 gegenüber dem ID-Token 106 . Hierzu wird eine Verbindung zwischen dem ID-Token 106 und dem ID-Provider-Computersystem 136 über das Nutzer-Computersystem 100 und das Netzwerk 116 hergestellt. Beispielsweise überträgt das ID-Provider-Computersystem 136 sein Zertifikat 144 über diese Verbindung an den ID-Token 106 oderdas Zertifikat 144 wird aus einem Verzeichnisserver (vgl.Verzeichnisserver 109 der1 ) abgerufen. Wenn es sich bei dem ID-Provider-Computersystem 136 um das erste Computersystem A handelt, wirddementsprechend das Zertifikat 144A an den ID-Token 106 übertragen, wenn es sich hingegen um das erste Computersystem B handelt,wird das Zertifikat 144B an den ID-Token 106 übertragen. Zusätzlich können jeweils ein oder mehrere weitere Zertifikate für die Durchführung einer Zertifikatskettenprüfung an den ID-Token 106 übertragen werden. Durch dieProgramminstruktionen 134 wird dann eine so genannte Challenge generiert, d.h. beispielsweise eine Zufallszahl. Diese Zufallszahl wird mit dem indem Zertifikat 144 beinhalteten öffentlichen Schlüssel des ID-Provider-Computersystems 136 verschlüsselt. Das resultierende Chiffrat wird von dem ID-Token106 über die Verbindung an das ID-Provider-Computersystem 136 gesendet. Das ID-Provider-Computersystem 136 entschlüsselt das Chiffrat mit Hilfe seinesprivaten Schlüssels 142 und erhält so die Zufallszahl. Die Zufallszahl sendet das ID-Provider-Computersystem 136 über die Verbindung an den ID-Token 106 zurück. DurchAusführung der Programminstruktionen 134 wird dort geprüft, ob die von dem ID-Provider-Computersystem 136 empfangene Zufallszahl mit der ursprünglich generierten Zufallszahl, d.h. der Challenge, übereinstimmt. Ist dies der Fall, so gilt das ID-Provider-Computersystem 136 als gegenüber dem ID-Token 106 authentifiziert. Die Zufallszahl kann als symmetrischer Schlüssel für die Ende-zu-Ende Verschlüsselung verwendet werden. - 3. Nachdem sich der
Nutzer 102 erfolgreich gegenüber dem ID-Token 106 authentifiziert hat, und nachdem sich das ID-Provider-Computersystem 136 erfolgreich gegenüber dem ID-Token 106 authentifiziert hat, erhält das ID-Provider-Computersystem 136 eine Leseberechtigung zum Auslesen, eines, mehrerer oder aller der indem geschützten Speicherbereich 124 gespeicherten Attribute. Aufgrund eines entsprechenden Lesekommandos, welches das ID-Provider-Computersystem 136 über die Verbindung an den ID-Token 106 sendet, werden die angeforderten Attribute ausdem geschützten Speicherbereich 124 ausgelesen und durch Ausführung derProgramminstruktionen 132 verschlüsselt. Die verschlüsselten Attribute werden über die Verbindung an das ID-Provider-Computersystem 136 übertragen und dort durch Ausführung derProgramminstruktionen 148 entschlüsselt. Dadurch erhält das ID-Provider-Computersystem 136 Kenntnis der aus dem ID-Token 106 ausgelesenen Attribute. Diese Attribute werden von dem ID-Provider-Computersystem mit Hilfe seinesZertifikats 144 signiert und über das Nutzer-Computersystem 100 oder direkt an das Dienst-Computersystem 150 übertragen. Dadurch wird das Dienst-Computersystem 150 über die aus dem ID-Token 106 ausgelesenen Attribute in Kenntnis gesetzt, sodass das Dienst-Computersystem 150 diese Attribute anhand der vorgegebenen ein oder mehreren Kriterien prüfen kann, um danach ggf. denvon dem Benutzer 102 angeforderten Dienst zu erbringen.
- 1. Authentication of the
user 102 opposite theID token 106 , Theuser 102 authenticates to theID token 106 , In a PIN implementation, the user enters102 this, for example, his PIN on theuser computer system 100 or a smart card terminal connected to it. By executing theprogram instructions 130 then checks theID token 106 the correctness of the entered PIN. If the entered PIN is in the protectedmemory area 120 stored reference value of the PIN, the user is valid102 as authenticated. Analog can be proceeded if a biometric feature of theuser 102 used for its authentication, as described above. - 2. Authentication of the ID
provider computer system 136 opposite theID token 106 , This is done by connecting theID token 106 and the IDprovider computer system 136 via theuser computer system 100 and thenetwork 116 produced. For example, the ID provider computer system transmits136 hiscertificate 144 via this connection to theID token 106 or thecertificate 144 becomes from a directory server (seedirectory server 109 of the1 ). If it is the IDprovider computer system 136 the first computer system A is accordingly thecertificate 144A at theID token 106 if it is the first computer system B, the certificate will be transmitted144B at theID token 106 transfer. In addition, one or more additional certificates can be used to perform a certificate chain check on theID token 106 be transmitted. Through theprogram instructions 134 Then a so-called challenge is generated, ie, for example, a random number. This random number will be in thecertificate 144 included public key of the IDprovider computer system 136 encrypted. The resulting cipher is taken from theID token 106 over the connection to the IDprovider computer system 136 Posted. The IDprovider computer system 136 decrypts the ciphertext using itsprivate key 142 and gets the random number. The random number sends the IDprovider computer system 136 over the connection to theID token 106 back. By executing theprogram instructions 134 there is checked if the from the IDprovider computer system 136 received random number with the originally generated random number, ie the Challenge matches. If this is the case, the ID provider computer system applies136 as opposed to theID token 106 authenticated. The random number can be used as a symmetric key for end-to-end encryption. - 3. After the
user 102 successful against theID token 106 has authenticated, and after the IDprovider computer system 136 successful against theID token 106 has authenticated the ID provider computer system136 a read permission to read one, more, or all of them in the protectedmemory area 124 stored attributes. Due to a corresponding read command, the IDprovider computer system 136 over the connection to theID token 106 sends the requested attributes out of the protectedmemory area 124 read out and by executing theprogram instructions 132 encrypted. The encrypted attributes are sent over the connection to the IDprovider computer system 136 transferred and there by execution of theprogram instructions 148 decrypted. This preserves the IDprovider computer system 136 Knowing from theID token 106 read attributes. These attributes are used by the ID provider computer system using itscertificate 144 signed and via theuser computer system 100 or directly to theservice computer system 150 transfer. This will cause theservice computer system 150 over from theID token 106 read the attributes read out, so that theservice computer system 150 can check these attributes against the given one or more criteria, and then, if appropriate, that of theuser 102 to provide the requested service.
Durch die Notwendigkeit der Authentifizierung des Nutzers
Je nach Ausführungsform kann die Reihenfolge der Authentifizierung unterschiedlich sein. Beispielsweise kann vorgesehen sein, dass sich zunächst der Nutzer
In dem ersten Fall ist der ID-Token
Im zweiten Fall ist ein Start der Programminstruktionen
Von besonderem Vorteil ist die Nutzbarmachung des ID-Tokens
Die
In dem Schritt
In dem Schritt
Um dem ID-Provider-Computersystem die Möglichkeit zu geben, Attribute aus seinem ID-Token auszulesen, authentifiziert sich der Nutzer in dem Schritt
In dem Schritt
In dem Schritt
Nachdem sowohl der Nutzer als auch das ID-Provider-Computersystem erfolgreich gegenüber dem ID-Token authentifiziert worden sind, erhält das ID-Provider-Computersystem von dem ID-Token die Zugriffsberechtigung zum Auslesen der Attribute. In dem Schritt
Die ausgelesenen Attributwerte werden in dem Schritt
Die
Insbesondere kann es sich bei dem Dokument
In dem geschützten Speicherbereich
Die Schnittstelle
Der Nutzer
In dem Nutzer-Computersystem
In dem Konfigurationsdatensatz
In dem Konfigurationsdatensatz
Als ID-Provider-Computersystem ist in dem Konfigurationsdatensatz
Alternativ zu der in der
In der Ausführungsform der
Beispielsweise sind in dem Speicher
Zur Inanspruchnahme eines von dem Dienst-Computersystem
Der Empfang der Attributspezifizierung
Verlangt der Attributspezifizierung
Im Weiteren wird zunächst davon ausgegangen, dass nur eine der Konfigurationsdatensätze, wie zum Beispiel der Konfigurationsdatensatz
Das Nutzer-Computersystem
Das ID-Provider-Computersystem
Daraufhin wird die Ausführung des kryptographischen Protokolls gestartet. Beispielsweise sendet das ID-Provider-Computersystem
Der Nutzer
Das ID-Provider-Computersystem
Alternativ sendet das ID-Provider-Computersystem
Wenn mehrere ID-Provider-Computersysteme
Nach einer Ausführungsform der Erfindung kann der Nutzer
Nach einer weiteren Ausführungsform der Erfindung kann auch zumindest ein weiteres Attribut in der Attributspezifizierung
Um das Attribut A abzufragen richtet also das Nutzer-Computersystem
Vorzugsweise erfolgt die Abfrage des Attributs A nachdem die die digitale Identität des Nutzer
Die
Das Dienst-Computersystem
Der Nutzer
Unter der Voraussetzung der vorherigen erfolgreichen Authentifizierung des Nutzers
BezugszeichenlisteLIST OF REFERENCE NUMBERS
- 100100
- Nutzer-ComputersystemUser computer system
- 101101
- HSMHSM
- 102102
- Nutzeruser
- 103103
- Prozessorprocessor
- 104104
- Schnittstelleinterface
- 105105
- Programminstruktionenprogram instructions
- 106106
- ID-TokenID token
- 107107
- Netzwerknetwork
- 108108
- Schnittstelleinterface
- 109109
- Verzeichnisserverdirectory server
- 110110
- Prozessorprocessor
- 112112
- Programminstruktionenprogram instructions
- 114114
- Netzwerk-SchnittstelleNetwork interface
- 116116
- Netzwerknetwork
- 118118
- elektronischer Speicherelectronic memory
- 120120
- geschützter Speicherbereichprotected storage area
- 122122
- geschützter Speicherbereichprotected storage area
- 124124
- geschützter Speicherbereichprotected storage area
- 126126
- Speicherbereichstorage area
- 128128
- Prozessorprocessor
- 130130
- Programminstruktionenprogram instructions
- 132132
- Programminstruktionenprogram instructions
- 134134
- Programminstruktionenprogram instructions
- 136136
- ID-Provider-ComputersystemID provider computer system
- 138138
- Netzwerk-SchnittstelleNetwork interface
- 140140
- SpeicherStorage
- 141141
- geschützter Speicherbereichprotected storage area
- 142142
- privater Schlüsselprivate key
- 143143
- Programmprogram
- 144144
- Zertifikatcertificate
- 145145
- Prozessorprocessor
- 146146
- Programminstruktionenprogram instructions
- 147147
- öffentlicher Schlüsselpublic key
- 148148
- Programminstruktionenprogram instructions
- 149149
- Programminstruktionenprogram instructions
- 150150
- Dienst-ComputersystemService computer system
- 152152
- Netzwerk-SchnittstelleNetwork interface
- 154154
- Prozessorprocessor
- 156156
- Programminstruktionenprogram instructions
- 158158
- KonfigurationsdatensatzConfiguration record
- 160160
- KonfigurationsdatensatzConfiguration record
- 161161
- KonfigurationsdatensatzConfiguration record
- 162162
- Nutzereingabeuser input
- 164164
- Dienst-AnforderungService request
- 166166
- Attributspezifizierungattribute specification
- 168168
- AnforderungRequirement
- 170170
- Antwortanswer
- 172172
- Hot-Standby-ModulHot-standby module
- 174174
- Prozessorprocessor
- 176176
- Programminstruktionenprogram instructions
- 178178
- Schaltercounter
- 180180
- SpeicherStorage
- 182182
- Load-Balancing ModulLoad-balancing module
- 184184
- Prozessorprocessor
- 186186
- Programminstruktionenprogram instructions
Claims (26)
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102009028064.2A DE102009028064B4 (en) | 2009-07-15 | 2009-07-29 | Procedure for HSM migration |
EP23170433.9A EP4250636A3 (en) | 2009-07-15 | 2010-07-14 | Method for hsm migration |
EP10730489A EP2454702A1 (en) | 2009-07-15 | 2010-07-14 | Method for hsm migration |
PCT/EP2010/060107 WO2011006912A1 (en) | 2009-07-15 | 2010-07-14 | Method for hsm migration |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102009027747.1 | 2009-07-15 | ||
DE102009027747 | 2009-07-15 | ||
DE102009028064.2A DE102009028064B4 (en) | 2009-07-15 | 2009-07-29 | Procedure for HSM migration |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102009028064A1 DE102009028064A1 (en) | 2011-01-27 |
DE102009028064B4 true DE102009028064B4 (en) | 2019-12-05 |
Family
ID=43383793
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102009028064.2A Active DE102009028064B4 (en) | 2009-07-15 | 2009-07-29 | Procedure for HSM migration |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102009028064B4 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013022434B3 (en) * | 2013-06-28 | 2021-03-25 | Bundesdruckerei Gmbh | Electronic transaction process and computer system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010045451A1 (en) * | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
DE60219350T2 (en) | 2001-12-07 | 2007-12-13 | Activcard Ireland Ltd. | SYSTEM AND METHOD FOR SAFELY REPLACING THE MAIN KEY IN A PERSONAL SAFETY DEVICE |
US20070294431A1 (en) | 2004-10-29 | 2007-12-20 | The Go Daddy Group, Inc. | Digital identity validation |
DE102007048236A1 (en) | 2007-10-08 | 2009-04-09 | Giesecke & Devrient Gmbh | Age-dependent access authorization |
-
2009
- 2009-07-29 DE DE102009028064.2A patent/DE102009028064B4/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010045451A1 (en) * | 2000-02-28 | 2001-11-29 | Tan Warren Yung-Hang | Method and system for token-based authentication |
DE60219350T2 (en) | 2001-12-07 | 2007-12-13 | Activcard Ireland Ltd. | SYSTEM AND METHOD FOR SAFELY REPLACING THE MAIN KEY IN A PERSONAL SAFETY DEVICE |
US20070294431A1 (en) | 2004-10-29 | 2007-12-20 | The Go Daddy Group, Inc. | Digital identity validation |
DE102007048236A1 (en) | 2007-10-08 | 2009-04-09 | Giesecke & Devrient Gmbh | Age-dependent access authorization |
Non-Patent Citations (10)
Title |
---|
"Hardware Security Modules - Deployment Strategies for Enterprise Security". 2003 nCipher Corporation Ltd., im Internet gefunden am 28.01.2010 unter http://www.asiapeak.com/download/hsm_brochure.pdf * |
"Providing Hardware Security and Scalability for Your Entrust/PKI". 2001 nCipher Inc., nCD806.US Issue One March 2001, im Internet gefunden am 28.01.2010 unter http://www.securitytechnet.com/resource/rsc-center/vendor-wp/nCipher/profile_entrust.pdf * |
„Hardware Security Modules - Deployment Strategies for Enterprise Security", 2003, nCipher Corporation Ltd, im Internet gefunden am 28.01.2010 unter http://www.asiapeak.com/download/hsm_brochure.pdf |
„Providing Hardware Security and Scalability for Your Entrust/PKI", 2001 nCipher Inc, nCD806 US Issue One March 2001, im Internet gefunden am 28.01.2010 unter http://www.securitytechnet.com/resource/rsc-center/vendorwp/nCipher/profile_entrust.pdf |
Adams, C., et al.: Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP). Network Working Group, Request for Comments 4210, September 2005. * |
de Souza, T.C.S. et al.: Audit and backup procedures for Hardware Security Moduls". In: Proceedings of the 7th symposium on Identity and trust on the Internet (IDtrust '08 4.-6. März 2008, Gaithersburg, Maryland), veröffentlicht 2008, S. 89-97 * |
Hardware security module. Wikipedia-Artikel, Version vom 10. Juli 2009, im Internet gefunden am 26.11.2012 unter folgendem permanentem Link: http://en.wikipedia.org/w/index.php?title=Hardware_security_module&oldid=301365097 * |
Rexha, B, „Increasing User Privacy in Online Transactions with X.509 v.3 Certificate Private Extensions and Smartcards"., Proceedings of the Seventh IEEE International Conference on E-Commerce Technology (CEC‘05), 2005, IEEE |
Rexha, B.: "Increasing User Privacy in Online Transactions with X.509 v3 Certificate Private Extensions and Smartcards". In: Proceedings of the Seventh IEEE International Conference on E-Commerce Technology (CEC'05), 2005 IEEE * |
Souza, T.C.S., et al.: „Audit and backup procedures for Hardware Security Modules", Proceedings of the 7th symposium on Identity and trust on the Internet (IDtrust '08, 4.-6. März 2008, Gaithersburg, Maryland, veröffentlicht 2008, Seiten 89-97 |
Also Published As
Publication number | Publication date |
---|---|
DE102009028064A1 (en) | 2011-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102008000067C5 (en) | Method for reading attributes from an ID token | |
EP2304642B1 (en) | Method for reading attributes from an id token | |
EP2454703B1 (en) | Method for reading attributes from an id token | |
EP2454700B1 (en) | Process to create a soft-token | |
EP2415228B1 (en) | Method for reading attributes of a token via a wireless connection | |
EP2454705B1 (en) | Method to read attributes from an id-token and one-time passwort generator | |
DE102010028133A1 (en) | A method of reading an attribute from an ID token | |
WO2011006791A1 (en) | Method for reading attributes from an id token | |
WO2010031700A2 (en) | Telecommunication method computer programme product and computer system | |
WO2011006912A1 (en) | Method for hsm migration | |
DE102008042582A1 (en) | Method for storing data for managing digital identity of user, involves writing data from provider computer system to token via connection to store data in token, and providing connections with connection-oriented protocol | |
DE102009028064B4 (en) | Procedure for HSM migration | |
EP3244331B1 (en) | Method for reading attributes from an id token | |
EP3125464B1 (en) | Blocking service for a certificate created using an id token | |
EP3298526B1 (en) | Method for reading attributes from an id token | |
EP3271855A1 (en) | Method for generating a certificate for a security token | |
DE102010030167A1 (en) | Method for migrating from hardware safety module to another hardware safety module, involves associating hardware safety module with asymmetrical cryptographic key pair having personal key and public key | |
EP3244332A1 (en) | Method for reading attributes from an id token | |
EP4092958A1 (en) | Issuing of a digital verifiable credential |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |