DE102014002603A1 - Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements - Google Patents

Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements Download PDF

Info

Publication number
DE102014002603A1
DE102014002603A1 DE102014002603.5A DE102014002603A DE102014002603A1 DE 102014002603 A1 DE102014002603 A1 DE 102014002603A1 DE 102014002603 A DE102014002603 A DE 102014002603A DE 102014002603 A1 DE102014002603 A1 DE 102014002603A1
Authority
DE
Germany
Prior art keywords
security element
memory access
change request
data
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102014002603.5A
Other languages
English (en)
Inventor
Bernhard Inderst
Tobias Beschnidt
Alexander Summerer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102014002603.5A priority Critical patent/DE102014002603A1/de
Priority to PCT/EP2015/000402 priority patent/WO2015124317A1/de
Priority to EP15706679.6A priority patent/EP3111679A1/de
Publication of DE102014002603A1 publication Critical patent/DE102014002603A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement (SE) gespeicherten Datenelements (D), bei dem eine Änderungsanforderung für das Datenelement (D), welche zumindest zum Teil von einem Server (S) stammt, an das Sicherheitselement (SE) übermittelt wird, woraufhin in dem Sicherheitselement (SE) das darin gespeicherte Datenelement (D) geändert wird, wobei die Änderung einen ersten ändernden Speicherzugriff (AC1) und einen zweiten ändernden Speicherzugriff (AC2) auf das Sicherheitselement (SE) umfasst. Der erste Speicherzugriff (AC1) und der zweite Speicherzugriff (AC2) erfolgen in voneinander entkoppelten Teilschritten der Änderung, wobei ein erster Teilschritt das Übermitteln einer ersten Teiländerungsanforderung (CR1) aus der Änderungsanforderung von dem Server (S) zu dem Sicherheitselement (SE) sowie den ersten Speicherzugriff (AC1) umfasst und wobei ein zweiter Teilschritt das Übermitteln einer zweiten Teiländerungsanforderung (CR2) aus der Änderungsanforderung zu dem Sicherheitselement (SE) und den zweiten Speicherzugriff (AC2) umfasst.

Description

  • Die Erfindung betrifft ein Verfahren und ein System zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements.
  • Sicherheitselemente können für unterschiedliche Zwecke zur sicheren Speicherung von Datenelementen eingesetzt werden. Oftmals sind auf Sicherheitselementen Benutzeridentifikationsdaten, wie z. B. ein Passwort oder eine PIN, hinterlegt. Ein Benutzer kann dabei durch Eingabe des Passworts oder der PIN, vorzugsweise über ein mit dem Sicherheitselement verbundenes Endgerät, Funktionen des Sicherheitselements autorisieren.
  • Aus dem Stand der Technik sind Verfahren zum entfernten Verwalten von Datenelementen und insbesondere PINs auf einem Sicherheitselement bekannt. In dem Dokument WO 2007/036341 A1 wird ein Verfahren zum Entsperren einer mittels einer Zugangskennung eines Benutzers gesperrten Mobilfunkkarte beschrieben, bei dem nach erfolgter Authentisierung des Benutzers gegenüber einer Serviceeinrichtung automatisch ein Zugang für den Benutzer auf der Mobilfunkkarte eingerichtet wird. Dies kann dadurch erfolgen, dass dem Benutzer eine gültige oder neue Zugangskennung mitgeteilt wird oder der Benutzer zur Eingabe einer neuen Zugangskennung aufgefordert wird.
  • Herkömmliche Verfahren zum entfernten Verwalten von Datenelementen auf einem Sicherheitselement weisen den Nachteil auf, dass nur bestimmte Informationen der Datenelemente zentral durch einen Server geändert werden können. Ferner besteht ein Sicherheitsrisiko, da zur Verwaltung der Datenelemente Kommunikationskanäle zwischen dem Sicherheitselement und dem Server verwendet werden, welche durch Angriffe Dritter abgehört werden können.
  • Aufgabe der Erfindung ist es, ein einfaches und sicheres Verfahren bzw. System zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements zu schaffen.
  • Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.
  • Im Rahmen des erfindungsgemäßen Verfahrens wird eine Änderungsanforderung für das zu ändernde Datenelement, welche zumindest zum Teil von einem Server stammt, an das Sicherheitselement übermittelt, woraufhin in dem Sicherheitselement das darin gespeicherte Datenelement geändert wird. Die Änderung umfasst einen ersten ändernden Speicherzugriff und einen zweiten ändernden Speicherzugriff auf das Sicherheitselement.
  • Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass der erste Speicherzugriff und der zweite Speicherzugriff in voneinander entkoppelten Teilschritten der Änderung des Datenelements erfolgen. Ein erster Teilschritt umfasst dabei das Übermitteln einer ersten Teiländerungsanforderung aus der Änderungsanforderung von dem Server zu dem Sicherheitselement sowie den ersten ändernden Speicherzugriff, wohingegen ein zweiter Teilschritt das Übermitteln einer zweiten Teiländerungsanforderung aus der Änderungsanforderung zu dem Sicherheitselement und den zweiten Speicherzugriff umfasst. Im Unterschied zur Übermittlung der ersten Teiländerungsanforderung muss die zweite Teiländerungsanforderung nicht zwangsläufig von dem Server stammen.
  • Das erfindungsgemäße Verfahren weist den Vorteil auf, dass durch die Aufteilung der Speicherzugriffe in voneinander entkoppelte Teilschritte die Sicherheit des Verfahrens erhöht wird und flexibel verschiedene Informationen des Datenelements unabhängig voneinander geändert werden können.
  • Die Entkopplung der soeben beschriebenen Teilschritte kann im erfindungsgemäßen Verfahren auf verschiedene Weise realisiert werden. In einer Variante wird die Entkopplung dadurch erreicht, dass der erste Teilschritt zu einem anderen Zeitpunkt als der zweite Teilschritt ausgeführt wird. Ebenso kann der erste Teilschritt einen anderen Verbindungstyp zum Übermitteln der ersten Teiländerungsanforderung nutzen als der zweite Teilschritt zum Übermitteln der zweiten Teiländerungsanforderung. Ferner kann der erste Teilschritt eine andere lokale Applikation (d. h. eine Software-Applikation bzw. einen Software-Agenten) auf einem mit dem Sicherheitselement kommunizierenden Endgerät als der zweite Teilschritt nutzen. Bei dem Endgerät handelt es sich insbesondere um ein mobiles Endgerät, wie z. B. ein Mobiltelefon. Das Sicherheitselement kann z. B. in das Endgerät eingesetzt sein oder auch integraler Bestandteil des Endgeräts sein. Die lokale Applikation läuft dabei nicht direkt auf dem Sicherheitselement, sondern auf dem Endgerät. Nichtsdestotrotz kann zusätzlich zur Verarbeitung der Teiländerungsanforderungen auch eine Applikation bzw. ein Applet auf dem Sicherheitselement laufen.
  • Zur Entkopplung des ersten und zweiten Teilschritts kann der erste Teilschritt auch eine andere Rückmeldung zur Bestätigung des ersten Speicherzugriffs ausgeben als der zweite Teilschritt zur Bestätigung des zweiten Speicherzugriffs. Ebenso kann nur der erste oder zweite Teilschritt (d. h. nicht beide Teilschritte) eine Rückmeldung zur Bestätigung des ersten bzw. zweiten Speicherzugriffs ausgeben.
  • In einer weiteren bevorzugten Variante der Erfindung wird die erste Teiländerungsanforderung direkt ohne Zwischenschaltung einer lokalen Applikation auf einem mit dem Sicherheitselement kommunizierenden Endgerät von dem Server an das Sicherheitselement übermittelt. Die direkte Kommunikation zwischen Sicherheitselement und Server schließt nicht aus, dass auf dem Sicherheitselement eine Applikation bzw. ein Applet zum Verarbeiten der Teiländerungsanforderungen läuft.
  • In einer weiteren, besonders bevorzugten Ausführungsform wird auch die zweite Teiländerungsanforderung von dem Server an das Sicherheitselement übermittelt. Vorzugsweise erfolgt die Übermittlung der zweiten Teiländerungsanforderung unter Zwischenschaltung einer lokalen Applikation auf einem mit dem Sicherheitselement kommunizierenden Endgerät. Alternativ oder zusätzlich kann die Übermittlung der zweiten Teiländerungsanforderung auch ohne Beteiligung des Servers von einer lokalen Applikation auf einem mit dem Sicherheitselement kommunizierenden Endgerät übermittelt werden.
  • In einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens umfasst die erste Teiländerungsanforderung eine Änderungsanweisung und spezifiziert den zu ändernden Dateninhalt des Datenelements. Analog kann die zweite Teiländerungsanforderung eine Änderungsanweisung umfassen und den zu ändernden Dateninhalt des Datenelements spezifizieren. Hierdurch können die Teiländerungsanforderungen einfach voneinander unterschieden werden.
  • In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens weist die erste Teiländerungsanforderung ein größeres oder ein kleineres Datenvolumen als die zweite Teiländerungsanforderung auf. Auf diese Weise wird eine asymmetrische Aufteilung des Datenvolumens bewirkt. Zum Beispiel kann ein minimaler Dateninhalt in der ersten oder zweiten Teiländerungsanforderung enthalten sein, wohingegen mit der anderen Teiländerungsanforderung ein größeres Datenvolumen übermittelt wird.
  • In einer weiteren bevorzugten Ausführungsform umfasst das zu ändernde Datenelement sowohl Verwaltungsdaten (insbesondere einen Header) als auch Nutzdaten, d. h. den eigentlichen Dateninhalt. Vorzugsweise umfassen die Nutzdaten vertrauliche Informationen und insbesondere Benutzeridentifikationsdaten, z. B. ein vom Benutzer einzugebendes Passwort zur Freischaltung einer oder mehrerer Funktionen des Sicherheitselements. Der Begriff des Passworts ist dabei weit zu verstehen und kann beliebige Zeichenfolge umfassen. Insbesondere fällt unter dem Begriff des Passworts auch eine PIN. Das erfindungsgemäße Verfahren eignet sich somit im Speziellen auch zur Verwaltung von Passwörtern zum Schutz von Funktionen des Sicherheitselements.
  • In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens spezifiziert die erste Teiländerungsanforderung einen ersten Speicherzugriff zur Invalidierung der oben genannten Benutzeridentifikationsdaten. Hierdurch wird sichergestellt, dass aktuelle Benutzeridentifikationsdaten nicht mehr verwendet werden können und im Rahmen der erfindungsgemäßen Verwaltung durch neue Benutzeridentifikationsdaten ersetzt werden müssen.
  • In einer weiteren bevorzugten Ausführungsform spezifizieren die Verwaltungsdaten eine oder mehrere Vorgaben für die Struktur und/oder Verwendung der Benutzeridentifikationsdaten. Solche Vorgaben können insbesondere eine oder mehrere der folgenden Vorgaben umfassen:
    • – eine minimale Länge und/oder eine maximale Länge für die Benutzeridentifikationsdaten;
    • – einen Fehlbedienungszähler, der angibt, wie oft Benutzeridentifikationsdaten durch einen Benutzer falsch eingegeben werden dürfen;
    • – kodierte Informationen über den Aufbau der Benutzeridentifikationsdaten, z. B. ob die Daten alphanumerisch und/oder numerisch sein müssen oder dürfen und/oder ob die Daten eine bestimmte Anzahl von Sonderzeichen und/oder Großbuchstaben umfassen müssen und/oder ob die Daten eine Mindestanzahl von unterschiedlichen Zeichen umfassen müssen und/oder ob die Daten nur eine maximale Anzahl von gleichen Zeichen hintereinander umfassen dürfen;
    • – eine Lebensdauer der Benutzeridentifikationsdaten für eine bestimmte Maximalanzahl von Zugriffen auf das Sicherheitselement.
  • In einer besonders bevorzugten Ausführungsform spezifiziert die erste und/oder zweite Teiländerungsanforderung einen ersten bzw. zweiten Speicherzugriff zum Ändern zumindest eines Teils der Verwaltungsdaten, wobei die Änderung vorzugsweise kleiner als 1 Byte ist.
  • In einer weiteren bevorzugten Variante spezifiziert die zweite Teiländerungsanforderung einen zweiten Speicherzugriff zum Ändern der Benutzeridentifikationsdaten und/oder von einer oder mehreren Vorgaben für die Struktur und/oder Verwendung der Benutzeridentifikationsdaten.
  • Das erfindungsgemäße Verfahren kann in Kombination mit beliebigen Sicherheitselementen zum Einsatz kommen. Das Sicherheitselement kann ein Hardwaresicherheitsmodul, welches reversibel (SIM-Karte) oder fest (embedded SIM, TPM-Modul) in ein Endgerät eingesetzt ist, oder ein Softwaresicherheitsmodul (virtuelle SIM in TEE) sein. Ein Sicherheitselement kann dabei eine oder mehrere folgende Komponenten umfassen:
    eine SIM/USIM-Karte (SIM = Subscriber Identity Modul, USIM = Universal Subscriber Identity Modul), eine MikroSD-Karte, einen USB-Token (USB = Universal Serial Bus), eine Chipkarte, ein RFID-Modul (RFID = Radio Frequency Identification), ein TPM-Modul (TPM = Trusted Platform Modul), ein NFC-Modul (NFC = Near Field Communication), ein embedded SIM-Modul, eine TEE-Umgebung (TEE = Trusted Execution Environment im Sinne der GlobalPlatform Spezifikation).
  • Neben dem oben beschriebenen Verfahren betrifft die Erfindung ferner ein System zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements, wobei das System zur Durchführung des erfindungsgemäßen Verfahrens bzw. einer oder mehrerer bevorzugter Varianten des erfindungsgemäßen Verfahrens ausgestaltet ist. Das System umfasst dabei den im erfindungsgemäßen Verfahren verwendeten Server sowie auch das entsprechende Sicherheitselement. Bei der Realisierung von bevorzugten Varianten kann das System ferner die oben beschriebene lokale Applikation auf einem mit dem Sicherheitselement kommunizierenden Endgerät beinhalten, sofern die entsprechende Ausführungsform eine lokale Applikation verwendet.
  • Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der beigefügten 1 detailliert beschrieben. Diese Figur zeigt in schematischer Darstellung den Ablauf einer Variante des erfindungsgemäßen Verfahrens.
  • Das erfindungsgemäße Verfahren wird beispielhaft anhand eines Sicherheitselements in der Form eines SIM-Moduls erläutert. Dieses Modul ist eine Karte, die in ein Mobilfunkgerät eingesetzt ist. Gegebenenfalls kann das SIM-Modul auch ein sog. embedded SIM-Element sein, welches integraler Bestandteil des Mobilfunkgeräts ist. Die Erfindung ist jedoch nicht auf SIM-Module beschränkt, sondern kann auch für beliebige andere Sicherheitselemente eingesetzt werden, wobei Beispiele solcher Sicherheitselemente im Vorangegangenen genannt wurden.
  • Ziel des nachfolgend beschriebenen Verfahren ist es, die in dem Sicherheitselement hinterlegte PIN über einen entfernten Servers zu verwalten und dabei durch Kommunikation des SIM-Moduls mit dem Server die PIN sowie entsprechende Vorgaben für die Struktur bzw. Verwendung der PIN zu ändern. Die PIN ist dabei ein Code, der vertraulich ist und durch den Benutzer des Mobilfunkgeräts bei Bedarf über eine entsprechende Benutzerschnittstelle am Gerät eingegeben werden kann, um z. B. das SIM-Modul als Ganzes freizuschalten oder ggf. auch nur bestimmte kryptographische Schlüssel zu aktivieren. Mit anderen Worten können in dem SIM-Modul ggf. auch mehrere PINs für unterschiedliche kryptographische Schlüssel hinterlegt sein, welche alle über einen entfernten Server verwaltet werden.
  • In dem in 1 gezeigten Ablaufdiagramm bezeichnet das Bezugszeichen SE das Sicherheitselement in der Form des SIM-Moduls, das Bezugszeichen S einen entfernt vom Sicherheitsmodul angeordneten Server, der zur Verwaltung der Daten des Moduls dient, sowie das Bezugszeichen LA einen lokalen Agenten, d. h. eine Software-Applikation, die auf dem Mobilfunkgerät hinterlegt ist, in dem sich das Sicherheitselement SE befindet. Gemäß 1 erhält der Server S zunächst ein Kommando CO, das ihn anweist, ein Datenelement auf dem Sicherheitselement SE zu verändern. Dieses Datenelement ist in 1 mit D bezeichnet und umfasst Verwaltungsdaten in der Form eines Headers H sowie Nutzdaten P, die den eigentlichen Dateninhalt betreffen. Diese Nutzdaten stellen in der Ausführungsform der 1 eine entsprechende PIN für das SIM-Modul dar. Der Header H umfasst die oben erwähnten Vorgaben für die Struktur bzw. Verwendung der PIN.
  • Das Kommando CO kann z. B. durch den Benutzer des SIM-Moduls bzw. des Mobilfunkgeräts ausgelöst werden, vorzugsweise über eine Telefon-App, ein Webportal oder einen Anruf des Benutzers bei einem Call-Center. Dabei wird jeweils eine Sicherheitsabfrage des Servers beim Benutzer zur Authentisierung durchgeführt. Ggf. kann der Server S auch von sich aus eine Änderung der PIN auslösen, wenn sich beispielsweise die Regeln für die Struktur der PIN (z. B. fünfstellige PIN anstatt vierstellige PIN) geändert haben. In der hier beschriebenen Ausführungsform der Erfindung wird zum einen die in dem Sicherheitselement SE hinterlegte PIN zurückgesetzt und zum anderen die Vorgabe für eine neue festzulegende PIN dahingehend verändert, dass die PIN anstatt von vier Stellen fünf Stellen umfassen muss.
  • Nach der Generierung des Kommandos CO sendet der Server S eine erste Teiländerungsanforderung CR1 an das Sicherheitselement SE. Diese erste Teiländerungsanforderung dient zur Spezifikation der Ungültigkeit der aktuellen PIN und wird vom entfernten Server über einen sog. OTA-Kanal (OTA = Over the Air) an das Sicherheitselement direkt (d. h. ohne Zwischenschaltung des lokalen Agenten LA) übermittelt. Zum Schutz der ersten Teiländerungsanforderung wird in der hier beschriebenen Ausführungsform das sichere SCP-Protokoll der GlobalPlatform Card Spezifikation 2.1.1 verwendet (SCP = Secure Channel Protocol).
  • Die erste Teiländerungsanforderung CR1 stellt in der hier beschriebenen Variante eine binäre SMS dar, die nach Übermittlung über den OTA-Kanal an das Sicherheitselement SE dort einen ersten Speicherzugriff AC1 auf das Sicherheitselement auslöst, der die aktuelle PIN invalidiert, indem der Header H des Datenelements D auf einen Status gesetzt wird, der die Ungültigkeit der PIN anzeigt. Die durch die PIN gesicherten Funktionen, primär kryptographische Funktionen und/oder eine Anwendung, sind daraufhin gesperrt und nicht mehr benutzbar.
  • Nach Durchführung des ersten Speicherzugriffs wird von dem Sicherheitselement SE eine Bestätigung („ok”) an den Server S gesendet. Zu diesem Zeitpunkt ist ein erster Teilschritt zum Ändern des Datenelements D basierend auf der ersten Teiländerungsanforderung abgeschlossen. Entkoppelt von diesem Teilschritt erfolgt über einen separaten Kanal die Durchführung eines zweiten Teilschritts, bei dem mittels einer zweiten Teiländerungsanforderung die Vorgabe für die PIN dahingehend geändert wird, dass die PIN mindestens fünf Stellen umfassen muss. Hierzu wird die zweite Teiländerungsanforderung CR2 an das Sicherheitselement SE übermittelt. Zur Entkopplung des zweiten Teilschritts von dem ersten Teilschritt wird die zweite Teiländerungsanforderung vorzugsweise über einen anderen als den oben beschriebenen OTA-Kanal an das Sicherheitselement übertragen. Zum Beispiel kann die Übertragung über eine (sichere) Internetverbindung bzw. HTTP-basiert durch die Zwischenschaltung des lokalen Agenten LA erfolgen, wie in 1 angedeutet ist. Nichtsdestotrotz kann ggf. auch der oben beschriebene OTA-Kanal zur Übermittlung der zweiten Teiländerungsanforderung eingesetzt werden. In diesem Fall kann die Entkopplung des ersten und zweiten Teilschritts lediglich dadurch sichergestellt werden, dass die beiden Teilschritte zu unterschiedlichen Zeitpunkten durchgeführt werden.
  • Gemäß 1 wird im Rahmen des zweiten Teilschritts die zweite Änderungsanforderung CR2 zunächst zusammen mit einer PUK an den lokalen Agenten LA übermittelt. Die aus dem Stand der Technik bekannte PUK stellt eine vertrauliche Information des Sicherheitselements SE dar, welche dazu benötigt wird, eine Änderung einer PIN veranlassen zu können. Die zweite Teiländerungsanforderung CR2 enthält eine Kennung, dass es sich hierbei um ein PIN-Reset-Kommando handelt, wobei sich das Kommando je nach Ausführungsform lediglich auf einen Schlüssel in dem Sicherheitselement oder auch auf das ganze Sicherheitselement beziehen kann. Darüber hinaus enthält die zweite Teiländerungsanforderung nunmehr die neue Vorgabe für die Struktur bzw. Verwendung der PIN, d. h. es wird festgelegt, dass die PIN eine Länge von mindestens fünf Stellen aufweisen muss.
  • Ggf. kann die zweite Teiländerungsanforderung auch noch weitere Vorgaben für die PIN und deren Verwendung enthalten, welche bei Bedarf auch gegenüber den ursprünglichen Vorgaben für die PIN verändert sein können. Entsprechende Vorgaben können neben einer minimalen PIN-Länge auch eine maximale PIN-Länge spezifizieren sowie einen Fehlbedienungszähler, der anzeigt, wie oft eine PIN durch einen Benutzer falsch eingegeben werden darf, bevor das Sicherheitselement gesperrt wird. Die Vorgaben können ferner kodierte Informationen über die Güte der PIN betreffen. Beispielsweise kann spezifiziert werden, ob die PIN numerische und/oder alphanumerische Zeichen umfassen darf bzw. muss. Ferner können die Vorgaben festlegen, ob die PIN eine bestimmte Anzahl von Sonderzeichen oder Großbuchstaben umfassen muss bzw. inwieweit die PIN eine bestimmte Mindestanzahl von unterschiedlichen Zeichen beinhalten muss. Ferner kann durch die Vorgaben festgelegt werden, wie viele gleiche Zeichen in der PIN maximal hintereinander folgen dürfen. Ggf. kann durch die Vorgaben auch die Lebensdauer der PIN für eine maximale Anzahl von Zugriffen auf das Sicherheitselement spezifiziert werden.
  • Nach Empfang der zweiten Teiländerungsanforderung CR2 und der PUK P' im lokalen Agenten LA wird im Rahmen des zweiten Teilschritts die Änderung der PIN angestoßen. Dies kann sofort oder bei der nächsten Benutzung des Sicherheitselements bzw. des entsprechenden, über die PIN geschützten Schlüssels (z. B. Anfordern einer kryptographischen Operation) erfolgen. Dabei wird das SIM-Toolkit des SIM-Moduls oder eine ähnliche Software-Instanz auf dem Mobilfunkgerät antriggert, woraufhin die zweite Teiländerungsanforderung CR2 (ohne PUK) an das Sicherheitselement SE übermittelt wird. Anschließend wird mittels eines zweiten Speicherzugriffs AC2 auf das Sicherheitselement SE der Header H des Datenelements D entsprechend der neuen Vorgaben aus der zweiten Teiländerungsanforderung CR2 geändert.
  • Im Rahmen des zweiten Teilschritts wird ferner an dem Display des Mobilfunkgeräts ein Dialog ausgelöst, der in 1 mit DI bezeichnet ist. Dabei wird der Benutzer dazu aufgefordert, eine neue fünfstellige PIN für das SIM-Modul einzugeben. Nach erfolgter Eingabe wird die neue mit NP bezeichnete PIN zusammen mit der PUK P' an das Sicherheitselement SE übermittelt. Das SIM-Toolkit oder eine entsprechende Software-Instanz löst dann eine sog. APDU aus (APDU = Application Protocol Data Unit), die ein Setzen der neuen PIN bedeutet. Dabei wird die PUK dahingehend überprüft, ob sie dem Sicherheitselement zugeordnet ist. Nur in diesem Fall wird die alte PIN durch die neue PIN ersetzt. Die Speicherung der neuen PIN kann als ein Bestandteil des zweiten Speicherzugriffs AC2 zum Ändern der Nutzdaten P des Datenelements D aufgefasst werden.
  • Es ist darauf hinzuweisen, dass somit auch zwei Regeln eingehalten werden. Die PUK wird gesichert übertragen, insbesondere ohne dass der Benutzer sie zu Gesicht bekommt. Die PIN wird vom Benutzer vergeben und nicht über das Netz übertragen. Die PUK ist ein weiteres auf dem Sicherheitselement gespeichertes Datenelement, welches der PIN P, in der Regel über einen im Header H enthaltenen Verweis und/oder eine Zugriffsbedingung zugeordnet ist.
  • Die im Vorangegangenen beschriebene Ausführungsform des erfindungsgemäßen Verfahrens weist eine Reihe von Vorteilen auf. Insbesondere wird eine entfernte Verwaltung der PIN eines Sicherheitselements erreicht, ohne dass durch den Benutzer eine Serviceeinrichtung aufgesucht werden muss. Dabei wird die Sicherheit der entfernten Verwaltung dadurch erhöht, dass die entsprechenden Änderung der PIN bzw. der Verwaltungsdaten der PIN in einem zweistufigen Verfahren durchgeführt wird. Insbesondere können neben der eigentlichen PIN auch entsprechende Vorgaben für die PIN geändert werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2007/036341 A1 [0003]

Claims (15)

  1. Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement (SE) gespeicherten Datenelements (D), bei dem eine Änderungsanforderung für das Datenelement (D), welche zumindest zum Teil von einem Server (S) stammt, an das Sicherheitselement (SE) übermittelt wird, woraufhin in dem Sicherheitselement (SE) das darin gespeicherte Datenelement (D) geändert wird, wobei die Änderung einen ersten ändernden Speicherzugriff (AC1) und einen zweiten ändernden Speicherzugriff (AC2) auf das Sicherheitselement (SE) umfasst, dadurch gekennzeichnet, dass der erste Speicherzugriff (AC1) und der zweite Speicherzugriff (AC2) in voneinander entkoppelten Teilschritten der Änderung erfolgen, wobei ein erster Teilschritt das Übermitteln einer ersten Teiländerungsanforderung (CR1) aus der Änderungsanforderung von dem Server (S) zu dem Sicherheitselement (SE) sowie den ersten Speicherzugriff (AC1) umfasst und wobei ein zweiter Teilschritt das Übermitteln einer zweiten Teiländerungsanforderung (CR2) aus der Änderungsanforderung zu dem Sicherheitselement (SE) und den zweiten Speicherzugriff (AC2) umfasst.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Teilschritte dadurch voneinander entkoppelt sind, dass: – der erste Teilschritt zu einem anderen Zeitpunkt als der zweite Teilschritt ausgeführt wird, und/oder – der erste Teilschritt einen anderen Verbindungstyp zum Übermitteln der ersten Teiländerungsanforderung (CR1) nutzt als der zweite Teilschritt zum Übermitteln der zweiten Teiländerungsanforderung (CR2), und/oder – der erste Teilschritt eine andere lokale Applikation (LA) auf einem mit dem Sicherheitselement (SE) kommunizierenden Endgerät als der zweite Teilschritt nutzt, und/oder – der erste Teilschritt eine andere Rückmeldung zur Bestätigung des ersten Speicherzugriffs (AC1) ausgibt als der zweite Teilschritt zur Bestätigung des zweiten Speicherzugriffs (AC2) oder nur der erste oder zweite Teilschritt eine Rückmeldung zur Bestätigung des ersten bzw. zweiten Speicherzugriffs (AC1, AC2) ausgibt.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Teiländerungsanforderung (CR1) direkt ohne Zwischenschaltung einer lokalen Applikation (LA) auf einem mit dem Sicherheitselement (SE) kommunizierenden Endgerät von dem Server (S) an das Sicherheitselement (SE) übermittelt wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Teiländerungsanforderung (CR2) von dem Server (S), vorzugsweise unter Zwischenschaltung einer lokalen Applikation (LA) auf einem mit dem Sicherheitselement (SE) kommunizierenden Endgerät, an das Sicherheitselement (SE) übermittelt wird und/oder ohne Beteiligung des Servers (S) von einer lokalen Applikation (LA) auf einem mit dem Sicherheitselement (SE) kommunizierenden Endgerät an das Sicherheitselement (SE) übermittelt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Teiländerungsanforderung (CR1) eine Änderungsanweisung umfasst und den zu ändernden Dateninhalt des Datenelements (D) spezifiziert und/oder die zweite Teiländerungsanforderung (CR2) eine Änderungsanweisung umfasst und den zu ändernden Dateninhalt des Datenelements (D) spezifiziert.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Teiländerungsanforderung (CR1) ein größeres oder kleineres Datenvolumen als die zweite Teiländerungsanforderung (CR2) aufweist.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das zu ändernde Datenelement (D) Verwaltungsdaten (H) und Nutzdaten (P) umfasst.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die Nutzdaten (P) vertrauliche Informationen und insbesondere Benutzeridentifikationsdaten, vorzugsweise ein vom Benutzer einzugebendes Passwort zur Freischaltung einer oder mehrerer Funktionen des Sicherheitselements (SE), umfassen.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die erste Teiländerungsanforderung (CR1) einen ersten Speicherzugriff zur Invalidierung der Benutzeridentifikationsdaten spezifiziert.
  10. Verfahren nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass die Verwaltungsdaten (H) eine oder mehrere Vorgaben für die Struktur und/oder Verwendung von Benutzeridentifikationsdaten spezifizieren.
  11. Verfahren nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, dass die erste und/oder zweite Teiländerungsanforderung (CR2) einen ersten bzw. zweiten Speicherzugriff zum Ändern zumindest eines Teils der Verwaltungsdaten (H) spezifiziert.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Teiländerungsanforderung (CR2) einen zweiten Speicherzugriff zum Ändern von Benutzeridentifikationsdaten und/oder von einer oder mehreren Vorgaben für die Struktur und/oder Verwendung der Benutzeridentifikationsdaten spezifiziert.
  13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Sicherheitselement eine SIM/USIM-Karte und/oder eine MikroSD-Karte und/oder einen USB-Token und/oder eine Chipkarte und/oder ein RFID-Modul und/oder ein TPM-Modul und/oder ein NFC-Modul und/oder ein embedded SIM-Modul und/oder eine TEE-Umgebung umfasst.
  14. System zum entfernten Verwalten eines auf einem Sicherheitselement (SE) gespeicherten Datenelements (D), wobei das System zur Durchführung eines Verfahrens eingerichtet ist, bei dem eine Änderungsanforderung für das Datenelement (D), welche zumindest zum Teil von einem Server (S) stammt, an das Sicherheitselement (SE) übermittelt wird, woraufhin in dem Sicherheitselement (SE) das darin gespeicherte Datenelement (D) geändert wird, wobei die Änderung einen ersten ändernden Speicherzugriff (AC1) und einen zweiten ändernden Speicherzugriff (AC2) auf das Sicherheitselement (SE) umfasst, dadurch gekennzeichnet, dass der erste Speicherzugriff (AC1) und der zweite Speicherzugriff (AC2) in voneinander entkoppelten Teilschritten der Änderung erfolgen, wobei ein erster Teilschritt das Übermitteln einer ersten Teiländerungsanforderung (CR1) aus der Änderungsanforderung von dem Server (S) zu dem Sicherheitselement (SE) sowie den ersten Speicherzugriff (AC1) umfasst und wobei ein zweiter Teilschritt das Übermitteln einer zweiten Teiländerungsanforderung (CR2) aus der Änderungsanforderung zu dem Sicherheitselement (SE) und den zweiten Speicherzugriff (AC2) umfasst.
  15. System nach Anspruch 14, dadurch gekennzeichnet, dass das System zur Durchführung eines Verfahrens nach einem der Ansprüche 2 bis 13 eingerichtet ist.
DE102014002603.5A 2014-02-24 2014-02-24 Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements Withdrawn DE102014002603A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102014002603.5A DE102014002603A1 (de) 2014-02-24 2014-02-24 Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements
PCT/EP2015/000402 WO2015124317A1 (de) 2014-02-24 2015-02-20 Verfahren zum entfernten verwalten eines auf einem sicherheitselement gespeicherten datenelements
EP15706679.6A EP3111679A1 (de) 2014-02-24 2015-02-20 Verfahren zum entfernten verwalten eines auf einem sicherheitselement gespeicherten datenelements

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014002603.5A DE102014002603A1 (de) 2014-02-24 2014-02-24 Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements

Publications (1)

Publication Number Publication Date
DE102014002603A1 true DE102014002603A1 (de) 2015-08-27

Family

ID=52595261

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014002603.5A Withdrawn DE102014002603A1 (de) 2014-02-24 2014-02-24 Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements

Country Status (3)

Country Link
EP (1) EP3111679A1 (de)
DE (1) DE102014002603A1 (de)
WO (1) WO2015124317A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020108797A1 (de) 2018-11-29 2020-06-04 Giesecke+Devrient Mobile Security Gmbh Sicheres element als aktualisierbares trusted platform module

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007036341A1 (de) 2005-09-26 2007-04-05 Giesecke & Devrient Gmbh Entsperren von mobilfunkkarten

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090198618A1 (en) * 2008-01-15 2009-08-06 Yuen Wah Eva Chan Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce
EP2590384B1 (de) * 2011-11-02 2017-08-16 BlackBerry Limited Mobile kommunikationsvorrichtung mit sicheren elementdatenwischfunktionen und zugehörige verfahren
US8843179B2 (en) * 2012-05-11 2014-09-23 Li Li Provisioning an embedded subscriber identity module

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007036341A1 (de) 2005-09-26 2007-04-05 Giesecke & Devrient Gmbh Entsperren von mobilfunkkarten

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020108797A1 (de) 2018-11-29 2020-06-04 Giesecke+Devrient Mobile Security Gmbh Sicheres element als aktualisierbares trusted platform module
DE102018009365A1 (de) 2018-11-29 2020-06-04 Giesecke+Devrient Mobile Security Gmbh Sicheres Element als aktualisierbares Trusted Platform Module

Also Published As

Publication number Publication date
EP3111679A1 (de) 2017-01-04
WO2015124317A1 (de) 2015-08-27

Similar Documents

Publication Publication Date Title
DE69830175T2 (de) Verfahren zur kontrolle von anwendungen gespeichert in einem teilnehmererkennungsmodul
DE102011118367B4 (de) Verfahren zur Authentisierung eines Telekommunikationsendgeräts umfassend ein Identitätsmodul an einer Servereinrichtung eines Telekommunikationsnetzes, Verwendung eines Identitätsmoduls, Identitätsmodul und Computerprogramm
WO2014044348A1 (de) Teilnehmeridentitätsmodul zum authentisieren eines teilnehmers an einem kommunikationsnetzwerk
EP2235978A1 (de) Verfahren zur verwaltung der autorisierung von mobiltelefonen ohne sim-karte
DE102012103106A1 (de) Verfahren zum Authentifizieren eines Nutzers an einem Dienst auf einem Diensteserver, Applikation und System
DE102015220228B4 (de) Verfahren und System zur Absicherung einer erstmaligen Kontaktaufnahme eines Mobilgeräts mit einem Gerät
EP4158516B1 (de) Personalisierung eines secure element
DE102011075257B4 (de) Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE102009004490A1 (de) Verfahren und System zur Authentifizierung von Netzknoten eines Peer-to-Peer Netzwerks
EP2697989B1 (de) Verfahren und System zur Datenübermittlung zu einem Identifizierungsmodul in einem Mobilfunkendgerät
WO2014086640A1 (de) Verfahren, anordnung zur verarbeitung von informationen in einem haushaltsgerät sowie haushaltsgerät
DE102014002603A1 (de) Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements
WO2014117939A1 (de) Verfahren zum zugriff auf einen dienst eines servers über eine applikation eines endgeräts
EP3585084A1 (de) Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes
EP3609211B1 (de) Computerimplementiertes verfahren und netzwerkzugangsserver zum verbinden einer netzwerkkomponente mit einem netzwerk, insbesondere einem mobilfunknetz, mit einem erweiterten netzwerkzugangskennzeichen
WO2007036341A1 (de) Entsperren von mobilfunkkarten
DE102016000324A1 (de) Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen
EP3435697B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung
EP2613491B1 (de) Ausführung von kryptografischen Operationen mit Daten eines Nutzerendgeräts
EP4138435A1 (de) Verfahren für die erteilung eines zugriffsrechts auf eine steuereinheit in einem gebäudesteuerungssystem
DE102022113263A1 (de) Remote-Zugriff auf Netzwerkressourcen aus Fremdnetz im Festnetz
DE102011122874B4 (de) Verfahren zum Durchführen einer Transaktion, sowie Endgerät
WO2021175371A1 (de) Gesicherter und dokumentierter schlüsselzugriff durch eine anwendung
WO2020011393A1 (de) Sicherung einer datenübertragung

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R163 Identified publications notified
R120 Application withdrawn or ip right abandoned