EP1150256A1 - Method for the secure distribution of security modules - Google Patents
Method for the secure distribution of security modules Download PDFInfo
- Publication number
- EP1150256A1 EP1150256A1 EP01104610A EP01104610A EP1150256A1 EP 1150256 A1 EP1150256 A1 EP 1150256A1 EP 01104610 A EP01104610 A EP 01104610A EP 01104610 A EP01104610 A EP 01104610A EP 1150256 A1 EP1150256 A1 EP 1150256A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- security module
- distribution
- electronic key
- identification code
- center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00846—Key management
- G07B2017/0087—Key distribution
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
- G07B2017/00967—PSD [Postal Security Device] as defined by the USPS [US Postal Service]
Definitions
- the invention relates to a method for the secure distribution of security modules, especially for franking machines, from one manufacturer location to another Distribution location to a user location.
- the invention also relates to a distribution system for the secure distribution of security modules.
- Security modules can function like microprocessors and memory modules in large quantities at central locations that are particularly suitable for mass production.
- Such security modules are used in various devices, especially those Devices that hold certain values of their users. Examples are franking machines, Cash registers, electronic purses, PCs, notebooks, palm tops and cell phones. If these devices are also mass-produced, they will by the customer, the future user, most conveniently together with the associated user Security module directly by mail order or retail related, at least mostly without further contact with the manufacturer of the security modules to record.
- the invention is therefore based on the object of a method and a distribution system for the distribution of cryptographically initialized security modules create.
- the security module should under all circumstances, d. H. even with extensive Infiltration of the cryptographic initialization at the production site, e.g. B. at large-scale bribery of the staff, ensuring that only equipment can be put into operation by the customer with such security modules, whose cryptographic keys are not compromised.
- the invention is based on recognizing that by creating and reviewing special markings possibly a successful one in combination with appropriate certificates Protection against manipulation with the intention of forgery can be achieved.
- a The first marking is made at the manufacturer's location in a manufacturing center a first cryptographic initialization of the security module, the first marking preferably a public one printed on a first label Is key and the label prefers the ready-to-ship packaging of the Security module or a device with an integrated security module attached becomes.
- the first marking can be the electronic key to be sent contained in unencrypted or encrypted form depending on whether it is the key to be sent is a public key or a key private (secret) key.
- the encryption can, for example using a hash algorithm.
- a second marking is made at a distribution center from the manufacturer's location at a distribution point or a so-called import point, each for a specific region or country is provided when importing and registering the packaging with the security module. This enables one Identification of the packaging when the security module is later registered, triggered by the on-site user before requested data can be loaded onto the security module or the franking machine and the franking machine can be used.
- the identification code generated at the distribution point is stored in a remote central database.
- the verification is carried out according to the invention by means of a verification code, which consists of the identification code and the electronic one stored in the security module Key is generated.
- a verification code is preferred a digital signature or an authentication code, e.g. B. a MAC (Message Authentication Code) are used.
- the method according to the invention and the distribution system according to the invention ensure a safe distribution of security modules, in which the customer-ready packaged devices, e.g. B. franking machines, including those already installed Security modules or those sold separately and / or packed separately Security modules at the distribution point or the entry point are not unpacked need. It is particularly economical to have a single central entry point to have in a country or region through which everyone is packed Devices or security modules are imported. This entry point can be from Operators regularly inspected with reasonable effort or even operated themselves become. All incoming devices or security modules in this entry point unpacking and inspecting, which would be very expensive, is according to the invention not necessary anymore.
- the customer-ready packaged devices e.g. B. franking machines
- an electronic key in encrypted or unencrypted form e.g. B. is printed as a barcode.
- This machine-readable marking is then from the distribution center or at the entry point read and used for identification, after which a second Label with the identification code is attached to the packaging. Doing so either pasted over or removed the first label so that it would especially with the user, is no longer legible. Even the identification code can be encoded or unencrypted as a barcode on the label his.
- labels with barcodes there are other ways to send them or attaching the electronic key and / or the identification code on the packaging or the security module itself conceivable how for example chip cards, magnetic stripe cards or ID tags. It is in each case again preferably provided that from the distribution center or at the import point the electronic key stored by the manufacturer is deleted and replaced by the Identification code is replaced.
- Another embodiment of the invention is the use of an authentication algorithm and a single electronic key provided by the manufacturer.
- Such an authentication algorithm can be part of a so-called MAC (Message Authentication Code).
- MAC Message Authentication Code
- this electronic key which is stored in the security module and is sent simultaneously with the security module in an externally readable form, by means of a single one, only the manufacturer or a manufacturer center and one Service center is known in the region of the user.
- the electronic key, which is then stored on the security module is also the user known and can later be used to encrypt further information, for example between user and service center.
- an electronic key pair is a further development provided with a private and a public key.
- This is generated using a digital signature algorithm, such as one RSA (Rivest, Shamir, Adleman), a DSA (Digital Signature Algorithm) or an ECDSA (Elliptic Curve DSA).
- the public key is preferably in the central database, to which the distribution center and the Service center can be accessed and is readable from the outside using the Security module is sent while the private key is only in the Security module is saved and sent with it.
- a separate one at both the manufacturer center and the distribution center electronic key pair can be provided.
- a central database in which certain electronic keys, the identification code and any certificates generated in encrypted form or stored in unencrypted form, it can also be provided Data on a separate network, stored in the security module or on other means, for example by means of a data medium sent by post, from the manufacturer center to the distribution center and / or the regional service center to transmit.
- the invention is of course also applicable when it is separate Manufacturer or manufacturer center for the security module and the application device, for example the franking machine.
- the security modules are then sent to the manufacturer of the franking machine in the manner described, where the security module is identified and registered and then in the Franking machine can be installed. Even when sending the with the The franking machine equipped with the security module can then be the inventive one Procedures are applied accordingly.
- the manufacturing center 1 operates a local manufacturing server (manufacturing service center) 6 in the immediate vicinity of the manufacturing end point of the factory.
- the manufacturer server 6 generates an electronic manufacturer key pair (sk 1 , vk 1 ) (step 20 in FIG. 2).
- the private key sk 1 is used by the manufacturer server 6 to sign messages about newly produced security modules 7, while the public key vk 1 is used by the service centers 5 to verify these signatures.
- the public key vk 1 can be transmitted offline from the manufacturer server 6 to the distribution center 2 and / or the regional service center 5.
- one or more certifying authorities can be provided.
- the distribution center 2 which serves as an entry point for all security modules to be operated in a specific region, also first generates a distribution key pair (sk 2 , vk 2 ) with a private key sk 2 and a public key vk 2 (step 21). In this way, so-called input certificates can be generated for the security modules as digital signatures, which can be stored in the central database 4.
- the various distribution centers in different regions or countries do not know the public distribution keys of the other distribution centers. Each distribution center only has to be able to check its own entries in the central database 4. In principle, it is also possible to provide several distribution centers or import points for a country or region.
- a security module 7 After a security module 7 has been produced and provided with the mechanical protective devices, it is connected to the manufacturer server 6, for example via an intermediate registration PC (not shown). This requests a public key from the security module 7, the request containing the public manufacturer key vk 1 and the request to generate a transport key pair (step 22).
- the security module 7 stores the key vk 1 in a non-volatile memory and generates the requested transport key pair (stk, vtk), which has a signing transport key stk (signing transport key) and a verification transport key vtk (verifying transport key) contains (step 23).
- the security module 7 While the private key stk is kept private by the security module 7 and is only stored there, the security module 7 transmits a unique serial number s, which was assigned during manufacture, and the verification transport key vtk to the manufacturer via the registration PC Server 6 passed (step 24). The latter then uses his private key sk 1 and a signing algorithm cert to generate a public key certificate c 1 (step 25), which he then stores together with the serial number s and the verification transport key vtk in the public, remote central database 4 (Step 26). After this initial registration, the security module 7 will never again issue its verification transport key vtk, and it is also not necessary to store the same.
- the security module 7 is then packed in a transport packaging 8, the security module 7 in a separate package or together with a user device 71, e.g. a franking machine, in a common Packing 8 can be included.
- a user device 71 e.g. a franking machine
- a common Packing 8 can be included.
- a label 9 to which the serial number s, the verification transport key vtk des Security module 7 and possibly further information, preferably in the form of a two-dimensional bar code are printed (step 27).
- This label will be 9 from the outside visible and legible applied to the package 9, so that the contained information with a machine, e.g. B. with a barcode reader can be read easily. If the labels 9 are not robust enough, To survive the transport, the barcodes can also be placed directly on the packaging or any accompanying documents are printed, which are then in a corresponding Cover to be applied to the
- the packaging is then sent directly from manufacturer center 1 to Distribution center 2 sent in the respective regions in which the franking machines 71 or the security modules 7 are then to be sold and used.
- There the barcodes of each incoming package 9 are scanned 10 read that to a corresponding computer 11 with a connected printer 12 is connected.
- For each serial number s and each verification transport key vtk is then randomly chosen an identification code ID, even if the end customer of the product is neither already known nor determined.
- the number of customer numbers must be large enough so that collisions identification codes are extremely rare and practically impossible, to guess which identification code is assigned to a particular security module will be.
- the use of identification codes is therefore preferred provided with a length between 32 and 64 bits.
- the distribution center 2 then links the new identification code ID with the serial number s and the verification transport key vtk on the packaging by printing the identification code ID on a new label 13 which is stuck on the packaging 8 via the first label 9, so that the barcode of the first label 9 can no longer be read.
- the first label 9 can also be removed before the label 13 is stuck on.
- the new label 13 is attached at this point.
- the identification code ID is preferably applied to label 13 in a legible form, the exact format taking into account the properties of the input means of the franking machine to be equipped with the security module. If, for example, the input means have a number field, the identification code ID can also be printed in decimal numbers.
- the distribution center 2 generates an input certificate c2 from the serial number s, the verification transport key vtk and the identification code ID using the private distribution key sk 2 by means of a signing algorithm cert (step 28). This is finally stored together with the identification code ID in the central database 4 and assigned there to the already stored data of the security module 7 (step 29).
- the central database is a large, distributed directory that public verification key of security modules for franking machines in centrally managed in all countries. Access to this global database is 4 strictly limited, with read and write access to service centers 5, 6 and the distribution centers 2 are limited. Distribution centers 2 and service centers Each region only has access to the keys that are in their region Region operated security modules concern.
- All packaging 8 with security modules processed in this way are subsequently Marketed directly from distribution centers 2 or through retailers expelled.
- the distribution centers 2 do not know who ultimately the End customer 3 is which product he receives and when he receives it.
- the security module 7 After a customer 3 has received a package 18 and removed the security module 7, he will install it in the franking machine 71, provided that it has not already been installed as shown, put it into operation and connect it to the telephone network. The franking machine is then connected to a regional service center 5 in its region in order to be registered there.
- the security module 7 first generates a verification code sig from the private key stk stored in the security module and the identification code ID contained on the label 13 (step 30). This verification code sig is then transmitted together with the identification code ID to the regional service center 5, which then checks in the central database 4 whether the transmitted identification code ID has been generated by the distributor 2 of this region and whether there is a valid receipt certificate c 2 (Steps 31, 32).
- the regional service center 5 receives the verification key vtk back from the central database 4 (step 33), which then uses ver for the verification of the security module by means of the verification algorithm based on the generated verification code sig and the identification code ID (step 34).
- the security module and the associated one Franking machine registered and released for use after which the country-specific Software, initialization and authorization can be downloaded can.
- PSD Postal Security Device
- the method according to the invention and the distribution system according to the invention can withstand all described abuses, except for the security module is stolen from the customer and the mechanical security devices are broken open or the fraudsters lose the public transport key in the hands.
- a fraudster does not have to only a registered key pair of transport keys, but also a fall into the hands of the associated identification code. If a scammer just that registered transport key pair and possibly finds a security module, it is still necessary that he have an identification code with the distributor must have generated. Otherwise no identification code will be inserted in the Central database entered and registration or use is made fail.
- a fraudster could also try read it from the central database or the security module on the Intercept transport route to the user to get the identification code. It should be noted that not everyone has packaging with a security module and can order a label with an identification code.
- the described distribution system comprises a distributed one Database with the highest security level, which is sufficiently against unauthorized Access must be protected. This is ensured by the fact that Infrastructure a closed system has no access via the Internet.
- FIGS. 3 and 4 A second embodiment of the distribution system according to the invention and of the method according to the invention will be explained with reference to FIGS. 3 and 4.
- key pairs with a private and a public key are not used here, but only a symmetrical key is used in each case.
- the manufacturer server 6 generates a private key k 1 , which is agreed with the regional service center 5 (step 40).
- Distribution center 2 likewise generates its own private key k 2 and security module 7 generates a transport key tk (steps 41, 42).
- the security module 7 After the security module 7 has transmitted the transport key tk to the manufacturer server 6 (step 43), the latter encrypts the transport key tk using its private key k 1 using an encryption algorithm enc and sends the certificate c 1 back to the security module 7 (step 44 , 45).
- the security module 7 stores the certificate c 1 , creates a hash value h from the transport key tk and prints it on the label 9, which is then attached to the packaging 8 of the security module 7 (step 46). This hash value h is finally also entered into the central database 4 via the manufacturer server 6 (step 47).
- the hash value h is determined by the label 9 by means of the Scanners 10 read, an identification code ID generated and on the second label 13 printed, which is then attached over the label 9 on the package 8 (step 48).
- the identification code ID is also in the central database 4 stored and assigned the hash value h there (step 49).
- the security module 7 At the user location 3, the security module 7 generates a verification code m, often also referred to as a MAC (Message Authentication Code), from the transport key tk, which is stored in the security module, and the identification code ID of the label 13 after its arrival (step 50). This is transmitted together with the identification code ID and the certificate c 1 to the regional service center 5 (step 51). There, the certificate c 1 is decrypted using the private key k 1 using a decryption algorithm dec, from which the transport key tk results, from which a hash value h is then calculated (step 52). The regional service center 5 then checks whether the identification code ID and the hash value h are contained in the central database 4 (step 53).
- MAC Message Authentication Code
- the verification is finally carried out by means of the verification algorithm ver with the aid of the transport key tk, the identification code ID and the verification code m (step 54). If the verification is successful, registration can then take place, after which the security module can be used as intended.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
Die Erfindung betrifft ein Verfahren zur sicheren Distribution von Sicherheitsmodulen, insbesondere für Frankiermaschinen, von einem Herstellerort über einen Verteilerort zu einem Benutzerort. Außerdem betrifft die Erfindung ein Distibutionssystem zur sicheren Distribution von Sicherheitsmodulen.The invention relates to a method for the secure distribution of security modules, especially for franking machines, from one manufacturer location to another Distribution location to a user location. The invention also relates to a distribution system for the secure distribution of security modules.
Sicherheitsmodule, insbesondere eingebettete Systeme, können wie Mikroprozessoren und Speicherbausteine in großen Stückzahlen an zentralen Orten gefertigt werden, die für Massenproduktion besonders geeignet sind. Solche Sicherheitsmodule kommen in verschiedenen Geräten zum Einsatz, insbesondere in solchen Geräten, die bestimmte Werte ihrer Benutzer verwahren. Beispiele sind Frankiermaschinen, Registrierkassen, elektronische Geldbörsen, PCs, Notebooks, Palmtops und Mobiltelefone. Wenn diese Geräte ebenfalls Massenware sind, so werden sie vom Kunden, dem späteren Benutzer, am bequemsten zusammen mit dem zugehörigen Sicherheitsmodul direkt durch den Versandhandel oder Einzelhandel bezogen, jedenfalls zumeist ohne weiteren Kontakt mit dem Hersteller der Sicherheitsmodule aufzunehmen. Security modules, especially embedded systems, can function like microprocessors and memory modules in large quantities at central locations that are particularly suitable for mass production. Such security modules are used in various devices, especially those Devices that hold certain values of their users. Examples are franking machines, Cash registers, electronic purses, PCs, notebooks, palm tops and cell phones. If these devices are also mass-produced, they will by the customer, the future user, most conveniently together with the associated user Security module directly by mail order or retail related, at least mostly without further contact with the manufacturer of the security modules to record.
Um eine sichere kryptographische Initialisierung und eine effiziente Distribution der Sicherheitsmodule zu gewährleisten, sollte die Initialisierung am Produktionsort erfolgen. Andernfalls müsste es zentrale oder dezentrale Initialisierungs-Center geben, die sehr kostenaufwendig wären. Im allgemeinen werden die Produktionsorte für Massenprodukte und die Sitze ihrer späteren Betreiber, die für Schäden von Schlüsselkompromittierung haften werden, in verschiedenen Ländern liegen und damit in verschiedenen Rechtsgebieten. Gerichtliche Auseinandersetzungen zwischen Produzenten und Betreibern von Sicherheitsmodulen sind damit von vornherein erschwert, wobei es jedoch wünschenswert wäre, sie durch technische vertrauensbildende Maßnahmen möglichst selten zu machen bzw. ganz zu vermeiden. Wenn es eine Domäne gäbe, welcher der Betreiber nicht vertraut, dann bestünde ein Sicherheitsproblem. Den Produktionsprozess vom späteren Betreiber jedoch regelmäßig inspizieren zu lassen, wäre unpraktisch und kostspielig.For secure cryptographic initialization and efficient distribution of the Ensuring security modules should initialize at the production site respectively. Otherwise it would have to be centralized or decentralized initialization center give that would be very expensive. In general, the production sites for mass products and the seats of their later operators, which are responsible for damage from Key compromise will be held in different countries and thus in different areas of law. Legal disputes between This means that producers and operators of security modules are right from the start difficult, but it would be desirable to use technical confidence-building To take measures as rarely as possible or to avoid them entirely. If there was a domain that the operator did not trust, it would exist a security problem. The production process from the later operator, however Getting it checked regularly would be impractical and costly.
Verschiedene Modelle von derzeit auf dem Markt befindlichen Frankiermaschinen sind mit einer postalischen Sicherheitseinrichtung mit einem Sicherheitsmodul ausgestattet. Diese dient im wesentlichen zur Speicherung und Abrechnung elektronischer Postgebühren und zur Erzeugung elektronischer Signaturen für die Erzeugung gültiger Frankierabdrucke (Indizia). Die Sicherheitsmodule müssen bei der Produktion, beim Transport und bei der Benutzung ersichtlicherweise gegen jegliche Art von Manipulationen geschützt werden, was derzeit zumeist mittels mechanischer Schutzmaßnahmen, wie einem verschlossenen Gehäuse um das Sicherheitsmodul herum erfolgt. Außerdem wird jedes produzierte Sicherheitsmodul kryptographisch initialisiert und registriert, bevor es in Benutzung genommen werden kann. Da dies jedoch bevorzugt am Ort der Produktion des Sicherheitsmoduls erfolgt, werden die Sicherheitsanforderungen nationaler Postbehörden wie der US-Postbehörde nicht erfüllt. Diese fordern eine Gewähr für die Sicherheit von Sicherheitsmodulen auch beim Transport und vorder Inbetriebnahme, insbesondere eine Registrierung erst beim Endbenutzer der Frankiermaschine oder bei einem nationalen Service-Center. Dies erfordert jedoch die Einrichtung nationaler Service-Center und einen deutlich erhöhten Aufwand an Zeit, Ausrüstung, Verpackung und sonstiger Behandlung. Different models of franking machines currently on the market are with a postal security device with a security module fitted. This is mainly used for storage and billing electronic postage and electronic signature generation for Creation of valid franking imprints (indicia). The security modules have to production, transport and use evidently against any kind of manipulation are protected, which is currently mostly by means of mechanical protective measures, such as a closed housing around the Security module is done around. In addition, each security module produced initialized cryptographically and registered before being used can be. However, since this is preferred at the location where the security module is produced security requirements of national postal authorities such as the US Postal Service has not met. These require a guarantee for the security of Security modules also during transport and before commissioning, in particular registration only with the end user of the franking machine or with a national service center. However, this requires the establishment of national service centers and a significantly increased expenditure of time, equipment, packaging and other treatment.
Der Erfindung liegt deshalb die Aufgabe zugrunde, ein Verfahren und ein Distributionssystem zur Distribution kryptographisch initialisierter Sicherheitsmodule zu schaffen. Zum Schutz vor Manipulationen unter Aufsicht des späteren Betreibers des Sicherheitsmoduls soll unter allen Umständen, d. h. selbst bei umfassender Unterwanderung der kryptographischen Initialisierung am Produktionsort, z. B. bei groß angelegter Bestechung des Personals, gewährleistet werden, dass nur Geräte mit solchen Sicherheitsmodulen vom Kunden in Betrieb genommen werden können, deren kryptographische Schlüssel nicht kompromittiert sind.The invention is therefore based on the object of a method and a distribution system for the distribution of cryptographically initialized security modules create. To protect against manipulation under the supervision of the future operator the security module should under all circumstances, d. H. even with extensive Infiltration of the cryptographic initialization at the production site, e.g. B. at large-scale bribery of the staff, ensuring that only equipment can be put into operation by the customer with such security modules, whose cryptographic keys are not compromised.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren gemäß Anspruch 1 und
ein Distributionssystem gemäß Anspruch 14 gelöst. Die Erfindung geht dabei von
der Erkenntnis aus, dass durch Erzeugung und Überprüfung von speziellen Markierungen
gegebenenfalls in Kombination mit entsprechenden Zertifikaten ein erfolgreicher
Schutz vor Manipulationen mit Fälschungsabsicht erzielt werden kann. Eine
erste Markierung erfolgt dabei am Herstellerort in einem Herstellerzentrum nach
einer ersten kryptographischen Initialisierung des Sicherheitsmoduls, wobei die
erste Markierung vorzugsweise ein auf ein erstes Label gedruckter öffentlicher
Schlüssel ist und das Label bevorzugt an der versandfertigen Verpackung des
Sicherheitsmoduls bzw. eines Geräts mit integriertem, Sicherheitsmodul angebracht
wird. Die erste Markierung kann dabei den zu versendenden elektronischen Schlüssel
in unverschlüsselter oder verschlüsselter Form enthalten je nachdem, ob es sich
bei dem zu versendenden Schlüssel um einen öffentlichen Schlüssel oder um einen
privaten (geheimen) Schlüssel handelt. Die Verschlüsselung kann beispielsweise
mit Hilfe eines Hash-Algorithmus erfolgen.This object is achieved by a method according to
Eine zweite Markierung erfolgt entfernt vom Herstellerort bei einem Verteilerzentrum an einem Verteilerort bzw. einem sogenannten Einfuhrpunkt, der jeweils für eine bestimmte Region oder ein bestimmtes Land vorgesehen ist, beim Einführen und Registrieren der Verpackung mit dem Sicherheitsmodul. Dies ermöglicht eine Identifikation der Verpackung beim späteren Registrieren des Sicherheitsmoduls, ausgelöst durch den am Einsatzort befindlichen Benutzer, bevor angeforderte Daten auf das Sicherheitsmodul bzw. die Frankiermaschine geladen werden können und die Frankiermaschine benutzt werden kann. Der am Verteilerort erzeugte Identifizierungscode wird dazu in einer entfernten zentralen Datenbank gespeichert.A second marking is made at a distribution center from the manufacturer's location at a distribution point or a so-called import point, each for a specific region or country is provided when importing and registering the packaging with the security module. This enables one Identification of the packaging when the security module is later registered, triggered by the on-site user before requested data can be loaded onto the security module or the franking machine and the franking machine can be used. The identification code generated at the distribution point is stored in a remote central database.
Die Verifizierung erfolgt erfindungsgemäß mittels eines Verifizierungscodes, der aus dem Identifizierungscode und dem in dem Sicherheitsmodul gespeicherten elektronischen Schlüssel erzeugt wird. Als ein solcher Verifizierungscode wird bevorzugt eine digitale Signatur oder ein Authentisierungscode, z. B. ein MAC (Message Authentication Code) Verwendung finden.The verification is carried out according to the invention by means of a verification code, which consists of the identification code and the electronic one stored in the security module Key is generated. As such a verification code is preferred a digital signature or an authentication code, e.g. B. a MAC (Message Authentication Code) are used.
Das erfindungsgemäße Verfahren und das erfindungsgemäße Distributionssystem gewährleisten einen sicheren Vertrieb von Sicherheitsmodulen, bei dem die kundenfertig verpackten Geräte, z. B. Frankiermaschinen, inklusive der bereits eingebauten Sicherheitsmodule bzw. die separat vertriebenen und/oder separat verpackten Sicherheitsmodule am Verteilerort bzw. dem Einfuhrpunkt nicht ausgepackt werden brauchen. Dabei ist es besonders wirtschaftlich, einen einzigen zentralen Einfuhrpunkt in einem Land bzw. in einer Region zu haben, durch den alle verpackten Geräte bzw. Sicherheitsmodule importiert werden. Dieser Einfuhrpunkt kann vom Betreiber mit vertretbarem Aufwand regelmäßig inspiziert oder sogar selbst betrieben werden. Alle eintreffenden Geräte bzw. Sicherheitsmodule in diesem Einfuhrpunkt auszupacken und zu inspizieren, was sehr aufwendig wäre, ist erfindungsgemäß nicht mehr erforderlich.The method according to the invention and the distribution system according to the invention ensure a safe distribution of security modules, in which the customer-ready packaged devices, e.g. B. franking machines, including those already installed Security modules or those sold separately and / or packed separately Security modules at the distribution point or the entry point are not unpacked need. It is particularly economical to have a single central entry point to have in a country or region through which everyone is packed Devices or security modules are imported. This entry point can be from Operators regularly inspected with reasonable effort or even operated themselves become. All incoming devices or security modules in this entry point unpacking and inspecting, which would be very expensive, is according to the invention not necessary anymore.
Vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens bzw. des erfindungsgemäßen Distributionssystems sind in den Unteransprüchen angegeben. Dabei kann selbstverständlich das Distributionssystem in ähnlicher Weise weitergebildet sein, wie es in den Unteransprüche bezüglich des Verfahrens angegeben ist.Advantageous embodiments of the method according to the invention or of the invention Distribution systems are specified in the subclaims. Of course, the distribution system can be further developed in a similar way be as stated in the subclaims regarding the method is.
Bevorzugt ist vorgesehen, dass an der Verpackung des Sicherheitsmoduls vom Herstellerzentrum ein Label angebracht wird, auf das ein elektronischer Schlüssel in verschlüsselter oder unverschlüsselter Form, z. B. als Barcode, aufgedruckt ist. Diese maschinenlesbare Markierung wird dann vom Verteilerzentrum bzw. am Einfuhrpunkt gelesen und wird zur Identifizierung verwendet, wonach ein zweites Label mit dem Identifizierungscode an der Verpackung angebracht wird. Dabei wird entweder das erste Label überklebt oder entfernt, so dass es jedenfalls danach, insbesondere beim Benutzer, nicht mehr lesbar ist. Auch der Identifizierungscode kann verschlüsselt oder unverschlüsselt als Barcode auf dem Label aufgebracht sein. Anstelle von Labels mit Barcodes sind auch andere Möglichkeiten zum Versenden bzw. Anbringen des elektronischen Schlüssels und/oder des Identifizierungscodes an der Verpackung bzw. dem Sicherheitsmodul selbst denkbar, wie beispielsweise Chipkarten, Magnetstreifenkarten oder ID-Tags. Dabei ist jeweils wieder bevorzugt vorgesehen, dass vom Verteilerzentrum bzw. am Einfuhrpunkt der beim Hersteller gespeicherte elektronische Schlüssel gelöscht und durch den Identifizierungscode ersetzt wird.It is preferably provided that on the packaging of the security module from Manufacturer's label is attached to which an electronic key in encrypted or unencrypted form, e.g. B. is printed as a barcode. This machine-readable marking is then from the distribution center or at the entry point read and used for identification, after which a second Label with the identification code is attached to the packaging. Doing so either pasted over or removed the first label so that it would especially with the user, is no longer legible. Even the identification code can be encoded or unencrypted as a barcode on the label his. Instead of labels with barcodes, there are other ways to send them or attaching the electronic key and / or the identification code on the packaging or the security module itself conceivable how for example chip cards, magnetic stripe cards or ID tags. It is in each case again preferably provided that from the distribution center or at the import point the electronic key stored by the manufacturer is deleted and replaced by the Identification code is replaced.
In einer weiteren Ausgestaltung der Erfindung ist die Benutzung eines Authentisierungsalgorithmus und eines einzigen elektronischen Schlüssels beim Hersteller vorgesehen. Ein solcher Authentisierungsalgorithmus kann Teil eines sogenannten MAC (Message Authentication Code) sein. Weiter kann vorgesehen sein, dass dieser elektronische Schlüssel, der in dem Sicherheitsmodul gespeichert ist und gleichzeitig mit dem Sicherheitsmodul in von außen lesbarer Form versendet wird, mittels eines einzigen, nur dem Hersteller bzw. einem Herstellerzentrum und einem Service-Center in der Region des Benutzers bekannt ist. Der elektronische Schlüssel, der dann auf dem Sicherheitsmodul gespeichert ist, ist ebenfalls dem Benutzer bekannt und kann später zur Verschlüsselung weiterer Informationen, beispielsweise zwischen Benutzer und Service-Center, verwendet werden.Another embodiment of the invention is the use of an authentication algorithm and a single electronic key provided by the manufacturer. Such an authentication algorithm can be part of a so-called MAC (Message Authentication Code). It can also be provided that this electronic key, which is stored in the security module and is sent simultaneously with the security module in an externally readable form, by means of a single one, only the manufacturer or a manufacturer center and one Service center is known in the region of the user. The electronic key, which is then stored on the security module is also the user known and can later be used to encrypt further information, for example between user and service center.
Alternativ ist in einer Weiterbildung die Verwendung eines elektronischen Schlüsselpaares mit einem privaten und einem öffentlichen Schlüssel vorgesehen. Dieses wird mit einem digitalen Signaturalgorithmus erzeugt, wie beispielsweise einem RSA (Rivest, Shamir, Adleman), einem DSA (Digital Signature Algorithm) oder einem ECDSA (Elliptic Curve DSA). Bevorzugt ist der öffentliche Schlüssel dabei in der zentralen Datenbank gespeichert, auf die auch das Verteilerzentrum und das Service-Center zugreifen können, und wird in von außen lesbarer Form mit dem Sicherheitsmodul versendet, während der private Schlüssel ausschließlich im Sicherheitsmodul gespeichert ist und mit diesem versendet wird. Zur Erzeugung von Zertifikaten, mit denen sich das Sicherheitsmodul identifizieren lässt und die den Schutz vor Manipulationen erhöhen, kann ebenfalls ein elektronisches Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel verwendet werden, wobei sowohl beim Herstellerzentrum als auch beim Verteilerzentrum ein getrenntes elektronisches Schlüsselpaar vorgesehen sein können.Alternatively, the use of an electronic key pair is a further development provided with a private and a public key. This is generated using a digital signature algorithm, such as one RSA (Rivest, Shamir, Adleman), a DSA (Digital Signature Algorithm) or an ECDSA (Elliptic Curve DSA). The public key is preferably in the central database, to which the distribution center and the Service center can be accessed and is readable from the outside using the Security module is sent while the private key is only in the Security module is saved and sent with it. For generation of certificates with which the security module can be identified and which An electronic key pair can also increase protection against manipulation can be used from a private and a public key, a separate one at both the manufacturer center and the distribution center electronic key pair can be provided.
Alternativ zu einer zentralen Datenbank, in der bestimmte elektronische Schlüssel, der Identifizierungscode und gegebenenfalls erzeugte Zertifikate in verschlüsselter oder unverschlüsselter Form gespeichert werden, kann auch vorgesehen sein, diese Daten über ein separates Netzwerk, in dem Sicherheitsmodul gespeichert oder auf sonstigem Wege, beispielsweise mittels eines per Post verschickten Datenträgers, vom Herstellerzentrum an das Verteilerzentrum und/oder das regionale Service-Center zu übermitteln. Dies hätte den Vorteil, dass die zentrale Datenbank, die bevorzugt die Daten aller global eingesetzten Sicherheitsmodule enthält, geringeren Sicherheitsanforderungen genügen muss, kleiner ausgestaltet sein kann oder gänzlich entfallen kann.As an alternative to a central database in which certain electronic keys, the identification code and any certificates generated in encrypted form or stored in unencrypted form, it can also be provided Data on a separate network, stored in the security module or on other means, for example by means of a data medium sent by post, from the manufacturer center to the distribution center and / or the regional service center to transmit. This would have the advantage that the central database that preferably contains the data of all globally used security modules, less Security requirements must meet, can be made smaller or can be completely eliminated.
Die Erfindung ist selbstverständlich auch dann anwendbar, wenn es getrennte Hersteller bzw. Herstellerzentrum für das Sicherheitsmodul und das Anwendungsgerät, beispielsweise die Frankiermaschine, gibt. Die Sicherheitsmodule werden dann in der beschriebenen Weise an den Hersteller der Frankiermaschine gesendet, wo das Sicherheitsmodul identifiziert und registriert werden und anschließend in die Frankiermaschine eingebaut werden kann. Auch beim Versenden der mit dem Sicherheitsmodul ausgestatteten Frankiermaschine kann dann das erfindungsgemäße Verfahren entsprechend angewendet werden.The invention is of course also applicable when it is separate Manufacturer or manufacturer center for the security module and the application device, for example the franking machine. The security modules are then sent to the manufacturer of the franking machine in the manner described, where the security module is identified and registered and then in the Franking machine can be installed. Even when sending the with the The franking machine equipped with the security module can then be the inventive one Procedures are applied accordingly.
- Figur 1Figure 1
- ein Blockschaltbild einer ersten Ausführungsform eines erfindungs gemäßen Distributionssystems,a block diagram of a first embodiment of an invention according to the distribution system,
- Figur 2Figure 2
- ein Ablaufdiagramm zur Erläuterung des erfindungsgemäßen Verfahrens bei einem Distributionssystem gemäß Figur 1,a flowchart to explain the inventive method in a distribution system according to FIG. 1,
- Figur 3Figure 3
- eine zweite Ausgestaltung eines erfindungsgemäßen Distributionssystems unda second embodiment of a distribution system according to the invention and
- Figur 4Figure 4
- einen Ablaufplan zur Erläuterung des erfindungsgemäßen Verfahrens bei einem Distributionssystem gemäß Figur 3.a flowchart to explain the method according to the invention in a distribution system according to FIG. 3.
Das in Figur 1 gezeigte erfindungsgemäße Distributionssystem weist folgende
wesentliche Einheiten auf:
Weiter kann es in jeder Region einen regionalen Betreiber geben, der alle Geräte mit Sicherheitsmodulen in dieser Region betreibt, wobei dies auch eine postalische Autorität sein kann. Regionaler Betreiber ist derjenige, der für Schäden haftet, die aus der Kompromittierung eines Sicherheitsmoduls resultieren, das in dieser Region registriert ist. Aufgrund dieser Haftung wird vorausgesetzt, dass der regionale Betreiber den Verteilerzentrum seiner Region vertraut, das heißt, dass er sie z. B. regelmäßig inspiziert, inspizieren lässt oder selbst betreibt.In addition, there can be a regional operator in every region who carries all devices Operates security modules in this region, this also being a postal one Authority can be. The regional operator is the one who is liable for damage that result from the compromise of a security module operating in this region is registered. Because of this liability, it is assumed that the regional Operator trusts the distribution center of his region, which means that he z. B. regularly inspected, inspected or operated by yourself.
Das erfindungsgemäße Verfahren wird nachfolgend näher erläutert. Das Herstellerzentrum
1 betreibt neben der Herstellung der Sicherheitsmodule 7 einen lokalen
Hersteller-Server (Herstellungs-Service-Center) 6 in unmittelbarer Nähe zum Produktionsendpunkt
der Fabrik. Zunächst wird von dem Hersteller-Server 6 ein elektronisches
Hersteller-Schlüsselpaar (sk1, vk1) erzeugt (Schritt 20 in Figur 2). Der
private Schlüssel sk1 wird dabei von dem Hersteller-Server 6 benutzt, um Mitteilungen
über neu produzierte Sicherheitsmodule 7 zu signieren, während der
öffentliche Schlüssel vk1 von den Service-Centern 5 dazu benutzt wird, diese
Signaturen zu verifizieren. Dazu kann der öffentliche Schlüssel vk1 von dem
Hersteller-Server 6 offline an das Verteilerzentrum 2 und/oder das regionale Service-Center
5 übermittelt werden. Um diesen Übertragungskanal zu authentifizieren,
können eine oder mehrere zertifizierende Autoritäten vorgesehen sein.The method according to the invention is explained in more detail below. In addition to manufacturing the
Auch das Verteilerzentrum 2, das als Einfuhrpunkt für alle in einer bestimmten
Region zu betreibenden Sicherheitsmodule dient, erzeugt zunächst ein Verteiler-Schlüsselpaar
(sk2, vk2) mit einem privaten Schlüssel sk2 und einem öffentlichen
Schlüssel vk2 (Schritt 21). Damit können für die Sicherheitsmodule sogenannte
Eingangszertifikate als digitale Signaturen erzeugt werden, die in der zentralen
Datenbank 4 gespeichert werden können. Die verschiedenen Verteilerzentren der
unterschiedlichen Regionen oder Länder kennen dabei die öffentlichen Verteiler-Schlüssel
der anderen Verteilerzentren nicht. Jedes Verteilerzentrum muss nur in
der Lage sein, seine eigenen Einträge in der zentralen Datenbank 4 prüfen zu
können. Grundsätzlich ist es auch möglich, mehrere Verteilerzentrum bzw. Einfuhrpunkte
für ein Land oder eine Region vorzusehen.The
Nachdem ein Sicherheitsmodul 7 hergestellt und mit den mechanischen Schutzvorrichtungen
versehen ist, wird es mit dem Hersteller-Server 6 verbunden, beispielsweise
über einen zwischengeschalteten (nicht gezeigten) Registrierungs-PC. Dieser
fordert von dem Sicherheitsmodul 7 einen öffentlichen Schlüssel an, wobei die
Anforderung den öffentlichen Hersteller-Schlüssel vk1 und die Anforderung, ein
Transport-Schlüsselpaar zu erzeugen, enthält (Schritt 22). Das Sicherheitsmodul 7
speichert den Schlüssel vk1 in einem nicht-flüchtigen Speicher und generiert das
angeforderte Transport-Schlüsselpaar (stk, vtk), welches einen Signier-Transport-Schlüssel
stk (signing transport key) und einen Verifizier-Transport-Schlüssel vtk
(verifying transport key) enthält (Schritt 23). Während der private Schlüssel stk von
dem Sicherheitsmodul 7 privat gehalten und nur dort gespeichert wird, wird von
dem Sicherheitsmodul 7 eine einmalige Seriennummer s, die bei der Herstellung
vergeben wurde, und der Verifizier-Transport-Schlüssel vtk über den Registrierungs-PC
an den Hersteller-Server 6 weitergegeben (Schritt 24). Dieser erzeugt daraufhin
mit Hilfe seines privaten Schlüssels sk1 und eines Signieralgorithmus cert ein
öffentliches Schlüssel-Zertifikat c1 (Schritt 25), das er anschließend zusammen mit
der Seriennummer s und dem Verifizier-Transport-Schlüssel vtk in der öffentlichen
entfernten zentralen Datenbank 4 speichert (Schritt 26). Nach dieser anfänglichen
Registrierung wird das Sicherheitsmodul 7 seinen Verifizier-Transport-Schlüssel vtk
niemals mehr herausgeben, auch eine Speicherung desselben ist nicht erforderlich.After a
Für die Realisierung des Registrierungs-PCs und des Hersteller-Servers 6 bieten sich verschiedene Möglichkeiten, wie beispielsweise eine Client-Server-Architektur auf der Basis von Windows-NT. For the realization of the registration PC and the manufacturer server 6 are available different options, such as a client-server architecture the basis of Windows NT.
Anschließend wird das Sicherheitsmodul 7 in einer Transportverpackung 8 verpackt,
wobei das Sicherheitsmodul 7 in einer separaten Verpackung oder zusammen
mit einem Benutzergeräte 71, z.B. einer Frankiermaschine, in einer gemeinsamen
Verpackung 8 enthalten sein kann. Im letzteren Falle kann das Sicherheitsmodul
7, wie in Fig. 1 gezeigt, auch bereits in die Frankiermaschine 71 eingebaut
sein. Nachdem die Verpackung 8 verschlossen und versiegelt ist, wird ein Label 9
erzeugt, auf das die Seriennummer s, der Verifizier-Transport-Schlüssel vtk des
Sicherheitsmoduls 7 und gegebenenfalls weitere Informationen, bevorzugt in Form
eines zweidimensionalen Barcodes, gedruckt sind (Schritt 27). Dieses Label 9 wird
von außen sichtbar und lesbar auf die Verpackung 9 aufgebracht, so dass die
enthaltene Information mit einer Maschine, z. B. mit einem Barcode-Leser auf
einfache Weise gelesen werden kann. Wenn die Labels 9 nicht robust genug sind,
um den Transport zu überstehen, können die Barcodes auch direkt auf die Verpackung
oder etwaige Begleitpapiere gedruckt werden, die dann in eine entsprechende
Hülle auf die Außenseite der Verpackung 8 aufgebracht werden.The
Die Verpackungen werden anschließend vom Herstellerzentrum 1 direkt zu den
Verteilerzentrum 2 in den jeweiligen Regionen gesandt, in denen die Frankiermaschinen
71 bzw. die Sicherheitsmodule 7 dann verkauft und benutzt werden sollen.
Dort werden die Barcodes jeder ankommenden Verpackung 9 mit einem Scanner
10 gelesen, der an einen entsprechenden Rechner 11 mit angeschlossenem Drukker
12 angeschlossen ist. Für jede Seriennummer s und jeden Verifizier-Transport-Schlüssel
vtk wird anschließend per Zufall ein Identifizierungscode ID gewählt,
auch wenn der Endkunde des Produkts weder bereits bekannt noch bestimmt ist.
Die Anzahl der Kundennummern muss dabei groß genug sein, so dass Kollisionen
von Identifikationscodes äußerst selten sind und es praktisch ausgeschlossen ist,
zu erraten, welcher Identifikationscode einem bestimmten Sicherheitsmodul zugewiesen
werden wird. Bevorzugt ist deshalb die Benutzung von Identifikationscodes
mit einer Länge zwischen 32 und 64 Bit vorgesehen.The packaging is then sent directly from
Anschließend verknüpft das Verteilerzentrum 2 den neuen Identifikationscode ID
mit der Seriennummer s und dem Verifizier-Transport-Schlüssel vtk auf der Verpackung,
indem der Identifizierungscode ID auf ein neues Label 13 gedruckt wird,
welches über das erste Label 9 auf der Verpackung 8 geklebt wird, so dass der
Barcode des ersten Labels 9 nicht mehr gelesen werden kann. Dazu kann das erste
Label 9 auch entfernt werden, bevor das Label 13 aufgeklebt wird. Wenn das Label
oder der Barcode auf Begleitpapieren angebracht ist, wird das neue Label 13 an
dieser Stelle angebracht. Bevorzugt ist der Identifikationscode ID in normal lesbarer
Form auf dem Label 13 aufgebracht, wobei das genaue Format die Eigenschaften
der Eingabemittel der mit dem Sicherheitsmodul auszustattenden Frankiermaschine
berücksichtigen sollte. Wenn beispielsweise die Eingabemittel ein Ziffernfeld
aufweisen, dann kann der Identifikationscode ID auch in Dezimalzahlen gedruckt
werden. Wenn jedoch die Eingabemittel nur eine Anzahl von speziellen, beispielsweise
farblich unterschiedlichen Tasten aufweisen, dann sollte auch der Identifkationscode
in entsprechender Weise codiert sein. Ausserdem wird vom Verteilerzentrum
2 ein Eingangszertikat c2 aus der Seriennummer s, dem Verifizier-Transport-Schlüssel
vtk und dem Identifikationscode ID mit Hilfe des privaten Verteiler-Schlüssels
sk2 mittels eines Signieralgorithmus cert erzeugt (Schritt 28). Dieses
wird schließlich zusammen mit dem Identifikationscode ID in der zentralen Datenbank
4 gespeichert und dort den bereits gespeicherten Daten des Sicherheitsmoduls
7 zugeordnet (Schritt 29).The
Konzeptionell ist die zentrale Datenbank ein großes verteiltes Verzeichnis, das
öffentliche Verifizier-Schlüssel von Sicherheitsmodulen für Frankiermaschinen in
allen Ländern zentral verwaltet. Der Zugriff auf diese globale Datenbank 4 ist
streng begrenzt, wobei Lese- und Schreib-Zugriffe auf die Service-Center 5, 6 und
die Verteilerzentren 2 beschränkt sind. Die Verteilerzentren 2 und die Service-Center
jeder Region haben dabei nur auf die Schlüssel Zugriff, die die in ihrer
Region betriebenen Sicherheitsmodule betreffen.Conceptually, the central database is a large, distributed directory that
public verification key of security modules for franking machines in
centrally managed in all countries. Access to this global database is 4
strictly limited, with read and write access to
Alle derartig verarbeiteten Verpackungen 8 mit Sicherheitsmodulen werden anschließend
von den Verteilerzentren 2 direkt vermarktet oder über Einzelhändler
vertrieben. Im allgemeinen wissen die Verteilerzentren 2 nicht, wer schließlich der
Endkunde 3 ist, welches Produkt er erhält und wann er es erhält. All
Nachdem ein Kunde 3 eine Verpackung 18 erhalten und das Sicherheitsmodul 7
entnommen hat, wird er es in die Frankiermaschine 71 einbauen, sofern es nicht
wie gezeigt bereits eingebaut ist, diese in Betrieb nehmen und an das Telefonnetz
anschließen. Die Frankiermaschine wird dann mit einem regionalen Service-Center
5 seiner Region verbunden, um dort registriert zu werden. Dazu wird zunächst von
dem Sicherheitsmodul 7 ein Verifizierungscode sig aus dem in dem Sicherheitsmodul
gespeicherten privaten Schlüssel stk und dem auf dem Label 13 enthaltenen
Identifikationscode ID erzeugt (Schritt 30). Dieser Verifizierungscode sig wird dann
zusammen mit dem Identifikationscode ID an das regionale Service-Center 5
übertragen, welches daraufhin in der zentralen Datenbank 4 nachsieht, ob der
übertragene Identifikationscode ID von dem Verteiler 2 dieser Region erzeugt
worden ist und ob ein gültiges Eingangszertifikat c2 vorliegt (Schritte 31, 32).
Sofern dies der Fall ist, erhält das regionale Service-Center 5 von der zentralen
Datenbank 4 den Verifizier-Schlüssel vtk zurück (Schritt 33), der dann für die
Verifizierung des Sicherheitsmoduls mittels des Verifizieralgorithmus ver anhand
des erzeugten Verifizierungscode sig und des Identifikationscodes ID benutzt wird
(Schritt 34).After a
Wenn dieser Test erfolgreich ist, ist das Sicherheitsmodul und die zugehörige Frankiermaschine registriert und für die Benutzung freigegeben, wonach die länderspezifische Software, Initialisierung und Authorisierung heruntergeladen werden können. Danach ist das Sicherheitsmodul als postalische Sicherheitseinrichtung (PSD = Postal Security Device) anerkannt, so dass die Frankiermaschine in Betrieb gehen, Gebühreneinheiten herunterladen und Frankierungen erzeugen kann. Wie unmittelbar aus der oberen Erläuterung ersichtlich ist, ist es bei der Erfindung nicht erforderlich, dass die Verpackung des Sicherheitsmoduls auf dem Weg zum Hersteller bis zum Endbenutzer geöffnet werden muss. Es können demnach Siegel an der Verpackung angebracht werden, so dass beim Benutzer ein unbefugtes Öffnen der Verpackung während des Transports leicht festgestellt werden kann. Durch die Verwendung der beschriebenen Zertifikate und der beschriebenen Labels wird ausserdem ein weitreichender Schutz vor Manipulationen mit Fälschungsabsicht erzielt. Nur wenn die Verifizierung und Registrierung am Ende des beschriebenen Verfahrens erfolgreich verläuft, kann das Sicherheitsmodul auch in Betrieb genommen werden.If this test is successful, the security module and the associated one Franking machine registered and released for use, after which the country-specific Software, initialization and authorization can be downloaded can. After that, the security module is a postal security device (PSD = Postal Security Device) recognized, so that the franking machine in operation go, download fee units and generate frankings. How is immediately apparent from the above explanation, it is not in the invention required that the packaging of the security module on the way to the manufacturer until the end user has to be opened. Accordingly, there can be seals be attached to the packaging so that unauthorized opening by the user the packaging can be easily identified during transport. Through the Use of the certificates and labels described also extensive protection against manipulation with the intention of forgery achieved. Only if the verification and registration at the end of the described If the procedure is successful, the security module can also be put into operation become.
Grundsätzlich muss ein Distributionssystem einer Reihe von Sicherheitsanforderungen
genügen und Schutz vor unterschiedlichen Manipulationen bieten. Diese sollen
nachfolgend kurz dargestellt werden:
Das erfindungsgemäße Verfahren und das erfindungsgemäße Distributionssystem kann allen beschriebenen Missbräuchen standhalten, ausser das Sicherheitsmodul wird beim Kunden gestohlen und die mechanischen Sicherheitsvorrichtungen werden aufgebrochen oder der öffentliche Transportschlüssel fällt dem Betrüger dabei in die Hände. Bei der erfindungsgemäßen Lösung muss einem Betrüger nicht nur ein registriertes Schlüsselpaar von Transportschlüsseln, sondern auch ein zugehöriger Identifikationscode in die Hände fällen. Wenn ein Betrüger nur das registrierte Transportschlüsselpaar und möglicherweise ein Sicherheitsmodul findet, ist es immer noch erforderlich, dass er dafür einen Identifikationscode beim Verteiler erzeugen lassen muss. Andernfalls wird sonst kein Identifikationscode in die zentrale Datenbank eingetragen und eine Registrierung oder Benutzung wird fehlschlagen. Nachdem das Verteilerzentrum einen Identifikationscode erzeugt und in der zentralen Datenbank gespeichert hat, könnte ein Betrüger auch versuchen, diesen aus der zentralen Datenbank auszulesen oder das Sicherheitsmodul auf dem Transportweg zum Benutzer abzufangen, um den Identifikationscode zu erhalten. Dabei ist anzumerken, dass nicht jedermann eine Verpackung mit einem Sicherheitsmodul und einem Label mit Identifikationscode bestellen kann.The method according to the invention and the distribution system according to the invention can withstand all described abuses, except for the security module is stolen from the customer and the mechanical security devices are broken open or the fraudsters lose the public transport key in the hands. In the solution according to the invention a fraudster does not have to only a registered key pair of transport keys, but also a fall into the hands of the associated identification code. If a scammer just that registered transport key pair and possibly finds a security module, it is still necessary that he have an identification code with the distributor must have generated. Otherwise no identification code will be inserted in the Central database entered and registration or use is made fail. After the distribution center generates an identification code and stored in the central database, a fraudster could also try read it from the central database or the security module on the Intercept transport route to the user to get the identification code. It should be noted that not everyone has packaging with a security module and can order a label with an identification code.
Das beschriebene erfindungsgemäße Distributionssystem umfasst eine verteilte Datenbank mit höchster Sicherheitsstufe, die in ausreichendem Maße gegen nichtautorisierten Zugriff geschützt werden muss. Dies ist dadurch gesichert, dass die Infrastruktur ein geschlossenes System ist ohne Zugriffsmöglichkeit über das Internet. The described distribution system according to the invention comprises a distributed one Database with the highest security level, which is sufficiently against unauthorized Access must be protected. This is ensured by the fact that Infrastructure a closed system has no access via the Internet.
Eine Verpackung mit einem Label auf dem Vertriebswege abzufangen wird allgemein als ausreichend schwierig angesehen. Die Anzahl der Versendungen von Sicherheitsmodulen ist relativ gering und es ist auch nicht möglich, ohne Barcodescanner einen öffentlichen Transportschlüssel von einem Label zu lesen. Noch schwieriger ist es dann, wenn das Label mit dem Identifikationscode über das erste Label geklebt ist.Catching packaging with a label through the distribution channels is becoming common considered sufficiently difficult. The number of shipments from Security modules is relatively small and it is also not possible without a barcode scanner read a public transport key from a label. Yet It is more difficult if the label with the identification code is above the first Label is stuck.
Der schwerwiegendste Betrugsversuch liegt vermutlich darin, eine große Anzahl von privaten Transportschlüsseln beim Hersteller zu kompromittieren und deren öffentliche Transportschlüssel mit derselben Anzahl von Verpackungen zu vergleichen, die in Ladenregalen liegen, um wenigstens eine einzige Übereinstimmung zu finden. Diese Betrugsmethode funktioniert nur dann, wenn der Betrüger irgendwie erkennen kann, welche Verpackungen in den Ladenregalen mit welchen von dem Hersteller kommenden Verpackungen übereinstimmen. Dies könnte dadurch erfolgen, dass ein Betrüger beim Verteilerzentrum den öffentlichen auf dem ersten Label gespeicherten Transportschlüssel in irgendeiner Weise ausliest, bevor das zweite Label darüber geklebt wird. Eine andere Möglichkeit wäre die heimliche Markierung von Verpackungen beim Hersteller, um dieselben Verpackungen später wiedererkennen zu können.The most serious attempt at fraud is probably a large number to compromise private transport keys with the manufacturer and their compare public transport keys with the same number of packages, that are on store shelves for at least one match to find. This fraud method only works if the scammer somehow can recognize which packaging on the store shelves with which of packaging coming to the manufacturer. This could be because of this be done that a scammer at the distribution center the public at first Reads the stored transport key in some way before that second label is stuck over it. Another option would be the secret one Marking of packaging at the manufacturer to use the same packaging later to be able to recognize.
All die beschriebenen Missbrauchsmöglichkeiten werden jedoch bei dem erfindungsgemäßen Distributionssystem und Verfahren unterbunden bzw. weitgehend vermieden, so dass die vorgesehenen Sicherheitsmaßnahmen nur unter sehr großem Aufwand umgangen werden können.However, all of the abuses described are in the inventive Distribution system and procedures prevented or largely avoided, so that the proposed security measures only under very great effort can be avoided.
Eine zweite Ausführungsform des erfindungsgemäßen Distributionssystems und
des erfindungsgemäßen Verfahrens soll anhand der Figuren 3 und 4 erläuert
werden. Anders als bei dem Distributionssystem gemäß Fig. 1 werden hier nicht
Schlüsselbpaare mit einem privaten und einem öffentlichen Schlüssel, sondern es
wird nur jeweils ein symmetrischer Schlüssel eingesetzt. Zunächst erzeugt der
Hersteller-Server 6 einen privaten Schlüssel k1, der mit dem regionalen Service-Center
5 vereinbart wird (Schritt 40). Ebenso generiert das Verteilerzentrum 2
einen eigenen privaten Schlüssel k2 und das Sicherheitsmodul 7 einen Transportschlüssel
tk (Schritte 41, 42). Nachdem das Sicherheitsmodul 7 den Transportschlüssel
tk an den Hersteller-Server 6 übertragen hat (Schritt 43), verschlüsselt
dieser den Transportschlüssel tk mit Hilfe seines privaten Schlüssels k1 mittels
eines Verschlüsselungsalgorithmus enc und sendet das Zertifikat c1 an das Sicherheitsmodul
7 zurück (Schritte 44, 45). Das Sicherheitsmodul 7 speichert das
Zertifikat c1, erstellt aus dem Transportschlüssel tk einen Hash-Wert h und druckt
diesen auf das Label 9, welches dann an der Verpackung 8 des Sicherheitsmoduls
7 angebracht wird (Schritt 46). Dieser Hash-Wert h wird schließlich über den
Hersteller-Server 6 auch in die zentrale Datenbank 4 eingetragen (Schritt 47).A second embodiment of the distribution system according to the invention and of the method according to the invention will be explained with reference to FIGS. 3 and 4. In contrast to the distribution system according to FIG. 1, key pairs with a private and a public key are not used here, but only a symmetrical key is used in each case. First, the manufacturer server 6 generates a private key k 1 , which is agreed with the regional service center 5 (step 40).
Bei dem Verteilerzentrum 2 wird der Hash-Wert h von dem Label 9 mittels des
Scanners 10 gelesen, ein Identifikationscode ID erzeugt und auf das zweite Label
13 gedruckt, welches dann über dem Label 9 auf der Verpackung 8 angebracht
wird (Schritt 48). Der Identifikationscode ID wird ebenfalls in der zentralen Datenbank
4 gespeichert und dort den Hash-Wert h zugeordnet (Schritt 49).In the
Am Benutzerort 3 wird vom Sicherheitsmodul 7 nach dessen Eintreffen mittels
eines Authentisierungsalgorithmus aus dem Transportschlüssel tk, der in dem
Sicherheitsmodul gespeichert ist, und dem Identifikationscode ID des Labels 13 ein
Verifizierungscode m, oft auch als MAC (Message Authentication Code) bezeichnet,
erzeugt (Schritt 50). Dieser wird zusammen mit dem Identifizierungscode ID
und dem Zertifikat c1 an das regionale Service-Center 5 übertragen (Schritt 51).
Dort wird das Zertifikat c1 mit Hilfe des privaten Schlüssels k1 mittels eines
Entschlüsselungsalgorithmus dec entschlüsselt, woraus sich der Transportschlüssel
tk ergibt, aus dem dann anschließend ein Hash-Wert h berechnet wird (Schritt 52).
Danach prüft das regionale Service-Center 5, ob der Identifizierungscode ID und der
Hash-Wert h in der zentralen Datenbank 4 enthalten sind (Schritt 53). Sofern dies
der Fall ist, erfolgt schließlich die Verifizierung mittels des Verifizieralgorithmus ver
mit Hilfe des Transportschlüssels tk, des Identifizierungscodes ID und des Verifizierungscodes
m (Schritt 54). Bei erfolgreicher Verifizierung kann dann die Registrierung
erfolgen, wonach das Sicherheitsmodul bestimmungsgemäß benutzt werden
kann.At the
Claims (16)
dadurch gekennzeichnet, dass zur Versendung mit dem Sicherheitsmodul der elektronische Schlüssel und/oder der Identifizierungscode an dem Sicherheitsmodul, an ein Gerät mit eingebautem Sicherheitsmodul oder an eine Transportverpackung des Sicherheitsmoduls oder des Geräts angebracht sind.Method according to claim 1,
characterized in that the electronic key and / or the identification code are attached to the security module, to a device with a built-in security module or to a transport packaging of the security module or the device for shipping with the security module.
dadurch gekennzeichnet, dass der elektronische Schlüssel und/oder der Identifizierungscode maschinenlesbar angebracht sind, insbesondere als Barcode oder als Datenträger, insbesondere Chipkarte, Magnetstreifenkarte oder ID-Tag.Method according to claim 2,
characterized in that the electronic key and / or the identification code are attached in a machine-readable manner, in particular as a bar code or as a data carrier, in particular a chip card, magnetic stripe card or ID tag.
dadurch gekennzeichnet, dass zur Erzeugung des Verifizierungscodes der Identifizierungscode in das Sicherheitsmodul eingegeben wird.Method according to one of the preceding claims,
characterized in that the identification code is entered into the security module to generate the verification code.
dadurch gekennzeichnet, dass ein Herstellerzentrum (1) am Herstellerort zur vollständigen oder teilweisen Fertigung der Sicherheitsmodule ausgestaltet ist, dass ein Verteilerzentrum (2) am Verteilerort zur Distribution der verpackten und von außen mit dem Identifizierungscode versehenen Sicherheitsmodule ausgestaltet ist und dass der Servicecenter (5) zur Versorgung der Sicherheitsmodule bei dem Benutzer mit Gebühreneinheiten ausgestaltet ist.Method according to one of the preceding claims,
characterized in that a manufacturer center (1) at the manufacturer location is designed for the complete or partial manufacture of the security modules, that a distribution center (2) at the distributor location is designed for distribution of the packaged security modules and provided with the identification code from the outside, and that the service center (5) to supply the security modules to the user with charge units.
dadurch gekennzeichnet, dass zur Speicherung in dem Sicherheitsmodul und zum Versenden mit dem Sicherheitsmodul in von außen lesbarer Form ein einziger mittels eines Authentisierungsalgorithmus erzeugter elektronischer Schlüssel verwendet wird.Method according to one of the preceding claims,
characterized in that a single electronic key generated by means of an authentication algorithm is used for storage in the security module and for sending with the security module in an externally readable form.
dadurch gekennzeichnet, dass zur Verschlüsselung ein einziger, nur dem Herstellerzentrum (1) und einem Servicecenter (5) bekannter elektronischer Schlüssel verwendet wird. Method according to claim 6,
characterized in that a single electronic key known only to the manufacturer center (1) and a service center (5) is used for encryption.
dadurch gekennzeichnet, dass zur Speicherung in dem Sicherheitsmodul und zum Versenden mit dem Sicherheitsmodul in von außen lesbarer Form ein mittels eines digitalen Signaturalgorithmus erzeugtes elektronisches Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel verwendet wird.Method according to one of claims 1 to 5,
characterized in that an electronic key pair with a private and a public key generated by means of a digital signature algorithm is used for storage in the security module and for sending with the security module in a form that is readable from the outside.
dadurch gekennzeichnet, dass nur der öffentliche Schlüssel in der zentralen Datenbank (4) gespeichert und mit dem Sicherheitsmodul von außen lesbar versendet wird und dass der private Schlüssel ausschließlich im Sicherheitsmodul gespeichert ist und nur zur Erzeugung des Verifizierungscodes verwendet wird.A method according to claim 8,
characterized in that only the public key is stored in the central database (4) and sent with the security module so that it can be read from the outside, and that the private key is stored exclusively in the security module and is only used to generate the verification code.
dadurch gekennzeichnet, dass zur Erzeugung von Zertifikaten ein elektronisches Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel verwendet wird.Method according to claim 8 or 9,
characterized in that an electronic key pair from a private and a public key is used to generate certificates.
dadurch gekennzeichnet, dass der elektronische Schlüssel und der Identifizierungscode statt in der zentralen Datenbank (4) gespeichert zu werden, über ein Netzwerk, in dem Sicherheitsmodul gespeichert oder auf sonstigem Weg für die Verifizierung des Sicherheitsmoduls übermittelt wird.Method according to one of the preceding claims,
characterized in that, instead of being stored in the central database (4) , the electronic key and the identification code are transmitted over a network, in the security module or transmitted in some other way for the verification of the security module.
dadurch gekennzeichnet, dass die Daten der zentralen Datenbank (4) verschlüsselt sind und dass das Herstellerzentrum (1) und ein zur Registrierung des Sicherheitsmoduls vorgesehenes Servicecenter (5) einen Schlüssel zum Zugriff auf die Datenbank (4) besitzen.Method according to one of the preceding claims,
characterized in that the data of the central database (4) are encrypted and that the manufacturer center (1) and a service center (5) provided for registration of the security module have a key for accessing the database (4).
dadurch gekennzeichnet, dass die Versendung des Sicherheitsmoduls von dem Herstellerort zum Verteilerort und vom Verteilerort zum Benutzerort in einer verschlossen bleibenden Versandverpackung erfolgt.Method according to one of the preceding claims,
characterized in that the security module is dispatched from the manufacturer's location to the distribution location and from the distribution location to the user location in a sealed shipping packaging.
dadurch gekennzeichnet, dass Verteilerzentrum (2) den Servicecenter (5) umfasst und dass das Verteilerzentrum (2) und/oder der Servicecenter (5) von einem regionalen Betreiber betrieben werden. Distribution system according to claim 14,
characterized in that the distribution center (2) comprises the service center (5) and that the distribution center (2) and / or the service center (5) are operated by a regional operator.
dadurch gekennzeichnet, dass das Verteilerzentrum (2) derart ausgestaltet ist, dass alle in einem territorialen Gebiet zu betreibenden Sicherheitsmodule den Verteilerort vor der Registrierung durchlaufen müssen.Distribution system according to claim 14 or 15,
characterized in that the distribution center (2) is designed in such a way that all security modules to be operated in a territorial area must pass through the distribution point before registration.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10020904A DE10020904B4 (en) | 2000-04-28 | 2000-04-28 | Procedure for the secure distribution of security modules |
DE10020904 | 2000-04-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
EP1150256A1 true EP1150256A1 (en) | 2001-10-31 |
EP1150256B1 EP1150256B1 (en) | 2007-05-02 |
Family
ID=7640249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP01104610A Expired - Lifetime EP1150256B1 (en) | 2000-04-28 | 2001-02-23 | Method for the secure distribution of security modules |
Country Status (3)
Country | Link |
---|---|
US (1) | US6850912B2 (en) |
EP (1) | EP1150256B1 (en) |
DE (2) | DE10020904B4 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1967976A2 (en) | 2007-03-06 | 2008-09-10 | Francotyp-Postalia GmbH | Method for authenticated transfer of a personalised database or program to a hardware security module, in particular a franking machine |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4355124B2 (en) * | 2002-01-31 | 2009-10-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Entrance / exit management system, entrance / exit management method, program for executing entrance / exit management, and recording medium recording the program |
US20030229795A1 (en) * | 2002-02-19 | 2003-12-11 | International Business Machines Corporation | Secure assembly of security keyboards |
DE10260406B4 (en) * | 2002-12-16 | 2007-03-08 | Francotyp-Postalia Gmbh | Method and arrangement for different generation of cryptographic backups of messages in a host device |
US7433847B2 (en) * | 2004-09-22 | 2008-10-07 | Pitney Bowes Inc. | System and method for manufacturing and securing transport of postage printing devices |
US7634802B2 (en) * | 2005-01-26 | 2009-12-15 | Microsoft Corporation | Secure method and system for creating a plug and play network |
US8908870B2 (en) * | 2007-11-01 | 2014-12-09 | Infineon Technologies Ag | Method and system for transferring information to a device |
US8627079B2 (en) * | 2007-11-01 | 2014-01-07 | Infineon Technologies Ag | Method and system for controlling a device |
US20110169602A1 (en) * | 2010-01-08 | 2011-07-14 | Gaffney Gene F | System and method for monitoring products in a distribution chain |
CN104229243B (en) * | 2014-09-26 | 2016-05-25 | 国网重庆市电力公司电力科学研究院 | Electric energy meter automatic labeling production line |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0735722A2 (en) * | 1995-03-31 | 1996-10-02 | Pitney Bowes Inc. | Cryptographic key management and validation system |
WO1998057302A1 (en) * | 1997-06-13 | 1998-12-17 | Pitney Bowes Inc. | Virtual postage metering system |
EP0948158A2 (en) * | 1998-04-01 | 1999-10-06 | Francotyp-Postalia GmbH | Method for secure key distribution |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5153842A (en) * | 1990-02-05 | 1992-10-06 | Pitney Bowes Inc. | Integrated circuit package label and/or manifest system |
JPH08101867A (en) * | 1994-09-30 | 1996-04-16 | Fujitsu Ltd | Software use permission system |
US5786587A (en) * | 1995-08-10 | 1998-07-28 | American Bank Note Holographics, Inc. | Enhancement of chip card security |
US6260144B1 (en) * | 1996-11-21 | 2001-07-10 | Pitney Bowes Inc. | Method for verifying the expected postal security device in a postage metering system |
US6289452B1 (en) * | 1997-11-07 | 2001-09-11 | Cybersource Corporation | Method and system for delivering digital products electronically |
-
2000
- 2000-04-28 DE DE10020904A patent/DE10020904B4/en not_active Expired - Fee Related
-
2001
- 2001-02-23 EP EP01104610A patent/EP1150256B1/en not_active Expired - Lifetime
- 2001-02-23 DE DE50112418T patent/DE50112418D1/en not_active Expired - Lifetime
- 2001-04-24 US US09/841,335 patent/US6850912B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0735722A2 (en) * | 1995-03-31 | 1996-10-02 | Pitney Bowes Inc. | Cryptographic key management and validation system |
WO1998057302A1 (en) * | 1997-06-13 | 1998-12-17 | Pitney Bowes Inc. | Virtual postage metering system |
EP0948158A2 (en) * | 1998-04-01 | 1999-10-06 | Francotyp-Postalia GmbH | Method for secure key distribution |
Non-Patent Citations (1)
Title |
---|
"INFORMATION-BASED INDICIA PROGRAM (IBIP) PERFORMANCE CRITERIA FOR INFORMATION-BASED INDICIA AND SECURITY ARCHITECTURE FOR CLOSED IBI POSTAGE METERING SYSTEMS", INFORMATION BASED INDICIA PROGRAM HOST SYSTEM SPECIFICATION,XX,XX, 12 January 1999 (1999-01-12), pages COMPLETE, XP002138350 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1967976A2 (en) | 2007-03-06 | 2008-09-10 | Francotyp-Postalia GmbH | Method for authenticated transfer of a personalised database or program to a hardware security module, in particular a franking machine |
DE102007011309A1 (en) * | 2007-03-06 | 2008-09-11 | Francotyp-Postalia Gmbh | Method for authenticated transmission of a personalized data record or program to a hardware security module, in particular a franking machine |
DE102007011309B4 (en) * | 2007-03-06 | 2008-11-20 | Francotyp-Postalia Gmbh | Method for authenticated transmission of a personalized data record or program to a hardware security module, in particular a franking machine |
Also Published As
Publication number | Publication date |
---|---|
DE50112418D1 (en) | 2007-06-14 |
US20020046175A1 (en) | 2002-04-18 |
EP1150256B1 (en) | 2007-05-02 |
DE10020904B4 (en) | 2004-12-09 |
US6850912B2 (en) | 2005-02-01 |
DE10020904A1 (en) | 2001-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3841389C2 (en) | Information transmission system for the reliable determination of the authenticity of a large number of documents | |
DE3841393C2 (en) | Reliable system for determining document authenticity | |
DE69434621T2 (en) | Postage due system with verifiable integrity | |
DE60211841T2 (en) | Device for updating and revoking the validity of a trade mark in a public-key infrastructure | |
EP0944027B1 (en) | Franking machine and a method for generating valid data for franking | |
DE69628780T3 (en) | Method for creating secure boxes in a key management system | |
WO2003005307A1 (en) | Method for verifying the validity of digital franking notes | |
DE69636631T2 (en) | Method for generating and registering basic keys | |
DE10136608B4 (en) | Method and system for real-time recording with security module | |
EP2283456B1 (en) | Method and device for identifying objects | |
EP1150256B1 (en) | Method for the secure distribution of security modules | |
DE10056599C2 (en) | Method for providing postage with postage indicia | |
DE10020566C2 (en) | Method for providing postage with postage indicia | |
CN100486156C (en) | Forming and verifying system for bill anti-fake code | |
WO2002039390A1 (en) | Method for providing postal deliveries with franking stamps | |
US7409062B2 (en) | Method and device for the generation of checkable forgery-proof documents | |
DE102021127976B4 (en) | Recovering a cryptographic key |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): CH DE FR GB IT LI Kind code of ref document: A1 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE TR |
|
AX | Request for extension of the european patent |
Free format text: AL;LT;LV;MK;RO;SI |
|
17P | Request for examination filed |
Effective date: 20020502 |
|
RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: FRANCOTYP-POSTALIA AG & CO. KG |
|
AKX | Designation fees paid |
Free format text: CH DE FR GB IT LI |
|
17Q | First examination report despatched |
Effective date: 20040714 |
|
RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: FRANCOTYP-POSTALIA GMBH |
|
GRAP | Despatch of communication of intention to grant a patent |
Free format text: ORIGINAL CODE: EPIDOSNIGR1 |
|
GRAS | Grant fee paid |
Free format text: ORIGINAL CODE: EPIDOSNIGR3 |
|
GRAA | (expected) grant |
Free format text: ORIGINAL CODE: 0009210 |
|
AK | Designated contracting states |
Kind code of ref document: B1 Designated state(s): CH DE FR GB IT LI |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: FG4D Free format text: NOT ENGLISH |
|
GBT | Gb: translation of ep patent filed (gb section 77(6)(a)/1977) |
Effective date: 20070502 |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: NV Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG Ref country code: CH Ref legal event code: EP |
|
REF | Corresponds to: |
Ref document number: 50112418 Country of ref document: DE Date of ref document: 20070614 Kind code of ref document: P |
|
ET | Fr: translation filed | ||
PLBE | No opposition filed within time limit |
Free format text: ORIGINAL CODE: 0009261 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT |
|
26N | No opposition filed |
Effective date: 20080205 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: CH Payment date: 20110222 Year of fee payment: 11 Ref country code: IT Payment date: 20110221 Year of fee payment: 11 Ref country code: FR Payment date: 20110302 Year of fee payment: 11 Ref country code: DE Payment date: 20101214 Year of fee payment: 11 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: GB Payment date: 20110217 Year of fee payment: 11 |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: PFA Owner name: FRANCOTYP-POSTALIA GMBH Free format text: FRANCOTYP-POSTALIA GMBH#TRIFTWEG 21-26#16547 BIRKENWERDER (DE) -TRANSFER TO- FRANCOTYP-POSTALIA GMBH#TRIFTWEG 21-26#16547 BIRKENWERDER (DE) |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: PL |
|
GBPC | Gb: european patent ceased through non-payment of renewal fee |
Effective date: 20120223 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: CH Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120229 Ref country code: LI Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120229 |
|
REG | Reference to a national code |
Ref country code: FR Ref legal event code: ST Effective date: 20121031 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: IT Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120223 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R119 Ref document number: 50112418 Country of ref document: DE Effective date: 20120901 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: FR Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120229 Ref country code: GB Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120223 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: DE Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20120901 |