[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE69913142T2 - Vorrichtung und verfahren zur sicheren informationsverarbeitung - Google Patents

Vorrichtung und verfahren zur sicheren informationsverarbeitung Download PDF

Info

Publication number
DE69913142T2
DE69913142T2 DE69913142T DE69913142T DE69913142T2 DE 69913142 T2 DE69913142 T2 DE 69913142T2 DE 69913142 T DE69913142 T DE 69913142T DE 69913142 T DE69913142 T DE 69913142T DE 69913142 T2 DE69913142 T2 DE 69913142T2
Authority
DE
Germany
Prior art keywords
processing
power supply
information
processing device
switching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69913142T
Other languages
English (en)
Other versions
DE69913142D1 (de
Inventor
Per Christoffersen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cryptera AS
Original Assignee
Sagem Denmark AS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sagem Denmark AS filed Critical Sagem Denmark AS
Publication of DE69913142D1 publication Critical patent/DE69913142D1/de
Application granted granted Critical
Publication of DE69913142T2 publication Critical patent/DE69913142T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B15/00Suppression or limitation of noise or interference
    • H04B15/02Reducing interference from electric apparatus by means located at or near the interfering apparatus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • G06F21/755Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)
  • Power Sources (AREA)
  • Communication Control (AREA)
  • Multi-Process Working Machines And Systems (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)

Description

  • Die Erfindung betrifft die sichere Informationsverarbeitung und besonders ein Verfahren und eine Vorrichtung zum Bereitstellen einer sicheren Verschlüsselung von Informationen, die gegen Zugriff beispielsweise durch betrügerische Personen geschützt werden sollen.
  • Bei einer Reihe von Anwendungen wird vor der Übertragung sensitiver Informationen über "offene" Kommunikationskanäle eine Verschlüsselung angewandt. Diese Informationen beziehen sich oft auf finanzielle Transaktionen, können aber auch irgendeine Art von mehr oder weniger sicherheitskritischen Informationen sein, die sich auf finanzielle Transaktionen oder andere Geschäftsarten beziehen. Bei einigen dieser Transaktionen können nicht einmal alle Schaltungen, in welche diese Informationen eingegeben werden oder in denen sie erzeugt werden, als geschützt oder sicher vor Dritten angenommen werden. In dieser Situation können die oft sehr empfindlichen Schlüssel, auf denen die Verschlüsselung beruht, zufällig preisgegeben werden. Um dies zu verhindern, werden sogenannte Sicherheitsmodule bereitgestellt, in denen die Verschlüsselung erfolgt und in denen die Chiffrierschlüssel auf sichere Art gespeichert sind. Diese "sichere Art" erfordert häufig den Einschluß der Verschlüsselungseinrichtung und der Schlüsselaufnahmeeinrichtung in ein Gehäuse, zusammen mit einer Einrichtung zur Erkennung von Versuchen, die Schlüssel oder das Verschlüsselungsverfahren aufzudecken. Diese Erkennungseinrichtung könnte bei einer solchen Erkennung die Schlüssel und das Verschlüsselungsverfahren löschen oder sie auf andere Weise unlesbar machen. Auf diese Weise treten die Informationen, nachdem sie einmal in die Aufnahmeeinrichtung wurden, nur in verschlüsselter Form wieder aus.
  • Ein anderes, ähnliches, sicher ausführbares Verfahren ist die Authentifikation einer Nachricht. Eine Authentifikation läßt sich durchführen, indem eine Operation an der Nachricht- die unter Umständen im Klartext gesendet worden ist – ausgeführt wird, wobei das Ergebnis der Operation verschlüsselt und zum Empfänger gesendet wird, der das Ergebnis entschlüsselt und mit einer gleichartigen Operation vergleicht, die im Empfänger ausgeführt wird. Wenn die Ergebnisse übereinstimmen, ist die Nachricht während der Übertragung nicht verändert worden.
  • Natürlich sollten Verschlüsselung und Entschlüsselung ebenso wie die Erzeugung der Authentifikationsinformation und der Authentifikationsschritt im Empfänger sicher ausgeführt werden, da alle diese Operationen die empfindlichen Verfahren und Schlüssel erfordern.
  • Es ist jedoch in letzter Zeit beobachtet worden, daß die Informationsverarbeitung innerhalb eines Mikroprozessors durch Überwachung seines Stromverbrauchs – ebenso wie durch Überwachung der E/A-Anschlüsse des Mikroprozessors – beobachtet werden kann. Auf diese Weise können die Verfahren, durch welche die Informationen verschlüsselt werden, d. h. die Verschlüsselungsalgorithmen und möglicherweise die Chiffrierschlüssel, durch Betrüger oder andere nicht autorisierte dritte Personen ermittelt werden, wodurch dementsprechend die Gesamtsicherheit des Systems schwerwiegend vermindert wird.
  • Kürzlich wurde veröffentlicht, daß durch Überwachung des Stromverbrauchs des Prozessors solche sicherheitskritischen Informationen aufgedeckt werden können. Außerdem ist festgestellt worden, daß mindestens zwei weitere Mechanismen existieren, die Informationen bezüglich der Verarbeitung im Mikroprozessor aufdecken können. Die E/A-Anschlüsse des Prozessors sind kapazitiv mit vielen anderen Teilen des Mikroprozessors gekoppelt, wodurch Signale, die sich beispielsweise auf die Verschlüsselungsverarbeitung im Prozessor beziehen, zufällig zu den E/A-Anschlüssen übertragen werden können. Ein weiterer Mechanismus, der gleichfalls diese Signale zu den E/A-Anschlüssen des Prozessors übertragen kann, ist eine typische gemeinsame Spannungsversorgungsleitung zwischen dem CPU- Teil des Mikroprozessors und den E/A-Anschlüssen des Prozessors. Welligkeitsspannungen auf dieser gemeinsamen Versorgungsleitung, die von Stromimpulsen zur Stromversorgung von logischen Schaltungen der CPU herrühren, modulieren außerdem die Speisespannungen der E/A-Anschlüsse, so daß durch Messung von Schwankungen der Ausgangsspannungen von E/A-Anschlüssen zufällig Informationen zum Verarbeitungsvorgang im Prozessor aufgedeckt werden können.
  • Die vorliegende Erfindung bietet einfache und innovative Lösungen dieser obenerwähnten Probleme. Früher sind bereits verschiedene Lösungen vorgeschlagen worden, die sich auf verschiedene Arten der Änderung des gegenwärtigen Verschlüsselungsverfahrens beziehen, damit die preisgegebenen Informationen weniger klar sind. Um jedoch bestehende Vorrichtungen und Verfahren schnell zu modifizieren, ermöglicht die vorliegende Erfindung die Verwendung existierender und vollständig geprüfter Verschlüsselungsverfahren.
  • Eine weitere Aufgabe der Erfindung ist die Bereitstellung eines Verfahrens zur Modifikation der bestehenden Vorrichtung, um einen relativ geringen Umfang an zusätzlicher Hardware zu nutzen, die in ein relativ kleines Volumen der Abschirmungseinrichtung integriert werden kann.
  • Infolgedessen betrifft die Erfindung nach einem ersten Aspekt eine Vorrichtung zur sicheren Informationsverarbeitung gemäß Anspruch 1.
  • Im Zusammenhang mit Bankautomaten bzw. ATM, Verkaufsautomaten usw. kann die Einrichtung zur Bereitstellung der zu verarbeitenden Informationen eine Tastatur sein, von der aus ein zu verschlüsselnder PIN-Code bereitgestellt wird – oder außerhalb der Halte- bzw. Aufnahmeeinrichtung vorgesehene Schaltungen, die weitere zu verschlüsselnde Informationen bereitstellen, die in einem Geldgeschäft verwendet werden. Die Einrichtung zur Informationsbereitstellung kann auch einen bidirektionalen seriellen Datenbus aufweisen, der die Informationen zwischen einem Chipkartenlesegerät oder einer Lesestation und der Verarbeitungseinrichtung in Form eines auf einer Chipkarte angeordneten Chipkartenprozessors überträgt.
  • Dementsprechend kann eine erfindungsgemäße Vorrichtung auch eine Chipkarte sein. Eine Chipkarte weist einen Chipkartenprozessor auf, der auf der Karte angeordnet oder darin vergraben ist, typischerweise in einer Kerbe oder einem Einschnitt, der in den Kunststoffträger der Karte geprägt oder gebohrt wird. Der Chipkartenprozessor wird oft durch ein Stück Schutzmaterial eingekapselt, wie z. B. ein Stück Epoxidharzüberzug, das Feuchtigkeit und andere Verunreinigungen vom Prozessor fernhält und in diesem Zusammenhang als Aufnahmeeinrichtung für den Chipkartenprozessor dient. Ein Chipkartenprozessor weist typischerweise einen CPU-Teil oder CPU-Schaltungsblock zur Ausführung von Verschlüsselungs-/Entschlüsselungs-Algorithmen sowie zur Ausführung verschiedener "Haushalts"-Aufgaben auf, wie z. B. Einlesen von einem und Schreiben auf einen flüchtigen und/oder nichtflüchtigen Speicher, Kommunikation über E/A-Anschlüsse usw., die erforderlich sind, um der Chipkarte eine vorgeschriebene Funktionalität zu geben. Wahlweise kann der Chipkartenprozessor zusätzlich einen Verschlüsselungsprozessor aufweisen, der die CPU von einem Teil ihrer Arbeitslast entlasten kann, indem er die oft komplizierten Verschlüsselungs-/Entschlüsselungs-Algorithmen berechnet, wie z. B. Algorithmen, di auf Codierungsformen mit privatem Schlüssel/öffentlichem Schlüssel basieren. Diese Algorithmusberechnungen schließen ebenso wie ihr dazugehöriger Schlüssel offenbar eine Verarbeitung sicherheitskritischer Informationen ein, die vor unbefugten Dritten zu verbergen ist. Die Berechnung der Algorithmen kann gänzlich durch den Verschlüsselungsprozessor ausgeführt werden, wenn einer innerhalb der Verarbeitungseinrichtung verfügbar ist, oder alternativ nur teilweise, in Abhängigkeit von der mit einem bestimmten Algorithmus verbundenen Rechenarbeitslast im Hinblick auf die Verarbeitungsleistung der CPU und des Verschlüsselungsprozessors.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung führt der Verschlüsselungsprozessor im wesentlichen die gesamte erforderliche sicherheitskritische oder geheime Verarbeitung aus, wobei er während dieser sicherheitskritischen Operationen von der zweiten Stromversorgungseinrichtung mit Strom versorgt wird. In dieser Ausführungsform kann die CPU aus der ersten Stromversorgungseinrichtung mit Strom versorgt werden, da sie keine sicherheitskritische Operation ausführt. Durch Speisen der CPU aus der ersten Stromversorgungseinrichtung kann die in der zweiten Stromversorgungseinrichtung gespeicherte Energie die Ausführung von mehr Verarbeitungsschritten im Verschlüsselungsprozessor ermöglichen, bevor die Energiespeicherkapazität dieser Stromversorgungseinrichtung erschöpft ist. Dementsprechend kann in dieser Ausführungsform der Verschlüsselungsprozessor vorteilhaft im wesentlichen die gesamte erforderliche geheime Verarbeitung ausführen, so daß eine Überwachung des Energie- bzw. Stromverbrauchs der ersten Stromversorgungseinrichtung keine Informationen über die durch den Chipkartenprozessor genutzten sicherheitskritischen Verarbeitungsschritte, Chiffrierschlüssel und Algorithmen enthüllt.
  • Die zweite Stromversorgungseinrichtung kann einen oder mehrere, auf dem Chipkartenprozessor integrierte Kondensatoren aufweisen. Dies macht eine Überwachung des Stromverbrauchs eines bzw. mehrerer solcher integrierter Kondensatoren wegen der extrem kleinen Größe integrierter Schaltkreisblöcke und Kondensatoren und ihrer dazugehörigen Stromleitungen sehr schwierig. Ferner kann die Oberfläche des Chipkartenprozessors mit einem hochwiderstandsfähigen Beschichtung überzogen werden, die sogar die Mikrosondierung des Chips schwierig oder unmöglich macht. Gemäß einer alternativen Ausführungsform kann ein spezifisches Kondensatorsubstrat, das einen oder mehrere Kondensatoren aufnimmt und an den Chipkartenprozessor angrenzt, die zweite Stromversorgungseinrichtung bilden. Diese Lösung kann vorteilhaft sein, wenn die integrierten Kondensatoren auf dem Chipkartenprozessor keine ausreichende Energiemenge für die Verarbeitungseinrichtungen liefern können, welche die sicherheitskritische Verarbeitung ausführen.
  • Die Aufnahmeeinrichtung kann den physikalischen Zugang zur Verarbeitungseinrichtung schwierig oder unmöglich machen, wie z. B. eine Aufnahmeeinrichtung, die durch einen Metallmantel oder ein Metallgehäuse oder durch ein hartes Stück Epoxidharzschicht gebildet wird. Statt den Zugang unmöglich zu machen, kann die Aufnahmeeinrichtung dazu führen, daß bestimmte Teile der darin enthaltenen Schaltungen durch unbefugtes Öff nen zerstört werden. Außerdem können die darin enthaltenen Schaltungen Funktionen bereitstellen und/oder Einrichtungen aufweisen, die Chiffrierschlüssel und -verfahren löschen oder auf andere Weise unlesbar machen, wenn ein Zugriffsversuch erfaßt worden ist. In dieser Situation würde die Aufnahmeeinrichtung lediglich ein zufälliges Öffnen verhindern, das zur sofortigen Zerstörung der Betriebsbereitschaft der Verschlüsselungseinrichtung führen würde.
  • Daher braucht durch Bereitstellen einer Energiespeichereinrichtung innerhalb der Aufnahmeeinrichtung Energie nicht außerhalb der Aufnahmeeinrichtung für die Verarbeitungseinrichtung bereitgestellt zu werden, wenn die Verarbeitung ausgeführt wird. Auf diese Weise kann die obenerwähnte Aufdekkung von Parametern des Verarbeitungsverfahrens vermieden werden.
  • Oft besteht die erste Stromversorgungseinrichtung aus einer Anzahl von Leitern und wahlweise auch aus einer Anzahl von elektrischen Kontaktstellen, die außerhalb der Aufnahmeeinrichtung erzeugte Energie ins Innere der Aufnahmeeinrichtung transportieren. Bei Vorrichtungen nach dem Stand der Technik würde die aus diesen Leitungen empfangene Energie beispielsweise direkt die Verarbeitungseinrichtung in der Aufnahmeeinrichtung speisen. Erfindungsgemäß kann jetzt diese direkte Einspeisung von Energie verhindert werden, zumindest in Zeitintervallen, in denen der sicherheitskritische Teil der Verarbeitung ausgeführt wird. Dadurch geben diese Leitungen nicht versehentlich Informationen über den Verarbeitungsvorgang in der Verarbeitungseinrichtung aus der Aufnahmeeinrichtung nach außen weiter.
  • Die zweite Stromversorgungseinrichtung ist so angepaßt, daß sie Strom in die Verarbeitungseinrichtung oder zumindest in den Teil der Verarbeitungseinrichtung einspeist, wenn die Schalteinrichtung eine Stromeinspeisung aus der ersten Stromversorgungseinrichtung in die Verarbeitungseinrichtung oder zumindest in den Teil der Verarbeitungseinrichtung verhindert.
  • Um jede Weitergabe der obenerwähnten Informationen über den Betrieb der Verarbeitungseinrichtung aus der Aufnahmeeinrichtung nach außen durch den Betrieb der Speichereinrichtung zu verhindern, ist die Steuereinrichtung außerdem daran angepaßt, die Schalteinrichtung so zu steuern, daß diese eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung verhindert und gleichzeitig eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung verhindert.
  • Normalerweise wäre nur erforderlich, eine "innere Stromversorgung" der Verarbeitungseinrichtung oder zumindest des Teils der Verarbeitungseinrichtung während der Zeitspannen bereitzustellen, in denen die Verarbeitungseinrichtung eine sicherheitskritische Informationsverarbeitung ausführt. Daher ist die Steuereinrichtung außerdem daran angepaßt, die Schalteinrichtung so zu steuern, daß diese die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung wiederherstellt, nachdem diese die sicherheitskritische Verarbeitung ausgeführt haben. In dieser Situation kann es auch vorteilhaft sein, wenn die Steuereinrichtung außerdem daran angepaßt ist, die Schalteinrichtung so zu so steuern, daß die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung wiederhergestellt wird, sobald die Verarbeitungseinrichtung oder zumindest der Teil der Verarbeitungseinrichtung die sicherheitskritische Verarbeitung ausgeführt haben.
  • Normalerweise weist die Vorrichtung ferner eine Einrichtung zur Ausgabe der verarbeiteten Informationen auf, um diese beispielsweise in dem Fall, wo die Verarbeitung eine sicherheitskritische Verarbeitung aufweist, wie z. B. eine Verschlüsselung, zu einem Empfangsteil zur Verschlüsselung und/oder zur Echtheitskontrolle zu übertragen.
  • Normalerweise ist die Verarbeitungseinrichtung zur Steuerung durch einen Anweisungssatz ausgelegt. Dabei weist der Anweisungssatz eine oder mehrere Verhinderungsanweisungen auf, welche die Steuereinrichtung veranlassen, die Schalteinrichtung so zu steuern, daß diese die Stromeinspeisung von der ersten Stromversorgungseinrichtung in die Verarbeitungseinrichtung oder zumindest in den Teil der Verarbeitungseinrichtung verhindert. Der mit einer bestimmten Anwendung verbundene Anweisungssatz weist häufig eine Teilmenge von Anweisungen auf, die den sicherheitskritischen Teil der Verarbeitung ausführen. Dieser Teilmenge von sicherheitskritischen Anweisungen ist häufig die Verhinderungsanweisung vorangestellt. Diese Anweisungsteilmenge ist häufig die Softwarebearbeitung der eigentlichen sicherheitskritischen Verarbeitung, und dementsprechend ist zu verhindern, daß irgendeine Information darüber nach außen dringt.
  • Der Anweisungssatz weist ferner eine Wiederherstellungsanweisung auf, die auf die sicherheitskritische Anweisungsteilmenge folgt, wobei die Wiederherstellungsanweisung die Steuereinrichtung veranlaßt, die Schalteinrichtung so zu steuern, daß diese die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung und wahlweise zur Speichereinrichtung wiederherstellt.
  • Durch Anwendung der vorliegenden Erfindung können daher tatsächlich die sicherheitskritischen Informationen sowie die Teilmenge von Anweisungen, welche die sicherheitskritische Verarbeitung ausführen (die oft einen Verschlüsselungs-/Entschlüsselungs-Algorithmus aufweist) unverändert bleiben, und für die Software, welche die Verarbeitungseinrichtung steuert, können als einzige Modifikation die Verhinderungs- und Wiederherstellungsanweisungen vor und nach dem sicherheitskritischen Teil der Verarbeitung eingefügt werden.
  • Auch wenn die Verhinderung der Stromeinspeisung in die Verarbeitungseinrichtung sicherstellen würde, daß Informationen, die sich auf den Verarbeitungsprozeß beziehen, nicht über den Stromverbrauch preisgegeben werden, ist es unter Umständen vorzuziehen, die Schalteinrichtung so anzupassen, daß eine galvanische Verbindung der ersten Stromversorgungseinrichtung zwischen einer Position außerhalb der Aufnahmeeinrichtung und der Verarbeitungseinrichtung entfernt wird, wenn die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung verhindert wird, und entsprechend die Schalteinrichtung auch so anzupassen, daß eine galvanische Verbindung der ersten Stromversorgungseinrichtung zwischen dem Raum außerhalb der Aufnahmeeinrichtung und der Speichereinrichtung unterbrochen wird, wenn die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Speichereinrichtung verhindert wird.
  • Vorzugsweise wird die Energiespeichereinrichtung aus der Gruppe ausgewählt, die aus einer Batterie, einem Kondensator und einer Induktionsspule besteht, und die Schalteinrichtung wird vorzugsweise aus der Gruppe ausgewählt, die aus Relais, Transistoren und Dioden besteht.
  • Eine einfache "Schaltoperation" der Stromversorgungseinrichtung kann erzielt werden, wenn die Speichereinrichtung und die zweite Stromversorgungseinrichtung so angepaßt sind, daß sie automatisch Energie an die Verarbeitungseinrichtung oder zumindest an den Teil der Verarbeitungseinrichtung liefern, wenn die Schalteinrichtung betätigt wird, um die Stromeinspeisung von der ersten Stromversorgungseinrichtung in die Verarbeitungseinrichtung oder zumindest in den Teil der Verarbeitungseinrichtung zu verhindern. Auf diese Weise kann die eine Schalteinrichtung ausreichen, um den Schaltvorgang auszuführen. Eine alternative Lösung erhält man, wenn die Vorrichtung eine zusätzliche Schalteinrichtung aufweist, die so angepaßt ist, daß sie eine Stromversorgung von der Speichereinrichtung und der zweiten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung bereitstellt und/oder verhindert, wenn die Schalteinrichtung betätigt wird, um eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung zu verhindern. Auf diese Weise werden zwei Schalteinrichtungen vorgesehen, deren Betrieb beispielsweise koordiniert werden kann.
  • Im allgemeinen kann die sicherheitskritische Verarbeitung der Informationen irgendeine Verarbeitung sein, die mit sicherheitsempfindlichen Algorithmen oder Daten zu tun hat. Der größte Teil einer derartigen Verarbeitung beinhaltet Verschlüsselung, Entschlüsselung, Echtheitskontrolle oder die Erzeugung von Daten zur Verwendung in einer anschließenden Echtheitskontrolle.
  • Nach einem zweiten Aspekt betrifft die vorliegende Erfindung ein Verfahren zur sicheren Informationsverarbeitung unter Verwendung der obenerwähnten Vorrichtung, wobei das Verfahren aufweist:
    • – Bereitstellen der zu verarbeitenden Informationen,
    • – Betätigung der Schalteinrichtung, um eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung zu verhindern,
    • – Stromversorgung der Verarbeitungseinrichtung oder zumindest des Teils der Verarbeitungseinrichtung aus der Energiespeichereinrichtung unter Verwendung der zweiten Stromversorgungseinrichtung, und
    • – Verarbeitung der Informationen unter Verwendung der Verarbeitungseinrichtung oder zumindest des Teils der Verarbeitungseinrichtung.
  • Die Schalteinrichtung verhindert außerdem eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung und verhindert gleichzeitig auch die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung.
  • Wie oben erwähnt, stellt die Schalteinrichtung die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung wieder her, wenn diese die sicherheitskritische Verarbeitung ausgeführt haben, und die Schalteinrichtung stellt auch die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung wieder her, wenn die Verarbeitungseinrichtung oder zumindest der Teil der Verarbeitungseinrichtung die sicherheitskritische Verarbeitung ausgeführt haben.
  • Außerdem weist das Verfahren ferner den Schritt zur Ausgabe der verarbeiteten Informationen oder zumindest eines Teils der Informationen nach deren Verarbeitung auf, da die Informationen jetzt in einem für Dritte nicht lesbaren Format vorliegen und daher sicher zu dem vorgesehenen Empfänger übertragen werden können, wenn eine Verschlüsselung/Entschlüsselung Teil der Verarbeitung ist.
  • Wenn die Verarbeitungseinrichtung eine Einrichtung zur Steuerung des Betriebs der Schalteinrichtung aufweist, dann weist das Verfahren einen Schritt auf, in dem die Steuereinrichtung eine Stromeinspeisung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung und wahlweise zur Energiespeichereinrichtung verhindert, bevor die Verarbeitungseinrichtung den sicherheitskritischen Teil der Verarbeitung ausführt.
  • Die sicherheitskritischen Verarbeitungsschritte werden ausgeführt, sobald die Verarbeitungseinrichtung ausschließlich durch die Energiespeichereinrichtung mit Strom versorgt wird. Wenn nicht geheime Verarbeitungsaufgaben ausgeführt werden, wie z. B. die obenerwähnten "Haushalts"-Aufgaben, kann die Verarbeitungseinrichtung jedoch durch die erste Stromversorgungseinrichtung gespeist werden, soweit diese nicht geheimen Aufgaben keine empfindlichen oder sicherheitskritischen Operationen oder Informationen erfordern.
  • Normalerweise weist das Verfahren ferner den Schritt auf, in dem die Speichereinrichtung von der ersten Stromversorgungseinrichtung mit Strom versorgt wird, bevor der Schritt zur Betätigung der Schalteinrichtung ausgeführt wird, um die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung zu verhindern. Auf diese Weise wird die Energiespeichereinrichtung aufgeladen, bevor Energie daraus abgefordert wird.
  • Eine einfache Arbeitsweise erhält man, wenn von der Speichereinrichtung automatisch Energie für die Verarbeitungseinrichtung oder zumindest für den Teil der Verarbeitungseinrichtung geliefert wird, sobald die Schalteinrichtung betätigt wird, um eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung zu verhindern.
  • Als Alternative kann die Vorrichtung ferner eine zusätzliche Schalteinrichtung aufweisen, und das Verfahren kann mit Hilfe der zusätzlichen Schalteinrichtung die Verarbeitungseinrichtung oder zumindest den Teil der Verarbeitungseinrichtung aus der Speichereinrichtung und der zweiten Stromver sorgungseinrichtung mit Strom versorgen, wenn die Schalteinrichtung betätigt wird, um eine Stromversorgung dieser Einrichtungen aus der ersten Stromversorgungseinrichtung zu verhindern.
  • Wie aus dem Vorstehenden ersichtlich, verhindert die vorliegende Erfindung, daß sicherheitskritische Informationen oder wahlweise irgendwelche andere Informationen über den Stromverbrauch preisgegeben werden, und ermöglicht gleichzeitig die Beibehaltung des größten Teils der ursprünglichen Vorrichtung. Die auszuführenden Modifikationen umfassen die Hinzunahme einiger elektrischer Bauteile und möglicherweise einige Ergänzungen der bestehenden Software, die auf der Prozessoreinrichtung der Vorrichtung läuft.
  • Außerdem enthält die Verarbeitung der Informationen häufig eine Verschlüsselung oder Entschlüsselung der Informationen, die geheimzuhalten sind, oder eine Echtheitskontrolle oder die Erzeugung von Daten zur Verwendung in einer Echtheitskontrolle.
  • Folglich betrifft die Erfindung nach einem dritten Aspekt ein Verfahren zur Änderung einer vorhandenen Vorrichtung zur sicheren Informationsverarbeitung, wobei die Vorrichtung aufweist:
    • – eine Einrichtung zum Bereitstellen der zu verarbeitenden Informationen,
    • – eine Einrichtung zur Verarbeitung der Informationen,
    • – eine Einrichtung zur Aufnahme oder Kapselung der Verarbeitungseinrichtung,
    • – eine erste Einrichtung zur Energieversorgung der Verarbeitungseinrichtung aus einer Position außerhalb der Aufnahmeeinrichtung,
    • – wobei das Verfahren die Schritte gemäß Anspruch 31 aufweist.
  • In der Situation, wo die Verarbeitungseinrichtung durch einen Satz von Anweisungen steuerbar ist, der eine Teilmenge von benachbarten Anweisungen aufweist, die bewirken, daß die Verarbeitungseinrichtung oder zumindest der Teil der Verarbeitungseinrichtung die sicherheitskritische Verarbeitung ausführen, weist das vorliegende Verfahren das Einfügen einer ersten Verhinderungsanweisung in den Anweisungssatz auf, die der Anweisungsteilmenge vorangestellt ist, wobei die Verhinderungsanweisung so gestaltet ist, daß sie über die Steuereinrichtung die Schalteinrichtung veranlaßt, eine Energieeinspeisung von der Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung zu verhindern.
  • Außerdem weist das Verfahren in dieser Situation ferner das Einfügen einer ersten, auf die Anweisungsteilmenge folgenden Wiederherstellungsanweisung auf, wobei die Wiederherstellungsanweisung so gestaltet ist, daß sie über die Steuereinrichtung die Schalteinrichtung veranlaßt, die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Verarbeitungseinrichtung oder zumindest zu dem Teil der Verarbeitungseinrichtung wiederherzustellen.
  • Wie oben beschrieben, ist die Steuereinrichtung daran angepaßt, die Schalteinrichtung so zu steuern, daß eine Energieeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung verhindert wird. In dieser Situation kann das Verfahren aufweisen: Bereitstellen einer Steuereinrichtung, die daran angepaßt ist, die Schalteinrichtung so zu steuern, daß eine Energieeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung verhindert wird, und Einfügen einer zweiten, der Anweisungsteilmenge vorgeschalteten Verhinderungsanweisung, wobei die zweite Verhinderungsanweisung so gestaltet ist, daß sie die Schalteinrichtung veranlaßt, eine Energieeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung zu verhindern.
  • In dieser Situation ist die Steuereinrichtung typischerweise auch daran angepaßt, die Schalteinrichtung so zu steuern, daß die Energieeinspeisung von der ersten Stromversorgungseinrichtung zur Speichereinrichtung wiederhergestellt wird, wobei das Verfahren das Einfügen einer zweiten, auf die Anweisungsteilmenge folgenden Wiederherstellungsanweisung aufweist, wobei die zweite Wiederherstellungsanweisung so gestaltet ist, daß sie die Schalteinrichtung veranlaßt, die Strom einspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung wiederherzustellen.
  • Nach einem weiteren Aspekt betrifft die Erfindung eine Vorrichtung zur sicheren Informationsverarbeitung gemäß Anspruch 36.
  • Dieser Aspekt betrifft folglich das Problem der Preisgabe von sicherheitskritischen Informationen über E/A-Anschlüsse oder andere Anschlüsse der Verarbeitungseinrichtung.
  • Meistens haben die Signale, die von einer solchen Verarbeitungseinrichtung während des normalen Eingabe/Ausgabe-Betriebs ausgegeben werden, eine niedrigere Frequenz als die Informationen, die zufällig durch kapazitive Kopplung innerhalb der Verarbeitungseinrichtung ausgegeben werden.
  • Infolgedessen können die vorgegebenen Signale eine Frequenz über 100 kHz aufweisen, wie z. B. über 200 kHz, vorzugsweise über 300 kHz, wie z. B. über 500 kHz, vorzugsweise über 700 kHz, wie z. B. über 800 kHz, vorzugsweise über 900 kHz, wie z. B. über 1 MHz, vorzugsweise über 1,5 MHz.
  • Da die vorgegebenen Signale oft in Beziehung zur Taktfrequenz der Verarbeitungseinrichtung stehen, wenn es sich um eine Verarbeitungseinrichtung handelt, die nach einer Taktfrequenz arbeitet, können die vorgegebenen Signale eine Frequenz oberhalb 0,01 der Taktfrequenz aufweisen, wie z. B. über 0,02 der Taktfrequenz, vorzugsweise über 0,05 der Taktfrequenz, wie z. B. über 0,08% der Taktfrequenz, vorzugsweise über 0,1% der Taktfrequenz, wie z. B. über 0,12% der Taktfrequenz, vorzugsweise über 0,15% der Taktfrequenz, wie z. B. über 0,17 der Taktfrequenz, vorzugsweise über 0,2% der Taktfrequenz.
  • In einer Ausführungsform kann die Verhinderungs- oder Abschwächungseinrichtung eine Filtereinrichtung aufweisen, wie z. B. eine Tiefpaßfiltereinrichtung, die so angepaßt ist, daß sie die vorgegebenen Signale entfernt oder abschwächt.
  • Im Falle eines Tiefpaßfilters kann das Filter eine Grenzfrequenz aufweisen, die unter einer niedrigsten Frequenz der vorgegebenen Signale liegt, wie z. B. unter der 0,9-fachen Frequenz der vorgegebenen Signale, vorzugsweise unter der 0,8-fachen Frequenz der vorgegebenen Signale, wie z. B. unter der 0,6-fachen Frequenz der vorgegebenen Signale, vorzugsweise unter der 0,5-fachen Frequenz der vorgegebenen Signale, wie z. B. unter der 0,3-fachen Frequenz der vorgegebenen Signale, vorzugsweise unter der 0,1-fachen Frequenz der vorgegebenen Signale.
  • Alternativ kann die Verhinderungseinrichtung oder Abschwächungseinrichtung eine Schalteinrichtung aufweisen, die so angepaßt ist, daß sie etwaige Signale entlang der Transporteinrichtung verhindert oder abschwächt. Eine derartige Schalteinrichtung kann aus der Gruppe ausgewählt werden, die aus einem Transistor, einem Relais und einer Diode besteht.
  • Die Steuereinrichtung ist daran angepaßt, die Verhinderungseinrichtung so zu steuern, daß die vorgegebenen Signale verhindert werden, während die Verarbeitungseinrichtung den sicherheitskritischen Teil der Informationen verarbeitet. Sie braucht diese Aufgabe nicht ständig auszuführen, d. h. nicht während Verarbeitungsschritten, wo z. B. "Haushalts"-Aufgaben durch die Verarbeitungseinrichtung ausgeführt werden. Wenn jedoch die Signale, die während des normalen E/A-Betriebs des Prozessors auszugeben sind, einen großen Frequenzbereich überstreichen, ist es unter Umständen am einfachsten, einfach eine Einrichtung bereitzustellen, welche diese Verhinderungsaufgabe ständig ausführt. Alternativ kann die Verhinderung in den Zeitintervallen ausgeführt werden, in denen es erforderlich ist, daß keine Informationen nach außen dringen können, z. B. während einer sicherheitskritischen Verarbeitung. Daher ist in dieser Situation die Steuereinrichtung daran angepaßt, die Verhinderungseinrichtung so zu steuern, daß eine Verhinderung vor einem Zeitpunkt ausgelöst wird, in dem die Verarbeitungseinrichtung die Informationsverarbeitung auslöst. In dieser Situation ist die Steuereinrichtung daran angepaßt, die Verhinderungseinrichtung so zu steuern, daß nach einem Zeitpunkt, in dem die Verarbeitungseinrichtung die Verarbeitung der sicherheitskritischen Informationen beendet hat, die Verhinderung gestoppt wird.
  • Natürlich weist die Vorrichtung normalerweise eine Einrichtung zur Ausgabe der verarbeiteten Informationen oder zumindest eines Teils der Informationen auf.
  • Die Verarbeitungseinrichtung kann an eine Steuerung durch einen Satz von Anweisungen angepaßt werden, wobei die Anweisungen eine Verhinderungsanweisung aufweisen, die bewirkt, daß die Steuereinrichtung die Schalteinrichtung anweist, die vorgegebenen Signale zu verhindern. Außerdem weist der Anweisungssatz vorzugsweise eine Teilmenge von Anweisungen auf, die veranlaßt, daß die Verarbeitungseinrichtung die sicherheitskritische Verarbeitung ausführt, wobei der Anweisungsteilmenge die Verhinderungsanweisung vorangestellt ist, und wobei der Anweisungssatz ferner eine Wiederherstellungsanweisung aufweist, die auf die Teilmenge von sicherheitskritischen Anweisungen folgt, wobei die Wiederherstellungsanweisung veranlaßt, daß die Steuereinrichtung die Verhinderung der vorgegebenen Signale stoppt.
  • Um völlig sicherzustellen, daß ein Fluß der vorgegebenen Signale verhindert wird, kann die Verhinderungseinrichtung so angepaßt werden, daß bei der Verhinderung der vorgegebenen Signale eine galvanische Verbindung der Übertragungseinrichtung zwischen einer Position außerhalb der Aufnahmeeinrichtung und der Verarbeitungseinrichtung entfernt wird.
  • Es können viele Arten der sicherheitskritischen Verarbeitung in Betracht gezogen werden. Einige der am weitesten verbreiteten Arten sind jedoch eine Verschlüsselung, Entschlüsselung, Authentifikation bzw. Echtheitsbestätigung oder Echtheitskontrolle der Informationen.
  • Ein weiterer Aspekt der Erfindung betrifft ein Verfahren zur sicheren Informationsverarbeitung unter Verwendung der Vorrichtung gemäß dem obigen Aspekt, wobei das Verfahren aufweist:
    • – Bereitstellung der zu verarbeitenden Informationen,
    • – Betätigung der Verhinderungseinrichtung, um die vorgegebenen Signale zu verhindern, und
    • – Verarbeitung der Informationen unter Verwendung der Verarbeitungseinrichtung.
  • In einem Fall verhindert die Verhinderungseinrichtung den Transport der vorgegebenen Signale, wenn die Verarbeitungseinrichtung die Verarbeitung ausführt.
  • Die Verarbeitungseinrichtung weist eine Einrichtung zur Steuerung des Betriebs der Verhinderungseinrichtung auf, und das Verfahren kann den Schritt aufweisen, in dem die Steuereinrichtung die Verhinderungseinrichtung veranlaßt, die vorgegebenen Signale zu verhindern, bevor die Verarbeitungseinrichtung die sicherheitskritische Verarbeitung ausführt.
  • In dieser Situation wäre es angebracht, wenn das Verfahren den Schritt aufweist, in dem die Steuereinrichtung die Verhinderungseinrichtung veranlaßt, den Fluß der vorgegebenen Signale wiederherzustellen, sobald die Verarbeitungseinrichtung die sicherheitskritische Verarbeitung ausgeführt hat.
  • Ein letzter Aspekt der Erfindung betrifft ein Verfahren zur Änderung einer vorhandenen Vorrichtung für sichere Informationsverarbeitung, wobei die Vorrichtung aufweist:
    • – eine Einrichtung zum Bereitstellen der zu verarbeitenden Informationen,
    • – eine Einrichtung zur Verarbeitung der Informationen,
    • – eine Einrichtung zur Aufnahme oder Kapselung der Verarbeitungseinrichtung, und
    • – eine Einrichtung zum Transport von Informationen von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung oder von der Verarbeitungseinrichtung zu einer Stelle außerhalb der Aufnahmeeinrichtung, wobei das Verfahren die Schritte gemäß Anspruch 47 aufweist.
  • Wenn die Verarbeitung durch einen Anweisungssatz steuerbar ist, der eine Teilmenge von benachbarten Anweisungen aufweist, die veranlassen, daß die Verarbeitungseinrichtung die sicherheitskritische Verarbeitung ausführt, weist das Verfahren die Einfügung einer ersten, der Anweisungsteilmenge vorausgehenden Verhinderungsanweisung in den Anweisungssatz auf, wobei die Verhinderungsanweisung daran angepaßt ist, über die Steuereinrichtung die Verhinderungs- oder Abschwächungseinrichtung zu veranlassen, die vorgegebenen Signale zu verhindern oder abzuschwächen.
  • In dieser Situation weist das Verfahren ferner die Einfügung einer ersten, auf die Anweisungsteilmenge folgenden Wiederherstellungsanweisung auf, wobei die Wiederherstellungs anweisung daran angepaßt ist, über die Steuereinrichtung die Verhinderungs- oder Abschwächungseinrichtung zu veranlassen, die vorgegebenen Signale nicht zu verhindern oder abzuschwächen.
  • Kurze Beschreibung der Zeichnungen
  • Nachstehend werden bevorzugte Ausführungsformen der Erfindung unter Bezugnahme auf die Zeichnungen beschrieben. Dabei zeigen:
  • 1 eine leicht veränderte Ascom SWE 115-0010-Sicherheitstastatur für Außenbetrieb gemäß einer Ausführungsform der Erfindung.
  • 2 eine Chipkarte gemäß einer anderen Ausführungsform der Erfindung.
  • Ausführliche Beschreibung bevorzugter Ausführungsformen
  • 1 zeigt eine leicht veränderte Ascom SWE 115-0010-Sicherheitstastatur für Außenbetrieb, die einen Verschlüsselungsprozessor, dazugehörige Datenspeicher usw. und eine Tastatur für den Anwender zur Eingabe seines PIN-Codes aufweist. 1 zeigt nur die neuartigen Merkmale dieser Vorrichtung, wobei die übrigen Merkmale Standardelemente sind.
  • Die Standardvorrichtung weist eine Aufnahmeeinrichtung (nicht dargestellt) auf, die einen Prozessor 10 enthält, in den der von der (nicht dargestellten) Tastatur empfangene PIN-Code eingespeist wird, anschließend verschlüsselt und zu einer Einheit (nicht dargestellt) außerhalb der Aufnahmeeinrichtung ausgegeben wird.
  • Dieser Prozessor 10 empfängt Energie von außerhalb der Aufnahmeeinrichtung mit Hilfe von Leitern 20, die einen Masseleiter und einen 12 V-Versorgungsleiter bilden, der mit Vin bezeichnet wird. In den Vorrichtungen nach dem Stand der Technik speisen diese Leiter einfach den Prozessor 10. In der vorliegenden Ausführungsform übernehmen jedoch die Stromleiter 30 (der mit GND bezeichnete Masseleiter zum Prozessor und der mit Vcc bezeichnete 5 V-Leiter) diese Aufgabe. Zwischen den Vin- und Vcc-Stromnetzen sind eine Anzahl weiterer Elemente angeordnet, die nachstehend beschrieben werden.
  • Die Änderung dieser Standardvorrichtung weist die Bereitstellung der folgenden Elemente auf:
    • – ein Transistor T1 (wie z. B. BSS 135),
    • – ein Transistor T2 (wie z. B. BC 541),
    • – ein Spannungsregler U1 (wie z. B. LP 2981), der sicherstellt, daß Vcc auf dem Wert von 5V bleibt, auch wenn Vin variiert,
    • – zwei Kondensatoren C2 und C3 (wie z. B. 2,2 μF bzw. 220 μF, 16V), und
    • – drei Widerstände R1, R2 und R3 (wie z. B. 100 kOhm, 10 kOhm bzw. 10 kOhm), wie in der Zeichnung dargestellt.
  • In dieser Ausführungsform steuert der Anschluß des Prozessors 10 den Betrieb von T2 und T3.
  • Die Arbeitsweise dieser veränderten Stromversorgung des Prozessors 10 ist die folgende:
  • Normaler Betrieb
  • Im normalen Betrieb wird der Prozessor 10 über die Leiter 20 mit Strom versorgt. In dieser Situation beträgt die Spannung des E/A-Anschlusses etwa 5 V, wodurch Basis und Emitter von T2 die gleiche Spannung empfangen und der Kollektor von T2 keinen Strom zieht. Daher empfangen Drain und Gate von T1 die gleiche Spannung, wodurch sich T1 im leitenden bzw. Durchlaßzustand befindet, Strom in Vin eingespeist wird und C3 (40) durch die Spannung aufgeladen wird.
  • Trennungsbetrieb
  • Wenn der Prozessor 10 vorgegebene Operationen ausführt, insbesondere sicherheitsempfindliche Operationen, wie z. B. Verschlüsselungsoperationen, deren Natur nicht über die Leiter 20 feststellbar sein sollte, wird der E/A-Anschluß auf 0 V programmiert, wodurch der Emitter von T2 in den L-Zustand versetzt wird, durch R2 ein Basisstrom fließt und T2 Kollektorstrom zieht. Dadurch wird das Gate von T1 in den L-Zustand versetzt, wodurch T1 nichtleitend wird. Infolgedessen wird der Prozessor 10 von dem Bereich außerhalb der Kapselungseinrichtung (nicht dargestellt) abgetrennt.
  • Im isolierten Betrieb wird der Prozessor 10 durch die Ladung gespeist, die in C3 (40) gespeichert ist, der anfänglich auf die Spannung Vin aufgeladen wird. U1 hält Vcc auf 5V, bis die Spannung von C3 (40) niedriger als etwa 7 V wird. In der vorliegenden Ausführungsform ist jedoch der Prozessor 10 nur erforderlich, um während Zeitintervallen von etwa 50 ms im isolierten Betrieb zu arbeiten, wobei der Kondensator C3 (40) nur entsprechend dieser Anforderung dimensioniert zu werden braucht.
  • Betrieb bei eingeschalteter Stromversorgung.
  • Natürlich ist es unbedingt notwendig, daß die Schaltung bei eingeschalteter Stromversorgung zum Normalbetrieb übergeht, da sie andernfalls im Ruhezustand verbleibt. Die meisten Mikroprozessoren sind jedoch so eingerichtet, daß ihre Anschlüsse im L-Zustand verbleiben, bis explizit eine gegenteilige Anweisung gegeben wird.
  • Infolgedessen bleibt der Anschluß bei eingeschalteter Stromversorgung automatisch im L-Zustand, wodurch sich T1 im Durchlaßzustand befindet, wonach C3 (40) aufgeladen wird und der Prozessor über die Leiter 20 mit Strom versorgt wird.
  • Übergang zum Trennungsbetrieb
  • Viele der vom Prozessor 10 ausgeführten Verarbeitungsaufgaben sind Aufgaben vom "Haushalts"-Typ (Kontrolle von Eingabedaten, Kommunikation, Kontrolle von Sicherheitsmaßregeln usw.), die nicht sicherheitskritisch sind. Bei der Ausführung solcher Aufgaben kann die Vorrichtung daher zum Normalbetrieb übergehen.
  • Tatsächlich ist es normalerweise möglich, eine Anzahl von sicherheitskritischen Verarbeitungsaufgaben und dadurch eine Anzahl von Anweisungsteilmengen in der den Prozessor steuernden Software zu ermitteln, während derer die Vorrichtung in den Trennungsbetrieb übergehen sollte. Bei Verwendung der vorliegenden Ausführungsform wären die einzigen Änderungen an der Software die Einfügung von Anweisungen vor und nach diesen ermittelten sicherheitskritischen Anweisungsteilmengen, wobei diese neuen Anweisungen den Anschluß in den H- bzw. L-Zustand bringen. Gemäß der vorliegenden Ausführungsform ist der Kondensator C3 (40) erforderlich, um während relativ kurzer Zeitintervalle, in denen die sicherheitskritischen Anweisungsteilmengen tatsächlich ausgeführt werden, den Prozessor 10 mit Strom zu versorgen. Auf diese Weise kann die Kapazität – und die proportionale physische Größe – von C3 (40) genügend klein gewählt werden, um in die vorhandene Aufnahmeeinrichtung zu passen, da C3 nur während dieser ermittelten Zeitintervalle Strom einspeisen sollte.
  • 2 zeigt eine Chipkarte zur sicheren Verarbeitung von Informationen, die geheimzuhalten sind. Die Chipkarte weist einen Kunststoffträger 50 auf, der eine Anzahl goldplattierter Kontaktinseln 60 enthält, die elektrische Anschlüsse zwischen einem Chipkartenprozessor 70 und einem Chipkartenleser (nicht dargestellt) herstellen, die typischerweise in einem Bankautomaten (ATM) oder einem Bargeldautomaten angeordnet sind. Daten oder Informationen können über einen bidirektionalen seriellen E/A-Anschluß 71 zwischen der Chipkarte und dem Bankautomaten übermittelt werden. Die Kontaktinseln Vcc und GND, 72 bzw. 73, liefern während der "normalen" Informationsverarbeitung elektrischen Strom vom Bankautomaten zum Chipkartenprozessor 70 aus einer ersten Stromversorgungseinrichtung, die innerhalb des Bankautomaten untergebracht ist. Ein Chipkondensator 74 (C1) bildet eine zweite Stromversorgungseinrichtung in Form einer Ladungsspeichereinrichtung, die aus der ersten Stromversorgungseinrichtung aufgeladen werden kann, indem eine Schaltvorrichtung in Form eines im Chip integrierten MOS-Transistors 75 (T1) eingeschaltet wird (ON). Die Umschaltung von T1 wird durch ein Steuersignal gesteuert, das von einem CPU-Teil 77 des Chipkartenprozessors herrührt. Der MOS-Transistor 75 ist zwischen einer Primärspannungsversorgungsleitung 78 und einer Sekundärversorgungsleitung 79 angeordnet, die an einen Krypto- bzw. Verschlüsselungsprozessor 85 und an den Chipkondensator 74 angeschlossen ist. Dadurch kann der Kryptoprozessor 85 von der Primärspannungsversorgungsleitung 78 getrennt werden, indem der MOS-Transistor 75 in den Sperrzustand geschaltet wird, und statt dessen aus der im Kondensator (74) gespeicherten Ladung mit Energie versorgt werden.
  • Der Kondensator 74 kann alternativ außerhalb des Chipkartenprozessors montiert werden. Ein geeigneter externer Kondensator könnte ein Tantalkondensator vom SMD-Typ oder ein Kondensator vom Substrattyp oder irgendein anderer Kondensatortyp mit ausreichend kleinen Abmessungen sein, um in die Chipkarte integriert zu werden. Wenn es sich um einen externen Kondensator handelt, kann auch eine externe Schaltvorrichtung mit einem Steuerungsanschluß benutzt werden, der mit einem E/A-Anschluß des Chipkartenprozessors verbunden ist, um die Zustände der Schalteinrichtung entsprechend zu steuern. Die Schalteinrichtung kann irgendeine geeignete elektronische Schalteinrichtung sein oder aus mehreren solchen Einrichtungen bestehen, wie z. B. JFETs, MOS-FETs, bipolaren Transistoren, Dioden usw., oder irgendeiner geeigneten Kombination daraus.
  • Wie oben erläutert, kann der Chipkartenprozessor zwei unterschiedliche Betriebsarten aufweisen, eine erste Betriebsart, die der Einfachheit halber als "normale Betriebsart" bezeichnet wird, und eine zweite Betriebsart, die als "geheime Betriebsart" bezeichnet wird. Der Begriff "normale Betriebsart" bezieht sich hier auf eine Betriebsart, in welcher der Prozessor 70 Anweisungen abarbeitet, die keine geheimen Informationen verarbeiten oder auf andere Weise verwalten, die vor dem Zugriff Dritter, z. B. von Betrügern, zu schützen sind. Dementsprechend betrifft die geheime Betriebsart eine Betriebsart, in welcher der Chipkartenprozessor 70 Anweisungen verarbeitet, die teilweise oder ausschließlich geheime Informationen verwalten. Diese geheimen Daten oder Informationen könnten die Verschlüsselung/Entschlüsselung von Konto- oder Transaktionsinformationen sowie von PIN-Codes sein, die sich auf das Konto eines Chipkarteninhabers beziehen. Vor dem Eintritt in die geheime Betriebsart kann die CPU 77 zunächst den Kryptoprozessor 85 mit erforderlichen Daten versorgen und anschließend den MOS-Transistor 75 sperren (OFF), indem dessen Gate-Anschluß 80 auf eine entsprechende Versorgungsspannung gebracht wird. Dementsprechend wird jetzt die erste Versorgungsspannung von dem Speicherkondensator 74 abgetrennt (abgesehen von einem typischerweise vernachlässigbaren Leckstrom durch den Transistor 75), und nun wird die sicherheitskriti sche Datenverarbeitung durch den Kryptoprozessor 85 ausgeführt, der von dem integrierten Kondensator 74 mit Strom versorgt wird. Infolgedessen werden durch eine Überwachung des Stroms, der von der ersten Stromversorgungseinrichtung an die Chipkarte abgegeben wird, keine sicherheitskritischen Informationen über die geheimen Schlüssel und die Verarbeitung durch den Kryptoprozessor 85 aufgedeckt. Natürlich können die CPU 77 und/oder der E/A-Teil 71 des Chipkartenprozessors nötigenfalls zumindest während eines Teils der Verarbeitungszeit mit Strom von dem integrierten Kondensator 74 versorgt werden. Dies könnte veranlaßt werden, indem die Stromschaltvorrichtung 75 zwischen der Vcc-Kontaktinsel 72 und der Primärspannungsversorgungsleitung 78 angeordnet wird. Diese Anordnung hat jedoch den Nachteil, daß die vom Kondensator 74 entnommene Ladung zunimmt, so daß ein größerer Kondensator erforderlich ist. Dadurch muß der Kondensator 74 unter Umständen außerhalb des Chips angeordnet werden, was bei einigen Anwendungen wahrscheinlich eine weniger sichere Lösung ist.

Claims (49)

  1. Vorrichtung zur sicheren Informationsverarbeitung, wobei die Vorrichtung aufweist: – eine Einrichtung (71) zum Bereitstellen der zu verarbeitenden Informationen, – eine Einrichtung (10; 70) zur Verarbeitung der Informationen, – eine Aufnahme- oder Kapselungseinrichtung (50) für die Verarbeitungseinrichtung, – eine erste Stromversorgungseinrichtung (20; 72; 73) zur Stromeinspeisung von einer Stelle außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung, dadurch gekennzeichnet, daß – die Stromversorgungseinrichtung innerhalb der Aufnahmeeinrichtung aufweist: – eine Energiespeichereinrichtung (40; 74), die für die Aufnahme und Speicherung von Energie von der ersten Stromversorgungseinrichtung eingerichtet ist, – eine zweite Stromversorgungseinrichtung zur Stromeinspeisung aus der Energiespeichereinrichtung in zumindest einen Teil der Verarbeitungseinrichtung, und – eine Schalteinrichtung (75), um eine Stromeinspeisung aus der ersten Stromversorgungseinrichtung in zumindest den Teil der Verarbeitungseinrichtung zu verhindern, und daß – die Verarbeitungseinrichtung eine Einrichtung zur Steuerung der Schalteinrichtung aufweist. wobei die Steuereinrichtung so angepaßt ist, daß sie vor der Informationsverarbeitung die Schalteinrichtung so steuert, daß zumindest im wesentlichen eine Stromeinspeisung durch die erste Stromversorgungseinrichtung in zumindest den Teil der Verarbeitungseinrichtung verhindert wird und eine Stromeinspeisung durch die zweite Stromversorgungseinrichtung in zumindest den Teil der Verarbeitungseinrichtung zugelassen wird, und an schließend an die Informationsverarbeitung die Schalteinrichtung so steuert, daß eine Stromeinspeisung durch die erste Stromversorgungseinrichtung in zumindest den Teil der Verarbeitungseinrichtung zugelassen wird.
  2. Vorrichtung nach Anspruch 1, wobei die Vorrichtung eine Chipkarte ist.
  3. Vorrichtung nach Anspruch 2, wobei die Chipkarte einen Chipkartenprozessor (70) mit einem Verschlüsselungsprozessor (85) aufweist.
  4. Vorrichtung nach Anspruch 3, wobei im wesentlichen ausschließlich der Verschlüsselungsprozessor von der zweiten Stromversorgungseinrichtung mit Strom versorgt wird.
  5. Vorrichtung nach einem der Ansprüche 2–4, wobei die zweite Stromversorgungseinrichtung einen oder mehrere, auf dem Chipkartenprozessor integrierte Kondensatoren (74) aufweist.
  6. Vorrichtung nach einem der Ansprüche 2–4, wobei die zweite Stromversorgungseinrichtung einen oder mehrere Kondensatoren aufweist, die auf einem zugeordneten Kondensatorsubstrat integriert sind, das an den Chipkartenprozessor angrenzt.
  7. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Schalteinrichtung so angepaßt ist, daß sie eine Stromeinspeisung von der ersten Stromversorgungseinrichtung in die Energiespeichereinrichtung verhindert, während sie eine Stromeinspeisung von der ersten Stromversorgungseinrichtung in zumindest den Teil der Verarbeitungseinrichtung verhindert.
  8. Vorrichtung nach Anspruch 7, wobei die Schalteinrichtung außerdem so angepaßt ist, daß sie die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Speichereinrichtung wiederherstellt, sobald die Verarbeitungseinrichtung oder zumindest der Teil der Verarbeitungseinrichtung die Verarbeitung ausgeführt haben.
  9. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Vorrichtung ferner eine Einrichtung zur Ausgabe der verarbeiteten Information aufweist.
  10. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Steuereinrichtung so angepaßt ist, daß sie vor der Ausführung der Verarbeitung durch die Verarbeitungseinrichtung eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung und wahlweise zur Energiespeichereinrichtung verhindert.
  11. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Verarbeitungseinrichtung so angepaßt ist, daß sie durch einen Befehlssatz gesteuert wird, wobei die Befehle einen Verhinderungsbefehl aufweisen, der veranlaßt, daß die Steuereinrichtung die Schalteinrichtung anweist, eine Stromeinspeisung von der ersten Stromversorgungseinrichtung in zumindest den Teil der Verarbeitungseinrichtung und wahlweise in die Energiespeichereinrichtung zu verhindern.
  12. Vorrichtung nach Anspruch 11, wobei der Befehlssatz eine Teilmenge von Befehlen aufweist, die veranlassen, daß zumindest der Teil der Verarbeitungseinrichtung die Verarbeitung ausführt, wobei der Verhinderungsbefehl der Befehlsteilmenge vorausgeht.
  13. Vorrichtung nach Anspruch 12, wobei der Befehlssatz ferner einen auf die Befehlsteilmenge folgenden Wiederherstellungsbefehl aufweist, wobei der Wiederherstellungsbefehl veranlaßt, daß die Steuereinrichtung die Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung und wahlweise zur Energiespeichereinrichtung wiederherstellt.
  14. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Energiespeichereinrichtung aus der Gruppe ausgewählt ist, die aus einer Batterie, einem Kondensator und einer Induktionsspule besteht.
  15. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Schalteinrichtung so angepaßt ist, daß sie, wenn sie die Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung verhindert, eine galvanische Verbindung der ersten Stromversorgungseinrichtung zwischen der Außenseite der Aufnahmeeinrichtung und der Verarbeitungseinrichtung unterbricht.
  16. Verfahren nach einem der vorstehenden Ansprüche, wobei die Schalteinrichtung außerdem so angepaßt ist, daß sie, wenn sie die Stromeinspeisung von der ersten Stromversorgungs einrichtung zur Energiespeichereinrichtung verhindert, eine galvanische Verbindung der ersten Stromversorgungseinrichtung zwischen der Außenseite der Aufnahmeeinrichtung und der Speichereinrichtung unterbricht.
  17. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Schalteinrichtung aus der Gruppe ausgewählt ist, die aus Relais, Transistoren und Dioden besteht.
  18. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Speichereinrichtung und die zweite Stromversorgungseinrichtung so angepaßt sind, daß sie zumindest den Teil der Verarbeitungseinrichtung automatisch mit Strom versorgen, wenn die Schalteinrichtung die Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung verhindert.
  19. Vorrichtung nach einem der vorstehenden Ansprüche, die ferner eine zusätzliche Schalteinrichtung aufweist, die so angepaßt ist, daß die Stromversorgung zumindest des Teils der Verarbeitungseinrichtung von der Speichereinrichtung und der zweiten Stromversorgungseinrichtung verhindert und/oder bereitstellt, wenn die Schalteinrichtung die Stromversorgung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung verhindert.
  20. Vorrichtung nach einem der vorstehenden Ansprüche, wobei die Verarbeitungseinrichtung so eingerichtet ist, daß sie eine Verschlüsselung, eine Entschlüsselung, eine Authentifizierung oder eine Authentifizierungskontrolle der Informationen ausführt.
  21. Verfahren zur sicheren Informationsverarbeitung unter Verwendung der Vorrichtung nach einem der vorstehenden Ansprüche, wobei das Verfahren aufweist: – Bereitstellen der zu verarbeitenden Informationen, – Steuerung der Schalteinrichtung, um eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung zu verhindern, – Stromversorgung der Verarbeitungseinrichtung aus der Energiespeichereinrichtung unter Verwendung der zweiten Stromversorgungseinrichtung, und – Verarbeitung der Informationen unter Verwendung zumindest der Teils der Verarbeitungseinrichtung.
  22. Verfahren nach Anspruch 21, wobei die Schalteinrichtung eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung verhindert, während sie außerdem eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung verhindert.
  23. Verfahren nach Anspruch 21 oder 22, wobei die Schalteinrichtung die Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung wiederherstellt, sobald zumindest der Teil der Verarbeitungseinrichtung die Verarbeitung ausgeführt hat.
  24. Verfahren nach Anspruch 23, wobei die Schalteinrichtung die Stromversorgung von der ersten Stromversorgungseinrichtung zur Speichereinrichtung wiederherstellt, sobald zumindest der Teil der Verarbeitungseinrichtung die Verarbeitung ausgeführt hat.
  25. Verfahren nach einem der Ansprüche 21–23, das ferner den Schritt zur Ausgabe der verarbeiteten Informationen nach ihrer Verarbeitung aufweist.
  26. Verfahren nach einem der Ansprüche 21–23, das ferner den Schritt aufweist, in dem die Steuereinrichtung vor der Ausführung der Verarbeitung durch die Verarbeitungseinrichtung eine Stromeinspeisung zur Energiespeichereinrichtung verhindert.
  27. Verfahren nach einem der Ansprüche 21–26, wobei der Verarbeitungsschritt ausgeführt wird, sobald zumindest der Teil der Verarbeitungseinrichtung ausschließlich durch die Energiespeichereinrichtung mit Strom versorgt wird.
  28. Verfahren nach einem der Ansprüche 21–27, das ferner vor dem Schritt, in dem die Schalteinrichtung so gesteuert wird, daß die Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung verhindert wird, den Schritt zur Stromversorgung der Energiespeichereinrichtung von der ersten Stromversorgungseinrichtung aufweist.
  29. Verfahren nach einem der Ansprüche 21–27, wobei zumindest der Teil der Verarbeitungseinrichtung automatisch mit Strom versorgt wird, wenn die Schalteinrichtung so gesteuert wird, daß sie eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil dar Verarbeitungseinrichtung verhindert.
  30. Verfahren nach einem der Ansprüche 21–28, wobei die Vorrichtung ferner eine zusätzliche Schalteinrichtung aufweist, und wobei das Verfahren eine Stromversorgung zumindest des Teils der Verarbeitungseinrichtung von der Speichereinrichtung und der zweiten Stromversorgungseinrichtung unter Verwendung der zusätzlichen Schalteinrichtung aufweist, wenn die Schalteinrichtung eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil. der Verarbeitungseinrichtung verhindert.
  31. Verfahren zur Veränderung einer existierenden Informationsverarbeitungsvorrichtung, wobei die Vorrichtung aufweist: – eine Einrichtung (71) zum Bereitstellen der zu verarbeitenden Informationen, – eine Einrichtung (10; 70) zur Verarbeitung der Informationen, – eine Aufnahme- oder Kapselungseinrichtung (50) für die Verarbeitungseinrichtung, – eine erste Stromversorgungseinrichtung (20; 72; 73) zur Stromversorgung der Verarbeitungseinrichtung von einer Stelle außerhalb der Aufnahmeeinrichtung, wobei das Verfahren die Bereitstellung der folgenden Einrichtungen innerhalb der Aufnahmeeinrichtung aufweist: – eine Energiespeichereinrichtung (40; 74), die so angepaßt ist, daß sie Energie von der ersten Stromversorgungseinrichtung aufnimmt und speichert, – eine Schalteinrichtung (75), um eine Stromeinspeisung aus der ersten Stromversorgungseinrichtung zumindest in den Teil der Verarbeitungseinrichtung zu verhindern, – eine zweite Einrichtung zur Stromeinspeisung von der Speichereinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung, und – eine Steuereinrichtung zur Steuerung der Schalteinrichtung, wobei die Steuereinrichtung in der Verarbeitungseinrichtung enthalten und daran angepaßt ist, vor der Verarbeitung der Informationen die Schalteinrichtung so zu steuern, daß eine Stromeinspeisung durch die erste Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung verhindert und die Stromeinspeisung durch die zweite Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung zugelassen wird, und anschließend an die Informationsverarbeitung die Schalteinrichtung so zu steuern, daß die Stromeinspeisung durch die erste Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung zugelassen wird.
  32. Verfahren nach Anspruch 31, wobei die Verarbeitungseinrichtung durch einen Befehlssatz steuerbar ist, der eine Teilmenge von zusammenhängenden Befehlen aufweist, welche die Verarbeitungseinrichtung veranlassen, die Verarbeitung auszuführen, wobei das Verfahren das Einfügen eines der Befehlsteilmenge vorausgehenden ersten Verhinderungsbefehls in den Befehlssatz aufweist, wobei der Verhinderungsbefehl so angepaßt ist, daß er die Steuereinrichtung veranlaßt, zu bewirken, daß die Schalteinrichtung eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung verhindert.
  33. Verfahren nach Anspruch 32, das ferner das Einfügen eines auf die Befehlsteilmenge folgenden ersten Wiederherstellungsbefehls aufweist, wobei der Wiederherstellungsbefehl so angepaßt ist, daß er die Steuereinrichtung veranlaßt, zu bewirken, daß die Schalteinrichtung die Stromeinspeisung von der ersten Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung wiederherstellt.
  34. Verfahren nach Anspruch 32 oder 33, wobei das Verfahren die Bereitstellung einer Schalteinrichtung, die so angepaßt ist, daß sie eine Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung verhindert, sowie das Einfügen eines der Befehlsteilmenge vorausgehenden zweiten Verhinderungsbefehls aufweist, wobei der zweite Verhinderungsbefehl so angepaßt ist, daß er die Schalt einrichtung veranlaßt, eine Energieeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung zu verhindern.
  35. Verfahren nach Anspruch 34, das die Bereitstellung einer Schalteinrichtung aufweist, die so angepaßt ist, daß sie die Stromeinspeisung von der Stromversorgungseinrichtung zumindest zu dem Teil der Verarbeitungseinrichtung wiederherstellt, wobei das Verfahren das Einfügen eines auf die Befehlsteilmenge folgenden zweiten Wiederherstellungsbefehls aufweist, wobei der zweite Wiederherstellungsbefehl so angepaßt ist, daß er die Schalteinrichtung veranlaßt, die Stromeinspeisung von der ersten Stromversorgungseinrichtung zur Energiespeichereinrichtung wiederherzustellen.
  36. Vorrichtung zur sicheren Informationsverarbeitung, wobei die Vorrichtung aufweist: – eine Einrichtung (71) zum Bereitstellen der zu verarbeitenden Informationen, – eine Einrichtung (10; 70) zur Verarbeitung der Informationen, – eine Aufnahme- oder Kapselungseinrichtung (50) für die Verarbeitungseinrichtung, – eine Einrichtung zum Transport von Informationen von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung oder von der Verarbeitungseinrichtung nach außerhalb der Aufnahmeeinrichtung, – dadurch gekennzeichnet, daß die Transporteinrichtung innerhalb der Aufnahmeeinrichtung aufweist: eine Einrichtung, um zu verhindern, daß vorgegebene Signale über die Transporteinrichtung von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung oder von der Verarbeitungseinrichtung nach außerhalb der Aufnahmeeinrichtung fließen, wobei die Verhinderungseinrichtung durch eine in der Verarbeitungseinrichtung enthaltene Steuereinrichtung gesteuert wird, wobei die Steuereinrichtung so angepaßt ist, daß sie vor der Informationsverarbeitung die Verhinderungseinrichtung so steuert, daß diese den Fluß der vorgegebenen Signale über die Transporteinrichtung von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung oder von der Verar beitungseinrichtung nach außerhalb der Aufnahmeeinrichtung verhindert, und nach der Informationsverarbeitung die Verhinderungseinrichtung so steuert, daß diese den Fluß der vorgegebenen Signale über die Transporteinrichtung von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung und von der Verarbeitungseinrichtung nach außerhalb der Aufnahmeeinrichtung zuläßt.
  37. Vorrichtung nach Anspruch 36, wobei die Verhinderungseinrichtung eine Schalteinrichtung aufweist, die so angepaßt ist, daß sie die Übermittlung etwaiger Signale über die Transporteinrichtung verhindert.
  38. Vorrichtung nach Anspruch 37, wobei die Schalteinrichtung aus der Gruppe ausgewählt ist, die aus einem Transistor, einem Relais und einer Diode besteht.
  39. Vorrichtung nach einem der Ansprüche 36–38, wobei die Verhinderungseinrichtung so angepaßt ist, daß sie bei der Verhinderung der vorgegebenen Signale eine galvanische Verbindung der Übertragungseinrichtung zwischen der Außenseite der Aufnahmeeinrichtung und der Verarbeitungseinrichtung entfernt.
  40. Vorrichtung nach einem der Ansprüche 36–39, wobei die Einrichtung zum Ausführen der Informationsverarbeitung so angepaßt ist, daß sie eine Verschlüsselung, eine Entschlüsselung, eine Authentifizierung oder eine Authentifizierungskontrolle der Informationen ausführt.
  41. Vorrichtung nach Anspruch 36, wobei die Verhinderungseinrichtung so angepaßt ist, daß sie zumindest im wesentlichen die vorgegebenen Signale ständig verhindert.
  42. Verfahren zur sicheren Informationsverarbeitung unter Verwendung der Vorrichtung nach einem der Ansprüche 36– 41, wobei das Verfahren aufweist: – Bereitstellen der zu verarbeitenden Informationen, – Steuerung der Verhinderungseinrichtung, um die vorgegebenen Signale zu verhindern, und – Verarbeiten der Informationen unter Verwendung der Verarbeitungseinrichtung.
  43. Verfahren nach Anspruch 42, wobei die Verhinderungseinrichtung die Übermittlung der vorgegebenen Signale verhindert, wenn die Verarbeitungseinrichtung die Verarbeitung ausgeführt hat.
  44. Verfahren nach Anspruch 42 oder 43, das ferner den Schritt zur Ausgabe der verarbeiteten Informationen nach deren Verarbeitung aufweist.
  45. Verfahren nach einem der Ansprüche 41–44, das ferner den Schritt aufweist, in dem die Steuereinrichtung die Verhinderungs- oder Dämpfungseinrichtung betätigt, um die vorgegebenen Signale zu verhindern, bevor die Verarbeitungseinrichtung die Verarbeitung ausführt.
  46. Verfahren nach Anspruch 45, das ferner den Schritt aufweist, in dem die Steuereinrichtung die Verhinderungseinrichtung betätigt, um den Fluß der vorgegebenen Signale wiederherzustellen, sobald die Verarbeitungseinrichtung die Verarbeitung ausgeführt hat.
  47. Verfahren zur Veränderung einer existierenden Informationsverarbeitungsvorrichtung, wobei die Vorrichtung aufweist: – eine Einrichtung (71) zum Bereitstellen der zu verarbeitenden Informationen, – eine Einrichtung (10; 70) zur Verarbeitung der Informationen, – eine Aufnahme- oder Kapselungseinrichtung (50) für die Verarbeitungseinrichtung, und – eine Einrichtung zum Transport von Informationen von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung oder von der Verarbeitungseinrichtung nach außerhalb der Aufnahmeeinrichtung, wobei das Verfahren aufweist: Bereitstellen einer Einrichtung innerhalb der Aufnahmeeinrichtung, um einen Signalfluß über die Transporteinrichtung von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung oder von der Verarbeitungseinrichtung nach außerhalb der Aufnahmeeinrichtung zu verhindern, wobei die Verhinderungseinrichtung durch eine in der Verarbeitungseinrichtung enthaltene Steuereinrichtung gesteuert wird, wobei die Steuereinrichtung so angepaßt ist, daß sie vor der Informationsverarbeitung die Verhinderungseinrichtung so steuert, daß diese den Fluß der vorgegebenen Signale über die Transporteinrichtung von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung oder von der Verarbeitungseinrichtung nach außerhalb der Aufnahmeeinrichtung verhindert, und nach der Informationsverarbeitung die Verhinderungseinrichtung so steuert, daß diese den Fluß der vorgegebenen Signale über die Transporteinrichtung von außerhalb der Aufnahmeeinrichtung zur Verarbeitungseinrichtung oder von der Verarbeitungseinrichtung nach außerhalb der Aufnahmeeinrichtung zuläßt.
  48. Verfahren nach Anspruch 47, wobei die Steuereinrichtung durch einen Befehlssatz steuerbar ist, der eine Teilmenge von zusammenhängenden Befehlen aufweist, welche die Verarbeitungseinrichtung veranlassen, die Verarbeitung auszuführen, wobei das Verfahren das Einfügen eines der Befehlsteilmenge vorausgehenden ersten Verhinderungsbefehls in den Befehlssatz aufweist, wobei der Verhinderungsbefehl so angepaßt ist, daß er die Steuereinrichtung veranlaßt, zu bewirken, daß die Verhinderungseinrichtung die vorgegebenen Signale verhindert.
  49. Verfahren nach Anspruch 48, das ferner das Einfügen eines ersten Wiederherstellungsbefehls anschließend an die Befehlsteilmenge aufweist, wobei der Wiederherstellungsbefehl so angepaßt ist, daß er die Steuereinrichtung veranlaßt, zu bewirken, daß die Verhinderungseinrichtung die vorgegebenen Signale nicht verhindert.
DE69913142T 1998-06-26 1999-06-24 Vorrichtung und verfahren zur sicheren informationsverarbeitung Expired - Lifetime DE69913142T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DK84598 1998-06-26
DKPA199800845 1998-06-26
PCT/DK1999/000361 WO2000001100A1 (en) 1998-06-26 1999-06-24 An apparatus and method for secure information processing

Publications (2)

Publication Number Publication Date
DE69913142D1 DE69913142D1 (de) 2004-01-08
DE69913142T2 true DE69913142T2 (de) 2004-06-03

Family

ID=8098205

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69913142T Expired - Lifetime DE69913142T2 (de) 1998-06-26 1999-06-24 Vorrichtung und verfahren zur sicheren informationsverarbeitung

Country Status (7)

Country Link
US (1) US6581841B1 (de)
EP (1) EP1090468B1 (de)
AT (1) ATE255304T1 (de)
AU (1) AU4603299A (de)
DE (1) DE69913142T2 (de)
ES (1) ES2212572T3 (de)
WO (1) WO2000001100A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010054763B4 (de) * 2009-12-17 2015-05-28 Maxim Integrated Products, Inc. Aktive parasitäre Leistungsschaltung

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1183482C (zh) * 2000-05-31 2005-01-05 皇家菲利浦电子有限公司 消耗时间间隔与数据载体的功率消耗相适配的数据载体
KR100562505B1 (ko) * 2003-10-09 2006-03-21 삼성전자주식회사 중앙 처리 장치의 개입없이 널 바이트 정보를 자동적으로전송할 수 있는 집적회로 카드
BRPI0415551A (pt) * 2003-10-20 2006-12-26 Mmc Entertainment Group Inc sistemas e processos de distribuição de conteúdo
JP2005260509A (ja) * 2004-03-10 2005-09-22 Toshiba Corp 暗号化装置と画像形成装置
DE602007008546D1 (de) * 2006-04-10 2010-09-30 Nxp Bv Sicherheitsspeicherung elektronischer schlüssel innerhalb flüchtiger speicher
US7979717B2 (en) * 2008-04-09 2011-07-12 Greenliant Llc Secure removable card having a plurality of integrated circuit dies
JP5482048B2 (ja) * 2009-09-18 2014-04-23 ソニー株式会社 集積回路および電子機器
US10104046B2 (en) 2011-09-26 2018-10-16 Mo-Dv, Inc. Content distribution systems and methods
CA3118235A1 (en) 2012-04-13 2013-10-17 Ologn Technologies Ag Apparatuses, methods and systems for computer-based secure transactions
EP2836956B1 (de) 2012-04-13 2019-06-26 OLogN Technologies AG Sichere zone für digitale kommunikationen
TW201403375A (zh) 2012-04-20 2014-01-16 歐樂岡科技公司 用於安全購買之安全區
WO2014141202A1 (en) 2013-03-15 2014-09-18 Ologn Technologies Ag Systems, methods and apparatuses for securely storing and providing payment information
EP3028210B1 (de) 2013-08-02 2020-01-08 OLogN Technologies AG Sicherer server in einem system mit virtuellen maschinen
EP3414642A4 (de) * 2016-02-08 2020-09-30 Chaologix, Inc. Seitenkanalbewusster automatischer platz und route
US10957445B2 (en) 2017-10-05 2021-03-23 Hill-Rom Services, Inc. Caregiver and staff information system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4575621A (en) * 1984-03-07 1986-03-11 Corpra Research, Inc. Portable electronic transaction device and system therefor
DE4008335A1 (de) 1990-03-15 1991-09-26 Panavia Aircraft Gmbh Abgeschirmter pc
US5389738A (en) * 1992-05-04 1995-02-14 Motorola, Inc. Tamperproof arrangement for an integrated circuit device
GB2275654B (en) 1993-03-04 1996-11-13 Landis & Gyr Energy Management Smart card
US5883429A (en) * 1995-04-25 1999-03-16 Siemens Aktiengesellschaft Chip cover
JPH0962584A (ja) * 1995-08-24 1997-03-07 Mitsubishi Electric Corp データ処理装置
US5663553A (en) * 1995-09-27 1997-09-02 Intel Corporation Mass storage device adapter for smart cards
JPH09106329A (ja) 1995-10-12 1997-04-22 Mitsubishi Electric Corp メモリカード

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010054763B4 (de) * 2009-12-17 2015-05-28 Maxim Integrated Products, Inc. Aktive parasitäre Leistungsschaltung

Also Published As

Publication number Publication date
AU4603299A (en) 2000-01-17
US6581841B1 (en) 2003-06-24
WO2000001100A1 (en) 2000-01-06
DE69913142D1 (de) 2004-01-08
ATE255304T1 (de) 2003-12-15
ES2212572T3 (es) 2004-07-16
EP1090468A1 (de) 2001-04-11
EP1090468B1 (de) 2003-11-26

Similar Documents

Publication Publication Date Title
DE69913142T2 (de) Vorrichtung und verfahren zur sicheren informationsverarbeitung
EP0891601B1 (de) Chipkarte
DE3041109C2 (de)
DE69529103T2 (de) Verfahren zum Handhaben der Sicherheit einer Speicherkarte, und Speicherkarte und geeignete Transaktionsvorrichtung
DE2512935C2 (de) Datenaustauschsystem
EP0355372B1 (de) Datenträger-gesteuertes Endgerät in einem Datenaustauschsystem
EP0151714B1 (de) Vorrichtung zur Sicherung geheimer Informationen
EP0283432B1 (de) Verfahren und Vorrichtung zum Schutz der Geheimelemente in einem Netz von Chiffriergeräten mit offener Schlüssel-Verwaltung
DE69805155T2 (de) Integrierte Schaltung und Chipkarte mit einer solchen Schaltung
EP0766211A2 (de) Multifunktionale Chipkarte
EP0512542A2 (de) Datenschützende Mikroprozessorschaltung für tragbare Datenträger, beispielsweise Kreditkarten
DE69631829T2 (de) IC-Karte und Program für IC-Karten
EP1376460A1 (de) Chipkarte
DE69801150T2 (de) Kontaktlose chipkarte
DE10319585B4 (de) Manipulationsgeschütztes Datenverarbeitungssystem und zugehöriges Verfahren zum Manipulationsschutz
DE60128646T2 (de) Verfahren und Vorrichtung zum Schutz gegen unbefugte Benutzung eines integrierten Schaltkreises
EP1321888B1 (de) Verfahren zur Erhöhung der Sicherheit von Schaltkreisen gegen unbefugten Zugriff
DE69835282T2 (de) Schaltungsanordnung zur Spannungsüberwachung und Speicherkarte mit einer solchen Schaltung
DE10133855A1 (de) Tragbare Datenträgeranordnung mit Sicherheitseinrichtung
DE102004036889B4 (de) Detektorschaltung und Zugriffdetektionsverfahren für eine Chipkarte
EP2019996A1 (de) Sensor mit einer schaltungs anordnung
DE60318481T2 (de) Elektronische gesicherte einrichtung mit verwaltung der lebensdauer eines objekts
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
DE60104623T2 (de) Datenträger mit an den stromverbrauch des datenträgers angepasster stromverbrauchszeit
DE69904290T2 (de) Datenträgervorrichtung mit datenbus deren energieverbrauch unabhängig ist von den über den datenbus gesendeten daten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition