Potentielle Anwender werden sich nur dann vom Nutzen der Chipkarte überzeugen lassen, wenn illegale Manipulationen hundertprozentig verhindert sind. Denkbare Delikte wären hier in erster Linie Nachahmung der Karten, unbefugtes Auslesen oder Ändern der eingespeicherten Programme und Daten und schließlich Mißbrauch durch Fremdpersonen.
Abbildung 41: Sicherheitsvorkehrungen auf drei Ebenen
Obwohl viele der in der oberen Abbildung aufgeführten Merkmale im Laufe dieser Arbeit am Rande schon behandelt wurden, sollen alle in diesem Kapitel zusammenfassend erläutert werden.
Da Chipkarten meist als Berechtigungen für bestimmte Dinge oder zur Identifizierung des Inhabers genutzt werden, sind oft zusätzlich zu dem implantierten Chip noch Sicherheitsmerkmale auf dem Kartenkörper vorhanden. Die Sicherheit dieser Merkmale basiert im Gegensatz zu denen des Mikrocontrollers nicht auf kryptographischen Verfahren, sondern auf optischen Merkmalen, da eine Kartenechtheitsprüfung sowohl von Computern, als auch von Menschen durchgeführt werden muß.
Ein eher einfaches Verfahren zur Identifizierung des Besitzers ist ein fest mit dem Kartenkörper verbundener Unterschriftsstreifen, wie er z.B. auf ec-Karten üblich ist. Einmal mit dem dafür vorgesehenen Stift beschrieben, kann er nicht mehr geändert werden, ist also radierfest. Das Überkleben des Streifens würde durch einen sehr feinen Farbdruck sofort sichtbar gemacht werden. Die irreversible Befestigung des Unterschriftsstreifens kann durch ein Heißklebverfahren für den bedruckten Papierstreifen gewährleistet werden. Bei einem anderen Verfahren ist der Unterschriftsstreifen ein Teil der obersten Schicht des Kartenkörpers und wird beim Zusammenbau mit einlaminiert.
Ein Foto des Besitzers, das auf dem Kartenkörper bei der Herstellung einlaminiert wird, ist ein weiteres optisches Erkennungsmerkmal, zur Überprüfung der Echtheit der Karte und der Besitzeridentifikation.
"Etwas aufwendiger sind unter der transparenten obersten Schicht der Karte eingeführte Folien mit farbig aufgedruckten Guillochen. Als Guillochen werden die meist runden oder ovalen geschlossenen und miteinander verwobenen Linienfelder bezeichnet, die sich z.B. auch auf allen deutschen Geldscheinen befinden. Diese Muster können momentan nur auf drucktechnischem Wege erzeugt werden und sind ebenfalls nicht kopierbar.
Ein weiteres Verfahren, das ebenfalls auf der Sicherheit von feinen gedruckten Strukturen basiert, sind Mikroschrift-Linien. Diese für das Auge nur als Linie erkennbare Schrift kann nur mit einer Lupe erkannt werden und ist auch nicht kopierbar.
Ein mittelweile allen Benutzern bekanntes Sicherheitsmerkmal sind in die Karte integrierte Hologramme. Diese werden in einem Heißprägeverfahren auf die Karte aufgepreßt und lassen sich nur mehr zerstörend von dieser lösen. Die Sicherheit liegt vor allem darin, daß es weltweit nur ein paar Hersteller dieser Hologramme gibt, und sie nicht an jede Firma abgegeben werden.
Ähnlich einem Hologramm ist das Multiple Laser Image (MLI). Dies ist eine Art Kippbild, das einfachen Hologrammen sehr ähnlich ist. Der Hauptunterschied liegt jedoch darin, daß hier kartenindividuelle Informationen auf dem kleinen Bild dargestellt sind. Es ließe sich bei diesem Verfahren beipielsweise individuell der Name des Kartenbesitzers als Kippbild aufbringen. Erzeugt wird das Multiple Laser Image durch Schwärzen von geprägten Kunststoffolien mit einem Laser. ... Eine weitere Variante des Aufbringens von Benutzerdaten auf den Kartenkörper ist die Hochprägung von Schriftzeichen. Da die Hochprägung sehr leicht manipulierbar ist, legt man manchmal einige Zeichen überlappend in das Hologramm, so daß die Manipulationssicherheit erhöht wird."
Um höchste Anforderungen für Banken und Kreditkarten-Unternehmen zu erfüllen, hat die Halbleiterindustrie auf der Ebene des Chips alle bisher bekannten Sicherheitslücken geschlossen:
Es ist nicht mehr möglich, geschützte Daten oder Programme aus dem ROM auszulesen, weder über die 'offiziellen' Kontakte der Chipkarte, die durch eine Software, also ein Steuerprogramm, das Zugriffe auf das ROM überwacht, noch über die Hardware. Hackerspezialisten legen Chips frei, tragen Schicht für Schicht ab und fotografieren jedesmal unter einem Mikroskop die Oberfläche. Bei 'Raubkopien' von Schaltkreisen ist dies schon lange üblich. Dabei läßt sich auch der Inhalt des maskenprogrammierten ROMs auslesen. Das wissen die Hersteller und vermischen deshalb die logischen und physikalischen Adressen kreuz und quer. Wer jetzt noch den Inhalt auslesen will, muß sämtliche Leiterbahnen auf dem Chip verfolgen - ein mühsames Geschäft, denn diese sind absichtlich nicht auf den kürzesten Wegen geführt, sondern chaotisch und über mehrere verschiedene Metallisierungsebenen hinweg. Außerdem sind Blindzellen und ganze Attrappen von Schaltungsteilen dazwischengesetzt. Dieses Labyrinth zu knacken dürfte immens teuer werden, so daß es in keinem Verhältnis zu dem erhofften Gewinn steht.
Informationen aus den EEPROMs auszulesen ist auf diesem Wege nicht möglich, denn sie sind in Form von Ladungen gespeichert und optisch nicht sichtbar. Denkbar wäre eine Abtastung mit Elektronenstrahlen, aber auch das wird durch besondere Maßnahmen verhindert: Sobald ein Strahl die Chipoberfläche trifft, löst ein Sensor die Löschung sämtlicher Speicherzellen aus. Normalerweise ist der Chip mit einer lichtundurchlässigen Kunststoffschicht zugegossen, deren Entfernung ihn mit hoher Wahrscheinlichkeit sowieso zerstört.
Ferner wird ein Untersuchen der Schaltvorgänge im Chip mittels einer sehr niedrigen Taktfrequenz unterbunden. Im sogenannten Ein-Schritt-Betrieb bei ca. einem Hertz könnte man jeden einzelnen Schritt verfolgen und so die Funktionen ausspionieren. Ein eigens dafür vorgesehenes Schaltungsteil läßt den Chip nicht unterhalb einer Taktfrequenz von einem Megahertz arbeiten.
Die im Kapitel Lebenszyklus (5.1) beschriebenen Sicherheitsmerkmale sollen hier der Vollständigkeit halber nochmals kurz erwähnt werden. So gibt es nach der Beendigung der Testphase des Chips bei den Herstellern die Möglichkeit, die Verbindung zu den entsprechenden Teilen für alle Zeiten zu unterbrechen. Bei der Firma Motorola wird sogar die Testschaltung mittels einer Präzisionssäge aus dem Mikrochip herausgesägt. Denkbar wäre auch ein Diebstahl von Chips auf dem Tranportweg vom Chiphersteller zum Kartenhersteller. Deshalb gibt es einen Transportcode. Nur nach dem dieser korrekt eingegeben wurde, kann der Kartenherausgeber Personalisierungsdaten bzw. Werteinheiten laden. Nach einer vorgegebenen Anzahl von Fehlversuchen blockiert der Chip sämtliche Funktionen. Auch die Möglichkeit, alle PIN-Nummern eines Benutzers durchzuprobieren, ist ausgeschlossen. Ein interner Zähler erlaubt nur drei Fehlversuche und schaltet danach sämtliche Funktionen ab.
Da die Karte und der Chip eine so hohe Sicherheit gegen Manipulation bieten, sind sie ein ideales Medium, um sensible Daten mit Erfolg abzusichern. Die anfälligste Stelle ist nicht die Speicherung, sondern die Übertragung von Daten. Mit Hilfe der Kryptographie wurden Methoden entwickelt, die gesamte Datenübertragung zu verschlüsseln, was äußerst lange Übertragungszeiten nach sich zieht. Eine weitere Möglichkeit ist, nur am Beginn einer Sitzung die Authentizität beider Kommunikationspartner festzustellen, um dann im Klartext zu übertragen, oder nur noch besonders sensible Daten verschlüsselt zu senden.
Die Möglichkeit, sichere Systeme mit Chipkarten aufzubauen, beruht einerseits wesentlich auf dem Einsatz kryptographischer Verfahren und andererseits auf der beachtlichen Rechenleistung, die schon heute auf Mikrocontroller-Karten zur Verfügung steht, und erst den Einsatz dieser Verfahren ermöglicht.
Als Kryptographie bezeichnet man die Wissenschaft der Methoden der Ver- und Entschlüsselung von Daten. Ziel der Kryptographie ist die Geheimhaltung von Nachrichten, sowie die Sicherstellung der Authentizität einer Nachricht. Die Authentizität einer Nachricht ist dann gegeben, wenn der Empfänger mit Sicherheit feststellen kann, daß eine erhaltene Nachricht während der Übermittlung nicht verändert wurde. Geheimhaltung bedeutet, daß nur der gewünschte Empfänger den Inhalt der Nachricht entschlüsseln kann. Beide angesprochenen Ziele sind unabhängig voneinander und stellen unterschiedliche Anforderungen an das jeweilige System.
Die Kryptographie hat eine lange Tradition. Schon Julius Cäsar verwandte ein einfaches Verschlüsselungsverfahren für private Botschaften. Einen großen Sprung vorwärts machte die Kryptographie im 2. Weltkrieg, als die ersten Computer bzw. Maschinen in der Lage waren, komplizierte mathematische Verschlüsselungsverfahren schnell zu berechnen. Auch die Zeiten, da James Bond einen russischen Dechiffrierer im Schreibmaschinenformat entwenden mußte, sind vorbei. Der heutige Stand der Technik macht es möglich, diese Verfahren auf Chipkarten unterzubringen.
Moderne Kryptoalgorithmen basieren in der Regel auf dem Kerckhoff-Prinzip. Das nach Auguste Kerckhoff (1835-1903) benannte Prinzip besagt, daß die gesamte Sicherheit eines Algorithmus nur auf der Geheimhaltung des Schlüssels beruhen soll und nicht auf der Geheimhaltung des kryptographischen Algorithmus.
Ein Begriff der im Zusammenhang mit Kryptoalgorithmen öfter vorkommt, ist die Mächtigkeit des Schlüsselraums. Damit wird die Anzahl der möglichen Schlüssel für ein solches Verfahren bezeichnet. Ein großer Schlüsselraum ist ein großer Vorteil, denn ein potientieller Angreifer benötigt mehr Zeit, um ein System zu brechen.
Die Kryptographie unterscheidet in theoretische und praktische Sicherheit eines Systems. Ein System ist theoretisch sicher, wenn einem Angreifer unbegrenzte Zeit und Hilfsmittel zur Verfügung stehen und es ihm selbst dann nicht möglich ist, das System zu brechen. Stehen einem Angreifer nur begrenzte Zeit und Hilfsmittel zur Verfügung, und er kann das System nicht brechen, wird das System als praktisch sicher bezeichnet.
Um den Schüssel eines Kryptoalgorithmus zu brechen gibt es verschiedene Angriffsmöglichkeiten. Zum Einen kann der Angreifer aus dem Schlüsseltext versuchen Informationen über Schlüssel oder Klartext herauszufinden, zum Anderen kennt der Angreifer mehrere Klartext-Schlüsseltext-Paare und versucht durch eine brute-force-attack das System zu knacken. Das bedeutet, daß mit einer großen Rechenleistung alle möglichen Kombinationen ausprobiert werden. Statistisch betrachtet, müssen dazu im Mittel nur die Hälfte aller möglichen Schlüssel ausprobiert werden, um den Richtigen zu finden. Ein großer Schlüsselraum erschwert diesen Angriff erheblich. Einer der aussichtsreichsten Angriffe auf ein System bietet sich, wenn der Angreifer durch eingeben eigener Klartexte, den entsprechenden Schlüsseltext erhält und somit durch Ausprobieren den geheimen Schlüssel findet.
Die Verschlüsselungstechnik unterscheidet drei Arten von Daten. Als Klartext werden unverschlüsselte Nachrichten bezeichnet. Im Gegensatz dazu bezeichnet man verschlüsselte Nachrichten als Schlüsseltext. Zur Ver- und Entschlüsselung werden ein oder zwei Schlüssel benötigt, welche die dritte Datenart darstellen. Die momentan in Chipkarten eingesetzten Kryptoalgorithmen sind alle blockorientiert. Das bedeutet, daß Klar- und Schlüsseltext nur in Paketen mit fester Länge verarbeitet werden können. Kryptoalgorithmen unterscheidet man in symmetrische und asymmetrische Algorithmen. Wird bei Ver- und Entschlüsselung der gleiche Schlüssel verwendet, so ist es ein symmetrischer Algorithmus. Im Gegensatz dazu benötigen die im Jahre 1976 von Whitfield Diffie und Martin E. Hellmann postulierten asymmetrischen Kryptoalgorithmen für Ver- und Entschlüsselung je einen unterschiedlichen Schlüssel.
7.3.1.1 Symmetrische Verschlüsselungsverfahren
Symmetrische Kryptoalgorithmen basieren auf dem Prinzip, die Ver- und Entschlüsselung mit dem gleichen Schlüssel durchzuführen. Daraus folgt, daß Absender und Empfänger den Schlüssel kennen müssen, dieser jedoch gegenüber Dritten geheimgehalten werden muß.
Abbildung 42: Symmetrisches Verschlüsselungsverfahren
Wird auf den Schlüsseltext der gleiche Schlüssel angewendet, so wird er wieder zum Klartext.
Der bekannteste und verbreitetste Vertreter der symmetrischen Verschlüsse-lungsverfahren ist der Data Encryption Algorithmus, kurz DEA genannt. Dieser Algorithmus wurde von der Firma IBM zusammen mit dem National Bureau of Standards in den USA 1977 als US-Norm entwi
Ohmus gingen in das Design ein. Dies sind die Konfusion und die Diffusion nach C.Shannon. Das Prinzip der Konfusion sagt aus, daß die Statistik des Schlüsseltextes die Statistik des Klartextes in einer solchen komplexen Weise beeinflussen soll, daß ein Angreifer daraus keine Vorteile erlangen kann. Diese Statistik bezieht sich auf die Häufigkeit der auftretenden Buchstaben bzw. Symbole. In der deutschen Sprache tritt der Buchstabe E am häufigsten auf. Wird nun eine Statistik des verschlüsselten Textes aufgestellt, so soll das am häufigsten auftretende Symbol auf keinen Fall den Buchstaben E abbilden, weil dann Rückschlüsse auf den Klartext möglich sind.
Häufigkeiten von Buchstaben im deutschen Alphabet:
| Deutsch | Prozent |
|---|---|
| E | 18,46 |
| N | 11,42 |
| I | 8,02 |
| R | 7,14 |
| S | 7,04 |
| A | 5,38 |
| T | 5,22 |
| U | 5,01 |
| D | 4,94 |
Das Prinzip der Diffusion besagt, daß jedes Zeichen des Klartextes und des Schlüssels möglichst viele Zeichen des Schlüsseltextes beeinflussen soll. Wird ein Zeichen des Klartextes geändert, so wirkt sich dies auf den gesamten Schlüsseltext aus und nicht nur auf ein Zeichen des Schlüsseltextes.
Beim DEA wird ein 64 Bit großer Schlüssel verwendet, um einen ebenfalls 64 Bit großen Datenblock zu verschlüsseln. Um längere Texte zu verschlüsseln, müssen diese zunächst in Blöcke Ö 64 Bits aufgeteilt werden. Eventuell am Ende fehlende Bits werden mit Nullen aufgefüllt, was als 'padding' bezeichnet wird.
Die beiden wesentlichen Operationen bei der Ver- und Entschlüsselung sind Permutation (Positionsvertauschung einzelner Bits) und Substitution (Ersetzen von Klartextzeichen durch Schlüsseltextzeichen).
Von den 64 Bits des Schlüssels sind 56 Bits frei wählbar. Die restlichen acht sind Paritätsbits an den Positionen 8,16,24,...,64; also jeweils am Ende eines Bytes. Der Schlüsselraum beträgt beim DES aufgrund der acht Paritätsbits 256. Das sind ungefähr 7,2 * 1016 mögliche Schlüssel. Auf den ersten Blick mag dies viel erscheinen, doch das ist der Hauptschwachpunkt des DES. Durch die ständig steigende Rechnerleistung moderner Computer liegt die Größe des Schlüsselraums an der unteren Grenze.
Auf die genaue Implementation soll hier verzichtet werden, dazu sei auf die Publikation von Meyer verwiesen.
7.3.1.1.1 Anwendungsvarianten des DEA
7.3.1.1.1.1 ECB-Modus
Die Grundbetriebsart des DEA wird als ECB-Modus bezeichnet. Dabei werden acht Byte lange Klartextblöcke unabhängig voneinander mit dem gleichen Schlüssel verschlüsselt. Dies ist der DES in seiner Reinform.
Abbildung 43: Die ECB-Betriebsart eines Blockverschlüsselungsalgorithmus bei der Verschlüsselung (Die Entschlüsselung geschieht analog)
7.3.1.1.1.2 CBC-Modus
Eine weitere Betriebsart ist der CBC-Modus. Dabei wird ein aus mehreren Blöcken bestehender Text mit einer Operation bei der Verschlüsselung so verkettet, daß die nachfolgenden Blöcke von den vorhergehenden abhängig werden. Dadurch kann das Vertauschen, Einfügen oder Löschen von verschlüsselten Blöcken zuverlässig erkannt werden. Dies ist im ECB-Modus nicht möglich.
Abbildung 44: Die CBC-Betriebsart eines Blockverschlüsselungsalgorithmus bei der Verschlüsselung (Die Entschlüsselung verläuft analog)
Der erste Klartextblock wird mit einem Initialisierungsvektor verknüpft und dann mit dem DES verschlüsselt. Das Ergebnis ist der Schlüsseltext, der wiederum mit dem folgenden Klartextblock verknüpft wird. Analog wird mit allen folgenden Blöcken verfahren.
7.3.1.1.1.3 Triple-DES-Verfahren
Beim Triple-DES-Verfahren werden drei DES Operationen mit abwechselnder Ver- und Entschlüsselung hintereinandergeschaltet. Dies ist wesentlich sicherer als eine aufeinanderfolgende Mehrfachverschlüsselung mit verschiedenen Schlüsseln. Dabei werden statt eines acht Byte Schlüssels zwei benötigt. Dieses Verfahren ist kompatibel zu den vorhergeheden und erfordert außer einem doppelt so großen Schlüssel keinerlei Mehraufwand. Gerade dies ist ein Hauptargument, warum das Triple-DES-Verfahren in Chipkarten Einsatz findet.
Abbildung 45: Ablauf der Verschlüsselung beim Triple-DES-Verfahren (Die Entschlüsselung erfolgt analog)
7.3.1.2 Asymmetrische Verschlüsselungsverfahren
Die symmetrischen Verfahren haben einen Nachteil: da der Schlüssel, mit dem die Nachricht verschlüsselt wurde, auch zur Entschlüsselung benötigt wird, muß er in irgendeiner Weise an den Empfänger übermittelt werden. Dieser Vorgang ist abhörbar, und die Nachrichten sind daher nicht mehr sicher. Das Problem könnte gelöst werden, wenn der zur Verschlüsselung verwendete Schlüssel nicht identisch mit jenem zur Entschlüsselung wäre.
Abbildung 46: Asymmetrische Verschlüsselungsverfahren
Der Empfänger könnte den Sender auffordern, ihm eine Nachricht mit einem bestimmten Verschlüsselungsschlüssel chiffriert zuzusenden. Hierbei könnte der Verschlüsselungsschlüssel jedermann offengelegt werden (public key), während der Entschlüsselungsschlüssel im Speicher des Chips einer elektronischen Geldbörse verwahrt wird.
Bereits 1976 beschrieben Diffie und Hellman die Möglichkeit einen Verschlüsselungsalgorithmus dieser Art zu entwickeln. In den darauffolgenden Jahren gab es noch zahlreiche weitere Vorschläge, die mehr oder weniger alle auf der folgenden Idee beruhen:
Es wird eine Verschlüsselungsfunktion mit folgenden Eigenschaften benötigt: Die Anwendung dieser Funktion muß in einer Richtung (Verschlüsselung) sehr effizient sein, in der Gegenrichtung (Entschlüsselung) muß die Umkehrfunktion in der Zeitkomplexität exponentiell anwachsen. Darüber hinaus muß es eine Information geben, die es dem Empfänger ermöglicht, die Entschlüsselung in ein mathematisches Problem mit polynomieller Komplexität zu verwandeln.
7.3.1.2.1 Der RSA-Algorithmus
1978 stellten Ronald L. Rivest, Adi Shamir und Leonard Adleman den RSA-Algorithmus vor, benannt nach seinen drei Erfindern. Der RSA-Algorithmus ist der bekannteste und am flexibelsten einsetzbare asymmetrische Kryptoalgorithmus, der zur Zeit verwendet wird.
Das einfache Funktionsprinzip basiert auf Primzahlenzerlegung. Beide Schlüssel werden auf der Grundlage von zwei großen Primzahlen p und q erzeugt. Diese sind nur dem Empfänger bekannt. Er sendet das Produkt n=p*q der beiden Primzahlen und einen ausgewählten öffentlichen Schlüssel e an den Sender. Dieser kann nun aus einer Nachricht M ein Kryptogramm C erzeugen, gemäß der Formel:
Das Kryptogramm C übermittelt der Sender dem Empfänger, der es dechiffrieren kann, da er die Verschlüsselungsfunktion e und die beiden Primzahlen p und q besitzt, und daraus die Entschlüsselungsfunktion berechnen kann.
Die Sicherheit des RSA-Verfahrens beruht darauf, daß ein Unbefugter auch wenn er die Nachricht mithört aus der Zahl n nicht die beiden Primzahlen p und q ermitteln kann, die er benötigt, um die Entschlüsselungsfunktion zu berechnen. Es ist sehr einfach n aus den beiden Primzahlen zu berechnen, aber sehr schwierig n so zu faktorisieren, daß die richtigen Primzahlen herauskommen.
Eine der Stärken des RSA-Algorithmus ist, daß er nicht auf bestimmte Schlüssellängen fixiert ist, wie z.B. der DEA. Benötigt man mehr Sicherheit, so kann man ohne den Algorithmus zu ändern größere Schlüssellängen verwenden. Allerdings muß dabei immer noch die Rechenzeit im Auge behalten werden. Eine Schlüssellänge von 512 Bit gilt momentan noch als sicher, da ein Supercomputer für die Zerlegung in die richtigen Primfaktoren einige hundert Jahre brauchen würde.
Damit eine Chipkarte dieses Sicherheitsverfahren in akzeptierbarer Zeit anwenden konnte, wurden die Krypto-Controller-Karten entwickelt. Sie enthalten spezielle Rechenwerke, die besonders schnell Exponentations- und Modulo-Operationen ausführen können.
Der Zweck einer Authentisierung ist die Überprüfung der Echtheit eines Kommunikationspartners. Bezogen auf die Chipkartenwelt sind dies die Chipkarte und das Terminal. Beide Kommunikationspartner müssen dazu ein gemeinsames Geheimnis besitzen.
Das Prinzip der Authentisierung im Chipkartenbereich basiert immer auf dem Challenge-Response-Verfahren. Dabei stellt der eine Kommunikationspartner dem anderen eine zufällig erzeugte Frage (challenge), dieser berechnet mit einem Algorithmus eine Antwort und sendet sie an den Fragesteller zurück (response). Der Algorithmus ist ein Verschlüsselungsverfahren mit einem geheimen Schlüssel, der das gemeinsame Geheimnis der Kommunikationspartner birgt.
Die angewendeten Verschlüsselungsverfahren sind hauptsächlich symmetrisch, da sie kürzer in der Ausführungsgeschwindigkeit sind. Grundsätzlich funktionieren symmetrische wie asymmetrische Verschlüsselungsverfahren.
Bei Authentisierungsverfahren muß grundsätzlich zwischen einseitiger und gegenseitiger Authentisierung unterschieden werden. Die einseitige Authentisierung führt bei positiver Auswertung zu einer Sicherstellung einer der beiden Kommunikationspartner. Bei positiver Auswertung einer gegenseitigen Authentisierung sind beide Partner authentisch.
7.3.2.1 Einseitige Authentisierung
Das Prinzip der einseitigen Authentisierung ist in der folgenden Grafik dargestellt, in der das Terminal eine Chipkarte mit symmetrischen Kryptoalgorithmen authentisiert.
Abbildung 47: Einseitige Authentisierung der Chipkarte durch das Terminal
Das Terminal generiert eine Zufallszahl und sendet diese zur Chipkarte. Nach dem Empfang wird diese von der Chipkarte chiffriert. Der dabei verwendete Schlüssel ist nur dem Terminal und der Chipkarte bekannt. Die Sicherheit des Verfahrens hängt von diesem Schlüssel ab, da nur der Besitzer des geheimen Schlüssels in der Lage ist, die richtige Antwort für das Terminal zu erzeugen. Der Schlüsseltext wird von der Chipkarte zurück zum Terminal gesendet. Das Terminal führt mit der gesendeten Zufallszahl die gleiche Verschlüsselung durch, danach vergleicht es beide Ergebnisse. Stimmen sie überein, so ist die Karte authentisch.
Besäßen alle Chipkarten einer Anwendung den gleichen Schlüssel und würde dieser bekannt, so wäre das gesamte System diskreditiert. Um genau diesen Fall zu verhindern, werden in der Praxis grundsätzlich nur kartenindividuelle Schlüssel verwendet. Jede Karte hat einen individuellen Schlüssel, der aus einem nicht geheimen Kartenmerkmal abgeleitet werden kann, beispielsweise die Seriennummer des Chips. Um den kartenindividuellen Schlüssel zu berechnen, fordert das Terminal von der Chipkarte diese Zahl an. Das Terminal verschlüsselt einen Teil dieser kartenindividuellen Zahl mit dem Hauptschlüssel des Terminals und erhält so den kartenindividuellen Authentisierungsschlüssel. Nachdem das Terminal diesen berechnet hat, folgt der übliche oben beschriebene Ablauf im Rahmen eines Challange-Response-Verfahrens.
7.3.2.2 Gegenseitige Authentisierung
Eine gegenseitige Authentisierung beruht auf einer zweifachen einseitigen Authentisierung. Es könnten zwei einseitige Authentisierungen abwechselnd für beide Kommunikationspartner ausgeführt werden. Da jedoch der Kommunikationsaufwand aus zeitlichen Gründen so gering wie möglich gehalten werden soll, gibt es ein Verfahren, beide Authentisierungen miteinander zu verflechten. Dabei wird eine höhere Sicherheit erzielt, da es für einen Angreifer viel schwieriger ist, in den Kommunikationsablauf einzugreifen.
Abbildung 48: Gegenseitige Authentisierung von Chipkarte und Terminal
Damit das Terminal mit dem Hauptschlüssel aus der Chipkartennummer den kartenindividuellen Authentisierungsschlüssel berechnen kann, benötigt es als erstes die Kartennummer. Hat das Terminal diese erhalten, berechnet es den für diese Chipkarte notwendigen Authentisierungsschlüssel. Danach fordert es von der Chipkarte eine Zufallszahl (Zufallszahl(C)) an und generiert selbst ebenfalls eine Zufallszahl (Zufallszahl(T)). Das Terminal setzt beide Zufallszahlen hintereinander, verschlüsselt sie mit dem geheimen Schlüssel und sendet den so erhaltenen Schlüsseltext zur Karte.
Diese kann den erhaltenen Block entschlüsseln und prüfen, ob die vorher an das Terminal gesendete Zufallszahl (Zufallszahl(C)) mit der zurückerhaltenen übereinstimmt. Ist dies der Fall, so weiß die Karte, daß das Terminal den geheimen Schlüssel besitzt, und das Terminal ist gegenüber der Karte authentisiert. Daraufhin vertauscht die Chipkarte die beiden Zufallszahlen, verschlüsselt sie und schickt das Ergebnis zum Terminal.
Dieses dechiffriert den erhaltenen Block und vergleicht die zuvor an die Chipkarte verschlüsselt gesendete Zufallszahl (Zufallszahl(T)) mit der erhaltenen. Bei Übereinstimmung ist die Karte gegenüber dem Terminal authentisiert und die gegenseitige Authentisierung ist abgeschlossen.
Der Zeitaufwand für eine gegenseitige Authentisierung ist benahe doppelt so hoch, wie der einer einseitigen.