[go: up one dir, main page]

DE102009033918A1 - Sicheres Anzeigen von Nutzdaten auf einem Telekommunikationsendgerät - Google Patents

Sicheres Anzeigen von Nutzdaten auf einem Telekommunikationsendgerät Download PDF

Info

Publication number
DE102009033918A1
DE102009033918A1 DE102009033918A DE102009033918A DE102009033918A1 DE 102009033918 A1 DE102009033918 A1 DE 102009033918A1 DE 102009033918 A DE102009033918 A DE 102009033918A DE 102009033918 A DE102009033918 A DE 102009033918A DE 102009033918 A1 DE102009033918 A1 DE 102009033918A1
Authority
DE
Germany
Prior art keywords
pattern
filter
display
display device
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102009033918A
Other languages
English (en)
Other versions
DE102009033918B4 (de
Inventor
Michael Baldischweiler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient ePayments GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102009033918.3A priority Critical patent/DE102009033918B4/de
Publication of DE102009033918A1 publication Critical patent/DE102009033918A1/de
Application granted granted Critical
Publication of DE102009033918B4 publication Critical patent/DE102009033918B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/321Display for diagnostics, e.g. diagnostic result display, self-test user interface
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Quality & Reliability (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Controls And Circuits For Display Device (AREA)

Abstract

Bei einem Verfahren zum Anzeigen von Nutzdaten (6) auf einer Anzeigeeinrichtung (11; 41) eines Benutzers wird ein Anzeigemuster (8) auf der Anzeigeeinrichtung (11; 41) angezeigt, das die Nutzdaten (6) in verschleierter Form umfasst, und mit einem Filtermuster (4a) derart überlagert, dass die Nutzdaten (6) erkennbar sind, wobei ein das Filtermuster (4a) umfassendes Filterelement (3) aus einem für den Benutzer bestimmten, kartenförmigen Ausbrechsubstrat (1) ausgebrochen und auf die Anzeigeeinrichtung (11; 41) aufgelegt wird.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Anzeigen von Nutzdaten auf einer Anzeigeeinrichtung mittels eines aus einem Ausbrechsubstrat ausbrechbaren Filterelements, sowie ein derartiges Ausbrechsubstrat mit einem ausbrechbaren Filterelement.
  • Für die Sicherheit vielerlei elektronischer Anwendungen, in deren Rahmen eine Datenkommunikation zwischen einem Telekommunikationsendgerät, beispielsweise einem Mobilfunkendgerät, und einem Server über eine Datenkommunikationsverbindung durchgeführt wird, z. B. mit einem Transaktionsserver im Internet, ist entscheidend, dass ein Benutzer des Telekommunikationsendgeräts davon ausgehen kann, dass auf einer Anzeigeeinrichtung des Telekommunikationsendgeräts oder eines anderweitigen Computerendgeräts des Benutzers angezeigte, von dem Server oder einer vertrauenswürdigen Stelle stammende geheime Nutzdaten unmanipuliert und integer sind. Dies gilt in besonderer Weise für dem Benutzer zur Verfügung gestellte sicherheitskritische Nutzdaten im Zusammenhang mit Mobile- oder Online-Transaktionen, z. B. Transaktionsdaten, Kennwörter, Transaktionsbestätigungen oder dergleichen.
  • Bei der Anzeige solcher Nutzdaten auf einer Anzeigeeinrichtung eines Telekommunikations- oder Computerendgeräts besteht jedoch zumeist das Problem, dass die Anzeigeeinrichtung prinzipiell unsicher ist, da der zur Anzeigesteuerung notwendige Datenverkehr von einem Betriebssystem des Telekommunikations- oder Computerendgeräts zu dessen Anzeigeeinrichtung nicht gesondert gesichert ist. Dies eröffnet die Möglichkeit eines so genannten „Man-in-the-Middle”-Angriffs, bei dem sich ein Angreifer, zum Beispiel in Form eines Schadcodes als Trojaner oder dergleichen, auf dem Telekommunikations- oder Computerendgerät zwischen dessen Anzeigeeinrichtung und das Betriebssystem schaltet und die spätestens dort im Klartext vorliegenden anzuzeigenden Nutzdaten mitlesen oder sogar manipulieren kann.
  • Basierend auf den Methoden der visuellen Kryptographie offenbart die WO 03/085632 A2 ein Verfahren, gemäß dem zwei elektronische Anzeigeeinrichtungen verwendet werden, deren jeweils angezeigte Schwarz/Weiß-Pixelmuster derart überlagert werden können, dass ein die Nutzdaten wiedergebendes Gesamtmuster entsteht, wobei jedoch jedem einzelnen Pixelmuster keine Hinweise auf die Nutzdaten zu entnehmen sind. Die Verwendung einer zweiten elektronischen Anzeigeeinrichtung neben der Anzeigeeinrichtung des ohnehin verwendeten Telekommunikations- oder Computerendgeräts ist jedoch mit erheblichen Kosten und Aufwand verbunden.
  • Die DE 10 2007 018 802 B3 offenbart ein Verfahren zur gesicherten Datenübertragung im Rahmen des Online-Bankings basierend auf Methoden der visuellen Kryptographie. Dabei werden die entsprechenden Nutzdaten nicht im Klartext, sondern in Form von Koordinatendaten übertragen, die über ein auf einer Anzeigeeinrichtung angezeigtes Tastenfeld eingegeben werden. Das Bild des anzuzeigenden Tastenfelds (also die anzuzeigenden Nutzdaten) wird gemäß der visuellen Kryptographie derart in zwei weitgehend zufällige Teilbilder zerlegt, dass aus jedem einzelnen Teilbild allein das Bild des Tastenfelds nicht abgeleitet werden kann. Das Tastenfeld kann dann von einem Nutzer sichtbar gemacht werden, indem ein Teilbild auf der Anzeigeeinrichtung angezeigt wird und das andere Teilbild in Form einer geheim zu haltenden bedruckten Folie derart auf die Anzeigeeinrichtung gelegt wird, dass sich die beiden Teilbilder wieder zu dem Bild des Tastenfelds kombinieren. Hierbei muss einem Nutzer jedoch das zweite Teilbild in Form einer oder mehrerer Folien bereitgestellt werden.
  • Daneben existieren ähnliche Verfahren zum sicheren Anzeigen von Nutzdaten auf einer Anzeigeeinrichtung, die auf Farbmischungseffekten basieren und bei denen die anzuzeigenden Nutzdaten durch farblich ähnliche Stördaten derart verschleiert werden, dass die Nutzdaten nur durch Überlagerung mit einem geheimen, auf die verschleiernden Stördaten abgestimmten Farbfiltermuster erkennbar gemacht werden können. In diesem Zusammenhang ist es auch bekannt, zeitlich variierende Stördaten vorzusehen, die nur durch ebenso zeitlich variierende Farbfiltermuster oder stroboskopartige Beleuchtungen kompensiert werden können. Jedoch besteht auch bei solchen Ansätzen das Problem, dass die geheim zu haltenden Farbfiltermuster in Form von Folien, elektronischen Anzeige- oder Beleuchtungseinrichtungen oder dergleichen dem betreffenden Benutzer separat bereitgestellt werden müssen, was wiederum Sicherheitsnachteile mit sich bringen und erhöhte Kosten aufgrund der hierfür benötigten Infrastruktur verursachen kann.
  • Demzufolge ist es die Aufgabe der vorliegenden Erfindung, Nutzdaten mittels einer möglichst effizienten Infrastruktur sicher auf einer prinzipiell unsicheren Anzeigeeinrichtung anzuzeigen.
  • Bei einem erfindungsgemäßen Verfahren zum Anzeigen von Nutzdaten auf einer einem Benutzer zugänglichen Anzeigeeinrichtung wird zunächst ein Anzeigemuster auf der Anzeigeeinrichtung angezeigt, das die anzuzeigenden Nutzdaten in verschleierter Form derart darstellt, dass die Nutzdaten in dem angezeigten Anzeigemuster zunächst nicht erkennbar sind. Dies kann beispielsweise dadurch erreicht werden, dass die Nutzdaten durch verschleiernde Stördaten ergänzt werden, die gemeinsam mit den Nutzdaten in das Anzeigemuster eingehen. Die verschleierten Nutzdaten werden kenntlich gemacht, indem das auf der Anzeigeeinrichtung angezeigte Anzeigemuster mit einem vom Benutzer geheim zu haltenden Filtermuster überlagert wird, auf das die Art der Verschleierung der Nutzdaten derart abgestimmt ist, dass in dem angezeigten Anzeigemuster die Nutzdaten erkennbar werden. Bei in dem Anzeigemuster vorhandenen verschleiernden Stördaten sind diese derart auf das geheime Filtermuster abgestimmt, dass das Filtermuster die Stördaten ausblendet. Der Benutzer, der das Anzeigemuster mit dem Filtermuster überlagert, erhält ein das Filtermuster umfassendes Filterelement, z. B. einen Kunststoffrahmen mit einer darin eingelassenen Filterfolie, die das Filtermuster wiedergibt, erfindungsgemäß in Form eines kartenförmigen Ausbrechsubstrats, aus dem das Filterelement ausgebrochen und auf die Anzeigeeinrichtung aufgelegt werden kann.
  • Derartige Ausbrechsubstrate mit wichtigen elektronischen oder anderweitigen ausbrechbaren Komponenten sind Benutzern bereits seit langem bekannt, z. B. im Zusammenhang mit Mobilfunkkarten, die aus einem chipkartenförmigen Substrat ausgebrochen werden können, welches der Benutzer beispielsweise von einem Mobilfunknetzbetreiber erhält. Hierbei ist es Benutzern einerseits geläufig, dass in Form eines Ausbrechsubstrats sicherheitsrelevante und möglichst sorgfältig und geheim zu handhabende Komponenten postalisch zugestellt werden, so dass von einem notwendigen sicherheitstechnischen Bewusstsein des Benutzers ohne Weiteres ausgegangen werden kann. Andererseits kann eine bestehende Infrastruktur genutzt werden, um kartenförmige Ausbrechsubstrate zu sichern, verwalten, zuzustellen und deren Einsatz gegebenenfalls abzurechnen.
  • Vorzugsweise wird dem Benutzer in dem Ausbrechsubstrat neben dem ausbrechbaren Filterelement auch ein ausbrechbarer portabler Datenträger zur Verfügung gestellt, der im Rahmen des erfindungsgemäßen Verfahrens zum Anzeigen von Nutzdaten auf der Anzeigeeinrichtung im Zusammenhang mit dem Filterelement eingesetzt werden kann, indem der ausgebrochene portable Datenträger das Filtermuster – in digitaler Form – bereitstellt, um in Abhängigkeit von dem Filtermuster und den anzuzeigenden Nutzdaten ein entsprechendes Anzeigemuster selbst zu erzeugen oder einer anderweitigen vertrauenswürdigen Stelle dies zu ermöglichen.
  • Hierbei ist es besonders bevorzugt, dass der aus dem Ausbrechsubstrat ausbrechbare portable Datenträger eine in ein Telekommunikationsendgerät des Benutzers einsetzbare Mobilfunkkarte ist. Hieraus ergibt sich unmittelbar der Vorteil, dass das ausbrechbare Filterelement dem Benutzer auf die gleiche Weise wie eine Mobilfunkkarte von einem Hersteller oder Herausgeber von Mobilfunkkarten über dessen Infrastruktur bereitgestellt werden kann und eine separate Bereitstellung des Filterelements entfallen kann.
  • Ebenso können die im Zusammenhang mit der Herausgabe und. Verwaltung von Mobilfunkkarten bekannten Sicherheitsmechanismen genauso zur Sicherung des Filterelements eingesetzt werden, da das Filterelement nur dann erfindungsgemäß eingesetzt werden kann, wenn der Benutzer Zugriff auf die Mobilfunkkarte selbst hat, indem er eine separat zugesandte Identifikationsnummer (PIN) kennt. Dies ergibt sich insbesondere dann, wenn der erfindungsgemäße enge Zusammenhang zwischen der Funktion des Filterelements mit einem (analogen, weil z. B. als transparente Folie realisierten) Filtermuster und dem von dem portablen Datenträger exklusiv zur Erzeugung eines Anzeigemusters bereitgestellten entsprechenden digitalen Filtermuster derart besteht, dass das Anzeigemuster in Abhängigkeit von dem digitalen Filtermuster (und den Nutzdaten) von der Mobilfunkkarte erzeugt und z. B. auf der Anzeigeeinrichtung eines Telekommunikationsendgeräts angezeigt werden kann, so dass die Nutzdaten nur durch das (analoge) Filtermuster des Filterelements kenntlich gemacht werden kann.
  • Hierbei kann der portable Datenträger das digitale Filtermuster zur Erzeugung eines Anzeigemusters entweder dadurch bereitstellen, dass das (digitale) Filtermuster beispielsweise in einem geeigneten Speicher des Datenträgers vorliegt, oder dass das (digitale) Filtermuster über eine sichere, z. B. verschlüsselte Datenkommunikation aus einem externen Speicherchip in den Datenträger eingelesen wird. Im erstgenannten Fall kann das Filtermuster z. B. bereits bei einer Personalisierung im Rahmen eines Herstellungs- oder Herausgabevorgangs des portablen Datenträgers als Teil der Personalisierungsdaten eingeschrieben werden. Im letztgenannten Fall ist es beispielsweise möglich, dass das Filtermuster in einem Speicherchip vorliegt, der entweder nicht ausbrechbar in dem Ausbrechsubstrat selbst oder in dem ausbrechbaren Filterelement, z. B. in dessen Kunststoffrahmen, integriert ist. Das Auslesen des Filtermusters aus einem solchen separaten Speicherchip, z. B. einem RFID-Transponder, wird vorzugsweise kontaktlos durchgeführt, das heißt über eine geeignete Kontaktlos- oder NFC-Schnittstelle (Nahbereichskommunikation) – z. B. eine RFID-Leseschnittstelle (Funkfrequenzidentifizierung) – des Datenträgers oder eines Telekommunikationsendgeräts, in das der portable Datenträger als Mobilfunkkarte eingesetzt ist.
  • Vorzugsweise erzeugt der portable Datenträger das Anzeigemuster selbst in Abhängigkeit von dem ihm vorliegenden Filtermuster und den anzuzeigenden Nutzdaten. Hierbei wird vorzugsweise eine digitale, bildpunkt- oder bildregionenweise Verknüpfung der Nutzdaten (bzw. eines die Nutzdaten darstellenden Nutzdatenmusters oder -bildes) mit dem geheimen (digitalen) Filtermuster berechnet, so dass die Nutzdaten derart verschleiert werden, dass ohne eine Überlagerung des Anzeigemuster mit dem entsprechenden (analogen) Filtermuster die Nutzdaten nicht erkennbar sind. Die bildpunkt- oder bildregionenweise Verknüpfung der Nutzdaten mit dem Filtermuster kann z. B. die Nutzdaten verschleiernde Stördaten hervorbringen, die zusammen mit den Nutzdaten in das Anzeigemuster eingehen.
  • Vorzugsweise wird ein solches von dem Datenträger erzeugtes Anzeigemuster von diesem als Mobilfunkkarte auf einer Anzeigeeinrichtung eines Telekommunikationsendgeräts angezeigt und durch Überlagerung der Anzeigeeinrichtung mit dem aus dem gleichen Ausbrechsubstrat wie der Datenträger stammenden Filterelement werden die Nutzdaten kenntlich gemacht.
  • Das Filtermuster ist vorzugsweise derart komplex aufgebaut, dass es zumindest nicht homogen oder rotations-, punkt- oder achsensymmetrisch ist, sondern vielmehr aus mehreren, unterschiedlichen Feldern, Bereichen, Sektoren oder dergleichen besteht. Prinzipiell kann das Filtermuster aus einem erkennbaren geometrischen Feldermuster oder sogar aus einem höheraufgelösten Pixelmuster bestehen, das auch ein Bild darstellen kann. Vorzugsweise ist das Filtermuster zumindest derart komplex aufgebaut, dass die Nutzdaten in dem Anzeigemuster nur kenntlich gemacht werden, wenn das Filtermuster in einer erforderlichen, vorgegebenen relativen Lage zu dem Anzeigemuster auf die Anzeigeeinrichtung aufgelegt wird.
  • Um den Benutzer dabei zu unterstützen, das Filterelement in der erforderlichen, vorgegebenen relativen Lage zu dem Anzeigemuster anzuordnen, kann die relative Lage des Filtermusters von dem portablen Datenträger vorab ermittelt werden, um das Anzeigemuster anschließend derart zu drehen oder zu verschieben, dass es die erforderliche relative Lage zu dem Filtermuster einnimmt. Dies kann bei einem Telekommunikationsendgerät mit einer berührungsempfindlichen Anzeigeeinrichtung („Touch-Screen”) insbesondere dadurch erreicht werden, dass der Benutzer über Berührungen der Anzeigeeinrichtung, z. B. in einer vorgegebenen Reihenfolge an den Eckpunkten oder an den Kanten des aufgelegten Filterelements, die Lage des Filterelements auf der Anzeigeeinrichtung und dadurch die momentane relative Lage des Filtermusters zu dem angezeigten Anzeigemuster derart angibt, dass der Datenträger das Anzeigemuster entsprechend drehen oder verschieben kann. Ebenso kann das Filterelement selbst elektrisch leitende Berührungspunkte besitzen, z. B. an den Ecken des Filterelements, die bei Berührung durch den Benutzer einen elektrischen Impuls durch das Filterelement hindurch zu der berührungsempfindlichen Anzeigeeinrichtung leiten und so eine direkte Berührungen der Anzeigeeinrichtung nachzubilden.
  • Ebenso ist es möglich, dass vor dem Anzeigen des Anzeigemusters ein Testmuster auf der Anzeigeeinrichtung angezeigt wird, das dem Benutzer bekannte Testdaten umfasst, z. B. ein von ihm bestimmtes Wasserzeichen oder Logo oder dergleichen. Hierbei wird das Testmuster auf der Anzeigeeinrichtung in derselben Lage angezeigt, wie nachfolgend das Anzeigemuster mit den Nutzdaten angezeigt wird, und die Testdaten sind in dem Testmuster genauso verschleiert, wir die Nutzdaten in dem anzuzeigenden Anzeigemuster. Falls der Benutzer dann eine zum Kenntlichmachen der Testdaten erforderliche relative Lage des Filtermusters zu dem Testmuster findet, kann er dies beispielsweise gegenüber seinem Telekommunikationsendgerät bestätigen. Anschließend zeigt der portable Datenträger das Anzeigemuster mit den Nutzdaten in der gleichen Lage auf der Anzeigeeinrichtung an, wie zuvor das Testmuster, wodurch sichergestellt wird, dass das Filtermuster bereits in der erforderlichen, vorgegebenen relativen Lage auf der Anzeigeeinrichtung positioniert ist.
  • Alternativ zu der Erzeugung eines Anzeigemusters durch den portablen Datenträger selbst kann das Anzeigemuster auch von einer vertrauenswürdigen weitere Stelle erzeugt werden, z. B. von einem Transaktionsserver im Internet, gegenüber dem der Benutzer mit seinem Telekommunikationsendgerät eine Online-Transaktion angewiesen hat. Die Nutzdaten können in diesem Fall z. B. eine Transaktionsbestätigung (TAN) betreffen, die vorzugsweise auf einer Anzeigeeinrichtung eines Computerendgeräts des Benutzers angezeigt wird und von dem Benutzer an den Transaktionsserver zur Freigabe der Transaktion zurückgeschickt werden muss. Hierzu ist es erforderlich, dass der portable Datenträger einem solchen Transaktionsserver das (digitale) Filtermuster zum Erzeugen des Anzeigemusters bereitstellt, z. B. indem das Filtermuster verschlüsselt über ein Mobilfunknetz an den Transaktionsserver übertragen wird oder indem eine für Außenstehende nicht verwertbare identifizierende Filterkennung an den Transaktionsserver gesendet wird, anhand welcher der Transaktionsserver das dem Datenträger vorliegende (digitale) Filtermuster eigenständig ermitteln kann, z. B. in einer Datenbank mit Personalisierungsdaten des Kartenherstellers oder -herausgebers, sofern das (digitale) Filtermuster bereits im Rahmen eines Personalisierungsvorgangs in dem Datenträger abgelegt wurde. Das von dem Transaktionsserver erzeugte Anzeigemuster kann dann ohne weitere Sicherung an das Computerendgerät des Benutzers übertragen und dort derart angezeigt werden, dass der Benutzer die Nutzdaten mit seinem Filterelement kenntlich machen kann.
  • Vorzugsweise wird das Filtermuster als zufälliges Farbfiltermuster bereitgestellt, so dass aus diesem keinerlei Hinweise auf Nutzdaten abgeleitet werden können. Das Anzeigemuster wird als Farbanzeigemuster derart bestimmt, dass beim Auflegen des Farbfilterelements auf die Anzeigeeinrichtung die Nutzdaten durch eine Farbmischung des zufälligen Filterfarbmusters mit dem bestimmten Anzeigefarbmuster erkennbar werden. Dies kann z. B. durch eine Farbmischoperation erfolgen, die die Nutzdaten basierend auf dem Farbfiltermuster durch farbige Stördaten ausreichend verschleiert. Bei Auflegen des Farbfiltermusters auf das Farbanzeigemuster erfolgt dann eine weitere Farbmischung des Filterfarbmusters mit den Nutz- und Stördaten des Anzeigemusters, so dass sich die gefilterten Nutzdaten ausreichend deutlich von den gefilterten Stördaten unterscheiden. Eine derartige Farbmischung kann z. B. eine additive Farbmischung mit den Grundfarben Rot, Grün und Blau oder eine subtraktive Farbmischung mit den Grundfarben Cyan, Magenta und Gelb sein.
  • Alternativ kann das Filtermuster gemäß der Methode der visuellen Kryptographie (vgl. M. Naor, A. Shamir „Visual Cryptography", Europerypt 94) auch als zufälliges Schwarz/Weiß-Pixelfiltermuster bereitgestellt werden, aus dem keinerlei Information über etwaige Nutzdaten ableitbar ist. Ausgehend von dem Pixelfiltermuster wird ein Schwarz/Weiß-Pixelanzeigemuster derart bestimmt, dass beim Auflegen des Pixelfiltermusters auf die Anzeigeeinrichtung eine logische Verknüpfung der Pixel des Pixelfiltermusters mit denjenigen des Anzeigefiltermusters nach den Vorgaben der visuellen Kryptographie derart erfolgt, dass die Nutzdaten erkennbar werden.
  • Bei der visuellen Kryptographie wird das Pixelfiltermuster erstellt, indem jedem einzelnen Pixel ein aus einer vorgegebenen Menge zufällig ausgewähltes atomares Subpixelmuster zugeordnet wird, z. B. ein 2 × 2 Schwarz/Weiß-Muster. Ausgehend von diesem (digitalen) Pixelfiltermuster wir das Pixelanzeigemuster erzeugt, indem jedem Vordergrundpixel der Nutzdaten (bzw. eines die Nutzdaten als Vordergrund vor einem unterscheidbaren Hintergrund wiedergebenden Nutzdatenbilds) ein atomares Subpixelmuster zugewiesen wird, das dem invertierten Subpixelmuster an der entsprechende Stelle in dem Pixelfiltermuster entspricht, und jedem Hintergrundpixel das gleiche Subpixelmuster zugewiesen wird, wie es an der entsprechenden Stelle des Pixelfiltermusters zu finden ist. Dem entstehenden Pixelanzeigemuster kann dann ebenso wenig ein Hinweis über die verschleierten Nutzdaten entnommen werden, wie dem Pixelfiltermuster. Bei der anschließenden lagerichtigen Überlagerung des Pixelanzeigemusters mit dem entsprechenden (analogen) Pixelfiltermuster ergibt sich durch die logische (und dadurch auch optisch wahrnehmbare) Verknüpfung der korrespondierenden Subpixelmuster des Pixelfiltermusters und des Pixelanzeigemusters für die Vordergundpixel eines die Nutzdaten wiedergebenden Nutzdatenbildes ein (dunkler) Grauwert, der von dem (helleren) Grauwert der entsprechenden Hintergrundpixel erkennbar unterscheidbar ist.
  • Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung verschiedener erfindungsgemäßer Ausführungsbeispiele und Ausführungsalternativen im Zusammenhang mit den begleitenden Zeichnungen. Darin zeigen:
  • 1 ein erfindungsgemäßes Ausbrechsubstrat mit ausbrechbarem Filterelement und portablem Datenträger;
  • 2 ein Telekommunikationsendgerät mit einem portablem Datenträger und einem auf die Anzeigeeinrichtung aufgelegten Filterelement;
  • 3 ein Ablaufdiagramm einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens;
  • 4 eine weitere Ausführungsform, bei der das Anzeigemuster von einem Transaktionsserver erzeugt und auf einem Computerendgerät angezeigt wird;
  • 5 ein Beispiel für ein Anzeigemuster, bei dem mittels einer Farbmischung mit einem Filtermuster Nutzdaten kenntlich gemacht werden können; und
  • 6 ein Beispiel für ein Anzeigemuster und ein Filtermuster, die gemäß der visuellen Kryptographie erzeugt und verknüpft werden, um Nutzdaten kenntlich zu machen.
  • 1 zeigt ein Ausbrechsubstrat 1, vorzugsweise in dem bekannten Chipkartenformat ID1, aus dem eine Mobilfunkkarte 2 sowie ein Filterelement 3 entlang der strichlinierten Linien ausgebrochen werden können. Die Mobilfunkkarte 2 und das Filterelement 3 sind derart ausgestaltet, dass sie gemäß einer bevorzugten Ausführungsform der Erfindung (vgl. 2) im Zusammenhang mit einem Mobilfunkendgerät 10 zum sicheren Anzeigen von Nutzdaten 6 auf einer Anzeigeeinrichtung 11 des Mobilfunkendgeräts 10 oder auf einer Anzeigeeinrichtung 41 eines Computerendgeräts 40 des Benutzers (vgl. 4) verwendet werden können.
  • Hierzu stehen die Mobilfunkkarte 2 und das Filterelement 3 in Wechselwirkung, wie es anhand des in 3 wiedergegebenen Verfahrensablaufs deutlich wird, denn die Mobilfunkkarte 2 ist maßgeblich an der Erzeugung und Darstellung eines Anzeigemusters 8 beteiligt, welches abhängig von einem digitalen Filtermuster 4b verschleierte Nutzdaten 6 umfasst, während das Filterelement 3 ein dem digitalen Filtermuster 4b möglichst genau entsprechendes analoges Filtermuster 4a aufweist, welches durch Auflegen auf die Anzeigeeinrichtung 11, 41 und Überlagerung des Anzeigemusters 8 mit dem Filtermuster 4a die zunächst verschleierten Nutzdaten 6 erkennbar macht. Das Erzeugen des Anzeigemusters 8 in Abhängigkeit von den Nutzdaten 6 und dem digitalen Filtermuster 4b sowie das Erkennbarmachen der Nutzdaten 6 in Abhängigkeit von dem analogen Filtermuster 4a können also prinzipiell als inverse optische/spektrale oder logische Operationen realisiert werden, da das digitale Filtermuster 4b zum Verschleiern von Nutzdaten 6 verwendet wird und das entsprechende analoge Filtermuster 4a zum Kenntlichmachen der verschleierten Nutzdaten 8. Die Verschleierung der Nutzdaten 8 beim Erzeugen des Anzeigemusters 8 ist hierbei jedoch derart ausgestaltet, dass die Nutzdaten 6 nur mit dem richtigen analogen Filtermuter 4a wieder kenntlich gemacht werden können, so wie es beispielhaft im Zusammenhang mit den 5 und 6 erläutert wird. Das „richtige” analoge Filtermuster 4a ist hierbei das Filtermuster 4a desjenigen Filterelements 3, das mit dem portablen Datenträger 2 zusammen in einem Ausbrechsubstrat 1 an den Benutzer übergeben wurde.
  • Deshalb stellt die Mobilfunkkarte 2 unabhängig davon, ob sie selbst oder eine anderweitige vertrauenswürdige Stelle, z. B. ein Transaktionsserver 30 einer Bank, das Anzeigemuster 8 erzeugt, immer das hierfür erforderliche digitale Filtermuster 4b zur Verfügung. Dies kann im einfachsten Fall z. B. dadurch erfolgen, dass das Filtermuster 4b bereits im Rahmen des Herstellungsprozesses der Mobilfunkkarte 2 zum Beispiel bei deren Personalisierung zusammen mit weiteren Personalisierungsdaten in einem sicheren Speicher der Mobilfunkkarte 2 hinterlegt wird. Alternativ ist es wie in den 1 und 2 illustriert auch möglich, dass das digitale Filtermuster 4b auf einem kontaktlos auslesbaren Speicherchip vorliegt, z. B. auf einem RFID-Transponder 5 oder dergleichen, aus dem es von der Mobilfunkkarte 2 unter Verwendung einer NFC-Schnittstelle 12 (z. B. eine RFID-Leseschnittstelle) eines Telekommunikationsendgeräts 10 ausgelesen werden kann, in das die Mobilfunkkarte 2 eingesetzt ist.
  • Entsprechend zeigt 2 eine besondere Ausführungsform der Erfindung, bei der eine Mobilfunkkarte 2 in ein Telekommunikationsgerät 10 derart eingesetzt ist, dass über dessen Antenne eine Sprachverbindung über ein Mobilfunknetz hergestellt werden kann. Das Telekommunikationsgerät 10 umfasst ferner eine Anzeigeeinrichtung 11, z. B. ein farbiges LCD-Display, sowie eine RFID-Leseschnittstelle 12. Alternativ, wie in 4 gezeigt, kann anstelle der Anzeigeeinrichtung 11 eines Telekommunikationsgeräts 10 auch eine Anzeigeeinrichtung 41 eines Computerendgeräts 40 des Benutzers zum Anzeigen des Anzeigemusters 8 eingesetzt werden. Eine derartige Anzeigeeinrichtung 11, 41 kann zum Beispiel ein LCD-Display mit einer höheren Punktauflösung, ein TFT-Display oder dergleichen sein. Insbesondere ist die Anzeigeeinrichtung 11, 41 geeignet, farbige Daten und Muster anzuzeigen, d. h. es ist eine mehrfarbige Farbdarstellung gemäß einem geeigneten Farbraum möglich, z. B. gemäß einem der üblichen Farbräume RGB, CMY oder CMYK.
  • Telekommunikationsendgeräte 10 mit Mobilfunkkarte 2 werden häufig zur Übertragung und zum Empfang von sicherheitsrelevanten Nutzdaten 6, zum Beispiel im Zusammenhang mit Online- oder Mobile-Banking-Transaktionen gegenüber einem Transaktionsserver im Internet eingesetzt, bei denen geheime oder zumindest schützenwerte Daten, z. B. Kennungen (PIN), Transaktionsdaten oder Transaktionsbestätigungen (TAN), von dem Mobilfunkendgerät 10 an den Transaktionsserver 30 gesendet werden und entsprechend geheime bzw. schätzenswerte Nutzdaten 6 zurück an das Telekommunikationsendgerät 10 gesendet und auf dessen unsicherer Anzeigeeinrichtung 11 angezeigt werden. Derartige Nutzdaten 6 können z. B. eine geheime Transaktionsbestätigung sein (z. B. eine mTAN oder iTAN oder dergleichen), die der Nutzer von der Anzeigeeinrichtung 11 ablesen und zur Freigabe einer zuvor definierten Transaktion an den Transaktionsserver 30 zurückschicken muss.
  • Die Anzeige von Nutzdaten 6 auf einer Anzeigeeinrichtung 11, 41 eines Telekommunikations- oder Computerendgeräts 11, 41 ist prinzipiell als unsicher einzustufen, da selbst verschlüsselt übertragene Nutzdaten 6 nach der Entschlüsselung, z. B. durch das Betriebssystem des Mobilfunk- oder Computerendgeräts 10, 40, ungeschützt an die jeweilige Anzeigeeinrichtung 11, 41 zur Anzeige weitergegeben werden müssen. An dieser Stelle kann ein auf dem Mobilfunk- oder Computerendgerät 10, 40 relativ einfach zu installierender Schadcode in Form eines Trojaners oder Virus die Nutzdaten 6 vom Benutzer unbemerkt abhören oder manipulieren.
  • Deshalb werden die anzuzeigenden Nutzdaten 6, z. B. eine mTAN, aus Sicherheitsgründen nicht im Klartext auf der Anzeigeeinrichtung 11, 41 angezeigt, sondern in Form eines Anzeigemusters 8, dass die Nutzdaten 6 als Bild oder Graphik in verschleierter, d. h. zunächst nicht erkennbarer Form umfasst. Dies kann im Zusammenhang mit der Ausführungsform der 2 beispielsweise dadurch erreicht werden, dass eine Steuereinrichtung (nicht abgebildet) der Mobilfunkkarte 2, die ein Anzeigen des Anzeigemusters 8 auf der Anzeigeeinrichtung 11 durch geeignete Steueranweisungen veranlassen kann, die anzuzeigenden Nutzdaten 6 durch eine farbliche Hinterlegung mittels auf die Farbdarstellung der Nutzdaten 6 abgestimmten Stördaten 7 verschleiert. Die Farbe bzw. Farbdarstellung der Stördaten 7 unterscheidet sich dann zwar technisch bzw. farbanalytisch von derjenigen der Nutzdaten 6, diese farbanalytisch feststellbare Unterscheidbarkeit liegt jedoch unterhalb der Wahrnehmungsschwelle des menschlichen visuellen Systems, so dass ein Betrachter, des Anzeigemusters 8 die Nutzdaten 6 nicht von den Stördaten 7unterscheiden kann und lediglich ein Farbmuster sieht, dem keine erkennbare Information zu entnehmen ist. Eine solche Situation ist beispielsweise in 5 (links) anhand einer sogenannten Ishihara-Tafel gezeigt. Die farbigen Stördaten 7 werden dann durch das aus dem Ausbrechsubstrat ausgebrochene Filterelement 3 mit dem Filtermuster 4a erkennbar gemacht, indem dieses genau auf die komplexe Farbanordnung der Stördaten 7 abgestimmt ist und diese kompensiert bzw. im Vergleich zu den Nutzdaten 6 erkennbar verändert, so wie es z. B. anhand der Ishihara-Tafel in 5 (rechts) gezeigt ist. Hierbei ist das Filtermuster 4a des Filterelements 3 vorzugsweise als transparente bzw. zumindest semitransparente Farbfolie ausgestaltet, so dass die Nutzdaten 6 durch das Filtermuster 4a hindurch erkannt werden können.
  • Das Anzeigemuster 8 wird gemäß der Ausführungsform der 2 von der Mobilfunkkarte 2 erzeugt, nachdem das digitale Filtermuster 4b aus dem RFID-Transponder 5 des Filterelements 3 mittels der RFID-Leseschnittstelle 12 des Mobilfunkendgeräts 10 ausgelesen wurde. Die Mobilfunkkarte 2, die die anzuzeigenden Nutzdaten 6 entweder selbst vorgibt oder über eine kryptographisch oder anderweitig gesicherte Kommunikationsverbindung von einem Transaktionsserver 30 empfängt, erzeugt abhängig von den Nutzdaten 6 und dem digitalen Filtermuster 4b das Anzeigemuster 8 und zeigt dieses auf der Anzeigeeinrichtung 11 des Mobilfunkendgeräts 10 an. Da es bei der Überlagerung des angezeigten Anzeigemusters 8 mit dem Filtermuster 4a auf eine erforderliche, vorgegebene relative Lage des Filtermusters 4a zu dem Anzeigemuster 8 ankommt, ist auf dem Filterelement 3 eine Positionsmarkierung 9 angegeben, die mit einer entsprechenden Markierung auf der Anzeigeeinrichtung 11 in Deckung gebracht werden muss. Durch das korrekte Überlagern des Filtermusters 4a und des Anzeigemusters 8 können abhängig von dem digitalen Filtermuster 4b in das Anzeigemuster 8 eingebrachte Stördaten 7 ausgeblendet oder hinreichend verändert werden.
  • 3 zeigt ein Ablaufdiagramm einer bevorzugten Ausführungsform der vorliegenden Erfindung im Zusammenhang mit der Anordnung gemäß 2. In einem Schritt S1 wird ein Ausbrechsubstrat 1 gemäß 1 an einen Benutzer des Telekommunikationsendgeräts 10 gesendet, in dem ein Filterelement 3 sowie eine neue Mobilfunkkarte 2 ausbrechbar eingearbeitet sind. Zusätzlich ist in der Mobilfunkkarte 2 das digitale Filtermuster 4b abgespeichert, welches genau dem analogen Filtermuster 4a entspricht, das in dem ausbrechbaren Filterelement 3 eingearbeitet ist. In den Schritten S2 und S3 wird jeweils die Mobilfunkkarte 2 sowie das Filterelement 3 von dem Benutzer aus dem Ausbrechsubstrat 1 ausgebrochen und die Mobilfunkkarte 2 wird in Schritt S4 in ein geeignetes Mobilfunkendgerät 10 eingesetzt.
  • In Schritt S5 empfängt die Mobilfunkkarte 2 die anzuzeigenden Nutzdaten 6 kryptographisch gesichert von einem Transaktionsserver 30 über die Mobilfunkschnittstelle des Mobilfunkendgeräts 10, so dass die Mobilfunkkarte 2 durch Verschleiern der Nutzdaten 6 dafür Sorge tragen muss, dass bei der Anzeige der Nutzdaten 6 auf der Anzeigeeinrichtung 11 ein Auslesen oder Manipulieren durch einen Schadcode nicht möglich ist. Da das digitale Filtermuster 4b (anders als in 1 und 2 illustriert) bereits bei der Herstellung des Ausbrechsubstrats 1 im Rahmen der Personalisierung in der Mobilfunkkarte 2 eingespeichert wurde, liest die Mobilfunkkarte 2 in Schritt S6 das digitale Filtermuster 4b aus ihrem Speicher aus und erzeugt in Schritt S7 in Abhängigkeit von den Nutzdaten 6 und dem Filtermuster 4b das Anzeigemuster 8 mit den verschleierten Nutzdaten 6. Zum Verschleiern der Nutzdaten 6 durch ein zufälliges Filtermuster 4b eignen sich z. B. das im Zusammenhang mit 5 beschriebene Farbmischungsverfahren und das im Zusammenhang mit 6 erläuterte Verfahren der visuellen Kryptographie.
  • Anschließend wird in Schritt S8 das Anzeigemuster 8 auf der Anzeigeeinrichtung 11 des Mobilfunkendgeräts 10 angezeigt und der Benutzer legt in Schritt S9 das ihm vorliegende Filterelement 3 mit dem analogen Filtermuster 4a auf die Anzeigeeinrichtung 11 auf und richtet es in Schritt S10 derart relativ zu dem angezeigten Anzeigemuster 8 aus, dass er in Schritt S11 die Nutzdaten 6 durch das analoge Filtermuster 4a hindurch erkennen kann.
  • Der separate Schritt S10 des Ausrichten des Filterelements 3 auf der Anzeigeeinrichtung 11 ist notwendig, da das Filtermuster 4a, 4b in der Regel keine homogene (translations- und rotationsinvariante) einfarbige Fläche darstellt, sondern ein komplexes farbliches oder anderweitiges Muster, das in einer erforderlichen, vorgegebenen Lage möglichst exakt auf das Anzeigemuster 8 aufgelegt werden muss, um die Nutzdaten 6 kenntlich zu machen. Insbesondere ist es bei solchen komplexen Filtermustern 4a, 4b nicht möglich, das Filtermuster 4a zu verschieben, zu drehen, seitenverkehrt oder anderweitig in einer von der erforderlichen vorgegebenen Lage abweichenden Weise auf das Anzeigemuster 8 aufzulegen, um die Nutzdaten 6 erkennbar zu machen.
  • Zum korrekten Ausrichten des Filterelements 3. auf der Anzeigeeinrichtung 11 bzw. relativ zu dem Anzeigemuster 8 gibt es neben den im Zusammenhang mit 2 angedeuteten Positionierungsmarkierungen 9 weitere Möglichkeiten. So ist es z. B. möglich, dass die Mobilfunkkarte 2 mit Hilfe der NFC/RFID-Leseschnittstelle 12 des Telekommunikationsendgeräts 10 (vgl. 2) die genaue Lage des Filterelements 3 auf der Anzeigeeinrichtung 11 kontaktlos ermittelt und anhand der ermittelten relativen Lage das Anzeigemuster 8 in der erforderlichen, vorgegebenen relativen Lage zu dem aufgelegten Filtermuster 4a anzeigt, so dass die Nutzdaten 6 erkennbar werden. Hierbei kann es insbesondere vorkommen, dass der Benutzer das Filterelement 3 gegenüber der vorgegebenen relativen Lage um 90° gedreht auf das Anzeigendisplay 11 auflegt, so dass der Datenträger 2 eine entsprechende 90°-Drehung des Anzeigemusters 8 auf der Anzeigeeinrichtung 11 vornimmt.
  • Ebenso ist es möglich, das Mobilfunkendgerät 10 mit einer berührungsempfindlichen Anzeigeeinrichtung 11 („Touch Screen”) auszustatten, so dass der Benutzer die Position des Filterelements 3 auf der Anzeigeeinrichtung 11 dadurch angibt, dass er bestimmte Eck- oder Kantenpunkte des Filterelements 3 auf der Anzeigeeinrichtung 11 berührt. Die Mobilfunkkarte 2 wertet diese Positionsinformation aus und richtet das Anzeigemuster 8 anhand der ermittelten Lage des Filtermusters 4a korrekt aus. Da es sich bei der Lageermittlung des Filterelements 3 über eine berührungsempfindliche Anzeigeeinrichtung 11 um ein kapazitives Erkennungsverfahren handelt, kann das Filterelement 3 auch mit elektrisch leitenden Kontaktpunkten an den Ecken oder Kanten ausgestattet sein, die eine Berührung durch den Benutzer zu der Anzeigeeinrichtung 11 durchleiten und die Berührung auf der Oberseite des Filterelements 3 in eine Berührungsinformation auf dessen Unterseite umsetzt.
  • Weiterhin kann vor der Anzeige des Anzeigemusters 8 auf der Anzeigeeinrichtung 11 ein Testmuster angezeigt werden, das verschleierte und dem Benutzer bekannte Testdaten umfasst, beispielsweise ein ihm bekanntes Wasserzeichen oder dergleichen, wobei die Testdaten ebenso durch Überlagerung mit dem analogen Filtermuster 4a kenntlich gemacht werden müssen, wie anschließend die Nutzdaten 6 in dem Anzeigemuster 8. Wenn der Benutzer das Filterelement 3 derart auf der Anzeigeeinrichtung 11 relativ zu dem Testmuster ausrichtet, dass die ihm bekannten Testdaten erkennbar werden, kann er dies gegenüber der Mobilfunkkarte 2 bestätigen, beispielsweise durch einen Tastendruck auf dem Mobilfunkendgerät 10, so dass die Mobilfunkkarte 2 das Anzeigemuster 8 in der gleichen Lage auf der Anzeigeeinrichtung 11 anzeigt, wie zuvor das Testmuster und dadurch sicherstellt, dass der Benutzer die Nutzdaten 6 unmittelbar erkennen kann.
  • 4 zeigt eine alternative Ausführungsform, bei der das Anzeigemuster 8 mit den Nutzdaten 6 - im Gegensatz zur Ausführungsform der 2 und 3- nicht auf einer Anzeigeeinrichtung 11 des Mobilfunkendgeräts 10 angezeigt wird, sondern vielmehr auf einer Anzeigeeinrichtung 41 eines Computerendgeräts 40 des Benutzers, welches mit einem Transaktionsserver 30 über das Internet oder über ein sonstiges geeignetes Kommunikationsnetz in Verbindung steht. Ebenso steht das Mobilfunkendgerät 10 über das Mobilfunknetz mit dem Transaktionsserver 30 in Verbindung, z. B. um Online-Transaktionen anzuweisen.
  • Wenn Nutzdaten des Transaktionsservers 30 z. B. im Rahmen einer solchen Online-Transaktion an den Benutzer übergeben werden müssen, erzeugt der Transaktionsserver 30 das entsprechende Anzeigemuster 8 abhängig von den Nutzdaten 6 und dem digitalen Filtermuster 4b selbst. Die Information über das zu verwendende digitale Filtermuster 4b muss dem Transaktionsserver 30 jedoch von dem Datenträger 2 bereitgestellt werden, da der Transaktionsserver 30 den Datenträger 2 bzw. dessen Benutzer üblicherweise nicht eindeutig identifizieren kann. Insofern kann der Transaktionsserver 30 das geheime digitale Filtermuster 4b (in verschlüsselter Form) oder eine das digitale Filtermuster 4b identifizierende Filterkennung von der Mobilfunkkarte 2 anfordern. Vorzugsweise sendet die Mobilfunkkarte 2 jedoch lediglich eine Filterkennung, anhand welcher der Transaktionsserver 30 das betreffende Filtermuster 4b ermitteln kann, z. B. weil das digitale Filtermuster 4b bereits im Rahmen der Personalisierung des Datenträgers 2 eingeschrieben und in einem Zentralserver als Referenz hinterlegt wurde. Anschließend erzeugt der Transaktionsserver 30 das Anzeigemuster 8 aus dem über den Zentralserver ermittelten Filtermuster 4b und den anzuzeigenden Nutzdaten 6 und überträgt das Anzeigemuster 8 an das Computerendgerät 40, wo es auf der Anzeigeeinrichtung 41 angezeigt wird. Der Benutzer kann nun die Nutzdaten 6 kenntlich machen, indem er das Filterelement 3 mit dem entsprechenden analogen Filtermuster 4a in der erforderlichen relativen Lage zu dem Anzeigemuster 8 auf die Anzeigeeinrichtung 41 des Computerendgeräts 40 auflegt und die Nutzdaten 6 abliest.
  • 5 illustriert anhand einer ein Farbanzeigemuster 8 repräsentierenden Ishihara-Tafel (links) die Möglichkeit, die erfindungsgemäß vorgesehene Verschleierung von farbig dargestellten Nutzdaten 6 (z. B. der Zahl „12”) durch farbige Stördaten 7 durch Farboperationen wieder erkennbar zu machen (rechts). Hierbei werden die farbigen Stördaten 7 beim Erzeugen des Farbanzeigemusters 8 derart auf das (analoge) Farbfiltermuster 4a abgestimmt, dass die Stördaten 7 bei Überlagerung durch das Farbfiltermuster 4a kompensiert bzw. ausgeblendet werden. Hierbei gibt das Farbfiltermuster 4a, 4b insbesondere farblich inhomogen Farbanordnungen wieder, die z. B. individuell kolorierte Punkte, Rechtecke, Segmente, Quadranten oder anderweitige farblich und geometrisch komplexe Anordnungen umfassen. Solche komplexen Strukturen eines Farbfiltermusters 4a können jeweils farblich völlig unabhängig voneinander geformt und koloriert sein, so dass auch entsprechend komplexe Stördaten 7 verwendet werden müssen, welche verschiedene optische Effekte (z. B. additive und subtraktive Farbmischungen) nutzen und damit die Sicherheit des Verfahrens erhöhen. Insgesamt besteht eine große Gestaltungsfreiheit für die Auswahl des Farbfiltermusters 4a und der daraus resultierenden Stördaten 7, die ebenfalls die Sicherheit des Verfahrens erhöht.
  • Alternativ oder in Kombination mit der Farbmischung gemäß 5 können Methoden der visuellen Kryptographie im Rahmen der vorliegenden Erfindung zur Verschleierung und zum Kenntlichmachen von Nutzdaten 6 eingesetzt werden. Hierbei werden Nutzdaten 6, beispielsweise die alphanumerische Zeichenkette „01”, verschleiert, indem ein zufälliges Schwarz/Weiß-Pixelfiltermuster 4a erzeugt wird und aus den Nutzdaten 6 und dem zufälligen Pixelfiltermuster 4a ein Schwarz/Weiß-Pixelanzeigemuster 8 abgeleitet wird, dem bei Überlagerung mit dem Pixelfiltermuster 4a die Nutzdaten 6 wieder entnommen werden können.
  • Dazu wird zunächst das zufällige Pixelfiltermuster 4a, 4b erzeugt (links), indem jedem einzelnen Pixel des Pixelfiltermusters 4a, 4b ein beliebiges Subpixelmuster (z. B. ein 2 × 2 oder 3 × 3 Subpixelmuster) aus einer vorgegebenen Menge von Subpixelmustern zugeordnet wird. Ausgehend von diesem höher aufgelösten Pixelfiltermuster 4b und einem entsprechend aufgelösten Nutzdatenpixelmuster, das die Nutzdaten 6 (z. B. mit schwarzen Vordergrund-Pixeln und weißen Hintergrund-Pixeln) wiedergibt, wird das Pixelanzeigemuster 8 erzeugt (rechts), indem darin jedem Hintergrund-Pixel das an der entsprechenden Position im Pixelfiltermuster 4b vorhandene Subpixelmuster zugeordnet wird und jedem Vordergrund-Pixel das inverse Subpixelmuster des an dieser Position im Pixelfiltermuster 4b befindlichen Subpixelmusters.
  • Bei der Überlagerung des auf diese Weise erzeugten Pixelanzeigemusters 8 (rechts) mit dem zufälligen Pixelfiltermuster 4b (links) werden die Nutzdaten 6 wieder rekonstruiert (unten), da in dem gefilterten Pixelanzeigemuster 8 jedes Hintergrund-Pixel durch ein Schwarz/Weiß-Subpixelmuster gekennzeichnet ist und die Vordergrund-Pixel durch die Überlagerung von inversen Subpixelmustern einheitlich schwarz erscheinen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - WO 03/085632 A2 [0004]
    • - DE 102007018802 B3 [0005]
  • Zitierte Nicht-Patentliteratur
    • - M. Naor, A. Shamir „Visual Cryptography”, Europerypt 94 [0021]

Claims (17)

  1. Verfahren zum Anzeigen von Nutzdaten (6) auf einer Anzeigeeinrichtung (11; 41) eines Benutzers, umfassend die Schritte: – Anzeigen (S8) eines Anzeigemusters (8) auf der Anzeigeeinrichtung (11; 41), welches die Nutzdaten (6) in verschleierter Form umfasst; und – Überlagern (S9, S10) des angezeigten Anzeigemusters (8) mit einem Filtermuster (4a) derart, dass die Nutzdaten (6) erkennbar sind; dadurch gekennzeichnet, dass ein das Filtermuster (4a) umfassendes Filterelement (3) aus einem für den Benutzer bestimmten, kartenförmigen Ausbrechsubstrat (1) ausgebrochen (S2) und auf die Anzeigeeinrichtung (11; 41) aufgelegt wird (S9).
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Anzeigemuster (8) in Abhängigkeit von den Nutzdaten (6) und dem Filtermuster (4b) erzeugt wird (S7), wobei aus dem Ausbrechsubstrat (1) auch ein portabler Datenträger (2) ausgebrochen wird, der das Filtermuster (4b) zum Erzeugen des Anzeigemusters (8) bereitstellt (S6).
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der ausgebrochene Datenträger (2) als Mobilfunkkarte in ein Telekommunikationsendgerät (10) des Benutzers eingesetzt wird (S4).
  4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass das Filtermuster (4b) bei einer Personalisierung des Datenträgers (2) in dem Da tenträger (2) abgespeichert wird.
  5. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass der Datenträger (2) das Filtermuster (4b) über eine Kontaktlosschnittstelle des Telekommunikationsendgeräts (10) aus einem in das Ausbrechsubstrat (1) oder in das ausbrechbare Filterelement (3) integrierten Speicherchip (5) abgesichert ausliest und abspeichert.
  6. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass der portable Datenträger (2) das Anzeigemuster (8) in Abhängigkeit von dem gespeicherten Filtermuster (4b) erzeugt (S7).
  7. Verfahren nach Anspruch 3 und 6, dadurch gekennzeichnet, dass der portable Datenträger (2) das erzeugte Anzeigemuster (8) auf einer Anzeigeeinrichtung (11) des Telekommunikationsendgeräts (10) anzeigt (S8).
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass der Datenträger (2) beim Anzeigen (S8) des erzeugten Anzeigemusters (8) auf der Anzeigeeinrichtung (11) des Telekommunikationsendgeräts (10) eine relative Lage des Filtermusters (4a) zu dem angezeigten Anzeigemuster (8) ermittelt und das Anzeigemuster (8) abhängig von der ermittelten Lage des Filtermusters (4a) derart auf der Anzeigeeinrichtung (11) anzeigt (S10), dass die Nutzdaten (6) erkennbar sind.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die relative Lage des Filtermusters (4a) über eine berührungsempfindliche Anzeigeeinrichtung (10) des Telekommunikationsendgeräts (10) angegeben und an den portablen Datenträger (2) weitergeleitet wird, wobei der Benutzer die Anzeigeeinrichtung (11) selbst oder elektrisch leitende Berührungspunkte des Filterelements (3), die eine Berührung des Benutzers zu der Anzeigeeinrichtung (11) durchleiten, geeignet berührt.
  10. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass der portable Datenträger vor dem Anzeigemusters (8) ein Testmuster, das dem Benutzer bekannte Testdaten in verschleierter Form umfasst, auf der Anzeigeeinrichtung (11) derart anzeigt, dass eine zum Kenntlichmachen der Testdaten erforderliche relative Lage des Filtermusters (4a) zu dem angezeigten Testmuster einer zum Kenntlichmachen der Nutzdaten (6) erforderlichen relativen Lage des Filtermusters (4b) zu dem anzuzeigenden Anzeigemuster (8) entspricht.
  11. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass der portable Datenträger (2) das gespeicherte Filtermuster (4b) oder eine das gespeicherte Filtermuster (4b) identifizierende Filterkennung an einen Transaktionsserver (30) überträgt und der Transaktionsserver (30) das Anzeigemuster (8) in Abhängigkeit von dem empfangenen oder dem anhand der empfangenen Filterkennung ermittelten Filtermuster (4b) erzeugt und auf einer Anzeigeeinrichtung (41) eines mit dem Transaktionsserver (30) verbundenen Endgeräts (40) des Benutzers anzeigt.
  12. Verfahren nach Anspruch 3 und 11, dadurch gekennzeichnet, dass der portable Datenträger (2) das gespeicherte Filtermuster (4b) über eine Mobilfunkschnittstelle des Telekommunikationsendgeräts (10) an den Transaktionsserver (30) überträgt.
  13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass das Filtermuster (4a, 4b) als zufälliges Farbmuster bereitgestellt wird und das Anzeigemuster (8) als ein die Nutzdaten (6) und die Nutzdaten verschleiernde Stördaten (7) umfassendes Farbmuster derart bestimmt wird, dass beim Auflegen des Filterelements (3) auf die Anzeigeeinrichtung (11; 41) die Nutzdaten (6) durch eine Farbmischung des zufälligen Farbmusters (4a) und des bestimmten Farbmusters (8) erkennbar werden.
  14. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass das Filtermuster (4a, 4b) als zufälliges Schwarz/Weiß-Pixelmuster bereitgestellt wird und das Anzeigemuster (8) als Schwarz/Weiß-Pixelmuster derart bestimmt wird, dass beim Auflegen des Filterelements (3) auf die Anzeigeeinrichtung (11; 41) die Nutzdaten (6) durch eine Verknüpfung des zufälligen Pixelmusters (4a) und des bestimmten Pixelmusters (8) gemäß der Methode der visuellen Kryptographie erkennbar werden.
  15. Kartenförmiges Ausbrechsubstrat (1), gekennzeichnet durch ein ausbrechbares, auf eine Anzeigeeinrichtung (11; 41) auflegbares Filterelement (3) sowie einen ausbrechbaren portablen Datenträger (2), wobei das Filterelement (3) ein Filtermuster (4a) umfasst, welches einem auf der Anzeigeeinrichtung (11; 41) angezeigten Anzeigemuster (8) derart überlagert werden kann, dass in dem Anzeigemuster (8) verschleiert vorhandene Nutzdaten (6) erkennbar sind, und der Datenträger (2) eingerichtet ist, das Filtermuster (4b) zum Erzeugen des Anzeigemusters (8) in Abhängigkeit von den Nutzdaten (6) und dem Filtermuster (4b) bereitzustellen.
  16. Ausbrechsubstrat nach Anspruch 15, dadurch gekennzeichent, dass der ausbrechbare portable Datenträger (2) eine in ein Telekommunikationsendgerät (10) einsetzbare Mobilfunkkarte ist, die eingerichtet ist, das Anzeigemuster (8) zu erzeugen und auf einer Anzeigeeinrichtung (11) des Telekommunikationsendgeräts (10) anzuzeigen, sofern der portable Datenträger (2) in das Telekommunikationsendgerät (10) als Mobilfunkkarte eingesetzt ist.
  17. Ausbrechsubstrat nach Anspruch 15 oder 16, dadurch gekennzeichnet, dass das ausbrechbare Filterelement (3) und der ausbrechbare Datenträger (2) derart ausgestaltet sind, dass sie zum Anzeigen von Nutzdaten (6) auf einer Anzeigeeinrichtung (11; 41) gemäß einem Verfahren nach einem der Ansprüche 1 bis 14 geeignet sind.
DE102009033918.3A 2009-07-20 2009-07-20 Sicheres Anzeigen von Nutzdaten auf einem Telekommunikationsendgerät Expired - Fee Related DE102009033918B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009033918.3A DE102009033918B4 (de) 2009-07-20 2009-07-20 Sicheres Anzeigen von Nutzdaten auf einem Telekommunikationsendgerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009033918.3A DE102009033918B4 (de) 2009-07-20 2009-07-20 Sicheres Anzeigen von Nutzdaten auf einem Telekommunikationsendgerät

Publications (2)

Publication Number Publication Date
DE102009033918A1 true DE102009033918A1 (de) 2011-01-27
DE102009033918B4 DE102009033918B4 (de) 2024-01-25

Family

ID=43383908

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009033918.3A Expired - Fee Related DE102009033918B4 (de) 2009-07-20 2009-07-20 Sicheres Anzeigen von Nutzdaten auf einem Telekommunikationsendgerät

Country Status (1)

Country Link
DE (1) DE102009033918B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013009600A1 (de) * 2013-06-07 2014-12-11 Giesecke & Devrient Gmbh Verfahren zum Authentisieren einer Transaktion

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003085632A2 (en) 2002-04-08 2003-10-16 Koninklijke Philips Electronics N.V. Device for reconstructing a graphical message
WO2007051842A1 (de) * 2005-11-04 2007-05-10 Christian Hogl Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung
WO2008028215A1 (en) * 2006-09-07 2008-03-13 Matthew Walker Visual code transaction verification
DE102007018802B3 (de) 2007-04-20 2008-08-28 Universität Tübingen Abhör- und manipulationssichere Verschlüsselung für Online-Accounts

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003085632A2 (en) 2002-04-08 2003-10-16 Koninklijke Philips Electronics N.V. Device for reconstructing a graphical message
WO2007051842A1 (de) * 2005-11-04 2007-05-10 Christian Hogl Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung
WO2008028215A1 (en) * 2006-09-07 2008-03-13 Matthew Walker Visual code transaction verification
DE102007018802B3 (de) 2007-04-20 2008-08-28 Universität Tübingen Abhör- und manipulationssichere Verschlüsselung für Online-Accounts

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
M. Naor, A. Shamir "Visual Cryptography", Europerypt 94

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013009600A1 (de) * 2013-06-07 2014-12-11 Giesecke & Devrient Gmbh Verfahren zum Authentisieren einer Transaktion
DE102013009600B4 (de) 2013-06-07 2022-03-31 Giesecke+Devrient Mobile Security Gmbh Verfahren zum Authentisieren einer Transaktion

Also Published As

Publication number Publication date
DE102009033918B4 (de) 2024-01-25

Similar Documents

Publication Publication Date Title
WO2020001695A1 (de) Verfahren zur herstellung für das menschliche auge nicht sichtbarer und nicht kopierbarer sicherheitselemente in einer abbildung sowie gedruckte abbildung
WO2009019038A1 (de) Verifikation von sicherheitselementen mit fenster
DE102015212255A1 (de) Erweitern von barcodes mit sekundärkodierung zur fälschungssicherung
EP1943605A1 (de) Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung
EP2238554B1 (de) Anzeigen einer nutzinformation auf einem anzeigeelement
WO2013057279A1 (de) Verfahren zur verifikation eines sicherheitsdokuments mit einem muster unter verwendung einer anzeigevorrichtung
DE102009033918B4 (de) Sicheres Anzeigen von Nutzdaten auf einem Telekommunikationsendgerät
DE102009008779A1 (de) Verfahren zum Überprüfen der Echtheit eines Druckproduktes
EP2606474B1 (de) Verifikation von sicherheitselementen mit fenster und weiterer information
EP2210225A1 (de) Dokument mit einer integrierten anzeigevorrichtung, verfahren zur herstellung eines dokuments und lesegerät
EP3581396A1 (de) Dokument mit einer integrierten anzeigevorrichtung
DE102014207439A1 (de) Maskierung von sensiblen Daten bei der Benutzer-Identifikation
DE102007000880A1 (de) Dokument mit einer integrierten Anzeigevorrichtung
AT413775B (de) Verfahren zur sicheren anmeldung an ein technisches system
DE102007052826A1 (de) Daten verarbeitende Vorrichtung und Verfahren zum Betreiben einer Daten verarbeitenden Vorrichtung
DE102009033919A1 (de) Sicheres Anzeigen von Nutzdaten auf einem Telekommunikationssendgerät
EP2210218B1 (de) Dokument mit einer integrierten anzeigevorrichtung
EP2462504A1 (de) Sicherheitselement mit einer elektronischen anzeigevorrichtung zur darstellung von sicherheitsrelevanten informationen oder mustern
DE102006019557A1 (de) Personalisierte Verpackungseinheit und Verfahren zur Identifizierung der Verpackungseinheit
EP2774074B1 (de) Dokument, verfahren zur authentifizierung eines benutzers, insbesondere zur freischaltung einer chipkartenfunktion, und computersystem
EP2769364A1 (de) Verfahren zur verifikation eines sicherheitsdokuments mit einer sichtbarriere unter verwendung einer anzeigevorrichtung
DE102009024893B4 (de) Verfahren zum sicheren Anzeigen von Anzeigedaten
DE102009035004A1 (de) Datenträger mit Displayeinrichtung
DE102005053848B4 (de) Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen
EP1625023A2 (de) Verfahren zum aufbringen von personalisierungsinformationen auf einen kartenförmigen datenträger

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee