[go: up one dir, main page]

DE60312704T2 - Elektronische Datenverarbeitungseinrichtung - Google Patents

Elektronische Datenverarbeitungseinrichtung Download PDF

Info

Publication number
DE60312704T2
DE60312704T2 DE60312704T DE60312704T DE60312704T2 DE 60312704 T2 DE60312704 T2 DE 60312704T2 DE 60312704 T DE60312704 T DE 60312704T DE 60312704 T DE60312704 T DE 60312704T DE 60312704 T2 DE60312704 T2 DE 60312704T2
Authority
DE
Germany
Prior art keywords
manipulation
data processing
signal
condition
intended
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60312704T
Other languages
English (en)
Other versions
DE60312704D1 (de
Inventor
Peter Timmermans
Carl Van Himbeeck
Marc Moons
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Banksys SA
Original Assignee
Banksys SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Banksys SA filed Critical Banksys SA
Publication of DE60312704D1 publication Critical patent/DE60312704D1/de
Application granted granted Critical
Publication of DE60312704T2 publication Critical patent/DE60312704T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C29/00Checking stores for correct operation ; Subsequent repair; Testing stores during standby or offline operation
    • G11C29/02Detection or location of defective auxiliary circuits, e.g. defective refresh counters
    • G11C29/022Detection or location of defective auxiliary circuits, e.g. defective refresh counters in I/O circuitry
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C7/00Arrangements for writing information into, or reading information out from, a digital store
    • G11C7/24Memory cell safety or protection circuits, e.g. arrangements for preventing inadvertent reading or writing; Status cells; Test cells

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)

Description

  • Die Erfindung betrifft eine elektronische Datenverarbeitungseinrichtung, umfassend einen zugriffsgesicherten Speicher, dafür vorgesehen, sichere Daten zu speichern, im Besonderen Daten im Zusammenhang mit einem Kapitaltransfer, und ein Datenverarbeitungsteil, verbunden mit dem Speicher über einen Bus und dafür vorgesehen, die sicheren Daten zu verarbeiten, wobei die elektronische Datenverarbeitungseinrichtung weiter einen Schaltkreis zur Erkennung von und zum Schutz vor Manipulation umfasst, mit dem Bus verbunden und dafür vorgesehen, eine Manipulationsbedingung zu erkennen, und dafür, bei Erkennen der Manipulationsbedingung ein Manipulationssignal zu erzeugen, wobei der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation mit einem Manipulationssequenzer verbunden ist, der dafür vorgesehen ist, das Verarbeitungsteil bei Empfang des Manipulationssignals zu deaktivieren, wobei der Speicher ein Sicherheitsregister (3-a) umfasst, dafür vorgesehen, Schlüssel zum Verschlüsseln der sicheren Daten zu speichern, und einen Speicherabschnitt, dafür vorgesehen, von dem Datenverarbeitungsteil verarbeitete sichere Daten temporär zu speichern.
  • Eine solche elektronische Datenverarbeitungseinrichtung ist aus EP-A-1 160 647 bekannt und wird zum Beispiel in einem ATM („Automatic Teller Machine", Geldausgabeautomat) oder einer POS („Point of Sales", Bezahlvorrichtung) verwendet. Der Zugriff auf den Speicher und das Verarbeitungsteil des Terminals muss sorgfältig gegen Manipulationshandlungen gesichert werden, um einen unberechtigten Zugriff auf den Speicher oder das Datenverarbeitungsteil zu verhindern. Manipulationshandlungen können jeder Art sein, z.B. das Aufbrechen der Einrichtung, um Zugriff auf den Bus oder den Speicher zu erhalten. Um eine solche Manipulationshandlung zu erkennen, weisen die bekannten Einrichtungen einen Schaltkreis zur Erkennung von und zum Schutz vor Manipulation, welcher bei Erkennung einer Manipulationshandlung ein Manipulationssignal erzeugt, um das Verarbeitungsteil zu deaktivieren, wodurch verhindert wird, dass die in dem Speicher gespeicherten Daten abgerufen werden können. US-A-4,882,752 beschreibt eine Datenverarbeitungseinrichtung, welche ebenfalls mit einem Schaltkreis zur Erkennung von und zum Schutz vor Manipulation ausgerüstet ist. Letzterer Schaltkreis erzeugt Manipulationssignale, unter deren Steuerung sichere Daten gelöscht werden.
  • Ein Nachteil der bekannten elektronischen Datenverarbeitungseinrichtungen ist, dass der Deaktivierungsvorgang das Taktsignal des Datenverarbeitungsteils benötigt und somit synchron mit der Datenverarbeitung angewendet werden muss. Demzufolge können der Prozessor und der Bus immer dafür noch benutzt werden, Daten abzurufen, bevor der Deaktivierungsvorgang beendet ist. Da das Taktsignal des Datenverarbeitungsteils benutzt wird, muss letzteres immer noch funktionsfähig sein, um die in dem Speicher gespeicherten geschützten Daten zu löschen.
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein elektronisches Datenübertragungs-Terminal zu verwirklichen, welches effizienter ist und einen besseren Manipulationsschutz bietet.
  • Zu diesem Zweck ist eine elektronische Datenverarbeitungseinrichtung gemäß der vorliegenden Erfindung dadurch gekennzeichnet, dass der Manipulationssequenzer einen internen Taktgenerator umfasst, welcher dafür vorgesehen ist, bei Empfang des Manipulationssignals einen Manipulationsimpuls und eine Serie von Taktimpulsen zu erzeugen, wobei der Manipulationssequenzer dafür vorgesehen ist, gesteuert von dem Manipulationsimpuls die Sicherheitsdaten zu löschen, die in dem Sicherheitsregister gespeichert sind, und dafür, gesteuert von der Serie von Taktimpulsen die verarbeiteten sicheren Daten zu löschen, die in dem Speicherabschnitt gespeichert sind. Das Vorliegen eines internen Taktgenerators ermöglicht es, nicht länger das Taktsignal des Datenverarbeitungsteils zu benutzen und somit nicht länger von der Funktionsfähigkeit des Datenverarbeitungsteils abhängig zu sein. Überdies kann der Taktgenerator in einem sicheren Bereich innerhalb des Halbleiters angeordnet werden, wodurch die Wahrscheinlichkeit verringert wird, dass der interne Taktgenerator durch eine solche Manipulationshandlung beschädigt werden könnte. Da das Sicherheitsregister gesteuert von dem Manipulationsimpuls gelöscht wird, können die gesicherten Daten gesteuert von einem einzelnen Impuls schnell gelöscht werden, wodurch es nahezu unmöglich gemacht wird, auf die sicheren Daten zuzugreifen, wenn einmal eine Manipulationsbedingung erkannt worden ist. Die Löschung der sicheren Daten, welche von dem Verarbeitungsteil verarbeitet werden, wird dann gesteuert von der Serie von Taktimpulsen durchgeführt, wodurch ein synchroner Löschvorgang ermöglicht wird. Es ist somit ein Aufteilen der Löschvorgänge möglich, wodurch ein effizienteres Löschen ermöglicht wird.
  • Eine erste bevorzugte Ausführungsform einer erfindungsgemäßen elektronischen Datenverarbeitungseinrichtung ist dadurch gekennzeichnet, dass der Manipulationssequenzer dafür vorgesehen ist, den Manipulationsimpuls asynchron zu erzeugen, bezogen auf die Serie von Taktimpulsen. Dies ermöglicht es, unabhängig von dem Prozessor und der Taktserie zu arbeiten.
  • Vorzugsweise weist der Manipulationsimpuls eine Dauer von längstens 1 ms auf. Auf diese Weise wird das Löschen des Sicherheitsregisters schnell realisiert, weil ein Unbefugter zweifellos eine Zeit von mehr als 1 ms benötigen wird, um auf dieses Register zuzugreifen.
  • Eine zweite bevorzugte Ausführungsform einer erfindungsgemäßen elektronischen Datenverarbeitungseinrichtung ist dadurch gekennzeichnet, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation dafür vorgesehen ist, mehrere Manipulationsbedingungen zu erkennen, und dafür, jeder Manipulationsbedingung einen Identifikationscode zuzuordnen, der die erkannte Manipulationsbedingung identifiziert, wobei der Manipulationssequenzer mit einem Mittel zur Manipulationsfestlegung ausgestattet ist, dafür vorgesehen, auf der Basis des Identifikationscodes jede der Manipulationsbedingungen festzulegen, und dafür, jeder der Manipulationsbedingungen eine Stufe der Manipulationsbedingungspriorität zuzuordnen, wobei die Stufe der Manipulationsbedingungspriorität ausgewählt wird aus einer Reihe von Prioritätsstufen, umfassend wenigstens einen ersten und einen zweiten Prioritätswert, wobei der Manipulationssequenzer dafür vorgesehen ist, die Stufe der Manipulationsbedingungspriorität zu empfangen, und dafür, bei Empfang des ersten Prioritätswerts sofort den Manipulationsimpuls und die Serie von Taktimpulsen zu erzeugen, und dafür, bei Empfang des zweiten Prioritätswerts die Erzeugung des Manipulationsimpulses und der Serie von Taktimpulsen über eine vorbestimmte Zeitspanne zu halten. Durch Einstellen eines Prioritätswertes können unnötige Löschungen vermieden werden, ohne die Zuverlässigkeit der Einrichtung zu beeinträchtigen.
  • Eine dritte bevorzugte Ausführungsform einer erfindungsgemäßen elektronischen Datenverarbeitungseinrichtung ist dadurch gekennzeichnet, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation mit einem Manipulationsanfragegenerator ausgestattet ist, welcher dafür vorgesehen ist, ein Anfragesignal zu erzeugen, wenn die vorbestimmte Zeitspanne abgelaufen ist, wobei der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation weiter dafür vorgesehen ist, gesteuert von dem Anfragesignal zu prüfen, ob die Manipulationsbedingung, welche die Erzeugung des Manipulationssignals verursacht hat, bestehen bleibt, und dafür, ein Aktivierungssignal zu erzeugen, wenn die Manipulationsbedingung bleibt, und ein Deaktivierungssignal, wenn die Manipulationsbedingung nicht geblieben ist, wobei der Manipulationssequenzer dafür vorgesehen ist, die Erzeugung des gehaltenen Manipulationsimpulses und der Taktimpulse gesteuert von dem Deaktivierungssignal zu deaktivieren, und dafür, die Erzeugung des gehaltenen Manipulationsimpulses und der Taktimpulse gesteuert von dem Aktivierungssignal zu aktivieren. Auf diese Weise findet die Löschung nur statt, wenn die Manipulationsbedingung in der Tat bestehen bleibt, nachdem die vorbestimmte Zeitspanne abgelaufen ist.
  • Vorzugsweise ist der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation dafür vorgesehen, den Zugriff durch das Datenverarbeitungsteil auf den Speicher zu deaktivieren, solange das Manipulationssignal aktiv bleibt. Auf diese Weise könnte das Datenverarbeitungsteil einige Operationen nicht durchführen, solange die Manipulationsbedingung bestehen bleibt. Dies wird zum Beispiel realisiert, indem der Bus blockiert wird.
  • Vorzugsweise umfasst der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation ein Register, welches dafür vorgesehen ist, Manipulationsstatusdaten zu speichern. Auf diese Weise können Daten, welche einige Informationen über die Manipulationshandlung bereitstellen, gespeichert werden und später zu Analysezwecken verwendet werden.
  • Die Erfindung wird nun unter Bezugnahme auf die Zeichnungen, welche eine bevorzugte Ausführungsform eines erfindungsgemäßen elektronischen Datenverarbeitungsteils veranschaulichen, detaillierter beschrieben.
  • In den Zeichnungen:
  • veranschaulicht 1 schematisch eine elektronische Datenverarbeitungseinrichtung; und
  • 2 veranschaulicht detaillierter den Schaltkreis zur Erkennung von und zum Schutz vor Manipulation.
  • In den Zeichnungen ist denselben oder entsprechenden Elementen dieselbe Bezugsziffer zugeordnet.
  • Die elektronische Datenverarbeitungseinrichtung, die in 1 veranschaulicht ist, umfasst einen Bus 2, mit welchem ein Datenverarbeitungsteil 1 und ein Speicher 3 verbunden sind, um eine Daten- und Befehlsübertragung zwischen ihnen über den Bus zu ermöglichen. Das Datenverarbeitungsteil wird vorzugsweise durch einen oder mehrere Mikroprozessoren gebildet. In einer am meisten bevorzugten Ausführungsform eines Terminals gemäß der vorliegenden Erfindung umfasst das Datenverarbeitungsteil mindestens zwei Mikroprozessoren. Einer ist dafür vorgesehen, sichere Daten zu verarbeiten, und ein anderer ist dafür vorgesehen, Anwendungsdaten zu verarbeiten. Der Speicher 3 ist dafür vorgesehen, sichere Daten und Anwendungsdaten zu speichern. Die sicheren Daten, welche die Verschlüsselungscodes umfassen, werden in einem Sicherheitsregister 3-a gespeichert, während die verarbeiteten sicheren Daten vorübergehend in einem RAM-Teil 3-b gespeichert werden.
  • Wenn die Einrichtung einen nur dafür reservierten Mikroprozessor umfasst, um die sicheren Daten zu verarbeiten, ist der RAM-Teil vorzugsweise in mindestens zwei Teile unterteilt, wobei einer dieser Teile für die Speicherung der verarbeiteten sicheren Daten vorgesehen ist und auf diesen nur durch den reservierten Mikroprozessor zugegriffen werden kann. Auf diese Weise wird vermieden, dass derselbe Mikroprozessor die sicheren Daten ebenso wie die Anwendungsdaten verarbeitet, wodurch ermöglicht wird, die sicheren Daten klar zu isolieren und den Zugriff darauf schwieriger zu machen.
  • Ferner ist mit dem Bus 2 eine Eingabe/Ausgabe-Schnittstelle 4 verbunden. Die Schnittstelle ist mit einer Benutzerschnittstelle 5 verbunden, welche zum Beispiel durch ein Kartenlesegerät und eine Tastatur gebildet wird. Ferner ist mit dem Bus ein Schaltkreis 6 zur Erkennung von und zum Schutz vor Manipulation verbunden.
  • Vorzugsweise sind der Bus 2, das Datenverarbeitungsteil 1, der Speicher 3 und der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation in demselben Halbleiterelement integriert. Dies ermöglicht es, einen Zugriff auf die einzelnen Komponenten schwieriger zu machen, wodurch die Sicherheit des Terminals verbessert wird. Ferner wird die Herstellung der Einrichtung effizienter gemacht.
  • 2 veranschaulicht den Schaltkreis 6 zur Erkennung von und zum Schutz vor Manipulation detaillierter. Dieser Schaltkreis umfasst eine Erfassungseinheit 10, welche mehrere Eingänge aufweist und einen Manipulationssequenzer umfasst. Eine Anzahl dieser mehreren Eingänge empfangen Manipulationssignale, welche von Detektoren erzeugt werden, die innerhalb der Terminals angeordnet sind. So wird zum Beispiel ein erster Detektor durch Blindtasten gebildet, die in der Tastatur angeordnet sind. Diese Blindtasten werden durch eine unberechtigte Öffnung der Tastatur aktiviert. So befinden sich die Blindtasten zum Beispiel dauerhaft in einem aktiven oder heruntergedrückten Zustand. Wenn jemand die Tasten anhebt, um Zugriff zu dem Speicher oder dem Verarbeitungsteil zu erhalten, verlassen die Blindtasten ihren aktiven Zustand und geraten in einen inaktiven Zustand, wodurch ein Signal erzeugt wird, welches eine Manipulationsbedingung anzeigt. Dieses Signal könnte durch eine fallende oder steigende Flanke eines Steuersignals gebildet werden.
  • Ein zweiter Detektor könnte durch druckempfindliche Kontakte gebildet werden, welche innerhalb des Gehäuses des Terminals angeordnet sind. Diese Kontakte sind dafür vorgesehen, eine Öffnung des Gehäuses zu erkennen, zum Beispiel weil ihr Widerstandswert eines leitfähigen Polymers sich in Funktion des angewendeten Drucks verändert. Diese Veränderung des Widerstandswertes verändert dann die Stärke eines Stromes, welcher durch diesen Detektor fließt, wodurch ein Manipulationsbedingungssignal erzeugt wird, welches einem Eingang der Erfassungseinheit 10 zugeführt wird.
  • Ein dritter Detektor könnte durch eine JTAG (Joint Test Application Group) gebildet werden. Verschiedene Tests könnten regelmäßig auf dem Terminal durchgeführt werden, um das normale Funktionieren des Terminals zu überprüfen, oder sogar eine Überprüfung auf das Vorliegen fremder Objekte. Wenn diese Tests ein negatives Ergebnis aufweisen, könnte dies zu einer Manipulationsbedingung führen, welche der Erfassungseinheit 10 zugeführt wird. Ferner könnten spezielle Chiptests auf externen Signalen durchgeführt werden, um den Betrieb des Terminals zu überprüfen. Dasselbe könnte durchgeführt werden, um zu überprüfen, ob die Software richtig läuft. Jeder auf diese Weise erkannte Fehler zeigt dann eine Manipulationsbedingung an, welche einem Eingang der Erfassungseinheit 10 zugeführt wird.
  • Die Temperatur könnte durch einen vierten Detektor ebenfalls erfasst werden und eine Manipulationsbedingung liefern, wenn sie zu niedrig oder zu hoch wird.
  • Ein fünfter Detektor könnte es anzeigen, wann immer das Terminal auf einen Testmodus geschaltet wird, und eine Manipulationsbedingung auslösen. Dieser Modus darf nur vom Siliciumhersteller angewendet werden, um das Terminal, insbesondere das Halbleiterelement, nach der Herstellung zu testen. Im normalen Betrieb sollte diese Bedingung nicht auftreten. Im Gegensatz zu anderen Manipulationsbedingungen führt diese Bedingung zu der Tatsache, dass nach dem Löschen, wie hier später noch ausgeführt wird, auf die sicheren Daten zugegriffen werden kann, um den Terminaltest zu ermöglichen.
  • Eine besondere Bedingung wird bereitgestellt, welche einen zusätzlichen Funktionstest beim Siliciumhersteller ermöglicht oder welche angewendet werden kann, um den Urladecode des internen ROM auszuschalten. Wenn dieser Modus aktiv ist, wird auf die Kontrollaussage des Signals eine Manipulationsbedingung erzeugt, oder abhängig davon, ob das Signal aktiv oder zurückgesetzt ist. Wenn das Signal aktiv ist, startet der Mikroprozessor, welcher die sicheren Daten verarbeitet, von einem externen Speicher, aber auf den internen RAM kann nicht zugegriffen werden.
  • Die Erfassungseinheit 10 weist einen weiteren Eingang auf, welcher mit einem Ausgang eines Batterieüberwachungsschaltkreises 11 verbunden ist. Letzterer ist dafür vorgesehen zu überwachen, ob die von der Batterie gelieferte Spannung noch ausreichend ist, um einen normalen Betrieb des Terminals zu ermöglichen. Wenn dies nicht der Fall ist, wird eine Manipulationsbedingung gebildet, welche der Einheit 10 zur Erkennung von und zum Schutz vor Manipulation zugeführt wird. Insbesondere überwacht der Batterieüberwachungsschaltkreis, ob die Spannung des Permanentspeicherbereichs zu niedrig wird.
  • Die Erfassungseinheit 10 ist dafür vorgesehen, den Ursprung der Manipulationsbedingung zu identifizieren, da die verschiedenen Manipulationsbedingungen der Einheit als verschiedene Eingaben zugeführt werden. Es könnte also möglich sein, statt mehrerer Eingänge einen Serieneingang zu haben und jedem Manipulationsbedingungssignal, welches der Erfassungseinheit 10 zugeführt wird, ein Attribut hinzuzufügen, welches die Manipulationsbedingung kennzeichnet. In Abhängigkeit von der Manipulationsbedingung kann die Erfassungseinheit entweder unmittelbar ein Manipulationssignal erzeugen oder die Bedingung für eine vorbestimmte Zeit zurückstellen, um zu überprüfen, ob die Manipulationsbedingungen bestehen bleiben. Diese Zeitdauer könnte für jede Manipulationsbedingung unterschiedlich sein. Zu diesem Zweck umfasst die Erfassungseinheit 10 einen oder mehrere Zähler.
  • Wenn, wie in 2 veranschaulicht, die Einheit 10 zur Erkennung von und zum Schutz vor Manipulation mehrere Eingänge aufweist, werden die Attribute in Funktion des vorgesehenen Eingangs zugewiesen. Zu diesem Zweck wird innerhalb der Einheit 10 zur Speicherung dieser Codes ein Register bereitgestellt. Der Empfang eines Manipulationsbedingungssignals an einem bestimmten Eingang verursacht den Abruf des Attributs, welches diesem Eingang zugewiesen ist, aus dem Register. Das abgerufene Attribut wird dann dem Manipulationsbedingungssignal für die weitere Verarbeitung hinzugefügt. Wenn ein Serieneingang verwendet wird, wird der Code durch die Manipulationsbedingung selbst geliefert, wodurch ein Hinweis auf deren Ursprung geliefert wird.
  • Wenn das Manipulationssignal einmal erzeugt worden ist, wird der Sequenzer initialisiert. Der Sequenzer umfasst einen internen Taktgenerator, welcher dafür vorgesehen ist, bei Empfang des Manipulationssignals einen Manipulationsimpuls und eine Serie von Taktimpulsen zu erzeugen. Dieser interne Taktgenerator arbeitet unabhängig von dem Taktgenerator des Datenverarbeitungsteils und ist innerhalb der Erfassungseinheit 10 untergebracht. Der Manipulationsimpuls bewirkt, dass die Verschlüsselungscodes der sicheren Daten, welche im Sicherheitsregister gespeichert sind, gelöscht werden.
  • Die Frequenz des internen Taktgenerators hängt von Verfahrensparametern, Spannung und Temperatur ab. Die Frequenz liegt in einem Bereich von 1 bis 10 MHz, vorzugsweise 5 MHz.
  • Wann immer eine Manipulationsbedingung auftritt, wird gesteuert von der Serie von Taktimpulsen eine RAM-Löschvorrichtung 12 aktiviert, und der Speicher 3 wird von dem Bus 2 getrennt, indem letzterer und das Verarbeitungsteil 1 derart deaktiviert werden, dass nur die RAM-Löschvorrichtung Zugriff auf den Speicher hat. Jeder Zugriff auf den Speicher durch den Prozessor ist blockiert. Die RAM-Löschvorrichtung löscht die verarbeiteten sicheren Daten, welche im Speicher gespeichert sind, zum Beispiel durch Überschreiben mit ungültigen Daten, zum Beispiel Nullen, zumindest an jenen Stellen, wo die sicheren Daten gespeichert sind. Wenn dieser Löschvorgang dann beendet ist, gibt die RAM-Löschvorrichtung den Bus wieder frei und hält den Speicher in einem Rücksetzzustand. Die Taktimpulse weisen vorzugsweise eine Frequenz von 5 MHz auf, um die Speicherinhalte schnell zu löschen, so dass die Löschung in weniger als 1 Millisekunde realisiert werden kann. Die zum Löschen des Registerinhalts benötigte Zeit wird auch durch die angewendete Technologie bestimmt, um das Register zu verwirklichen. Wenn die RAM-Löschvorrichtung während der Manipulationsbedingung betrieben wird, wird der Speicher nach dem Löschverfahren zurückgesetzt. Wenn eine aktive Manipulationsbedingung auf einem zurückgesetzten System vorliegt, wird das Löschverfahren erneut ausgelöst. Wenn der Speicher einen dafür reservierten Teil zum Speichern von sicheren Daten umfasst, wird dieser Teil gelöscht, solange die Manipulationsbedingung aktiv ist, und bis zum nächsten Zurücksetzen. Der Teil, welcher die Anwendungsdaten umfasst, wird nur in dem Moment gelöscht, wenn die Manipulationsbedingung zum ersten Mal auftritt, und wird bis zum Zurücksetzen nicht mehr gelöscht. Dieses Merkmal ist von Vorteil, weil es ermöglicht, dass es immer noch möglich ist, unter Verwendung der JTAG-Schnittstelle den Urladecode in den Chip herunterzuladen.
  • Gesteuert von der Serie von Taktimpulsen wird das Verarbeitungsteil 1, insbesondere jenes, welches die sicheren Daten verarbeitet, zurückgesetzt und verbleibt mit einer Kontrollaussage versehen. Alle Verschlüsselungscodes in dem DES/3-DES(Data Encryption Standard)-Hauptspeicher werden gelöscht, ebenso wie die Sicherheitsregister. Dies wird durch den Rücksetzschaltkreis 15 nach Empfang der zweiten Taktimpulse realisiert.
  • Wie bereits erwähnt, könnten den Manipulationsbedingungen Attribute zugewiesen werden, oder sie könnten durch ihren entsprechenden Eingang des Schaltkreises 10 identifiziert werden. Wenn solche Manipulationsbedingungen verfügbar sind, ist der Manipulationssequenzer mit einem Mittel zur Manipulationsfestlegung ausgestattet, welches dafür vorgesehen ist, den zugewiesenen Eingang oder das Attribut festzulegen. Das Mittel zur Festlegung ordnet jeder Manipulationsbedingung eine Stufe der Manipulationsbedingungspriorität zu, welche die Prioritätsstufe der betreffenden Manipulationsbedingung anzeigt. Die Prioritätsstufe ist aus einer Reihe von Prioritätsstufen ausgewählt, welche wenigstens einen ersten und einen zweiten Prioritätswert umfasst. So könnte zum Beispiel die erste Prioritätsstufe eine hohe Priorität und die zweite Prioritätsstufe eine niedrige Priorität anzeigen. Natürlich könnten mehr als zwei Werte verwendet werden, um die Prioritäten in solcher Weise in eine Rangfolge zu bringen. Zum Beispiel könnte einer Manipulationsbedingung, welche von den Blindtasten stammt, ein hoher Prioritätswert gegeben werden, während einer Manipulationsbedingung, welche von einer zu hohen Temperatur stammt, eine niedrige Prioritätsstufe gegeben werden könnte. Die Prioritätswerte werden zum Beispiel in einem Register gespeichert.
  • Wenn der Manipulationssequenzer einem Manipulationssignal einen Prioritätswert zugeordnet hat, bestimmt dieser Wert, ob die Erzeugung des Manipulationsimpulses aufrecht erhalten wird oder nicht. Wenn der Prioritätswert hoch ist, werden der Manipulationsimpuls und die Taktimpulse natürlich unmittelbar erzeugt. Wenn andererseits der Prioritätswert niedrig ist, wird eine Zeitperiode in Gang gesetzt, zum Beispiel durch Stellen eines Zählers, während der die Erzeugung des Manipulationsimpulses und der Serie von Taktimpulsen aufrecht erhalten wird. Wenn mehr als zwei Werte verwendet werden, könnte die jedem Wert zugeordnete Zeitperiode unterschiedlich sein. Die Verwendung jener Prioritätswerte ermöglicht es, einen Unterschied zu machen zwischen schweren Manipulationsbedingungen, welche ein sofortiges Handeln erfordern, und weniger schweren Manipulationsbedingungen, welche schädlich sein könnten und wieder verschwinden, wodurch ein unnötiges Löschen der geschützten sicheren Daten vermieden wird.
  • Wenn eine Zeitperiode eingestellt worden ist, erzeugt ein Manipulationsanfragegenerator, welcher ein Teil des Schaltkreises zur Erkennung von und zum Schutz vor Manipulation ist, ein Anfragesignal, wenn die Zeitperiode abgelaufen ist. Dies wird zum Beispiel ausgelöst, wenn der Zähler seinen Endwert erreicht hat. Das Anfragesignal bewirkt, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation überprüft, ob die Manipulationsbedingung, welche die Erzeugung des Manipulationssignals verursacht hat, noch bestehen bleibt, nachdem die Zeitperiode abgelaufen ist. Dies wird zum Beispiel realisiert, indem der richtige Eingang der Einheit 10 überprüft wird. Wenn das Manipulationssignal an diesem Eingang noch vorliegt, welcher der Erkennung von und dem Schutz vor Manipulation zugewiesen ist, oder welcher bewirkt hat, dass das Manipulationssignal erzeugt wird, wird ein Aktivierungssignal erzeugt, um den Manipulationsschaltkreis zu aktivieren, den Manipulationsimpuls und die Taktserie zu erzeugen und die Aufrechterhaltung dieser Erzeugung zu beenden. Wenn andererseits das Manipulationssignal nicht mehr vorliegt, wird ein Deaktivierungssignal erzeugt, und die Erzeugung des aufrecht erhaltenen Manipulationsimpulses und des Taktsignals wird deaktiviert. Dies wird zum Beispiel realisiert, indem das Manipulationssignal in einem Register gespeichert wird und indem das Register freigegeben bzw. gelöscht wird.
  • Der Schaltkreis 6 zur Erkennung von und zum Schutz vor Manipulation umfasst auch ein Register 14 zum Speichern von Manipulationsstatusdaten. Diese Informationen sind nützlich für Reparaturzwecke, weil sie ermöglichen zu überwachen, warum ein Terminal in den Manipulationszustand geraten ist oder was den Manipulationszustand in der Vergangenheit bewirkt hat. Wenn ein unberechtigter Benutzer versuchte, das Terminal zu öffnen und es wieder zu schließen, wäre das Terminal manipuliert, und der Ursprung könnte aus jenen Registern abgerufen werden. Ferner wird ein Sicherheitsregister 13 bereitgestellt, welches vorzugsweise batteriebetrieben ist und automatisch gelöscht wird, wann immer eine Manipulationsbedingung aktiv ist. Dieses Sicherheitsregister kann benutzt werden, um einen Stammcode zur Verschlüsselung des internen und externen Speichers zu speichern.

Claims (10)

  1. Elektronische Datenverarbeitungseinrichtung umfassend einen zugriffsgesicherten Speicher (3), dafür vorgesehen, sichere Daten zu speichern, im Besonderen Daten im Zusammenhang mit einem Kapitaltransfer, und ein Datenverarbeitungsteil (1), verbunden mit dem Speicher über einen Bus (2) und dafür vorgesehen, die sicheren Daten zu verarbeiten, wobei die elektronische Datenverarbeitungseinrichtung weiter einen Schaltkreis (6) zur Erkennung von und zum Schutz vor Manipulation umfasst; mit dem Bus verbunden und dafür vorgesehen, eine Manipulationsbedingung zu erkennen, und dafür, bei Erkennen der Manipulationsbedingung ein Manipulationssignal zu erzeugen, wobei der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation mit einem Manipulationssequenzer (10) verbunden ist, der dafür vorgesehen ist, das Verarbeitungsteil bei Empfang des Manipulationssignals zu deaktivieren, wobei der Speicher ein Sicherheitsregister (3-a) umfasst, dafür vorgesehen, Schlüssel zu speichern zum Verschlüsseln der sicheren Daten und einen Speicherabschnitt, dafür vorgesehen, von dem Datenverarbeitungsteil verarbeitete sichere Daten temporär zu speichern, dadurch gekennzeichnet, dass der Manipulationssequenzer einen internen Taktgenerator umfasst, dafür vorgesehen, bei Empfang des Manipulationssignals einen Manipulationsimpuls und eine Serie von Taktimpulsen zu erzeugen, wobei der Manipulationssequenzer dafür vorgesehen ist, gesteuert von dem Manipulationsimpuls die Sicherheitsdaten zu löschen, die in dem Sicherheitsregister gespeichert sind, und dafür, gesteuert von der Serie von Taktimpulsen die verarbeiteten sicheren Daten zu löschen, die in dem Speicherabschnitt gespeichert sind.
  2. Elektronische Datenverarbeitungseinrichtung nach Anspruch 1, dadurch gekennzeichnet, dass der Manipulationssequenzer dafür vorgesehen ist, den Manipulationsimpuls asynchron zu erzeugen, bezogen auf die Serie von Taktimpulsen.
  3. Elektronische Datenverarbeitungseinrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Manipulationsimpuls eine Dauer von längstens 1 ms hat.
  4. Elektronische Datenverarbeitungseinrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation dafür vorgesehen ist, mehrere Manipulationsbedingungen zu erkennen, und dafür, jeder Manipulationsbedingung einen Identifikationscode zuzuordnen, der die erkannte Manipulationsbedingung identifiziert, wobei der Manipulationssequenzer mit einem Mittel zur Manipulationsfestlegung ausgestattet ist, dafür vorgesehen, auf der Basis des Identifikationscodes jede der Manipulationsbedingungen festzulegen, und dafür, jeder der Manipulationsbedingungen eine Stufe der Manipulationsbedingungspriorität zuzuordnen, wobei die Stufe der Manipulationsbedingungspriorität ausgewählt wird aus einer Reihe von Prioritätsstufen, umfassend wenigstens einen ersten und einen zweiten Prioritätswert, wobei der Manipulationssequenzer dafür vorgesehen ist, die Stufe der Manipulationsbedingungspriorität zu empfangen, und dafür, bei Empfang des ersten Prioritätswerts sofort den Manipulationsimpuls und die Serie von Taktimpulsen zu erzeugen, und dafür, bei Empfang des zweiten Prioritätswerts die Erzeugung des Manipulationsimpulses und der Serie von Taktimpulsen über eine vorbestimmte Zeitspanne zu halten.
  5. Elektronische Datenverarbeitungseinrichtung nach Anspruch 4, dadurch gekennzeichnet, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation mit einem Manipulationsanfragegenerator ausgestattet ist, dafür vorgesehen, ein Anfragesignal zu erzeugen, wenn die vorbestimmte Zeitspanne abgelaufen ist, wobei der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation weiter dafür vorgesehen ist, gesteuert von dem Anfragesignal zu prüfen, ob die Manipulationsbedingung, welche die Erzeugung des Manipulationssignals verursacht hat, bestehen bleibt, und dafür, ein Aktivierungssignal zu erzeugen, wenn die Manipulationsbedingung bleibt, und ein Deaktivierungssignal, wenn die Manipulationsbedingung nicht geblieben ist, wobei der Manipulationssequenzer dafür vorgesehen ist, die Erzeugung des gehaltenen Manipulationsimpulses und der Taktimpulse gesteuert von dem Deaktivierungssignal zu deaktivieren, und dafür, die Erzeugung des gehaltenen Manipulationsimpulses und der Taktimpulse gesteuert von dem Aktivierungssignal zu aktivieren.
  6. Elektronische Datenverarbeitungseinrichtung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation dafür vorgesehen ist, gesteuert von der Serie von Taktimpulsen den Speicherabschnitt von dem Bus vor dem Löschen der sicheren Daten zu trennen.
  7. Elektronische Datenverarbeitungseinrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Serie der Taktimpulse eine Frequenz hat, die in einem Bereich zwischen 1 und 10 MHz liegt, im Besonderen bei 5 MHz.
  8. Elektronisches Datentransferterminal nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation dafür vorgesehen ist, jeden Zugriff auf den Speicher zu deaktivieren, so lange das Manipulationssignal aktiv bleibt.
  9. Elektronische Datenverarbeitungseinrichtung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation ein Register (14) umfasst, das dafür vorgesehen ist, Manipulationsstatusdaten zu speichern.
  10. Elektronische Datenverarbeitungseinrichtung nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation dafür vorgesehen ist, von einer autonomen Stromquelle versorgt zu werden, unabhängig von der Stromquelle, die das Datenverarbeitungsteil versorgt.
DE60312704T 2003-12-12 2003-12-12 Elektronische Datenverarbeitungseinrichtung Expired - Lifetime DE60312704T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP03028491A EP1542180B1 (de) 2003-12-12 2003-12-12 Elektronische Datenverarbeitungseinrichtung

Publications (2)

Publication Number Publication Date
DE60312704D1 DE60312704D1 (de) 2007-05-03
DE60312704T2 true DE60312704T2 (de) 2007-12-06

Family

ID=34486185

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60312704T Expired - Lifetime DE60312704T2 (de) 2003-12-12 2003-12-12 Elektronische Datenverarbeitungseinrichtung

Country Status (5)

Country Link
US (1) US7454629B2 (de)
EP (1) EP1542180B1 (de)
AT (1) ATE357710T1 (de)
CA (1) CA2489637C (de)
DE (1) DE60312704T2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008049599B4 (de) 2008-09-30 2024-08-14 Diebold Nixdorf Systems Gmbh Verfahren und Vorrichtung zur Erkennung von Angriffen auf einen Selbstbedienungsautomat

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101853352B (zh) 2003-08-26 2013-01-30 松下电器产业株式会社 程序执行设备
US7978095B2 (en) * 2005-11-22 2011-07-12 Stmicroelectronics, Inc. Test mode circuitry for a programmable tamper detection circuit
US8573479B1 (en) * 2005-12-20 2013-11-05 Diebold Self-Service Systems Division Of Diebold, Incorporated Banking system controlled responsive to data bearing records
US8833646B1 (en) * 2005-12-20 2014-09-16 Diebold Self-Service Systems Division Of Diebold, Incorporated Banking system controlled responsive to data bearing records
US8627116B2 (en) * 2007-08-07 2014-01-07 Maxim Integrated Products, Inc. Power conservation in an intrusion detection system
FR2934070B1 (fr) * 2008-07-17 2010-10-22 Ingenico Sa Dispositif et procede de protection d'un systeme electronique contre un acces non autorise
US9158496B2 (en) * 2012-02-16 2015-10-13 High Sec Labs Ltd. Secure audio peripheral device
US9264150B2 (en) 2012-03-28 2016-02-16 Globalfoundries Inc. Reactive metal optical security device and methods of fabrication and use
US9036427B2 (en) * 2013-06-12 2015-05-19 Arm Limited Apparatus and a method for erasing data stored in a memory device
WO2015196449A1 (en) 2014-06-27 2015-12-30 Microsoft Technology Licensing, Llc Data protection system based on user input patterns on device
US10474849B2 (en) 2014-06-27 2019-11-12 Microsoft Technology Licensing, Llc System for data protection in power off mode
CN105519038B (zh) 2014-06-27 2020-03-17 微软技术许可有限责任公司 用户输入的数据保护方法及系统
JP6637389B2 (ja) * 2016-06-28 2020-01-29 株式会社沖データ メモリ制御装置、メモリ装置、及び画像形成装置
US10489618B2 (en) * 2017-03-30 2019-11-26 Nidec Sankyo Corporation Card reader
CN112002080B (zh) * 2019-05-27 2022-02-15 中电金融设备系统(深圳)有限公司 银行终端机、银行终端设备及信息安全的处理方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4882752A (en) * 1986-06-25 1989-11-21 Lindman Richard S Computer security system
US5457748A (en) * 1992-11-30 1995-10-10 Motorola, Inc. Method and apparatus for improved security within encrypted communication devices
US6292898B1 (en) * 1998-02-04 2001-09-18 Spyrus, Inc. Active erasure of electronically stored data upon tamper detection
US6646565B1 (en) * 2000-06-01 2003-11-11 Hewlett-Packard Development Company, L.P. Point of sale (POS) terminal security system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008049599B4 (de) 2008-09-30 2024-08-14 Diebold Nixdorf Systems Gmbh Verfahren und Vorrichtung zur Erkennung von Angriffen auf einen Selbstbedienungsautomat

Also Published As

Publication number Publication date
EP1542180B1 (de) 2007-03-21
CA2489637A1 (en) 2005-06-12
DE60312704D1 (de) 2007-05-03
CA2489637C (en) 2014-05-13
US20050182961A1 (en) 2005-08-18
EP1542180A1 (de) 2005-06-15
ATE357710T1 (de) 2007-04-15
US7454629B2 (en) 2008-11-18

Similar Documents

Publication Publication Date Title
DE60312704T2 (de) Elektronische Datenverarbeitungseinrichtung
DE3041109C2 (de)
EP0151714B1 (de) Vorrichtung zur Sicherung geheimer Informationen
DE2621271C2 (de) Tragbarer Datenträger
DE10305587B4 (de) Integrierte Sicherheitshalbleiterschaltung und Halbleiterschaltungskarte und zugehöriges Überwachungsverfahren
EP1089219B1 (de) Verfahren zur Sicherung eines Datenspeichers
DE3850744T2 (de) Tragbares Medium mit elektrischer Stromversorgung.
DE69527773T2 (de) Schaltungsanordnung zur Überwachung der Benutzung von Funktionen in einem integrierten Schaltungkreis
DE60122853T2 (de) Verfahren und Vorrichtung zum Speichern von Daten in einem integrierten Schaltkreis
DE69310034T2 (de) Spielvorrichtung mit dauernd funktionierender Uhr
EP0891601B1 (de) Chipkarte
DE3801699C2 (de)
DE3318101A1 (de) Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit
DE4328753C2 (de) Chip-Karte und Verfahren zum Überprüfen ihrer persönlichen Identifikationsnummer (PIN-Nummer)
DE3206113A1 (de) Elektronische frankiermaschine mit speicherschwaechen-anzeige
EP1449084B1 (de) Kontrollierte programmausführung durch einen tragbaren datenträger
DE69221538T2 (de) Ferndiagnoseverfahren für Frankiermaschine
DE60128646T2 (de) Verfahren und Vorrichtung zum Schutz gegen unbefugte Benutzung eines integrierten Schaltkreises
DE69501035T2 (de) Verfahren zur Erhöhung der Sicherheit eines integrierten Schaltkreises
DE60309304T2 (de) Gesicherte elektronische vorrichtung
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
EP2137703B1 (de) Detektionsvorrichtung
DE20112350U1 (de) Anordnung zum Schutz eines Sicherheitsmoduls
DE4042161A1 (de) Rom mit sicherheitsschaltung
DE19548903C2 (de) Verfahren zur Durchführung eines Geheimcodevergleiches bei einem mikroprozessorgestützten tragbaren Datenträger

Legal Events

Date Code Title Description
8364 No opposition during term of opposition