WO1989004022A1 - Process for verifying the authenticity of a data medium with integrated circuit - Google Patents

Process for verifying the authenticity of a data medium with integrated circuit Download PDF

Info

Publication number
WO1989004022A1
WO1989004022A1 PCT/EP1988/000932 EP8800932W WO8904022A1 WO 1989004022 A1 WO1989004022 A1 WO 1989004022A1 EP 8800932 W EP8800932 W EP 8800932W WO 8904022 A1 WO8904022 A1 WO 8904022A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
memory
key
card
authenticity
Prior art date
Application number
PCT/EP1988/000932
Other languages
English (en)
French (fr)
Inventor
Wolfgang Effing
Original Assignee
GAO GESELLSCHAFT FÜR AUTOMATION UND ORGANISATION m
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GAO GESELLSCHAFT FÜR AUTOMATION UND ORGANISATION m filed Critical GAO GESELLSCHAFT FÜR AUTOMATION UND ORGANISATION m
Priority to US07/391,517 priority Critical patent/US5818738A/en
Publication of WO1989004022A1 publication Critical patent/WO1989004022A1/de

Links

Classifications

    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C29/00Checking stores for correct operation ; Subsequent repair; Testing stores during standby or offline operation
    • G11C29/04Detection or location of defective memory elements, e.g. cell constructio details, timing of test signals
    • G11C29/50Marginal testing, e.g. race, voltage or current testing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C29/00Checking stores for correct operation ; Subsequent repair; Testing stores during standby or offline operation
    • G11C29/04Detection or location of defective memory elements, e.g. cell constructio details, timing of test signals
    • G11C29/50Marginal testing, e.g. race, voltage or current testing
    • G11C29/50012Marginal testing, e.g. race, voltage or current testing of timing
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/544Marks applied to semiconductor devices or parts, e.g. registration marks, alignment structures, wafer maps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/04Erasable programmable read-only memories electrically programmable using variable threshold transistors, e.g. FAMOS
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C29/00Checking stores for correct operation ; Subsequent repair; Testing stores during standby or offline operation
    • G11C29/04Detection or location of defective memory elements, e.g. cell constructio details, timing of test signals
    • G11C29/08Functional testing, e.g. testing during refresh, power-on self testing [POST] or distributed testing
    • G11C29/12Built-in arrangements for testing, e.g. built-in self testing [BIST] or interconnection details
    • G11C2029/4402Internal storage of test result, quality data, chip identification, repair information
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2223/00Details relating to semiconductor or other solid state devices covered by the group H01L23/00
    • H01L2223/544Marks applied to semiconductor devices or parts
    • H01L2223/54433Marks applied to semiconductor devices or parts containing identification or tracking information
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2223/00Details relating to semiconductor or other solid state devices covered by the group H01L23/00
    • H01L2223/544Marks applied to semiconductor devices or parts
    • H01L2223/54433Marks applied to semiconductor devices or parts containing identification or tracking information
    • H01L2223/5444Marks applied to semiconductor devices or parts containing identification or tracking information for electrical read out
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2223/00Details relating to semiconductor or other solid state devices covered by the group H01L23/00
    • H01L2223/544Marks applied to semiconductor devices or parts
    • H01L2223/54473Marks applied to semiconductor devices or parts for use after dicing
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/0001Technical content checked by a classifier
    • H01L2924/0002Not covered by any one of groups H01L24/00, H01L24/00 and H01L2224/00
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/26Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Definitions

  • the invention relates to a method for checking the authenticity of a data carrier with at least one integrated circuit which has memory and logic devices and elements for input and output of data.
  • a high security standard is achieved if the individual property or parameter is a feature that can only be imitated with a very high level of technical effort and is ⁇ characteristic for each stamp.
  • Such an individual property can, for example, be a variable that arises more or less accidentally during production due to manufacturing scatter.
  • DE-OS 24 58 705 proposes measuring the dyeing and printing properties, the thickness of the ink application, paper dimensions or paper properties as an individual size for a stamp or banknote.
  • the automatically measured individual parameter may be stored in encrypted form on the stamp.
  • the individual size is measured again and checked for agreement with the comparison value stored on the value stamp and determined during the first check.
  • EP 112 461 it is also known to measure the specific property of a microwave antenna as an individual and scattering characteristic variable due to manufacturing tolerances in order to be able to operate the integrated circuit without contact or contact.
  • the reflection properties specific to each antenna are measured as electrically measurable quantities.
  • the measured variable is encrypted using a secret algorithm to form a code number which is stored in the integrated circuit memory for later authenticity testing as a comparison value.
  • the microwave antenna in connection with a data carrier with an integrated circuit, only one feature of a peripheral unit, the microwave antenna, is measured to determine the authenticity of the data carrier, but this feature does not protect the circuit itself against manipulation.
  • the method proposed here can only be used in the case of the identity cards, in which the dialogue between the card and the test unit takes place in a contactless or contactless manner via corresponding coupling elements such as microwave antennas.
  • the object of the invention is to propose a method for checking the authenticity of data carriers with an integrated circuit, the one opposite
  • Manipulations allow a more reliable determination of authenticity and can be used for almost all data carriers with an integrated circuit.
  • the object is achieved according to the invention by the features specified in the characterizing part of the main claim.
  • the invention is based on the surprising finding that, despite the perfectionism and the ever increasing miniaturization in IC production and the continuously improved quality and purity of the base materials, the integrated circuit itself still offers the possibility of providing characteristics with regard to its " Fine structure ", which clearly distinguishes it from circuits of the same type and function.
  • the circuit itself thus enables individual data, which characterizes each individual circuit, to be obtained which meets the general conditions for use as an authenticity feature.
  • a particularly advantageous individual size of a circuit with which the authenticity of the circuit can be verified is, for. B. the different minimum programming time required for individual memory cells in an E 2 PR0M memory.
  • the invention is explained in detail together with the corresponding measurement and test method for determining the authenticity of circuits.
  • E 2 PROM memories With the predominant number of data carriers with an integrated circuit in use, these so-called E 2 PROM memories will be increasingly used today and in the future. These are non-volatile, electrically multiple programmable and erasable memories.
  • the essence of a memory cell of an E 2 PR0M memory is that it has a charge zone which is electrically separated from the surroundings by a thin insulating layer and to which electrical charges are applied through the insulating layer using the so-called tunnel effect, there can be saved and removed again.
  • the insulating layers of the individual memory cells of an integrated circuit vary, inter alia due to manufacturing tolerances in the manufacture in the thickness of the individual layers and the quality or purity of the material. terials, the homogeneity and amount of the doping of the semiconductor material etc. depending on chance within a certain spread. Since even small changes in these parameters have a noticeable effect on the strength of the tunnel current, there is a certain spread in the times necessary to switch a memory cell from the programmed to the deleted state and vice versa.
  • a programming time which is always to be observed is determined, which is based on the longest programming times required and which is therefore dimensioned such that all cells to be changed are also reliably loaded or deleted during this period.
  • Memory cell consisting of 8 memory cells (also called memory word) simultaneously from logic “0" to logic “1” and observes during the programming process in what chronological order and if necessary also with what time differences the cells from "0" to "1" "switch, there is an individual" switching pattern "typical of each memory word.
  • each memory word has its own switching pattern and that this characteristic switching pattern for each individual memory word (memory line) occurs again and again in the same form with each programming operation.
  • the "switching pattern" is thus not only a good scattering, ie a variable which varies randomly from memory word to memory word and of course also from circuit to circuit, but also an individual characteristic of this circuit which can be reproduced exactly with simple measuring means. On the basis of these conditions, this feature is outstandingly suitable for determining the authenticity of integrated circuits.
  • the type and type of construction can be used to determine individually different runtimes, which are based on differences in the fine structure of the chip. To obtain individual characteristic data, these differences can be determined by an absolute measurement of the running time. However, it is simpler in terms of measurement technology to simultaneously provide information to a bus line designed for parallel operation and comprising several (8 or 16) bits. By a relative measurement of the bit-to-bit, i.e. H. from line to line, different running times, the characteristic running profile for each bus line can be determined. Here too, due to the manufacturing tolerances for the circuit, a "running profile" will emerge that is characteristic and unchangeable for the circuit.
  • the solution according to the invention offers the possibility of using the authenticity test method in almost all technical and commercial fields in which chip cards are used.
  • the field of application of the data carrier generally also defines the economically justifiable effort for checking the authenticity feature.
  • the characteristic is therefore generally below Be ⁇ into account the need to inspection effort and the 'each required security level selected.
  • the present invention using the corresponding memory, control and logic devices of an integrated circuit, enables a large number of variants not only with regard to the selection of the individual feature, but also with regard to its evaluation, so that in each case depending on the area of application of the Data carrier and the required security level, an individual characteristic that has been specifically adapted in this sense can be selected and evaluated.
  • the individual data which verifies the authenticity of the integrated circuit, can be in encrypted or unencrypted form, depending on the application, in the chip itself or also outside, e.g. B. in a central office. During the authentication process can then 'a comparison of the data on the chip itself, carried out in the terminal or at headquarters. Furthermore, it is also possible to attach the chip to its carrier, ie to the card. to bind by storing this characteristic data in a card-specific form on the card. In order to be able to clearly determine both the card fastness and the chip fastness, z. B. the data characterizing the chip are linked with authenticity identification data of the card and / or stored together.
  • the data carrier with an integrated circuit, preferably in the form of a microprocessor with memory units connected to it, itself receives the measuring device for determining these individual characteristic data and encryption devices and, if appropriate, also a device in which the determined characteristic data can be combined with other electronically stored data to form a key.
  • the microprocessor, the measuring, encryption, key formation device and the memory are preferably all integrated on one IC module (chip).
  • the characteristic data determined by the internal measuring device can preferably only be output in plain text to the user during initialization, ie before the chip or the card containing the chip is issued, and in a secure environment (central unit) as an unchangeable, non-imitable "serial number" can be saved for later checks.
  • the chip is designed from the card and / or software side in such a way that this data output can only be carried out in a single operation So that the result of the encryption is not the same for every transaction, variable data such as, for example, B. a random number sent from the central office, the time and / or transaction data are included in the encryption.
  • the card can also send a random number to the head office for encryption in order to ensure the authenticity of the dialog partner.
  • Methods for determining the similarity of two data sets are e.g. B. well known in the form of various correlation methods. If changes over time are determined, this can be registered for the subsequent tests, for example by B. the stored characteristic data record is updated in the control center.
  • the characteristic data can be measured in a precisely reproducible manner and, as far as possible, that there are no temporal changes which can no longer be corrected. If only one bit in the characteristic data record or the key formed therefrom were changed, a completely different encryption result would already result.
  • An identity of the identification data can e.g. For example, if the programming times of E 2 PROM cells serve as characteristic data, by pre-selecting the ones to be evaluated
  • the output line for this data can be provided with an internal fuse, which is irreversibly interrupted after the data has been transmitted.
  • the necessary encryption programs, keys or key fragments and also data can be loaded into the memory of the card.
  • the memories are then supplemented with the data of the cardholder and the individual characteristic data stored in the control center are assigned to the respective holder.
  • this card can then be checked online, offline or alternatively online or offline for system membership and authenticity.
  • a key is additionally loaded into the card with integrated measuring device and encryption devices, which, for. B. is different for all cards or uniform for all cards of a system, an institute, a bank, etc.
  • the key data encrypted in the chip are encrypted using this key and the encrypted data is sent to the head office via a line.
  • the control center which also has this key, can then decrypt this data and compare it with the characteristic data of the associated card stored there. allow measured values at the given value to be achieved.
  • the identity could be determined in a preliminary check by additional electronic storage of the characteristic data determined during the initialization in a memory area that is not accessible from the outside.
  • these individual characteristic data are combined with a value (offset) stored electronically in the chip to form a key, which is then used to encrypt any data.
  • This offset which is generated during the initialization of the card and stored in the chip, is preferably chosen so that, after combination with the identification data, one for several cards, eg. B. all cards of a bank or credit institution, each gives the same key.
  • the key or keys are then installed in one or more authorization centers or in the transaction terminals (automated teller machines, POS terminal, etc.), so that the card and the center or terminals can preferably identify each other by mutual exchange of encrypted data (Handshaking method). Since "global" keys are used in this authenticity check, instead of using the characteristic data stored in the control center, this method is particularly suitable for the offline check.
  • a pure chip analysis which is technically oriented only to the determination of the electronically stored data, can therefore technically in the systems operating according to the invention due to the "storage" of a part of the secret information in a way that is normal to the normal electronic storage completely different ways do not lead to success.
  • Fig. 1 is an ID card with integrated
  • Circuit shows the sectional view of an E 2 PROM cell
  • Fig. 5 is a schematic representation of a
  • FIG. 10 shows a schematic representation of the system components, card and central unit according to the invention, in the initialization phase for an on-line authenticity check,
  • FIG. 12 shows a schematic representation of the system components according to the invention, card and central, in the initialization phase for an on / off authenticity check,
  • Fig. 14 the system components card - headquarters in the on-line test phase.
  • Fig. 1 shows the schematic representation of an identity card 1, as z. B. in cashless payment traffic, as an authorization card for access to premises or facilities, or as proof of identity.
  • the card in fields 2 shows the user-related data such as the name of the cardholder, the customer number etc. as well as e.g. B. a running card number.
  • the card in field 3 z. B. printed the data for the card issuing institution.
  • this card has an IC chip " 4 embedded in the card interior (shown in dashed lines), which is connected via
  • _ tact surfaces 5 can be electrically connected to external peripheral devices (test devices).
  • This integrated circuit contains control and processing circuits and one or more memory, 'the latter tier ⁇ memory of type E 2 PROM are neuter, ie Non-volatile electrically erasable and programmable multiple Spei ⁇ cher.
  • the programming time which differs from memory cell to memory cell, is now determined for the generation of data characterizing each individual chip, and these data are processed and stored as individual authenticity identification data. It is not necessary to keep certain memory areas free for this characteristic data determination. Any areas occupied or not yet occupied can be used, the storage area only being evaluated when evaluating areas already occupied. content is temporarily stored for this time of the characteristic data determination.
  • the technological and physical background as well as the measurement and evaluation methods are explained in more detail below.
  • FIG. 2 shows a sectional view of an E 2 PROM cell 6 of the floating gate type.
  • the so-called floating gate separated by an oxide layer 8, above the silicon base layer 7 with its differently doped areas ⁇ P, N).
  • This floating gate is overlaid by a further conductive layer 10, the top gate or control gate, which, in contrast to the floating gate, is directly electrically controllable.
  • the write or erase process in which a correspondingly polarized voltage difference is built up between the top or control gate 10 and the N region, electrons tunnel from this N region into the floating gate and are stored there. In the case of reverse polarity, electrons are accordingly withdrawn from the floating gate ("erasing process").
  • the tunneling can be described by the Fowler-Nordheim mechanism.
  • the floating gate In order to keep the probability as low as possible that the electrons stored on the floating gate can flow off again due to larger lattice errors or other disturbances and thus the memory cell is discharged again, the floating gate must be separated from the N region ⁇ de insulating layer is kept so low only in a small portion 17 that tunneling is possible. By reducing the effective tunnel area, the probability that there are major lattice errors in this area is correspondingly reduced.
  • E 2 PROM memory of the floating gate type used here other E 2 PROM memory types can also be used, such as, for. B. the MNOS type also used, which differs in principle from the floating gate type in that the electrons in a non-conductive Substance can be stored.
  • FIG. 3a-c show the basic circuit diagram of an E 2 PR0M cell in the different switching phases: writing, erasing and reading.
  • this cell contains, in addition to the actual memory transistor 12, a selection transistor 13. The interconnection of these transistors is shown in FIG. 3.
  • the programming line 14 which goes to the top or control gate of the charging transistor.
  • the same voltage is on the selection line 15, which drives the corresponding memory word and opens the selection transistor, while the voltage 0 is present on the line 16 defining the column. Due to these voltage differences in the memory transistor, electrons now tunnel to this floating gate and are stored there. After reaching a corresponding number of electrons on this floating gate, this transistor is blocked.
  • a voltage of, for example, 5 V is applied to all lines (programming line, selection line and the line defining the column) and the state of the transistor, blocked or switched through, is determined by means of corresponding auxiliary elements (not shown).
  • the effective programming time for each cell i.e. H. the time required to apply the necessary number of electrons to the floating gate or to allow it to flow away in order to lock or open the transistor is now dependent on the thickness of the insulating layer, its area, their internal structure etc., the latter determining, among other things, the potential course of the barrier influencing the tunnel current. Since these sizes vary from cell to cell due to unavoidable manufacturing tolerances and inhomogeneities in the material, this effective programming time also varies from cell to cell. These different programming times can now be determined by z. B. is made clocked and the cell status is checked in the intermediate cycles.
  • FIG. 4b shows in parallel the time profile of the state of charge of a first selected cell, again in a highly schematic form.
  • the state of charge increases with the application of the programming voltage and after time t 1 has exceeded the threshold which determines the blocking or opening state of the charging transistor.
  • the slope of this curve depends on the size of the tunnel current, which, as already mentioned, includes parameters such as the thickness of the oxide layer, purity, effective tunnel area, etc.
  • 4c shows the charge state of a second cell as a function of time. This cell already reaches the threshold value Q at time t. Due to manufacturing tolerances, different structural conditions in the material and the structure of this cell etc., the tunnel flow is larger and the state of charge is reached earlier. In order to determine the individual points in time at which the cells of a memory cell tip over, the state of the memory cells is determined in each case between the individual programming pulses.
  • the memory line becomes 1_ at times. , 1.- etc. read out, these times lying in the programming pulse pauses.
  • FIG. 4e shows that a logical "1" is only reported in the first memory cell at the reading time 1 -, while the second cell already shows the logical "1" at the reading time 1_ (FIG. 4f).
  • the total programming time which is approximately 10 to 50 ms for E 2 PROM cells, is preferably in 100 to 200 programming pulses divide in order to be able to detect the point in time of switching over the individual cells with the required resolution.
  • Fig. 5 shows the block diagram for the map
  • the card unit 20 has a control logic 21 which is followed by an addressing logic 22 for the selective control of the individual memory cells 24 of the memory 23.
  • the control takes place via corresponding decoders 25, 26, which determine the row or column of the memory matrix to be addressed in each case, and the data is input or read from the control logic into the memory via a data line 27.
  • the map shown here has e.g. B. via six external connections T (clock), I / O (data input / output), R (reset), U (programming voltage), U * • (supply voltage), U (ground). With some cards, the programming voltage U is generated internally, so that a external supply is unnecessary.
  • the peripheral device also has a pulse generator 30 for generating write and erase pulses, which in turn are programmable in length.
  • the peripheral device also has a counter and memory unit 32 in which the data read from the card are recorded.
  • FIG. 6 shows the time sequence for the measurement in the form of a flow chart.
  • the memory cells to be evaluated are first erased (41).
  • the deletion process is repeated 2c
  • Reading (42) is checked and if the memory has not been erased to the required extent, the erasing process is repeated (43). Otherwise, the counter in unit 32 is loaded with 0 (44) and the memory cell is initially preprogrammed (45) with a longer-lasting programming pulse. The duration of this preprogramming pulse is chosen so that it is not sufficient for the memory cells in this row to flip over. This can be checked in a subsequent step by reading the memory cell again and the signal actually read, coupled with the count 0, can be entered in the memory of the unit 32. In the subsequent step, the counter reading is increased by one (46) and the programming process is continued for a short time (47). Following this short programming pulse, the memory cell is read out again (48) and the data content is entered (49) together with the current counter reading in the memory unit 32. Steps 46 to 49 are repeated until all memory cells have the new state
  • Table 1 shows the counter readings in the first column and then the data content of the relevant memory line read out at this counter reading.
  • Positions correspond to the eight memory cells of this memory line, also called a word.
  • the table shows that there was no reprogramming up to counter reading 73 and only switched to the fourth memory cell at logic "1" during the 74th pass, that is to say with counter reading 74. After two further runs, the memory cell 6 then flipped over at the counter reading 76. In this way the Time of flipping registered for each memory cell. Since only the data records are of interest in which the memory state has effectively been changed, the size of this table can be reduced directly or subsequently.
  • Table 2 of FIG. 8 shows such reduced data acquisition. Only the meter readings at which one of the memory cells folds over are registered here. In addition to the current memory content, the column also lists the difference between the counts at which a flip occurred. In the case of the memory word evaluated here, there was a flap, that is to say at the counter readings 74, 76, 85, 89, 95, 100 and 116, the memory cells (1 to 8) of this memory word flipping over in the following order: 5, 7, 3 , 4, 6, 1, 2, 8.
  • circuit pattern is a circuit diagram characteristic of each memory word and changes from word to word, but retains its characteristic circuit diagram with each new programming process.
  • the first digit of these pairs of numbers denotes the memory cell and the second digit indicates the difference to the previous reprogramming process. Since the meter readings or these differences - as already mentioned - due to environmental influences, e.g. B. the different ambient temperature, can be shifted holistically, such shifts during processing of the data or in the comparison determination can be eliminated by suitable measures (quotient formation, standardization etc.). Through known correlation calculations, e.g. B. the similarity of the currently measured switching pattern to the stored switching pattern can be clearly determined.
  • Another characteristic feature of an E 2 PROM memory would be e.g. B. also the registration of memory cells, preferably several memory words, which fold over almost simultaneously. It would be e.g. B. in the memory rows shown in FIGS. 8 and 9, cells 4 and 6 for the first memory word, cells 1, 2, 6 of the second memory word and cells 3, 4 and 5 of the third memory word.
  • certain characteristic data can therefore be registered, the address of the memory cells to be evaluated also having to be registered with these characteristic data. Since the memory itself comprises a large number of memory lines, the selection of which of the memory cells is now used for determining the authenticity can be made arbitrarily or according to a secret code, so that outsiders cannot find out which of the memory cells is now is to be evaluated when determining the authenticity. The selection can also depend on the switching pattern of the memory rows, so that, for. For example, only the memory rows which have a correspondingly strongly structured switching pattern are evaluated, while other memory rows in which the memory cells all flip over within a very short period of time are excluded from this selection.
  • this memory word is loaded after this discharge after this period, which now does not have to be clocked, the following binary information is obtained when the memory word is subsequently read out: 1, 1, 0, 1, 0, 1, 0, 1, ie that the Memory cells 1, 2, 4, 6, and 7 are folded over, while memory cells 3, 5 and 7 still maintain their original state. If the reading voltage is reduced or increased, it can additionally be determined that the memory cells 4 and 6 are currently in the limit range, since they will report the locked or unlocked state of the memory transistor, depending on the read voltage.
  • the method presented here for evaluating the programming time of individual E 2 PROM memory words has the particular advantage that no analog data has to be processed and that the dialogue between the test device and the chip can take place via the external connection lines which are present anyway. Additional devices for a z. B. optical scanning are therefore not required.
  • This provides a measurement method which can be carried out in a simple manner and for determining an individual property of an integrated circuit which identifies each circuit in an unchangeable and unambiguous manner.
  • system examples are given in which the authenticity of the card can be checked in online and / or offline operation, taking into account individual characteristic data of the integrated circuit.
  • FIG. 10 schematically shows the important elements of a card or the circuit of a card 51 which is connected to a central unit 52 for its initialization.
  • the card contains a memory 53, which consists of an externally accessible and inaccessible area for storing confidential information, keys, etc.
  • the card also has a measuring circuit 54 for determining the individual characteristics, such as. B. the programming times of E 2 PROM cells of the memory 53.
  • the measuring circuit 54 is connected to the memory 53 and can additionally have processing devices for processing the measured data, their internal checking etc. Via a control circuit, not shown in FIG. 10, this measuring circuit 54 can also be programmed for the selection of certain E 2 PROM cells to be evaluated.
  • a line 56-56a leads from the measuring circuit to the output, the line 56a containing a subsequently destructible fuse 57.
  • This fuse can also be replaced by setting a corresponding security bit in an externally inaccessible and unchangeable memory which controls the output of the characteristic data and in particular prevents it after the initialization process.
  • Such means are in principle z. B. known from DE-AS 11 14 049.
  • a second line 56-56b leads to an encryption device 60, which is also located in the card.
  • Another element of the card is a register 58, which is also connected to the encryption unit 60 via a line 59.
  • a first external access line 61 leads to a second register 58 k
  • All the electronic units mentioned are preferably components of an integrated circuit unit.
  • the control center has a main memory 63, a random number generator 64, an encryption unit 65 and a comparator 66.
  • the individual characteristic data M e.g. B. the individually different programming times of certain E 2 PR0M memory cells, determined by the measuring device 54 and passed via line 56-56a to the center linked to the chip card.
  • the characteristic data M are transmitted via line 67 to the main memory and in a secured one
  • Transfer key K from the control center to the card memory The keys are transferred to the card memory via a secured line 68-68a-62. This key K is then used later to secure communication between the card and the control center.
  • the line 56a in the card is interrupted by firing the fuse 57, so that the characteristic data obtained from the measuring device 54 can only reach the encryption unit 60 via the line 56b and can no longer be called up externally.
  • the card in turn determines the individual characteristic data of the memory 53 by means of the internal measuring device 54 and transmits the data obtained therefrom to the encryption devices. selungsaku 60.
  • a dynamic time variable, z For example, a random number RN generated by the random number generator 64 of the control center, which can be buffered in the register 58, is created for encryption. Instead of a random number, the time or the transaction data can also flow into the encryption as a constantly varying variable.
  • the encryption takes place in the unit 60 on the basis of the stored key K and the key result is transmitted via line 69-70 to the decryption unit 65 of the control center and there with the key K or, if an asymmetrical algorithm is used, with a corresponding key pendant K 'decrypted.
  • the characteristic data M 'obtained therefrom are then checked for identity or similarity with the stored characteristic data M, by comparing the decrypted random number with the random number generated by the control center, the system membership can be checked, ie it can be determined whether the card has the correct key K. If it turns out during this check that there is a match with regard to the random number, but that the characteristic data M is inaccurate, i.e.
  • this card is either a duplication or the Card was provided with incorrect user data.
  • the duplication an imitated card is loaded with the user data and further data of a real and valid card.
  • the imitated card has a different circuit with different individual characteristic data that deviate from the real card, such a duplicate will be recognized as such on the basis of the different characteristic data.
  • the user data are exchanged in a real, permissible card, so that, for. B. third-party accounts are charged. Even if the scammer here If, for example, he has equipped his card with the data of a permissible user, this manipulation will nevertheless be recognized, since the comparison of user data and characteristic data will also be negative in this case.
  • the authenticity check via an on-line connection can also be carried out with the aid of a public key algorithm, card 51 preferably being equipped with the public key and the control center keeping the associated secret key in its memory.
  • card 51 preferably being equipped with the public key and the control center keeping the associated secret key in its memory.
  • Each card can thus use this public key to encrypt its internally determined characteristic data, and the control center can also use the secret key to decrypt the characteristic data and compare it with the data stored there, as described above.
  • the random number transmitted from the central station can also be used to select the E 2 PR0M cells to be evaluated.
  • the memory area provided for determining the characteristic data which can capture one or more memory lines each with 8 memory cells, is deleted, so that all memory cells of this area have the same logical value, eg. B. take "0".
  • the random number RN (z. B. 01100101), which is in binary form, is loaded into this memory line (s), the programming times of the cells to be reloaded of each memory line being registered (in the given example, these are the 2nd, 3rd, 6th and 8th cell). This riding is then encrypted as individual characteristic data
  • the card For the entry of the transaction data or the output of the encrypted data, the card can be entered into a corresponding terminal with an input keyboard and display or can even be equipped with a keyboard and a display.
  • the card can also be used additionally or only exclusively for off-line verification.
  • FIG. 12 again shows a card in a highly schematic form and the center in the initialization phase, in which the card is used both for an off-line test and for an on-line test with the corresponding ones
  • the card can also be loaded with a key K, which then, as shown in FIGS. 10 and 11, is used for online verification.
  • FIG. 13 shows in schematic form a card 51 and a terminal 75 with the facilities necessary for the offline verification of the card.
  • the individual characteristic data are determined internally and, after refurbishment and a preliminary check, the key formation unit 71 is fed to the card.
  • the offset XI is read from the memory 53, which then, in combination with the characteristic data M, results in the secret key S which is uniform for all cards of a certain group.
  • Key S R is then encrypted in encryption unit 60 by a random number RN generated by the terminal or otherwise, and this encrypted random number is transmitted to the terminal.
  • the transmitted data is then decrypted in the unit 76 with the aid of the public key stored in a memory 78 and compared in a comparator 79 with the random number generated in the random number generator 77. The identity of this data then confirms the authenticity of the card.
  • this method Compared to known authenticity checking methods, in which only electronically stored key data are used for the encryption of the random number, this method has the advantage that the key is only temporarily present in the card, namely from the time the key is formed until the end of the encryption. Otherwise, only the offset is stored electronically in the card, the knowledge of which alone is not sufficient to be able to determine the secret key.

Description

Verfahren zur Fchtheitsprϋ ung eines Datenträgers mit integriertem Schaltkreis
Die Erfindung betrifft ein Verfahren zur Echtheitsprüfung eines Datenträgers mit wenigstens einem integrierten Schaltkreis, der Speicher- und Logikeinrichtungen auf¬ weist sowie Elemente zur Ein- und Ausgabe von Daten.
Es ist seit längerem bekannt, die Echtheitsprüfμng von Datenträgern, Wertzeichen oder ähnlichen geldwerten Pro¬ dukten anhand einer für jedes Wertzeichen charakteristi¬ schen individuellen und maschinell feststellbaren Ei- genschaft vorzunehmen.
Man erreicht dabei einen hohen Sicherheitsstandard, wenn es sich bei der individuellen Eigenschaft oder Kenngröße um ein nur mit sehr hohem technischen Aufwand nachahmba- ■ res und für jedes Wertzeichen charakteristisches Merkmal handelt. Eine solche individuelle Eigenschaft kann bei¬ spielsweise eine bei der Herstellung aufgrund von Fabri¬ kationsstreuungen mehr oder weniger zufällig entstehende Größe sein.
In der DE-OS 24 58 705 wird in diesem Zusammenhang vorge¬ schlagen, als individuelle Größe bei einem Wertzeichen oder einer Banknote die Färb- und Druckeigenschaf en, die Dicke des Farbau trags, Papierabmessungen oder Papierei- genschaften zu messen. Die automatisch gemessene indivi¬ duelle Kenngröße wird unter Umständen in chiffrierter Form auf dem Wertzeichen gespeichert. Bei der Echtheits¬ prüfung wird die individuelle Größe erneut gemessen und mit dem auf dem Wertzeichen gespeicherten, bei der erst- maligen Prüfung ermittelten Vergleichswert auf Überein¬ stimmung geprüft.
Gemäß einem anderen Vorschlag (EP 112 461) ist es auch bekannt, als individuelle und aufgrund von Fertigungs- toleranzen, streuende Kenngröße die spezifische Eigen¬ schaft einer Mikrowellenantenne zu messen, die bei diesem um den integrierten Schaltkreis kontakt- bzw. berühungs- los betreiben zu können. Als elektrisch meßbare Größen werden beispielsweise die für jede Antenne spezifischen Reflexionseigenschaften gemessen. Die gemessene Größe wird über einen geheimen Algorithmus zu einer Codezahl verschlüsselt, die im Speicher der integrierten Schaltung für die spätere Echtheitsprüfung als Vergleichswert abge¬ legt wird.
Bei dem vorgeschlagenen Verfahren wird im Zusammenhang mit einem Datenträger mit integriertem Schaltkreis nur ein Merkmal einer peripheren Einheit, der Mikrowellenan- ,, tenne, zur Echtheitsbestimmung des Datenträgers gemessen, über dieses Merkmal wird aber nicht der Schaltkreis selbst gegen Manipulationen geschützt. Vor allem ist aber das hier vorgeschlagene Verfahren nur bei den Ausweiskar¬ ten anwendbar, bei denen der Dialog zwischen Karte und Prüfeinheit berührungs- bzw._ kontaktlos über entsprechen¬ de Kopplungselemente wie Mikrowellenantennen erfolgt.
Die überwiegende Zahl der heute und wohl auch in abseh¬ barer Zeit in der Praxis eingesetzten Ausweiskarten mit integriertem Schaltkreis werden hingegen über die her¬ kömmliche .galvanische Kontaktierung berührend betrieben. .Diese Kontaktiermethode ist zweifellos technisch wesent¬ lich einfacher zu realisieren und kostengünstiger.
Die Aufgabe der Erfindung besteht nun darin, ein Ver¬ fahren zur Echtheitsprüfung von Datenträgern mit inte- griertem Schaltkreis vorzuschlagen, das eine gegenüber
Manipulationen zuverlässigere Echtheitsbestimmung ermög¬ licht und das für nahezu alle Datenträger mit integrier¬ tem Schaltkreis zur Anwendung kommen kann.
Die Aufgabe wird erfindungsgemäß durch die im kennzeich¬ nenden Teil des Hauptanspruchs angegebenen Merkmale ge¬ löst. Die Erfindung beruht auf der überraschenden Erkenntnis, daß trotz des Perfektionismus und der ständig zunehmenden Miniaturisierung bei der IC-Herstellung und der sich ständig verbesserten Güte und Reinheit der Basismateri- alien der integrierte Schaltkreis selbst immer noch die Möglichkeit in sich birgt, Charakteristiken bezüglich seiner "Feinstruktur" feststellen zu können, durch die er sich eindeutig auch von den Schaltkreisen des gleichen Typs und gleicher Funktion unterscheidet. Damit ermög- licht es der Schaltkreis selbst, individuelle, jeden ein¬ zelnen Schaltkreis kennzeichnende Daten zu gewinnen, die die allgemeinen Bedingungen für die Verwendung als Echt- heitsmerkmal erfüllen.
Bei der Auswahl der für die Echtheitsprüfung zu verwen¬ denden Eigenschaften ist darauf zu achten, daß diese auf¬ grund der fertigungstechnisch oder materialbedingten To¬ leranzen etc. in der "Feinstruktur" von Chip zu Chip eine ausreichende "Individualität" aufweist, mit vertretbarem Aufwand meßtechnisch erfaßbar ist, von äußeren Parame¬ tern, wie z. B. Temperatur, unabhängig bzw. entkoppelbar ist und problemlos beliebig oft und an unterschiedlichen Orten gemessen und mit zu einem früheren Zeitpunkt aufge¬ nommenen und auf ezeichneten Meßergebnis verglichen wer- den kann.
Da nun ein oder mehrere individuelle Eigenschaften des integrierten Schaltkreises selbst geprüft werden, muß der Fälscher, der das Prüfverfahren manipulieren will, diese Manipulationen am Chip selbst vornehmen, was, soweit es überhaupt zum Ziel führen kann, ein hohes Maß an Wissen und technischer Fertigkeit auf dem Bereich der Chiptech¬ nologie erfordert.
Mit der vorliegenden Erfindung wird nun gezeigt, daß ein Schaltkreis nicht nur nach seinem Typ, Layout etc. klas¬ sifiziert werden kann, um sich gegen Simulationsschaltun- H
gen zu schützen, sondern selbst individuelle Größen be¬ stimmt werden können, die überwiegend aus Fabrikations- Streuungen bei der Herstellung des Schaltkreises resul¬ tieren und jeden einzelnen Schaltkreis individuell kenn- zeichnen. Derartige Charakteristiken sind im allgemeinen - auch für einen Fälscher, der über ein entsprechendes Wissen und Können in der Chip-Technologie verfügt - nicht nachahmbar.
Eine besonders vorteilhafte individuelle Größe eines Schaltkreises, mit der die Echtheit des Schaltkreises belegt werden kann, ist z. B. die in einem E2PR0M- _ Speicher benötigte unterschiedliche minimale Programmier¬ zeit für einzelne Speicherzellen. Anhand dieses besonders gut erklärbaren Beispiels wird die Erfindung zusammen mit dem entsprechenden Meß- und Prüfverfahren für die Echt¬ heitsbestimmung von Schaltkreisen eingehend erläutert.
*
Bei der überwiegenden Zahl der im Einsatz befindlichen Datenträger mit integriertem Schaltkreis werden heute und in Zukunft sicher in zunehmendem Maße diese sogenann¬ ten E2PROM-Speicher eingesezt. Es handelt sich dabei um nichtflüchtige, elektrisch mehrfach programmier- und löschbare Speicher.
Das wesentliche einer Speicherzelle eines E2PR0M-Spei- chers besteht darin, daß sie eine durch eine dünne Iso¬ lierschicht gegenüber der Umgebung elektrisch getrennte Ladungszone aufweist, auf die durch die Isolierschicht hindurch unter Nutzung des sogenannten Tunnel-Effekts elektrische Ladungen aufgebracht, dort gespeichert und wieder entfernt werden können.
Die Isolierschichten der einzelnen Speicherzellen eines integrierten Schaltkreises variieren, u. a. bedingt durch Fertigungstoleranzen bei der Herstellung in der Dicke der einzelnen Schichten sowie der Güte bzw. Reinheit des Ma- terials, der Homogenität und Menge der Dotierung des Halbleitermaterials etc. vom Zufall abhängig innerhalb einer bestimmten Streubreite. Da bereits geringe Ände¬ rungen in diesen Parametern die Stärke des TunnelStroms merklich beeinflussen, ergibt sich eine bestimmte Streu¬ breite in den Zeiten, die notwendig sind, um eine Spei¬ cherzelle vom programmierten in den gelöschten Zustand zu schalten und umgekehrt.
In der Praxis wird daher eine stets einzuhaltende Pro¬ grammierzeit festgelegt, die sich an den längsten benö¬ tigten Programmierzeiten orientiert und die demnach so bemessen ist, daß sicher alle zu verändernden Zellen in diesem Zeitraum auch geladen bzw. gelöscht werden.
Programmiert man aber nun beispielsweise eine aus z. B. 8 Speicherzellen bestehende Speicherzeile (auch Speicher¬ wort genannt) gleichzeitig von logisch "0" auf logisch "1" und beobachtet während des Programmiervorgangs, in welcher zeitlichen Reihenfolge und gegebenenfalls auch mit welchen Zeitdifferenzen untereinander die Zellen von "0" auf "1" umschalten, so ergibt sich ein für jedes Speicherwort typisches individuelles "Schaltmuster".
Es hat sich überraschend gezeigt, daß jedes Speicher¬ wort sein eigenes Schaltmuster aufweist und daß dieses für jedes einzelne Speicherwort (Speicherzeile) charak¬ teristische Schaltmuster sich bei jedem Programmier¬ vorgang immer wieder in gleicher Form einstellt.
Das "Schaltmuster" ist damit nicht nur ein gut streuen¬ des, d. h. ein von Speicherwort zu Speicherwort und selbstverständlich auch von Schaltkreis zu Schaltkreis zufällig variierendes, sondern auch ein mit einfachen meßtechnischen Mitteln exakt reproduzierbares, individu¬ elles Merkmal dieses Schaltkreises. Aufgrund dieser Gegebenheiten eignet sich dieses Merkmal in hervorragender Weise zur Echtheitsbestimmung von inte¬ grierten Schaltkreisen.
Andere als Echtheitsmerkmal benutzbare individuelle Grö¬ ßen eines integrierten Schaltkreises sind z. B. die sta¬ tische oder dynamische Eingangskennlinie, die insbeson¬ dere im Durchbruchsbereich von Schaltkreis zu Schaltkreis stark variiert und damit ein den Schaltkreis kennzeich- nendes Merkmal darstellt. Auch bei Daterileitungen, z. B. einer Busleitung, in integrierten Schaltkreisen gleichen
Typs und Bauart können bei ausreichender Auflösung indi- viduell unterschiedliche Laufzeiten festgestellt werden, die auf Unterschieden in der Feinstruktur des Chips beru- hen. Diese Unterschiede können zur Gewinnung individuel¬ ler Kenndaten durch eine Absolutmessung der Laufzeit festgestellt werden. Meßtechnisch einfacher ist es je¬ doch, eine für den Parallelbetrieb konzipierte, mehrere (8- oder 16-) Bit umfassende Busleitung gleichzeitig mit einer Information zu belegen. Durch eine Relativmessung der von Bit zu Bit, d. h. von Leitung zu Leitung, unter¬ schiedlichen Laufzeiten kann das für jede Busleitung cha¬ rakteristische Laufprofil bestimmt werden. Auch hier wird sich aufgrund der Herstellungstoleranzen beim Schaltkreis ein "Laufprofil" herausstellen, das für den Schaltkreis charakteristisch und unveränderbar ist.
Gemäß einer weiteren Äusführungsform der Erfindung ist es aber auch möglich, die Oberflächenstruktur des Chips ab- zutasten, wobei sich bei nicht polierten Chips die rück¬ wärtige durch den Sägevorgang stark strukturierte Ober¬ fläche für diesen Zweck anbietet.
Neben diesen beispielhaft genannten Äusführungsformen von zufälligen Unique-Merk alen, d. h. durch den Fabrika¬ tionsprozeß entstehende und unbeeinflußbare, einzigartige Eigenschaften nutzen, ist es auch möglich, gezielt Zu- fallsstrukturen auf oder in den integrierten Schaltkreis einzubringen, die einmal aufgebracht in identischer Form nicht mehr nachbildbar sind und somit ebenfalls als indi¬ viduelles Merkmal für den einzelnen Schaltkreis genutzt werden können. Dies könnten 'z. B. in oder auf dem Chip befindliche metallische Beschichtungen mit einer wirren Flächenstruktur sein, über eine Widerstandsmessung an vorzugsweise mehreren Orten kann die Flächenstruktur dann "ausgelesen" werden,
Die erfindungsgemäße Lösung bietet die Möglichkeit, das Echtheitsprüfverfahren in nahezu allen technischen und kommerziellen Gebieten, in denen Chipkarten eingesetzt werden, anzuwenden. Mit dem Einsatzgebiet des Datenträ- gers ist_im allgemeinen aber auch der wirtschaftlich ver¬ tretbare Aufwand zur Prüfung des Echtheitsmerkmals fest¬ gelegt. Das Merkmal wird daher im allgemeinen unter Be¬ rücksichtigung des dazu notwendigen Prüfaufwandes und der ' jeweils geforderten Sicherheitsstufe ausgewählt. Die vor- liegende Erfindung ermöglicht unter Benutzung der ent¬ sprechenden Speicher-, Steuerungs- und Logikeinrichtungen eines integrierten Schaltkreises eine Vielzahl von Vari¬ anten nicht nur bezüglich der Auswahl des individuellen Merkmals, sondern auch bezüglich seiner Auswertung, so daß jeweils abhängig vom Einsatzgebiet des Datenträgers und der erforderlichen Sicherheitsstufe ein gezielt in diesem Sinne angepaßtes individuelles Merkmal ausgewählt und ausgewertet werden kann.
Die die Echtheit des integrierten Schaltkreises belegen¬ den individuellen Kenndaten können in verschlüsselter oder auch unverschlüsselter Form, je nach Anwendung, im Chip selbst oder auch außerhalb, z. B. in einer Zentrale, gespeichert werden. Bei der Echtheitsprüfung kann dann ' ein Vergleich der Daten im Chip selbst, im Terminal oder in der Zentrale erfolgen. Des weiteren ist es auch mög¬ lich, den Chip an seinen Träger, d. h. an die Karte, an- zubinden, indem man diese Kenndaten in einer kartenspezi¬ fischen Form auf der Karte speichert. Um sowohl die Kar¬ tenechtheit als auch die Chipechtheit eindeutig feststel¬ len zu können, können z. B. die den Chip kennzeichnenden Daten mit Echtheitskenndaten der Karte verknüpft und/oder gemeinsam abgespeichert werden.
Auch bezüglich der Verwendung dieses Echtheitsmerkmals für den Chip im System bieten sich verschiedene Möglich- keiten, so z. B. dessen Verarbeitung zu einer Merkzahl für den Benutzer, die er bei jeder Benutzung der Karte einzugeben hat, oder die Verwendung als Schlüssel für die Verschlüsselung anderer Daten, z. B. der Karte, oder des integrierten Schaltkreises etc. -
In einer bevorzugten Ausführungsform erhält der Datenträ¬ ger mit einem integrierten Schaltkreis, vorzugsweise in Form eines Mikroprozessors mit daran angeschlossenen Speichereihheiten, selbst die Meßeinrichtung für die Er- mittlung dieser individuellen Kenndaten sowie Verschlüs¬ selungseinrichtungen und gegebenenfalls auch eine Ein¬ richtung, in der die ermittelten Kenndaten mit anderen elektronisch gespeicherten Daten zur Bildung eines Schlüssels kombiniert werden können. Der Mikroprozessor, die Meß-, Verschlüsselungs-, Schlüsselbildungseinrichtung und der Speicher sind vorzugsweise alle auf einem IC-Bau¬ stein (Chip) integriert.
Die von der internen Meßeinrichtung ermittelten Kenndaten können vorzugsweise nur bei der Initialisierung, also vor Ausgabe des Chips bzw. der die Chips enthaltenden Karte an den Benutzer im Klartext ausgegeben und in einer gesi- cherten Umgebung (Zentrale) als unveränderbare, nicht nachahmbare "Seriennummer" für spätere Überprüfungen ge- speichert werden. Hierfür wird der Chip von der Karte und/oder Softwareseite her so konzipiert, daß diese Da¬ tenausgabe nur in einem einmaligen Vorgang durchführbar Damit das Ergebnis der Verschlüsselung nicht bei jeder Transaktion gleich ist, werden vorzugsweise variable Da¬ ten, wie z. B. eine von der Zentrale übersandte Zufalls¬ zahl, die Uhrzeit und/oder auch Transaktionsdaten, in die Verschlüsselung mit einbezogen.
In analoger Weise kann auch die Karte eine Zufallszahl zur Verschlüsselung an die Zentrale senden, um sich von der Authentizität des Dialogpartners zu versichern.
Da es sich bei diesen Kenndaten in der Regel um aus Her¬ stellungstoleranzen gewonnene, zufällige Daten handelt, die sich mit der Zeit auch in einem gewissen Rahmen ver¬ ändern können, werden bei der Überprüfung der Daten Ab- weichungen bis zu einem vorbestimmten Maße akzeptiert.
Verfahren für die Ähnlichkeitsfeststellung zweier Daten¬ sätze sind z. B. in Form verschiedener Korrelationsver¬ fahren hinlänglich bekannt. Werden zeitliche Veränderun¬ gen festgestellt, so kann dies für die nachfolgenden Prü- fungen registriert werden, indem z. B. der gespeicherte Kenndatensatz in der Zentrale aktualisiert wird.
Eine andere Form des Einsatzes dieser individuellen Kenn¬ daten in einem Echtheitsprüf- und/oder Identifizierungs- system besteht darin, diese als Eingangsdaten für die
Bildung eines Schlüssels zu verwenden. Allerdings ist es hier erforderlich, daß die Kenndaten jeweils exakt re¬ produzierbar meßbar sind und möglichst keine im Ergebnis nicht mehr korrigierbare zeitliche Veränderungen durch- laufen. Bei Änderung von nur eines Bits im Kenndatensatz bzw. den daraus gebildeten Schlüssel würde sich nämlich bereits ein völlig anderes Verschlüsselungsergebnis erge¬ ben. Eine Identität der Kenndaten kann z. B., wenn die Programmierzeiten von E2PROM-Zellen als Kenndaten die- nen, durch entsprechende Vorauswahl der auszuwertenden
Zellen oder auch durch zusätzliche gespeicherte Kontroll¬ ziffern, die eine gewisse nachträgliche Korrektur der ist und die Kenndaten anschließend lediglich intern zur Bildung eines Schlüssels oder zur Verschlüsslung zur Ver¬ fügung stehen. Z. B. kann hierzu die Ausgangsleitung für diese Daten mit einer internen Fuse versehen werden, die nach Übermittlung der Daten irreversibel unterbrochen wird.
Bei dieser Initialisierung können neben der Registrierung der individuellen Kenndaten auch die erforderlichen Chif- frierprogramme, Schlüssel oder Schlüsselfragmente und auch Daten (Kartendaten etc.) in den Speicher der Karte geladen werden. Bei der Personalisierung - einen vom Ini- tialisierungsvorgang eventuell unabhängigen zweiten Vor¬ gang - werden dann die Speicher mit den Daten des Karten- Inhabers ergänzt und die in der Zentrale gespeicherten individuellen Kenndaten dem jeweiligen Inhaber zugeord¬ net. Diese Karte kann dann, sofern'Sie über die ent¬ sprechenden Schlüssel verfügt, online, off-line oder auch wahlweise on- oder off-line auf Systemzugehörigkeit und Echtheit geprüft werden.
Gemäß einer Ausführungsform für eine on-line-durchführ- bare Echtheitsprüfung wird in die Karte mit integrierter Meßeinrichtung und Chiffriereinrichtungen zusätzlich ein Schlüssel geladen, der z. B. für alle Karten unterschied¬ lich oder für alle Karten eines Systems, eines Instituts, einer Bank etc. einheitlich ist. Bei einer Transaktion, im Rahmen derer die Echtheit der Karte geprüft werden soll, werden mit Hilfe dieses Schlüssels die im Chip er- mittelten Kenndaten verschlüsselt und die verschlüsselten Daten über eine Leitung an die Zentrale gesandt. Die Zen¬ trale, die ebenfalls über diesen Schlüssel verfügt, kann dann diese Daten entschlüsseln und mit den dort gespei¬ cherten Kenndaten der zugehörigen Karte vergleichen. gemessenen Werte zum gegebenen Wert gestatten, erreicht werden. Durch zusätzliche elektronische Speicherung der bei der Initialisierung ermittelten Kenndaten in einem von außen nicht zugänglichen Speicherbereich könnte in einer Vorabprüfung die Identität festgestellt werden.
Diese individuellen Kenndaten werden in einer bevorzugten Ausführungsform mit einem im Chip elektronisch gespei¬ cherten Wert (Offset) zu einem Schlüssel kombiniert, der dann zur Verschlüsselung von beliebigen Daten herangezo¬ gen wird. Dieser Offset, der bei der Initialisierung der Karte erzeugt und im Chip gespeichert wird, wird vorzugs- weise so gewählt, daß sich nach Kombination mit den Kenn¬ daten ein für mehrere Karten, z. B. alle Karten eines Bank- oder Kreditinstituts, jeweils gleicher Schlüssel ergibt. Der oder diese Schlüssel werden dann in einer oder mehreren Authorisierungszentralen oder in den Trans¬ aktionsterminals (Geldausgabeautomaten, POS-Terminal etc.) installiert, so daß sich die Karte und die Zentrale bzw. Terminals vorzugsweise gegenseitig durch gegenseiti¬ gen Austausch verschlüsselter Daten identifizieren können (HandshakingVerfahren) . Da bei dieser Echtheitsprüfung, statt auf die in der Zentrale gespeicherten Kenndaten ' zurückzugreifen, "globale" Schlüssel zur Anwendung kom- men, eignet sich dieses Verfahren insbesondere zur off¬ line-Prüfung.
Für die Verschlüsselung der Daten können bekannte Algo¬ rithmen, wie z. B. der DES-Algorithmus oder auch Publik- Key-Algorithmen zur Anwendung kommen (siehe Meyer, Matyas "Cryptograph : A new dimension in Computer Data Secu- rity", John Viley & Sons, New York, 1982, Seite 141 - 165; Rivest Shamir, Adelman "A Method for Obtaining• digi¬ tal Signatures and Publik-Key-Cryptosystems" Communica- tion of the ACM, 21, No. 2, 120 - 126, 1978). In der nachfolgenden Beschreibung bevorzugter Ausfüh¬ rungsformen sind Anwendungsbeispiele unter Verwendung von Publik-Key-Algorithmen aufgezeigt.
Die Verwendung dieser individuellen Kenndaten des Chips als Eingangsparamter einer Verschlüsselung oder einer Schlüsselbildung hat insbesondere den Vorteil, daß, selbst wenn es einem Außenseiter irgendwie möglich sein sollte, den Inhalt des Speichers des Chips, hard- oder softwaremäßig auszulesen, er selbst in diesem Fall noch nicht alle- notwendigen Informationen zur Verfügung hat, um eine Karte duplizieren zu können. Um die zu verschlüs- - selnden Informationen bzw. die gesamte Schlüsselinforma¬ tion zu erhalten, müßte er nämlich zusätzlich auch noch das System zur Bildung der individuellen Kenndaten aus*- kundschaften, also müßte er feststellen, welcher Art das jeweilige Kenndatensystem ist (E2PROM-Zellen, Bus-Lei¬ tungen etc.) und wie diese zu messen, auszuwerten und für die Weiterverarbeitung umzusetzen sind.
Eine reine Chipanalyse, die technisch nur auf das Be¬ stimmen der elektronisch gespeicherten Daten ausgerich¬ tet ist, kann also bei den erfindungsgemäß arbeitenden Systemen aufgrund der "Speicherung" eines Teils der ge- heimen Information in einer von der normalen elektroni¬ schen Speicherung technisch völlig unterschiedlichen Wei¬ se nicht zum Erfolg führen.
Weitere Vorteile und vorteilhafte Weiterbildungen sind Gegenstand der Beschreibung der Erfindung anhand von Figuren.
Die Figuren zeigen:
Fig. 1 eine Ausweiskarte mit integriertem
Schaltkreis, Fig. 2 die Schnittansicht einer E2PROM-Zelle,
Fig. 3a - c die Schaltbilder einer E2PROM-Zelle in den verschiedenen Phasen Schreiben (a), Löschen (b), Lesen (c),
Fig. 4a - f verschiedene Diagramme zum zeitlichen
Ablauf der Ladephase von E PROM-Zellen gemäß dem erfindungsgemäßen Verfahren,
Fig. 5 eine schematische Darstellung eines
Blockschaltbilds zur Messung der unter¬ schiedlichen Programmierzeiten,
Fig. 6 ein Diagramm zum Verfahrensablauf hier¬ zu,
Fig. 7a - c graphische Darstellungen der Meßresulta¬ te,
Fig. 8 tabellarische Zusammenstellung der Me߬ resultate,
Fig. 9 weitere tabellarische Zusammenstellungen von Meßresultaten,
Fig. 10 schematische Darstellung der erfindungs¬ gemäßen Systemkomponenten, Karte und Zen¬ trale, in der Initialisierungsphase für eine on-line Echtheitsprüfung,
Fig. 11 diese Systemkomponenten in der Prüfphase
(on-line) ,
Fig. 12 schematische Darstellung der erfindungs¬ gemäßen Systemkomponenten, Karte und Zen¬ trale, in der Initialisierungsphase für eine on-/off-Echtheitsprüfung,
Fig. 13 die Systemkomponenten Karte - Terminal in der off-line-Prüfphase,
Fig. 14 die Systemkomponenten Karte - Zentrale in der on-line-Prüfphase.
Die Fig. 1 zeigt die schematische Darstellung einer Aus- weiskarte 1, wie sie z. B. im bargeldlosen Zahlungsver¬ kehr, als Berechtigungskarte zum Zugang für Räumlichkei¬ ten oder Einrichtungen, oder als Identitätsnachweis An- _ wendung findet. In der Regel weist die Karte in Feldern 2 die benutzerbezogenen Daten wie den Namen des Kartenin- habers, der Kundennummer etc. sowie z. B. eine laufende Kartennummer auf. Im Feld 3 sind z. B. die Daten zu der kartenausgebenden Institution aufgedruckt. Zusätzlich weist diese Karte einen in das Karteninnere eingebetteten IC-Chip" 4 auf (strichlichert dargestellt), der über Kon-
•_ taktflächen 5 mit externen Peripheriegeräten (Prüfgerä¬ ten) elektrisch verbunden werden kann. Dieser integrierte Schaltkreis enthält Steuer- und Verarbeitungsschaltkreise sowie ein oder mehrere Speicher, 'wobei letztere haupt¬ sächlich Speicher von Typ E2PROM sind, also nichtflüch- tige elektrisch mehrfach programmier- und löschbare Spei¬ cher.
Gemäß einer bevorzugten Ausführungsform der Erfindung wird nun die von Speicherzelle zu Speicherzelle unter- schiedliche Programmierzeit zur Erzeugung von jeden ein¬ zelnen Chip kennzeichnenden Daten bestimmt und diese Da¬ ten als individuelle Echtheitskenndaten verarbeitet und gespeichert. Es ist dabei nicht erforderlich, bestimmte Speicherbereiche für diese Kenndatenbestimmung freizu- halten. Es können beliebig belegte oder noch nicht be¬ legte Bereiche herangezogen werden, wobei lediglich bei der Auswertung bereits belegter Bereiche der Speicher- inhalt für diese Zeit der Kenndatenbestimmung anderwei¬ tig zwischengespeichert wird. Der technologische und phy¬ sikalische Hintergrund sowie die Meß- und Auswerteverfah¬ ren werden im folgenden näher erläutert.
Die Fig. 2 zeigt eine Schnittansicht zu einer E2PR0M- Zelle 6 des Floating-Gate-Typs. Bei diesem Typ befindet sich über der Silizium-Basisschicht 7 mit ihren unter¬ schiedlich dotierten Bereichen <P, N ) ein durch eine Oxidschicht 8 getrennte elektrisch leitender Schichtbe¬ reich, das sogenannte Floating-Gate. Dieses Floating¬ gate ist durch eine weitere leitende Schicht 10, das top- oder Steuergate überlagert, das im Gegensatz zum Floating-Gate direkt elektrisch ansteuerbar ist. Beim Schreib- oder Löschvorgang., bei dem eine entsprechend ge¬ polte Spannungsdifferenz zwischen dem top- bzw. Steuer¬ gate 10 und dem N -Gebiet aufgebaut wird, tunneln Elektronen von diesem N -Gebiet in das Floating- Gate und werden dort gespeichert. Bei umgekehrter Polung werden dementsprechend Elektronen vom Floating-Gate abge¬ zogen ("Löschvorgang"). Das Tunneln kann durch den Fow- ler-Nordheim-Mechanismus beschrieben werden. Um die Wahr¬ scheinlichkeit möglichst gering zu halten, daß die auf dem Floating-Gate gespeicherten Elektronen durch größere Gitterfehler oder andere Störungen wieder abfließen kön¬ nen und damit die Speicherzelle wieder entladen wird, ist die das Floating-Gate von dem N -Gebiet trennen¬ de Isolierschicht nur in einem kleinen Teilbereich 17 so gering gehalten, daß ein Tunneln möglich ist. Durch die Verringerung der effektiven Tunnelfläche ist die Wahr¬ scheinlichkeit, daß in diesem Gebiet größere Gitterfehler vorliegen, entsprechend verringert. Neben dem hier ver¬ wendeten E2PROM-Speicher nach dem Floating-Gate-Typ können auch andere E2PROM-Speichertypen Anwendung fin- den, wie z. B. der ebenfalls angewandte MNOS-Typ, der sich im Prinzip von dem Floating-Gate-Typ dadurch unter¬ scheidet, daß die Elektronen in einer nicht leitenden Substanz gespeichert werden.
Die Fig. 3a - c zeigen das Prinzipschaltbild einer E2PR0M-Zelle in den verschiedenen Schaltphasen: Schrei- ben, Löschen und Lesen. Um eine selektive Ansteuerung jeder E2PROM-Zelle 11 zu ermöglichen, enthält diese Zelle neben dem eigentlichen Speichertransistor 12 einen Äuswahltransistor 13. Die Verschaltung dieser Transisto¬ ren ist in den Fig. 3 dargestellt.
Der Schreibvorgang (Fig. 3a):
Beim Schreibvorgang wird auf die Programmierleitung 14, die auf das Top- bzw. Steuergate des Ladetransistors geht, die Programmierspannung U angelegt, die in Re¬ gel = 20 V beträgt. Die gleiche Spannung liegt auf der Auswahlleitung 15, die das entsprechende Speicherwort ansteuert und den Auswahltransistor öffnet, während an der die Spalte definierenden Leitung 16 die Spannung 0 anliegt. Aufgrund dieser Spannungsunterschiede in dem Speichertransistor tunneln nun Elektronen auf dieses Floating-Gate und werden dort gespeichert. Nach Errei¬ chen einer entsprechenden Anzahl von Elektronen auf die¬ sem Floating-Gate ist dieser Transistor gesperrt.
Der Löschvorgang (Fig. 3b):
Beim Löschvorgang werden die Spannungen entsprechend um¬ gepolt, d. h. auf die Programmierleitung 14 wird eine Spannung von 0 V angelegt, während nun auf die die Spalte definierende Leitung 16 eine Spannung von 20 V angeiegr wird. Durch den gegenpoligen Spannungsunterschied tunneln nun die Elektronen wieder von diesem Floating-Gate auf das benachbarte N -Gebiet. Der Lesevorgang (Fig. 3c) :
Beim Lesevorgang werden auf alle Leitungen (Programmier-, Auswahl- und die die Spalte definierende Leitung) eine Spannung von beispielsweise 5 V angelegt und der Zustand des Transistors, gesperrt oder durchgeschaltet, wird über entsprechende Hilfselemente (nicht dargestellt) festge¬ stellt.
Die effektive Programmierzeit für jede Zelle, d. h. die Zeit, die erforderlich ist, um die notwendige Anzahl an Elektronen auf das Floating-Gate aufzubringen oder von diesem abfließen zu lassen, um den Transistor zu sper¬ ren bzw. zu offen, ist nun abhängig von der Dicke der Isolierschicht, ihrer Fläche, ihrer internen Struktur etc., wobei letztere unter anderem den den Tunnelstrom beeinflussenden Potentialverlauf der Barriere bestimmt. Da aufgrund unvermeidbarer Fertigungstoleranzen und In¬ homogenitäten im Material diese Größen von Zelle zu Zelle variieren, ist diese effektive Programmierzeit auch von Zelle zu Zelle unterschiedlich. Diese unterschiedlichen Programmierzeiten lassen sich nun feststellen, indem der Programmiervorgang z. B. getaktet vorgenommen wird und in den Zwischentakten jeweils der Zellenzustand geprüft wird.
Die Fig. 4a zeigt in schematischer Darstellung eine hier¬ zu geeignete Vorgehensweise. Die Programmierspannung
U ist hier gegenüber der Zeit aufgetragen. Da alle PP Zellen eine gewisse Mindestprogrammierzeit brauchen, kann zunächst zwischen den Zeiten tn und t, ein längerer
Programmierimpuls erfolgen. Nach Ablauf dieser "Vorlauf- zeit" wird die Programmierung im Zeitraum zwischen t- und t- unterbrochen und dann mit kurzen Programmierim- pulsen fortgesetzt. \8
Die Fig. 4b zeigt parallel dazu den zeitlichen Verlauf des Ladungszustandes einer ersten ausgewählten Zelle in wiederum stark schematisierter Form. Der Ladezustand nimmt mit Anlegen der Programmierspannung zu und hat hier nach dem Zeitpunkt t« die Schwelle überschritten, die den Sperr- bzw. Öffnungszustand des Ladetransistors bestimmt. Die Steigung dieser Kurve ist abhängig von der Größe des Tunnelstroms, in die, wie bereits erwähnt, die Parameter wie Dicke der Oxidschicht, Reinheit, effekti- ve Tunnelfläche etc. eingehen.
Die Fig. 4c zeigt analog dazu den Ladungszustand einer zweiten Zelle in Abhängigkeit von der Zeit. Diese Zelle erreicht bereits zum Zeitpunkt t- den Schwellwert Q . Aufgrund von Herstellungstoleranzen, andersge^ arteten strukturellen Gegebenheiten im Material und im Aufbau dieser Zelle etc. ist hier der Tunnelström größer und der Ladezustand damit früher erreicht. Um die einzel¬ nen Zeitpunkte festzustellen, in denen die Zellen einer Speicherzelle umkippen, wird der Zustand der Speicherzel¬ le jeweils zwischen den einzelnen Programmierimpulsen festgestellt.
Wie in Fig. 4d gezeigt, wird die Speicherzeile zu den Zeitpunkten 1_. , 1.- usw. ausgelesen, wobei diese Zei¬ ten in den Programmierimpulspausen liegen.
Die Fig. 4e zeigt dann, daß in der ersten Speicherzelle erst zum Lesezeitpunkt l- eine logische "1" gemeldet wird-, während die zweite Zelle die logische "1" bereits zum Lesezeitpunkt 1_ anzeig (Fig. 4f).
Der Einfachheit halber sind in dieser hier stark sche¬ matisierten Darstellung nur einige Programmier- und Lese- impulse gezeigt. Tatsächlich wird man die Gesamtprogram¬ mierzeit, die bei E2PROM-Zellen bei ca. 10 bis 50 ms liegt, in vorzugsweise 100 bis 200 Programmierimpulse aufteilen, um den Zeitpunkt des Umschaltens der einzel¬ nen Zellen mit der erforderlichen Auflösung erfassen zu können.
Die Fig. 5 zeigt das Blockschaltbild zur Karte und zum
Peripheriegerät mit den für den Meßvorgang erforderlichen Einheiten. Die Karteneinheit 20 verfügt über eine Steuer¬ logik 21, der eine Adressierlogik 22 zur selektiven An- steuerung der einzelnen Speicherzellen 24 des Speichers 23 nachgeschaltet ist. Die Ansteuerung erfolgt über ent¬ sprechende Dekoder 25, 26, die die jeweilig anzusprechen¬ de Zeile bzw. Spalte der Speichermatrix bestimmen, über eine Datenleitung 27 werden die Daten von der Steuerlogik in den Speicher eingegeben bzw. ausgelesen.
Die hier gezeigte Karte verfügt z. B. über sechs externe Anschlüsse T (Takt), I/O (Datenein-/Ausgabe) , R (Reset), U (Programmierspannung), U * (Versorgungsspan¬ nung), U (Masse). Bei manchen Karten wird die Pro- grammierspannung U intern erzeugt, so daß sich eine
Figure imgf000021_0001
externe Versorgung erübrigt.
Diese externen Anschlüsse sind mit der Steuerlogik 29 des Peripherie- bzw. Prüfgeräts 28 verbunden. Über diese Steuerlogik werden die von anderen Einheiten 19 kommenden Befehle und Daten (Schreib-/Löschbefehle, Adressen etc.) an die Karte weitergegeben. Das Peripheriegerät verfügt weiterhin über einen Impulsgenerator 30 zur Erzeugung von Schreib- und Löschimpulsen, die in ihrer Länge wiederum programmierbar sind. Schließlich weist das Peripheriege¬ rät noch eine Zähler- und Speichereinheit 32 auf, in der die von der Karte ausgelesenen Daten erfaßt werden.
Die Fig. 6 zeigt den zeitlichen Ablauf für die Messung in Form eines Flußdiagramms. Zu Beginn des Verfahrens werden die auszuwertenden Speicherzellen zunächst ge¬ löscht (41) . Der Löschvorgang wird durch nochmaliges 2c
Auslesen (42) überprüft und falls der Speicher nicht im erforderlichen Umfang gelöscht wurde, wird der Lösch¬ vorgang wiederholt (43). Andernfalls wird der in der Einheit 32 befindliche Zähler mit 0 geladen (44) und die Speicherzelle zunächst mit einem länger andauernden Pro¬ grammierimpuls vorprogrammiert (45). Die Zeitdauer dieses Vorprogammierimpulses ist so gewählt, daß sie für ein Um¬ klappen der Speicherzellen in dieser Zeile nicht ausrei¬ chend ist. Dies kann in einem nachfolgenden Schritt durch nochmaliges Auslesen der Speicherzelle geprüft werden und das tatsächlich gelesene Signal, gekoppelt mit dem Zäh¬ lerstand 0 in den Speicher der Einheit 32 eingetragen werden. Im nachfolgenden Schritt wird der Zählerstand um eins erhöht (46) und der Programmiervorgang über eine kurze Zeitdauer fortgesetzt (47). Im Anschluß an diesen kurzen Programmierimpuls wird die Speicherzelle wieder ausgelesen (48) und der Dateninhalt zusammen mit dem ak¬ tuellen Zählerstand in der Speichereinheit 32 eingetra¬ gen (49) . Die Schritte 46 bis 49 werden so oft wieder- holt, bis sämtliche Speicherzellen den neuen Zustand
(= Ladezustand) erreichen (50). Die aus diesem Meßvorgang gewonnenen Daten können beispielsweise in Tabellen darge¬ stellt werden.
In der Fig. 8 sind die Meßergebnisse, die sich bei der erfindungsgemäßen Auswertung einer Speicherzeile eines E2PR0M's ergaben, tabellarisch dargestellt. Die Tabel¬ le 1 zeigt in der ersten Spalte die Zählerstände und dar¬ an anschließend den bei diesem Zählerstand ausgelesenen Dateninhalt der betreffenden Speicherzeile. Die acht
Stellen entsprechen den acht Speicherzellen dieser Spei¬ cherzeile, auch Wort genannt. Die Tabelle zeigt, daß bis zum Zählerstand 73 noch keine Umprogrammierung erfolgte und erst beim 74sten Durchlauf, also bei Zählerstand 74, die vierte Speicherzelle auf logisch "1" schaltete. Nach zwei weiteren Durchläufen klappte dann auch die Speicher¬ zelle 6 bei Zählerstand 76 um. Auf diese Weise wird der Zeitpunkt des Umklappens für jede Speicherzelle regis¬ triert. Da nur die Datensätze von Interesse sind, bei denen effektiv eine Änderung des Speicherzustandes er¬ folgt ist, kann diese Tabelle direkt oder auch nachträg- lieh in ihrem Umfang reduziert werden.
Die Tabelle 2 der Fig. 8 zeigt eine derart reduzierte Datenerfassung. Registriert werden hier nur die Zähler¬ stände, bei denen eine der Speicherzellen umklappt. Neben dem aktuellen Speicherinhalt ist zusätzlich in einer weiteren Spalte auch die Differenz zwischen den Zähler¬ ständen aufgelistet, bei denen ein Umklappen erfolgte. Bei dem hier ausgewerteten Speicherwort fand ein Umklap¬ pen, also bei den Zählerständen 74, 76, 85, 89, 95, 100 und 116 statt, wobei die Speicherzellen (1 bis 8) dieses Speicherworts in folgender Reihenfolge umklappten: 5, 7, 3, 4, 6, 1, 2, 8.
Die Fig. 7a zeigt dieses Meßergebnis in einer graphischen Darstellung, wobei auf der Abszisse die Speicherzellen
1 bis 8 aufgetragen sind und auf der Ordinate der Zähler¬ stand, bei dem die jeweilige Speicherzelle umprogrammiert wurde. Dieses "Schaltmuster" ist ein für jedes Speicher¬ wort charakteristisches Schaltbild und verändert sich von Wort zu Wort, behält aber ihr charakteristisches Schalt¬ bild bei jedem neuerlichen Programmiervorgang bei.
Es stellt damit ein jedes Speicherwort kennzeichnendes typisches und in seiner Grundaussage von außen nicht be- einflußbares Merkmal. Da Umweltparameter, wie z. B. die
Temperatur, auf alle Zeilen in gleichem Maße wirken, füh¬ ren diese Parameter lediglich zu einer Gesamtverschiebung in der Ordinatenhöhe und gegebenenfalls einer Stauchung oder Streckung im Kurvenverlauf, können aber das charak- teristische Profil nicht verändern. In den Fig. 7b und c sind diese charakteristischen Schaltmuster für zwei weitere Speicherzellen dargestellt. Die Meßdaten zu diesen Speicherzellen sind in den in Fig. 9 dargestellten Tabellen zusammengefaßt.
Für eine nachfolgende Echtheitsprüfung des Speichers wer¬ den nun Kenndaten dieser Schaltbilder abgespeichert, wo¬ bei es hier je nach Anwendungsfall verschiedene Möglich¬ keiten gibt. So kann es bereits ausreichend sein, ledig- lieh die Reihenfolge des zeitlichen Umklappens der Spei¬ cherzellen in einer Zeile zu notieren. Dies wäre, wie vorab bereits erwähnt, bei der in Tabelle 1 bzw. Fig. 7a _ gezeigten Speicherzelle die Zahlenfolge 5, 7, 3, 4, 6, 1, 2, 8 oder es können zum anderen neben dieser Zahlen- folge auch noch die Zeitdif erenzen zusätzlich regi¬ striert werden. Dies ergäbe bei dem genannten Beispiel dann folgende Zahlenreihe:
(5, 0); (7, 2); (3, 9); (4, 4); (6, 1); (1, 6); (2, 5); (8, 16),
.wobei die erste Ziffer dieser Zahlenpaare die Speicher¬ zelle bezeichnet -und die zweite Ziffer die Differenz zum vorhergehenden Umprogrammiervorgang angibt. Da bei Mes- sungen zu unterschiedlichen Zeitpunkten sich die Zähler¬ stände bzw. diese Differenzen - wie bereits erwähnt - aufgrund von Umwelteinflüssen, wie z. B. der unterschied¬ lichen Umgebungstemperatur, ganzheitlich verschieben können, können bei der Verarbeitung der Daten bzw. bei der Vergleichsbestimmung derartige Verschiebungen durch geeignete Maßnahmen (Quotientenbildung, Normierung etc. ) eliminiert werden. Durch bekannte Korrelationsberechnun- gen kann z. B. die Ähnlichkeit des aktuell gemessenen Schaltmusters zum gespeicherten Schaltmuster eindeutig festgestellt werden. Ein weiteres charakteristisches Merkmal eines E2PROM- Speichers wäre z. B. auch die Registrierung von Speicher¬ zellen, vorzugsweise mehrerer Speicherwörter, die nahezu gleichzeitig umklappen. Es wäre z. B. bei den in Fig. 8 bzw. 9 gezeigten Speicherzeilen die Zellen 4 und 6 für das erste Speicherwort, die Zellen 1, 2, 6 des zweiten Speicherworts und die Zellen 3, 4 und 5 des dritten Speicherworts.
Je nach Anwendungsfall können also bestimmte Kenndaten registriert werden, wobei mit diesen Kenndaten selbstver¬ ständlich auch die Adresse der auszuwertenden Speicher- zellen registriert werden muß. Da der Speicher selbst eine Vielzahl von Speicherzeilen umfaßt, kann die Aus- wähl, welche der Speicherzellen nun für die Echtheitsbe¬ stimmung herangezogen wird, willkürlich oder auch nach einem geheimen Code erfolgen, so daß Außenstehende nicht in Erfahrung bringen können, welche der Speicherzellen nun bei der Echtheitsbestimmung auszuwerten ist. Die Aus- wähl kann sich auch nach dem Schaltmuster der Speicher¬ zeilen richten, so daß z. B. nur die Speicherzeilen aus¬ gewertet werden, die ein entsprechend stark strukturier¬ tes Schaltmuster aufweisen, während andere Speieherzei¬ len, bei denen die Speicherzellen alle innerhalb eines sehr kurzen Zeitraums umklappen, aus dieser Auswahl aus¬ geschlossen werden.
Notiert man z. B. nur die zeitliche Reihenfolge des Um- klappens, so ist darauf zu achten, daß zwei Zellen, die nahezu gleichzeitig umklappen, bei einer abermaligen Messung in ihrer Reihenfolge vertauscht sein können. Schon alleine aufgrund der Toleranzen in der Lesespan¬ nung kann es nämlich vorkommen, daß die Speicherzelle einmal als durchgeschaltet und ein andermal als gesperrt gewertet wird. Gemäß einem anderen Meßverfahren wird z . B. zunächst die durchschnittliche Programmierzeit ermittelt, die notwen¬ dig ist, um etwa die Hälfte aller Speicherzellen eines Speicherworts umzuprogrammieren. Liest man den Speicher- inhalt nach dieser "halben" Programmierzeit aus, so hat der Speicherinhalt ein für dieses Wort typischen Wert. Bei dem Speicherwort mit dem Schaltungsmuster, wie in Fig. 7a gezeigt, würde diese durchschnittliche Program¬ mierzeit ca. die Zeit von 95 Taktimpulsen entsprechen. Lädt man dieses Speicherwort nach vorheriger Entladung über diesen Zeitraum, der nun nicht getaktet werden muß, so ergibt sich beim nachträglichen Auslesen des Speicher¬ worts folgende Binärinformation: 1, 1, 0, 1, 0, 1, 0, 1, d. h. daß die Speicherzellen 1, 2, 4, 6, und 7 umge- klappt sind, während die Speicherzellen 3, 5 und 7 noch ihren ursprünglichen Zustand beibehalten. Verringert oder vergrößert man die Lesespannung, so kann zusätzlich noch festgestellt werden, daß die Speicherzellen 4 und 6 gerade im Grenzbereich liegen, da sie je nach Lesespan- nung den gesperrten bzw. nicht gesperrten Zustand des Speichertransistors melden werden.
Das hier vorgestellte Verfahren zur Auswertung der Programmierzeit einzelner E2PROM-Speicherwörter hat insbesondere den Vorteil, daß keine Analogdaten verar¬ beitet werden müssen und daß der Dialog zwischen dem Prüfgerät und dem Chip über die ohnehin vorhandenen ex¬ ternen Änschlußleitungen erfolgen kann. Zusätzliche Ge¬ räte für eine z. B. optische Abtastung sind daher nicht erforderlich. Man hat damit ein einfach durchführbares Meßverfahren zur Bestimmung einer individuellen Eigen¬ schaft eines integrierten Schaltkreises, das jeden Schaltkreis in unveränderbarer und eindeutiger Weise identifiziert. Im Nachfolgenden werden Systembeispiele gegeben, bei de¬ nen die Karte unter Einbeziehung individueller Kenndaten des integrierten Schaltkreises im on- und/oder off-line- Betrieb auf Echtheit geprüft werden kann.
Die Fig. 10 zeigt schematisch die wichtigen Elemente ei¬ ner Karte bzw. des Schaltkreises einer Karte 51, die zu ihrer Initialisierung mit einer Zentrale 52 verbunden ist.
Die Karte enthält einen Speicher 53, der aus einem von außen zugängigen und nicht zugängigen Bereich für die - Speicherung von vertraulichen Informationen, Schlüsseln usw. besteht. Die Karte weist des weiteren einen Meßkreis 54 auf für die Bestimmung der individuellen Kenndaten, wie z. B. der Programmierzeiten von E2PROM-Zellen des Speichers 53. Der Meßschaltkreis 54 ist hierzu mit dem Speicher 53 verbunden und kann zusätzlich Verarbeitungs¬ einrichtungen für die Aufarbeitung der gemessenen Daten, deren interne Prüfung usw. aufweisen. Über einen in der Fig. 10 nicht gezeigten Steuerschaltkreis kann dieser Meßschaltkreis 54 auch auf die Auswahl bestimmter auszu¬ wertender E2PROM-Zellen programmiert werden. Vom Me߬ schaltkreis führt eine Leitung 56-56a zum Ausgang, wobei die Leitung 56a eine nachträglich zerstörbare Fuse 57 enthält. Diese Fuse kann auch durch Setzen eines ent¬ sprechenden Sicherungsbits in einem extern nicht zugän¬ gigen und unveränderbaren Speicher ersetzt werden, das die Ausgabe der Kenndaten kontrolliert und insbesondere nach dem Initialisierungsvorgang unterbindet. Derartige Mittel sind im Prinzip z. B. aus der DE-AS 11 14 049 be¬ kannt. Eine zweite Leitung 56-56b führt zu einer Ver¬ schlüsselungseinrichtung 60, die sich ebenfalls in der Karte befindet. Weiteres Element der Karte ist ein Regi- ster 58, das über eine Leitung 59 ebenfalls mit der Ver¬ schlüsselungseinheit 60 verbunden ist. Eine erste externe Zugangsleitung 61 führt zu diesem Register 58 eine zweite k
62 zum Datenspeicher 53. Alle genannten elektronischen Einheiten sind vorzugsweise Bestandteile einer integrier¬ ten Schaltungseinheit.
Die Zentrale verfügt über einen Hauptspeicher 63, einen Zufallszahlengenerator 64, eine Verschlüsselungseinheit 65 und einen Vergleicher 66.
Bei der Initialisierung der Karte werden die individuel- len Kenndaten M, z. B. die individuell unterschiedlichen Programmierzeiten bestimmter E2PR0M-Speicherzellen, von der Meßeinrichtung 54 ermittelt und über die Leitung 56-56a an die mit der Chipkarte verknüpfte Zentrale ge¬ geben. Dort werden die Kenndaten M über die Leitung 67 an den Hauptspeicher übertragen und in einer gesicherten
Umgebung abgespeichert. Im Rahmen dieser Initialisierung, die gleichzeitig mit der Personalisierung der Karte durchgeführt werden kann, bei der die benutzerbezogenen Daten und die für die Benutzung notwendigen Programme in der Karte gespeichert werden, wird gleichzeitig ein
Schlüssel K von der Zentrale in den Speicher der Karte übertragen. Die Schlüsselübertragung erfolgt über eine gesicherte Leitung 68-68a-62 zum Speicher der Karte. Die¬ ser Schlüssel K dient dann später zur Absicherung der Kommunikation zwischen Karte und Zentrale. Nach dem Ini¬ tialisierungsvorgang wird in der Karte die Leitung 56a durch Zünden der Fuse 57 unterbrochen, so daß die von der Meßeinrichtung 54 gewonnenen Kenndaten nur noch an die Verschlüsselungseinheit 60 über die Leitung 56b gelangen können und nicht mehr extern abrufbar sind. - -
Die Fig. 11 zeigt die Karte und die Zentrale im Modus der Kartenverifizierung, die im Rahmen einer Transaktion stattfindet. Bei dieser on-line-Verifizierung bestimmt die Karte wiederum durch die interne Meßeinrichtung 54 die individuellen Kenndaten des Speichers 53 und über¬ trägt die daraus gewonnenen Daten an die Verschlüs- selungseinheit 60. An einen zweiten Eingang wird über die Leitung 59 eine dynamische zeitvariable Größe, z. B. eine von dem Zufallszahlengenerator 64 der Zentrale erzeugte Zufallszahl RN, die in dem Register 58 zwischengespei- chert werden kann, zur Verschlüsselung angelegt. Anstatt einer Zufallszahl können auch die Uhrzeit oder die Trans¬ aktionsdaten als ständig variierende Größe in die Ver¬ schlüsselung einfließen. Die Verschlüsselung erfolgt in der Einheit 60 anhand des gespeicherten Schlüssels K und das Schlüsselergebnis wird über die Leitung 69-70 an die Entschlüsselungseinheit 65 der Zentrale übermittelt und dort mit dem Schlüssel K bzw. bei Verwendung eines asym- metrischen Algorithmus mit einem entsprechenden Schlüs¬ selpendant K' entschlüsselt. Die daraus gewonnenen Kenn- daten M' werden dann mit den gespeicherten Kenndaten M auf Identität bzw. Ähnlichkeit geprüft, über einen Ver¬ gleich der entschlüsselten Zufallszahl mit der von der Zentrale generierten Zufallszahl kann die Systemzugehö¬ rigkeit geprüft werden, d. h. festgestellt werden, ob die Karte über den richtigen Schlüssel K verfügt. Sollte sich bei dieser Prüfung herausstellen, daß zwar bezüglich der Zufallszahl eine Übereinstimmung vorliegt, daß aber die Kenndaten M unzutreffend sind, d. h. die Zentrale zu den betreffenden Benutzerdaten andere Kenndaten M gespeichert hat, so handelt es sich bei dieser Karte entweder um eine Duplizierung oder die Karte wurde mit falschen Benutzer¬ daten ausgestattet. Im ersten Fall, der Duplizierung, wird eine nachgeahmte Karte mit den Benutzerdaten und weiteren Daten einer echten und gültigen Karte geladen. Da aber die nachgeahmte Karte einen anderen Schaltkreis mit anderen, von der echten Karte abweichende, indivi¬ duelle Kenndaten aufweist, wird ein derartiges Duplikat aufgrund der unterschiedlichen Kenndaten als solches er¬ kannt werden. 2.8
Im zweiten Fall werden in einer echten, zulässigen Karte die Benutzerdaten ausgetauscht, so daß z. B. fremde Kon¬ ten belastet werden. Auch wenn der Betrüger hier z. B. seine Karte mit den Daten eines zulässigen Benutzers aus- gestattet hat, so wird diese Manipulation doch erkannt werden, da der Vergleich Benutzerdaten - Kenndaten auch in diesem Fall negativ sein wird.
Die Echtheitsprüfung über eine on-line-Verbindung kann auch mit Hilfe eines Publik-Key-Algorithmus durchgeführt werden, wobei vorzugsweise die Karte 51 mit dem öffentli¬ chen Schlüssel ausgestattet wird und die Zentrale den zugehörigen geheimen Schlüssel in ihrem Speicher behält. Damit kann jede Karte mit diesem öffentlichen Schlüssel ihre intern ermittelten Kenndaten verschlüsseln und nuc die Zentrale kann mit Hilfe des geheimen Schlüssels die Kenndaten wieder entschlüsseln und mit den dort gespei¬ cherten Daten, wie oben beschrieben, vergleichen.
Die von der Zentrale übertragene Zufallszahl kann in einer Variante auch zur Auswahl der auszuwertenden E2PR0M-Zellen herangezogen werden. Hierfür wird der für die Kenndatenermittlung vorgesehene Speicherbereich, der eine oder mehrere Speicherzeilen mit jeweils 8 Speicher- zellen erfassen kann, gelöscht, so daß alle Speicherzel¬ len dieses Bereichs den gleichen logischen Wert, z. B. "0" einnehmen. In diese Speicherzeile(n) wird die in .iBinärform vorliegende Zufallszahl RN (z. B. 01100101) ge¬ laden, wobei die Programmierzeiten der umzuladenden Zel- len jeder Speicherzeile registriert werden (im gegebenen Beispiel sind dies die 2., 3., 6. und 8. Zelle) . Diese _ Reiten werden dann als individuelle Kenndaten verschlüs¬
Figure imgf000030_0001
vorliegen hat, vergleicht die gespeicherten Zeiten mit den übertragenen Zeiten derjenigen Zellen, die in Ab¬ hängigkeit der Zufallszahl umprogrammiert wurden. Damit sind selbst die individuellen Kenndaten von Trans¬ aktion zu Transaktion unterschiedlich, wodurch das System für Außenstehende noch undurchsichtiger und für Manipu¬ lationen noch unzugänglicher wird.
In manchen Fällen, z. B. bei Kreditkarten, ist eine so¬ fortige Verifikation der Echtheit der Karte über die Zen¬ trale noch während der Transaktion nicht unbedingt er¬ forderlich und.es genügt eine spätere Überprüfung, z. B. im Rahmen des Clearing, ob bei dieser Transaktion eine registrierte echte Karte vorgelegen hat. In diesem Fall wird die Karte bei der Transaktion nur dazu benutzt, in¬ tern die Kenndaten mit den in die Karte eingegebenen Transaktionsdaten (Kaufbetrag, Datum, Laufnummer etc.) zu verschlüsseln. Das sich daraus ergebende Verschlüsse¬ lungsergebnis wird auf dem Verkaufsbeleg notiert bzw. bei elektronischer Verkau sabwicklung dem Transaktionsdaten— satz angehängt. Bei Bedarf bzw. beim Clearing kann dann jederzeit durch die Zentrale die Richtigkeit der Daten festgestellt und bei Unstimmigkeiten eindeutig klarge¬ stellt werden, ob bei dieser oder jener Transaktion eine echte Karte oder ein Falsifikat benutzt wurde.
Für die Eingabe der Transaktionsdaten bzw. die Ausgabe der verschlüsselten Daten kann die Karte in ein entspre¬ chendes Terminal mit Eingabetastatur und Anzeige einge¬ geben werden oder selbst mit einer Tastatur und einem Display ausgestattet sein.
Die Karte kann aber auch zusätzlich oder auch nur aus¬ schließlich für eine off-line-Verifizierung verwendet werden.
Die Fig. 12 zeigt wieder in stark schematisierter Form eine Karte und.die Zentrale in der Initialisierungspha¬ se, bei der die Karte sowohl für eine off-line-Prüfung als auch für eine on-line-Prüfung mit den entsprechenden
Figure imgf000032_0001
selverwaltung und -Verteilung stark vereinfacht.
Zusätzlich kann die Karte auch mit einem Schlüssel K ge¬ laden werden, der dann, wie in Fig. 10 bzw. 11 gezeigt, bei der on-line-Verifizierung Anwendung findet.
Die Fig. 13 zeigt in schematischer Form eine Karte 51 und ein Terminal 75 mit den für die off-line-Verifizierung der Karte notwendigen Einrichtungen. Bei jeder Transak- tion oder Inanspruchnahme der Karte werden intern die individuellen Kenndaten bestimmt und nach Aufarbeitung und einer Vorabprüfung der Schlüsselbildungseinheit 71 der Karte zugeführt. Parallel dazu wird aus dem Speicher 53 der Offset XI gelesen, der dann in Verknüpfung mit den Kenndaten M den für alle Karten einer bestimmten Gruppe einheitlichen geheimen Schlüssel S ergibt. Mit diesem
K
Schlüssel SR wird dann in der Verschlüsselungseinheit 60 eine vom Terminal oder anderweitig erzeugte Zufalls¬ zahl RN verschlüsselt und diese verschlüsselte Zufalls- zahl an das Terminal übertragen. Im Terminal 75 werden dann die übertragenen Daten in der Einheit 76 unter Zu¬ hilfenahme des in einem Speicher 78 gelagerten öffentli¬ chen Schlüssels entschlüsselt und in einem Vergleicher 79 mit der im Zufallszahlengenerator 77 erzeugten Zufalls- zahl verglichen. Die Identität dieser Daten bestätigt dann die Echtheit der Karte.
Gegegenüber bekannten Echtheitsprüfverfahren, bei denen für die Verschlüsselung der Zufallszahl nur elektronisch gespeicherte Schlüsseldaten verwendet werden, hat dieses Verfahren den Vorteil, daß der Schlüssel nur temporär in der Karte vorliegt, nämlich vom Zeitpunkt der Schlüssel¬ bildung bis zur Beendigung der Verschlüsselung. Ansonsten ist nur der Offset in der Karte elektronisch gespeichert, dessen Kenntnis alleine aber nicht ausreichend ist, um den geheimen Schlüssel bestimmen zu können.
Figure imgf000034_0001

Claims

vorgegebenen Schlüssel (S^) ergeben und
dieser Offset (XI) in einen Speicher (53) des Daten¬ trägers (51) abgelegt wird
und daß im Rahmen der Prüfung des Datenträgers
die Kenndaten (M) wiederum intern bestimmt werden,
- die Kenndaten mit dem Offset in einer im Datenträger enthaltenen Schlüsselbildungseinheit (71) zur Bildung des vorgegebenen Schlüssels (SK) verknüpft werden,
dieser Schlüssel (Sv K) zur Verschlüsselung extern und/oder intern bereitgestellter Daten (RN) verwendet wird,
das Verschlüsselungsergebnis vom Datenträger abgeru¬ fen wird und
die abgerufenen Daten wieder entschlüsselt und auf Übereinstimmung mit den zur Verschlüsselung bereit¬ gestellten Daten geprüft werden.
33. System zur Echtheitsprüfung nach Anspruch 32, dadurch g e k e n n z e i c h n e t , daß zur Verschlüsselung eine sich von Transaktion zu Transaktion ändernde Größe (RN), z. B. eine Zufallszahl, verwendet wird.
34. System zur Echtheitsprüfung nach Anspruch 32 oder 33, dadurch g e k e n n z e i c h n e t , daß ein asymmetrischer Verschlüsselungsalgorithmus (Publik-Key) unter Verwendung eines geheimzuhaltenden Schlüssels (SK) und eines gegebenenfalls öffentlich zugänglichen Schlüs- , sels (P„ K.) angewendet wird. 35. System zur Echtheitsprüfung nach Anspruch 34, da¬ durch g e k e n n z e i c h n e t , daß der geheime Schlüssel (S^) im Datenträger gebildet wird und die Entschlüsselung der Daten außerhalb des Datenträgers mit dem öffentlichen -Schlüssel (Pκ) erfolgt.
36. System zur Echtheitsbestimmung nach Anspruch 32, dadurch g e k e n n z e i c h n e t , daß in der Initialisierungsphase zusätzlich ein weiterer Schlüssel (K) in den Speicher (53) des Datenträgers geladen wird, die Kenndaten (M) außerhalb des Datenträgers in einer gesicherten Umgebung (63) abgespeichert werden und daß die Echtheitsprüfung auch on-line unter Heranziehung die¬ ses Schlüssels (K) und Verschlüsselung der von der Meß- „ einrichtung (54) ermittelten Kenndaten (M) erfolgt.
PCT/EP1988/000932 1987-10-30 1988-10-18 Process for verifying the authenticity of a data medium with integrated circuit WO1989004022A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US07/391,517 US5818738A (en) 1987-10-30 1988-10-18 Method for testing the authenticity of a data carrier having an integrated circuit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DEP3736882.6 1987-10-30
DE3736882A DE3736882C2 (de) 1987-10-30 1987-10-30 Verfahren zur Echtheitsprüfung eines Datenträgers mit integriertem Schaltkreis

Publications (1)

Publication Number Publication Date
WO1989004022A1 true WO1989004022A1 (en) 1989-05-05

Family

ID=6339472

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP1988/000932 WO1989004022A1 (en) 1987-10-30 1988-10-18 Process for verifying the authenticity of a data medium with integrated circuit

Country Status (8)

Country Link
US (1) US5818738A (de)
EP (1) EP0313967B1 (de)
JP (1) JP2925152B2 (de)
AT (1) ATE87383T1 (de)
DE (2) DE3736882C2 (de)
ES (1) ES2039551T3 (de)
HK (1) HK60395A (de)
WO (1) WO1989004022A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9787670B2 (en) 2011-08-16 2017-10-10 Ictk Co., Ltd Apparatus and method for authentication between devices based on PUF over machine-to-machine communications

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4242579C2 (de) * 1992-12-16 1997-08-21 Siemens Ag Verfahren zur Echtheitserkennung von Datenträgern
DE4243888A1 (de) * 1992-12-23 1994-06-30 Gao Ges Automation Org Datenträger und Verfahren zur Echtheitsprüfung eines Datenträgers
US5644636A (en) * 1994-12-30 1997-07-01 Xtec, Incorporated Method and apparatus for securing data stored in semiconductor memory cells
DE19645084A1 (de) * 1996-11-01 1998-05-07 Austria Card Gmbh Identifikationskarte mit zusätzlichen Sicherheitsmerkmalen und Verfahren zu deren Herstellung
JP3980706B2 (ja) * 1997-05-23 2007-09-26 危機管理株式会社 Icカードおよびその認証装置
FR2764413B1 (fr) * 1997-06-10 1999-07-09 Sgs Thomson Microelectronics Procede d'authentification de circuit integre
TW381057B (en) * 1997-08-07 2000-02-01 Hitachi Ltd Semiconductor device
DE19734507C2 (de) 1997-08-08 2000-04-27 Siemens Ag Verfahren zur Echtheitsprüfung eines Datenträgers
DE19737693A1 (de) * 1997-08-29 1999-03-04 Philips Patentverwaltung Verfahren zur Überprüfung der Unverfälschtheit einer elektrischen Schaltung
EP0924600B1 (de) * 1997-12-15 2003-03-26 Koninklijke Philips Electronics N.V. Elektronische Vorrichtung mit einem Speicherschutzgerät und Verfahren zum Datenschuts in einem Speicher
DE19843424A1 (de) * 1998-09-22 2000-03-23 Fraunhofer Ges Forschung Vorrichtung zum Liefern von Ausgangsdaten als Reaktion auf Eingangsdaten und Verfahren zum Überprüfen der Authentizität und Verfahren zum verschlüsselten Übertragen von Informationen
US6161213A (en) * 1999-02-17 2000-12-12 Icid, Llc System for providing an integrated circuit with a unique identification
DE19913326A1 (de) * 1999-03-24 2000-10-05 Giesecke & Devrient Gmbh Vorrichtung zur Prüfung der Echtheit eines tragbaren Datenträgers
TW518497B (en) * 1999-03-30 2003-01-21 Sony Corp Information processing system
US6697947B1 (en) * 1999-06-17 2004-02-24 International Business Machines Corporation Biometric based multi-party authentication
DE50014713D1 (de) 2000-01-11 2007-11-22 Infineon Technologies Ag Halbleiterchip mit eindeutiger identität und verfahren zur festlegung der eindeutigen identität eines halbleiterchips
US20020049910A1 (en) * 2000-07-25 2002-04-25 Salomon Allen Michael Unified trust model providing secure identification, authentication and validation of physical products and entities, and processing, storage and exchange of information
AU2001277170A1 (en) * 2000-07-25 2002-02-05 Authentisure, Inc. Unified trust model providing secure identification, authentication and validation of physical products and entities, and processing, storage, and exchange of information
DE10041669A1 (de) * 2000-08-10 2002-02-21 Deutsche Telekom Ag Verfahren und Vorrichtung zum Prüfen der Echtheit einer Chipkarte
FR2823398B1 (fr) * 2001-04-04 2003-08-15 St Microelectronics Sa Extraction d'une donnee privee pour authentification d'un circuit integre
FR2823401A1 (fr) * 2001-04-04 2002-10-11 St Microelectronics Sa Regeneration d'une quantite secrete a partir d'un identifiant d'un circuit integre
FR2823397A1 (fr) * 2001-04-04 2002-10-11 St Microelectronics Sa Diversification d'un identifiant unique d'un circuit integre
FR2825873A1 (fr) * 2001-06-11 2002-12-13 St Microelectronics Sa Stockage protege d'une donnee dans un circuit integre
US6662091B2 (en) 2001-06-29 2003-12-09 Battelle Memorial Institute Diagnostics/prognostics using wireless links
CA2452376A1 (en) 2001-07-02 2003-01-16 Battelle Memorial Institute Intelligent microsensor module
US8281129B1 (en) 2001-08-29 2012-10-02 Nader Asghari-Kamrani Direct authentication system and method via trusted authenticators
US7444676B1 (en) * 2001-08-29 2008-10-28 Nader Asghari-Kamrani Direct authentication and authorization system and method for trusted network of financial institutions
FR2829645A1 (fr) * 2001-09-10 2003-03-14 St Microelectronics Sa Protocole d'authentification a verification d'integrite de memoire
EP1391853A1 (de) * 2001-11-30 2004-02-25 STMicroelectronics S.A. Diversifikation der Kennzahl einer integrierten Schaltung
FR2833119A1 (fr) * 2001-11-30 2003-06-06 St Microelectronics Sa Generation de quantites secretes d'identification d'un circuit integre
EP1359550A1 (de) * 2001-11-30 2003-11-05 STMicroelectronics S.A. Wiederherstellung einer Geheimzahl mittels der Kennzahl einer integrierten Schaltung
DE10201645B4 (de) * 2002-01-17 2007-04-26 Infineon Technologies Ag Verfahren zur Codierung und Authentifizierung von Halbleiterschaltungen
FR2835947A1 (fr) * 2002-02-11 2003-08-15 St Microelectronics Sa Extraction d'un code binaire a partir de parametres physiques d'un circuit integre
FR2838206A1 (fr) * 2002-04-08 2003-10-10 Canal Plus Technologies Procede et dispositif de protection de donnees numeriques stockees dans une memoire
US7840803B2 (en) * 2002-04-16 2010-11-23 Massachusetts Institute Of Technology Authentication of integrated circuits
US6802447B2 (en) * 2002-08-26 2004-10-12 Icid, Llc Method of authenticating an object or entity using a random binary ID code subject to bit drift
DE10248954A1 (de) * 2002-10-21 2004-04-29 Giesecke & Devrient Gmbh Sicherheitselement für Ausweis- und Wertdokumente
US6889305B2 (en) 2003-02-14 2005-05-03 Hewlett-Packard Development Company, L.P. Device identification using a memory profile
DE102004047614A1 (de) * 2004-09-30 2006-04-20 Giesecke & Devrient Gmbh Tragbarer Datenträger mit einem integrierten Schaltkreis und Endgerät für einen Datenträger
EP1842203A4 (de) 2004-11-12 2011-03-23 Verayo Inc Flüchtige schlüssel für bauelemente und deren verwendung
DE102005024379A1 (de) * 2005-05-27 2006-11-30 Universität Mannheim Verfahren zur Erzeugung und/oder Einprägung eines wiedergewinnbaren kryptographischen Schlüssels bei der Herstellung einer topographischen Struktur
EP1905188B1 (de) * 2005-07-07 2018-05-30 Intrinsic ID B.V. Verfahren, vorrichtung und system zur überprüfung der authentizität eines objekts
DE602007013697D1 (de) 2006-01-24 2011-05-19 Verayo Inc
EP2011123B1 (de) * 2006-04-13 2015-03-04 Nxp B.V. Verfahren zur erzeugung eines halbleiterbauelementidentifikators und halbleiterbauelement
US7787034B2 (en) * 2006-04-27 2010-08-31 Avago Technologies General Ip (Singapore) Pte. Ltd. Identification of integrated circuits using pixel or memory cell characteristics
EP1928056A1 (de) * 2006-11-28 2008-06-04 Saab AB Verfahren zum Entwerfen von Array-Antennen
US8041030B2 (en) * 2007-01-09 2011-10-18 Mastercard International Incorporated Techniques for evaluating live payment terminals in a payment system
EP2168072B1 (de) * 2007-06-14 2010-12-22 Intrinsic ID B.V. Vorrichtung und verfahren zur bereitstellung von authentifizierungsdaten
US8143705B2 (en) 2007-08-02 2012-03-27 Nxp B.V. Tamper-resistant semiconductor device and methods of manufacturing thereof
CN101542496B (zh) * 2007-09-19 2012-09-05 美国威诚股份有限公司 利用物理不可克隆功能的身份验证
US7893699B2 (en) * 2007-12-03 2011-02-22 Infineon Technologies Ag Method for identifying electronic circuits and identification device
EP2286412A1 (de) * 2007-12-21 2011-02-23 Rambus Inc. Flash-speicher-timing-vorcharakterisierung zur verwendung beim ormal-betrieb
TWI498827B (zh) * 2008-11-21 2015-09-01 Verayo Inc 非連網射頻辨識裝置物理不可複製功能之鑑認技術
EP2399290B1 (de) * 2008-12-29 2017-04-12 Nxp B.V. Halbleitervorrichtung mit einer physikalischen struktur zur verwendung in einer nicht klonbaren physikalischen funktion
US8811615B2 (en) * 2009-08-05 2014-08-19 Verayo, Inc. Index-based coding with a pseudo-random source
US8468186B2 (en) * 2009-08-05 2013-06-18 Verayo, Inc. Combination of values from a pseudo-random source
WO2011048126A1 (en) 2009-10-21 2011-04-28 Intrinsic Id B.V. Distribution system and method for distributing digital information
EP2526505B1 (de) 2010-01-20 2015-06-17 Intrinsic ID B.V. Vorrichtung und verfahren zum erhalt eines kryptographischen schlüssels
US8457919B2 (en) * 2010-03-31 2013-06-04 Inside Secure Process for testing the resistance of an integrated circuit to a side channel analysis
DE102010010950A1 (de) * 2010-03-10 2011-09-15 Giesecke & Devrient Gmbh Verfahren zum Authentisieren eines portablen Datenträgers
DE102010020460B4 (de) 2010-05-11 2023-12-21 Bundesdruckerei Gmbh Sicherheits- oder Wertdokument, Verfahren zu dessen Herstellung und zu dessen Verifikation
DE102010035098A1 (de) * 2010-08-23 2012-02-23 Giesecke & Devrient Gmbh Verfahren zum Authentisieren eines portablen Datenträgers
DE102010055699A1 (de) * 2010-12-22 2012-06-28 Giesecke & Devrient Gmbh Kryptographisches Verfahren
FR2988197B1 (fr) * 2012-03-19 2015-01-02 Morpho Procede de generation et de verification d'identite portant l'unicite d'un couple porteur-objet
DE102012019513A1 (de) * 2012-10-05 2014-04-10 Giesecke & Devrient Gmbh Verfahren zur Erkennung eines kopierten Speicherabbilds
JP6037450B2 (ja) * 2013-05-20 2016-12-07 日本電気株式会社 端末認証システムおよび端末認証方法
US9900769B2 (en) 2015-05-29 2018-02-20 Nagravision S.A. Methods and systems for establishing an encrypted-audio session
US10122767B2 (en) * 2015-05-29 2018-11-06 Nagravision S.A. Systems and methods for conducting secure VOIP multi-party calls
US9891882B2 (en) 2015-06-01 2018-02-13 Nagravision S.A. Methods and systems for conveying encrypted data to a communication device
US10356059B2 (en) 2015-06-04 2019-07-16 Nagravision S.A. Methods and systems for communication-session arrangement on behalf of cryptographic endpoints

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3347483A1 (de) * 1983-12-29 1985-07-11 GAO Gesellschaft für Automation und Organisation mbH, 8000 München Vorrichtung zur sicherung geheimer informationen
US4529870A (en) * 1980-03-10 1985-07-16 David Chaum Cryptographic identification, financial transaction, and credential device
EP0186038A2 (de) * 1984-12-13 1986-07-02 Casio Computer Company Limited Identifiziervorrichtung
FR2606199A1 (fr) * 1986-11-04 1988-05-06 Eurotechnique Sa Circuit integre du type circuit logique comportant une memoire non volatile programmable electriquement

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2635795B2 (de) * 1975-09-09 1980-08-21 Dasy Inter S.A., Genf (Schweiz) Verfahren und Vorrichtung zur EchtheitskontroHe von Identifuierungskarten u.dgl. Dokumenten
AU7414281A (en) * 1980-06-23 1982-01-19 Light Signatures, Inc. Non-counterfeitable document system
SE425704B (sv) * 1981-03-18 1982-10-25 Loefberg Bo Databerare
EP0076255A1 (de) * 1981-04-07 1983-04-13 BENTON, William M. Transaktionsprüfgerät mit optischem datenübertragungsbindeglied
US4454577A (en) * 1981-06-18 1984-06-12 The Bendix Corporation Linked data systems
FR2523789B1 (fr) * 1982-03-19 1985-01-04 Thomson Csf Dispositif de generation de signaux de test d'equipements electroniques
DE3243758C2 (de) * 1982-11-26 1985-08-22 Brown, Boveri & Cie Ag, 6800 Mannheim Verfahren zum Erhöhen der Fälschungssicherheit einer Identitätskarte
JPH068077B2 (ja) * 1982-12-28 1994-02-02 大日本印刷株式会社 カ−ド及びカ−ドの真偽判定方法
US4630224A (en) * 1984-04-19 1986-12-16 The United States Of America As Represented By The Secretary Of The Navy Automation initialization of reconfigurable on-line automatic test system
JPS6293753A (ja) * 1985-10-18 1987-04-30 Omron Tateisi Electronics Co カ−ド及びカ−ド真偽判別装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4529870A (en) * 1980-03-10 1985-07-16 David Chaum Cryptographic identification, financial transaction, and credential device
DE3347483A1 (de) * 1983-12-29 1985-07-11 GAO Gesellschaft für Automation und Organisation mbH, 8000 München Vorrichtung zur sicherung geheimer informationen
EP0186038A2 (de) * 1984-12-13 1986-07-02 Casio Computer Company Limited Identifiziervorrichtung
FR2606199A1 (fr) * 1986-11-04 1988-05-06 Eurotechnique Sa Circuit integre du type circuit logique comportant une memoire non volatile programmable electriquement

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9787670B2 (en) 2011-08-16 2017-10-10 Ictk Co., Ltd Apparatus and method for authentication between devices based on PUF over machine-to-machine communications

Also Published As

Publication number Publication date
EP0313967B1 (de) 1993-03-24
DE3736882A1 (de) 1989-07-13
ES2039551T3 (es) 1993-10-01
US5818738A (en) 1998-10-06
HK60395A (en) 1995-04-28
EP0313967A1 (de) 1989-05-03
JP2925152B2 (ja) 1999-07-28
DE3736882C2 (de) 1997-04-30
DE3879616D1 (de) 1993-04-29
ATE87383T1 (de) 1993-04-15
JPH02501961A (ja) 1990-06-28

Similar Documents

Publication Publication Date Title
WO1989004022A1 (en) Process for verifying the authenticity of a data medium with integrated circuit
DE69531556T2 (de) Verfahren und einrichtung zur sicherung von in halbleiterspeicherzellen gespeicherten daten
DE3700663C2 (de)
DE3818960C2 (de)
EP0676073B2 (de) System zur echtheitsprüfung eines datenträgers
DE2760486C2 (de)
DE3041109C2 (de)
DE2837201C2 (de)
EP1099197B1 (de) Vorrichtung zum liefern von ausgangsdaten als reaktion auf eingangsdaten und verfahren zum überprüfen der authentizität und verfahren zum verschlüsselten übertragen von informationen
DE3729345A1 (de) Sicherheitsgehaeuse mit elektronischer anzeige fuer ein wertdrucksystem
EP1278164B1 (de) Anordnung und Verfahren zum Andern der Funktionalität eines Sicherheitsmoduls
DE2738113A1 (de) Vorrichtung zur durchfuehrung von bearbeitungsvorgaengen mit einem in eine aufnahmeeinrichtung der vorrichtung eingebbaren identifikanden
DE3318101A1 (de) Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit
EP0712520B1 (de) Verfahren zur echtheitsprüfung eines datenträgers
DE102004014644A1 (de) Integrierter Schaltkreis
DE102015225275A1 (de) ID-Token mit geschütztem Mikrocontroller
DE3636703A1 (de) Tragbare elektronische vorrichtung
DE19932149A1 (de) System zur Ausführung von Transaktionen
DE60223703T2 (de) Authentisierungsprotokoll mit speicherintegritaetsverifikation
DE2858819C2 (de) Tragbarer Informationsträger für die Speicherung und Verarbeitung von Informationen
DE19859579A1 (de) Chipkarte als vorzugsweise gesicherter Quittungsbeleg
DE19719275A1 (de) System mit einem tragbaren Terminal und damit verbindbaren Datenträgern
EP0353530B1 (de) Verfahren zum Unterscheidbarmachen von elektronischen Schaltungen mit nichtflüchtigem Speicher
DE4439266A1 (de) Datenübertragungssystem mit einem Terminal und einer tragbaren Datenträgeranordnung und Verfahren zum Wiederaufladen der tragbaren Datenträgeranordnung mittels des Terminals
EP1816615B1 (de) Schaltungsanordnung für eine Speicherkarte mit Debit- oder Ausweiskartenfunktion

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US