PatentDe  


Dokumentenidentifikation DE102005053848A1 10.05.2007
Titel Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen
Anmelder Dahm, Percy, Dr., 44577 Castrop-Rauxel, DE
Erfinder Dahm, Percy, Dr., 44577 Castrop-Rauxel, DE
Vertreter Stute, I., Dipl.-Ing., Pat.-Anw., 40547 Düsseldorf
DE-Anmeldedatum 09.11.2005
DE-Aktenzeichen 102005053848
Offenlegungstag 10.05.2007
Veröffentlichungstag im Patentblatt 10.05.2007
IPC-Hauptklasse H04N 1/44(2006.01)A, F, I, 20051109, B, H, DE
IPC-Nebenklasse H04L 9/32(2006.01)A, L, I, 20051109, B, H, DE   H04L 12/16(2006.01)A, L, I, 20051109, B, H, DE   
Zusammenfassung Das vorgestellte Verfahren verwendet zur Übermittlung authentischer Transaktionsdaten ein individuelles digitales Bild, das im Vorfeld zwischen Benutzer und zentralem Dienst als vertrauenswündiger Informationsträger vereinbart wird. Das Prinzip des Verfahrens basiert auf dem Umstand, dass einem digitalen Bild zusätzliche Informationen sichtbar überlagert werden können, ohne die Möglichkeit der Wiedererkennung des Original-Bilds durch einen menschlichen Betrachter einzuschränken. Das resultierende Bild ist in Bezug auf das Original-Bild jedoch so stark verfremdet, dass ein ähnliches Bild mit anderen zusätzlichen Informationen ohne den Besitz der Original-Bilddaten nicht erzeugt werden kann.
Das Verfahren kann zur sicheren Authentifizierung von online-Transaktionen und zur erfolgreichen Abwehr von "Man in the Middle"-Angriffen eingesetzt werden. In einer besonderen Ausprägung des Verfahrens kann auf den heute üblichen Einsatz von TAN-Listen verzichtet werden.

Beschreibung[de]

Die Erfindung betrifft ein Verfahren zur sicheren Übermittlung von Transaktionsdaten zwischen einem Benutzer und einem zentralen Dienst über ein offenes Netzwerk, insbesondere über das Internet.

Einer starken, also sicheren Authentifizierung von Online-Transaktionen im Internet, bspw. im Bereich des „Electronic Banking", stehen im Wesentlichen zwei Aspekte entgegen: zum einen kann nicht davon ausgegangen werden, dass die IT-Sicherheitsumgebung auf der Benutzerseite vertrauenswürdig ist, zum anderen werden existierende IT-Sicherheitsmaßnahmen durch unvorsichtiges Benutzerverhalten häufig entkräftet.

Eine Verstärkung der IT-Sicherheitsumgebung auf der Benutzerseite – bspw. durch die Anwendung Hardware-basierter digitaler Signaturen und/oder Verschlüsselung (s.a. HBCI) – ist in der Regel mit einem substanziellen Kostenaufwand verbunden. Neben Hard- und Softwarekosten muss der Benutzer bei Installation und Anwendung dieser zusätzlichen Komponenten in der Regel erheblich unterstützt werden. Abgesehen davon ist letztendlich auch bei solchen Maßnahmen eine vertrauenswürdige IT-Sicherheitsumgebung auf der Benutzerseite vorauszusetzen, um Angriffen mit einem hohen Angriffspotenzial widerstehen zu können.

Um dem vorgenannten Aspekten gerecht zu werden, werden in heute üblichen Verfahren zur Authentifizierung von Benutzern und Online-Transaktionen Wissensdaten eingesetzt, die nur dem Benutzer und dem zentralen Dienst, mit dem der Benutzer kommuniziert, bekannt sein dürfen. Übliche Wissensdaten sind die Benutzer-ID, ein zugehöriges Benutzer-Passwort und Einmal-Passwörter zur Absicherung einzelner Online-Transaktionen (TAN-Verfahren). Diese Wissensdaten werden dem Benutzer durch den zentralen Dienst in der Regel auf einem als vertrauenswürdigen angenommenen Weg übermittelt, z.B. per Post oder per SMS.

Übliche Angriffe zielen darauf die vorgenannten Wissensdaten zu stehlen, um hiermit an weitere private Daten des Benutzers zu gelangen, oder in seinem Namen – aber entgegen seinem Willen – Online-Transaktionen auszuführen. Angriffe dieser Art setzen häufig auf die Naivität des Benutzers. Hierbei wird der Benutzer beispielsweise per E-Mail mit einem fingierten Grund aufgefordert, auf einer gefälschten Webseite seine Wissensdaten einzugeben („Phishing"). Komplexere Angriffe zielen durch eine Manipulation der IT-Umgebung des Benutzers darauf, den Aufruf der Webseite des zentralen Dienstes auf eine gefälschte Webseite umzulenken („Pharming"). Hierbei kann dem Benutzer hier auch die tatsächliche Webseite des Dienstes präsentiert werden (Proxy), wobei der Angreifer die zwischen dem Benutzer und dem zentralen Dienst ausgetauschten Wissensdaten „belauscht" und sie gegebenenfalls in seinem Sinne verändert. Ein solcher „Man in the Middle"-Angriff ist auch möglich, wenn die IT-Sicherheitsumgebung des Benutzers direkt manipuliert wird („Trojaner", etc.).

Auf „Phishing"-Angriffe haben diverse Banken mit der Einführung des sog. „iTAN"-Verfahrens reagiert. Bei indizierten TANs (iTANs) fragt die Bank statt nach einer beliebigen TAN auf der TAN-Liste des Benutzers nach einer bestimmten TAN. Für den Benutzer oder einen Angreifer ist nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden, so dass eine „abgefangene" iTAN nicht für eine andere als die originäre Transaktion verwendet werden kann.

Leider bietet auch das „iTAN"-Verfahren" bei „Pharming-„, bzw. „Man in the Middle"-Angriffen keinen hinreichenden Schutz. Ein Angreifer kann die Transaktionsdaten eines Benutzers abfangen und anstelle dieser seine eigenen Transaktionsdaten an die Bank senden. Die anschließende Aufforderung der Bank zur Eingabe einer bestimmten iTAN wird durch den Angreifer an den Benutzer durchgereicht. Dieser gibt die entsprechende iTAN ein, wobei er glaubt seine eigenen Transaktionsdaten zu bestätigen. Tatsächlich werden jedoch die Transaktionsdaten des Angereifers erfolgreich bestätigt.

Eine Übersicht der heute üblichen Verfahren zur Authentifizierung von Online-Transaktionen – insbesondere im Bereich des „Electronic Banking" wurde in der Einleitung gegeben.

Die Vereinbarung eines Benutzer-individuellen Bildes zwischen zentralem Dienst und Benutzer ist aus dem Stand der Technik bekannt. Verfahren dieser Art dienen jedoch dazu, den zentralen Dienst gegenüber dem Benutzer durch Anzeige des Benutzer-individuellen Bildes zu authentifizieren, wodurch einfachen „Phishing"-Angriffen entgegengewirkt werden kann. Im Gegensatz zum hier vorgestellten Verfahren werden weder „Man in the Middle"-Angriffe abgewehrt, noch dient das vereinbarte Bild zur Übermittlung der eigentlichen Transaktionsdaten. Ebenso muss das Original-Bild übermittelt werden, während die Original-Bilddaten in dem hier vorgestellten Verfahren außerhalb des Registrierungsprozesses niemals vollständig übermittelt werden dürfen.

Die Einbringung zusätzlicher sichtbarer oder unsichtbarer Informationen in Bilddaten ist aus dem Bereich von Wasserzeichentechnologien (Steganographie) bekannt. Hier existieren zahlreiche Verfahren, die entweder der Übermittelung einer geheimen Botschaft oder der Authentifizierung von Bildern dienen. Verfahren zum Einbringen von Wasserzeichen in Bilder oder Bilddaten werden insbesondere im Zusammenhang mit dem Urheberrechtsschutz („Digital Rights Management") eingesetzt. Die Einbringung sichtbarer Wasserzeichen dient in der Regel dazu, eine nicht-lizensierte Weiterverwendung von Bilddaten zu verhindern. So werden bei Bilddatenbanken in der Regel Bilder dargestellt, die ein deutlich sichtbares Wasserzeichen des Bilddatenbankbetreibers beinhalten. Die entsprechenden Bilder ohne Wasserzeichen müssen käuflich erworben werden.

Bildbasierte Authentifizierung von Online-Transaktionen

Die Aufgabe der vorliegenden Erfindung besteht darin, ein Verfahren zu schaffen, dass die eingangs beschriebenen Angriffe zur Auslösung von gefälschten Online-Transaktionen erschwert oder unmöglich macht.

Diese Aufgabe wird gelöst mit einem Verfahren mit den Merkmalen des Anspruchs 1. Besondere Ausführungsformen der Erfindung ergeben sich aus den Merkmalen der Unteransprüche.

Durch die Verwendung eines Bildes, über dessen vollständige Originaldaten nur der Benutzer und der zentralen Dienst verfügen, wird ein vertrauenswürdiger Informationsträger geschaffen. Das zu verwendende Bild wird während des Registrierungsprozesses festgelegt. Hier können durch den zentralen Dienst geeignete Bilder zur Auswahl angeboten werden. Alternativ übermittelt der Benutzer ein eigenes digitales Bild, dessen Eignung in Bezug auf hinreichende Größe und Varianz der Bilddaten automatisiert durch den zentralen Dienst geprüft werden kann. Ebenfalls kann eine Vorverarbeitung stattfinden, um verfahrensbezogen beispielsweise einheitliche Bildgrößen zu verwenden.

Das Prinzip des Verfahrens basiert auf dem Umstand, dass einem digitalen Bild zusätzliche Informationen sichtbar überlagert werden können, ohne die Möglichkeit der Wiedererkennung des Original-Bilds durch einen menschlichen Betrachter einzuschränken. Das resultierende Bild ist in Bezug auf das Original-Bild jedoch so stark verfremdet, dass ein ähnliches Bild mit anderen zusätzlichen Informationen ohne den Besitz der Original-Bilddaten nicht erzeugt werden kann. Eine Veränderung der zusätzlichen Informationen durch einen Angreifer – insbesondere im Sinne des oben beschriebenen „Man in the Middle"-Angriffs ist somit nicht möglich. Dies gilt insbesondere dann, wenn sich die bildlichen Darstellungen der (gemäß 3., s.o.) hinzugefügten Informationen überlappen. Als zusätzliche Information kann beispielsweise die Referenz auf eine bestimmte TAN (iTAN) oder – wie weiter unten dargestellt – die TAN selbst dienen.

Nicht-autorisierte Veränderungen des resultierenden Bilds wären durch den Benutzer sofort erkennbar. Gleichermaßen erkennt der Benutzer auch das durch den zentralen Dienst auf Basis der Original-Bilddaten modifizierte Bild unmittelbar als korrekt, d.h. als authentisch an.

Hat der Benutzer die vom zentralen Dienst übermittelten Transaktionsdaten als authentisch erkannt und sendet er seine TAN an den zentralen Dienst, kann der zentrale Dienst nach Überprüfung der TAN, wenn er diese als richtig erkannt hat, die Transaktion/den Auftrag ausführen.

In einer bevorzugten Ausführungsform können zwischen Benutzer und zentralem Dienst mehrere Bilder vereinbart werden. In diesem Fall kann der zentrale Dienst ein Bild aus einer Menge von Bildern für das Übersenden von Transaktionsdaten wählen, wobei er bei aufeinander folgenden Transaktionen eine bestimmte Reihenfolge von Bildern, die gegebenenfalls mit dem Benutzer vorher vereinbart wurde, einhalten kann, oder für jede Transaktion zufällig ein Bild zum Übermitteln der Transaktionsdaten zum Benutzer auswählt.

Des weiteren kann es von Vorteil sein, wenn die Transaktionsdaten in Lettern in das Bild eingebracht werden, die für ein optisches Schrifterkennungsprogramm schwer oder gar nicht entzifferbar sind.

In einer anderen besonderen Ausprägung des Verfahrens kann die transaktionsbezogene TAN direkt und unmittelbar lesbar gemeinsam mit den zugehörigen Transaktionsdaten als Teil des Bildes übermittelt werden. Eine separate, vorherige Übermittlung von TAN-Listen an den Benutzer per Post oder SMS würde hierdurch entfallen. Hierdurch entfällt ebenfalls der administrative Aufwand zur Verwaltung von TANs. Ein Missbrauch der übermittelten TAN wird erheblich erschwert, da sie sich die TAN ausschließlich auf die gemeinsam mit ihr übermittelten Transaktionsdaten bezieht, und eine automatisierte Extrahierung der TAN durch heutige Zeichenerkennungsverfahren aufgrund der Komplexität der im Rahmen des hier vorgestellten Verfahrens verwendeten Bildverarbeitungsoperationen nicht möglich ist. Dies gilt insbesondere dann, wenn zuvor eine starke Benutzer-Authentifizierung erfolgt ist, und der Zeitraum zur Ausführung einer Transaktion nach Übermittlung des Bildes an den Benutzer begrenzt wird.

Als Mittel für eine starke Benutzer-Authentifizierung könnte bspw. ein SSL-Client-Zertifikat oder ein Verfahren verwendet werden, bei dem der Benutzer zur zeitlich begrenzten Freischaltung des Zugangs zum zentralen Dienst oder zur finalen Freigabe aller in Auftrag gegebenen Transaktionen zusätzlich weitere Wissensdaten z.B. per SMS an den Dienst sendet.

Weiterhin sind auch Authentizität und Integrität der Inhalte der übermittelten Daten geschützt, was bei heute üblichen Verfahren nur durch die Verwendung digitaler Signaturen, d.h. spezieller Hard- und Software (HBCI) erreicht werden kann.

Die nachfolgende (Transaktionsbild) stellt die Modifikation eines Originalbilds als zu verwendender Informationsträger exemplarisch dar. Um einen „Man in the Middle"-Angriff durchzuführen, müsste ein Angreifer – wie oben bereits dargestellt die Transaktionsdaten des Benutzers abfangen, und anstelle dieser eigene Transaktionsdaten an den zentralen Dienst senden. Der zentrale Dienst würde anschließend ein Bild mit den Transaktionsdaten des Angreifers zurücksenden. Der Benutzer würde nur seine eigenen Transaktionsdaten als korrekt erkennen. Daher müsste der Angreifer das von der Bank mit seinen eigenen Daten übermittelte Bild dahingehend modifizieren, dass anstelle seiner Daten die Transaktionsdaten des Benutzers auf dem Bild dargestellt würden. Hierzu müsste der Angreifer zunächst seine Transaktionsdaten aus dem Bild entfernen, um anschließend die Transaktionsdaten des Benutzers einzubringen. Da die Darstellungen der jeweiligen Transaktionsdaten unterschiedliche Bereiche des Originalbild überdecken, müssten Teile des Originalbildes wiederhergestellt werden. Abgesehen von dem erheblichen Aufwand, der mit diesem nichtautomatisierbaren Vorgang verbunden wäre, würden solche Bildmanipulationen für den Benutzer unmittelbar erkennbar sein.

In wird der Prozessablauf bei einer möglichen Gestaltung des erfindungsgemäßen Verfahrens dargestellt. Der Prozess enthält die folgenden Schritte.

  • 1. Zunächst werden zwischen dem zentralen Dienst und dem Benutzer die originären Bilddaten bzw. Bilder vereinbart, die als Informationsträger vom zentralen Dienst für die Bestätigung der Transaktionsdaten verwendet werden. Dies kann einmalig geschehen, beispielsweise zu einem Zeitpunkt, zu dem zwischen einem Kontoinhaber und einer Bank vereinbart wird, dass zu einem Konto online über das Internet Transaktionen beauftragt werden können. Es kann ein Bild, es können aber auch mehrere Bilder als Informationsträger vereinbart werden. Auch ist es möglich zu vereinbaren, dass das als Informationsträger zu verwendende Bild aus mehreren, beispielsweise vier Einzelbildern aus der Menge der vereinbarten Bilder zufällig zusammengesetzt ist.

Danach erfolgt die Authentifizierung von Transaktionsdaten mit den folgenden Schritten:

  • 2. Der zentrale Dienst sendet zwecks Benutzer-Authentifizierung ein Login- Formular.
  • 3. Der Benutzer sendet seine Authentifizierungsdaten an den zentralen Dienst.
  • 4. Der zentrale Dienst sendet ein Formular zur Eingabe der Transaktionsdaten.
  • 5. Der Benutzer sendet die gewünschten Transaktionsdaten an den Dienst.
  • 6. Der zentrale Dienst fügt gemäß dem hier beschriebenen Verfahren die Trans aktionsdaten in das unter 1. vereinbarte Bild ein und sendet dieses an den Benutzer.
  • 7. Der Benutzer sendet zur Bestätigung eine Transaktionsnummer an den zent ralen Dienst.
  • 8. Der zentrale Dienst prüft die TAN, führt die Transaktion aus und sendet eine Bestätigung an den Benutzer.


Anspruch[de]
Verfahren zur sicheren Übermittlung von Transaktionsdaten zwischen einem Benutzer und einem zentralen Dienst über ein offenes Netzwerk, insbesondere über das Internet, bei dem

a) während eines Registrierungsprozesses zwischen dem Benutzer und dem zentralem Dienst ein digitales Bild, z.B. ein persönliches digitales Photo des Benutzers, als zu verwendender Informationsträger vereinbart wird,

b) der Benutzer nach erfolgreicher Benutzer-Authentifizierung gegenüber dem zentralen Dienst die von ihm gewünschten Transaktionsdaten an den zentralen Dienst sendet,

c) das Bild modifiziert wird, indem die Transaktionsdaten und weitere Informationen für den Benutzer sichtbar in das Bild eingebracht werden, wobei die Wiedererkennung des ursprünglich vereinbarten Bildes durch den Benutzer weiterhin möglich bleibt, die Originaldaten des Bildes jedoch hinreichend verändert werden,

d) das modifizierte Bild an den Benutzer zurückgesendet wird,

e) der Benutzer nach Prüfung der im Bild enthaltenen Transaktionsdaten eine TAN an den zentralen Dienst sendet, und

f) der zentrale Dienst die vom Benutzer übersandte TAN überprüft.
Verfahren nach Anspruch 1, bei dem weitere digitale Bilder als zu verwendende Informationsträger vereinbart werden, wobei für jede Transaktion jeweils mindestens eines der digitalen Bilder verwendet und modifiziert wird. Verfahren nach Anspruch 2, bei dem das bzw. die für eine Transaktion verwendeten Bilder) zufällig aus der Menge der vereinbarten Bilder ausgewählt wird. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die Transaktionsdaten in das zu modifizierende Bild in Lettern eingebracht werden, die für Programme zur optischen Schrifterkennung schwer oder gar nicht entzifferbar sind. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die durch den Benutzer zu verwendende TAN ebenfalls im Bild dargestellt wird. Verfahren nach einem der Ansprüche 1 bis 4, bei dem eine starke Benutzer-Authentifizierung erfolgt, indem der Benutzer zur zeitlich begrenzten Freischaltung des Zugangs zum zentralen Dienst oder zur finalen Freigabe aller in Auftrag gegebenen Transaktionen zusätzlich weitere Wissensdaten z.B. per SMS an den Dienst sendet.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com