Procedimiento y dispositivo de firma electrónica móvil segura.

Procedimiento para la firma electrónica segura de información sobre un pago o una transacción bancaria en línea,

que se origina desde un servidor, con un dispositivo de firma personal móvil (15), en el que el procedimiento comprende:

- como mínimo, una pantalla (7) para la visualización de informaciones,

- una tarjeta inteligente integrada (9) o un medio de conexión para una tarjeta inteligente, que está diseñado de manera tal que la tarjeta inteligente está integrada permanentemente, de manera que el dispositivo móvil personal, la tarjeta inteligente y la pantalla forman una unidad pequeña y compacta, portátil modular, que tiene bajo su control el usuario;

- una unidad de introducción de datos (5) para interacción;

- una interfaz (13), que permite una conexión desacoplable en diferentes lugares, que se puede utilizar para la firma de información en diferentes lugares, sobre la cual se reciben las informaciones a firmar, y sobre la cual se devuelven las informaciones firmadas,

- con un controlador, configurado y adaptado para visualizar solamente información en las pantallas, que ha sido decodificada por la tarjeta inteligente y, por lo tanto, está destinada a un ID específico de usuario, que está determinado por la tarjeta inteligente, refiriéndose una acción de firma a la información visualizada, solicitando obligatoriamente una introducción por la unidad de introducción;

- un suministro de corriente que tiene lugar a través de la interfaz o a través de una batería integrada, que comprende las etapas de

- conexión del dispositivo de firma personal móvil a través de la interfaz con un PC o un terminal de pago que, a su vez, están conectados con un servidor, de manera que el dispositivo personal móvil puede comprender información del servidor;

- recepción de las informaciones a firmar del pago o de la transacción bancaria en línea en el PC o el terminal de pago;

- transmisión de las informaciones al servidor, que pueden ser descodificadas por la tarjeta inteligente con el ID específico del usuario;

- envío de las informaciones codificadas a través del servidor al dispositivo de firma personal móvil;

- recepción de las informaciones codificadas a través del PC o del terminal de pago, cuando la información está codificada correctamente;

- visualizar las informaciones sobre la pantalla y esperar la autorización del usuario;

- después de una introducción por parte del usuario en la unidad de introducción de datos, firmar las informaciones para su liberación a través del dispositivo personal móvil de firma y enviar la información al servidor que ejecuta la transacción si la firma es correcta.

Procedimiento y dispositivo de firma electrónica móvil segura

La presente invención se refiere a un dispositivo personal móvil para firma electrónica segura, y al correspondiente procedimiento.

Sector de la invención

En las comunicaciones, y en especial en las comunicaciones de negocios, es frecuentemente imprescindible verificar la autenticidad de una información enviada y la identidad del ente de negocios asociado. Ello se puede conseguir con la ayuda de firmas electrónicas. El proceso de la firma electrónica comprende normalmente tres fases parciales: la transferencia de la información a firmar, preferentemente mediante una vía electrónica, la representación de la información a firmar y la generación de la firma electrónica propiamente dicha. En esta situación, se debe asegurar que la firma electrónica corresponde exactamente a la información o documento a firmar.

Por el carácter público de los canales preferentemente utilizados para el envío de informaciones, no se puede excluir que los datos enviados puedan ser vistos o incluso manipulados por terceros. De manera general, esto se soluciona mediante la codificación [1] de los datos sensibles en las redes públicas. Esto facilita, no obstante, solamente seguridad para la parte de la transferencia de la información.

Aparte de la transferencia de informaciones, existen, no obstante, otros puntos susceptibles de intrusión. Los sistemas que se utilizan para la visualización y recepción de informaciones, tales como, por ejemplo, sistemas de ordenadores o terminales, deben ser considerados de manera general como susceptible de manipulación. La existencia de lagunas de seguridad en sistemas operativos, virus, troyanos y ataques de "phishing" lo demuestran. Incluso cuando las informaciones transferidas en el envío de datos están protegidas por la codificación contra las manipulaciones, el usuario debe recibir la información en un momento determinado de forma no codificada para su elaboración o confirmación. Por lo tanto, se pueden dar posibilidades de manipulación del proceso en el caso de que el aparato de visualización o recepción de informaciones (por ejemplo, un ordenador) sea manipulado por terceros. En este caso, a pesar de la codificación de las informaciones transferidas, puede ocurrir que la información mostrada por un sistema manipulado no sea idéntica a la información realmente firmada. Esto puede tener lugar, por ejemplo, por los llamados programas troyanos, que generan en el usuario la impresión de que han comunicado con un ente de negocios asociado (por ejemplo, el banco), pero que en realidad han comunicado con/a través de un programa troyano, por lo que el troyano puede conseguir informaciones correspondientes tales como contraseñas de acceso y números de identificación (TAN).

La presente invención se refiere a un dispositivo y un procedimiento para firma digital segura. Mediante una arquitectura de nuevo tipo, se garantiza que la información mostrada corresponde también realmente a la información firmada. De esta manera, se pueden dificultar sustancialmente los intentos de manipulación con respecto a lo que ocurre en el estado de la técnica.

Estado de la técnica

A pesar de que existen múltiples aplicaciones de la firma electrónica, el estado de la técnica se explicará en base al ejemplo del pago electrónico de mercancías o servicios. La presente invención cubre esta zona de utilización, pero no está limitada a la misma.

En el pago electrónico, el usuario se debe identificar con respecto a la institución de crédito o a un proveedor de servicio. Posteriormente, se muestra el importe a pagar y, opcionalmente, otras informaciones. El usuario utiliza el proceso con la introducción de su número PIN y eventualmente un número opcional de transacción (TAN). En las nuevas arquitecturas, el usuario tiene eventualmente una tarjeta inteligente electrónica que contiene un código electrónico, codifica los mensajes electrónicos, pudiendo efectuar su firma. Frecuentemente, dichos procedimientos se basan en una "Public-Key-Infrastructure (PKI)" [2],

A continuación, se describirá el objetivo conseguido por la presente invención, en el que se explicará una posible manipulación teórica según el estado de la técnica actual.

En dispositivos de lectura de tarjetas de chip existen en la actualidad 4 tipos de seguridad, tal como se especifican en Alemania por la Autoridad Central de Crédito ("Zentralen Kreditausschuss") (ZKA [3]) [4]:

Otras explicaciones con respecto a las clases de aparatos para dispositivos lectores de tarjetas de chip se encuentran también en las citas bibliográficas [5, 6]. En ellas, se puede leer que, en un teclado y pantalla de la clase de seguridad 3, como mínimo temporalmente, los terminales de las tarjetas de chip son controlados exclusivamente por el firmware y no existe ninguna posibilidad de interpretar las informaciones introducidas por el teclado mediante el sistema de computador que está conectado. El lector de tarjetas de chip no envía directamente a la tarjeta de chip petición alguna, sino que las comprueba en primer lugar. Exactamente, ahí se encuentra un punto débil: todos los dispositivos de lectura de tarjetas de chip que se basan en esta norma son controlables con un correspondiente código unitario para el firmware. Si este es conocido, todos los dispositivos de lectura de esta clase se deben considerar inseguros.

En la figura 1, se ha mostrado esquemáticamente un terminal de cliente de tarjeta inteligente de la clase de seguridad 3 para mostrar el estado de la técnica. El usuario 1 puede leer informaciones de la pantalla 7 y llevar a cabo introducciones de datos mediante la unidad de introducción de datos 5, que puede comprender un teclado y/o una pantalla táctil. La tarjeta inteligente 9 es controlada por el firmware 11. El firmware autoriza solamente los accesos a la tarjeta inteligente 9, que han sido comprobados con un código genérico para esta clase de terminal. La interfaz de comunicación 13 constituye una interfaz con el asociado de la comunicación (por ejemplo, el banco). La tarjeta inteligente 9 será introducida para diferentes procesos de firma en diferentes terminales 3.

Cuando un intruso consigue manipular el firmware 11 a través de la interfaz de comunicación 13 o del dispositivo mediante una modificación física, se pueden mostrar al usuario 1 contenidos distintos a los que él ha firmado realmente. Dado que además existen múltiples terminales constructivamente similares con idéntico firmware e idénticos algoritmos de preparación, en caso de que un intruso conozca el código para el firmware, todos los terminales de este tipo se deben considerar como comprometidos.

Muchos dispositivos de lectura de tarjetas inteligentes facilitan además la posibilidad de actualización del firmware o bien de la retrocarga de códigos para la comprobación de transacciones. Este mecanismo facilita por sí mismo de manera correspondiente la posibilidad de manipulación.

Además, en muchos casos, el dispositivo de lectura de tarjetas permanece en el lugar del pago y puede ser, por lo tanto, manipulado sin conocimiento del usuario. Incluso cuando el dispositivo de lectura de tarjetas permanece sellado en situación original, una posible manipulación podrá ser difícilmente advertida por parte del usuario.

Una manipulación del firmware y/o del hardware del dispositivo de lectura podría posibilitar, por lo tanto, que la información mostrada en la pantalla no sea la información firmada por el usuario.

En la literatura, se han dado a conocer muchos otros dispositivos para solucionar este problema que, no obstante, están afectados... [Seguir leyendo]

1. Procedimiento para la firma electrónica segura de información sobre un pago o una transacción bancaria en línea, que se origina desde un servidor, con un dispositivo de firma personal móvil (15), en el que el procedimiento comprende:

como mínimo, una pantalla (7) para la visualización de informaciones,

una tarjeta inteligente integrada (9) o un medio de conexión para una tarjeta inteligente, que está diseñado de manera tal que la tarjeta inteligente está integrada permanentemente, de manera que el dispositivo móvil personal, la tarjeta inteligente y la pantalla forman una unidad pequeña y compacta, portátil modular, que tiene bajo su control el usuario;

una unidad de introducción de datos (5) para interacción;

una interfaz (13), que permite una conexión desacoplable en diferentes lugares, que se puede utilizar para la firma de información en diferentes lugares, sobre la cual se reciben las informaciones a firmar, y sobre la cual se devuelven las informaciones firmadas,

con un controlador, configurado y adaptado para visualizar solamente información en las pantallas, que ha sido decodificada por la tarjeta inteligente y, por lo tanto, está destinada a un ID específico de usuario, que está determinado por la tarjeta inteligente, refiriéndose una acción de firma a la información visualizada, solicitando obligatoriamente una introducción por la unidad de introducción; un suministro de corriente que tiene lugar a través de la interfaz o a través de una batería integrada, que comprende las etapas de

conexión del dispositivo de firma personal móvil a través de la interfaz con un PC o un terminal de pago que, a su vez, están conectados con un servidor, de manera que el dispositivo personal móvil puede comprender información del servidor;

recepción de las informaciones a firmar del pago o de la transacción bancaria en línea en el PC o el terminal de pago;

transmisión de las informaciones al servidor, que pueden ser descodificadas por la tarjeta inteligente con el ID específico del usuario;

envío de las informaciones codificadas a través del servidor al dispositivo de firma personal móvil; recepción de las informaciones codificadas a través del PC o del terminal de pago, cuando la información está codificada correctamente;

visualizar las informaciones sobre la pantalla y esperar la autorización del usuario;

después de una introducción por parte del usuario en la unidad de introducción de datos, firmar las informaciones para su liberación a través del dispositivo personal móvil de firma y enviar la información al servidor que ejecuta la transacción si la firma es correcta.

2. Procedimiento, según la reivindicación anterior, en el que la interfaz está conectada a un medio de comunicación, que en el lugar de realización de la acción de firma permite una conexión directa o indirecta del dispositivo mencionado con un canal de comunicación tal como, por ejemplo, internet, una conexión telefónica, o una conexión de tipo celular, para obtener la información a firmar del servidor.

3. Procedimiento, según una o varias de las reivindicaciones anteriores, en el que la interfaz estándar puede estar configurada como una interfaz de PC cableado (USB, FireWire) o como una interfaz inalámbrica, tal como Bluetooth oWLAN.

4. Procedimiento, según una o varias de las reivindicaciones anteriores, en el que la unidad de introducción de datos actúa para la autorización de la firma de las informaciones visualizadas en la pantalla, consistiendo, preferentemente, en un pulsador, y que lleva a cabo una operación de firma con respecto a la información visualizada sobre la pantalla solamente con un accionamiento, y/o

en el que la unidad de introducción de datos está implementada para poner en marcha la operación de firma con ayuda de una pantalla táctil, y/o

en el que la unidad de introducción de datos está prevista para poner en marcha la operación de firma con un lector de huellas dactilares.

5. Procedimiento, según una o varias de las reivindicaciones anteriores, en el que el controlador está implementado de forma tal que la información mostrada en la pantalla no será firmada, y toda acción es anulada, cuando el dispositivo está separado de la interfaz, en particular del puerto USB,

y/o cuando se produce interrupción por fallo de suministro de corriente, en el que el suministro de corriente puede estar implementado por una conexión eléctrica directa o por acoplamiento inductivo, pudiendo ser utilizado también este último opcionalmente para la transmisión de datos.

6. Procedimiento, según una o varias de las reivindicaciones anteriores, que comprende una zona portadora de datos para un programa, iniciándose el programa cuando se establece conexión con la interfaz, de manera que tiene lugar una comunicación con un servidor a través de la interfaz mediante la red, y de manera que solamente se reciben datos tales del servidor que son decodificados por la tarjeta inteligente y, por lo tanto, están destinados a un ID de usuario específico, que está determinado por la tarjeta inteligente.

7. Procedimiento, según una o varias de las reivindicaciones anteriores, en el que la interfaz, y preferentemente el programa, están implementados de forma tal que permite una comunicación con o a través de un PC y/o un terminal de pago,

5 y/o de manera que el dispositivo de hardware para la introducción de un número PIN para la autorización del proceso de firma no necesita ser, en sí mismo, parte del aparato de firma móvil, sino que tiene lugar en un aparato conectado o que se encuentre en comunicación, pero la autorización deberá tener lugar en el propio aparato.