Bei Public Key Systemen werden die Identitätsmerkmale üblicherweise in Form von Zertifikaten mit dem öffentlichen Schlüssel zusammen versiegelt. Das Gegenstück, der geheime kryptografische Schlüssel befindet sich in sicherer Verwahrung durch die Karte.
Das Betriebssystem der Chipkarte verhindert einerseits, dass der Schlüssel aus der Karte gelesen und damit kopiert werden kann. Die Hauptaufgabe der Karte besteht andererseits in der Abwicklung des kryptografischen Rechenprozesses unter Anwendung des geheimen Schlüssels. Um diese Leistungen auf eine Person oder ein System zu beschränken, erwartet die Karte vor der Nutzung die Präsentation eines gültigen individuellen Passwortes (PIN) durch die Person oder Komponente. Das Betriebssystem der Chipkarte legt mit der Initialisierung und Codierung der Karte fest, welche Aktionen der Karte PIN-geschützt sein sollen. So ist es z. B. möglich, Bereiche so zu kodieren, dass sie nur nach PIN-Prüfung gelesen werden können.
Damit entstehen „abgestufte Geheimnisse“, die entsprechend den Anforderungen der geschützten Systeme preisgegeben oder angewendet werden können. Einmal ist es das Rechnerpasswort, welches nach PIN-Prüfung durch eine Chipkarte übergeben wird. In einem anderen Fall wird ein digitales Zertifikat erwartet, welches den Inhaber als Bürger eines Staates oder als Mitarbeiter einer Firma oder Institution ausweist. Im ersten Fall liefert die Karte das Passwort nach PIN-Prüfung. Im zweiten Fall erwartet das geschützte System den Nachweis, dass der Karteninhaber das präsentierte Zertifikat benutzen darf. Hierzu wird der Karte ein zufälliger Wert zur Verschlüsselung mit dem internen geheimen kryptografischen Schlüssel übergeben. Kann das Ergebnis nach Entschlüsselung mit dem öffentlichen Schlüssel aus dem Zertifikat positiv verglichen werden, passt die Karte zum Zertifikat.
Da vor der Aktion die PIN abgefragt wurde, kann und muss davon ausgegangen werden, das der Karteninhaber die gewünschte Person oder das vorgegebene System ist.

 

Der TeleSec NetKey / IDKey beinhaltet verschiedene Applikationen für symmetrische Authentifikationen. Insbesondere die Applikation OTP soll hier näher erläutert werden. Es handelt sich um eine Anwendung zur Erzeugung von dynamischen Einmallpasswörtern.
Im Rahmen der Trust Center Dienstleistungen bietet die T-Systems den Service OneTimePass an. Dieser kann vom NetKey / IDKey erzeugte Einmalpasswörter auf Korrektheit prüfen. Die Anbindung von Kundensystemen an OneTimePass erfolgt über die Standardprotokolle RADIUS und SOAP.

Die vollständigen Informationen finden Sie unter: OneTimePass

Zwei weitere Applikationen, ZTRT und GLAZ beinhalten ebenso symmetrischen Schlüssel zu denen das Trust Center den Schlüssel ebenfalls kennt. Diese werden nur zu Vollständigkeit hier aufgeführt, sind jedoch meist für Einzelanwender uninteressant.