Die vorliegende Erfindung betrifft eine elektronische Schal- tung und ein Verfahren zur Sicherung elektronischer Vorrich- tungen, insbesondere zur Sicherung der Freigabe von Chipfunk- tionen.

Bestimmte Formen elektronischer Schaltungen, wie zum Beispiel Chipkarten, erfordern ein hohes Maß an Geheimhaltung der in der Schaltung enthaltenen Informationen oder gespeicherten Daten (zum Beispiel Schlüssel für kryptologische Verfahren).

Diese sicherheitsrelevanten Informationen müssen sowohl vor Fremdanalysen als auch vor Manipulation geschützt werden. Es muß insbesondere vermieden werden, daß sich Unbefugte Zugang zu den Informationen verschaffen, indem sie Versuche nicht autorisierter Zugriffe auf die betreffende elektronische Vor- richtung so oft wiederholen, bis eine Analyse der sicher- heitsrelevanten Informationen oder ein Zugriff ermöglicht ist. Das kann zum Beispiel der Fall sein, wenn durch mehrma- liges Probieren eine PIN herausgefunden werden kann. Eine Si- cherung eines Chips oder einer Chipkarte erfolgt deshalb in der Weise, daß nach einer bestimmten Anzahl nicht autorisier- ter Zugriffsversuche jeder weitere Zugriffsversuch und damit in der Regel auch ein autorisierter Zugriff unterbunden wird.

Die Sicherungsmaßnahmen sind dann unter Umständen zu rigide, weil zum Beispiel bereits nach zwei versehentlichen Fehlver- suchen auch dem Zugangsberechtigten kein Zugang mehr gewährt wird. So etwas kann auch bei einem Defekt im Terminal auftre- ten, der dazu führt, daß die Zugangsberechtigung vom Terminal nicht korrekt erkannt wird.

Aufgabe der vorliegenden Erfindung ist es, eine technische Lehre zur Sicherung der Freigabe der Funktion einer elektro- nischen Vorrichtung anzugeben, die einen ausreichenden Schutz

gegen Mißbrauch bietet und gleichzeitig verhindert, daß auf- grund von Bedienungsfehlern oder Fehlfunktionen eine Nut- zungsberechtigung voreilig versagt wird.

Diese Aufgabe wird mit der Schaltung mit den Merkmalen des Anspruches 1 bzw. mit dem Verfahren mit den Merkmalen des An- spruches 5 gelöst. Ausgestaltungen ergeben sich aus den je- weiligen abhängigen Ansprüchen.

Die erfindungsgemäße Schaltung und das damit zusammenhängende erfindungsgemäße Verfahren erhöhen die Zugriffszeit, d. h. die Zeit zwischen dem Beginn eines Zugriffsversuchs und der Freigabe oder Ausführung einer Funktion der elektronischen Vorrichtung, zum Beispiel eines Chips, bei nicht autorisier- ten Zugriffen. Dadurch wird eine DP-Analyse (differential po- wer analysis) wirkungsvoll unterbunden, da der zeitliche Auf- wand dafür soweit erhöht ist, daß sie praktisch nicht mehr durchführbar ist. Bei bestimmungsgemäßem Gebrauch der für ei- nen autorisierten Zugriff vorgesehenen Mittel werden die An- zahl und die Frequenz der Zugriffe auf die elektronische Vor- richtung nicht eingeschränkt. Gleichzeitig ist das Verfahren bzw. der Einsatz der Schaltung weitgehend tolerant gegenüber Zugriffsversuchen, die aufgrund von versehentlichen Fehlbe- dienungen oder von Gerätestörungen fehlschlagen.

Die erfindungsgemäße Schaltung umfaßt zwei Komponenten, die durch eine gemeinsame elektrische Größe, z. B. eine Spannung oder eine Ladung gekennzeichnet sind. Bei der einen Komponen- te kann diese elektrische Größe im Ablauf eines bestimmten Zeitintervalls an einen Referenzwert angeglichen werden, aus- gehend von einem von dem Referenzwert verschiedenen Wert, im folgenden als Grundwert bezeichnet. Bei der anderen Komponen- te kann die elektrische Größe vorzugsweise auf verschiedene Werte eingestellt oder einprogrammiert werden, so daß damit jeweils ein Referenzwert gegeben ist, der verändert werden kann. Es ist eine dritte Komponente vorhanden, die für den

Vergleich der Werte der besagten elektrischen Größe der bei- den genannten Komponenten vorgesehen ist.

Die Komponenten können z. B. durch zwei Floating-Gate-Zellen oder durch zwei Kondensatoren oder dergleichen gebildet wer- den, wenn die dritte Komponente ein für den Vergleich von elektrischen Spannungen vorgesehener Komparator ist. In einer bevorzugten Ausführung mit Floating-Gate-Zellen wird die Ein- satzspannung als elektrische Größe gewählt. Die Einsatzspan- nung der ersten Floating-Gate-Zelle wird zeitlich verändert und mittels eines Komparators mit der den Referenzwert bil- denden Einsatzspannung der zweiten Floating-Gate-Zelle ver- glichen. Wenn ein Zugriffsversuch auf die Nutzung der elek- tronischen Vorrichtung erfolgt, zum Beispiel beim Einführen einer Chipkarte in einen Kartenleser und beim Eingeben einer PIN, wird die erste Floating-Gate-Zelle ausgehend von einem vom dem Referenzwert verschiedenen Wert, dem Grundwert, auf- geladen, bis der Komparator eine Übereinstimmung der Einsatz- spannungen der Zellen feststellt.

Nach einem festgestellten unberechtigten Zugriffsversuch wird die oben definierte Zugriffszeit heraufgesetzt, indem der Re- ferenzwert geändert wird oder indem die Geschwindigkeit, mit der die Werte aneinander angeglichen werden, vermindert wird.

Mit unberechtigten Zugriffsversuchen verlängert sich somit die abzuwartende Zeit, bis bei einem nachfolgenden Zugriff die Funktion freigegeben wird oder beispielsweise im Fall ei- ner Chipkarte ein Kryptoalgorithmus zur Überprüfung eines Schlüssels abläuft. Das erschwert eine DP-Analyse erheblich, da sich bereits nach einer geringen Anzahl von nicht autori- sierten Zugriffsversuchen die Zeit bis zu einer möglichen Nutzung der Funktion drastisch erhöht hat. Die Zugriffszeit kann nach jedem unberechtigten Zugriffsversuch verlängert werden oder nur, wenn zusätzlich bestimmte vorgegebene Bedin- gungen erfüllt sind.

Es folgt eine genauere Beschreibung von Ausführungsbeispielen der Erfindung anhand der in den beigefügten drei Figuren dar- gestellten Programmablaufpläne. Der einfacheren Bezeichnungen halber werden als elektronische Komponenten der Schaltung je- weils zwei Floating-Gate-Zellen und ein Komparator angenom- men, der als elektrische Größe in diesem Beispiel die Ein- satzspannungen der Zellen miteinander vergleicht.

Bei einem Ausführungsbeispiel der Erfindung, bei dem entspre- chend dem Programmablaufplan der Figur 1 verfahren wird, ist vor der ersten Feststellung, ob eine Berechtigung zur Nutzung der elektronischen Vorrichtung gegeben ist, also zum Beispiel vor dem ersten Einführen einer Chipkarte in den Chipkartenle- ser, der Wert der elektrischen Größe der ersten Komponente (eine der Floating-Gate-Zellen, im folgenden als Zelle A be- zeichnet) auf einen bestimmten Grundwert (eine bestimmte Ein- satzspannung UAO) eingestellt und der Wert der elektrischen Größe der zweiten Komponente (die andere Floating-Gate-Zelle, im folgenden als Zelle B bezeichnet) auf einen davon in einer vorgegebenen Weise verschiedenen Referenzwert (andere Ein- satzspannung UBO, vorzugsweise höher als UAO) eingestellt. Da- mit befinden sich die Komponenten in ihren Grundzuständen.

Ein Zugriffsversuch wird im Fall einer Chipkarte typischer- weise initialisiert, indem die Karte in einen Kartenleser eingeführt wird (INS BSTART) und eine PIN oder vergleichbare Daten eingegeben werden. Dann wird zunächst überprüft, ob sich die erste Komponente (Zelle A) im Grundzustand (mit der Einsatzspannung auf dem Grundwert UAO) befindet. Ist das der Fall (A=_ ? $), wird die Überprüfung der Zugangsberechtigung begonnen, indem zunächst der Wert der elektrischen Größe der ersten Komponente (Einsatzspannung UAO der Zelle A) langsam auf den Referenzwert (Einsatzspannung UBO der Zelle B) ge- bracht wird (Ar B, indem Zelle A zum Beispiel aber eine Folge von kurzen Pulsen oder über eine, im Vergleich zum üb- lichen Betrieb, verminderte Programmierspannung aufgeladen wird). Eine Freigabe der zu nutzenden Funktionen der elektro- nischen Vorrichtung im Fall eines autorisierten Zugriffs er-

folgt nach Überprüfung der Zugriffsberechtigung (ACC ? $) erst dann, wenn beide Komponenten denselben Wert der elektri- schen Größe (Referenzwert, speziell dieselbe Einsatzspannung) besitzen oder der Betrag der Differenz der Werte unterhalb eines vorgegebenen niedrigen Wertes liegt, was im Beispiel durch den Komparator festgestellt wird.

Nachdem der Nutzer die Funktionen der elektronischen Vorrich- tungen genutzt hat (USE), also zum Beispiel am Ende einer ausgeführten Chip (karten) funktion, wird die erste Komponente (Zelle A) wieder in den Grundzustand (Einsatzspannung auf dem Grundwert UAO) versetzt (Al-). Die Schaltung ist damit für den nächsten Zugriffsversuch, zum Beispiel auf die Funktionen eines Chips, initialisiert (A=_). Die Nutzung wird in regulä- rer Weise (im Fall der Chipkarte mit dem Auswurf der Karte) beendet (STOP-EJ). Wird die Nutzung vorzeitig unterbrochen, besitzt die erste Komponente (Zelle A) noch einen von dem Grundwert verschiedenen Wert der elektrischen Größe (A+_, Einsatzspannung von Zelle A verschieden von UAO), wenn der nächste Zugriffsversuch beginnt.

Im ursprünglichen Zustand, zum Beispiel bei Auslieferung ei- nes mit einer erfindungsgemäßen Schaltung gesicherten Chips an den Käufer, sind die Grundzustände der Komponenten so ein- gestellt, daß beim zeitlichen Verändern des Wertes der ersten Komponente (Aufladen der ersten Zelle A) der Referenzwert (die Einsatzspannung der Zelle B) in kürzester Zeit erreicht wird, so daß die Freigabe der Funktionen der elektronischen Vorrichtung (hier der Chipfunktionen) nicht merklich verzö- gert wird.

Nach einem unberechtigten Zugriffsversuch (ACC ? nicht S) wird durch geeignete und an sich bekannte Mittel der elektro- nischen Schaltung dafür gesorgt, daß ein Angleichen der Werte der Komponenten (Einsatzspannungen der Zellen) länger dauert als zuvor. Das geschieht vorzugsweise auch dann, wenn ein be- rechtigter Zugriff auf die Nutzung vorzeitig abgebrochen

wird. Es kann im Fall einer Ausführung mit Floating-Gate- Zellen und einer niedrigeren Einsatzspannung der Zelle A als Grundwert sowie einer höheren Einsatzspannung der Zelle B als Referenzwert die Einsatzspannung der zweiten Zelle B etwas erhöht werden (Bt, zum Beispiel durch einen kurzen Program- mierpuls) auf einen neuen, höheren Referenzwert, so daß es länger dauert, bis die erste Zelle A aus dem Grundzustand so- weit aufgeladen ist, daß die Einsatzspannungen beider Zellen übereinstimmen. Die Folge ist, daß sich die Zugriffszeit er- höht. Wird zu Beginn des Zugriffsversuches festgestellt, daß die Zelle A nicht im Grundzustand ist (A=- ? nicht $, z. B.

Abbruch des letzten Zugriffs), dann wird in diesem Ausfüh- rungsbeispiel die Einsatzspannung von Zelle A auf den Grund- wert UAO gesetzt (Ai-) und die Einsatzspannung von Zelle B auf einen davon stärker differierenden Wert als neuen Refe- renzwert geändert (im Beispiel weiter erhöht, Bt). Erst dann erfolgt die Angleichung der Einsatzspannungen.

Vorzugsweise werden die Verhältnisse so eingestellt, daß bis zu einer unter Sicherheitsaspekten zugestandenen Anzahl von fehlgeschlagenen Zugriffsversuchen (je nach Anwendung z. B. bis zu einigen hundert) die verlängerte Zugriffszeit den Nut- zen der elektronischen Vorrichtung in der praktischen Anwen- dung, zum Beispiel des Chips, noch nicht merklich ein- schränkt. Vorzugsweise ist die erfindungsgemäße Schaltung so aufgebaut, daß oberhalb einer vorgegebenen Anzahl unberechti- ger Zugriffsversuche die Zeitdauer für das Angleichen der Einsatzspannungen der Zellen sehr stark ansteigt, so daß eine DP-Analyse praktisch nicht mehr durchführbar ist.

Die Schaltung ist vorzugsweise so beschaffen, daß sicher- heitshalber auch bei einem abgebrochenen Zugriffsversuch die Zugriffszeit verlängert wird. Das wird durch die Abfrage festgestellt, ob die erste Komponente (Zelle A) im Grundzu- stand ist (A=_ ?). Wenn der Zugriffsversuch abgebrochen wird, nachdem die Angleichung der Werte der elektrischen Größe der Komponenten (z. B. Einsatzspannungen der Floating-Gate-

Zellen) begonnen hat, so daß die erste Komponente (Zelle A) nicht im Grundzustand ist, wird vorzugsweise zu Beginn des nächsten Zugriffsversuches der Wert der ersten Komponente auf den Grundwert (die Einsatzspannung der Zelle A auf UAO) zu- rückgesetzt und der Referenzwert (die Einsatzspannung der Zelle B) vorsorglich so geändert (im vorstehenden Beispiel erhöht), als wäre bei dem vorherigen Zugriffsversuch festge- stellt worden, daß keine Nutzungs-oder Zugangsberechtigung gegeben war. Damit wird sichergestellt, daß sich die erfin- dungsgemäße Schaltung nur dann in einem Zustand niedrigster Zugriffszeiten befindet, wenn zuvor ausschließlich berechtig- te Zugriffe erfolgten und ordnungsgemäß abgeschlossen wurden.

Falls der Spannungspegel einer Floating-Gate-Zelle A nicht ausreicht, um festzustellen, ob die Einsatzspannung dieser Zelle nach einem autorisierten und abgeschlossenen Zugriff auf den Grundwert zurückgesetzt wurde, kann für diese Bewer- tung eine zusätzliche Zelle verwendet werden (zum Beispiel eine digitale Flag-Zelle).

Zur optimalen Anpassung der Abhängigkeit der Zugriffszeit von der Anzahl vorhergehender nicht autorisierter Zugriffsversu- che kann die Veränderung des in der einen Komponente gespei- cherten Referenzwertes, z. B. die Programmierung der Zelle B, deren Einsatzspannung in erfolglosen oder abgebrochenen Zu- griffsversuchen progressiv erhöht wird, abhängig vom jeweili- gen Zustand dieser Komponente geregelt werden (zum Beispiel durch dynamische Anpassung der Programmierspannung oder Pro- grammierdauer). Im Fall der Verwendung von Floating-Gate- Zellen kann, anstatt die Einsatzspannung der Zelle B nach je- dem fehlgeschlagenen oder abgebrochenen Zugriffsversuch zu ändern, die verlängerte Zugriffszeit dadurch bewirkt werden, daß das Aufladen der Zelle A zum Angleichen der Einsatzspan- nungen zunehmend verzögert wird, z. B. durch Ändern des Grundwertes der Einsatzspannung der Zelle A oder durch Ver- langsamung des Aufladevorganges. Das macht aber im Unter- schied zu dem oben beschriebenen bevorzugten Ausführungsbei-

spiel eine weitere Schaltungskomponente zum Registrieren der nicht ordnungsgemäß beendeten Zugriffsversuche erforderlich.

Ein weiteres Ausführungsbeispiel, bei dem entsprechend dem Programmablaufplan der Figur 2 verfahren wird, sieht vor, daß nach der Initialisierung und einer vorzugsweise stattfinden- den Abfrage, ob die anzugleichende Komponente (Floating-Gate- Zelle A) sich im Grundzustand befindet, (A=_ ?) zunächst eine Abfrage durchgeführt wird, ob eine Zugangsberechtigung vor- liegt (ACC ?). Ist das der Fall (ACC ? $), erfolgt die An- gleichung der Werte (Grundwert bzw. Referenzwert) der elek- trischen Größe der Komponenten ; beispielsweise wird die Ein- satzspannung der Zelle A auf die Einsatzspannung der Zelle B gebracht (A_ B). Während dieses Vorgangs kann bereits die Nutzung der Funktion (USE) der elektronischen Vorrichtung (z. B. der Chipfunktionen der Chipkarte) freigegeben werden, so daß der Anwender nicht den gesamten Angleichungsprozeß ab- zuwarten braucht. Nur im Fall einer mehrmals veränderten Ein- stellung der zweiten Komponente (Zelle B) infolge mehrfacher fehlerhafter Zugriffsversuche erhöht sich die Zugriffszeit merklich.

Wird zu Beginn des Zugriffsversuches festgestellt, daß die erste Komponente (Zelle A) nicht im Grundzustand ist (A=_ ? nicht/), dann wird vorzugsweise auch bei diesem Ausfüh- rungsbeispiel eine Verzögerung der Zugriffszeit vorgesehen.

Dazu wird zunächst die erste Komponente in den Grundzustand gebracht (die Einsatzspannung von Zelle A auf den Grundwert UAO gesetzt) und der Referenzwert geändert (die Einsatzspan- nung von Zelle B geändert, d. h. in dem Beispiel weiter er- höht, Al-Bt). Erst nach einer anschließenden Angleichung der Werte der elektrischen Größe der Komponenten (A_ B) er- folgt die Überprüfung der Zugangsberechtigung (ACC ?). Um die Analyse eines Kryptoalgorithmus zu verhindern, wird die Zu- griffszeit vorzugsweise in den Fällen erhöht, in denen ein Zugriffsversuch im Anschluß an die Überprüfung der Zugangsbe- rechtigung abgebrochen wird. Das kann auf einfache Weise da-

durch geschehen, daß dafür gesorgt wird, daß der Wert der elektrischen Größe der ersten Komponente (Zelle A) im An- schluß an die Überprüfung der Zugangsberechtigung (ACC ?) stets von dem Wert im Grundzustand verschieden ist. Bei einer bereits erfolgten Angleichung der Werte der elektrischen Grö- ße der Komponenten (A_ B) ist das ohnehin der Fall. Liefert die Überprüfung, ob die anzugleichende Komponente (Zelle A) sich im Grundzustand befindet, (A=_ ?) ein positives Ergeb- nis, kann der Wert der elektrischen Größe der ersten Kompo- nente z. B. auf einen Wert eingestellt werden (A$_), der von dem Grundzustand verschieden ist, aber eine ausreichende Zeitspanne für die Angleichung an den Wert der elektrischen Größe der zweiten Komponente garantiert (z. B. etwas niedri- ger oder nur wenig höher ist als der Wert im Grundzustand).

Wird fehlende Zugangsberechtigung festgestellt (ACC ? nicht wird ebenfalls der Referenzwert geändert (die Einsatz- spannung von Zelle B geändert, Bt), so daß sich die Zu- griffszeit bei nachfolgenden Zugriffsversuchen verlängert.

Auch bei diesem Ausführungsbeispiel wird nach einer abge- schlossenen Nutzung (USE) die erste Komponente in den Grund- zustand rückgesetzt (die Einsatzspannung der Zelle A auf UAO, Ai-). Nach einem vorzeitigen Abbruch des Zugriffs während des Vorganges der Angleichung befindet sich diese Komponente nicht mehr im Grundzustand (A$_). Das löst bei einem erneu- ten Zugriffsversuch die beschriebene Änderung des Zustands der zweiten Komponente (Zelle B, A1_ Bt) aus.

Dieses Ausführungsbeispiel hat den Vorteil, daß die Zugriffs- zeit nicht durch den Vorgang des Angleichens von Grundwert und Referenzwert der beiden Komponenten verzögert wird, wenn bereits während dieses Vorganges die Nutzung der elektroni- schen Vorrichtung (Chipfunktion) freigegeben wird. Bei aus- schließlich bestimmungsgemäßem Gebrauch der Schaltung tritt folglich eine verlängerte Zugriffszeit erst nach einer Viel- zahl von fehlerhaften Zugriffen in Erscheinung.

Ein weiteres Ausführungsbeispiel, bei dem entsprechend dem Programmablaufplan der Figur 3 verfahren wird, sieht vor, daß bei ordnungsgemäßer Verwendung der Schaltung zu Beginn die zu vergleichende elektrische Größe bei beiden Komponenten den- selben Wert hat (A=B), d. h. im Grundzustand der Komponenten sind bei diesem Ausführungsbeispiel beide Werte gleich dem Referenzwert. Ist das nicht der Fall (A=B ? nicht/), wird der Wert der zweiten Komponente (Referenzwert) so verändert, daß das Erreichen des Referenzwertes ausgehend vom Grundwert der ersten Komponente ein längeres Zeitintervall in Anspruch nimmt als zuvor (Bt) und anschließend mit einer Angleichung der Werte der elektrischen Größe der Komponenten (AB)ei- ne Zeitverzögerung bewirkt. Dann wird jeweils bei der ersten Komponente der Grundwert eingestellt (Ai-). Gegebenenfalls werden im Anschluß an diese erste Abfrage noch Daten (PIN oder dergleichen) eingegeben, die für die Überprüfung der Zu- gangsberechtigung erforderlich sind. Das kann aber auch wie in den zuvor beschriebenen Ausführungsbeispielen zu Beginn (z. B. sofort nach dem Einführen einer Chipkarte INS-START) erfolgen.

Vor oder nach der Überprüfung der Zugangsberechtigung (ACC ?) werden die Werte der elektrischen Größe aneinander angegli- chen, indem der Grundwert während eines bestimmten Zeitinter- valles geändert und nach und nach an den Referenzwert ange- glichen wird (AB).Während dieser Vorgang abläuft, kann bereits die Nutzung freigegeben werden (USE), falls die Zu- gangsberechtigung bereits festgestellt worden ist. Nach einem erfolgten Angleichen der Werte (A=B, gegebenenfalls innerhalb unvermeidlicher Toleranzen), befinden sich beide Komponenten in dem für dieses Ausführungsbeispiel charakteristischen Grundzustand, der einen erneuten Zugriff ohne Verlängerung der Zugriffszeit ermöglicht. Falls der Zugriff verweigert wird (ACC ? nicht $) oder falls der Zugriff vorzeitig abge- brochen wird (keine vollständige Angleichung), sind die Werte der elektischen Größe bei beiden Komponenten voneinander ver- schieden (AtB), so daß zu Beginn des nächsten Zugriffsversu-

ches automatisch eine Änderung des Wertes (Referenzwert) der zweiten Komponente (Bt) und durch den beschriebenen Vorgang des Angleichens (A_ ? B) wird.

Um in den Ausführungsbeispielen mit Floating-Gate-Zellen mit unterschiedlichen Grundzuständen (Grundwert ungleich Refe- renzwert) eine Manipulation mittels UV-Bestrahlung ausschlie- ßen zu können, kann zusätzlich zu der Zelle B, deren Einsatz- spannung nach erfolglosen Zugriffsversuchen sukzessive erhöht wird, eine weitere Zelle C in der Schaltung vorhanden sein, die jeweils in den entgegengesetzten Zustand zu der Zelle B gebracht wird. Bei einigen Ausführungsformen kann das erfol- gen, indem die weitere Zelle C mit Pulsen gleicher Höhe und Zeitdauer wie die Zelle B, aber entgegengesetzter Polarität beaufschlagt wird. Die beiden Zellen B und C werden vorzugs- weise benachbart zueinander angeordnet und vor dem ersten Ge- brauch der Schaltung mit einer Differenz ihrer Einsatzspan- nungen versehen. Zeigen die beiden Zellen später in irgendei- nem Betriebszustand dieselbe Einsatzspannung, kann das als Indiz dafür angesehen werden, daß versucht wurde, die Schal- tung mit W-Bestrahlung zu manipulieren. Es können dann ge- eignete Gegenmaßnahmen ergriffen werden.

Durch eine geeignete Ausgestaltung der Source-/Drain-An- schlüsse der Zelle B, deren Einsatzspannung nach erfolglosen Zugriffsversuchen sukzessive geändert wird, kann verhindert werden, daß diese Einsatzspannung elektrisch zurück auf ihren Ausgangswert gebracht wird. Eine Angleichung der Einsatzspan- nungen auf elektronischem Weg und damit eine Umgehung der Si- cherungsfunktion der Schaltung kann damit ausgeschlossen wer- den.

Die Zugangsberechtigung kann je nach vorliegenden Sicher- heitserfordernissen bereits während des Vorgangs des Anglei- chens der Werte der Komponenten (Aufladen der einen Zelle) oder erst nach vollständig erfolgter Angleichung (der Ein-

satzspannungen) überprüft werden. Ergibt die Abfrage (ACC ?) der Zugangsberechtigung, daß die Berechtigung zur Nutzung der elektronischen Vorrichtung gegeben ist, wird diese Nutzung freigegeben und der Zugriff kann erfolgen. Nach ordnungsgemä- ßem Abschluß des Zugriffs veranlaßt die Schaltung einen Re- set, mit dem zumindest die Komponente der Schaltung, deren Wert in dem Vorgang des Angleichens verändert wird, (Zelle A) in den vorgegebenen Grundzustand zurückgesetzt wird. Ergibt die Abfrage der Zugangsberechtigung hingegen, daß kein auto- risierter Zugriffsversuch vorliegt, sei es, daß die Berechti- gung fehlt, sei es, daß ein Defekt in der die Berechtigung überprüfenden elektronischen Vorrichtung (Terminal) vorliegt, erfolgt eine Änderung der Zugriffszeit, indem die Differenz zwischen dem Grundwert der ersten Komponente und dem Refe- renzwert der zweiten Komponente (zum Beispiel die Differenz der Beträge der Einsatzspannungen der Zellen) vergrößert wird. Bei einem erneuten Zugriffsversuch wird mit dem Anglei- chen dieser jetzt auf eine größere Differenz gebrachten Werte die Zugriffszeit festgelegt. Je nachdem, ob die Abfrage gege- bene oder fehlende Berechtigung ergibt, wird der Zugriff auf die Nutzung der elektronischen Vorrichtung freigegeben oder erneut eine Änderung der Zugriffszeit veranlaßt.

Es ist bei der erfindungsgemäßen Schaltung nur erforderlich, daß die erste Komponente nach jedem ordnungsgemäß abgeschlos- senen Zugriff in den Grundzustand rückversetzt wird. Das hat allerdings zur Konsequenz, daß während der gesamten Ge- brauchsdauer der Schaltung (z. B. Lebensdauer der Chipkarte) jeder nicht bestimmungsgemäß ausgeführte Zugriff eine Verlän- gerung der Zugriffszeit bewirkt, so daß die Verwendung der Schaltung unter Umständen nach einiger Zeit stark beeinträch- tigt wird. Bei geringeren Sicherheitsanforderungen kann des- halb vorgesehen werden, daß bei dem ordnungsgemäßen Abschluß (STOP) jedes berechtigten Zugriffs beide Komponenten (sowohl Zelle A als auch Zelle B) in ihre jeweiligen Grundzustände zurückgesetzt worden sind. Alternativ kann vorgesehen sein, daß ein derartiger vollständiger Reset nur auf ausdrücklichen

Befehl (entsprechende Eingabe von Daten) des Nutzers während eines berechtigten Zugriffs durchgeführt wird. Der Anwender oder Nutzer der Schaltung könnte in diesem Fall die Zugriffs- zeit nach einer Anzahl von fehlerhaft ausgeführten Zugriffen auf einen niedrigen Ausgangswert zurücksetzen.

Aufgrund der kurzen Zugriffszeiten, die sich bei Zugriffsver- suchen durch Berechtigte allenfalls unwesentlich erhöhen, eignet sich dieses Verfahren für alle Anwendungen, auch für kontaktlos eingesetzte Chips oder Chipkarten. Da die Anzahl der Zugriffsversuche in einem bestimmten Zeitraum bei bestim- mungsgemäßer Verwendung nicht beschränkt wird, eignet sich das Verfahren für alle Anwendungen mit hoher Zugriffsfre- quenz. Selbst bei einer Störung eines Terminals und den dar- aus resultierenden zurückgewiesenen Zugriffsversuchen bleibt die Funktionsfähigkeit eines Chips oder einer anderen abgesi- cherten elektronischen Vorrichtung grundsätzlich erhalten.

Das ist ein Vorteil gegenüber einer herkömmlichen Sperrung eines Chips durch einen Fehlversuchszähler.