FR3133247A1 - Procédé d’accès sécurisé à des données numériques - Google Patents
Procédé d’accès sécurisé à des données numériques Download PDFInfo
- Publication number
- FR3133247A1 FR3133247A1 FR2201865A FR2201865A FR3133247A1 FR 3133247 A1 FR3133247 A1 FR 3133247A1 FR 2201865 A FR2201865 A FR 2201865A FR 2201865 A FR2201865 A FR 2201865A FR 3133247 A1 FR3133247 A1 FR 3133247A1
- Authority
- FR
- France
- Prior art keywords
- user
- secure
- digital data
- encrypted
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004891 communication Methods 0.000 claims abstract description 54
- 238000012360 testing method Methods 0.000 claims abstract description 31
- 230000004044 response Effects 0.000 claims abstract description 16
- 238000004590 computer program Methods 0.000 claims description 7
- 238000011084 recovery Methods 0.000 claims description 5
- 230000003287 optical effect Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000001815 facial effect Effects 0.000 description 4
- 230000029058 respiratory gaseous exchange Effects 0.000 description 3
- 230000010354 integration Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Bioethics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Storage Device Security (AREA)
Abstract
L’invention se rapporte à un procédé d'accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé et stockées sur un serveur. Le procédé comprend les étapes suivantes : A. recevoir au niveau dudit serveur une requête provenant dudit utilisateur pour accéder auxdites données numériques ; B. émettre, via ledit serveur émet par une interface de communication sécurisée, une requête à un dispositif utilisateur sécurisé pour libérer un mot de passe stockée sur ledit dispositif utilisateur ; C. obtenir ledit mot de passe via ladite interface de communication sécurisée, à partir dudit dispositif utilisateur en réponse à un test de sécurité validé émis par ledit dispositif utilisateur à un utilisateur ; et D. récupérer, via ledit serveur, une clé privée cryptée dudit utilisateur, ladite clé privée cryptée dudit utilisateur étant cryptée avec ledit mot de passe, et décrypter ladite clé privée cryptée dudit utilisateur avec ledit mot de passe pour obtenir la clé privée dudit utilisateur, et décrypter lesdites données numériques cryptées avec ladite clé privée dudit utilisateur, et présenter lesdites données numériques audit utilisateur.
Description
Le domaine technique de la présente invention concerne le domaine de l’accès à des données numériques, et en particulier, l’accès à des données numériques étant cryptées avec une clé de cryptage.
Le cryptage des e-mails est difficile à réaliser car il oblige les utilisateurs d’un système à échanger des clés de cryptage et à utiliser des mots de passe qui peuvent souvent être complexes et/ou compromis par des attaques ou des piratages informatiques. En effet, un mot de passe utilisateur comprend généralement huit caractères simples qui demandent de deux à 21 jours pour le déchiffrer, dépendamment de la complexité du mot de passe. Par ailleurs, plus le mot de passe est compliqué, plus il est difficile pour les utilisateurs de s’en souvenir. De plus, les mots de passe et clés de cryptage sont stockées sur un serveur auquel l'administration du système ou le personnel d'un centre de données peuvent accéder. Il existe des systèmes open source utilisant la technologie de cryptagePretty Good Privacy(PGP). Cependant, ceux-ci sont rarement utilisés en raison de leur complexité.
L’invention vient améliorer la situation en proposant un procédé d'accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé et stockées sur un serveur, ledit procédé comprenant les étapes suivantes :
A. recevoir au niveau dudit serveur une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
B. émettre, par ledit serveur via une interface de communication sécurisée, une requête à un dispositif utilisateur sécurisé pour libérer un mot de passe stockée sur ledit dispositif utilisateur ;
C. obtenir ledit mot de passe via ladite interface de communication sécurisée, à partir dudit dispositif utilisateur en réponse à un test de sécurité validé émis par ledit dispositif utilisateur à un utilisateur ; et
D. récupérer, via ledit serveur, une clé privée cryptée dudit utilisateur, ladite clé privée cryptée dudit utilisateur étant cryptée avec ledit mot de passe, et décrypter ladite clé privée cryptée dudit utilisateur avec ledit mot de passe pour obtenir la clé privée dudit utilisateur, et décrypter lesdites données numériques cryptées avec ladite clé privée dudit utilisateur, et présenter lesdites données numériques audit utilisateur.
A. recevoir au niveau dudit serveur une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
B. émettre, par ledit serveur via une interface de communication sécurisée, une requête à un dispositif utilisateur sécurisé pour libérer un mot de passe stockée sur ledit dispositif utilisateur ;
C. obtenir ledit mot de passe via ladite interface de communication sécurisée, à partir dudit dispositif utilisateur en réponse à un test de sécurité validé émis par ledit dispositif utilisateur à un utilisateur ; et
D. récupérer, via ledit serveur, une clé privée cryptée dudit utilisateur, ladite clé privée cryptée dudit utilisateur étant cryptée avec ledit mot de passe, et décrypter ladite clé privée cryptée dudit utilisateur avec ledit mot de passe pour obtenir la clé privée dudit utilisateur, et décrypter lesdites données numériques cryptées avec ladite clé privée dudit utilisateur, et présenter lesdites données numériques audit utilisateur.
Dans un mode de réalisation, dans lequel l’étape A constitué l’ouverture d’une session, le procédé comprenant une étape ultérieure consistant à supprimer ladite clé privée et ledit mot de passe d’une mémoire dudit serveur quand la session est considérée comme terminée.
De plus, l’invention vient améliorer la situation en proposant un procédé d'accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé et stockées sur un serveur, ledit procédé comprenant les étapes suivantes :
A. recevoir au niveau d'un dispositif utilisateur sécurisé via une interface de communication sécurisée une demande de libération d’un mot de passe stockée sur ledit dispositif utilisateur, ladite demande étant émise en réponse à une réception au niveau dudit serveur d'une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
B. émettre, par ledit dispositif sécurisé, un test de sécurité à un utilisateur de celui-ci, et en réponse au test de sécurité validé, libérer par ledit dispositif utilisateur sécurisé ledit mot de passe vers ladite interface de communication sécurisée pour une récupération par ledit serveur, ledit mot de passe étant utilisé dans le décryptage d’une clé privée cryptée pour obtenir la clé privée dudit utilisateur, et le décryptage desdites données numériques cryptées avec ladite clé privée dudit utilisateur, pour la présentation desdites données numériques audit utilisateur.
A. recevoir au niveau d'un dispositif utilisateur sécurisé via une interface de communication sécurisée une demande de libération d’un mot de passe stockée sur ledit dispositif utilisateur, ladite demande étant émise en réponse à une réception au niveau dudit serveur d'une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
B. émettre, par ledit dispositif sécurisé, un test de sécurité à un utilisateur de celui-ci, et en réponse au test de sécurité validé, libérer par ledit dispositif utilisateur sécurisé ledit mot de passe vers ladite interface de communication sécurisée pour une récupération par ledit serveur, ledit mot de passe étant utilisé dans le décryptage d’une clé privée cryptée pour obtenir la clé privée dudit utilisateur, et le décryptage desdites données numériques cryptées avec ladite clé privée dudit utilisateur, pour la présentation desdites données numériques audit utilisateur.
Dans un mode de réalisation, ladite étape d'émission d'un test de sécurité par ledit dispositif utilisateur sécurisé comprend la comparaison d'une entrée biométrique avec des données biométriques associées audit utilisateur stockées sur ledit dispositif utilisateur sécurisé, où ledit test de sécurité validé comprend la détermination du fait que ladite entrée biométrique satisfait à un critère de similarité prédéfini par rapport auxdites données biométriques associées audit utilisateur.
Dans un mode de réalisation, le mot de passe est stocké dans une puce sécurisée dudit dispositif utilisateur sécurisé.
Dans un mode de réalisation, ladite interface de communication sécurisée met en œuvre une session SSL/TLS via une application exécutée sur ledit dispositif utilisateur sécurisé.
Dans un mode de réalisation, ladite interface de communication sécurisée effectue en outre un cryptage et un décryptage des communications avec un secret partagé connu dudit dispositif utilisateur sécurisé et de ladite interface.
Dans un mode de réalisation, le procédé comprend une étape supplémentaire, avant l’étape A, consistant à transférer ledit secret partagé audit dispositif utilisateur sécurisé.
Dans un mode de réalisation, ladite étape de transfert dudit secret partagé audit dispositif utilisateur sécurisé comprend le balayage d'un code à lecture optique, magnétique ou radio.
Dans un mode de réalisation, ladite clé de cryptage publique dudit utilisateur déterminé et ladite clé privée dudit utilisateur déterminé sont conformes à la norme S/MIME et définies par un certificat S/MIME.
Dans un mode de réalisation, lesdites données numériques comprennent une clé de cryptage primaire, et sont en outre associées à des données primaires cryptées avec lesdites données de cryptage primaire, ledit procédé comprenant une étape ultérieure de décryptage desdites données de cryptage primaire avec ladite clé de cryptage primaire.
Dans un mode de réalisation, lesdites données numériques sont en outre associées à une copie cryptée de ladite clé de cryptage primaire, ladite copie cryptée de ladite clé de cryptage primaire étant cryptée avec un mot de passe sous séquestre.
De plus, l’invention vient améliorer la situation en proposant un produit-programme d’ordinateur comprenant des instructions qui, lorsque le programme est exécuté par un ordinateur, amènent l'ordinateur à mettre en œuvre le procédé des modes de réalisation précédents.
Dans un mode de réalisation, avant ladite étape A, ladite interface de communication sécurisée transmet ledit mot de passe audit dispositif utilisateur sécurisé via un canal sécurisé.
De plus, l’invention vient améliorer la situation en proposant un système permettant l’accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé, le système comprenant :
- une unité de destination configurée pour recevoir les données numériques ;
- un serveur configuré pour stocker la clé de cryptage publique de l’utilisateur et recevoir une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
- un dispositif utilisateur configuré pour stocker un mot de passe ;
- une interface de communication sécurisée configurée pour émettre une requête au dispositif utilisateur sécurisé pour libérer le mot de passe et obtenir ledit mot de passe à partir dudit dispositif utilisateur en réponse à un test de sécurité validé émis par ledit dispositif utilisateur à un utilisateur, dans lequel le serveur est configuré pour récupérer une clé privée cryptée dudit utilisateur, ladite clé privée cryptée dudit utilisateur étant cryptée avec ledit mot de passe, et décrypter ladite clé privée cryptée dudit utilisateur avec ledit mot de passe pour obtenir la clé privée dudit utilisateur, et décrypter lesdites données numériques cryptées avec ladite clé privée dudit utilisateur, et présenter lesdites données numériques audit utilisateur.
- une unité de destination configurée pour recevoir les données numériques ;
- un serveur configuré pour stocker la clé de cryptage publique de l’utilisateur et recevoir une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
- un dispositif utilisateur configuré pour stocker un mot de passe ;
- une interface de communication sécurisée configurée pour émettre une requête au dispositif utilisateur sécurisé pour libérer le mot de passe et obtenir ledit mot de passe à partir dudit dispositif utilisateur en réponse à un test de sécurité validé émis par ledit dispositif utilisateur à un utilisateur, dans lequel le serveur est configuré pour récupérer une clé privée cryptée dudit utilisateur, ladite clé privée cryptée dudit utilisateur étant cryptée avec ledit mot de passe, et décrypter ladite clé privée cryptée dudit utilisateur avec ledit mot de passe pour obtenir la clé privée dudit utilisateur, et décrypter lesdites données numériques cryptées avec ladite clé privée dudit utilisateur, et présenter lesdites données numériques audit utilisateur.
De plus, l’invention vient améliorer la situation en proposant un système permettant l’accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé, le système comprenant :
- un serveur configuré pour stocker la clé de cryptage publique de l’utilisateur ; et
- un dispositif utilisateur sécurisé configuré pour recevoir via une interface de communication sécurisée une demande de libération d’un mot de passe stockée sur ledit dispositif utilisateur, ladite demande étant émise en réponse à une réception au niveau dudit serveur d'une requête provenant dudit utilisateur pour accéder auxdites données numériques, émettre un test de sécurité à un utilisateur de celui-ci, et en réponse au test de sécurité validé, libérer ledit mot de passe vers ladite interface de communication sécurisée pour une récupération par ledit serveur, ledit mot de passe étant utilisé dans le décryptage d’une clé privée cryptée pour obtenir la clé privée dudit utilisateur, et le décryptage desdites données numériques cryptées avec ladite clé privée dudit utilisateur, pour la présentation desdites données numériques audit utilisateur.
- un serveur configuré pour stocker la clé de cryptage publique de l’utilisateur ; et
- un dispositif utilisateur sécurisé configuré pour recevoir via une interface de communication sécurisée une demande de libération d’un mot de passe stockée sur ledit dispositif utilisateur, ladite demande étant émise en réponse à une réception au niveau dudit serveur d'une requête provenant dudit utilisateur pour accéder auxdites données numériques, émettre un test de sécurité à un utilisateur de celui-ci, et en réponse au test de sécurité validé, libérer ledit mot de passe vers ladite interface de communication sécurisée pour une récupération par ledit serveur, ledit mot de passe étant utilisé dans le décryptage d’une clé privée cryptée pour obtenir la clé privée dudit utilisateur, et le décryptage desdites données numériques cryptées avec ladite clé privée dudit utilisateur, pour la présentation desdites données numériques audit utilisateur.
Il est en outre proposé un procédé d'accès sécurisé à des données numériques permettant une configuration et une utilisation simple, ainsi qu’une intégration simple à des systèmes non conformes.
D’autres caractéristiques, détails et avantages de l’invention ressortiront à la lecture de la description faite en référence aux dessins annexés donnés à titre d’exemple et qui représentent, respectivement :
La illustre un exemple de système 100 permettant l'accès sécurisé à des données numériques. Les données numériques sont cryptées avec une clé de cryptage publique d’un utilisateur. Les données numériques peuvent être par exemple des courriers électroniques. La clé de cryptage publique de l’utilisateur peut être par exemple conforme à la norme S/MIME et définie par un certificat S/MIME. Le système 100 comprend une unité de destination 102, un serveur 104, une interface de communication sécurisée 108 et un dispositif utilisateur 106.
L’unité de destination 102 peut être par exemple un ordinateur d’un utilisateur permettant d’accéder à une ou plusieurs boites aux lettres électroniques. Un ordinateur comprend un ordinateur de bureau ou un ordinateur portable, un smartphone, une tablette ou encore une montre intelligente. Alternativement, l’unité de destination 102 peut être une application sur un ordinateur, une tablette ou un téléphone d’un utilisateur, tel qu’un smartphone, permettant d’accéder à une ou plusieurs boites aux lettres. Par exemple, un premier utilisateur peut recevoir un ou plusieurs courriers électroniques d’un deuxième utilisateur qui sont cryptés avec la clé publique du premier utilisateur.
Le serveur 104 peut être par exemple un ordinateur ou un groupe de dispositifs informatiques. Par exemple, le serveur peut être un ordinateur central, un groupe d’ordinateurs ou un groupe de serveurs fonctionnant comme une unité. Dans un exemple, le serveur 104 peut être un serveur de base de données couplé à un serveur Web. Le serveur 104 peut être couplé à une base de données et peut inclure n'importe quel matériel, logiciel, autre logique ou combinaison des précédents pour répondre aux demandes d'un ou plusieurs ordinateurs. Le serveur 104 peut utiliser une variété de structures informatiques, d'agencements et de compilations pour répondre aux demandes d'un ou plusieurs ordinateurs d’utilisateurs.
La clé de cryptage publique de l’utilisateur est stockée sur le serveur 104. Ainsi, l’utilisateur, afin d’accéder à ses données numériques envoie une requête au serveur 104. Par exemple, lorsque le premier utilisateur reçoit un ou plusieurs courriers électroniques du deuxième utilisateur qui sont cryptés avec la clé publique du premier utilisateur, le premier utilisateur envoie une requête au serveur 104 afin d’accéder à ses courriers électroniques. De plus, ou alternativement, la réception de la requête par le serveur 104 peut constituer l’ouverture d’une session.
Le dispositif utilisateur sécurisé 106 peut être un appareil mobile, par exemple un smartphone, un ordinateur portable, une tablette, ou une montre intelligente. Dans un autre exemple, le dispositif utilisateur sécurisé 106 et l’unité de destination 102 peuvent être un même appareil comprenant une application permettant d’accéder à une boite aux lettres et une application permettant de stocker et de libérer un mot de passe.
Le dispositif utilisateur sécurisé 106 permettant de stocker et de libérer un mot de passe permet d’accéder à l’interface de communication sécurisée 108. Par exemple, l’interface de communication sécurisée 108 peut être un serveur tiers permettant de transférer de manière sécurisée un mot de passe. Dans un autre exemple, l’interface de communication sécurisée 108 met en œuvre une session SSL/TLS via une application exécutée sur le dispositif utilisateur sécurisé 106 permettant transférer de manière sécurisée un mot de passe. Lorsque le dispositif utilisateur sécurisé 106 envoie une requête au serveur 104, le serveur 104 émet une requête à l’interface de communication sécurisée 108 qui à son tour émet une requête au dispositif utilisateur sécurisé 106 pour libérer un mot de passe stockée sur le dispositif utilisateur sécurisé 106. Par exemple, le dispositif utilisateur sécurisé 106 peut comprendre une mémoire pour stocker le mot de passe. Dans un autre exemple, le mot de passe peut être stocké dans une puce sécurisée du dispositif utilisateur sécurisé 106. Dans un exemple, l’interface de communication sécurisée 108 transmet préalablement le mot de passe au dispositif utilisateur sécurisé 106 via un canal sécurisé afin d’être stockée dans le dispositif utilisateur sécurisé 106. Par exemple, l’interface de communication sécurisée 108 et le dispositif utilisateur sécurisé 106 peuvent communiquer en cryptant le mot de passe l'un pour l'autre à l'aide d'une clé de session.
Un test de sécurité émis par le dispositif utilisateur sécurisé 106 est utilisé pour libérer le mot de passe. Par exemple, le dispositif utilisateur 106 peut comprendre un dispositif permettant de générer des données biométriques tel qu’un capteur d’empreintes digitales, de reconnaissance faciale, de balayage de l’iris ou d’analyse vocale. Le dispositif utilisateur sécurisé 106 peut demander à l’utilisateur de rentrer ses données biométriques, par exemple son empreinte digitale en posant son doigt sur le capteur biométrique via son téléphone portable. Dans un autre exemple, les données biométriques peuvent être une reconnaissance faciale ou un signe de vie tel que le pouls ou la respiration de l’utilisateur. Le dispositif utilisateur sécurisé 106 vérifie que l’empreinte digitale correspond à celle de l’utilisateur. Par exemple, le dispositif utilisateur sécurisé 106 peut stocker des données biométriques associées à un ou plusieurs utilisateurs afin de les comparer aux données biométriques générées lors du test de sécurité. Le test est validé lorsque que le dispositif utilisateur sécurisé 106 détermine que l’entrée biométrique satisfait un critère de similarité prédéfini par rapport aux données biométriques associées à l’utilisateur. Par exemple, le critère de similarité peut correspondre à un seuil de similarité entre l’entrée biométrique et les données biométriques associées à l’utilisateur.
Si le test est validé par le dispositif utilisateur sécurisé 106, le mot de passe est obtenu via l’interface de communication sécurisée 108, à partir du dispositif utilisateur sécurisé 106. Le mot de passe est ensuite transmis au serveur 104. Le serveur 104 récupère une clé privée cryptée de l’utilisateur qui est cryptée avec le mot de passe. Par exemple, le serveur 104 peut comprendre une mémoire permettant de stocker des clés privées correspondant à différents utilisateurs et cryptées avec des mots de passes stockés dans le dispositif utilisateur sécurisé 106. Le serveur 104 peut ensuite décrypter la clé privée de l’utilisateur avec le mot de passe. Une fois la clé décryptée, le serveur 104 peut décrypter les données numériques et les transmettre à l’unité de destination 102. L’utilisateur peut alors accéder à ses données numériques. Par exemple, l’utilisateur peut accéder à ses emails. Dans un exemple, la clé privée cryptée de l’utilisateur peut être conformes à la norme S/MIME et définie par un certificat S/MIME.
Dans un exemple, les données numériques comprennent une clé de cryptage primaire, et sont en outre associées à des données primaires cryptées avec les données de cryptage primaire. Des données de cryptage primaires peuvent être décryptées avec la clé de cryptage primaire. Par exemple, les données numériques peuvent être en outre associées à une copie cryptée de la clé de cryptage primaire, la copie cryptée de la clé de cryptage primaire étant cryptée avec un mot de passe sous séquestre. En particulier, deux clés différentes (par exemple, la clé primaire privée sous séquestre et la clé de cryptage privée de l'utilisateur) peuvent être utilisées pour décrypter les données numériques. Par exemple, les données numériques peuvent être cryptées avec la clé de cryptage primaire (qui est elle-même cryptée séparément avec un mot de passe sous séquestre) et avec la clé privée de l'utilisateur. Ainsi, dans un exemple, la clé primaire privée qui permet de décrypter les données numériques est stockée sous séquestre et la clé privée de l’utilisateur est stockée sur le serveur 104.
Dans un exemple, l’interface de communication sécurisée 108 effectue en outre un cryptage et un décryptage des communications avec un secret partagé connu du dispositif utilisateur sécurisé 106 et l’interface de communication sécurisée 108. Par exemple, la transmission du mot de passe entre le dispositif utilisateur sécurisé 106 via l’interface de communication 108 et le serveur 104 peut être cryptée et décryptée par le secret partagé. Le secret partagé peut être par exemple une phrase secrète, un mot de passe, une phrase secrète, un grand nombre ou une suite aléatoire de bits. Dans un exemple, avant de recevoir au niveau d'un dispositif utilisateur sécurisé 106 via une interface de communication sécurisée 108 la demande de libération du mot de passe sur l'unité de destination 102, le secret partagé peut être transféré au dispositif utilisateur sécurisé 106. Par exemple, le transfert du secret partagé au dispositif utilisateur sécurisé 106 peut comprendre le balayage d'un code à lecture optique, magnétique ou radio. Dans un autre exemple, l’interface de communications sécurisée 108 ou le dispositif utilisateur sécurisé 106 peut générer le secret partagé et le transférer au dispositif utilisateur sécurisé 106 ou à l’interface de communications sécurisée 108, respectivement. De plus, le transfert du secret partagé au dispositif utilisateur sécurisé 106 peut être effectué par le serveur 104 qui envoie une requête à l’unité de destination 102 de libérer le mot de passe qui est ensuite transmis au dispositif utilisateur 106, via l’interface de communication sécurisée 108.
La illustre un procédé 200 d’accès sécurisé a des données numériques. Les données numériques sont cryptées avec une clé de cryptage publique d'un utilisateur déterminé et stockées sur un serveur. Par exemple, le procédé 200 peut être implémenté par le système 200 décrit ci-dessus.
Au bloc 202, le procédé 200 comprend recevoir au niveau du serveur 104 une requête provenant de l’utilisateur pour accéder aux données numériques. Par exemple, un utilisateur peut envoyer une requête depuis son ordinateur ou son téléphone portable au serveur 104 pour accéder à ses emails qui sont cryptés avec la clé de cryptage publique. Dans un exemple, la réception de la requête constitue l’ouverture d’une session.
Au bloc 204, le procédé 200 comprend émettre, par le serveur 104 via une interface de communication sécurisée 108, une requête à un dispositif utilisateur sécurisé 106 pour libérer un mot de passe stockée sur le dispositif utilisateur 106. Dans un exemple, le mot de passe est stocké dans une puce sécurisée du dispositif utilisateur sécurisé 106. Dans un exemple, l’interface de communication sécurisée 108 met en œuvre une session SSL/TLS via une application exécutée sur le dispositif utilisateur sécurisé 106.
Au bloc 206, le procédé 200 comprend obtenir le mot de passe via l’interface de communication sécurisée 108, à partir du dispositif utilisateur 106 en réponse à un test de sécurité validé émis par le dispositif utilisateur 106 à un utilisateur. Par exemple, l’émission du test peut comprendre la comparaison d'une entrée biométrique avec des données biométriques associées à l’utilisateur stockées sur le dispositif utilisateur sécurisé 106, où le test de sécurité validé comprend la détermination du fait que l’entrée biométrique satisfait un critère de similarité prédéfini par rapport aux données biométriques associées à l’utilisateur. Dans un exemple, le test consiste à comparer l’empreinte digitale de l’utilisateur avec une empreinte digitale associée à l’utilisateur stockée sur le dispositif utilisateur sécurisé 106. Dans un autre exemple, le test peut consister à un contrôle facial ou une mesure de signe de vie (par exemple, un pouls ou une respiration).
Au bloc 208, le procédé comprend récupérer, via le serveur 104, une clé privée cryptée de l’utilisateur, la clé privée cryptée de l’utilisateur étant cryptée avec le mot de passe, et décrypter la clé privée cryptée de l’utilisateur avec le mot de passe pour obtenir la clé privée de l’utilisateur.
Au bloc 210, le procédé comprend décrypter les données numériques cryptées avec la clé privée de l’utilisateur, et présenter les données numériques audit utilisateur. Par exemple, les emails de l’utilisateur peuvent être décryptés avec la clé privée décryptée de l’utilisateur et l’utilisateur peut accéder à ses emails.
La illustre un procédé 300 d’accès sécurisé a des données numériques. Les données numériques sont cryptées avec une clé de cryptage publique d'un utilisateur déterminé et stockées sur un serveur. Par exemple, le procédé 300 peut être implémenté par le système 100 décrit ci-dessus, et en particulier, l’unité de destination 102, le serveur 104, l’interface de communication sécurisée 108 et le dispositif utilisateur 106 illustré dans la .
Au bloc 302, le procédé 300 comprend recevoir au niveau du dispositif utilisateur sécurisé 106 via l’interface de communication sécurisée 108 une demande de libération d’un mot de passe stockée sur le dispositif utilisateur sécurisé 106. Par exemple, le mot de passe est stocké dans une puce sécurisée du dispositif utilisateur sécurisé 106. La demande est émise en réponse à une réception au niveau du serveur 104 d'une requête provenant de l’utilisateur pour accéder aux données numériques. Dans un exemple, l’interface de communication sécurisée 108 met en œuvre une session SSL/TLS via une application exécutée sur le dispositif utilisateur sécurisé 106.
Au bloc 304, le procédé 300 comprend émettre, par le dispositif utilisateur sécurisé 108, un test de sécurité à un utilisateur de celui-ci. Par exemple, l’émission du test peut comprendre la comparaison d'une entrée biométrique avec des données biométriques associées à l’utilisateur stockées sur le dispositif utilisateur sécurisé 106, où le test de sécurité validé comprend la détermination du fait que l’entrée biométrique satisfait un critère de similarité prédéfini par rapport aux données biométriques associées à l’utilisateur. Dans un exemple, le test consiste à comparer l’empreinte digitale de l’utilisateur avec une empreinte digitale associée à l’utilisateur stockée sur le dispositif utilisateur sécurisé 106 (Ajout contrôle facial + mesure signe de vie : pouls, respiration).
Au bloc 306, le procédé 300 comprend, en réponse au test de sécurité validé, libérer par le dispositif utilisateur sécurisé 106 le mot de passe vers l’interface de communication sécurisée 108 pour une récupération par le serveur 104, le mot de passe étant utilisé dans le décryptage d’une clé privée cryptée pour obtenir la clé privée de l’utilisateur, et le décryptage des données numériques cryptées avec la clé privée de l’utilisateur, pour la présentation des données numériques à l’utilisateur.
Dans les exemples de procédés 200, 300 décrits ci-dessus, l’interface de communication sécurisée 108 peut effectuer en outre un cryptage et un décryptage des communications avec un secret partagé connu du dispositif utilisateur sécurisé 106 et de l’interface 108. Par exemple, avant de recevoir au niveau du dispositif utilisateur sécurisé 106 via l’interface de communication sécurisée 108 une demande de libération du mot de passe stockée sur le dispositif utilisateur 106, le secret partagé peut être transféré au dispositif utilisateur sécurisé 106. De plus, le transfert du secret partagé au dispositif utilisateur sécurisé 106 peut comprendre le balayage d'un code à lecture optique, magnétique ou radio.
Dans un exemple, avant de recevoir au niveau du serveur une requête provenant de l’utilisateur pour accéder aux données numériques, l’interface de communication sécurisée 108 transmet le mot de passe au dispositif utilisateur sécurisé 106 via un canal sécurisé.
De plus, dans les exemples de procédés 200, 300 décrits ci-dessus, la clé de cryptage publique de l’utilisateur déterminé et la clé privée de l’utilisateur déterminé peuvent être par exemple conformes à la norme S/MIME et définies par un certificat S/MIME.
Par ailleurs, dans les exemples de procédés 200, 300 décrits ci-dessus, les données numériques peuvent comprendre une clé de cryptage primaire, et peuvent être en outre associées à des données primaires cryptées avec les données de cryptage primaire, le procédé 200, 300 comprenant une étape ultérieure de décryptage des données de cryptage primaire avec la clé de cryptage primaire. De plus, les données numériques sont en outre associées à une copie cryptée de la clé de cryptage primaire, la copie cryptée de la clé de cryptage primaire étant cryptée avec un mot de passe sous séquestre.
Il doit être compris que les modes de réalisation de la présente invention peuvent être mis en œuvre par un produit-programme d’ordinateur comprenant des instructions et étant exécuté par un ordinateur. Par exemple, les procédés 200, 300 peuvent être mise en œuvre en utilisant des dispositifs informatiques, un logiciel et/ou une combinaison de ceux-ci. Par exemple, les dispositifs informatiques peuvent être mis en œuvre à l'aide de circuits de traitement tels que, mais sans s'y limiter, un processeur, une unité centrale de traitement (CPU), un contrôleur, une unité arithmétique et logique (ALU), un processeur de signal numérique, un micro-ordinateur, un champ un réseau de portes programmable (FPGA), un système sur puce (SoC), une unité logique programmable, un microprocesseur ou tout autre dispositif capable de répondre et d'exécuter des instructions d'une manière définie. Le logiciel peut inclure un programme informatique, un code de programme, des instructions, ou une combinaison de ceux-ci, pour instruire ou configurer indépendamment ou collectivement un dispositif matériel pour qu'il fonctionne comme souhaité. Le programme informatique et/ou le code de programme peuvent comprendre des instructions de programme ou lisibles par ordinateur, des composants logiciels, des modules logiciels, des fichiers de données, des structures de données et/ou similaires, pouvant être mis en œuvre par un ou plusieurs dispositifs matériels, tels qu'un ou plus des périphériques matériels mentionnés ci-dessus. Lorsqu'un dispositif matériel est un dispositif de traitement informatique (par exemple, CPU, un contrôleur, une ALU, un processeur de signal numérique, un micro-ordinateur, un microprocesseur, etc.), le dispositif de traitement informatique peut être configuré pour exécuter un code de programme en effectuant des opérations arithmétiques, opérations logiques et d'entrée/sortie, selon le code du programme. L’unité de contrôle 106 peut également comprendre un ou plusieurs dispositifs de stockage. Le ou les dispositifs de stockage peuvent être des supports de stockage lisibles par ordinateur tangibles ou non transitoires, tels qu'une mémoire vive (RAM), une mémoire morte (ROM), un dispositif de stockage de masse permanent (tel qu'un lecteur de disque), un (par exemple, flash NAND) et/ou tout autre mécanisme de stockage de données similaire capable de stocker et d'enregistrer des données. Le ou les dispositifs de stockage peuvent être configurés pour stocker des programmes informatiques, un code de programme, des instructions ou une combinaison de ceux-ci, pour un ou plusieurs systèmes d'exploitation et/ou pour mettre en œuvre les exemples de modes de réalisation décrits ici. Les programmes informatiques, le code de programme, les instructions ou une combinaison de ceux-ci peuvent également être chargés à partir d'un support de stockage lisible par ordinateur séparé dans le ou les dispositifs de stockage et/ou un ou plusieurs dispositifs de traitement informatique à l'aide d'un mécanisme d'entraînement. Un tel support de stockage lisible par ordinateur séparé peut comprendre une clé USB (Universal Serial Bus), une clé mémoire, un lecteur Blu-ray/DVD/CD-ROM, une carte mémoire et/ou d'autres supports de stockage lisibles par ordinateur.
Comme illustré ci-dessus, l’invention permet l’utilisation d’un système simple permettant d’accéder à des données de façon hautement sécurisée. De plus, l’invention ne nécessite pas l’utilisation d’un protocole d’authentification multifacteur. Le procédé d'accès sécurisé à des données numériques permet une configuration et une utilisation simple, ainsi qu’une intégration simple à des systèmes non conformes. Le système décrit ci-dessus n’utilise pas de mots de passe utilisateur, ce qui élimine la nécessité pour l’utilisateur de se souvenir d’une chaîne de lettres et de chiffres. De plus, un mot de passe utilisateur de huit caractères simples demande à un ordinateur de force brute de deux heures à 21 jours pour le déchiffrer selon la complexité de la phrase. Au contraire, le système ci-dessus utilise un hachage de 2048 bits qui nécessiterait 15 milliards d'années pour être déchiffré en utilisant les ordinateurs les plus rapides d'aujourd'hui. Par ailleurs, le système décrit ci-dessus peut utiliser une puce cryptée sécurisée pour le stockage qui ne peut pas être mise en cache sans le scan biométrique de l'utilisateur. Au contraire, d'autres systèmes stockent les mots de passe et les clés de cryptage sur le serveur, auxquels l'administration des systèmes ou le personnel d'un centre de données peuvent accéder.
Bien que l'invention ait été illustrée et décrite en détail à l'aide de modes de réalisations préférés, l'invention n'est pas limitée aux exemples divulgués. D'autres variantes peuvent être déduites par l'homme du métier sans sortir du cadre de protection de l'invention revendiquée. Par exemple, l’unité de destination 102, le serveur 104, l’interface de communication sécurisée 108 et le dispositif utilisateur 106 ont été décrits comme étant différentes unités. Dans un autre exemple, deux ou plus de ces unités peuvent être une même unité. Par exemple, l’interface de communication sécurisée 108 et l’unité de destination 102 peuvent être une même unité telle qu’un smartphone ou une tablette d’un utilisateur. Dans un autre exemple, le serveur 104 et l’interface de communication sécurisée 108 peuvent être une même unité dans laquelle les transferts décrits ci-dessus sont automatisés.
Claims (16)
- Procédé d'accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé et stockées sur un serveur, ledit procédé comprenant les étapes suivantes :
- recevoir au niveau dudit serveur une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
- émettre, par ledit serveur via une interface de communication sécurisée, une requête à un dispositif utilisateur sécurisé pour libérer un mot de passe stockée sur ledit dispositif utilisateur ;
- obtenir ledit mot de passe via ladite interface de communication sécurisée, à partir dudit dispositif utilisateur en réponse à un test de sécurité validé émis par ledit dispositif utilisateur à un utilisateur ; et
- récupérer, via ledit serveur, une clé privée cryptée dudit utilisateur, ladite clé privée cryptée dudit utilisateur étant cryptée avec ledit mot de passe, et décrypter ladite clé privée cryptée dudit utilisateur avec ledit mot de passe pour obtenir la clé privée dudit utilisateur, et décrypter lesdites données numériques cryptées avec ladite clé privée dudit utilisateur, et présenter lesdites données numériques audit utilisateur.
- Procédé selon la revendication précédente, dans lequel l’étape A constitue l’ouverture d’une session, le procédé comprenant une étape ultérieure consistant à supprimer ladite clé privée et ledit mot de passe d’une mémoire dudit serveur quand la session est considérée comme terminée.
- Procédé d'accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé et stockées sur un serveur, ledit procédé comprenant les étapes suivantes :
A. recevoir au niveau d'un dispositif utilisateur sécurisé via une interface de communication sécurisée une demande de libération d’un mot de passe stockée sur ledit dispositif utilisateur, ladite demande étant émise en réponse à une réception au niveau dudit serveur d'une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
B. émettre, par ledit dispositif sécurisé, un test de sécurité à un utilisateur de celui-ci, et en réponse au test de sécurité validé, libérer par ledit dispositif utilisateur sécurisé ledit mot de passe vers ladite interface de communication sécurisée pour une récupération par ledit serveur, ledit mot de passe étant utilisé dans le décryptage d’une clé privée cryptée pour obtenir la clé privée dudit utilisateur, et le décryptage desdites données numériques cryptées avec ladite clé privée dudit utilisateur, pour la présentation desdites données numériques audit utilisateur. - Procédé selon l'une quelconque des revendications précédentes, dans lequel ladite étape d'émission d'un test de sécurité par ledit dispositif utilisateur sécurisé comprend la comparaison d'une entrée biométrique avec des données biométriques associées audit utilisateur stockées sur ledit dispositif utilisateur sécurisé, où ledit test de sécurité validé comprend la détermination du fait que ladite entrée biométrique satisfait un critère de similarité prédéfini par rapport auxdites données biométriques associées audit utilisateur.
- Procédé selon l'une quelconque des revendications précédentes, dans lequel le mot de passe est stocké dans une puce sécurisée dudit dispositif utilisateur sécurisé.
- Procédé selon l'une quelconque des revendications précédentes, dans lequel ladite interface de communication sécurisée met en œuvre une session SSL/TLS via une application exécutée sur ledit dispositif utilisateur sécurisé.
- Procédé selon l'une quelconque des revendications précédentes, dans lequel ladite interface de communication sécurisée effectue en outre un cryptage et un décryptage des communications avec un secret partagé connu dudit dispositif utilisateur sécurisé et de ladite interface.
- Procédé selon la revendication 7, comprenant une étape supplémentaire, avant l’étape A, consistant à transférer ledit secret partagé audit dispositif utilisateur sécurisé.
- Procédé selon revendication 8, dans lequel ladite étape de transfert dudit secret partagé audit dispositif utilisateur sécurisé comprend le balayage d'un code à lecture optique, magnétique ou radio.
- Procédé selon l'une quelconque des revendications précédentes, dans lequel ladite clé de cryptage publique dudit utilisateur déterminé et ladite clé privée dudit utilisateur déterminé sont conformes à la norme S/MIME et définies par un certificat S/MIME.
- Procédé selon l'une quelconque des revendications précédentes, dans lequel lesdites données numériques comprennent une clé de cryptage primaire, et sont en outre associées à des données primaires cryptées avec lesdites données de cryptage primaire, ledit procédé comprenant une étape ultérieure de décryptage desdites données de cryptage primaire avec ladite clé de cryptage primaire.
- Procédé selon la revendication 11, dans lequel lesdites données numériques sont en outre associées à une copie cryptée de ladite clé de cryptage primaire, ladite copie cryptée de ladite clé de cryptage primaire étant cryptée avec un mot de passe sous séquestre.
- Procédé selon l'une quelconque des revendications 1 à 9, dans lequel, avant ladite étape A, ladite interface de communication sécurisée transmet ledit mot de passe audit dispositif utilisateur sécurisé via un canal sécurisé.
- Produit-programme d’ordinateur comprenant des instructions qui, lorsque le programme est exécuté par un ordinateur, amènent l'ordinateur à mettre en œuvre le procédé de l'une quelconque des revendications précédentes.
- Système permettant l’accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé, le système comprenant :
- une unité de destination configurée pour recevoir les données numériques ;
- un serveur configuré pour stocker la clé de cryptage publique de l’utilisateur et recevoir une requête provenant dudit utilisateur pour accéder auxdites données numériques ;
- un dispositif utilisateur configuré pour stocker un mot de passe ; et
- une interface de communication sécurisée configurée pour émettre une requête au dispositif utilisateur sécurisé pour libérer le mot de passe et obtenir ledit mot de passe à partir dudit dispositif utilisateur en réponse à un test de sécurité validé émis par ledit dispositif utilisateur à un utilisateur,
dans lequel le serveur est configuré pour récupérer une clé privée cryptée dudit utilisateur, ladite clé privée cryptée dudit utilisateur étant cryptée avec ledit mot de passe, et décrypter ladite clé privée cryptée dudit utilisateur avec ledit mot de passe pour obtenir la clé privée dudit utilisateur, et décrypter lesdites données numériques cryptées avec ladite clé privée dudit utilisateur, et présenter lesdites données numériques audit utilisateur. - Système permettant l’accès sécurisé à des données numériques, lesdites données numériques étant cryptées avec une clé de cryptage publique d'un utilisateur déterminé, le système comprenant :
- un serveur configuré pour stocker la clé de cryptage publique de l’utilisateur ; et
- un dispositif utilisateur sécurisé configuré pour recevoir via une interface de communication sécurisée une demande de libération d’un mot de passe stockée sur ledit dispositif utilisateur, ladite demande étant émise en réponse à une réception au niveau dudit serveur d'une requête provenant dudit utilisateur pour accéder auxdites données numériques, émettre un test de sécurité à un utilisateur de celui-ci, et en réponse au test de sécurité validé, libérer ledit mot de passe vers ladite interface de communication sécurisée pour une récupération par ledit serveur, ledit mot de passe étant utilisé dans le décryptage d’une clé privée cryptée pour obtenir la clé privée dudit utilisateur, et le décryptage desdites données numériques cryptées avec ladite clé privée dudit utilisateur, pour la présentation desdites données numériques audit utilisateur.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2201865A FR3133247A1 (fr) | 2022-03-03 | 2022-03-03 | Procédé d’accès sécurisé à des données numériques |
US18/115,977 US20230283467A1 (en) | 2022-03-03 | 2023-03-01 | Method for Secure Access to Digital Data |
FR2301966A FR3133250A1 (fr) | 2022-03-03 | 2023-03-02 | Procédé d’accès sécurisé à des données numériques |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2201865A FR3133247A1 (fr) | 2022-03-03 | 2022-03-03 | Procédé d’accès sécurisé à des données numériques |
FR2201865 | 2022-03-03 |
Publications (1)
Publication Number | Publication Date |
---|---|
FR3133247A1 true FR3133247A1 (fr) | 2023-09-08 |
Family
ID=82100266
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR2201865A Pending FR3133247A1 (fr) | 2022-03-03 | 2022-03-03 | Procédé d’accès sécurisé à des données numériques |
FR2301966A Pending FR3133250A1 (fr) | 2022-03-03 | 2023-03-02 | Procédé d’accès sécurisé à des données numériques |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR2301966A Pending FR3133250A1 (fr) | 2022-03-03 | 2023-03-02 | Procédé d’accès sécurisé à des données numériques |
Country Status (2)
Country | Link |
---|---|
US (1) | US20230283467A1 (fr) |
FR (2) | FR3133247A1 (fr) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5604801A (en) * | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
US20020178366A1 (en) * | 2001-05-24 | 2002-11-28 | Amiran Ofir | Method for performing on behalf of a registered user an operation on data stored on a publicly accessible data access server |
US11025598B1 (en) * | 2020-02-08 | 2021-06-01 | Mockingbird Ventures, LLC | Method and apparatus for managing encryption keys and encrypted electronic information on a network server |
-
2022
- 2022-03-03 FR FR2201865A patent/FR3133247A1/fr active Pending
-
2023
- 2023-03-01 US US18/115,977 patent/US20230283467A1/en active Pending
- 2023-03-02 FR FR2301966A patent/FR3133250A1/fr active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5604801A (en) * | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
US20020178366A1 (en) * | 2001-05-24 | 2002-11-28 | Amiran Ofir | Method for performing on behalf of a registered user an operation on data stored on a publicly accessible data access server |
US11025598B1 (en) * | 2020-02-08 | 2021-06-01 | Mockingbird Ventures, LLC | Method and apparatus for managing encryption keys and encrypted electronic information on a network server |
Also Published As
Publication number | Publication date |
---|---|
FR3133250A1 (fr) | 2023-09-08 |
US20230283467A1 (en) | 2023-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9912645B2 (en) | Methods and apparatus to securely share data | |
US10063372B1 (en) | Generating pre-encrypted keys | |
US9537918B2 (en) | File sharing with client side encryption | |
EP3216188B1 (fr) | Actions d'effacement de contenu d'itinérance sur plusieurs dispositifs | |
TWI578749B (zh) | 用於遷移金鑰之方法及設備 | |
US20140140508A1 (en) | Method, System and Program Product for Secure Storage of Content | |
US10289835B1 (en) | Token seed protection for multi-factor authentication systems | |
US9313185B1 (en) | Systems and methods for authenticating devices | |
US11621834B2 (en) | Systems and methods for preserving data integrity when integrating secure multiparty computation and blockchain technology | |
FR3048530B1 (fr) | Systeme ouvert et securise de signature electronique et procede associe | |
WO2020155812A1 (fr) | Procédé et dispositif de stockage de données, et appareil | |
US9137219B1 (en) | Methods and systems for securely managing multimedia data captured by mobile computing devices | |
GB2546612A (en) | Password-authenticated public key encryption and decryption | |
EP2772869B1 (fr) | Procédé et système de traitement cryptographique utilisant une donnée sensible | |
US20180048631A1 (en) | Transaction based message security | |
US10540522B2 (en) | Storing data securely in a database | |
FR2980011A1 (fr) | Procede de mise en oeuvre, a partir d'un terminal, de donnees cryptographiques d'un utilisateur stockee dans une base de donnees distante | |
FR3133247A1 (fr) | Procédé d’accès sécurisé à des données numériques | |
US11321323B2 (en) | Method and system for searching for at least a specific datum in a user unit | |
US11811921B2 (en) | Photon-level light shifting for enhanced file system security and authenticity | |
EP3231152B1 (fr) | Procédé de chiffrement dynamique de données, et procédé de contrôle de droits de déchiffrement associé | |
FR3136073A1 (fr) | Procédé d’envoi sécurisé d’un courrier électronique | |
US20240089098A1 (en) | Decryption key generation and recovery | |
WO2020128215A1 (fr) | Réinitialisation d'un secret applicatif au moyen du terminal | |
WO2023057652A1 (fr) | Application de sécurité pour un dispositif informatique, et architecture de sécurité correspondante |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 2 |
|
RX | Complete rejection |
Effective date: 20231010 |