CH716282A2 - Procédé de traitement distribué, sous enclaves, de données informatiques chiffrées au moyen d'une application chiffrée. - Google Patents

Procédé de traitement distribué, sous enclaves, de données informatiques chiffrées au moyen d'une application chiffrée. Download PDF

Info

Publication number
CH716282A2
CH716282A2 CH00754/19A CH7542019A CH716282A2 CH 716282 A2 CH716282 A2 CH 716282A2 CH 00754/19 A CH00754/19 A CH 00754/19A CH 7542019 A CH7542019 A CH 7542019A CH 716282 A2 CH716282 A2 CH 716282A2
Authority
CH
Switzerland
Prior art keywords
data
enclave
master
container
enclaves
Prior art date
Application number
CH00754/19A
Other languages
English (en)
Inventor
Attia Jonathan
Louiset Raphaël
Original Assignee
Lapsechain Sa C/O Leax Avocats
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lapsechain Sa C/O Leax Avocats filed Critical Lapsechain Sa C/O Leax Avocats
Priority to CH00754/19A priority Critical patent/CH716282A2/fr
Publication of CH716282A2 publication Critical patent/CH716282A2/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un procédé de traitement de données ( 12 ) informatiques contenues dans un premier conteneur ( 16 ) chiffré, au moyen d'une application ( 14 ) tierce contenue dans un deuxième conteneur ( 18 ) chiffré, ce traitement étant conduit de manière distribuée au sein d'enclaves ( 5M , 5E ) cryptographiques reliées en réseau sécurisé.

Description

DOMAINE TECHNIQUE
[0001] L'invention a trait au domaine de l'informatique, et plus précisément au domaine du traitement des données informatiques au moyen d'une application.
ART ANTERIEUR
[0002] Un programme d'ordinateur comprend des instructions au moyen desquelles, par l'intermédiaire d'une unité de traitement, des opérations sont réalisées sur des données d'entrée (en anglais input), pour fournir, à partir de celles-ci, des données de sortie ou résultat (en anglais output).
[0003] Le traitement de données en masse (en anglais big data) tend à s'industrialiser. Des programmes spécialisés scrutent les flux de données (tout particulièrement les données personnelles des usagers) circulant sur la Toile, procèdent à des analyses de ces données, effectuent des calculs (notamment statistiques) puis stockent leurs résultats sur des bases de données aux fins d'une exploitation ultérieure (notamment commerciale).
[0004] Pour éviter que leurs données personnelles soient exploitées sans leur autorisation, ou pour conserver un relatif anonymat sur la Toile, certains usagers prennent la précaution de les chiffrer.
[0005] Certaines données font d'ailleurs (ou devraient faire) l'objet d'un chiffrement systématique, en raison de leur caractère confidentiel (typiquement les données de santé ou les données financières), les instances chargées de leur gestion (hôpitaux, banques) étant soumises à des obligations professionnelles de secret, et responsables à ce titre de l'usage qui pourrait en être fait par des tiers non autorisés.
[0006] Les données chiffrées sont cependant inaccessibles - et donc inexploitables - pour qui ne dispose pas d'une clé cryptographique appropriée permettant leur déchiffrement.
[0007] Pourtant il existe de nombreux cas où le propriétaire des données (typiquement un patient d'un institut médical ou un client d'une banque) peut souhaiter, sous conditions, autoriser un tiers intéressé à procéder à un traitement des données, sans pour autant communiquer à ce tiers la clé de déchiffrement, ni l'autoriser à accéder pleinement aux données lorsque seule une partie de ces données est susceptible de l'intéresser.
[0008] Inversement, le tiers intéressé peut souhaiter conserver secrètes, vis-à-vis d'autres tiers encore, ses propres routines d'analyse, et chiffrer les données programmatiques de ses applications, dont le développement est le fruit d'un savoir-faire précieux.
[0009] L'invention vise à offrir une solution à ces problèmes, en proposant un procédé de traitement de données chiffrées qui permette à la fois à une application de traiter ces données sans affecter leur confidentialité, et à l'application elle-même de demeurer confidentielle.
RESUME DE L'INVENTION
[0010] Il est proposé un procédé de traitement de données informatiques au moyen d'une application tierce se présentant sous forme d'un ou plusieurs fichier(s) de données programmatiques, ce procédé comprenant les opérations consistant à : Chiffrer les données à traiter pour former un premier conteneur crypté de données ; Mémoriser séparément le premier conteneur crypté et une première clé cryptographique de déchiffrement de celui-ci ; Chiffrer le(s) fichier(s) de données programmatiques de l'application tierce pour former un deuxième conteneur crypté ; Mémoriser séparément le deuxième conteneur et une deuxième clé cryptographique de déchiffrement associée ; A réception d'une requête de traitement des données par l'application tierce, sélectionner une unité de traitement informatique, dite maîtresse, dans laquelle est implémenté un environnement d'exécution sécurisé par cryptographie, dit enclave ; Instancier cette enclave, dite enclave maîtresse ; Charger dans l'enclave maîtresse le premier conteneur et la première clé cryptographique de déchiffrement associée, ainsi que le deuxième conteneur et la deuxième clé cryptographique de déchiffrement associée ; Sélectionner une ou plusieurs unités de traitement informatique, dites esclaves, reliées en réseau à l'unité de traitement maîtresse, et dans chacune desquelles est implémentée une enclave dite esclave ; Instancier les enclaves esclaves ; Etablir une connexion cryptée entre l'enclave maîtresse et les enclaves esclaves ; Dans l'enclave maîtresse, déchiffrer les données du premier du premier conteneur au moyen de la première clé cryptographique de déchiffrement associée, et déchiffrer le(s) fichier(s) de données programmatiques de l'application ou des applications tierce(s) contenu(s) dans le deuxième conteneur au moyen de la deuxième clé cryptographique de déchiffrement associée ; Partager, à partir de l'enclave maîtresse, tout ou partie des données à traiter, issues du premier conteneur, vers les enclaves esclaves ; Partager, à partir de l'enclave maîtresse, tout ou partie du ou des fichier(s) de données programmatiques de l'application vers les enclaves esclaves ; Partager, à partir de l'enclave maîtresse et vers les enclaves esclaves, l'exécution de l'application tierce sur les données à traiter ; Hors des enclaves, mémoriser le résultat de cette exécution sur un emplacement mémoire prédéfini. Hors de l'enclave, mémoriser le résultat de cette exécution sur un emplacement mémoire prédéfini.
[0011] Il peut être prévu, préalablement à l'opération de mémorisation du résultat hors enclave, une opération d'agrégation du résultat dans l'enclave maîtresse.
BREVE DESCRIPTION DES FIGURES
[0012] D'autres objets et avantages de l'invention apparaîtront à la lumière de la description d'un mode de réalisation, faite ci-après en référence aux dessins annexés dans lesquels : <tb><SEP>LaFIG.1est un schéma simplifié illustrant un réseau informatique dont au moins un nœud est équipé d'une unité de traitement sur laquelle est implémentée une enclave ; <tb><SEP>LaFIG.2est un schéma fonctionnel illustrant le stockage de données chiffrées à traiter et d'une application également chiffrée ; <tb><SEP>LaFIG.3est un schéma fonctionnel illustrant le traitement des données par l'application.
DESCRIPTION DETAILLEE DE L'INVENTION
[0013] Le procédé proposé vise à traiter, de manière confidentielle, des données informatiques au moyen d'une application tierce (c'est-à-dire provenant d'un éditeur distinct de l'émetteur des données).
[0014] Ce traitement peut être conduit au sein d'un réseau1informatique (qui, comme illustré, peut être du type pair-à-pair) comprenant une pluralité de nœuds2(ordinateurs, serveurs).
[0015] Le procédé de traitement proposé exploite notamment la technologie de l'environnement d'exécution sécurisé ou, en terminologie anglo-saxonne, du trusted execution environment (TEE).
[0016] Par référence à laFIG.1, un environnement d'exécution sécurisé (Trusted execution environment ou TEE) est, au sein d'une unité3de traitement informatique équipant un nœud2et pourvue d'un processeur ou CPU (Central Processing Unit)4, un espace5temporaire de calcul et de stockage de données, appelé (par convention) enclave, ou encore enclave cryptographique, qui se trouve isolé, par des moyens cryptographiques, de toute action non autorisée résultant de l'exécution d'une application hors de cet espace, typiquement du système d'exploitation.
[0017] Intel® a, par exemple, revu à partir de 2013 la structure et les interfaces de ses processeurs pour y inclure des fonctions d'enclave, sous la dénomination Software Guard Extension, plus connue sous l'acronyme SGX. SGX équipe la plupart des processeurs de type XX86 commercialisés par Intel® depuis 2015, et plus précisément à partir de la sixième génération incorporant la microarchitecture dite Skylake. Les fonctions d'enclave proposées par SGX ne sont pas accessibles d'office : il convient de les activer via le système élémentaire d'entrée/sortie (Basic Input Output System ou BIOS).
[0018] Il n'entre pas dans les nécessités de la présente description de détailler l'architecture des enclaves, dans la mesure où : En dépit de sa relative jeunesse, cette architecture est relativement bien documentée, notamment par Intel® qui a déposé de nombreux brevets, cf. par ex., parmi les plus récents, la demande de brevet américain US 2019/0058696 ; Des processeurs permettant de les implémenter sont disponibles sur le marché - notamment les processeur Intel® précités ; Seules les fonctionnalités permises par l'enclave nous intéressent ici, ces fonctionnalités pouvant être mises en œuvre via des lignes de commande spécifiques. A ce titre, l'homme du métier pourra se référer au guide édité en 2016 par Intel® : Software Guard Extensions, Developer Guide.
[0019] Pour une description plus accessible des enclaves, et plus particulièrement d'Intel® SGX, l'homme du métier peut également se référer à A. Adamski, Overview of Intel SGX - Part 1, SGX Internal, ou à D. Boneh, Surnaming Schemes, Fast Verification, and Applications to SGX Technology, in Topics in Cryptology, CT - RSA 2017, The Cryptographers' Track at the RSA Conférence 2017, San Francisco, CA, USA, Feb.14-17, 2017, Proceedings, pp.149-164, ou encore à K. Severinsen, Secure Programming with Intel SGX and Novel Applications, Thesis submitted for the Degree of Master in Programming and Networks, Dept. Of Informatics, Faculty of Mathematics and Natural Science, University of Oslo, Autumn 2017.
[0020] Pour résumer, en référence à laFIG.1, une enclave5comprend, en premier lieu, une zone6mémoire sécurisée (dénommée Page Cache d'enclave, en anglais Enclave Page Cache ou EPC), qui contient du code et des données relatives à l'enclave elle-même, et dont le contenu est chiffré et déchiffré en temps réel par une puce dédiée dénommée Moteur de Chiffrement de Mémoire (en anglais Memory Encryption Engine ou MEE). L'EPC6est implémentée au sein d'une partie de la mémoire vive dynamique (DRAM)7allouée au processeur4, et à laquelle les applications ordinaires (notamment le système d'exploitation) n'ont pas accès.
[0021] L'enclave5comprend, en deuxième lieu, des clés cryptographiques employées pour chiffrer ou signer à la volée les données sortant de l'EPC6, ce grâce à quoi l'enclave5peut être identifiée (notamment par d'autres enclaves), et les données qu'elle génère peuvent être chiffrées pour être stockées dans des zones de mémoire non protégées (c'est-à-dire hors de l'EPC6).
[0022] Pour pouvoir exploiter une telle enclave5, une application8doit être segmentée en, d'une part, une ou plusieurs parties9non sécurisées (en anglais untrusted part(s)), et, d'autre part, une ou plusieurs parties10sécurisées (en anglais trusted part(s)).
[0023] Seuls les processus induits par la (les) partie(s)10sécurisée(s) de l'application8peuvent accéder à l'enclave5. Les processus induits par la (les) partie(s)9non sécurisée(s) ne peuvent pas accéder à l'enclave5, c'est-à-dire qu'ils ne peuvent pas dialoguer avec les processus induits par la (les) partie(s)10sécurisée(s).
[0024] La création (également dénommée instanciation) de l'enclave5et le déroulement de processus en son sein sont commandés via un jeu11d'instructions particulières exécutables par le processeur4et appelées par la (les) partie(s)10sécurisée(s) de l'application8.
[0025] Parmi ces instructions : ECREATE commande la création d'une enclave5 ; EINIT commande l'initialisation de l'enclave5 ; EADD commande le chargement de code dans l'enclave5 ; ERESUME commande une nouvelle exécution de code dans l'enclave5 ; EEXIT commande la sortie de l'enclave5, typiquement à la fin d'un processus exécuté dans l'enclave5.
[0026] On a, sur laFIG.1, représenté de manière fonctionnelle l'enclave5sous la forme d'un bloc (en traits pointillés) englobant la partie10sécurisée de l'application8, le jeu11d'instructions du processeur4, et l'EPC6. Cette représentation n'est pas réaliste ; elle vise simplement à regrouper visuellement les principaux éléments qui composent ou exploitent l'enclave5.
[0027] Nous expliquerons ci-après comment sont exploitées les enclaves.
[0028] Comme cela est visible sur laFIG.1, on a représenté des données12à traiter sous forme d'un dossier. Ces données12peuvent se présenter sous forme d'un ou plusieurs fichiers informatiques. Les données12peuvent être structurées, par ex. sous forme de fichiers de bases de données, de formulaires, de tableurs, de documents. Il peut également s'agir de données brutes, non structurées.
[0029] Ces données12sont créées, ou temporairement stockées, en clair (c'est-à-dire sous forme non chiffrée), au sein d'un terminal13dit émetteur, relié à un réseau1.
[0030] Le traitement des données est destiné à être réalisé au moyen d'une application14tierce qui se présente sous forme d'un ou plusieurs fichiers de données programmatiques (c'est-à-dire de données représentant des instructions d'un programme d'ordinateur).
[0031] Les données programmatiques peuvent être des lignes de code en langage haut niveau (code source). Dans ce cas, les données programmatiques se présentent typiquement sous forme de fichiers texte. Elles peuvent également se présenter sous forme d'un ou plusieurs fichiers de code intermédiaire (bytecode), ou encore sous forme d'un ou plusieurs fichiers de code exécutable directement par un processeur.
[0032] L'application14est créée (ou éditée), ou temporairement stockée, en clair (c'est-à-dire sous forme non chiffrée), au sein d'un terminal15dit éditeur, relié à un réseau1(qui peut être le même que celui auquel est relié l'émetteur13).
[0033] Avant d'être stockées sur le réseau1en vue d'un futur traitement, les données12sont d'abord chiffrées pour former un premier conteneur16crypté de données. Le déchiffrement du premier conteneur16crypté ne peut être réalisé qu'au moyen d'une première clé17cryptographique de déchiffrement. Selon un mode particulier de réalisation, une seule clé17est utilisée à la fois pour le chiffrement et le déchiffrement. Dans ce cas, le chiffrement est dit symétrique.
[0034] Dans l'exemple illustré, le chiffrement est réalisé au sein du terminal13émetteur.
[0035] Une fois les données12chiffrées, le premier conteneur16et la première clé17de déchiffrement sont mémorisés séparément (ici sur des nœuds2distincts du réseau1).
[0036] De même, avant d'être stockée sur le réseau1en vue d'une future utilisation, l'application14est d'abord chiffrée pour former un deuxième conteneur18crypté. Le déchiffrement du deuxième conteneur18crypté ne peut être réalisé qu'au moyen d'une deuxième clé19cryptographique de déchiffrement. Selon un mode particulier de réalisation, une seule clé19est utilisée à la fois pour le chiffrement et le déchiffrement. Dans ce cas, le chiffrement est dit symétrique.
[0037] Dans l'exemple illustré, le chiffrement est réalisé au sein du terminal15éditeur.
[0038] Une fois l'application14chiffrée, le deuxième conteneur18et la deuxième clé19de déchiffrement sont mémorisés séparément (ici sur des nœuds2distincts du réseau1).
[0039] Le traitement des données12par l'application14peut être sollicité, sur requête, par un utilisateur (qui peut être l'éditeur15). Dans ce cas, une requête de traitement des données12par l'application14est émise par l'utilisateur.
[0040] Pour réaliser ce traitement, une première opération consiste, à réception (par le réseau1) de la requête de traitement des données12, à sélectionner une unité3Mde traitement informatique (équipant par ex. un nœud2du réseau1), dite maîtresse, dans laquelle est implémentée une enclave5M, dite maîtresse.
[0041] Une deuxième opération consiste à instancier l'enclave5maîtresse.
[0042] Une troisième opération consiste à charger dans l'enclave5maîtresse (de préférence via des lignes20de communication sécurisées, typiquement utilisant le protocole Transport Layer Security ou TLS) : Le premier conteneur16et la première clé17cryptographique de déchiffrement qui lui est associée ; Le deuxième18conteneur et la deuxième clé19cryptographique de déchiffrement qui lui est associée.
[0043] A cet effet, l'enclave5maîtresse est avantageusement pourvue, dès son instanciation, d'une émulation d'interface21de communication supportant le protocole choisi (ici TLS) pour l'échange des données sécurisées.
[0044] Une quatrième opération consiste à sélectionner une ou plusieurs unités3Ede traitement informatique (équipant par ex. un ou plusieurs nœuds2du réseau1), dites esclaves, dans chacune desquelles est implémentée une enclave5E, dite esclave.
[0045] Une cinquième opération consiste à instancier les enclaves5Eesclaves, une sixième opération consistant à établir une connexion cryptée entre l'enclave5Mmaîtresse et les enclaves5Eesclaves.
[0046] Une septième opération consiste, dans l'enclave5Mmaîtresse, à déchiffrer les données du premier conteneur16au moyen de la première clé17de déchiffrement. A l'issue de cette opération, les données12sont accessibles en clair dans l'enclave5(mais pas depuis l'extérieur de celle-ci).
[0047] A cet effet, l'enclave5Mmaîtresse est avantageusement pourvue d'un module22de déchiffrement.
[0048] Une huitième opération consiste, dans l'enclave5, à déchiffrer le(s) fichier(s) de données programmatiques de l'application14tierce contenu(s) dans le deuxième conteneur18, au moyen de la deuxième clé19de déchiffrement. Cette opération est ici réalisée par le module22de déchiffrement. A l'issue de cette opération, l'application14est accessible en clair dans l'enclave5(mais pas depuis l'extérieur de celle-ci).
[0049] Une neuvième opération consiste à partager, à partir de l'enclave5Mmaîtresse, tout ou partie des données12à traiter, issues du premier conteneur16, vers les enclaves5Eesclaves.
[0050] Une dixième opération consiste à partager, à partir de l'enclave5Mmaîtresse, tout ou partie du ou des fichier(s) de données programmatiques de l'application14tierce, vers les enclaves5Eesclaves.
[0051] Ces partages s'effectuent via les liaisons sécurisées établies entre les enclaves5M,5E.
[0052] Une onzième opération consiste à partager, à partir de l'enclave5Met vers les enclaves5Eesclaves, l'exécution de l'application14tierce sur les données12à traiter.
[0053] Cette exécution est avantageusement conduite, au sein de chaque enclave5M,5E, par un module de calcul.
[0054] Chaque enclave5Eesclave peut exécuter une partie des instructions de l'application14, en sorte qu'ensemble toutes les enclaves5M,5Eexécutent toutes les instructions de l'application14.
[0055] La division des tâches (correspondant aux instructions de l'application14) est avantageusement pilotée par l'enclave5Mmaîtresse, qui sous-traite aux enclaves5Eesclaves l'exécution de toute ou partie des tâches.
[0056] Lorsque l'application14se présente sous forme d'un (ou plusieurs) fichier(s) exécutable(s), cette exécution peut être conduite directement. Lorsque l'application14se présente sous forme de code source ou de bytecode, il convient de le compiler au préalable. Dans ce cas, on peut charger dans l'enclave5Mmaîtresse, préalablement à l'exécution, un programme de compilation.
[0057] L'exécution de l'application14sur les données produit un résultat23. Ce résultat23est mémorisé, hors des enclaves5M,5E, sur un emplacement mémoire prédéfini (au préalable, il peut être prévu une opération d'agrégation du résultat23dans l'enclave8Mmaîtresse). Dans l'exemple illustré, le résultat23est transmis par un nœud2du réseau.
[0058] Grâce à ce procédé, les données12peuvent être analysées sans être disponibles en clair hors des enclaves5M,5E, auxquelles les tiers n'ont pas accès. En outre, les données12ne sont pas non plus communiquées à l'éditeur15pour qu'il procède lui-même à l'exécution de son application14. L'éditeur15ne dispose donc pas des données12 : il ne dispose que du résultat fourni par l'exécution de son application14. Il en résulte le maintien de la confidentialité des données12y compris vis-à-vis des tiers qui souhaitent (et peuvent être autorisés à) les analyser.
[0059] De même, l'application14n'est pas non plus connue des tiers (ou copiable par eux), en dépit de sa disponibilité pour le traitement des données12dans les enclaves5M,5E. Il en résulte que l'éditeur15est protégé de la copie tout en pouvant traiter les données12dès lors qu'il y est autorisé.
[0060] Le fait de faire traiter les données12de manière distribuée, au sein d'un réseau d'enclaves5M,5E, permet en outre de disposer de ressources de calcul et/ou de stockage (temporaire) suffisantes (tout en maintenant la confidentialité) lorsque les données12et/ou l'application14sont de taille importante.

Claims (2)

1. Procédé de traitement de données (12) informatiques au moyen d'une application (14) tierce se présentant sous forme d'un ou plusieurs fichier(s) de données programmatiques, ce procédé comprenant les opérations consistant à : - Chiffrer les données (12) à traiter pour former un premier conteneur (16) crypté de données ; - Mémoriser séparément le premier conteneur (16) crypté et une première clé (17) cryptographique de déchiffrement de celui-ci ; - Chiffrer le(s) fichier(s) de données programmatiques de l'application (14) tierce pour former un deuxième conteneur (18) crypté ; - Mémoriser séparément le deuxième conteneur (18) et une deuxième clé (19) cryptographique de déchiffrement associée ; - A réception d'une requête de traitement des données (12) par l'application (14) tierce, sélectionner une unité (3M) de traitement informatique, dite maîtresse, dans laquelle est implémenté un environnement d'exécution sécurisé par cryptographie, dit enclave (5) ; - Instancier cette enclave (5), dite enclave maîtresse ; - Charger dans l'enclave (5) maîtresse le premier conteneur (16) et la première clé (17) cryptographique de déchiffrement associée, ainsi que le deuxième conteneur (18) et la deuxième clé (19) cryptographique de déchiffrement associée ; - Sélectionner une ou plusieurs unités (3E) de traitement informatique, dites esclaves, reliées en réseau à l'unité de traitement (3M) maîtresse, et dans chacune desquelles est implémentée une enclave (5E) dite esclave ; - Instancier les enclaves (5E) esclaves ; - Etablir une connexion cryptée entre l'enclave (5M) maîtresse et les enclaves (5E) esclaves ; - Dans l'enclave (5M) maîtresse, déchiffrer les données du premier du premier conteneur (16) au moyen de la première clé (17) cryptographique de déchiffrement associée, et déchiffrer le(s) fichier(s) de données programmatiques de l'application ou des applications tierce(s) contenu(s) dans le deuxième conteneur (18) au moyen de la deuxième clé (19) cryptographique de déchiffrement associée ; - Partager, à partir de l'enclave (5M) maîtresse, tout ou partie des données (12) à traiter, issues du premier conteneur (16), vers les enclaves (5E) esclaves ; - Partager, à partir de l'enclave (5M) maîtresse, tout ou partie du ou des fichier(s) de données programmatiques de l'application vers les enclaves (5E) esclaves ; - Partager, à partir de l'enclave (5M) maîtresse et vers les enclaves (5E) esclaves, l'exécution de l'application tierce sur les données (12) à traiter ; - Hors des enclaves (5M,5E), mémoriser le résultat (24) de cette exécution sur un emplacement mémoire prédéfini.
2. Procédé selon la revendication 1, qui comprend, préalablement à l'opération de mémorisation du résultat (24) hors enclave, une opération d'agrégation du résultat (24) dans l'enclave (5M) maîtresse.
CH00754/19A 2019-06-07 2019-06-07 Procédé de traitement distribué, sous enclaves, de données informatiques chiffrées au moyen d'une application chiffrée. CH716282A2 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CH00754/19A CH716282A2 (fr) 2019-06-07 2019-06-07 Procédé de traitement distribué, sous enclaves, de données informatiques chiffrées au moyen d'une application chiffrée.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CH00754/19A CH716282A2 (fr) 2019-06-07 2019-06-07 Procédé de traitement distribué, sous enclaves, de données informatiques chiffrées au moyen d'une application chiffrée.

Publications (1)

Publication Number Publication Date
CH716282A2 true CH716282A2 (fr) 2020-12-15

Family

ID=73727411

Family Applications (1)

Application Number Title Priority Date Filing Date
CH00754/19A CH716282A2 (fr) 2019-06-07 2019-06-07 Procédé de traitement distribué, sous enclaves, de données informatiques chiffrées au moyen d'une application chiffrée.

Country Status (1)

Country Link
CH (1) CH716282A2 (fr)

Similar Documents

Publication Publication Date Title
FR3022661A1 (fr) Procede et dispositif de codage de fichiers sources pour la livraison securisee de code source
CH716297A2 (fr) Procédé de traitement, sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée contenant du code source, avec audit préalable de celui-ci.
Santos et al. Enhancing data security in cloud using random pattern fragmentation and a distributed nosql database
CH716295A2 (fr) Procédé de signature multiple d&#39;une transaction destinée à une blockchain, au moyen de clés cryptographiques distribuées parmi les noeuds d&#39;un réseau pair-à-pair.
CH716282A2 (fr) Procédé de traitement distribué, sous enclaves, de données informatiques chiffrées au moyen d&#39;une application chiffrée.
CH716274A2 (fr) Procédé de traitement, sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée.
CH716280A2 (fr) Procédé de traitement, sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée contenant un exécutable.
CH716278A2 (fr) Procédé de traitement, sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée contenant du code source.
CH716298A2 (fr) Procédé de stockage, sous forme cryptée, d&#39;une application sur un réseau blockchain, avec audit préalable du code source de cette application.
CH716283A2 (fr) Procédé de traitement distribué, au sein d&#39;un réseau blockchain et sous enclaves, de données informatiques chiffrées au moyen d&#39;une application chiffrée.
CH716279A2 (fr) Procédé de traitement, au sein d&#39;un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée contenant du code source.
CH716275A2 (fr) Procédé de traitement, au sein d&#39;un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée.
CH716281A2 (fr) Procédé de traitement, au sein d&#39;un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée.
CH716276A2 (fr) Procédé de traitement, au sein d&#39;un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée, pour un tiers autorisé.
CH716277A2 (fr) Procédé de traitement, au sein d&#39;un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d&#39;une application chiffrée, sous condition de géolocalisation.
CH716284A2 (fr) Procédé de traitement distribué, au sein d&#39;un réseau blockchain et sous enclaves, de données informatiques chiffrées avec une clé fragmentée.
CH716285A2 (fr) Procédé de contrôle de données biométriques d&#39;un individu, avec inscription, dans une blockchain, d&#39;un résultat d&#39;analyse.
CH716294A2 (fr) Procédé de signature décentralisée, sous contrôle biométrique et sous conditions d&#39;identification personnelle et de géolocalisation, d&#39;une transaction destinée à une blockchain.
CH716263A2 (fr) Procédé de stockage de données informatiques par distribution d&#39;un conteneur crypté et de sa clé de déchiffrement fragmentée sur un réseau blockchain.
Dhiman et al. Homomorphic Encryption Library, Framework, Toolkit and Accelerator: A Review
CH716265A2 (fr) Procédé de stockage de données informatiques sur un réseau avec preuve de stockage à partir d&#39;un noeud de calcul équipé d&#39;une enclave cryptographique.
Katarahweire et al. A Multi-level Data Sensitivity Model for Mobile Health Data Collection Systems
Augustine et al. Byzantine Agreement and Leader Election: From Classical to the Modern
CH716261A2 (fr) Procédé de stockage de données informatiques par distribution d&#39;un conteneur crypté et de sa clé de déchiffrement sur un réseau blockchain.
Vishal Reddy et al. A comparative approach to secure data storage model in hadoop framework

Legal Events

Date Code Title Description
AZW Rejection (application)