Patents

Search tools Text Classification Chemistry Measure Numbers Full documents Title Abstract Claims All Any Exact Not Add AND condition These CPCs and their children These exact CPCs Add AND condition
Exact Exact Batch Similar Substructure Substructure (SMARTS) Full documents Claims only Add AND condition
Add AND condition
Application Numbers Publication Numbers Either Add AND condition

Systém ověření identity a licencí pro práci s vysoce citlivými daty

Abstract

Systém máv hardware (1) klienta uložen jednoznačný identifikátor (2), který je přes přenosové prostředí (3) skrze protokol (4) vyšší vrstvy spojen se serverem (5), kde je ve vyhodnocovacím bloku (6) napojen na dosazovací a výpočtový blok (7), a současně soustava (8) w formovaných polynomů uložená v persistentní paměti (9) serveru (5) je rovněž spojena s dosazovacím a výpočtovým blokem (7), jehož výstupem je vypočtený klíč (10). Současně je v hardware (1) klienta uložen lokální klíč (11), který je přes přenosové prostředí (3) skrze protokol (4) vyšší vrstvy spojen se srovnávacím blokem (12) klíčů, na jehož vstup je také napojen vypočtený klíč (10). Srovnávací blok (12) klíčů je skrze svůj kladný výstup (13) i záporný výstup (14) spojen přes přenosové prostředí (3) prostřednictvím protokolu (4) vyšší vrstvy s blokem (15) zpracování odpovědi, uloženým v hardware (1) klienta. Systém při vysoké úrovni zabezpečení poskytuje požadovanou rychlost odezvy i pro velký počet uživatelů a/nebo licencí, a to bez podstatného navýšení nároků na prostorovou/paměťovou náročnost výpočetních prostředků.

Classifications

H04L9/3226 Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
View 10 more classifications

Landscapes

Show more

CZ308885B6

Czechia

Other languages
English
Inventor
Roman Jašek
Jašek Roman prof. Mgr., Ph.D.
Milan OULEHLA
Milan Ing. Oulehla
Petr Žáček
Petr Ing. Žáček
Jan Krňávek
Krňávek Jan Mgr., Ph.D.
Vladimír Lazecký
Vladimír Ing. Lazecký
Jacek MAKOWSKI
Jacek Ing. Makowski
Tomáš Malík
Tomáš Ing. Malík
Jiří Malík
Jiří Ing. Malík

Worldwide applications
2019 CZ WO US

Application CZ2019607A events

Description

Systém ověření identity a licencí pro práci s vysoce citlivými daty
Oblast techniky
Vynález se týká systému pro ověření identity a licencí pro dostupnost a nakládání se zabezpečenými daty, která jsou vázána selektivním nebo placeným přístupem. Řešení je přednostně určeno pro práci s vysoce citlivými daty, jako jsou vojenské a policejní aplikace, dále například autorizace bankovních operací, licence softwarových produktů, zabezpečení vstupů do budov a další analogické aplikace.
Dosavadní stav techniky
Dosud známé a používané systémy zabezpečení chráněných souborů nebo pro autentizaci klientů či licencí jsou založeny například na systému elektronického podpisu, kvalifikovaného certifikátu a podobně. Tyto systémy využívají k zabezpečení převážně metod standardní asymetrické kryptografie, která je založena na principu diskrétního logaritmu nebo na faktorizaci velkých čísel. Přitom se uplatňuje využití polynomů ve standardním tvaru
Pi(x) = qp-ixř'1 + qP-2xř~2 + ... + q?x2 + qix + qoStandardní polynomy nejsou dobře použitelné pro vyšší hodnoty proměnné p (počet uživatelů a/nebo licencí), vzhledem ktomu, že počet členů, hodnoty koeficientů polynomu i hodnoty jednotlivých exponentů neúnosně narůstají. Tím se značně zvyšují nároky na práci systému a úměrně tomu i čas odezvy, potřebný pro komplexní zabezpečení. Dalším negativním důsledkem při potřebě použití polynomů vysokých stupňů je prostorová/paměťová náročnost daná nutností udržovat takové polynomy v persistentní paměti příslušných výpočetních prostředků.
Náhradní řešení eliminující či redukující tyto nevýhody jsou vedena v podstatě dvěma směry. Jedním z nich je snaha urychlit výpočet polynomu pomocí tzv. Homerova schématu. Tento způsob řešení sice vede k částečnému urychlení procesu autentizace/autorizace, ale neodstraňuje problém související s velkým počtem parametrů.
Druhou navrhovanou cestou zjednodušení a zrychlení procesu verifikace je omezení polynomu na výrazně nižší stupeň. Tímto způsobem je sice možno dosáhnout časového i kapacitního odlehčení celého procesu, současně však je otevřena vyšší možnost neoprávněného vstupu, neboť koeficienty takového redukovaného polynomu lze odhadnout například pomocí Newtonovy interpolace.
Úkolem vynálezu je vytvořit takový systém pro ověření identity a licencí při práci se zabezpečenými daty, který při vysoké úrovni zabezpečení poskytuje požadovanou rychlost odezvy i pro velký počet uživatelů a/nebo licencí (pro vysoké hodnoty proměnné p), ato bez podstatného navýšení nároků na prostorovou/paměťovou náročnost výpočetních prostředků.
Podstata vynálezu
Uvedené nevýhody a nedostatky dosud známých zabezpečovacích systémů do značné míry odstraňuje systém ověření identity a licencí pro práci s vysoce citlivými daty podle vynálezu. Podstata vynálezu spočívá vtom, že systém má v hardware klienta uložen jednoznačný identifikátor, spojený přes přenosové prostředí skrze protokol vyšší vrstvy se serverem, kde je ve vyhodnocovacím bloku napojen na dosazovací a výpočtový blok. S dosazovacím a výpočtovým blokem je současně spojena také soustava w formovaných polynomů uložená v persistentní paměti serveru; přitom výstupem dosazovacího a výpočtového blokuje vypočtený klíč. V hardware klienta je zároveň uložen lokální klíč, který je přes přenosové prostředí skrze protokol vyšší vrstvy spojen
-1 CZ 308885 B6 se srovnávacím blokem klíčů, na jehož vstup je také napojen vypočtený klíč; srovnávací blok klíčů má kladný výstup i záporný výstup spojený přes přenosové prostředí prostřednictvím protokolu vyšší vrstvy s blokem zpracování odpovědi, který je uložen v hardware klienta.
Systém ověření identity a licencí podle vynálezu má s výhodou ve vyhodnocovacím bloku před dosazovací a výpočtový blok předřazen vyhledávací blok, do nějž je společně s jednoznačným identifikátorem připojen blok matice x-mat, uložený v persistentní paměti serveru, přičemž vyhledávací blok je společně se soustavou w formovaných polynomů připojen k dosazovacímu a výpočtovému bloku.
Systém ověření identity a licencí podle vynálezu má s výhodou v persistentní paměti serveru uloženou permutaci p, která je spojena s vypočteným klíčem, s nímž je současně spojen také blok matice x-mat.
Hlavní předností systému ověření identity a licencí pro práci s vysoce citlivými daty podle vynálezu je mimořádné zjednodušení výpočtu/zpracování vstupních dat uživatele a s tím spojené velmi rychlé a zároveň bezpečné přihlášení do chráněného systému vysoce citlivých dat. Je to umožněno charakterem zde užívaného polynomu, kdy dalším důsledkem a významným přínosem takto dosaženého odlehčení výpočetní kapacity zabezpečovacího systému je možnost prakticky libovolného navýšení počtu uživatelů/licencí - řádově v milionech - bez patrného dopadu na délku odezvy systému. Bezpečnost systému podle vynálezu je navíc posílena tím, že klíče a licence jsou rozděleny do dvou částí a verifikace probíhá vzdáleně na serveru. Bezpečnost systému je dále navýšena tím, že pokus o neoprávněnou manipulaci s jedním sloupcem matice v bloku matice xmat vyvolá zablokování několika jiných lokálních klíčů.
Objasnění výkresů
K přiblížení podstaty zabezpečovacího systému podle vynálezu slouží jeho znázornění na přiložených výkresech, kde značí:
- obr. 1 - schéma systému podle příkladu 1 - základní provedení,
- obr. 2 - schéma systému podle příkladu 2 - výhodné provedení,
- obr. 3 - schéma systému podle příkladu 3 - optimální provedení,-
- obr. 4 - standardní polynom pro hodnotup = 1009 (ve formátu pdf),
- obr. 5 - grafické srovnání výpočetní náročnosti u systému dle příkladu 3 a S,
- obr. 6 - grafické znázornění vztahu bitové bezpečnosti a velikosti prvočísla p.
Příklady uskutečnění vynálezu
Příklad 1
Jak je zřejmé z obr. 1, tento systém ověření identity a licencí pro práci s vysoce citlivými daty má v hardware 1 klienta uložen jednoznačný identifikátor 2, který je přes přenosové prostředí 3 skrze protokol 4 vyšší vrstvy spojen se serverem 5, kde je ve vyhodnocovacím bloku 6 napojen na dosazovací a výpočtový blok 7. Soustava 8 w polynomů uložená v persistentní paměti 9 serveru 5 je rovněž spojena s dosazovacím a výpočtovým blokem 7, jehož výstupem je vypočtený klíč 10. V hardware 1 klienta je zároveň uložen lokální klíč 11, který je přes přenosové prostředí 3 skrze protokol 4 vyšší vrstvy spojen se srovnávacím blokem 12 klíčů, na jehož vstup je také napojen
- 2 CZ 308885 B6 vypočtený klíč 10. Srovnávací blok 12 klíčů má kladný výstup 13 i záporný výstup 14 spojený přes přenosové prostředí 3 prostřednictvím protokolu 4 vyšší vrstvy s blokem 15 zpracování odpovědi, který je rovněž uložen v hardware 1 klienta.
Tento systém pracuje tak, že z hardware 1 klienta je vyslán jednoznačný identifikátor 2 přes přenosové prostředí 3 skrze protokol 4 vyšší vrstvy na server 5, konkrétně do vyhodnocovacího bloku 6. Vyhodnocovací blok 6 dosadí transformovaný jednoznačný identifikátor 2 do dosazovacího a výpočtového bloku 7 jako proměnné do soustavy 8 w polynomů. Na základě výsledků po dosazení do soustavy 8 w polynomů vytvoří vypočtený klíč 10. Ten je ve srovnávacím bloku 12 klíčů porovnán s lokálním klíčem 11, který je získán přes přenosové prostředí 3 skrze protokol 4 vyšší vrstvy od hardware 1 klienta. V případě kladného výstupu 13 je ověření úspěšné, v opačném případě je ověření zamítnuto. Výsledek ověření získaný přes kladný výstup 13 nebo záporný výstup 14 je přenosovým prostředím 3 skrze protokol 4 vyšší vrstvy předán do bloku 15 zpracování odpovědi, který je rovněž uložen v hardware 1 klienta.
Řešení popsané v příkladu 1 poskytuje ve srovnání se stávajícími systémy zabezpečení vysokou rychlost odezvy i pro vysoké hodnoty proměnné p (počet uživatelů a/nebo licencí), a to bez podstatného navýšení nároků na prostorovou/paměťovou náročnost výpočetních prostředků. Využití konečných těles, které bude blíže popsáno v závěrečné části příkladu 3, zabraňuje podvodnému vložení dalšího uživatele/licence, což je významný bezpečnostní rys navrhovaného systému.
Příklad 2
Jak je zřejmé z obr. 2, tento systém ověření identity a licencí pro práci s vysoce citlivými daty má v hardware 1 klienta také uložen jednoznačný identifikátor 2, lokální klíč 11 i blok 15 zpracování odpovědi. Server 5 opět obsahuje vyhodnocovací blok 6, ve kterém je dosazovací a výpočtový blok 7 s výstupem - vypočteným klíčem 10 spojeným se srovnávacím blokem 12 klíčů. V persistentní paměti 9 serveru 5 uložená soustava 8 w polynomů je rovněž spojena s dosazovacím a výpočtovým blokem 7. Také následná struktura jeho výstupních vazeb od srovnávacího bloku 12 klíčů až k bloku 15 zpracování odpovědi je shodná jako v příkladu 1.
Tento systém má navíc ve vyhodnocovacím bloku 6 před dosazovací a výpočtový blok 7 předřazen vyhledávací blok 16, do něj ž j e společně s j ednoznačným identifikátorem 2 připoj en blok 17 matice x-mat, uložený v persistentní paměti 9 serveru 5; přitom vyhledávací blok 16 je společně se soustavou 8 w polynomů připojen k dosazovacímu a výpočtovému bloku 7.
Tento systém pracuje tak, že z hardware 1 klienta je vyslán jednoznačný identifikátor 2 přes přenosové prostředí 3 skrze protokol 4 vyšší vrstvy na server 5, konkrétně do vyhodnocovacího bloku 6. Vyhodnocovací blok 6 vyhledá v bloku 17 matice x-mat příslušný sloupec. Hodnoty prvků z vyhledaného sloupce dosazovací a výpočtový blok 7 dosadí jako proměnné do soustavy 8 w polynomů. Na základě výsledků po dosazení do soustavy 8 w polynomů vytvoří vypočtený klíč 10. Ten je ve srovnávacím bloku 12 klíčů porovnán s lokálním klíčem 11. který je získán přes přenosové prostředí 3 skrze protokol 4 vyšší vrstvy od hardware 1 klienta. V případě kladného výstupu 13 je ověření úspěšné, v opačném případě je ověření zamítnuto. Výsledek ověření získaný přes kladný výstup 13 nebo záporný výstup 14 je přenosovým prostředím 3 skrze protokol 4 vyšší vrstvy předán do bloku 15 zpracování odpovědi, který je rovněž uložen v hardware 1 klienta.
Díky zařazení bloku 17 matice x-mat se do vyhodnocovacího bloku 6 nedosazuje přímo transformovaný jednoznačný identifikátor 2, ale na jeho základě je vyhledán v bloku 17 matice xmat příslušný sloupec, který je pak dosazen do soustavy 8 w polynomů. Uvedené řešení dále zvyšuje úroveň bezpečnosti, aniž by se zvyšovala výpočetní náročnost.
-3CZ 308885 B6
Příklad 3
Jak je zřejmé z obr. 3, tento systém ověření identity a licencí pro práci s vysoce citlivými daty obsahuje všechny součásti uvedené v příkladu 2 ve stejném uspořádání a se shodnými vazbami. Navíc má tento systém v persistentní paměti 9 serveru 5 uloženou permutaci p 18, která je spojena s vypočteným klíčem 10, se kterým je současně spojen také blok 17 matice x-mat.
Tento systém pracuje tak, že z hardware 1 klienta je vyslán jednoznačný identifikátor 2 přes přenosové prostředí 3 skrze protokol 4 vyšší vrstvy na server 5, konkrétně do vyhodnocovacího bloku 6. Vyhodnocovací blok 6 vyhledá v bloku 17 matice x-mat příslušný sloupec. Hodnoty prvků z vyhledaného sloupce dosadí dosazovací a výpočtový blok 7 jako proměnné do soustavy 8 w polynomů. Na základě permutace p 18 a výsledků po dosazení do soustavy 8 w polynomů jsou vyhledány v bloku 17 matice x-mat příslušné hodnoty, které tvoří vypočtený klíč 10. Ten je ve srovnávacím bloku 12 klíčů porovnán s lokálním klíčem 11. který je získán přes přenosové prostředí 3 skrze protokol 4 vyšší vrstvy od hardware 1 klienta. V případě kladného výstupu 13 je ověření úspěšné, v opačném případě je ověření zamítnuto. Výsledek ověření získaný přes kladný výstup 13 nebo záporný výstup 14 je přenosovým prostředím 3 skrze protokol 4 vyšší vrstvy předán do bloku 15 zpracování odpovědi, který je rovněž uložen v hardware 1 klienta.
Výše uvedené řešení představuje optimální provedení systému ověření identity a licencí pro práci s vysoce citlivými daty. Díky využití permutace p 18 současně s blokem 17 matice x-mat je tato matice chráněna před škodlivou manipulací, protože neoprávněná manipulace s jedním sloupcem zneplatní více lokálních klíčů. To má za následek zvýšení bezpečnosti oproti řešení uvedeném v příkladu 2.
Systémy ověření identity a licencí pro práci s vysoce citlivými daty podle vynálezu využívají k výpočetním/ověřovacím operacím specificky vytvořené polynomy, které budou dále nazývány formované polynomy.
Formované polynomy jsou vytvořeny nahrazením běžných koeficientů q, užívaných ve standardním polynomu, pomocí sestavy koeficientů a, b, přičemž formované polynomy mají zásadně odlišný způsob/formu zápisu a také výpočtu než standardní polynomy. Formovaný polynom má méně členů než standardní polynom a jeho výpočet má konstantní počet cyklů bez ohledu na zvyšující se hodnoty p (počet uživatelů a/nebo licencí), což významně zkracuje a zrychluje ověřovací operace. Při výpočtu formovaných polynomů systém pracuje s podstatně schůdnějšími hodnotami koeficientů a exponentů, a to - zejména pokud jde o exponenty - značně snižuje výpočetní náročnost. Tím se šetří čas operace i kapacita výpočetních prostředků.
Uvedené účinky z hlediska zrychlení/zjednodušení výpočtu jsou tím zřetelnější, čím vyšší je počet uživatelů/licencí/subsystémů, zapojených do systému. Podstatný je přínos již při hodnotě p = 37 a s navyšováním tohoto počtu úspora pracovního času i kapacity mimořádně rychle narůstá (viz obr. 5). Při vysokých hodnotáchp je úspora natolik mimořádná, že by formované polynomy mohly být nazývány „magickými polynomy“.
Příklad S - srovnávací
Pro názornost se uvádí příklad stávajícího zabezpečovacího systému pro podobné účely, pracujícího na bázi polynomů ve standardním tvaru:
Pi(x) = qp-ixf'1 + qP-2xř~2 + ... + q?x2 + qix + qoDále budou uvedeny příkladné zápisy standardních polynomů pro různé hodnoty p.
Roznásobený polynom (standardní tvar) nad tělesem Z101:
-4CZ 308885 B6 (χ) = 25x100 + 73x + 92x98 + 48x97 + 83x96 + 100x95 + 75x94 + 83x92 + 17x91 + 93x90 + 30x89 + 74x88 + 40x87 + 25x86 + 38x85 + 78x84 + 73x83 + 69x82 + 91x81 + 4χ«0 + 84x79 + 4χ78 + 61χ77 + 98χ76 + ]9χ75 + 100χ74 + 91χ73 + 5χ72 + 69x71 + 36x70 + 91x69 + 76x68 + 81x67 + 53x66 + 81x65 + 91x64 + 82x63 + 86x62 + 87x61 + 59x60 + 3x59 + 38x58 + 94x57 + 84x56 + 57x55 + 20x54 + 97x53 + 31 x52 + 21 x51 + 3Ox50 + llx49 + 93x48 + 26x47 + 70x46 + 26x45 + 19x44 + 73x43 + 99x42 + 52x41 + 19x40 + 80x39 + 55x38 + 51x37 + 22x36 + 41 x35 + 75x34 + 28x33 + 19x32 + 17x31 + 95x30 + 32x29 + 91 x28 + 64x27 + 79x26 + 13x25 + 86x24 + 45x23 + 26x22 + 42x21 + 87x20 + 23x19 + 52x18 + 3x17 + 6x16 + 87x15 + 78x14 + 89x13 + 44x12 + 45X11 + 16x10 + 38x9 + 2x8 + 25x7 + 15x6 + 7x5 + 94x4 + 15x2 + 55x + 39
Roznásobený polynom (standardní tvar) nad tělesem Z311:
p(x) = 18x302 + 8x301 + 122x300 + 6x299 + 198x298 + 20x297 + HOx296 + 92x295 + 64x294 + 149x293 + 269x292 + 304x291 + 2 78x290 + 36x289 + 117x288 + 304x287 + 223x286 + 193x285 + 123x284 + 44x283 + 88x282 + 60x281 + 122x280 + 302x279 + 16x278 + 27 lx277 + 23 7x276 + 73x275 + 55x274 + 192x273 + 250x272 + 186x271 + 17lx270 + 2x269 + 124x268 + 28x267 + 23 7x266 + 256x265 + 42x264 + 155x263 + 194x262 + 176x261 + 145x260 + 189x259 + 51x258 + 208x257 + 21 6x256 + 124x255 + 308x254 + 119x253 + 190x252 + 196x251 + 13Ox250 + 292x249 + 244x248 + 2 78x247 + 132x246 + 59x245 + 168x244 + 175x243 + 238x242 + 178x241 + 235x240 + 58x239 + 226x238 + 267x237 + 104x236 + 29x235 + 161x234 + 291x233 + 162x232 + 231 x231 + 123x230 + 15x229 + 49x228 + 92x227 + 30 7x226 + 47x225 + 60x224 + 257x223 + 97x222 + 38x221 + 139x220 + 6x219 + 68x218 + 142x217 + 114x216 + 145x215 + 17lx214 + 22x213 + 93x212 + llx211 + 21 6x210 + 68x209 + 147x208 + 269x207 + 43x206 + 261x205 + 82x204 + 64x203 + 2O3x202 + 287x201 + 2O 7x200 + 38x199 + 158x198 + 56x197 + 162x196 + 103x195 + 217x194 + 108x193 + 308x192 + 230x191 + 278x190 + 114x189 + 131x188 + 169x187 + 87x186 + 50x185 + 232x184 + 88x183 + 166x182 + 182x180 + 29lx178 + 157x177 + 234x176 + 299x175 + 118x174 + 58x173 + 283x172 + 20x171 + 2O8x170 + 175x169 + 165x168 + 157x167 + 190x166 + 96x165 + 43x164 + 36x163 + 41x162 + 153x161 + 151x160 + 173x159 + 190x158 + 291x157 + 294x156 + 58x155 + 217x154 + 128x153 + 178x152 + 174x151 + 88x150 + 96x149 + 172x148 + 122x147 + 189x146 + 113x145 + 113x144 + 48x143 + 282x142 + 310x141 + 241x140 + 245x139 + 186x138 + 57x137 + 174x136 + 178x135 + 78x134 + 151x133 + 125x132 + 26x131 + 37x130 + 46x129 + 243x128 + 95x127 + 146x126 + 23 7x125 + 223x124 + 14x123 + 153x122 + 282x121 + 17Ox120 + 23 7x119 + 128x118 + 33x117 + 31x116 + 144x115 + 37x114 + 177x113 + 195x112 + 181X110 + 2O6x109 + 225x108 + 81x107 + 128x106 + 173x105 + 31Ox104 + 94x103 + 197x102 + 16Ox101 + 75x100 + 243x + 18x98 + 108x97 + 27x96 + 126x95 + 19 lx94 + 89x93 + 62x92 + 37x91 + 133x90 + 9x89 + 95x88 + 157x87 + 100x86 + 2 73x85 + 164x84 + 276x83 + 147x82 + 125x81 + 6x80 + 191x79 + 159x78 + 205x77 + lllx76 + 143x75 + 34x74 + 210x73 + 78x72 + 141x71 + x70 + 26x69 + 252x68 + 138x67 + 66x66 + 142x65 + 161x64 + 44x63 + 240x62 + 187x61 + 53x60 + 281x59 + 125x58 + 118x57 + 263x56 + 237x55 + 241x54 + 304x53 + 109x52 + 17x51 + 27lx50 + 53x49 + 30x48 + 267x47 + 77x46 + 165x45 + 106x44 + 39x43 + 248x42 + 273x41 + 172x40 + 231x39 + 217x38 + 24 7x37 + 156x36 + 302x35 + 286x34 + 31x33 + 56x32 + 201x31 + 21 lx30 + 230x29 + 186x28 + 187x27 + 204x26 + 229x25 + 137x24 + llx23 + 17 lx22 + 221x21 + 109x20 + 28x19 + 239x18 + 194x17 + 243x16 + 299x15 + 91x14 + 99x13 + 257x12 + 32xn + 8x10 + 109x9 + 250x8 + 217x7 + 142x6 + 183x5 + 90x4 + 269x3 + 189x2 + 153x + 198.
Roznásobený polynom (standardní tvar) nad tělesem Z1009 je vzhledem kjeho rozsahu a objemu dat uveden samostatně jako příloha ve formátu pdf - viz obr. 4. Z obrázku, který názorně
-5CZ 308885 B6 ilustruje složitost výrazu, je zřejmá náročnost výpočtu hodnoty standardního polynomu, jak z hlediska kapacity výpočetních prostředků, tak také dopad složitosti na rychlost výpočtu a odezvu systému.
Na rozdíl od standardních polynomů s právě uvedenými problémy a nedostatky využití formovaných polynomů v systému podle vynálezu umožňuje rychlé výpočty, které mají konstantní počet cyklů i pro velké množství uživatelů, licencí a subsystémů. Na obr. 5 je znázorněno srovnání výpočetní náročnosti hodnot formovaných polynomů (příklad 3) a polynomů ve standardním tvaru (příklad S). Graf názorně ukazuje úsporu času odezvy i odlehčení kapacity výpočetních prostředků zejména při vyšších hodnotách p.
Navzdory výpočetní rychlosti bezpečnost zůstává u systému podle vynálezu stále na vysoké úrovni. Z hlediska bezpečnosti je přínosné, že serverové klíče pro uživatele/licenci/subsystém jsou reprezentovány sloupci v bloku 17 matice x-mat uložené na serveru 5, přičemž vypočtený klíč 10 v případě využití permutace p 18 není přímým výsledkem výpočtu samotných formovaných polynomů, ale je podle nich následně vyhledán v bloku 17 matice x-mat. Výsledky polynomů ani vypočítané klíče nesmí být uloženy na serveru. Je tedy obtížné odvodit blok 17 matice x-mat z polynomů a lokálních klíčů 11, pokud by byly odcizeny.
Bezpečnost systému podle vynálezu je demonstrována na obr. 6, který znázorňuje vztah bitové bezpečnosti a velikosti prvočísla p. Vyjádření bitové bezpečnosti znamená konzervativní odhad počtu formovaných polynomů vzhledem ke zvolenému prvočíslu p, kdy bitová bezpečnost je vypočtena z předpokladu využití útoku hrubou silou, a tedy vyzkoušení všech různých kombinací. Pro 128bitový klíč se jedná o 2128 kombinací; pokud budeme volit prvočíslo p = 31, pak počet různých formovaných polynomů je porovnatelný s počtem kombinací klíčů délky 121 bitů, tedy přibližně 2121. V bezpečnosti symetrické kryptografie lze považovat klíče s délkou 128 bitů za bezpečné, k čemuž se p = 31 pouze přibližuje, ale hned další prvočíslo 37 o hodnotu přesahuje, konkrétně má bitovou bezpečnost 131 bitů. Pokud se podíváme na prvočíslo 10007, tak lze bitovou bezpečnost připodobnit 390 bitům. Tuto hodnotu lze v současné době považovat za dostatečně bezpečnou s ohledem na existenci kvantových počítačů, kde se uvažuje snížení bitové bezpečnosti na polovinu. Navíc je nutné si uvědomit, že bitová bezpečnost je vztažena pouze k jednotlivým formovaným polynomům, nikoliv k celé soustavě w polynomů, se kterou systém podle vynálezu pracuje a která je ve svých výhodných variantách bezpečnější.
Průmyslová využitelnost
Systém pro ověření identity a licencí pro práci se zabezpečenými daty podle vynálezu je určen pro generování a ověřování unikátních licenčních či identifikačních klíčů, určených pro potvrzení platnosti softwarových licencí či jedinečnou identifikaci uživatele, prvků internetu věcí, užití systémů spojených s rozhodovacími pravomocemi, ať už ve vojenství nebo v bankovním sektoru. Systém tedy najde uplatnění zejména pro verifikaci uživatelů elektronických datových systémů s mimořádně vysokou potřebou bezpečnosti a zároveň velmi rychlé odezvy, jako jsou systémy pro vojenské účely, bezpečnostní složky, integrovaný záchranný systém a další související oblasti. Nabízí se však jeho využití také v civilních aplikacích, například pro zabezpečení budov, ale i pro běžné účely, jako jsou vstupenky, jízdenky a podobné aplikace.
-6CZ 308885 B6

Claims (3)
Hide Dependent

1. Systém pro ověření identity a licencí při vstupu a práci s elektronickým souborem vysoce citlivých dat, zahrnující přístupové hardwarové zařízení klienta s vloženým identifikátorem a klíčem, které je připojeno přes přenosové prostředí k zabezpečenému serveru, vyznačující se tím, že má v hardware (1) klienta uložen jednoznačný identifikátor (2), který je přes přenosové prostředí (3) skrze protokol (4) vyšší vrstvy spojen se serverem (5), kde je ve vyhodnocovacím bloku (6) napojen na dosazovací a výpočtový blok (7), a současně soustava (8) w formovaných polynomů uložená v persistentní paměti (9) serveru (5) je rovněž spojena s dosazovacím a výpočtovým blokem (7); výstupem dosazovacího a výpočtového bloku (7) je vypočtený klíč (10); současně je v hardware (1) klienta uložen lokální klíč (11), který je přes přenosové prostředí (3) skrze protokol (4) vyšší vrstvy spojen se srovnávacím blokem (12) klíčů, na jehož vstup je také napojen vypočtený klíč (10); srovnávací blok (12) klíčů je skrze svůj kladný výstup (13) i záporný výstup (14) spojen přes přenosové prostředí (3) prostřednictvím protokolu (4) vyšší vrstvy s blokem (15) zpracování odpovědi, uloženým v hardware (1) klienta.
2. Systém pro ověření identity a licencí uživatelů podle nároku 1, vyznačující se tím, že ve vyhodnocovacím bloku (6) je před dosazovací a výpočtový blok (7) předřazen vyhledávací blok (16), do nějž je společně s jednoznačným identifikátorem (2) připojen blok (17) matice x-mat, uložený v persistentní paměti (9) serveru (5), přičemž vyhledávací blok (16) je společně se soustavou (8) w formovaných polynomů připojen k dosazovacímu a výpočtovému bloku (7).
3. Systém pro ověření identity a licencí uživatelů podle nároku 1 nebo 2, vyznačující se tím, že v persistentní paměti (9) serveru (5) je uložena permutace p (18), která je spojena s vypočteným klíčem (10), s nímž je současně spojen také blok (17) matice x-mat.