EA042414B1 - SYSTEM AND METHOD FOR AUTHENTICATION OF SECURITY CERTIFICATES - Google Patents

SYSTEM AND METHOD FOR AUTHENTICATION OF SECURITY CERTIFICATES Download PDF

Info

Publication number
EA042414B1
EA042414B1 EA201991297 EA042414B1 EA 042414 B1 EA042414 B1 EA 042414B1 EA 201991297 EA201991297 EA 201991297 EA 042414 B1 EA042414 B1 EA 042414B1
Authority
EA
Eurasian Patent Office
Prior art keywords
data
public
encrypted
private
decryption
Prior art date
Application number
EA201991297
Other languages
Russian (ru)
Inventor
Панделис Пападимитриу
Original Assignee
Сикпа Холдинг Са
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Сикпа Холдинг Са filed Critical Сикпа Холдинг Са
Publication of EA042414B1 publication Critical patent/EA042414B1/en

Links

Description

Область техники изобретенияField of invention

Настоящее изобретение относится в целом к системе и способу установления подлинности сертификатов безопасности.The present invention relates generally to a system and method for authenticating security certificates.

Предпосылки создания изобретенияPrerequisites for the creation of the invention

Желательно обеспечить надежное установление подлинности определенных документов, объектов или транзакций, чтобы определить, является ли документ или объект мошенническим или был подделан в попытке изменить учетные данные документа, объекта или транзакции.It is desirable to provide strong authentication of certain documents, objects, or transactions in order to determine if the document or object is fraudulent or has been tampered with in an attempt to change the credentials of the document, object, or transaction.

Примеры документов и объектов, для которых будет полезно безопасное установление подлинности, включают документы, удостоверяющие личность, такие как: свидетельства о рождении, запись(-и) о школе, свидетельства о браке, документы о трудоустройстве, документы о подоходном налоге, документы о владении бизнесом, паспорт или другие проездные документы, въездные визы и другие связанные с паспортом въездные и выездные штампы, свидетельства о смерти и/или любые другие доказательства действительности или сертификации, такие как акции, облигации, международные банковские чеки и т. д. Другие примеры документов и объектов, для которых будет полезно безопасное установление подлинности, включают произведения искусства, артефакты, изготовляемые изделия, памятные вещи и/или коносаменты. Примеры транзакций, для которых будет полезно безопасное установление подлинности, включают транзакции с помощью карты, банкнот и/или цифровые транзакции.Examples of documents and objects that would benefit from secure authentication include identification documents such as: birth certificates, school record(s), marriage certificates, employment documents, income tax documents, documents of ownership business, passport or other travel documents, entry visas and other passport-related entry and exit stamps, death certificates and/or any other evidence of validity or certification such as stocks, bonds, international bank checks, etc. Other examples of documents and items that would benefit from secure authentication include works of art, artifacts, manufactured items, memorabilia and/or bills of lading. Examples of transactions that would benefit from secure authentication include card transactions, banknotes, and/or digital transactions.

Эти документы, объекты или транзакции могут быть целью фальсификации. В частности, сертификаты безопасности, используемые для показа учетных данных этих документов или объектов, могут быть сфальсифицированы в попытке убедить третью сторону в подлинности фальсификации.These documents, objects or transactions may be the target of falsification. In particular, the security certificates used to display the credentials of these documents or objects can be spoofed in an attempt to convince a third party that the spoof is genuine.

Поэтому существует потребность в новой и улучшенной системе, которая позволила бы легко и безопасно установить подлинность таких документов или объектов.Therefore, there is a need for a new and improved system that would allow the authenticity of such documents or objects to be easily and securely authenticated.

Сущность изобретенияThe essence of the invention

Соответственно, в предпочтительных вариантах осуществления настоящего изобретения предусмотрены система и способ установления подлинности, что обеспечивает легкое и безопасное установление подлинности сертификатов безопасности.Accordingly, in preferred embodiments of the present invention, an authentication system and method is provided that enables easy and secure authentication of security certificates.

Согласно первому аспекту настоящего изобретения предусмотрен сертификат безопасности, содержащий данные, которые были зашифрованы с помощью личного ключа шифрования, при этом данные выполнены с возможностью расшифрования с помощью открытого ключа расшифрования, связанного с личным ключом шифрования, с целью установления подлинности сертификата безопасности.According to a first aspect of the present invention, there is provided a security certificate containing data that has been encrypted with a private encryption key, the data being decryptable with a public decryption key associated with the private encryption key to authenticate the security certificate.

Зашифрованные данные могут сохраняться в виде визуального изображения. Визуальное изображение может представлять собой QR-код, штрих-код или изображение в оттенках серого. Хранение зашифрованных данных в виде визуального изображения предусматривает визуальный контроль за уполномоченным представителем для определения того, не является ли сертификат безопасности явно подделанным, что повышает вероятность обнаружения подделки или фальсификаций. Следует отметить, что видимые средства в любых условиях освещения и не обязательно в условиях видимого освещения.The encrypted data may be stored as a visual image. The visual image can be a QR code, a barcode, or a grayscale image. Storing encrypted data as a visual image provides visual inspection of the authorized representative to determine if the security certificate is clearly forged, which increases the likelihood of detecting forgery or falsification. It should be noted that visible means in all lighting conditions and not necessarily in visible lighting conditions.

В качестве альтернативы, зашифрованные данные можно хранить в цифровой форме, например, на микропроцессорной БИС, ИС RFID или магнитной дорожке. Хранение зашифрованных данных в цифровой форме позволяет увеличить срок службы сертификата безопасности, а также позволяет уменьшить физическое пространство, необходимое для хранения данных в сертификате безопасности.Alternatively, the encrypted data may be stored in digital form, such as on a microprocessor LSI, an RFID IC, or a magnetic track. Storing encrypted data in digital form increases the life of the security certificate and also reduces the physical space required to store the data in the security certificate.

Зашифрованные данные могут включать динамические данные. Динамические данные, используемые в данном документе, означают данные, которые могут изменяться и/или обновляться, например, посредством ввода пользователем. Динамические данные могут храниться в виде штампа, кода или другого визуального изображения. В качестве альтернативы, динамические данные могут храниться в цифровой форме. Динамические данные могут обновляться или изменяться на центральном сервере. Другими словами, динамические данные, связанные с визуальным изображением (или динамические данные в цифровой форме), могут храниться на центральном сервере, и динамические данные могут обновляться и/или изменяться в любое время. Обновление и/или изменение динамических данных может быть предметом авторизации. Примеры динамических данных включают выездные и повторные штампы для визы.The encrypted data may include dynamic data. Dynamic data, as used herein, means data that can be changed and/or updated, for example, through user input. Dynamic data may be stored in the form of a stamp, code, or other visual representation. Alternatively, dynamic data may be stored in digital form. Dynamic data can be updated or changed on a central server. In other words, dynamic data associated with a visual image (or dynamic data in digital form) may be stored on a central server, and the dynamic data may be updated and/or changed at any time. Updating and/or changing dynamic data may be subject to authorization. Examples of dynamic data include exit and visa re-stamps.

В качестве дополнения или альтернативы, зашифрованные данные могут включать статические данные. Под используемыми в данном документе статическими данными подразумеваются данные, которые не изменяются и/или не обновляются. Как описано выше в отношении динамических данных, статические данные могут храниться в виде визуального изображения или в цифровой форме. Примеры статических данных включают картинки и статистические отпечатки пальцев. Другие примеры статических данных включают другие типы биометрических данных, таких как радужная оболочка или данные о лице.In addition or alternatively, the encrypted data may include static data. As used herein, static data refers to data that does not change and/or is not updated. As described above with respect to dynamic data, static data may be stored in a visual image or in digital form. Examples of static data include pictures and statistical fingerprints. Other examples of static data include other types of biometric data such as iris or facial data.

Сертификат безопасности может содержать дополнительные данные, которые были зашифрованы с помощью открытого ключа шифрования, при этом данные выполнены с возможностью расшифрования с помощью личного ключа расшифрования, связанного с открытым ключом шифрования. Использование открытого ключа шифрования для шифрования данных позволяет хранить дополнительные данные в сертификате безопасности наряду с данными, зашифрованными с помощью личного ключа шифрования. Некоторые или все дополнительные данные могут быть зашифрованы для конфиденциальности с помощью открытого ключа шифрования.The security certificate may contain additional data that has been encrypted with the public encryption key, wherein the data is decryptable with the private decryption key associated with the public encryption key. Using a public encryption key to encrypt data allows additional data to be stored in a security certificate along with data encrypted with a private encryption key. Some or all of the additional data may be encrypted for privacy using a public encryption key.

- 1 042414- 1 042414

Различные открытые ключи шифрования могут быть использованы для шифрования различных частей дополнительных данных. Использование различных открытых ключей шифрования для шифрования и установления подлинности различных частей дополнительных данных позволяет различным сторонам получать доступ к различным частям дополнительных данных. В частности, разным сторонам может быть разрешен доступ к различным личным ключам расшифрования, связанным с различными открытыми ключами шифрования, используемыми для шифрования различных частей зашифрованных дополнительных данных. То, какие личные ключи расшифрования доступны для стороны, может зависеть, например, от уровня авторизации этой стороны. Например, дополнительные данные могут быть связаны с тем, просрочил ли человек визу в той или иной стране или нет. Видимость/доступность данных, касающихся того, просрочил ли человек визу или нет, может быть ограничена, например, органами по надзору за поездками в некоторых конкретных уполномоченных странах. В качестве альтернативы или дополнения, дополнительные данные могут быть связаны, например, с правом на получение пособий в конкретной стране.Different public encryption keys can be used to encrypt different pieces of additional data. Using different public encryption keys to encrypt and authenticate different parts of the additional data allows different parties to access different parts of the additional data. In particular, different parties may be allowed access to different private decryption keys associated with different public encryption keys used to encrypt different parts of the encrypted additional data. Which private decryption keys are available to a party may depend, for example, on that party's authorization level. For example, additional data may be related to whether a person overstayed a visa in a particular country or not. The visibility/availability of data regarding whether or not a person has overstayed their visa may be limited, for example, by travel enforcement authorities in some specific authorized countries. Alternatively or in addition, additional data may be related, for example, to eligibility for benefits in a particular country.

Сертификат безопасности может образовывать часть въездной визы. Въездные визы представляют собой элемент, который был бы особенно полезен для безопасного установления подлинности с помощью открытого ключа шифрования, поскольку визы особенно восприимчивы к фальсификации или подделке, а также поскольку установление подлинности въездных виз требует сотрудничества между различными странами, при этом такое сотрудничество трудно эффективно координировать.The security certificate may form part of an entry visa. Entry visas are an element that would be particularly useful for secure public key authentication, because visas are particularly susceptible to falsification or forgery, and because entry visa authentication requires cooperation between different countries, and such cooperation is difficult to coordinate effectively .

Зашифрованные данные могут быть в виде штампа. Использование в виде штампа для отображения зашифрованных данных является универсальным методом быстрого и эффективного связывания зашифрованных данных с документом или объектом. Штамп может быть штампом, нанесенным на въездную визу, таким как физический штамп, нанесенный путем физического штампования или печати на странице паспорта.Encrypted data can be in the form of a stamp. Using a stamp to display encrypted data is a versatile method for quickly and efficiently associating encrypted data with a document or object. The stamp may be a stamp placed on an entry visa, such as a physical stamp applied by physical stamping or printing on a page of a passport.

Данные могут отображаться на сертификате безопасности только в зашифрованной визуальной форме, так что никакие незашифрованные данные, соответствующие зашифрованным данным, не могут быть просмотрены на сертификате безопасности. Представляя таким образом только зашифрованные данные, нельзя проводить сравнение между зашифрованными данными и незашифрованными данными, что снижает вероятность подделки данных, что может быть возможным из-за визуального сравнения зашифрованных и незашифрованных данных.The data can only be displayed on the security certificate in an encrypted visual form, so that no unencrypted data corresponding to the encrypted data can be viewed on the security certificate. By presenting only the encrypted data in this way, no comparison can be made between the encrypted data and the unencrypted data, which reduces the possibility of data tampering, which may be possible due to the visual comparison of encrypted and unencrypted data.

Согласно второму аспекту настоящего изобретения предусмотрена система установления подлинности сертификатов безопасности, содержащая: генератор сертификатов безопасности, выполненный с возможностью шифрования данных с помощью личного ключа шифрования, а затем генерирования сертификата безопасности, содержащего зашифрованные данные; справочник открытых ключей расшифрования, выполненный с возможностью предоставления уполномоченному пользователю доступа к открытому ключу расшифрования, связанному с личным ключом шифрования; и блок установления подлинности, выполненный с возможностью расшифрования зашифрованных данных с помощью открытого ключа расшифрования, доступ к которому обеспечивается, связанного с личным ключом шифрования.According to a second aspect of the present invention, there is provided a security certificate authentication system, comprising: a security certificate generator configured to encrypt data with an encryption private key and then generate a security certificate containing the encrypted data; a decryption public key directory configured to provide an authorized user with access to a public decryption key associated with the private encryption key; and an authenticating unit configured to decrypt the encrypted data with the accessed public decryption key associated with the private encryption key.

В варианте осуществления блок установления подлинности выполнен с возможностью определения успешного или неуспешного расшифрования зашифрованных данных с помощью открытого ключа расшифрования, доступ к которому обеспечивается. Автоматизация процесса определения того, были ли зашифрованные данные успешно расшифрованы с помощью открытого ключа расшифрования, доступ к которому обеспечивается, позволяет быстрее определить, является ли сертификат безопасности подлинным.In an embodiment, the authenticating unit is configured to determine whether or not the encrypted data has been successfully decrypted using the decryption public key that is being made available. Automating the process of determining whether encrypted data has been successfully decrypted using the decryption public key that is made available allows you to more quickly determine whether a security certificate is genuine.

В варианте осуществления блок установления подлинности выполнен с возможностью указания того, что сертификат безопасности является подлинным в случае успешного расшифрования зашифрованных данных. Таким образом, можно определить, является ли сертификат безопасности подлинным или нет. Кроме того, с автоматическим определением того, были ли зашифрованные данные успешно расшифрованы или нет, указание блока установления подлинности в отношении подлинности сертификата безопасности может быть перепроверено с помощью визуальной проверки, осуществляемой уполномоченным представителем для обеспечения запасных вариантов в процессе установления подлинности, тем самым уменьшая вероятность ложноположительного результата.In an embodiment, the authentication unit is configured to indicate that the security certificate is authentic if the encrypted data is successfully decrypted. Thus, it can be determined whether the security certificate is genuine or not. In addition, with automatic detection of whether the encrypted data was successfully decrypted or not, the authenticator's indication of the authenticity of the security certificate can be cross-checked with a visual inspection by an authorized representative to provide fallbacks in the authentication process, thereby reducing the likelihood false positive result.

Аналогичным образом, блок установления подлинности может (в качестве дополнения или альтернативы) быть выполнен с возможностью указания того, что сертификат безопасности не является подлинным, если сертификат безопасности не был успешно расшифрован, с теми же преимуществами, которые подробно описаны выше.Likewise, the authenticator may (additionally or alternatively) be configured to indicate that the security certificate is not authentic if the security certificate has not been successfully decrypted, with the same benefits detailed above.

В качестве дополнения или альтернативы, блок установления подлинности может быть выполнен с возможностью приложения алгоритма контрольной суммы для проверки действительности расшифрованных данных.In addition or alternatively, the authentication unit may be configured to apply a checksum algorithm to verify the validity of the decrypted data.

Кроме того, также можно анализировать защитную краску, используемую для печати сертификата безопасности, предпочтительно на первом этапе, чтобы определить, является ли краска подлинной или нет.In addition, it is also possible to analyze the security ink used to print the security certificate, preferably in the first step, to determine whether the ink is genuine or not.

В варианте осуществления справочник открытых ключей расшифрования может содержать базу данных, содержащую по меньшей мере один открытый ключ расшифрования. В варианте осуществленияIn an embodiment, the decryption public key directory may comprise a database containing at least one decryption public key. In an embodiment

- 2 042414 справочник открытых ключей расшифрования может содержать базу данных, содержащую множество открытых ключей расшифрования. База данных может быть организована так, чтобы назначать по меньшей мере один идентификатор открытому ключу расшифрования, при этом по меньшей мере один идентификатор связан со связанным личным ключом шифрования. Например, в случае въездных виз открытые ключи расшифрования могут быть заказаны страной-эмитентом, так что данные о въездной визе, выданной конкретной страной-эмитентом, легко идентифицировать, и сертификат безопасности, содержащий данные, зашифрованные с помощью личного ключа шифрования этой страны, может быть легко идентифицирован, чтобы обеспечить возможность быстрого и эффективного доступа к соответствующему связанному открытому ключу расшифрования. В качестве альтернативы, база данных может быть упорядочена по ключевой функции - с ключами, которые могут шифровать различные сегменты данных, которые группируются.- 2 042414 the decryption public key directory may contain a database containing a plurality of public decryption keys. The database may be arranged to assign at least one identifier to a public decryption key, wherein at least one identifier is associated with an associated private encryption key. For example, in the case of entry visas, public decryption keys may be ordered by the issuing country so that entry visa data issued by a particular issuing country can be easily identified, and a security certificate containing the data encrypted with that country's private encryption key can be easily identified to allow quick and efficient access to the corresponding associated public decryption key. Alternatively, the database can be ordered by key function - with keys that can encrypt different data segments that are grouped together.

База данных может быть доступна для поиска. База данных может быть управляемой базой данных, где один уполномоченный менеджер является единственным менеджером. В качестве альтернативы, более одного уполномоченного менеджера могут управлять базой данных.The database may be searchable. The database may be a managed database where one authorized manager is the only manager. Alternatively, more than one authorized manager may manage the database.

В варианте осуществления генератор сертификатов безопасности выполнен с возможностью использования открытого ключа шифрования для шифрования данных при генерировании сертификата безопасности. Использование открытого ключа шифрования для шифрования данных в сертификате безопасности позволяет зашифровать некоторые или все данные штампа для обеспечения конфиденциальности, как подробно описано выше. Кроме того, генератор сертификатов безопасности может быть выполнен с возможностью использования различных открытых ключей шифрования, чтобы обеспечить уровни шифрования для разных частей данных штампа, таким же образом, как подробно описано выше.In an embodiment, the security certificate generator is configured to use the public encryption key to encrypt data when generating the security certificate. Using the public encryption key to encrypt the data in the security certificate allows some or all of the stamp data to be encrypted for privacy, as detailed above. In addition, the security certificate generator may be configured to use different public encryption keys to provide encryption levels for different parts of the stamp data, in the same manner as described in detail above.

Система может дополнительно содержать блок расшифрования конфиденциальных данных, выполненный с возможностью приема от уполномоченного пользователя данных, зашифрованных с помощью открытого ключа шифрования, при этом блок расшифрования конфиденциальных данных выполнен с возможностью расшифрования принятых зашифрованных данных с помощью связанного личного ключа расшифрования. Личный ключ расшифрования может храниться в справочнике личных ключей расшифрования, выполненном с возможностью предоставления уполномоченному пользователю доступа к личному ключу шифрования, связанному с открытым ключом шифрования. Блок расшифрования конфиденциальных данных затем может быть выполнен с возможностью передачи или иного представления расшифрованных данных уполномоченному пользователю.The system may further comprise a confidential data decryptor configured to receive from an authorized user data encrypted with a public encryption key, wherein the confidential data decryptor is configured to decrypt the received encrypted data with an associated private decryption key. The private decryption key may be stored in a private decryption key directory configured to provide an authorized user with access to the private encryption key associated with the public encryption key. The confidential data decryptor may then be configured to transmit or otherwise present the decrypted data to an authorized user.

Таким образом, конфиденциальные данные, зашифрованные с помощью открытого ключа шифрования, могут быть расшифрованы уполномоченными пользователями без обмена личными ключами между пользователями.Thus, sensitive data encrypted with the public encryption key can be decrypted by authorized users without sharing private keys between users.

В частности, справочник личных ключей расшифрования может быть безопасным местом для обеспечения централизованного расшифрования зашифрованных конфиденциальных данных. Справочник личных ключей расшифрования может быть базой данных, хранящей по меньшей мере один личный ключ расшифрования. База данных может быть доступна для поиска. База данных может быть управляемой базой данных, где уполномоченный менеджер является единственным менеджером. В качестве альтернативы, более одного уполномоченного менеджера могут управлять базой данных.In particular, a directory of private decryption keys can be a safe place to provide centralized decryption of encrypted sensitive data. The private decryption key directory may be a database storing at least one private decryption key. The database may be searchable. The database may be a managed database where the authorized manager is the only manager. Alternatively, more than one authorized manager may manage the database.

Блок расшифрования конфиденциальных данных может быть тем же или дополнительным блоком установления подлинности. Использование блока установления подлинности также для расшифрования конфиденциальных данных позволяет снизить затраты на оборудование и повысить безопасность обработки данных.The confidential data decryption block may be the same or an additional authentication block. Using the authenticator also to decrypt sensitive data can reduce hardware costs and increase the security of data processing.

Уполномоченный пользователь может получить доступ к личному ключу расшифрования путем извлечения личного ключа расшифрования из справочника личных ключей расшифрования. Уполномоченный пользователь может расшифровать зашифрованные конфиденциальные данные локально, на блоке расшифрования конфиденциальных данных, с помощью извлеченного личного ключа расшифрования.An authorized user can access the private decryption key by retrieving the private decryption key from the private decryption key directory. An authorized user can decrypt the encrypted confidential data locally, at the confidential data decryption unit, using the extracted private decryption key.

Помимо возможности отображения зашифрованных и незашифрованных данных на сертификате безопасности, данные могут отображаться на сертификате безопасности только в зашифрованной визуальной форме, так что никакие незашифрованные данные, соответствующие зашифрованным данным, не могут быть просмотрены на сертификате безопасности. Представляя, таким образом, только зашифрованные данные, нельзя проводить сравнение между зашифрованными данными и незашифрованными данными, что снижает вероятность подделки данных, что может быть возможным из-за визуального сравнения зашифрованных и незашифрованных данных.In addition to being able to display encrypted and unencrypted data on the security certificate, the data can only be displayed on the security certificate in an encrypted visual form, so that no unencrypted data corresponding to the encrypted data can be viewed on the security certificate. By presenting only encrypted data in this way, no comparison can be made between encrypted data and unencrypted data, which reduces the possibility of data forgery, which may be possible due to the visual comparison of encrypted and unencrypted data.

Согласно третьему аспекту настоящего изобретения предусмотрен способ установления подлинности сертификата безопасности, включающий: сбор зашифрованных данных, хранящихся в сертификате безопасности, при этом данные были зашифрованы с помощью личного ключа шифрования; передачу зашифрованных данных в блок установления подлинности для предпринятого расшифрования зашифрованных данных с помощью открытого ключа расшифрования, связанного с личным ключом шифрования; и определение успеха или неудачи предпринятого расшифрования зашифрованных данных, при этом успешное расшифрование зашифрованных данных устанавливает подлинность сертификата безопасности.According to a third aspect of the present invention, there is provided a method for authenticating a security certificate, including: collecting encrypted data stored in a security certificate, wherein the data has been encrypted with a private encryption key; transmitting the encrypted data to an authentication unit for attempting to decrypt the encrypted data with the public decryption key associated with the private encryption key; and determining the success or failure of the attempted decryption of the encrypted data, wherein the successful decryption of the encrypted data authenticates the security certificate.

- 3 042414- 3 042414

Согласно четвертому аспекту настоящего изобретения предусмотрен способ установления подлинности сертификата безопасности, включающий: сбор зашифрованных данных, хранящихся в сертификате безопасности, при этом данные были зашифрованы с помощью личного ключа шифрования; извлечение открытого ключа расшифрования, связанного с личным ключом шифрования, из справочника открытых ключей расшифрования; предприятие попытки расшифрования зашифрованных данных с помощью открытого ключа расшифрования, связанного с личным ключом шифрования; и определение успеха или неудачи предпринятого расшифрования зашифрованных данных, при этом успешное расшифрование зашифрованных данных устанавливает подлинность сертификата безопасности.According to a fourth aspect of the present invention, there is provided a method for authenticating a security certificate, including: collecting encrypted data stored in a security certificate, wherein the data has been encrypted with a private encryption key; extracting a public decryption key associated with the private encryption key from the public decryption key directory; undertaking an attempt to decrypt the encrypted data using the public decryption key associated with the private encryption key; and determining the success or failure of the attempted decryption of the encrypted data, wherein the successful decryption of the encrypted data authenticates the security certificate.

Любой из третьего или четвертого аспектов может быть выполнен с помощью компьютера. Зашифрованные данные могут сохраняться в виде визуального изображения или в цифровой форме, как подробно описано выше. Визуальное изображение может представлять собой QR-код, штрих-код или изображение в оттенках серого. Визуальное изображение может быть скрытым изображением в изображении или последовательностью частот, генерируемых устройством, например, нажатием клавиши на цифровом телефоне, эти частоты могут генерироваться считывающим устройством или записанным звуком.Any of the third or fourth aspects can be performed using a computer. The encrypted data may be stored as a visual image or in digital form, as detailed above. The visual image can be a QR code, a barcode, or a grayscale image. The visual image may be a latent image within an image, or a sequence of frequencies generated by a device, such as pressing a key on a digital telephone, these frequencies may be generated by a reader or recorded audio.

В любом из третьего или четвертого аспектов предпринятое расшифрование может выполняться блоком установления подлинности.In any of the third or fourth aspects, the attempted decryption may be performed by the authenticator.

Сертификат безопасности может образовывать часть въездной визы. Как подробно описано выше, эти способы особенно полезны для въездных виз, которые особенно восприимчивы к фальсификации, и, поскольку многие различные страны-участницы выдают въездные визы, важно, чтобы информация могла передаваться между странами-участницами безопасным и эффективным способом.The security certificate may form part of an entry visa. As detailed above, these methods are particularly useful for entry visas, which are particularly susceptible to fraud, and since many different participating countries issue entry visas, it is important that information can be transferred between participating countries in a secure and efficient manner.

Зашифрованные данные могут отображаться в виде штампа.Encrypted data can be displayed as a stamp.

Любой из способов третьего или четвертого аспектов могут осуществлять несколько раз, например, для установления подлинности зашифрованных данных несколько раз в разных местах.Any of the methods of the third or fourth aspects may be performed multiple times, for example, to authenticate the encrypted data multiple times at different locations.

В любом из третьего или четвертого аспектов данные могут отображаться на сертификате безопасности только в зашифрованной визуальной форме, так что никакие незашифрованные данные, соответствующие зашифрованным данным, не могут быть просмотрены на сертификате безопасности. Представляя, таким образом, только зашифрованные данные, нельзя проводить сравнение между зашифрованными данными и незашифрованными данными, что снижает вероятность подделки данных, что может быть возможным из-за визуального сравнения зашифрованных и незашифрованных данных.In any of the third or fourth aspects, the data may only be displayed on the security certificate in an encrypted visual form such that no unencrypted data corresponding to the encrypted data can be viewed on the security certificate. By presenting only encrypted data in this way, no comparison can be made between encrypted data and unencrypted data, which reduces the possibility of data forgery, which may be possible due to the visual comparison of encrypted and unencrypted data.

В любом из вышеупомянутых аспектов или вариантов осуществления передачу зашифрованных данных и/или извлечение ключа можно осуществлять с помощью защищенного канала связи.In any of the above aspects or embodiments, the transmission of encrypted data and/or extraction of the key may be performed using a secure communication channel.

Каждый из вышеупомянутых аспектов или вариантов осуществления может быть объединен с каждым из других аспектов или вариантов осуществления, где это применимо.Each of the above aspects or embodiments may be combined with each of the other aspects or embodiments, where applicable.

Краткое описание графических материаловBrief description of graphic materials

С целью лучшего понимания настоящего изобретения, чтобы показать, как его можно осуществить, ссылка будет сделана только в качестве примера на следующие графические материалы, на которых:For the purpose of a better understanding of the present invention, in order to show how it can be carried out, reference will be made by way of example only to the following drawings, in which:

на фиг. 1 показан способ генерирования сертификата безопасности; и на фиг. 2 показан способ установления подлинности сертификата безопасности.in fig. 1 shows a method for generating a security certificate; and in FIG. 2 shows a method for authenticating a security certificate.

Подробное описаниеDetailed description

Следующее описание подробно иллюстрирует типичный вариант осуществления раскрытого изобретения. Специалистам в данной области техники будет понятно, что существуют многочисленные варианты и модификации настоящего изобретения, которые охватываются объемом прилагаемой формулы изобретения. Соответственно, описание конкретного типичного варианта осуществления не должно рассматриваться как ограничивающее объем настоящего изобретения.The following description illustrates in detail an exemplary embodiment of the disclosed invention. Those skilled in the art will appreciate that there are numerous variations and modifications of the present invention, which are covered by the scope of the appended claims. Accordingly, the description of a particular exemplary embodiment should not be construed as limiting the scope of the present invention.

В последующем описании термин доступ является широким термином и, когда он относится к разрешению доступа к открытому или личному ключу расшифрования, он охватывает оба варианта: (1) передачу зашифрованных данных в удаленный блок установления подлинности, а затем направление запроса на удаленный блок установления подлинности для расшифрования данных с помощью ключа расшифрования; и (2) извлечение ключа расшифрования для осуществления локального расшифрования.In the following description, the term access is a broad term, and when it refers to allowing access to a public or private decryption key, it covers both: (1) transmitting encrypted data to a remote authenticator and then forwarding a request to the remote authenticator for decrypting the data using the decryption key; and (2) extracting the decryption key to perform local decryption.

В последующем описании раскрыты конкретные способы шифрования данных с помощью криптографии с открытым ключом.In the following description, specific methods for encrypting data using public key cryptography are disclosed.

В криптографии с открытым ключом используются пары ключей: открытый ключ, который может быть широкодоступным, и личный ключ, связанный с открытым ключом, причем этот личный ключ известен только владельцу личного ключа. Открытый ключ и личный ключ могут быть связаны таким образом, чтобы обеспечить шифрование и/или расшифрование данных с помощью соответствующих ключей, но там, где трудно или невозможно вычислить личный ключ, только из информации, связанной с открытым ключом. Например, открытый и личный ключи могут быть факторами произведения двух больших простых чисел. Путем вычислений очень сложно определить ассоциированный фактор произведения больших простых чисел, зная только один фактор и не зная простых чисел.Public key cryptography uses key pairs: a public key, which can be made publicly available, and a private key associated with the public key, this private key being known only to the owner of the private key. The public key and private key may be related in such a way as to encrypt and/or decrypt data using the respective keys, but where it is difficult or impossible to calculate the private key, only from the information associated with the public key. For example, the public and private keys can be factors in the product of two large prime numbers. By calculation it is very difficult to determine the associated factor of a product of large primes, knowing only one factor and not knowing the primes.

С помощью связанных открытого и личного ключей могут быть достигнуты две разные функции. Во-первых, данные могут быть зашифрованы с помощью личного ключа, при этом затем данные расшифровываются с помощью открытого ключа. Этот процесс позволяет установить подлинность того, чтоWith associated public and private keys, two different functions can be achieved. First, the data can be encrypted with the private key, and then the data is decrypted with the public key. This process allows you to establish the authenticity of what

- 4 042414 данные были зашифрованы владельцем личного ключа. Если зашифрованные данные, следовательно, можно успешно расшифровать с помощью открытого ключа, то зашифрованные данные, следовательно, должны быть зашифрованы владельцем личного ключа, и, следовательно, являются подлинными.- 4 042414 the data was encrypted by the owner of the private key. If the encrypted data can therefore be successfully decrypted using the public key, then the encrypted data must therefore have been encrypted by the owner of the private key, and is therefore authentic.

В качестве альтернативы, шифрование данных с помощью открытого ключа означает, что только участник со связанным личным ключом может расшифровать данные. Таким образом, данные остаются конфиденциальными для всех, кроме участника, имеющего доступ к правильному связанному личному ключу.Alternatively, encrypting data with a public key means that only the party with the associated private key can decrypt the data. Thus, the data remains private to everyone except the participant who has access to the correct associated private key.

На фиг. 1 показан способ генерирования сертификата безопасности. Хотя конкретный сертификат безопасности, проиллюстрированный на фиг. 1, связан с въездной визой для паспорта, будет понятно, что такая же технология может быть использована для генерирования сертификатов безопасности для других объектов и документов.In FIG. 1 shows how to generate a security certificate. Although the particular security certificate illustrated in FIG. 1 is related to an entry visa for a passport, it will be understood that the same technology can be used to generate security certificates for other objects and documents.

С целью генерирования сертификата безопасности каждый уполномоченный пользователь (например, страна-участница) имеет центр сертификации подписи (SCA) 10, который генерирует личный ключ шифрования этого участника и связанный с ним открытый ключ 7 расшифрования. По соображениям безопасности SCA 10 каждой страны-участницы обычно надежно хранит личный ключ шифрования.For the purpose of generating a security certificate, each authorized user (eg a member country) has a signing certification authority (SCA) 10 that generates that member's private encryption key and associated decryption public key 7 . For security reasons, the SCA 10 of each participating country usually securely stores its private encryption key.

Как показано на фиг. 1, центр 10 сертификации подписи выдает открытый ключ 7 расшифрования в справочник (PKD) 1 открытых ключей расшифрования. Справочник (PKD) 1 открытых ключей расшифрования может быть базой данных, в которой хранятся открытые ключи каждого SCA вместе с другими данными. Например, PKD 1 может также хранить списки отзыва сертификатов и основные списки сертификатов SCA, что будет описано более подробно ниже.As shown in FIG. 1, the signing certification authority 10 outputs the decryption public key 7 to the decryption public key directory (PKD) 1 . The decryption public key directory (PKD) 1 may be a database that stores the public keys of each SCA along with other data. For example, PKD 1 may also store CRLs and master SCA certificate lists, which will be described in more detail below.

При необходимости выдачи данных о конкретном человеке или изделии (например, паспорта 9 путешественника) с сертификатом безопасности (например, въездной визой), эти данные могут быть собраны официальным представителем 11 в незашифрованном виде. Для путешественника незашифрованные данные 100 могут включать информацию, касающуюся номера паспорта, даты въезда, времени въезда, места въезда, такого как название аэропорта и номер выхода, номера маршрутного полета, связанного с въездом, типа выданной визы, права на государственные пособия, максимально допустимой продолжительности пребывания, биометрических и биографических данных, связанных с паспортом и/или путешественником, других идентификационных характеристик путешественника, даты истечения срока действия паспорта, цели поездки, истории поездок, записей, сделанных в ходе собеседования с официальным представителем, дополнительных комментариев, представленных официальным представителем, информации об официальном сборе данных и/или другой информации. Официальный представитель 11 также может проверять и подтверждать другую информацию, касающуюся путешественника 9, на этом этапе, а результаты проверки и подтверждения могут составлять часть собранных незашифрованных данных 100.If it is necessary to issue data about a specific person or product (for example, a traveler's passport 9) with a security certificate (for example, an entry visa), this data can be collected by an official representative 11 in unencrypted form. For the traveler, unencrypted data 100 may include information regarding passport number, date of entry, time of entry, place of entry such as airport name and exit number, route number associated with entry, type of visa issued, eligibility for government benefits, maximum allowable duration of stay, biometric and biographical data associated with the passport and/or traveler, other traveler identification characteristics, passport expiry date, purpose of travel, travel history, records made during the interview with the official, additional comments provided by the official, information on the official collection of data and/or other information. The official 11 may also verify and verify other information relating to the traveler 9 at this stage, and the verification and verification results may form part of the unencrypted data 100 collected.

Незашифрованные данные 100 могут затем быть введены в генератор 5 сертификатов безопасности. Генератор 5 сертификатов безопасности выполнен с возможностью шифрования собранных данных 100 с помощью соответствующего личного ключа 8 шифрования участника. Шифрование данных с помощью личного ключа 8 шифрования участника в цифровой форме подписывает данные, чтобы обозначить пункт происхождения данных. Генератор 5 сертификатов безопасности может иметь защищенную связь с SCA 10 для того, чтобы получить личный ключ 8 шифрования. Использование защищенного канала связи между генератором 5 сертификатов безопасности и SCA 10 позволяет легко обновлять личные и открытые ключи, при этом ключи хранятся централизованно. В качестве альтернативы, копия личного ключа шифрования может храниться в генераторе 5 сертификатов безопасности. Далее в качестве альтернативы, генератор сертификатов безопасности может формировать защищенную связь с PKD 1 и получать доступ к копии 9 личного ключа шифрования, хранящегося на PKD 1, для шифрования собранных данных 100.The unencrypted data 100 may then be entered into the security certificate generator 5 . The security certificate generator 5 is configured to encrypt the collected data 100 with the corresponding private encryption key 8 of the participant. Encrypting the data with the participant's private encryption key 8 digitally signs the data to indicate the point of origin of the data. The security certificate generator 5 may have secure communication with the SCA 10 in order to obtain a private encryption key 8 . The use of a secure communication channel between the security certificate generator 5 and the SCA 10 makes it easy to update private and public keys, with the keys stored centrally. Alternatively, a copy of the private encryption key may be stored in the security certificate generator 5 . Further, alternatively, the security certificate generator may form a secure communication with PKD 1 and access a copy 9 of the private encryption key stored on PKD 1 to encrypt the collected data 100.

Собранные незашифрованные данные 100 могут храниться в PKD 1, или альтернативной базе данных, или хранилище в зашифрованном или незашифрованном виде. Сохраненные собранные данные могут управляться уполномоченной третьей стороной. Сохраненные собранные данные могут быть разделены между странами-участницами или могут быть проанализированы по соображениям бизнеса или безопасности. Доступ к сохраненным собранным данным может отслеживаться и может быть предоставлен только уполномоченным пользователям.The collected unencrypted data 100 may be stored in the PKD 1 or alternative database or storage in encrypted or unencrypted form. Stored collected data may be managed by an authorized third party. Stored collected data may be shared between participating countries or may be analyzed for business or security reasons. Access to stored collected data may be monitored and may only be granted to authorized users.

При шифровании незашифрованных данных 100 генератором 5 сертификатов безопасности зашифрованные данные 200 затем включают в сертификат безопасности, подлежащий связыванию с защищаемым изделием. Например, зашифрованные данные могут быть распечатаны в виде штампа штрих-кода с помощью устройства 13 для печати штампов, а затем нанесены на въездную визу в паспорте путешественника 9. В качестве альтернативы, зашифрованные данные могут быть включены в цифровой форме в магнитную дорожку, а затем нанесены на въездную визу в паспорте путешественника 9.When the unencrypted data 100 is encrypted by the security certificate generator 5, the encrypted data 200 is then included in the security certificate to be associated with the protected item. For example, the encrypted data could be printed as a bar code stamp using the stamp printer 13 and then applied to the entry visa in the traveler's passport 9. Alternatively, the encrypted data could be digitally incorporated into a magnetic track and then marked on the entry visa in the traveler's passport 9.

В качестве дополнения или альтернативы, некоторые или все собранные незашифрованные данные 10 могут быть зашифрованы с помощью отдельного открытого ключа шифрования, сгенерированного SCA. Использование открытого ключа шифрования обеспечивает конфиденциальность некоторых из собранных данных. Такие данные не могут быть расшифрованы с помощью открытого ключа расшифрования. Вместо этого для расшифрования этих данных необходимо использовать личный ключ расшиф- 5 042414 рования, связанный с открытым ключом шифрования. Уровни шифрования могут быть использованы для защиты и установления подлинности различных частей зашифрованных данных, например, для предоставления различным участникам доступа к различным частям зашифрованных данных.In addition or alternatively, some or all of the collected unencrypted data 10 may be encrypted using a separate public encryption key generated by the SCA. The use of public key encryption ensures the privacy of some of the collected data. Such data cannot be decrypted using the public decryption key. Instead, the private decryption key associated with the public encryption key must be used to decrypt this data. Encryption levels can be used to protect and authenticate different parts of the encrypted data, for example, to allow different parties to access different parts of the encrypted data.

Например, в случае штампа для визы информация в штампе для паспорта дипломата может быть зашифрована иначе, чем данные для штампа в паспорте обычного туриста.For example, in the case of a visa stamp, the information in a diplomat's passport stamp may be encrypted differently than the stamp data in a typical tourist's passport.

Открытые ключи шифрования могут также храниться локально соответствующим SCA 10 или могут быть получены из PKD 1. В качестве альтернативы, открытые ключи шифрования могут храниться отдельно в справочнике PrKD 3 личных ключей, который является доступным так же, как и PKD1.The public encryption keys may also be stored locally by the corresponding SCA 10 or may be obtained from PKD 1. Alternatively, the public encryption keys may be stored separately in a private key directory PrKD 3 which is accessible in the same way as PKD1.

Любые из собранных данных 100 также могут быть загружены в базу данных основного списка, хранящуюся в PKD 1. Отдельный центр может проводить поиск и управлять этой базой данных основного списка.Any of the collected data 100 can also be uploaded to the master list database stored in PKD 1. A separate center can search and manage this master list database.

Данные в этом основном списке могут быть разделены между участниками или могут быть проанализированы и разделены по конкретным запросам.The data in this master list can be shared between participants, or can be parsed and shared for specific requests.

Установление подлинности сертификата безопасности будет теперь описано со ссылкой на фиг. 2.The authentication of the security certificate will now be described with reference to FIG. 2.

Для установления подлинности сертификата безопасности, связанного с паспортом, другой официальный представитель может собирать зашифрованные данные с помощью блока 6 установления подлинности. Блок 6 установления подлинности может собирать зашифрованные данные 200 с помощью различных средств, как, например, считывание штрих-кода с помощью устройства для считывания штампов, захват изображения визуального изображения или части визуального изображения с помощью устройства для формирования изображения, извлечение зашифрованных данных из ИС памяти или магнитной дорожки, или другие методы. Блок установления подлинности может быть нелокальным для официального представителя. Например, официальный представитель может собирать зашифрованные данные 200 с помощью устройства для считывания штампов, и устройство для считывания штампов может быть выполнено с возможностью передачи зашифрованных данных 200 на удаленный блок 6 установления подлинности.To authenticate the security certificate associated with the passport, another official may collect encrypted data using the authentication unit 6 . The authentication unit 6 can collect the encrypted data 200 by various means, such as reading a barcode with a stamp reader, capturing an image of a visual image or part of a visual image with an imaging device, extracting encrypted data from a memory IC or magnetic track, or other methods. The authenticator may be non-local to the official. For example, the official representative may collect the encrypted data 200 with the stamp reader, and the stamp reader may be configured to transmit the encrypted data 200 to the remote authentication unit 6 .

После сбора зашифрованных данных 200 или их приема на блоке 6 установления подлинности данных, блок 6 установления подлинности данных может определять происхождение личного ключа шифрования, используемого для шифрования зашифрованных данных 200. Это определение происхождения может быть выполнено на основании некоторых незашифрованных данных, связанных с цифровой подписью сертификата безопасности, таких как страна-эмитент въездной визы.After the encrypted data 200 is collected or received at the data authenticator 6, the data authenticator 6 may determine the origin of the encryption private key used to encrypt the encrypted data 200. This origin determination may be performed based on some unencrypted data associated with the digital signature. security certificate, such as the country issuing the entry visa.

После определения происхождения личного ключа шифрования, блок 6 установления подлинности данных может запросить PKD 1 разрешить доступ к связанному открытому ключу 7 расшифрования. Как подробно описано ранее, доступ к связанному открытому ключу 7 расшифрования может включать извлечение открытого ключа 7 расшифрования для локального расшифрования или передачу зашифрованных данных 200 в PKD 1 для удаленного расшифрования зашифрованных данных 200. Эти два типа доступа теперь будут объяснены более подробно.After determining the origin of the private encryption key, the data authentication unit 6 may request the PKD 1 to allow access to the associated decryption public key 7 . As detailed previously, access to the associated decryption public key 7 may include extracting the decryption public key 7 for local decryption, or transferring the encrypted data 200 to the PKD 1 for remotely decrypting the encrypted data 200. These two types of access will now be explained in more detail.

В одном варианте осуществления после приема запроса от блока 6 установления подлинности PKD 1 может установить защищенный канал связи между собой и блоком установления подлинности, чтобы безопасно передать открытый ключ 7 расшифрования в блок 6 установления подлинности. Затем блок 6 установления подлинности пытается расшифровать зашифрованные данные 200 с помощью извлеченного открытого ключа 7 расшифрования. Если расшифрование зашифрованных данных 200 является успешным, открытый ключ расшифрования должен был быть правильно связан с личным ключом 8 шифрования. Таким образом, подтверждается, что сертификат безопасности является подлинным, т.е. сертификат безопасности содержит данные, которые были зашифрованы с помощью ожидаемого правильного личного ключа шифрования. Блок 6 установления подлинности может указывать на успех или неудачу расшифрования, чтобы обеспечить указание на подлинность сертификата безопасности, который может быть перепроверен официальным представителем. Блок 6 установления подлинности также отображает незашифрованные данные 100 официальному представителю.In one embodiment, after receiving a request from the authenticator 6, the PKD 1 can establish a secure communication channel between itself and the authenticator to securely transmit the decryption public key 7 to the authenticator 6. The authentication unit 6 then attempts to decrypt the encrypted data 200 using the extracted decryption public key 7 . If the decryption of the encrypted data 200 is successful, the public decryption key should have been correctly associated with the private encryption key 8 . Thus, it is confirmed that the security certificate is authentic, i.e. the security certificate contains data that has been encrypted with the expected correct private encryption key. The authentication unit 6 may indicate the success or failure of the decryption to provide an indication of the authenticity of the security certificate, which can be verified by the official. The authentication unit 6 also displays the unencrypted data 100 to the official.

Если зашифрованные данные 200 были подделаны после шифрования, или если зашифрованные данные 200 сфальсифицированы, открытый ключ расшифрования, связанный с личным ключом 8 шифрования, используемым конкретной страной-эмитентом, не будет расшифровывать зашифрованные данные 200. Таким образом, целостность данных не может быть обеспечена и может быть сфальсифицирована или иным образом подделана. Любое изменение данных после шифрования делает недействительной цифровую подпись, так что расшифрование с помощью связанного открытого ключа расшифрования приведет к неразборчивому расшифрованному сообщению.If the encrypted data 200 has been tampered with after encryption, or if the encrypted data 200 is falsified, the decryption public key associated with the private encryption key 8 used by a particular issuing country will not decrypt the encrypted data 200. Thus, data integrity cannot be ensured and may be falsified or otherwise forged. Any change to the data after encryption invalidates the digital signature, so decryption with the associated public decryption key will result in an illegible decrypted message.

В другом варианте осуществления блок установления подлинности может безопасно передавать зашифрованные данные 200 в справочник 1 открытых ключей, и сам PKD 1 идентифицирует правильный открытый ключ расшифрования, чтобы использовать его для расшифрования зашифрованных данных с помощью незашифрованных данных, связанных с сертификатом безопасности, таких как страна-эмитент. Затем PKD 1 пытается расшифровать зашифрованные данные 200 с помощью выбранного открытого ключа расшифрования. После предпринятого расшифрования PKD 1 надежно передает расшифрованные данные 100 или указание на успех или неудачу предпринятого расшифрования в блок 6 установленияIn another embodiment, the authenticator may securely pass the encrypted data 200 to the public key directory 1 and the PKD 1 itself identifies the correct decryption public key to use to decrypt the encrypted data using the unencrypted data associated with the security certificate, such as the country issuer. The PKD 1 then attempts to decrypt the encrypted data 200 using the selected decryption public key. After the attempted decryption, the PKD 1 securely transmits the decrypted data 100 or an indication of the success or failure of the attempted decryption to the establishment unit 6

--

Claims (5)

подлинности. Блок установления подлинности может затем указывать на успех или неудачу попытки расшифрования и отображать незашифрованные данные 100 официальному представителю, например, с помощью индикатора или специального программного обеспечения.authenticity. The authenticator may then indicate the success or failure of the decryption attempt and display the unencrypted data 100 to the official, for example with an indicator or special software. Сертификат безопасности, подлинность которого установлена, может быть использован для разрешения различных вопросов официальным представителем, связанных с путешественником.An authenticated security certificate can be used to resolve a variety of traveler-related issues with an official representative. В случаях, когда первый участник зашифровал все или часть данных для конфиденциальности (т.е. некоторые или все зашифрованные данные 200 были зашифрованы с помощью открытого ключа шифрования), блок установления подлинности может запросить PrKD 3 разрешить доступ к личному ключу расшифрования для расшифрования этих зашифрованных данных 200, так же, как запрашивает открытый ключ расшифрования. PrKD может отслеживать полномочия, связанные с различными блоками установления подлинности, чтобы определить, разрешен ли доступ блоку 6 установления подлинности к личному ключу расшифрования. PrKD может определить, разрешать или нет доступ к определенному личному ключу расшифрования на основании этого полномочия.In cases where the first party has encrypted all or part of the data for privacy (i.e. some or all of the encrypted data 200 has been encrypted with the public encryption key), the authenticator may request PrKD 3 to allow access to the private decryption key to decrypt those encrypted data 200, the same as requesting a public decryption key. The PrKD can monitor the credentials associated with the various authenticators to determine if the authenticator 6 is allowed access to the private decryption key. The PrKD may determine whether or not to allow access to a particular private decryption key based on this authority. Если личный ключ становится скомпрометированным, т.е. становится общеизвестным, может быть выполнено обновление открытых и личных ключей. В этом случае устаревшие открытые и/или личные ключи могут быть представлены в списке отзыва сертификатов, хранящемся в PKD 1, и ключи могут быть перепроверены с этим списком для дополнительной защиты от фальсификаций.If the private key becomes compromised, i.e. becomes public knowledge, public and private keys can be updated. In this case, outdated public and/or private keys may be present in a CRL stored in PKD 1 and the keys may be reverified against this list for additional protection against tampering. Дальнейшие модификации будут очевидны для специалистов в данной области техники при рассмотрении раскрытого в данном документе описания. Следовательно, предполагается, что настоящее изобретение не ограничено конкретными вариантами осуществления, представленными в данном документе, а что оно охватывает все модификации и альтернативы, находящиеся в рамках сущности и объема прилагаемой формулы изобретения.Further modifications will be apparent to those skilled in the art upon consideration of the description disclosed herein. Therefore, it is intended that the present invention is not limited to the specific embodiments presented herein, but that it embraces all modifications and alternatives falling within the spirit and scope of the appended claims. ФОРМУЛА ИЗОБРЕТЕНИЯCLAIM 1. Защищаемое физическое изделие, содержащее сертификат безопасности, содержащий первые данные, представляющие собой общедоступные данные, которые были зашифрованы с помощью личного ключа шифрования, при этом зашифрованные общедоступные данные выполнены с возможностью расшифрования с помощью открытого ключа расшифрования, связанного с личным ключом шифрования, с целью установления подлинности сертификата безопасности, отличающееся тем, что сертификат безопасности дополнительно содержит вторые данные, представляющие собой конфиденциальные данные, разные части которых были зашифрованы с помощью разных открытых ключей шифрования, при этом разные части зашифрованных конфиденциальных данных выполнены с возможностью расшифрования с помощью разных личных ключей расшифрования, связанных с разными открытыми ключами шифрования, с целью предоставления доступа разным участникам к разным частям конфиденциальных данных, при этом каждые из зашифрованных первых и вторых данных нанесены на защищаемое изделие в виде визуального изображения или в цифровой форме на микропроцессорной БИС или магнитной дорожке, и при этом личный ключ шифрования и открытые ключи шифрования сохранены централизованно в отдельных справочниках с защищенным доступом.1. A protected physical product containing a security certificate containing the first data, which is public data, which has been encrypted with a private encryption key, while the encrypted public data is decryptable with a public decryption key associated with a private encryption key, with the purpose of authenticating the security certificate, characterized in that the security certificate additionally contains the second data, which is confidential data, different parts of which were encrypted using different public encryption keys, while different parts of the encrypted confidential data are decryptable using different private keys decryption associated with different public encryption keys, in order to provide access to different participants to different parts of confidential data, while each of the encrypted first and second data is applied to the protected and the product in the form of a visual image or in digital form on a microprocessor LSI or a magnetic track, while the private encryption key and public encryption keys are stored centrally in separate directories with secure access. 2. Защищаемое изделие по п.1, отличающееся тем, что визуальное изображение представляет собой QR-код, штрих-код или изображение в оттенках серого.2. Protected product according to claim 1, characterized in that the visual image is a QR code, a barcode or a grayscale image. 3. Защищаемое изделие по любому из предыдущих пунктов, отличающееся тем, что сертификат безопасности образует часть въездной визы.3. A protected article according to any of the preceding paragraphs, characterized in that the safety certificate forms part of the entry visa. 4. Система установления подлинности сертификата безопасности защищаемого физического изделия по любому из пп.1-3, содержащая защищенный справочник открытых ключей расшифрования, выполненный с возможностью предоставления уполномоченному пользователю доступа к открытому ключу расшифрования, связанному с личным ключом шифрования, при этом зашифрованные общедоступные данные расшифровывают с помощью открытого ключа расшифрования, доступ к которому обеспечивается, связанного с личным ключом шифрования, блок расшифрования конфиденциальных данных, выполненный с возможностью приема от уполномоченного пользователя зашифрованных конфиденциальных данных, разные части которых зашифрованы с помощью разных открытых ключей шифрования, и расшифрования принятых разных частей зашифрованных конфиденциальных данных с помощью разных личных ключей расшифрования, связанных с разными открытыми ключами шифрования, с целью предоставления доступа разным участникам к разным частям конфиденциальных данных, при этом личный ключ расшифрования хранится в защищенном справочнике личных ключей расшифрования, выполненном с возможностью предоставления уполномоченному пользователю доступа к личному ключу шифрования, связанному с открытым ключом шифрования.4. The system for authenticating the security certificate of the protected physical product according to any one of claims 1 to 3, containing a secure directory of public decryption keys, configured to provide an authorized user with access to a public decryption key associated with a private encryption key, while the encrypted public data is decrypted using a public decryption key, access to which is provided, associated with a private encryption key, a confidential data decryption unit, configured to receive encrypted confidential data from an authorized user, different parts of which are encrypted using different public encryption keys, and decrypt the received different parts of the encrypted confidential data using different private decryption keys associated with different public encryption keys, in order to provide access to different parties to different parts of the confidential data, while the private decryption key is stored in a secure private decryption key directory configured to provide an authorized user with access to the private encryption key associated with the public encryption key. 5. Система по п.4, отличающаяся тем, что система выполнена с возможностью определения успешного или неуспешного расшифрования зашифрованных общедоступных данных с помощью открытого ключа расшифрования, доступ к которому обеспечивается.5. The system according to claim 4, characterized in that the system is configured to determine the successful or unsuccessful decryption of the encrypted public data using the public decryption key, access to which is provided. --
EA201991297 2017-01-11 2018-01-05 SYSTEM AND METHOD FOR AUTHENTICATION OF SECURITY CERTIFICATES EA042414B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP17151051.4 2017-01-11

Publications (1)

Publication Number Publication Date
EA042414B1 true EA042414B1 (en) 2023-02-10

Family

ID=

Similar Documents

Publication Publication Date Title
US9369287B1 (en) System and method for applying a digital signature and authenticating physical documents
US20220417739A1 (en) Secure data communication
US9531544B2 (en) Two-dimensional bar code for ID card
US6775775B1 (en) Method of physical individual authentication and system using the same
US20030012374A1 (en) Electronic signing of documents
CN105765595B (en) System and method for verifying an identification token
JP2007282281A (en) Secure identity and privilege system
KR100991855B1 (en) System for Issuing and Verifying Electronic Document, Method for Issuing Electronic Document and Method for Verifying Electronic Document
KR101957064B1 (en) One Time Password based Decryption System for Protecting Personal Information on Blockchain security technology
US20200274714A1 (en) System for, method of, and server computer system for implementing transformation of an original entity into a verifiably authenticable entity in a heterogeneous communications network environment
CN102147884A (en) Anti-counterfeiting and authenticity-verifying method and system for article
US20160196509A1 (en) Ticket authorisation
US20030226028A1 (en) Article, method, system and apparatus for decentralized creation, distribution, verification and transfer of valuable documents
CN113472521A (en) Block chain-based real-name digital identity management method, signature device and verification device
US11444784B2 (en) System and method for generation and verification of a subject's identity based on the subject's association with an organization
JPH11339045A (en) Method for confirming and issuing electronic data, executing device therefor, medium recorded with processing program therefor and electronic data recording medium
CN110192194B (en) System and method for authenticating security certificates
Kocaogullar et al. Basgit: A secure digital epassport alternative
EA042414B1 (en) SYSTEM AND METHOD FOR AUTHENTICATION OF SECURITY CERTIFICATES
Najera et al. Security Mechanisms and Access Control Infrastructure for e-Passports and General Purpose e-Documents.
Vivek et al. Enhancing the Security of Aadhar Cards using Blockchain and Steganography
US20030145208A1 (en) System and method for improving integrity and authenticity of an article utilizing secure overlays
EP3594011A1 (en) Secure cold storage medium
KR100701103B1 (en) System for tracking and forgery detection of products with built-in security information-preservable device and method therefor
EP4055501A1 (en) Method and token for document authentication