EP1602024A1 - Secure computer data storage method and device - Google Patents
Secure computer data storage method and deviceInfo
- Publication number
- EP1602024A1 EP1602024A1 EP04720048A EP04720048A EP1602024A1 EP 1602024 A1 EP1602024 A1 EP 1602024A1 EP 04720048 A EP04720048 A EP 04720048A EP 04720048 A EP04720048 A EP 04720048A EP 1602024 A1 EP1602024 A1 EP 1602024A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- internal
- unique
- equipment
- data
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Definitions
- the present invention relates to methods and devices for storing secure and tamper-proof computer data intended to guarantee the authenticity of the data recorded on a given date, as well as to methods and methods of production, verification, authentication, operation. associated.
- the ultimate solution is to use third-party organizations, which store redundant data, possibly encrypted, and ensure their physical protection. These methods can be effective, but often require costly logistics depending on the amount of data to be transmitted. They use communication links subject to unavailability and / or poorly protected public networks. Other similar data authentication solutions go through digital signature methods, the third party organization only keeping the signatures of the files. Authenticity can be established by comparison of signatures. This does not prevent the problems linked to the possibility that the original data will be voluntarily or involuntarily corrupted in the long term or that the evolution of the computers makes it possible to falsify them. Also, the use of such methods requires the use of signature software - itself vulnerable.
- Each method cited covers a particular field of application, and does not provide a simple solution to independently record internal, confidential, private, or strategic data of an individual, a professional, or a company, from when the quantity of data becomes significant, and when it must be possible to present or request it as authentic legal and legal proof a posteriori.
- the approved or institutional organizations which can request within the framework of control or search, the presentation of data, do not have the means to copy, authenticate or guarantee the data of all the users, and are forced to leave custody and control of the data to their transmitters.
- the methods and device according to the present invention seek to compensate for the ease of reproduction and falsification of standard audio, video and computer recordings, the control of which is entirely ensured by the people who store and control information, and who can therefore falsify or truncate it, l '' Date backwards, or be victims of internal or external attack on this data.
- the fact that this information is private can make it impossible, long or tedious, to cross-check certain unique information.
- the invention consists of a method for storing computer data, characterized in that it consists in integrating entirely into a device:
- a suitable input-output controller transforming said data storage device into a single-write or restricted storage device by deriving all commands from the input-output interface coming from a host system, towards the internal interface of the integrated data storage device, so as to: - exclusively authorize the addition of new files in the free space by dating them independently thanks to a secure internal real-time clock, and
- the method according to the invention also consists in electronically reproducing internally said unique public serial number, to allow electronic control thereof.
- the method according to the invention also consists in physically protecting all the internal components by leaving accessible only the external functional interfaces of input-output and supply, thanks to a perimeter sealed enclosure encompassing all the components, consisting of passive mechanical and electromagnetic protection including an active intrusion detection sensor and associated electronics, the latter ensuring immediate destruction of the secret internal unique identifier and the internal serial number if necessary, by instantaneous erasure , in the event of voluntary or involuntary deterioration changing the vulnerability or the autonomy of the device, or an internal investigation attempt detected by the sensor which can make it possible to compromise, control, modify, analyze data, interfaces or internal components.
- the method according to the invention also consists in keeping active, the internal real-time clock, the secret identifier, the internal serial number if applicable, and the electronics for intrusion detection and destruction, outside of any external power source for the service life specified for the equipment, thanks to a self-contained internal power subsystem, possibly seconded externally to increase the service life.
- the method according to the invention also consists in making it possible to guarantee the unique and non-reproducible personalization of the equipment while publishing its existence, possibly before certification, by generating randomly by internal calculation of the equipment, the secret unique identifier, by internally calculating a one-way digital fingerprint of this identifier which cannot be traced back to it, by establishing the uniqueness of the fingerprint by interrogating a public database containing the fingerprints of all existing equipment, the identifier being recalculated in the event of a collision and the device being formally identified as soon as the fingerprint is unique, then adding the references of the to the 'public ' database equipment: unique serial number and imprint.
- the method according to the invention also consists in ensuring the authenticity of the device after manufacture, the test, the final assembly and the activation of the perimeter protection, until acquisition by the user. final, by making unique the operations of assigning the unique serial number, the synchronization of the real time clock with respect to a reliable external time reference, the internal self-generation of the unique secret identifier, the copying of the unique secret identifier in a secure environment from the unique secret identifier to a certifying body empowered to guarantee the secrecy of this identifier and therefore the authenticity of the equipment, the uniqueness of each operation being guaranteed by design in irreversibly inhibiting or destroying and as soon as possible in the initialization sequence, the hardware elements and / or the microcode allowing this initialization.
- the method according to 1 the invention further consists in allowing without limitation on the occurrence, the preliminary verification of authenticity and integrity, by checking and cross-checking the unique serial numbers listed in the public database, by checking the validity and the evolution of f internal clock back to a reliable external time reference taking into account the specified maximum drift of the internal clock and by visual inspection and non-destructive integrity of the outer shell.
- the method according to the invention also consists in allowing authorized organizations to authenticate the equipment on demand by verification by third-party methods using the internal secret identifier without revealing it, by recalculating internally.
- the method according to the invention also consists in allowing the certifying body to authenticate itself under its control and as a last resort the equipment by injecting its copy of the secret identifier for internal comparison equipment which detects perfect similarity, and sends in response a single message which can be verified by said certifying body, this function involving 1 secret identifier being timed and limited in internal occurrence of the equipment so as to avoid the reverse determination of the identifier by analysis or tests
- the method according to the invention also consists in allowing, as a variant not necessarily implemented, to manage autonomously the expiration of data in the past, by authorizing -only in the event of complete filling of the device internal storage - the writing of new files by overwriting within the limit of sufficient and in chronological order, the data before a relative date, dynamically updated compared to the current date provided by the internal clock, derogating thus to the single writing rule without however compromising or modifying the useful data still valid, and dated after the expiration date.
- the method according to the invention also consists in presenting any internal parameter and indicator specific and specific to said device in the form of virtual files with reserved names, viewed by the host system as conventional files and avoiding the setting in implementation of specific drivers or operating modes at the host system level for the management, administration and monitoring of said device.
- the method according to the invention also consists in partitioning said data storage device with a different expiration time per partition.
- the present invention further relates to a device for storing computer data, characterized in that it fully integrates:
- said adapted input-output controller being able to transform said data storage device into a single or restricted write storage device by deriving all commands from the input-output interface coming from from a host system, to the internal interface ' of the integrated peripheral, so:
- the device according to the present invention is fully protected against rewriting and able to give a probative and / or legal and / or legal authentic value to digital information.
- the data is irreversibly recorded and dated with sufficient precision completely independently.
- the device is self-protected and uniquely identified. Any attempt to modify or compromise the device results in its invalidation. The identical duplication of the device is made reasonably impossible.
- the use of the device allows, without specific constraint and without using a third party during its operation, to any person anxious to be able to establish their good faith and the legality of their activity, to do so, leaving them free will on the data that 'she wants or must protect as well.
- the device does not in any case prevent the concealment, complete destruction of data, information or evidence, or a priori possible falsification in all cases, but establishes a posteriori that the data, when it is presented, were recorded on the date indicated, and could not be falsified or replaced later.
- the originality of the device is that its functional principle is independent of any heavy cryptographic method, subject to obsolescence or expiration due to the unpredictable progress of cryptanalysis.
- Cryptography is not necessary, in the sense that the user physically controls and owns the device, and must decide the degree of confidentiality and data protection regardless of the physical storage device that he uses. It minimizes the intervention of third parties for authentication of data, avoids the transmission of strategic or critical information on remote third-party networks, and makes it possible to protect more data, or to migrate paper data or microfilmed to a computer medium that is easier to use and archive.
- the advantage of the device described is the possibility of using any rewritable or non-rewritable random access storage device as physical storage element, without degrading performance, reliability or environmental resistance and giving it transparent behavior. neutral vis-à-vis the host system, thus leaving the freedom to the end user to use the external software methods of compression, cryptographic protection, and reliability of the storage made available to him.
- the device which is the subject of the invention includes the peripheral equipment constituted (hereinafter referred to as 'the equipment'), but also the methods and processes which make it possible to manufacture and verify the equipment by third parties, and the description of certain particular modes of operation.
- the device completely integrates a standard commercial data storage device with non-removable media or made non-removable (by way of nonlimiting examples: a hard disk with magnetic technology, a flash memory disk, a CD / DVD burner, the ejection mechanism is deactivated loaded with writable media) whose interface is protected and isolated by a specific controller, by design limiting storage operations to the sole function of adding data.
- the equipment is a priori seen by a host computer system as peripheral computer storage equipment, except that it is functionally impossible to modify, erase or rewrite logical records previously written. It is only possible to read them.
- a date clock calibrated at the time of manufacture, non-modifiable and autonomous dates in real time and independently of the host system any recorded file.
- File dating is recorded by 1 control electronics on the internal device, either in addition to recording user data with a reference to the basic descriptor of the logical record or file with which it is associated as metadata, or in the descriptor itself file instead of the timing information normally provided by the host system, either in unused or unspecified spaces in this file descriptor. All of this dating information is accessible in read-only mode by the host system, which makes it possible to verify the dating certified by the device for each recorded record.
- the equipment generally behaves like a device of the single writing type, which re-dates the information with respect to a relative reference time, sufficiently precise, and the drift of which can be measured, even authenticated.
- the integrated peripheral therefore only fills up, as if it integrated a physically non-rewritable medium.
- the equipment can easily manage an expiration date in the past relating to its internal clock, therefore to its own dating, which eventually makes it possible to free the space occupied by obsolete data to register new records when the device is 'full'.
- This so-called 'expiration' functionality makes it possible to respond to the specific need for data storage with a short lifespan compared to the overall lifespan of the equipment, which is of interest in certain fields of applications.
- An autonomous electronic identification subsystem contains the unique and secret authentication elements of the equipment, and prevents the duplication or production of false equipment from new parts or recovered from equipment voluntarily compromised. Internal unique identifiers are systematically destroyed during unauthorized physical access attempts. An active perimeter protection enclosure physically fully protects the assembly and detects any penetration or attempted intrusion or investigation aimed at compromising the integrity of the equipment, accessing internal interfaces allowing data to be modified and extract the identifiers. In the event of an intrusion attempt, the equipment destroys instantly and irreversibly. unique identifiers and possibly the clock. The equipment is invalidated and finds itself in an initial mode which continues to 'protect the data written on the storage device outside destruction of the equipment, by invalidating any write operation. The data remains legible in all circumstances.
- the authorized certifying body which alone has a copy of the secret identifier, may submit the copy of the secret identifier available to the equipment which itself performs the comparison. internal, or allow an authorized third party to indirectly verify this identifier by limiting the request intervals so as to avoid its determination by, as a non-limiting example, a brute force or screening method, or targeted analysis.
- the voluntary dismantling of the equipment can be carried out so as to assess it or perform data recovery following the manufacturer's recommendations.
- a procedure must be able to allow the simple cutting of the equipment, which has the effect of instantly invalidating the authenticity, then extraction without deterioration of the internal storage device, but allows direct access to the latter, to the data, a priori not encrypted by the equipment, and possibly to the media.
- the probability of non-detection of intrusion or the possibility of duplicating equipment is made negligible but not zero and reduced to a reasonable minimum depending on the objective cost targeted and the level of protection required.
- the present invention includes the methods and the sequencing of operations subsequent to the material manufacturing of the equipment, which ensure irreversibly after sealing of the protective envelope of the equipment:
- the present invention includes several verification methods or methods associated with formal authentication of the equipment according to the invention. These methods or methods of verifying authenticity may or may not use external third parties, and / or may or may not use internal secret identification. Other characteristics and advantages will appear on reading the following of several examples of embodiments of methods and devices according to the invention, accompanied by the appended drawings, examples given by way of nonlimiting illustration.
- the device is administered and configured using a method of virtual files, seen by the host system as standard files present on the integrated peripheral.
- This method presents any internal parameter and indicator specific to the device described in the form of files with reserved names accessible in a standard way by the host system, avoiding the implementation of specific drivers or operating modes at the host system level for the management, administration and monitoring of the device and of the variants and options described.
- Figure 2 illustrates the role of external third parties
- Figure 3 illustrates a suggested file structure with dating by adding metadata
- Figure 4 illustrates a suggested file structure with replacement dating in the file descriptor
- Figure 5 illustrates the secure process of initialization and identification of each device individually by the manufacturer
- the device which is the subject of the invention integrates one or an assembly of standard peripherals for storing computer data 1.
- This peripheral is isolated from the host system by a controller 2 which limits the operation to adding data and ensures independent dating of information. stored by an internal clock 6.
- the device comprises a pair of unique digital electronic identifiers 7, 8, which prevent duplication of the equipment.
- the assembly is protected in an active burglar-proof enclosure 10, which destroys the unique and secret elements of identification in the event of an attempted break-in.
- the device is then invalidated and loses its authenticity.
- the integrated peripheral 1 is a read-write model, no prerequisites being necessary concerning the possibility or not of erasing or rewriting the data (by way of nonlimiting example a magnetic hard disk, a flash disk).
- peripherals address physical storage elements commonly called blocks, conventionally numbered in sequence, and higher level logical storage elements which can be manipulated by a system or host computer commonly called files, directories. All these entities are often accessible sequentially or randomly in read and write.
- a storage device does not normally have knowledge of the logical level, managed entirely by the host system via a file system (File System) subject to rigid specifications and easily analyzed.
- File System File System
- the functional interface 3 of the integrated storage peripheral 1 allows a priori any operation: conventionally, addressing, writing and reading of blocks, and a priori has no protection or limitation on these functions.
- This interface is functionally isolated by an active intelligent controller 2 with an external interface 13 emulating a data storage device with a capacity substantially lower than the capacity of the real organ.
- the physical input / output interfaces 13 and 3 do not have to be necessarily identical, just as the peripheral recognized by the host system 20 does not have to be identical to the actually integrated peripheral 1, even if, in practice , the similarity on this specific point can simplify the overall operation.
- the equipment When it is externally electrically powered 14, the equipment is in its nominal operating mode.
- the controller 2 translates in real time any request for addressing, reading and writing from the external interface 13 to the internal interface 3.
- the data proper is not processed, neither compressed nor encrypted, and is stored as is if the authorization to write them to the integrated device 1 is validated by the controller. 2 who basic knowledge of the level of logical storage, and therefore of the structure of files and directories.
- the controller In its nominal operating mode, the controller protects the data against rewriting, thus emulating an add-only storage system '.
- the equipment At the end of manufacturing, the equipment is empty of user data and pre-formatted, therefore suitable for receiving data. Overall, it therefore maintains a partition between the space ⁇ occupied '4 and the free space' 5. As a non-limiting example of implementation, it maintains a 'pointer' 15 which indicates from which data block , writing new blocks is possible, and globally inhibits any writing on previous blocks.
- partitioning can be more complex depending on the logical file system used, which can itself impose a specific partitioning between physical and logical information, as shown in Figure 17, which may require the simultaneous management of several pointers .
- Access to physical storage is therefore random in reading in the occupied space 4, and purely sequential in writing in the free space 5.
- An attempt to erase, modify or rewrite a file or previously written data thus results in an error reported to the host system 20, thus signaling the impossibility of carrying out the desired operation on the emulated device.
- Writing new data, new files or creating new directories is possible, the storage device therefore inexorably fills up to its maximum useful capacity, and rejects the writing of files exceeding the remaining size. It is then 'full', and must be completed or replaced by identical equipment since it is functionally impossible to delete the files entered.
- an internal battery subsystem 19 allowing the maintenance of critical internal elements (clock, identifiers, pointers %) purely for information, between ten years and twenty years following the life of internal elements subject to aging or perishable, such as batteries. Storage for longer periods may require either the use of external auxiliary batteries, taking over from the internal batteries, or the certified migration of these data with their creation date to new equipment.
- the data entered is protected against any electronic attack (virus, malicious acts, falsification, etc.) since it cannot be rewritten or modified by design.
- the destruction of the data implies the destruction of the equipment.
- Controller 2 is specifically adapted to the structure of a standard file system (by way of nonlimiting examples, FAT, NTFS, UDF, NFS, HFS, sequential ...), or to the structure of a proprietary files if the equipment wishes to ensure compatibility with several different standard file systems.
- the file system creates the link between logical storage and physical storage of data.
- the controller 2 detects by analysis of the writing orders sent, the end of a logical storage operation (for example, the end of writing of a file, or the creation of a directory entry).
- the sequential aspect of writing data without the possibility of erasing, greatly simplifies this task.
- the controller autonomously performs the following tasks: o Irreversible protection of the storage elements used for the file descriptor 24, and for the data themselves 25, by reserving the blocks used, for example fabrication and / or pointing 15 in a saved memory accessible to the controller, and redundant on a space reserved on the storage device itself.
- o Independent dating 26 thanks to the internal reference dating clock 6, either by writing additional blocks of masked metadata to the host computer 28, as shown in FIG. 3, or by rewriting this date instead place of the date written by the file system in the file descriptor 24 as defined by the file system used, as shown in FIG. 4.
- the written information is dated to the second independently of the internal clock 6 of the device, by the equipment itself, independently of the host file system which applies its own dating, often insecure and unreliable.
- This internal dating is irreversible and cannot be forged, the internal clock being set once only at the time of manufacture and cannot materially be set to the time thereafter, and the recordings containing this information being protected against rewriting .
- the accuracy of the dating relies entirely on the precision and the drift, of this internal clock which can be correlated externally without however possibility of correcting it.
- the dating is done in Universal Time.
- the metadata are at least composed of a pointer 27 allowing access to the descriptor of the file or of the directory and of a structure comprising the internal date and time 26 at the end of writing. All of the metadata of all of the written files is sent in a 'system' file 29 accessible in read only. A tool or else the analysis of this file makes it possible to correlate the metadata and the user files, and therefore to verify the internal date that the device had assigned to each file at registration, which alone is authentic by design.
- the device imposes the dating of the files by replacement 26 of the date of creation in the descriptor 24 of the file, in accordance with the requirements of the file system used, the behavior of the device is perfectly standard.
- the date imposed by the equipment differs from the system date, and can, for practical reasons, be corrected dynamically internally at the time of reading to take into account the difference between local time and universal time (time zone).
- Most of the file systems currently used manage several dates (for example the modification date which is useless in our case), it is therefore possible to also keep the date of the external system for information only.
- the equipment itself is made tamper-proof thanks to a unique identification method implemented internally of the equipment. It is reasonably impossible to duplicate the equipment without full knowledge of the unique identification which is never disclosed by the device, apart from an initialization phase where only an authorized certifying body 22 receives the full copy of this document. identifier, part of which remains secret. The identification elements are destroyed as soon as an attempt to intrude, break in, or compromise the equipment is detected. The identification is only used for the validation and certification of the equipment and has no functional role for the end user.
- the identification system is made up of the following elements: • Unique public identification element 8, 18: number of series of complete equipment, marked visibly and indelibly on equipment 18, and reproduced electronically internally 8 for reasons of ease of operation and direct authentication. o Unique identification element 7 secret generated and imperatively stored internally by the equipment and verifiable only by third-party methods which never broadcast this identifier. o Optionally elements of manufacturer identification not shown: for example, electronic serial number or marked internal components, date code, lot numbers, revision, often traced by the manufacturer as part of its quality system , which depend on the implementation and which may allow additional verifications or expertise, possibly after dismantling the equipment.
- the correspondence between the public identifier and the secret identifier is known only by a third authorized certifying body 22 which is involved at the end of the manufacturing process.
- the secret identifier is distributed once and only once.17 outside the equipment to the attention of this single body 22, which stores all the information relating to all the equipment it manages and certifies.
- This organization is the only third party that is involved in the certification of each piece of equipment, only initially at the end of the manufacturing of the piece of equipment and possibly during use in the event of a thorough check of the authenticity of the piece of equipment if any doubt persists this authenticity, or if the issue or the legislator justifies such a recourse.
- the unique electronic identifiers of the equipment 7, 8 (excluding manufacturer identification numbers not described as linked to the implementation and to the components used) are stored in a volatile memory circuit backed up by battery 19 and having an internal and / or external rapid erasure function 9. The absence or inconsistency of one of these identifiers indicates the compromise of the equipment. Only a one-way imprint 23 of the unique secret identifier associated with the equipment serial number 18 is publicly disseminated 21 outside of the authorized certifying body or bodies 22 which have sole access to the correspondence between the serial number 18 and a copy 17 of the unique secret identifier.
- the unique secret identifier is a very long binary message (for example 4096 bits or more) certain values which can be reserved and cannot be used.
- the internal clock 6 is set to the time in universal time only once during the manufacture of the product in relation to a certified reference clock 16, and cannot be reset by design later without corruption of the other parameters d integrity of the system.
- the system thus described is only valid if it is physically self-protected against intrusion and internal analysis. To this end, the assembly described is entirely confined in a protected enclosure 10 by a perimeter sensor 12 sensitive to intrusion, powered by a battery 19 having a long lifespan (for example, lithium battery). Any attempt at penetration and internal microprobe analysis is, on the one hand made extremely difficult by external mechanical and electromagnetic protection 11, and on the other hand triggers an alert in the event of penetration.
- a limit envelope 12 which includes any functional component of the equipment.
- the alert results in the instant destruction 9 (erasure / reset) of the internal identifiers 7, 8, making the equipment non-duplicable thanks to the secret part 7 inaccessible which cannot be analyzed without entering the equipment, therefore without trigger an alert.
- the equipment is fully protected by an active physical enclosure which provides protection against intrusion by any known method, standardized in certain countries for the protection of critical security parameters and / or cryptographic modules (for example in the States - United FIPS 140-2 standards, or internationally ISO 15408 standard / AVL Common Criteria).
- critical security parameters and / or cryptographic modules for example in the States - United FIPS 140-2 standards, or internationally ISO 15408 standard / AVL Common Criteria.
- the use of such methods can be made very inexpensive for mass production, even for the highest levels of safety.
- sensors exist commercially (for example D 3 sensors of the Gore brand, FIPS 140 level 4 certified) and their general principle is described for information purposes only, sometimes referring to FIG. 17.
- protection perimeter 10 is composed of an external mechanical protection 11 or sealed external box (for example in machined, molded, folded metal, assembled in a non-removable manner by welding, crimping) leaving space only for the functional communication and supply interfaces , and a sensitive sensor 12 detecting intrusion (drilling, machining, electrical or laser mechanics, selective chemical attack) by modification of an electrical parameter (resistance 121 and / or capacity 122 and / or contact 123). Often this sensor is based on a network of conductors and insulators sensitive 'to cuts, breaks and short circuits, covering the entire vessel to be protected uniformly and provided with' baffle 'to protect external functional interfaces.
- an external mechanical protection 11 or sealed external box for example in machined, molded, folded metal, assembled in a non-removable manner by welding, crimping
- a sensitive sensor 12 detecting intrusion (drilling, machining, electrical or laser mechanics, selective chemical attack) by modification of an electrical parameter (resistance 121
- the detection and alert electronics 118 is very low consumption so as to be able to provide a large autonomy to the protection supplied autonomously by battery 124.
- all of the electronics and the internal components are embedded in a resin 130 intended to ensure thermal conduction in the absence of convection internal, and prohibiting direct access to internal components or signals.
- the purpose of the protection system is to prevent the insertion of a micro probe allowing the analysis or direct control of internal electrical interfaces making it possible to modify the protected data, to analyze the elements kept secret with a view to their duplication .
- a temperature sensor 120 analyzes excessive high or low temperatures which can inhibit or limit the effectiveness of the sensor.
- the protection also includes the external electrical interfaces in overvoltage / overcurrent / frequency or signals out of specification 129.
- the functional interfaces are reduced to a minimum by the use of fast serial functional buses (for example reflecting the current state of the art Fire ire / i-Link / IEEE1394, USB, Serial ATA, Ethernet), a continuous external power supply, and static system state interfaces.
- the functional depressurization cover of the disk is carried outwards thanks to an integrated tube allowing the free passage of air without increasing the vulnerability. of external protection 132.
- Controller 2 continues protect data, which loses its authentic value as soon as the equipment is reported as compromised.
- the equipment is designed to be autonomous in normal use. It therefore does not require any intervention by third-party authenticators in use, and in fact allows it to be used entirely privately, without prejudging the possibility or the will of the end user to authorize direct access or indirect to an outside network.
- the following section describes the methods and methods used in the initialization phase, which makes it possible to switch from neutral non-personalized equipment 30 leaving manufacturing, to unique equipment certified 55 then operational at the end user 60.
- the equipment at the end of assembly is completely integrated and protected, the perimeter protection 10, 9 is activated. It is in a neutral initialization state where. the internal numbers are blank and an initialization microcode is preloaded in random access memory 107 of the controller.
- An internal state logic machine 117 can assist the hardware protection of non-modifiable resources.
- the operational operational program is itself loaded in read-only memory or programmable in a unique manner 106, and cannot be modified. The contents of all internal memories can be analyzed and checked at any time.
- the initialization program is completely erased, the RAM can no longer be used to execute any program and is only used for temporary storage of internal data. As a suggestion, the initialization program is erased step by step at each stage of initialization, which ensures the uniqueness of the operations.
- the functional program On power-up, the functional program detects the initialization state and executes the initialization sequence or resumes it at the current stage.
- the initialization sequence takes place in three phases: • the personalization phase, as shown in Figure 5, o the certification phase, as shown in Figure 6, o the activation phase, as shown in Figure 7 Until these three phases have been completed, the equipment is inoperative as a storage device, and no addressing, reading or writing operations on the internal device are authorized.
- the personalization phase includes the following operations using neutral equipment 30:
- - 31 Marking of the unique external serial number 18 in the structure of the equipment case (external protective envelope) indelibly (for example by laser marking or mechanical engraving).
- - 32 Entry of the serial number in electronic form via the external interface.
- Random internal generation of the equipment of two passwords these optional passwords ensure minimal protection of the equipment, and are for single use: they allow the protection of the equipment during storage or transit phases.
- Passwords are transmitted only once through the interface to the manufacturer, 37 and 38, which transmits them independently to the authorized certifying body and to the end user.
- a random generator calculates a very long identifier; so as to avoid any analysis, the encoding is on a number of bits such that the interrogation of the equipment for analysis of the secret identifier, is unthinkable by any screening or brute force methods, reducing the probability of find this identifier by chance at an improbable value, and this, even knowing the correspondence between the third party elements provided (signatures) and the unique identifier.
- This identifier is stored in a volatile random-access memory saved by battery, instantly destroyed in the event of a break-in.
- - 40 Calculation of a one-way digital fingerprint, by a hashing algorithm (for example SHAl), reproducing a one-way abstract 23 of a few tens of bytes (20 in the case of SHAl, algorithm of hash normalized FIPS 180-2) from a minimum message of a few hundred bytes (512 in the case of SHAl).
- a hashing algorithm for example SHAl
- SHAl hash normalized FIPS 180-2
- the equipment delivers the digital imprint calculated with the internal serial number for verification of uniqueness.
- a central and public database 21 contains all the serial numbers of all the equipment produced and the fingerprints used.
- the interrogation makes it possible to know if the identification is unique by an indirect method (fingerprint) which does not reveal any direct information on the internal secret identifier 7. Only manufacturers can enter this information in the database, which is available for consultation.
- the equipment is therefore identified and can be sent and / or made available to the certifying body 22, which alone is authorized to know the correspondence between the serial number and the unique identifier.
- the authorized certifying body 22 independently receives the identified equipment 45 and the password question mark 37.
- - 49 Calculation of the print of the copy 17 according to the method used in the equipment 40.
- - 50 Query and update of the certification status by request in the public identification database 21.
- - 51 Confirmation of the correspondence between the two fingerprints of the internal identifier and its copy.
- - 54 In the event of a correspondence failure, or the impossibility of carrying out the operation, the equipment is corrupt and must be rejected and dismantled 53, either because the equipment has already issued the identifier uncontrollably unique, either because it has broken down. The certifying body then publishes the rejection of the numbered equipment in the public database 21.
- the authorized certifying body guarantees the secrecy of correspondence between public and secret identifiers, and can establish in case of doubt and as a last resort the authenticity of the equipment.
- the authorized certifying body and the manufacturer can be completely independent. There may be several manufacturers and several authorized certification bodies approved by different bodies giving authentic value to the equipment.
- the authorized certifying bodies may optionally share copies of the unique secret identifiers with each other.
- the equipment is then certified. It can be marketed and delivered to an end user, who can use it after activation.
- the end user who acquires certified equipment 55 independently receives the initial password 38 issued by the manufacturer, and must activate it: - 56: At the first power-up, he must connect the equipment and must enter the password provided.
- - 59 This state is indicated visually, even without external power supply (for example, flashing at low duty cycle of a battery-type LED indicator).
- - 60 Once the equipment is activated, the end user can use the equipment as a partitioned storage computer device, initially blank. He can verify the authenticity and validity of his equipment himself by the methods explained.
- the equipment is arranged to allow simple mechanical cutting so as to allow direct access to the native electrical interfaces 76 of the internal storage device 1, and to the other elements 77 for expertise. This destructive operation instantly invalidates the authenticity and any other functionality.
- all these methods can use virtual files managed directly by the controller, and appearing as files available on the device, whereas they are not in fact directly stored on the integrated device 1. These files can be accessed in read mode, and in some cases in write mode so as to allow the end user to change the global parameters of the equipment under his control, or to allow authenticity verification to third parties by entering settings.
- This method can also be used for the exchange of system data, identifiers or passwords during the initialization phases (identification, certification, activation).
- virtual files can contain:
- the internal date 6 possibly associated with important dates such as the date of the first time setting, and the date of certification,
- system parameters writing allowing to assign certain optional operating modes programmable by the user (for example time zone, expiration, control and access limitation %),
- alphanumeric coding for example base 64, with limitation of the number of characters per line, or standard HTML or XML).
- the authentication file 80 is encoded so as to be easily editable in a reserved system file named by way of example ⁇ AuthChek. sys>. Writing is possible, if the anti-analysis time delay conditions are met 88. Writing to this file triggers the internal calculation of one of the certification elements, depending on the nature of the file entered: »empty file 89, ⁇ file containing a formatted input message 68, o file containing exactly the unique secret identifier 17.
- the system returns at the end of the calculation, a file of fixed length and structure including correspondence, according to the methods explained above, 'a formatted message ready to be sent for verification, and including all the elements necessary for verification: a fixed length imprint, the serial number, the message used, the date used.
- an expiration option can make it possible to free up space on the media by automatically destroying, if necessary, obsolete files in the past compared to the internal clock.
- Operability limits can be set either at construction by design, or by the authorized certification body, or at initial start-up by the end user, and may include limitations on the space freed up, such as for example , necessarily protect a fraction of the total capacity.
- the expiration is typically expressed in number of days relative to the present, as dated by the internal clock, and can be calibrated on calendar events (start or day of the week, start or day of the month, start or day of the year) .
- Internal dating in universal time means that at least one day of margin is systematically added to take into account the local time difference and the drift of the internal clock.
- the different modes of operation linked to expiration are explained in FIGS. 11 to 16.
- the storage space is represented in the form of a rectangle.
- the storage space is initially empty 90.
- the files therefore fill the storage space sequentially over time 92.
- the storage space is completely filled: any attempt to write a file which exceeds the remaining free space in capacity is rejected and reports an error 93.
- the operating mode with expiration is explained below.
- the expiration condition determines a pointer 94 below which the data can be deleted only if necessary.
- a file larger than the available free space can be added, completely deleting one or more expired files.
- the file could not be written due to lack of space can then be stored by overwriting the minimum necessary files have expired, even be split into two parts not 'contiguous 95, 96. files are removed completely, thus leaving possibly an excess of free space 5, the size of the new written file not necessarily being exactly identical to the size of the old overwritten files.
- the media can advantageously be partitioned with a variable expiration time. Once programmed, the expiration time cannot be changed. Partitioning advantageously makes it possible to manage different expiration times on different logical units. Partitioning can be fixed: number of partitions fixed at activation by the user , then size of fixed partitions. Partitioning can be dynamic:
- FIG. 17 shows a more detailed block diagram of an implementation suggestion based on 'nonlimiting example, on a hard disk 100.
- the functional breakdown described does not necessarily reflect the structure of the components used, each function being able to be in future implementations, distributed or integrated differently. For example, it is perfectly conceivable to integrate all or part of these functions into the internal electronics integrated into the hard disk, which already includes in current implementations a controller capable of covering part of the functions requested by modification of the microcode.
- the controller as defined is based on a bridge interface component 101, usually integrating a processor capable of executing a program interpreting the commands, and usually two standard interface controllers for data storage 102, 103.
- these special controllers have specific internal hardware resources optimized so as not to degrade the overall performance in terms of data transfer.
- a specific active physical interface can be integrated or entrusted to an external component 104 depending on the transmission technology used.
- This controller must be able to address a non-modifiable internal or external ROM program memory (ROM or OTP One Time Programmable) 106, and a RAM data memory (107) saved by battery 108 without external power supply thanks to a switching device 109, or possibly based on a Flash memory, or on a combination of the two technologies.
- ROM or OTP One Time Programmable ROM program memory
- RAM data memory (107) saved by battery 108 without external power supply thanks to a switching device 109, or possibly based on a Flash memory, or on a combination of the two technologies.
- the functional and operational microcode, outside the initialization phase, is only in ROM and cannot be modified or updated.
- the initialization microcode is preloaded in the data memory 107 during manufacture and destroyed before activation, in a non-reversible manner. No program or microcode can be loaded by standard interfaces.
- the functional data memory is saved so as to keep the temporary or non-critical intermediate parameters of the state of the system, and / or the history of past operations (log or 'log') or in progress in the event of a break in external power supply.
- the controller 101 does not need to be powered independently.
- an independent controller 110 allowing the monitoring of the internal state of the system with or without any external power source, also powered by battery 108.
- Monitoring monitors the condition of the equipment, the voltages of the internal batteries, and possibly other significant physical parameters (temperature). It is capable of controlling the interfacing of an external indicator 111 (indicator / LED) visually giving the state of the system even without power supply, and capable of preventing equipment failures, or its invalidation.
- the state of validity of the equipment indicated in this way must be correlated by other methods of investigation under power.
- the controller 101 indirectly addresses a volatile memory / real-time clock component 112, comprising a volatile memory erasable by an external signal 119.
- These components natively manage a battery-backed power supply 113 linked to their permanent functionality.
- the real time clock is associated with a low consumption temperature compensated oscillator 114, which is also saved by battery 115. It is the stability of this oscillator which determines the maximum drift of the clock. For example, there are compensated oscillators compatible with a battery power supply which provide a drift, guaranteed less than 1 minute per year, which is reasonable and not very critical since the drift can be measured at any time.
- the built-in erasable memory contains the unique identifiers: serial numbers 8 and unique secret identifier 7, as well as possibly other parameters deemed critical (pointers, etc.).
- the real-time clock assembly 112, 114 is secured by a sequential logic 116, which can be integrated into a low-consumption programmable logic component supplied by battery 113. This logic manages the initialization modes, the operational mode, and the destruction of unique parameters, and integrates a state machine 117 ensuring the unique and irreversible sequencing of operations.
- sequencer 116 assists the method described and provides sequential write protection for the parameters to be initialized only once.
- the initialization sequence can be carried out only once, starting from an unstable state artificially forced during manufacture, the transition to the next state being ensured by the controller, up to the operational state, then possibly the invalidation state.
- the interruption of the saved power supply or the intrusion detection resets the state machine to an initial state corresponding to the equipment invalidation state.
- sequencer 116 provides timed hardware protection for reading the secret unique identifier, by authorizing its access in a timed manner limited by the real-time clock to, for example, once per 24 hours.
- intrusion detection In the event of intrusion detection, or power supply failure, it ensures the inhibition of the real-time clock by blocking the oscillator 114 towards it, and reassures the invalidation of the identification parameters which may not be erased. . Access to the serial number and the read clock from the controller remains possible, read access to the erased unique identifier is permanently inhibited, for invalidation control, as well as any write access.
- the intrusion alert system 118 is linked to the intrusion sensor used, and permanently controls the electrical parameters of the sensor (resistance 121, capacity 122 short circuit or open circuit 123), as well as the temperature 120. This part is fully autonomous and self-powered by battery 124. An alert condition, or the absence of power by battery 124 erases 119 the volatile memory containing the identifiers 112 and resets the logic element 116 which goes into an equipment disabled state.
- the system is supplied for the functional part by an external power supply 125, 14 possibly seconded by switching converters or voltage regulators 126 which generate the internal supply voltages of the equipment.
- the permanent power supply saves the internal batteries thanks to an electronic switching system 127 which primarily uses the external power supply 125, an optional external auxiliary battery 128, and finally as a last resort the internal batteries 108, 113, 115, 124 which extends the service life of the equipment, which is essentially limited by the service life of these internal batteries.
- the number of internal batteries depends on the consumption and the functional independence of each sub-assembly. The distribution is given for information only.
- the battery of the intrusion detector is possibly doubled for redundancy, but remains independent of any other internal power source.
- Components 100 to 106 are only supplied by the main external source.
- External interfaces such as power supplies, input / output buses, control signals are protected against overvoltages, overcurrents and filtered 129 so as to prevent the system from being damaged by a defective source, or intentionally by applying levels extremes that can put the equipment in an unknown state of vulnerability.
- the RAM 106 used by the controller must at no time include a substantial partial copy of The internal secret identifier 7.
- a second non-secure casing 131 protects the whole of the equipment against shocks so as to avoid any accidental false alarm, reports wear interfaces (mechanical interfaces, connectors), the interchangeable auxiliary battery, visual indicators (indicators) and possibly sound indicators (buzzer), and improves the external aesthetic and / or ergonomic aspect.
- This jacket must allow visual access to the external serial number, and should be easily removable so as to perform the integrity check of one equipment 'by itself.
- the double envelope can be adapted to the use of the peripheral •: • removable peripheral or. fixed in a standard 3 "l / 2 or 5" l / 4 rack, external device, device integrated in a laptop, individual or server.
- the depressurization cap of the hard disk is carried by a conduit 132 outside the enclosure 10 without degrading the vulnerability (tubing and capillarity).
- An auxiliary serial interface 133 can allow limited independent access to the controller in the event of failure of the main input / output functional interface 105, for the analysis of the authenticity and validity of the equipment, or can be used for advanced access control or secure copy functions by interfacing, for example a smart card.
- a “smart card” type interface can also be used in this case with a cryptographic card authenticating the transfer of data from the source equipment to the target equipment using the internal date and the secret identifiers of both.
- the object code in the typical case where the controller executes an on-board program or contains programmable circuits, the object code
- a variant not necessarily implemented it is wise to include an internal system of limitation on the filling quota, which can avoid deliberate or accidental filling of the equipment (expressed for example in megabytes by number of days ) or make it possible to anticipate the replacement of the equipment for extension of the storage capacity.
- it is possible, depending on the file system used to provide a possibility of changing the names of the files and directories, to facilitate the use of data over time. This also provides the possibility of modify the directory tree structure, and any movement of logical data insofar as this does not affect the content, the date, or possibly the extension or version of the files.
- File renaming can be supplemented, only the basic header cannot be changed: renaming of the long name, without touching the short name (8.3 characters in many operating systems).
- Moving files can be implemented: change of directories, without touching the data.
- a read protection mode can advantageously be implemented by partition, ensuring data confidentiality protection, the switching of this function can be controlled by password or smart card, and by partition.
- the device described is particularly suitable for the private storage and archiving of computer data likely to have the value of authentic, legal and / or legal proof before authorized bodies.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
The invention relates to a secure, tamper- and forgery-proof peripheral for the storage of authenticated, dated computer data with an evidential value. The invention is based on an optionally-rewritable, fully-integrated storage peripheral which is functionally protected by an electronic system which only authorises the addition of data in the unused free space and prohibits the deletion, alteration or overwriting of pre-recorded data. At the end of each file-write operation, the date, which is provided by a non-modifiable internal clock that is calibrated only at the time of production, is associated therewith. Each device comprises a unique integrated secret internal digital identifier which is associated with a unique public identifier and said identifiers are used to personalise the device and render same unreproducible. The aforementioned association can be verified using several third methods which never divulge the secret internal identifier. According to the invention, a physical and electronic peripheral protection system activates, incorporates and protects the assembly of above-mentioned internal elements and destroys the unique internal identifiers in the event of an attempted intrusion, compromise, corruption or internal analysis. For said purpose, the authenticity of the equipment assembly is invalidated and, consequently, so too are the stored data which nonetheless remain readable. The inventive device is particularly suitable for the private storage and archiving of computer data having an authentic, juridical and/or legal weight of evidence in respect of official authorities. Moreover, said device uses no heavy cryptography methods.
Description
Procédé et dispositif de stockage de données informatiques sécurisé Method and device for secure computer data storage
La présente invention se rapporte aux procédés et dispositifs de stockage de données informatiques sécurisé et infalsifiable visant à garantir l'authenticité des données enregistrées à une date donnée ainsi qu'aux procédés et méthodes de production, de vérification, d'authentification, d'exploitation associées.The present invention relates to methods and devices for storing secure and tamper-proof computer data intended to guarantee the authenticity of the data recorded on a given date, as well as to methods and methods of production, verification, authentication, operation. associated.
Traditionnellement, de tels systèmes sont implémentés sur des dispositifs de stockage à écriture unique, qui reposent sur la faculté du média utilisé à être modifié physiquement de façon irréversible. Ces médias (fixes ou la plupart du temps amovibles) sont faciles à reproduire dans leur intégralité. A titre d'exemple, les disques non réinscriptibles de type CDR et DVDR très communs, ne sont pas, la plupart du temps, identifiés individuellement et peuvent donc être manipulés sur un ' système externe, et intégralement recopiés après falsification sur un média vierge identique. De même, il est possible de corrompre l'enregistrement d'un média à écriture seule en forçant la réécriture sur des plages comportant déjà des données, le lecteur-enregistreur n'offrant pas ou peu de protection contre l'envoi de commandes natives d'accès au média. L'identification unique du média se heurte souvent à la facilité de reproduction ou de falsification, et au fait que le média ne soit pas auto-alimenté. Il ne présente donc globalement qu'un niveau de sécurité très faible. Les médias magnétiques sont plus denses et plus performants, mais sont nativement à écriture multiple, ils sont donc encore plus faciles à corrompre.Traditionally, such systems have been implemented on single-write storage devices, which rely on the ability of the medium used to be physically changed irreversibly. These media (fixed or mostly removable) are easy to reproduce in their entirety. For example, non-rewritable discs CDR DVDR very common type and are not, most of the time, identified individually and can therefore be handled on an external system, and completely copied after tampering on an identical blank media . Similarly, it is possible to corrupt the recording of a write-only media by forcing the rewriting on tracks already containing data, the reader-recorder offering little or no protection against sending native commands d access to the media. The unique identification of the media often comes up against the ease of reproduction or falsification, and the fact that the media is not self-powered. It therefore generally has only a very low level of security. Magnetic media are denser and more powerful, but are natively multi-write, so they are even easier to corrupt.
Une des façons de pallier les faiblesses des médias amovibles ou réinscriptibles est l'utilisation de méthodes
cryptographiques qui permettent effectivement à l'instant de l'écriture, d'authentifier les données mais qui augmentent la vulnérabilité aux erreurs uniques et rendent souvent le partage de données entre les utilisateurs fastidieux. Ces méthodes algorithmiques, souvent complexes ne protègent cependant pas directement le média et/ou le lecteur, restent coûteuses en ressources de calcul et sont sujettes à l' obsolescence au cours du temps. Si elles s'avèrent efficaces et nécessaires dans le domaine transactionnel en temps réel, elles présentent de nombreux désavantages dès lors que, soit l'on désire exploiter une grande quantité de données, soit le partage des données entre plusieurs utilisateurs est nécessaire, soit que les données doivent être gardées pendant plusieurs années. L'accès au média rend caduque en tout état de cause toute méthode cryptographique, le média pouvant être dupliqué et falsifié a posteriori.One of the ways to overcome the weaknesses of removable or rewritable media is to use methods cryptographic which effectively allow at the time of writing, to authenticate the data but which increase the vulnerability to unique errors and often make data sharing between users tedious. These algorithmic methods, often complex, however, do not directly protect the media and / or the reader, remain costly in computing resources and are subject to obsolescence over time. If they prove to be efficient and necessary in the real-time transactional field, they have many disadvantages since either you want to use a large amount of data, or the sharing of data between several users is necessary, or that the data must be kept for several years. Access to the media makes any cryptographic method obsolete in any case, the media can be duplicated and falsified a posteriori.
Le problème de datation s'ajoute aux précédents, les systèmes qui datent les fichiers présentant souvent une grande vulnérabilité, et empêchant rarement la corruption volontaire ou involontaire des dates des fichiers informatiques. La structure . des systèmes de fichiers couramment utilisés est connue et la datation associée est très rarement protégée ou cryptée, donc vulnérable.The problem of dating is added to the preceding ones, the systems which date the files often presenting a great vulnerability, and seldom preventing the voluntary or involuntary corruption of the dates of the computer files. The structure . commonly used file systems are known and the associated dating is very rarely protected or encrypted, therefore vulnerable.
L'ultime solution consiste à utiliser des organismes tiers, qui stockent de façons redondantes les données, éventuellement cryptées, et assurent leur protection physique. Ces méthodes peuvent s'avérer efficaces, mais imposent souvent une logistique coûteuse suivant la quantité de données à transmettre. Elles utilisent des liens de communications sujets à l'indisponibilité et/ou des réseaux publics peu protégés. D'autres solutions similaires d'authentification des données passent par des méthodes de signature numérique, l'organisme tiers ne gardant que les signatures des fichiers. L'authenticité peut être établie par
comparaison des signatures. Ceci n'empêche pas les problèmes liés à la possibilité que les données originales soient volontairement ou involontairement corrompues à terme ou que l'évolution des calculateurs permette de les falsifier. Egalement, l'utilisation de telles méthodes impose le recours à un logiciel de signature - lui-même vulnérable.The ultimate solution is to use third-party organizations, which store redundant data, possibly encrypted, and ensure their physical protection. These methods can be effective, but often require costly logistics depending on the amount of data to be transmitted. They use communication links subject to unavailability and / or poorly protected public networks. Other similar data authentication solutions go through digital signature methods, the third party organization only keeping the signatures of the files. Authenticity can be established by comparison of signatures. This does not prevent the problems linked to the possibility that the original data will be voluntarily or involuntarily corrupted in the long term or that the evolution of the computers makes it possible to falsify them. Also, the use of such methods requires the use of signature software - itself vulnerable.
Chaque méthode citée couvre un champ d application particulier, et n'apporte pas de solution simple pour enregistrer en toute autonomie les données internes, confidentielles, privées, ou stratégiques d'un individu, d'un professionnel, ou d'une entreprise, dès lors que la quantité de données devient importante, et qu'elles doivent pouvoir être éventuellement présentées ou requises en tant que preuve authentique juridique et légale a posteriori. La personne physique ou morale qui les possède, les gère ou en est responsable et n'a pas nécessairement, la volonté ou les moyens techniques et/ou organisationnels de transmettre .ces données via - ou à - un tiers extérieur, en raison de leur aspect stratégique, confidentiel ou privé. Les organismes agréés ou institutionnels qui peuvent demander dans le cadre de contrôle ou de perquisition, .la présentation de données, n'ont pas non plus le moyen de copier, d'authentifier ou de garantir les données de l'ensemble des utilisateurs, et sont contraints de laisser la garde et le contrôle des données à leurs émetteurs.Each method cited covers a particular field of application, and does not provide a simple solution to independently record internal, confidential, private, or strategic data of an individual, a professional, or a company, from when the quantity of data becomes significant, and when it must be possible to present or request it as authentic legal and legal proof a posteriori. The natural or legal person who owns, manages or is responsible for them and does not necessarily have the will or the technical and / or organizational means to transmit these data via - or to - an external third party, because of their strategic, confidential or private. The approved or institutional organizations which can request within the framework of control or search, the presentation of data, do not have the means to copy, authenticate or guarantee the data of all the users, and are forced to leave custody and control of the data to their transmitters.
L'ensemble des vulnérabilités fait qu'il est extrêmement délicat de donner une valeur légale à des enregistrements informatiques privés basés sur des éléments standards, et que de façon contradictoire il apparaît de plus en plus nécessaire de garantir l'authenticité des données quelles qu'elles soient, le stockage informatique constituant généralement le moyen moderne de conservation des informations.The set of vulnerabilities makes it extremely difficult to give legal value to private computer records based on standard elements, and that in a contradictory manner it appears more and more necessary to guarantee the authenticity of the data whatever. they are, computer storage generally constituting the modern means of preserving information.
Les procédé et dispositif selon la présente invention
cherchent à pallier la facilité de reproduction et de falsification des enregistrements papiers sonores, vidéo, et informatiques standard, et dont la maîtrise est entièrement assurée par les personnes qui stockent et contrôlent l'information, et qui peuvent donc la falsifier ou la tronquer, l'antidater a posteriori, ou être victimes d'attaque interne ou externe de ces données. Le fait que ces informations soient privées peut rendre impossible, long ou fastidieux, le recoupement de certaines informations uniques. Plus précisément, l'invention consiste en un procédé pour le stockage de données informatiques, caractérisée en ce qu'il consiste à intégrer entièrement en un dispositif :The methods and device according to the present invention seek to compensate for the ease of reproduction and falsification of standard audio, video and computer recordings, the control of which is entirely ensured by the people who store and control information, and who can therefore falsify or truncate it, l '' Date backwards, or be victims of internal or external attack on this data. The fact that this information is private can make it impossible, long or tedious, to cross-check certain unique information. More specifically, the invention consists of a method for storing computer data, characterized in that it consists in integrating entirely into a device:
- un périphérique de stockage de données,- a data storage device,
- un contrôleur d'entrées-sorties adapté transformant ledit périphérique de stockage de données en un périphérique de stockage à écriture unique ou restreinte en dérivant toutes commandes de l'interface d'entrées-sorties en provenance d'un système hôte, vers l'interface interne du périphérique de stockage de données intégré, de façon : - à autoriser exclusivement l'ajout de nouveaux fichiers dans l'espace libre en les datant indépendamment grâce à une horloge temps réel interne sécurisée, eta suitable input-output controller transforming said data storage device into a single-write or restricted storage device by deriving all commands from the input-output interface coming from a host system, towards the internal interface of the integrated data storage device, so as to: - exclusively authorize the addition of new files in the free space by dating them independently thanks to a secure internal real-time clock, and
- à interdire l'effacement, la modification et la réécriture des données préalablement écrites et donc antérieurement datées,- to prohibit the erasure, modification and rewriting of data previously written and therefore previously dated,
- à protéger l'ensemble dudit dispositif d'une part contre la falsification ou la duplication par un identifiant secret unique interne en correspondance avec un numéro de série public unique, d'autre part par une enceinte de protection périmétrique destinée à empêcher l'intrusion dans l'équipement, la modification de tout composant et des données internes, ainsi que l'analyse de l'identifiant secret unique sans compromettre de façon irrémédiable la validité et 1' authenticité,
- à détecter une tentative d'intrusion, de modification, d'analyse, lesdites détections étant aptes à être vérifiées par plusieurs méthodes tierces au dit procédé, ce dernier étant ainsi sécurisé, et apte pour le stockage de données informatiques authentifiées et datées à valeur probante.- to protect the whole of said device on the one hand against falsification or duplication by a unique internal secret identifier in correspondence with a unique public serial number, on the other hand by a perimeter protection enclosure intended to prevent intrusion in the equipment, the modification of any component and internal data, as well as the analysis of the unique secret identifier without irreversibly compromising the validity and authenticity, - to detect an attempt at intrusion, modification, analysis, said detections being able to be verified by several methods third to the said process, the latter being thus secure, and suitable for storing authenticated and dated computer data at value probative.
Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à reproduire électroniquement en interne ledit numéro de série public unique, pour permettre un contrôle électronique de celui-ci. Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à protéger physiquement tous les composants internes en laissant accessibles uniquement les interfaces fonctionnelles externes d'entrées-sorties et d'alimentation, grâce à une enceinte scellée périmétrique englobant tous les composants, constituée d'une protection mécanique et électromagnétique passive englobant un capteur de détection d'intrusion actif et l'électronique associée, cette dernière assurant la destruction immédiate de l'identifiant unique interne secret et du numéro de série interne le cas échéant, par effacement instantané, en cas de détérioration volontaire ou involontaire changeant la vulnérabilité ou l'autonomie du dispositif, ou de tentative d'investigation interne détectée par le capteur pouvant permettre de compromettre, contrôler, modifier, analyser des données, interfaces ou composants internes.According to an advantageous characteristic, the method according to the invention also consists in electronically reproducing internally said unique public serial number, to allow electronic control thereof. According to an advantageous characteristic, the method according to the invention also consists in physically protecting all the internal components by leaving accessible only the external functional interfaces of input-output and supply, thanks to a perimeter sealed enclosure encompassing all the components, consisting of passive mechanical and electromagnetic protection including an active intrusion detection sensor and associated electronics, the latter ensuring immediate destruction of the secret internal unique identifier and the internal serial number if necessary, by instantaneous erasure , in the event of voluntary or involuntary deterioration changing the vulnerability or the autonomy of the device, or an internal investigation attempt detected by the sensor which can make it possible to compromise, control, modify, analyze data, interfaces or internal components.
Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à maintenir actifs, l'horloge temps réel interne, l'identifiant secret, le numéro de série interne le cas échéant, et l'électronique de détection d'intrusion et de destruction, en dehors de toute source d'alimentation externe pour la durée de vie spécifiée pour 1' équipement „ grâce à un sous-système d'alimentation interne autonome, éventuellement secondé en externe pour en augmenter la durée de vie.
Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à permettre de garantir la personnalisation unique et non reproductible de l'équipement tout en publiant son existence, éventuellement avant certification, en générant aléatoirement par calcul en interne de l'équipement, l'identifiant unique secret, en calculant en interne une empreinte numérique à sens unique de cet identifiant qui ne permet pas de remonter à celui-ci, en établissant l'unicité de l'empreinte par interrogation d'une base de données publique contenant les empreintes de l'ensemble des équipements existants, l'identifiant étant recalculé s'il y a collision et le dispositif étant formellement identifié dès que l'empreinte est unique, en ajoutant alors dans la base de données ' publique, les références de l'équipement : numéro de série unique et empreinte .According to an advantageous characteristic, the method according to the invention also consists in keeping active, the internal real-time clock, the secret identifier, the internal serial number if applicable, and the electronics for intrusion detection and destruction, outside of any external power source for the service life specified for the equipment, thanks to a self-contained internal power subsystem, possibly seconded externally to increase the service life. According to an advantageous characteristic, the method according to the invention also consists in making it possible to guarantee the unique and non-reproducible personalization of the equipment while publishing its existence, possibly before certification, by generating randomly by internal calculation of the equipment, the secret unique identifier, by internally calculating a one-way digital fingerprint of this identifier which cannot be traced back to it, by establishing the uniqueness of the fingerprint by interrogating a public database containing the fingerprints of all existing equipment, the identifier being recalculated in the event of a collision and the device being formally identified as soon as the fingerprint is unique, then adding the references of the to the 'public ' database equipment: unique serial number and imprint.
Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à assurer l'authenticité du dispositif après fabrication, le test, l'assemblage final et l'activation de la protection périmétrique, jusqu'à l'acquisition par l'utilisateur final, en rendant uniques les opérations d'affectation du numéro de série unique, la synchronisation de l'horloge temps réel par rapport à une référence de temps externe fiable, l'auto-génération interne de- l'identifiant secret unique, la copie externe de l'identifiant secret unique en environnement sécurisé de l'identifiant secret unique vers un organisme certificateur habilité à garantir le secret de cet identifiant et de fait l'authenticité de l'équipement, l'unicité de chaque opération étant garantie par conception en inhibant ou détruisant de façon irréversible et dès que possible dans la séquence d'initialisation, les éléments matériels et/ou le microcode permettant cette initialisation.According to an advantageous characteristic, the method according to the invention also consists in ensuring the authenticity of the device after manufacture, the test, the final assembly and the activation of the perimeter protection, until acquisition by the user. final, by making unique the operations of assigning the unique serial number, the synchronization of the real time clock with respect to a reliable external time reference, the internal self-generation of the unique secret identifier, the copying of the unique secret identifier in a secure environment from the unique secret identifier to a certifying body empowered to guarantee the secrecy of this identifier and therefore the authenticity of the equipment, the uniqueness of each operation being guaranteed by design in irreversibly inhibiting or destroying and as soon as possible in the initialization sequence, the hardware elements and / or the microcode allowing this initialization.
Selon une caractéristique avantageuse, le procédé selon
1' invention consiste en outre à permettre sans limitation sur l'occurrence, la vérification préliminaire de l'authenticité et de l'intégrité, par contrôle et recoupement des numéros de série uniques répertoriés dans la base de données publique, par contrôle de la validité et de l'évolution de lf horloge interne par rapport à une référence de temps externe fiable en prenant en compte la dérive maximum spécifiée de l'horloge interne, et par contrôle visuel ou non destructif de l'intégrité de l'enveloppe externe. Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à permettre à des organismes autorisés, d'authentifier à la demande l'équipement par vérification par des méthodes tierces utilisant l'identifiant secret interne sans le révéler, en recalculant en interne dynamiquement l'empreinte de l'identifiant et en interrogeant directement la base de données publique, ou en couplant en interne l'identifiant secret à la date interne et à un message externe fourni avant calcul interne de l'empreinte de l'ensemble, l'ensemble des éléments connus étant fourni . pour certification à distance par l'organisme certificateur habilité qui seul peut vérifier la cohérence grâce à la copie de l'identifiant secret unique dont il dispose, ces fonctions impliquant l'identifiant secret, étant temporisées et .limitées en occurrence en interne de l'équipement de façon à éviter la détermination inverse de l'identifiant par analyse ou essais successifs.According to an advantageous characteristic, the method according to 1 the invention further consists in allowing without limitation on the occurrence, the preliminary verification of authenticity and integrity, by checking and cross-checking the unique serial numbers listed in the public database, by checking the validity and the evolution of f internal clock back to a reliable external time reference taking into account the specified maximum drift of the internal clock and by visual inspection and non-destructive integrity of the outer shell. According to an advantageous characteristic, the method according to the invention also consists in allowing authorized organizations to authenticate the equipment on demand by verification by third-party methods using the internal secret identifier without revealing it, by recalculating internally. dynamically the imprint of the identifier and by directly querying the public database, or by internally coupling the secret identifier to the internal date and to an external message provided before internal computation of the overall imprint, l 'all known elements being provided. for remote certification by the authorized certifying body, which alone can verify consistency by copying the unique secret identifier available to it, these functions involving the secret identifier, being timed and .limited in internal occurrence of the equipment so as to avoid the reverse determination of the identifier by analysis or successive tests.
Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à permettre à l'organisme certificateur d'authentifier lui-même sous son contrôle et en dernier recours l'équipement en injectant sa copie de l' identifiant secret pour comparaison en interne de l'équipement qui détecte la parfaite similitude, et envoie en réponse un message unique qui peut être vérifié par ledit organisme certificateur, cette fonction impliquant
1' identifiant secret étant temporisée et limitée en occurrence en interne de l'équipement de façon à éviter la détermination inverse de l'identifiant par analyse ou essais
Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à permettre, à titre de variante non nécessairement implémentée, de gérer de façon autonome l'expiration des données dans le passé, en autorisant -uniquement en cas de remplissage complet du périphérique de stockage interne - l'écriture de nouveaux fichiers en écrasant dans la limite du suffisant et dans l'ordre chronologique, les données antérieures à une date relative, mise à jour dynamiquement par rapport à la date courante fournie par l'horloge interne, dérogeant ainsi à la règle d' écriture unique sans cependant compromettre ou modifier les données utiles ayant encore une validité, et datées postérieurement à la date d'expiration.According to an advantageous characteristic, the method according to the invention also consists in allowing the certifying body to authenticate itself under its control and as a last resort the equipment by injecting its copy of the secret identifier for internal comparison equipment which detects perfect similarity, and sends in response a single message which can be verified by said certifying body, this function involving 1 secret identifier being timed and limited in internal occurrence of the equipment so as to avoid the reverse determination of the identifier by analysis or tests According to an advantageous characteristic, the method according to the invention also consists in allowing, as a variant not necessarily implemented, to manage autonomously the expiration of data in the past, by authorizing -only in the event of complete filling of the device internal storage - the writing of new files by overwriting within the limit of sufficient and in chronological order, the data before a relative date, dynamically updated compared to the current date provided by the internal clock, derogating thus to the single writing rule without however compromising or modifying the useful data still valid, and dated after the expiration date.
Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à présenter tout paramètre et indicateur interne propre et spécifique au dit dispositif sous forme de fichiers virtuels aux noms réservés, vus par le système hôte comme des fichiers classiques et évitant la mise en œuvre de pilotes ou de modes de fonctionnement particuliers au niveau du système hôte pour la gestion, l'administration et la surveillance dudit dispositif.According to an advantageous characteristic, the method according to the invention also consists in presenting any internal parameter and indicator specific and specific to said device in the form of virtual files with reserved names, viewed by the host system as conventional files and avoiding the setting in implementation of specific drivers or operating modes at the host system level for the management, administration and monitoring of said device.
Selon une caractéristique avantageuse, le procédé selon l'invention consiste en outre à partitionner ledit périphérique de stockage de données avec une durée d'expiration différente par partition. La présente invention se rapporte en outre à un dispositif pour le stockage de données informatiques, caractérisé en ce qu'il intègre entièrement :According to an advantageous characteristic, the method according to the invention also consists in partitioning said data storage device with a different expiration time per partition. The present invention further relates to a device for storing computer data, characterized in that it fully integrates:
- un périphérique de stockage de données comportant une interface interne,
- un contrôleur d'entrées-sorties adapté,- a data storage device with an internal interface, - a suitable input-output controller,
- une interface d'entrées-sorties,- an input-output interface,
- une horloge temps réel interne sécurisée,- a secure internal real-time clock,
- un identifiant secret unique interne, - un numéro de série public unique,- a unique internal secret identifier, - a unique public serial number,
- une enceinte de protection périmétrique, ledit contrôleur d'entrées-sorties adapté étant apte à transformer ledit périphérique de stockage de données en un périphérique de stockage à écriture unique ou restreinte en dérivant toutes commandes de l'interface d'entrées-sorties en provenance d'un système hôte, vers l'interface interne' du périphérique intégré, de façon :- a perimeter protection enclosure, said adapted input-output controller being able to transform said data storage device into a single or restricted write storage device by deriving all commands from the input-output interface coming from from a host system, to the internal interface ' of the integrated peripheral, so:
- à autoriser exclusivement l'ajout de nouveaux fichiers dans l'espace libre en les datant indépendamment grâce à l'horloge temps réel interne sécurisée, et- to authorize exclusively the addition of new files in the free space by dating them independently thanks to the internal secure real-time clock, and
- à interdire l'effacement, la modification et la réécriture des données préalablement écrites et donc antérieurement datées, l'ensemble dudit dispositif étant protégé d'une part contre la falsification ou la duplication par l'identifiant secret unique interne en correspondance avec le numéro de série public unique, d'autre part par l'enceinte de protection périmétrique empêchant l'intrusion dans l'équipement, la modification de tout composant et des données internes, ainsi que l'analyse de l'identifiant secret unique sans compromettre de façon irrémédiable la validité et l'authenticité, les tentatives d'intrusion, modification, analyse étant aptes à être vérifiées par plusieurs moyens tiers à l'ensemble dudit dispositif, ce dernier étant ainsi sécurisé, inviolable et infalsifiable apte pour le stockage de données informatiques authentifiées et datées à valeur probante.- to prohibit the erasure, modification and rewriting of data previously written and therefore previously dated, the whole of said device being protected on the one hand against falsification or duplication by the unique internal secret identifier in correspondence with the number single public serial, on the other hand by the perimeter protection enclosure preventing the intrusion into the equipment, the modification of any component and internal data, as well as the analysis of the unique secret identifier without compromising in a way irremediable validity and authenticity, attempts at intrusion, modification, analysis being able to be verified by several means third to the whole of said device, the latter being thus secure, tamper-proof and tamper-proof suitable for storing authenticated computer data and dated with probative value.
Le dispositif selon la présente invention est intégralement protégé contre la réécriture et apte à donner
une valeur authentique probante et/ou légale et/ou juridique aux informations numériques. Les données sont enregistrées de façon irréversible et datées avec une précision suffisante de façon entièrement autonome. Le dispositif est auto-protégé et identifié de façon unique. Toute tentative de modification ou de compromission du dispositif se solde par son invalidation. La duplication à l'identique du dispositif est rendue raisonnablement impossible.The device according to the present invention is fully protected against rewriting and able to give a probative and / or legal and / or legal authentic value to digital information. The data is irreversibly recorded and dated with sufficient precision completely independently. The device is self-protected and uniquely identified. Any attempt to modify or compromise the device results in its invalidation. The identical duplication of the device is made reasonably impossible.
L'utilisation du dispositif permet, sans contrainte spécifique et sans utiliser de tiers durant son exploitation, à toute personne soucieuse de pouvoir établir sa bonne foi et la légalité de son activité, de le faire, en lui laissant le libre arbitre sur les données qu'elle veut ou doit protéger ainsi. Le dispositif n'empêche en aucun cas la dissimulation, la destruction complète des données, d'informations, ou de preuves, ni la falsification a priori possible dans tous les cas, mais établit a posteriori que les données, lorsqu'elles sont présentées, ont bien été enregistrées à la date indiquée, et n'ont pas pu être falsifiées ou remplacées ultérieurement .The use of the device allows, without specific constraint and without using a third party during its operation, to any person anxious to be able to establish their good faith and the legality of their activity, to do so, leaving them free will on the data that 'she wants or must protect as well. The device does not in any case prevent the concealment, complete destruction of data, information or evidence, or a priori possible falsification in all cases, but establishes a posteriori that the data, when it is presented, were recorded on the date indicated, and could not be falsified or replaced later.
L'originalité du dispositif est que son principe fonctionnel est indépendant de toute méthode cryptographique lourde, sujette à obsolescence ou expiration dues aux progrès imprévisibles de la cryptanalyse. La cryptographie n'est pas nécessaire, dans le sens où l'utilisateur contrôle et possède physiquement le dispositif, et doit décider du degré de confidentialité et de protection des données indépendamment du périphérique de stockage physique qu'il utilise. Il minimise l'intervention de tierces parties pour l'authentification des données, permet d'éviter la transmission d' informations stratégiques ou critiques sur des réseaux tiers à distance, et permet de fait de protéger plus de données, ou de migrer des données papiers ou microfilmées vers un média informatique plus simple à utiliser et à
archiver .The originality of the device is that its functional principle is independent of any heavy cryptographic method, subject to obsolescence or expiration due to the unpredictable progress of cryptanalysis. Cryptography is not necessary, in the sense that the user physically controls and owns the device, and must decide the degree of confidentiality and data protection regardless of the physical storage device that he uses. It minimizes the intervention of third parties for authentication of data, avoids the transmission of strategic or critical information on remote third-party networks, and makes it possible to protect more data, or to migrate paper data or microfilmed to a computer medium that is easier to use and archive.
L'intérêt du dispositif décrit est la possibilité d'utiliser comme élément de stockage physique n'importe quel périphérique de stockage réinscriptible ou non à accès aléatoire, sans en dégrader les performances, la fiabilité ni la résistance environnementale et en lui donnant un comportement transparent neutre vis-à-vis du système hôte, laissant ainsi la liberté à l'utilisateur final d'utiliser les méthodes logicielles externes de compression, de protection cryptographique, et de fiabilisation du stockage mises à sa disposition.The advantage of the device described is the possibility of using any rewritable or non-rewritable random access storage device as physical storage element, without degrading performance, reliability or environmental resistance and giving it transparent behavior. neutral vis-à-vis the host system, thus leaving the freedom to the end user to use the external software methods of compression, cryptographic protection, and reliability of the storage made available to him.
Le dispositif objet de l'invention inclut l'équipement périphérique constitué (nommé par la suite 'l'équipement'), mais également les méthodes et procédés qui permettent la fabrication et la vérification de l'équipement par des tiers, et la description de certains modes particuliers d' opérations.The device which is the subject of the invention includes the peripheral equipment constituted (hereinafter referred to as 'the equipment'), but also the methods and processes which make it possible to manufacture and verify the equipment by third parties, and the description of certain particular modes of operation.
-Le dispositif intègre complètement un périphérique de stockage de données standard commercial à média non amovible ou rendu non amovible (à titre d'exemples non limitatifs : un disque dur à technologie magnétique, un disque mémoire flash, un graveur de CD/DVD dont le mécanisme d'éjection est désactivé chargé avec un média inscriptible) dont l'interface est protégée et isolée par un contrôleur spécifique, limitant par conception les opérations de stockage à l'unique fonction d'ajout de données. L'équipement est a priori vu par un système informatique hôte comme un équipement périphérique de stockage informatique, sauf qu'il est fonctionnellement impossible de modifier, d'effacer ou de réécrire des enregistrements logiques écrits antérieurement. Il est seulement possible de les lire. Une horloge de datation calibrée à la fabrication, non modifiable et autonome date en temps réel et indépendamment du système hôte tout fichier enregistré. La datation des fichiers est enregistrée par
1' électronique de contrôle sur le périphérique interne, soit en plus de l'enregistrement des données utilisateur avec une référence au descripteur fondamental de l'enregistrement logique ou fichier auquel il est associé en tant que méta- données, soit dans le descripteur même du fichier en lieu et place des informations de datation normalement fournies par le système hôte, soit dans les espaces inutilisés ou non spécifiés de ce descripteur de fichier. L'ensemble de ces informations de datation est accessible en lecture seule par le système hôte, ce qui permet de vérifier la datation certifiée par le dispositif pour chaque enregistrement inscrit.-The device completely integrates a standard commercial data storage device with non-removable media or made non-removable (by way of nonlimiting examples: a hard disk with magnetic technology, a flash memory disk, a CD / DVD burner, the ejection mechanism is deactivated loaded with writable media) whose interface is protected and isolated by a specific controller, by design limiting storage operations to the sole function of adding data. The equipment is a priori seen by a host computer system as peripheral computer storage equipment, except that it is functionally impossible to modify, erase or rewrite logical records previously written. It is only possible to read them. A date clock calibrated at the time of manufacture, non-modifiable and autonomous dates in real time and independently of the host system any recorded file. File dating is recorded by 1 control electronics on the internal device, either in addition to recording user data with a reference to the basic descriptor of the logical record or file with which it is associated as metadata, or in the descriptor itself file instead of the timing information normally provided by the host system, either in unused or unspecified spaces in this file descriptor. All of this dating information is accessible in read-only mode by the host system, which makes it possible to verify the dating certified by the device for each recorded record.
L'équipement se comporte globalement comme un périphérique de type à écriture unique, qui re-date les informations par rapport à une heure de référence relative, suffisamment précise, et dont la dérive peut être mesurée, voir authentifiée. Le périphérique intégré ne fait donc que se remplir, comme s'il intégrait un média physiquement non réinscriptible. A titre de variante non nécessairement implémentée et sous des conditions très restrictives, l'équipement peut facilement gérer une date d'expiration dans le passé relative à son horloge interne, donc à sa propre datation ce qui permet éventuellement de libérer l'espace occupé par des données obsolètes pour inscrire de nouveaux enregistrements lorsque le périphérique est 'plein'. Cette fonctionnalité dite 'd'expiration' permet de répondre au besoin spécifique de stockage de données à durée de vie faible devant la durée de vie globale de l'équipement, qui présente un intérêt dans certains champs d'applications.The equipment generally behaves like a device of the single writing type, which re-dates the information with respect to a relative reference time, sufficiently precise, and the drift of which can be measured, even authenticated. The integrated peripheral therefore only fills up, as if it integrated a physically non-rewritable medium. By way of a variant which is not necessarily implemented and under very restrictive conditions, the equipment can easily manage an expiration date in the past relating to its internal clock, therefore to its own dating, which eventually makes it possible to free the space occupied by obsolete data to register new records when the device is 'full'. This so-called 'expiration' functionality makes it possible to respond to the specific need for data storage with a short lifespan compared to the overall lifespan of the equipment, which is of interest in certain fields of applications.
Un sous-système électronique autonome d'identification contient les éléments d'authentification uniques et tenus secrets de l'équipement, et empêche la duplication ou la réalisation d'un faux équipement à partir de pièces neuves ou
récupérées d'un équipement compromis volontairement. Les éléments d'identification uniques internes sont systématiquement détruits lors de tentatives d'accès physique non autorisées. Une enceinte de protection périmétrique active protège intégralement physiquement l'ensemble et détecte toute pénétration ou tentative d' intrusion ou d'investigation visant à compromettre l'intégrité de l'équipement, à accéder à des interfaces internes permettant de modifier les données et à en extraire les identifiants. En cas de tentative d'intrusion l'équipement détruit instantanément et de façon irréversible . les éléments d'identification uniques et éventuellement l'horloge. L'équipement est invalidé et se retrouve dans un mode initial qui continue de 'protéger les données inscrites sur le périphérique de stockage hors destruction de l'équipement, en invalidant toute opération d'écriture. Les données restent lisibles en toutes circonstances.An autonomous electronic identification subsystem contains the unique and secret authentication elements of the equipment, and prevents the duplication or production of false equipment from new parts or recovered from equipment voluntarily compromised. Internal unique identifiers are systematically destroyed during unauthorized physical access attempts. An active perimeter protection enclosure physically fully protects the assembly and detects any penetration or attempted intrusion or investigation aimed at compromising the integrity of the equipment, accessing internal interfaces allowing data to be modified and extract the identifiers. In the event of an intrusion attempt, the equipment destroys instantly and irreversibly. unique identifiers and possibly the clock. The equipment is invalidated and finds itself in an initial mode which continues to 'protect the data written on the storage device outside destruction of the equipment, by invalidating any write operation. The data remains legible in all circumstances.
Tout équipement dont l'intégrité peut être confirmée par des méthodes d'analyse non destructive mises à disposition (essentiellement la vérification des éléments d'identification unique), assure la validité et l'authenticité des données lues sur le périphérique interne.Any equipment whose integrity can be confirmed by non-destructive analysis methods made available (essentially the verification of unique identification elements), ensures the validity and authenticity of the data read on the internal device.
En cas de doute ou de suspicion, l'organisme certificateur habilité possédant, lui seul, une copie de l'identifiant secret, peut soumettre la copie de l'identifiant secret dont il dispose à l'équipement qui effectue lui-même la comparaison en interne, ou permettre à un tiers autorisé de vérifier indirectement cet identifiant en limitant les intervalles de requête de façon à éviter sa détermination par, à titre d'exemple non limitatif, une méthode de force brute ou de crible, ou d'analyse ciblée.In case of doubt or suspicion, the authorized certifying body, which alone has a copy of the secret identifier, may submit the copy of the secret identifier available to the equipment which itself performs the comparison. internal, or allow an authorized third party to indirectly verify this identifier by limiting the request intervals so as to avoid its determination by, as a non-limiting example, a brute force or screening method, or targeted analysis.
En cas de panne interne critique, le démantèlement volontaire de l'équipement peut être effectué de façon à en faire l'expertise ou à effectuer la récupération les données
suivant les recommandations du constructeur. Dans ce but, une procédure doit pouvoir permettre la découpe simple de l'équipement, ce qui a pour effet l'invalidation instantanée de l'authenticité, puis l'extraction sans détérioration du périphérique de stockage interne, mais permet d'accéder directement à celui-ci, aux données , a priori non cryptées par l'équipement, et éventuellement au média.In the event of a critical internal failure, the voluntary dismantling of the equipment can be carried out so as to assess it or perform data recovery following the manufacturer's recommendations. For this purpose, a procedure must be able to allow the simple cutting of the equipment, which has the effect of instantly invalidating the authenticity, then extraction without deterioration of the internal storage device, but allows direct access to the latter, to the data, a priori not encrypted by the equipment, and possibly to the media.
Tout équipement détérioré ou corrompu perd sa valeur authentique : les données présentes ne sont pas plus garanties que si elles avaient été stockées sur un média quelconque non sécurisé, par contre elles restent accessibles au moins en lecture tant que l'équipement est fonctionnel.Any damaged or corrupted equipment loses its authentic value: the data present is no more guaranteed than if it had been stored on any non-secure medium, on the other hand it remains accessible at least for reading as long as the equipment is functional.
Comme toute méthode sécuritaire, la probabilité de non détection d'intrusion ou la possibilité de duplication de l'équipement est rendue négligeable mais non nulle et réduite au minimum raisonnable en fonction du coût objectif visé et du niveau de protection requis.Like any security method, the probability of non-detection of intrusion or the possibility of duplicating equipment is made negligible but not zero and reduced to a reasonable minimum depending on the objective cost targeted and the level of protection required.
La présente invention inclut les méthodes et le séquencement d'opérations postérieures à la fabrication matérielle de l'équipement, qui assurent de façon irréversible après scellement de l'enveloppe de protection de l'équipement :The present invention includes the methods and the sequencing of operations subsequent to the material manufacturing of the equipment, which ensure irreversibly after sealing of the protective envelope of the equipment:
• une datation sûre et incorruptible,• safe and incorruptible dating,
• l'identification unique et secrète, tout en rendant indépendants le constructeur de l'équipement, l'organisme certificateur habilité (à titre d'exemple un pour chaque nation, consortium, communauté) et l'utilisateur final .• unique and secret identification, while making the equipment manufacturer, the authorized certifying body (for example one for each nation, consortium, community) and the end user independent.
La présente invention inclut plusieurs procédés ou méthodes de vérification associés à 1 'authentification formelle de l'équipement selon l'invention. Ces procédés ou méthodes de vérification d'authenticité utilisent ou non des tiers extérieurs, et/ou utilisent ou non l'identification secrète interne.
D' autres caractéristiques et avantages apparaîtront à la lecture qui suit de plusieurs exemples de modes de réalisation de procédés et dispositifs selon l'invention, accompagnée des dessins annexés, exemples donnés à titres illustratif non limitatif.The present invention includes several verification methods or methods associated with formal authentication of the equipment according to the invention. These methods or methods of verifying authenticity may or may not use external third parties, and / or may or may not use internal secret identification. Other characteristics and advantages will appear on reading the following of several examples of embodiments of methods and devices according to the invention, accompanied by the appended drawings, examples given by way of nonlimiting illustration.
Selon un mode particulier de réalisation, le dispositif est administré et configuré en utilisant une méthode de fichiers virtuels, vus par le système hôte comme des fichiers standards présents sur le périphérique intégré. Cette méthode présente tout paramètre et indicateur interne propre et spécifique au dispositif décrit sous forme de fichiers au nom réservé accessibles de façon standard par le système hôte, évitant la mise en œuvre de pilotes ou de modes de fonctionnement particuliers au niveau du système hôte pour la gestion, l'administration et la surveillance du dispositif et des variantes et options décrites.According to a particular embodiment, the device is administered and configured using a method of virtual files, seen by the host system as standard files present on the integrated peripheral. This method presents any internal parameter and indicator specific to the device described in the form of files with reserved names accessible in a standard way by the host system, avoiding the implementation of specific drivers or operating modes at the host system level for the management, administration and monitoring of the device and of the variants and options described.
• La figure 1 représente un diagramme fonctionnel global de l' équipement,• Figure 1 represents an overall functional diagram of the equipment,
• La figure 2 illustre le rôle de tiers externes, • La figure 3 illustre une suggestion de structures de fichiers avec datation par ajout de méta-données,• Figure 2 illustrates the role of external third parties, • Figure 3 illustrates a suggested file structure with dating by adding metadata,
• La figure 4 illustre une suggestion de structures de fichiers avec datation par remplacement dans le descripteur de fichier, • La figure 5 illustre le processus sécurisé d'initialisation et d'identification de chaque équipement individuellement par le constructeur,• Figure 4 illustrates a suggested file structure with replacement dating in the file descriptor, • Figure 5 illustrates the secure process of initialization and identification of each device individually by the manufacturer,
•• La figure 6 illustre le processus sécurisé de certification de chaque équipement, o La figure 7 illustre le processus sécurisé d'activation par l'utilisateur final, o La figure 8 illustre les différentes méthodes et procédés d'authentification liés à la réalisation du dispositif décrit,
• La figure 9 illustre les différentes méthodes d'expertise de 1 ' équipement, e» La figure 10 illustre la suggestion d'utilisation de fichiers virtuels pour administrer l'équipement, o Les figures 11 à 13 illustrent le remplissage du média, o Les figures 14 à 16 illustrent le remplissage du média avec mise en place du mécanisme d'expiration, o La figure 17 représente un diagramme détaillé de suggestion de réalisation. L'indication [u] sur certaines figures signifie que l'action est fonctionnellement unique et irréversible. Certaines indications sont libellées intentionnellement en anglais pour se conformer à l'usage de la technique. • • Figure 6 illustrates the secure certification process for each piece of equipment, o Figure 7 illustrates the secure activation process by the end user, o Figure 8 illustrates the different authentication methods and methods related to carrying out the device described, • Figure 9 illustrates the different methods of expertise of the equipment, e »Figure 10 illustrates the suggestion of using virtual files to administer the equipment, o Figures 11 to 13 illustrate the filling of the media, o The Figures 14 to 16 illustrate the filling of the media with the establishment of the expiration mechanism, o Figure 17 shows a detailed diagram of suggested implementation. The indication [u] in some figures means that the action is functionally unique and irreversible. Certain indications are intentionally worded in English to conform to the use of the technique.
Le dispositif objet de l'invention intègre un ou un assemblage de périphériques standard de stockage de données informatiques 1. Ce périphérique est isolé du système hôte par un contrôleur 2 qui limite le fonctionnement à l'ajout de données et assure une datation indépendante des informations stockées grâce à une horloge interne 6. Le dispositif comporte une paire d'identifiants électroniques numériques uniques 7, 8, qui empêchent la duplication de l'équipement.The device which is the subject of the invention integrates one or an assembly of standard peripherals for storing computer data 1. This peripheral is isolated from the host system by a controller 2 which limits the operation to adding data and ensures independent dating of information. stored by an internal clock 6. The device comprises a pair of unique digital electronic identifiers 7, 8, which prevent duplication of the equipment.
L'ensemble est protégé dans une enceinte anti-effraction active 10, qui détruit les éléments uniques et secrets d'identification en cas de tentative d'effraction. Le dispositif est alors invalidé et perd son authenticité.The assembly is protected in an active burglar-proof enclosure 10, which destroys the unique and secret elements of identification in the event of an attempted break-in. The device is then invalidated and loses its authenticity.
Le périphérique intégré 1 est un modèle à lecture- écriture, aucun prérequis n'étant nécessaire concernant la possibilité ou non d'effacer ou de réécrire les données (à titre d'exemple non limitatif un disque dur magnétique, un disque flash) .The integrated peripheral 1 is a read-write model, no prerequisites being necessary concerning the possibility or not of erasing or rewriting the data (by way of nonlimiting example a magnetic hard disk, a flash disk).
Généralement, de tels périphériques adressent des éléments de stockage physique appelés communément blocs, numérotés classiquement en séquence, et des éléments de stockage logique de plus haut niveau manipulables par un
système ou ordinateur hôte appelés communément fichiers, répertoires. Toutes ces entités sont souvent accessibles séquentiellement ou aléatoirement en lecture et en écriture. Un périphérique de stockage n'a normalement pas la connaissance du niveau logique, géré entièrement par le système hôte via un système de fichiers (File System) soumis à des spécifications rigides et facilement analysables.Generally, such peripherals address physical storage elements commonly called blocks, conventionally numbered in sequence, and higher level logical storage elements which can be manipulated by a system or host computer commonly called files, directories. All these entities are often accessible sequentially or randomly in read and write. A storage device does not normally have knowledge of the logical level, managed entirely by the host system via a file system (File System) subject to rigid specifications and easily analyzed.
Dans un but de simplification de langage, nous appellerons blocs les entités physiques adressables par le périphérique et fichiers les entités logiques manipulées par le système hôte, sans détailler les notions d'enregistrement, de clusters, de répertoires et d'attributs associées.In order to simplify the language, we will call blocks the physical entities addressable by the peripheral and files the logical entities manipulated by the host system, without detailing the concepts of registration, clusters, directories and associated attributes.
L'interface fonctionnelle 3 du périphérique intégré de stockage 1 permet a priori toute opération : classiquement, l'adressage, l'écriture et la lecture de blocs, et ne dispose a priori d'aucune protection ni limitation sur ces fonctions.The functional interface 3 of the integrated storage peripheral 1 allows a priori any operation: conventionally, addressing, writing and reading of blocks, and a priori has no protection or limitation on these functions.
Cette interface est isolée fonctionnellement par un contrôleur intelligent actif 2 avec une interface externe 13 émulant un périphérique de stockage de données d'une capacité sensiblement inférieure à la capacité de l'organe réel. Les interfaces d'entrées/sorties physiques 13 et 3 n'ont pas à être nécessairement identiques, de même que le périphérique reconnu par le système hôte 20 n'a pas à être identique au périphérique intégré réellement 1, même si, dans la pratique, la similitude sur ce point précis peut simplifier le fonctionnement global.This interface is functionally isolated by an active intelligent controller 2 with an external interface 13 emulating a data storage device with a capacity substantially lower than the capacity of the real organ. The physical input / output interfaces 13 and 3 do not have to be necessarily identical, just as the peripheral recognized by the host system 20 does not have to be identical to the actually integrated peripheral 1, even if, in practice , the similarity on this specific point can simplify the overall operation.
Lorsqu'il est alimenté électriquement en externe 14, l'équipement est dans son mode de fonctionnement nominal. Le contrôleur 2 traduit en temps réel toute requête d'adressage, de lecture et d'écriture de l'interface externe 13 vers l'interface interne 3. Les données proprement dites ne sont pas traitées, ni compressées, ni cryptées, et sont stockées telles quelles si l'autorisation de les écrire sur le périphérique intégré 1 est validée par le contrôleur.2 qui a
une connaissance basique du niveau de stockage logique, donc de la structure des fichiers et des répertoires.When it is externally electrically powered 14, the equipment is in its nominal operating mode. The controller 2 translates in real time any request for addressing, reading and writing from the external interface 13 to the internal interface 3. The data proper is not processed, neither compressed nor encrypted, and is stored as is if the authorization to write them to the integrated device 1 is validated by the controller. 2 who basic knowledge of the level of logical storage, and therefore of the structure of files and directories.
Dans son mode de fonctionnement nominal le contrôleur protège les données contre la réécriture émulant ainsi un système de stockage à ajout seulement' . En fin de fabrication, l'équipement est vide de données utilisateur et pré-formaté donc apte à recevoir des données. Globalement, il maintient donc une partition entre l'espace ^occupé' 4 et l'espace libre' 5. A titre d'exemple non limitatif d' implementation, il maintient un 'pointeur' 15 qui indique à partir de quel bloc de données, l'écriture de nouveaux blocs est possible, et inhibe globalement toute écriture sur les blocs précédents. Dans l' implementation réelle le partitionnement peut être plus complexe en fonction du système de fichiers logiques utilisé, qui peut lui-même imposer un partitionnement spécifique entre informations physiques et logiques, comme représenté sur la figure 17, pouvant nécessiter la gestion simultanée de plusieurs pointeurs. L'accès au stockage physique est donc aléatoire en lecture dans l'espace occupé 4, et purement séquentiel en écriture dans l'espace libre 5. Une tentative d'effacement, de modification ou de réécriture d'un fichier ou de données préalablement écrites se solde donc par une erreur reportée au système hôte 20, signalant ainsi l'impossibilité d'effectuer l'opération désirée sur le périphérique émulé. L'écriture de nouvelles données, de nouveaux fichiers ou la création de nouveaux répertoires est possible, le périphérique de stockage se remplit donc inexorablement jusqu'à sa capacité maximum utile, et rejette l'écriture de fichiers dépassant la taille restante. Il est alors 'plein', et doit être complété ou remplacé par un équipement identique puisqu'il est fonctionnellement impossible de supprimer les fichiers inscrits. Il peut alors être déconnecté et archivé physiquement en dehors de toute alimentation externe 14 de
1' appareil pendant la durée de stockage de celui-ci, un sous- système d'alimentation interne par piles 19 permettant le maintien des éléments internes critiques (horloge, identifiants, pointeurs...) à titre purement indicatif, entre dix ans et vingt ans suivant la durée de vie des éléments internes sujets au vieillissement ou périssables, tels que les piles. Le stockage pour des' durées plus longues peut imposer soit l'usage de piles auxiliaires externes, prenant le relais des piles internes, soit la migration certifiée de ces données avec leur date de création vers un nouvel équipement .In its nominal operating mode, the controller protects the data against rewriting, thus emulating an add-only storage system '. At the end of manufacturing, the equipment is empty of user data and pre-formatted, therefore suitable for receiving data. Overall, it therefore maintains a partition between the space ^ occupied '4 and the free space' 5. As a non-limiting example of implementation, it maintains a 'pointer' 15 which indicates from which data block , writing new blocks is possible, and globally inhibits any writing on previous blocks. In the actual implementation, partitioning can be more complex depending on the logical file system used, which can itself impose a specific partitioning between physical and logical information, as shown in Figure 17, which may require the simultaneous management of several pointers . Access to physical storage is therefore random in reading in the occupied space 4, and purely sequential in writing in the free space 5. An attempt to erase, modify or rewrite a file or previously written data thus results in an error reported to the host system 20, thus signaling the impossibility of carrying out the desired operation on the emulated device. Writing new data, new files or creating new directories is possible, the storage device therefore inexorably fills up to its maximum useful capacity, and rejects the writing of files exceeding the remaining size. It is then 'full', and must be completed or replaced by identical equipment since it is functionally impossible to delete the files entered. It can then be physically disconnected and archived outside any external power supply 14 of 1 device during the storage period thereof, an internal battery subsystem 19 allowing the maintenance of critical internal elements (clock, identifiers, pointers ...) purely for information, between ten years and twenty years following the life of internal elements subject to aging or perishable, such as batteries. Storage for longer periods may require either the use of external auxiliary batteries, taking over from the internal batteries, or the certified migration of these data with their creation date to new equipment.
Les données inscrites sont protégées contre toute attaque électronique (virus, malveillance, falsification...) puisqu'elles ne peuvent pas être réécrites ou modifiées par conception. La destruction des données implique la destruction de 1 ' équipement .The data entered is protected against any electronic attack (virus, malicious acts, falsification, etc.) since it cannot be rewritten or modified by design. The destruction of the data implies the destruction of the equipment.
Le contrôleur 2 est adapté spécifiquement à la structure d'un système de fichiers standards (à titre d'exemples non limitatifs, FAT, NTFS, UDF, NFS, HFS, séquentiel...), ou à la structure d'un système de fichiers propriétaires dans le cas où l'équipement désire assurer une compatibilité avec plusieurs systèmes de fichiers standards différents. Le système de fichiers crée le lien entre le stockage logique et le stockage physique des données. Le contrôleur 2 détecte par analyse des ordres d'écriture envoyés, la fin d'une opération de stockage logique (à titre d'exemple, la fin d'écriture d'un fichier, ou la création d'une entrée de répertoire) . L'aspect séquentiel de l'écriture des données, sans possibilité d'effacer simplifie amplement cette tâche. A la fin d'une opération d'écriture logique réussie, le contrôleur effectue de façon autonome les tâches suivantes : o Protection irréversible des éléments de stockage utilisés pour le descripteur de fichier 24, et pour les données elles-mêmes 25, par réservation des blocs utilisés,
par exemple fabulation et/ou pointage 15 dans une mémoire sauvegardée accessible au contrôleur, et en redondance sur un espace réservé sur le périphérique de stockage lui-même. o Datation indépendante 26, grâce à l'horloge datation de référence interne 6, soit par écriture de blocs supplémentaires de méta-données masqués à l'ordinateur hôte 28, comme représenté sur la figure 3, soit par réécriture de cette date en lieu et place de la date écrite par le système de fichiers dans le descripteur de fichiers 24 tel que défini par le système de fichiers utilisé, comme représenté sur la figure 4.Controller 2 is specifically adapted to the structure of a standard file system (by way of nonlimiting examples, FAT, NTFS, UDF, NFS, HFS, sequential ...), or to the structure of a proprietary files if the equipment wishes to ensure compatibility with several different standard file systems. The file system creates the link between logical storage and physical storage of data. The controller 2 detects by analysis of the writing orders sent, the end of a logical storage operation (for example, the end of writing of a file, or the creation of a directory entry). The sequential aspect of writing data, without the possibility of erasing, greatly simplifies this task. At the end of a successful logical write operation, the controller autonomously performs the following tasks: o Irreversible protection of the storage elements used for the file descriptor 24, and for the data themselves 25, by reserving the blocks used, for example fabrication and / or pointing 15 in a saved memory accessible to the controller, and redundant on a space reserved on the storage device itself. o Independent dating 26, thanks to the internal reference dating clock 6, either by writing additional blocks of masked metadata to the host computer 28, as shown in FIG. 3, or by rewriting this date instead place of the date written by the file system in the file descriptor 24 as defined by the file system used, as shown in FIG. 4.
Les informations écrites sont datées à la seconde de façon autonome par rapport à l'horloge interne 6 du dispositif, par l'équipement lui-même, indépendamment du système • de fichiers hôte qui applique sa propre datation, souvent peu sûre et peu fiable. Cette datation interne est irréversible et infalsifiable, l'horloge interne étant mise à l'heure une seule fois à la fabrication et ne pouvant pas matériellement être remise à l'heure par la suite, et les enregistrements comportant ces informations étant protégés contre la réécriture. La précision de la datation repose entièrement sur la précision et la dérive, de cette horloge interne qui peut être corrélée extérieurement sans toutefois possibilité de la corriger. La datation est effectuée en Temps Universel.The written information is dated to the second independently of the internal clock 6 of the device, by the equipment itself, independently of the host file system which applies its own dating, often insecure and unreliable. This internal dating is irreversible and cannot be forged, the internal clock being set once only at the time of manufacture and cannot materially be set to the time thereafter, and the recordings containing this information being protected against rewriting . The accuracy of the dating relies entirely on the precision and the drift, of this internal clock which can be correlated externally without however possibility of correcting it. The dating is done in Universal Time.
Dans le cas où le dispositif impose la datation par ajout de méta-données 28, celles-ci sont rendues invisibles en exploitation normale des fichiers et sont elles-mêmes protégées contre la réécriture. Les méta-données sont au moins composées d'un pointeur 27 permettant d'accéder au descripteur du fichier ou du répertoire et d'une structure comportant la date et l'heure internes 26 en fin d'écriture. L'ensemble des méta-données de l'ensemble des fichiers écrits est adressé dans un fichier 'système' 29 accessible en
lecture seule. Un outil ou bien l'analyse de ce fichier permet de corréler les méta-données et les fichiers utilisateurs, et donc de vérifier la date interne qu'avait affectée le dispositif à chaque fichier à l'enregistrement, qui seule fait foi par conception.In the case where the device requires dating by adding metadata 28, these are made invisible in normal use of the files and are themselves protected against rewriting. The metadata are at least composed of a pointer 27 allowing access to the descriptor of the file or of the directory and of a structure comprising the internal date and time 26 at the end of writing. All of the metadata of all of the written files is sent in a 'system' file 29 accessible in read only. A tool or else the analysis of this file makes it possible to correlate the metadata and the user files, and therefore to verify the internal date that the device had assigned to each file at registration, which alone is authentic by design.
Dans le cas où le dispositif impose la datation des fichiers par remplacement 26 de la date de création dans le descripteur 24 du fichier, en conformité avec les exigences du système de fichiers utilisé, le comportement du dispositif est parfaitement standard. La date imposée par l'équipement diffère de la date système, et peut, dans un souci pratique, être corrigée dynamiquement en interne au moment de la lecture pour prendre en compte la différence entre le temps local et le temps universel (fuseau horaire) . La plupart des systèmes de fichiers actuellement utilisés gèrent plusieurs dates (à titre d'exemple la date de modification inutile dans notre cas), il est donc possible de garder aussi la date du système externe à titre purement indicatif.In the case where the device imposes the dating of the files by replacement 26 of the date of creation in the descriptor 24 of the file, in accordance with the requirements of the file system used, the behavior of the device is perfectly standard. The date imposed by the equipment differs from the system date, and can, for practical reasons, be corrected dynamically internally at the time of reading to take into account the difference between local time and universal time (time zone). Most of the file systems currently used manage several dates (for example the modification date which is useless in our case), it is therefore possible to also keep the date of the external system for information only.
L'équipement est rendu lui-même infalsifiable grâce à une .méthode d'identification unique implémentée en interne de l'équipement. Il est raisonnablement impossible de dupliquer l'équipement sans la connaissance complète de l'identification unique qui n'est jamais divulguée par le dispositif, en dehors d'une phase d'initialisation où seul un organisme certificateur habilité 22 reçoit la copie intégrale de cet identifiant, dont une partie reste tenue secrète. Les éléments d'identification sont détruits dès qu'une tentative d'intrusion, d'effraction, ou de compromission de l'équipement est détectée. L'identification n'est utilisée que pour la validation et la certification de l'équipement et n'a aucun rôle fonctionnel pour l'utilisateur final.The equipment itself is made tamper-proof thanks to a unique identification method implemented internally of the equipment. It is reasonably impossible to duplicate the equipment without full knowledge of the unique identification which is never disclosed by the device, apart from an initialization phase where only an authorized certifying body 22 receives the full copy of this document. identifier, part of which remains secret. The identification elements are destroyed as soon as an attempt to intrude, break in, or compromise the equipment is detected. The identification is only used for the validation and certification of the equipment and has no functional role for the end user.
Le système d'identification est composé des éléments suivants : • Elément d'identification unique public 8, 18 : numéro de
série de l'équipement complet, marqué de façon visible et indélébile sur l'équipement 18, et reproduit électroniquement en interne 8 pour des raisons de facilité d'exploitation et d'authentification directe. o Elément d'identification unique 7 secret généré et impérativement stocké en interne de 1 ' équipement et vérifiable uniquement par des méthodes tierces qui ne diffusent jamais cet identifiant. o Optionnellement des éléments d'identification constructeur non représentés : à titre d'exemple, numéro de série électronique ou marqué des composants internes, code de date, numéros de lot, de révision, souvent tracés par le constructeur dans le cadre de son système qualité, qui dépendent de 1 ' implementation et qui peuvent permettre des vérifications ou expertises supplémentaires éventuellement après démantèlement de 1 ' équipement .The identification system is made up of the following elements: • Unique public identification element 8, 18: number of series of complete equipment, marked visibly and indelibly on equipment 18, and reproduced electronically internally 8 for reasons of ease of operation and direct authentication. o Unique identification element 7 secret generated and imperatively stored internally by the equipment and verifiable only by third-party methods which never broadcast this identifier. o Optionally elements of manufacturer identification not shown: for example, electronic serial number or marked internal components, date code, lot numbers, revision, often traced by the manufacturer as part of its quality system , which depend on the implementation and which may allow additional verifications or expertise, possibly after dismantling the equipment.
La correspondance entre l'identifiant public et l'identifiant secret est connue uniquement par un tiers organisme certificateur habilité 22 qui est impliqué à la fin du procédé de fabrication. L'identifiant secret est diffusé une seule et unique fois.17 à l'extérieur de l'équipement à l'attention de ce seul organisme 22, qui conserve l'ensemble des informations relatives à l'ensemble des équipements qu'il gère et certifie. Cet organisme est le seul tiers qui soit impliqué dans la certification de chaque équipement, uniquement initialement en fin de fabrication de 1 ' équipement et éventuellement pendant l'utilisation dans le cas de contrôle poussé d'authenticité de l'équipement si un doute persiste sur cette authenticité, ou si l'enjeu ou le législateur justifie un tel recours.The correspondence between the public identifier and the secret identifier is known only by a third authorized certifying body 22 which is involved at the end of the manufacturing process. The secret identifier is distributed once and only once.17 outside the equipment to the attention of this single body 22, which stores all the information relating to all the equipment it manages and certifies. This organization is the only third party that is involved in the certification of each piece of equipment, only initially at the end of the manufacturing of the piece of equipment and possibly during use in the event of a thorough check of the authenticity of the piece of equipment if any doubt persists this authenticity, or if the issue or the legislator justifies such a recourse.
Les identifiants électroniques uniques de l'équipement 7, 8 (hors numéros d'identifications constructeur non décrits car liés à 1 ' implementation et aux composants utilisés) sont
stockés dans un circuit à mémoire volatile sauvegardé par pile 19 et ayant une fonction d'effacement rapide interne et/ou externe 9. L'absence ou l'inconsistance d'un de ces identifiants indique la compromission de l'équipement. Seule une empreinte à sens unique 23 de l'identificateur secret unique associée au numéro de série 18 de l'équipement est diffusée publiquement 21 en dehors du ou des organismes certificateurs habilités 22 qui ont seuls accès à la correspondance entre le numéro de série 18 et une copie 17 de l'identifiant secret unique.The unique electronic identifiers of the equipment 7, 8 (excluding manufacturer identification numbers not described as linked to the implementation and to the components used) are stored in a volatile memory circuit backed up by battery 19 and having an internal and / or external rapid erasure function 9. The absence or inconsistency of one of these identifiers indicates the compromise of the equipment. Only a one-way imprint 23 of the unique secret identifier associated with the equipment serial number 18 is publicly disseminated 21 outside of the authorized certifying body or bodies 22 which have sole access to the correspondence between the serial number 18 and a copy 17 of the unique secret identifier.
L'identifiant secret unique est un message binaire de grande longueur (à titre d'exemple 4096 bits ou plus) certaines valeurs pouvant être réservées et non utilisables. L'horloge interne 6 est mise à l'heure en temps universel une seule fois à la fabrication du produit par rapport à une horloge de référence certifiée 16, et ne peut être remise à l'heure par conception ultérieurement sans corruption des autres paramètres d'intégrité du système.The unique secret identifier is a very long binary message (for example 4096 bits or more) certain values which can be reserved and cannot be used. The internal clock 6 is set to the time in universal time only once during the manufacture of the product in relation to a certified reference clock 16, and cannot be reset by design later without corruption of the other parameters d integrity of the system.
Le système ainsi décrit n'a de validité que s'il est auto-protégé physiquement contre l'effraction et l'analyse interne. A cet effet, l'ensemble décrit est intégralement confiné dans une enceinte protégée 10 par un capteur périmétrique 12 sensible à l'intrusion, alimenté par une pile 19 ayant une grande durée de vie (à titre d'exemple, pile au Lithium). Toute tentative de pénétration et d'analyse interne par microsonde est, d'une part rendue extrêmement difficile par une protection mécanique et électromagnétique externe 11, et déclenche d'autre part, une alerte en cas de pénétrationThe system thus described is only valid if it is physically self-protected against intrusion and internal analysis. To this end, the assembly described is entirely confined in a protected enclosure 10 by a perimeter sensor 12 sensitive to intrusion, powered by a battery 19 having a long lifespan (for example, lithium battery). Any attempt at penetration and internal microprobe analysis is, on the one hand made extremely difficult by external mechanical and electromagnetic protection 11, and on the other hand triggers an alert in the event of penetration.
-au-delà d'une enveloppe limite 12 qui englobe tout composant fonctionnel de l'équipement. L'alerte se solde par la destruction instantanée 9 (effacement/remise à zéro) des identifiants internes 7, 8, rendant l'équipement non duplicable grâce à la partie secrète 7 inaccessible qui ne peut être analysée sans pénétrer dans l'équipement, donc sans
déclencher d' alerte .-beyond a limit envelope 12 which includes any functional component of the equipment. The alert results in the instant destruction 9 (erasure / reset) of the internal identifiers 7, 8, making the equipment non-duplicable thanks to the secret part 7 inaccessible which cannot be analyzed without entering the equipment, therefore without trigger an alert.
L'équipement est intégralement protégé par une enceinte physique active qui assure la protection contre l'intrusion par toute méthode connue, normalisée dans certains pays pour la protection des paramètres critiques de sécurité et/ou de modules cryptographiques (à titre d'exemple aux Etats-Unis normes FIPS 140-2, ou internationalement norme ISO 15408/Critères Communs AVL) . L'utilisation de telles méthodes peut être rendue très peu coûteuse pour la fabrication en série, même pour les niveaux les plus élevés de sécurité. De tels capteurs existent commercialement (à titre d'exemple les capteurs D3 de marque Gore, certifiés FIPS 140 level 4) et leur principe général est décrit à titre purement informatif de clarification, faisant parfois référence à la figure 17. Classiquement, la protection périmétrique 10 est composée d'une protection mécanique externe 11 ou boîtier externe scellé (à titre d'exemple en métal usiné, moulé, plié, assemblé de façon indémontable par soudure, sertissage) laissant place uniquement aux interfaces fonctionnelles de communication et d'alimentation, et d'un capteur sensitif 12 détectant l'intrusion (perçage, usinage, mécanique électrique ou laser, attaque chimique sélective) par modification d'un paramètre électrique (résistance 121 et/ou capacité 122 et/ou contact 123) . Souvent, ce capteur est réalisé à base d'un réseau de conducteurs et d'isolants sensibles ' aux coupures, ruptures et aux courts-circuits, couvrant toute l'enceinte à protéger de façon uniforme, et muni de 'chicanes' pour protéger les interfaces fonctionnelles externes. L'électronique de détection et d'alerte 118 est à très faible consommation de façon à pouvoir assurer une grande autonomie à la protection alimentée de façon autonome par pile 124. Habituellement, l'ensemble de l'électronique et des composants internes est noyé dans une résine 130 destinée à assurer la conduction thermique en l'absence de convection
interne, et interdisant l'accès direct aux composants ou aux signaux internes. Le but du système de protection est d'empêcher l'insertion d'une micro sonde permettant l'analyse ou le contrôle direct d'interfaces électriques internes permettant de modifier les données protégées, d'analyser les éléments tenus secrets en vue de leur duplication.The equipment is fully protected by an active physical enclosure which provides protection against intrusion by any known method, standardized in certain countries for the protection of critical security parameters and / or cryptographic modules (for example in the States - United FIPS 140-2 standards, or internationally ISO 15408 standard / AVL Common Criteria). The use of such methods can be made very inexpensive for mass production, even for the highest levels of safety. Such sensors exist commercially (for example D 3 sensors of the Gore brand, FIPS 140 level 4 certified) and their general principle is described for information purposes only, sometimes referring to FIG. 17. Conventionally, protection perimeter 10 is composed of an external mechanical protection 11 or sealed external box (for example in machined, molded, folded metal, assembled in a non-removable manner by welding, crimping) leaving space only for the functional communication and supply interfaces , and a sensitive sensor 12 detecting intrusion (drilling, machining, electrical or laser mechanics, selective chemical attack) by modification of an electrical parameter (resistance 121 and / or capacity 122 and / or contact 123). Often this sensor is based on a network of conductors and insulators sensitive 'to cuts, breaks and short circuits, covering the entire vessel to be protected uniformly and provided with' baffle 'to protect external functional interfaces. The detection and alert electronics 118 is very low consumption so as to be able to provide a large autonomy to the protection supplied autonomously by battery 124. Usually, all of the electronics and the internal components are embedded in a resin 130 intended to ensure thermal conduction in the absence of convection internal, and prohibiting direct access to internal components or signals. The purpose of the protection system is to prevent the insertion of a micro probe allowing the analysis or direct control of internal electrical interfaces making it possible to modify the protected data, to analyze the elements kept secret with a view to their duplication .
De façon à éliminer toute attaque thermique, un capteur de température 120 analyse les températures excessives hautes ou basses qui peuvent inhiber ou limiter l'efficacité du capteur.In order to eliminate any thermal attack, a temperature sensor 120 analyzes excessive high or low temperatures which can inhibit or limit the effectiveness of the sensor.
La défaillance des piles 124 place d'emblée le système dans un état d'alerte.The failure of the batteries 124 immediately puts the system in an alert state.
La protection inclut également les interfaces électriques externes en surtensions / surcourants / fréquences ou signaux hors spécification 129. Pour faciliter la protection, les interfaces fonctionnelles sont réduites au minimum par l'usage de bus fonctionnels rapides séries (à titre d'exemple reflétant l'état courant de la technique Fire ire/i-Link/IEEE1394, USB, Sériai ATA, Ethernet), d'une alimentation externe continue, et d'interfaces statiques d'état du système.The protection also includes the external electrical interfaces in overvoltage / overcurrent / frequency or signals out of specification 129. To facilitate protection, the functional interfaces are reduced to a minimum by the use of fast serial functional buses (for example reflecting the current state of the art Fire ire / i-Link / IEEE1394, USB, Serial ATA, Ethernet), a continuous external power supply, and static system state interfaces.
Dans le cas particulier d'utilisation d'un disque dur magnétique devant fonctionner sous pression atmosphérique, l'opercule de dépressurisation fonctionnel du disque est reporté vers l'extérieur grâce à une tubulure intégrée permettant le libre passage de l'air sans accroître la vulnérabilité de la protection externe 132.In the particular case of using a magnetic hard disk which must operate at atmospheric pressure, the functional depressurization cover of the disk is carried outwards thanks to an integrated tube allowing the free passage of air without increasing the vulnerability. of external protection 132.
La détection d'intrusion dans l'enceinte se solde par la destruction des paramètres d'intégrité 7, 8 de l'équipement, par effacement instantané 119, 9 de mémoires 112 sauvegardées par pile interne 113, 19, ceci que le dispositif soit alimenté ou non de façon externe. Cette destruction des paramètres d'identification du système n'empêche pas l'accès en lecture à l'ensemble des données. Le contrôleur 2 continue
de protéger les données, qui perdent leur valeur authentique dès que l'équipement e'st reporté comme compromis.The detection of intrusion into the enclosure results in the destruction of the integrity parameters 7, 8 of the equipment, by instantaneous erasure 119, 9 of memories 112 saved by internal battery 113, 19, this that the device is powered. or not externally. This destruction of the system identification parameters does not prevent read access to all of the data. Controller 2 continues protect data, which loses its authentic value as soon as the equipment is reported as compromised.
L'équipement est conçu pour être autonome en utilisation normale. Il ne suppose donc aucune intervention de tiers authentificateurs à l'utilisation, et permet de fait, d'être utilisé de façon entièrement privée, sans préjuger de la possibilité ou de la volonté de l'utilisateur final d'autoriser l'accès direct ou indirect à un réseau extérieur. La partie suivante décrit les méthodes et procédés utilisés dans la phase d'initialisation qui permet de passer d'un équipement neutre non personnalisé 30 sortant de fabrication, à un équipement unique certifié 55 puis opérationnel chez l'utilisateur final 60.The equipment is designed to be autonomous in normal use. It therefore does not require any intervention by third-party authenticators in use, and in fact allows it to be used entirely privately, without prejudging the possibility or the will of the end user to authorize direct access or indirect to an outside network. The following section describes the methods and methods used in the initialization phase, which makes it possible to switch from neutral non-personalized equipment 30 leaving manufacturing, to unique equipment certified 55 then operational at the end user 60.
L'équipement en fin d'assemblage est complètement intégré et protégé, la protection périmétrique 10, 9 est activée. Il est dans un état d'initialisation neutre où. les numéros internes sont vierges et un microcode d'initialisation est pré-chargé en mémoire vive 107 du contrôleur. Une machine logique d'état interne 117 peut assister la protection matérielle des ressources non modifiables. Le programme fonctionnel opérationnel est lui, chargé en mémoire morte ou programmable de façon unique 106, et n'est pas modifiable. Le contenu de toutes les mémoires internes peut être analysé et vérifié à tout moment. A la fin de l'initialisation, le programme d'initialisation est intégralement effacé, la mémoire vive ne peut plus être utilisée pour exécuter un quelconque programme et ne sert qu'au stockage temporaires des données internes. A titre de suggestion, le programme d'initialisation est effacé pas à pas à chaque étape de l'initialisation, ce qui assure l'unicité des opérations.The equipment at the end of assembly is completely integrated and protected, the perimeter protection 10, 9 is activated. It is in a neutral initialization state where. the internal numbers are blank and an initialization microcode is preloaded in random access memory 107 of the controller. An internal state logic machine 117 can assist the hardware protection of non-modifiable resources. The operational operational program is itself loaded in read-only memory or programmable in a unique manner 106, and cannot be modified. The contents of all internal memories can be analyzed and checked at any time. At the end of initialization, the initialization program is completely erased, the RAM can no longer be used to execute any program and is only used for temporary storage of internal data. As a suggestion, the initialization program is erased step by step at each stage of initialization, which ensures the uniqueness of the operations.
A la mise sous tension, le programme fonctionnel détecte l'état d'initialisation et exécute la séquence d'initialisation ou la reprend au stade en cours.
Le séquencement d'initialisation se déroule en trois phases : • la phase de personnalisation, comme représenté sur la figure 5, o la phase de certification, comme représenté sur la figure 6, o la phase d'activation, comme représenté sur la figure 7. Tant que ces trois phases n'ont pas été complétées, l'équipement est inopérant en tant que périphérique de stockage, et aucune opération d'adressage, de lecture ou d'écriture sur le périphérique interne n'est autorisée.On power-up, the functional program detects the initialization state and executes the initialization sequence or resumes it at the current stage. The initialization sequence takes place in three phases: • the personalization phase, as shown in Figure 5, o the certification phase, as shown in Figure 6, o the activation phase, as shown in Figure 7 Until these three phases have been completed, the equipment is inoperative as a storage device, and no addressing, reading or writing operations on the internal device are authorized.
Le descriptif suivant illustre une suggestion de séquencement .The following description illustrates a sequencing suggestion.
La phase de personnalisation comporte les opérations suivantes à partir de l'équipement neutre 30 :The personalization phase includes the following operations using neutral equipment 30:
- 31 : Marquage du numéro de série unique en externe 18 dans la structure du boîtier de l'équipement (enveloppe de protection externe) de façon indélébile (à titre d'exemple par marquage laser ou gravure mécanique). - 32 : Entrée du numéro de série sous forme électronique via l'interface externe.- 31: Marking of the unique external serial number 18 in the structure of the equipment case (external protective envelope) indelibly (for example by laser marking or mechanical engraving). - 32: Entry of the serial number in electronic form via the external interface.
- 33 : Copie du numéro de série 8 dans la mémoire d' identification.- 33: Copy of the serial number 8 in the identification memory.
- 34 : Entrée de la date et de l'heure de référence, par rapport à une référence de temps calibrée et certifiée externe 16 (horloge atomique et/ou serveur de temps) . La date et l'heure sont programmées en Temps Universel.- 34: Entry of the reference date and time, compared to a calibrated and certified external time reference 16 (atomic clock and / or time server). The date and time are programmed in Universal Time.
- 35 : Synchronisation de l'horloge de datation interne à moins d'une fraction de seconde. Par conception la mise à l'heure ne peut être effectuée qu'une fois.- 35: Synchronization of the internal dating clock within a fraction of a second. By design, time setting can only be done once.
- 36 : Génération aléatoire en interne de l'équipement de deux mots de passe : ces mots de passe optionnels permettent d'assurer une protection minimale de l'équipement, et sont à usage unique : ils permettent la
protection de l'équipement pendant des phases de stockage ou de transit. Les mots de passe sont transmis une seule fois par l'interface au constructeur, 37 et 38 qui les transmet indépendamment à 1 ' organisme certificateur habilité et à l'utilisateur final.- 36: Random internal generation of the equipment of two passwords: these optional passwords ensure minimal protection of the equipment, and are for single use: they allow the protection of the equipment during storage or transit phases. Passwords are transmitted only once through the interface to the manufacturer, 37 and 38, which transmits them independently to the authorized certifying body and to the end user.
- 39 : Auto-génération de l'identifiant secret, en interne de 1 ' équipement : un générateur aléatoire calcule un identifiant de grande longueur; de façon à éviter toute analyse, l'encodage est sur un nombre de bits tel que l'interrogation de l'équipement pour analyse de l'identifiant secret, soit inenvisageable par des méthodes quelconques de crible ou de force brute, réduisant la probabilité de trouver cet identifiant par hasard à une valeur improbable, et ceci, même en connaissant la correspondance entre les éléments tiers fournis (signatures) et l'identifiant unique. Cet identifiant est stocké dans une mémoire vive volatile sauvegardée par pile, détruite instantanément en cas d'effraction. - 40 : Calcul d'une empreinte numérique à sens unique, par un algorithme de hachage (à titre d'exemple SHAl) , resituant un abrégé à sens unique 23 de quelques dizaines d'octets (20 dans le cas de SHAl, algorithme de hachage normalisé FIPS 180-2) à partir d'un message minimal de quelques centaines d'octets (512 dans le cas de SHAl) .- 39: Self-generation of the secret identifier, internally of the equipment: a random generator calculates a very long identifier; so as to avoid any analysis, the encoding is on a number of bits such that the interrogation of the equipment for analysis of the secret identifier, is unthinkable by any screening or brute force methods, reducing the probability of find this identifier by chance at an improbable value, and this, even knowing the correspondence between the third party elements provided (signatures) and the unique identifier. This identifier is stored in a volatile random-access memory saved by battery, instantly destroyed in the event of a break-in. - 40: Calculation of a one-way digital fingerprint, by a hashing algorithm (for example SHAl), reproducing a one-way abstract 23 of a few tens of bytes (20 in the case of SHAl, algorithm of hash normalized FIPS 180-2) from a minimum message of a few hundred bytes (512 in the case of SHAl).
- 41 : L'équipement délivre l'empreinte numérique calculée avec le numéro de série interne pour vérification d'unicité. A cet effet, une base de données centrale 21 et publique contient l'ensemble des numéros de série de l'ensemble des équipements produits et des empreintes utilisées. L'interrogation permet de savoir si l'identification est unique par une méthode indirecte (empreinte) qui ne révèle aucune information directe sur
l'identifiant secret interne 7. Seuls les constructeurs peuvent entrer ces informations dans la base, qui est publique en consultation.- 41: The equipment delivers the digital imprint calculated with the internal serial number for verification of uniqueness. To this end, a central and public database 21 contains all the serial numbers of all the equipment produced and the fingerprints used. The interrogation makes it possible to know if the identification is unique by an indirect method (fingerprint) which does not reveal any direct information on the internal secret identifier 7. Only manufacturers can enter this information in the database, which is available for consultation.
- 42 : Si l'empreinte est déjà utilisée, il y a un doute sur l'unicité, un message est envoyé à l'équipement de façon à ce qu'il soumette une nouvelle identification.- 42: If the impression is already used, there is a doubt about the uniqueness, a message is sent to the equipment so that it submits a new identification.
- 43 : Sinon, la base de données 21 est mise à jour, et le processus d'initialisation peut continuer.- 43: Otherwise, the database 21 is updated, and the initialization process can continue.
- 44 : Toutes les fonctions d'initialisation constructeur sont alors inhibées matériellement, à titre d'exemple par effacement (remplacement par une instruction nulle- 44: All the manufacturer initialization functions are then physically inhibited, for example by deletion (replacement by a null instruction
(NOP) ) de l'ensemble du code situé en RAM qui a permis d'effectuer cette partie de l'initialisation, et par éventuellement inhibition de cet espace mémoire pour l'exécution ultérieure de programmes.(NOP)) of all the code located in RAM which made it possible to carry out this part of the initialization, and by possibly inhibiting this memory space for the subsequent execution of programs.
- 45 : L'équipement est, dès lors, identifié, et peut être envoyé et/ou mis à disposition de l'organisme certificateur 22, seul habilité à connaître la correspondance entre le numéro de série et l'identifiant unique.- 45: The equipment is therefore identified and can be sent and / or made available to the certifying body 22, which alone is authorized to know the correspondence between the serial number and the unique identifier.
A titre d'exemple, un message secret de 4096 (512 octets) bits semble donner une invulnérabilité quasi-totale au système. A raison d'une interrogation par jour, limitée en occurrence par l'équipement lui-même, il faut environ 12 ans pour récupérer 4096 empreintes différentes, ce qui, malgré tout, ne permettrait pas de remonter à la source, les empreintes usuelles étant 'mathématiquement' à sens unique et ayant chacune un nombre énorme d'antécédents numériquesAs an example, a secret message of 4096 (512 bytes) bits seems to give an almost total invulnerability to the system. Due to one interrogation per day, limited in this case by the equipment itself, it takes approximately 12 years to recover 4096 different fingerprints, which, in spite of everything, would not allow to go back to the source, the usual fingerprints being 'mathematically' one way and each having a huge number of digital backgrounds
(>10100) , et une probabilité de collision infime (<10~50) , grandeurs qui constituent en elles-mêmes des 'infinis physiques' .(> 10 100 ), and a tiny probability of collision (<10 ~ 50 ), quantities which in themselves constitute 'physical infinites'.
Débute alors la phase de certification :Then begins the certification phase:
L'organisme certificateur habilité 22 reçoit de façon indépendante l'équipement identifié 45 et le mot de passe
d' interrogation 37.The authorized certifying body 22 independently receives the identified equipment 45 and the password question mark 37.
- 46 : Entrée du mot de passe certificateur 37.- 46: Entry of the certifier password 37.
- 47 : Transmission unique de l'identifiant secret unique- 47: Unique transmission of the unique secret identifier
7 sur l'interface fonctionnelle. - 48 : Conservation d'une copie de l'identifiant secret unique 17 par l'organisme certificateur habilité, associé au numéro de série 8.7 on the functional interface. - 48: Keeping of a copy of the unique secret identifier 17 by the authorized certifying body, associated with the serial number 8.
- 49 : Calcul de l'empreinte de la copie 17 suivant la méthode utilisée dans l'équipement 40. - 50 : Interrogation et mise à jour de l'état de certification par requête dans la base de données publique d'identification 21.- 49: Calculation of the print of the copy 17 according to the method used in the equipment 40. - 50: Query and update of the certification status by request in the public identification database 21.
- 51 : Confirmation de la correspondance entre les deux empreintes de l'identifiant interne et de sa copie. - 54 : En cas d'échec de correspondance, ou d'impossibilité d'effectuer l'opération, l'équipement est corrompu et doit être rejeté et démantelé 53, soit parce que l'équipement a déjà émis de façon incontrôlée l'identifiant unique, soit parce qu'il est en panne. L'organisme certificateur publie alors le rejet de l'équipement numéroté, dans la base de données publique 21.- 51: Confirmation of the correspondence between the two fingerprints of the internal identifier and its copy. - 54: In the event of a correspondence failure, or the impossibility of carrying out the operation, the equipment is corrupt and must be rejected and dismantled 53, either because the equipment has already issued the identifier uncontrollably unique, either because it has broken down. The certifying body then publishes the rejection of the numbered equipment in the public database 21.
- 55 : En cas de succès, l'organisme habilité déclare la certification de l'équipement, et publie celle-ci dans la base de données publique 21.- 55: If successful, the authorized body declares the certification of the equipment, and publishes it in the public database 21.
- 52 : Le mot de passe certificateur interne est effacé, ainsi que les programmes et fonctions d'initialisation associés .- 52: The internal certifier password is deleted, as well as the associated initialization programs and functions.
Seuls les organismes certificateurs habilités peuvent modifier l'état de certification d'un équipement dans la base de données publique.Only authorized certifying bodies can modify the certification status of equipment in the public database.
L'organisme certificateur habilité garantit le secret de la correspondance entre les identifiants publics et secret, et peut établir en cas de doute et en dernier recours
l'authenticité de l'équipement. L'organisme certificateur habilité et le constructeur peuvent être complètement indépendants. Il peut y avoir plusieurs constructeurs et plusieurs organismes certificateurs habilités agréés par des instances différentes donnant valeur authentique à l'équipement. Les organismes certificateurs habilités peuvent éventuellement partager entre eux les copies des identifiants secrets uniques .The authorized certifying body guarantees the secrecy of correspondence between public and secret identifiers, and can establish in case of doubt and as a last resort the authenticity of the equipment. The authorized certifying body and the manufacturer can be completely independent. There may be several manufacturers and several authorized certification bodies approved by different bodies giving authentic value to the equipment. The authorized certifying bodies may optionally share copies of the unique secret identifiers with each other.
L'équipement est alors certifié. Il peut être commercialisé et livré à un utilisateur final, qui_ peut en faire usage après activation.The equipment is then certified. It can be marketed and delivered to an end user, who can use it after activation.
L'utilisateur final qui acquiert l'équipement certifié 55, reçoit de façon indépendante le mot de passe initial 38 émis par le constructeur, et doit l'activer : - 56 : À la première mise sous tension, il doit connecter l'équipement et doit entrer le mot de passe fourni.The end user who acquires certified equipment 55, independently receives the initial password 38 issued by the manufacturer, and must activate it: - 56: At the first power-up, he must connect the equipment and must enter the password provided.
- 57 : Les fonctions d'initialisation sont alors toutes invalidées : seul le programme fonctionnel reste résident et peut être exécuté à partir cet instant. - 58 : L'équipement est activé fonctionnellement.- 57: The initialization functions are then all disabled: only the functional program remains resident and can be executed from this moment. - 58: The equipment is activated functionally.
- 59 : Cet état est indiqué visuellement ceci même hors alimentation externe (à titre d'exemple, clignotement à faible rapport cyclique d'un voyant type LED alimenté par pile) . - 60 : Une fois l'équipement activé, l'utilisateur final peut utiliser l'équipement comme un périphérique informatique de stockage partitionné, initialement vierge. Il peut vérifier lui-même l'authenticité et la validité de son équipement par les méthodes explicitées.- 59: This state is indicated visually, even without external power supply (for example, flashing at low duty cycle of a battery-type LED indicator). - 60: Once the equipment is activated, the end user can use the equipment as a partitioned storage computer device, initially blank. He can verify the authenticity and validity of his equipment himself by the methods explained.
Cette méthodologie garantit donc qu'aucun équipement ne puisse être détourné, soustrait ou créé sans contrôle et certification.This methodology therefore guarantees that no equipment can be diverted, subtracted or created without control and certification.
La partie suivante décrit les méthodes permettant
d' établir la validité et l'authenticité de l'équipement, mises à la disposition de l'utilisateur final et des instances agréées autorisées à effectuer le contrôle de l'équipement et des données authentifiées enregistrées. L'équipement et son identification unique étant protégés physiquement par l'enceinte de protection 10, la probabilité qu'un utilisateur puisse présenter un équipement corrompu volontairement et ayant un aspect authentique, est infime, cependant même ce cas extrême est prévu. L'échec d'une de ces méthodes indique que l'équipement est invalide, la réussite d'une méthode pouvant être approfondie par une autre méthode, en cas de doute persistant sur l'authenticité de l'équipement. • Méthodes élémentaires non limitées en occurrence : - 61 : Vérification par comparaison du numéro de série interne 8 et du numéro de série externe 18.The following section describes the methods for to establish the validity and authenticity of the equipment, made available to the end user and authorized bodies authorized to carry out control of the equipment and of the authenticated data recorded. Since the equipment and its unique identification are physically protected by the protective enclosure 10, the probability that a user can present equipment that is voluntarily corrupted and that has an authentic appearance is negligible, however even this extreme case is provided. The failure of one of these methods indicates that the equipment is invalid, the success of a method being able to be deepened by another method, in the event of persistent doubt on the authenticity of the equipment. • Elementary methods not limited in occurrence: - 61: Verification by comparison of the internal serial number 8 and the external serial number 18.
- 62 : Vérification de conformité de l'équipement identifié par son numéro de série 18 dans la base de données publique 21. - 63 : Vérification de l'évolution de l'horloge interne 6.- 62: Verification of conformity of the equipment identified by its serial number 18 in the public database 21. - 63: Verification of the evolution of the internal clock 6.
- 64 : Vérification de la cohérence de l'horloge interne 6 par rapport à une référence externe 16, en prenant en compte la dérive spécifiée de l'horloge interne.- 64: Checking the consistency of the internal clock 6 with respect to an external reference 16, taking into account the specified drift of the internal clock.
- 65 : Vérification visuelle d'intégrité. • Méthodes tierces impliquant en interne l'identifiant secret unique 7, faites à la demande et temporisées en interne de façon à éviter toute analyse de l'identifiant (par exemple, limitée à une demande par 24h) :- 65: Visual integrity check. • Third-party methods internally involving the unique secret identifier 7, made on demand and internally timed so as to avoid any analysis of the identifier (for example, limited to a request per 24 hours):
- 67 : Recalcul interne de l'empreinte numérique 66 de l'identifiant secret unique interne 7 et vérification vis-à-vis de la base de données publique 21.- 67: Internal recalculation of the digital fingerprint 66 of the internal unique secret identifier 7 and verification vis-à-vis the public database 21.
- 71 : Calcul interne de l'empreinte numérique d'un message externe 68 (à titre d'exemple un certificat) fourni par un organisme agréé autorisé à contrôler
l'équipement, d'une longueur au moins égale à celle de l'identifiant unique, et mixé de façon déterministe mais non réversible 70 avec l'identifiant secret unique interne 7, et éventuellement la date interne 6 avant calcul de l'empreinte du résultat global 66. Les éléments de calcul 68, 6, le numéro de série 8 et le résultat sont fournis à l'organisme certificateur habilité 22 qui conserve la copie de l'identifiant secret 17, qui est donc seul apte à établir la cohérence de l'ensemble, et qui confirme l'authenticité au demandeur après vérification. Le fait que le message 68 identifie de façon unique et auto-consistante l'organisme demandeur permet à l'organisme certificateur de limiter les requêtes aux seules institutions autorisées à effectuer des contrôles. L'équipement de son côté- accepte a priori n'importe quel message ou requête sans préjugé sur la nature ou le contenu du message.- 71: Internal calculation of the digital fingerprint of an external message 68 (for example a certificate) supplied by an approved body authorized to control the equipment, of a length at least equal to that of the unique identifier, and mixed in a deterministic but non-reversible manner 70 with the internal unique secret identifier 7, and possibly the internal date 6 before calculation of the imprint of the overall result 66. The calculation elements 68, 6, the serial number 8 and the result are supplied to the authorized certifying body 22 which keeps the copy of the secret identifier 17, which is therefore the only one capable of establishing the consistency of all, and which confirms the authenticity to the applicant after verification. The fact that the message 68 uniquely and self-identifying identifies the requesting body allows the certifying body to limit the requests to only the institutions authorized to carry out checks. The equipment itself accepts a priori any message or request without prejudice to the nature or content of the message.
• Méthode directe de contrôle de l'identifiant secret unique :• Direct method for checking the unique secret identifier:
- 72 : vérification de l'identifiant unique interne directement par l'organisme certificateur habilité. Elle est similaire à la méthode précédente, excepté que le message fourni est exactement l'identifiant unique 17. La correspondance exacte est détectée en interne de l'équipement 69 qui fournit pour réponse dans cas particulier, une empreinte calculée 66 uniquement sur la base de l'identifiant unique 7 et de la date interne 6.- 72: verification of the internal unique identifier directly by the authorized certifying body. It is similar to the previous method, except that the message supplied is exactly the unique identifier 17. The exact correspondence is detected internally by the equipment 69 which provides for response in a particular case, a calculated fingerprint 66 solely on the basis of the unique identifier 7 and the internal date 6.
• Méthodes d'expertise non destructives permettant une analyse plus poussée en utilisant les méthodes suivantes :• Non-destructive appraisal methods allowing further analysis using the following methods:
- 73 : Vidage des mémoires internes (hors identifiant secret) : ROM (Read Only Memory) 106, RAM (Random Access Memory) 107 ou autre mémoire réinscriptible (Flash)- 73: Emptying internal memories (except secret identifier): ROM (Read Only Memory) 106, RAM (Random Access Memory) 107 or other rewritable memory (Flash)
- 74 : Vidage de tout numéro d'identification constructeur
des composants internes accessibles sous forme électronique. A titre d'exemples : modèles, révisions, numéros de série unique des composants utilisés, code binaire des composants programmables. Méthodes d'expertise destructive exigeant le démantèlement contrôlé de l'équipement, après, si possible, copie contrôlée des données sur un autre support.- 74: Emptying any manufacturer identification number internal components accessible in electronic form. For example: models, revisions, unique serial numbers of the components used, binary code of the programmable components. Destructive appraisal methods requiring controlled dismantling of the equipment, after, if possible, controlled copy of the data on another medium.
- 75 : L'équipement est aménagé de façon à permettre la découpe mécanique simple de façon à permettre un accès direct aux interfaces électriques natives 76 du périphérique de stockage interne 1, et aux autres éléments 77 pour expertise. Cette opération destructive invalide instantanément l'authenticité et toute autre fonctionnalité. A titre de suggestion d' implementation, toutes ces méthodes peuvent utiliser des fichiers virtuels gérés directement par le contrôleur, et apparaissant comme des fichiers disponibles sur le périphérique, alors qu'ils ne sont en fait pas directement stockés sur le périphérique intégré 1. Ces fichiers peuvent être accèdes en lecture, et pour certains en écriture de façon à permettre à l'utilisateur final de changer les paramètres globaux de l'équipement dont il a le contrôle, ou à permettre la vérification d'authenticité à des tiers en entrant des paramètres. Cette méthode peut elle aussi être utilisée pour les échanges de données systèmes, identifiants ou mots de passe pendant les phases d'initialisation (identification, certification, activation) .- 75: The equipment is arranged to allow simple mechanical cutting so as to allow direct access to the native electrical interfaces 76 of the internal storage device 1, and to the other elements 77 for expertise. This destructive operation instantly invalidates the authenticity and any other functionality. As an implementation suggestion, all these methods can use virtual files managed directly by the controller, and appearing as files available on the device, whereas they are not in fact directly stored on the integrated device 1. These files can be accessed in read mode, and in some cases in write mode so as to allow the end user to change the global parameters of the equipment under his control, or to allow authenticity verification to third parties by entering settings. This method can also be used for the exchange of system data, identifiers or passwords during the initialization phases (identification, certification, activation).
A titre de suggestion d' implementation non limitative, les fichiers virtuels peuvent contenir :As a non-limiting implementation suggestion, virtual files can contain:
- 78 : la date interne 6, éventuellement associée à des dates importantes telle que la date de première mise à l'heure, et la date de certification,- 78: the internal date 6, possibly associated with important dates such as the date of the first time setting, and the date of certification,
- 79 : le numéro de série 8 interne électronique,
- 80 : les éléments d'authentification,- 79: the internal electronic serial number 8, - 80: authentication elements,
- 81 : les paramètres système, l'écriture permettant d'affecter certains modes de fonctionnements optionnels programmables par l'utilisateur (à titre d'exemple fuseau horaire, expiration, contrôle et limitation d' accès...) ,- 81: system parameters, writing allowing to assign certain optional operating modes programmable by the user (for example time zone, expiration, control and access limitation ...),
- 82 : l'état du système,- 82: the state of the system,
- 83 : le fichier journal d'événements exceptionnels,- 83: the log file of exceptional events,
- 84 : les éléments surveillés par l'équipement : tensions internes, températures, dans le cas d'un disque dur- 84: the elements monitored by the equipment: internal voltages, temperatures, in the case of a hard disk
SMART (Self-Monitoring, Analysis and Reporting Technology) ,SMART (Self-Monitoring, Analysis and Reporting Technology),
- 85 : le contenu de la mémoire ROM,- 85: the contents of the ROM memory,
- 86 : le contenu de la mémoire RAM, - 87 : les éléments d'identification 'constructeur'.- 86: the content of the RAM memory, - 87: the 'manufacturer' identification elements.
Il est recommandé que tous ces fichiers soient facilement lisibles par un opérateur humain et imprimablesIt is recommended that all these files be easily readable by a human operator and printable.
(utilisation d'un codage alphanumérique, à titre d'exemple base 64, avec limitation du nombre de caractères par lignes, ou bien standards HTML ou XML) .(use of alphanumeric coding, for example base 64, with limitation of the number of characters per line, or standard HTML or XML).
L'exemple suivant illustre le fonctionnement des fichiers virtuels : le fichier d'authentification 80 est encodé de façon à être facilement editable dans un fichier système réservé nommé à titre d'exemple <AuthChek. sys>. L'écriture est possible, si les conditions de temporisation anti-analyse sont remplies 88. L'écriture dans ce fichier déclenche le calcul en interne d'un des éléments de certification, dépendant de la nature du fichier inscrit : » fichier vide 89, © fichier contenant un message d'entrée formaté 68, o fichier contenant exactement l'identifiant secret unique 17.The following example illustrates the operation of virtual files: the authentication file 80 is encoded so as to be easily editable in a reserved system file named by way of example <AuthChek. sys>. Writing is possible, if the anti-analysis time delay conditions are met 88. Writing to this file triggers the internal calculation of one of the certification elements, depending on the nature of the file entered: »empty file 89, © file containing a formatted input message 68, o file containing exactly the unique secret identifier 17.
En lecture, le système retourne en fin de calcul, un fichier de longueur et de structure fixes comportant en
correspondance, suivant les méthodes explicitées précédemment,' un message formaté prêt à être envoyé pour vérification, et incluant tous les éléments nécessaires à la- vérification : une empreinte de longueur fixe, le numéro de série, le message utilisé, la date utilisée.In reading, the system returns at the end of the calculation, a file of fixed length and structure including correspondence, according to the methods explained above, 'a formatted message ready to be sent for verification, and including all the elements necessary for verification: a fixed length imprint, the serial number, the message used, the date used.
A titre optionnel ou de variante, dans le cas où l'application nécessite une rémanence des données bien inférieure à la durée de vie subjective ou objective de l'équipement, une option d'expiration peut permettre de libérer de la place sur le média en détruisant, si nécessaire, automatiquement, les fichiers obsolètes dans le passé par rapport à l'horloge interne. Les limites d'opérabilité peuvent être fixées soit à la construction par conception, soit par l'organisme certificateur habilité, soit à la mise en route initiale par l'utilisateur final, et peuvent comporter des limitations sur l'espace libéré, comme par exemple, protéger nécessairement une fraction de la capacité totale. L'expiration est typiquement exprimée en nombre de jours par rapport au présent, tel que daté par' l'horloge interne, et peut être calée sur des événements calendaires (début ou jour de la semaine, début ou jour du mois, début ou jour de l'année) . La datation interne en temps universel fait qu'au moins un jour de marge est systématiquement ajouté pour prendre en compte le décalage du temps local et la dérive de l'horloge interne.As an option or as a variant, in the case where the application requires a remanence of the data much less than the subjective or objective lifespan of the equipment, an expiration option can make it possible to free up space on the media by automatically destroying, if necessary, obsolete files in the past compared to the internal clock. Operability limits can be set either at construction by design, or by the authorized certification body, or at initial start-up by the end user, and may include limitations on the space freed up, such as for example , necessarily protect a fraction of the total capacity. The expiration is typically expressed in number of days relative to the present, as dated by the internal clock, and can be calibrated on calendar events (start or day of the week, start or day of the month, start or day of the year) . Internal dating in universal time means that at least one day of margin is systematically added to take into account the local time difference and the drift of the internal clock.
Les différents modes de fonctionnement liés à l'expiration sont explicités sur les figures 11 à 16. L'espace de stockage est représenté sous forme d'un rectangle. L'espace de stockage est initialement vide 90.The different modes of operation linked to expiration are explained in FIGS. 11 to 16. The storage space is represented in the form of a rectangle. The storage space is initially empty 90.
L'ajout de nouveaux fichiers 91 remplit progressivement l'espace de stockage. Les données préalablement inscrites sont protégées contre la modification 4, le nouveau fichier prend sa place dans l'espace libre 5 et est daté en fin
d' écriture à la date courante interne 26, augmentant ainsi l'espace occupé protégé 4.The addition of new 91 files gradually fills the storage space. The data previously entered is protected against modification 4, the new file takes its place in the free space 5 and is dated at the end writing on the current internal date 26, thus increasing the protected occupied space 4.
Les fichiers remplissent donc séquentiellement au cours du temps 92 l'espace de stockage. Dans le mode de fonctionnement sans expiration, l'espace de stockage se remplit complètement : toute tentative d'écriture de fichier qui dépasse en capacité l'espace libre restant est rejetée et reporte une erreur 93.The files therefore fill the storage space sequentially over time 92. In the mode of operation without expiration, the storage space is completely filled: any attempt to write a file which exceeds the remaining free space in capacity is rejected and reports an error 93.
Le mode de fonctionnement avec expiration est explicité ci après. La condition d'expiration détermine un pointeur 94 en deçà duquel les données peuvent être effacées uniquement si nécessaire. Lorsque le périphérique est plein, un fichier de taille supérieure à l'espace libre disponible peut être ajouté, en supprimant intégralement un ou plusieurs fichiers ayant expiré. Le fichier qui ne pouvait pas être écrit par manque d'espace libre peut alors être stocké en écrasant le strict nécessaire de fichiers ayant expiré, quitte à être fractionné en deux parties non' contiguës 95, 96. Les fichiers sont supprimés complètement, laissant ainsi éventuellement un excédent d'espace libre 5, la taille du nouveau fichier inscrit n'étant pas nécessairement exactement identique à la taille des anciens fichiers écrasés.The operating mode with expiration is explained below. The expiration condition determines a pointer 94 below which the data can be deleted only if necessary. When the device is full, a file larger than the available free space can be added, completely deleting one or more expired files. The file could not be written due to lack of space can then be stored by overwriting the minimum necessary files have expired, even be split into two parts not 'contiguous 95, 96. files are removed completely, thus leaving possibly an excess of free space 5, the size of the new written file not necessarily being exactly identical to the size of the old overwritten files.
D'autres fichiers peuvent être ajoutés suivant le même principe 97. Le système protège les anciens fichiers au delà de la condition d'expiration. Si l'écriture du nouveau fichier impose la destruction d'un fichier ne répondant pas aux conditions d'expiration, le périphérique est considéré comme 'plein', l'opération est annulée 98 et reporte une erreur. Dans le cas où le mécanisme d'expiration est implémenté, l'espace de stockage a une structure circulaire 99 contrairement à la structure linéaire 92 classique sans expiration.Other files can be added following the same principle 97. The system protects old files beyond the expiration condition. If the writing of the new file requires the destruction of a file that does not meet the expiration conditions, the device is considered to be 'full', the operation is canceled 98 and reports an error. In the case where the expiration mechanism is implemented, the storage space has a circular structure 99 unlike the conventional linear structure 92 without expiration.
Le périphérique reporte un espace libre virtuel
correspondant à l'espace potentiellement libéré par écrasement de l'ensemble des fichiers ayant 'expiré'. Le média peut avantageusement être partitionné avec une durée d'expiration variable. Une fois programmée, la durée d" expiration ne peut être changée . Un partitionnement permet avantageusement de gérer sur des unités logiques différentes des durées d'expiration différentes. Le partitionnement peut être fixe : nombre de partitions fixé à l'activation par l'utilisateur, puis taille des partitions fixes. Le partitionnement peut être dynamique :Device reports virtual free space corresponding to the space potentially freed by overwriting all the files that have 'expired'. The media can advantageously be partitioned with a variable expiration time. Once programmed, the expiration time cannot be changed. Partitioning advantageously makes it possible to manage different expiration times on different logical units. Partitioning can be fixed: number of partitions fixed at activation by the user , then size of fixed partitions. Partitioning can be dynamic:
- nombre de partitions variables mais borné (aucune donnée ou partition active ne peut être supprimée dans l'ensemble des partitions). Selon un mode particulier de réalisation lié à l'état actuel de la technique, des interfaces disponibles, et de l'existence de composants de base actuels, la figure 17 montre un synoptique plus détaillé d'une suggestion d' implementation basée à titre d'exemple non limitatif, sur un disque dur 100. De même, le découpage fonctionnel décrit ne reflète pas nécessairement la structure des composants utilisés, chaque fonction pouvant être dans des implémentations futures, répartie ou intégrée différemment. A titre d'exemple, il est parfaitement envisageable d'intégrer tout ou partie de ces fonctions dans l'électronique interne intégrée dans le disque dur, qui comporte déjà dans les implémentations courantes un contrôleur apte à couvrir une partie des fonctions demandées par modification du microcode.- number of variable but limited partitions (no active data or partition can be deleted in all partitions). According to a particular embodiment linked to the current state of the art, available interfaces, and the existence of current basic components, FIG. 17 shows a more detailed block diagram of an implementation suggestion based on 'nonlimiting example, on a hard disk 100. Likewise, the functional breakdown described does not necessarily reflect the structure of the components used, each function being able to be in future implementations, distributed or integrated differently. For example, it is perfectly conceivable to integrate all or part of these functions into the internal electronics integrated into the hard disk, which already includes in current implementations a controller capable of covering part of the functions requested by modification of the microcode.
Le contrôleur tel que défini est basé sur un composant pont d'interface (bridge) 101, intégrant usuellement un processeur apte à exécuter un programme interprétant les commandes, et habituellement, deux contrôleurs d'interfaces standard pour le stockage de données 102, 103. De façon à assurer une performance optimale, ces contrôleurs spéciaux
disposent en interne de ressources matérielles spécifiques optimisées pour ne pas dégrader la performance globale en matière de transfert de données. A titre d'exemple non limitatif vu l'évolution constante des standards en la matière, il existe des convertisseurs intelligents pour les interfaces externes 105 de type FireWire / USB / Ethernet / SerialATA vers les interfaces de périphérique de stockage ATA, IDE, SerialATA 102. Suivant le standard utilisé, une interface physique active spécifique peut être intégrée ou confiée à un composant externe 104 suivant la technologie de transmission utilisée.The controller as defined is based on a bridge interface component 101, usually integrating a processor capable of executing a program interpreting the commands, and usually two standard interface controllers for data storage 102, 103. In order to ensure optimal performance, these special controllers have specific internal hardware resources optimized so as not to degrade the overall performance in terms of data transfer. As a non-limiting example given the constant evolution of standards in this area, there are intelligent converters for external interfaces 105 of the FireWire / USB / Ethernet / SerialATA type to the interfaces of storage device ATA, IDE, SerialATA 102 Depending on the standard used, a specific active physical interface can be integrated or entrusted to an external component 104 depending on the transmission technology used.
Ce contrôleur doit pouvoir adresser une mémoire programme en ROM interne ou externe non modifiable (ROM ou OTP One Time Programmable) 106, et une mémoire de données en RAM (107) sauvegardée par pile 108 hors alimentation externe grâce à un dispositif de commutation 109, ou éventuellement basée sur une mémoire de type Flash, ou sur une combinaison des deux technologies.This controller must be able to address a non-modifiable internal or external ROM program memory (ROM or OTP One Time Programmable) 106, and a RAM data memory (107) saved by battery 108 without external power supply thanks to a switching device 109, or possibly based on a Flash memory, or on a combination of the two technologies.
Le microcode fonctionnel et opérationnel, hors phase d'initialisation, est uniquement en ROM et ne peut être ni modifié, ni mis à jour. Le microcode d'initialisation est préchargé dans la mémoire de données 107 pendant la fabrication et détruit avant l'activation, de façon non réversible. Aucun programme ou microcode ne peut être chargé par les interfaces standard.The functional and operational microcode, outside the initialization phase, is only in ROM and cannot be modified or updated. The initialization microcode is preloaded in the data memory 107 during manufacture and destroyed before activation, in a non-reversible manner. No program or microcode can be loaded by standard interfaces.
La mémoire de données fonctionnelles est sauvegardée de façon à conserver les paramètres intermédiaires temporaires ou non critiques de l'état du système, et/ou l'historique des opérations passées (journal ou 'log') ou en cours en cas de rupture d'alimentation externe. Le contrôleur 101 n'a pas besoin d'être alimenté de façon autonome.The functional data memory is saved so as to keep the temporary or non-critical intermediate parameters of the state of the system, and / or the history of past operations (log or 'log') or in progress in the event of a break in external power supply. The controller 101 does not need to be powered independently.
Au contrôleur 101 peut être associé un contrôleur indépendant 110 permettant le monitoring de l'état interne du
système avec ou en dehors de toute source d'alimentation externe, alimenté lui aussi par pile 108. Le monitoring contrôle l'état de l'équipement, les tensions des piles internes, et éventuellement d'autres paramètres physiques significatifs (température) . Il est capable de commander d'interfacer un indicateur externe 111 (voyant / LED) donnant visuellement l'état du système même hors alimentation, et apte à prévenir les défaillances de l'équipement, ou son invalidation. L'état de validité de l'équipement indiqué par ce biais doit être corrélé par d'autres méthodes d'investigation sous alimentation.To the controller 101 can be associated an independent controller 110 allowing the monitoring of the internal state of the system with or without any external power source, also powered by battery 108. Monitoring monitors the condition of the equipment, the voltages of the internal batteries, and possibly other significant physical parameters (temperature). It is capable of controlling the interfacing of an external indicator 111 (indicator / LED) visually giving the state of the system even without power supply, and capable of preventing equipment failures, or its invalidation. The state of validity of the equipment indicated in this way must be correlated by other methods of investigation under power.
Le contrôleur 101 adresse indirectement un composant mémoire volatile / horloge temps réel 112, comportant une mémoire volatile effaçable par un signal externe 119. Ces composants gèrent nativement une alimentation sauvegardée par pile 113 liée à leur fonctionnalité permanente. L'horloge temps réel est associée à un oscillateur compensé en température à faible consommation 114, lui aussi sauvegardé par pile 115. C'est la stabilité de cet oscillateur qui détermine la dérive maximum de l'horloge. A titre d'exemple, il existe des oscillateurs compensés compatibles avec une alimentation par pile qui assurent une dérive, garantie inférieure à 1 minute par an, ce qui est raisonnable et peu critique dans la mesure où la dérive peut être mesurée à tout instant.The controller 101 indirectly addresses a volatile memory / real-time clock component 112, comprising a volatile memory erasable by an external signal 119. These components natively manage a battery-backed power supply 113 linked to their permanent functionality. The real time clock is associated with a low consumption temperature compensated oscillator 114, which is also saved by battery 115. It is the stability of this oscillator which determines the maximum drift of the clock. For example, there are compensated oscillators compatible with a battery power supply which provide a drift, guaranteed less than 1 minute per year, which is reasonable and not very critical since the drift can be measured at any time.
La mémoire effaçable intégrée contient les identifiants uniques : numéros de série 8 et identifiant secret unique 7, ainsi qu'éventuellement d'autres paramètres jugés critiques (pointeurs...) . L'ensemble horloge temps réel 112, 114 est sécurisé par une logique séquentielle 116, qui peut être intégrée dans un composant logique programmable faible consommation alimenté par pile 113. Cette logique gère les modes d'initialisation, le mode opérationnel, et le mode de destruction des
paramètres uniques, et intègre une machine d'état 117 assurant le séquencement unique et irréversible des opérations.The built-in erasable memory contains the unique identifiers: serial numbers 8 and unique secret identifier 7, as well as possibly other parameters deemed critical (pointers, etc.). The real-time clock assembly 112, 114 is secured by a sequential logic 116, which can be integrated into a low-consumption programmable logic component supplied by battery 113. This logic manages the initialization modes, the operational mode, and the destruction of unique parameters, and integrates a state machine 117 ensuring the unique and irreversible sequencing of operations.
A l'initialisation, le séquenceur 116 assiste le procédé décrit et assure la protection séquentielle en écriture des paramètres devant être initialisés une seule et unique foisOn initialization, the sequencer 116 assists the method described and provides sequential write protection for the parameters to be initialized only once.
(horloge, identifiants) dans le composant 112. La séquence d'initialisation peut être déroulée une seule fois, à partir d'un état instable forcé artificiellement en fabrication, le passage à l'état suivant étant assuré par le contrôleur, jusqu'à l'état opérationnel, puis éventuellement l'état d'invalidation. La rupture de l'alimentation sauvegardée ou la- détection d'intrusion remet la machine d'état dans un état initial correspondant à l'état d'invalidation de l'équipement.(clock, identifiers) in component 112. The initialization sequence can be carried out only once, starting from an unstable state artificially forced during manufacture, the transition to the next state being ensured by the controller, up to the operational state, then possibly the invalidation state. The interruption of the saved power supply or the intrusion detection resets the state machine to an initial state corresponding to the equipment invalidation state.
Fonctionnellement, le séquenceur 116 assure la protection matérielle temporisée en lecture de l'identifiant unique secret, en autorisant son accès de façon temporisée limitée par l'horloge temps réel à, par exemple, une fois par 24 heures.Functionally, the sequencer 116 provides timed hardware protection for reading the secret unique identifier, by authorizing its access in a timed manner limited by the real-time clock to, for example, once per 24 hours.
En cas de détection d'intrusion, ou de défaut d'alimentation, il assure l'inhibition de l'horloge temps réel en bloquant l'oscillateur 114 vers celle-ci, et réassure l'invalidation des paramètres d'identification éventuellement non effacés. L'accès au numéro de série et à l'horloge en lecture à partir du contrôleur reste possible, l'accès en lecture à l'identifiant unique effacé est inhibé définitivement, pour contrôle d'invalidation, ainsi que tout accès en écriture. Le système d'alerte d'intrusion 118 est lié au capteur d'intrusion utilisé, et contrôle de façon permanente les paramètres électriques du capteur (résistance 121, capacité 122 court circuit ou circuit ouvert 123), ainsi que la température 120. Cette partie est entièrement autonome et
auto-alimentée par pile 124. Une condition d'alerte, ou l'absence d'alimentation par pile 124 efface 119 la mémoire volatile contenant les identifiants 112 et réinitialise l'élément logique 116 qui passe dans un état équipement invalidé.In the event of intrusion detection, or power supply failure, it ensures the inhibition of the real-time clock by blocking the oscillator 114 towards it, and reassures the invalidation of the identification parameters which may not be erased. . Access to the serial number and the read clock from the controller remains possible, read access to the erased unique identifier is permanently inhibited, for invalidation control, as well as any write access. The intrusion alert system 118 is linked to the intrusion sensor used, and permanently controls the electrical parameters of the sensor (resistance 121, capacity 122 short circuit or open circuit 123), as well as the temperature 120. This part is fully autonomous and self-powered by battery 124. An alert condition, or the absence of power by battery 124 erases 119 the volatile memory containing the identifiers 112 and resets the logic element 116 which goes into an equipment disabled state.
Le système est alimenté pour la partie fonctionnelle par une alimentation de puissance externe 125, 14 éventuellement secondée par des convertisseurs à découpage ou des régulateurs de tension 126 qui génèrent les tensions d'alimentations internes de l'équipement. L'alimentation permanente économise les piles internes grâce à un système de commutation électronique 127 qui utilise en priorité l'alimentation externe 125, une pile auxiliaire externe optionnelle 128, et enfin en dernier recours les piles internes 108, 113, 115, 124 ce qui permet d'étendre la durée de vie de l'équipement, essentiellement limitée par la durée de vie de ces piles internes.The system is supplied for the functional part by an external power supply 125, 14 possibly seconded by switching converters or voltage regulators 126 which generate the internal supply voltages of the equipment. The permanent power supply saves the internal batteries thanks to an electronic switching system 127 which primarily uses the external power supply 125, an optional external auxiliary battery 128, and finally as a last resort the internal batteries 108, 113, 115, 124 which extends the service life of the equipment, which is essentially limited by the service life of these internal batteries.
Le nombre de piles internes dépend de la consommation et de l'indépendance fonctionnelle de chaque sous-ensemble. La répartition est donnée à titre purement indicatif.The number of internal batteries depends on the consumption and the functional independence of each sub-assembly. The distribution is given for information only.
La pile du détecteur d'intrusion est éventuellement doublée pour redondance, mais reste indépendante de toute autre source d'alimentation interne.The battery of the intrusion detector is possibly doubled for redundancy, but remains independent of any other internal power source.
Les composants 100 à 106 ne sont alimentés que par la source externe principale.Components 100 to 106 are only supplied by the main external source.
Les interfaces externes telles que les alimentations, les bus d'entrée / sortie, les signaux de contrôle sont protégées en surtensions, surcourants et filtrées 129 de façon à éviter que le système puisse être détérioré par une source défectueuse, ou volontairement par application de niveaux extrêmes pouvant mettre l'équipement dans un état de vulnérabilité inconnu.External interfaces such as power supplies, input / output buses, control signals are protected against overvoltages, overcurrents and filtered 129 so as to prevent the system from being damaged by a defective source, or intentionally by applying levels extremes that can put the equipment in an unknown state of vulnerability.
La RAM 106 utilisée par le contrôleur ne doit à aucun instant comporter une copie partielle conséquente de
1' identifiant secret interne 7.The RAM 106 used by the controller must at no time include a substantial partial copy of The internal secret identifier 7.
L'ensemble des éléments internes est noyé dans une résine isolante électriquement et conductrice thermiquement 130. Une seconde enveloppe non sécurisée 131 protège l'ensemble de l'équipement contre les chocs de façon à éviter toute fausse alarme accidentelle, reporte les interfaces d'usure (interfaces mécaniques, connectique) , la pile auxiliaire interchangeable, les indicateurs visuels (voyants) et éventuellement sonores (buzzer) , et permet d'améliorer l'aspect esthétique et / ou ergonomique externe. Cette double enveloppe doit laisser l'accès visuel au numéro de série externe, et doit être facilement amovible de façon à pouvoir effectuer le contrôle d'intégrité de 1 ' équipement ' par lui- même. La double enveloppe peut être adaptée à l'usage du périphérique • :• périphérique amovible ou. fixe dans une baie standard 3"l/2 ou 5"l/4, périphérique externe, périphérique intégré dans un ordinateur portable, individuel ou serveur.All of the internal elements are embedded in an electrically insulating and thermally conductive resin 130. A second non-secure casing 131 protects the whole of the equipment against shocks so as to avoid any accidental false alarm, reports wear interfaces (mechanical interfaces, connectors), the interchangeable auxiliary battery, visual indicators (indicators) and possibly sound indicators (buzzer), and improves the external aesthetic and / or ergonomic aspect. This jacket must allow visual access to the external serial number, and should be easily removable so as to perform the integrity check of one equipment 'by itself. The double envelope can be adapted to the use of the peripheral •: • removable peripheral or. fixed in a standard 3 "l / 2 or 5" l / 4 rack, external device, device integrated in a laptop, individual or server.
L'opercule de dépressurisation du disque dur est reporté par un conduit 132 à l'extérieur de l'enceinte 10 sans en dégrader la vulnérabilité (tubulure et capillarité) .The depressurization cap of the hard disk is carried by a conduit 132 outside the enclosure 10 without degrading the vulnerability (tubing and capillarity).
Les dispositifs et méthodes suivants peuvent être implémentés avec avantage et sont listés de façon non exhaustive : Une interface série auxiliaire 133 peut permettre un accès indépendant limité au contrôleur en cas de défaillance de l'interface fonctionnelle d'entrée / sortie principale 105, pour l'analyse d'authenticité et de validité de l'équipement, ou peut être utilisée pour des fonctions avancées de contrôle d'accès ou de copie sécurisée en interfaçant, à titre d'exemple une carte à puce.The following devices and methods can be implemented with advantage and are listed in a non-exhaustive manner: An auxiliary serial interface 133 can allow limited independent access to the controller in the event of failure of the main input / output functional interface 105, for the analysis of the authenticity and validity of the equipment, or can be used for advanced access control or secure copy functions by interfacing, for example a smart card.
Il est nécessaire de prévoir une méthode certifiée de migration des données avec conservation de la validité légale : authenticité et de datation. A titre d'exemple, ceci
peut être implémenté en utilisant une méthode cryptographique externe de signature et de certification numérique. Une interface de type 'carte à puce' peut être également utilisée dans ce cas avec une carte cryptographique authentifiant le transfert de données de A équipement source vers l'équipement cible en utilisant la date interne et les identifiants secrets de chacun des deux.It is necessary to provide a certified method of data migration with conservation of legal validity: authenticity and dating. As an example, this can be implemented using an external cryptographic method of digital signature and certification. A “smart card” type interface can also be used in this case with a cryptographic card authenticating the transfer of data from the source equipment to the target equipment using the internal date and the secret identifiers of both.
Selon une variante non nécessairement implémentée, dans le cas typique où le contrôleur exécute un programme embarqué ou contient des circuits programmables, le code objetAccording to a variant not necessarily implemented, in the typical case where the controller executes an on-board program or contains programmable circuits, the object code
(éventuellement source) peut être publié et de fait peut être contrôlé.(possibly source) can be published and in fact can be checked.
Selon une variante non nécessairement implémentée, il semble utile d' inclure un système autonome de protection d'accès aux données de l'utilisateur par mot de passe ou toute autre méthode d'identification (carte à puce), de façon à inhiber à la demande:According to a variant not necessarily implemented, it seems useful to include an autonomous system for protecting access to the user's data by password or any other identification method (smart card), so as to inhibit the request:
• les accès en écriture de données• data write access
• les accès en lecture de données (renvoi d'un contenu vide à titre d'exemple une chaîne de caractère Λnull')• data read access (returning empty content, for example a character string Λ null ')
• la visibilité des répertoires et nom de fichiers• visibility of directories and file names
• tout accès aux fichiers• all access to files
Selon" une variante non nécessairement implémentée, il est judicieux d'inclure un système interne de limitation sur le quota de remplissage, qui peut éviter le remplissage délibéré ou accidentel de l'équipement (exprimé à titre d'exemple en mégaoctets par nombre de jours) ou permettre d'anticiper le remplacement de l'équipement pour extension de la capacité de stockage. Selon une variante non nécessairement implémentée, il est possible, suivant le système de fichiers utilisé, de prévoir une possibilité de changement de nom des fichiers et des répertoires, pour faciliter l'exploitation des données dans le temps. Ceci prévoit de même la possibilité de
modifier l'arborescence des répertoires, et tout mouvement de données logiques dans la mesure où ceci n'influe ni sur le contenu, ni sur la date, ni éventuellement sur l'extension ou le versionne ent des fichiers. Le renommage des fichiers peut être i plémenté, seule l'entête de base ne peut être modifiée : renommage du nom long, sans toucher au nom court (8.3 caractères dans de nombreux systèmes d'exploitation). Le déplacement des fichiers peut être implémenté : changement de répertoires, sans toucher aux données. Un mode de protection en lecture peut avantageusement être implémenté par partition, assurant la protection de confidentialité des données, la commutation de cette fonction peut être commandée par mot de passe ou carte à puce, et par partition. Le dispositif décrit est particulièrement adapté au stockage et à l'archivage privés de données informatiques susceptibles d'avoir valeur de preuve authentique, juridique et/ou légale devant les instances autorisées.
According to " a variant not necessarily implemented, it is wise to include an internal system of limitation on the filling quota, which can avoid deliberate or accidental filling of the equipment (expressed for example in megabytes by number of days ) or make it possible to anticipate the replacement of the equipment for extension of the storage capacity. According to a variant not necessarily implemented, it is possible, depending on the file system used, to provide a possibility of changing the names of the files and directories, to facilitate the use of data over time. This also provides the possibility of modify the directory tree structure, and any movement of logical data insofar as this does not affect the content, the date, or possibly the extension or version of the files. File renaming can be supplemented, only the basic header cannot be changed: renaming of the long name, without touching the short name (8.3 characters in many operating systems). Moving files can be implemented: change of directories, without touching the data. A read protection mode can advantageously be implemented by partition, ensuring data confidentiality protection, the switching of this function can be controlled by password or smart card, and by partition. The device described is particularly suitable for the private storage and archiving of computer data likely to have the value of authentic, legal and / or legal proof before authorized bodies.
Claims
1. Procédé pour le stockage de données informatiques, ca.za.ct z3.se <s∑ι es u'il consiste à intégrer entièrement en un dispositif :1. Process for the storage of computer data, ca.za.ct z3.se <if it consists of integrating entirely into a device:
- un périphérique de stockage de données (1),- a data storage device (1),
- un contrôleur d'entrées-sorties adapté (2) transformant ledit . périphérique de stockage de données (1) en un périphérique de stockage à écriture unique ou restreinte en dérivant toutes commandes de l'interface d'entrées-sorties (13) en provenance d'un système hôte (20), vers l'interface interne (3) du périphérique de stockage de données intégré (1) , de façon :- a suitable input-output controller (2) transforming said. data storage device (1) into a write-only or restricted storage device by deriving all commands from the input-output interface (13) coming from a host system (20), towards the internal interface (3) of the integrated data storage device (1), so:
- à autoriser exclusivement l'ajout de nouveaux fichiers dans l'espace libre (5) en les datant indépendamment grâce à une horloge temps réel interne sécurisée (6), et- to authorize exclusively the addition of new files in the free space (5) by dating them independently thanks to a secure internal real-time clock (6), and
- à interdire l'effacement, la modification et la réécriture des données préalablement écrites et donc antérieurement datées (4) , - à protéger l'ensemble dudit dispositif d'une part contre la falsification ou la duplication par un identifiant secret unique interne (7) en correspondance avec un numéro de série public unique, d'autre part par une enceinte de protection périmétrique (10) destinée à empêcher l'intrusion dans l'équipement, la modification de tout composant et des données internes, ainsi que l'analyse de l'identifiant secret unique sans compromettre de façon irrémédiable la validité et l' authenticité,- to prohibit the erasure, modification and rewriting of data previously written and therefore previously dated (4), - to protect the whole of said device on the one hand against falsification or duplication by a unique internal secret identifier (7 ) in correspondence with a unique public serial number, on the other hand by a perimeter protection enclosure (10) intended to prevent intrusion into the equipment, modification of any component and internal data, as well as analysis the unique secret identifier without irreversibly compromising validity and authenticity,
- à détecter une tentative desdites intrusion, modification, analyse, lesdites détections étant aptes à être vérifiées par plusieurs méthodes tierces au dit procédé, ce dernier étant ainsi sécurisé, et apte pour le stockage de données informatiques authentifiées et datées à valeur probante. - To detect an attempt of said intrusion, modification, analysis, said detections being able to be verified by several methods third to the said process, the latter being thus secure, and suitable for storing authenticated and dated computer data with probative value.
2. Procédé selon la revendication 1, caractérisé en ce qμ' il consiste à reproduire électroniquement en interne (8) ledit numéro de série public unique, pour permettre un contrôle électronique de celui-ci. 2. Method according to claim 1, characterized in that qμ 'it consists in electronically reproducing internally (8) said unique public serial number, to allow electronic control thereof.
3. Procédé selon la revendication 1 ou 2, c&srsictésr±&é e C< qμr il consiste en outre à protéger physiquement tous les composants internes en laissant accessibles uniquement les interfaces fonctionnelles externes d'entrées-sorties (13) et d'alimentation (14), grâce à une enceinte scellée périmétrique (10) englobant tous les composants, constituée d'une protection mécanique et électromagnétique passive (11) englobant un capteur de détection d'intrusion actif (12) et l'électronique associée (9), cette dernière assurant la destruction immédiate de l'identifiant unique interne secret (7) et du numéro de série interne (8) le cas échéant, par effacement instantané, en cas de détérioration volontaire ou involontaire changeant la vulnérabilité ou l'autonomie du dispositif, ou de tentative d'investigation interne détectée par le capteur (12) pouvant permettre de compromettre, contrôler, modifier, analyser des données, interfaces ou composants internes.3. Method according to claim 1 or 2, c & srsictésr ± & é e C <qμ r it further consists in physically protecting all internal components by leaving accessible only the external functional interfaces of input-output (13) and power supply ( 14), thanks to a perimeter sealed enclosure (10) encompassing all the components, consisting of a passive mechanical and electromagnetic protection (11) including an active intrusion detection sensor (12) and the associated electronics (9), the latter ensuring the immediate destruction of the secret internal unique identifier (7) and of the internal serial number (8) if necessary, by instant deletion, in the event of voluntary or involuntary deterioration changing the vulnerability or the autonomy of the device, or of internal investigation attempt detected by the sensor (12) which can make it possible to compromise, control, modify, analyze data, interfaces or internal components.
4. Procédé selon la revendication 3, caractérisé en ce qu'il consiste en outre à maintenir actifs, l'horloge temps réel interne (6), l'identifiant secret (7), le numéro de série interne (8) le cas' échéant, et l'électronique de détection d'intrusion et de destruction (9), en dehors de toute source d'alimentation externe pour la durée de vie spécifiée pour l'équipement, grâce à un sous-système d'alimentation interne autonome (15), éventuellement secondé en externe pour en augmenter la durée de vie.4. Method according to claim 3, characterized in that it also consists in keeping active, the internal real-time clock (6), the secret identifier (7), the internal serial number (8) if necessary . if applicable, and the intrusion and destruction detection electronics (9), outside of any external power source for the life specified for the equipment, thanks to a self-contained internal power subsystem ( 15), possibly seconded externally to increase its lifespan.
5. Procédé selon l'une quelconque des revendications 1 à 4, caractérisé <SΏ. ce qμ' 11 consiste en outre à permettre de garantir la personnalisation unique et non reproductible de l'équipement tout en publiant son existence, éventuellement avant certification, en générant aléatoirement par calcul en interne de l'équipement, l'identifiant unique secret (7), en calculant en interne une empreinte numérique à sens unique (23) de cet identifiant qui ne permet pas de remonter à celui-ci, en établissant l'unicité de l'empreinte par interrogation d'une base de données publique (21) contenant les empreintes de l'ensemble des équipements existants, l'identifiant étant recalculé si il y a collision et le dispositif étant formellement identifié dès que l'empreinte est unique, en ajoutant alors dans la base de données publique (21), les références de l'équipement : numéro de série unique (8, 18) et empreinte (23) .5. Method according to any one of claims 1 to 4, characterized <SΏ. this qμ '11 also consists in making it possible to guarantee the unique and non-reproducible personalization of the equipment while publishing its existence, possibly before certification, by randomly generating, by internal calculation of the equipment, the secret unique identifier (7), by internally calculating a one-way digital fingerprint (23) of this identifier which does not allow it to be traced back to it , by establishing the uniqueness of the fingerprint by interrogating a public database (21) containing the fingerprints of all the existing equipment, the identifier being recalculated if there is a collision and the device being formally identified as soon as that the fingerprint is unique, then adding to the public database (21), the references of the equipment: unique serial number (8, 18) and fingerprint (23).
6. Procédé selon la revendication 4 ou 5, caractérisé en ce qμ' il consiste en outre à assurer l'authenticité du dispositif après fabrication, le test, l'assemblage final et l'activation de la protection périmétrique (9), jusqu'à l'acquisition par l'utilisateur final, en rendant uniques les opérations de d'affectation du numéro de série unique (8, 18), la synchronisation de l'horloge temps réel (6) par rapport à une référence de temps externe fiable (16), l'auto- génération interne de l'identifiant secret unique (7), la copie externe de l'identifiant secret unique (17) en environnement sécurisé de l'identifiant secret unique vers un organisme certificateur (22) habilité à garantir le secret de cet identifiant et de fait l'authenticité de l'équipement, l'unicité de chaque opération étant garantie par conception en inhibant ou détruisant de façon irréversible et dès que possible dans la séquence d'initialisation, les éléments matériels et/ou le microcode permettant cette initialisation. 6. Method according to claim 4 or 5, characterized in that qμ 'it further consists in ensuring the authenticity of the device after manufacture, the test, the final assembly and the activation of the perimeter protection (9), up to to the acquisition by the end user, by making unique the operations of assigning the unique serial number (8, 18), the synchronization of the real time clock (6) with respect to a reliable external time reference (16), internal self-generation of the unique secret identifier (7), the external copy of the unique secret identifier (17) in a secure environment from the unique secret identifier to a certifying body (22) authorized to guarantee the secrecy of this identifier and in fact the authenticity of the equipment, the uniqueness of each operation being guaranteed by design by irreversibly inhibiting or destroying and as soon as possible in the initialization sequence, the material elements and / or the microc ode allowing this initialization.
7. Procédé selon la revendication 2, et l'une des revendications 5 ou 6, caractérisé an ce qu' il consiste en outre à permettre sans limitation sur l'occurrence, la vérification préliminaire de l'authenticité et de l'intégrité, par contrôle et recoupement des numéros de série uniques (8, 18) répertoriés dans la base de données publique (21), par contrôle de la validité et de l'évolution de l'horloge interne (6) par rapport à une référence de temps externe fiable (16) en prenant en compte la dérive maximum spécifiée de l'horloge interne, et par contrôle visuel ou non destructif de l'intégrité de l'enveloppe externe (12).7. Method according to claim 2, and one of claims 5 or 6, characterized in that it further consists in allowing without limitation on the occurrence, the preliminary verification of authenticity and integrity, by checking and cross checking of serial numbers unique (8, 18) listed in the public database (21), by checking the validity and the evolution of the internal clock (6) compared to a reliable external time reference (16) by taking into account counts the maximum specified drift of the internal clock, and by visual or non-destructive inspection of the integrity of the external envelope (12).
8. Procédé selon la revendication 5 ou 6, caractérisé en ce qμ' il consiste en outre à permettre à des organismes autorisés, d'authentifier à la demande l'équipement par vérification par des méthodes tierces utilisant l'identifiant secret interne (7) sans le révéler, en recalculant en interne dynamiquement l'empreinte de l'identifiant (23) et en interrogeant directement la base de données publique (21) , ou en couplant en interne l'identifiant secret à la date interne (6) et à un message externe fourni avant calcul interne de l'empreinte de l'ensemble, l'ensemble des éléments connus étant fourni pour certification à distance par l'organisme certificateur habilité (22) qui seul peut vérifier la cohérence grâce à la copie de l'identifiant secret unique (17) dont il dispose, ces fonctions impliquant l'identifiant secret, étant temporisées et limitées en occurrence en interne de l'équipement de façon à éviter la détermination inverse de l'identifiant par analyse ou essais successifs.8. Method according to claim 5 or 6, characterized in that it comprises, in addition, allowing authorized organizations to authenticate the equipment on request by verification by third-party methods using the internal secret identifier (7) without revealing it, by dynamically recalculating internally the imprint of the identifier (23) and by directly querying the public database (21), or by internally coupling the secret identifier to the internal date (6) and to an external message provided before internal calculation of the footprint of the assembly, all of the known elements being supplied for remote certification by the authorized certifying body (22) which alone can verify the consistency by means of the copy of the unique secret identifier (17) at its disposal, these functions implying the secret identifier, being timed and limited in internal occurrence of the equipment so as to avoid the reverse determination of the identifier by a nalysis or successive tests.
9. Procédé selon la revendication 6, caractérisé en ce qu'il consiste en outre à permettre à l'organisme certificateur (22) d'authentifier lui-même sous son contrôle et en dernier recours l'équipement en injectant sa copie de l'identifiant secret (17) pour comparaison en interne de l'équipement qui détecte la parfaite similitude, et envoie en réponse un message unique qui peut être vérifié par ledit organisme certificateur (22), cette fonction impliquant l'identifiant secret étant temporisée et limitée en occurrence en interne de l'équipement de façon à éviter la détermination inverse de l'identifiant par analyse ou essais successifs.9. Method according to claim 6, characterized in that it further consists in allowing the certifying body (22) to authenticate itself under its control and as a last resort the equipment by injecting its copy of the secret identifier (17) for internal comparison of the equipment which detects perfect similarity, and sends in response a unique message which can be verified by said certifying body (22), this function involving the secret identifier being timed and limited by internal occurrence of equipment so as to avoid reverse determination of the identifier by analysis or successive tests.
10. Procédé selon l'une quelconque des revendications 1 à 8, caractérisé en ce qu' il consiste en outre à permettre, à titre de variante non nécessairement implémentée, de gérer de façon autonome l'expiration des données dans le passé, en autorisant, uniquement en cas de remplissage complet du périphérique de stockage interne (1), l'écriture de nouveaux fichiers en écrasant dans la limite du suffisant et dans l'ordre chronologique, les données antérieures à une date relative (94), mise à jour dynamiquement par rapport à la date courante fournie par l'horloge interne (6), dérogeant ainsi à la règle d'écriture unique sans cependant compromettre ou modifier les données utiles ayant encore une validité, et datées postérieurement à la date d'expiration.10. Method according to any one of claims 1 to 8, characterized in that it also consists in allowing, as a variant not necessarily implemented, to manage autonomously the expiration of data in the past, by authorizing , only if the internal storage device (1) is completely filled, writing new files overwriting, within the limit of sufficient and in chronological order, the data prior to a relative date (94), update dynamically with respect to the current date provided by the internal clock (6), thereby derogating from the single writing rule without however compromising or modifying the useful data still having validity, and dated after the expiration date.
11. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il consiste en outre à présenter tout paramètre et indicateur interne propre et spécifique au dit dispositif sous forme de fichiers virtuels aux noms réservés, vus par le système hôte comme des fichiers classiques et évitant la mise en œuvre de pilotes ou de modes de fonctionnement particuliers au niveau du système hôte pour la gestion, l'administration et la surveillance dudit dispositif. 11. Method according to any one of the preceding claims, characterized in that it also consists in presenting any internal parameter and indicator specific to the said device in the form of virtual files with reserved names, seen by the host system as conventional files and avoiding the implementation of specific drivers or operating modes at the host system level for the management, administration and monitoring of said device.
12. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il consiste en outre à partitionner ledit périphérique de stockage de données avec une durée d'expiration différente par partition.12. Method according to any one of the preceding claims, characterized in that it also consists in partitioning said data storage device with a different expiration time per partition.
13. Dispositif pour le stockage de données informatiques, caractérisé en ce qu'il intègre entièrement :13. Device for storing computer data, characterized in that it fully integrates:
- un périphérique de stockage de données (1) comportant une interface interne (3),- a data storage device (1) comprising an internal interface (3),
- un contrôleur d'entrées-sorties adapté (2),- a suitable input-output controller (2),
- une interface d'entrées-sorties (13), - une horloge temps réel interne sécurisée (6),- an input-output interface (13), - a secure internal real-time clock (6),
- un identifiant secret unique interne (7),- a unique internal secret identifier (7),
- un numéro de série public unique,- a unique public serial number,
- une enceinte de protection périmétrique (10) , ledit contrôleur d'entrées-sorties adapté (2) étant apte à transformer ledit périphérique de stockage de données (1) en un périphérique de stockage à écriture unique ou restreinte en dérivant toutes commandes de l'interface d'entrées-sorties- a perimeter protection enclosure (10), said adapted input-output controller (2) being able to transform said data storage device (1) into a single-write or restricted storage device by deriving all commands from the input-output interface
(13) en provenance d'un système hôte (20), vers l'interface interne (3) du périphérique intégré (1) , de façon :(13) coming from a host system (20), towards the internal interface (3) of the integrated peripheral (1), so:
- à autoriser exclusivement l'ajout de nouveaux fichiers dans l'espace libre (5) en les datant indépendamment grâce à l'horloge temps réel interne sécurisée (6), et- to authorize exclusively the addition of new files in the free space (5) by dating them independently thanks to the secure internal real-time clock (6), and
- à interdire l'effacement, la modification et la réécriture des données préalablement écrites et donc antérieurement datées (4) , l'ensemble dudit dispositif étant protégé d'une part contre la falsification ou la duplication par l'identifiant secret unique interne (7) en correspondance avec le numéro de série public unique, d'autre part par l'enceinte de protection périmétrique (10) empêchant l'intrusion dans l'équipement, la modification de tout composant et des données internes, ainsi que l'analyse de l'identifiant secret unique sans compromettre de façon irrémédiable la validité et l'authenticité, les tentatives d'intrusion, modification, analyse étant aptes à être vérifiées par plusieurs moyens tiers à l'ensemble dudit dispositif, ce dernier étant ainsi sécurisé, inviolable et infalsifiable apte pour le stockage de données informatiques authentifiées et datées à valeur probante.- to prohibit the erasure, modification and rewriting of data previously written and therefore previously dated (4), the whole of said device being protected on the one hand against falsification or duplication by the unique internal secret identifier (7 ) in correspondence with the unique public serial number, on the other hand by the perimeter protection enclosure (10) preventing intrusion into the equipment, modification of any component and internal data, as well as the analysis of the unique secret identifier without irreversibly compromising the validity and authenticity, the intrusion, modification, analysis attempts being able to be verified by several means third of the whole of said device, the latter being thus secure, inviolable and tamper-proof suitable for storing authenticated and dated computer data with probative value.
14. Dispositif selon la revendication 13, caractérisé en ce qμ' il comprend un numéro de série reproduit électroniquement en interne (8) reproduisant ledit numéro de série public unique. 14. Device according to claim 13, characterized in that it comprises a serial number reproduced electronically internally (8) reproducing said unique public serial number.
15. Dispositif selon la revendication 13 ou 14, caractérisé en ce qu'il comprend des moyens de protection physique de tous les composants internes en laissant accessibles uniquement les interfaces fonctionnelles externes d'entrées-sorties (13) et d'alimentation (14), grâce à une enceinte scellée périmétrique (10) englobant tous les composants, constituée d'une protection mécanique et électromagnétique passive (11) englobant un capteur de détection d'intrusion actif (12) et l'électronique associée (9) , cette dernière assurant la destruction immédiate de l'identifiant unique interne secret (7) et du numéro de série interne (8) le cas échéant par effacement instantané, en cas de détérioration volontaire ou involontaire changeant la vulnérabilité ou l'autonomie du dispositif, ou de tentative d'investigation interne détectée par le capteur (12) pouvant permettre de compromettre, contrôler, modifier, analyser des données, interfaces ou composants internes.15. Device according to claim 13 or 14, characterized in that it comprises means of physical protection of all the internal components while leaving accessible only the external functional interfaces of inputs-outputs (13) and supply (14) , thanks to a perimeter sealed enclosure (10) encompassing all the components, consisting of a passive mechanical and electromagnetic protection (11) including an active intrusion detection sensor (12) and the associated electronics (9), the latter ensuring the immediate destruction of the secret internal unique identifier (7) and of the internal serial number (8) if necessary by instantaneous erasure, in the event of voluntary or involuntary deterioration changing the vulnerability or the autonomy of the device, or of attempt of internal investigation detected by the sensor (12) which can make it possible to compromise, control, modify, analyze data, interfaces or internal components.
16. Dispositif selon la revendication 14, caractérisé en ce qu'il comprend des moyens de maintien actifs, de l'horloge temps réel interne (6), de l'identifiant secret (7), du numéro de série interne (8) le cas échéant, et de l'électronique de détection d'intrusion et de destruction (9), en dehors de toute source d'alimentation externe pour la durée de vie spécifiée pour l'équipement, grâce à un sous- système d'alimentation interne autonome (15), éventuellement secondé en externe pour en augmenter la durée de vie. 16. Device according to claim 14, characterized in that it comprises active holding means, the internal real time clock (6), the secret identifier (7), the internal serial number (8) the if applicable, and intrusion and destruction detection electronics (9), outside of any external power source for the life specified for the equipment, thanks to an internal power subsystem autonomous (15), possibly seconded externally to increase its lifespan.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0303036 | 2003-03-12 | ||
FR0303036A FR2852413B1 (en) | 2003-03-12 | 2003-03-12 | SECURE, INVIOLABLE AND INFALSIFIABLE DEVICE FOR THE STORAGE OF AUTHENTICATED AND DATED DATA WITH LEGAL OR LEGAL VALUE |
PCT/FR2004/000601 WO2004084049A1 (en) | 2003-03-12 | 2004-03-12 | Secure computer data storage method and device |
Publications (1)
Publication Number | Publication Date |
---|---|
EP1602024A1 true EP1602024A1 (en) | 2005-12-07 |
Family
ID=32893229
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP04720048A Withdrawn EP1602024A1 (en) | 2003-03-12 | 2004-03-12 | Secure computer data storage method and device |
Country Status (6)
Country | Link |
---|---|
US (1) | US20060179325A1 (en) |
EP (1) | EP1602024A1 (en) |
JP (1) | JP2006521608A (en) |
CA (1) | CA2518474A1 (en) |
FR (1) | FR2852413B1 (en) |
WO (1) | WO2004084049A1 (en) |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US9118710B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | System, method, and computer program product for reporting an occurrence in different manners |
US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118709B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9100431B2 (en) | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
US9118711B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9350752B2 (en) | 2003-07-01 | 2016-05-24 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
US9219729B2 (en) | 2004-05-19 | 2015-12-22 | Philip Drope | Multimedia network system with content importation, content exportation, and integrated content management |
JP4664034B2 (en) * | 2004-10-15 | 2011-04-06 | 株式会社エヌ・ティ・ティ・ドコモ | Content distribution management apparatus and content distribution management method |
US20060107041A1 (en) * | 2004-11-18 | 2006-05-18 | Michael Fiske | Assembling a security access system |
US20090158049A1 (en) * | 2005-04-06 | 2009-06-18 | Michael Stephen Fiske | Building a security access system |
US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US8272058B2 (en) | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
JP2007148644A (en) * | 2005-11-25 | 2007-06-14 | Sharp Corp | Data storage device, ic card and data storage method |
FR2895125B1 (en) * | 2005-12-21 | 2008-12-12 | Novatec Sa | METHOD OF AUTHENTICATING DOCUMENTS AND DEVICE FOR READING SAID DOCUMENTS FOR RECORDING FOR EVIDENCE |
FR2897223B1 (en) * | 2006-02-08 | 2008-05-09 | Sts Group Sa | METHOD FOR THE ELECTRONIC ARCHIVING, IN PARTICULAR REMOTELY, OF DOCUMENTS OR OBJECTS |
US7831786B2 (en) * | 2006-05-08 | 2010-11-09 | Research In Motion Limited | Sharing memory resources of wireless portable electronic devices |
US8069298B2 (en) * | 2007-06-29 | 2011-11-29 | Sandisk Technologies Inc. | Method of storing and accessing header data from memory |
US20090006796A1 (en) * | 2007-06-29 | 2009-01-01 | Sandisk Corporation | Media Content Processing System and Non-Volatile Memory That Utilizes A Header Portion of a File |
US9336387B2 (en) * | 2007-07-30 | 2016-05-10 | Stroz Friedberg, Inc. | System, method, and computer program product for detecting access to a memory device |
US20110302660A1 (en) * | 2010-06-02 | 2011-12-08 | Rupaka Mahalingaiah | Method and apparatus for securing digital devices with locking clock mechanism |
TWI443666B (en) * | 2010-08-31 | 2014-07-01 | Silicon Motion Inc | Data programming circuit and method for otp memory |
JP5319641B2 (en) * | 2010-10-14 | 2013-10-16 | 株式会社東芝 | Diagnostic circuit and semiconductor integrated circuit |
US20120278806A1 (en) * | 2011-04-29 | 2012-11-01 | Quantum Corporation | Data control system for virtual environment |
JP2013033338A (en) * | 2011-08-01 | 2013-02-14 | Toshiba Corp | Memory system |
US11023601B2 (en) * | 2018-04-20 | 2021-06-01 | Rohde & Schwarz Gmbh & Co. Kg | System and method for secure data handling |
EP3730956A1 (en) * | 2019-04-24 | 2020-10-28 | ABB Schweiz AG | Apparatus and method for a post-mortem analysis of industrial relay products |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5535328A (en) * | 1989-04-13 | 1996-07-09 | Sandisk Corporation | Non-volatile memory system card with flash erasable sectors of EEprom cells including a mechanism for substituting defective cells |
US5347579A (en) * | 1989-07-05 | 1994-09-13 | Blandford Robert R | Personal computer diary |
US5189700A (en) * | 1989-07-05 | 1993-02-23 | Blandford Robert R | Devices to (1) supply authenticated time and (2) time stamp and authenticate digital documents |
US5001752A (en) * | 1989-10-13 | 1991-03-19 | Fischer Addison M | Public/key date-time notary facility |
CA2032067A1 (en) * | 1989-12-22 | 1991-06-23 | Douglas E. Jewett | Fault-tolerant computer system with online reintegration and shutdown/restart |
US5970143A (en) * | 1995-11-22 | 1999-10-19 | Walker Asset Management Lp | Remote-auditing of computer generated outcomes, authenticated billing and access control, and software metering system using cryptographic and other protocols |
US5768382A (en) * | 1995-11-22 | 1998-06-16 | Walker Asset Management Limited Partnership | Remote-auditing of computer generated outcomes and authenticated biling and access control system using cryptographic and other protocols |
US5954817A (en) * | 1996-12-31 | 1999-09-21 | Motorola, Inc. | Apparatus and method for securing electronic information in a wireless communication device |
US6032257A (en) * | 1997-08-29 | 2000-02-29 | Compaq Computer Corporation | Hardware theft-protection architecture |
US6304948B1 (en) * | 1998-10-06 | 2001-10-16 | Ricoh Corporation | Method and apparatus for erasing data after expiration |
US6948066B2 (en) * | 2001-01-17 | 2005-09-20 | International Business Machines Corporation | Technique for establishing provable chain of evidence |
US7203844B1 (en) * | 2002-06-20 | 2007-04-10 | Oxford William V | Method and system for a recursive security protocol for digital copyright control |
-
2003
- 2003-03-12 FR FR0303036A patent/FR2852413B1/en not_active Expired - Fee Related
-
2004
- 2004-03-12 US US10/548,459 patent/US20060179325A1/en not_active Abandoned
- 2004-03-12 EP EP04720048A patent/EP1602024A1/en not_active Withdrawn
- 2004-03-12 WO PCT/FR2004/000601 patent/WO2004084049A1/en active Application Filing
- 2004-03-12 JP JP2006505721A patent/JP2006521608A/en active Pending
- 2004-03-12 CA CA002518474A patent/CA2518474A1/en not_active Abandoned
Non-Patent Citations (1)
Title |
---|
See references of WO2004084049A1 * |
Also Published As
Publication number | Publication date |
---|---|
US20060179325A1 (en) | 2006-08-10 |
JP2006521608A (en) | 2006-09-21 |
CA2518474A1 (en) | 2004-09-30 |
FR2852413A1 (en) | 2004-09-17 |
WO2004084049A1 (en) | 2004-09-30 |
FR2852413B1 (en) | 2005-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1602024A1 (en) | Secure computer data storage method and device | |
KR101699998B1 (en) | Secure storage of temporary secrets | |
US7231050B1 (en) | Protection against unintentional file changing | |
EP0719438B1 (en) | Access control system for restricting access to authorised hours and renewing it using a portable storage medium | |
US8812875B1 (en) | Virtual self-destruction of stored information | |
US8429420B1 (en) | Time-based key management for encrypted information | |
WO2018036440A1 (en) | Data cyclic writing method and system based on block chain | |
US20020112163A1 (en) | Ensuring legitimacy of digital media | |
US8275996B1 (en) | Incremental encryption of stored information | |
CN103262090A (en) | Protecting data integrity with storage leases | |
JP4678884B2 (en) | Portable storage media management system | |
TW201113884A (en) | Authentication and securing of write-once, read-many (WORM) memory devices | |
EP1896918A1 (en) | Device permitting partial disabling of information retrievability on worm media | |
JPH10312335A (en) | Data processing method and processor therefor | |
EP3376426B1 (en) | Information management terminal device | |
CN111771200A (en) | Tamper-resistant storage of evidence-related data | |
WO2008037895A2 (en) | System and method for securing data | |
JP6721248B2 (en) | Information management terminal | |
WO2018154258A1 (en) | Segmented key authentication system | |
JP4266412B2 (en) | Data storage system | |
JP2007200244A (en) | Information management system and information management method | |
JP2006065710A (en) | Backup control system for rewriting prohibited data in write-once read-many type storage medium | |
EP2341657B1 (en) | Method for controlling the access to encrypted digital data | |
JP4710232B2 (en) | Electronic data storage system that stores electronic data while guaranteeing the evidence | |
WO2023237259A1 (en) | Method for enhanced recording of a digital file |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
17P | Request for examination filed |
Effective date: 20051004 |
|
AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PL PT RO SE SI SK TR |
|
AX | Request for extension of the european patent |
Extension state: AL LT LV MK |
|
DAX | Request for extension of the european patent (deleted) | ||
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN |
|
18D | Application deemed to be withdrawn |
Effective date: 20091001 |