ES2266540T3 - Aparato metodo de certificacion de datos. - Google Patents

Abstract

Método de certificación de datos electrónicos suministrados por un usuario, comprendiendo el método: recibir los datos suministrados por el usuario a certificar en un aparato (110) de certificación desde un dispositivo (101) fuente; enviar una petición a un dispositivo (120) remoto que instruye al dispositivo remoto para enviar una contraseña al usuario; recibir un valor de dispersión derivado de una contraseña del dispositivo remoto; recibir un valor de dispersión adicional del usuario; comparar el valor de dispersión adicional del usuario con el valor de dispersión del dispositivo remoto para así validar al usuario; certificar los datos en el aparato (110) de certificación con uno o más elementos de información seguros para el aparato de certificación, siendo dichos elementos únicos para el usuario, si el valor de dispersión adicional corresponde con el valor de dispersión derivado del dispositivo remoto; y emitir los datos certificados de este modo desde el aparato (110) de certificación, para pasar a un dispositivo receptor; en el que los elementos de información segura certifican que el suministrador de los datos es el usuario.

Description

Aparato y método de certificación de datos.

La presente invención se refiere a la certificación de datos enviados por una red, más específicamente por una red insegura tal como Internet mediante medios criptográficos.

Cada vez que se transmite información por una red insegura, existe la posibilidad de que ésta puede interceptarse o interferirse de alguna manera. Por lo tanto, muchas actividades realizadas utilizando una red de este tipo para conectar las partes implicadas en la actividad requieren que cada parte confirme la identidad de la(s) otra(s) parte(s). Este es particularmente el caso con actividades llevadas a cabo a través de Internet.

Una manera de cumplir el requisito anterior es utilizar una firma digital. El origen de los datos enviados por una red insegura puede autentificarse utilizando una firma digital de este tipo.

Una firma de este tipo cumple las funciones de una firma tradicional: proporcionar autenticación de origen, y también puede tener importancia legal. Por lo tanto, es importante garantizar que sea difícil, si no imposible, firmar un documento electrónico de forma fraudulenta, para sugerir un punto de origen incorrecto.

Una manera generalmente aceptada -y la única conocida- de conseguir esto es utilizar la criptografía. En particular, se utiliza una forma de criptografía asimétrica llamada esquema de clave pública. Un esquema de clave pública emplea dos "claves" diferentes pero relacionadas matemáticamente. Las claves asimétricas funcionan utilizando un denominado algoritmo "unidireccional". Un algoritmo de este tipo puede utilizarse para producir una denominada firma digital con una clave y verificar esto con la otra clave, pero requiere mucho tiempo y de hecho, es prácticamente no factible, con la elección correcta del tamaño de la clave, utilizar la clave de verificación para generar la firma. En la actualidad, es muy sencillo utilizar la clave de verificación para verificar la firma y por consiguiente, la integridad y el origen del mensaje, y así es cómo se utiliza normalmente cada par de claves. Estos esquemas de clave pública pueden basarse en las denominadas funciones unidireccionales, donde el proceso de verificación implica comprobar una ecuación matemática (por ejemplo, ElGamal, curvas elípticas, etc., véase Menezes, A., Oorschot, P. Van, y Vanstone, S., Handbook of Applied Cryptography, CRC, 1996 o en funciones de encriptación-desencriptación (por ejemplo, RSA, véase Rivest, R.L., Shamir, A. y Adleman, L, A Method for Obtaining Digital Signatures of Public Key Cryptosystems (un método para obtener firmas digitales de criptosistemas de clave pública), Comunicaciones de la ACM, 21 (2), 1978: 120-126). Este último es diferente de la encriptación simétrica, en la que se utiliza la misma clave tanto para encriptar y desencriptar un mensaje. Una de las ventajas de los métodos asimétricos de este tipo es que incluso si una tercera parte está en posesión de la clave utilizada para verificar el mensaje, no puede producir la firma sin la otra clave. Si se utiliza un esquema de encriptación-desencriptación, la clave de encriptación es la clave de verificación y la clave de desencriptación es la clave de firma.

El esquema público más ampliamente utilizado; RSA, hace uso de dos números primos muy grandes y el hecho de que, en el momento de escritura, lleva mucho tiempo factorizar el producto de estos dos números primos de vuelta a los dos números originales. Por lo tanto, con números suficientemente grandes, RSA puede ser altamente resistente a la falsificación de firmas. Generalmente, una de las claves es el producto n de los dos factores pa y q primos y un denominado exponente e público, y la otra es un número derivado del par de números primos y e utilizando aritmética modular. El exponente e público debe elegirse como mutuamente primo a p-1 y q-i, y entonces puede derivarse un exponente d secreto, por ejemplo, como el número entero positivo más pequeño que cumpla ed-x(p-1)(q-1) = 1 para algún x utilizando el algoritmo de Euclidiano repetidamente.

Puede encontrarse información adicional sobre esto en Menezes et al. mencionado anteriormente.

Debido a que el conocimiento de la clave utilizada para la verificación no permite firmar, es posible transmitir esta clave (la denominada "clave pública") tan ampliamente como sea posible, a tantas personas como sea posible, habitualmente proporcionando una denominada infraestructura de clave pública (Public Key Infrastructure, PKI, véase CCITT (Comité Consultivo Internacional Telegráfico y Telefónico), Recomendación X.509: The Directory- - -Authentication Framework, 1994, and Public Key Infrastructure: The PKIX Reference Implementation, Internet Task Engineering Force) para que cualquier persona pueda hacer uso de ella.

Si puede utilizarse una clave pública particular para verificar un mensaje, esto demuestra que el originador del mensaje debe de haber sido el usuario que tenía la clave privada. Por lo tanto, es posible indicar el origen de un mensaje particular haciendo uso de esquemas de clave pública.

Sin embargo, esto requiere por tanto que haya algún esquema en lugar para vincular la identidad del usuario a un par de claves públicas particular.

Por ejemplo, el poseedor simplemente podría anunciar al mundo que él es el dueño del par de claves públicas/privadas. Sin embargo, el receptor del documento firmado tendría entonces sólo la palabra del poseedor en lo que se refiere a su identidad y en que el poseedor es el dueño, y que la clave no se ha comprometido. En este caso, el receptor del mensaje no puede verificar que el emisor del mensaje dice la verdad sobre su identidad o estado de propiedad, sólo
que el mensaje ha venido de alguien que afirma una identidad particular y que afirma ser el dueño del par de claves.

Debido a los problemas anteriores de verificación de la identidad y el estado de dueños de claves PKI, se han implicado terceras partes llamadas autoridades de certificación (CA) para certificar que un usuario particular es quien afirma ser. El usuario debe proporcionar ciertas credenciales a la CA y su clave pública, y a su vez, la CA emite un denominado certificado, que no es nada más que una firma generada por la CA sobre un mensaje en un formato elegido, tal como X.509v3, que consiste en las credenciales del usuario y su clave pública. Adicionalmente, la CA debe hacer disponible un directorio, desde el que puede comunicarse el estado de cualquier clave de usuario a otro usuario en cualquier momento, bien mediante el uso de las denominadas listas de revocación o bien mediante una pregunta online. Además, la CA emite una declaración de política de certificación, que expone las reglas para el usuario del sistema, incluyendo el método mediante el cual se han identificado los usuarios. Para los detalles, véase CCITT, y Public Key Infrastructure: the PKIX Reference Implementation, mencionado anteriormente.

Un certificado digital que comprende un par de clave pública/clave privada tiene ventajas adicionales sobre una solución de firma tradicional sin certificados porque puede tener un periodo de funcionamiento limitado y también puede suspenderse o revocarse si la clave privada del usuario se ha comprometido, por ejemplo, por haberse hecho disponible a una tercera parte. Para que la firma pueda tener algún uso, debe representarse preferiblemente en un formato estandarizado, tal como firmas del estándar de criptografía de clave pública (PKCS#1), formateadas según la CMS (sintaxis de mensajes criptográficos) (PKCS#7, para más información sobre la misma véase PKCS#1, 7, Estándar de Criptografía Laboratorios RSA, 2001).

Tal como puede verse de lo anterior, es de vital importancia que la clave privada de una firma se mantenga segura en todo momento, de otra forma, su valor se pierde por que su valor radica en el hecho de que certifica la identidad del autor de un mensaje mostrando que el mensaje se ha originado desde el dueño de un par de claves particular. Este el solamente el caso en el que la clave no se ha comprometido. Por lo tanto, deben tomarse medidas para mantener la seguridad de la clave privada.

Un enfoque establecido para la protección de la clave privada de un par de claves utilizada para firmas digitales es utilizar soluciones de software y luego almacenarlas en la estación de trabajo del dueño o un disquete protegido mediante un código pin o frase de clave (passphrase) controlados por el dueño. Sin embargo, generalmente se está de acuerdo en que una solución de sólo software de este tipo no es suficientemente segura para transacciones de alto valor, a no ser que la estación de trabajo esté extraordinariamente bien protegida. Esto es porque será típicamente posible recuperar la clave privada utilizando una búsqueda exhaustiva para la contraseña en la estación de trabajo, y en cualquier caso, es difícil proteger la clave privada de los denominados ataques "troyanos". Aquí, un intruso instala un programa malicioso, un tipo de virus, por ejemplo, a través de un correo electrónico que contiene un archivo ejecutable, y este programa copia de manera secreta la clave privada del usuario cuando se esté utilizando en el proceso de firma, o copia de manera secreta frase de clave utilizada para proteger la clave privada. Pueden introducirse medidas que hacen que los ataques de este tipo se hagan más difíciles, pero incluso así, todavía no se impiden fácilmente. La protección física que ofrecen las tarjetas inteligentes, que adicionalmente proporcionan una solución móvil, es atractiva por motivos de seguridad y aplicabilidad. La desventaja de este método es que requiere lectores de tarjetas inteligentes que todavía no están disponibles de manera amplia.

Una alternativa que se consideró muy atractiva durante mucho tiempo es, en lugar de almacenar la clave privada en una tarjeta inteligente (tarjeta chip). Pero esto requiere que la estación de trabajo que se utiliza para la aplicación debe tener acoplado un lector de tarjetas inteligentes. Como las estaciones de trabajo casi nunca tienen un lector de este tipo incorporado como estándar, y como no hay un único estándar de dominio para la comunicación con la tarjeta chip, la única posibilidad es acoplar una unidad externa e instalar un controlador (driver) en la estación de trabajo, lo que requiere mucho tiempo y es caro.

La identificación y la seguridad son temas importantes para las soluciones que permiten que el usuario genere una firma digital. Por lo tanto, un objetivo de esta invención es eliminar o mejorar al menos uno de los problemas asociados con la técnica anterior. En particular, un objetivo es alcanzar un nivel de seguridad alto, mientras al mismo tiempo dar una solución flexible al problema.

Adicionalmente, las claves privadas almacenadas en un estación de trabajo pueden parecer que están "claros", es decir, en una forma no encriptada, en el caché del ordenador del usuario o el caché o cola de impresión de la impresora, o sino en un caché de proveedor de servicios de Internet (ISP), incluso si se borran del ordenador del usuario. De hecho, incluso los elementos borrados pueden recuperarse de un ordenador utilizando técnicas especializadas para recuperar datos de la unidad de disco duro etc. De hecho, cada vez que la clave privada se utiliza para la generación de firmas, tiene que proporcionarse de forma no protegida.

Otras soluciones al problema de seguridad permiten al usuario descargar su clave privada de un servidor central y generar la firma en la estación de trabajo en software. Esto da la movilidad pero todavía es vulnerable a ataques si la estación de trabajo es insegura, que típicamente lo es a menos que haya restricciones sobre las cuales las estaciones de trabajo pueden utilizarse para descargar la clave privada.

El documento US 6.058.480 describe un sistema y método para autentificar usuarios y servicios en los que cada usuario y servicio tiene una frase de clave que conoce una "deidad" de autenticación. Sin embargo, este sistema no tiene ningún uso en tratar el problema descrito anteriormente de cómo usar la clave privada de una firma digital para firmar datos sin poner la clave en riesgo.

En una realización de la presente invención, la clave privada del usuario se almacena centralmente en un aparato de certificación que consiste en uno o más servidores- no necesariamente todos en el mismo sitio físico. Los servidores son resistentes a intrusos y típicamente emplean un módulo de seguridad de hardware (HSM) tal como un IBM 4758 con un conjunto de instrucción limitado que está disponible. Uno de estos servidores, llamado el servidor de firma, contiene las claves privadas de diferentes usuarios, iniciados de manera que sólo el dueño legítimo puede iniciar la generación de firmas con su propia clave privada.

Para material adicional de antecedentes en relación con firmas digitales, puede hacerse una referencia a Torben Federen, servidor de firmas, NEWSONINK, [Online], enero 2004, URL: http://www.cryptomathic.com/pdf/news5.pdf; Cryptomathic, "Easy Sign- A User-Friendly Way of doing Mobile Commerce", (Firma fácil- Una manera fácil de usar para hacer comercio móvil), sitio web de Cryptomathic [online], 6 de agosto de 2001 (2001-08-06), XP002215193; URL: http://web.archive.org/web/2001080615; y también Cryptomathic, "A New Approach to Digital Signatures" (Un nuevo enfoque de firmas digitales), sitio web de Cryptomathic [online], 1 de agosto de 2001 (2001-08-01), XP002215195, URL: \underbar{http://web.archive.org/web/200120801150532/http://www.cryptomathic.com/news/tech\_frame\_}
\underbar{sigserv.html}. Estos describen el uso de un servidor de firmas para firmar un documento o más particularmente, un compendio para el valor hash (de dispersión) (identificación a través de la probabilidad) de un documento, y el uso de dos canales de comunicación independientes para el no rechazo.

La invención es según se expone en las reivindicaciones 1, 10 y 33 independientes.

Se describirá un método de certificación de datos electrónicos suministrados por un usuario, comprendiendo el método recibir los datos a certificar en un aparato de certificación desde un dispositivo fuente, certificar los datos en el aparato de certificación con uno o más elementos de información seguros para el aparato de certificación, siendo dichos elementos únicos para el usuario; y emitir los datos así certificados desde el aparato de certificación, para pasarlos a un dispositivo receptor; en el que los elementos de información segura certifican que el proveedor de los datos es el usuario.

También se describirá un método de certificación de datos electrónicos suministrados por un usuario, comprendiendo el método: establecer una conexión segura entre un dispositivo fuente y un aparato de certificación, enviar los datos desde el dispositivo fuente para que los reciba el aparato de certificación; y recibir una versión de los datos del aparato de certificación certificados como originados desde el usuario, utilizando información única para el usuario.

El método anterior proporciona ventajas de coste reducido de administración del aparato de certificación, mayor facilidad de uso para los usuarios, y aumento de la seguridad, ya que la información única para el usuario nunca sale del servidor de firmas del aparato de certificación, ya sea en forma encriptada o no. Esto permite al usuario utilizar estaciones de trabajo múltiples sin transportar su clave privada a cada estación de trabajo. Por lo tanto, sólo una violación del servidor de firmas puede resultar en que las claves privadas estén disponibles fuera del servidor de firmas, que por consiguiente, debe prevenirse utilizando hardware resistente a intrusos diseñado para este fin, tal como el IBM 4758.

En escenarios más avanzados, la clave privada podría, de hecho, distribuirse entre cualquier número N de servidores utilizando lo que se conoce como "compartición de secretos" de manera que cada uno tiene un componente de la clave por el cual pueden calcular una entrada para la generación de la firma, que se suministra de vuelta al dispositivo fuente, donde la firma digital completa se calcula entonces a partir de K entradas donde K es algún número entre 2 y N. La ventaja de esto es que al menos K servidores tendrían que estar comprometidos antes de que un atacante pudiera calcular la clave privada.

El aparato de certificación puede incluir cualquier cosa que esté basada centralmente y a la que pueda accederse desde uno o más dispositivos de fuente. Preferiblemente, el aparato de certificación comprende un servidor de firmas. Preferiblemente, el aparato de certificación también comprende un servidor de autenticación. Preferiblemente, al aparato de certificación puede accederse desde muchos dispositivos de fuente.

El dispositivo fuente puede ser típicamente una estación de trabajo pero también puede ser una televisión interactiva o cajeros automáticos (Automated Teller Machine, ATM) para suministrar dinero en efectivo u otra información desde un aparato de certificación central. El dispositivo fuente tendrá todo el software que se requiere para comunicar de manera efectiva con el aparato de certificación, pero esto podría suministrarse o descargarse al dispositivo fuente solamente para la duración de interacción requerida. El dispositivo fuente permite la comunicación con el aparato de certificación.

Preferiblemente, el elemento o elementos únicos comprenden la clave privada de un par de clave pública/clave privada específica para el usuario. El elemento o elementos únicos pueden generar una firma digital específica para el usuario en datos suministrados por el usuario. Las claves PKI y las firmas digitales de este tipo proporcionan una seguridad alta por los motivos dados anteriormente porque son muy duras y desencriptan de manera fraudulenta.

El dispositivo receptor puede ser el mismo que el dispositivo fuente o alternativamente, puede ser un dispositivo de tercera parte. Este último permite que el mensaje entero, o sólo una parte derivada (preferiblemente, un valor de dispersión) de un mensaje a certificar se pase a la parte requerida sin devolver necesariamente el mensaje certificado al dispositivo fuente después de la certificación.

El dispositivo de tercera parte puede ser un dispositivo apropiado para recibir los datos certificados, distinto del dispositivo fuente, tal como una estación de trabajo separada, o una red de ordenadores. Por ejemplo, el dispositivo de tercera parte podría ser una pasarela para una red de área local (LAN). Alternativamente, el aparato de certificación y el dispositivo de tercera parte podrían estar dentro de una LAN única, o comprender una red de área amplia (WAN).

Preferiblemente, se incluye la etapa de incorporación de la versión certificada de los datos en datos adicionales a enviar a un dispositivo de tercera parte.

Preferiblemente, el aparato de certificación retiene información única para el usuario para realizar la certificación.

Preferiblemente, la información única es la clave privada de un par de clave pública/clave privada específica para el usuario. También, preferiblemente, la información única es una firma digital específica para el usuario. Preferiblemente, los datos a certificar son un valor de dispersión de un mensaje. Esto da la ventaja de que no todo el mensaje tiene que enviarse al servidor de firmas para firmarse, reduciendo así el tráfico de red entre el dispositivo fuente y el servidor de firmas.

Preferiblemente, el dispositivo fuente y el aparato de certificación establecen una conexión autentificada entre ellos antes y durante la transferencia de datos a certificar. Adicionalmente, la conexión puede encriptarse. Esto reduce la posibilidad de que la conexión será interceptada o interferida.

El dispositivo fuente puede suministrar uno o varias fichas (token) al aparato de certificación para la autenticación. Preferiblemente, uno de las fichas se suministra el usuario o dispositivo fuente mediante el aparato de certificación a través de un canal alternativo a la conexión autentificada. Esto también aumenta la seguridad de manera significativa mediante el requisito de que se intercepten dos canales para acceder completamente a los datos.

El canal alternativo podría ser un canal de red de telefonía móvil. Se prefiere particularmente utilizar mensajes de servicio de mensajes cortos (SMS) para transportar la ficha.

La ficha podría ser una contraseña fija en la solución más sencilla. En una solución preferida, la ficha es una contraseña de utilización única que se ha comunicado a través de un canal autentificado tal como un teléfono móvil, o se calcula de manera dinámica mediante un ficha físico que comparte una clave con el aparato de certificación. Las soluciones de este tipo están generalmente disponibles en el mercado, y se dan ejemplos a continuación.

Preferiblemente, la ficha es única para cada transacción, siendo una transacción el proceso de firmar datos, suministrados por el dispositivo fuente, mediante el dispositivo de certificación y suministrar los datos firmados a un dispositivo receptor. La ficha puede almacenarse en un dispositivo portátil.

Preferiblemente, más de un tipo de ficha puede autentificar el usuario o dispositivo fuente. Por ejemplo, puede utilizarse una contraseña fija además de una contraseña de utilización única generada por un ficha físico o enviarse a teléfono móvil del usuario. La independencia de estas fichas hace que sea muy difícil que un atacante comprometa ambos de manera simultánea. Por lo tanto, se dice que los esquemas de este tipo proporcionan la autenticación "fuerte" del usuario, y pueden emplearse para conseguir un nivel de seguridad más alto que el que se obtiene mediante el uso de sólo una ficha de autenticación único.

Una característica preferible adicional es que el método funciona con un nivel de seguridad que se alcanza mediante la autenticación del usuario sin tener en cuenta el dispositivo fuente, y otro nivel de seguridad más alto que se alcanza mediante la autenticación del usuario y el dispositivo fuente. Preferiblemente, el aparato de certificación certifica los datos con diferentes elementos únicos que dependen de tipo de ficha utilizado para autentificar el usuario o dispositivo fuente de seguridad así como los datos. La autenticación de nivel múltiple permite niveles de seguridad diferentes, y confianza, a colocar en conexiones que utilizan diferentes tipos de ficha, y niveles de firma diferentes a utilizar con dependencia de la ficha utilizada.

Cuando se utiliza más de un tipo de ficha, tal vez de manera simultánea, para autentificar el usuario, puede ser deseable garantizar que grupos de administradores independientes y separados manejen la administración de estas fichas. Con este fin, es posible configurar el aparato de certificación como un grupo de más de un servidor separado, y que cada servidor maneje uno o más fichas de autenticación independientes.

Un ejemplo de esto es en el caso donde la clave privada del usuario se distribuye utilizando un esquema de compartición de secretos entre varios servidores. Una alternativa es que la clave de usuario resida en un servidor único, conocido como el servidor de firmas, y que éste opere junto con uno más otros servidores asociados con la autenticación de usuario, conocidos como servidores de autenticación.

El usuario puede establecer conexiones separadas a cada servidor. También es posible para el usuario autentificarse utilizando fichas manejados por servidores separados son tener que establecer conexiones separadas a cada servidor. En ejemplo de este tipo se da en la descripción de una realización de la invención a continuación.

Preferiblemente, el aparato de certificación debe recibir los datos de validación para validar el usuario y/o los datos a certificar antes de que los datos puedan certificarse.

Preferiblemente, el aparato de certificación envía una petición a un dispositivo remoto para proporcionar datos de identificación al usuario. Además, el aparato de certificación puede recibir una versión de los datos de certificación (por ejemplo una contraseña de utilización única) del dispositivo remoto, y esta versión puede compararse con datos de usuario adicionales suministrados desde el usuario (por ejemplo, una versión derivada de la contraseña de utilización única). Entonces, si la comparación tiene éxito, los datos a certificar se certifican como originados desde el usuario.

Puede establecerse una conexión entre la estación de trabajo del usuario y el dispositivo remoto. Esta conexión puede verificarse o autentificarse independientemente de la conexión entre la estación de trabajo y el dispositivo de certificación/servidor de firmas.

También se describe un método para el uso en la certificación de datos que comprende recibir una petición de un dispositivo remoto para suministrar datos de identificación a un usuario, suministrar dichos datos de identificación a un usuario, y suministrar una versión derivada de los datos de identificación al dispositivo remoto. Este método proporciona un canal adicional para enviar datos de identificación tal como contraseñas de utilización única a un usuario. El método de transferencia de datos de identificación puede ser diferente del método que se utiliza para transferir la petición desde el dispositivo remoto, y el método de envío de la versión derivada de los datos de identificación.

También se describe un programa de ordenador para implementar los métodos descritos anteriormente y un código que porta un medio de soporte de lectura por ordenador para provocar, durante su ejecución, que un ordenador implemente los métodos.

También se describe adicionalmente un aparato de certificación de datos que comprende un dispositivo de firma adaptado para certificar los datos recibidos desde un dispositivo de fuente remoto como originados desde un usuario, en el que el aparato de certificación se dispone para recibir datos del dispositivo fuente, certificar que los datos pertenecen al usuario utilizando la información almacenada en el aparato de certificación, siendo dicha información única para el usuario, y enviar los datos certificados a un dispositivo receptor.

Preferiblemente, el dispositivo receptor es el dispositivo fuente. Alternativamente, el dispositivo receptor puede ser un dispositivo de tercera parte.

Preferiblemente, el dispositivo fuente y el aparato de certificación se disponen para establecer una conexión autentificada entre ellos antes y durante la transferencia de los datos a certificar. Una característica preferible adicional es que la conexión está encriptada.

El dispositivo fuente puede disponerse para suministrar una ficha al aparato de certificación para la autenticación. Preferiblemente, esta ficha se suministra al usuario o la fuente mediante el dispositivo de autenticación a través de un canal alternativo a la conexión autentificada. La ficha puede ser una contraseña fija. Alternativamente, la contraseña puede ser una contraseña de utilización única. Una vez más, la ficha puede ser única para la transacción.

Preferiblemente, en el aparato de la presente invención, el usuario y el dispositivo fuente pueden autentificarse por más de un tipo de ficha.

Como una característica preferible adicional, el aparato de certificación puede disponerse para funcionar con un nivel de seguridad que se alcanza mediante la autenticación del usuario sin tener en cuenta el dispositivo fuente, y otro nivel de seguridad más alto que se alcanza mediante la autenticación del usuario y el dispositivo fuente, si se utiliza un dispositivo fuente particular, por ejemplo una estación de trabajo de confianza. Adicionalmente, el aparato de certificación puede disponerse para certificar los datos con diferentes elementos únicos que dependen del tipo de ficha utilizado para autentificar el usuario o dispositivo fuente de seguridad así como los datos.

El aparato de certificación también puede comprender medios de instrucción para enviar una petición a un dispositivo remoto para obligar al dispositivo remoto a enviar datos de identificación (por ejemplo una contraseña de utilización única) al usuario. El aparato de certificación también puede comprender medios de recepción para recibir los datos derivados de los datos de identificación del dispositivo remoto.

Los datos derivados del dispositivo remoto pueden compararse con medios de comparación con datos adicionales recibidos por los medios de recepción, y medios de certificación que certifican los datos a certificar si los datos comparados en los medios de comparación se corresponden.

También se describe un aparato para el uso en la certificación de datos que comprende medios de recepción para recibir una petición de un dispositivo remoto para suministrar datos de información a un usuario, medios de suministro para suministrar dichos datos de identificación a un usuario y medios de suministro adicionales para suministrar una versión derivada de los datos de identificación al dispositivo remoto.

Preferiblemente, también se proporcionan medios de generación de contraseña que generan una contraseña, por ejemplo una contraseña de utilización única, aunque también pueden generarse otros datos de identificación. Preferiblemente, los medios de recepción y los medios de suministro adicionales se disponen para funcionar a través de un método de comunicación diferente de los medios de suministro.

Las realizaciones y los aspectos de la invención descritos anteriormente no sólo han de interpretarse de manera individual ni únicamente en combinación, pero pueden combinarse de cualquier manera para proporcionar realizaciones de la invención. Adicionalmente, pueden combinarse características individuales de una realización con otras características de otra realización de manera que varias combinaciones de características individuales de realizaciones y aspectos diferentes también proporcionen realizaciones adicionales de la invención.

Se describirán ahora las realizaciones específicas de la presente invención meramente a modo de ejemplo, con referencia a los dibujos, en los que:

La figura 1 muestra la arquitectura de las conexiones entre varios componentes según una primera realización de la presente invención;

La figura 2 muestra las etapas implicadas en la concesión a un usuario del acceso exclusivo a su clave de firma según una primera realización de la presente invención;

La figura 3 muestra un diagrama de flujo de un método según una primera realización de la invención;

La figura 4 muestra un diagrama de flujo de un método según una realización adicional de la invención; y

La figura 5 muestra un diagrama de flujo según una realización adicional de la invención.

La figura 1 muestra esquemáticamente un sistema según una realización de la presente invención. Muestra un usuario 102 que acciona un dispositivo fuente, que en la presente realización es una estación 101 de trabajo, que está conectada a un dispositivo de certificación, que en la presente realización es el servidor 110 de firmas, a través de una línea 140 de comunicación. La línea 140 de comunicación no es segura de manera inherente. La estación 101 de trabajo puede ser cualquier terminal en la que puede establecerse la comunicación con el servidor 110 de firmas. Por ejemplo, la estación 101 de trabajo puede ser un aparato de televisión interactivo. El requisito es que la estación 101 de trabajo puede comunicarse con el servidor 110 de firmas. No se requiere ningún software especial en el lado de la estación 101 de trabajo del enlace. El servidor 110 de firmas almacena de manera segura las claves privadas de cada usuario y puede adicionalmente registrar alguna o toda la información relevante referida a los usuarios y sus actividades. El servidor 110 de firmas maneja peticiones de usuarios a través de la estación 101 de trabajo y puede emitir peticiones a un servidor de CA. Lo ideal es que el servidor 110 de firmas se certifique por un estándar internacional, tal como el FIPS 140-1 nivel 3 ó 4 (véase FIPS Pub 140-1, 1994. Nacional Institute of Standards & Technology, EEUU), que es un estándar aceptado generalmente para indicar la calidad de las características de resistencia a intrusos de la protección de hardware del servidor.

El servidor 110 recibe datos, que han de verificarse como originados del usuario, desde la estación 101 de trabajo. La verificación se consigue utilizando la clave privada del usuario, que se almacena en el servidor 110 de firmas, para desencriptar los datos recibidos de la estación 101 de trabajo y devolver esos datos a un receptor, que puede ser el usuario o una tercera parte. Los procesos según las realizaciones de la presente invención se describirán en más detalle con referencia a las figuras 3, 4 y 5 a continuación.

Se describirán ahora los detalles del hardware utilizado en esta realización de la invención. En una realización de la presente invención, además del servidor 110 de firmas, el aparato de certificación también tiene un servidor 120 de autenticación separado, que está mejorado por hardware resistente a intrusos igual que el servidor 110 de firmas. Alternativamente, el servidor 120 de autenticación puede ser remoto al servidor 110 de firmas. El servidor 110 de firmas está conectado al servidor 120 de autenticación a través de un enlace 150 criptográfico fuerte (es decir, encriptado y autentificado), por ejemplo mediante una clave maestra compartida, o basándose en la encriptación-desencriptación de clave pública, utilizando soluciones estándar, también conocidas a veces como VPN (red privada virtual). Esto se utiliza para establecer una clave de sesión y asegurar un canal encriptado entre los servidores utilizando técnicas criptográficas tal como se conoce bien en la técnica. La clave utilizada podría depender de la contraseña del usuario utilizada para el acceso. El túnel 150 seguro desde el servidor 120 de autenticación hasta el servidor 110 de firmas continúa en la parte de hardware del servidor 110 de firmas, en el sentido en que las claves utilizadas para este túnel están controladas mediante hardware resistente a intrusos y nunca aparecen claros fuera del aparato de certificación. Entonces, la integridad del sistema no tiene que depender tanto del área segura en la que se coloca el servidor. Lo mismo puede aplicarse para toda la comunicación hacia y desde el servidor 110 de firmas y el servidor 120 de autenticación.

El servidor 120 de autenticación distribuye contraseñas de utilización única y/o interrogaciones a clientes a través de un canal 151 alternativo. En la presente realización, el canal 151 alternativo emplea mensajes de SMS (servicio de mensajes cortos) enviados a través de una red celular para teléfonos móviles para comunicar las contraseñas de utilización única. Alternativamente, el usuario podría poseer una denominada ficha 190 segura manual, un dispositivo pequeño que comparte una clave individual con el servidor 120 de autenticación. Una vez que se ha recibido la interrogación a través de la estación 101 de trabajo, ésta se teclea por el usuario en la ficha 190, y la respuesta que es básicamente una encriptación de la interrogación con la clave retenida en el ficha 190, se teclea en la estación 101 de trabajo como la contraseña de utilización única. El servidor 110 de firmas puede verificar que la respuesta es en efecto una encriptación de la interrogación ya que recibe una versión derivada de la contraseña de utilización única del servidor 120 de autenticación. Sin embargo, están disponibles muchas alternativas tal como el protocolo de aplicaciones inalámbricas (WAP) por una red celular (que es una versión especializada de Internet y que puede accederse mediante teléfonos móviles habilitados para WAP, o correo en papel ordinario. Alternativamente, las contraseñas pueden distribuirse a través de Internet, a través de un applet, que se comunica tan directamente como sea posible con una impresora acoplada a la estación 101 de trabajo (ya que esto limita el riesgo de copias de contraseña que permanecen en las memorias intermedias de sus impresoras/colas de impresión, o en la estación 101 de trabajo mediante troyanos que "husmean" las contraseñas). A continuación, se describen ejemplos de tipos de contraseña que pueden utilizarse en la presente invención. En cualquier caso, la naturaleza exacta de este proceso de autenticación no se limita a lo descrito, y son posibles muchas variaciones dentro del contexto de la invención.

En el registro, se reenvía una contraseña fija de manera segura al usuario 102- que puede cambiar en cualquier momento- de manera que cada usuario 102 puede autentificarse en una conexión entre una estación 101 de trabajo y un servidor 110 de firmas como parte del proceso de autenticación del usuario. En la presente realización, se distribuye además una contraseña de utilización única online a través de un mensaje SMS desde el servidor 120 de autenticación al teléfono móvil (no representado) del usuario. Una contraseña de utilización única online de este tipo puede tener un periodo de validez extremadamente corto que, junto con la autenticación sugerida por el hecho de que el servidor sabe cómo localizar el cliente, proporciona una seguridad alta a la contraseña. El número de teléfono móvil del usuario determina únicamente el usuario de manera que el teléfono móvil debe robarse, prestarse o clonarse para que falle la identificación, a no ser que el mensaje SMS sea interceptado por alguien que puede hacer uso a la vez de esta información, lo que es relativamente difícil ya que el canal de autenticación es independiente del canal de comunicación.

Esta realización permite al usuario 102 hacer uso de su firma digital, mientras garantiza que la propia firma digital nunca salga del aparato de certificación central seguro, ya sea encriptada o no.

Se describirá ahora la distribución de fichas de contraseña según una realización de la presente invención utilizando los elementos mostrados en la figura 1. En primer lugar, el usuario 102 contacta el servidor 110 de firmas desde la estación 101 de trabajo a través del canal 152. Entonces, el servidor 110 de firmas, a través del enlace 150 seguro establecido entre el servidor 110 de firmas y el servidor 120 de autenticación, ordena al servidor 120 de autenticación que envíe una contraseña de utilización única al usuario 102. El servidor 120 de autenticación hace esto utilizando mensajería SMS, tal como se describe anteriormente, en el canal 151. El servidor 120 de autenticación también proporciona una versión derivada de la contraseña de utilización única al servidor 110 de firmas a través del canal 150. En esta realización, la versión derivada es un valor de dispersión de la contraseña de utilización única. El valor de dispersión se deriva utilizando un algoritmo unidireccional estándar, tal como SHA-1 (véase Secure Hash Standard; FIPS Pub 180-1, 1995, Nacional Institute of Standards & Technology, EEUU). Un valor de dispersión es típicamente mucho más pequeño que el mensaje desde el que se deriva de esta manera y, una vez que se calcula la dispersión, no puede encontrarse el mensaje original de él. También es muy improbable que los dos mensajes tuvieran el mismo valor de dispersión. Entonces, esta dispersión de la contraseña de utilización única se compara con la dispersión suministrada por la estación 101 de trabajo. Dado que tanto el servidor 120 de autenticación como la estación 101 de trabajo utilizan el mismo algoritmo de hash estándar, si se corresponden los dos valores de dispersión entonces el usuario se acepta como autentificado por el servidor 110 de firmas. Alternativamente, otro tipo de versión derivado de la contraseña puede enviarse al servidor 110 de firmas. El requisito es sólo que el proceso utilizado para derivar la versión de la contraseña o la respuesta de la ficha sea el mismo en el servidor 120 de autenticación y la estación 101 de trabajo de manera que una contraseña dará la misma versión derivada que el servidor 120 de autenticación y la estación 101 de trabajo pero dos contraseñas diferentes no darán el mismo resultado.

La comparación de valores de dispersión permite verificar el usuario mientras que el servidor 110 de formas nunca recibe la contraseña de utilización única propiamente dicha.

Se describirá ahora una variación de la distribución de fichas de contraseña descrita anteriormente. El usuario establece conexiones independientes a tanto el servidor 110 de firmas como el servidor 120 de autenticación, en vez de sólo al servidor 110 de firmas. En este caso, los datos a certificar se envían al servidor 120 de autenticación a través de una interfaz y un valor de dispersión de los datos al servidor 110 de firmas a través de otra interfaz. Alternativamente, el valor de dispersión podría reemplazarse por, o añadirse a otros datos relacionados. Típicamente, los datos a certificar se generan en el dispositivo fuente en base a aplicaciones de tercera parte (por ejemplo un banco) a través por ejemplo de un applet o applets, que entonces reenvía los datos y una dispersión sobre los datos al servidor 120 de autenticación y el servidor 110 de firmas respectivamente. Cada conexión puede autentificarse mediante el uso de una ficha separada, por ejemplo, una contraseña fija para la conexión del servidor de firmas y una contraseña de utilización única para la conexión del servidor de autenticación. El servidor 120 de autenticación reenvía los datos a certificar al servidor 110 de firmas, que puede computar una dispersión de los datos y compara esto con la dispersión recibida directamente del usuario 102. Este esquema también proporciona una garantía fuerte en el servidor 110 de firmas de que el servidor 120 de autenticación ha autentificado al usuario 102, pero tiene la ventaja de que ninguna información relacionada con la autenticación de usuario del servidor de autenticación se recibe por o se hace disponible al servidor 110 de firmas.

El servidor 110 de firmas está apoyado por un módulo de seguridad de hardware (HSM) resistente a los intrusos que tiene una capacidad criptográfica protegida tal como el IBM 4758, donde se generan claves y firmas, y si las claves no están en uso, entonces se almacenan externamente, encriptadas bajo una clave maestra. Tal como se muestra en la figura 2, en una realización de la invención, los datos proporcionados por la estación 101 de trabajo al aparato de certificación se transfieren al HSM 111 a través de un canal 141 establecido utilizando la contraseña del usuario 102 y técnicas de encriptación estándares. Una segunda capa 140 de encriptación se extiende desde la estación de trabajo hasta el aparato de certificación, pero no se extiende al interior del módulo HSM 111. Esto es un enlace firmemente encriptado con la autenticación del servidor, y este canal lleva información adicional referida a detalles del usuario 102 y que especifica el método de autenticación que ha de usarse para el canal 151 alternativo. El punto principal es que ninguna clave sensible aparece clara fuera de la caja segura. Las soluciones de este tipo se utilizan ampliamente por ejemplo, en el entorno de los bancos, por ejemplo, en conexión con la protección de códigos PIN. La base 112 de datos registra toda la información referida a administradores. El HSM 111 maneja el almacenamiento de claves y la funcionalidad criptográfica. El servidor 110 de firmas está protegido tanto por un cortafuegos 180 como por una seguridad 182 física para evitar, reducir o impedir el acceso no autorizado.

En una realización de la invención, el servidor 110 de firmas está apoyado por clientes 160, 161, 162 operados por personal de confianza por ejemplo bajo control doble, conectados mediante un enlace autentificado y encriptado al servidor 110 de firmas. Durante una sesión entre el servidor 110 de firmas y el cliente, en primer lugar, el administrador iniciará la sesión, y en esta etapa, se acuerdan claves de sesión para autentificar y encriptar toda la comunicación entre el cliente 160, 161, 161 y el servidor 110 de firmas utilizando la clave maestra, utilizando una vez más procedimientos estándares para establecer una VPN entre el cliente 160, 161 y 162 y el servidor. Las claves de transporte necesarias (claves maestras para el intercambio de claves de sesión) se almacenan en tarjetas inteligentes y se hacen funcionar mediante administradores y se utilizan para administrar (es decir crear/permitir/invalidar) las cuentas del oficial de seguridad y del empleado administrativo para que el servidor 110 de firmas mire los datos en la base de datos del servidor 110 de firmas y registre los clientes (aquellos que tienen una firma en el servidor) en el servidor 110 de firmas.

En transacciones altamente seguras, una realización ofrece una mejora adicional, para frustrar ataques lanzados a través de la interfaz gráfica de usuario para conseguir lo que se conoce como WYSIWYS (What You See Is What You Sign, Lo que ve es lo que firma): una posibilidad sencilla es dejar que el aparato de certificación confirme partes esenciales de los datos suministrados por el usuario para la certificación a través del segundo canal utilizado con el fin de autenticación antes de que se realice la certificación. En este caso, el mensaje entero ha certificar tiene que reenviarse al aparato de certificación para la inspección.

Los responsables de seguridad y los empleados administrativos son dos niveles de administración del servidor 110 de firmas: el responsable de seguridad es responsable de todos los aspectos relacionados con seguridad de hacer funcionar el servidor 110 de seguridad, incluyendo la adición de nuevos administradores, la exportación del registro de auditoria y la suspensión o desactivación de cuentas del administrador. El empleado administrativo es responsable de actividades relacionados con el usuario tales como registrar nuevos clientes con el sistema, suspender/desactivar clientes, extraer informes sobre las actividades del cliente y similares. Los dos niveles dan una seguridad aumentada al sistema restringiendo el acceso a algunos sistemas más que a otros.

Aunque se hayan dado dos niveles de administradores del servidor 110 de firmas, es posible dividir actividades autorizadas entre cualquier número de estructuras diferentes según se requiera. Por ejemplo, es posible permitir que el cliente realice tareas administrativas sencillas tales como emitir contraseñas nuevas, solicitar informes sobre su actividad o suspender su propia cuenta si se sospecha de uso fraudulento. Sin embargo, en la presente realización, las cuentas sólo pueden reactivarse por un empleado administrativo y darán como resultado que una nueva contraseña se envíe desde el servidor 120 de autenticación al cliente a través del teléfono móvil del usuario.

El servidor 120 de autenticación también se mejora por un módulo 121 de seguridad de hardware y tiene una base 122 de datos de la misma manera que el servidor 110 de firmas y está protegido por un cortafuegos 181 y una seguridad 183 física. El servidor 120 de autenticación también está conectado con los clientes 170, 171, 172 utilizando canales encriptados autentificados tal como se describe anteriormente en relación con los enlaces de cliente del servidor 110 de firmas. Por seguridad, estos clientes 170, 171, 172 están separados de los clientes 160, 161, 162 que administran el servidor 110 de firmas.

El servidor 110 de firmas y el servidor 120 de autenticación preferiblemente se alojan separados geográficamente y cada uno se hace funcionar mediante un cuerpo independiente con clientes 160, 161, 162 y 170, 171 y 172 separados que administran cada uno. Esto reduce la posibilidad de que haya un acceso no autorizado a ambos servidores lo que sería necesario si la clave privada del usuario se utilizase indebidamente.

Alternativamente, el servidor 120 de autenticación y el servidor 110 de firmas pueden alojarse en el mismo aparato de certificación. En tal caso, los clientes 160, 161, 162 y 170, 171, 172 de administración para cada servidor (por ejemplo, la interfaz a través del cual se hace funcionar el servidor) preferiblemente deberían permanecer separados, de manera que se proporcione seguridad aumentada, garantizando que no puede obtenerse acceso a ambos servidores a través del mismo cliente, aunque podrían ser el mismo. La ventaja de este enfoque de servidor único es que este enfoque es más sencillo ya que se hace funcionar un solo servidor en vez de dos, pero la desventaja es que se requiere más cuidado para garantizar que el personal de confianza no pueda frustrar el sistema de cualquier manera.

Además de la contraseña de utilización única online dada hasta el momento en la presente realización, pueden emplearse numerosos otros tipos de contraseña y métodos de entrega además de las contraseñas de utilización única online de distribución de mensajes SMS. La autenticación puede conseguirse mediante fichas 190, por ejemplo, contraseñas, contraseñas de utilización única, secretos almacenados etc. Los diferentes tipos de ficha tienen propiedades diferentes en lo que se refiere a su movilidad y seguridad. Para todo tipo de contraseñas, se genera una clave para autentificar la petición en el servidor 110 de firmas. El servidor 110 de firmas generará la clave de manera similar y verificará la petición.

Las contraseñas fijas son contraseñas que no cambian y pueden usarse muchas veces en diferentes ocasiones para autentificar un usuario. Las contraseñas fijas de este tipo son móviles pero menos seguras que las contraseñas de utilización única porque pueden escucharse en secreto fácilmente, bien observando físicamente al cliente cuando se introduce la contraseña o engañando al cliente para que entre la contraseña en cuadro de diálogo de contraseña falso. No es posible determinar si una contraseña fija está comprometida o no, pero en caso de sospecha de compromiso (por ejemplo, basado en pistas de auditoria), la contraseña puede desactivarse.

Las contraseñas fijas pueden clasificarse por lo susceptibles que son de ser comprometidas, de manera que una puede tener una contraseña para entornos controlados o seguros y otra para entornos menos controlados o seguros.

Alternativamente, pueden emplearse contraseñas de utilización única almacenadas, que son móviles y más seguras que las contraseñas fijas pero pueden comprometerse por robo físico o por copia. El robo se detecta fácilmente aunque las contraseñas están almacenadas por impresión o en un dispositivo móvil. Sin embargo, la copia no es detectable.

Las contraseñas se utilización única almacenadas tienen un periodo de validez largo y deben transmitirse de manera segura desde el servidor 120 de autenticación hasta el usuario. La copia de contraseñas de utilización única debe impedirse y puede ser muy difícil hacer esto si las contraseñas se transmiten online por Internet porque pueden residir en varios archivos de caché, memorias intermedias de la impresora etc., durante un tiempo largo después de que el usuario piense que se han borrado. La comunicación asegurada criptográficamente reduce el problema de obtener las contraseñas durante la transmisión al usuario pero no garantiza nada sobre copias de texto simple almacenadas en la estación de trabajo.

Las contraseñas de utilización única online de la presente realización son más seguras que las contraseñas de utilización única almacenadas debido al corto periodo de validez que hace que el robo y uso posterior sean prácticamente imposibles. Sin embargo, la interceptación del canal alternativo todavía es posible aunque es muy improbable que el mismo atacante pueda atacar ambos canales al mismo tiempo, lo que es una fuerza del enfoque.

Una alternativa adicional es una huella digital terminal, que puede usarse para identificar una estación 101 de trabajo del usuario particular. Es un valor que identifica de manera única la estación 101 de trabajo. Una huella digital de este tipo puede computarse basándose en secretos almacenados en la estación 101 de trabajo, la configuración de hardware de la estación 101 de trabajo y todos los números de serie de los dispositivos de hardware en la estación 101 de trabajo. Sin embargo, como puede falsificarse una huella digital mediante la copia de toda esta información, las huellas digitales sólo son relevantes para los terminales en entornos controlados, es decir, aquéllos que tienen protección física y de software. Las huellas digitales terminales no son fichas adecuadas en una situación en la que el cliente utilice muchos terminales diferentes sino para la situación en la que se requiera la identificación digna de confianza para un único terminal. El robo de una huella digital requiere una entrada para el robo o un ataque de un hacker pero no puede considerarse detectable.

Mejoraría la seguridad si una estación 101 de trabajo fiable segura estuviera disponible para el usuario con una conexión de túnel segura al servidor 110 de firmas así como el servidor 120 de autenticación, porque esto permitiría al usuario, por ejemplo, cambiar su contraseña memorizada de una manera segura en cualquier momento desde esta estación de trabajo particular.

En una alternativa adicional, un nivel de seguridad alto ocurre cuando se encadenan las sesiones con el servidor 110 de firmas. Esto significa que el servidor devuelve una ficha 190, que se almacena en la estación 101 de trabajo y se devuelve al servidor con la incitación de la siguiente sesión. La ficha 190 devuelta puede o no distribuirse y guardarse de manera segura pero siempre permitirá que el cliente detecte el abuso de su firma, ya que en la siguiente sesión fallará la autenticación porque la ficha se habrá devuelto al usuario fraudulento en vez de al usuario legítimo. Esta solución requiere una sincronización cuidadosa entre el cliente y el servidor para garantizar que las fichas no se pierdan en caso de que fallen las conexiones. Hay muchos métodos bien conocidos y comprendidos para tratar esto.

Una ficha 190 adicional y más segura es un suplemento criptográfico para un ordenador que permita la identificación completa de una estación 101 de trabajo mediante el uso de un protocolo de interrogación-respuesta. Aunque los suplementos de este tipo pueden ser físicamente pequeños y flexibles, no son adecuados para su uso con estaciones 101 de trabajo múltiples ya que se requiere su identificación completa de una única estación 101 de trabajo. Un ejemplo de esto sería una unidad pequeña ("mochila") conectada al puerto de serie de la estación 101 de trabajo, tal como los dispositivos disponibles en el mercado para la protección de software y/o de información.

Los dispositivos manuales tales como los generadores de contraseña y sistemas de entrada de tarjetas inteligentes permiten una identificación muy digna de confianza del dispositivo en cuestión, aunque el dispositivo pueda robarse como cualquier otro dispositivo. Comparado con las contraseñas de utilización única terminales a través de SMS a otro teléfono, la ventaja de un dispositivo criptográfico manual es que el mensaje SMS puede escucharse de manera secreta o interceptarse mientras que el dispositivo criptográfico no puede de manera significativa.

Los medios de identificación más seguros pueden ser el uso de un atributo físico del usuario como un escaneo de retina o de la huella digital. Sin embargo, en la actualidad, los escáner de este tipo no están disponibles de manera amplia en cualquier estación 101 de trabajo a través de la que se desee realizar una sesión.

A medida que la comunicación con unidades móviles se hace más avanzada, será posible adaptar más y más canales de autenticación avanzados, y éstas podrían utilizarse igualmente, siempre que cumplan los requisitos de autorización y/o autenticación del usuario.

Obviamente, varios esquemas descritos anteriormente tendrán varios niveles de seguridad. El nivel más bajo (nivel 1) es donde el usuario simplemente memoriza una contraseña que comparte con el servidor de firmas, que incluye cada vez que debe generarse una firma.

Más avanzada es la solución (nivel 2) donde además incluye una contraseña de utilización única que ha recibido anteriormente a través de un canal autorizado independiente desde el servidor de autenticación, por ejemplo, un mensaje SMS, una lista basada en papel a través de correo ordinario o comunicada a una estación de trabajo segura a través de un túnel encriptado y entonces impreso. En cada transacción nueva, se utiliza una contraseña nueva además de una contraseña única memorizada por el usuario.

Más avanzada y flexible todavía (nivel 3) es la situación donde el usuario posee una ficha manual, tal como un VASCO Digipass, o el RSA SecureID Key Fob, que comparte por ejemplo, una clave convencional con el servidor de firmas. Cuando el usuario inicia la sesión, o bien recibe una denominada interrogación del dispositivo de certificación que teclea en la ficha. Entonces, la ficha procesa la interrogación y devuelve una denominada respuesta en su pantalla, que el usuario teclea en la estación de trabajo como una contraseña de utilización única, y se verifica como correcta mediante el dispositivo de certificación. Otras fichas, generalmente también disponibles en el mercado, calculan automáticamente una nueva respuesta a intervalos regulares utilizando una clave compartida con el dispositivo de certificación, que puede variarse sin el uso de una interrogación, ya que la interrogación es implícita al sistema.

Para el nivel 3, cualquier esquema de identificación personal suficientemente segura basado en fichas disponibles en el mercado puede, en principio, incorporarse en la invención para crear la autenticación necesaria del usuario. Esta ficha también puede ser un dispositivo móvil, que puede comunicarse de manera segura con el dispositivo de certificación, por ejemplo, utilizando seguridad de WAP para la recepción de contraseñas de utilización única desde el servidor de autenticación, o cualquier seguridad de comunicación que esté disponible para ese dispositivo, tal como la comunicación llevada por Bluetooth o infrarrojos a algún terminal conectado al servidor de autenticación a través de una red física Una vez más, la red física no tiene que ser segura ya que la comunicación está asegurada mediante un túnel seguro entre el servidor de autenticación y el dispositivo móvil.

Un nivel de seguridad adicional, por ejemplo, una estación 101 de trabajo de confianza permanente fija, puede alcanzarse si se utiliza un dispositivo criptográfico de hardware para proporcionar la identificación completa de la estación 101 de trabajo. Para este nivel, la estación 101 de trabajo podría estar confinada a una dirección IP o a un número de teléfono.

Por supuesto, pueden introducirse muchos niveles de acceso y seguridad tal como se requiere con propiedades y requisitos diferentes. Las ventajas de las realizaciones anteriores son que el servidor 110 de firmas se utiliza de manera que la clave privada de un usuario nunca se transmite fuera del servidor 110 de firmas seguro, ya sea encriptada o no. Esto significa que está disponible una seguridad aumentada de manera sustancial que protege las claves privadas de los usuarios.

Como es posible funcionar con diferentes niveles de confianza, dependiendo de la ficha 190 de autenticación o fichas suministradas al servidor 110 de firmas, las sesiones mal identificadas (es decir, aquéllas identificadas según el nivel 2) pueden utilizarse sólo para firmas para transacciones con pequeñas pérdidas potenciales como resultado de fraude (es decir, pequeñas transacciones bancarias) mientras que una sesión más segura (es decir, aquéllas autentificadas según el nivel 3 ó 4) tal como el PC doméstico del usuario, pueden utilizarse para transacciones con pérdidas potenciales más grandes como resultado de fraude, las realizaciones de la presente invención permiten la combinación de uso de un sistema terminal fijo seguro junto con la movilidad dada al poder utilizar cualquier estación 101 de trabajo. Por lo tanto, se dan las ventajas de cada uno.

Cuando un cliente desea registrarse en el servidor 110 de firmas, éste se pone en contacto con un empleado administrativo que se ocupa del registro. Si el cliente desea registrarse con un certificado existen dos opciones en función de si las autoridades de certificación (CA) y el servidor 110 de firmas se accionan por la misma organización o no.

1.

Si los dos servidores se accionan por la misma organización, el cliente puede registrarse en la CA y en el servidor 110 de firmas simultáneamente y puede generarse inmediatamente un par de clave y un certificado.

2.

Si los servidores se accionan por organizaciones diferentes, el cliente necesita en primer lugar registrarse en la CA y quizá recibir una clave ID de emisor y una IAK (clave de autenticación inicial), entonces el cliente puede registrarse solamente en el servidor 110 de firmas. Si el cliente está dispuesto a revelar la ID de emisor y la IAK al empleado administrativo, el par de clave puede generarse inmediatamente como en el caso 1, de otra forma la generación de clave puede iniciarse a través de Internet.

El procedimiento de registro puede conseguirse utilizando métodos muy conocidos y sobreentendidos tales como el estándar internacional PKIX y sería normalmente la responsabilidad de la CA elegida. Los certificados únicamente serían necesarios si el aparato de certificación estuviera recibiendo datos a certificar desde muchos dispositivos fuente. Si el dispositivo fuente se conoce, entonces, no se necesitaría ninguna CA externa.

La figura 3 muestra un diagrama de flujo de las etapas implicadas cuando un mensaje se firma con la clave privada del usuario retenida en el servidor 110 de firmas.

En la etapa S300 el mensaje se introduce en una estación 101 de trabajo. El mensaje puede introducirse manualmente en la estación 101 de trabajo. Alternativamente el mensaje puede escribirse en una etapa anterior y almacenarse en cualquier otro lugar antes de cargarse en la estación 101 de trabajo. Cuando el mensaje está listo para enviarse en esta realización la estación 101 de trabajo se conecta a Internet. Sin embargo la conexión directa (punto a punto) entre la estación de trabajo y el servidor 110 de firmas puede usarse alternativamente. Internet se usa para entrar en contacto con el servidor 110 de firmas a través de un canal no seguro. En esta etapa el servidor 110 de firmas y la estación 101 de trabajo no saben a quién están conectados respectivamente. Para determinar esto se necesita la verificación de las comunicaciones en S302. La verificación del servidor 110 de firmas puede conseguirse utilizando un par de clave pública / clave privada. La clave pública del servidor 110 de firmas se publica y se facilita a la estación 101 de trabajo, por ejemplo desde una CA. Entonces están disponibles varios métodos para establecer la identidad del servidor de modo que todos implican el uso de la clave privada del servidor para encriptar o desencriptar un mensaje. Dado que la clave privada del servidor 110 de firmas solamente se conoce por el servidor 110 de firmas, la estación 101 de trabajo es capaz de identificar mensajes como procedentes del servidor 110 de firmas. Además, mediante el uso del par de clave privada / clave pública del servidor 110 de firmas puede establecerse un túnel seguro desde la estación 101 de trabajo al servidor 110 de firmas mediante la estación 101 de trabajo que se encripta con la clave pública del servidor y solamente el servidor es capaz de desencriptarla con su clave privada. En la invención pueden emplearse una amplia variedad de procesos de autenticación y encriptación que son muy conocidos en la técnica. En la presente invención el usuario se identifica utilizando una contraseña fija que reconoce el servidor de firmas durante el proceso de autenticación.

Sin embargo en esta etapa, el servidor 110 de firmas no ha autentificado la estación 101 de trabajo cuando está utilizándose por un usuario particular del sistema de certificación. El servidor 110 de firmas necesita recibir algún secreto de la estación 101 de trabajo que solamente conoce el usuario para llevar a cabo la autenticación. Esto se realiza por el servidor 110 de firmas que solicita que el servidor 120 de autenticación envíe una contraseña de utilización única online al usuario a través de un canal separado al enlace entre el servidor 110 de firmas y la estación 101 de trabajo en S304. En esta realización esto se realiza por un mensaje SMS. Posteriormente el usuario la introduce en la estación 101 de trabajo en S308, una vez que la ha recibido. Puesto que la conexión desde la estación 101 de trabajo al servidor 110 de firmas es segura en la dirección desde la estación 101 de trabajo al servidor 110 de firmas, la escucha secreta no identificará la contraseña introducida y enviada al servidor 110 de firmas. Adicionalmente, tal como se expuso anteriormente, la estación 101 de trabajo deriva un valor de dispersión desde la contraseña en vez de enviar la contraseña a través de la conexión en S310. El servidor 120 de autenticación envía su propia versión del resultado derivado al servidor 110 de firmas en S312, y el servidor 110 de firmas compara ambos valores. Si son los mismos entonces es muy poco probable que se verifique una contraseña incorrecta y la contraseña en S314.

Una vez que se ha verificado la contraseña se establece un canal seguro bi-direccional en S316. Esto puede fijarse utilizando el secreto (es decir, la contraseña) que se envía al servidor 110 de firmas con la clave pública del servidor 110 de firmas para generar una clave de sesión. Este canal seguro está basado en los principios habituales de una VPN.

Alternativamente una de las otras formas de contraseña o ficha 190 expuestas anteriormente puede usarse para autentificar el usuario en función de si el usuario está en una estación 101 de trabajo segura o una estación 101 de trabajo no segura.

Tal como se mencionó la invención no está limitada a ningún algoritmo o método específico para establecer el canal de seguridad. El requisito es simplemente que se establezca un canal seguro. En el caso de la realización actual, el canal seguro es bi-direccional. Sin embargo no es necesario que sea el caso en general.

Una vez que se ha establecido el canal seguro bi-direccional, la estación 101 de trabajo calcula un valor de dispersión del mensaje que el usuario desea certificar en S318. Este valor de dispersión se envía entonces a través del canal seguro al servidor 110 de firmas. Una vez que el servidor 110 de firmas recibe el valor de dispersión, recupera la clave privada del usuario del HSM y codifica el valor de dispersión con la clave privada del usuario en S320 (naturalmente la clave privada de usuario puede recuperarse en cualquier momento después de que se haya establecido la identidad del usuario).

El valor de dispersión firmado se devuelve entonces a la estación 101 de trabajo. Ahora se ha encriptado este valor de dispersión utilizando la clave privada del usuario y de esta manera se certifica como originado desde ese usuario. Esto se ha conseguido sin la clave privada siempre dejando un entorno protegido físico y de software del servidor 110 de firmas. Por tanto, esta realización de la invención supera las desventajas de seguridad garantizando que la clave privada nunca esté disponible fuera del servidor 110 de firmas. Este aumento de la seguridad de la clave privada da como resultado un aumento del valor del certificado ya que el mensaje tiene más probabilidad de ser auténtico.

El valor de dispersión firmado se intercala entonces en el mensaje completamente original en S322 y puede enviarse luego a través de un canal no seguro, tal como Internet, a un receptor S324. El mensaje se certifica como procedente del dueño de la firma digital.

Adicionalmente, ya que en una realización de la invención se emplean tanto el servidor 110 de firmas como el servidor 120 de autenticación y están separados geográficamente de manera preferida, y dado que los tres, la estación 101 de trabajo, el servidor 110 de firmas y el servidor 120 de autenticación deben estar implicados en la certificación de los datos desde la estación 101 de trabajo, tanto el servidor de firmas como el servidor de autenticación deben comprometerse para falsificar una certificación. La probabilidad de esto se reduce mediante la separación de los servidores y por la administración independiente de cada servidor.

Puede utilizarse un canal no seguro para distribuir el mensaje firmado, dado que el valor de dispersión firmado actúa tanto como un identificador como un autenticador del contenido del mensaje. En S326 en la figura 3, el receptor comprueba con la autoridad de certificación utilizada para emitir el par de clave pública /clave privada del usuario y recibe la clave pública del usuario. Esto se usa para desencriptar el valor de dispersión del mensaje y certificar así que el originador del mensaje es el usuario. Adicionalmente, el recipiente puede calcular el valor de dispersión del propio mensaje y comprobar que este valor de dispersión se corresponde con el valor de dispersión encriptado. Si este no es el caso, entonces el mensaje se ha alterado y puede descartarse.

Si el mensaje se envía a través de un canal no seguro, aunque no será posible alterar el mensaje sin detectarlo, todavía puede ser posible interceptarlo y leer el mensaje antes de que lo reciba el receptor. Para evitar esto, puede establecerse un canal seguro entre el usuario y el receptor utilizando un método tal como se ha descrito anteriormente, o cualquier otro método adecuado. El canal seguro solamente necesita ser desde el usuario a los receptores. Los receptores no necesitan establecer un canal seguro para que la información pase de vuelta al usuario a menos que la información sensible o secreta tenga que devolverse al usuario desde el receptor.

Alternativamente para evitar el problema de que terceras partes intercepten y lean el mensaje entre el usuario y el receptor, puede emplearse un método mostrado en la figura 4.

Este método es similar al mostrado en la figura 3. En S400 el mensaje se introduce en la estación 101 de trabajo. Las etapas S402 a S416 son como se describen anteriormente con referencia a la figura 3 para establecer un canal seguro entre la estación 101 de trabajo y el servidor 110 de firmas. Sin embargo solamente necesita establecerse un canal seguro unidireccional dado que, en esta realización, las etapas que siguen al establecimiento de un canal seguro son diferentes a la realización mostrada en la figura 3. Esta realización difiere en que se envía todo el mensaje desde la estación 101 de trabajo al servidor 110 de firmas en S418.

Por tanto, no necesita devolverse a la estación 101 de trabajo desde el servidor 110 de firmas la información que requiere encriptación. Sin embargo, en la práctica, se establece preferiblemente un canal seguro bi-direccional para evitar la información errónea desde terceras partes con respecto al servidor 110 de firmas y su estado, que se envía a la estación 101 de trabajo.

En esta realización el servidor 110 de firmas usa la clave privada del usuario para encriptar todo el mensaje como se envía por el usuario. Adicionalmente el usuario también suministra detalles de entrega para el mensaje a un receptor. En esta etapa, a diferencia de un acuse de recibo del mensaje, el servidor 110 de firmas no necesita responder a la estación 101 de trabajo.

Una vez que el mensaje se ha encriptado con la clave privada del usuario, el servidor 110 de firmas también añade la firma del servidor 110 de firmas encriptando con la clave privada del servidor 110 de firmas, y reenvía este mensaje encriptado al nuevo receptor directamente. Los receptores pueden verificar el mensaje de la misma forma que se describe con relación a la figura 3, salvo que se utiliza la clave pública del servidor 110 de firmas así como la clave pública del usuario. De nuevo se emplean en la presente memoria métodos estándar para encriptar y fir-
mar.

Algunas o todas las peticiones de firma pueden presentar un campo de resumen que se registra en el registro de auditoria (audit log). El propósito del resumen es hacer posible la extracción de informes significativos sobre las actividades de los clientes y permitir el rastreo si se cuestiona una transacción.

Adicionalmente pueden facilitarse múltiples transacciones de petición en las que el usuario suministra múltiples peticiones para múltiples firmas en las que cada petición debe autenticarse por separado. Esto permite al cliente preparar un número de peticiones y tenerlas todas ejecutadas con un único inicio de sesión. Si es necesario las aplicaciones de red especiales pueden almacenar las contraseñas temporalmente de manera rápida para proporcionar una interfaz mucho más fácil de manejar.

El usuario también puede solicitar que un mensaje o una dispersión de mensaje estén marcados con fecha y hora y tenga una vida útil limitada. Eso se realiza utilizando un indicador en la petición de firma que determina si una marcación de fecha y hora debería suministrarse o no. Una marcación de fecha y hora podría facilitarse por ejemplo contactando con un servidor de marcación de fecha y hora mediante el protocolo PKIX TSP en el que una firma recibida en algún mensaje, o la concatenación de un número de firmas se envía a una tercera parte independiente que ofrece una marcación de fecha y hora independiente. Entonces se añade una marcación de fecha y hora y se genera una firma en el mensaje que consiste en las firmas recibidas y en la marcación de fecha y hora.

Con referencia a la figura 5 se describirá un método alternativo al descrito con referencia a las figuras 3 y 4.

El sistema y método es especialmente útil cuando los servidores 110, 120 de autenticación y firma están separados geográficamente y son administrados por cuerpos independientes. Todas las demás características pueden describirse con referencia a las figuras 3 y 4.

Los datos que van a firmarse se introducen en la estación de trabajo en S500. Una aplicación u otro programa descargado de una tercera parte a la estación 101 de trabajo. En esta realización, la estación de trabajo ejecuta el applet o programa que se conecta tanto al servidor 110 de firmas como al servidor 120 de autenticación. El servidor 110 de firmas solicita y recibe la contraseña fija del usuario 102 (descrita anteriormente con respecto al registro) en S502. Se establece entonces una conexión autorizada con el servidor 110 de firmas en S504 tal como se describió anteriormente con referencia a la S302 descrita.

El servidor 110 de firmas solicita entonces al servidor 120 de autorización enviar una contraseña de utilización única al usuario a través de un canal diferente en S506 como en la S304 descrita anteriormente.

La contraseña de utilización única se envía al usuario en S508 que la introduce a través de la conexión establecida entre la estación 101 de trabajo y el servidor 120 de autorización en S510. Se establece por tanto una conexión verificada tanto entre la estación 101 de trabajo como el servidor 110 de firmas, y la estación 101 de trabajo y el servidor 120 de autenticación en S512.

Los datos a certificar se envían al servidor 120 de autenticación a través de una conexión en S514, y se envía un valor derivado (en esta realización un valor de dispersión de los datos, tal como se describió anteriormente) de los datos a certificar al servidor 110 de firmas en S516.

El servidor 120 de autenticación envía los datos a certificar al servidor de firmas que computa la dispersión de los datos para producir un valor derivado para su comparación con el valor derivado enviado directamente desde la estación de trabajo.

Los dos valores derivados se comparan entonces por el servidor 110 de firmas en S518 que garantiza que los dos servidores están conectados al mismo usuario.

El servidor 110 de firmas puede firmar entonces los datos recibidos del servidor 120 de autenticación y devolverlos a la estación 101 de trabajo, o reenviarlos a un receptor de tercera parte.

También es posible que la versión derivada de los datos se envíe al servidor 120 de autenticación y que los datos reales se envíen al servidor 110 de firmas. Sin embargo esto no se prefiere porque el servidor 110 de firmas está entonces en posesión de los datos que van a firmarse antes de que el servidor 120 de autenticación los autentifique y por tanto se podría abusar del sistema si se obtuviera un control ilegítimo del servidor 110 de firmas.

Además de usar la contraseña de utilización única emitida por el servidor 120 de autenticación para autentificar la conexión entre la estación 101 de trabajo y el servidor 110 de firmas, tal como se describe anteriormente, también es posible usar una ficha para validar la conexión entre la estación 101 de trabajo y el servidor 110 de firmas, en el caso de la figura 4, y separar las fichas para validar las conexiones entre la estación 101 de trabajo y cada servidor en el caso de la figura 5. En este procedimiento de validación alternativo, los dos canales se establecen de manera completamente independiente lo que es especialmente útil cuando los servidores 110, 120 de firmas y autenticación están separados geográfica y administrativamente.

Las realizaciones proporcionan un método de certificación que cumple los requisitos para una protección adecuada de la clave privada, por ejemplo, para cumplir los requisitos en las directrices de la Unión Europea sobre certificados reconocidos; permite al dueño legítimo iniciar la generación de una firma digital desde cualquier estación 101 de trabajo apropiada conectada a alguna red apropiada, tal como Internet, sin comprometer nunca la clave de firma, incluso al mismo tiempo impide que cualquiera con un control total sobre la estación 101 de trabajo utilizada como descrito anteriormente genere de manera posteriormente una firma nueva mediante la clave de ese dueño.

Aunque las realizaciones anteriores se hayan descrito en relación a una estación de trabajo y un servidor cualquier situación en la que un mensaje necesite firmarse con una firma digital sin que la clave privada de un usuario salga de un servidor seguro también estará dentro del alcance de esta invención. Es decir, los términos servidor, cliente, y estación de trabajo utilizados en la presente memoria no están limitados al significado restringido de los términos. Un servidor puede ser cualquier ordenador o similar que pueda contactarse como una unidad central por un número de estaciones de trabajo. Una estación de trabajo es una interfaz entre el usuario y el servidor que transmite los datos electrónicos y contraseñas, en caso necesario, al servidor. Los clientes son simplemente interfaces que permiten la administración de un servidor.

\newpage

La presente invención se ha descrito anteriormente meramente a modo de ejemplo, y pueden realizarse modificaciones. La invención también consiste en cualquier característica individual descrita o implícita en la presente memoria o mostrada o implícita en los dibujos o cualquier combinación de cualquiera de tales características o cualquier generalización de cualquiera de tales características o combinación que se extienda a los equivalentes de las mismas.

Claims (43)

1. Método de certificación de datos electrónicos suministrados por un usuario, comprendiendo el método:

recibir los datos suministrados por el usuario a certificar en un aparato (110) de certificación desde un dispositivo (101) fuente;

enviar una petición a un dispositivo (120) remoto que instruye al dispositivo remoto para enviar una contraseña al usuario;

recibir un valor de dispersión derivado de una contraseña del dispositivo remoto;

recibir un valor de dispersión adicional del usuario;

comparar el valor de dispersión adicional del usuario con el valor de dispersión del dispositivo remoto para así validar al usuario;

certificar los datos en el aparato (110) de certificación con uno o más elementos de información seguros para el aparato de certificación, siendo dichos elementos únicos para el usuario, si el valor de dispersión adicional corresponde con el valor de dispersión derivado del dispositivo remoto; y

emitir los datos certificados de este modo desde el aparato (110) de certificación, para pasar a un dispositivo receptor;

en el que los elementos de información segura certifican que el suministrador de los datos es el usuario.

2. Método según la reivindicación 1 que además comprende autentificar una conexión entre dicho dispositivo fuente y dicho aparato de certificación que usa una contraseña fija reconocida por dicho aparato de certificación; y establecer un canal seguro entre dicho dispositivo fuente y dicho aparato de certificación usando un valor de dispersión dicho recibido por dicho aparato de certificación junto con una clave pública de dicho aparato de certificación para generar una clave de sesión para dicho canal seguro.

3. Método según la reivindicación 1 ó 2 que además comprende establecer un canal encriptado entre dicho dispositivo remoto y dicho aparato de certificación, en el que dicho aparato de certificación y dicho dispositivo remoto incluyen un hardware (111, 121) resistente a intrusos, y en el que dicho canal encriptado comprende un túnel (150) seguro entre dicho dispositivo remoto y dicho aparato de certificación de modo que las claves usadas para el túnel son controladas por dicho hardware resistente a intrusos y no aparecen claros fuera de dicho aparato de certificación.

4. Método según la reivindicación 1, 2 ó 3 en el que la clave privada de un par de clave pública/clave privada específico para el usuario define dicho elemento como único para el usuario.

5. Método según cualquiera de las reivindicaciones anteriores en el que una firma digital específica para el usuario define a dicho elemento como único para el usuario.

6. Método según cualquiera de las reivindicaciones anteriores, en el que el dispositivo receptor es el dispositivo fuente.

7. Método según una cualquiera de las reivindicaciones 1 a 6 en el que el dispositivo receptor es un dispositivo de tercera parte.

8. Método según cualquiera de las reivindicaciones anteriores, en el que un valor de dispersión de un mensaje que va a certificarse se genera en el dispositivo fuente, siendo el valor de dispersión los datos que van a certificarse por el aparato de certificación.

9. Método según cualquiera de las reivindicaciones anteriores, en el que el aparato de certificación está adaptado para recibir datos de una pluralidad de dispositivos fuente diferentes.

10. Método de certificación de datos electrónicos suministrados por un usuario, comprendiendo el método:

establecer una conexión segura entre un dispositivo (101) fuente accionado por el usuario y un aparato (110) de certificación;

enviar los datos suministrados por el usuario desde el dispositivo (101) fuente para que los reciba el aparato (110) de certificación;

recibir una contraseña desde un dispositivo remoto;

enviar un valor de dispersión de dicha contraseña a dicho aparato de certificación; y

recibir en el dispositivo fuente una versión de los datos desde el aparato (110) de certificación tal como se originan desde el usuario, utilizando información única para el usuario.

11. Método según la reivindicación 10 que además comprende autentificar una conexión entre dicho dispositivo fuente y dicho aparato de certificación usando una contraseña fija reconocida por dicho aparato de certificación; y que establece un canal seguro entre dicho dispositivo fuente y dicho aparato de certificación utilizando dicho valor de dispersión junto con una clave pública de dicho aparato de certificación para generar una clave de sesión para dicho canal seguro.

12. Método según la reivindicación 10 u 11, que además comprende la etapa de incorporar una versión certificada de los datos en datos adicionales a enviar a un dispositivo de tercera parte.

13. Método según la reivindicación 10, 11 ó 12 en el que el aparato de certificación retiene información única para el usuario para realizar la certificación.

14. Método según la reivindicación 13, en el que la información única es la clave privada de un par de clave pública/clave privada específico para el usuario.

15. Método según la reivindicación 13 ó 14, en el que la información única es una firma digital específica para el usuario.

16. Método según cualquiera de las reivindicaciones 10 a 15, en el que los datos a certificar son un valor de dispersión de un mensaje.

17. Método según cualquiera de las reivindicaciones anteriores, en el que el aparato de certificación comprende un servidor (110) de firmas.

18. Método según cualquiera de las reivindicaciones anteriores, en el que el aparato de certificación comprende una pluralidad de servidores de firmas que usan una compartición de secretos para almacenar partes individuales de una clave privada de un usuario, y en los que la firma se genera en base a partes individuales de una clave privada de un usuario almacenadas en algunos o todos los servidores de firmas.

19. Método según la reivindicación 17 ó 18, en el que el aparato de certificación comprende además uno o varios servidores (120) de autenticación.

20. Método según cualquiera de las reivindicaciones anteriores, en el que el dispositivo (101) fuente comprende una estación de trabajo.

21. Método según la reivindicación 20 que además comprende establecer un canal de comunicación verificado y autentificado independiente entre la estación de trabajo y el dispositivo remoto.

22. Método según una cualquiera de las reivindicaciones 1 a 19, en el que el dispositivo fuente comprende una televisión interactiva.

23. Método según cualquiera de las reivindicaciones anteriores, en el que el dispositivo fuente y el aparato de certificación establecen conexiones individuales autentificadas entre el dispositivo fuente y uno o varios servidores del aparato de certificación antes y durante la transferencia de los datos a certificar.

24. Método según la reivindicación 23, en el que el método funciona autentificando al usuario sin tener en cuenta la fuente para proporcionar un primer nivel de seguridad, y funciona autentificando al usuario y al dispositivo fuente para proporcionar un segundo nivel de seguridad superior al primer nivel de seguridad.

25. Método según las reivindicaciones 1 ó 10, en el que el dispositivo fuente suministra una ficha (token) (190) al aparato de certificación para la autenticación, y en el que el aparato de certificación certifica los datos con diferentes elementos únicos, dependiendo del tipo de ficha usado para autentificar al usuario o dispositivo fuente.

26. Método según cualquiera de las reivindicaciones anteriores, en el que los datos de validación para validar los datos a certificar se recibe desde un dispositivo remoto antes de certificar los datos.

27. Método según cualquiera de las reivindicaciones anteriores, que además comprende que el aparato de certificación envíe la petición al dispositivo remoto tras recibir una petición para certificar los datos.

28. Método según cualquiera de las reivindicaciones 1 a 27, que además comprende:

recibir una petición de dicho aparato de certificación en dicho dispositivo remoto para suministrar al usuario dicha contraseña;

suministrar dicha contraseña al usuario; y

suministrar dicho valor de dispersión derivado de dicha contraseña al aparato de certificación.

29. Método según cualquiera de las reivindicaciones anteriores en el que dicha contraseña es una contraseña de utilización única.

30. Método según la reivindicación 28 ó 29, en el que la petición y dicho valor de dispersión derivado de dicha contraseña se transfieren a través de un método de comunicación diferente a dicha contraseña.

31. Medio de lectura por ordenador que almacena instrucciones que cuando se ejecutan por un ordenador provocan que el ordenador realice cada una de las etapas del método de una cualquiera de las reivindicaciones 1 a 9.

32. Medio de lectura por ordenador que almacena instrucciones que cuando se ejecutan por un ordenador provocan que el ordenador realice cada una de las etapas del método de una cualquiera de las reivindicaciones 10 a 30.

33. Aparato (110, 120) de certificación de datos que comprende:

un dispositivo (110, 111) de firma adaptado para certificar los datos electrónicos recibidos desde un dispositivo (101) fuente remoto tal como se originan desde un usuario, en el que el aparato de certificación se dispone para recibir datos desde un dispositivo fuente, certifica los datos como pertenecientes al usuario, usando la información almacenada en el aparato de certificación y técnicas de criptografía, siendo dicha información única para el usuario, y envía los datos certificados a un dispositivo receptor; y que comprende además medios de instrucción para enviar una petición a un dispositivo remoto adicional que instruye al dispositivo remoto adicional para enviar una contraseña al usuario; medios de recepción para recibir un valor de dispersión derivado de la contraseña del dispositivo remoto adicional y para recibir un valor de dispersión adicional del usuario, medios de comparación para comparar el valor de dispersión adicional del usuario con el valor de dispersión del dispositivo remoto adicional; y medios (110, 111) de certificación para certificar los datos a certificar si el valor de dispersión adicional de los datos del usuario corresponden al valor de dispersión del dispositivo remoto adicional.

34. Aparato de certificación de datos según la reivindicación 33 que comprende medios para autentificar una conexión entre dicho dispositivo fuente y dicho aparato de certificación de datos usando una contraseña fija reconocida por dicho aparato de certificación; y medios para establecer un canal seguro entre dicho dispositivo fuente y dicho aparato de certificación usando un valor de dispersión dicho recibido por dicho aparato de certificación junto con una clave pública de dicho aparato de certificación para generar una clave de sesión para dicho canal segu-
ro.

35. Aparato de certificación de datos según la reivindicación 33 ó 34 que además comprende medios para establecer un canal encriptado entre dicho dispositivo remoto y dicho aparato de certificación, en el que dicho aparato de certificación y dicho dispositivo remoto incluyen un hardware (111, 121) resistente a intrusos, y en el que dicho canal encriptado comprende un túnel (150) seguro entre dicho dispositivo remoto y dicho aparato de certificación de modo que las claves usadas para el túnel son controladas por dicho hardware resistente a intrusos y no aparecen claros fuera de dicho aparato de certificación.

36. Aparato de certificación de datos según la reivindicación 33 en el que el aparato de certificación comprende medios para establecer una conexión autentificada con el dispositivo fuente antes y durante la transferencia de los datos a certificar.

37. Aparato de certificación de datos según la reivindicación 36 en el que dicha conexión autentificada está encriptada.

38. Aparato de certificación de datos según la reivindicación 36 ó 37, en el que el aparato de certificación comprende medios para aceptar una ficha del dispositivo fuente para la autenticación, y en el que el aparato de certificación comprende medios para usar más de un tipo de ficha para autentificar al usuario o el dispositivo fuente.

39. Aparato de certificación de datos según la reivindicación 38, en el que el aparato de certificación de datos se dispone para funcionar autentificando al usuario sin tener en cuenta el dispositivo fuente para proporcionar un primer nivel de seguridad, y para funcionar autentificando al usuario y al dispositivo fuente para proporcionar un segundo nivel de seguridad superior al primer nivel de seguridad.

40. Aparato de certificación de datos según la reivindicación 36 ó 37, en el que el dispositivo fuente comprende medios para suministrar una ficha (190) al aparato de certificación para la autenticación, y en el que el aparato de certificación comprende medios para certificar los datos con diferentes elementos únicos, dependiendo del tipo de ficha usado para autentificar al usuario o al dispositivo fuente.

41. Aparato de certificación de datos según cualquiera de las reivindicaciones 33 a 40, en el que el aparato de certificación comprende un servidor (110) de firmas.

42. Aparato de certificación de datos según la reivindicación 41, en el que el aparato de certificación comprende una pluralidad de servidores de firmas, estando dispuesto cada servidor de firmas para usar una técnica de compartir secretos para almacenar comparticiones individuales de una clave privada de un usuario en los que se genera la firma.

43. Aparato de certificación de datos según la reivindicación 41 ó 42, en el que el aparato de certificación comprende además un servidor (120) de autenticación.