ES2533757A1 - Operaciones criptográficas - Google Patents

Operaciones criptográficas Download PDF

Info

Publication number
ES2533757A1
ES2533757A1 ES201490042A ES201490042A ES2533757A1 ES 2533757 A1 ES2533757 A1 ES 2533757A1 ES 201490042 A ES201490042 A ES 201490042A ES 201490042 A ES201490042 A ES 201490042A ES 2533757 A1 ES2533757 A1 ES 2533757A1
Authority
ES
Spain
Prior art keywords
repository
cryptographic
client
manager
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
ES201490042A
Other languages
English (en)
Other versions
ES2533757B1 (es
Inventor
José Gaspar Cuevas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
EVOLIUM TECHNOLOGIES, S.L.
Original Assignee
Evolium Man S L
Evolium Management S L
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Evolium Man S L, Evolium Management S L filed Critical Evolium Man S L
Publication of ES2533757A1 publication Critical patent/ES2533757A1/es
Application granted granted Critical
Publication of ES2533757B1 publication Critical patent/ES2533757B1/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Facsimiles In General (AREA)

Abstract

Sistema para realizar una operación criptográfica, que comprende un sistema cliente y un sistema servidor; comprendiendo dicho servidor un gestor de múltiples repositorios, repositorios de claves criptográficas, un procesador y una memoria; y comprendiendo dicho cliente un procesador y una memoria; en el que dichas dos memorias almacenan instrucciones ejecutables por ordenador que, cuando son ejecutadas, hacen que el cliente y el servidor realicen un procedimiento que comprende: enviar, por parte del cliente, una solicitud de la operación criptográfica al servidor; obtener, por parte del gestor de múltiples repositorios, un conjunto de referencias a claves criptográficas permitidas para la solicitud de los repositorios de claves criptográficas; establecer, por parte del gestor de múltiples repositorios, una clave criptográfica referenciada en dicho conjunto de referencias como la clave criptográfica que se va a utilizar; solicitar, por parte del gestor de múltiples repositorios, la realización de la operación criptográfica al repositorio en el que está almacenada la clave criptográfica a utilizar; obtener, por parte del gestor de múltiples repositorios, el resultado de la operación criptográfica procedente del repositorio que ha realizado la operación criptográfica; y enviar, por parte del servidor, el resultado de la operación criptográfica al cliente.

Description

imagen1
imagen2
imagen3
imagen4
imagen5
P201490042
14-04-2014
excluir otras características técnicas, aditivos, componentes o etapas. Objetos, ventajas y características adicionales de la invención serán evidentes para los expertos en la técnica tras el examen de la descripción o se pueden aprender mediante la práctica de la invención. Los siguientes ejemplos y dibujos se proporcionan a modo de ilustración, y no se pretende que sean limitativos de la presente invención. Los signos de referencia relacionados
5 con los dibujos y colocados entre paréntesis en una reivindicación, son únicamente para tratar de aumentar la inteligibilidad de la reivindicación, y no deberán interpretarse como limitativos del alcance de la reivindicación. Además, la presente invención cubre todas las posibles combinaciones de realizaciones particulares y preferidas descritas en el presente documento.
10 BREVE DESCRIPCIÓN DE LOS DIBUJOS
A continuación se describirán realizaciones particulares de la presente invención por medio de ejemplos no limitativos, con referencia a los dibujos adjuntos, en los que:
15 La figura 1 es una representación esquemática de un sistema para realizar operaciones criptográficas, según una realización de la invención.
20 EXPOSICION DETALLADA DE MODOS DE REALIZACIÓN
En las siguientes descripciones, se exponen numerosos detalles específicos con el fin de proporcionar una comprensión completa de la presente invención. Se entenderá, sin embargo, por parte de un experto en la técnica, que la presente invención puede ponerse en práctica sin algunos o todos de estos detalles específicos. En otros
25 casos, no se han descrito en detalle elementos bien conocidos para no oscurecer innecesariamente la descripción de la presente invención.
La figura 1 representa una realización del sistema para llevar a cabo operaciones criptográficas, comprendiendo dicha realización al menos un sistema informático cliente 100 y un sistema informático servidor 101 conectados a
30 través de una red de comunicaciones 113.
El sistema informático servidor 101 puede comprender:
• un gestor de múltiples repositorios 106;
un primer repositorio 107 de claves criptográficas remotas; 35 • un segundo repositorio 108 de claves criptográficas remotas;
un módulo de contexto de uso 109;
un repositorio de reglas de contexto de uso 110;
un módulo de eventos criptográficos 111;
un repositorio de eventos criptográficos 112; 40 • un procesador (no mostrado); y
• una memoria (no mostrada).
El gestor de múltiples repositorios 106 puede estar adaptado para recibir datos (por ejemplo, peticiones de operaciones criptográficas) procedentes de un módulo cliente 103 del sistema informático cliente 100, para
45 interactuar con el primer repositorio 107 y el segundo repositorio 108 de claves criptográficas remotas para por ejemplo realizar operaciones criptográficas solicitadas, y para enviar datos (por ejemplo, los resultados de las operaciones criptográficas realizadas) al módulo cliente 103.
El intercambio de datos entre el módulo cliente 103 y el gestor de múltiples repositorios 106 a través de la red de
50 comunicaciones 113 se puede realizar estructurando dichos datos según una estructura adecuada independiente de repositorio, empaquetando de forma conveniente dichos datos estructurados independientes de repositorio por razones de eficiencia en las transmisiones, y usando un canal seguro (por ejemplo, un canal SSL) por razones de seguridad en las transmisiones. Así, por ejemplo, el módulo cliente 103 puede enviar datos de peticiones de operaciones criptográficas estructurados bajo dicha estructura adecuada independiente de repositorio y
55 empaquetados bajo una estructura adecuada de empaquetado y usando dicho canal SSL. De igual manera, el gestor de múltiples repositorios 106 puede enviar datos de resultados de operaciones criptográficas estructurados bajo dicha estructura adecuada independiente de repositorio y empaquetados bajo dicha estructura adecuada de empaquetado y utilizando dicho canal SSL.
60 Por lo tanto, dicho intercambio de datos estructurados bajo dicha estructura adecuada independiente de repositorio puede ser entendido como que el módulo cliente 103 y el gestor de múltiples repositorios 106 usan un lenguaje único independiente de repositorio para comunicarse entre ellos.
7
P201490042
14-04-2014
El gestor de múltiples repositorios 106 puede comprender un módulo independiente de repositorio para recibir datos empaquetados procedentes del módulo cliente 103 y para desempaquetar dichos datos una vez recibidos, teniendo dichos datos desempaquetados la estructura independiente de repositorio comentada anteriormente. El gestor de
5 múltiples repositorios 106 puede comprender además un módulo dependiente de repositorio para cada tipo de entre una pluralidad de diferentes tipos de repositorios de claves criptográficas, siendo el primer repositorio 107 y el segundo repositorio 108 de uno de dichos tipos de repositorios, de tal de manera que uno de los módulos dependientes de repositorio está adaptado para interactuar con el primer repositorio 107 y uno de los módulos dependientes de repositorio está adaptado para interactuar con el segundo repositorio 108.
10 Cada uno de los módulos dependientes de repositorio puede estar adaptado para obtener datos desempaquetados del módulo independiente de repositorio, y transformar dichos datos desempaquetados en correspondientes instrucciones para su ejecución en el correspondiente repositorio de claves criptográficas. Igualmente, cada uno de dichos módulos dependientes de repositorio puede estar adaptado para obtener datos producidos en el repositorio
15 de claves criptográficas correspondiente, y para transformar dichos datos obtenidos en la estructura independiente de repositorio comentada previamente. El módulo independiente de repositorio puede estar adaptado, además, para obtener datos de los módulos dependientes de repositorio, estando dichos datos estructurados bajo la estructura independiente de repositorio, para empaquetar dichos datos obtenidos bajo la estructura adecuada de empaquetado, y para enviar dichos datos empaquetados al módulo cliente 103.
20 Las funcionalidades descritas anteriormente con respecto a los módulos dependientes de repositorio pueden ser entendidas como que el gestor de múltiples repositorios 106 utiliza un lenguaje dependiente de repositorio para interactuar con cada tipo diferente de repositorio de claves criptográficas (primer repositorio 107 y segundo repositorio 108 en la realización de la figura 1). Por lo tanto, la configuración del gestor de múltiples repositorios 106
25 basada en el módulo independiente de repositorio y los módulos dependientes de repositorio permite la integración de nuevos tipos de repositorios con un impacto muy bajo en el sistema.
El primer repositorio 107 puede ser un HSM de alta seguridad para el almacenamiento de claves de criticidad alta, mientras que el segundo repositorio 108 puede ser una base de datos convencional para el almacenamiento de
30 claves de criticidad baja. Sin embargo, el sistema informático servidor 101 puede comprender otros repositorios de claves criptográficas remotas en función de los diferentes niveles de criticidad de las claves criptográficas remotas existentes. Por ejemplo, el sistema informático servidor 101 podría comprender un tercer repositorio para el almacenamiento de claves de criticidad media.
35 El módulo de contexto de uso 109 puede estar adaptado para interactuar con el gestor de múltiples repositorios 106 para la determinación de claves criptográficas remotas permitidas para el usuario de solicitudes recibidas de operaciones criptográficas, siendo dicha determinación de claves permitidas de acuerdo con el contenido del repositorio de reglas de contexto de uso 110. El concepto de "contexto de uso" se refiere a las condiciones de contexto bajo las cuales se ha solicitado una operación criptográfica y a la autorización o denegación del uso de una
40 clave criptográfica remota concreta en función de dichas condiciones contextuales.
El módulo de eventos criptográficos 111 puede estar adaptado para almacenar en el repositorio de eventos criptográficos 112 datos relacionados con cualquier tipo de eventos criptográficos producidos en el sistema informático servidor 101 para, por ejemplo, su inspección posterior. Dichos datos relacionados con eventos
45 criptográficos pueden comprender datos relacionados con resultados de operaciones criptográficas obtenidos por el gestor de múltiples repositorios 106, datos relativos a solicitudes recibidas por el gestor de múltiples repositorios 106, etc.
La memoria del sistema informático servidor 101 puede almacenar un programa informático que comprende
50 instrucciones ejecutables que, cuando son ejecutadas por el procesador, hacen que el sistema informático servidor 101 realice un procedimiento para proporcionar un resultado de una operación criptográfica, comprendiendo dicho procedimiento:
• recibir, por parte del gestor de múltiples repositorios 106, una petición de usuario de la operación criptográfica procedente del módulo cliente 103;
55 • obtener, por parte del gestor de múltiples repositorios 106, un conjunto de referencias a claves criptográficas remotas permitidas para la petición de usuario del primer 107 y segundo 108 repositorios de claves criptográficas remotas;
• establecer, por parte del gestor de múltiples repositorios 106, una clave criptográfica remota referenciada en el
conjunto de referencias a claves criptográficas remotas como la clave criptográfica remota a utilizar para la 60 realización de la operación criptográfica;
• solicitar, por parte del gestor de múltiples repositorios 106, la realización de la operación criptográfica al repositorio (primero 107 o segundo 108) en el que está almacenada la clave criptográfica remota a utilizar, para que dicha
8
imagen6
imagen7
imagen8
imagen9
imagen10

Claims (1)

  1. imagen1
    imagen2
    imagen3
    imagen4
    imagen5
ES201490042A 2011-10-13 2011-10-13 Operaciones criptográficas Active ES2533757B1 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2011/067909 WO2013053393A1 (en) 2011-10-13 2011-10-13 Multi-repository key storage and selection

Publications (2)

Publication Number Publication Date
ES2533757A1 true ES2533757A1 (es) 2015-04-14
ES2533757B1 ES2533757B1 (es) 2016-01-19

Family

ID=45002912

Family Applications (2)

Application Number Title Priority Date Filing Date
ES201490042A Active ES2533757B1 (es) 2011-10-13 2011-10-13 Operaciones criptográficas
ES11770750.5T Active ES2650690T3 (es) 2011-10-13 2011-10-13 Almacenamiento y selección de claves en múltiples repositorios

Family Applications After (1)

Application Number Title Priority Date Filing Date
ES11770750.5T Active ES2650690T3 (es) 2011-10-13 2011-10-13 Almacenamiento y selección de claves en múltiples repositorios

Country Status (4)

Country Link
US (1) US9647993B2 (es)
EP (1) EP2767030B1 (es)
ES (2) ES2533757B1 (es)
WO (1) WO2013053393A1 (es)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9628268B2 (en) 2012-10-17 2017-04-18 Box, Inc. Remote key management in a cloud-based environment
US9756022B2 (en) 2014-08-29 2017-09-05 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
US10574442B2 (en) 2014-08-29 2020-02-25 Box, Inc. Enhanced remote key management for an enterprise in a cloud-based environment
US10630686B2 (en) 2015-03-12 2020-04-21 Fornetix Llc Systems and methods for organizing devices in a policy hierarchy
US10560440B2 (en) 2015-03-12 2020-02-11 Fornetix Llc Server-client PKI for applied key management system and process
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
US10880281B2 (en) * 2016-02-26 2020-12-29 Fornetix Llc Structure of policies for evaluating key attributes of encryption keys
US11063980B2 (en) * 2016-02-26 2021-07-13 Fornetix Llc System and method for associating encryption key management policy with device activity
US10313123B1 (en) 2016-12-14 2019-06-04 Amazon Technologies, Inc. Synchronizable hardware security module
US10263778B1 (en) 2016-12-14 2019-04-16 Amazon Technologies, Inc. Synchronizable hardware security module
US10425225B1 (en) * 2016-12-14 2019-09-24 Amazon Technologies, Inc. Synchronizable hardware security module
US11343095B2 (en) 2017-09-19 2022-05-24 Microsoft Technology Licensing, Llc Cryplet binding key graph
US10909250B2 (en) * 2018-05-02 2021-02-02 Amazon Technologies, Inc. Key management and hardware security integration
US11790092B1 (en) * 2020-05-26 2023-10-17 Amazon Technologies, Inc. Cryptoprocessor access management
EP3930254B1 (en) * 2020-06-23 2023-12-20 Nxp B.V. Method for setting permissions for cryptographic keys, computer program and cryptographic processing system

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6625734B1 (en) * 1999-04-26 2003-09-23 Disappearing, Inc. Controlling and tracking access to disseminated information
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US20020071560A1 (en) * 2000-12-12 2002-06-13 Kurn David Michael Computer system having an autonomous process for centralized cryptographic key administration
JP4710132B2 (ja) * 2000-12-26 2011-06-29 ソニー株式会社 情報処理システム、および情報処理方法、並びにプログラム記録媒体
US7020645B2 (en) * 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
US7266847B2 (en) * 2003-09-25 2007-09-04 Voltage Security, Inc. Secure message system with remote decryption service
US7646873B2 (en) * 2004-07-08 2010-01-12 Magiq Technologies, Inc. Key manager for QKD networks
US20060093149A1 (en) * 2004-10-30 2006-05-04 Shera International Ltd. Certified deployment of applications on terminals
JP5384781B2 (ja) * 2005-08-18 2014-01-08 日本電気株式会社 秘匿通信システムおよび共有秘密情報の生成方法
US7702821B2 (en) * 2005-09-15 2010-04-20 Eye-Fi, Inc. Content-aware digital media storage device and methods of using the same
US20120323786A1 (en) * 2011-06-16 2012-12-20 OneID Inc. Method and system for delayed authorization of online transactions

Also Published As

Publication number Publication date
WO2013053393A1 (en) 2013-04-18
ES2650690T3 (es) 2018-01-19
US20150082041A1 (en) 2015-03-19
US9647993B2 (en) 2017-05-09
ES2533757B1 (es) 2016-01-19
EP2767030A1 (en) 2014-08-20
EP2767030B1 (en) 2017-09-27

Similar Documents

Publication Publication Date Title
ES2533757A1 (es) Operaciones criptográficas
Kogan et al. Private blocklist lookups with checklist
ES2809161T3 (es) Método y sistema para la verificación de información de atributo de identidad
CN108200063B (zh) 一种可搜索公钥加密方法、采用该方法的系统和服务器
US9875370B2 (en) Database server and client for query processing on encrypted data
US10691439B2 (en) Method and apparatus for facilitating a software update process over a network
JP6435398B2 (ja) 端末識別子を促進する方法及びシステム
US20090296926A1 (en) Key management using derived keys
BR102013023836A2 (pt) Sistema de processamento de dados com característica de dados com base em identificação de instruções correspondentes
US9678894B2 (en) Cache-less split tracker architecture for replay protection trees
JP2019501431A5 (es)
US20150120774A1 (en) Modified b+ tree node searching method and apparatus
RU2014118918A (ru) Механизм обеспечения безопасности для внешнего кода
US9449197B2 (en) Pooling entropy to facilitate mobile device-based true random number generation
Arasu et al. A secure coprocessor for database applications
Almeida et al. Lyra: Password-based key derivation with tunable memory and processing costs
CN107086917B (zh) 一种并行化和结构化公钥可搜索的加密方法
US9607086B2 (en) Providing prevalence information using query data
CN110263548A (zh) 一种Web应用漏洞检测规则生成方法、终端及存储介质
US20150331671A1 (en) Generating pseudo-random numbers using cellular automata
US20220200804A1 (en) Snapshot transfer for cloud-based storage across accounts
CN113568764A (zh) 用于微服务的用户信息获取方法、装置、设备及介质
JP4884456B2 (ja) データ保全性検証方法、装置、およびシステム
CN105791283A (zh) 一种针对加密的空间数据的圆形范围搜索方法
US9626444B2 (en) Continuously blocking query result data for a remote query

Legal Events

Date Code Title Description
PC2A Transfer of patent

Owner name: EVOLIUM TECHNOLOGIES, S.L.

Effective date: 20151026

FG2A Definitive protection

Ref document number: 2533757

Country of ref document: ES

Kind code of ref document: B1

Effective date: 20160119