ES2857501T3 - Descubrimiento de implementación de cifrado - Google Patents

Descubrimiento de implementación de cifrado Download PDF

Info

Publication number
ES2857501T3
ES2857501T3 ES16852317T ES16852317T ES2857501T3 ES 2857501 T3 ES2857501 T3 ES 2857501T3 ES 16852317 T ES16852317 T ES 16852317T ES 16852317 T ES16852317 T ES 16852317T ES 2857501 T3 ES2857501 T3 ES 2857501T3
Authority
ES
Spain
Prior art keywords
key
key information
encryption
server
segment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16852317T
Other languages
English (en)
Inventor
Aravind Babu Thunuguntla
Jonathan Brant Mentzell
James M Smith
Joseph Brand
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fornetix LLC
Original Assignee
Fornetix LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fornetix LLC filed Critical Fornetix LLC
Application granted granted Critical
Publication of ES2857501T3 publication Critical patent/ES2857501T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Alarm Systems (AREA)

Abstract

Un método para descubrir información de clave, que comprende: interrogar al menos un segmento (130a - d) en busca de información de clave (500) asociada con claves de cifrado correspondientes a cada uno de los activos de cifrado del al menos un segmento; recibir datos de salida que incluyen la información de clave asociada con las claves de cifrado desde el al menos un segmento en un formato de asignación de red como resultado de la interrogación; extraer la información de clave (500) asociada con las claves de cifrado de los datos de salida; almacenar la información de clave (500); y realizar una actividad de gestión de claves basándose en la información de clave almacenada; en donde la información de clave comprende al menos uno de: un identificador de dispositivo, una ubicación de dispositivo, un tipo de clave, un origen de clave, una longitud de clave o una fuerza de clave; y en donde el formato de asignación de red es un formato de Asignador de Red (NMAP), y la información de clave asociada con las claves de cifrado se extrae dentro de una capa de datos de los datos de salida en el formato de NMAP.

Description

DESCRIPCIÓN
Descubrimiento de implementación de cifrado
Referencia cruzada a solicitudes de patente relacionadas
Esta solicitud reivindica la prioridad para la Solicitud Provisional n.° 62/233.900, presentada el 28 de septiembre de 2015, y la Solicitud de Patente de EE. UU. n.° 15/269.310, presentada el 19 de septiembre de 2016.
Antecedentes
1. Campo de la invención
Las realizaciones de la presente divulgación se refieren en general al cifrado de claves y, más específicamente, al descubrimiento, la extracción, el análisis y el registro automático de información de clave de diversas claves de cifrado usadas en uno o más segmentos de red.
2. Antecedentes
En los sistemas de seguridad, una clave de cifrado se refiere a un parámetro o datos que dictan un mecanismo a través del cual se pueden traducir datos sin formato a datos cifrados durante un proceso de cifrado y un mecanismo a través del cual se pueden traducir datos cifrados a datos sin formato durante un proceso de descifrado. Generalmente, cada segmento de red puede incluir servidores, servicios y dispositivos de usuario que usan claves de cifrado. Cada empresa (por ejemplo, una compañía, una universidad, una agencia, un banco, un laboratorio o similares) puede tener al menos un segmento para sus operaciones. La empresa puede no ser consciente de diversos aspectos de las claves usadas por cada servidor, servicio o dispositivo de usuario asociados con la empresa. Por ejemplo, la empresa puede no ser consciente de las ubicaciones de todos sus activos de cifrado o del estado (por ejemplo, fecha de vencimiento, longitud, fuerza o similares) de las claves/certificados.
Esto es debido a que las claves usadas en cada segmento pueden provenir de diferentes fuentes y tener diferentes características de clave. Por ejemplo, cada clave puede estar asociada con una longitud, una fuerza de encriptado y/o una fecha de vencimiento que pueden ser diferentes de otras claves en el segmento. Con el fin de que la empresa pueda conservar, sustituir y acceder a las claves, la empresa necesitaría conocer información de clave para cada clave. Por lo tanto, sin conocimiento de la información de clave, la empresa no puede conservar, sustituir o acceder a las claves de manera eficaz.
Convencionalmente, un administrador de red de la empresa tendría que iniciar sesión en un servidor o dispositivo para obtener información de clave para su inspección. Por ejemplo, puede ser necesario iniciar sesión para crear, quitar, actualizar o eliminar cualquier clave para el servidor o dispositivo. Por lo tanto, realizar la conservación, sustitución y evaluación de fuerza de seguridad de clave puede resultar tremendamente costoso y laborioso para cualquier empresa.
Los documentos US 2015/0086020 A1 y WO 2013/009621 A1 divulgan sistemas centralizados para gestionar claves criptográficas usando agentes en sistemas remotos.
Sumario
De acuerdo con la presente invención, se proporciona un método para descubrir información de clave como se define en las reivindicaciones adjuntas.
De acuerdo con la presente invención, también se proporciona un programa informático como se define en las reivindicaciones adjuntas.
De acuerdo con la presente invención, se proporciona además un servidor para descubrir información de clave como se define en las reivindicaciones adjuntas.
En diversas realizaciones, un método para descubrir y gestionar información de clave, correspondiente a claves usadas en activos de cifrado de al menos un segmento, incluye obtener la información de clave asociada con el al menos un segmento, almacenar la información de clave, y al menos uno de generar al menos un informe de cifrado basándose en la información de clave, exportar la información de clave u orquestar las claves basándose en la información de clave.
Breve descripción de los dibujos
Los dibujos adjuntos, que se incorporan en el presente documento y constituyen parte de esta memoria descriptiva, ilustran realizaciones ilustrativas de la divulgación y, junto con la descripción general proporcionada anteriormente, y la descripción detallada proporcionada a continuación, sirven para explicar las características de las diversas realizaciones.
La figura 1 es un diagrama esquemático de un ejemplo de un sistema de empleo de cifrado que tiene un servidor de descubrimiento de cifrado para descubrir el cifrado de acuerdo con diversas realizaciones.
La figura 2 es un diagrama de bloques de componentes que ilustra un ejemplo de un servidor de descubrimiento de cifrado de acuerdo con diversas realizaciones.
La figura 3 es un diagrama de flujo de proceso que ilustra un ejemplo de un método de descubrimiento de cifrado de acuerdo con diversas realizaciones.
La figura 4 es un diagrama de flujo de proceso que ilustra un ejemplo de un método de descubrimiento de cifrado de acuerdo con diversas realizaciones.
La figura 5 es un diagrama que ilustra un ejemplo de información de clave de acuerdo con diversas realizaciones.
La figura 6 es una pantalla de visualización que muestra un ejemplo de un informe de cifrado de acuerdo con diversas realizaciones.
Descripción detallada
Se describirán con detalle diversas realizaciones con referencia a los dibujos adjuntos. Siempre que sea posible, se pueden usar los mismos números de referencia de principio a fin de los dibujos para hacer referencia a las mismas partes, o a partes semejantes. Se pueden usar números de referencia diferentes para hacer referencia a partes diferentes, iguales o similares. Las referencias hechas a ejemplos e implementaciones particulares son para fines ilustrativos y no se pretende que limiten el alcance de la divulgación o las reivindicaciones.
Las realizaciones de una herramienta de descubrimiento de cifrado pueden incluir una aplicación ejecutada en plataformas informáticas adecuadas (por ejemplo, un servidor) como en acoplamiento a un dispositivo de almacenamiento de datos (por ejemplo, una base de datos). La herramienta de descubrimiento de cifrado puede explorar o interrogar de otro modo uno o más segmentos de red en busca de información de clave asociada con activos de cifrado en los segmentos de red. La información de clave se puede recopilar, almacenar, clasificar o exportar para actividades de gestión de claves.
Como se denomina en el presente documento, la "información de clave" ("atributos", "atributos de cifrado", "atributos de clave" o similares) asociada con una clave de cifrado se puede referir a características asociadas con la clave, características criptográficas o de seguridad de la clave, los algoritmos criptográficos de la clave, un dispositivo que genera/transmite/recibe la clave de cifrado, un usuario del dispositivo y/o similares. La clave se puede transmitir y/o recibir con su información de clave asociada representada en valores de datos o señales. En realizaciones particulares, la información de clave puede incluir, pero sin limitarse a, identificador de dispositivo, ubicación de dispositivo, tipo de clave, origen de clave, longitud de clave, fuerza de clave y similares.
"Gestión de claves" se puede referir a uno o más de generar informes basándose en la información de clave, exportar datos que representan la información de clave, orquestar las claves basándose en la información de clave, o similares. En particular, las claves que tienen su información de clave recopilada se pueden orquestar de una manera tal como, pero sin limitarse a, la descrita en una o más de la Solicitud de Patente Provisional de EE. UU. n.° 61/887.662, presentada el 7 de octubre de 2013, titulada "System and method for encryption key management, federation and distribution", la Solicitud de Patente Provisional de EE. UU. n.° 61/950.362, presentada el 10 de marzo de 2014, titulada "System and method for policy-enabled distribution of encryption keys", la Solicitud de Patente de EE. UU. n.° 14/506.346, presentada el 3 de octubre de 2014, titulada "System and method for encryption key management, federation and distribution", que reivindica el beneficio de la Solicitud de Patente Provisional de EE. UU. n.° 61/887.662, presentada el 7 de octubre de 2013, y la Solicitud de Patente Provisional de EE. UU. n.° 61/950.362, presentada el 10 de marzo de 2014, la Solicitud PCT n.° PCT/US2014/059187, presentada el 3 de octubre de 2014, titulada "System and method for encryption key management, federation, and distribution", que reivindica el beneficio de la Solicitud de Patente Provisional de EE. UU. n.° 61/887.662, presentada el 7 de octubre de 2013, y la Solicitud de Patente Provisional de EE. UU. n.° 61/950.362, presentada el 10 de marzo de 2014, la Solicitud de Patente Provisional de EE. UU. n.° 62/132.342, presentada el 12 de marzo de 2015, titulada "Server client PKI for key orchestration system and process", la Solicitud de Patente de EE. UU. n.° 62/132.372, presentada el 12 de marzo de 2015, titulada "KO hierarchy for key orchestration system and process", la Solicitud de Patente de EE. UU. n.° 62/133.172, presentada el 13 de marzo de 2015, titulada "Server-client key escrow for key orchestration system and process" o la Solicitud de Patente de EE. UU. n.° 62/132.379, presentada el 13 de marzo de 2015, titulada "Client services for key orchestration system and process". Además, la gestión de claves también puede incluir el registro de claves/certificados automático con uno o más servidores para realizar la gestión de claves.
Una "empresa" puede ser una compañía, un subgrupo dentro de una compañía, una entidad autónoma e independiente, un grupo de comunicación, un proveedor de seguridad, diversas entidades, organizaciones y/o similares. Los ejemplos de una empresa pueden incluir, pero sin limitarse a, una universidad, una agencia, un banco, un laboratorio o similares. Como se denomina en el presente documento, un "segmento" ("segmento de red") puede ser una agrupación de red o una porción de una red mayor. En algunas realizaciones, el segmento se puede definir usando identificadores adecuados tales como, pero sin limitarse a, direcciones de Protocolo de Internet (IP). Ilustrando con un ejemplo no limitante, un segmento puede corresponder a una red de clase A, una red de clase B, una red de clase C, una red de clase D, una red de clase E o similares. Cada empresa puede usar al menos un segmento para sus operaciones.
Como se denominan en el presente documento, "activos de cifrado" se pueden referir a dispositivos (por ejemplo, dispositivos, servidores o bases de datos) que implementan una tecnología de cifrado. Los ejemplos de activos de cifrado pueden incluir, pero sin limitarse a, un servidor de archivos, un servidor web, un servidor de aplicaciones, un servidor de certificados, un servidor de correo, un servidor de directorio, un servidor de Protocolo de T ransferencia de Archivos (FTP), una base de datos, un servidor de gestión, un servidor de comercio electrónico o dispositivos de usuario final (estaciones de trabajo informáticas, dispositivos móviles, servidores o similares).
La figura 1 es un diagrama esquemático de un ejemplo de un sistema de empleo de cifrado 100 que tiene un servidor de descubrimiento de cifrado 110 para descubrir el cifrado de acuerdo con diversas realizaciones. Haciendo referencia a la figura 1, el servidor de descubrimiento de cifrado 110 se puede conectar a redes de una o más empresas a través de una red 130. Ilustrando con un ejemplo no limitante, el servidor de descubrimiento de cifrado 110 se puede conectar a redes de una primera empresa (la empresa A 120a) y una segunda empresa (la empresa B 120b). El servidor de descubrimiento de cifrado 110 se puede conectar a una o tres o más empresas. Las redes de las empresas 120a, 120b pueden estar soportadas por uno o más servidores (no mostrados).
Cada una de las redes de las una o más empresas (por ejemplo, la empresa A 120a y la empresa B 120b) puede estar asociada con al menos un segmento soportado por los uno o más servidores. Un segmento puede ser una porción de una red informática, tal como, pero sin limitarse a, un grupo de activos de cifrado que comparten un recurso de red o que se designa que se van a incluir de otro modo en el segmento. Ilustrando con un ejemplo no limitante, la empresa A 120a puede estar asociada con un primer segmento (el segmento A 130a), un segundo segmento (el segmento B 130b) y un tercer segmento (el segmento C 130c). La empresa B 120b puede estar asociada con un cuarto segmento (el segmento D 130d). Cada uno de los segmentos 130a - 130d puede ser establecido por sus empresas respectivas (la empresa A 120a y la empresa B 120b) basándose en criterios adecuados tales como, pero sin limitarse a, la ubicación, el grupo de trabajo, el papel dentro de la empresa, o similares. Ilustrando con un ejemplo no limitante, el segmento A 130a puede corresponder a una red para una primera ubicación de oficina de la empresa A 120a. El segmento B 130b puede corresponder a una red para una segunda ubicación de oficina de la empresa B 120b. El segmento C 130c puede corresponder a una red para una tercera ubicación de oficina de la empresa C 120c.
Cada segmento puede incluir al menos un activo de cifrado. Ilustrando con un ejemplo no limitante, el segmento A 130a puede estar asociado con al menos un servidor de archivos 140, un servidor web 141 y uno o más primeros dispositivos de usuario final 142. El segmento B 130b puede estar asociado con al menos un servidor de aplicaciones 143, un servidor de certificados 144 y uno o más segundos dispositivos de usuario final 145. El segmento C 130c puede estar asociado con al menos un servidor de correo 146, un servidor de directorio 147 y uno o más terceros dispositivos de usuario final 148. El segmento D 130d puede estar asociado con al menos un servidor de FTP 149, una base de datos 150 y uno o más cuartos dispositivos de usuario final 151. Uno o más de los activos de cifrado 140 - 151 pueden usar alguna forma de certificado o clave de cifrado.
En algunas realizaciones, la red 130 puede permitir la comunicación entre el servidor de descubrimiento de cifrado 110, las redes de las empresas 120a, 120b, los segmentos 130a - 130d y/o los activos de cifrado 140 - 151. La red 130 puede ser una red de comunicación de área extensa, tal como, pero sin limitarse a, Internet, o una o más Intranets, redes de área local (LAN), redes de Ethernet, redes de área metropolitana (MAN), una red de área extensa (WAN), combinaciones de los mismos o similares. La red 130 también puede ser una red de datos móviles tal como, pero sin limitarse a, una red de 3G, una red de evolución a largo plazo (LTE), una red de 4G o similares. En realizaciones particulares, la red 130 puede representar una o más redes seguras configuradas con características de seguridad adecuadas, tales como, pero sin limitarse a, cortafuegos, cifrado u otras configuraciones de software o de hardware que inhiben el acceso a las comunicaciones de red por personal o entidades no autorizados.
En algunas realizaciones, el servidor de descubrimiento de cifrado 110 puede incluir una base de datos 115. En algunas realizaciones, el servidor de descubrimiento de cifrado 110 se puede acoplar a la base de datos 115. En algunas realizaciones, la base de datos 115 se puede conectar al servidor de descubrimiento de cifrado 110 a través de la red 130. En algunas realizaciones, la base de datos 115 se puede conectar al servidor de descubrimiento de cifrado 110 a través de otra red adecuada. La base de datos 115 se puede configurar para almacenar o analizar la información de clave extraída recibida de los segmentos 130a - 130d. La base de datos 115 puede utilizar un procesador (por ejemplo, un procesador 210) del servidor de descubrimiento de cifrado 110. Como alternativa, la base de datos 115 puede incluir su propio procesador (tal como, pero sin limitarse a, el procesador 210) para realizar el almacenamiento, análisis, generación de informes u otros procesos descritos con respecto a la base de datos 115 y/o el servidor de descubrimiento de cifrado 110. Ilustrando con un ejemplo no limitante, la base de datos 115 puede ser una base de datos SQLite.
En realizaciones particulares, la base de datos 115 puede ser capaz de almacenar una cantidad mayor de información y proporcionar un nivel mayor de seguridad frente a un acceso no autorizado a información almacenada, que una memoria (por ejemplo, una memoria 220 de la figura 2) del servidor de descubrimiento de cifrado 110. La base de datos 115 puede incluir cualquier dispositivo o sistema de almacenamiento electrónico adecuado, incluyendo, pero sin limitarse a, memoria de acceso aleatorio (RAM), memoria de solo lectura (ROM), discos flexibles, discos duros, llaves USB u otros dispositivos de memoria conectados a una placa sensorial Recomp (RSB) o similares. La base de datos 115 también se puede implementar con un almacenamiento en la nube.
Un servidor de gestión de claves 160 se puede acoplar al servidor de descubrimiento de cifrado 110 y/o la base de datos 115 para realizar las actividades de gestión de claves o de orquestación de claves como se describe en el presente documento.
La figura 2 es un diagrama de bloques de componentes de un ejemplo del servidor de descubrimiento de cifrado 110 (mostrado en la figura 1) de acuerdo con diversas realizaciones. Haciendo referencia a las figuras 1 - 2, el servidor de descubrimiento de cifrado 110 puede incluir al menos un procesador 210, una memoria 220 acoplada operativamente al procesador 210, al menos un dispositivo de salida 230, al menos un dispositivo de entrada 240 y al menos un dispositivo de red 250.
En algunas realizaciones, el servidor de descubrimiento de cifrado 110 puede incluir un ordenador de escritorio, un ordenador central, un ordenador de servidor, un ordenador portátil, un dispositivo de tipo tableta, un dispositivo de teléfono inteligente o similares, configurado con hardware y software para realizar operaciones descritas en el presente documento. Por ejemplo, el servidor de descubrimiento de cifrado 110 puede incluir un ordenador personal (PC) de escritorio típico o dispositivos informáticos de Apple™, que tienen capacidades de procesamiento, memoria, capacidades de interfaz de usuario (por ejemplo, de visualización y de entrada) y capacidades de comunicación adecuadas, cuando se configuran con software de aplicación (u otro software) para realizar operaciones descritas en el presente documento. Por lo tanto, se pueden implementar realizaciones particulares, usando dispositivos procesadores que a menudo ya están presentes en muchos entornos de empresa y de organización, configurando tales dispositivos con procesos de software adecuados descritos en el presente documento. En consecuencia, tales realizaciones se pueden implementar con unos costes de hardware adicionales mínimos. Sin embargo, otras realizaciones del servidor de descubrimiento de cifrado 110 pueden incluir hardware de dispositivo dedicado configurado específicamente para realizar operaciones descritas en el presente documento.
El procesador 210 puede incluir cualquier dispositivo de procesamiento de datos adecuado, tal como un procesador de propósito general (por ejemplo, un microprocesador) pero, como alternativa, el procesador 210 puede ser cualquier procesador, controlador, microcontrolador o máquina de estados convencional. El procesador 210 también se puede implementar como una combinación de dispositivos informáticos, por ejemplo, una combinación de un procesador de señales digitales (DSP) y un microprocesador, una pluralidad de microprocesadores, al menos un microprocesador en conjunto con un núcleo de DSP o cualquier otra configuración de este tipo. El procesador 210 se puede configurar con instrucciones legibles por procesador para realizar características y funciones del servidor de descubrimiento de cifrado 110 como se describe en el presente documento.
La memoria 220 se puede acoplar operativamente al procesador 210 y puede incluir cualquier dispositivo adecuado para almacenar software y datos para controlar el procesador 210 para realizar operaciones y funciones descritas en el presente documento. En particular, la memoria 220 puede almacenar instrucciones legibles por procesador para la aplicación de herramienta de descubrimiento de cifrado. La memoria 220 puede incluir, pero sin limitarse a, una RAM, ROM, discos flexibles, discos duros, llaves USB u otros dispositivos de memoria conectados a RSB, o similares. En algunas realizaciones, la memoria 220 puede ser un componente separado de la base de datos 115. En otras realizaciones, la memoria 220 y la base de datos 115 pueden ser un mismo dispositivo de almacenamiento.
En algunas realizaciones, el servidor de descubrimiento de cifrado 110 puede incluir al menos un dispositivo de salida 230. El dispositivo de salida 230 puede incluir cualquier dispositivo adecuado que proporcione una señal visible, una señal audible, una señal táctil, o cualquier combinación de las mismas, perceptible por el ser humano, incluyendo, pero sin limitarse a, una pantalla táctil, un visualizador de cristal líquido (LCD), un diodo emisor de luz (LED), un tubo de rayos catódicos (CRT), una pantalla de visualización de plasma o de otro tipo adecuada, un altavoz de audio u otro dispositivo de generación de audio, combinaciones de los mismos o similares.
En algunas realizaciones, el servidor de descubrimiento de cifrado 110 puede incluir al menos un dispositivo de entrada 240 que proporciona una interfaz para que el personal (tal como empleados de empresa, técnicos u otros usuarios autorizados) acceda al servidor de descubrimiento de cifrado 110. El dispositivo de entrada 240 puede incluir cualquier dispositivo adecuado que reciba una entrada de un usuario, incluyendo, pero sin limitarse a, uno o más operadores manuales (tales como, pero sin limitarse a, un conmutador, un botón, una pantalla táctil, un botón de mando, un ratón, un teclado, un teclado numérico, un control deslizante o similares), un micrófono o similares.
El dispositivo de red 250 se puede configurar para su conexión con y su comunicación a través de la red 130. El dispositivo de red 250 puede incluir software de interfaz, hardware o combinaciones de los mismos, para su conexión con y su comunicación a través de la red 130. Por ejemplo, el dispositivo de red 250 puede incluir al menos una electrónica de recepción, de transmisión y/o de transcepción inalámbrica acoplada con software para proporcionar un enlace de comunicación inalámbrica con la red 130 (o con un dispositivo conectado a la red). En realizaciones particulares, el dispositivo de red 250 puede operar con el procesador 210 para proporcionar funciones de comunicación cableada o inalámbrica tales como transmitir y recibir como se describe en el presente documento. El dispositivo de red 250 puede proporcionar comunicaciones de acuerdo con normas industriales típicas, tales como, pero sin limitarse a, Internet, o una o más Intranets, LAN, redes de Ethernet, MAN, WAN, red de 3G, red de LTE, red de 4G o similares.
La figura 3 es un diagrama de flujo de proceso que ilustra un ejemplo de un método de descubrimiento de cifrado 300 de acuerdo con diversas realizaciones. Haciendo referencia a las figuras 1 - 3, el procesador 210 del servidor de descubrimiento de cifrado 110 puede obtener información de clave asociada con al menos un segmento, en el bloque B310. Por ejemplo, el procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para interrogar, explorar o solicitar de otro modo el al menos un segmento (por ejemplo, uno o más de los segmentos 130a - 130d) para enviar la información de clave relacionada con uno o más de los activos de cifrado 140 - 151. El servidor de descubrimiento de cifrado 110 puede recibir la información de clave con el dispositivo de red 250 en respuesta.
En el bloque B320, el procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para almacenar la información de clave en la base de datos 115 y/o la memoria 220 de acuerdo con algunas realizaciones. La información de clave se puede organizar o clasificar basándose en criterios adecuados tales como, pero sin limitarse a, exploraciones (interrogaciones), segmentos, activos de cifrado, empresas, categorías de información de clave (por ejemplo, identificador de dispositivo, ubicación de dispositivo, tipo de clave, origen de clave, longitud de clave o fuerza de clave) u otros criterios adecuados.
Con la información almacenada, el procesador 210 del servidor de descubrimiento de cifrado 110 (u otro procesador en un dispositivo separado tal como la base de datos 115) se puede configurar para realizar uno o más de (1) generar al menos un informe de cifrado basándose en la información de clave (el bloque B330), (2) exportar la información de clave (el bloque B340) y/o (3) orquestar claves asociadas con la información de clave basándose en la información de clave (el bloque B350).
Con respecto al bloque B330, el procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para emitir el al menos un informe de cifrado usando la información de clave obtenida en el bloque B310 y almacenada en el bloque B320. El informe de cifrado se puede organizar de manera ilustrativa e informativa para mostrar diversos aspectos de la información de clave. Por ejemplo, el informe de cifrado puede contener información relacionada con un número de activos de cifrado explorados en la obtención de la información de clave, ubicaciones geográficas asociadas con los activos de cifrado, categorías de claves, el certificado/autoridad emisora de claves que emite las claves, la fuerza de cifrado (la fuerza del encriptado), fechas de vencimiento de las claves u otra información técnica relacionada con las claves. El informe de cifrado puede ser compilado, por el procesador 210 del servidor de descubrimiento de cifrado 110 (u otro procesador en un dispositivo separado, tal como la base de datos 115), basándose en información de clave para una o más exploraciones (interrogaciones) particulares, para uno o más segmentos particulares explorados, para uno o más activos de cifrado particulares, para una o más categorías particulares de información de clave, u otros criterios adecuados. Un personal (tal como un agente de seguridad) puede tener una comprensión clara del estado de los certificados y claves de cifrado después de asimilar las vistas estratégicas proporcionadas por los informes y realizar actividades de gestión de claves (por ejemplo, por el servidor de gestión de claves 160) en consecuencia.
El informe se puede generar como una visualización basada en web, tal como en un formato de ventana de navegador. El informe también se puede generar en un formato legible electrónico, tal como en un documento de Microsoft Word, un documento de Microsoft Excel, un Formato de Documento Portátil (PDF) o similares.
Con respecto al bloque B340, el procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para exportar la información de clave desde la base de datos 115 u otro dispositivo de almacenamiento en formatos adecuados tales como, pero sin limitarse a, Microsoft Excel, Valores Separados por Comas (CVS), Modelo Símil (SML) o similares. Ilustrando con un ejemplo no limitante, se puede usar un archivo SML exportado que contiene la información de clave para crear objetos basándose en la información de clave. Esto simplificaría la creación de un objeto haciendo superflua la regeneración de clave o el copiado/pegado de la información de clave. Con respecto al bloque B350, la orquestación de claves (así como la gestión, federación y distribución) puede ser ejecutada por el procesador 210 del servidor de descubrimiento de cifrado 110 u otros procesadores adecuados (por ejemplo, del servidor de gestión de claves 160) para las claves basándose en la información de clave obtenida.
La figura 4 es un diagrama de flujo de proceso que ilustra un ejemplo de un método de descubrimiento de cifrado 400 de acuerdo con diversas realizaciones. Haciendo referencia a las figuras 1 - 4, el método de descubrimiento de cifrado 400 puede corresponder a uno o más bloques del método de descubrimiento de cifrado 300. En particular, los bloques B410 - B420 pueden corresponder al bloque B310. El bloque B430 puede corresponder al bloque B320.
En el bloque B410, el procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para interrogar al menos un segmento en busca de información de clave asociada con activos de cifrado del al menos un segmento. En algunas realizaciones, una entrada de usuario que selecciona el al menos un segmento puede ser recibida por el servidor de descubrimiento de cifrado 110 a través del dispositivo de entrada 240. En algunas realizaciones, el procesador 210 del servidor de descubrimiento de cifrado 110 puede seleccionar automáticamente uno o más segmentos basándose en criterios adecuados tales como, pero sin limitarse a, tiempo desde que se ejecutó la última interrogación (para exploraciones automáticas temporizadas). El procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para solicitar datos que incluyen la información de clave a partir de los activos de cifrado asociados con el al menos un segmento seleccionado. El al menos un segmento seleccionado, así como los activos de cifrado, se pueden identificar con identificadores tales como la dirección de IP. La interrogación se puede realizar para segmentos con el identificador correspondiente.
El procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para interrogar al segmento seleccionado enviando una solicitud materializada en señales a los segmentos seleccionados. En algunas realizaciones, el procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para usar la norma de NMAP para enviar tal solicitud. La norma de NMAP puede ser una herramienta de red para explorar y obtener información detallada relacionada con dispositivos en una red (por ejemplo, el segmento seleccionado), una identidad de puerto, o similares. La información de clave se puede extraer manipulando el NMAP para emitir datos que incluyen la información de clave.
En respuesta a que se seleccionen dos o más segmentos para ser interrogados, el procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para realizar una interrogación como se describe en el presente documento para los dos o más segmentos simultáneamente. El procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para agregar procesos para los dos o más segmentos seleccionados para la interrogación dando instrucciones al NMAP para interrogar los dos o más segmentos seleccionados simultáneamente. En otras realizaciones, los segmentos se pueden interrogar secuencialmente. En el caso o bien simultáneo o bien secuencial, el número de segmentos interrogados por exploración se puede basar en las capacidades de procesamiento del procesador 210.
En el bloque B420, el procesador 210 como acoplado al dispositivo de red 250 del servidor de descubrimiento de cifrado 110 puede recibir la información de clave desde el al menos un segmento en respuesta a la interrogación. En algunas realizaciones, el servidor de descubrimiento de cifrado 110 puede recibir la información de clave desde el al menos un segmento interrogado. En algunas realizaciones, el servidor de descubrimiento de cifrado 110 puede recibir la información de clave directamente de los activos de cifrado correspondientes al al menos un segmento.
Cuando se implementa la norma de NMAP, el servidor de descubrimiento de cifrado 110 puede recibir datos de salida en el formato de NMAP que pueden incluir la información de clave. Los datos de salida pueden ser detallados. El procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para extraer la información de clave de los datos de salida. En particular, el procesador 210 se puede configurar para extraer la información de clave dentro de una capa de datos de los datos de salida de NMAP. Ilustrando con un ejemplo no limitante, se puede extraer si una clave es una clave de Intérprete de Comandos Seguro (SSH), una clave de Capa de Zócalos Seguros (SSL), un criptosistema de Rivest - Shamir - Adleman (RSA), un Algoritmo de Firma Digital (DSA), para determinar un tipo/categoría de clave para la clave. Otra información de clave tal como, pero sin limitarse a, la longitud de clave, la fuerza de clave, la fecha de vencimiento, o similares, también se puede extraer de los datos de salida de NMAP. El procesador 210 se puede configurar para identificar identificadores de datos asociados con tipos de datos de interés (identificador de dispositivo, ubicación de dispositivo, tipo de clave, fecha de vencimiento, origen de clave, longitud de clave, fuerza de clave y/o similares) cuando se filtran los datos de salida. Tales identificadores de datos pueden incluir tipo de archivo de datos, contenido de datos, porciones particulares de datos identificables o similares. Después de la identificación, el procesador puede copiar o mover los datos asociados con los identificadores de datos a la base de datos 115 o a otro dispositivo de almacenamiento adecuado. El procesador 210 puede interaccionar con NMAP con el fin de filtrar/analizar los datos de salida. En otras realizaciones, se pueden usar normas de enumeración de redes y/o de asignación de red adecuadas para obtener la información de clave de una manera similar.
En el bloque B430, la información de clave se puede almacenar de una manera tal como, pero sin limitarse a, la descrita con respecto al bloque B320.
Ilustrando con un ejemplo no limitante, un agente de seguridad de la empresa A 120a puede estar interesado en aprender el estado de cifrado para el segmento A 130a y el segmento B 130b. El agente de seguridad puede seleccionar, a través del dispositivo de entrada 240, el segmento A 130a y el segmento B 130b a interrogar. El procesador 210 del servidor de descubrimiento de cifrado 110 se puede configurar para agregar flujos de trabajo para el segmento A 130a y el segmento B 130b. El procesador 210 puede solicitar (usando la norma de NMAP) tanto el segmento A 130a como el segmento B 130b para la información de clave asociada con activos de cifrado correspondientes basándose en el flujo de trabajo agregado (por ejemplo, en el bloque B410). Entonces se pueden recibir los datos de salida de NMAP (en el bloque B420). El procesador 210 puede extraer la información de clave de los datos de salida de NMAP. La información de clave se puede almacenar (en el bloque B430 o B320). Entonces se pueden realizar procesos de gestión de claves en uno o más de los bloques B330 - B350 (mediante el servidor de gestión de claves 160).
La figura 5 es un diagrama que ilustra un ejemplo de información de clave 500 de acuerdo con diversas realizaciones. Haciendo referencia a las figuras 1 - 5, la información de clave 500 se puede recibir del segmento o los activos de cifrado. La información de clave 500 se puede extraer de los datos de salida de NMAP u otros tipos de datos de salida que incluyen la información de clave 500. La información de clave 500 puede incluir uno o más de, pero sin limitarse a, un identificador de dispositivo 510, una ubicación de dispositivo 520, un tipo de clave 530, una fecha de vencimiento 540, un origen de clave 550, una longitud de clave 560 o una fuerza de clave 570.
En algunas realizaciones, el identificador de dispositivo 510 puede hacer referencia a una descripción adecuada de un activo de cifrado. Los ejemplos del identificador de dispositivo 510 pueden incluir, pero sin limitarse a, un nombre de dispositivo, una dirección de red (por ejemplo, una dirección de IP), una ubicación de dispositivo, una combinación de los mismos, y similares. En algunas realizaciones, la ubicación de dispositivo 520 puede ser una ubicación geográfica en la que se encuentra físicamente el activo de cifrado. En algunas realizaciones, la ubicación de dispositivo 520 puede ser determinada por el procesador 210 basándose en la dirección de red (la dirección de IP) de la empresa, segmento y/o activo de cifrado asociado. Por ejemplo, a partir de la dirección de red obtenida, el procesador 210 puede consultar la base de datos de directorio (por ejemplo, Protocolo Ligero de Acceso a Directorio (LDAP) o Directorio Activo (AD)) de la empresa/segmento para obtener información de dispositivo que incluye en dónde está el activo de cifrado asociado con la dirección de red. En algunas realizaciones, la ubicación de dispositivo 520 se puede recibir directamente como parte de la información de clave 500 sin una determinación adicional. Por ejemplo, se pueden transmitir datos de Sistema de Posicionamiento Global (GPS) determinados con chips de GPS integrados en el activo de cifrado, el servidor de empresa o el servidor de segmento al servidor de descubrimiento de cifrado 110.
En algunas realizaciones, el tipo de clave 530 se puede referir a una categoría o clasificación de la clave. Los ejemplos del tipo de clave 530 pueden incluir, pero sin limitarse a, pública, privada, SSH, SSL, RSA, DSA, autofirmada, firmada por una Autoridad Emisora de Certificación (CA) y similares. En algunas realizaciones, la fecha de vencimiento 540 puede ser un momento dado en el que la clave puede vencer o dejar de ser válida. Los datos de vencimiento 540 se pueden generar cuando la clave es generada por la CA.
En algunas realizaciones, el origen de clave 550 puede ser una fuente que generó la clave. En particular, la clave puede ser generada por el activo de cifrado (autofirmado), una CA (por ejemplo, Microsoft), un proveedor o similares. En algunas realizaciones, la longitud de clave 560 se puede referir a un tamaño de la clave en bits. En algunas realizaciones, la fuerza de clave 570 se puede referir al nivel de seguridad criptográfica (la fuerza críptica) de la clave.
La figura 6 es una pantalla de visualización 600 que muestra un ejemplo de un informe de cifrado 610 de acuerdo con diversas realizaciones. Haciendo referencia a las figuras 1 - 6, la pantalla de visualización 600 se puede generar como una página web. El informe de cifrado 610 se puede visualizar de acuerdo con el bloque B330 de acuerdo con algunas realizaciones. El informe de cifrado 610 se puede generar para una interrogación particular (por interrogación) o para una exploración particular (por exploración). Cada acto de interrogación puede ser para al menos un segmento dentro de una misma empresa o dos o más segmentos dentro de dos o más empresas diferentes. El informe de cifrado 610 puede contener al menos una porción de la información de clave (por ejemplo, la información de clave 500) de acuerdo con algunas realizaciones. Ilustrando con un ejemplo no limitante, el informe de cifrado 610 puede contener información relacionada con uno o más del identificador de dispositivo 510, la ubicación de dispositivo 520, el tipo de clave 530, la fecha de vencimiento 540, el origen de clave 550, la longitud de clave 560 o la fuerza de clave 570.
La pantalla de visualización 600 puede incluir textos (por ejemplo, una porción de texto 620) que muestren estadísticas basándose en la información de clave (por ejemplo, la información de clave 500). En el ejemplo no limitante de la pantalla de visualización 600, se pueden visualizar un número de activos de cifrado totales explorados, un número de puertos cifrados ubicados, un número de claves públicas, un número de claves SSH, un número de certificados SSL, un número de RSA, un número de DSA, un número de certificados autofirmados y un número de certificados firmados por CA.
La pantalla de visualización 600 también puede incluir al menos un gráfico (por ejemplo, un primer gráfico 630, un segundo gráfico 640, un tercer gráfico 650 o similares) u otros tipos de representaciones visuales generadas basándose en la información de clave (por ejemplo, la información de clave 500). Ilustrando con el ejemplo no limitante, el primer gráfico 630 puede ser un diagrama circular que representa la fuerza de cifrado (por ejemplo, la fuerza de cifrado 570) de las claves. La fuerza de cifrado se puede dividir en niveles adecuados tales como, pero sin limitarse a, "débil", "medio" o "fuerte". El segundo gráfico 640 puede ser un diagrama circular que representa tipos de clave (por ejemplo, el tipo de clave 530), que pueden ser SSL, SSH o tipos de clave adicionales/alternativos (por ejemplo, r Sa , DSA o similares). El tercer gráfico 650 puede ser un diagrama de barras que representa fechas de vencimiento (por ejemplo, la fecha de vencimiento 540) de las claves.
La pantalla de visualización 600 puede incluir además al menos un elemento interactivo de usuario (por ejemplo, un elemento de descarga 695) para descargar o exportar de otro modo el informe de cifrado 610 o la información de clave asociada con el informe de cifrado 610 particular de acuerdo con el bloque B340.
Las diversas realizaciones ilustradas y descritas se proporcionan simplemente como ejemplos para ilustrar diversas características de las reivindicaciones. Sin embargo, las características mostradas y descritas con respecto a cualquier realización dada no se limitan necesariamente a la realización asociada y se pueden usar o combinar con otras realizaciones que se muestran y se describen. Además, no se pretende que las reivindicaciones estén limitadas por realización ilustrativa concreta alguna.
Las descripciones de métodos anteriores y los diagramas de flujo de proceso se proporcionan simplemente como ejemplos ilustrativos y no se pretende que requieran o impliquen que las etapas de diversas realizaciones se hayan de realizar en el orden presentado. Como será apreciado por un experto en la materia, el orden de las etapas en las realizaciones anteriores se puede realizar en cualquier orden. No se pretende que expresiones tales como "a continuación de lo anterior", "entonces", "siguiente", etc., limiten el orden de las etapas; estas expresiones se usan simplemente para guiar al lector a través de la descripción de los métodos. Además, no se ha de interpretar que referencia alguna a elementos de reivindicación en número singular, por ejemplo, usando los artículos "un", "una", "el" o "la", limite el elemento a un número singular.
Los diversos bloques lógicos, módulos, circuitos y etapas de algoritmo ilustrativos descritos en relación con las realizaciones divulgadas en el presente documento se pueden implementar como hardware electrónico, software informático, o combinaciones de ambos. Para ilustrar de manera clara esta intercambiabilidad de hardware y software, se han descrito diversos componentes, bloques, módulos, circuitos y etapas ilustrativos anteriormente en general en términos de su funcionalidad. Que tal funcionalidad se implemente como hardware o software depende de la aplicación particular y de restricciones de diseño impuestas al sistema global. Los expertos en la materia pueden implementar la funcionalidad descrita en manera variable para cada aplicación particular, pero tales decisiones de implementación no deberían interpretarse como que provocan un alejamiento del alcance de la presente invención.
El hardware usado para implementar las diversas lógicas ilustrativas, bloques lógicos, módulos y circuitos descritos en relación con las realizaciones divulgadas en el presente documento se puede implementar o realizarse con un procesador de propósito general, un procesador de señales digitales (DSP), un circuito integrado de aplicación específica (ASIC), una matriz de puertas programables en campo (FPGA) u otro dispositivo lógico programable, puerta discreta o lógica de transistores, componentes de hardware discretos o cualquier combinación de los mismos diseñada para realizar las funciones descritas en el presente documento. Un procesador de propósito general puede ser un microprocesador pero, como alternativa, el procesador puede ser cualquier procesador, controlador, microcontrolador o máquina de estados convencional. Un procesador también se puede implementar como una combinación de dispositivos informáticos, por ejemplo, una combinación de un DSP y un microprocesador, una pluralidad de microprocesadores, uno o más microprocesadores en conjunto con un núcleo de DSP o cualquier otra configuración de este tipo. Como alternativa, algunas etapas o métodos se pueden realizar mediante un conjunto de circuitos que sea específico de una función dada.
En algunas formas de realización ilustrativas, las funciones descritas se pueden implementar en hardware, software, firmware o cualquier combinación de los mismos. Si se implementan en software, las funciones se pueden almacenar como una o más instrucciones o código en un medio de almacenamiento legible por ordenador no transitorio o un medio de almacenamiento legible por procesador no transitorio. Las etapas de un método o algoritmo divulgadas en el presente documento se pueden materializar en un módulo de software ejecutable por procesador que puede residir en un medio de almacenamiento legible por ordenador o legible por procesador no transitorio. Los medios de almacenamiento legibles por ordenador o legibles por procesador no transitorios pueden ser cualquier medio de almacenamiento al que se pueda acceder mediante un ordenador o un procesador. A modo de ejemplo pero no de limitación, tales medios legibles por procesador y legibles por ordenador no transitorios pueden incluir RAM, ROM, EEPROM, memoria FLASH, CD-ROM u otro almacenamiento en disco óptico, almacenamiento en disco magnético u otros dispositivos de almacenamiento magnético, o cualquier otro medio que se pueda usar para almacenar código de programa deseado en forma de instrucciones o estructuras de datos y al que se puede acceder mediante un ordenador. Disco magnético y disco óptico, como se usan en el presente documento, incluyen disco compacto (CD), disco láser, disco óptico, disco versátil digital (DVD), disco flexible y disco Blu-ray en donde los discos magnéticos habitualmente reproducen datos magnéticamente, mientras que los discos ópticos reproducen datos ópticamente con láseres. También se incluyen combinaciones de lo anterior dentro del alcance de los medios legibles por procesador y legibles por ordenador no transitorios. Además, las operaciones de un método o algoritmo pueden residir como uno o cualquier combinación o conjunto de códigos y/o instrucciones en un medio de almacenamiento legible por procesador y/o medio de almacenamiento legible por ordenador, no transitorio, que se puede incorporar a un producto de programa informático.
La descripción anterior de las realizaciones divulgadas se proporciona para posibilitar que cualquier experto en la materia realice o use la presente invención. Diversas modificaciones a estas realizaciones serán inmediatamente evidentes a los expertos en la materia, y los principios genéricos definidos en el presente documento se pueden aplicar a algunas realizaciones sin apartarse del alcance de la invención como se define mediante las reivindicaciones siguientes.

Claims (8)

REIVINDICACIONES
1. Un método para descubrir información de clave, que comprende:
interrogar al menos un segmento (130a - d) en busca de información de clave (500) asociada con claves de cifrado correspondientes a cada uno de los activos de cifrado del al menos un segmento;
recibir datos de salida que incluyen la información de clave asociada con las claves de cifrado desde el al menos un segmento en un formato de asignación de red como resultado de la interrogación;
extraer la información de clave (500) asociada con las claves de cifrado de los datos de salida;
almacenar la información de clave (500); y realizar una actividad de gestión de claves basándose en la información de clave almacenada;
en donde la información de clave comprende al menos uno de: un identificador de dispositivo, una ubicación de dispositivo, un tipo de clave, un origen de clave, una longitud de clave o una fuerza de clave; y
en donde el formato de asignación de red es un formato de Asignador de Red (NMAP), y la información de clave asociada con las claves de cifrado se extrae dentro de una capa de datos de los datos de salida en el formato de NMAP.
2. El método de la reivindicación 1, que comprende además recibir una entrada de usuario para seleccionar el al menos un segmento.
3. El método de la reivindicación 1, en donde los activos de cifrado comprenden al menos dos de un servidor de archivos, un servidor web, un servidor de aplicaciones, un servidor de certificados, un servidor de correo, un servidor de directorio, un servidor de Protocolo de T ransferencia de Archivos (FTP), una base de datos, un servidor de gestión, un servidor de comercio electrónico o dispositivos de usuario final.
4. El método de la reivindicación 1, en donde la actividad de gestión de claves comprende generar al menos un informe de cifrado (610) basándose en la información de clave (500).
5. El método de la reivindicación 4, en donde el informe de cifrado se genera en una página web.
6. El método de la reivindicación 1, en donde la actividad de gestión de claves comprende exportar la información de clave (500) y/u orquestar claves basándose en la información de clave.
7. Un programa informático que comprende instrucciones legibles por procesador que, cuando se ejecutan, hacen que un procesador realice un método para descubrir información de clave de acuerdo con una cualquiera de las reivindicaciones anteriores.
8. Un servidor (110) para descubrir información de clave, comprendiendo el servidor:
una base de datos (115);
un procesador configurado con instrucciones legibles por procesador para realizar un método para descubrir información de clave de acuerdo con cualquiera de las reivindicaciones 1 a 6.
ES16852317T 2015-09-28 2016-09-20 Descubrimiento de implementación de cifrado Active ES2857501T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562233900P 2015-09-28 2015-09-28
US15/269,310 US10257175B2 (en) 2015-09-28 2016-09-19 Encryption deployment discovery
PCT/US2016/052666 WO2017058574A1 (en) 2015-09-28 2016-09-20 Encryption deployment discovery

Publications (1)

Publication Number Publication Date
ES2857501T3 true ES2857501T3 (es) 2021-09-29

Family

ID=58407608

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16852317T Active ES2857501T3 (es) 2015-09-28 2016-09-20 Descubrimiento de implementación de cifrado

Country Status (14)

Country Link
US (1) US10257175B2 (es)
EP (2) EP3787224A1 (es)
JP (1) JP6880040B2 (es)
KR (1) KR20180050414A (es)
AU (2) AU2016332203B2 (es)
CA (1) CA2999469A1 (es)
DK (1) DK3363148T3 (es)
ES (1) ES2857501T3 (es)
HU (1) HUE052708T2 (es)
IL (1) IL258249B (es)
PL (1) PL3363148T3 (es)
PT (1) PT3363148T (es)
UA (1) UA125506C2 (es)
WO (1) WO2017058574A1 (es)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10630686B2 (en) 2015-03-12 2020-04-21 Fornetix Llc Systems and methods for organizing devices in a policy hierarchy
US10931653B2 (en) 2016-02-26 2021-02-23 Fornetix Llc System and method for hierarchy manipulation in an encryption key management system
US10860086B2 (en) 2016-02-26 2020-12-08 Fornetix Llc Policy-enabled encryption keys having complex logical operations
US10880281B2 (en) 2016-02-26 2020-12-29 Fornetix Llc Structure of policies for evaluating key attributes of encryption keys
US11063980B2 (en) 2016-02-26 2021-07-13 Fornetix Llc System and method for associating encryption key management policy with device activity
US10917239B2 (en) 2016-02-26 2021-02-09 Fornetix Llc Policy-enabled encryption keys having ephemeral policies
JP7393209B2 (ja) 2017-01-26 2023-12-06 センパー フォーティス ソリューションズ リミテッド ライアビリティ カンパニー マルチテナントクラウドにおける複数のシングルレベルセキュリティ(msls)

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4240930B2 (ja) * 2002-07-15 2009-03-18 株式会社日立製作所 複数ネットワークストレージの仮送想一元化方法及び装置
US20060178954A1 (en) 2004-12-13 2006-08-10 Rohit Thukral Iterative asset reconciliation process
US7457824B1 (en) * 2004-12-28 2008-11-25 Emc Corporation Methods and apparatus for managing groups of resources
JP2007272868A (ja) * 2006-03-07 2007-10-18 Sony Corp 情報処理装置、情報通信システム、および情報処理方法、並びにコンピュータ・プログラム
KR101482211B1 (ko) * 2008-03-10 2015-01-15 삼성전자 주식회사 이동성을 지원하는 서버, 단말 장치 및 방법
CN102055747B (zh) 2009-11-06 2014-09-10 中兴通讯股份有限公司 获取密钥管理服务器信息的方法、监听方法及系统、设备
CN102098278B (zh) * 2009-12-15 2015-01-21 华为技术有限公司 用户接入方法、系统及接入服务器、接入设备
WO2013009621A1 (en) * 2011-07-08 2013-01-17 Venafi, Inc. System for managing cryptographic keys and trust relationships in a secure shell (ssh) environment
EP2731040B1 (en) * 2012-11-08 2017-04-19 CompuGroup Medical SE Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
US8995667B2 (en) 2013-02-21 2015-03-31 Telefonaktiebolaget L M Ericsson (Publ) Mechanism for co-ordinated authentication key transition for IS-IS protocol
US9253171B2 (en) * 2013-06-20 2016-02-02 Raytheon Cyber Products, Llc Distributed network encryption key generation
US9124430B2 (en) * 2013-09-23 2015-09-01 Venafi, Inc. Centralized policy management for security keys
US9461969B2 (en) 2013-10-01 2016-10-04 Racemi, Inc. Migration of complex applications within a hybrid cloud environment
US9958955B2 (en) * 2014-07-02 2018-05-01 Suzhou Snail Technology Digital Co., Ltd. Key function conversion method, key function conversion device and electronic equipment
US9894042B2 (en) * 2015-07-24 2018-02-13 Skyhigh Networks, Inc. Searchable encryption enabling encrypted search based on document type

Also Published As

Publication number Publication date
WO2017058574A1 (en) 2017-04-06
UA125506C2 (uk) 2022-04-13
EP3363148A1 (en) 2018-08-22
US10257175B2 (en) 2019-04-09
IL258249A (en) 2018-05-31
JP6880040B2 (ja) 2021-06-02
DK3363148T3 (da) 2021-02-15
JP2018530283A (ja) 2018-10-11
US20170093819A1 (en) 2017-03-30
EP3363148B1 (en) 2020-11-11
PL3363148T3 (pl) 2021-10-25
PT3363148T (pt) 2021-02-15
KR20180050414A (ko) 2018-05-14
EP3363148A4 (en) 2019-07-24
IL258249B (en) 2020-07-30
AU2016332203A1 (en) 2018-04-12
AU2021201768A1 (en) 2021-04-15
HUE052708T2 (hu) 2021-05-28
EP3787224A1 (en) 2021-03-03
CA2999469A1 (en) 2017-04-06
AU2016332203B2 (en) 2020-12-24

Similar Documents

Publication Publication Date Title
ES2857501T3 (es) Descubrimiento de implementación de cifrado
Idrees et al. Security aspects of blockchain technology intended for industrial applications
US11200323B2 (en) Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios
US9015812B2 (en) Transparent control of access invoking real-time analysis of the query history
CN103181125A (zh) 访问限制装置、访问限制程序以及访问限制方法
Adeniyi et al. Secure sensitive data sharing using RSA and ElGamal cryptographic algorithms with hash functions
Merlec et al. A consortium blockchain-based secure and trusted electronic portfolio management scheme
Al-Eidi et al. Covert timing channel analysis either as cyber attacks or confidential applications
Thammarat Efficient and secure NFC authentication for mobile payment ensuring fair exchange protocol
Amjad et al. Blockchain based authentication and cluster head selection using DDR-LEACH in internet of sensor things
Paul et al. Towards design and development of a data security and privacy risk management framework for WBAN based healthcare applications
Tsantikidou et al. Threats, Attacks, and cryptography frameworks of cybersecurity in critical infrastructures
Silva-García et al. Generation of boxes and permutations using a bijective function and the Lorenz equations: An application to color image encryption
Zhang et al. A Chunked and Disordered Data Privacy Protection Algorithm: Application to Resource Platform Systems
US20230004655A1 (en) Systems and methods for accelerating cybersecurity assessments
CN112929177B (zh) 应用于区块链服务器的区块链匿名用户审计方法、系统
AlShalaan et al. Enhancing Organizational Data Security on Employee-Connected Devices Using BYOD Policy
Aljbour et al. UNI-CERT: A Unified Computer Emergency Response Teams Model for Malware Information Sharing Platform
US20200186348A1 (en) System and method for selective transparency for public ledgers
CN113783828A (zh) 一种业务系统监控方法和装置
Tran et al. FN-GNN: a novel graph embedding approach for enhancing graph neural networks in network intrusion detection systems
Halder et al. A Blockchain-Based Decentralized Public Key Infrastructure Using the Web of Trust
Ghosh et al. Improved End-to-End Data Security Approach for Cloud Computing
CA2876464A1 (en) Application decomposition using data obtained from external tools for use in threat modeling
Younis et al. Design and implementation of an IoT-based transactional system for quality management