ES2891309T3 - Método y sistema de encriptación - Google Patents

Método y sistema de encriptación Download PDF

Info

Publication number
ES2891309T3
ES2891309T3 ES16709501T ES16709501T ES2891309T3 ES 2891309 T3 ES2891309 T3 ES 2891309T3 ES 16709501 T ES16709501 T ES 16709501T ES 16709501 T ES16709501 T ES 16709501T ES 2891309 T3 ES2891309 T3 ES 2891309T3
Authority
ES
Spain
Prior art keywords
image
user
message
validation
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16709501T
Other languages
English (en)
Inventor
Peter Landrock
Guillaume Forget
Pedersen Torben Pryds
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cryptomathic Ltd
Original Assignee
Cryptomathic Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cryptomathic Ltd filed Critical Cryptomathic Ltd
Application granted granted Critical
Publication of ES2891309T3 publication Critical patent/ES2891309T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Collating Specific Patterns (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Lock And Its Accessories (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Absorbent Articles And Supports Therefor (AREA)

Abstract

Sistema de validación y autenticación para autenticar y validar mensajes y/o un usuario, comprendiendo el sistema: un almacén de datos (18a) que almacena una o más huellas digitales asociadas a dispositivos de formación de imágenes de usuario (16), donde la una o más huellas digitales están basadas, cada una, en una foto respuesta no uniforme, PRNU, asociada a un dispositivo de formación de imágenes de usuario correspondiente de entre los dispositivos de formación de imágenes de usuario; un módulo de comunicación (18f) configurado para: recibir un mensaje M; recibir (S106) una solicitud de validación y autenticación de al menos uno de entre el mensaje M y un usuario utilizando dicho dispositivo de formación de imágenes de usuario y recibir (S108) una imagen PM del mensaje M capturado mediante un dispositivo de formación de imágenes de usuario asociado a dicho usuario; y un módulo de validación de imagen (18) para analizar (S110) la imagen PM recibida para determinar si la imagen es válida mediante la determinación (S112) de si la imagen PM recibida comprende una PRNU que coincide con una de la una o más huellas digitales almacenadas en el almacén de datos y para determinar si la imagen PM recibida es auténtica mediante la extracción de datos de la imagen PM recibida y la comparación de los datos extraídos con el mensaje M; y donde, si se determina que la imagen PM recibida es auténtica y válida, el módulo de validación de imagen genera (S114) una respuesta a la solicitud.

Description

DESCRIPCIÓN
Método y sistema de encriptación
CAMPO DE LA INVENCIÓN
[0001] La invención se refiere a sistemas y métodos para validar y autenticar mensajes o versiones representadas visualmente de mensajes electrónicos, para autenticar usuarios y para proporcionar firmas digitales.
ANTECEDENTES DE LA INVENCIÓN
[0002] El rápido crecimiento y desarrollo de la tecnología de Internet ha dado lugar a la aparición de nuevas formas de realizar transacciones, intercambiar información y llevar a cabo actividades de "comercio electrónico" o "administración electrónica". En general, el comercio electrónico se utiliza para describir una amplia gama de transacciones comerciales realizadas en o a través de Internet, incluyendo la venta al por menor y la comercialización directa, la compra de bienes y servicios, y el término administración electrónica se utiliza para describir el uso de tecnologías para facilitar el funcionamiento de la administración y la dispersión de la información y los servicios gubernamentales, incluyendo el intercambio de documentos fiables.
[0003] El paso a la digitalización ha creado un nuevo paradigma de seguridad en el que conceptos clave como la autenticidad y el no repudio son de importancia primordial para todas las partes implicadas en el comercio electrónico o en las transacciones de la administración electrónica. Las firmas digitales son una forma de abordar esta cuestión. Sin embargo, sigue siendo un desafío garantizar que los datos de la transacción no han sido alterados cuando se presentan a la parte interesada que autoriza la transacción, y que la parte interesada los acepta voluntariamente. Los estafadores se aprovechan de las vulnerabilidades de los protocolos, los navegadores u otros programas informáticos para lanzar ataques "man-in-the-middle" o "man-in-the-browsef que toman el control de la capa de comunicación entre las partes que intentan realizar una transacción, y proceden a alterar los datos de la transacción sin ser detectados. Por ejemplo, se ha demostrado que ataques sofisticados como el "cross site scripting avanzado" permiten a los estafadores secuestrar la sesión de navegación de la víctima y alterar el contenido que se le muestra a la víctima en su navegador de Internet.
[0004] Las tarjetas inteligentes de infraestructura de clave pública (PKI) también pueden ser propensas a este tipo de ataques. Por ejemplo, se ha demostrado que el uso de una tarjeta de acceso común (cAc , por sus siglas en inglés) emitida por el Departamento de Defensa de EE.UU. en una estación de trabajo que no es de confianza puede permitir que se realicen diversos ataques mediante software malicioso. Estos ataques van desde la simple suplantación del PIN hasta otros ataques más graves, como la aplicación de firmas en transacciones no autorizadas y la realización de autenticación de usuarios sin consentimiento.
[0005] En general, hay una serie de esquemas que pueden utilizarse para autenticar las transacciones:
• Los esquemas de autenticación permiten a la parte A (por ejemplo, un usuario) demostrar a la parte B (por ejemplo, un proveedor de un servicio bancario en línea) que él es A, pero otra persona no puede demostrar a B que él es A. Un ejemplo de esquema de autenticación es uno que utiliza técnicas de cifrado simétrico junto con una clave compartida.
• Los esquemas de identificación permiten a A demostrar a B que él es A, pero B no puede demostrar a otra persona que él es A. En los protocolos basados en software, los esquemas de identificación fuertes utilizan técnicas de clave pública. Estas técnicas demuestran que la clave privada de A estaba implicada en la transacción, pero no necesitan que la clave de A se aplique a un mensaje que presenta un contenido en concreto. Los esquemas de identificación denominados de conocimiento cero se incluyen en esta categoría.
• Los esquemas de firma permiten a A demostrar a B que él es A, pero B no puede ni siquiera demostrarse a sí mismo que él es A. En el esquema de firma seguro, el protocolo subyacente no puede ser simulado por B, a diferencia de lo que ocurre en un esquema de identificación en el que esto puede ser posible.
[0006] En una implementación concreta de un esquema de firma, se necesita que los usuarios lleven sus claves privadas almacenadas en un dispositivo de creación de firma local, como una tarjeta inteligente o un lápiz de firma que incluya un microchip. Este enfoque tiene algunos inconvenientes, ya que requiere la disponibilidad de un puerto USB y/o un lector de tarjetas inteligentes para poder utilizar la clave privada. El coste unitario combinado del lector de tarjetas inteligentes y de la tarjeta inteligente también impide grandes despliegues en el comercio minorista. Además, tales dispositivos periféricos pueden no ser adecuados para las transacciones basadas en la web, y puede haber problemas de compatibilidad entre dispositivos antiguos y modernos, o diferentes marcas de dispositivos. También resulta fundamental que el usuario mantenga el dispositivo de creación de firma en una ubicación segura que impida su movilidad y facilidad de uso. Debido a estos inconvenientes, este enfoque no se ha aplicado a gran escala, y generalmente se limita a entornos controlados con pocos usuarios.
[0007] Un enfoque alternativo para un esquema de firma se describe en EP1364508B1. Este esquema utiliza un dispositivo de creación de firma central (seguro) que almacena de manera centralizada claves privadas para la creación de una firma para un usuario, al mismo tiempo que garantiza que su propietario conserva el control único sobre ellas. Este enfoque es utilizado ampliamente en la actualidad, por ejemplo, en Dinamarca, Noruega y Luxemburgo, por casi todos los ciudadanos, empresas y organizaciones de servicios públicos.
[0008] Durante los últimos 30 años, han evolucionado también varias otras soluciones comerciales, que se han vuelto cada vez más avanzadas, debido a que los ataques se han vuelto cada vez más complejos. Las soluciones menos seguras proporcionan cierto grado de seguridad de sesión, que tratan de identificar al usuario únicamente, pero no aseguran el propio mensaje de transacción. Por ejemplo, una de las primeras soluciones se basaba en el envío de una contraseña estática con el mensaje. Las soluciones más recientes se basan en contraseñas de un solo uso (CUU) que se envían con el mensaje, donde las CUU se generan independientemente del contenido del mensaje.
[0009] Con la llegada de los teléfonos inteligentes, ha aparecido una gama de nuevas oportunidades. Estas se han aprovechado, por ejemplo, en los documentos EP1969880 y EP1959374 en los que se utiliza hardware dedicado para cumplir con los dos requisitos anteriores en relación con la autenticación y la identificación, aunque a costa de necesitar hardware bastante caro.
[0010] Una forma de garantizar que un usuario autoriza o firma la transacción que pretendía realizar es ofrecer una funcionalidad efectiva de What You See Is What You Sign (Lo que se ve es lo que se firma) para autenticar las transacciones electrónicas. Este concepto lo introdujeron Peter Landrock y Torben Pedersen en "WYSIWYS? What you see is what you sign?" - Information Technology Technical Report, Elsevier Vol 3, n.° 2, 1998. Sin embargo, ninguno de los enfoques mencionados garantiza la funcionalidad WYSIWYS sin necesitar la implementación de otras medidas, como la confirmación de voz o el uso de canales separados fuera de banda. Una importante materialización de WYSIWYS, aunque quizá no sea la más fácil de usar, es el programa de autenticación de chip (CAP, por sus siglas en inglés), desarrollado por MasterCard y adoptado posteriormente por Visa como Dynamic Passcode Authentication [DPA] (Autenticación de contraseña dinámica). CAP y DPA requieren un lector de tarjetas autónomo y una tarjeta chip EMV de débito o crédito.
[0012] Una vez haya proporcionado el usuario los detalles de un pago, por ejemplo, en una estación de trabajo, se le solicita que acople su tarjeta chip de débito o tarjeta de crédito en el lector de tarjetas tecleando su PIN y eligiendo la función "firmar". A continuación, se le pide que teclee la cantidad que debe pagar y la cuenta del beneficiario, y su tarjeta chip de crédito o de débito genera un código de autorización de mensajes (MAC, por sus siglas en inglés) que se muestra en el lector. A continuación, teclea el MAC y su transacción en su estación de trabajo. La criptografía tras este método es un sistema de cifrado simétrico con una clave compartida entre la tarjeta de pago y el servidor (backend) del banco. Este parece ser un esquema de autenticación que se incluye en la definición expuesta anteriormente. No obstante, como la clave de la tarjeta chip de pago y el servidor del banco se protegen mediante hardware inviolable, presumiblemente se trata, de hecho, de un esquema de firma. No obstante, el sistema CAP se utiliza ampliamente para realizar transacciones bancarias electrónicas de forma segura.
[0013] Por consiguiente, se puede lograr WYSIWYS empleando una combinación de técnicas de criptografía simétrica y hardware inviolable. Sin embargo, los esquemas de firma basados en técnicas de clave pública resultan especialmente útiles, si no imprescindibles, en comercio electrónico, donde muchas partes independientes se comunican con otras partes independientes (p. ej., múltiples clientes que compran bienes de múltiples vendedores diferentes), al contrario que en banca electrónica, donde la comunicación es de muchos a uno (es decir, múltiples clientes del banco para un banco concreto). Además, ninguno de los métodos y técnicas descritos anteriormente han abordado la necesidad de proporcionar una funcionalidad WYSIWYS resistente destinada a una firma electrónica legalmente vinculante llevada a cabo por un dispositivo de creación de firma local o central, (SCD, por sus siglas en inglés), según lo definido en el Reglamento del Parlamento Europeo relativo a la identificación electrónica y los servicios de confianza (http://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=uriserv:OJ.L_.2014.257.0l.0073.01.ENG) y en la Directiva sobre firmas electrónicas [Directiva 1999/93/EC].
[0013] En la solicitud de patente internacional WO2014/199128, que se incorpora a la presente memoria por referencia en su totalidad, el solicitante describió un método y un aparato para solicitar y proporcionar una firma digital a partir del concepto WYSIWYS. En WO2014/199128, el solicitante describió un método para generar una firma en nombre de un usuario que tiene un primer y un segundo dispositivo de usuario, donde el método comprende recibir una solicitud del primer dispositivo de usuario para crear una firma para un primer mensaje M; generar un desafío de validación utilizando un segundo mensaje M' que se basa en el primer mensaje M y un primer secreto compartido con el usuario; enviar el desafío de validación al usuario para permitir que el segundo dispositivo de usuario regenere el segundo mensaje M'; recibir un código de validación del segundo dispositivo de usuario, el código de validación que confirma la solicitud de crear una firma; y generar la firma para el usuario para el primer mensaje M. Un aspecto central de este concepto es la interacción entre el primer y el segundo dispositivo de usuario, donde los dos dispositivos están preferiblemente separados el uno del otro. La solicitud de una firma se recibe desde el primer dispositivo de usuario y se confirma desde el segundo dispositivo de usuario antes de que se cree la firma. Además, el desafío de validación se genera de modo que se pueda volver a crear el mensaje en el segundo dispositivo de usuario para que un usuario pueda ver el mensaje antes de confirmar la solicitud de firma. En consecuencia, se proporciona la funcionalidad "Lo que se ve es lo que se firma" (WYSIWYS) en la que la firma digital se genera sobre un valor hash del mensaje. Sin embargo, un inconveniente de este método es que el usuario tiene que confiar en que está firmando un hash sobre el mensaje que ha visto. El usuario no sabe si está firmando un hash sobre el mensaje original visto, o sobre algún otro mensaje fraudulento.
[0014] Por lo tanto, el presente solicitante ha reconocido la necesidad de obtener métodos y sistemas mejorados para realizar transacciones seguras, utilizando preferentemente el concepto WYSIWYS. Aunque estos métodos y sistemas mejorados pueden utilizarse para garantizar el control exclusivo del usuario durante el proceso de firma, los expertos en la materia observarán que pueden utilizarse igualmente para la autenticación de usuario en situaciones que no requieren la autenticación de transacciones.
[0015] El documento US 2014/282961 A1 da a conocer la autenticación de un usuario al proporcionar una imagen que contiene un identificador al usuario, tomando el usuario una foto de la imagen, obteniendo un identificador de dicha imagen y devolviendo dicho identificador al proveedor de la imagen. El documento US 2012/144458 A1 da a conocer la autenticación de un usuario al proporcionar una imagen al usuario, tomando el usuario una foto de la imagen y enviando la foto al proveedor de la imagen, donde se compara la imagen con la imagen enviada.
SUMARIO DE LA INVENCIÓN
[0016] De acuerdo con un primer aspecto de la invención, se proporciona un sistema de validación y autenticación para validar y autenticar mensajes, comprendiendo el sistema: un almacén de datos que almacena uno o más rastros digitales asociados con dispositivos de formación de imágenes de usuario donde la una o más huellas digitales se basan, cada una, en una foto respuesta no uniforme (PRNU, por sus siglas en inglés) asociada con un dispositivo de formación de imágenes de usuario correspondiente de entre los dispositivos de formación de imágenes de usuario; un módulo de comunicación configurado para: recibir un mensaje M; recibir una solicitud de validación y autenticación del al menos uno de entre el mensaje M y un usuario; y recibir una imagen Pm del mensaje M capturada mediante un dispositivo de formación de imágenes de usuario; y un módulo de validación de imagen para analizar la imagen Pm recibida utilizando una o más técnicas de procesamiento de imágenes para determinar si la imagen es válida, determinando si la imagen Pm recibida comprende una PRNU que coincide con una de la una o más huellas digitales almacenadas en el almacén de datos, y para determinar si la imagen Pm recibida es auténtica, extrayendo datos de la imagen Pm recibida y comparando los datos extraídos con el mensaje M, donde, si se determina que la imagen Pm recibida es válida y auténtica, el módulo de validación de imagen genera una respuesta a la solicitud.
[0017] De acuerdo con un segundo aspecto de la invención, se proporciona un método de validación y autenticación de un mensaje, comprendiendo el método: recibir un mensaje M que debe ser validado y autenticado; recibir una solicitud de validación y autenticación de al menos uno de entre el mensaje M o un usuario; recibir una imagen Pm del mensaje M capturada mediante un dispositivo de formación de imágenes de usuario; analizar la imagen Pm recibida para determinar si la imagen es válida, determinando si la imagen Pm recibida comprende una foto respuesta no uniforme (PRNU) que coincida con una de una o más huellas digitales almacenadas en un almacén de datos, donde dicha una o más huellas digitales se basan, cada una, en una PRNU asociada a un dispositivo de formación de imágenes de usuario, y determinar si la imagen es auténtica extrayendo datos de la imagen Pm recibida y comparando los datos extraídos con el mensaje M; y generar, si la imagen es válida y auténtica, una respuesta a la solicitud.
[0018] Las siguientes características se aplican a ambos aspectos de la invención.
[0019] La presente invención se define por las reivindicaciones independientes adjuntas. Las reivindicaciones dependientes constituyen modos de realización de la invención. Los modos de realización de la siguiente descripción que no estén cubiertos por las reivindicaciones adjuntas no se consideran parte de la presente invención.
[0020] Los rastros digitales también pueden denominarse huellas dactilares (digitales) y los términos pueden utilizarse indistintamente a continuación. En términos generales, los modos de realización de la presente invención proporcionan métodos y sistemas que utilizan técnicas de procesamiento de imágenes para realizar transacciones electrónicas de forma segura y/o para autenticar y validar mensajes, basándose en el concepto "lo que se ve es lo que se firma" (WYSIWYS). Las transacciones electrónicas pueden incluir el acto de comprar o vender bienes o servicios y de transferir dinero de manera electrónica, concretamente a través de Internet. Los mensajes pueden incluir documentos u órdenes de compra relacionados con una transacción electrónica, así como cualquier otro documento que requiera alguna forma de autenticación/validación por parte de un tercero. Cabe observar que, si la imagen es válida y auténtica, la respuesta que se genera es una respuesta positiva y puede ser una confirmación de que la imagen es válida y auténtica. También puede generarse una respuesta si se determina que la imagen no es válida y auténtica; dicha respuesta será una respuesta negativa que indica que la imagen no puede confirmarse como válida y auténtica. Así, normalmente se genera una respuesta y la respuesta indica los resultados del análisis.
[0021] El sistema de validación y autenticación puede ser un sistema de validación y autenticación central alejado tanto del tercero como del dispositivo de formación de imágenes de usuario, en caso de poder mantener la seguridad. Por alejado se entiende que el sistema está funcional y posiblemente también geográficamente separado del dispositivo de formación de imágenes de usuario y del tercero. Por local, se entiende que el sistema está implementado, al menos parcialmente, en el mismo dispositivo.
[0022] La solicitud puede ser una solicitud de validación y autenticación del mensaje M y/o del usuario. Por lo tanto, si se determina que la imagen Pm recibida es auténtica y válida, el módulo de validación de imagen genera una respuesta a la solicitud que confirma que el mensaje M y/o el usuario son auténticos y válidos, según el caso. La respuesta puede indicar si el mensaje M y/o el usuario son auténticos y válidos. Alternativamente, la respuesta puede proporcionar información que permita a la parte que recibe la respuesta (por ejemplo, el tercero o la parte confiante) confirmar que el mensaje M y/o el usuario son auténticos y válidos. Por ejemplo, la respuesta puede ser una identificación de usuario (del usuario o el dispositivo) que puede ser confirmada por la parte que recibe la respuesta (por ejemplo, el tercero o la parte confiante).
[0023] El tercero es la entidad que requiere una autenticación fuerte de usuario para realizar alguna acción, como autorizar una transacción, firmar una transacción, conceder un privilegio al usuario o algo similar. Normalmente, el tercero utiliza un servidor web para comunicarse con el usuario. Cuando es necesario, el sistema del tercero envía una solicitud de autenticación al sistema de validación y autenticación, y específicamente al módulo de validación de imagen. La solicitud de autenticación puede incluir también un desafío para vincular la solicitud de autenticación a una sesión concreta, o a unos datos que el usuario necesita autenticar. El desafío de autenticación (también denominado mensaje de transacción o mensaje electrónico M en la presente memoria) se envía al usuario. Para procesar la transacción, el tercero requiere una respuesta de autenticación del usuario. El módulo de validación de imagen proporciona la respuesta de autenticación al tercero tras la recepción por parte del módulo de validación de imagen de la imagen Pm capturada por el usuario, y la verificación de la imagen por parte del módulo de validación de imagen.
[0024] En términos generales, el procesamiento de imagen realizado por el módulo de validación de imagen para validar y/o autenticar la imagen Pm recibida comprende cualquiera o varias de las siguientes etapas:
(a) vincular de forma exclusiva la imagen Pm recibida a un dispositivo utilizado para capturar la imagen,
(b) garantizar que la imagen Pm es auténtica y no ha sido alterada mientras está en tránsito, y
(c) comparar los datos del mensaje original M con los datos extraídos de la imagen Pm para determinar si los datos del mensaje no han sido alterados.
[0025] La imagen Pm recibida puede ser validada (para garantizar que procede de un dispositivo de formación de imágenes registrado), antes de ser autenticada (para comprobar que el mensaje capturado en la imagen Pm coincide con el mensaje original M). Alternativamente, en interés de la latencia, la validación y autenticación (y los procesos asociados) pueden ejecutarse simultáneamente. Para validar la imagen recibida, se puede llevar a cabo cualquiera de las etapas (a) y (b) anteriores, o ambas. La etapa (c) puede realizarse para autenticar el mensaje dentro de la imagen. El orden de las etapas no suele ser importante.
[0026] Por lo tanto, en algunos modos de realización, el módulo de validación de imagen comprende un submódulo de balística configurado para determinar, utilizando un algoritmo de coincidencia, que la imagen Pm recibida comprende una huella digital que coincide con una certeza razonable con una de las huellas digitales almacenadas en el almacén de datos. El submódulo de balística está configurado para realizar la etapa (a) anterior. La balística de imagen/cámara es un campo del procesamiento de imágenes en el que el análisis de algunos artefactos de una imagen digital permite identificar el dispositivo de formación de imágenes.
[0027] En algunos modos de realización, el módulo de validación de imagen comprende un submódulo forense configurado para determinar que la imagen Pm recibida no ha sido alterada entre el dispositivo de formación de imágenes de usuario y el sistema de validación y autenticación. El submódulo forense está configurado para realizar la etapa (b) anterior. El análisis forense de imágenes es un campo del procesamiento de imágenes en el que el análisis de una imagen digital permite detectar la manipulación digital de la imagen.
[0028] En algunos modos de realización, el módulo de validación de imagen comprende un submódulo de reconocimiento óptico de caracteres (OCR, por sus siglas en inglés) configurado para extraer el mensaje M de la imagen Pm recibida y comparar el mensaje extraído con el mensaje recibido M. El submódulo de OCR está configurado para realizar la etapa (c) anterior. El reconocimiento óptico de caracteres (OCR) es una técnica de procesamiento de imágenes que se utiliza para extraer cualquier texto contenido en una imagen con la mayor precisión posible.
[0029] Preferiblemente, el módulo de comunicación está configurado para recibir el mensaje M desde un sistema de un tercero, por ejemplo, un banco o un vendedor en línea con el que un usuario trata de realizar una transacción. Al comunicarse con el sistema de un tercero directamente, preferiblemente, a través de un canal seguro, el sistema de validación y autenticación está configurado para recibir la versión original del mensaje M directamente, que es necesaria para determinar si el mensaje dentro de la imagen Pm coincide con el mensaje original M.
[0030] En algunos modos de realización, se requiere que un usuario utilice dos dispositivos diferentes para realizar una transacción segura utilizando el sistema de validación y autenticación: un dispositivo de formación de imágenes de usuario y un dispositivo de transacción de usuario. El dispositivo de transacción de usuario es un dispositivo informático utilizado para realizar una transacción con un tercero, y puede ser una estación de trabajo, un PC, un dispositivo informático móvil, un ordenador portátil, un smartphone, una tableta PC, etc. El dispositivo de formación de imágenes de usuario es un dispositivo informático independiente del dispositivo de transacción y puede capturar imágenes y comunicarse con otros dispositivos/sistemas. Por ejemplo, el dispositivo de formación de imágenes puede ser un smartphone con una cámara digital integrada, o un dispositivo informático acoplado a una cámara digital externa (como una cámara web). El dispositivo de formación de imágenes de usuario está registrado en el sistema de validación y autenticación, de manera que el sistema ha determinado y almacenado la huella digital asociada al dispositivo de formación de imágenes de usuario. El dispositivo de formación de imágenes de usuario está configurado para comunicarse con el sistema de validación y autenticación. La comunicación puede ser directa, por ejemplo, a través de Internet, a través de MMS, a través de una red móvil, etc.). Adicional o alternativamente, la comunicación puede ser indirecta. Por ejemplo, el dispositivo de formación de imágenes de usuario puede transmitir imágenes capturadas al dispositivo de transacción de usuario (por ejemplo, a través de wifi, bluetooth (RTM) u otra comunicación de corto alcance), que puede reenviar las propias imágenes al módulo de validación de imagen (directa o indirectamente a través del tercero).
[0031] En algunos modos de realización, el módulo de comunicación está configurado para recibir una solicitud de validación y autenticación del mensaje M por parte de un usuario o de un sistema de un tercero. El sistema de un tercero puede transmitir la solicitud de autenticación junto con el mensaje original M al sistema de validación y autenticación. Adicional o alternativamente, el dispositivo de formación de imágenes de usuario puede configurarse para transmitir la imagen Pm capturada junto con una solicitud de autenticación. Adicional o alternativamente, el dispositivo de transacción de usuario puede estar configurado para transmitir la imagen PMcapturada (donde la imagen es capturada por, y recibida desde, el dispositivo de transacción de usuario) junto con una solicitud de autenticación. La solicitud puede incluir datos para identificar el dispositivo de formación de imágenes de usuario, de modo que el módulo de validación de imagen pueda encontrar los datos apropiados (por ejemplo, los datos de la huella dactilar única) almacenados dentro del módulo para ayudar a validar la imagen.
[0032] En algunos modos de realización, el módulo de comunicación está configurado para recibir la imagen Pm del mensaje M del usuario. El dispositivo de formación de imágenes de usuario se comunica con el módulo de comunicación mediante un canal de comunicación separado en relación con el utilizado por el sistema de un tercero y el módulo de comunicación. Adicional o alternativamente, el dispositivo de transacción de usuario puede estar configurado para transmitir la imagen Pm capturada (donde la imagen es capturada por, y recibida desde, el dispositivo de transacción de usuario).
[0033] En algunos modos de realización, el análisis de la imagen Pm recibida comprende el uso de un algoritmo de procesamiento de imágenes de balística para extraer una huella digital de la imagen Pm recibida. Preferiblemente, el análisis comprende la comparación de la huella digital extraída con un conjunto de huellas digitales almacenadas y la determinación de si la huella digital extraída corresponde a una huella digital almacenada. Si la imagen parece proceder de un dispositivo de formación de imágenes que está registrado en el sistema (es decir, tiene una huella dactilar que está almacenada en el almacén de datos del sistema), el módulo de validación de imagen puede, entonces, aplicar otras técnicas de procesamiento de imágenes a la imagen recibida del mensaje M para autenticar la imagen.
[0034] Cada uno de los módulos mencionados anteriormente puede ser un aparato, por ejemplo, un servidor que opera una aplicación de software. Preferiblemente, las operaciones sensibles a la seguridad de dicha validación o autenticación de imagen se procesan en el entorno inviolable de un módulo de seguridad de hardware (HSM, por sus siglas en inglés) para evitar cualquier escucha por parte de un atacante y para impedir que una respuesta sea falsificada por un administrador no autorizado. Es posible que uno o más módulos se implementen en una parte diferente del sistema, por ejemplo, en el propio dispositivo de formación de imágenes.
[0035] En algunos modos de realización, el análisis de la imagen Pm recibida comprende además el uso de un algoritmo de procesamiento de imágenes forense para determinar que la imagen Pm recibida no ha sido alterada durante el tránsito, es decir, entre la captura por parte del dispositivo de formación de imágenes de usuario y la recepción por parte del módulo de procesamiento de imágenes.
[0036] En algunos modos de realización, el análisis de la imagen Pm recibida comprende además el uso de un algoritmo de reconocimiento óptico de caracteres para extraer el mensaje M de la imagen Pm recibida y comparar el mensaje extraído con el mensaje recibido M (recibido directamente desde el sistema de un tercero).
[0037] Por lo tanto, en algunos modos de realización, la recepción de un mensaje electrónico M que debe ser autenticado y validado comprende la recepción del mensaje M desde un sistema de un tercero.
[0038] En algunos modos de realización, la recepción de una solicitud de validación y autenticación del mensaje electrónico M comprende la recepción de una solicitud de un dispositivo de formación de imágenes de usuario o de un sistema de un tercero.
[0039] En algunos modos de realización, la recepción de una imagen Pm del mensaje electrónico M comprende la captura de una imagen PM del mensaje M mediante un dispositivo de formación de imágenes de usuario y la recepción de la imagen desde el dispositivo de formación de imágenes de usuario.
[0040] Los sistemas y métodos anteriores también pueden utilizarse para generar firmas digitales. Un usuario identifica un mensaje Mf específico en un dispositivo informático que está preparado para asignarse a una firma digital. El mensaje puede ser una transacción, documento u orden de compra en formato electrónico. Debido a que su dispositivo informático puede ser una plataforma poco segura, normalmente, el usuario no puede comprometerse a firmar el mensaje en este dispositivo, ya que un atacante en el dispositivo puede sustituir el mensaje por otro. Por lo tanto, una vez que el usuario haya aceptado el mensaje Mf y desee firmar el mensaje, se envía una solicitud de creación de firma desde el usuario a un dispositivo de creación de firma. El dispositivo de creación de firma es donde se lleva a cabo la generación de la firma digital. El dispositivo de creación de firma puede ser un dispositivo de creación de firma central, tal como un servidor de firma o un dispositivo de creación de firma local, tal como una tarjeta inteligente o un lápiz de firma.
[0041] Por lo tanto, según otro aspecto de la invención, se proporciona un sistema para generar una firma digital en nombre de un usuario, comprendiendo el sistema: un servidor de firmas; un almacén de datos que almacena una o más huellas digitales asociadas a dispositivos de formación de imágenes de usuario; un módulo de comunicación configurado para: recibir una solicitud para crear una firma para un mensaje electrónico Mf; recibir un mensaje electrónico M, que se basa en el mensaje Mf; recibir una solicitud de validación y autenticación del mensaje electrónico M; y recibir una imagen Pm del mensaje electrónico M de un usuario; y un módulo de validación de imagen para analizar la imagen Pm recibida utilizando una o más técnicas de procesamiento de imágenes para determinar si la imagen es auténtica, donde, si se determina que la imagen Pm recibida es auténtica y válida, el servidor de firmas genera una firma digital para el mensaje electrónico Mf.
[0042] Una vez que el servidor de firmas (SCD) haya recibido una solicitud para firmar un mensaje Mf, el SCD no creará la firma hasta que haya recibido pruebas de que el usuario se ha comprometido a firmar este mensaje concreto y de que el mensaje es auténtico. Básicamente, esto se consigue solicitándole al usuario que complete un desafío de autenticación. Una copia del mensaje, M, es creada en algunos modos de realización por el SCD que, a continuación, transmite la copia M a un módulo de validación y autenticación que puede ser el sistema de validación y autenticación descrito anteriormente. Las técnicas descritas anteriormente para autenticar y validar el mensaje M se aplican de la misma manera aquí. La copia M es enviada el usuario y, para completar el desafío de autenticación, se le pide al usuario que capture una imagen de M y la transmita al módulo de validación de imagen para su validación. Una o más de las técnicas de procesamiento de imágenes descritas anteriormente se aplican para determinar la autenticidad de la imagen Pm capturada. Si se determina que la imagen capturada es auténtica, el SCD genera la firma digital solicitada para firmar el mensaje Mf. Por lo tanto, las técnicas de procesamiento de imágenes garantizan que la firma puede generarse solamente si esta validación de imagen ha sido exitosa.
[0043] En la presente memoria, se describe un método para generar una firma digital, comprendiendo el método: recibir una solicitud para crear una firma para un mensaje electrónico Mf; generar un desafío de validación que comprende un mensaje electrónico M que se basa en el mensaje Mf; autenticar y validar el mensaje electrónico M utilizando cualquiera de las etapas descritas anteriormente; y generar la firma para el mensaje electrónico Mf.
[0044] En la presente memoria, se describe un método para generar una firma digital, comprendiendo el método: recibir una solicitud para crear una firma para un mensaje electrónico Mf; generar un desafío de validación que comprende el mensaje electrónico M que se basa en el mensaje Mf; recibir el mensaje electrónico M para ser autenticado y validado; recibir una solicitud de validación y autenticación del mensaje electrónico M; recibir una imagen Pm del mensaje electrónico M de un usuario; analizar la imagen Pm recibida utilizando una o más técnicas de procesamiento de imágenes para determinar si la imagen es auténtica y válida; recibir una respuesta de validación confirmando que la imagen Pm recibida es válida y auténtica; y generar la firma para el mensaje electrónico MF.
[0045] La firma para el mensaje electrónico Mf puede generarse mediante la utilización de un dispositivo de creación de firma que es local o remoto del dispositivo de formación de imágenes de usuario. La autenticación y validación puede hacerse en un sistema de autenticación y validación que forma parte del dispositivo de creación de firma. Alternativamente, la autenticación y validación pueden hacerse en un sistema de autenticación y validación que forma parte del dispositivo de formación de imágenes de usuario o de un dispositivo de transacción de usuario. Alternativamente, la autenticación y validación pueden hacerse en un sistema de autenticación y validación que es remoto.
[0046] Las características descritas anteriormente se aplican a todos los aspectos de la invención.
[0047] En un aspecto adicional de la invención, se proporciona un soporte de datos no transitorio que lleva un código de control de procesador que, cuando se ejecuta en un procesador, hace que el procesador implemente cualquiera de los métodos descritos anteriormente.
[0048] La invención proporciona, además, un código de control de procesador para implementar los sistemas y métodos anteriormente descritos, por ejemplo, en un sistema informático de uso general o en un procesador de señales digitales (DSP, por sus siglas en inglés). Por lo tanto, el método es un método implementado en ordenador que se ejecuta en un procesador y el sistema y/o cada servidor puede comprender un procesador. El o cada procesador puede implementarse en cualquier hardware adecuado conocido, como un microprocesador, un chip de procesamiento de señales digitales (DSP), un circuito integrado de aplicación específica (ASIC, por sus siglas en inglés), matrices de puertas programables in situ (FPGA, por sus siglas en inglés), etc. El o cada procesador puede incluir uno o más núcleos de procesamiento, estando cada núcleo configurado para funcionar de manera independiente. El o cada procesador puede tener conectividad a un bus para ejecutar instrucciones y procesar información almacenada en, por ejemplo, una memoria.
[0049] La invención también proporciona un soporte que lleva un código de control de procesador para, cuando se ejecuta, implementar cualquiera de los métodos anteriores, en particular en un soporte de datos no transitorio - como un disco, microprocesador, CD- o DVD-ROM, memoria programada, como la memoria de solo lectura (firmware), o en un soporte de datos como un soporte de señales ópticas o eléctricas. El código puede proporcionarse en un soporte, como un disco, un microprocesador, CD- o DVD-ROM, memoria programada, como la memoria no volátil (p. ej., flash) o memoria de solo lectura (firmware). El código (y/o los datos) para implementar los modos de realización de la invención pueden comprender código fuente, objeto o ejecutable en un lenguaje de programación convencional (interpretado o compilado) como C, o código ensamblador, código para configurar o controlar un ASIC (circuito integrado de aplicación específica) o FPGA (matriz de puertas programable in situ), o código para un lenguaje de descripción de hardware como Verilog™ o VHDL (lenguaje de descripción de hardware de circuitos integrados de muy alta velocidad). Como podrán observar los expertos en la materia, dicho código y/o datos se puede(n) distribuir entre una pluralidad de componentes acoplados en comunicación entre sí. La invención puede comprender un controlador que incluye un microprocesador, una memoria de trabajo y una memoria de programa acoplada a uno o más de los componentes del sistema.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
[0050] La invención se representa, a título ilustrativo, mediante diagramas en los dibujos adjuntos, en los cuales:
La figura 1 muestra un diagrama esquemático de un sistema de autenticación y validación de una transacción, en un modo de realización de la invención;
La figura 2 ilustra un flujograma de etapas de ejemplo para autenticar y validar una transacción;
La figura 3 muestra un diagrama esquemático del sistema de la figura 1 adaptado para registrar un dispositivo de formación de imágenes de usuario;
La figura 4 ilustra un flujograma de etapas de ejemplo para registrar un dispositivo de formación de imágenes de usuario;
La figura 5 es un boceto de un sistema para procesar imágenes capturadas por un dispositivo de formación de imágenes de usuario para generar una huella dactilar para el dispositivo;
La figura 6 muestra un flujograma de etapas de ejemplo para procesar imágenes capturadas por un dispositivo de formación de imágenes de usuario para generar una huella digital para el dispositivo;
La figura 7a es un flujograma de las etapas seguidas para autenticar una firma digital en una infraestructura de clave pública;
Las figuras 7b y 7c son dos disposiciones que muestran la adaptación de la figura 1 al método mostrado en la figura 7a;
La figura 8 ilustra un flujograma detallado de etapas de ejemplo para autenticar una firma digital en una infraestructura de clave pública; y
La figura 9 muestra un flujograma de etapas de ejemplo para solicitar un certificado de clave pública para una infraestructura de clave pública mediante el sistema de la figura 1.
DESCRIPCIÓN DETALLADA DE LOS DIBUJOS
[0051] En términos generales, los modos de realización de la presente invención proporcionan métodos y sistemas que utilizan técnicas de procesamiento de imágenes para realizar transacciones electrónicas de forma segura y/o para realizar la autenticación, basándose en el concepto "lo que se ve es lo que se firma" (WYSIWYS). Este método de autenticación puede utilizarse de forma independiente o en combinación con otros métodos para crear una autenticación fuerte. La autenticación de los usuarios suele basarse en algo que el usuario tiene, algo que el usuario sabe o algo sobre el propio usuario (por ejemplo, datos biométricos). En este caso, el método de autenticación se basa en una cámara digital en posesión del usuario, donde la cámara digital es capaz de capturar imágenes digitales y comunicarse electrónicamente con otros dispositivos/sistemas. En algunos modos de realización, el método comprende un usuario que captura una foto de una pantalla en la que se muestra la transacción que desea aprobar. Esta imagen digital capturada es entonces procesada por un dispositivo separado e independiente que utiliza diversas técnicas de procesamiento de imágenes para realizar la validación del dispositivo y, opcionalmente, para ofrecer la autenticación de la integridad de los datos de la transacción. La cámara digital se comunica con el dispositivo separado e independiente de manera directa o indirecta, tal y como se explica con mayor detalle a continuación.
[0052] Como se ha mencionado anteriormente, un problema de los sistemas basados en el concepto WYSIWYS consiste en que un usuario debe confiar en que está firmando/autorizando una versión con hash del mensaje de transacción M que haya visto y no una versión con hash de un mensaje fraudulento (que no haya visto). Por lo tanto, en la presente memoria, el concepto WYSIWYS se implementa mediante técnicas de procesamiento de imágenes para garantizar que no se falsifica una transacción entre el usuario que inicia la transacción y el usuario que autoriza/completa la transacción. Se muestra una transacción en la pantalla de un dispositivo informático de usuario. Se le requiere que capture una imagen de la transacción mostrada mediante la utilización de un dispositivo de formación de imágenes separado (p. ej., un smartphone o un segundo dispositivo informático acoplado a una cámara digital). La imagen capturada se envía para su validación a una parte de confianza remota. El proceso de validación comprende las siguientes etapas generales:
(a) vincular de forma exclusiva la imagen recibida por la parte de confianza al dispositivo utilizado para capturar la imagen,
(b) garantizar que la imagen es auténtica y no ha sido alterada mientras está en tránsito hacia la parte de confianza remota, y
(c) comparar los datos de transacción mostrados al usuario (incrustados en la imagen capturada) con los datos de transacción proporcionados por el tercero con el que el usuario trata de realizar la transacción.
[0053] La capacidad de capturar detalles de la transacción en forma de imagen proporciona pruebas sustanciales y convincentes de que esta transacción concreta fue aprobada mediante un acto deliberado del usuario y, por lo tanto, es una implementación mejorada del concepto WYSIWYS.
[0054] A continuación, se describen algunos procesos para abordar los puntos (a) a (c) anteriores. Estos son meramente ilustrativos y un experto en la materia comprendería que podrían utilizarse técnicas equivalentes diferentes.
(a) Vincular de forma exclusiva la imagen recibida al dispositivo de formación de imágenes
[0055] La balística de imagen/cámara digital es un campo del procesamiento de imágenes en el que el análisis de algunos artefactos de una imagen digital permite identificar el dispositivo de formación de imágenes. En términos generales, una imagen digital suele estar dañada por imperfecciones del sensor de imagen/cámara digital de dos maneras: (1) cada valor de píxel está modulado por una pequeña cantidad que es independiente del valor de píxel (esto se denomina ruido aditivo), y (2) cada valor de píxel está modulado por una pequeña cantidad que depende del valor de píxel (esto se denomina ruido multiplicativo, o más formalmente, la foto respuesta no uniforme, PRNU). La p Rn U es el resultado de las imperfecciones del hardware en los sensores de píxel de un dispositivo de formación de imágenes. Está formada por una variación en las dimensiones de píxel y una falta de homogeneidad en el silicio utilizado para fabricar el sensor, lo que provoca variaciones en la salida de píxel. La investigación ha demostrado que la PRNU es única, no depende de la temperatura y parece ser estable en el tiempo. Por lo tanto, la PRNU puede utilizarse para proporcionar una huella dactilar para cada dispositivo de formación de imágenes que es única para el dispositivo.
[0056] Los investigadores han desarrollado varios algoritmos para vincular una imagen determinada a un dispositivo de formación de imágenes de origen, ejemplos de los cuales son descritos por: Kurosawa et al (CCD Fingerprint Method-Identification of a Video Camera from Videotaped Images, IEEE International Conference on Image Processing, páginas 537-540, 1999), Lukas et al (Digital Camera Identification from Sensor Noise (2006), IEEE Transactions on Information Forensics and Security, 1:2(205-214)), Chen et al (Determining Image Origin and Integrity Using Sensor Noise (2008), IEEE Transactions on Information Forensics and Security, 3:1(74-90)), Fridrich (Digital Image Forensic Using Sensor Noise (2009), IEEE Signal Processing Magazine, 26:2(26-37)), Hu et al (Using improved camera sensor pattern noise for source camera identification (2010), ICME, pp. 1481-1486) y, más recientemente, Mahdian et al (A Novel Method for Identifying Exact Sensor Using Multiplicative Noise Component (2013), IEEE International Symposium on Multimedia, páginas 241-247). En términos generales, estos algoritmos pueden utilizarse para vincular una imagen al dispositivo que capturó la imagen mediante las siguientes etapas:
(i) En primer lugar, analizar un conjunto de imágenes capturadas por el dispositivo de formación de imágenes para extraer datos de referencia representativos, es decir, una "huella digital", una "huella dactilar de cámara" o "huella dactilar", del ruido de PRNu del sensor de cámara; y
(ii) En segundo lugar, comparar el ruido de PRNU de una imagen recibida con la huella dactilar de referencia para valorar con alto grado de probabilidad si esta imagen fue capturada por el supuesto dispositivo de formación de imágenes. Esta técnica ha sido descrita por Rosenfeld et al (K. Rosenfeld y H. T. Sencar, "A study of the robustness of PRNU-based camera identification", Proceedings of the Media Forensics and Security I, parte del IS&T-SPIE Electronic Imaging Symposium, vol. 7254 de Actas de SPIE, San José, California, EE. UU., enero de 2009).
[0057] El proceso de extracción de una huella dactilar para un dispositivo de formación de imágenes se describe con mayor detalle a continuación con respecto a las figuras 5 y 6.
(b) Garantizar que la imagen recibida por la parte de confianza remota es auténtica
[0058] El análisis forense de imágenes es otro campo del procesamiento de imágenes en el que el análisis de una imagen digital permite detectar la manipulación digital de la imagen. Tal y como explica Alessandro Piva (An overview of image forensics, ISRN Signal Processing, Volumen 2013 (2013), ID de artículo 496701, 22 páginas, http://dx.doi.org/10.1155/2013/496701), las técnicas de análisis forense de imágenes se basan en la observación de que cada fase de la historia de la imagen, desde el proceso de adquisición, pasando por su almacenamiento en un formato comprimido, hasta cualquier operación de posprocesamiento, deja un rastro distintivo en los datos, como una especie de huella digital. Así, es posible identificar la fuente de la imagen digital o determinar si es auténtica o modificada detectando la presencia, la ausencia o la incongruencia de tales características intrínsecamente ligadas al propio contenido digital.
[0059] Se han desarrollado varias técnicas y algoritmos para destapar la falsificación digital, algunos de los cuales son descritos por: Gallagher (Detection of linear and cubic interpolation in JPEG compressed images, Proceedings of the Canadian Conference on Computer and Robot Vision, pp. 65-72, mayo de 2005), Van Lanh et al (A survey on digital camera image forensic methods, Proceedings of the IEEE International Conference on Multimedia and Expo (ICME '07), pp. 16-19), Farid (Image forgery detection, IEEE Signal Processing Magazine, vol. 26, n.° 2, pp. 16-25), Mahdian y Saic (A bibliography on blind methods for identifying image forgery, Signal Processing: Image Communication, vol. 25, n.° 6, pp. 389-399) o Yerushalmy et al (Digital image forgery detection based on lens and sensor aberration, International Journal of Computer Vision, vol. 92, n.° 1, pp. 71-91, 2011).
(c) Garantizar que los datos de transacción en la imagen recibida son auténticos
[0060] El reconocimiento óptico de caracteres (OCR) es una técnica de procesamiento de imágenes que se utiliza para extraer cualquier texto contenido en una imagen con la mayor precisión posible.
[0061] Una o más de estas tres técnicas de procesamiento de imágenes se utilizan en modos de realización de la presente invención para realizar transacciones de forma segura y para garantizar que las transacciones son auténticas. Volviendo ahora a la figura 1, se muestra un diagrama esquemático de un sistema 10 de autenticación y validación de una transacción entre un usuario y una parte confiante, en un modo de realización de la invención. El usuario puede intentar, por ejemplo, comprar bienes o servicios en línea a una parte confiante (vendedor/comerciante), o realizar una transacción bancaria en línea con la parte confiante (banco). La validación y la autenticación pueden ser realizadas por un sistema remoto de una parte de confianza (también denominado en el presente documento "sistema central de validación y autenticación") que se encuentra a distancia y es independiente del usuario y de los dispositivos de usuario y de cualquier sistema 14 operado por la parte de confianza.
[0062] Alternativamente, la validación y la autenticación pueden ser realizadas por un módulo situado localmente y que puede estar integrado, al menos en parte, en los dispositivos de usuario.
[0063] Se requiere que un usuario se registre en el sistema remoto de la parte de confianza antes de que pueda utilizar el sistema para realizar transacciones electrónicas de forma segura. El proceso de registro se describe con mayor detalle a continuación con respecto a las figuras 3 y 4. Se requiere que el usuario utilice dos dispositivos diferentes para realizar una transacción segura utilizando el sistema 10: un dispositivo de formación de imágenes de usuario 16 y un dispositivo de transacción de usuario 12. El dispositivo de transacción de usuario 12 es un dispositivo informático utilizado para realizar una transacción, como una estación de trabajo, un PC, un dispositivo informático móvil, un ordenador portátil, un smartphone, una tableta PC, etc. El dispositivo de transacción 12 es un terminal conectado que cuenta con un navegador de Internet que permite la comunicación con un servidor web remoto 14a. El dispositivo de transacción de usuario comprende un procesador acoplado a una memoria de programa que almacena código de programa de ordenador para habilitar la realización de transacciones en el dispositivo, a una memoria de trabajo y a interfaces como una pantalla 12a, un teclado, un ratón, una pantalla táctil y una interfaz de red para permitir la comunicación con el sistema de la parte de confianza 14.
[0064] El procesador puede ser un dispositivo ARM (RTM) o un procesador similar producido por otro fabricante, como Intel. La memoria de programa, en los modos de realización, almacena código de control de procesador para implementar funciones, incluyendo un sistema operativo, diversos tipos de interfaz inalámbrica y por cable, almacenamiento e importación y exportación desde el dispositivo. El dispositivo de transacción comprende una interfaz de usuario que permite al usuario realizar transacciones (por ejemplo, comprar bienes o servicios o realizar operaciones bancarias en línea) con la parte de confianza. Puede proporcionarse una interfaz inalámbrica, por ejemplo, una interfaz Bluetooth (RTM), wifi o de comunicación de campo cercano (NFC) para la comunicación mediante interfaz con otros dispositivos.
[0065] El dispositivo de formación de imágenes de usuario 16 es un dispositivo informático independiente del dispositivo de transacción, y es capaz de capturar imágenes. Por ejemplo, el dispositivo de formación de imágenes 16 puede ser un smartphone con una cámara digital integrada, o un dispositivo informático acoplado a una cámara digital externa (como una cámara web). El dispositivo de formación de imágenes de usuario 16 también está registrado en el sistema 10. En algunos modos de realización, solo el dispositivo de formación de imágenes de usuario 16 se registra en el sistema 10, ya que solo él se comunica con un módulo de validación de imagen 18. El registro del dispositivo de formación de imágenes de usuario 16 implica la determinación de una huella dactilar única asociada al dispositivo de formación de imágenes de usuario, y el almacenamiento de la huella dactilar única dentro del módulo de validación de imagen 18 (por ejemplo, en el almacén de datos 18a). De este modo, se asocia una huella dactilar única a cada dispositivo de formación de imágenes de usuario 16 registrado en el sistema 10 para permitir que el dispositivo sea autenticado por el módulo de validación de imagen 18. Además, cada dispositivo de formación de imágenes de usuario 16 está vinculado a su usuario (que también está registrado en el sistema), de manera que existe una relación que vincula al usuario y al dispositivo de formación de imágenes de usuario dentro del sistema. Cada usuario puede tener múltiples dispositivos de formación de imágenes, estando cada uno de los cuales registrado a su nombre.
[0066] Como se ha mencionado previamente, es importante que el dispositivo de formación de imágenes de usuario tenga algunos medios de comunicación con el módulo de validación de imagen 18, de manera directa o indirecta. Por ejemplo, en algunos modos de realización, el dispositivo de formación de imágenes de usuario utilizado para capturar una imagen digital transmite la imagen digital capturada al módulo de validación de imagen remoto 18 de manera directa (p. ej., a través de internet, a través de MMS, a través de una red móvil, etc.). Adicional o alternativamente, el dispositivo de formación de imágenes de usuario transmite la imagen digital capturada al módulo de validación de imagen remoto 18 de manera indirecta, por ejemplo, mediante la transmisión de la imagen al dispositivo de transacción de usuario 12 (p. ej., a través de Bluetooth (RTM) o de comunicación de corto alcance), de manera que el dispositivo de transacción de usuario 12 reenvía la imagen directa o indirectamente al propio módulo de validación de imagen remoto 18. El o los dispositivos de formación de imágenes de usuario también se comunican directa o indirectamente, según proceda, con la parte de confianza que se describe a continuación.
[0067] El sistema de parte de confianza 14 del sistema 10 es la entidad que requiere una autenticación fuerte de usuario para realizar alguna acción, como autorizar una transacción, firmar una transacción, conceder un privilegio al usuario o algo similar. Normalmente, la parte de confianza utiliza un servidor web para comunicarse con el usuario (a través de su dispositivo de transacción 12) por medio de un navegador de Internet. Cuando es necesario, el sistema de parte de confianza 14 envía una solicitud de autenticación al sistema de parte de confianza, y específicamente, al módulo de validación de imagen 18. La solicitud de autenticación puede incluir también un desafío para vincular la solicitud de autenticación a una sesión concreta, o a unos datos que el usuario necesita autenticar. El desafío de autenticación (también denominado aquí mensaje de transacción M) se envía al dispositivo de transacción de usuario 12 en texto plano o incrustado en un código QR o en otros formatos. Adicional o alternativamente, el desafío/mensaje M puede ser generado por el propio dispositivo de transacción de usuario 12. En cualquier caso, para procesar la transacción, la parte de confianza requiere una respuesta de autenticación del usuario. El módulo de validación de imagen 18 proporciona la respuesta de autenticación a la parte de confianza tras la recepción, por parte del módulo de validación de imagen, de la imagen Pm capturada por el usuario mediante el dispositivo de formación de imágenes 16, y la verificación de la imagen por parte del módulo de validación de imagen.
[0068] En una situación típica, el usuario iniciará una transacción utilizando el dispositivo de transacción de usuario 12. El dispositivo de transacción 12 comprende una pantalla 12a y un sistema operativo 12b. La iniciación de la transacción hace que el dispositivo 12 genere localmente, o reciba del sistema de parte de confianza 14, un desafío de autenticación en forma de un mensaje de transacción M. El mensaje M es un mensaje, documento u orden de compra asociado a la transacción. Si el mensaje es recibido de la parte de confianza, se origina a partir del servidor web 14a utilizado para realizar la transacción en línea. El mensaje de transacción M se muestra en la pantalla 12a del dispositivo de transacción 12, de manera que el usuario pueda examinar el mensaje y garantizar que corresponde a la transacción que trata de realizar. El mensaje M puede, por ejemplo, presentarse en un navegador que se ejecuta en el dispositivo de transacción 12, donde el navegador recibe páginas web en HTML del servidor web remoto 14a controladas por la parte de confianza. Dado que el canal de comunicación entre el dispositivo de transacción 12 y el sistema de parte de confianza 14 puede no ser seguro, el usuario normalmente no puede asignar el mensaje en el dispositivo de transacción (es decir, no puede completar la transacción de forma segura), porque un atacante puede sustituir el mensaje M por un mensaje fraudulento durante las comunicaciones entre el dispositivo de transacción 12 y la parte de confianza 14. Por separado, el sistema de parte de confianza 14 envía una copia del mensaje de transacción Mcopia a un sistema de parte de confianza y, específicamente, a un módulo de validación de imagen. Es necesario que el sistema de validación disponga de la copia del mensaje Mcopia para poder realizar la validación.
[0069] Para proceder a la transacción y completar el desafío de autenticación, el usuario utiliza el dispositivo de formación de imágenes 16 para capturar una imagen del mensaje M que se muestra en la pantalla 12a del dispositivo de transacción, proporcionando así una funcionalidad WYSIWYS real. El dispositivo de formación de imágenes 16 es un dispositivo informático (p. ej., un PC, un dispositivo informático móvil, un ordenador portátil, un smartphone, una tableta PC, etc.) que tiene una cámara digital, y que utiliza el usuario para capturar una imagen digital de M (denominada en la presente memoria Pm). El dispositivo de formación de imágenes 16 es independiente del dispositivo de transacción 12. El dispositivo de formación de imágenes 16 comprende un módulo de cámara digital 16a y una pila de comunicación 16g. El dispositivo de formación de imágenes 16 también comprende un procesador acoplado a una memoria de programa que almacena código de programa de ordenador para implementar la captura de imagen y funciones de transmisión de imagen del dispositivo, al módulo de cámara digital 16a, a la memoria de trabajo y a interfaces, como una pantalla, un teclado, una pantalla táctil, la pila de comunicación 16g y la interfaz de red.
[0070] El procesador puede ser un dispositivo ARM (RTM) u otro dispositivo similar de otro fabricante. La memoria de programa, en los modos de realización, almacena código de control de procesador para implementar funciones, incluyendo un sistema operativo, diversos tipos de interfaz inalámbrica y por cable, almacenamiento e importación y exportación desde el dispositivo. El dispositivo de formación de imágenes 16 comprende una interfaz de usuario para permitir que el usuario capture imágenes y las transmita al módulo de validación de imagen 18. Puede proporcionarse una interfaz inalámbrica, por ejemplo, una interfaz Bluetooth (RTM), wifi o de comunicación de campo cercano (NFC) para la comunicación mediante interfaz con otros dispositivos.
[0071] El módulo de cámara digital 16a del dispositivo de formación de imágenes de usuario 16 comprende un sistema óptico 16b, sensores de píxel 16 c, un convertidor analógico-digital 16d y un módulo de posprocesamiento y compresión 16e. El módulo de cámara digital 16a está acoplado a la pila de comunicación 16g para que las imágenes capturadas por el módulo 16a puedan ser transmitidas al sistema de parte de confianza remoto, y específicamente al módulo de validación de imagen 18. El sistema óptico 16b es el primer subcomponente del módulo de cámara digital 16a sobre el que incide la luz al capturar una imagen del mensaje M. El sistema óptico 16b comprende normalmente una lente, que puede ser variable para enfocar la luz. Los sensores de píxel 16c son el segundo subsistema del módulo de cámara digital 16a y, por lo general, comprenden una matriz de millones de sensores de píxel que generan un valor que depende del brillo de la señal de imagen recibida en la ubicación específica de cada sensor. Los sensores de píxel suelen estar detrás de una matriz de filtros de color que se utiliza para separar los diferentes colores primarios (rojo, verde, azul) de la imagen a todo color del mensaje M. El convertidor A/D 16d se utiliza para muestrear los valores de tensión recogidos por los sensores de píxel para proporcionar una señal digital. El módulo de posprocesamiento y compresión 16e puede formar parte del firmware de la cámara digital, para procesar la señal digital generada por el convertidor A/D 16d para aplicar técnicas de corrección a la imagen (por ejemplo, corrección de color, filtrado, ajuste, etc.), y para dar formato a un archivo de salida de imagen digital como .gif o .jpg o .jpeg o similar.
[0072] Preferiblemente, el dispositivo de formación de imágenes 16 puede conectarse al sistema de parte de confianza remoto mediante un canal de comunicación concreto (por ejemplo, a través de Internet o de un servicio de mensajería multimedia) para permitir la transmisión automática de la imagen capturada al módulo de validación de imagen 18. Por lo tanto, una vez que el usuario ha utilizado el dispositivo de formación de imágenes 16 para capturar una imagen del mensaje M mostrado en la pantalla del dispositivo de transacción 12, el módulo de cámara digital 16a proporciona la imagen Pm capturada a la pila de comunicación 16g para que sea transmitida al módulo de validación de imagen 18 para su validación.
[0073] Preferiblemente, se instala una aplicación de software en el dispositivo de formación de imágenes de usuario 16 para ayudar a automatizar la captura y la compresión de la imagen Pm, y para establecer un canal de comunicación con el módulo de validación de imagen remoto 18 con el fin de enviar a través de una red una solicitud para validar la imagen digital capturada. Opcionalmente, esta solicitud puede comprender información adicional como un número de serie del dispositivo de formación de imágenes de usuario 16 (para verificar la imagen con un dispositivo determinado), donde el número de serie del dispositivo se almacena en el módulo de validación de imagen 18 durante el proceso de registro del dispositivo. La solicitud puede comprender opcionalmente un nonce criptográfico (es decir, un número arbitrario) para evitar ataques de reproducción, y otros datos que ayuden a reforzar el diseño de seguridad de la solución como, por ejemplo:
• una contraseña de un solo uso derivada de un estándar abierto como el RFC 6238 o el RFC 4226 o similar,
• un código de autenticación de mensajes hash (HMAC) como el utilizado en la autenticación basada en HTTP, como en el RFC 2069 o similar, o
• una solicitud de desafío basada en un algoritmo de desafío/respuesta basado en el RFC 6287.
[0074] El módulo de validación de imagen 18 proporciona un servicio de validación y autenticación y forma parte del sistema de parte de confianza remoto. El módulo de validación de imagen 18 es un componente central del sistema 10, ya que comprende la capacidad de procesamiento de imágenes necesaria para proporcionar las funciones de validación de la invención. El módulo de validación de imagen 18 es, en algunos modos de realización, un servidor que opera algún software para realizar la validación. Preferiblemente, las operaciones sensibles a la seguridad de dicha validación o autenticación de imagen se procesan en el entorno inviolable de un módulo de seguridad de hardware (HSM, por sus siglas en inglés) para evitar cualquier escucha por parte de un atacante y para impedir que una respuesta sea falsificada por un administrador no autorizado. Por lo tanto, sólo una violación del módulo de validación de imagen puede dar lugar a que la información confidencial esté disponible fuera del módulo de validación de imagen, lo que, en consecuencia, debe impedirse mediante un hardware inviolable diseñado a tal efecto (como los productos IBM 4765, Thales nShield, SafeNet ProtectServer, Utimaco SafeGuard CryptoServer, Utimaco CryptoServer, Safenet Luna o Protect server, HP Atalla, Bull TrustWay, Crypt2Pay o Crypt2Protect). El módulo de validación de imagen puede estar protegido además por un cortafuegos y por seguridad física para evitar, reducir o disuadir el acceso no autorizado.
[0075] El módulo de validación de imagen 18 comprende un almacén de datos 18a, que almacena imágenes recibidas de dispositivos de formación de imágenes, huellas dactilares de dispositivo de formación de imágenes y puede incluir otros datos para ayudar a realizar los procesos de validación y autenticación. El módulo de validación de imagen 18 comprende un módulo de procesamiento de imágenes 18b que se utiliza para realizar cualquiera o varias de las tres técnicas de procesamiento de imágenes mencionadas anteriormente para analizar una imagen recibida de un dispositivo de formación de imágenes de usuario 16. En algunos modos de realización, el módulo de procesamiento de imágenes 18b comprende tres submódulos para realizar las técnicas de procesamiento de imágenes:
(a) Vinculación exclusiva de la imagen recibida con el dispositivo de formación de imágenes: el submódulo de balística 18e calcula la huella digital de referencia PRNU de cada dispositivo de formación de imágenes 16 durante el proceso de registro para registrar el dispositivo en el sistema 10. El submódulo de balística 18e también calcula la huella digital de la imagen PRNU para una imagen recibida de un dispositivo de formación de imágenes 16, y compara la huella dactilar calculada con las huellas dactilares de referencia almacenadas en el módulo de validación de imagen 18 para determinar si la imagen se ha recibido de un dispositivo registrado.
(b) Garantizar que la imagen recibida por la parte de confianza remota es auténtica; el submódulo forense 18d analiza una imagen recibida de un dispositivo de formación de imágenes de usuario 16, y confirma si se ha realizado o no una manipulación digital de la imagen, determinando así si la imagen recibida es auténtica. En algunos modos de realización, el submódulo forense 18d sólo puede iniciarse si en el paso (a) se confirma que la imagen procede de un dispositivo registrado.
(c) Garantizar que los datos de transacción en la imagen recibida son auténticos: el submódulo de OCR 18b extrae los caracteres de texto contenidos en las imágenes recibidas de un dispositivo de formación de imágenes de usuario 16. El sistema de parte de confianza 14 envía una copia del mensaje de transacción Mcopia al módulo de validación de imagen 18 (ya sea automáticamente cuando se crea un mensaje de transacción M, o a petición del módulo de validación de imagen cuando está analizando una imagen). En algunos modos de realización, por razones de eficacia, el submódulo de OCR 18b puede iniciarse únicamente para extraer texto y comparar el texto extraído de M con la copia Mcopia recibida por separado de la parte de confianza si en la etapa (b) se comprueba que la imagen no ha sido falsificada/manipulada.
[0076] Opcionalmente, el módulo de validación de imagen 18 puede, además, comprender un módulo de lectura de código de barras 18g, que es capaz de leer códigos de barras (p. ej., un código de barras bidimensional, un código de respuesta rápida (QR) o los códigos de colores descritos en EP1959374A1).
[0077] El módulo de validación de imagen 18 puede utilizarse en combinación con otras formas de autenticación, como contraseñas estáticas y/o dinámicas, y/o algoritmos de respuesta a desafíos como OATH OCRA, EMV CAP, Visa CodeSure o Vasco Vacman, y/o firmas digitales.
[0078] El módulo de validación de imagen 18 comprende, además, un motor de aparato 18f, que está configurado para recibir imágenes y solicitudes de validación de los dispositivos de formación de imágenes de usuario 16. El motor de aparato 18f está configurado para comunicarse con un motor 14b de un sistema de parte de confianza 14 para, por ejemplo, obtener una copia del mensaje de transacción Mcopia de la parte de confianza directamente, y para proporcionar a la parte de confianza la respuesta de autenticación al desafío de autenticación si la Pm es auténtica.
[0079] Cuando el módulo de validación de imagen 18 recibe una imagen Pm (a través del motor del aparato 18f), el módulo de procesamiento de imágenes 18b está configurado para realizar una o varias de las técnicas de procesamiento de imágenes descritas anteriormente. Al final del procesamiento, el módulo de validación de imagen crea una respuesta que indica (a) si el dispositivo de formación de imágenes que creó la Pm ha sido reconocido (es decir, es un dispositivo registrado), (b) si se cree que la imagen Pm recibida no ha sido alterada y, opcionalmente, (c) si el contenido textual de Pm coincide con el contenido textual de Mcopia. Si todos los puntos (a) a (c) son afirmativos, el módulo de validación de imagen 18 concluye sin muchas dudas que el usuario del dispositivo de formación de imágenes reconocido 16 ha aprobado explícitamente el mensaje de transacción M auténtico. En efecto, ha capturado Pm utilizando su dispositivo de formación de imágenes 16 que, por lo tanto, se determina que está en su posesión, Pm también se cree que es digno de confianza, y Pm presenta el mensaje original M como esperaba la parte de confianza (es decir, M coincide con Mcopia). Opcionalmente, el módulo de validación de imagen 18 podría almacenar y/o fechar la Pm o una versión encriptada de la misma, en casos de controversia. Opcionalmente, la respuesta podría también incluir la identificación del usuario registrado para el dispositivo de formación de imágenes de usuario identificado o una confirmación de que la imagen procede de un dispositivo que pertenece a un usuario concreto. Alternativamente, el módulo de validación de imagen puede devolver un identificador al dispositivo de formación de imágenes de usuario y, entonces, la parte de confianza tendrá que decidir si este dispositivo pertenece al usuario correcto.
[0080] La figura 2 ilustra un flujograma de etapas de ejemplo para la autenticación de un dispositivo de usuario y de una transacción mediante el sistema de la figura 1. Se requiere que un usuario se registre en el sistema. El usuario posee dos dispositivos: un dispositivo de formación de imágenes de usuario y un dispositivo de transacción de usuario. El dispositivo de formación de imágenes de usuario también está registrado en el sistema. En algunos modos de realización, solo el dispositivo de formación de imágenes de usuario se registra en el sistema, ya que solo él se comunica con un módulo de validación. En modos de realización concretos, el dispositivo de transacción de usuario puede recibir una imagen digital capturada del dispositivo de formación de imágenes de usuario y transmitirla al propio módulo de validación. No obstante, puesto que la validación y autenticación de una imagen digital se basa en el dispositivo utilizado para capturar la imagen, el dispositivo de transacción de usuario puede no tener que registrarse.
[0081] El registro del dispositivo de formación de imágenes de usuario implica el almacenamiento de una huella dactilar única asociada al dispositivo de formación de imágenes de usuario en el módulo de validación de imagen. La huella dactilar única para el dispositivo de formación de imágenes de usuario se obtiene a través de técnicas de procesamiento de imágenes en las que el análisis de artefactos en las imágenes digitales capturadas por el dispositivo permite identificar el dispositivo de formación de imágenes. Esto se describe con mayor detalle a continuación. Por lo tanto, se asocia una huella dactilar única a cada dispositivo de formación de imágenes de usuario registrado en el sistema para permitir que el dispositivo sea autenticado. Además, cada dispositivo de formación de imágenes de usuario está vinculado a su usuario (que también está registrado en el sistema), de manera que existe una relación que vincula al usuario y al dispositivo de formación de imágenes de usuario dentro del sistema.
[0082] Durante un proceso de transacción, una parte de confianza solicita la validación y autenticación de una transacción que se realiza entre el usuario y la parte de confianza (S100). Se genera un desafío de autenticación que debe completarse para que se procese y se finalice la transacción. El desafío toma la forma de mensaje de transacción M y es generado localmente por el dispositivo de transacción de usuario o es recibido por el dispositivo de transacción de usuario de un tercero (p. ej., el vendedor, el servicio de banca electrónica, etc.). El mensaje de transacción M se muestra en el dispositivo de transacción para que el usuario lo vea y compruebe antes de completar la transacción (S101). Si el usuario está convencido de que el mensaje M corresponde a la transacción que trata de realizar en su dispositivo de transacción, sigue con la siguiente fase de la transacción; de lo contrario, cancela la transacción. El dispositivo de formación de imágenes de usuario se utiliza para capturar una imagen del mensaje de transacción M mostrado en el dispositivo de transacción (S102). Una aplicación de software que se ejecuta en el dispositivo de formación de imágenes de usuario se inicia para establecer un canal de comunicación directa o indirectamente entre el dispositivo de formación de imágenes y un módulo de validación de imagen remoto del sistema (S104).
[0083] Una vez establecido el canal entre el dispositivo de formación de imágenes y el módulo de validación de imagen remoto (ya sea directa o indirectamente, como se ha mencionado anteriormente), la aplicación envía una solicitud al módulo de validación de imagen para que la imagen capturada sea validada (S106). El módulo de validación de imagen, preferiblemente, determina que la imagen es recibida de un dispositivo ya conocido por el mismo (es decir, ha sido registrada) y la imagen recibida del dispositivo comprende la huella digital única asociada al dispositivo. Por lo tanto, la solicitud puede incluir datos para identificar el dispositivo de formación de imágenes de usuario, de modo que el módulo de validación de imagen pueda encontrar los datos apropiados (por ejemplo, los datos de la huella dactilar única) almacenados dentro del módulo para ayudar a autenticar el dispositivo. El dispositivo de formación de imágenes (a través de la aplicación) envía la imagen capturada del mensaje M al módulo de validación de imagen (S108). Si la imagen parece proceder de un dispositivo que está registrado, el módulo de validación de imagen, entonces, aplica técnicas de procesamiento de imágenes a la imagen recibida del mensaje M (S110) para determinar si los artefactos en la imagen digital coinciden con la huella dactilar única asociada al dispositivo. Si la huella dactilar de la imagen recibida generada por las técnicas de procesamiento de imágenes coincide con la huella dactilar única almacenada asociada al dispositivo, el módulo de validación de imagen determina que la imagen no ha sido alterada y que procede del dispositivo de formación de imágenes de usuario registrado (S112).
[0084] El proceso de validación de imagen también implica comprobar si el contenido del mensaje M recibido en la imagen es el mismo que el esperado por la parte de confianza. Como se ha explicado anteriormente, esto puede implicar la comparación del mensaje M en la imagen recibida con una copia del mensaje original Mcopia recibida directamente de la parte de confianza. El mensaje M se extrae de la imagen recibida mediante el uso de técnicas de procesamiento de imágenes de reconocimiento óptico de caracteres. Si el módulo de validación de imagen determina que el mensaje M extraído coincide con la copia del mensaje original Mcopia, entonces está configurado para enviar una respuesta al desafío de autenticación a la parte de confianza para procesar y completar la transacción (S114).
[0085] La figura 3 muestra un diagrama esquemático del sistema de la figura 1 adaptado para registrar un usuario y un dispositivo de formación de imágenes de usuario. En términos generales, el usuario proporciona algo que conoce o posee, como una contraseña estática, una tarjeta de identificación o una huella dactilar, junto con algo que tiene, como un dispositivo de formación de imágenes, para permitir el registro. Mientras que el dispositivo de transacción de usuario puede ser poco seguro y no estar vinculado al usuario o al aparato de ninguna manera, los modos de realización de la invención requieren que el dispositivo de formación de imágenes, o más precisamente el módulo de cámara digital (ya sea incrustado o unido al dispositivo de formación de imágenes), sea reconocido como algo que el usuario tiene para cumplir con el segundo requisito de autenticación fuerte.
[0086] El sistema 30 de la figura 3 comprende muchas de las mismas características que el de la figura 1, como indica el uso de los mismos números de referencia. La figura 3 es simplemente un ejemplo de cómo puede realizarse el registro y no es limitativa. El módulo de validación de imagen está configurado para comunicarse con una autoridad de registro 34. La autoridad de registro 34 emite documentos de registro 32 que podrían ser documentos de identificación como carnets de conducir, tarjetas nacionales de identidad, pasaportes, etc., pero podrían ser simplemente una carta o un documento similar.
[0087] El documento de registro 32 puede presentar una pluralidad de páginas y pueden capturarse imágenes para cada página. Alternativamente, pueden utilizarse múltiples documentos de registro 32. Para registrar un dispositivo de formación de imágenes de usuario 16 específico en el sistema, el dispositivo de formación de imágenes 16 captura una pluralidad de imágenes; p. ej., una imagen de cada documento de registro 32 o de cada página del mismo. Las imágenes capturadas 36 son, a continuación, procesadas por el módulo de cámara digital 16a del dispositivo de formación de imágenes 16 tal y como se ha descrito anteriormente, y las imágenes comprimidas son enviadas al módulo de validación de imagen 16. El módulo de validación de imagen realiza las técnicas de procesamiento de imágenes descritas anteriormente para generar una huella dactilar de referencia única para el dispositivo de formación de imágenes 16, a partir de las imágenes capturadas recibidas 36. También pueden extraerse datos textuales de la imagen capturada 36 para comparar el texto extraído con el texto del documento de registro 32 (recibido de la autoridad emisora de documentos de identidad 34). Si el texto extraído coincide con el texto original, el módulo de validación de imagen determina que la imagen 36 es una imagen auténtica del documento de registro 32, es decir, que no ha sido falsificada. La huella dactilar de referencia se almacena entonces en el módulo de validación de imagen y se vincula con el usuario. Es posible que se haya transmitido también información adicional asociada al dispositivo de formación de imágenes 16 con las imágenes capturadas, como un número de serie u otro identificador, y esto también puede almacenarse junto con la huella dactilar de referencia y la información de usuario.
[0088] La figura 4 ilustra un flujograma de etapas de ejemplo para registrar un dispositivo de formación de imágenes de usuario. La autoridad emisora emite un documento de registro oficial (S400) de un usuario concreto al usuario y al módulo de validación de imagen. Se pide al usuario que utilice su dispositivo de formación de imágenes para capturar una pluralidad de imágenes basadas en el documento de registro (S402). Las imágenes capturadas son utilizadas por el módulo de validación de imagen para generar una huella dactilar única para el dispositivo de formación de imágenes. Puede que una aplicación del dispositivo de formación de imágenes le pida al usuario que envíe las imágenes capturadas al módulo de validación de imagen. Adicional o alternativamente, las imágenes capturadas pueden transmitirse automáticamente. En cualquier caso, el usuario solicita su registro con un dispositivo de formación de imágenes concreto a partir de las imágenes capturadas (S404). Las imágenes capturadas son transmitidas al sistema de validación, específicamente al módulo de validación de imagen (S406).
[0089] El módulo de validación de imagen procesa las imágenes recibidas con el fin de generar la huella dactilar única (S408) y extraer texto y/o datos de imagen de las imágenes recibidas (S410). El texto extraído y/o los datos de imagen se comparan con el documento original recibido por el módulo de validación de imagen de la autoridad de registro (S412). Adicional o alternativamente, los datos extraídos son enviados a la autoridad de registro para verificar que los datos coinciden con los datos de su sistema, y la autoridad de registro genera una respuesta que confirma que los datos coinciden con los datos originales y la devuelve al módulo de validación de imagen. En cualquier caso, si los datos coinciden con los del documento original (S414), el usuario se valida como un usuario conocido y auténtico, y tanto la información del usuario como del dispositivo de formación de imágenes (incluida la huella dactilar) se almacenan en el sistema de validación para permitir que las futuras transacciones realizadas por el usuario sean autenticadas a través del sistema (S416). De lo contrario, el proceso de registro termina y el usuario no se registra en el sistema de validación.
[0090] La figura 5 es un boceto de un sistema para procesar imágenes capturadas por un dispositivo de formación de imágenes de usuario para generar una huella dactilar para dicho dispositivo durante el proceso de registro. Un dispositivo de formación de imágenes de usuario 52 comprende un sensor de cámara digital 52a y un software de adquisición de imágenes 52b, que se utilizan para capturar múltiples imágenes 52c de una determinada "escena de inscripción". Para que el dispositivo de formación de imágenes 52 sea identificado de forma única, se ejecuta un algoritmo de balística de cámara en una imagen, o preferiblemente en varias imágenes, capturadas por el dispositivo de formación de imágenes con el fin de extraer una huella dactilar de referencia única de dispositivo que permita la futura identificación de dispositivo. La o las imágenes capturadas 52c de la escena de inscripción se transmite(n) al módulo de validación de imagen 50 para su procesamiento. El módulo de validación de imagen comprende las imágenes capturadas recibidas 50a, un algoritmo de procesamiento de imágenes 50b (por ejemplo, un algoritmo de balística) para extraer una representación única del ruido de PRNU en las imágenes capturadas, y un archivo de datos de ruido de PRNU 50c para el dispositivo de formación de imágenes 52 (o específicamente, para el sensor 52a del dispositivo de formación de imágenes).
[0091] En un modo de realización, la huella dactilar única se calculará utilizando las imágenes capturadas de una escena de inscripción para obtener una aproximación al ruido de PRNU, promediando las imágenes para suprimir los componentes de ruido aleatorio y los componentes de baja frecuencia para retener únicamente el ruido de PRNU. Preferiblemente, el proceso de cálculo de huella dactilar es realizado por el módulo de validación de imagen 50, de modo que la huella dactilar del dispositivo de formación de imágenes nunca queda expuesta. En consecuencia, el procesamiento del cálculo de huella dactilar se realiza idealmente dentro de un hardware a prueba de manipulaciones, como un HSM, para que la huella dactilar no esté expuesta a ataques.
[0092] Opcionalmente, el algoritmo de extracción de huella dactilar puede implementar características únicas, y podría, por ejemplo, estar decorado en regiones discontinuas del sensor para frustrar posibles ataques de fuerza bruta.
[0093] El algoritmo de balística puede actualizarse días, meses o años después del proceso de inscripción inicial (en cuyo caso las imágenes iniciales tendrían que almacenarse en el módulo de validación de imagen 50 y volver a procesarse para generar una nueva huella dactilar utilizando el algoritmo actualizado).
[0094] La figura 6 muestra un flujograma de etapas de ejemplo para procesar imágenes capturadas por un dispositivo de formación de imágenes de usuario para generar una huella dactilar para el dispositivo. El dispositivo de formación de imágenes de usuario se utiliza para capturar una o más imágenes de una escena de inscripción (etapa S600). En los modos de realización descritos anteriormente, la escena de inscripción puede ser el documento de identidad del usuario. El dispositivo de formación de imágenes transmite las imágenes capturadas al módulo de validación de imagen para su análisis (S602). Opcionalmente, las imágenes capturadas se almacenan en el módulo de validación de imagen (S604), en caso de que los algoritmos de procesamiento de imagen se actualicen en el futuro y la huella dactilar haya de regenerarse. El algoritmo de procesamiento de imágenes es un algoritmo de balística que analiza la imagen capturada para extraer una huella dactilar única para el dispositivo de formación de imágenes (S606), como se ha descrito anteriormente. El proceso se muestra con más detalle en las etapas S608 y S610. Las imágenes capturadas se analizan para aproximar el ruido de PRNU (S608) y estos datos de ruido se almacenan en un almacén de datos dentro del módulo de validación de imagen (S610) o acoplado al módulo de validación de imagen. Los datos de ruido almacenados o la huella dactilar de referencia se utilizan para determinar si las imágenes capturadas recibidas por el módulo de validación de imagen como parte de un desafío de autenticación son auténticas y comprenden una huella dactilar conocida. Opcionalmente, el algoritmo de balística se actualiza después de un periodo de tiempo y las imágenes capturadas almacenadas se utilizan para actualizar la huella dactilar para el dispositivo de formación de imágenes asociado (S612).
[0095] Hasta ahora, se han descrito métodos y sistemas de explotación de tecnología de procesamiento de imágenes para la autenticación fuerte de un dispositivo de usuario, así como para verificar la integridad de los datos de transacción. Los métodos y sistemas requieren dos dispositivos de usuario y un módulo de validación de imagen para conseguir la funcionalidad WYSIWYs descrita anteriormente.
[0096] Ahora se explica cómo los métodos y sistemas descritos anteriormente pueden acoplarse a una infraestructura de clave pública (PKI) en la que un usuario firma digitalmente un mensaje utilizando criptografía asimétrica. En los sistemas PKI, el usuario mantiene el control total sobre una clave privada utilizada para firmar un mensaje, y se utiliza una clave pública correspondiente durante la verificación de la firma. Ejemplos de estos sistemas son RSA, DSA y ECDSA. Aunque el sistema PKI se utiliza ampliamente, a menudo sigue siendo un reto demostrar el cumplimiento de los requisitos clave de la Directiva europea sobre firmas electrónicas [Directiva 1999/93/CE] y el Reglamento del Parlamento Europeo relativo a la identificación electrónica y los servicios de confianza (http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_. 2014.257.01.0073.01.ENG) en el que una firma electrónica avanzada ha de ser: i) una firma que está vinculada exclusivamente al signatario; ii) que es capaz de identificar al signatario; iii) que se crea utilizando medios que el signatario puede mantener bajo su exclusivo control; y iv) que está vinculada a los datos con los que se le asocia, de modo que se puede detectar cualquier cambio posterior de los datos.
[0097] Como se ha mencionado previamente, es posible aprovechar las vulnerabilidades de protocolo y de software para alterar un mensaje M mostrado a un usuario, y también utilizar la clave privada de usuario sin su consentimiento. En la práctica, la mayoría de los usuarios no disponen de dispositivos de visualización de confianza para completar las operaciones de firma, y deben utilizar el teclado o la pantalla táctil de sus dispositivos informáticos para autenticarse ante el dispositivo de creación de firma, donde tanto el teclado como la pantalla táctil son vulnerables a ataques de los keyloggers. Dado que tanto la visualización del mensaje como la autenticación del usuario son relativamente débiles, se puede argumentar que no se cumplen plenamente uno o todos los criterios de una firma electrónica avanzada. Esto también se aplica a las firmas electrónicas cualificadas que, tal como se definen en la directiva europea mencionada anteriormente, son firmas electrónicas avanzadas respaldadas por un certificado cualificado y generadas mediante la utilización de un dispositivo de creación de firmas seguro/cualificado.
[0098] En la solicitud de patente internacional WO2014/199128, que se incorpora a la presente memoria por referencia en su totalidad, el solicitante describió un método y un aparato para solicitar y proporcionar una firma digital. Un aspecto central de este concepto es la interacción con el primer y el segundo dispositivo de usuario, donde los dos dispositivos están preferiblemente separados el uno del otro. La solicitud para una firma se recibe desde el primer dispositivo de usuario y se confirma desde el segundo dispositivo de usuario antes de que se cree la firma. Además, el desafío de validación se genera de modo que se pueda volver a crear el mensaje en el segundo dispositivo de usuario para que un usuario pueda ver el mensaje antes de confirmar la solicitud de firma. En consecuencia, se proporciona la funcionalidad «Lo que se ve es lo que se firma» (WYSIWYS).
[0099] Volviendo ahora a la figura 7, esta muestra un flujograma de las etapas seguidas por diversos dispositivos en el sistema de la figura 1 para generar una firma digital en una infraestructura de clave pública. Una infraestructura de clave pública (PKI) incluye una disposición para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales. La PKI vincula claves públicas con identidades de usuario respectivas por medio de una autoridad de certificación (AC). Una autoridad de validación (AV) independiente puede proporcionar esta información en nombre de la AC. La vinculación se establece por medio del proceso de registro, que puede realizarse mediante software en una AC. La PKI comprende una autoridad de registro (AR), que garantiza que la clave pública esté vinculada a la persona a la que está asignada para garantizar el no repudio.
[0100] Las figuras 7a a 7c muestran cómo algunos modos de realización proporcionan una funcionalidad "WYSIWYS" fuerte utilizando múltiples dispositivos. El sistema comprende cuatro dispositivos clave: un dispositivo de creación de firma (SCD) 11, dos dispositivos manejados por un usuario, es decir, el dispositivo de transacción 12 y el dispositivo de formación de imágenes 16 descritos anteriormente, y un dispositivo de autenticación y validación (AVD) (que comprende el módulo de validación de imagen 18 descrito anteriormente). Las figuras 7b y 7c son versiones simplificadas de la figura 1, que muestran dos disposiciones de estos dispositivos. El dispositivo de creación de firma es donde se lleva a cabo la generación de la firma digital. El dispositivo de creación de firma puede ser un SCD central, tal como un servidor de firma, como se muestra en la figura 7b, o un dispositivo de creación de firma local, tal como una tarjeta inteligente o un lápiz de firma, como se muestra en la figura 7c. Asimismo, como se muestra en la figura 7c, para un SCD local, el dispositivo de autenticación y validación también puede incorporarse en el dispositivo de transacción de usuario o formar parte integral del SCD. Como se muestra en la figura 7c, hay un canal de comunicación entre el dispositivo de formación de imágenes de usuario y el SCD local. Por ejemplo, este canal de comunicación puede formarse cuando se conecta el dispositivo de formación de imágenes a un ordenador local de usuario para su sincronización y recarga. Podría utilizarse esta conexión para transmitir la foto. Hay alternativas como Bluetooth o Bluetooth Low Energy (BLE). La ventaja de esta solución es que se evita el servidor central cuando se hace una firma localmente.
[0101] Como se ha descrito anteriormente, el dispositivo de transacción de usuario puede ser cualquier dispositivo electrónico, como una estación de trabajo, un ordenador portátil, una tableta o smartphone, mientras que el dispositivo de formación de imágenes de usuario puede ser cualquier dispositivo electrónico con una cámara digital/funcionalidad de captura de imágenes, así como con la capacidad de comunicarse con el AVD directa o indirectamente.
[0102] En la figura 7b, el módulo/dispositivo de validación de imagen forma parte de un sistema centralizado y remoto para realizar la validación y autenticación. Existen dos canales de comunicación independientes, uno entre el SCD y el módulo de validación de imagen y otro entre el dispositivo de formación de imágenes y el módulo de validación de imagen, para lograr WYSIWYS con un nivel adecuado de seguridad para evitar que se modifique el mensaje sin detección inmediata. Si se utilizara únicamente un dispositivo de usuario, debería presentar características adicionales inviolables, tal como una GUI fiable (interfaz gráfica de usuario).
[0103] Al principio, en la etapa S700, el usuario utiliza el dispositivo de transacción para identificar un mensaje específico Mf que está preparado para asignarse a una firma digital. El mensaje puede ser una transacción, documento u orden de compra en formato electrónico.
[0104] Debido a que el dispositivo de transacción puede ser una plataforma poco segura, normalmente, el usuario no puede comprometerse a firmar el mensaje en este dispositivo, ya que un ataque en el dispositivo de transacción puede sustituir el mensaje por otro. Por lo tanto, una vez que el usuario haya aceptado el mensaje Mf y desee firmar el mensaje, se envía una solicitud de creación de firma desde el dispositivo de transacción al dispositivo de creación de firma (S702). En la figura 7c, el SCD forma parte del dispositivo de transacción (aunque, según indican las líneas discontinuas, puede ser una parte extraíble del dispositivo de transacción). En consecuencia, la etapa S702 y S704 se omiten en esta disposición.
[0105] Una vez el SCD haya recibido una solicitud para firmar un mensaje Mf (S704), el SCD no creará la firma hasta que haya recibido pruebas de que el usuario se ha comprometido a firmar este mensaje concreto y de que el mensaje es auténtico. Básicamente, esto se consigue solicitándole al usuario que complete un desafío de autenticación. Tanto para las disposiciones locales como para las remotas, el SCD crea una copia del mensaje, M, que luego pasa la copia M a un dispositivo de autenticación y validación (AVD) (Paso S706). Preferiblemente, el módulo de validación de imagen descrito anteriormente forma parte del AVD. M se envía al dispositivo de transacción de usuario para su visualización por el AVD (S708). Para completar el desafío de autenticación, se pide al usuario que utilice su dispositivo de formación de imágenes para capturar una imagen de M (que se muestra en su dispositivo de transacción (S710)), y transmitirla al módulo de validación de imagen del AVD para su validación. Así, en el paso S712, el dispositivo de formación de imágenes captura una imagen Pm del mensaje M que se visualiza en el dispositivo de transacción. La imagen capturada se envía al módulo de validación de imagen del servidor AVD (S714).
[0106] La imagen capturada es un tipo de desafío de validación. Al analizar la imagen capturada para determinar que es auténtica y que comprende la huella dactilar única asociada al dispositivo de formación de imágenes, se puede proporcionar al SCD la seguridad de que este mensaje ha sido aprobado por el usuario y procede de una fuente de confianza, con razones aceptables para creer que no ha sido alterado antes de ser presentado al dispositivo de validación de imagen. El módulo de validación de imagen extrae una huella dactilar de imagen de Pm, compara la huella dactilar extraída con una huella dactilar de referencia asociada al dispositivo de formación de imágenes y determina si el Pm se ha obtenido de un dispositivo de formación de imágenes conocido y de confianza (S716). El módulo de validación de imagen, entonces, extrae el mensaje original M de PMy lo compara con el mensaje M recibido directamente del SCD (S718). Si los mensajes coinciden, el módulo de validación de imagen del AVD genera una respuesta de validación (S720). En la disposición remota de la figura 7b, la respuesta se envía de manera segura al SCD. En la disposición local, el SCD y el AVD se encuentran en el dispositivo de transacción y, por lo tanto, la validación tiene lugar localmente. En ambas disposiciones, el SCD tiene la certeza de que el usuario es válido. Por consiguiente, el SCD genera la firma solicitada para firmar el mensaje Mf en el dispositivo de transacción. Por lo tanto, las técnicas de procesamiento de imágenes realizadas por el AVD garantizan que la firma puede generarse solamente si esta validación de imagen ha sido exitosa.
[0107] La innovación posibilita varias formas de realización en función de si el SCD es un servidor de firma central, como se muestra en la figura 7b, o un dispositivo local (tarjeta inteligente, lápiz USB de firma), como se muestra en la figura 7c. En el último caso, resultan posibles diversas realizaciones para verificar el código de validación único.
[0108] La figura 8 ilustra un flujograma detallado de etapas de ejemplo para autenticar una firma digital en una infraestructura de clave pública mediante la utilización de múltiples dispositivos. Esta disposición comprende los dispositivos de usuario y el módulo de validación de imagen que se han descrito anteriormente con respecto a las figuras 1 y 7. Los dispositivos de usuario son independientes el uno del otro y se proporcionan como dispositivos independientes como parte de la funcionalidad de autenticación. El módulo de validación de imagen forma parte del dispositivo de autenticación y validación. El módulo de validación de imagen puede situarse a distancia de los dispositivos de usuario. El módulo de validación de imagen es capaz de comunicarse con el dispositivo de formación de imágenes de usuario y con el SCD. En consecuencia, el dispositivo de formación de imágenes y el SCD presentan, cada uno, un canal de comunicación independiente y distinto con el AVD (y, por consiguiente, con el módulo de validación de imagen).
[0109] En la figura 7, el dispositivo de creación de firma (SCD) y el dispositivo de autenticación y validación (que comprende el módulo de validación de imagen) se muestran como dos entidades separadas que están conectadas entre sí, preferiblemente, por medio de una conexión segura. Esto indica únicamente que cada entidad desempeña una función o un papel distinto en el proceso. Cabe observar que las funciones separadas del dispositivo de creación de firma y el dispositivo de autenticación y validación se pueden proporcionar también a través de una única entidad, por ejemplo, un único servidor de firma.
[0110] Inicialmente, el usuario acuerda el contenido de un mensaje Mf y acepta un mensaje Mf que se muestra en su dispositivo de transacción (S800). Su aceptación significa que está preparado para asignar el mensaje a una firma digital. Dicho mensaje Mf se puede presentar, opcionalmente, en un navegador de cliente del dispositivo de transacción que recibe páginas web HTML desde un servidor web remoto controlado por un proveedor de aplicaciones.
[0111] El usuario se pone en contacto con el SCD o con el servidor de firma para solicitar una firma para un mensaje Mf o una versión con hash del mismo (S802). Se crea una versión del mensaje, denominada M. M puede ser idéntico a Mf o puede ser una versión basada en Mf que tenga esencialmente el mismo contenido. Mf puede ser, por ejemplo, una orden de compra y M sería un resumen de esta, por ejemplo, con la referencia del pedido, el destinatario o la cantidad. Según se muestra en las etapas S804a, S804b, S804c, M se calcula mediante el dispositivo de transacción, el SCD o el dispositivo de autenticación y validación (AVD). Independientemente de dónde se cree, existe comunicación entre el SCD central y el AVD para garantizar que el AVD recibe finalmente el M (S806).
[0112] Según se indica en S808, como parte de un desafío de validación, el mensaje M se muestra en el dispositivo de transacción de usuario. Como se ha descrito anteriormente, se le pide al usuario que capture una imagen de M mediante la utilización de su dispositivo de formación de imágenes independiente. El mensaje M puede ser un código de respuesta rápida (QR) estandarizada o un código de barras similar de los que pueda captar una imagen el dispositivo de formación de imágenes y que pueden ser leídos por el AVD para extraer datos del mensaje que permitan autenticar el mensaje. Adicional o alternativamente, M puede comprender partes legibles por el usuario que permitan que el usuario lea el mensaje M en su dispositivo de transacción y verifique visualmente que coincide con el mensaje Mf que se ha comprometido a firmar, antes de llevar a cabo las siguientes etapas para completar el desafío de validación (es decir, capturar una imagen de M). Por ejemplo, si Mf es una orden de compra, M podría ser un resumen de la misma con información en campos importantes, por ejemplo, referencia del pedido, destinatario, cantidad; al usuario se le presentaría la información de los campos para identificar Mf. Si el usuario está convencido de que M se refiere a Mf, el usuario captura una imagen de M mediante su dispositivo de formación de imágenes (S810). La imagen capturada Pm se envía al AVD para su autenticación; específicamente, se envía al módulo de validación de imagen del AVD para aplicar técnicas de procesamiento de imágenes para llevar a cabo la validación/autenticación (S812).
[0113] En la etapa S814, si el AVD determina que la Pm ha sido recibida de un dispositivo de formación de imágenes conocido (mediante la comparación de huellas dactilares, como se ha explicado anteriormente) y que el mensaje extraído de la Pm coincide con el mensaje original M recibido por el AVD (en la etapa S806), entonces se genera una respuesta de validación, que se envía al SCD. Entonces, se le pide al SCD que cree la firma digital solicitada y se firma el mensaje original Mf (S816). Si la etapa S814 falla, el proceso finaliza sin firmar el MF.
[0114] En los modos de realización de la invención, las técnicas de procesamiento de imágenes utilizadas para realizar la autenticación y validación se acoplan a una infraestructura de PKI, para permitir que la tecnología de procesamiento de imágenes cree una autoridad de registro de confianza móvil para la autoinscripción frente a una autoridad de certificación centralizada, siempre que el usuario ya esté inscrito en el sistema central de validación y autenticación. En la actualidad, uno de los desafíos más difíciles relacionados con el amplio despliegue de la PKI es garantizar la inscripción y el registro de usuarios de confianza, de modo que los certificados emitidos puedan recibir confianza y pueda reconocerse que efectivamente pertenecen a la persona que reclama su propiedad. En concreto, el anexo II de la Directiva europea sobre firmas electrónicas exige que los proveedores de servicios de certificación verifiquen, a través de los medios adecuados de conformidad con la legislación nacional, la identidad y, en su caso, los atributos específicos de la persona a la que se expide un certificado reconocido, y que empleen personal que posea los conocimientos especializados, la experiencia y las cualificaciones necesarias para los servicios prestados, en particular la competencia a nivel de gestión, la experiencia en la tecnología de la firma electrónica y la familiaridad con los procedimientos de seguridad adecuados. Asimismo, deben aplicar procedimientos administrativos y de gestión que son adecuados y corresponden a normas reconocidas. Tradicionalmente, las autoridades de registro comprueban documentos de identidad oficiales, como las tarjetas de identidad nacionales, los pasaportes, los carnets de conducir o las tarjetas de seguro antes de emitir un certificado. Opcionalmente, también pueden llamar a un servicio central para verificar la validez del documento oficial.
[0115] De la misma manera, es posible utilizar un proceso de registro para ofrecer un servicio de AR remoto, pero seguro frente a una autoridad de certificación central. En consecuencia, la figura 9 muestra un flujograma de etapas de ejemplo para solicitar un certificado de clave pública para una infraestructura de clave pública mediante el sistema de la figura 1. En este proceso, el usuario simplemente captura una foto de su documento oficial con su dispositivo de formación de imágenes (S900). Una aplicación en el dispositivo de formación de imágenes de usuario establece un canal con el módulo de validación de imagen de un servicio de AR (S902). La aplicación envía una solicitud del certificado al módulo de validación de imagen con la imagen capturada del documento de identidad (S904). Se verifica la imagen mediante técnicas de procesamiento de imágenes (S906). El análisis forense de imágenes, tal y como se ha descrito anteriormente, se utiliza para determinar que la imagen es auténtica (S908) y, a continuación, se procesa la imagen para extraer, mediante OCR, las credenciales del usuario que aparecen en la imagen del documento oficial (S910). El módulo de validación de imagen consulta, preferiblemente, a un servicio central de validación para verificar la validez del documento oficial presentado por el usuario, por ejemplo, comparando los datos extraídos con los conocidos por el servicio central de validación (S912). Si los datos extraídos coinciden con los datos originales, se determina que el documento es válido (S914). Una vez realizada la verificación con éxito, se envía a la autoridad de certificación una solicitud de certificado que contiene algunas o todas las credenciales del usuario contenidas en la imagen capturada (S916), para que la autoridad de certificación pueda emitir el certificado solicitado (S918). Este proceso garantiza que el usuario está en posesión de un documento de identificación oficial válido en el momento del registro. Además, garantiza que el usuario se autentica en base a lo que es (extrayendo la información disponible de su documento oficial) y en base a lo que sabe (es decir, una contraseña acordada previamente o negociada durante el registro, que se utilizará para controlar posteriormente el uso de la clave para la que se ha emitido un certificado).
[0085] No cabe duda de que a los expertos en la materia se les ocurrirán muchas otras alternativas efectivas. Cabe comprender que la invención no se limita a los modos de realización descritos y abarca modificaciones evidentes para los expertos en la materia que se encuentran dentro del alcance de las reivindicaciones adjuntas a la misma.

Claims (12)

REIVINDICACIONES
1. Sistema de validación y autenticación para autenticar y validar mensajes y/o un usuario, comprendiendo el sistema:
un almacén de datos (18a) que almacena una o más huellas digitales asociadas a dispositivos de formación de imágenes de usuario (16), donde la una o más huellas digitales están basadas, cada una, en una foto respuesta no uniforme, PRNU, asociada a un dispositivo de formación de imágenes de usuario correspondiente de entre los dispositivos de formación de imágenes de usuario;
un módulo de comunicación (18f) configurado para:
recibir un mensaje M;
recibir (S106) una solicitud de validación y autenticación de al menos uno de entre el mensaje M y un usuario utilizando dicho dispositivo de formación de imágenes de usuario y
recibir (S108) una imagen Pm del mensaje M capturado mediante un dispositivo de formación de imágenes de usuario asociado a dicho usuario; y
un módulo de validación de imagen (18) para analizar (S110) la imagen Pm recibida para determinar si la imagen es válida mediante la determinación (S112) de si la imagen Pm recibida comprende una PRNU que coincide con una de la una o más huellas digitales almacenadas en el almacén de datos y para determinar si la imagen Pm recibida es auténtica mediante la extracción de datos de la imagen Pm recibida y la comparación de los datos extraídos con el mensaje M; y
donde, si se determina que la imagen Pm recibida es auténtica y válida, el módulo de validación de imagen genera (S114) una respuesta a la solicitud.
2. Sistema de validación y autenticación según se reivindica en cualquiera de las reivindicaciones anteriores donde el módulo de validación de imagen comprende un submódulo de balística (18e) configurado para determinar que la imagen Pm recibida comprende una PRNU que coincide con una de las huellas digitales almacenadas en el almacén de datos.
3. Sistema de validación y autenticación según se reivindica en cualquiera de las reivindicaciones anteriores donde el módulo de validación de imagen comprende un submódulo forense (18d) configurado para determinar que la imagen Pm recibida no se ha alterado durante el tránsito al sistema de validación y autenticación.
4. Sistema de validación y autenticación según se reivindica en cualquiera de las reivindicaciones anteriores donde el módulo de validación de imagen comprende además un submódulo de reconocimiento óptico de caracteres (18c) configurado para extraer los datos de la imagen Pm recibida, comparar los datos extraídos con el mensaje recibido M; y determinar que la imagen es auténtica además si los datos extraídos coinciden con el mensaje recibido M.
5. Sistema de validación y autenticación según se reivindica en cualquier reivindicación anterior donde el módulo de comunicación está configurado para recibir al menos uno entre:
el mensaje M de un sistema de un tercero (34);
la solicitud de validación y autenticación del usuario o un sistema de un tercero (34); y
la imagen Pm del mensaje M del usuario.
6. Sistema de validación y autenticación según se reivindica en cualquier reivindicación anterior, que es un sistema central de validación y autenticación que está alejado del dispositivo de formación de imágenes de usuario.
7. Método de validación y autenticación que comprende:
recibir un mensaje M;
recibir (S106) una solicitud de validación y autenticación de al menos uno de entre el mensaje M o un usuario de un dispositivo de formación de imágenes de usuario;
recibir (S108) una imagen Pm del mensaje M capturado mediante dicho dispositivo de formación de imágenes de usuario;
analizar (S110) la imagen Pm recibida para determinar si la imagen es válida mediante la determinación (S112) de si la imagen Pm recibida comprende una foto respuesta no uniforme, PRNU, que coincide con una de una o más huellas digitales almacenadas en un almacén de datos (18a), donde dicha una o más huellas digitales están, cada una, basadas en una PRNU asociada a un dispositivo de formación de imágenes de usuario (16) y para determinar si la imagen es auténtica mediante la extracción de datos de la imagen Pm recibida y la comparación de los datos extraídos con el mensaje M; y
generar (S114), si la imagen es válida y auténtica, una respuesta a la solicitud.
8. Método según se reivindica en la reivindicación 7 donde el análisis de la imagen Pm recibida comprende el uso de un algoritmo de procesamiento de imágenes de balística (S606) para extraer la PRNU de la imagen Pm recibida; y
donde opcionalmente el análisis de la imagen Pm recibida comprende además la comparación de la PRNU extraída con la una de la una o más huellas digitales almacenadas en el almacén de datos, y la determinación de si la PRNU extraída corresponde a una huella digital almacenada.
9. Método según se reivindica en cualquiera de las reivindicaciones 7 a 8 donde el análisis de la imagen Pm recibida comprende además el uso de un algoritmo de procesamiento de imágenes forense para determinar que la imagen Pm recibida no ha sido alterada durante el tránsito.
10. Método según se reivindica en cualquiera de las reivindicaciones 7 a 9 donde el análisis de la imagen Pm recibida comprende además el uso de un algoritmo de reconocimiento óptico de caracteres para extraer los datos de la imagen Pm recibida y comparar los datos extraídos con el mensaje recibido M.
11. Método según se reivindica en cualquiera de las reivindicaciones 7 a 10 donde la recepción de un mensaje M comprende la recepción del mensaje M de un sistema de un tercero (34); y
donde la recepción de una imagen Pm del mensaje M comprende la recepción de la imagen del dispositivo de formación de imágenes de usuario.
12. Método según se reivindica en cualquiera de las reivindicaciones 7 a 11 donde la recepción de una solicitud de validación y autenticación comprende la recepción de una solicitud de un dispositivo de formación de imágenes de usuario o un sistema de un tercero (34).
ES16709501T 2015-03-03 2016-03-01 Método y sistema de encriptación Active ES2891309T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB1503611.4A GB2536209A (en) 2015-03-03 2015-03-03 Method and system for encryption
PCT/GB2016/050536 WO2016139462A1 (en) 2015-03-03 2016-03-01 Method and system for encryption

Publications (1)

Publication Number Publication Date
ES2891309T3 true ES2891309T3 (es) 2022-01-27

Family

ID=52876455

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16709501T Active ES2891309T3 (es) 2015-03-03 2016-03-01 Método y sistema de encriptación

Country Status (14)

Country Link
US (1) US10581612B2 (es)
EP (1) EP3265947B1 (es)
KR (1) KR102450025B1 (es)
AU (1) AU2016227473B2 (es)
CA (1) CA2978380C (es)
DK (1) DK3265947T3 (es)
ES (1) ES2891309T3 (es)
GB (1) GB2536209A (es)
HU (1) HUE056145T2 (es)
LT (1) LT3265947T (es)
PL (1) PL3265947T3 (es)
PT (1) PT3265947T (es)
SG (1) SG11201707149UA (es)
WO (1) WO2016139462A1 (es)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11456876B2 (en) * 2015-03-26 2022-09-27 Assa Abloy Ab Virtual credentials and licenses
US9300678B1 (en) 2015-08-03 2016-03-29 Truepic Llc Systems and methods for authenticating photographic image data
WO2018022993A1 (en) * 2016-07-29 2018-02-01 Trusona, Inc. Anti-replay authentication systems and methods
US20210279316A1 (en) * 2016-07-29 2021-09-09 Trusona, Inc. Anti-replay authentication systems and methods
WO2018111858A1 (en) 2016-12-12 2018-06-21 Trusona, Inc. Methods and systems for network-enabled account creation using optical detection
US10375050B2 (en) 2017-10-10 2019-08-06 Truepic Inc. Methods for authenticating photographic image data
US10664811B2 (en) 2018-03-22 2020-05-26 Bank Of America Corporation Automated check encoding error resolution
US10853459B2 (en) 2018-06-26 2020-12-01 Callsign Inc. Verification request authentication machine
US10740448B2 (en) * 2018-06-26 2020-08-11 Callsign Inc. Verification request authentication machine
CN108923931B (zh) * 2018-06-27 2021-06-22 努比亚技术有限公司 一种电子凭证处理方法、设备及计算机可读存储介质
US11184175B2 (en) 2018-07-30 2021-11-23 Hewlett Packard Enterprise Development Lp Systems and methods for using secured representations of location and user distributed ledger addresses to prove user presence at a location and time
US11403674B2 (en) * 2018-07-30 2022-08-02 Hewlett Packard Enterprise Development Lp Systems and methods for capturing time series dataset over time that includes secured representations of distributed ledger addresses
US11488160B2 (en) 2018-07-30 2022-11-01 Hewlett Packard Enterprise Development Lp Systems and methods for using captured time series of secured representations of distributed ledger addresses and smart contract deployed on distributed ledger network to prove compliance
US11250466B2 (en) 2018-07-30 2022-02-15 Hewlett Packard Enterprise Development Lp Systems and methods for using secured representations of user, asset, and location distributed ledger addresses to prove user custody of assets at a location and time
US11356443B2 (en) 2018-07-30 2022-06-07 Hewlett Packard Enterprise Development Lp Systems and methods for associating a user claim proven using a distributed ledger identity with a centralized identity of the user
US11270403B2 (en) 2018-07-30 2022-03-08 Hewlett Packard Enterprise Development Lp Systems and methods of obtaining verifiable image of entity by embedding secured representation of entity's distributed ledger address in image
US11488161B2 (en) 2018-07-31 2022-11-01 Hewlett Packard Enterprise Development Lp Systems and methods for providing transaction provenance of off-chain transactions using distributed ledger transactions with secured representations of distributed ledger addresses of transacting parties
US11271908B2 (en) 2018-07-31 2022-03-08 Hewlett Packard Enterprise Development Lp Systems and methods for hiding identity of transacting party in distributed ledger transaction by hashing distributed ledger transaction ID using secured representation of distributed ledger address of transacting party as a key
US11233641B2 (en) 2018-07-31 2022-01-25 Hewlett Packard Enterprise Development Lp Systems and methods for using distributed attestation to verify claim of attestation holder
US10360668B1 (en) 2018-08-13 2019-07-23 Truepic Inc. Methods for requesting and authenticating photographic image data
US12079851B2 (en) 2019-01-02 2024-09-03 Allstate Insurance Company Onboarding platform for performing dynamic mitigation analysis
US11481732B1 (en) 2019-01-02 2022-10-25 Allstate Insurance Company Onboarding platform for performing dynamic mitigation analysis
US11574357B1 (en) * 2019-01-02 2023-02-07 Allstate Insurance Company Onboarding platform for performing dynamic mitigation analysis
US11050571B2 (en) * 2019-02-14 2021-06-29 Carrott Richard F Systems for producing and maintaining verified electronic signatures
IL267619A (en) 2019-06-24 2019-08-29 Michael Ratiner Method and system for securing electronic devices
US11562349B2 (en) * 2019-08-20 2023-01-24 Anchor Labs, Inc. Risk mitigation for a cryptoasset custodial system using data points from multiple mobile devices
US11037284B1 (en) 2020-01-14 2021-06-15 Truepic Inc. Systems and methods for detecting image recapture
US11290253B2 (en) * 2020-02-14 2022-03-29 Gideon Samid Document management cryptography
WO2022192070A1 (en) * 2021-03-10 2022-09-15 Truepic Inc. System and method for capturing authenticatable digital media files on connected media-capture devices
US20220311881A1 (en) * 2021-03-24 2022-09-29 Canon Kabushiki Kaisha Information processing system, image processing apparatus, information processing apparatus, server apparatus, information processing method, and storage medium
US20220374641A1 (en) * 2021-05-21 2022-11-24 Ford Global Technologies, Llc Camera tampering detection
US11967184B2 (en) 2021-05-21 2024-04-23 Ford Global Technologies, Llc Counterfeit image detection
US20240220984A1 (en) * 2021-05-27 2024-07-04 Onespan Nv A method, system and apparatus for approving electronic transactions
US20240171609A1 (en) * 2022-11-21 2024-05-23 Microsoft Technology Licensing, Llc Generating a content signature of a textual communication using optical character recognition and text processing

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7787030B2 (en) * 2005-12-16 2010-08-31 The Research Foundation Of State University Of New York Method and apparatus for identifying an imaging device
US8160293B1 (en) * 2006-05-19 2012-04-17 The Research Foundation Of State University Of New York Determining whether or not a digital image has been tampered with
GB2489332C2 (en) * 2010-11-25 2021-08-11 Ensygnia Ltd Handling encoded information
US8464324B2 (en) * 2010-12-06 2013-06-11 Mobilesphere Holdings LLC System and method for identity verification on a computer
US8374386B2 (en) * 2011-01-27 2013-02-12 Polytechnic Institute Of New York University Sensor fingerprint matching in large image and video databases
US9141959B2 (en) * 2011-11-29 2015-09-22 Autography Llc Method and system for replaying a voice message and displaying a signed digital photograph contemporaneously
US8862888B2 (en) * 2012-01-11 2014-10-14 King Saud University Systems and methods for three-factor authentication
US9130929B2 (en) * 2013-03-15 2015-09-08 Aol Inc. Systems and methods for using imaging to authenticate online users
GB2515057B (en) * 2013-06-12 2016-02-24 Cryptomathic Ltd System and Method for Obtaining a Digital Signature
US9686079B2 (en) * 2013-07-16 2017-06-20 Eingot Llc Electronic document notarization

Also Published As

Publication number Publication date
EP3265947B1 (en) 2021-06-30
HUE056145T2 (hu) 2022-01-28
GB2536209A (en) 2016-09-14
DK3265947T3 (da) 2021-10-04
KR20170125380A (ko) 2017-11-14
GB201503611D0 (en) 2015-04-15
AU2016227473A1 (en) 2017-09-28
EP3265947A1 (en) 2018-01-10
US10581612B2 (en) 2020-03-03
WO2016139462A1 (en) 2016-09-09
LT3265947T (lt) 2021-10-11
AU2016227473B2 (en) 2019-08-01
SG11201707149UA (en) 2017-09-28
KR102450025B1 (ko) 2022-09-30
CA2978380A1 (en) 2016-09-09
CA2978380C (en) 2023-05-16
US20180048474A1 (en) 2018-02-15
PL3265947T3 (pl) 2021-12-13
PT3265947T (pt) 2021-09-24

Similar Documents

Publication Publication Date Title
ES2891309T3 (es) Método y sistema de encriptación
US11588637B2 (en) Methods for secure cryptogram generation
US10127378B2 (en) Systems and methods for registering and acquiring E-credentials using proof-of-existence and digital seals
US9900309B2 (en) Methods for using digital seals for non-repudiation of attestations
EP3138265B1 (en) Enhanced security for registration of authentication devices
CN106664208B (zh) 使用安全传输协议建立信任的系统和方法
US9722792B2 (en) Reading of an attribute from an ID token
CN106161350B (zh) 一种管理应用标识的方法及装置
WO2016110601A1 (es) Procedimiento de generación de una identidad digital de un usuario de un dispositivo móvil, identidad digital de usuario, y procedimiento de autenticación usando dicha identidad digital de usuario
JP2016520276A (ja) デバイス証明を伴う生体認証に関するシステム及び方法
KR20080043646A (ko) 신뢰할 수 있는 장치를 사용하여 개인정보를 전송하는 방법및 장치
GB2434724A (en) Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters
JP2021519966A (ja) リモート生体計測識別
ES2923919T3 (es) Protección de una comunicación P2P
ES2972228T3 (es) Autenticación de firma manuscrita digitalizada
US20240129139A1 (en) User authentication using two independent security elements
KR101371054B1 (ko) 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법
Molla Mobile user authentication system (MUAS) for e-commerce applications.
Shin et al. Biometric Handshake Protocol on Telebiometric System Mechanism for National Infrastructure
KR20050097160A (ko) 공인 인증서를 이용한 인터넷 서비스 제공 시스템 및 그방법