FR2742617A1 - Procedes de reduction et de mise a disposition de cles de chiffrage, et structure et support de donnees pour leur mise en oeuvre - Google Patents

Procedes de reduction et de mise a disposition de cles de chiffrage, et structure et support de donnees pour leur mise en oeuvre Download PDF

Info

Publication number
FR2742617A1
FR2742617A1 FR9615449A FR9615449A FR2742617A1 FR 2742617 A1 FR2742617 A1 FR 2742617A1 FR 9615449 A FR9615449 A FR 9615449A FR 9615449 A FR9615449 A FR 9615449A FR 2742617 A1 FR2742617 A1 FR 2742617A1
Authority
FR
France
Prior art keywords
key
encrypted
partial
message
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9615449A
Other languages
English (en)
Other versions
FR2742617B1 (fr
Inventor
Charles W Kaufman
Raymond E Ozzie
Jr Stephen M Matyas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lotus Development Corp
Original Assignee
Lotus Development Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US08/573,110 external-priority patent/US5764772A/en
Application filed by Lotus Development Corp filed Critical Lotus Development Corp
Publication of FR2742617A1 publication Critical patent/FR2742617A1/fr
Application granted granted Critical
Publication of FR2742617B1 publication Critical patent/FR2742617B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K1/00Secret communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/605Copy protection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne le chiffrage de messages par utilisation de clés. Elle se rapporte à un procédé de réduction, mais sans élimination, du facteur de travail nécessaire pour qu'une entité autorisée découvre un message chiffré, le message chiffré nécessitant une clé secrète de chiffrage pour son déchiffrage. Le procédé comprend la division de la clé secrète de chiffrage en au moins deux clés partielles de manière que la connaissance d'une première des clés partielles réduise le facteur de travail nécessaire pour la découverte du message chiffré, mais sans éliminer ce facteur, et la transmission à l'entité autorisée d'informations qui lui permettent de déterminer la première clé partielle et de découvrir le message chiffré avec elle. Application aux communications chiffrées.

Description

La présente invention concerne de façon générale le domaine de la
cryptologie et, plus précisément, des procédés et systèmes cryptographiques qui permettent l'échange de communications de sécurité, protégées contre des attaques, tout en respectant les restrictions imposées par les auto- rités gouvernementales à l'utilisation, l'exportation ou
l'importation de systèmes cryptographiques résistants.
Deux types généraux de cryptographie sont la crypto-
graphie à clé secrète et la cryptographie à clé publique.
Dans la cryptographie à clé secrète ou symétrique, un
message (aussi appelé "texte en clair") qui doit être trans-
mis d'un expéditeur à un destinataire prévu est chiffré à
l'aide d'une valeur secrète ou clé secrète, et le destina-
taire prévu déchiffre le message (aussi appelé "crypto-
gramme" ou "texte chiffré") avec la même clé secrète. Seule la clé secrète peut être utilisée pour le chiffrage et le déchiffrage du message, et les essais de déchiffrage du message avec d'autres clés ne donnent pas de résultat. Ce système doit permettre à l'expéditeur de communiquer la clé secrète au destinataire prévu d'une manière sûre, par exemple par un courrier de sécurité. Un système à clé secrète largement utilisé est celui de la norme de chiffrage de données "Data Encryption Standard" ou DES qui utilise une clé à 56 bits et 8 bits de parité autres que la clé. La
norme DES a été publiée comme norme de traitement d'infor-
mations "U.S. Federal Information Processing Standard" en 1977. Dans la cryptographie à clé publique ou asymétrique, la clé utilisée pour le chiffrage est différente de celle qui est utilisée pour le déchiffrage, et une clé ne peut pas être dérivée de l'autre. Chaque entité participant à un système à clé publique possède deux clés, la clé utilisée pour le chiffrage est rendue publique, et la clé utilisée pour le déchiffrage est gardée secrète. En conséquence, un expéditeur peut émettre un message à un destinataire prévu par chiffrage avec la clé publique du destinataire, et le destinataire seul peut déchiffrer le message à l'aide de sa clé secrète ou privée. Une agence centrale est souvent utilisée pour mettre à disposition les clés publiques et
émettre des certificats relatifs à l'authenticité des clés.
Un exemple de système à clé publique disponible dans le commerce est l'algorithme RSA décrit dans le brevet des Etats-Unis d'Amérique nO 4 405 829 et utilisé dans un logiciel disponible auprès de RSA Data Security Inc, Redwood
City, Californie.
Un système à clé publique est souvent utilisé pour le chiffrage et la transmission d'une clé secrète destinée à être utilisée dans un système à clé secrète. Un système à clé publique est aussi utilisé pour l'obtention de signatures numériques, l'expéditeur chiffrant un message de signature avec sa clé privée. Comme le message de signature
ne peut être déchiffré qu'avec la clé publique de l'expé-
diteur, le destinataire peut utiliser la clé publique de l'expéditeur pour confirmer le fait que le message de
signature provient bien de l'expéditeur.
Le degré de sécurité donné par un système de chiffrage ou la résistance d'un tel système est souvent mesuré par le nombre de bits de la clé. Par exemple, dans un système de chiffrage à clé secrète, une clé ayant une longueur de 3 octets (c'est-à-dire 24 bits) peut être découverte d'une manière relativement facile par essai de chacune des 224 clés possibles jusqu'au déchiffrage du message, c'est-à-dire jusqu'à ce que le chiffrage soit découvert. Ce type d'attaque, dans lequel des clés sont devinées et essayées jusqu'à ce qu'un texte compréhensible en clair soit obtenu,
est parfois appelé "attaque par la force brute" ou "crypto-
analyse exhaustive". Dans certains systèmes à clé publique, y compris le système RSA, une même valeur chiffrée deux fois donne le même résultat. Dans ces systèmes, un attaquant qui connaît la clé publique utilisée pour le chiffrage du message peut essayer de découvrir le message chiffré par essai systématique de divers messages, avec chiffrage de chacun par la clé publique et comparaison des données chiffrées résultantes avec le message chiffré jusqu'à la découverte d'un accord. La résistance des systèmes à clé publique dépend aussi de la dimension de la clé, bien que les résistances obtenues avec de mêmes dimensions de clé destinées à des algorithmes différents ne soient pas obligatoirement comparables. Dans le cas du système RSA, il faut des dimensions de clé de l'ordre de 500 à 1 000 bits pour obtenir un degré raisonnable de sécurité contre une attaque. La quantité moyenne d'efforts ou de travail nécessaire à la découverte d'un système de chiffrage, c'est-à-dire pour le déchiffrage d'un message sans possession de l'ensemble de la clé de chiffrage ou pour la découverte d'une clé secrète une fois qu'un texte chiffré ou une partie de texte chiffré est donné, est parfois appelée "facteur de travail" ou "caractéristique de travail" du système cryptographique. Ce paramètre est mesuré en unités commodes, telles que des heures des temps de calcul d'un ou plusieurs systèmes déterminés d'ordinateurs ou le coût en dollars de la découverte du chiffrage. Lorsque le facteur de travail est suffisamment grand, le système de chiffrage est considéré comme impossible à découvrir en pratique ou de manière rentable, et il est parfois considéré comme "impossible à
découvrir de manière rentable". Les systèmes de communi-
cations utilisant des schémas de chiffrage qui sont impossibles à découvrir de manière rentable sont en général
considérés comme sûrs.
Evidemment, le facteur de travail nécessaire à la découverte d'un système cryptographique déterminé peut
varier au cours du temps à cause des progrès de la techno-
logie, par exemple de l'augmentation de la vitesse et de la capacité des ordinateurs. Par exemple, alors qu'un schéma de chiffrage à clé secrète à 40 bits peut être découvert actuellement par un ordinateur personnel rapide en moins d'un an ou par une salle de calcul remplie d'ordinateurs personnels en un temps plus court, des progrès ultérieurs de la technologie des ordinateurs réduiront notablement ce
facteur de travail.
D'autres informations essentielles concernant les problèmes décrits précédemment et l'état de la technique de la cryptologie peuvent être obtenues auprès de diverses sources, notamment des brevets des Etats- Unis d'Amérique n 4 908 861, 5 261 002 et 5 323 464 et de l'ouvrage de Simmons, Gustavas J., "Contemporary Cryptology: The Science
of Information Integrity" (IEEE Press 1992).
Certains gouvernements imposent des restrictions à l'utilisation, l'exportation ou l'importation des matériels et logiciels cryptographiques ayant des facteurs élevés de
travail. Par exemple, pour des intérêts de sécurité natio-
nale notamment, les Etats-Unis d'Amérique interdisent l'exportation de certains types de logiciels, de matériels ou de données techniques cryptographiques. L'exportation de ces éléments est soumise au contrôle de the U.S. Department of State, dans le cadre de la loi "Arms Export Control Act" (22 U.S.C. 2751-2794) et de la loi "International Traffic in Arms Regulations" (22 C.F.R. 120-130). Le département d'état "State Department" peut céder la juridiction sur un
algorithme cryptographique donné ou un produit cryptogra-
phique donné au département du commerce "U.S. Department of Commerce" qui peut alors contrôler les exportations de produits suivant la loi "Export Administration Act" (50 U.S.C. 2401-2420) et le code "the Export Administration
Regulations".
L'exportation des Etats-Unis d'Amérique de produits ou algorithmes cryptographiques déterminés ayant une dimension limitée de clé a été autorisée. Par exemple, les algorithmes RC2 et RC4 mis au point par RSA Data Security Inc. peuvent être exportés actuellement s'ils sont limités à une longueur de clé de 40 bits. En conséquence, de nombreuses sociétés aux Etats-Unis d'Amérique commercialisent deux versions de
leurs produits, une version ayant une cryptographie résis-
tante qui ne peut être vendue qu'aux Etats-Unis d'Amérique, et une autre version pour l'exportation ou à clé courte ou
faible cryptographie destinée à être vendue à l'étranger.
Cependant, les systèmes cryptographiques légers ne donnent
pas en général une sécurité convenable contre des atta-
quants, et ces systèmes sont donc moins intéressants au point de vue de la commercialisation. L'impossibilité pour les sociétés des Etats-Unis d'Amérique de vendre des produits logiciels ayant une cryptographie résistante sur les marchés étrangers réduit notablement leur aptitude à concurrencer les sociétés étrangères qui ne sont pas
soumises aux mêmes restrictions aux exportations.
D'autres informations concernant la réduction des exportations des Etats-Unis d'Amérique et leur effet sur le marché du logiciel figurent dans le chapitre 4 du document U.S. Congress, Office of Technology Assessment, "Information Security and Privacy in Network Environments", OTA-TCT-606 (Washington D.C., U.S. Government Printing Office, septembre
1994).
En 1994, le département du commerce "Department of
Commerce" a approuvé la norme de chiffrage à tiers de con-
fiance ou EES, comme norme fédérale de traitement d'informa-
tions. Cette norme EES peut être utilisée pour le chiffrage de la voix, des télécopies et des données d'ordinateur communiquées par un système téléphonique. La norme EES spécifie un algorithme de chiffrage symétrique, appelé "Skipjack" qui est réalisé sur une pastille connue de façon
générale sous le nom de "pastille d'écrêtage" ou "Clipper".
Chaque pastille du système EES a une clé spécifique à la pastille qui est divisée en deux parties après avoir été programmée dans la pastille. Chaque partie de la clé est conservée par l'un de deux agents de confiance désignés par le gouvernement, et les agents de police judiciaire peuvent obtenir les deux parties des agents de confiance lorsque la surveillance a été autorisée, par exemple à la suite d'un mandat de recherche. Les deux parties peuvent alors être recombinées afin qu'elles forment l'ensemble de la clé qui peut être utilisée par le gouvernement pour le déchiffrage d'un message chiffré par la norme EES sans qu'il soit
nécessaire d'effectuer un travail supplémentaire.
Le but recherché suivant la norme EES a été de rendre possible une approbation plus facile des exportations de chiffrage résistant. Cependant, les systèmes à clé de tiers de confiance tels que ceux de la norme EES sont considérés en général comme indésirables car, entre autres raisons, il existe un risque de divulgation erronée de la clé, de manière accidentelle ou autre, par l'agent de confiance ou ses employés, et il est nécessaire d'établir des accords bilatéraux et internationaux pour leur mise en oeuvre en
fonction des besoins des gouvernements étrangers.
Ainsi, un système cryptographique qui présente à la fois les avantages des systèmes à clé courte, par prise en compte convenable des intérêts de sécurité du gouvernement, et des systèmes à tiers de confiance, par formation de communications de sécurité vis à vis des attaquants, reste nécessaire. L'invention permet la solution de ces problèmes et concerne un tel système cryptographique manquant jusqu'à présent. La présente invention a pour objet la solution des problèmes décrits précédemment associés aux systèmes
existants de chiffrage.
La présente invention a aussi pour objet la réalisation d'un système de chiffrage qui réduit mais n'élimine pas le facteur de travail nécessaire pour une ou plusieurs entités autorisées, telles que des agences gouvernementales, pour la
découverte d'un message chiffré.
La présente invention a aussi pour objet la réalisation d'un système de chiffrage qui peut être exporté légalement
en dehors des Etats-Unis d'Amérique, mais qui permet l'exé-
cution de communications de sécurité.
Elle a aussi pour objet de permettre aux développeurs de logiciels aux Etats-Unis d'Amérique de concurrencer efficacement les développeurs de logiciels étrangers pour la
vente de logiciels cryptographiques sur les marchés étran-
gers.
Elle a aussi pour objet la réalisation d'un système cryptographique ayant un facteur de travail différentiel sans qu'il soit nécessaire qu'une ou plusieurs autorités établissent et entretiennent une base de données importantes
de clés.
La présente invention a aussi pour objet la mise à disposition d'un procédé et d'un système de mise en oeuvre utilisé dans un système cryptographique dans lequel la totalité ou une partie d'une clé secrète de chiffrage est chiffrée avec une clé publique d'une instance réglementaire
et est transmise avec un message chiffré.
Une partie ou la totalité des objets précités ou d'autres objets de la présente invention sont atteints grâce à un procédé de réduction du facteur de travail nécessaire pour qu'une entité autorisée découvre un message chiffré, mais sans élimination de ce facteur de travail, le message chiffré nécessitant une clé secrète de chiffrage pour être déchiffrée, et la clé secrète de chiffrage est transmise à un destinataire prévu du message ou est connue de celui-ci,
autre que l'entité autorisée. Le procédé comprend la divi-
sion de la clé secrète de chiffrage en au moins deux clés partielles afin que la connaissance d'une première des clés partielles réduise le facteur de travail nécessaire à la découverte du message chiffré mais ne l'élimine pas, l'entité autorisée ayant une information qui lui permet de déterminer la première clé partielle et d'utiliser la
première clé partielle pour découvrir le message chiffré.
Dans des modes de réalisation préférés, la clé secrète
est un nombre aléatoire ou pseudo-aléatoire (le mot "aléa-
toire" est utilisé dans le présent mémoire pour désigner des
nombres véritablement aléatoires ou simplement pseudo-
aléatoires) créés par un générateur de nombres aléatoires non prévisibles et utilisés pour le chiffrage du message. La
clé secrète est chiffrée avec une clé publique du desti-
nataire prévu et elle est donnée au destinataire prévu avec le message chiffré. Le destinataire prévu peut alors déchiffrer la clé secrète par utilisation de sa clé secrète
ou privée.
L'entité autorisée peut recevoir la première clé
partielle par transmission directe à l'entité autorisée.
Dans une variante, la première clé partielle est chiffrée avec une clé publique de l'entité autorisée et est fixée au message chiffré, si bien que l'entité autorisée dispose de la première clé partielle chiffrée lors de l'obtention du message, par exemple par interception du message en cours de transmission. La première clé partielle peut être chiffrée avec des informations supplémentaires, telles qu'un calcul (décrit dans la suite) de la clé secrète chiffrée, une combinaison cryptographique, par exemple calculée, de la clé secrète, chaînée avec un fard (comme décrit dans la suite),
une partie ou la totalité du fard, et l'information de com-
mande. Lors de l'utilisation d'un fard, celui-ci est aussi chiffré avec la clé secrète chiffrée à l'aide de la clé
publique du destinataire prévu.
L'utilisation d'une combinaison calculée ou cryptogra-
phique d'un autre type dans le champ de la clé partielle chiffrée constitue un procédé pour la mise en oeuvre du système à clé partielle, car la partie calculée peut être calculée par le destinataire à partir de la clé secrète et du fard, chiffrés par la clé publique de l'entité autorisée, avec comparaison avec la clé partielle et la partie calculée chiffrée, fixée au message chiffré. L'utilisation du fard facilite le réglage du facteur de travail nécessaire à l'entité autorisée pour la découverte du message avec la partie calculée. Un autre procédé de mise en oeuvre du système à clé partielle est la combinaison cryptographique, par exemple avec une fonction de calcul, de l'ensemble de la clé secrète avec la première clé partielle chiffrée avec la clé publique de l'entité autorisée, cette combinaison cryptographique étant formée avec le message chiffré, par exemple dans un champ d'en-tête du message. Le système du destinataire peut alors reproduire la partie calculée à l'aide des clés partielles chiffrée et secrète et peut comparer cette valeur calculée à la valeur calculée reçue avec le message chiffré. Lorsque les valeurs ne sont pas en
accord, le système du destinataire peut refuser de déchif-
frer le message.
L'entité autorisée peut être un curateur privé détenant une clé partielle pour le cas o la clé secrète complète serait perdue et doit être récupérée, ou il peut s'agir d'une entité privée ou gouvernementale possédant la clé
partielle pour remplir les conditions de restriction gouver-
nementale d'utilisation, d'importation ou d'exportation de matériels et de logiciels de chiffrage, avec des clés de chiffrage supérieures à une dimension déterminée. Dans ce dernier cas, la clé secrète est divisée par utilisation d'une dimension de clé partielle restant après la séparation de la première clé partielle de la clé secrète de chiffrage
qui est égale ou inférieure à la dimension de la clé res-
treinte de chiffrage. Grâce à la création de plusieurs champs de clé partielle, le système peut donner plusieurs
facteurs différentiels de travail correspondant à de mul-
tiples gouvernements. Evidemment, une licence spécifique d'utilisation, d'exportation ou d'importation d'un système quelconque de chiffrage doit être obtenue auprès de chaque gouvernement, et on ne donne dans le présent mémoire aucune indication relative à un gouvernement particulier à propos du droit d'utiliser, d'exporter ou d'importer des produits utilisant le procédé et le système de chiffrage selon la
présente invention.
Les objets de la présente invention sont aussi atteints à l'aide d'un système à facteur différentiel de travail assurant la réduction, mais non l'élimination, du facteur de travail nécessaire pour qu'une entité autorisée découvre un message chiffré, ce message étant chiffré de manière qu'une clé secrète de chiffrage soit nécessaire pour le déchiffrage du message, et dans lequel une autorité gouvernementale impose une ou plusieurs restrictions à l'utilisation, l'importation ou l'exportation de matériels ou de logiciels
de chiffrage mettant en oeuvre des clés de chiffrage supé-
rieures à une dimension déterminée.
Le système comporte un dispositif de division de la clé secrète de chiffrage en au moins deux clés partielles afin que la connaissance d'une première des clés partielles réduise mais n'élimine pas le facteur de travail nécessaire à la découverte du message chiffré, et de manière que la dimension de l'une au moins des clés partielles restant après la séparation de la première clé partielle de la clé secrète de chiffrage ne dépasse pas la dimension déterminée de clé de chiffrage soumise à une ou plusieurs restrictions d'une autorité gouvernementale. Ce système met en oeuvre en outre un dispositif de chiffrage de la première clé partielle au moins à l'aide d'une clé publique de l'entité autorisée, et un dispositif destiné à donner une première clé partielle chiffrée au moins avec le message chiffré afin que l'entité autorisée, dans le cas o elle obtient le message chiffré et veut le découvrir, puisse déchiffrer la première clé partielle chiffrée au moins à l'aide de la clé privée de l'entité autorisée et puisse découvrir le message
à l'aide de la première clé partielle.
Dans des modes de réalisation préférés, le système comporte en outre un dispositif destiné à empêcher le destinataire prévu du message chiffré de déchiffrer ce message lorsque la première clé partielle chiffrée au moins n'est pas donnée avec le message chiffré ou est déterminée par ailleurs comme ayant été falsifiée. Le dispositif comprend de préférence l'utilisation d'un calcul de la clé secrète, éventuellement avec un fard, chiffré avec la clé
publique de l'entité autorisée.
Les procédés et systèmes selon la présente invention peuvent être incorporés à un logiciel conservé sur un support utilisable par un ordinateur, tel qu'un disque dur ou une disquette, une mémoire morte sur disque compact CD-ROM ou tout autre dispositif électrique, magnétique ou optique de mémoire. Les procédés et systèmes peuvent aussi être mis en oeuvre dans des éléments matériels, tels que des circuits intégrés spécialement réalisés, d'une manière
connue dans la technique.
Selon d'autres aspects de la présente invention, une structure de données est utilisée pour un message chiffré conservé dans un dispositif de mémoire et transmis d'un système d'ordinateur à un autre, la structure de données donnant un facteur réduit de travail pour une entité
autorisée qui veut découvrir le message chiffré. La struc-
ture des données comprend un premier ensemble de données chiffrées comprenant au moins le message chiffré par une clé secrète de chiffrage et un second ensemble de données chiffrées fixé au premier ensemble de données chiffrées, le second ensemble de données chiffrées comprenant une clé partielle de la clé secrète de chiffrage qui est chiffrée avec la clé publique de l'entité autorisée afin que la connaissance de la clé partielle réduise, sans éliminer, le facteur de travail nécessaire à la découverte du message chiffré. La structure de données peut aussi comprendre un troisième ensemble de données chiffrées fixé au message chiffré comprenant au moins la clé secrète de chiffrage qui est chiffrée par une clé publique d'un destinataire prévu du
message.
Dans des modes de réalisation préférés, le second ensemble de données chiffrées comprend la clé partielle en combinaison avec un nombre aléatoire (c'est-à-dire aléatoire ou pseudo-aléatoire), une partie calculée d'une partie au moins de la clé secrète de chiffrage, et/ou une partie calculée de la clé secrète de chiffrage et un fard, avec la totalité ou une partie du fard. Lors de l'utilisation d'un fard, le troisième ensemble de données chiffrées peut comprendre la clé secrète de chiffrage en combinaison avec
le fard.
Dans d'autres aspects de la présente invention, un procédé est destiné à mettre en oeuvre un système cryptographique à facteur différentiel de travail. Dans ce système, un message transmis à un destinaire prévu autre qu'une autorité est chiffré avec une clé secrète de chiffrage et est transmis avec une clé partielle de la clé secrète de chiffrage qui est chiffrée avec une clé publique de l'autorité. Le procédé comprend la détermination, après réception du message chiffré par le destinataire prévu, du fait que la clé partielle chiffrée a le message chiffré et est valide, avec refus du déchiffrage du message chiffré lorsque la clé partielle chiffrée n'a pas le message chiffré ou n'est pas valide. La détermination de la validité du champ de clé partielle peut être réalisée à l'aide d'un calcul de la clé secrète dans le champ de clé partielle, la partie calculée pouvant être créée à nouveau par le destinataire, chiffrée à nouveau avec la clé publique de l'autorité et comparée à la partie calculée chiffrée et à la
clé partielle transmise avec le message chiffré.
Dans une variante, la détermination de la validité du
champ de clé partielle peut être réalisée avec une combi-
naison cryptographique, par exemple calculée, de la clé secrète combinée à un champ de clé partielle dans l'en-tête du message chiffré, et le destinataire calcule à nouveau la
partie calculée et la compare à la valeur reçue dans l'en-
tête. Les procédés décrits précédemment pour la mise en
oeuvre peuvent aussi être utilisés dans un système crypto-
graphique dans lequel une clé secrète de chiffrage dans son ensemble est donnée à une autorité par chiffrage avec la clé
publique de l'autorité et par transmission avec le message.
L'étape de détermination du fait que le champ de clé chiffré est présent et valide est la même que l'étape décrite précédemment, mis à part le fait que la clé est utilisée
dans son ensemble, à la place d'une clé partielle.
D'autres caractéristiques et avantages de l'invention
seront mieux compris à la lecture de la description qui va
suivre d'exemples de réalisation, faite en référence aux dessins annexés sur lesquels: les figures 1 et 1A forment un ordinogramme illustrant une opération d'émission et de réception de messages chiffrés dans un mode de réalisation de la présente invention; et les figures 2 à 6 sont des diagrammes synoptiques de champs de données chiffrés et transmis dans des modes de
réalisation préférés de la présente invention.
On décrit des modes de réalisation préférés de la présente invention en référence à l'ordinogramme des figures
1 et 1A et au diagramme synoptique des figures 2 à 6.
Selon l'invention, un message à émettre est chiffré afin qu'une grande clé secrète soit nécessaire pour le déchiffrage du message. La clé secrète peut être celle qui est utilisée pour le chiffrage du message ou peut être une clé privée d'un destinataire prévu du message. Dans les modes de réalisation préférés décrits en référence aux figures 1 et 1A, la clé secrète est un nombre aléatoire (c'est-à-dire aléatoire ou pseudoaléatoire) qui est créé pour chaque message au pas 10 et qui est utilisé pour le chiffrage du message au pas 12. Le générateur de clé aléatoire crée de préférence des nombres d'une manière imprévisible, si bien qu'un attaquant qui veut découvrir un message chiffré avec une clé secrète créée ne peut pas deviner une clé suivante à l'aide de l'algorithme du générateur de nombre aléatoire. Le procédé de création d'une série imprévisible de nombres aléatoires est bien connu dans la technique et il est incorporé aux systèmes existants de chiffrage, tels que les systèmes utilisant l'algorithme RC4, disponibles auprès de RSA Data Security Inc., utilisés dans
des modes de réalisation préférés de l'invention.
La clé secrète utilisée est suffisamment grande pour que le facteur de travail nécessaire à la découverte du message chiffré soit élevé et que le message chiffré puisse être considéré comme impossible à découvrir d'une manière rentable. Dans les modes de réalisation préférés, on utilise une dimension de clé secrète de 64 bits. Comme décrit précédemment, la dimension de la clé secrète nécessaire à la
sécurité des communications dépend de l'algorithme crypto-
graphique utilisé et de la nature de la technologie dispo-
nible pour sa découverte. Ainsi, de plus grandes dimensions de clé risquent d'être nécessaires à l'avenir pour assurer des communications en toute sécurité, et l'homme du métier peut déterminer la dimension de la clé secrète nécessaire
pour assurer des communications en toute sécurité. Pour que le système à facteur différentiel de travail soit mis en oeuvre
dans les modes de réalisation préférés et comme décrit dans la suite, une valeur de la clé secrète par
calcul unidirectionnel est créée au pas 14. Un calcul unidi-
rectionnel est une fonction cryptographique bien connue qui agit sur une valeur d'entrée et produit une valeur de sortie appelée aperçu du message ou valeur calculée, et il est impossible par le calcul de déterminer la valeur d'entrée à partir de la valeur calculée ou de déterminer deux valeurs d'entrée qui donnent la même valeur calculée. Des fonctions de calcul de diverses résistances sont bien connues, telles que les fonctions de calcul MD2, MD4 et MD5, disponibles auprès de RSA Data Security Inc. L'homme du métier peut noter que les diverses fonctions de calcul peuvent être
utilisées selon la présente invention.
Dans d'autres modes de réalisation préférés, la fonc-
tion de calcul est créée à la fois avec la clé secrète et une chaîne supplémentaire de bits formant des valeurs d'entrée. La chaîne de bits, appelée "fard", est un nombre, de préférence créé de manière aléatoire, qui est chaîné avec la clé secrète pour qu'un attaquant qui utilise une table de consultation préalablement calculée des valeurs possibles
calculées des clés ne puisse pas déterminer la clé secrète.
Plus le fard est long et plus le chiffrage est robuste; dans des modes de réalisation préférés, le fard a une
longueur de 64 bits.
La clé secrète et le fard sont chiffrés avec la clé publique du destinataire prévu au pas 16. Comme décrit plus en détail dans la suite, cette valeur chiffrée est déchiffrée par le destinataire qui peut alors utiliser la
clé secrète pour déchiffrer le message chiffré.
Pour qu'une entité autorisée, telle qu'une autorité gouvernementale ou un curateur privé, puisse découvrir le message le cas échéant de façon appropriée (par exemple après obtention d'un mandat valable de recherche), la clé secrète est divisée en au moins deux clés partielles au pas 18, et l'autorité reçoit une clé partielle qui est juste suffisamment grande pour réduire suffisamment le facteur de travail pour que la clé puisse être découverte de manière
rentable tout en respectant les restrictions gouvernemen-
tales à l'utilisation, l'exportation ou l'importation de la technologie de chiffrage. Dans le mode de réalisation préféré, l'autorité du gouvernement des Etats-Unis d'Amérique reçoit 24 des 64 bits, car la clé partielle restante de 40 bits peut être découverte de manière rentable et parce que des clés à 40 bits peuvent être exportées dans
certaines circonstances en dehors des Etats-Unis d'Amérique.
Lors de l'utilisation de l'algorithme de chiffrage DES, la clé partielle donnée à l'autorité comprend 16 des bits de clé et 8 bits ne participant pas à la clé, si bien que la clé partielle gardée secrète vis-à-vis de l'autorité
contient 40 bits de la clé secrète.
La clé secrète peut être divisée de toute manière commode, par exemple par séparation des 24 premiers ou derniers bits de la clé à 64 bits. De préférence, la manière dont la clé est divisée est connue à la fois du destinataire
prévu du message et de l'autorité.
La clé partielle peut être donnée à l'autorité de plusieurs manières. Dans un mode de réalisation, la clé partielle est transmise directement à l'autorité par un dispositif de sécurité, par exemple par chiffrage avec une
clé publique de l'autorité et par transmission à celle-ci.
L'autorité garde alors une base de données de toutes les clés partielles chiffrées afin que chacune d'elles puisse
être obtenue lorsque la découverte d'un message est néces-
saire. Dans des modes de réalisation préférés, la clé partielle, la valeur de calcul et la totalité ou une partie du fard sont chiffrées avec une clé publique de l'autorité
au pas 20, et cette valeur chiffrée est transmise au desti-
nataire prévu avec le message chiffré et la clé secrète chiffrée au pas 22. Lorsque l'autorité obtient le message, par exemple par réception à partir de l'expéditeur ou du destinataire, par copie à partir de la mémoire du système d'ordinateur de l'expéditeur ou du destinataire, ou par interception en cours de transmission, elle peut déchiffrer la partie du message chiffré avec la clé publique de l'autorité et obtenir ainsi la clé partielle, la valeur du calcul, et une partie ou la totalité du fard. Avec la clé partielle, l'autorité peut alors découvrir le message chiffré à l'aide des techniques d'analyse cryptographique
classiques, par exemple par analyse cryptographique exhaus-
tive, ou peut utiliser une analyse cryptographique exhaus-
tive pour déterminer la clé secrète, c'est-à-dire pour essayer systématiquement diverses clés, avec un chaînage de chacune d'elles avec le fard, lorsqu'il est utilisé, par calcul de chaque valeur et par comparaison des valeurs calculées à la valeur de calcul incorporée à la clé
partielle chiffrée jusqu'à ce qu'un accord soit obtenu.
Comme la transmission de la clé partielle réduit le facteur de travail nécessaire pour la découverte du message chiffré mais ne l'élimine pas, l'autorité, telle qu'une agence gouvernementale, ne doit pas dépenser un effort très important pour découvrir chaque message chiffré reçu et qu'elle veut découvrir. En conséquence, l'autorité doit
décider de manière sélective quel message elle veut décou-
vrir et ne peut pas simplement découvrir tous les messages
chiffrés, sans dépenser des ressources massives. Les indivi-
dus ont donc un certain niveau de privauté contre l'intrusion gouvernementale, au-delà de celle qui correspond
à l'exercice de la loi.
Lorsque le message transmis est reçu par le destina-
taire prévu, celui-ci déchiffre la clé secrète chiffrée avec sa clé privée au pas 24. Le destinataire dispose alors de la clé secrète avec laquelle il peut déchiffrer le message chiffré. Dans les modes de réalisation préférés, le fard et incorporé à la partie chiffrée avec la clé publique du destinataire, si bien que le destinataire obtient aussi le fard. La fonction de calcul et, le cas échéant, le fard, sont utilisés pour la mise en oeuvre du système à clé partielle de la manière suivante. Après réception du message chiffré et des champs de clé chiffrés qui lui sont fixés, le système du destinataire chaîne le fard à la clé secrète et calcule la chaîne résultante au pas 26, de la manière utilisée par l'expéditeur et avec la fonction de calcul utilisée par celui-ci. Le système du destinataire divise aussi la clé secrète en au moins deux clés partielles au pas 28, de la même manière que la clé a été divisée par l'expéditeur. Le système du destinataire utilise alors la clé publique de l'autorité pour chiffrer la clé partielle, la partie de calcul et la totalité ou une partie du fard au pas 30 et compare cette valeur chiffrée à la clé partielle chiffrée reçue par le destinataire au pas 32. Lorsque les valeurs chiffrées ne sont pas en accord, le système du destinataire refuse de déchiffrer le message chiffré avec la clé secrète au pas 34. Si les valeurs chiffrées se correspondent, le
message chiffré est déchiffré avec la clé secrète au pas 36.
De cette manière, le système à clé partielle peut être mis en oeuvre sans divers abus, tels que la suppression du champ de clé partielle chiffré du message par l'expéditeur,
le chiffrage erroné du champ de clé partielle par l'expé-
diteur, par exemple par utilisation d'une clé publique erro-
née, afin que l'autorité ne puisse pas déchiffrer le champ, ou le brouillage intentionnel ou accidentel du champ de clé partielle lors de la transmission ou après réception par le
destinataire.
Les figures 2 à 6 représentent divers modes de réali-
sation de structures de données avec des champs de clé chiffrés selon la présente invention. La figure 2 représente un mode de réalisation fondamental dans lequel la clé secrète à 64 bits est chiffrée avec un nombre aléatoire ou bloc par utilisation de la clé publique du destinataire prévu. Le bloc aléatoire est combiné à la clé secrète parce que certains systèmes à clé publique, tels que le système RSA, nécessitent un ensemble de dimensions fixes de texte en clair qui doit être chiffré suivant la dimension du module de la clé publique du destinataire prévu, et la clé aléatoire donne le texte en clair supplémentaire qui doit être chiffré. La clé partielle à 24 bits chiffrée avec la clé publique de l'autorité est aussi chaînée à un bloc aléatoire pour les mêmes raisons, et le bloc aléatoire n'est pas de préférence calculé avec un générateur de nombre aléatoire prévisible qui pourrait permettre à un attaquant, ayant déterminé l'un des blocs aléatoires, de déterminer
l'autre ou de le deviner avec précision.
Bien que le mode de réalisation représenté sur la figure 2 ne mette pas en oeuvre une fonction de calcul ou un fard comme décrit précédemment, on peut obtenir une certaine mise en oeuvre du système à clé partielle par utilisation du système de chiffrage selon l'invention dans un système logiciel ayant des formats propriétaires de fichiers non documentés afin que le champ de clé partielle ne puisse pas être retiré ou brouillé. En outre, une protection contre les
attaques par analyse cryptographique qui peuvent être satis-
faisantes pour la découverte du champ de clé partielle
chiffré peut être obtenue par utilisation de nombres aléa-
toires avec la clé partielle à chiffrer afin qu'un attaquant doive deviner le nombre aléatoire ainsi que la clé partielle pour découvrir le message chiffré. Le destinataire ignore
ces nombres aléatoires.
Dans un exemple de scénario, trois gouvernements au moins peuvent demander l'accès à une clé partielle selon la présente invention, le gouvernement de l'expéditeur, celui du destinataire et celui à partir duquel le système selon
l'invention est exporté. L'identité de l'autorité du desti-
nataire peut être communiquée à l'expéditeur par incorpora-
tion dans le certificat d'identité de clé publique du desti-
nataire. La figure 3 représente un autre mode de réalisation qui peut être utilisé par deux autorités, et l'homme du métier peut facilement noter comment il peut étendre le système à un nombre quelconque d'autorités. Comme indiqué précédemment, la clé secrète à 64 bits et le bloc aléatoire sont chiffrés avec la clé publique du destinataire prévu, et la clé partielle à 24 bits et le bloc aléatoire sont chiffrés avec la clé publique d'une première autorité. Lorsqu'une seconde autorité doit recevoir la même clé partielle à 24 bits, la clé partielle et le même bloc aléatoire ou un autre sont chiffrés avec la clé publique de la seconde autorité, et cet ensemble de données chiffrées
est aussi transmis avec le message.
Dans une variante, la seconde autorité peut imposer des conditions plus sévères aux dimensions en bits permises pour la clé, et il faut alors une clé partielle plus grande, par exemple une clé partielle à 28 bits. Dans ce cas, comme l'indique la figure 3, la clé secrète est divisée en deux autres clés partielles à 28 bits et 36 bits, et la seconde autorité reçoit la clé partielle à 28 bits par chiffrage avec la clé publique de la seconde autorité. Les clés partielles données à la première et à la seconde autorité ne doivent pas être des parties complémentaires de la clé
secrète, si bien que les gouvernements ne peuvent pas coopé-
rer par combinaison de leur clé partielle pour l'obtention de l'ensemble de la clé. De préférence, la clé partielle relativement grande contient la clé partielle relativement petite en totalité. Comme l'indique la figure 3, les deux clés partielles chiffrées sont fixées au message chiffré et transmises avec lui. Le système du destinataire peut mettre en oeuvre chaque système à clé partielle par vérification de la présence et de la validité de chaque champ de clé
partielle chiffré comme indiqué précédemment.
Dans une autre variante, une ou plusieurs autorités peuvent recevoir la clé secrète dans sa totalité alors que d'autres autorités n'ont que des clés partielles, ou toutes les autorités peuvent recevoir la totalité de la clé secrète chiffrée avec différentes clés publiques. La quantité et le type d'informations supplémentaires données avec les clés secrètes complètes ou partielles chiffrées peuvent varier
avec les autorités.
Un problème concernant les modes de réalisation décrits précédemment est le fait qu'ils peuvent être contournés par suppression ou séparation du champ de clé partielle chiffré
après que le message a été créé de manière que le destina-
taire reçoive le message convenablement, mais que l'entité autorisée ne puisse pas le déchiffrer. Cette falsification peut être empêchée par incorporation d'une combinaison cryptographique par calcul ou autre de la clé secrète
complète et de la clé partielle chiffrée dans un champ d'en-
tête du message. Le système du destinataire recalcule alors la valeur calculée avec les clés secrète et partielle et refuse de déchiffrer le message lorsque la valeur recalculée
ne correspond pas à celle qui est reçue avec le message.
Comme seule une entité connaissant la clé complète peut
recalculer la valeur de calcul, il est impossible d'effec-
tuer une modification non détectée du champ de clé chiffré
lorsque le message chiffré a été créé.
Les figures 4 à 6 représentent des structures de don-
nées de message avec un mécanisme encore plus robuste de mise en oeuvre, dans lesquelles, même lorsque le logiciel créant le message chiffré est modifié, il ne peut pas créer un message que le destinataire déchiffre convenablement mais
qui empêche l'entité autorisée d'obtenir la clé partielle.
Dans ces modes de réalisation, le système à clé publique utilisé est du type, tel que RSA, qui crée le même texte
chiffré pour le même texte en clair.
Sur la figure 4, la clé secrète à 64 bits et le bloc aléatoire sont chiffrés avec la clé publique du destinataire prévu, comme précédemment, et la clé partielle à 24 bits, une valeur de calcul de la clé secrète complète et un bloc non aléatoire sont chaînés et chiffrés avec la clé publique de l'autorité. L'expéditeur crée le bloc non aléatoire à partir des informations données au destinataire, telles qu'une partie du bloc aléatoire du destinataire, afin que le destinataire n'ait pas à deviner la valeur du bloc de l'autorité, car le destinataire devrait alors exécuter un travail supplémentaire. Le système du destinataire met en oeuvre le système à clé partielle par déchiffrage de la clé secrète avec la clé privée du destinataire, comme décrit précédemment, par création de la clé partielle, création de la valeur de calcul de la clé complète et utilisation de la clé publique de l'autorité pour le chiffrage de la clé
partielle, de la partie de calcul et du bloc non aléatoire.
Le système du destinataire compare l'entité chiffrée résul-
tante à l'entité chiffrée reçue avec le message transmis, et
permet le déchiffrage du message avec la clé secrète unique-
ment lorsque les valeurs sont en accord.
Bien que la structure des données de message repré-
sentée sur la figure 4 permette la mise en oeuvre du système à clé partielle, elle permet à l'autorité d'utiliser une table de consultation des valeurs de calcul pour une fonction déterminée de calcul permettant une détermination plus facile de la clé secrète à partir de la clé secrète
calculée contenue dans le champ de clé partielle de l'auto-
rité. Un procédé permettant l'augmentation de la difficulté du calcul de la table comprend la mise en oeuvre de la fonction de calcul plusieurs fois. Cependant, cette disposition augmente aussi le temps de traitement pour le destinataire du message lorsqu'il vérifie la validité du
champ de la clé partielle.
Un autre procédé empêchant l'autorité d'utiliser une table de consultation des valeurs de calcul comprend le chaînage d'un fard avec la clé secrète comme indiqué sur les figures 5 et 6. Sur les figures 5 et 6, le destinataire prévu reçoit la clé secrète et le fard et doit calculer la partie de calcul avec la clé secrète et le fard pour vérifier la validité du champ de clé partielle. Sur la figure 5, l'autorité reçoit la valeur de calcul et le fard complet, si bien qu'elle doit calculer une valeur de calcul pour chaque hypothèse sur la clé secrète totale, et elle ne peut pas utiliser une table de consultation de fonction de calcul. Sur la figure 6, l'autorité ne reçoit qu'une partie du fard, comprenant 56 bits sur les 64 bits, et doit donc deviner aussi les bits manquants du fard pour chaque valeur calculée. Cette disposition augmente le travail que doit effectuer l'autorité pour découvrir un message avec la valeur calculée pour déterminer la clé secrète. Dans une autre variante, l'autorité ne reçoit pas du tout le fard, si bien que la partie de calcul ne peut pas être utilisée par l'autorité pour déterminer la clé secrète, mais elle peut encore être utilisée pour la mise en oeuvre du système à clé partielle. Comme peuvent le noter les hommes du métier, de nombreuses autres variantes des figures 4 à 6 sont évidemment possibles, y compris par exemple le calcul sur une partie seulement de la clé secrète, avec ou sans fard, la transmission du fard uniquement avec la clé partielle chiffrée, etc., le but étant, comme décrit dans le présent mémoire, de donner des informations supplémentaires
chiffrées par la clé partielle qui puissent être recons-
truites par le système du destinataire et vérifiées pour assurer la présence et la validité du champ de clé partielle
chiffrée.
* L'homme du métier peut aussi noter que, grâce à diffé-
rentes variantes de structures de données de message repré-
sentées sur les figures 5 et 6, le facteur de travail différentiel pour l'autorité, nécessaire pour la découverte
d'un message avec la partie de calcul, peut être prédé-
terminé et réglé d'une manière précise. Au contraire, le facteur de travail nécessaire pour la découverte du message par une attaque par la force brute du message chiffré varie
avec la dimension et le contenu du message.
D'autres données peuvent être incorporées aux champs de clé chiffrée. Par exemple, le champ de l'autorité peut
contenir des informations de commande, tels que les iden-
tités de l'algorithme cryptographique utilisé pour le chiffrage du message et de la fonction de calcul, la date à
laquelle le message a été créé, des informations d'identifi-
cation de l'expéditeur, etc. Les procédés et systèmes de mise en oeuvre décrits précédemment peuvent aussi être utilisés dans les systèmes cryptographiques dans lesquels la totalité de la clé secrète de chiffrage est chiffrée par la clé publique de l'autorité et est transmise avec le message chiffré. Par exemple, un champ de clé secrète peut comprendre une partie de calcul de la clé secrète, calculée avec ou sans fard, une partie ou la
totalité du fard le cas échéant, et d'autres informations.
Dans une variante, une valeur de calcul de la clé secrète, éventuellement combinée à d'autres informations, peut être incorporée au champ d'en-tête du message chiffré comme
décrit précédemment.
Bien entendu, diverses modifications peuvent être apportées par l'homme de l'art aux procédés, structures et supports de données qui viennent d'être décrits uniquement à titre d'exemple non limitatif sans sortir du cadre de l'invention.

Claims (34)

REVENDICATIONS
1. Procédé de réduction, mais sans élimination, du facteur de travail nécessaire pour qu'une entité autorisée découvre un message chiffré, le message chiffré nécessitant une clé secrète de chiffrage pour son déchiffrage, le procédé étant caractérisé en ce qu'il comprend: la division de la clé secrète de chiffrage en au moins deux clés partielles de manière que la connaissance d'une première des clés partielles réduise le facteur de travail nécessaire pour la découverte du message chiffré, mais sans éliminer ce facteur, et la transmission à l'entité autorisée d'informations qui lui permettent de déterminer la première clé partielle et de découvrir le message chiffré à l'aide de la première clé
partielle.
2. Procédé selon la revendication 1, caractérisé en ce qu'il comprend en outre le chiffrage du message avec la clé secrète de chiffrage, le chiffrage de la clé secrète de chiffrage au moins par utilisation d'une clé publique du destinataire prévu, et la transmission au destinataire prévu de la clé secrète de chiffrage chiffrée avec le message chiffré.
3. Procédé selon la revendication 2, caractérisé en ce que l'étape de chiffrage du message comprend la création d'une clé secrète de chiffrage aléatoire et le chiffrage du
message avec la clé secrète de chiffrage aléatoire créée.
4. Procédé selon la revendication 1, caractérisé en ce que la transmission d'informations à l'entité autorisée comprend l'émission de la première clé partielle directement
à l'entité autorisée.
5. Procédé selon la revendication 1, caractérisé en ce que la transmission d'informations à l'entité autorisée comprend le chiffrage de la première clé partielle au moins avec une clé publique de l'entité autorisée, et la disposition de la première clé partielle chiffrée avec le message chiffré afin que la première clé partielle chiffrée soit disponible pour l'entité autorisée lors de l'obtention
du message.
6. Procédé selon la revendication 5, caractérisé en ce que l'étape de chiffrage de la première clé partielle au moins comprend le chiffrage d'informations supplémentaires
en combinaison avec la première clé partielle.
7. Procédé selon la revendication 6, caractérisé en ce que l'étape de chiffrage de l'information supplémentaire en combinaison avec la première clé partielle comprend le chiffrage d'un nombre aléatoire en combinaison avec la
première clé partielle.
8. Procédé selon la revendication 6, caractérisé en ce qu'il comprend le calcul d'une valeur de calcul d'une partie au moins de la clé secrète de chiffrage, et l'étape de chiffrage d'informations supplémentaires en combinaison avec la première clé partielle comprend le chiffrage de la valeur de calcul au moins en combinaison avec la première clé partielle.
9. Procédé selon la revendication 8, caractérisé en ce que l'étape de calcul de la valeur de calcul d'une partie au moins de la clé secrète de chiffrage comprend le calcul d'une valeur de calcul d'au moins une partie de la clé
secrète de chiffrage en combinaison avec un fard.
10. Procédé selon la revendication 9, caractérisé en ce qu'il comprend en outre le chiffrage du message à l'aide d'une clé secrète de chiffrage, le chiffrage de la clé secrète de chiffrage au moins en combinaison avec le fard à l'aide de la clé publique du destinataire prévu, et la mise à disposition de la clé secrète de chiffrage chiffrée et du
fard avec le message chiffré.
11. Procédé selon la revendication 9, caractérisé en ce que l'étape de chiffrage de la valeur de calcul au moins en combinaison avec la première clé partielle comprend le chiffrage en combinaison de la valeur de calcul, de la
première clé partielle et du fard.
12. Procédé selon la revendication 9, caractérisé en ce que l'étape de chiffrage de la valeur de calcul au moins en combinaison avec la première clé partielle comprend le chiffrage en combinaison de la valeur de calcul, de la
première clé partielle et d'une partie du fard.
13. Procédé selon la revendication 6, caractérisé en ce que l'étape de chiffrage d'informations supplémentaires en combinaison avec la première clé partielle comprend le chiffrage d'informations de commande en combinaison avec la
première clé partielle.
14. Procédé selon la revendication 5, caractérisé en ce qu'il comprend en outre la combinaison cryptographique de la première clé partielle chiffrée par la clé publique de l'entité autorisée avec la clé secrète de chiffrage, et la mise à disposition de cette combinaison cryptographique avec
le message chiffré.
15. Procédé selon l'une quelconque des revendications
1 à 14, caractérisé en ce que, lorsqu'une autorité gouverne-
mentale impose une ou plusieurs restrictions à l'utilisa-
tion, l'importation ou l'exportation de matériels ou de
logiciels de chiffrage utilisant des clés de chiffrage supé-
rieures à une dimension donnée, l'étape de division de la clé secrète de chiffrage en au moins deux clés partielles comprend la mise de la dimension d'une clé partielle au moins restant après la division de la première clé partielle à une valeur égale ou inférieure à la dimension de la clé de chiffrage soumise à une ou plusieurs restrictions de
l'autorité gouvernementale.
16. Procédé selon l'une quelconque des revendications
1 à 14, caractérisé en ce que le procédé réduit le facteur de travail nécessaire pour qu'au moins une entité autorisée supplémentaire puisse découvrir le message chiffré, mais sans éliminer ce facteur, et il comprend en outre la mise à disposition de l'entité autorisée supplémentaire au moins d'informations qui permettent à cette entité autorisée supplémentaire au moins de déterminer la première clé partielle et de découvrir le message chiffré à l'aide de la
première clé partielle.
17. Procédé selon l'une quelconque des revendications
1 à 14, caractérisé en ce qu'il réduit le facteur de travail nécessaire pour une entité autorisée supplémentaire au moins pour découvrir le message chiffré, mais sans éliminer ce facteur, et comprenant la division de la clé secrète de chiffrage en au moins deux clés partielles supplémentaires, les clés partielles supplémentaires étant différentes des deux clés partielles au moins afin que la connaissance d'une première des clés partielles supplémentaires réduise le facteur de travail nécessaire pour la découverte du message chiffré, mais sans éliminer ce facteur, et
la mise à disposition de l'entité autorisée supplé-
mentaire au moins d'informations qui permettent à l'entité autorisée supplémentaire au moins de déterminer la première des clés partielles supplémentaires et de découvrir le message chiffré à l'aide de la première des clés partielles supplémentaires.
18. Procédé de mise à la disposition d'une autorité d'une partie d'une clé secrète de chiffrage afin que le facteur de travail nécessaire pour que l'autorité découvre un message chiffré avec la clé secrète de chiffrage soit réduit, mais non éliminé, caractérisé en ce que la clé secrète de chiffrage est divisée en au moins deux clés partielles de manière que la connaissance d'une première des clés partielles réduise le facteur de travail nécessaire pour la découverte du message chiffré, mais n'élimine pas ce facteur, le procédé comprenant en outre: le chiffrage de la première clé partielle au moins à l'aide d'une clé publique de l'autorité, et la mise à disposition de la première clé partielle chiffrée au moins, avec le message chiffré, de manière que l'autorité, dans le cas o elle obtient le message chiffré et veut le découvrir, puisse déchiffrer la première clé partielle chiffrée au moins à l'aide de la clé privée de l'autorité et puisse découvrir le message à l'aide de la
première clé partielle.
19. Procédé selon la revendication 18, caractérisé en ce qu'il comporte en outre: après réception du message chiffré par un destinataire prévu, la détermination du fait que la première clé partielle chiffrée au moins est associée au message chiffré et est valide, et, lorsque la première clé partielle chiffrée au moins n'est pas présente avec le message chiffré ou n'est pas
valide, le refus du déchiffrage du message chiffré.
20. Procédé de mise en oeuvre d'un système crypto-
graphique dans lequel une clé secrète de chiffrage utilisée pour le chiffrage d'un message transmis à un destinataire prévu est destinée à être mise à disposition d'une entité autorisée qui peut obtenir le message, caractérisé en ce que la partie de clé secrète de chiffrage est rendue disponible par chiffrage de la partie de clé secrète de chiffrage d'une manière telle que l'entité autorisée peut déchiffrer la partie de la clé secrète de chiffrage, et par transmission de la partie chiffrée de la clé secrète de chiffrage avec le message chiffré, le procédé comprenant: la détermination, après réception du message chiffré par le destinataire prévu, du fait que la partie chiffrée de la clé secrète de chiffrage est transmise avec le message chiffré et est valide, et le refus du déchiffrage du message chiffré lorsque la partie chiffrée de la clé secrète de chiffrage n'est pas
transmise avec le message chiffré ou n'est pas valide.
21. Procédé selon la revendication 20, caractérisé en ce que la partie de la clé secrète de chiffrage est chiffrée en combinaison avec des informations supplémentaires, et dans lequel l'étape de nouveau chiffrage comporte en outre un nouveau chiffrage de la partie de la clé secrète de
chiffrage en combinaison avec les informations supplémen-
taires.
22. Structure de données destinée à un message chiffré transmis d'un système d'ordinateur à un autre, la structure de données assurant un facteur réduit de travail pour qu'une entité autorisée découvre le message chiffré, la structure de données étant caractérisée en ce qu'elle comprend: un premier ensemble de données chiffrées comprenant le message chiffré avec une clé secrète de chiffrage, et un second ensemble de données chiffrées fixé au premier ensemble de données chiffrées, le second ensemble de données chiffrées comprenant une clé partielle de la clé secrète de
chiffrage chiffrée avec la clé publique de l'entité auto-
risée de manière que la connaissance de la clé partielle réduise le facteur de travail nécessaire pour la découverte
du message chiffré mais ne l'élimine pas.
23. Structure de données selon la revendication 22, caractérisée en ce que le second ensemble de données chiffrées comprend un nombre aléatoire en combinaison avec
la clé partielle.
24. Structure de données selon la revendication 22, caractérisée en ce que le second ensemble de données chiffrées comprend la clé partielle en combinaison avec une valeur de calcul d'une partie au moins de la clé secrète de
chiffrage.
25. Structure de données selon la revendication 24,
caractérisée en ce que le second ensemble de données chif-
frées comporte en combinaison la clé partielle, une valeur de calcul d'une partie au moins de la clé secrète de chiffrage et un fard, ainsi qu'une partie ou la totalité du fard.
26. Structure de données selon l'une quelconque des
revendications 22 à 25, caractérisée en ce qu'elle comporte
en outre un troisième ensemble de données chiffrées fixé au premier ensemble de données chiffrées, le troisième ensemble de données chiffrées comprenant au moins la clé secrète de chiffrage chiffrée par une clé publique d'un destinataire
prévu du message.
27. Structure de données selon la revendication 26,
caractérisée en ce que le second ensemble de données chif-
frées comprend en combinaison la clé partielle, une valeur de calcul d'une partie au moins de la clé secrète de chiffrage et un fard, et une partie ou la totalité du fard, et le troisième ensemble de données chiffrées comprend la
clé secrète de chiffrage combinée à une partie ou la tota-
lité du fard.
28. Structure de données selon l'une quelconque des
revendications 22 à 27, caractérisée en ce que le premier
ensemble de données chiffrées comprend le message et une combinaison cryptographique de la clé secrète de chiffrage
et de la clé partielle.
29. Support utilisable par un ordinateur ayant un dispositif codé de programme, lisible par un ordinateur et incorporé au support de manière que l'ordinateur exécute des étapes de procédé destinées à réduire le facteur de travail nécessaire pour qu'une entité autorisée découvre un message chiffré, mais sans éliminer ce facteur de travail, le message étant chiffré d'une manière telle qu'une clé secrète de chiffrage est nécessaire pour le déchiffrage du message, le support étant caractérisé en ce que le procédé comprend les étapes suivantes: la division de la clé secrète de chiffrage en au moins deux clés partielles afin que la connaissance d'une première des clés partielles réduise le facteur de travail nécessaire pour la découverte du message chiffré, mais ne l'élimine pas, et
la mise à disposition de l'entité autorisée d'infor-
mations à partir desquelles la première clé partielle peut être déterminée afin que la première clé partielle puisse être utilisée pour la découverte du message chiffré
qu'obtient l'entité autorisée et qu'elle veut découvrir.
30. Support utilisable par un ordinateur, possédant un dispositif codé de programme, lisible par ordinateur et incorporé au support de manière que l'ordinateur exécute des étapes de procédé pour le déchiffrage d'un message chiffré reçu dans un système cryptographique à facteur différentiel de travail dans lequel le message est chiffré avec une clé secrète de chiffrage, une clé partielle de la clé secrète de chiffrage est chiffrée avec une clé publique d'une autorité, et la clé partielle chiffrée est transmise avec le message chiffré, le support étant caractérisé en ce que le procédé comprend: la détermination du fait que la clé partielle chiffrée est reçue avec le message chiffré et est valide, lorsque la clé partielle chiffrée n'est pas reçue avec le message chiffré ou n'est pas valide, le refus de déchiffrage du message chiffré, et lorsque la clé partielle chiffrée est reçue avec le message chiffré et est valide, le déchiffrage du message
avec la clé secrète de chiffrage.
31. Support selon la revendication 30, caractérisé en ce qu'une valeur de calcul de la clé secrète de chiffrage au
moins est chiffrée avec la clé partielle, et l'étape exécu-
tée par l'ordinateur, pour déterminer si la clé partielle chiffrée est reçue avec le message chiffré et est valide, comprend la création d'une valeur de calcul de la clé secrète chiffrée au moins, le chiffrage de la clé secrète calculée au moins de chiffrage et de la clé partielle à l'aide de la clé publique de l'autorité, et la comparaison de la clé secrète calculée et chiffrée au moins de chiffrage et de la clé partielle avec la clé partielle chiffrée reçue
avec le message chiffré.
32. Procédé de mise à la disposition d'une entité autorisée d'une partie au moins d'une clé secrète de chiffrage utilisée pour le chiffrage d'un message transmis à un destinataire prévu, caractérisé en ce qu'il comprend: le chiffrage d'une partie au moins de la clé secrète de chiffrage en combinaison avec une valeur de calcul d'une partie au moins de la clé secrète de chiffrage et un fard tel que l'entité autorisée peut déchiffrer la partie au moins de la clé secrète de chiffrage, et la transmission de la partie chiffrée au moins de la
clé secrète de chiffrage avec le message chiffré.
33. Procédé selon la revendication 32, caractérisé en ce qu'il comprend: la détermination, après réception par le destinataire prévu du message chiffré, du fait que la partie chiffrée au moins de la clé secrète de chiffrage est transmise avec le message chiffré et est valide, et le refus du déchiffrage du message chiffré lorsque la partie chiffrée au moins de la clé secrète de chiffrage n'est pas transmise avec le message chiffré ou n'est pas valide.
34. Procédé selon l'une des revendications 32 et 33,
caractérisé en ce que l'étape de chiffrage d'une partie au moins de la clé secrète de chiffrage comprend le chiffrage
de l'ensemble de la clé secrète de chiffrage.
FR9615449A 1995-12-15 1996-12-16 Procedes de reduction et de mise a disposition de cles de chiffrage, et structure et support de donnees pour leur mise en oeuvre Expired - Fee Related FR2742617B1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US57322895A 1995-12-15 1995-12-15
US08/573,110 US5764772A (en) 1995-12-15 1995-12-15 Differential work factor cryptography method and system

Publications (2)

Publication Number Publication Date
FR2742617A1 true FR2742617A1 (fr) 1997-06-20
FR2742617B1 FR2742617B1 (fr) 2000-08-18

Family

ID=27076032

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9615449A Expired - Fee Related FR2742617B1 (fr) 1995-12-15 1996-12-16 Procedes de reduction et de mise a disposition de cles de chiffrage, et structure et support de donnees pour leur mise en oeuvre

Country Status (5)

Country Link
JP (1) JPH1028114A (fr)
KR (1) KR100445737B1 (fr)
DE (1) DE19652295B4 (fr)
FR (1) FR2742617B1 (fr)
GB (1) GB2308282B (fr)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2329096A (en) * 1997-08-29 1999-03-10 Ncipher Limited Creating sub-keys from hashed cryptographic master key
US6578143B1 (en) * 1998-12-18 2003-06-10 Qualcomm Incorporated Method for negotiating weakened keys in encryption systems
US6636968B1 (en) 1999-03-25 2003-10-21 Koninklijke Philips Electronics N.V. Multi-node encryption and key delivery
DE60029946T2 (de) * 1999-05-10 2007-03-15 Doi, Toshio Arzneimittel gegen glomerulosklerose
GB2390270A (en) * 2002-06-27 2003-12-31 Ericsson Telefon Ab L M Escrowing with an authority only part of the information required to reconstruct a decryption key
DE102005013909A1 (de) * 2005-03-24 2006-09-28 Siemens Ag Vorrichtung und Verfahren zur Schlüsselreduktion
US7873166B2 (en) 2005-09-13 2011-01-18 Avaya Inc. Method for undetectably impeding key strength of encryption usage for products exported outside the U.S
US8345871B2 (en) * 2007-03-15 2013-01-01 Palo Alto Research Center Incorporated Fast authentication over slow channels
US8199917B2 (en) * 2008-10-29 2012-06-12 International Business Machines Corporation SID management for access to encrypted drives
CN113452678A (zh) * 2015-09-21 2021-09-28 华为终端有限公司 登录信息输入方法、登录信息保存方法及相关装置
FR3058604B1 (fr) * 2016-11-09 2022-12-16 Sigfox Procede et dispositif d’emission de donnees chiffrees, procede et dispositif d’extraction de donnees
KR102357698B1 (ko) * 2020-02-24 2022-02-14 황순영 부분 해시값을 이용한 개인키 관리 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5323464A (en) * 1992-10-16 1994-06-21 International Business Machines Corporation Commercial data masking
WO1994026044A2 (fr) * 1993-04-19 1994-11-10 Silvio Micali Systeme de cryptage equitable et son procede d'utilisation

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557765A (en) * 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for data recovery

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5323464A (en) * 1992-10-16 1994-06-21 International Business Machines Corporation Commercial data masking
WO1994026044A2 (fr) * 1993-04-19 1994-11-10 Silvio Micali Systeme de cryptage equitable et son procede d'utilisation

Also Published As

Publication number Publication date
DE19652295A1 (de) 1997-06-19
DE19652295B4 (de) 2009-05-14
JPH1028114A (ja) 1998-01-27
FR2742617B1 (fr) 2000-08-18
GB2308282A (en) 1997-06-18
KR100445737B1 (ko) 2004-11-03
GB9625925D0 (en) 1997-01-29
GB2308282B (en) 2000-04-12
KR970056124A (ko) 1997-07-31

Similar Documents

Publication Publication Date Title
CA2221016C (fr) Procede de recuperation de cles mis en oeuvre pour un chiffrement fort de message
EP1072124B1 (fr) Procede de verification de l'usage de cles publiques engendrees par un systeme embarque
EP2002595B1 (fr) Procede et systeme de chiffrement cherchable dechiffrable
FR2760583A1 (fr) Systeme de verification de cartes de donnees
EP1151576B1 (fr) Procede cryptographique a cles publique et privee
FR2952778A1 (fr) Procede de transmission de donnees securise et systeme de chiffrement et de dechiffrement permettant une telle transmission
FR2913154A1 (fr) Chiffrement broadcast base sur identite
WO2009130089A1 (fr) Procede de diffusion securisee de donnees numeriques vers un tiers autorise
FR2756441A1 (fr) Protocole de signature numerique
FR3048102A1 (fr) Methode d'execution confidentielle d'un programme operant sur des donnees chiffrees par un chiffrement homomorphe
EP3928232A1 (fr) Méthode cryptographique de vérification des données
FR2742617A1 (fr) Procedes de reduction et de mise a disposition de cles de chiffrage, et structure et support de donnees pour leur mise en oeuvre
WO2009130088A1 (fr) Terminal d'authentification forte d'un utilisateur
EP2643943A1 (fr) Procede et systeme d'acces conditionnel a un contenu numerique, terminal et dispositif d'abonne associes
CA2765787A1 (fr) Cryptographie par parametrisation sur une courbe elliptique
EP4012972A1 (fr) Méthode de divulgation sélective de données via une chaine de blocs
EP1522168B1 (fr) Procede, systeme et support informatique de securisation de transmission de messages
EP1032158B1 (fr) Circuit et procédé pour la sécurisation d'un coprocesseur dédié à la cryptographie
EP2153575B1 (fr) Obtention de valeurs dérivées dépendant d'une valeur maîtresse secrète
WO2008113952A2 (fr) Chiffrement base sur identite
EP1642413B1 (fr) Procede de chiffrement/dechiffrement d un message et disposi tif associe
FR3079989A1 (fr) Procédés, dispositifs et programmes d'ordinateur pour le chiffrement et le déchiffrement de données pour la transmission ou le stockage de données
FR3134908A1 (fr) Procédé et système de gestion des droits d’accès dans une transaction équitable de données numériques
CA2280952A1 (fr) Systeme cryptographique comprenant un systeme de chiffrement et de dechiffrement et un systeme de sequestre de cles, et les appareils et dispositifs associes
WO2007042419A1 (fr) Procede cryptographique mettant en oeuvre un systeme de chiffrement base sur l'identite

Legal Events

Date Code Title Description
TP Transmission of property
ST Notification of lapse

Effective date: 20120831