FR2804561A1 - Procede de communication avec sequestre et recuperation de cle de chiffrement - Google Patents
Procede de communication avec sequestre et recuperation de cle de chiffrement Download PDFInfo
- Publication number
- FR2804561A1 FR2804561A1 FR0001185A FR0001185A FR2804561A1 FR 2804561 A1 FR2804561 A1 FR 2804561A1 FR 0001185 A FR0001185 A FR 0001185A FR 0001185 A FR0001185 A FR 0001185A FR 2804561 A1 FR2804561 A1 FR 2804561A1
- Authority
- FR
- France
- Prior art keywords
- key
- entity
- authority
- session
- secret
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
Procédé de communication avec séquestre et récupération de clé de chiffrement.L'entité qui s'engage dans une session de communication engendre une clé de session (KS) à l'aide d'un générateur pseudo-aléatoire initialisé par la clé secrète (Sa ) de l'entité et une valeur initiale (VI). Le message est chiffré par la clé de session. Celle-ci peut être retrouvée par l'autorité de séquestre (Ta ), qui archive la clé secrète (Sa ) et peut retrouver la valeur initiale (VI). Application aux communications sécurisées.
Description
PROCEDE <B>DE</B> COMMUNICATION AVEC SEQUESTRE <B>ET</B> RECUPERATION <B>DE</B> CLE <B>DE CHIFFREMENT</B> <B>DESCRIPTION</B> <B>Domaine</B> technique La présente invention a pour objet un procédé de communication dans lequel sont prévues des opérations de séquestre et de récupération de clé de chiffrement. Ces opérations permettent de garantir à un ou plusieurs organisme(s) préalablement déterminé(s) (par exemple un administrateur de sécurité d'un réseau d'entreprise, un tiers de confiance, voire, dans certains cas, les utilisateurs d'un système de chiffrement eux-mêmes), la possibilité de recouvrer, si besoin est, la clé de session utilisée dans la communication, et cela à partir des données échangées. La possibilité de recouvrer une clé de session peut découler d'un besoin d'interception légale ou de récupération de clés au sein d'une entreprise.
L'invention trouve une application dans les communications sécurisées.
Etat <B>de la technique antérieure</B> On connaît essentiellement deux familles de techniques de séquestre/récupération de clé, garantissant à une ou plusieurs autorités de séquestre la capacité de reconstituer, à partir des données échangées lors d'une communication entre deux interlocuteurs ou entités a et b, la clé de session utilisée, en vue de déchiffrer cette communication. Ces deux familles de techniques présentent l'avantage de pouvoir être mises en oeuvre sans qu'aucun échange de données n'aient à être effectué à chaque communication entre les entités et la (ou les) autorité(s) de séquestre (procédé dit "off line").
<B>Famille 1</B> :<B>archivage de clés</B> statiques <B>de distribution</B> <B>de clé auprès d'une autorité de séquestre</B> Cette famille de techniques s'applique à des systèmes dans lesquels l'établissement d'une clé de session entre les interlocuteurs utilise un protocole d'échange de clé reposant sur la possession, par l'un des interlocuteurs (par exemple b) d'une clé secrète statique (c'est-à-dire non renouvelée à chaque session). La clé secrète utilisée par b dans le protocole d'échange de clé est archivée auprès d'une autorité de séquestre (ou répartie entre plusieurs autorités de séquestre). La possession de ce secret permet à l'autorité (ou aux autorités) de séquestre (s) de reconstituer, si besoin est, toute clé de session échangée entre a et b à partir des messages du protocole d'établissement de cette clé. Un exemple de cette méthode de séquestre et de récupération de clé est proposé dans l'article "A Proposed Architecture for Trusted Third Party Services", par N. Jefferies, C. Mitchell et M. Walker, paru dans "Lectures Notes in Computer Science 1029, Cryptography Policy and Algorithms Conference", pp. 98-104, Springer Verlag, 1996. C'est une des principales méthodes, relevant de cette première famille de techniques, qui a, jusqu'à aujourd'hui, été envisagée en Europe. <B>Famille 2</B> :<B>récupération de clés de chiffrement</B> dynamiques <B>(clés de session) au moyen de champs légaux</B> Cette seconde famille de techniques ne fait pas appel, contrairement à la précédente, à l'archivage préalable de clés secrètes statiques utilisées pour l'échange de clés de session, mais à l'insertion, dans les messages échangés entre a et b, lors d'une communication sécurisée, d'un ou de plusieurs champs légaux contenant, sous une forme intelligible seulement pour une autorité de séquestre, une information sur la clé de session KS. La clé KS (ou une information sur cette clé) peut par exemple être chiffrée sous la clé publique RSA d'une autorité de séquestre. Le protocole "Secure Key Recovery" (SKR), proposé par IBM, relève de cette famille de techniques.
Ces deux familles de techniques présentent certains inconvénients pour la sécurisation d'applications ouvertes que l'on souhaite pouvoir utiliser entre des interlocuteurs situés dans des pays différents ou les juridictions distinctes, comme par exemple la messagerie sécurisée. Lorsqu'une application sécurisée est susceptible d'être utilisée pour des communications internationales, il est souhaitable que deux conditions soient remplies (i) chaque pays doit être libre de mettre ou non en place, pour les communications qui le concernent, un système de séquestre/récupération de clé pour cette application ; (ii) dans chaque pays où un système de séquestre/récupération de clé est mis en place, les autorités habilitées à récupérer le cas échéant les clés de session servant à chiffrer une communication internationale doivent pouvoir le faire sans avoir à coopérer, pour chaque interception, avec les autorités des autres pays.
Or, les techniques connues et précédemment décrites ne satisfont pas ou satisfont mal à ces conditions - pour les procédés de la première famille, lorsque la méthode de distribution de la clé de session considérée relève du chiffrement à clé publique (en particulier le chiffrement RSA employé pour cet usage dans de très nombreux produits de sécurité), la récupération de la clé de session d'une communication n'est possible, sans coopération internationale, que dans le pays où la clé secrète utilisée pour la distribution de clé a été archivée. Cette difficulté a conduit certains auteurs (cf. l'article de N. Jefferies et al. précédemment cité) à préconiser des systèmes de séquestre /récupération de clé reposant sur une méthode d'échange de clé plus symétrique, apparentée au schéma de Diffie-Hellman. Ces systèmes satisfont à la condition (ii) précédente et pourraient peut-être, moyennant certaines adaptations, satisfaire à la condition (i), mais ils introduisent des contraintes fortes sur la méthode de distribution de clé utilisée, qui conduisent notamment à exclure l'utilisation de l'algorithme RSA.
- Pour les procédés de la seconde famille, la récupération de clé dans le pays destinataire, à partir de champs légaux, repose sur la mise en place dans le pays émetteur d'une technique de séquestre/récupération de clé adaptée au pays destinataire, à savoir l'émission de champs légaux intelligibles pour les autorités de séquestre du pays destinataire. Cette contrainte est en contradiction avec la condition (i) précédente.
L'article de D.E. Denning intitulé "Descriptions of Key Escrow Systems" publié dans "Communications of the ACM", vol. 39, n 3, Mars<B>1996,</B> ainsi que l'article de D.E. Denning et D.K. Branstad intitulé "A taxonomy of Key Recovery Encryption Systems", publié dans "Communications of the ACM", vol. 39, n 3, Mars 1996, donnent une description et une analyse comparative de plus de trente systèmes de séquestre et de récupération de clé.
On peut s'en tenir à deux exemples illustrés sur les figures 1 et 2 annexées.
Sur la figure 1, tout d'abord, on voit deux entités a, b équipées chacune de moyens de cryptologie non représentés et munies chacune d'une identité Ida, Idb, d'une clé publique et d'une clé secrète de chiffrement, respectivement Pa, Pb, et Sa, Sb, ainsi que d'un certificat Ca, Cb ; on voit, en outre, deux autorités de séquestre Ta et Tb associées aux deux entités a et b, ces deux autorités archivant chacune les clés secrètes Sa, Sb des entités associées ainsi que leurs certificats Ca ou Cb. Les certificats attestent de la correspondance entre clé secrète et clé publique et que la clé secrète a bien été archivée. L'autorité de certification n'est pas représentée sur cette figure. Le certificat peut être conforme à la recommandation X509 de l'UIT-T.
Le procédé de communication entre ces différents moyens comprend les opérations suivantes A) l'entité a, qui est supposée s'engager dans une session de transmission d'un message M # vérifie la validité des certificats Ca et Cb, # produit une clé de session KS mettant en oeuvre un générateur pseudo-aléatoire non représenté, # utilise ses moyens de cryptologie pour chiffrer la clé de session KS avec la clé publique Pb de l'autre entité et chiffrer le message M avec la clé de session selon un algorithme de chiffrement symétrique, # transmet son identité ID, ou son certificat Ca,' la clé de session cryptée Pb(KS) et le message chiffré EKS (M) , B) l'entité b, à qui est destinée la transmission # vérifie la validité des certificats Ca et Cb, # récupère la clé de session KS en utilisant sa clé secrète Sb, # déchiffre le message M en utilisant la clé de session KS.
Dans un tel procédé, l'autorité de séquestre Tb peut, si elle le souhaite, recouvrer elle aussi la clé de session KS grâce à la clé secrète Sb qu'elle a archivée et peut ainsi recouvrer le message transmis.
Ce procédé présente un inconvénient. En effet, si l'autorité de séquestre Tb peut récupérer la clé de session KS (car elle a archivé la clé secrète Tb) et peut ainsi recouvrer le message transmis, il n'en va pas de même pour l'autorité de séquestre Ta, car elle ne dispose pas de la clé secrète Sb. I1 faut alors supposer une coopération entre les autorités de séquestre Ta et Tb, ce qui ne va pas de soi dans le cas de communications internationales.
Cette difficulté vient, notamment, de ce que le processus d'échange de clé fait appel à un chiffrement- déchiffrement dissymétrique utilisant un couple de clés respectivement publique-secrète, comme par exemple dans le chiffrement RSA. Certains auteurs ont préconisé des processus plus symétriques, apparentés à un protocole dit de Diffie-Hellman. Ce procédé est illustré sur la figure 2. On y retrouve sensiblement les mêmes moyens que sur la figure 1, à savoir les deux entités a et b et les deux autorités de séquestre Ta et Tb. Les paramètres du protocole de Diffie-Hellman sont constitués par un grand nombre premier p, dit module, et un nombre générateur g. Les deux autorités de séquestre Ta et Tb se sont entendues sur ces nombres p et g. La clé secrète Sa de a est un exposant secret a qui est archivé dans Ta et la clé publique de a est Pa=g `. Le certificat Ca contient la clé publique Pa=g `. Il en va de même pour l'entité b : (Sb=P, Pb=gP) .
Pour envoyer un message à l'entité b, l'entité a engendre une clé de session KS et adresse à b # son certificat Ca (qui contient Pa=g `) , # la clé de session chiffrée par un algorithme E utilisant la clé g", (Ega" (KS)) , # le message chiffré par la clé de session KS (EKs (M) ) .
La connaissance par Ta de a et de la clé publique Pb=gp de b permet à Ta de calculer (gp) a=gpa. De même pour Tb qui peut calculer (g `) p=g#p. Ainsi, g `p est-il partagé par a et b.
Chaque autorité Ta ou Tb peut donc retrouver la clé de session (KS) et donc recouvrer le message (M).
Mais, là encore, ce schéma suppose un accord entre les parties.
La présente invention a pour but de remédier à ces inconvénients en proposant un procédé qui ne requiert aucun accord entre les parties communicantes, le recouvrement de la clé de session et du message s'effectuant à partir des seules données échangées dans la communication.
Exposé de l'invention De façon précise, l'invention a pour objet un procédé de communication chiffrée avec séquestre et récupération de clé de chiffrement, mettant en oeuvre - une première entité (a) comprenant des premiers moyens de cryptologie (MCa) et munie d'une première identité (Ida), d'une première clé publique de distribution de clé (Pa) et d'une première clé secrète de distribution de clé (Sa) correspondant à ladite première clé publique (Pa), - une seconde entité (b) comprenant des seconds moyens de cryptologie (MCb) et munie d'une seconde identité (Idb), d'une seconde clé publique de distribution de clé (Pb) et d'une seconde clé secrète de distribution de clé (Sb) correspondant à ladite seconde clé publique (Pb), ce procédé comprenant i) une phase préliminaire d'établissement d'une clé de session (KS) phase dans laquelle l'une au moins des entités (a, b) produit une clé de session (KS) et forme un cryptogramme constitué de cette clé chiffrée par la clé publique (Pb, Pa) de l'autre entité, l'autre entité (b, a) déchiffrant ledit cryptogramme à l'aide de sa clé secrète (Sb, Sa) et recouvrant la clé de session (KS), ii) une phase d'échange de messages (M) dans laquelle les entités (a, b) forment des cryptogrammes EKs(M) constitués par des messages (M) chiffrés par la clé de session (KS) établie dans la phase préliminaire, chaque entité déchiffrant le cryptogramme qu'elle reçoit à l'aide de la clé de session (KS) et recouvrant ainsi le message qui lui a été adressé, ce procédé étant caractérisé par le fait que # il met en oeuvre, en outre, au moins une autorité de séquestre (Ta, Tb) associée à l'une des entités (a, b), cette autorité archivant la clé secrète (Sa, Sb) de l'entité associée (a, b), # dans la phase préliminaire, l'entité (a, b) qui produit la clé de session (KS) met en oeuvre un générateur pseudo-aléatoire (PRGa, PRGb) connu de l'autorité de séquestre (Ta, Tb) associée et initialise ce générateur pseudo-aléatoire à l'aide de sa clé secrète (Sa, Sb) et d'une valeur initiale (VI) déduite, par un algorithme connu de l'autorité de séquestre (Ta, Tb), de données appropriées. Selon un mode de mise en oeuvre, l'autorité de séquestre (Ta, Tb) associée à l'entité (a, b) qui a produit, dans la phase préliminaire, la clé de session (KS), met en oeuvre un générateur pseudo-aléatoire identique à celui de l'entité associée (PRGa, PRGb), initialise ce générateur avec ladite valeur initiale (VI) et la clé secrète (Sa, Sb) de l'entité associée (a, b) qu'elle a archivée, et recouvre ainsi la clé de session (KS).
Selon un autre mode de mise en oeuvre, l'autorité de séquestre (Tb, Ta) associée à l'entité (b, a) qui n'a pas produit, dans la phase préliminaire, la clé de session (KS), déchiffre le cryptogramme de la clé session (Pb(KS), Pa(KS)) à l'aide de la clé secrète (Sb, Sa) de l'entité associée (b, a) qu'elle a archivée et recouvre ainsi la clé de session (KS).
Quant à la valeur initiale VI elle peut soit être déduite des données échangées entre les entités a et b dans la phase préliminaire d'établissement de la clé de session soit être obtenue par essais successifs à partir de données susceptibles de prendre un nombre donné de valeurs, ce nombre étant suffisamment restreint pour que le temps mis par l'autorité de séquestre soit compatible avec l'application envisagée.
Comme indiqué dans l'introduction, l'autorité de séquestre peut être un tiers agréé, ou un administrateur de sécurité d'un réseau d'entreprise, ou l'utilisateur lui-même (le séquestre est alors un "auto-séquestre"). Brève description des dessins - la figure 1, déjà décrite, illustre un procédé connu asymétrique ; - la figure 2, déjà décrite, illustre un procédé commun symétrique ; - la figure 3 illustre schématiquement un procédé selon l'invention.
Description de modes particuliers de mise en oeuvre Le procédé de l'invention peut être décrit en spécifiant d'abord certaines conditions initiales, en précisant ensuite les procédures développées dans le moyen de cryptologie de l'utilisateur et en décrivant enfin la procédure de récupération de la clé.
A. Conditions initiales La clé secrète Sa du système de chiffrement de clés à clé publique utilisé par l'entité a à des fins d'établissement de clés de session est archivée auprès de l'autorité de séquestre Ta. La remise à a, par une autorité de certification AC désignée à l'avance par Ta, d'un certificat Ca attestant de la correspondance entre l'identité Ida de a et la clé publique Pa (par exemple un certificat conforme à la recommandation X509 de l'UIT-T), doit être subordonnée à cet archivage. La possession par a d'un certificat émanant de AC prouve que l'archivage auprès de Ta de la clé secrète Sa correspondant à la clé publique Pa a été effectivement réalisé. En pratique, l'autorité de certification AC et le tiers de séquestre Ta peuvent être un même organisme, ou deux organismes distincts ayant passé un accord. La génération de la clé secrète Sa peut, selon le cas, être effectuée par l'utilisateur a ou par le tiers Ta.
B. Procédures dans le moyen de cryptologie de l'utilisateur On entend par "moyen de cryptologie de a" noté MCa, les ressources logicielles et matérielles mettant en oeuvre les calculs cryptographiques d'établissement d'une clé de session et de chiffrement de a lors d'une communication sécurisée. Par exemple, le logiciel client d'une messagerie sécurisée peut être considéré comme un moyen de cryptologie.
Pour que le moyen de cryptologie MCa de l'utilisateur a soit en conformité avec le service de tiers de séquestre offert par Ta, il doit satisfaire aux conditions suivantes i)L'exécution des fonctions de chiffrement de MCa (établissement d'une clé de session, chiffrement) doit être subordonnée à la présence d'un certificat Ca provenant d'une autorité de certification AC désignée par Ta et de la clé secrète Sa correspondante. Le moyen de chiffrement MCa doit vérifier non seulement que le certificat Ca est valide, mais encore qu'il y a effectivement correspondance entre la clé secrète Sa et la clé publique Pa contenue dans Ta. Ces vérifications sont nécessaires pour avoir l'assurance que le tiers de séquestre Ta est en mesure de recouvrer les clés de session traitées par MCa.
ii)Le procédé de génération de clés mis en oeuvre dans MCa -typiquement l'algorithme de génération de clé utilisé pour générer une clé de session KS lorsque a initie une session sécurisée avec un interlocuteur b- doit être un générateur pseudo- aléatoire GPA connu de Ta, et dont les germes, c'est-à-dire les entrées à partir desquelles les valeurs produites par le générateur sont calculées, sont constitués - de la clé secrète Sa (ou, selon une variante, d'une fonction H(Sa) de cette clé) ; - d'une valeur initiale VI déduite, par un algorithme connu de Ta, de données variables contenues dans la partie non chiffrée des communications entre a et ses interlocuteurs (par exemple la date et l'heure), ou d'un compteur géré à l'intérieur de MCa.
Le générateur pseudo-aléatoire doit satisfaire aux conditions suivantes i)il doit être facile de déduire la valeur de sortie de ce générateur (typiquement la clé de session KS) à partir de Sa (ou de H (Sa) ) et de la valeur initiale VI. Selon un mode de réalisation préféré de l'invention, la taille de la valeur initiale VI peut être limitée entre 20 et 40 bits de taille effective, afin que, lorsque la clé secrète Sa est connue, la récupération de la valeur de sortie du générateur reste possible par recherche exhaustive même lorsque la valeur exacte de VI est perdue, ii)il doit être difficile de prédire une information sur Sa (ou sur H(Sa)) à partir d'un ensemble de valeurs de VI et des valeurs de sortie GPA(Sa, VI) ou GPA(H(Sa), VI) correspondantes, iii) il doit être difficile de prédire une information relative aux sorties GPA(Sa, VI) ou GPA(H (Sa) , VI) pour les différentes valeurs de VI lorsque la valeur de Sa (ou H(Sa)) est inconnue.
C. Procédures de récupération de clé I1 existe deux procédures distinctes pour la récupération de la clé de session KS utilisée pour chiffrer une communication sécurisée entre l'utilisateur a et un correspondant b, par Ta ou une autorité habilitée à accéder au secret Sa archivé par Ta .
i) Si la clé de session KS est produite par b et reçue par a chiffrée à l'aide de la clé publique Pa de a, alors Ta peut recouvrer la clé KS en déchiffrant à l'aide du secret archivé Sa le cryptogramme Pa(KS) transmis dans le protocole de distribution de clé.
ii)Si la clé de session KS est produite dans le moyen de cryptologie MCa de a et envoyée à b chiffrée sous la clé publique Pb de b, alors Ta peut récupérer dans les données échangées en clair entre a et b la valeur d' initialisation VI et reconstituer la valeur de KS à l'aide de VI et de la valeur archivée de Sa, en effectuant le calcul KS=GPA (Sa, VI) ou KS=GPA (H (Sa) , VI) . Dans le cas où VI et le contenu d'un compteur, ou dans le cas où la taille effective de VI est limitée et où, pour une raison quelconque, VI ne peut être récupéré à partir des données en clair, il reste possible pour Ta de récupérer la clé de session KS en procédant à un essai exhaustif des valeurs possibles de VI, et en vérifiant pour chacune si la valeur KS=GPA(Sa, VI) ou KS=GPA(H(Sa), VI) obtenue est la bonne.
En combinant les procédures élémentaires i) et ii) définies ci-dessus, Ta reste capable de recouvrer la clé de session dans le cas où un protocole d'établissement de clé de session plus complexe est utilisé entre a et b. On peut considérer, à titre d'exemple, le protocole suivant : b engendre une valeur secrète KS1 et la transmet à a chiffrée sous la clé publique Pa de a ; a génère une valeur secrète KS2 et la transmet à b chiffrée sous la clé publique Pb de b ; a et b calculent la clé de session KS, égale au OU exclusif des valeurs KS1 et KS2 (KS=Kl XOR K2). Pour un protocole de ce genre, Ta serait capable de recouvrer KS1 en utilisant la procédure i) définie ci-dessus et de retrouver KS2 en utilisant la procédure ii), et donc, à partir de ces deux valeurs, de recouvrer KS.
Le procédé qui vient d'être décrit peut être mis en oeuvre selon des variantes dans lesquelles l'information que constitue la clé secrète Sa n'est pas archivée auprès d'une unique entité Ta, mais fractionnée en "parts" archivées auprès de tiers de séquestre distincts.
Par exemple, la clé secrète Sa de a peut être constituée par un exposant RSA secret d. Ce secret peut être fractionné en deux "parts" dl et d2 telles que dl+d2=d. Deux autorités de séquestre Ta et T'a, respectivement chargées de l'archivage de dl et de d2 (et du module public na de a), sont capables # de vérifier, sans révéler leur part du secret d, qu'elles sont effectivement capables de calculer la fonction secrète associée à la clé Sa ; il suffit pour ce faire que chacune d'entre elles calcule, modulo n, la puissance de la valeur d'entrée déterminée par sa part, puis que les valeurs obtenues soient multipliées entre elles modulo na, # de recouvrer une clé de session KS à partir des données du protocole d'établissement de cette clé (en révélant au besoin à l'autre tiers ou à une autorité d'interception leur part de la clé Sa) .
Claims (12)
1. Procédé de communication chiffrée avec séquestre et récupération de clé de chiffrement, mettant en oeuvre - une première entité (a) comprenant des premiers moyens de cryptologie (MCa) et munie d'une première identité (Ida), d'une première clé publique de distribution de clé (Pa) et d'une première clé secrète de distribution de clé (Sa) correspondant à ladite première clé publique (Pa), - une seconde entité (b) comprenant des seconds moyens de cryptologie (MCb) et munie d'une seconde identité (Idb), d'une seconde clé publique de distribution de clé (Pb) et d'une seconde clé secrète de distribution de clé (Sb) correspondant à ladite seconde clé publique (Pb), ce procédé comprenant iii) une phase préliminaire d'établissement d'une clé de session (KS) phase dans laquelle l'une au moins des entités (a, b) produit une clé de session (KS) et forme un cryptogramme constitué de cette clé chiffrée par la clé publique (Pb, Pa) de l'autre entité, l'autre entité (b, a) déchiffrant ledit cryptogramme à l'aide de sa clé secrète (Sb, Sa) et recouvrant la clé de session (KS), iv) une phase d'échange de messages (M) dans laquelle les entités (a, b) forment des cryptogrammes EKS(M) constitués par des messages (M) chiffrés par la clé de session (KS) établie dans la phase préliminaire, chaque entité déchiffrant le cryptogramme qu'elle reçoit à l'aide de la clé de session (KS) et recouvrant ainsi le message qui lui a été adressé, ce procédé étant caractérisé par le fait que # il met en oeuvre, en outre, au moins une autorité de séquestre (Ta, Tb) associée à l'une des entités (a, b), cette autorité archivant la clé secrète (Sa, Sb) de l'entité associée (a, b), # dans la phase préliminaire, l'entité (a, b) qui produit la clé de session (KS) met en oeuvre un générateur pseudo-aléatoire (PRGa, PRGb) connu de l'autorité de séquestre (Ta, Tb) associée et initialise ce générateur pseudo-aléatoire à l'aide de sa clé secrète (Sa, Sb) et d'une valeur initiale (VI) déduite, par un algorithme connu de l'autorité de séquestre (Ta, Tb), de données appropriées.
2. Procédé selon la revendication 1, dans lequel l'autorité de séquestre (Ta, Tb) associée à l'entité (a, b) qui a produit, dans la phase préliminaire, la clé de session (KS), met en oeuvre un générateur pseudo- aléatoire identique à celui de l'entité associée (PRGa, PRGb), initialise ce générateur avec ladite valeur initiale (VI) et la clé secrète (Sa, Sb) de l'entité associée (a, b) qu'elle a archivée, et recouvre ainsi la clé de session (KS).
3. Procédé selon la revendication 1, selon lequel l'autorité de séquestre. (Tb, Ta) associée à l'entité (b, a) qui n'a pas produit, dans la phase préliminaire, la clé de session (KS), déchiffre le cryptogramme de la clé session<B>(Pb</B> (KS), Pa(KS)) à l'aide de la clé secrète (Sb, Sa) de l'entité associée (b, a) qu'elle a archivée et recouvre ainsi la clé de session (KS).
4. Procédé selon l'une quelconque des revendications 1 3, dans lequel la valeur initiale (VI) est déduite des données échangées entre les entités (a, b) dans la phase préliminaire d'établissement de la clé de session (KS).
5. Procédé selon la revendication 2, dans lequel l'autorité de séquestre obtient la valeur initiale (VI) par essais exhaustifs à partir de données susceptibles de prendre un nombre restreint de valeurs.
6. Procédé selon la revendication 1, dans lequel le générateur pseudo-aléatoire (PRGa, PRGb) d'une entité (a, b) est initialisé par une fonction à sens unique (H (Sa) , H (Sb) ) de la clé secrète (Sa, Sb) de cette entité (a, b).
7. Procédé selon la revendication 1, dans lequel au moins une première autorité de certification (ACa, ACb) délivre à l'une des entités (a, b) un certificat (C,, Cb) attestant de la correspondance entre l'identité (Ida, Idb) de l'entité et la clé publique de distribution de clé (Pa, Pb) si et seulement si l'archivage de la clé secrète correspondante (Sa, Sb) a bien été effectué auprès de l'autorité de séquestre correspondante (Ta, Tb), la phase préliminaire d'établissement d'une clé de session (KS) et la phase d'échange de messages étant toutes deux subordonnées, dans le moyen de cryptologie (MCa, MCb) à la validité du certificat<B>(CI,</B> Cb) et à la correspondance effective entre la clé publique (Par Pb) contenue dans ce certificat et la clé secrète de distribution (Sa, Sb).
8. Procédé selon la revendication 1, dans lequel, pour au moins l'une des entités (a, b), l'autorité de certification (ACa, ACb) et l'autorité de séquestre associée à cette entité (Ta, Tb) sont réunies en une seule autorité.
9. Procédé selon la revendication 1, dans lequel l'autorité de séquestre (Ta, Tb) est divisée en deux autorités partielles (Tâ , Tâ) (Tb , Tb) archivant chacune une part<B>(S</B>a<B>,</B> Sâ) (Sb, Sb) de la clé secrète de distribution (Sa, Sb), aucune des deux autorités partielles n'étant capable, à elle seule, de reconstituer la clé secrète de distribution (Sa, Sb), mais les deux autorités partielles étant capables, en coopérant, de reconstituer la clé secrète de distribution, les deux autorités partielles étant à même de s'assurer qu'elles détiennent des parts de clé secrète permettant de reconstituer la clé secrète.
10. Procédé selon la revendication 1, dans lequel, dans la phase préliminaire d'établissement d'une clé de session - la première entité produit une première clé de session partielle (KS,) , forme un premier cryptogramme<B>Pb</B> (KSa) de cette première clé de session partielle (KSa) chiffrée sous la clé publique (Pb) de la seconde entité (b), envoie ce premier cryptogramme à la seconde entité (b), - la seconde entité (b) produit une seconde clé de session partielle (KSb), forme un second cryptogramme Pa(KSb) constitué de cette seconde clé de session partielle (KSb) chiffrée sous la clé publique (Pa) de la première entité (a), et envoie ce second cryptogramme à la première entité (a), - les deux entités (b, a) déchiffrent le premier et le second cryptogrammes à l'aide de leur clé secrète (Sb, Sa) retrouvent la première et la seconde clés de session partielle (KS,, KSb) et forment la clé de session (KS) à partir des clés session partielles.
11. Procédé selon la revendication 10, dans lequel les entités (a, b) forment la clé de session (KS) par une opération logique OU exclusif entre la première et la seconde clés de session partielle (KS,, KSb).
12. Procédé selon l'une quelconque des revendications 1 à 11, dans lequel l'autorité de séquestre (Ta, Tb) associée à l'une des entités (a, b) est l'utilisateur de l'entité.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0001185A FR2804561B1 (fr) | 2000-01-31 | 2000-01-31 | Procede de communication avec sequestre et recuperation de cle de chiffrement |
EP01904002A EP1254534A1 (fr) | 2000-01-31 | 2001-01-30 | Procede de communication avec sequestre et recuperation de cle de chiffrement |
PCT/FR2001/000285 WO2001056222A1 (fr) | 2000-01-31 | 2001-01-30 | Procede de communication avec sequestre et recuperation de cle de chiffrement |
JP2001555258A JP2003521197A (ja) | 2000-01-31 | 2001-01-30 | 鍵暗号化の供託および回復システムによる通信方法 |
US10/181,598 US20030012387A1 (en) | 2000-01-31 | 2001-01-30 | Communication method with encryption key escrow and recovery |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0001185A FR2804561B1 (fr) | 2000-01-31 | 2000-01-31 | Procede de communication avec sequestre et recuperation de cle de chiffrement |
Publications (2)
Publication Number | Publication Date |
---|---|
FR2804561A1 true FR2804561A1 (fr) | 2001-08-03 |
FR2804561B1 FR2804561B1 (fr) | 2002-03-01 |
Family
ID=8846480
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0001185A Expired - Fee Related FR2804561B1 (fr) | 2000-01-31 | 2000-01-31 | Procede de communication avec sequestre et recuperation de cle de chiffrement |
Country Status (5)
Country | Link |
---|---|
US (1) | US20030012387A1 (fr) |
EP (1) | EP1254534A1 (fr) |
JP (1) | JP2003521197A (fr) |
FR (1) | FR2804561B1 (fr) |
WO (1) | WO2001056222A1 (fr) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2943870A1 (fr) * | 2009-03-26 | 2010-10-01 | Trustseed | Procede et dispositif de chiffrement d'un document |
WO2010108994A3 (fr) * | 2009-03-26 | 2010-11-25 | Trustseed | Procede et dispostif d'archivage d'un document |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2829644A1 (fr) * | 2001-09-10 | 2003-03-14 | St Microelectronics Sa | Procede securise de transmission de donnees multimedia |
GB2376392B (en) * | 2001-12-07 | 2003-05-07 | Ericsson Telefon Ab L M | Legal interception of IP traffic |
GB2390270A (en) * | 2002-06-27 | 2003-12-31 | Ericsson Telefon Ab L M | Escrowing with an authority only part of the information required to reconstruct a decryption key |
US7900051B2 (en) | 2002-09-10 | 2011-03-01 | Stmicroelectronics S.A. | Secure multimedia data transmission method |
US7778422B2 (en) * | 2004-02-27 | 2010-08-17 | Microsoft Corporation | Security associations for devices |
EP1920324A1 (fr) * | 2005-08-19 | 2008-05-14 | Nxp B.V. | Montage de circuit et procede associe pour l'application d'une operation non dans un calcul cryptographique |
US8418235B2 (en) * | 2006-11-15 | 2013-04-09 | Research In Motion Limited | Client credential based secure session authentication method and apparatus |
KR20080084480A (ko) * | 2007-03-16 | 2008-09-19 | 삼성전자주식회사 | 매개 모듈을 이용한 디바이스간의 상호 인증 방법 및 그시스템 |
US7864960B2 (en) * | 2007-05-31 | 2011-01-04 | Novell, Inc. | Techniques for securing content in an untrusted environment |
JP5273963B2 (ja) * | 2007-07-23 | 2013-08-28 | 修 亀田 | 擬似乱数の生成方法及び装置、並びに擬似乱数を用いた暗号化方法及び装置 |
JP5139028B2 (ja) * | 2007-10-24 | 2013-02-06 | エイチジーエスティーネザーランドビーブイ | コンテンツデータ管理システム及び方法 |
US8769288B2 (en) * | 2011-04-22 | 2014-07-01 | Alcatel Lucent | Discovery of security associations |
CN104393989A (zh) * | 2014-10-30 | 2015-03-04 | 北京神州泰岳软件股份有限公司 | 一种密钥协商方法及装置 |
CN104735085A (zh) * | 2015-04-15 | 2015-06-24 | 上海汉邦京泰数码技术有限公司 | 一种终端双因子安全登录防护方法 |
CN112004027A (zh) * | 2015-09-07 | 2020-11-27 | 索尼公司 | 成像设备、其控制方法和程序 |
CN107704749A (zh) * | 2017-10-25 | 2018-02-16 | 深圳竹云科技有限公司 | 基于U盾验证算法的Windows系统安全登录方法 |
SG10201801094VA (en) | 2018-02-08 | 2019-09-27 | Huawei Int Pte Ltd | System and method for computing an escrow session key and a private session key for encoding digital communications between two devices |
JP7469164B2 (ja) | 2020-06-26 | 2024-04-16 | 川崎重工業株式会社 | 積付用ロボットハンド、ロボット及び物品保持方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5438622A (en) * | 1994-01-21 | 1995-08-01 | Apple Computer, Inc. | Method and apparatus for improving the security of an electronic codebook encryption scheme utilizing an offset in the pseudorandom sequence |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5315658B1 (en) * | 1992-04-20 | 1995-09-12 | Silvio Micali | Fair cryptosystems and methods of use |
HU216231B (hu) * | 1994-01-13 | 1999-05-28 | Certco, Llc | Eljárás titkosított kommunikáció létrehozására |
US5557765A (en) * | 1994-08-11 | 1996-09-17 | Trusted Information Systems, Inc. | System and method for data recovery |
US5633929A (en) * | 1995-09-15 | 1997-05-27 | Rsa Data Security, Inc | Cryptographic key escrow system having reduced vulnerability to harvesting attacks |
US5631961A (en) * | 1995-09-15 | 1997-05-20 | The United States Of America As Represented By The Director Of The National Security Agency | Device for and method of cryptography that allows third party access |
US5937066A (en) * | 1996-10-02 | 1999-08-10 | International Business Machines Corporation | Two-phase cryptographic key recovery system |
US6483920B2 (en) * | 1996-12-04 | 2002-11-19 | Bull, S.A. | Key recovery process used for strong encryption of messages |
US5920630A (en) * | 1997-02-25 | 1999-07-06 | United States Of America | Method of public key cryptography that includes key escrow |
US6058188A (en) * | 1997-07-24 | 2000-05-02 | International Business Machines Corporation | Method and apparatus for interoperable validation of key recovery information in a cryptographic system |
US6151395A (en) * | 1997-12-04 | 2000-11-21 | Cisco Technology, Inc. | System and method for regenerating secret keys in diffie-hellman communication sessions |
US6754820B1 (en) * | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
-
2000
- 2000-01-31 FR FR0001185A patent/FR2804561B1/fr not_active Expired - Fee Related
-
2001
- 2001-01-30 JP JP2001555258A patent/JP2003521197A/ja not_active Withdrawn
- 2001-01-30 WO PCT/FR2001/000285 patent/WO2001056222A1/fr active Application Filing
- 2001-01-30 US US10/181,598 patent/US20030012387A1/en not_active Abandoned
- 2001-01-30 EP EP01904002A patent/EP1254534A1/fr not_active Withdrawn
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5438622A (en) * | 1994-01-21 | 1995-08-01 | Apple Computer, Inc. | Method and apparatus for improving the security of an electronic codebook encryption scheme utilizing an offset in the pseudorandom sequence |
Non-Patent Citations (2)
Title |
---|
CLARK A J: "Key Recovery -- Why, How, Who?", COMPUTERS & SECURITY. INTERNATIONAL JOURNAL DEVOTED TO THE STUDY OF TECHNICAL AND FINANCIAL ASPECTS OF COMPUTER SECURITY,NL,ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, vol. 16, no. 8, 1997, pages 669 - 674, XP004101383, ISSN: 0167-4048 * |
MENEZES ET AL.: "HANDBOOK OF APPLIED CRYPTOGRAPHY", 1997, CRC PRESS, BOCA RATON, XP002153192 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2943870A1 (fr) * | 2009-03-26 | 2010-10-01 | Trustseed | Procede et dispositif de chiffrement d'un document |
WO2010108994A3 (fr) * | 2009-03-26 | 2010-11-25 | Trustseed | Procede et dispostif d'archivage d'un document |
Also Published As
Publication number | Publication date |
---|---|
JP2003521197A (ja) | 2003-07-08 |
US20030012387A1 (en) | 2003-01-16 |
FR2804561B1 (fr) | 2002-03-01 |
WO2001056222A1 (fr) | 2001-08-02 |
EP1254534A1 (fr) | 2002-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FR2804561A1 (fr) | Procede de communication avec sequestre et recuperation de cle de chiffrement | |
EP3010177B1 (fr) | Procédé d'authentification d'un dispositif client auprès d'un serveur à l'aide d'un élément secret | |
EP3506556B1 (fr) | Méthode d'échange de clés authentifié par chaine de blocs | |
US7760883B2 (en) | Any-point-to-any-point (AP2AP) quantum key distribution protocol for optical ring network | |
EP1305948B1 (fr) | Methode de distribution securisee de donnees numeriques representatives d'un contenu multimedia | |
EP2892176A2 (fr) | Procédé de conversion d'un contenu a accès conditionnel et récepteur pour la mise en oeuvre de ce procédé | |
EP1151576B1 (fr) | Procede cryptographique a cles publique et privee | |
EP2484084B1 (fr) | Procédé et dispositifs de communications securisées contre les attaques par innondation et denis de service (dos) dans un réseau de télécommunications | |
FR2916592A1 (fr) | Procede de securisation d'echange d'information,dispositif, et produit programme d'ordinateur correspondant | |
CA2444422A1 (fr) | Procede pour une communication securisee entre deux dispositifs | |
EP3391585A1 (fr) | Procede de securisation d'un enregistrement de contenu multimedia dans un support de stockage | |
EP2211497A1 (fr) | Procédé d'établissement de communication sécurisée sans partage d'information préalable | |
WO2009027447A2 (fr) | Procede de distribution de cles cryptographiques dans un reseau de communication | |
WO2012069747A1 (fr) | Procede et systeme d'acces conditionnel a un contenu numerique, terminal et dispositif d'abonne associes | |
KR20060078768A (ko) | 사용자 개인키의 분산 등록을 이용한 키 복구 시스템 및그 방법 | |
FR2899750A1 (fr) | Procede et terminal pour securiser la generation d'une cle de chiffrement | |
FR2923968A1 (fr) | Procede de partage d'un secret fort entre deux parties dont l'une dispose de peu de puissance de traitement. | |
EP1032158B1 (fr) | Circuit et procédé pour la sécurisation d'un coprocesseur dédié à la cryptographie | |
EP2652899A2 (fr) | Procédé et système d'accès conditionnel à un contenu numérique, terminal et dispositif d'abonné associés | |
EP1642413B1 (fr) | Procede de chiffrement/dechiffrement d un message et disposi tif associe | |
WO2023057649A1 (fr) | Procédé de génération d'un nombre pseudo-aléatoire et procédé de chiffrement symétrique d'un message | |
FR2786049A1 (fr) | Procede de cryptographie a cle dynamique | |
WO2023046557A1 (fr) | Système et méthode de génération de clé secrète sûre | |
FR2892251A1 (fr) | Procede cryptographique mettant en oeuvre un systeme de chiffrement base sur l'identite | |
Christianson et al. | Vintage bit cryptography |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
ST | Notification of lapse |
Effective date: 20081029 |