FR2804561A1 - Procede de communication avec sequestre et recuperation de cle de chiffrement - Google Patents

Procede de communication avec sequestre et recuperation de cle de chiffrement Download PDF

Info

Publication number
FR2804561A1
FR2804561A1 FR0001185A FR0001185A FR2804561A1 FR 2804561 A1 FR2804561 A1 FR 2804561A1 FR 0001185 A FR0001185 A FR 0001185A FR 0001185 A FR0001185 A FR 0001185A FR 2804561 A1 FR2804561 A1 FR 2804561A1
Authority
FR
France
Prior art keywords
key
entity
authority
session
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0001185A
Other languages
English (en)
Other versions
FR2804561B1 (fr
Inventor
Henri Gilbert
David Arditti
Thierry Baritaud
Pascal Chauvaud
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0001185A priority Critical patent/FR2804561B1/fr
Priority to EP01904002A priority patent/EP1254534A1/fr
Priority to PCT/FR2001/000285 priority patent/WO2001056222A1/fr
Priority to JP2001555258A priority patent/JP2003521197A/ja
Priority to US10/181,598 priority patent/US20030012387A1/en
Publication of FR2804561A1 publication Critical patent/FR2804561A1/fr
Application granted granted Critical
Publication of FR2804561B1 publication Critical patent/FR2804561B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

Procédé de communication avec séquestre et récupération de clé de chiffrement.L'entité qui s'engage dans une session de communication engendre une clé de session (KS) à l'aide d'un générateur pseudo-aléatoire initialisé par la clé secrète (Sa ) de l'entité et une valeur initiale (VI). Le message est chiffré par la clé de session. Celle-ci peut être retrouvée par l'autorité de séquestre (Ta ), qui archive la clé secrète (Sa ) et peut retrouver la valeur initiale (VI). Application aux communications sécurisées.

Description

PROCEDE <B>DE</B> COMMUNICATION AVEC SEQUESTRE <B>ET</B> RECUPERATION <B>DE</B> CLE <B>DE CHIFFREMENT</B> <B>DESCRIPTION</B> <B>Domaine</B> technique La présente invention a pour objet un procédé de communication dans lequel sont prévues des opérations de séquestre et de récupération de clé de chiffrement. Ces opérations permettent de garantir à un ou plusieurs organisme(s) préalablement déterminé(s) (par exemple un administrateur de sécurité d'un réseau d'entreprise, un tiers de confiance, voire, dans certains cas, les utilisateurs d'un système de chiffrement eux-mêmes), la possibilité de recouvrer, si besoin est, la clé de session utilisée dans la communication, et cela à partir des données échangées. La possibilité de recouvrer une clé de session peut découler d'un besoin d'interception légale ou de récupération de clés au sein d'une entreprise.
L'invention trouve une application dans les communications sécurisées.
Etat <B>de la technique antérieure</B> On connaît essentiellement deux familles de techniques de séquestre/récupération de clé, garantissant à une ou plusieurs autorités de séquestre la capacité de reconstituer, à partir des données échangées lors d'une communication entre deux interlocuteurs ou entités a et b, la clé de session utilisée, en vue de déchiffrer cette communication. Ces deux familles de techniques présentent l'avantage de pouvoir être mises en oeuvre sans qu'aucun échange de données n'aient à être effectué à chaque communication entre les entités et la (ou les) autorité(s) de séquestre (procédé dit "off line").
<B>Famille 1</B> :<B>archivage de clés</B> statiques <B>de distribution</B> <B>de clé auprès d'une autorité de séquestre</B> Cette famille de techniques s'applique à des systèmes dans lesquels l'établissement d'une clé de session entre les interlocuteurs utilise un protocole d'échange de clé reposant sur la possession, par l'un des interlocuteurs (par exemple b) d'une clé secrète statique (c'est-à-dire non renouvelée à chaque session). La clé secrète utilisée par b dans le protocole d'échange de clé est archivée auprès d'une autorité de séquestre (ou répartie entre plusieurs autorités de séquestre). La possession de ce secret permet à l'autorité (ou aux autorités) de séquestre (s) de reconstituer, si besoin est, toute clé de session échangée entre a et b à partir des messages du protocole d'établissement de cette clé. Un exemple de cette méthode de séquestre et de récupération de clé est proposé dans l'article "A Proposed Architecture for Trusted Third Party Services", par N. Jefferies, C. Mitchell et M. Walker, paru dans "Lectures Notes in Computer Science 1029, Cryptography Policy and Algorithms Conference", pp. 98-104, Springer Verlag, 1996. C'est une des principales méthodes, relevant de cette première famille de techniques, qui a, jusqu'à aujourd'hui, été envisagée en Europe. <B>Famille 2</B> :<B>récupération de clés de chiffrement</B> dynamiques <B>(clés de session) au moyen de champs légaux</B> Cette seconde famille de techniques ne fait pas appel, contrairement à la précédente, à l'archivage préalable de clés secrètes statiques utilisées pour l'échange de clés de session, mais à l'insertion, dans les messages échangés entre a et b, lors d'une communication sécurisée, d'un ou de plusieurs champs légaux contenant, sous une forme intelligible seulement pour une autorité de séquestre, une information sur la clé de session KS. La clé KS (ou une information sur cette clé) peut par exemple être chiffrée sous la clé publique RSA d'une autorité de séquestre. Le protocole "Secure Key Recovery" (SKR), proposé par IBM, relève de cette famille de techniques.
Ces deux familles de techniques présentent certains inconvénients pour la sécurisation d'applications ouvertes que l'on souhaite pouvoir utiliser entre des interlocuteurs situés dans des pays différents ou les juridictions distinctes, comme par exemple la messagerie sécurisée. Lorsqu'une application sécurisée est susceptible d'être utilisée pour des communications internationales, il est souhaitable que deux conditions soient remplies (i) chaque pays doit être libre de mettre ou non en place, pour les communications qui le concernent, un système de séquestre/récupération de clé pour cette application ; (ii) dans chaque pays où un système de séquestre/récupération de clé est mis en place, les autorités habilitées à récupérer le cas échéant les clés de session servant à chiffrer une communication internationale doivent pouvoir le faire sans avoir à coopérer, pour chaque interception, avec les autorités des autres pays.
Or, les techniques connues et précédemment décrites ne satisfont pas ou satisfont mal à ces conditions - pour les procédés de la première famille, lorsque la méthode de distribution de la clé de session considérée relève du chiffrement à clé publique (en particulier le chiffrement RSA employé pour cet usage dans de très nombreux produits de sécurité), la récupération de la clé de session d'une communication n'est possible, sans coopération internationale, que dans le pays où la clé secrète utilisée pour la distribution de clé a été archivée. Cette difficulté a conduit certains auteurs (cf. l'article de N. Jefferies et al. précédemment cité) à préconiser des systèmes de séquestre /récupération de clé reposant sur une méthode d'échange de clé plus symétrique, apparentée au schéma de Diffie-Hellman. Ces systèmes satisfont à la condition (ii) précédente et pourraient peut-être, moyennant certaines adaptations, satisfaire à la condition (i), mais ils introduisent des contraintes fortes sur la méthode de distribution de clé utilisée, qui conduisent notamment à exclure l'utilisation de l'algorithme RSA.
- Pour les procédés de la seconde famille, la récupération de clé dans le pays destinataire, à partir de champs légaux, repose sur la mise en place dans le pays émetteur d'une technique de séquestre/récupération de clé adaptée au pays destinataire, à savoir l'émission de champs légaux intelligibles pour les autorités de séquestre du pays destinataire. Cette contrainte est en contradiction avec la condition (i) précédente.
L'article de D.E. Denning intitulé "Descriptions of Key Escrow Systems" publié dans "Communications of the ACM", vol. 39, n 3, Mars<B>1996,</B> ainsi que l'article de D.E. Denning et D.K. Branstad intitulé "A taxonomy of Key Recovery Encryption Systems", publié dans "Communications of the ACM", vol. 39, n 3, Mars 1996, donnent une description et une analyse comparative de plus de trente systèmes de séquestre et de récupération de clé.
On peut s'en tenir à deux exemples illustrés sur les figures 1 et 2 annexées.
Sur la figure 1, tout d'abord, on voit deux entités a, b équipées chacune de moyens de cryptologie non représentés et munies chacune d'une identité Ida, Idb, d'une clé publique et d'une clé secrète de chiffrement, respectivement Pa, Pb, et Sa, Sb, ainsi que d'un certificat Ca, Cb ; on voit, en outre, deux autorités de séquestre Ta et Tb associées aux deux entités a et b, ces deux autorités archivant chacune les clés secrètes Sa, Sb des entités associées ainsi que leurs certificats Ca ou Cb. Les certificats attestent de la correspondance entre clé secrète et clé publique et que la clé secrète a bien été archivée. L'autorité de certification n'est pas représentée sur cette figure. Le certificat peut être conforme à la recommandation X509 de l'UIT-T.
Le procédé de communication entre ces différents moyens comprend les opérations suivantes A) l'entité a, qui est supposée s'engager dans une session de transmission d'un message M # vérifie la validité des certificats Ca et Cb, # produit une clé de session KS mettant en oeuvre un générateur pseudo-aléatoire non représenté, # utilise ses moyens de cryptologie pour chiffrer la clé de session KS avec la clé publique Pb de l'autre entité et chiffrer le message M avec la clé de session selon un algorithme de chiffrement symétrique, # transmet son identité ID, ou son certificat Ca,' la clé de session cryptée Pb(KS) et le message chiffré EKS (M) , B) l'entité b, à qui est destinée la transmission # vérifie la validité des certificats Ca et Cb, # récupère la clé de session KS en utilisant sa clé secrète Sb, # déchiffre le message M en utilisant la clé de session KS.
Dans un tel procédé, l'autorité de séquestre Tb peut, si elle le souhaite, recouvrer elle aussi la clé de session KS grâce à la clé secrète Sb qu'elle a archivée et peut ainsi recouvrer le message transmis.
Ce procédé présente un inconvénient. En effet, si l'autorité de séquestre Tb peut récupérer la clé de session KS (car elle a archivé la clé secrète Tb) et peut ainsi recouvrer le message transmis, il n'en va pas de même pour l'autorité de séquestre Ta, car elle ne dispose pas de la clé secrète Sb. I1 faut alors supposer une coopération entre les autorités de séquestre Ta et Tb, ce qui ne va pas de soi dans le cas de communications internationales.
Cette difficulté vient, notamment, de ce que le processus d'échange de clé fait appel à un chiffrement- déchiffrement dissymétrique utilisant un couple de clés respectivement publique-secrète, comme par exemple dans le chiffrement RSA. Certains auteurs ont préconisé des processus plus symétriques, apparentés à un protocole dit de Diffie-Hellman. Ce procédé est illustré sur la figure 2. On y retrouve sensiblement les mêmes moyens que sur la figure 1, à savoir les deux entités a et b et les deux autorités de séquestre Ta et Tb. Les paramètres du protocole de Diffie-Hellman sont constitués par un grand nombre premier p, dit module, et un nombre générateur g. Les deux autorités de séquestre Ta et Tb se sont entendues sur ces nombres p et g. La clé secrète Sa de a est un exposant secret a qui est archivé dans Ta et la clé publique de a est Pa=g `. Le certificat Ca contient la clé publique Pa=g `. Il en va de même pour l'entité b : (Sb=P, Pb=gP) .
Pour envoyer un message à l'entité b, l'entité a engendre une clé de session KS et adresse à b # son certificat Ca (qui contient Pa=g `) , # la clé de session chiffrée par un algorithme E utilisant la clé g", (Ega" (KS)) , # le message chiffré par la clé de session KS (EKs (M) ) .
La connaissance par Ta de a et de la clé publique Pb=gp de b permet à Ta de calculer (gp) a=gpa. De même pour Tb qui peut calculer (g `) p=g#p. Ainsi, g `p est-il partagé par a et b.
Chaque autorité Ta ou Tb peut donc retrouver la clé de session (KS) et donc recouvrer le message (M).
Mais, là encore, ce schéma suppose un accord entre les parties.
La présente invention a pour but de remédier à ces inconvénients en proposant un procédé qui ne requiert aucun accord entre les parties communicantes, le recouvrement de la clé de session et du message s'effectuant à partir des seules données échangées dans la communication.
Exposé de l'invention De façon précise, l'invention a pour objet un procédé de communication chiffrée avec séquestre et récupération de clé de chiffrement, mettant en oeuvre - une première entité (a) comprenant des premiers moyens de cryptologie (MCa) et munie d'une première identité (Ida), d'une première clé publique de distribution de clé (Pa) et d'une première clé secrète de distribution de clé (Sa) correspondant à ladite première clé publique (Pa), - une seconde entité (b) comprenant des seconds moyens de cryptologie (MCb) et munie d'une seconde identité (Idb), d'une seconde clé publique de distribution de clé (Pb) et d'une seconde clé secrète de distribution de clé (Sb) correspondant à ladite seconde clé publique (Pb), ce procédé comprenant i) une phase préliminaire d'établissement d'une clé de session (KS) phase dans laquelle l'une au moins des entités (a, b) produit une clé de session (KS) et forme un cryptogramme constitué de cette clé chiffrée par la clé publique (Pb, Pa) de l'autre entité, l'autre entité (b, a) déchiffrant ledit cryptogramme à l'aide de sa clé secrète (Sb, Sa) et recouvrant la clé de session (KS), ii) une phase d'échange de messages (M) dans laquelle les entités (a, b) forment des cryptogrammes EKs(M) constitués par des messages (M) chiffrés par la clé de session (KS) établie dans la phase préliminaire, chaque entité déchiffrant le cryptogramme qu'elle reçoit à l'aide de la clé de session (KS) et recouvrant ainsi le message qui lui a été adressé, ce procédé étant caractérisé par le fait que # il met en oeuvre, en outre, au moins une autorité de séquestre (Ta, Tb) associée à l'une des entités (a, b), cette autorité archivant la clé secrète (Sa, Sb) de l'entité associée (a, b), # dans la phase préliminaire, l'entité (a, b) qui produit la clé de session (KS) met en oeuvre un générateur pseudo-aléatoire (PRGa, PRGb) connu de l'autorité de séquestre (Ta, Tb) associée et initialise ce générateur pseudo-aléatoire à l'aide de sa clé secrète (Sa, Sb) et d'une valeur initiale (VI) déduite, par un algorithme connu de l'autorité de séquestre (Ta, Tb), de données appropriées. Selon un mode de mise en oeuvre, l'autorité de séquestre (Ta, Tb) associée à l'entité (a, b) qui a produit, dans la phase préliminaire, la clé de session (KS), met en oeuvre un générateur pseudo-aléatoire identique à celui de l'entité associée (PRGa, PRGb), initialise ce générateur avec ladite valeur initiale (VI) et la clé secrète (Sa, Sb) de l'entité associée (a, b) qu'elle a archivée, et recouvre ainsi la clé de session (KS).
Selon un autre mode de mise en oeuvre, l'autorité de séquestre (Tb, Ta) associée à l'entité (b, a) qui n'a pas produit, dans la phase préliminaire, la clé de session (KS), déchiffre le cryptogramme de la clé session (Pb(KS), Pa(KS)) à l'aide de la clé secrète (Sb, Sa) de l'entité associée (b, a) qu'elle a archivée et recouvre ainsi la clé de session (KS).
Quant à la valeur initiale VI elle peut soit être déduite des données échangées entre les entités a et b dans la phase préliminaire d'établissement de la clé de session soit être obtenue par essais successifs à partir de données susceptibles de prendre un nombre donné de valeurs, ce nombre étant suffisamment restreint pour que le temps mis par l'autorité de séquestre soit compatible avec l'application envisagée.
Comme indiqué dans l'introduction, l'autorité de séquestre peut être un tiers agréé, ou un administrateur de sécurité d'un réseau d'entreprise, ou l'utilisateur lui-même (le séquestre est alors un "auto-séquestre"). Brève description des dessins - la figure 1, déjà décrite, illustre un procédé connu asymétrique ; - la figure 2, déjà décrite, illustre un procédé commun symétrique ; - la figure 3 illustre schématiquement un procédé selon l'invention.
Description de modes particuliers de mise en oeuvre Le procédé de l'invention peut être décrit en spécifiant d'abord certaines conditions initiales, en précisant ensuite les procédures développées dans le moyen de cryptologie de l'utilisateur et en décrivant enfin la procédure de récupération de la clé.
A. Conditions initiales La clé secrète Sa du système de chiffrement de clés à clé publique utilisé par l'entité a à des fins d'établissement de clés de session est archivée auprès de l'autorité de séquestre Ta. La remise à a, par une autorité de certification AC désignée à l'avance par Ta, d'un certificat Ca attestant de la correspondance entre l'identité Ida de a et la clé publique Pa (par exemple un certificat conforme à la recommandation X509 de l'UIT-T), doit être subordonnée à cet archivage. La possession par a d'un certificat émanant de AC prouve que l'archivage auprès de Ta de la clé secrète Sa correspondant à la clé publique Pa a été effectivement réalisé. En pratique, l'autorité de certification AC et le tiers de séquestre Ta peuvent être un même organisme, ou deux organismes distincts ayant passé un accord. La génération de la clé secrète Sa peut, selon le cas, être effectuée par l'utilisateur a ou par le tiers Ta.
B. Procédures dans le moyen de cryptologie de l'utilisateur On entend par "moyen de cryptologie de a" noté MCa, les ressources logicielles et matérielles mettant en oeuvre les calculs cryptographiques d'établissement d'une clé de session et de chiffrement de a lors d'une communication sécurisée. Par exemple, le logiciel client d'une messagerie sécurisée peut être considéré comme un moyen de cryptologie.
Pour que le moyen de cryptologie MCa de l'utilisateur a soit en conformité avec le service de tiers de séquestre offert par Ta, il doit satisfaire aux conditions suivantes i)L'exécution des fonctions de chiffrement de MCa (établissement d'une clé de session, chiffrement) doit être subordonnée à la présence d'un certificat Ca provenant d'une autorité de certification AC désignée par Ta et de la clé secrète Sa correspondante. Le moyen de chiffrement MCa doit vérifier non seulement que le certificat Ca est valide, mais encore qu'il y a effectivement correspondance entre la clé secrète Sa et la clé publique Pa contenue dans Ta. Ces vérifications sont nécessaires pour avoir l'assurance que le tiers de séquestre Ta est en mesure de recouvrer les clés de session traitées par MCa.
ii)Le procédé de génération de clés mis en oeuvre dans MCa -typiquement l'algorithme de génération de clé utilisé pour générer une clé de session KS lorsque a initie une session sécurisée avec un interlocuteur b- doit être un générateur pseudo- aléatoire GPA connu de Ta, et dont les germes, c'est-à-dire les entrées à partir desquelles les valeurs produites par le générateur sont calculées, sont constitués - de la clé secrète Sa (ou, selon une variante, d'une fonction H(Sa) de cette clé) ; - d'une valeur initiale VI déduite, par un algorithme connu de Ta, de données variables contenues dans la partie non chiffrée des communications entre a et ses interlocuteurs (par exemple la date et l'heure), ou d'un compteur géré à l'intérieur de MCa.
Le générateur pseudo-aléatoire doit satisfaire aux conditions suivantes i)il doit être facile de déduire la valeur de sortie de ce générateur (typiquement la clé de session KS) à partir de Sa (ou de H (Sa) ) et de la valeur initiale VI. Selon un mode de réalisation préféré de l'invention, la taille de la valeur initiale VI peut être limitée entre 20 et 40 bits de taille effective, afin que, lorsque la clé secrète Sa est connue, la récupération de la valeur de sortie du générateur reste possible par recherche exhaustive même lorsque la valeur exacte de VI est perdue, ii)il doit être difficile de prédire une information sur Sa (ou sur H(Sa)) à partir d'un ensemble de valeurs de VI et des valeurs de sortie GPA(Sa, VI) ou GPA(H(Sa), VI) correspondantes, iii) il doit être difficile de prédire une information relative aux sorties GPA(Sa, VI) ou GPA(H (Sa) , VI) pour les différentes valeurs de VI lorsque la valeur de Sa (ou H(Sa)) est inconnue.
C. Procédures de récupération de clé I1 existe deux procédures distinctes pour la récupération de la clé de session KS utilisée pour chiffrer une communication sécurisée entre l'utilisateur a et un correspondant b, par Ta ou une autorité habilitée à accéder au secret Sa archivé par Ta .
i) Si la clé de session KS est produite par b et reçue par a chiffrée à l'aide de la clé publique Pa de a, alors Ta peut recouvrer la clé KS en déchiffrant à l'aide du secret archivé Sa le cryptogramme Pa(KS) transmis dans le protocole de distribution de clé.
ii)Si la clé de session KS est produite dans le moyen de cryptologie MCa de a et envoyée à b chiffrée sous la clé publique Pb de b, alors Ta peut récupérer dans les données échangées en clair entre a et b la valeur d' initialisation VI et reconstituer la valeur de KS à l'aide de VI et de la valeur archivée de Sa, en effectuant le calcul KS=GPA (Sa, VI) ou KS=GPA (H (Sa) , VI) . Dans le cas où VI et le contenu d'un compteur, ou dans le cas où la taille effective de VI est limitée et où, pour une raison quelconque, VI ne peut être récupéré à partir des données en clair, il reste possible pour Ta de récupérer la clé de session KS en procédant à un essai exhaustif des valeurs possibles de VI, et en vérifiant pour chacune si la valeur KS=GPA(Sa, VI) ou KS=GPA(H(Sa), VI) obtenue est la bonne.
En combinant les procédures élémentaires i) et ii) définies ci-dessus, Ta reste capable de recouvrer la clé de session dans le cas où un protocole d'établissement de clé de session plus complexe est utilisé entre a et b. On peut considérer, à titre d'exemple, le protocole suivant : b engendre une valeur secrète KS1 et la transmet à a chiffrée sous la clé publique Pa de a ; a génère une valeur secrète KS2 et la transmet à b chiffrée sous la clé publique Pb de b ; a et b calculent la clé de session KS, égale au OU exclusif des valeurs KS1 et KS2 (KS=Kl XOR K2). Pour un protocole de ce genre, Ta serait capable de recouvrer KS1 en utilisant la procédure i) définie ci-dessus et de retrouver KS2 en utilisant la procédure ii), et donc, à partir de ces deux valeurs, de recouvrer KS.
Le procédé qui vient d'être décrit peut être mis en oeuvre selon des variantes dans lesquelles l'information que constitue la clé secrète Sa n'est pas archivée auprès d'une unique entité Ta, mais fractionnée en "parts" archivées auprès de tiers de séquestre distincts.
Par exemple, la clé secrète Sa de a peut être constituée par un exposant RSA secret d. Ce secret peut être fractionné en deux "parts" dl et d2 telles que dl+d2=d. Deux autorités de séquestre Ta et T'a, respectivement chargées de l'archivage de dl et de d2 (et du module public na de a), sont capables # de vérifier, sans révéler leur part du secret d, qu'elles sont effectivement capables de calculer la fonction secrète associée à la clé Sa ; il suffit pour ce faire que chacune d'entre elles calcule, modulo n, la puissance de la valeur d'entrée déterminée par sa part, puis que les valeurs obtenues soient multipliées entre elles modulo na, # de recouvrer une clé de session KS à partir des données du protocole d'établissement de cette clé (en révélant au besoin à l'autre tiers ou à une autorité d'interception leur part de la clé Sa) .

Claims (12)

REVENDICATIONS
1. Procédé de communication chiffrée avec séquestre et récupération de clé de chiffrement, mettant en oeuvre - une première entité (a) comprenant des premiers moyens de cryptologie (MCa) et munie d'une première identité (Ida), d'une première clé publique de distribution de clé (Pa) et d'une première clé secrète de distribution de clé (Sa) correspondant à ladite première clé publique (Pa), - une seconde entité (b) comprenant des seconds moyens de cryptologie (MCb) et munie d'une seconde identité (Idb), d'une seconde clé publique de distribution de clé (Pb) et d'une seconde clé secrète de distribution de clé (Sb) correspondant à ladite seconde clé publique (Pb), ce procédé comprenant iii) une phase préliminaire d'établissement d'une clé de session (KS) phase dans laquelle l'une au moins des entités (a, b) produit une clé de session (KS) et forme un cryptogramme constitué de cette clé chiffrée par la clé publique (Pb, Pa) de l'autre entité, l'autre entité (b, a) déchiffrant ledit cryptogramme à l'aide de sa clé secrète (Sb, Sa) et recouvrant la clé de session (KS), iv) une phase d'échange de messages (M) dans laquelle les entités (a, b) forment des cryptogrammes EKS(M) constitués par des messages (M) chiffrés par la clé de session (KS) établie dans la phase préliminaire, chaque entité déchiffrant le cryptogramme qu'elle reçoit à l'aide de la clé de session (KS) et recouvrant ainsi le message qui lui a été adressé, ce procédé étant caractérisé par le fait que # il met en oeuvre, en outre, au moins une autorité de séquestre (Ta, Tb) associée à l'une des entités (a, b), cette autorité archivant la clé secrète (Sa, Sb) de l'entité associée (a, b), # dans la phase préliminaire, l'entité (a, b) qui produit la clé de session (KS) met en oeuvre un générateur pseudo-aléatoire (PRGa, PRGb) connu de l'autorité de séquestre (Ta, Tb) associée et initialise ce générateur pseudo-aléatoire à l'aide de sa clé secrète (Sa, Sb) et d'une valeur initiale (VI) déduite, par un algorithme connu de l'autorité de séquestre (Ta, Tb), de données appropriées.
2. Procédé selon la revendication 1, dans lequel l'autorité de séquestre (Ta, Tb) associée à l'entité (a, b) qui a produit, dans la phase préliminaire, la clé de session (KS), met en oeuvre un générateur pseudo- aléatoire identique à celui de l'entité associée (PRGa, PRGb), initialise ce générateur avec ladite valeur initiale (VI) et la clé secrète (Sa, Sb) de l'entité associée (a, b) qu'elle a archivée, et recouvre ainsi la clé de session (KS).
3. Procédé selon la revendication 1, selon lequel l'autorité de séquestre. (Tb, Ta) associée à l'entité (b, a) qui n'a pas produit, dans la phase préliminaire, la clé de session (KS), déchiffre le cryptogramme de la clé session<B>(Pb</B> (KS), Pa(KS)) à l'aide de la clé secrète (Sb, Sa) de l'entité associée (b, a) qu'elle a archivée et recouvre ainsi la clé de session (KS).
4. Procédé selon l'une quelconque des revendications 1 3, dans lequel la valeur initiale (VI) est déduite des données échangées entre les entités (a, b) dans la phase préliminaire d'établissement de la clé de session (KS).
5. Procédé selon la revendication 2, dans lequel l'autorité de séquestre obtient la valeur initiale (VI) par essais exhaustifs à partir de données susceptibles de prendre un nombre restreint de valeurs.
6. Procédé selon la revendication 1, dans lequel le générateur pseudo-aléatoire (PRGa, PRGb) d'une entité (a, b) est initialisé par une fonction à sens unique (H (Sa) , H (Sb) ) de la clé secrète (Sa, Sb) de cette entité (a, b).
7. Procédé selon la revendication 1, dans lequel au moins une première autorité de certification (ACa, ACb) délivre à l'une des entités (a, b) un certificat (C,, Cb) attestant de la correspondance entre l'identité (Ida, Idb) de l'entité et la clé publique de distribution de clé (Pa, Pb) si et seulement si l'archivage de la clé secrète correspondante (Sa, Sb) a bien été effectué auprès de l'autorité de séquestre correspondante (Ta, Tb), la phase préliminaire d'établissement d'une clé de session (KS) et la phase d'échange de messages étant toutes deux subordonnées, dans le moyen de cryptologie (MCa, MCb) à la validité du certificat<B>(CI,</B> Cb) et à la correspondance effective entre la clé publique (Par Pb) contenue dans ce certificat et la clé secrète de distribution (Sa, Sb).
8. Procédé selon la revendication 1, dans lequel, pour au moins l'une des entités (a, b), l'autorité de certification (ACa, ACb) et l'autorité de séquestre associée à cette entité (Ta, Tb) sont réunies en une seule autorité.
9. Procédé selon la revendication 1, dans lequel l'autorité de séquestre (Ta, Tb) est divisée en deux autorités partielles (Tâ , Tâ) (Tb , Tb) archivant chacune une part<B>(S</B>a<B>,</B> Sâ) (Sb, Sb) de la clé secrète de distribution (Sa, Sb), aucune des deux autorités partielles n'étant capable, à elle seule, de reconstituer la clé secrète de distribution (Sa, Sb), mais les deux autorités partielles étant capables, en coopérant, de reconstituer la clé secrète de distribution, les deux autorités partielles étant à même de s'assurer qu'elles détiennent des parts de clé secrète permettant de reconstituer la clé secrète.
10. Procédé selon la revendication 1, dans lequel, dans la phase préliminaire d'établissement d'une clé de session - la première entité produit une première clé de session partielle (KS,) , forme un premier cryptogramme<B>Pb</B> (KSa) de cette première clé de session partielle (KSa) chiffrée sous la clé publique (Pb) de la seconde entité (b), envoie ce premier cryptogramme à la seconde entité (b), - la seconde entité (b) produit une seconde clé de session partielle (KSb), forme un second cryptogramme Pa(KSb) constitué de cette seconde clé de session partielle (KSb) chiffrée sous la clé publique (Pa) de la première entité (a), et envoie ce second cryptogramme à la première entité (a), - les deux entités (b, a) déchiffrent le premier et le second cryptogrammes à l'aide de leur clé secrète (Sb, Sa) retrouvent la première et la seconde clés de session partielle (KS,, KSb) et forment la clé de session (KS) à partir des clés session partielles.
11. Procédé selon la revendication 10, dans lequel les entités (a, b) forment la clé de session (KS) par une opération logique OU exclusif entre la première et la seconde clés de session partielle (KS,, KSb).
12. Procédé selon l'une quelconque des revendications 1 à 11, dans lequel l'autorité de séquestre (Ta, Tb) associée à l'une des entités (a, b) est l'utilisateur de l'entité.
FR0001185A 2000-01-31 2000-01-31 Procede de communication avec sequestre et recuperation de cle de chiffrement Expired - Fee Related FR2804561B1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FR0001185A FR2804561B1 (fr) 2000-01-31 2000-01-31 Procede de communication avec sequestre et recuperation de cle de chiffrement
EP01904002A EP1254534A1 (fr) 2000-01-31 2001-01-30 Procede de communication avec sequestre et recuperation de cle de chiffrement
PCT/FR2001/000285 WO2001056222A1 (fr) 2000-01-31 2001-01-30 Procede de communication avec sequestre et recuperation de cle de chiffrement
JP2001555258A JP2003521197A (ja) 2000-01-31 2001-01-30 鍵暗号化の供託および回復システムによる通信方法
US10/181,598 US20030012387A1 (en) 2000-01-31 2001-01-30 Communication method with encryption key escrow and recovery

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0001185A FR2804561B1 (fr) 2000-01-31 2000-01-31 Procede de communication avec sequestre et recuperation de cle de chiffrement

Publications (2)

Publication Number Publication Date
FR2804561A1 true FR2804561A1 (fr) 2001-08-03
FR2804561B1 FR2804561B1 (fr) 2002-03-01

Family

ID=8846480

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0001185A Expired - Fee Related FR2804561B1 (fr) 2000-01-31 2000-01-31 Procede de communication avec sequestre et recuperation de cle de chiffrement

Country Status (5)

Country Link
US (1) US20030012387A1 (fr)
EP (1) EP1254534A1 (fr)
JP (1) JP2003521197A (fr)
FR (1) FR2804561B1 (fr)
WO (1) WO2001056222A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2943870A1 (fr) * 2009-03-26 2010-10-01 Trustseed Procede et dispositif de chiffrement d'un document
WO2010108994A3 (fr) * 2009-03-26 2010-11-25 Trustseed Procede et dispostif d'archivage d'un document

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2829644A1 (fr) * 2001-09-10 2003-03-14 St Microelectronics Sa Procede securise de transmission de donnees multimedia
GB2376392B (en) * 2001-12-07 2003-05-07 Ericsson Telefon Ab L M Legal interception of IP traffic
GB2390270A (en) * 2002-06-27 2003-12-31 Ericsson Telefon Ab L M Escrowing with an authority only part of the information required to reconstruct a decryption key
US7900051B2 (en) 2002-09-10 2011-03-01 Stmicroelectronics S.A. Secure multimedia data transmission method
US7778422B2 (en) * 2004-02-27 2010-08-17 Microsoft Corporation Security associations for devices
EP1920324A1 (fr) * 2005-08-19 2008-05-14 Nxp B.V. Montage de circuit et procede associe pour l'application d'une operation non dans un calcul cryptographique
US8418235B2 (en) * 2006-11-15 2013-04-09 Research In Motion Limited Client credential based secure session authentication method and apparatus
KR20080084480A (ko) * 2007-03-16 2008-09-19 삼성전자주식회사 매개 모듈을 이용한 디바이스간의 상호 인증 방법 및 그시스템
US7864960B2 (en) * 2007-05-31 2011-01-04 Novell, Inc. Techniques for securing content in an untrusted environment
JP5273963B2 (ja) * 2007-07-23 2013-08-28 修 亀田 擬似乱数の生成方法及び装置、並びに擬似乱数を用いた暗号化方法及び装置
JP5139028B2 (ja) * 2007-10-24 2013-02-06 エイチジーエスティーネザーランドビーブイ コンテンツデータ管理システム及び方法
US8769288B2 (en) * 2011-04-22 2014-07-01 Alcatel Lucent Discovery of security associations
CN104393989A (zh) * 2014-10-30 2015-03-04 北京神州泰岳软件股份有限公司 一种密钥协商方法及装置
CN104735085A (zh) * 2015-04-15 2015-06-24 上海汉邦京泰数码技术有限公司 一种终端双因子安全登录防护方法
CN112004027A (zh) * 2015-09-07 2020-11-27 索尼公司 成像设备、其控制方法和程序
CN107704749A (zh) * 2017-10-25 2018-02-16 深圳竹云科技有限公司 基于U盾验证算法的Windows系统安全登录方法
SG10201801094VA (en) 2018-02-08 2019-09-27 Huawei Int Pte Ltd System and method for computing an escrow session key and a private session key for encoding digital communications between two devices
JP7469164B2 (ja) 2020-06-26 2024-04-16 川崎重工業株式会社 積付用ロボットハンド、ロボット及び物品保持方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5438622A (en) * 1994-01-21 1995-08-01 Apple Computer, Inc. Method and apparatus for improving the security of an electronic codebook encryption scheme utilizing an offset in the pseudorandom sequence

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5315658B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
HU216231B (hu) * 1994-01-13 1999-05-28 Certco, Llc Eljárás titkosított kommunikáció létrehozására
US5557765A (en) * 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for data recovery
US5633929A (en) * 1995-09-15 1997-05-27 Rsa Data Security, Inc Cryptographic key escrow system having reduced vulnerability to harvesting attacks
US5631961A (en) * 1995-09-15 1997-05-20 The United States Of America As Represented By The Director Of The National Security Agency Device for and method of cryptography that allows third party access
US5937066A (en) * 1996-10-02 1999-08-10 International Business Machines Corporation Two-phase cryptographic key recovery system
US6483920B2 (en) * 1996-12-04 2002-11-19 Bull, S.A. Key recovery process used for strong encryption of messages
US5920630A (en) * 1997-02-25 1999-07-06 United States Of America Method of public key cryptography that includes key escrow
US6058188A (en) * 1997-07-24 2000-05-02 International Business Machines Corporation Method and apparatus for interoperable validation of key recovery information in a cryptographic system
US6151395A (en) * 1997-12-04 2000-11-21 Cisco Technology, Inc. System and method for regenerating secret keys in diffie-hellman communication sessions
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5438622A (en) * 1994-01-21 1995-08-01 Apple Computer, Inc. Method and apparatus for improving the security of an electronic codebook encryption scheme utilizing an offset in the pseudorandom sequence

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CLARK A J: "Key Recovery -- Why, How, Who?", COMPUTERS & SECURITY. INTERNATIONAL JOURNAL DEVOTED TO THE STUDY OF TECHNICAL AND FINANCIAL ASPECTS OF COMPUTER SECURITY,NL,ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, vol. 16, no. 8, 1997, pages 669 - 674, XP004101383, ISSN: 0167-4048 *
MENEZES ET AL.: "HANDBOOK OF APPLIED CRYPTOGRAPHY", 1997, CRC PRESS, BOCA RATON, XP002153192 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2943870A1 (fr) * 2009-03-26 2010-10-01 Trustseed Procede et dispositif de chiffrement d'un document
WO2010108994A3 (fr) * 2009-03-26 2010-11-25 Trustseed Procede et dispostif d'archivage d'un document

Also Published As

Publication number Publication date
JP2003521197A (ja) 2003-07-08
US20030012387A1 (en) 2003-01-16
FR2804561B1 (fr) 2002-03-01
WO2001056222A1 (fr) 2001-08-02
EP1254534A1 (fr) 2002-11-06

Similar Documents

Publication Publication Date Title
FR2804561A1 (fr) Procede de communication avec sequestre et recuperation de cle de chiffrement
EP3010177B1 (fr) Procédé d&#39;authentification d&#39;un dispositif client auprès d&#39;un serveur à l&#39;aide d&#39;un élément secret
EP3506556B1 (fr) Méthode d&#39;échange de clés authentifié par chaine de blocs
US7760883B2 (en) Any-point-to-any-point (AP2AP) quantum key distribution protocol for optical ring network
EP1305948B1 (fr) Methode de distribution securisee de donnees numeriques representatives d&#39;un contenu multimedia
EP2892176A2 (fr) Procédé de conversion d&#39;un contenu a accès conditionnel et récepteur pour la mise en oeuvre de ce procédé
EP1151576B1 (fr) Procede cryptographique a cles publique et privee
EP2484084B1 (fr) Procédé et dispositifs de communications securisées contre les attaques par innondation et denis de service (dos) dans un réseau de télécommunications
FR2916592A1 (fr) Procede de securisation d&#39;echange d&#39;information,dispositif, et produit programme d&#39;ordinateur correspondant
CA2444422A1 (fr) Procede pour une communication securisee entre deux dispositifs
EP3391585A1 (fr) Procede de securisation d&#39;un enregistrement de contenu multimedia dans un support de stockage
EP2211497A1 (fr) Procédé d&#39;établissement de communication sécurisée sans partage d&#39;information préalable
WO2009027447A2 (fr) Procede de distribution de cles cryptographiques dans un reseau de communication
WO2012069747A1 (fr) Procede et systeme d&#39;acces conditionnel a un contenu numerique, terminal et dispositif d&#39;abonne associes
KR20060078768A (ko) 사용자 개인키의 분산 등록을 이용한 키 복구 시스템 및그 방법
FR2899750A1 (fr) Procede et terminal pour securiser la generation d&#39;une cle de chiffrement
FR2923968A1 (fr) Procede de partage d&#39;un secret fort entre deux parties dont l&#39;une dispose de peu de puissance de traitement.
EP1032158B1 (fr) Circuit et procédé pour la sécurisation d&#39;un coprocesseur dédié à la cryptographie
EP2652899A2 (fr) Procédé et système d&#39;accès conditionnel à un contenu numérique, terminal et dispositif d&#39;abonné associés
EP1642413B1 (fr) Procede de chiffrement/dechiffrement d un message et disposi tif associe
WO2023057649A1 (fr) Procédé de génération d&#39;un nombre pseudo-aléatoire et procédé de chiffrement symétrique d&#39;un message
FR2786049A1 (fr) Procede de cryptographie a cle dynamique
WO2023046557A1 (fr) Système et méthode de génération de clé secrète sûre
FR2892251A1 (fr) Procede cryptographique mettant en oeuvre un systeme de chiffrement base sur l&#39;identite
Christianson et al. Vintage bit cryptography

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20081029