FR2930831A1 - Systeme d'information comportant des donnees sensibles et procede de protection de ces donnees sensibles dans la memoire de ses equipements - Google Patents

Systeme d'information comportant des donnees sensibles et procede de protection de ces donnees sensibles dans la memoire de ses equipements Download PDF

Info

Publication number
FR2930831A1
FR2930831A1 FR0802468A FR0802468A FR2930831A1 FR 2930831 A1 FR2930831 A1 FR 2930831A1 FR 0802468 A FR0802468 A FR 0802468A FR 0802468 A FR0802468 A FR 0802468A FR 2930831 A1 FR2930831 A1 FR 2930831A1
Authority
FR
France
Prior art keywords
equipment
key
server
sensitive data
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR0802468A
Other languages
English (en)
Inventor
Denis Ratier
Athis Thierry D
Philippe Dailly
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR0802468A priority Critical patent/FR2930831A1/fr
Priority to PCT/EP2009/055401 priority patent/WO2009135831A1/fr
Publication of FR2930831A1 publication Critical patent/FR2930831A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention s'applique à des équipements montés sur un support fixe ou à des équipements connectés en permanence à un hôte distant et protège l'équipement de toute utilisation de ses données sensibles en dehors de son contexte d'utilisation.Le système gère données sensibles (7). Il comporte des moyens de cryptage et de décryptage (2, 6, 8) de ces données sensibles, et il comporte :- au moins un équipement client (1) chargé de d'utiliser ces données sensibles (7), ledit équipement client (1) comprenant une mémoire volatile (8) mémorisant au moins un secret (5, K) pour crypter et décrypter les données sensibles ;- au moins un équipement serveur (2) distant de l'équipement client (1) mémorisant un secret (5) pour générer le secret (5, K) contenu dans l'équipement serveur (1) dans la phase d'initialisation de ce dernier ;- une voie de communication (20) entre l'équipement client (1) et l'équipement serveur (2), l'équipement serveur transmettant par cette voie à l'équipement client les données pour générer le secret (5, K) lors de la phase d'initialisation.L'invention s'applique notamment pour sécuriser les transactions électroniques entre des cartes comportant des valeurs numériques, par exemple des titres de transport, et un terminal de paiement ou de validation.

Description

Système d'information comportant des données sensibles et procédé de protection de ces données sensibles dans la mémoire de ses équipements
La présente invention concerne tout système d'information comportant des données sensibles. Elle concerne également un procédé de protection de ces données sensibles dans la mémoire de ses équipements.
L'invention s'applique notamment à des équipements montés sur un support fixe ou à des équipements connectés en permanence à un hôte distant. L'invention protége l'équipement de toute utilisation de ses données sensibles en dehors de son contexte d'utilisation, ce qui peut être précieux lors d'opérations de maintenance, ou lorsque l'équipement est dérobé à des fins malveillantes.
Le développement des transactions en tous genres, notamment électroniques, rend de plus en plus nécessaire la protection de données sensibles utilisées aux fins de ces transactions. A titre d'exemple, dans le domaine de la billettique, pour les titres de transport notamment, des secrets sont utilisés pour protéger les transactions. A cet effet, un terminal de billettique comporte un secret qui est un jeu de clés de chiffrement cryptographique permettant de chiffrer des données et en particulier les transactions avec un titre de transport, par exemple une carte à puce. Grâce à un tel système de cryptage, les transactions entre un utilisateur et un terminal de billettique peuvent être effectuées en toute sécurité. Puisqu'il contient des secrets, un terminal est ainsi un point faible dans une chaîne de création de valeurs numériques puisque, par exemple, il peut être dérobé et ses secrets exploités malicieusement. II y a donc un besoin de protection d'équipements de billettique contre toute utilisation frauduleuse de ses données sensibles en dehors de leur contexte normal d'utilisation. L'accès à ces données sensibles peut avoir lieu lors d'opérations de maintenance ou encore lorsque les équipements sont dérobés à des fins malveillantes par exemple.
Des solutions sont connues pour assurer la protection des données sensibles dans un contexte frauduleux. Cependant, ces solutions restent insatisfaisantes dans certains cas. Dans une première solution, un module de sécurité matériel connu sous l'acronyme SAM (Security Access Module) est utilisé pour stocker les secrets. Ce module étant la pièce sensible, il convient de le protéger en limitant l'utilisation par un serveur de plafonds. L'équipement hôte doit se connecter périodiquement pour recharger son module de sécurité afin de pouvoir effectuer des opérations créant de la valeur dans la limite de son nouveau plafond autorisé. Un inconvénient est que cette solution fait appel à un serveur distant nécessitant des moyens de communications onéreux et complexes à mettre en oeuvre et à tester. II peut aussi y avoir un problème de disponibilité en cas de panne du serveur. Enfin si on vole un équipement contrôlé par ce type de solution, celui-ci peut toujours être utilisé jusqu'à l'atteinte du plafond. Dans une autre solution, une protection logicielle est utilisée où le logiciel de protection limite la fonction de création de valeur lorsque l'équipement n'est plus dans son contexte d'utilisation normal. Cette solution peut être défaillante, en particulier lorsque des fraudeurs sont en mesure de simuler un contexte d'utilisation normale. Par ailleurs, les données sensibles et notamment les secrets ne sont plus proétgés matériellement et sont accessibles et utilisables à des fins frauduleuses.
Un but de l'invention est notamment de permettre une protection fiable des données sensibles mémorisées dans des équipements. A cet effet, l'invention a pour objet un système d'information comportant des moyens de cryptage et de décryptage de données sensibles, le système comportant : au moins un équipement client utilisant les données sensibles, ledit équipement client comprenant une mémoire volatile (8) mémorisant au moins un secret pour crypter et décrypter les données sensibles ; - au moins un équipement serveur distant de l'équipement client mémorisant un secret pour générer le secret contenu dans l'équipement serveur dans la phase d'initialisation de ce dernier ; - une voie de communication entre l'équipement client et l'équipement serveur, l'équipement serveur transmettant par cette voie à l'équipement client les données pour générer le secret lors de la phase d'initialisation. Le secret stocké dans la mémoire volatile est par exemple le secret mémorisé dans l'équipement serveur, ledit secret étant transmis par l'équipement serveur à l'équipement client lors de la phase d'initialisation. Un équipement client comporte par exemple une clé d'authentification pour s'authentifier auprès de l'équipement serveur, l'équipement client transmettant des données sensibles qu'il reçoit au serveur après que ce dernier a authentifié l'équipement client, les données sensibles étant cryptées ou décryptées dans l'équipement serveur, l'équipement serveur comportant une clé d'authentification pour effectuer une authentification mutuelle avec un équipement client, durant l'authentification mutuelle, une clé de session commune étant créée pour crypter les échanges de données entre l'équipement serveur et l'équipement client, ce dernier décryptant les données par l'équipement serveur, la clé de session de l'équipement client étant un secret stocké dans sa mémoire volatile. Un équipement client peut générer un secret sous forme de clé jetable pour crypter ou décrypter les données sensibles, ladite clé jetable étant stockée dans la mémoire volatile, l'équipement client transmettant la clé jetable à l'équipement serveur qui la mémorise, l'équipement serveur transmettant la dernière clé jetable mémorisée à l'équipement client lors d'une phase d'initialisation, l'équipement client cryptant et décryptant les données sensibles au moyen de sa clé jetable. Les étapes de création d'une clé jetable peuvent être les suivantes : génération par un équipement client d'une clé jetable KS_1 qui est mémorisée dans la mémoire volatile ; - transmission de ladite clé Ks_1 à l'équipement serveur ; - cryptage et stockage des données sensibles à l'aide de ladite clé Ks_1 ; dans une phase d'initialisation, transmission par le serveur de ladite clé KS_1 à l'équipement client qui la mémorise dans sa mémoire volatile ; décryptage des données sensibles à l'aide de ladite clé Ks_1 ; génération par l'équipement client d'une nouvelle clé Ks, puis transmission de ladite clé KS au serveur ; suppression de la clé Ks_1 après l'acquittement de réception de la nouvelle clé KS par le serveur ; cryptage et décryptage des données sensibles avec ladite clé K. La phase d'initialisation suit par exemple une destruction des données dans 5 la mémoire volatile. Ainsi phase d'initialisation peut suivre une coupure d'alimentation électrique de l'équipement client. L'équipement client stocke par exemple les données sensibles dans une mémoire non volatile. 10 Les données sensibles sont par exemple les clés d'accès d'un titre de transport. L'équipement client est par exemple un valideur de titre de transport. Le système comporte par exemple un équipement client et un équipement serveur, ce dernier étant disposé dans un socle relié à l'équipement client 15 par une colonne de communication, ladite colonne comportant la voie de communication. La ligne d'alimentation électrique reliant l'équipement client à une source d'alimentation électrique passe par exemple par le socle et la colonne.
20 L'invention a également pour objet un procédé de protection de données sensibles dans la mémoire d'un équipement comportant des moyens de cryptage et de décryptage de ces données sensibles, ledit procédé utilisant un secret déporté et : ledit équipement client comprenant une mémoire volatile mémorisant 25 au moins un secret pour crypter et décrypter les données sensibles ; au moins un équipement serveur distant dudit équipement mémorisant un secret pour générer le secret contenu dans l'équipement dans la phase d'initialisation de ce dernier, l'équipement serveur transmettant les données pour générer le secret lors de la phase d'initialisation. 30
D'autres caractéristiques et avantages de l'invention apparaîtront à l'aide de la description qui suit faite en regard de dessins annexés qui représentent : la figure 1, un exemple de réalisation possible d'un système selon 35 l'invention ; la figure 2, le principe de fonction dans un autre mode de réalisation possible d'un système selon l'invention.
La figure 1 illustre un exemple de réalisation possible d'un système selon l'invention. Cet exemple, ainsi que la suite de la description, est basée sur un terminal de validation de titres de transport. L'invention peut bien sûr s'appliquer à d'autres types d'équipements. Le dispositif comporte un terminal 1 et un serveur 2 distant. Dans l'exemple de la figure 1, le terminal est un terminal de validation d'un titre de transport que l'on appellera par la suite valideur. Le serveur 2 est par exemple situé dans un socle 3 situé par exemple sous un plancher, d'un bus ou d'un bâtiment notamment. Une colonne de communication 4 relie le valideur 1 au serveur 2, cette colonne peut avoir la forme d'un pied supportant le valideur, ou simplement relié à ce dernier sans fonction particulier de support. Dans ce dernier cas, le valideur peut être fixé à une autre structure, une paroi notamment. Le serveur 2 contient un ou plusieurs secrets 5. Comme indiqué précédent un tel secret permet au valideur 1 de décrypter les données sensibles 7 stockées sous forme cryptée dans sa mémoire reprogrammable 10. Ces données ne sont autres que les clés permettant de dérouler des algorithmes d'accès sécurisé avec un titre de transport. Selon l'invention, les données sensibles sont ensuite rendues disponibles dans une mémoire volatile 8 implantée elle aussi dans le valideur 1. Cette mémoire volatile n'est active que lorsqu'elle est alimentée en énergie électrique, c'est-à-dire que ses données disparaissent dès que son alimentation électrique est coupée. En particulier le ou les secrets mémorisés disparaissent et ne sont donc plus accessibles en cas de coupure, ce qui rend inopérant le vol d'un tel équipement. Ainsi tout usage frauduleux des secrets par vol ou par accès non autorisé est impossible puisque ces derniers ont disparu. A chaque démarrage, ou remise en service, une mise sous tension est réalisée où le dispositif selon l'invention exécute une phase d'initialisation reconstituant les secrets dans la mémoire volatile 8 afin que le processeur 6 de l'équipement reconstitue les secrets ( données sensibles 7 ) lui permettant d'exécuter les transactions. A cet effet, à la mise sous tension le processeur 6 du valideur 1 accède en lecture au secret 5 contenu dans le serveur 2 via la colonne de communication 4. Pour cela cette colonne comporte par exemple un bus de communication 20 reliant le processeur 6 au serveur 2, et plus particulièrement à la mémoire contenant le secret 5. Ce secret 5 est contenu dans une mémoire du serveur non volatile, c'est-à-dire une mémoire permanente où les données restent inscrites y compris en absence d'alimentation électrique. Le serveur 2 comporte par ailleurs des composants classiques lui permettant de s'interfacer et de dialoguer avec le bus de communication.
Après la mise sous tension, le secret 5 stocké en permanence dans le serveur est recopié 9 dans la mémoire volatile, le temps de la période d'utilisation qui suit. A l'inverse, en présence de données sensibles à protéger, saisies ou reçues par le terminal 1, le processeur 6 utilise le secret hébergé dans sa mémoire volatile 8. Le cryptogramme obtenu peut alors être écrit en mémoire reprogrammable 10, donc non volatile, pour sauvegarde et réutilisation ultérieure. En cas de coupure d'alimentation, après rétablissement, le processeur 6 du terminal ne peut déchiffrer 11 le cryptogramme contenu dans sa mémoire reprogrammable 10 et retrouver ses données sensibles que s'il connaît le secret 5. La phase d'initialisation doit alors être de nouveau exécutée pour recopier le secret 5 dans la mémoire volatile 8 du terminal 1. Cette phase de réinitialisation où l'on recopie le secret 5 dans la mémoire volatile 8 n'est possible que si le terminal 1 peut accéder au serveur 2.
Des variantes de réalisation d'un dispositif selon l'invention sont possibles. Le secret 5 peut par exemple être attribué selon les besoins, par équipement ou terminal 1, par catégorie de terminal, pour l'ensemble des équipements en opération à l'exclusion des ateliers de maintenance, qui ont leurs propres secrets dédiés, ou encore selon n'importe qu'elle partition pertinente. Dans ce dernier cas, il est possible de découper le secret en un nombre n de parties et le mémoriser dans plusieurs dispositifs du type de celui de la figure 1. Le secret est alors distribué entre plusieurs dispositifs. Dans l'exemple d'un bus articulé le secret peut être distribué entre plusieurs dispositifs selon une loi de répartition prédéfinie. Le secret est distribué dans les serveurs 2, chacun à l'intérieur d'un socle par exemple, répartis dans le bus.
La figure 2 présente le principe de fonctionnement d'une variante de 5 réalisation possible. Le secret 5 n'est plus hébergé dans la mémoire du serveur 2 localisé dans le socle 3, mais réside dans un module de sécurité 24 d'un équipement hôte. Comme dans l'exemple de réalisation précédent, le serveur 2 peut être partagé entre plusieurs terminaux 1, ou équipements client. Le cryptage et le 10 décryptage des données ne sont plus effectués dans le terminal 1 mais dans le serveur. La transmission des données sensibles doit alors être sécurisée entre le terminal et le serveur. Des clés d'authentification peuvent être nécessaires pour permettre une authentification mutuelle entre les deux équipements 1, 2. Une clé de session est par ailleurs nécessaire au terminal 15 1 pour déchiffrer les données transmises par le serveur. Cette clé de session est stockée dans la mémoire volatile 8 du terminal. Ainsi, à la mise sous tension lors d'une phase d'initialisation, l'équipement client 1 s'authentifie mutuellement 21 avec l'équipement serveur 2 en utilisant une clé d'authentification, symétrique ou asymétrique. Une clé de 20 session commune est créée durant cette phase d'initialisation permettant le chiffrement des futurs échanges ou transactions, afin de protéger la liaison entre équipements clients et le serveur 2. A la mise sous tension de l'équipement client il y a création de la clé de session à partir d'un secret partagé qui est la clé d'authentification. Ainsi en 25 présence de données sensibles à protéger, saisies ou reçues, l'équipement client 1 chiffre ces données avec la clé de session 25 et les adresse 22 à l'équipement serveur 2. L'équipement serveur déchiffre ces données en utilisant la clé de session puis le chiffre avec le secret 5. Ce secret peut être éventuellement une clé diversifiée par équipement pour limiter le nombre de 30 clés dans le module de sécurité. Dans le cas d'une clé diversifiée, on génère une nouvelle clé à partir d'une clé existante. Le cryptogramme ainsi créé est envoyé 23 à l'équipement client 1. Ce cryptogramme peut alors être écrit dans la mémoire reprogrammable 10 de l'équipement pour sauvegarde et utilisation ultérieure. Le cryptogramme est chiffré avec le secret 5 et ne peut être utilisé que si décrypté par le serveur 2 qui est le seul à connaître le secret 5. En cas de coupure d'alimentation, après rétablissement, l'équipement client 1 ne peut retrouver ses données sensibles qu'après s'être correctement authentifié avec l'équipement serveur 2. L'équipement client 1 envoie le cryptogramme qu'il a stocké précédemment à l'équipement serveur 2 qui le déchiffre avec le secret 5 correspondant à l'équipement client, et le re-chiffre avec la clé de session, pour les envoyer à l'équipement client 1. Ce dernier peut enfin retrouver ses données sensibles en les déchiffrant avec la clé de session. Dans cette variante le secret peut ainsi être stocké sur un ou plusieurs serveurs comportant la clé d'authentification. A la mise sous tension d'un équipement client, il y a création de la clé de session puis envoi du secret chiffré avec la clé de session, cette clé de session étant créée à partir d'un secret partagé qui est la clé d'authentification.
Une autre variante de réalisation est possible lorsque les données sensibles sont d'un volume trop important pour supporter des chiffrements, transmissions et déchiffrement en nombres, compte-tenu des performances matérielles et des délais d'établissement ou de sauvegarde. Alors que dans la variante de réalisation précédente, les données sensibles sont transmises à l'équipement serveur 2 qui crypte ou décrypte les données sensibles au moyen du secret 5 qu'il mémorise, dans cette variante de réalisation les données sensibles ne sont pas transmises à l'équipement serveur et le cryptage et le décryptage est effectué dans l'équipement serveur 1, au moyen d'une clé jetable. Dans ce mode de réalisation, l'équipement client procède donc à un tirage aléatoire d'une clé jetable K, chiffre ses données sensibles avec cette clé K et sauvegarde le volumineux cryptogramme obtenu dans sa mémoire reprogrammable 10. En cas de coupure d'alimentation électrique, après rétablissement de cette alimentation, l'équipement client ne peut retrouver ses données sensibles qu'après avoir reçu sa clé jetable K initiale de l'équipement serveur. Dès remise sous-tension de l'équipement client, ce dernier envoie une requête à l'équipement serveur qui transmet la clé K.
Les étapes du processus répartissent dans une phase de préparation et une phase d'exploitation. La phase de préparation comporte les étapes suivantes : génération par un équipement client 1 d'une clé jetable Ks_1 qui est stockée dans la mémoire volatile 8 ; transmission de la clé KS_I, stockée dans la mémoire volatile 8, à l'équipement serveur 2 ; chiffrement des données sensibles à l'aide de la clé Ks_1 et stockage en mémoire non volatile; ~o en cas de déconnexion de l'équipement client 1, la clé KS_1 est détruite dans la mémoire volatile ; A la suite de cette déconnexion, lorsque l'équipement client est connecté et authentifié à nouveau, la phase d'exploitation est exécutée selon les étapes suivantes : 15 - transmission par le serveur 2 de la clé Kg_1 à l'équipement client ; déchiffrement des données sensibles à l'aide de la clé KS_1 ; puis éventuellement : génération d'une clé Ks, puis transmission de la clé KS au serveur ; suppression de la clé KS_1 après l'acquittement de réception de la 20 nouvelle clé KS par le serveur ; chiffrement des données sensibles avec la clé KS et stockage en mémoire non volatile. Ce processus est réalisé de nouveau pour la génération d'une autre clé jetable KS+1. 25 30

Claims (13)

  1. REVENDICATIONS1. Système d'information comportant des moyens de cryptage et de décryptage (2, 6, 8) de données sensibles, caractérisé en ce qu'il comporte : au moins un équipement client (1) utilisant les données sensibles (7), ledit équipement client (1) comprenant une mémoire volatile (8) mémorisant au moins un secret (5, K) pour crypter et décrypter les données sensibles ; au moins un équipement serveur (2) distant de l'équipement client (1) mémorisant un secret (5) pour générer le secret (5, K) contenu dans l'équipement serveur (1) dans la phase d'initialisation de ce dernier ; - une voie de communication (20) entre l'équipement client (1) et l'équipement serveur (2), l'équipement serveur transmettant par cette voie à l'équipement client les données pour générer le secret (5, K) lors de la phase d'initialisation.
  2. 2. Système selon la revendication 1, caractérisé en ce que le secret (5, K) stocké dans la mémoire volatile (8) est le secret (5, K) mémorisé dans l'équipement serveur (2), ledit secret étant transmis par l'équipement serveur à l'équipement client lors de la phase d'initialisation.
  3. 3. Système selon l'une quelconque des revendications précédentes, caractérisé en ce qu'un équipement client (1) comporte une clé d'authentification (25) pour s'authentifier auprès de l'équipement serveur (2), l'équipement client transmettant des données sensibles qu'il reçoit au serveur après que ce dernier a authentifié l'équipement client (1), les données sensibles étant cryptées ou décryptées dans l'équipement serveur (2), l'équipement serveur (2) comportant une clé d'authentification (24) pour effectuer une authentification mutuelle avec un équipement client (1), durant l'authentification mutuelle, une clé de session commune étant créée pour crypter les échanges de données entre l'équipement serveur (2) et l'équipement client (1), ce dernier décryptant les données par l'équipement serveur (2), la clé de session de l'équipement client étant un secret stocké dans sa mémoire volatile (8).
  4. 4. Système selon l'une quelconque des revendications précédentes, caractérisé en ce qu'un équipement client (1) génère un secret sous forme de clé jetable (K) pour crypter ou décrypter les données sensibles, ladite clé jetable étant stockée dans la mémoire volatile (8), l'équipement client transmettant la clé jetable à l'équipement serveur (2) qui la mémorise, l'équipement serveur (2) transmettant la dernière clé jetable (K) mémorisée à l'équipement client (1) lors d'une phase d'initialisation, l'équipement client cryptant et décryptant les données sensibles au moyen de sa clé jetable (K).
  5. 5. Système selon la revendication précédente, caractérisé en ce que les étapes de création d'une clé jetable sont les suivantes : génération par un équipement client (1) d'une clé jetable Ks_1 qui est mémorisée dans la mémoire volatile (8) ; transmission de ladite clé Ks_1 à l'équipement serveur (2) ; cryptage et stockage des données sensibles (7) à l'aide de ladite clé KS-1 dans une phase d'initialisation, transmission par le serveur (2) de ladite clé Ks_1 à l'équipement client (1) qui la mémorise dans sa mémoire volatile (8) ; décryptage des données sensibles à l'aide de ladite clé Ks_1 ; génération par l'équipement client (1) d'une nouvelle clé Ks, puis transmission de ladite clé Ks au serveur ; - suppression de la clé Ks_1 après l'acquittement de réception de la nouvelle clé Ks par le serveur ; cryptage et décryptage des données sensibles avec ladite clé Ks.
  6. 6. Système selon l'une quelconque des revendications précédentes, caractérisé en ce que la phase d'initialisation suit une destruction des données dans la mémoire volatile (8).
  7. 7. Système selon la revendication 6, caractérisé en ce que la phase d'initialisation suit une coupure d'alimentation électrique de l'équipement client (1).30
  8. 8. Système selon l'une quelconque des revendications précédentes, caractérisé en ce que l'équipement client (1) stocke les données sensibles dans une mémoire non volatile (10).
  9. 9. Système selon l'une quelconque des revendications précédentes, caractérisé en ce que les données sensibles (7) sont les clés d'accès d'un titre de transport.
  10. 10. Système selon la revendication 9, caractérisé en ce que l'équipement 10 client (1) est un valideur de titre de transport.
  11. 11. Système selon l'une quelconque des revendications 9 ou 10, caractérisé en ce qu'il comporte un équipement client (1) et un équipement serveur (2), ce dernier étant disposé dans un socle (3) relié à l'équipement client par une 15 colonne de communication (4), ladite colonne comportant la voie de communication (20) .
  12. 12. Système selon la revendication 11, caractérisé en ce que la ligne d'alimentation électrique (12) reliant l'équipement client (1) à une source 20 d'alimentation électrique (19) passe par le socle (4) et la colonne (4).
  13. 13 Procédé de protection de données sensibles (7) dans la mémoire d'un équipement (1) comportant des moyens de cryptage et de décryptage (2, 6, 8) de ces données sensibles caractérisé en ce que ledit procédé utilise un 25 secret déporté (5, K) : ledit équipement client comprenant une mémoire volatile (8) mémorisant au moins un secret (5, K) pour crypter et décrypter les données sensibles (7) ; au moins un équipement serveur (2) distant dudit équipement (1) 30 mémorisant un secret (5) pour générer le secret (5, K) contenu dans l'équipement (1) dans la phase d'initialisation de ce dernier, l'équipement serveur transmettant les données pour générer le secret (5, K) lors de la phase d'initialisation.14. Procédé selon la revendication 13, caractérisé en ce que le secret (5, K) stocké dans la mémoire volatile (8) est le secret (5, K) mémorisé dans l'équipement serveur (2), ledit secret étant transmis par l'équipement serveur à l'équipement (1) lors de la phase d'initialisation. 15. Procédé selon l'une quelconque des revendications 13 ou 14, caractérisé en ce que l'équipement (1) comporte une clé d'authentification (25) pour s'authentifier auprès de l'équipement serveur (2), l'équipement (1) transmettant des données sensibles qu'il reçoit au serveur après que ce dernier a authentifié l'équipement (1), les données sensibles étant cryptées ou décryptées dans l'équipement serveur (2), l'équipement serveur (2) comporte un clé d'authentification (24) pour effectuer une authentification mutuelle avec l'équipement (1), durant l'authentification mutuelle, une clé de session commune étant créée pour crypter les échanges de données entre l'équipement serveur (2) et l'équipement (1), ce dernier décryptant les données par l'équipement serveur (2), la clé de session de l'équipement étant un secret stocké dans sa mémoire volatile (8). 16. Procédé selon l'une quelconque des revendications 13 à 15, caractérisé en ce que l'équipement (1) génère un secret sous forme de clé jetable (K) pour crypter ou décrypter les données sensibles, ladite clé jetable étant stockée dans la mémoire volatile (8), l'équipement (1) transmettant la clé jetable à l'équipement serveur (2) qui la mémorise, l'équipement serveur (2) transmettant la dernière clé jetable (K) mémorisée à l'équipement (1) lors d'une phase d'initialisation, l'équipement (1) cryptant et décryptant les données sensibles au moyen de sa clé jetable (K). 17. Procédé selon la revendication 13 à 16, caractérisé en ce que les étapes de création d'une clé jetable sont les suivantes : génération par l'équipement (1) d'une clé jetable Ks_1 qui est mémorisée dans la mémoire volatile (8) ; transmission de ladite clé Ks_1 à l'équipement serveur (2) ; cryptage et stockage des données sensibles (7) à l'aide de ladite clé Ks_1 ;dans une phase d'initialisation, transmission par le serveur (2) de ladite clé KS_1 à l'équipement (1) qui la mémorise dans sa mémoire volatile (8) ; décryptage des données sensibles à l'aide de ladite clé Ks_1 ; génération par l'équipement (1) d'une nouvelle clé KS, puis transmission de ladite clé KS au serveur ; suppression de la clé KS_1 après l'acquittement de réception de la nouvelle clé KS par le serveur ; cryptage et décryptage des données sensibles avec ladite clé KS. 18. Procédé selon l'une quelconque des revendications 13 à 16, caractérisé en ce que la phase d'initialisation suit une destruction des données dans la mémoire volatile (8). 19. Procédé selon la revendication 18, caractérisé en ce que la phase d'initialisation suit une coupure d'alimentation électrique de l'équipement (1).20
FR0802468A 2008-05-05 2008-05-05 Systeme d'information comportant des donnees sensibles et procede de protection de ces donnees sensibles dans la memoire de ses equipements Withdrawn FR2930831A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0802468A FR2930831A1 (fr) 2008-05-05 2008-05-05 Systeme d'information comportant des donnees sensibles et procede de protection de ces donnees sensibles dans la memoire de ses equipements
PCT/EP2009/055401 WO2009135831A1 (fr) 2008-05-05 2009-05-05 Systeme d'information comportant des donnees sensibles et procede de protection de ces donnees sensibles dans la memoire de ses equipements

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0802468A FR2930831A1 (fr) 2008-05-05 2008-05-05 Systeme d'information comportant des donnees sensibles et procede de protection de ces donnees sensibles dans la memoire de ses equipements

Publications (1)

Publication Number Publication Date
FR2930831A1 true FR2930831A1 (fr) 2009-11-06

Family

ID=39967711

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0802468A Withdrawn FR2930831A1 (fr) 2008-05-05 2008-05-05 Systeme d'information comportant des donnees sensibles et procede de protection de ces donnees sensibles dans la memoire de ses equipements

Country Status (2)

Country Link
FR (1) FR2930831A1 (fr)
WO (1) WO2009135831A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0809379A2 (fr) * 1996-05-22 1997-11-26 Matsushita Electric Industrial Co., Ltd. Dispositif d'authentification selon le principe challenge-réponse
WO2001013569A1 (fr) * 1999-08-17 2001-02-22 Tegaron Telematics Gmbh Procede de transmission codee de donnees entre deux instances d'un systeme de communication numerique
US20070266444A1 (en) * 2004-12-03 2007-11-15 Moshe Segal Method and System for Securing Data Stored in a Storage Device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7793110B2 (en) * 2006-05-24 2010-09-07 Palo Alto Research Center Incorporated Posture-based data protection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0809379A2 (fr) * 1996-05-22 1997-11-26 Matsushita Electric Industrial Co., Ltd. Dispositif d'authentification selon le principe challenge-réponse
WO2001013569A1 (fr) * 1999-08-17 2001-02-22 Tegaron Telematics Gmbh Procede de transmission codee de donnees entre deux instances d'un systeme de communication numerique
US20070266444A1 (en) * 2004-12-03 2007-11-15 Moshe Segal Method and System for Securing Data Stored in a Storage Device

Also Published As

Publication number Publication date
WO2009135831A1 (fr) 2009-11-12

Similar Documents

Publication Publication Date Title
EP1529369B1 (fr) Proc d d' change s curis d'informations entre deux dispositifs
EP1687953B1 (fr) Méthode d'authentification d'applications
EP1903746B1 (fr) Procédé de sécurisation de sessions entre un terminal radio et un équipement dans un réseau
US20130227286A1 (en) Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
US8904195B1 (en) Methods and systems for secure communications between client applications and secure elements in mobile devices
WO2016164275A1 (fr) Système de sécurité destiné à la communication de données comprenant la gestion de clés et la confidentialité
EP3446436B1 (fr) Procédé d'obtention par un terminal mobile d'un jeton de sécurité
US20030210791A1 (en) Key management
FR3006082A1 (fr) Procede de mise en œuvre d'un droit sur un contenu
FR2999319A1 (fr) Procede et systeme de gestion d'un element securise integre ese
WO2006106250A1 (fr) Communication securisee entre un dispositif de traitement de donnees et un module de securite
FR3066666A1 (fr) Procede de securisation d'une communication sans gestion d'etats
WO2016207715A1 (fr) Gestion securisee de jetons électroniques dans un telephone mobile.
EP1413088B1 (fr) Methode pour creer un reseau virtuel prive utilisant un reseau public
EP3327607B1 (fr) Procede de verification de donnees
EP3758322A1 (fr) Procédé et système de génération de clés de chiffrement pour données de transaction ou de connexion
EP3667530B1 (fr) Accès sécurise à des données chiffrées d'un terminal utilisateur
FR2930831A1 (fr) Systeme d'information comportant des donnees sensibles et procede de protection de ces donnees sensibles dans la memoire de ses equipements
EP3889809A1 (fr) Protection d'un logiciel secret et de données confidentielles dans une enclave sécurisée
WO2004084525A2 (fr) Procede de protection d’un terminal de telecommunication de type telephone mobile
WO2006072746A1 (fr) Procede de securisation d’une communication entre une carte sim et un terminal mobile
EP3059896A1 (fr) Méthode d'appariement entre une unité multimédia et au moins un opérateur, unité multimédia, opérateur et entité de personnalisation pour la mise en uvre cette méthode
WO2017077211A1 (fr) Communication entre deux éléments de sécurité insérés dans deux objets communicants
FR2908194A1 (fr) Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable
EP1040620A1 (fr) Procede de securisation de la transmission d'un message d'un dispositif emetteur a un dispositif recepteur

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20120131