FR3131997A1 - Procédés sécurisés de chiffrement et de déchiffrement de données numériques et logiciel mettant en œuvre ces procédés - Google Patents

Procédés sécurisés de chiffrement et de déchiffrement de données numériques et logiciel mettant en œuvre ces procédés Download PDF

Info

Publication number
FR3131997A1
FR3131997A1 FR2200374A FR2200374A FR3131997A1 FR 3131997 A1 FR3131997 A1 FR 3131997A1 FR 2200374 A FR2200374 A FR 2200374A FR 2200374 A FR2200374 A FR 2200374A FR 3131997 A1 FR3131997 A1 FR 3131997A1
Authority
FR
France
Prior art keywords
key
user
collective
private key
calculation device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2200374A
Other languages
English (en)
Inventor
Joffrey NURIT
Jonathan MORET
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Merox
Original Assignee
Merox
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Merox filed Critical Merox
Priority to FR2200374A priority Critical patent/FR3131997A1/fr
Publication of FR3131997A1 publication Critical patent/FR3131997A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

TITRE DE L’INVENTION : PROCÉDÉS SÉCURISÉS DE CHIFFREMENT ET DE DÉCHIFFREMENT DE DONNÉES NUMÉRIQUES ET LOGICIEL METTANT EN ŒUVRE CES PROCÉDÉS Le procédé (100) sécurisé de chiffrement de données numériques, comporte :- une étape (105) de génération d’une paire asymétrique et collective de clés cryptographiques, dites clé publique et clé privée,- une étape (110) primaire de création d’au moins un compte utilisateur associant un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,- pour au moins un utilisateur :- une étape (115) de chiffrement symétrique de la clé privée collective par la clé d’authentification associée à l’identifiant dudit utilisateur et- une étape (120) de stockage, dans une mémoire informatique accessible par ledit utilisateur, de la clé privée collective chiffrée de manière symétrique, ladite clé privée étant configurée pour être mise en œuvre au cours d’une étape ultérieure de déchiffrement, par un dispositif électronique de calcul, d’une information numérique chiffrée par la clé publique collective. Figure pour l’abrégé : Figure 1

Description

PROCÉDÉS SÉCURISÉS DE CHIFFREMENT ET DE DÉCHIFFREMENT DE DONNÉES NUMÉRIQUES ET LOGICIEL METTANT EN ŒUVRE CES PROCÉDÉS Domaine technique de l’invention
La présente invention vise un procédé sécurisé de chiffrement de données numériques, un procédé sécurisé de déchiffrement de données numériques et un logiciel mettant en œuvre de tels procédés. Elle s’applique, notamment, au domaine de la sécurité informatique.
 État de la technique
Dans le domaine de la sécurité informatique, on connaît le principe de mise en œuvre de clés dites asymétriques, c’est-à-dire comportant une clé de chiffrement publique et une clé de chiffrement privée. La clé de chiffrement privée est mise en œuvre pour déchiffrer des informations numériques chiffrées par la clé de chiffrement publique. La clé de chiffrement publique permet de vérifier la signature de la clé de chiffrement privée pour une information numérique chiffrée par la clé privée.
La mise en œuvre d’un tel principe est confrontée à la difficulté de sécuriser le stockage de la clé privée. En effet, si une telle clé est stockée et librement accessible, alors le bénéfice de l’utilisation de ce principe est perdu. Il résulte donc de cette contrainte la nécessité pour les organisations de mettre en œuvre une politique de stockage sécurisée.
Par ailleurs, si un ensemble de telles clés est stocké de manière centralisée, notamment pour le compte d’une entité tierce, la sécurité de ladite entité peut être compromise par utilisation malveillante du tiers en charge de ce stockage.
Il n’existe donc pas, aujourd’hui, de solution permettant de sécuriser le stockage de clés privées permettant le chiffrement et le déchiffrement sécurisé d’informations numériques.
 Présentation de l’invention
La présente invention vise à remédier à tout ou partie de ces inconvénients.
À cet effet, selon un premier aspect, la présente invention vise un procédé sécurisé de chiffrement de données numériques, qui comporte :
- une étape de génération, par un dispositif électronique de calcul, d’une paire asymétrique et collective de clés cryptographiques, dites clé publique et clé privée,
- une étape primaire de création, par un dispositif électronique de calcul, d’au moins un compte utilisateur associant un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
- pour au moins un utilisateur :
- une étape de chiffrement symétrique, par un dispositif électronique de calcul, de la clé privée collective par la clé d’authentification associée à l’identifiant dudit utilisateur et
- une étape de stockage, dans une mémoire informatique accessible par ledit utilisateur, de la clé privée collective chiffrée de manière symétrique, ladite clé privée étant configurée pour être mise en œuvre au cours d’une étape ultérieure de déchiffrement, par un dispositif électronique de calcul, d’une information numérique chiffrée par la clé publique collective.
Grâce à ces dispositions, la clé privée est elle-même chiffrée et chiffrée de sorte que seul un utilisateur ayant un compte dans un système informatique soit capable de la déchiffrer. Ceci permet, notamment, pour un tiers administrateur de maintenir le système informatique de chiffrement sans avoir d’accès direct aux clés stockées pour le compte d’entités tierces (« tenant », en anglais).
Dans des modes de réalisation optionnels, le procédé objet de la présente invention comporte une étape de chiffrement, par un dispositif électronique de calcul, d’une information numérique par la clé publique collective.
Dans des modes de réalisation optionnels, le procédé objet de la présente invention comporte, en aval de l’étape de stockage de la clé privée collective chiffrée de manière symétrique dans une mémoire informatique, une étape d’oubli de la clé privée collective non chiffrée.
Ces dispositions permettent d’effacer la clé privée collective non chiffrée de l’ensemble des mémoires informatiques d’une architecture réseau donnée, de sorte qu’il ne reste plus que la clé privée stockée dans sa forme chiffrée. Ceci limite les risques de sécurité liée à l’utilisation malveillante de la clé privée.
Dans des modes de réalisation optionnels, le procédé objet de la présente invention comporte :
- une étape de connexion, par un dispositif électronique de calcul, d’un compte utilisateur créé au cours d’une étape de création préalable, en fonction d’un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
- au moins une étape secondaire de création, par un dispositif électronique de calcul associé à un compte utilisateur connecté, d’un compte utilisateur associant un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
- une étape de déchiffrement, par un dispositif électronique de calcul associé à un compte utilisateur créé au cours d’une étape de création préalable, de la clé privée collective chiffrée en fonction de la clé d’authentification associée au dit utilisateur,
- une étape de chiffrement symétrique, par un dispositif électronique de calcul, de la clé privée collective par la clé d’authentification associée à l’identifiant d’utilisateur créé au cours de l’étape de création secondaire,
- une étape de stockage, dans une mémoire informatique accessible pour un utilisateur par la mise de l’identifiant dudit utilisateur créé au cours de l’étape de création secondaire et de la clé d’authentification associée au dit identifiant, de la clé privée collective chiffrée de manière symétrique et
- une étape d’oubli de la clé privée collective déchiffrée.
Ces modes de réalisations permettent d’ajouter un utilisateur au système tout en conservant la fonctionnalité de stockage de la clé privée uniquement sous forme chiffrée.
Dans des modes de réalisation optionnels, le procédé objet de la présente invention comporte :
- une étape de réception, par un dispositif électronique de calcul, d’une information numérique à chiffrer,
- une étape de génération, par un dispositif électronique de calcul, d’une clé aléatoire et symétrique de chiffrement,
- une étape de chiffrement, par un dispositif électronique de calcul, de l’information numérique reçue par la clé aléatoire et symétrique de chiffrement,
- une étape de stockage, dans une mémoire informatique, de l’information numérique chiffrée,
- une étape de chiffrement, par un dispositif électronique de calcul, de la clé aléatoire et symétrique de chiffrement par la clé publique collective et
- une étape de stockage, dans une mémoire informatique, de la clé aléatoire chiffrée.
Ces modes de réalisation permettent le chiffrement de message reçu avec une clé dont l’accès est limité aux utilisateurs d’un système informatique donné, tout en bénéficiant des avantages mentionnés plus haut.
Dans des modes de réalisation optionnels, le procédé objet de la présente invention comporte, en aval de l’étape de stockage de la clé aléatoire chiffrée, une étape d’oubli de la clé aléatoire non chiffrée.
Ces dispositions permettent d’effacer la clé aléatoire non chiffrée de l’ensemble des mémoires informatiques d’une architecture réseau donnée, de sorte qu’il ne reste plus que la clé aléatoire stockée dans sa forme chiffrée. Ceci limite les risques de sécurité liée à l’utilisation malveillante de la clé aléatoire.
Dans des modes de réalisation optionnels, une information numérique chiffrée est une information de type DMARC.
Ces dispositions permettent de chiffrer des rapports de type analyse d’erreurs dans les transmissions de message dont certaines informations peuvent être confidentielles.
Dans des modes de réalisation optionnels, une information numérique chiffrée est une information représentative d’adresse de destinataire de rapports d’échecs.
Ces dispositions permettent de chiffrer des rapports de type analyse d’erreurs dans les transmissions de message dont certaines informations peuvent être confidentielles.
Selon un deuxième aspect, la présente invention vise un procédé sécurisé de déchiffrement de données numériques, qui comporte :
- une étape de mise en œuvre du procédé sécurisé de chiffrement de données numériques, objet de la présente invention, pour chiffrer une information numérique,
- une étape de mise en œuvre d’un moyen d’authentification pour obtenir une clé d’authentification associée à un identifiant d’utilisateur,
- une étape de déchiffrement de la clé privée collective en fonction de la clé d’authentification obtenue et
- une étape de déchiffrement de l’information numérique en fonction de la clé privée déchiffrée.
Les avantages du procédé de déchiffrement sont similaires à ceux du procédé de chiffrement objet de la présente invention.
Dans des modes de réalisation optionnels, le procédé objet de la présente invention comporte, en aval de l’étape de déchiffrement de la clé privée collective, une étape de déchiffrement de la clé aléatoire de chiffrement en fonction de la clé privée déchiffrée, l’étape de déchiffrement de l’information numérique étant réalisée en fonction de clé aléatoire déchiffrée.
Ces modes de réalisations permettent de mettre en œuvre la clé aléatoire de chiffrement uniquement pour des utilisateurs enregistrés dans le système informatique réalisant le procédé.
Selon un troisième aspect, la présente invention vise un logiciel comportant des instructions informatiques, l’exécution desdites instructions mettant en œuvre un procédé objet de la présente invention.
Les avantages du logiciel sont similaires à ceux des procédés objets de la présente invention.
 Brève description des figures
D’autres avantages, buts et caractéristiques particulières de l’invention ressortiront de la description non limitative qui suit d’au moins un mode de réalisation particulier des procédés objets de la présente invention, en regard des dessins annexés, dans lesquels :
représente, schématiquement et sous forme d’un logigramme, une succession d’étapes particulière du procédé de chiffrement objet de la présente invention et
représente, schématiquement et sous forme d’un logigramme, une succession d’étapes particulière du procédé de déchiffrement objet de la présente invention.
La présente description est donnée à titre non limitatif, chaque caractéristique d’un mode de réalisation pouvant être combinée à toute autre caractéristique de tout autre mode de réalisation de manière avantageuse.
Comme on le comprend à la lecture de la présente description, divers concepts inventifs peuvent être mis en œuvre par une ou plusieurs méthodes ou dispositifs décrits ci-après, dont plusieurs exemples sont ici fournis. Les actions ou étapes réalisées dans le cadre de la réalisation du procédé ou du dispositif peuvent être ordonnées de toute manière appropriée. En conséquence, il est possible de construire des modes de réalisation dans lesquels les actions ou étapes sont exécutées dans un ordre différent de celui illustré, ce qui peut inclure l’exécution de certains actes simultanément, même s’ils sont présentés comme des actes séquentiels dans les modes de réalisation illustrés.
L’expression « et/ou », telle qu’elle est utilisée dans le présent document et dans les revendications, doit être comprise comme signifiant « l’un ou l’autre ou les deux » des éléments ainsi conjoints, c’est-à-dire des éléments qui sont présents de manière conjonctive dans certains cas et de manière disjonctive dans d’autres cas. Les éléments multiples énumérés avec « et/ou » doivent être interprétés de la même manière, c’est-à-dire « un ou plusieurs » des éléments ainsi conjoints. D’autres éléments peuvent éventuellement être présents, autres que les éléments spécifiquement identifiés par la clause « et/ou », qu’ils soient liés ou non à ces éléments spécifiquement identifiés. Ainsi, à titre d’exemple non limitatif, une référence à « A et/ou B », lorsqu’elle est utilisée conjointement avec un langage ouvert tel que « comprenant » peut se référer, dans un mode de réalisation, à A seulement (incluant éventuellement des éléments autres que B) ; dans un autre mode de réalisation, à B seulement (incluant éventuellement des éléments autres que A) ; dans un autre mode de réalisation encore, à A et B (incluant éventuellement d’autres éléments) ; etc.
Tel qu’utilisé ici dans la description et dans les revendications, « ou » doit être compris comme ayant la même signification que « et/ou » tel que défini ci-dessus. Par exemple, lorsqu’on sépare des éléments dans une liste, « ou » ou « et/ou » doit être interprété comme étant inclusif, c’est-à-dire l’inclusion d’au moins un, mais aussi de plus d’un, d’un nombre ou d’une liste d’éléments, et, facultativement, d’éléments supplémentaires non listés. Seuls les termes indiquant clairement le contraire, tels que « un seul des » ou « exactement un des », ou, lorsqu’ils sont utilisés dans les revendications, « consistant en », font référence à l’inclusion d’un seul élément d’un nombre ou d’une liste d’éléments. En général, le terme « ou » tel qu’il est utilisé ici ne doit être interprété comme indiquant des alternatives exclusives (c’est-à-dire « l’un ou l’autre mais pas les deux ») que lorsqu’il est précédé de termes d’exclusivité, tels que « soit », « l’un de », « un seul de » ou « exactement un de ».
Telle qu’elle est utilisée dans la présente description et dans les revendications, l’expression « au moins un », en référence à une liste d’un ou de plusieurs éléments, doit être comprise comme signifiant au moins un élément choisi parmi un ou plusieurs éléments de la liste d’éléments, mais n’incluant pas nécessairement au moins un de chaque élément spécifiquement énuméré dans la liste d’éléments et n’excluant pas toute combinaison d’éléments dans la liste d’éléments. Cette définition permet également la présence facultative d’éléments autres que les éléments spécifiquement identifiés dans la liste des éléments auxquels l’expression « au moins un » fait référence, qu’ils soient liés ou non à ces éléments spécifiquement identifiés. Ainsi, à titre d’exemple non limitatif, « au moins l’un de A et B » (ou, de manière équivalente, « au moins l’un de A ou B », ou, de manière équivalente, « au moins l’un de A et/ou B ») peut se référer, dans un mode de réalisation, à au moins un, incluant éventuellement plus d’un, A, sans B présent (et incluant éventuellement des éléments autres que B) ; dans un autre mode de réalisation, à au moins un, comprenant éventuellement plus d’un, B, sans A présent (et comprenant éventuellement des éléments autres que A) ; dans encore un autre mode de réalisation, à au moins un, comprenant éventuellement plus d’un, A, et au moins un, comprenant éventuellement plus d’un, B (et comprenant éventuellement d’autres éléments) ; etc.
Dans les revendications, ainsi que dans la description ci-dessous, toutes les expressions transitoires telles que « comprenant », « incluant », « portant », « ayant », « contenant », « impliquant », « tenant », « composé de », et autres, doivent être comprises comme étant ouvertes, c’est-à-dire comme signifiant incluant mais non limité à. Seules les expressions transitoires « consistant en » et « consistant essentiellement en » doivent être comprises comme des expressions transitoires fermées ou semi-fermées, respectivement.
On appelle « clé collective » une clé de chiffrement dont l’accès peut être accordé à un ou plusieurs utilisateurs.
On appelle « dispositif électronique de calcul » tout dispositif de calcul électronique, unitaire ou distribué, capable de recevoir des entrées numériques et de fournir des sorties numériques par et vers toute sorte d’interfaces numériques. Typiquement, un dispositif de calcul désigne soit un ordinateur exécutant un logiciel ayant accès à un stockage de données, soit une architecture client-serveur dans laquelle les données et/ou au moins une partie des calculs sont effectués côté serveur tandis que le côté client sert d’interface.
On appelle « moyen d’entrée » tout dispositif permettant la transmission d’informations vers un système informatique. Un tel moyen d’entrée est, par exemple, un clavier, une souris et/ou un écran tactile adapté pour interagir avec un système informatique de manière à recueillir une saisie de l’utilisateur. Dans des variantes, le moyen d’entrée est de nature logique, tel un port réseau d’un système informatique configuré pour recevoir une commande de saisie transmise électroniquement. Un tel moyen d’entrée peut être associé à une interface graphique utilisateur (« GUI », pour « Graphic User Interface ») présentée à un utilisateur ou à une interface de programmation d’application (« API » pour « Application Programing Interface »). Dans d’autres variantes, le moyen d’entrée peut être un capteur configuré pour mesurer un paramètre physique spécifié pertinent pour le cas d’utilisation prévu.
On appelle « mémoire informatique » toute mémoire, centralisée ou décentralisée, locale ou distante (par exemple sur le nuage), vive, morte, volatile, flash ou virtuelle.
On appelle « information numérique » toute chaine de symboles, tels des caractères alphanumériques, des octets ou des bits, susceptibles d’être mis en œuvre par un système informatique. Une telle information numérique peut correspondre à un fichier de texte ou à un fichier d’image, par exemple.
Dans des modes de réalisations particuliers, une information numérique à chiffrer est une information correspondant à l’un des champs de la spécification DMARC (pour « Domain-based Message Authentication, Reporting and Conformance », traduit par authentification, rapport et conformité des messages basés sur des domaines).
Dans des modes de réalisations particuliers, une information numérique à chiffrer est une information représentative d’adresse de destinataire de rapports d’échecs. Une telle information correspond, par exemple, au champ RUF dans la spécification DMARC.
On note dès à présent que les figures ne sont pas à l’échelle.
Comme on le comprend à la lecture de la présente description, le procédé objet de la présente invention comporte :
- une étape initiale de création de compte client et
- au moins une étape ultérieure de création de compte utilisateur pour un compte client donné, pouvant être réalisée de manière concomitante à l’étape initiale de création de compte client ou bien ultérieurement.
On observe, sur la , qui n’est pas à l’échelle, une vue schématique d’un mode de réalisation du procédé 100 objet de la présente invention. Ce procédé 100 sécurisé de chiffrement de données numériques comporte :
- une étape 105 de génération, par un dispositif électronique de calcul, d’une paire asymétrique et collective de clés cryptographiques, dites clé publique et clé privée,
- une étape 110 primaire de création, par un dispositif électronique de calcul, d’au moins un compte utilisateur associant un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
- pour au moins un utilisateur :
- une étape 115 de chiffrement symétrique, par un dispositif électronique de calcul, de la clé privée collective par la clé d’authentification associée à l’identifiant dudit utilisateur et
- une étape120 de stockage, dans une mémoire informatique accessible par ledit utilisateur, de la clé privée collective chiffrée de manière symétrique, ladite clé privée étant configurée pour être mise en œuvre au cours d’une étape ultérieure de déchiffrement, par un dispositif électronique de calcul, d’une information numérique chiffrée par la clé publique collective.
L’étape 105 de génération peut être réalisée de manière unique pour une organisation à sécuriser.
L’étape 105 de génération met en œuvre, par exemple, un algorithme de cryptographie asymétrique de type RSA (pour « Rivest, Shamir et Adleman »). À l’issue de cette étape 105 de génération, une clé publique et une clé privée, complémentaires, sont obtenues.
Le déclenchement de l’étape 105 de génération est réalisé, par exemple, de manière manuelle, automatique ou semi-automatique. Par exemple, ce déclenchement correspond à l’exécution d’un script informatique ou à l’activation d’un bouton sur une interface utilisateur.
La clé publique peut être stockée en clair dans une mémoire informatique au cours d’une étape de stockage (non représentée) dédiée.
Initialement, la clé privée est temporairement stockée en vue du chiffrement de cette clé privée. Obtenir le chiffrement de la clé privée nécessite la création d’au moins un compte utilisateur.
L’étape 110 primaire de création d’un compte utilisateur est réalisée, par exemple, de manière manuelle, automatique ou semi-automatique. Par exemple, cette étape 110 primaire de création correspond à l’exécution d’un script informatique ou à l’activation d’un bouton sur une interface utilisateur. Typiquement, cette étape 110 primaire de création met en œuvre une interface administrateur d’une architecture informatique disposant des droits informatiques nécessaires pour la création de nouveaux utilisateurs.
Un compte utilisateur est associé à au moins un identifiant d’utilisateur, tel un nom d’utilisateur ou une adresse de courriel, et à au moins une clé d’authentification, tel un mot de passe.
Le moyen d’authentification mis en œuvre pour générer la clé d’authentification initiale peut être un script informatique ou un champ de saisie sur une interface administrateur, par exemple. Ultérieurement, ce moyen d’authentification peut être un script informatique ou un champ de saisie sur une interface utilisateur, par exemple. La clé d’authentification peut être une clé composite, associant plusieurs clés et plusieurs moyens d’authentification.
L’étape 115 de chiffrement symétrique met en œuvre, par exemple, un algorithme cryptographique de type AES (pour « Advances Encryption Standard », traduit par norme de chiffrement avancé). Au cours de cette étape 115 de chiffrement, la clé privée est chiffrée en fonction de la clé d’authentification associée au compte utilisateur. Ceci implique que le chiffrement de cette clé est différent d’un compte utilisateur à un autre pour peu que ces comptes aient des clés d’authentification distinctes.
L’étape 120 de stockage est réalisée selon les particularités de l’architecture informatique mise en œuvre au cours de l’implémentation du procédé objet de la présente invention. Par exemple, au cours de l’étape 120 de stockage, la clé privée chiffrée est stockée dans une base de données associée à un serveur informatique accessible depuis un terminal informatique à disposition d’un utilisateur associé à un compte utilisateur donné.
Dans des modes de réalisation optionnels préférentiels, le procédé 100 objet de la présente invention comporte, en aval de l’étape 120 de stockage de la clé privée collective chiffrée de manière symétrique dans une mémoire informatique, une étape 130 d’oubli de la clé privée collective non chiffrée.
L’étape 130 d’oubli peut être active ou passive et correspond à l’effacement de la clé privée dans une forme non chiffrée d’au moins une mémoire stockant, de manière temporaire ou pérenne, la clé privée dans une forme non chiffrée. Préférentiellement, l’étape 130 d’oubli correspond à l’effacement dans l’ensemble des mémoires stockant la clé privée dans une forme non chiffrée. L’étape d’oubli 130 est réalisée, par exemple, lors de la déconnexion de l’utilisateur, que ce soit automatique (temps passé sans utiliser la plateforme) ou manuelle (fonction « se déconnecter »)
Ainsi, comme on le comprend, dans de tels modes de réalisation, l’ajout d’utilisateurs ultérieurement à l’étape générale d’initialisation, correspondant à la réalisation d’au moins une étape 105 de génération et d’au moins une étape 110 de création d’au moins un compte utilisateur, doit être réalisée de manière différente puisque la clé privée n’est plus directement accessible.
Dans des modes de réalisation optionnels préférentiels, le procédé 100 objet de la présente invention comporte :
- une étape de connexion 134, par un dispositif électronique de calcul, d’un compte utilisateur créé au cours d’une étape de création préalable, en fonction d’un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
- au moins une étape 135 secondaire de création, par un dispositif électronique de calcul associé à un compte utilisateur connecté, d’un compte utilisateur associant un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
- une étape 140 de déchiffrement, par un dispositif électronique de calcul associé à un compte utilisateur créé au cours d’une étape de création préalable, de la clé privée collective chiffrée en fonction de la clé d’authentification associée au dit utilisateur,
- une étape 145 de chiffrement symétrique, par un dispositif électronique de calcul, de la clé privée collective par la clé d’authentification associée à l’identifiant d’utilisateur créé au cours de l’étape de création secondaire,
- une étape 150 de stockage, dans une mémoire informatique accessible pour un utilisateur par la mise de l’identifiant dudit utilisateur créé au cours de l’étape de création secondaire et de la clé d’authentification associée au dit identifiant, de la clé privée collective chiffrée de manière symétrique et
- une étape 155 d’oubli de la clé privée collective déchiffrée.
L‘étape 134 de connexion est mise en œuvre, par exemple, par la mise en œuvre d’un moyen de saisie d’un identifiant d’utilisateur et d’une clé d’authentification, telle une interface utilisateur d’un service informatique d’authentification par exemple. Au cours de cette étape 134 de connexion, un utilisateur associé à une entité (« tenant », en anglais), créée lors de l’initialisation du procédé 100 par la création du premier compte utilisateur, a la capacité d’ajouter des utilisateurs à l’entité.
Les étapes 135 secondaire de création, 145 de chiffrement, 150 de stockage et 155 d’oubli sont réalisées, par exemple, de manière similaire aux étapes 110 primaire de création, 115 de chiffrement, 120 de stockage et 130 d’oubli.
L’étape 140 de déchiffrement est réalisée, par exemple, en réalisant un algorithme de déchiffrement symétrique mettant en œuvre la norme AES de sorte, à partir de la clé privée chiffrée, d’obtenir la clé privée déchiffrée au niveau d’un compte utilisateur réalisant l’étape 135 secondaire de création. La clé, déchiffrée pour un premier compte utilisateur, est ensuite chiffrée de nouveau pour le deuxième compte utilisateur créé au cours de l’étape 135 secondaire de création et en fonction de la clé d’authentification associée à ce deuxième compte utilisateur.
Dans des modes de réalisations particuliers, le procédé 100 comporte une étape 125 de chiffrement, par un dispositif électronique de calcul, d’une information numérique par la clé publique collective.
L’étape 125 de chiffrement est réalisée, par exemple, par la mise en œuvre de la clé publique dans l’algorithme de chiffrement RSA avec pour cible de chiffrement l’information numérique.
L’information numérique peut être stockée dans une mémoire informatique au cours d’une étape de stockage (non représentée) dédiée.
Dans des modes de réalisation du procédé 100 plus complexes, le procédé 100 objet de la présente invention comporte :
- une étape 160 de réception, par un dispositif électronique de calcul, d’une information numérique à chiffrer,
- une étape 165 de génération, par un dispositif électronique de calcul, d’une clé aléatoire et symétrique de chiffrement,
- une étape 170 de chiffrement, par un dispositif électronique de calcul, de l’information numérique reçue par la clé aléatoire et symétrique de chiffrement,
- une étape 175 de stockage, dans une mémoire informatique, de l’information numérique chiffrée,
- une étape 180 de chiffrement, par un dispositif électronique de calcul, de la clé aléatoire et symétrique de chiffrement par la clé publique collective et
- une étape 185 de stockage, dans une mémoire informatique, de la clé aléatoire chiffrée.
L’étape 160 de réception est réalisée, par exemple, par la mise en œuvre d’un réseau de données, tel internet par exemple. Un tel réseau de données permet l’échange d’informations numériques et permet donc la réception, par le dispositif électronique de calcul, d’une information numérique devant être chiffrée. Cette information numérique peut comporter une commande de chiffrement ou présenter des caractéristiques, déterminées par le dispositif électronique de calcul, entraînant son chiffrement. Alternativement, un utilisateur peut sélectionner manuellement les informations numériques à chiffrer depuis une interface utilisateur.
L’étape 165 de génération est réalisée, par exemple, par l’exécution d’un algorithme de génération d’une clé de chiffrement symétrique, de type AES par exemple, à partir d’une chaine de caractère aléatoire (« seed », en anglais).
L’étape 170 de chiffrement est réalisée, par exemple, de manière analogue à l’étape 115 de chiffrement.
L’étape 175 de stockage est réalisée, par exemple, de manière analogue à l’étape 125 de stockage.
L’étape 180 de chiffrement est réalisée, par exemple, par la mise en œuvre de l’algorithme de chiffrement RSA en chiffrant la clé aléatoire en fonction de la clé publique générée au cours de l’étape 105 de génération.
L’étape 185 de stockage est réalisée, par exemple, de manière analogue à l’étape 125 de stockage.
Dans des modes de réalisations particuliers, le procédé 100 objet de la présente invention comporte, en aval de l’étape 185 de stockage de la clé aléatoire chiffrée, une étape 190 d’oubli de la clé aléatoire non chiffrée.
L’étape 190 d’oubli est réalisée, par exemple, de manière analogue à l’étape 130 d’oubli.
On observe, en , schématiquement, un mode de réalisation particulier du procédé 200 objet de la présente invention. Ce procédé 200 sécurisé de déchiffrement de données numériques comporte :
- une étape 205 de mise en œuvre du procédé sécurisé de chiffrement de données numériques, tel que décrit en regard de la , pour chiffrer une information numérique,
- une étape 210 de mise en œuvre d’un moyen d’authentification pour obtenir une clé d’authentification associée à un identifiant d’utilisateur,
- une étape 215 de déchiffrement, par un dispositif électronique de calcul, de la clé privée collective en fonction de la clé d’authentification obtenue et
- une étape 220 de déchiffrement, par un dispositif électronique de calcul, de l’information numérique en fonction de la clé privée déchiffrée.
L’étape 205 de mise en œuvre, ainsi que plusieurs variantes, est décrite en regard de la .
L’étape 210 de mise en œuvre d’un moyen d’authentification dépend du moyen d’authentification mis en œuvre. Par exemple, cette étape 210 peut mettre en œuvre un champ de saisie dans une interface utilisateur pour qu’un utilisateur y saisisse un mot de passe, le mot de passe constituant la clé d’authentification.
L’étape 215 de déchiffrement est réalisée, par exemple, de manière analogue à l’étape 140 de déchiffrement.
L’étape 220 de déchiffrement est réalisée, par exemple, par la mise en œuvre d’un algorithme de déchiffrement RSA, dans lequel l’information numérique est déchiffrée en fonction de la clé privée.
Dans des modes de réalisation optionnels, le procédé 200 objet de la présente invention comporte, en aval de l’étape 215 de déchiffrement de la clé privée collective, une étape 225 de déchiffrement de la clé aléatoire de chiffrement en fonction de la clé privée déchiffrée, l’étape 220 de déchiffrement de l’information numérique étant réalisée en fonction de clé aléatoire déchiffrée.
L’étape 225 de déchiffrement est réalisée, par exemple, par la mise en œuvre d’un algorithme de déchiffrement RSA, dans lequel la clé aléatoire est déchiffrée en fonction de la clé privée.
La clé aléatoire est alors mise en œuvre au cours de l’étape 220 de déchiffrement, dont le fonctionnement est alors analogue à l’étape 140 de déchiffrement.
Comme on le comprend, la présente invention vise également un logiciel comportant des instructions informatiques, dont l’exécution instructions met en œuvre un procédé de chiffrement et/ou de déchiffrement objet de la présente invention.
Comme on le comprend, la présente invention vise également un système sécurisé de chiffrement de données numériques, qui comporte :
- un moyen de génération, par un dispositif électronique de calcul, d’une paire asymétrique et collective de clés cryptographiques, dites clé publique et clé privée,
- un moyen primaire de création, par un dispositif électronique de calcul, d’au moins un compte utilisateur associant un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
- pour au moins un utilisateur :
- un moyen de chiffrement symétrique, par un dispositif électronique de calcul, de la clé privée collective par la clé d’authentification associée à l’identifiant dudit utilisateur et
- un moyen de stockage, dans une mémoire informatique accessible par ledit utilisateur, de la clé privée collective chiffrée de manière symétrique et
- un moyen de chiffrement, par un dispositif électronique de calcul, d’une information numérique par la clé publique collective.
Différentes manières de réaliser d’un tel système sont présentées en regard de la . Un tel système peut mettre en œuvre n’importe quel mode de réalisation et n’importe quelle variante présentée en regard du procédé 100 de chiffrement objet de la présente invention.
Comme on le comprend, la présente invention vise également un procédé sécurisé de déchiffrement de données numériques, qui comporte :
- un moyen de mise en œuvre du système sécurisé de chiffrement de données numériques pour chiffrer une information numérique,
- un moyen de mise en œuvre d’un moyen d’authentification pour obtenir une clé d’authentification associée à un identifiant d’utilisateur,
- un moyen de déchiffrement de la clé privée collective, par un dispositif électronique de calcul, en fonction de la clé d’authentification obtenue et
- un moyen de déchiffrement de l’information numérique, par un dispositif électronique de calcul, en fonction de la clé privée déchiffrée.
Différentes manières de réaliser d’un tel système sont présentées en regard de la . Un tel système peut mettre en œuvre n’importe quel mode de réalisation et n’importe quelle variante présentée en regard du procédé 200 de déchiffrement objet de la présente invention.
Ainsi, comme on le comprend à la lecture de la présente description, un mode d’application particulier de la présente invention consiste à réaliser, pour une entité (« tenant », en anglais), le procédé objet de la présente invention. La création d’une entité correspond à la création initiale d’un compte utilisateur associé à l’entité, correspondant par exemple à la saisie d’une adresse de courriel par un administrateur informatique. Un mot de passe est transmis à l’adresse saisie et, à son tour, l’utilisateur créé peut ajouter des utilisateurs associés à l’entité. De cette manière, l’administrateur informatique ne peut pas accéder au contenu chiffré pour les utilisateurs de l’entité, cet utilisateur n’ayant pas connaissance du mot de passe initialement généré. Le mot de passe initialement géré étant ainsi préférentiellement aléatoire. Il est entendu que l’administrateur informatique, en charge de la création et de l’administration des entités, et le développeur du logiciel mettant en œuvre le procédé objet de la présente invention peuvent être deux personnes morales distinctes.

Claims (10)

  1. Procédé (100) sécurisé de chiffrement de données numériques, caractérisé en ce qu’il comporte :
    - une étape (105) de génération, par un dispositif électronique de calcul, d’une paire asymétrique et collective de clés cryptographiques, dites clé publique et clé privée,
    - une étape (110) primaire de création, par un dispositif électronique de calcul, d’au moins un compte utilisateur associant un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
    - pour au moins un utilisateur :
    - une étape (115) de chiffrement symétrique, par un dispositif électronique de calcul, de la clé privée collective par la clé d’authentification associée à l’identifiant dudit utilisateur et
    - une étape (120) de stockage, dans une mémoire informatique accessible par ledit utilisateur, de la clé privée collective chiffrée de manière symétrique, ladite clé privée étant configurée pour être mise en œuvre au cours d’une étape ultérieure de déchiffrement, par un dispositif électronique de calcul, d’une information numérique chiffrée par la clé publique collective.
  2. Procédé (100) selon la revendication 1, qui comporte une étape (125) de chiffrement, par un dispositif électronique de calcul, d’une information numérique par la clé publique collective.
  3. Procédé (100) selon l’une des revendications 1 ou 2, qui comporte, en aval de l’étape (120) de stockage de la clé privée collective chiffrée de manière symétrique dans une mémoire informatique, une étape (130) d’oubli de la clé privée collective non chiffrée.
  4. Procédé (100) selon la revendication 3, qui comporte :
    - une étape de connexion (134), par un dispositif électronique de calcul, d’un compte utilisateur créé au cours d’une étape de création préalable, en fonction d’un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
    - au moins une étape (135) secondaire de création, par un dispositif électronique de calcul associé à un compte utilisateur connecté, d’un compte utilisateur associant un identifiant d’utilisateur et une clé d’authentification issue d’un moyen d’authentification,
    - une étape (140) de déchiffrement, par un dispositif électronique de calcul associé à un compte utilisateur créé au cours d’une étape de création préalable, de la clé privée collective chiffrée en fonction de la clé d’authentification associée au dit utilisateur,
    - une étape (145) de chiffrement symétrique, par un dispositif électronique de calcul, de la clé privée collective par la clé d’authentification associée à l’identifiant de utilisateur créé au cours de l’étape de création secondaire,
    - une étape (150) de stockage, dans une mémoire informatique accessible pour un utilisateur par la mise de l’identifiant dudit utilisateur créé au cours de l’étape de création secondaire et de la clé d’authentification associée au dit identifiant, de la clé privée collective chiffrée de manière symétrique et
    - une étape (155) d’oubli de la clé privée collective déchiffrée.
  5. Procédé (100) selon l’une des revendications 1 à 4, qui comporte :
    - une étape (160) de réception, par un dispositif électronique de calcul, d’une information numérique à chiffrer,
    - une étape (165) de génération, par un dispositif électronique de calcul, d’une clé aléatoire et symétrique de chiffrement,
    - une étape (170) de chiffrement, par un dispositif électronique de calcul, de l’information numérique reçue par la clé aléatoire et symétrique de chiffrement,
    - une étape (175) de stockage, dans une mémoire informatique, de l’information numérique chiffrée,
    - une étape (180) de chiffrement, par un dispositif électronique de calcul, de la clé aléatoire et symétrique de chiffrement par la clé publique collective et
    - une étape (185) de stockage, dans une mémoire informatique, de la clé aléatoire chiffrée.
  6. Procédé (100) selon la revendication 5, qui comporte, en aval de l’étape (185) de stockage de la clé aléatoire chiffrée, une étape (190) d’oubli de la clé aléatoire non chiffrée.
  7. Procédé (100) selon l’une des revendications 1 à 6, dans lequel une information numérique chiffrée est une information de type DMARC.
  8. Procédé (100) selon l’une des revendications 1 à 7, dans lequel une information numérique chiffrée est une information représentative d’adresse de destinataire de rapports d’échecs.
  9. Procédé (200) sécurisé de déchiffrement de données numériques, caractérisé en ce qu’il comporte :
    - une étape (205) de mise en œuvre du procédé sécurisé de chiffrement de données numériques, selon l’une des revendications 1 à 8, pour chiffrer une information numérique,
    - une étape (210) de mise en œuvre d’un moyen d’authentification pour obtenir une clé d’authentification associée à un identifiant d’utilisateur,
    - une étape (215) de déchiffrement, par un dispositif électronique de calcul, de la clé privée collective en fonction de la clé d’authentification obtenue et
    - une étape (220) de déchiffrement, par un dispositif électronique de calcul, de l’information numérique en fonction de la clé privée déchiffrée.
  10. Procédé (200) selon la revendication 9 lorsque ce procédé dépend au moins de l’une des revendications 5 ou 6, qui comporte, en aval de l’étape (215) de déchiffrement de la clé privée collective, une étape (225) de déchiffrement de la clé aléatoire de chiffrement en fonction de la clé privée déchiffrée, l’étape (220) de déchiffrement de l’information numérique étant réalisée en fonction de clé aléatoire déchiffrée.
FR2200374A 2022-01-17 2022-01-17 Procédés sécurisés de chiffrement et de déchiffrement de données numériques et logiciel mettant en œuvre ces procédés Pending FR3131997A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2200374A FR3131997A1 (fr) 2022-01-17 2022-01-17 Procédés sécurisés de chiffrement et de déchiffrement de données numériques et logiciel mettant en œuvre ces procédés

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2200374A FR3131997A1 (fr) 2022-01-17 2022-01-17 Procédés sécurisés de chiffrement et de déchiffrement de données numériques et logiciel mettant en œuvre ces procédés
FR2200374 2022-01-17

Publications (1)

Publication Number Publication Date
FR3131997A1 true FR3131997A1 (fr) 2023-07-21

Family

ID=82019979

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2200374A Pending FR3131997A1 (fr) 2022-01-17 2022-01-17 Procédés sécurisés de chiffrement et de déchiffrement de données numériques et logiciel mettant en œuvre ces procédés

Country Status (1)

Country Link
FR (1) FR3131997A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8719952B1 (en) * 2011-03-25 2014-05-06 Secsign Technologies Inc. Systems and methods using passwords for secure storage of private keys on mobile devices
US20190116167A1 (en) * 2017-10-18 2019-04-18 Blue Jeans Network, Inc. Secure, customer-controlled storage for cloud-managed meeting details
EP3694142A1 (fr) * 2019-02-07 2020-08-12 Tomes GmbH Procédé de gestion et de distribution de touches dans des environnements distribués
US20200274699A1 (en) * 2019-02-22 2020-08-27 Panasonic Avionics Corporation Hybrid cryptographic system and method for encrypting data for common fleet of vehicles

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8719952B1 (en) * 2011-03-25 2014-05-06 Secsign Technologies Inc. Systems and methods using passwords for secure storage of private keys on mobile devices
US20190116167A1 (en) * 2017-10-18 2019-04-18 Blue Jeans Network, Inc. Secure, customer-controlled storage for cloud-managed meeting details
EP3694142A1 (fr) * 2019-02-07 2020-08-12 Tomes GmbH Procédé de gestion et de distribution de touches dans des environnements distribués
US20200274699A1 (en) * 2019-02-22 2020-08-27 Panasonic Avionics Corporation Hybrid cryptographic system and method for encrypting data for common fleet of vehicles

Similar Documents

Publication Publication Date Title
EP2819052B1 (fr) Procédé et serveur de traitement d'une requête d'accès d'un terminal à une ressource informatique
EP3078155A1 (fr) Procédé de mise a jour d'une arborescence de fichiers mémorisée sur un serveur de stockage
WO2009130089A1 (fr) Procede de diffusion securisee de donnees numeriques vers un tiers autorise
EP3803670A1 (fr) Une application logicielle et un serveur informatique pour authentifier l'identité d'un créateur de contenu numérique et l'intégrité du contenu du créateur publié
EP3446436B1 (fr) Procédé d'obtention par un terminal mobile d'un jeton de sécurité
WO2009130088A1 (fr) Terminal d'authentification forte d'un utilisateur
WO2019115943A1 (fr) Technique de protection d'une clé cryptographique au moyen d'un mot de passe utilisateur
EP2772869B1 (fr) Procédé et système de traitement cryptographique utilisant une donnée sensible
WO2007006810A1 (fr) Procede cryptographique pour la mise en oeuvre securisee d'une exponentiation et composant associe
FR3087911A1 (fr) Authentification par pointage et cliquage
FR3131997A1 (fr) Procédés sécurisés de chiffrement et de déchiffrement de données numériques et logiciel mettant en œuvre ces procédés
FR3059451A1 (fr) Procedes de caviardage d'un document original ou de verification de l'authenticite d'un document final
EP4078893A1 (fr) Procédé et dispositif de contrôle d'accès anonyme à une plateforme collaborative d'anonymisation
EP3231152B1 (fr) Procédé de chiffrement dynamique de données, et procédé de contrôle de droits de déchiffrement associé
FR3107416A1 (fr) Tokenisation aléatoire efficace dans un environnement dématérialisé
FR3079638A1 (fr) Procede de mise en oeuvre d'une fonction cryptographique pour une cle secrete
FR3107128A1 (fr) Procédé et dispositif d'évaluation de correspondance d'ensembles de données structurées protégées par le chiffrement
US20210049290A1 (en) File exposure to an intended recipient
EP4128700A1 (fr) Procede et dispositif d'authentification d'un utilisateur aupres d'une application
EP1992104B1 (fr) Authentification d'un dispositif informatique au niveau utilisateur
WO2023031561A1 (fr) Procede de fourniture de service mis en œuvre par ordinateur dans une chaine de blocs, nœud d'un reseau de chaine de blocs et programme d'ordinateur correspondants
WO2023203291A1 (fr) Procedes, terminal et serveur de gestion de donnees personnelles
EP4396716A1 (fr) Procede de fourniture de service mis en oeuvre par ordinateur dans une chaine de blocs, noeud d'un reseau de chaine de blocs et programme d'ordinateur correspondants
FR2987711A1 (fr) Delegation de calculs cryptographiques
FR3029668A1 (fr) Procede de controle de droits de dechiffrement de donnees

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20230721

PLFP Fee payment

Year of fee payment: 3