JP6972145B2 - プログラマブル・ハードウェア・セキュリティ・モジュール及びプログラマブル・ハードウェア・セキュリティ・モジュールに用いられる方法 - Google Patents
プログラマブル・ハードウェア・セキュリティ・モジュール及びプログラマブル・ハードウェア・セキュリティ・モジュールに用いられる方法 Download PDFInfo
- Publication number
- JP6972145B2 JP6972145B2 JP2019542376A JP2019542376A JP6972145B2 JP 6972145 B2 JP6972145 B2 JP 6972145B2 JP 2019542376 A JP2019542376 A JP 2019542376A JP 2019542376 A JP2019542376 A JP 2019542376A JP 6972145 B2 JP6972145 B2 JP 6972145B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- hardware security
- key pair
- programmable hardware
- security module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Description
−暗号鍵ペアを生成するアプリケーション・デバイスと、
−マスター・トランスポート鍵を有する記憶(メモリ)領域と、
−鍵ペア固有の導出パラメーターを用いてマスター・トランスポート鍵から鍵ペア固有のトランスポート鍵を導出する鍵導出モジュールと、
を備え、鍵ペア固有のトランスポート鍵は、暗号鍵ペアのうちの秘密鍵を暗号化するのに使用可能である、プログラマブル・ハードウェア・セキュリティ・モジュールに関する。
−暗号鍵ペアのうちの秘密鍵を暗号化ファイルとして受信するとともに、暗号鍵ペアのうちの公開鍵を含むデジタル証明書を受信する受信デバイスと、
−マスター・トランスポート鍵を有する記憶(メモリ)領域と、
−鍵ペア固有の導出パラメーターを用いてマスター・トランスポート鍵から鍵ペア固有のトランスポート鍵を導出する鍵導出モジュールと、
を備え、鍵ペア固有のトランスポート鍵は、暗号化ファイルを復号するのに使用可能である、対応するプログラマブル・ハードウェア・セキュリティ・モジュールに関する。
−プログラマブル・ハードウェア・セキュリティ・モジュール上で暗号鍵ペアを生成するステップと、
−鍵ペア固有の導出パラメーターを用いてマスター・トランスポート鍵から鍵ペア固有のトランスポート鍵を導出するステップと、
−鍵ペア固有のトランスポート鍵を用いて秘密鍵を暗号化するステップと、
を含む、暗号鍵ペアの秘密鍵を保護するための方法に関する。
−暗号化ファイルとしての秘密鍵と、暗号鍵ペアのうちの公開鍵を含むデジタル証明書とを受信するステップと、
−鍵ペア固有の導出パラメーターを用いてマスター・トランスポート鍵から鍵ペア固有のトランスポート鍵を導出するステップと、
を含み、鍵ペア固有のトランスポート鍵は、暗号化ファイルを復号するのに使用可能である、方法に関する。
−デジタル証明書をターゲット・デバイスに提供するステップと、
−鍵ペア固有のトランスポート鍵を用いて暗号化ファイルを復号するステップと、
−復号された秘密鍵をターゲット・デバイスに提供するステップと、
を更に含む。
−デジタル証明書をターゲット・デバイスに提供するステップと、
−暗号化ファイルをターゲット・デバイスに提供するステップと、
−鍵ペア固有のトランスポート鍵をターゲット・デバイスに提供するステップと、
を更に含む。
11 アプリケーション・デバイス
12 記憶領域
13 鍵導出モジュール
14 出力ユニット
20 対応するプログラマブル・ハードウェア・セキュリティ・モジュール
21 受信デバイス
22 記憶領域
23 鍵導出モジュール
24 インターフェース
25 インターフェース
30 ターゲット・デバイス(フィールド・デバイス)
DP 鍵ペア固有の導出パラメーター
MK マスター・トランスポート鍵
TK 鍵ペア固有のトランスポート鍵
Claims (14)
- プログラマブル・ハードウェア・セキュリティ・モジュール(10)であって、
暗号鍵ペアを生成するアプリケーション・デバイス(11)と、
マスター・トランスポート鍵(MK)を有する記憶領域(12)と、
鍵ペア固有の導出パラメータ(DP)を用いて前記マスター・トランスポート鍵(MK)から鍵ペア固有のトランスポート鍵(TK)を導出する鍵導出モジュール(13)と、
を備え、
前記暗号鍵ペアは秘密鍵及び公開鍵を有し、
前記鍵ペア固有の導出パラメータ(DP)は、前記鍵ペアに対して、或いは、前記秘密鍵又は前記公開鍵に対して、固有であり、
前記鍵ペア固有の導出パラメータ(DP)は、公開鍵、デバイス識別子、またはデジタル証明書のハッシュ値の少なくとも一つであるデジタル証明書の証明書情報から形成され、
前記デジタル証明書の証明書情報は、鍵要求メッセージとともに、プログラマブル・ハードウェア・セキュリティ・モジュール(10)又は対応するプログラマブル・ハードウェア・セキュリティ・モジュールに送信され、
前記鍵ペア固有のトランスポート鍵(TK)は、前記暗号鍵ペアのうちの前記秘密鍵を暗号化するのに使用可能である、
プログラマブル・ハードウェア・セキュリティ・モジュール。 - 前記秘密鍵を暗号化ファイル(KF)として出力する出力ユニット(14)を更に備える、請求項1に記載のプログラマブル・ハードウェア・セキュリティ・モジュール。
- 前記暗号鍵ペアのうちの公開鍵を含むデジタル証明書を生成するデバイスを更に備える、請求項1又は2に記載のプログラマブル・ハードウェア・セキュリティ・モジュール。
- 対応するプログラマブル・ハードウェア・セキュリティ・モジュール(20)であって、
暗号鍵ペアのうちの秘密鍵を暗号化ファイルとして受信するとともに、前記暗号鍵ペアのうちの公開鍵を含むデジタル証明書を受信する受信デバイス(21)と、
マスター・トランスポート鍵(MK)を有する記憶領域(22)と、
鍵ペア固有の導出パラメータ(DP)を用いて前記マスター・トランスポート鍵(MK)から鍵ペア固有のトランスポート鍵(TK)を導出する鍵導出モジュール(23)と、
を備え、
前記鍵ペア固有の導出パラメータ(DP)は、公開鍵、デバイス識別子、またはデジタル証明書のハッシュ値の少なくとも一つであるデジタル証明書の証明書情報から形成され、
前記デジタル証明書の証明書情報は、鍵要求メッセージとともに、プログラマブル・ハードウェア・セキュリティ・モジュール(10)又は対応するプログラマブル・ハードウェア・セキュリティ・モジュールに送信され、
前記鍵ペア固有の導出パラメータ(DP)は、前記鍵ペアに対して、或いは、前記秘密鍵又は前記公開鍵に対して、固有であり、また、前記鍵ペア固有のトランスポート鍵(TK)は、前記暗号化ファイルを復号するのに使用可能である、対応するプログラマブル・ハードウェア・セキュリティ・モジュール。 - 前記鍵ペア固有のトランスポート鍵(TK)をターゲット・デバイス(30)に転送するインターフェース(24)を更に備える、請求項4に記載の対応するプログラマブル・ハードウェア・セキュリティ・モジュール。
- 前記秘密鍵をターゲット・デバイスに転送するインターフェース(25)を更に備える、請求項4に記載の対応するプログラマブル・ハードウェア・セキュリティ・モジュール。
- 暗号鍵ペアのうちの秘密鍵を保護する方法であって、
プログラマブル・ハードウェア・セキュリティ・モジュール上で暗号鍵ペアを生成するステップ(101)と、
鍵ペア固有の導出パラメータ(DP)を用いてマスター・トランスポート鍵から鍵ペア固有のトランスポート鍵(TK)を導出するステップ(102)であって、
前記鍵ペア固有の導出パラメータ(DP)は、公開鍵、デバイス識別子、またはデジタル証明書のハッシュ値の少なくとも一つであるデジタル証明書の証明書情報から形成され、
前記デジタル証明書の証明書情報は、鍵要求メッセージとともに、プログラマブル・ハードウェア・セキュリティ・モジュール(10)又は対応するプログラマブル・ハードウェア・セキュリティ・モジュールに送信される、
ステップ(102)と、
前記鍵ペア固有のトランスポート(TK)鍵を用いて前記秘密鍵を暗号化するステップ(103)と、
を含む、方法。 - 前記暗号鍵ペアのうちの公開鍵を含むデジタル証明書を生成するステップ(101’)を更に含む、請求項7に記載の方法。
- 暗号鍵ペアのうちの秘密鍵を対応するプログラマブル・ハードウェア・セキュリティ・モジュールに安全に提供する方法であって、
暗号化ファイルとしての前記秘密鍵と、前記暗号鍵ペアのうちの公開鍵を含むデジタル証明書とを受信するステップ(201)と、
鍵ペア固有の導出パラメータ(DP)を用いてマスター・トランスポート鍵から鍵ペア固有のトランスポート鍵(TK)を導出するステップ(202)と、
を含み、
前記鍵ペア固有の導出パラメータ(DP)は、公開鍵、デバイス識別子、またはデジタル証明書のハッシュ値の少なくとも一つであるデジタル証明書の証明書情報から形成され、
前記デジタル証明書の証明書情報は、鍵要求メッセージとともに、プログラマブル・ハードウェア・セキュリティ・モジュール(10)又は対応するプログラマブル・ハードウェア・セキュリティ・モジュールに送信される、
前記鍵ペア固有のトランスポート鍵(TK)は、前記暗号化ファイルを復号するのに使用可能である、方法。 - 前記デジタル証明書をターゲット・デバイスに提供するステップ(203)と、
前記鍵ペア固有のトランスポート鍵(TK)を用いて前記暗号化ファイルを復号するステップ(204)と、
前記復号された秘密鍵を前記ターゲット・デバイスに提供するステップ(205)と、
を更に含む、請求項9に記載の方法。 - 前記デジタル証明書をターゲット・デバイスに提供するステップ(203)と、
前記暗号化ファイルを前記ターゲット・デバイスに提供するステップ(204’)と、
前記鍵ペア固有のトランスポート鍵(TK)を前記ターゲット・デバイスに提供するステップ(205’)と、
を更に含む、請求項9に記載の方法。 - 前記対応するプログラマブル・ハードウェア・セキュリティ・モジュールは、前記ターゲット・デバイスを認証する、請求項10又は11に記載の方法。
- 前記対応するプログラマブル・ハードウェア・セキュリティ・モジュールは、ターゲット・デバイス固有の鍵を生成し(206)、前記ターゲット・デバイスに対して、前記ターゲット・デバイス固有の鍵を用いて保護された形式で前記秘密鍵又は前記鍵ペア固有のトランスポート鍵(TK)を提供する、請求項10〜12のいずれか1項に記載の方法。
- 前記鍵ペア固有のトランスポート鍵(TK)は、鍵導出関数を用いて導出され、そのために、少なくとも前記鍵ペア固有の導出パラメータ(DP)及び前記マスター・トランスポート鍵が入力パラメータとして与えられる、請求項7〜13のいずれか1項に記載の方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017201891.7A DE102017201891A1 (de) | 2017-02-07 | 2017-02-07 | Programmierbares Hardware-Sicherheitsmodul und Verfahren auf einem programmierbaren Hardware-Sicherheitsmodul |
DE102017201891.7 | 2017-02-07 | ||
PCT/EP2017/084690 WO2018145805A1 (de) | 2017-02-07 | 2017-12-28 | Programmierbares hardware-sicherheitsmodul und verfahren auf einem programmierbaren hardware-sicherheitsmodul |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020506627A JP2020506627A (ja) | 2020-02-27 |
JP6972145B2 true JP6972145B2 (ja) | 2021-11-24 |
Family
ID=60990776
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019542376A Active JP6972145B2 (ja) | 2017-02-07 | 2017-12-28 | プログラマブル・ハードウェア・セキュリティ・モジュール及びプログラマブル・ハードウェア・セキュリティ・モジュールに用いられる方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11303440B2 (ja) |
EP (1) | EP3556047A1 (ja) |
JP (1) | JP6972145B2 (ja) |
CN (1) | CN110268675B (ja) |
DE (1) | DE102017201891A1 (ja) |
WO (1) | WO2018145805A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102019212958B3 (de) * | 2019-08-28 | 2021-03-04 | Volkswagen Aktiengesellschaft | Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln nach einem Schlüsselableitungsmodell sowie Fahrzeug |
US11394546B2 (en) * | 2019-10-11 | 2022-07-19 | Fortanix, Inc. | Encrypted data key management |
US11101996B2 (en) * | 2019-11-15 | 2021-08-24 | Red Hat, Inc. | TPM-based data integrity |
CN114978532B (zh) * | 2022-05-11 | 2024-04-12 | 上海健交科技服务有限责任公司 | 一种面向深度学习的数据流式安全处理加速方法和装置 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5812664A (en) * | 1996-09-06 | 1998-09-22 | Pitney Bowes Inc. | Key distribution system |
US6681328B1 (en) * | 1999-10-08 | 2004-01-20 | Mastercard International Incorporated | System and method for global internet digital identification |
US6868406B1 (en) * | 1999-10-18 | 2005-03-15 | Stamps.Com | Auditing method and system for an on-line value-bearing item printing system |
US20060253702A1 (en) * | 2004-11-30 | 2006-11-09 | Gametech International, Inc. | Secure gaming server |
US8295492B2 (en) | 2005-06-27 | 2012-10-23 | Wells Fargo Bank, N.A. | Automated key management system |
US8098829B2 (en) | 2006-06-06 | 2012-01-17 | Red Hat, Inc. | Methods and systems for secure key delivery |
US8412927B2 (en) * | 2006-06-07 | 2013-04-02 | Red Hat, Inc. | Profile framework for token processing system |
US8374354B2 (en) | 2007-09-27 | 2013-02-12 | Verizon Data Services Llc | System and method to pass a private encryption key |
CN201515456U (zh) * | 2009-09-23 | 2010-06-23 | 北京视博数字电视科技有限公司 | 数字电视接收终端的安全装置、机顶盒和接收终端 |
US8788811B2 (en) * | 2010-05-28 | 2014-07-22 | Red Hat, Inc. | Server-side key generation for non-token clients |
US20110296171A1 (en) * | 2010-05-28 | 2011-12-01 | Christina Fu | Key recovery mechanism |
CN103141055A (zh) * | 2011-01-25 | 2013-06-05 | 三洋电机株式会社 | 通信装置 |
US10110380B2 (en) | 2011-03-28 | 2018-10-23 | Nxp B.V. | Secure dynamic on chip key programming |
EP3742300A1 (en) * | 2011-09-29 | 2020-11-25 | Amazon Technologies, Inc. | Parameter based key derivation and resource access delegation |
CN103378966A (zh) | 2012-04-26 | 2013-10-30 | Nxp股份有限公司 | 安全动态片上密钥编程 |
WO2014093390A1 (en) * | 2012-12-10 | 2014-06-19 | Visa International Service Association | Authenticating remote transactions using a mobile device |
US20150312228A1 (en) | 2014-04-29 | 2015-10-29 | Qualcomm Incorporated | Remote station for deriving a derivative key in a system-on-a-chip device |
US11178124B2 (en) * | 2014-09-02 | 2021-11-16 | Apple Inc. | Secure pairing of a processor and a secure element of an electronic device |
CN106385315B (zh) * | 2016-08-30 | 2019-05-17 | 北京三未信安科技发展有限公司 | 一种数字证书管理方法及系统 |
-
2017
- 2017-02-07 DE DE102017201891.7A patent/DE102017201891A1/de not_active Withdrawn
- 2017-12-28 US US16/484,015 patent/US11303440B2/en active Active
- 2017-12-28 CN CN201780085789.7A patent/CN110268675B/zh active Active
- 2017-12-28 EP EP17829669.5A patent/EP3556047A1/de active Pending
- 2017-12-28 JP JP2019542376A patent/JP6972145B2/ja active Active
- 2017-12-28 WO PCT/EP2017/084690 patent/WO2018145805A1/de unknown
Also Published As
Publication number | Publication date |
---|---|
DE102017201891A1 (de) | 2018-08-09 |
JP2020506627A (ja) | 2020-02-27 |
US20190394034A1 (en) | 2019-12-26 |
CN110268675B (zh) | 2022-11-01 |
EP3556047A1 (de) | 2019-10-23 |
WO2018145805A1 (de) | 2018-08-16 |
US11303440B2 (en) | 2022-04-12 |
CN110268675A (zh) | 2019-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11271730B2 (en) | Systems and methods for deployment, management and use of dynamic cipher key systems | |
EP3437247B1 (en) | System and method for distribution of identity based key material and certificate | |
EP3192229B1 (en) | Supporting differentiated secure communications among heterogeneous electronic devices | |
US11849029B2 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
JP6972145B2 (ja) | プログラマブル・ハードウェア・セキュリティ・モジュール及びプログラマブル・ハードウェア・セキュリティ・モジュールに用いられる方法 | |
US10938555B2 (en) | Method and assembly for establishing a secure communication between a first network device (initiator) and a second network device (responder) | |
CN108809907B (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
US10411886B1 (en) | Authenticating secure channel establishment messages based on shared-secret | |
US20200344075A1 (en) | Secure provisioning of keys | |
US20220141004A1 (en) | Efficient Internet-Of-Things (IoT) Data Encryption/Decryption | |
US11853465B2 (en) | Securing data stored in a memory of an IoT device during a low power mode | |
US11722466B2 (en) | Methods for communicating data utilizing sessionless dynamic encryption | |
KR101341206B1 (ko) | 제2 장치에 신뢰 및 식별을 승인하기 위해 보안 장치를레버리지하는 방법 | |
US11818268B2 (en) | Hub-based token generation and endpoint selection for secure channel establishment | |
JP2008203581A (ja) | ネットワークシステム | |
Jing et al. | Security Management: Targets, Essentials and Implementations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191018 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191018 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210405 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210810 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210827 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20210827 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211005 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211102 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6972145 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |