NO331504B1 - Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning. - Google Patents

Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning. Download PDF

Info

Publication number
NO331504B1
NO331504B1 NO20041110A NO20041110A NO331504B1 NO 331504 B1 NO331504 B1 NO 331504B1 NO 20041110 A NO20041110 A NO 20041110A NO 20041110 A NO20041110 A NO 20041110A NO 331504 B1 NO331504 B1 NO 331504B1
Authority
NO
Norway
Prior art keywords
key
encryption
decryption
data
address
Prior art date
Application number
NO20041110A
Other languages
English (en)
Other versions
NO20041110L (no
Inventor
Kai-Wilhelm Nessler
Original Assignee
High Density Devices As
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by High Density Devices As filed Critical High Density Devices As
Publication of NO20041110L publication Critical patent/NO20041110L/no
Publication of NO331504B1 publication Critical patent/NO331504B1/no

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Foreliggende oppfinnelse tilveiebringer en fremgangsmåte og innretning som utfører kryptering/dekryptering av data på et masselagringsmedium. Et mangfold av forskjellige krypterings-/dekrypteringsalgoritmer med assosierte nøkler kan bli brukt på forskjellige lagringsområder på mediet, slik som blokker/sektorer på en harddiskdrive, for derved å øke sikkerheten til data betraktelig. I tillegg vil foreliggende oppfinnelse gi en fremgangsmåte og innretning som kombinerer nøklene med tilfeldige tall for videre å øke sikkerheten til dataene. I en foretrukket utførelse av oppfinnelsen vil blokk/sektortallet bli brukt for å velge en algoritme med en assosiert nøkkel og tilfeldig tall. Foreliggende oppfinnelse kan også bli brukt til å kryptere/dekryptere e-mails, nettverkstrafikk etc. og andre typer av elektroniske data. I tillegg kan innretningen brukes i en autentiseringsseksjon når en datamaskin startes opp fra en harddiskdrive, og til og med bli brukt for å velge et visst operativsystem og/eller miljø assosiert med en viss nøkkelbærer ved å forandre master boot record til disksystemet.

Description

Foreliggende oppfinnelse er relatert til en fremgangsmåte og en innretning for sikker kryptering (chiffrering), scrambling, dekryptering (dechiffrering), og av-scrambling av data, og mer spesifikt til en fremgangsmåte og en innretning for sikker kryptering/dekryptering av data under skriving og lesing fra en enhet for masselagring, det være seg disk/båndstasjon eller andre elektroniske/mekaniske/optiske masselagerenheter (kalt masselager), tilknyttet en datamaskin eller annet elektronisk utstyr, det være seg digitale kamera, digitale lyd/video opptakere (kalt datasystemer), via en databuss for masselagring i henhold til de vedlagte, selvstendige krav 1 og 19.
Datasystemer lagrer programmer og data i masselagerenheter. Uautorisert tilgang til slike lagrede data er en kjent og økende trussel. En vanlig fremgangsmåte for beskyttelse av lagret informasjon er å kreve brukernavn og passord fra brukere av datasystemene, og gjennom disse forhindre uautorisert tilgang til dataene.
De færreste vet at en uautorisert person kan få tilgang til enhver informasjon lagret på en masselagerenhet uten å ta i bruk standard brukeridentifisering ved at en uautorisert person kan fjerne lagringsenheten fra datamaskinen (på enkelte datasystemer med eksterne masselagerenheter er dette svært enkelt), montere lagringsenheten i en annen datamaskin og lese/ta i bruk informasjonen lagret på masselagerenheten. Dataene kan til og med modifiseres dersom ønskelig (forfalskning). Tyveri av masselagret data er en betydelig økende trussel.
Det er kjent at man kan sikre informasjon gjennom kryptering forut for lagring på masselagerenheter. Krypterte filer eller datasegmenter må da bli dekryptert før de kan tas i bruk. Når data blir skrevet tilbake til lagringsenheten, må dataene på ny bli kryptert. Denne prosessen innebærer ekstra prosedyrebehandling for brukeren, noe som ofte er årsaken til at slike forholdsregler sjelden er effektive i praksis.
Flertallet av operativsystemer er utviklet slik at de oppretter "arbeidsfiler" (swapfiler, midlertidige filer) for den informasjonen som blir behandlet. Sensitive data kan forbli tilgjengelig i disse "arbeidsfilene". Selv om brukeren tror at jobben er gjort og alle data er kryptert og trygt lagret på disk, kan en kompetent person trekke ut data og dokumenter fra disse "arbeidsfilene".
Selv når slike arbeidskopier er slettet kan de gjenopprettes, da sletting normalt kun vil markere et område av masselagringsmediet som åpent for gjenbruk og ikke slette selve dataene. For å sikre seg at dataene er slettet, må mediet gjentatte ganger bli fylt med tilfeldig data for å sikre at ingen informasjon er tilgjengelig på den slettede delen av masselagringsmediet. Denne prosessen må tilpasses til type lagringsmedium. Eksemplet her er typisk for et magnetisk medium, og vil være forskjellig for et elektronisk/mekanisk/optisk medium, men man kan ikke skrive for mange ganger tilbake til et "flash" minne, da overskrivingen vil forkorte dette mediets levetid betraktelig.
Disse prosedyrene involverer store mengder databearbeiding og bruk av spesielt utviklet programvare.
Bruk av krypteringsprogramvare vil også eksponere de tildelte krypteringsnøklene når disse er i bruk. Uautoriserte personer, virus programmer, spion programmer, osv. kan ta i bruk disse eksponerte nøklene og dekryptere lagret data.
For å unngå noen av de nevnte svakheter ved sikring av masselagret data, er det kjent at man kan kryptere alle lagrete data på en masselagerenhet og dekryptere alle data lest fra en slik masselagerenhet.
En fordel ved denne fremgangsmåten er at alle data på masselagerenheten, til enhver tid, forblir kryptert. Dette oppnås ved å aktivere et dedikert program som håndterer dataflyten til/fra masselagerenheten.
Det nevnte programmet kan derimot ikke lagres i kryptert form fordi datasystemet må kunne lese og implementere programmet for å ha mulighet til å dekryptere informasjon lagret på en masselagerenhet. Dersom all informasjon lagret på masselagerenheten skal krypteres, må programmet lagres på en annen lagringsenhet uten at dataene på denne blir kryptert. En annen opplagt ulempe med et slikt system er behovet for dataressurser stilt av krypterings/dekrypterings-prosessene, da de etterlater svært reduserte prosessorressurser til brukeren av datasystemet, og i tillegg eksponerer krypteringsnøklene når de er i bruk.
US Patent nummer 5,513,262 (van Rumpt et. al.) presenterer en elektronisk innretning for chiffrering/dechiffrering av data sendt til/fra en masselagerenhet i et datasystem ved å sette den elektroniske innretningen inn i databussen som forbinder datasystemet med masselagerenheten.
Den forbindende databussen viderebringer kommando koder, for eksempel for en hard disk stasjonskontroller. Kommandoene blir gjenkjent av den elektroniske innretningen og den lar kommandoene passere uendret, mens dataene blir chiffrert/dechiffrert samtidig som de passerer databussen til/fra masselagerenheten gjennom den elektroniske innretningen.
Chiffrering/dechiffrering oppnås ved å anvende krypterings/dekrypterings-algoritmer (DES) og en krypterings/dekrypterings-nøkkel på dataflyten som passerer gjennom den elektroniske innretningen. Redegjørelsen oppgir derimot ikke hvordan nøkkelen kommer til chiffrerings/dechiffreringsenheten på en sikker måte.
En mulig løsning er en nøkkel "fast programmert" i innretningen, men en utskiftbar nøkkel er heller å foretrekke dersom, for eksempel, en aktiv nøkkel ved en feiltagelse er blitt tilgjengelig for utenforstående. Produsenten av krypterings/dekrypterings-innretningen må også holde oversikt over alle brukte koder dersom, for eksempel, en brukt elektronisk innretning går i stykker og må erstattes for å gjenopprette adgang til lagret data. Derfor må det eksistere en indeks som forbinder "fast programmerte" nøkler med spesifikke krypterings/dekrypterings-innretninger, noe som i seg selv representerer en sikkerhetsrisiko.
Erstatning av en nøkkel innebærer overførsel av nøkkelen fra et datasystem til den elektroniske innretningen gjennom databussen som forbinder datamaskinen med masselagerenheten, hvilket innebærer at prosessorenheten i datasystemet blir involvert. Fiendtlig programvare plantet i datasystemet, som virus, orm, eller Trojansk kode, kan kapre nøkkelen idet den overføres, med det resultat at krypteringen blir kompromittert.
UK Patent søknad nummer GB 2,264,374 (Nolan) presenterer en annen innretning som kobles inn mellom vertsdatamaskinen og en masselagerenhet. Data flyter mellom flere databuffere, noe som kan være akseptabelt i et lavhastighets båndopptaksystem, men strukturen på innretningen kan ikke tilfredsstille kravene i moderne høyhastighets harddisker. I tillegg avhenger krypteringen/dekrypteringen av organiseringen av datablokker i lageret, noe som gjør at krypterings/dekrypterings-innretningen må tilpasses de enkelte datasystemer. Imidlertid presenterer beskrivelsen en separat terminal hvor operatøren kan legge inn krypterings/dekrypterings-nøkler direkte til krypterings/dekrypterings-enheten uten å involvere prosessorenheten i datasystemet. Selv ved bruk av en separat kanal for tilføring av nøkler fra et separat nøkkellagringsmedium, som for eksempel et smartkort, kan dataflyten bli avdekket og/eller manipulert.
Europeisk patentsøknad nummer EP 0471538 A2 viser et datasikkerhetssystem hvor en hardware basert krypteringskrets er inkorporert i diskkontrolleren som en vertsdatamaskin får aksess til en disk gjennom.
Europeisk patentsøknad nummer EP 0950941 A2 viser en annen fremgangsmåte til et apparat for beskyttelse av data på et lagringsmedium ved å kryptere dataene på et lagringsmedium med et passord.
US patentsøknad nummer US 6158004 viser et annet sikkerhetssystem for et informasjonsmedium som er slik sammensatt at bare fildata som inkluderer hemmelig individuell informasjon er kryptert av en krypteringskrets. Kjent fil-administrasjonsdata skrives til en minneenhet i klar tekst.
En stor ulempe med de nevnte innretninger er at alle fremgangsmåter så langt tar i bruk en algoritme og en nøkkel for hele innholdet på lagringsmediet. Like datasett vil bli kryptert med samme mønster, som kan bli brukt til å knekke nøkkelen og krypteringsfremgangsmåten som brukes. Et enkelt eksempel, som illustrerer dette bra er det engelske ordet "IS" som er kryptert til, for eksempel, "CE". Siden "IS" er en hyppig brukt frase i det engelske språk, og ved at denne bokstavkombinasjonen svært ofte er den andre frasen i en setning, kan man ved hjelp av denne observasjonen knekke koden som har blitt brukt.
Oppfinnelsen det gjøres krav på i de vedlagte patent krav og i viste eksempler på utførelse av oppfinnelsen, viser en forbedret fremgangsmåte og enhet for lagring og henting/lesing av kryptert/dekryptert data til/fra et medium for masselagring i et datasystem eller lignende systemer.
Oppfinnelsen beskriver en fremgangsmåte og en enhet som kan kryptere/dekryptere data lokalisert i adresserbare områder på et medium for masselagring gjennom bruk av en av flere krypterings/dekrypterings-algoritmer og nøkler, hvor utvelgelsen av gjeldende algoritme og nøkkel som skal anvendes på valgte dataelement i det adresserbare området, er basert på fysiske adresser til nedre og øvre adressebegrensning som favner over nevnte adresserbare område på masselagringsmediet.
Anordningen av en enhet i henhold til et eksempel på utførelse av den beskrevne oppfinnelsen kan bli brukt til å kryptere/dekryptere e-post eller andre former for elektroniske meldinger fortløpende. Nøkkelen og den assosierte krypteringsalgoritmen kan være et system som fremskaffer en offentlig nøkkel ("public key") og en privat nøkkel ("private key"). På denne måten kan personer som kommuniserer via e-post bruke sine private nøkler til å etablere en sikker kanal for utveksling av meldinger, og gjennom disse utveksle informasjon om hvilke offentlige nøkler og algoritmer beskjeden har blitt kryptert med.
I en foretrukket utførelse av den beskrevne oppfinnelsen er en fremgangsmåte og enhet som tillater ulike operativsystemer å være totalt uavhengige og isolerte, selv når systemene er lagret på samme masselagringsmedium, og som kun blir lastet inn i datasystemet når korrekt nøkkel settes inn i en enhet, i henhold til den beskrevne oppfinnelse, for denne operative konfigurasjonen. I en annen utførelse av den beskrevne oppfinnelsen vil en bruker eller administrator av et datasystem ha sin egen nøkkel lagret kryptert på en nøkkelbærer som overfører nøkkelen til krypterings/dekrypterings-enheten via en sikker kanal. Denne løsningen gir brukeren eller administratoren adgang til egne filer og gyldig operativ konfigurasjon. Når en slik nøkkel blir fjernet fra enheten vil mulige handlinger være, i henhold til foretrukket utførelse av den beskrevne oppfinnelsen, en av følgende: driftsstans, stans av aktive program i datamaskinen, stans av programmer etter en forhåndsdefinert tidsperiode, eller fortsatt drift av datamaskinen frem til datasystemet blir startet på nytt. På dette stadiet vil igjen nøkkelen kreves ved oppstart av maskinen. Fremgangsmåten og enheten i henhold til denne utførelsen av den beskrevne oppfinnelse representerer en stor forbedring av datasikkerheten i et dataserversystem sammenlignet med tidligere løsninger.
Et aspekt ved den beskrevne oppfinnelsen er å tilby en sikker og ikke-manipulerbar fremgangsmåte og enhet for overføring av nøkkel for en
krypterings/dekrypteringsalgoritme opererende i en utførelse av den beskrevne oppfinnelsen.
Figur 1 illustrerer skjematisk en oversikt over et eksempel på en utførelse av foreliggende oppfinnelse. Figur 2 illustrerer skjematisk en oversikt over en sikker kanal som overfører en krypterings/dekrypterings-nøkkel fra et smartkort, eller en annen form for nøkkelbærer, til en enhet i henhold til foreliggende oppfinnelse. Figur 3 illustrerer skjematisk utlegg og sammenkoblinger av funksjonelle enheter i en elektronisk innretning i henhold til en foretrukket utførelse av foreliggende oppfinnelse. Figur 4 er en illustrasjon av en krypteringsprosess i henhold til et eksempel på en utførelse av foreliggende oppfinnelse. Figur 5 er en illustrasjon av en krypteringsprosess i henhold til et eksempel på en utførelse av foreliggende oppfinnelse. Figur 6 er en illustrasjon av en foretrukket utførelse av en krypteringsprosess i henhold til foreliggende oppfinnelse. Figur 7 illustrerer skjematisk et komparatorsystem i henhold til eksempelet på utførelse vist i Figur 3. Figur 8 illustrerer et system, i henhold til foreliggende oppfinnelse, hvor "Master Boot Record" til et disksystem kan byttes om.
En masselagerenhet er koblet til et datasystem gjennom en masselagringsbuss (for eksempel en kabel, kopper eller fiber osv.) som sørger for overføringen av data, kontrollkoder, og statuskoder mellom masselagerenheten og datasystemet.
Det eksisterer flere typer databuss-systemer og protokoller for denne oppgaven, for eksempel SCSI, IDE, AT, ATA, USB, FireWire, FiberChannel med flere. For en fagmann er samtlige av de nevnte databusstyper velkjente.
Den beskrevne oppfinnelsen kan ta i bruk en eller flere av disse databussprotokollene.
En elektronisk enhet 13, i henhold til et eksempel på utførelse av foreliggende oppfinnelse, er illustrert i Figur 1. En masselagerenhet kommuniserer med en datamaskin gjennom enhet 13 som har en side ("host side") 12 som kommuniserer med datamaskinen 10 via
databuss 11, og en annen side ("device side") 14 som kommuniserer med en masselagirngsenhet 16 via databuss 15. Databuss 15 bruker typisk en standard databussprotokoll for masselagring, som kjent for en fagmann. Databuss 11 kan bruke samme protokoll som databuss 15, men kan også være forskjellig, for eksempel en seriell databuss, mens databuss 15 er en parallell databuss. Enheten 13 vil uansett motta data eller sende data til/fra begge ender som knytter sammen datasystemet 10 med
masselagerenheten 16. Data kommunisert fra datasystemet 10 via databuss 11 blir fortløpende kryptert i enheten 13, mens data kommunisert fra masselagerenheten 16 via databuss 15 til datasystemet 10 blir fortløpende dekryptert i samme enhet 13.1 en utførelse av foreliggende oppfinnelse, hvor databuss 11 og databuss 15 tar i bruk forskjellige databussprotokoller, vil enheten 13 også fungere som oversetter mellom de to protokollene mens den samtidig krypterer og dekrypterer data fortløpende.
I henhold til foreliggende oppfinnelse kan enheten 13 organiseres på ulike måter. For eksempel kan de funksjonelle enhetene presentert i Figur 3 organiseres som en integrert del av en harddiskkontroller. I dette tilfellet er databuss 11 typisk en databuss for masselagring. Databuss 15 vil være en intern databussdefinisjon som er direkte knyttet til hardisk-driver systemet.
I et annet eksempel på utførelse av foreliggende oppfinnelse, kan enheten 13 være en krets designet til å være en del av et datasystems hovedkretskort. Databuss 11 vil da typisk være i henhold til den interne databussdefinisjonen for hovedkretskortet, eller skreddersydd til å kommunisere med en programmerbar inn/ut port på hovedkretskortet, for eksempel en "Direct Memory Access" kanal. Databuss 15 vil da være en databuss for masselagring.
Data overført mellom datasystemet og masselagerenheten kan deles inn i to kategorier: kommando/styrings-koder og brukerdata. Kommando/styrings-koder inneholder all informasjon om kommandoer og kontroll av masselagerenheten, det være seg statuskoder, formateringskoder, og koder som spesifiserer data organisering i masselagerenheten, hvilke operasjoner som skal utføres, hvilket adresseområde av mediet som skal brukes, osv.
Kommando/styrings-koder leses via den ene siden ("host side") 12 på enheten 13 fra databuss 11, for så å bli skrevet av enheten 13 til den andre siden ("device side") 14 og ut til databuss 15 uten å bli kryptert eller dekryptert (i noen tilfeller kan endring av koder bli utført). Styreenheten til masselagerenheten vil operere på kommando/styrings-kodene i henhold til produsentens spesifikasjoner av masselagerenheten. Denne fremgangsmåten for selektiv identifisering av kommando/styrings-koder eller data brukes for å sende utvidede kontrollkoder som styrer enheten 13 i utvelgelse av krypteringsnøkler, algoritmer, og andre interne operative funksjoner og egenskaper i enheten 13.
System for gjenkjennelse av slike kommando/styrings-koder er normalt spesifisert i dataprotokollen til masselagerenheten.
For noen masselagerenheters dataprotokoller derimot, vil det ikke være mulig å utvide kommando/styrings-kodene til iverksettelse av operasjoner i enheten 13.1 et annet eksempel på utførelse av foreliggende oppfinnelse, vil det være mulig å "låne" enkelte datablokker på et ubrukt område av masselagringsmediet, normalt et område utenfor lagringsenhetens grense (usynlig område). Enheten 13 kan bruke et slikt område som kommunikasjonsvindu til datamaskinen, og kan, av en fagmann, bli brukt på samme måte som når kommando/styirngs-kodene var utvidede. Datasystemet og enheten 13 kan lese og skrive meldinger (kommandoer, instruksjoner, data, osv.) til hverandre gjennom dette vinduet.
Med referanse til Figur 3, defineres brukerdata som dataene som skal lagres på masselagringsmediet. BCryptering/dekryptering blir gjennomført ved å sende brukerdata som inndata til godt dokumenterte krypteringsalgoritmer som DES, AES, osv. Krypterings/dekrypterings-enheten 13 har, i henhold til foreliggende oppfinnelse, en intern krypto-buss 32 som kobler ulike hardwaremoduler 41a, 41b...41n i enheten 13, som kjører spesifikke krypterings/dekrypterings-algoritmer som hver er tilknyttet strømmen av brukers inndata, som går til/fra en side ("host side") 12 og en annen side ("device side") 14 via de interne databussene i enheten 13, og under overvåkning av styringsenheten 30. For en fagmann er det gitt at 41a, 41b...41n kan implementere en hvilken som helst kjent algoritme, for eksempel gjennom et prosessorsystem for hver algoritme i hardware, for å oppnå maksimal hastighet, men også spesifikt utviklede løsninger for spesifikke krav for militært bruk, satellittkommunikasjon linker osv. (for eksempel algoritmer for scrambling) kan implementeres.
I nok en utførelse av foreliggende oppfinnelse kan algoritmene bli utført i en mikrokontroller anordning, hvor utvelgelsen av spesifikke algoritmer er gjennomført ved å laste forskjellig programtellerinnhold i mikrokontrolleren. Programtellerinnholdet korresponderer med start adressen til hver algoritme lagret i et vanlig program minne. Program minnet kan være et ikke-flyktig minne eller direkteminne initialisert ved oppstart, for eksempel av datasystemet 10. Slike overførsler kan også bli kryptert og/eller være gjenstand for rigide autentifiseringsprosedyrer, velkjente for en fagmann.
Store masselagerenheter må organisere data slik at det er håndterlig for et datasystem å tilby et funksjonelt filsystem for en bruker eller et applikasjonsprogram. Grunnleggende formattering vil være en blokk/sektorinndeling av mediet. Generelt vil det være nødvendig å ha adresserbare områder med underadresserbare enheter innad i området av et masselagringsmedium for å opprette funksjonelle masselagringsløsninger, som for eksempel filsystemer. Et adresserbart område i et masselagringsmedium er vanligvis et sekvensielt, fysisk, adresserbart området av mediet, begrenset av en nedre og øvre adresse som definerer ytterpunktene av det adresserbare området. Masselagringssystemer arrangeres vanligvis i et hierarki av logiske lag som definerer ulike typer av, for eksempel, lagringsområder og systemer. Et eksempel er RAID disksystem-definisjonene. En adresse til et slikt område er vanligvis referert til som en logisk adresse. I den beskrevne oppfinnelsen vil samtlige referanser være på det laveste nivået for adressering-mediets fysiske adresse. Utøvelsen av eksemplene på foreliggende oppfinnelse kan brukes sammen med alle typer logiske lagringsfremgangsmåter og systemer som legges på det fysiske mediet.
I henhold til en foretrukket utførelse av foreliggende oppfinnelse kan slike adresserbare områder (blokker/sektorer) bli individuelt kryptert med egen krypteringsnøkkel og/eller algoritme. Blokken 40 i enheten 13 mottar adressen til et område som for eksempel et blokk/sektor nummer og velger en av algoritmene for eksekvering i modulene 41a, 41b...4ln basert på en sammenligning av dette nummeret med adressen (underadressen innad i det området) assosiert med dataelementet for å bli lagret eller lest fra masselagerenheten 16. Figur 7 illustrerer en komparatorblokk 40. Start adressen og slutt adressen for en datablokk (avgrensningene av et adresserbart område av mediet) blir lagret i komparatoren 40 som henholdsvis "Start Block" og "Stop Block". Når adressen til et brukerdataelement (underadresse innad i området) er mottatt, blir adressen til brukerdataelementet sammenlignet med de tidligere nevnte "Start Block" og "Stop Block" adressene. Dersom adressen til brukerdataelementet er større enn eller lik "Start Block" adressen og adressen til brukerdataelementet er mindre enn eller lik "Stop Block" adressen, vil en Boolsk operasjon AND i komparatoren 40 oppdage dette vilkåret og sende et "is mine" signal til den av algoritme modulene 41a, 41b...41n som dette spesifikke "is mine" signalet er knyttet til, og aktivere algoritmen dersom påvist sant. Dersom dette ikke er tilfelle er signalet usant og forhindrer bruk av den tidligere nevnte algoritme.
I en utførelse av foreliggende oppfinnelse, vil alle prosessor algoritme-modulene i hardware 41a, 41b...41n inneholde et lagringsområde med samme antall minneceller som antall algoritmemoduler. Linken av et "is mine" signal til en spesifikk algoritme modul blir da fullbyrdet ved å legge inn logikken "1" i den cellen med adresse lik nummeret på algoritmemodulen, i motsatt fall "0". Ved å kombinere hvert "is mine" signal fra hver komparator med samtlige celler som har adresse som korresponderer med nummeret på "is mine" signalet, vil utvelgelsen av en algoritme være programmerbar og utbyttbar.
I en implementering av algoritmemodulene i en mikrokontroller kan assosiert korrekt innhold av programtelleren sammen med det assosierte "is mine" signalet foreta utvelgelsen og den utbyttbare programmeringen.
Sammenligningsarrangementet blir repetert "n" ganger i komparator blokken 40, en gang for hver av de "n" seksjonene som kjører en algoritme. Figur 4 illustrerer et eksempel på kryptering av dataelementer (blokker/sektorer eller adresserbare områder) hvor dataene er forskjellige, men hvor den samme nøkkelen brukes. Figur 5 illustrerer den samme krypteringsstrukturen som i Figur 4, men i denne presentasjonen er to av dataelementene like mens den samme nøkkelen brukes. De krypterte dataelementene vil derfor være like, og utgjøre et mønster som kan presentere en sikkerhetsrisiko.
I en foretrukket utførelse av foreliggende oppfinnelse brukes nummerinformasjonen fra en blokk/sektor i en kommando/styrings-kode, eller informasjonen om et adresserbart område gitt i en kommando for det spesifiserte adresserbare området, til å velge en nøkkel, sammen med et tilleggsgenerert nummer unikt for dette blokk/sektor/adresserbare området (en kombinasjon av blokk/sektor/adresserbart område nummer og en tilfeldig generert tabell, hvor kombinasjonen kan utgjøres som en sammensetting dersom nøkkelen er symboler, for eksempel addisjon og subtraksjon osv., dersom nøkkelen er et tall osv.). Denne strukturen er illustrert i Figur 6.
Det valgfritt genererte nummeret brukes til å forhindre at to identiske datablokker (eller datasekvenser) blir identisk kryptert, som presentert i Figur 5. De tilfeldige numrene genereres og lagres i en tabell i enheten 13, adressert gjennom blokk/sektor/adresserbart område nummeret. I en utførelse av den beskrevne oppfinnelsen kan det eksistere flere tabeller som adresseres i to steg, først ved det utvalgte "is mine" signalet generert i komparatoren 40, deretter nummeret fra blokk/sektor/adresserbart område. Denne operasjonen velger det samme tilfeldige nummeret for det samme blokk/sektor/adresserbare området og dermed forsikrer korrekt kryptering/dekryptering av de samme dataelementene, mens den samtidig fremskaffer totalt tilfeldig utvalgte mønstre i flyten av kryptert data, selv om de samme dataelementer dukker opp og de samme nøklene brukes, som illustrert i Figur 6. Tabellens innhold kan genereres innad i enheten 13i en mikrokontroller 51, for eksempel.
Med referanse til Figur 3, for å skrive en datablokk (datasekvens) til et masselager, må datamaskinen fortelle styreenheten for masselageret hvor dataene skal skrives gjennom et blokk/sektor nummer. Krypterings/dekrypterings-enheten vil motta kommandoen med blokk/sektor/adresserbart område nummeret via del 12 av enheten 13. Protokollen som tolker del 30 av enheten 13 vil gjenkjenne dette som en kommando og tilføre den gjennom sin indre dataveg til del 14 av enheten 13. Protokoll delen 30 vil også lagre denne informasjonen og tilføre det til komparatorene 40 i enheten 13 som tidligere beskrevet ("Start Block" og "Stop Block" adresser, adressen til en brukerdataenhet osv.).
Når datamaskinen sender skrive kommandoen, vil protokoll delen 30 sende skrive kommandoen til del 14, og sette protokoll delen 30 klar til å foreta dataoverføringer. Så begynner datamaskinen å sende data. Protokoll delen 30 vil samle inn data fra delen 12 via databussen 11, samle dem til 32 bits størrelser (som er størrelsen på den interne krypto-bussen 32, men som ikke er begrenset til denne størrelsen), og sende dataene til krypto-bussen 32. Komparatoren 40 aktiviserer den rette algoritmemodulen og den assosierte nøkkelen, og lar dataene, på krypto-bussen 32, transporteres gjennom den korrekte algoritme-modulen 41a, 41b...41 n.
Når data leses fra masselagerenheten 16, sender datamaskinen en lesekommando, og protokoll delen 30 vil arrangere dataflyten slik at dataene leses fra masselagerenheten til datamaskinen via den korrekte dekrypteringsfunksjonen innad i enheten 13, på en tilsvarende måte som beskrevet ovenfor.
Når lese/skrive trafikken starter, vil komparatormodulen 40, som inneholder det settet med komparatorer som beskriver de adresserbare områdene på masselagringsmediet som er kryptert med ulike algoritmer ("Start Block" og "Stop Block" adresser), sende signalet "is mine" som korresponderer med den aktuelle sektoren, og dermed velge korrekt algoritmemodul 41a, 41b...41nog assosiert nøkkel.
Krypterings/dekrypterings-algoritmene 41a, 41b...41n vil begynne å samle inn data og organisere dem i henhold til bit størrelsen algoritmen bruker. Når korrekt antall bits er samlet inn, vil data bli sendt gjennom gjeldende algoritmemodul 41a, 41b...41n som utvalgt av komparatoren 40. Etter kryptering/dekryptering vil data bli delt opp i krypto-bussens bit størrelse og sendt fra gjeldende algoritme 41a, 41b...41n tilbake til krypto-bussen 32, ned til protokoll delen 30, som deler dataene til bit størrelsen på databuss 15 eller 11, og videresendes til enten datamaskinen 10 (dekryptering) eller til masselagerenheten 16 (kryptering). Krypteringsmodulene 41a, 41b...41n får også informasjon fra komparatoren når en ny datablokk starter, for å ha muligheten til å ta i bruk CBC eller andre kodingsfunksjoner for å utvide sikkerheten.
Protokoll delen 30 utgir også de nødvendige "hand shake" signaler som utgjør deler av databussene 11 og 15.
Fremgangsmåten og enheten i henhold til den beskrevne oppfinnelsen er ikke begrenset, som beskrevet, til en bestemt krypterings/dekrypterings-algoritme. Modulene 41a, 41b...4ln kan samtlige implementere enhver type algoritme eller scrambling av data. I en foretrukket utførelse av foreliggende oppfinnelse vil hver modul 41a, 41b...41nha lagringsplass for en assosiert nøkkel med den spesifikke algoritmen.
I en "best mode" utførelse av den beskrevne oppfinnelsen er en enhet, som presentert i
Figur 1 og Figur 2, implementert med vekslende og erstattelige nøkler arrangert i hver modul 41a, 41b...41n]i dertil allokert minne, utvalgt av komparatorsystemet, Figur 7, når signalet "is mine" velger en modul 41a, 41b...41n som kjører den aktuelle algoritme valgt av komparatoren 40.
Initiering av krypterings/dekrypterings-systemet i henhold til den foretrukne utførelsen av foreliggende oppfinnelse inkluderer tilføring av en start blokk adresse, en stopp blokk adresse, en nøkkel, og en indikator på hvilken algoritme-modul 41a, 41b...41n som skal tas i bruk for de ulike blokkene/sektorene eller adresserbare delene av et lagringsmedium. Figur 2 presenterer et system med en smartkortleser 61a for lesing av smartkort 63a (nøkkelbærer) som inneholder start blokk adressen, stopp blokk adressen, nøkkelen, og algoritmeindikatoren. Andre måter å bringe denne informasjonen til enheten 13, slik som en infrarød kommunikasjonslink eller radiolink 62b osv., kan brukes i henhold til foreliggende oppfinnelse.
Når enheten 13 er startet, vil den interne mikrokontrolleren 51 hente nøkler fra nøkkelbæreren 63 a. Mikrokontrolleren vil sende nøkler til den korrekte krypteringsmodulen via en sikkerhetsmodul 42. Sikkerhetsmodulen forhindrer ødeleggelse av nøkler dersom mikrokontrolleren 51 skulle kjøre en kode med feil. Mikrokontrolleren vil også legge inn komparatorverdiene.
Det interne RAM 31 ("Random Access Memory") er ordnet på samme måte som en adresserbar del av en masselagerenhet. Det vil si, alle vanlige funksjoner til enheten 13, i henhold til foreliggende oppfinnelse, kan anvendes på innholdet til denneRAM.
For å bruke denne funksjonaliteten kan utvidede koder, som beskrevet ovenfor, bli tatt i bruk for å overføre en datablokk til/fra ram 31, enten til/fra datasystemet 10 via databuss 11, eller til/fra masselagerenheten 16 via databuss 15. En annen fremgangsmåte for tilgang til RAM 31, er å bruke det som en minnelokalitet utenfor diskens avgrensning, og deretter aksessere minnet som om det var en del av disksystemet, om enn skjult. Disse handlingene blir kontrollert av protokoll delen 30.
En oppgave RAM 31 kan utføre er å sende et avbrudd til den interne mikrokontrolleren 51, når for eksempel RAM 31 er full. Mikrokontrolleren 51 kan da lese data fra RAM 31 og foreta prosessering av dataene. Mikrokontrolleren kan også skrive til RAM 31. Datasystemet 10 kan også lese data fra RAM 31. Ved å opprette en enkel kommunikasjonsprotokoll kan datamaskinen kommunisere med mikrokontrolleren 51.1 en utførelse av foreliggende oppfinnelse er en slik protokoll iverksatt, i tillegg til en protokoll hvor mikrokontrolleren 51 kan videresende denne informasjonen til nøkkelbæreren 63,65. På denne måten har vi en kommunikasjonskanal både til mikrokontrolleren og til nøkkelbæreren 63, 65 via datasystemet 10, og direkte internt innad i enheten 13. Disse kommunikasjonskanalene brukes til å laste nøkler til nøkkelbæreren 63, 65 i tillegg til å laste nøkler til algoritme-modulene 41a, 41b...41n.
Uansett implementering kan RAM 31 brukes i flere nyttige applikasjoner. I en av eksemplene på utførelse av foreliggende oppfinnele brukes RAM til å laste e-post og andre typer elektronisk data, slik som filer, nettverkstrafikk osv., til RAM 31, kryptere innholdet av RAM i en utvalgt modul 41a, 41b...41n, for så å lese de krypterte dataene tilbake til datasystemet 10 hvor videre behandling av dataene blir gjennomført. Dersom lengden på dataene overgår størrelsen på RAM 31, vil kommunikasjonsprotokollen dele opp dataene og i en sløyfe sende de ulike datablokkene gjennom prosessen, som beskrevet ovenfor, til det er slutt på data.
Når for eksempel en kryptert e-post eller annen type data skal dekrypteres, må brukeren av datasystemet 10 laste e-posten eller dataene til RAM 31. Enheten 13 kjører da den respektive algoritmen, og den dekrypterte e-posten tilbakeføres til datasystemet 10. Nøkler for denne operasjonen kan være offentlig/privat nøkkelsystem som sørger for et sikkert system hvor nøklene aldri blir eksponert når de transporteres kryptert, i henhold til foreliggende oppfinnelse, til enheten 13 som beskrevet ovenfor.
Et viktig aspekt ved foreliggende oppfinnelse, er å sørge for sikker behandling av krypteringsnøkler. I en foretrukket utførelse av foreliggende oppfinnelse blir en nøkkel først overført til mikrokontrolleren fra datasystemet 10. Deretter kan enheten 13 gjennomføre en utvalgt kryptering av nøkkelen, og mikrokontrolleren 51 overføre og laste den krypterte nøkkelen til nøkkelbæreren 63, 65, for eksempel et smartkort. På denne enkle måten sørger fremgangsmåten og enheten i henhold til foreliggende oppfinnelse, for en sikker kanal for overførsel av krypterte krypteringsnøkler til bruk i systemet.
Et viktig aspekt ved foreliggende oppfinnelse er å bruke nøkler kryptert på nøkkelbærere, slik som smartkort. Nøkkelbærerteknologien tillater å "gjemme" datainnhold i bæreren. Denne egenskapen øker sikkerheten til en nøkkel. Et enda viktigere aspekt ved nøkkelbærerteknologien er at det er mulig å la nøkkelbæreren selv generere en tilfeldig krypteringsnøkkel for en sesjon. På denne måten foregår hele nøkkelprosessen uten menneskelig innblanding, noe som ytterligere øker sikkerheten til nøklene.
Nøkkelbæreren 63, 65 som bærer nøklene, er koblet direkte til enheten 13 via kommunikasjonskanalen 60. Nøkkelenhetens grensesnitt 61 kan for eksempel være en egen smartkortleser. For andre typer nøkkelbærere kan det være en IR sender/mottaker, radiosender/mottaker, eller andre lignende innretninger.
Nøklene lagres i eksterne enheter 63, 65. Det finnes også fremgangsmåter for lagring av nøkkeldata internt i enheten 13, i ikke-flyktig minne 52, 53 hvor brukeren må ta i bruk autentifiseringsfremgangsmåter for å bruke nøklene (dette er en prosedyre som kan opereres sammen med andre sikkerhetsprodukter).
Foreliggende oppfinnelse beskytter lastingen av eksterne nøkler ved å kryptere data til/fra nøkkelbæreren 63, 65.1 henhold til foreliggende oppfinnelse vil enheten 13 sende en offentlig nøkkel til nøkkelbæreren 63, 65 etter gjenkjenning av en nøkkelbærer 63, 65. Nøkkelbæreren 63, 65 vil deretter kryptere, ved bruk av offentlig nøkkel, en "sesjonsnøkkel" til enheten 13, og deretter kan enheten 13 og nøkkelbæreren 63, 65 begynne å kommunisere. En alternativ måte er å bruke en nøkkelutvekslingsfremgangsmåte (for eksempel Diffie-Hellman nøkkelutveksling) til å definere "sesjonsnøkler". "Sesjonsnøkkelen" vil kryptere alle data i kommunikasjonskanalen 60. Foreliggende oppfinnelse vil sende kontrollmeldinger til nøkkelbæreren 63,65 for å forsikre at nøkkelbæreren 63, 65 og nøkkelenhetens grensesnitt 61 fortsatt er aktiv. Disse kontrollmeldingene vil bli sendt ved tilfeldige tidsintervaller med nok data til å forsikre at nøkkelenhetens grensesnitt 61, nøkkelbæreren 63, 65, og enheten 13, kan autentifisere hverandre. Dersom nøkkelbæreren 63,65 oppdager uregelmessigheter vil den stoppes. Dersom enheten 13 oppdager uregelmessigheter vil den stoppes. Et unntak til denne operasjonen er at nøklene kan ha en levetidsparameter. Denne parameteren forteller enheten 13 hvor lang levetid nøklene skal ha i enheten 13 etter at en nøkkelenhet er fjernet. Dersom nøkkelen fjernes vil enheten 13, i henhold til foreliggende oppfinnelse, ikke stanse driften av nøkkelen før levetiden har nådd den predefinerte tidsperioden. All annen merkbar "tukling" med nøkkelen eller nøkkelenhetens grensesnitt 61 vil føre til at enheten 13 stopper driften av alle nøkler. Driftsstans innebærer at nøklene er påviselig fjernet fra enheten 13 og at enheten ikke lengre vil ha tilgang til det beskyttede området definert av nøkkelen.
Med referanse til Figur 8 kan foreliggende oppfinnelse også gjennomføre en dataavskjæringsfunksjon, det vil si den kan merke en sektor/blokk og lagre innholdet internt i RAM 31, modifisere eller endre innholdet, for så å sende det til vertsdatasystemet 10. Med denne funksjonen kan man endre partisjonstabeller på et disksystem og/eller endre partisjonstabeller til å samsvare med et nøkkelsett, for eksempel at forskjellige nøkkelsett kan starte opp systemet med forskjellige operativsystemer. En nøkkelenhet kan starte operativsystem 1, en annen nøkkelenhet kan starte operativsystem 2, hvor operativsystemene 1 og 2 er isolert fra hverandre på harddiskstasjonen.
Dette er en verdifull funksjon for datamaskiner i hjemmekontor, og andre datamaskiner hvor mer enn en bruker har behov for eksklusiv tilgang og beskyttelse av data.
Som vist i Figur 8 kan en harddiskenhet 16 splittes i flere uavhengige, isolerte, lagringsområder. En "Master Boot Record "(MBR) inneholder den nødvendige informasjon et datasystem først laster ved oppstart. Innholdet i en MBR forteller datasystemet hvor/hvordan operativsystemet lastes fra harddiskstasjonen. MBR for forskjellige operativsystem på samme harddiskstasjon kan lagres sammen med en krypteringsnøkkel på for eksempel et smartkort, i henhold til en utførelse av foreliggende oppfinnelse. Som beskrevet ovenfor kan MBR på smartkortet lastes til RAM 31, bli dekryptert og så brukes som MBR til harddiskstasjonen 16 koblet til enheten 13.
Den beskrevne oppfinnelsen inneholder også en to-stegs oppstartsfremgangsmåte for et datasystem. Først sendes et programkodesegment (lagret i enheten 13 i det ikke-flyktige minnet 52, eller i en nøkkelbærer, slik som et smartkort) til vertsdatasystemet 10 som forsyner brukeren/administratoren med en autentifiseringsfremgangsmåte. Deretter, etter suksessfull autentifisering, lastes "Master Boot Record" fra harddiskstasjonen til datamaskinen.
Foreliggende oppfinnelse øker sikkerheten til en masselagerenhet ved å tilby en fremgangsmåte og en enhet for kryptering/dekryptering av data lagret på adresserbare deler av et masselagringsmedium ved bruk av forskjellige algoritmer og krypterings/dekrypterings-nøkler.
Et aspekt ved foreliggende oppfinnelse er å tilføre en nøkkel og en algoritme for en bestemt adresserbar del av lagringsmediet.
Nok et aspekt av foreliggende oppfinnelse er å sørge for økt sikkerhet under kryptering av en slik adresserbar del av et lagringsmedium med den spesifikke nøkkelen og algoritmen ved å fremskaffe et tilfeldig utvalgt tall sammen med nøkkelen for randomisering av de mønstrene som blir dannet på mediet etter kryptering, selv om suksessive dataposter er like og kryptert med samme nøkkel og algoritme. De randomiserte tallene lagres i en tabell, noe som tillater gjenoppretting av et spesifikt tilfeldig tall brukt til dekryptering av dataene kryptert med dette tilfeldige tallet, utvalgt av informasjonen om blokk/sektor nummeret eller adressen til den adresserbare delen av mediet.
Foreliggende oppfinnelse utgjør også et system for å sikre nedlastningen av et spesifikt operativsystem og driftsforhold fra en harddiskstasjon til et datasystem, og sørger også for fullstendig fysisk og logisk isolasjon mellom datafilene til de ulike operativsystemene og til brukerne av datasystemet. Foreliggende oppfinnelse innebærer også en krypterings/dekrypterings-fremgangsmåte og innretning som forhindrer tilgang til data på en server harddisk, for eksempel når disksystemet på serveren blir stjålet eller fjernet og flyttet til et annet datasystem.
Et annet aspekt ved foreliggende oppfinnelse er å tilby en kryptert kommunikasjonskanal for transport av nøkler mellom nøkkelbærere og en innretning i henhold til foreliggende oppfinnelse.

Claims (36)

1. Fremgangsmåte for kryptering (skifrering, scrambling)/dekryptering (deskifrering, avscrambling) av dataelementer overført til eller fra et masselagringsmedium, hvor masselagringsmediet innbefatter fysisk adresserbare områder,karakterisert vedtrinnene: å tilveiebringe et mangfold av kryptering/dekrypteringalgoritmer med assosierte krypterings-/dekrypteringsnøkler, å velge en og bruke denne ene av mangfoldet av krypterings-/dekrypteringsalgoritmene med den assosierte nøkkelen på et dataelement som blir overført til eller fra en adresse på masselagringsmedier, hvor valget av algoritmen og den assosierte nøkkelen er basert på i det minste to fysiske adresser som definerer en øvre og lavere adressegrense av en variasjonsbredde av adresserbart område som omfavner adressen til dataelementet på mediet.
2. Fremgangsmåte i henhold til krav 1,karakterisert vedat trinnet med å velge krypterings-/depkrypteringsalgoritmen med den assosierte nøkkelen videre innbefatter trinnet med å kombinere nøkkelen med et tilfeldig generert tall, ved sammenkjeding, subtraksjon eller addisjon eller kombinasjon av disse operasjonene eller ved andre aritmetiske eller logiske operasjoner på de to elementene som er dannet av det tilfeldige tallet og nøkkelen.
3. Fremgangsmåte i henhold til krav log2,karakterisertv e d at det tilfeldig genererte tallet blir lagret i tabell hvor adressen til tabellen er basert på to fysiske adresser innenfor den valgte variasjonsbredden for det adresserbare området på mediet.
4. Fremgangsmåte i henhold til krav 1,2 og 3,karakterisertv e d at adressen til tabellen er en indeks dannet av i det minste en del av adressen for dataelementet.
5. Fremgangsmåte i henhold til krav 3 og 4,karakterisertved at i det minste deler av innholdet i tabellen som lagrer de tilfeldig genererte tall er statisk eller dynamisk erstattbare lagret i tabellen.
6. Fremgangsmåte i henhold til krav 1,karakterisert vedat trinnet med å velge algoritmen og den assosierte nøkkelen innbefatter trinnene: å tilveiebringe en samling av variasjonsbredder av adresserbare områder ved å liste de øvre og nedre adressegrensene i par, å tilveiebringe en linking slik at en oppføring i samlingen av de adresserbare variasjonsbreddene for områdene er linket til bare en av algoritmene uten å ekskludere muligheten for at en av algoritmene kan være linket til et mangfold av variasjonsbredder av adresserbare områder i den betydningen at en algoritme kan bli brukt i mer enn en variasjonsbredde av adresserbart område på masselagringsmediet, å bruke adressen til et dataelement ved å sammenligne den med alle de øvre og nedre adressegrensene i samlingen, for derved detekterbart å finne paret med lavere og øvre adressegrense som slutter om adressen til dataelementet, og å sende ut et signal eller melding inneholdende informasjon om denne omslutningen av dataelementadressene for derved å identifisere den korrekte av krypterings-/dekrypteringsalgoritmene ved å bruke denne linkingen av algoritmene og variasjonsbredde av adresserbart område.
7. Fremgangsmåte i henhold til et av kravene 1 til 6,karakterisert vedat linkingen av et øvre og nedre adressepar med en krypterings- /dekrypteringsalgoritme og assosierte nøkkel enten er en forhåndsdefinert, statisk linking eller en dynamisk linging.
8. Fremgangsmåte i henhold til krav 1,karakterisert vedat nøklene assosiert med algoritmene er overført fra en bærer av en nøkkel til algoritmene over en sikker kryptert kommunikasjonskanal ved å lagre nøkkelen på et lagringselement lesbart koblet til algoritmen.
9. Fremgangsmåte i henhold til krav 8,karakterisert vedat overføringen av nøkkelen blir gjort ved en sikker utvekslingsplan (Diffie-Hellman nøkkelutvekslingsplan) eller med en offentlig privat nøkkelplan.
10. Fremgangsmåte i henhold til krav 8,karakterisert vedat overføringen av nøklene blir gjort med en autentiseringsprosess.
11. Fremgangsmåte i henhold til krav 8,karakterisert vedat nøkkelbæreren er en innretning innbefattende prosesseringselementer og ikke-flyktig hukommelse.
12. Fremgangsmåte i henhold til krav 8,karakterisert vedat den sikre kommunikasjonskanalen er dannet mellom et nøkkelinnretningsgrensesnitt, mottagbart koblet til bæreren av en nøkkel, og en krypterings-/dekrypteringsalgoritme.
13. Fremgangsmåte i henhold til krav 12,karakterisertv e d at den dannede sikre kanalen er en optiske og/eller fiberkommunikasjonskanal.
14. Fremgangsmåte i henhold til krav 12,karakterisertv e d at den dannede sikre kanalen er en trådløs radiokommunikasjonskanal.
15. Fremgangsmåte i henhold til krav 12,karakterisertv e d at den dannede sikre kanalen er en trådbasert kommunikasjonskanal.
16. Fremgangsmåte i henhold til krav 11,karakterisertv e d at nøkkelbæreren genererer en krypterings-/dekrypteringsnøkkel i prosesseringselementene.
17. Fremgangsmåte i henhold til et av kravene 1-16,karakterisertved trinnene: å tilveiebringe en master boot record for et harddisksystem kryptert med en av mangfoldet av krypterings-/dekrypteringsalgorimene med assosiert nøkkel på et smartkort, å lese innholdet av smartkortet for derved å muliggjøre en dekryptering av den nevnte master boot record i den identifiserbare dekrypteringsalgoritmen med den assosierte nøkkelen, å overføre det dekrypterte innholdet av nevnte master boot record til et datamaskinsystem koblet til harddiskdrivesystemet for derved å muliggjøre oppstart av et datamaskinoperativsystem og/eller en viss del av et filsystem og/eller et system/brukermiljø og/eller annen type av partisjon og/eller informasjon lagret kryptert på harddiskdrivesystemet til datamaskinsystemet.
18. Fremgangsmåte i henhold til krav 17,karakterisertv e d at smartkortet innbefatter en av et mangfold av master boot records og krypterings-/dekrypteringsnøkler.
19. Innretning (13) for kryptering (skifrering, scrambling)/dekryptering (deskifrering, descrambling) av dataelementer overført til eller fra et masselagringsmedium, der masselagringsmediet innbefatter fysisk adresserbare områder,karakterisert vedat innretningen innbefatter: et mangfold av elektronisk krypterings-/dekrypteringsseksjoner (41a, 41b 41n) med et mottagbart koblet hukommelsesområde for assosierte krypterings-/dekrypteringsnøkler, en komparatorkrets (40) oppdelt i et mangfold av seksjoner innbefattende i hver seksjon to skrivbare/lesbare hukommelseslokasjoner (100,101), to elektroniske komparatorenheter( 102,103) og en logisk port AND (104) koblet sammen slik at hukommelseslokasjonen (100) blir sammenlignet med innholdet av et adresseelement (105) i komparatorenheten (102) for å bestemme om adresseelementet (105) er større eller lik hukommelseslokasjonen (100), og på samme tid å sammenligne adresseelementet (105) med innholdet i hukommelseslokasjonen (101) i komparatorenheten (103) for å bestemme om adresseelementet (105) er mindre eller lik innholdet av hukommelseslokasjonen (101), hvorved utgangen av porten (104) genererer et muliggjøringssignal, i hver partisjon av komparatoren (40) der hvert muliggjøringssignal er koblet til en av mangfoldet av elektronisk krypterings-/dekrypteringsseksjoner (41a, 41b,...41n).
20. Innretning i henhold til krav 19,karakterisert vedat det er en skrivbar/lesbar tabell i innretningen (13) med tilfeldig genererte tall, hvorved den assosierte nøkkelen med en av de valgte algoritmene, ved hjelp av muliggjøringssignalet, blir kombinert med det tilfeldige tallet med en logisk eller aritmetisk operasjon.
21. Innretning i henhold til krav 20,karakterisert vedat innholdet av tabellen er forhåndsdefinert og anordnet i et mangfold av innretninger (13).
22. Innretning i henhold til krav 19,karakterisert vedat nøklene assosiert med algoritmene blir overført fira en bærer (63, 65) av en nøkkel til algoritmeseksjonene (41a, 41b,...41n) over en sikker kryptert kommunikasjonskanal (60) til mikrokontroller (51) i innretningen (13).
23. Innretning i henhold til krav 22,karakterisert vedat overføringen av nøklene blir gjort med en Diffie-Hellman nøkkelutvekslingsplan eller med en offentlig privat nøkkelplan.
24. Innretning i henhold til krav 22,karakterisert vedat overføringen av nøklene blir gjort med en autentiseringsprosess.
25. Innretning i henhold til krav 22,karakterisert vedat nøkkelbæreren (63, 65) er en innretning innbefattende prosesselementer og ikke-flyktig hukommelse.
26. Innretning i henhold til krav 22,karakterisert vedat den sikre kommunikasjonskanalen (60) er etablert mellom nøkkelbæreren (63, 65) mottagbart koblet til nøkkelinnretningsgrensesnittet (61), og en krypterings-/dekrypteirngsseksjon (41a, 41b,...41n) via mikrokontrolleren (51) og en elektronisk sikker enhet (42).
27. Innretning i henhold til krav 26,karakterisert vedat nøkkelinnretningsgrensesnittet (61) er en smartkortleser.
28. Innretning i henhold til krav 22,karakterisert vedat den sikre kanalen (60) er en optisk og/eller fiberkommunikasjonskanal.
29. Innretning i henhold til krav 22,karakterisert vedat den sikre kanalen (60) er en trådløs radiokommunikasjonskanal.
30. Innretning i henhold til krav 22,karakterisert vedat den sikre kanalen (60) er en trådbasert kommunikasjonskanal.
31. Innretning i henhold til krav 19,karakterisert vedat inngang og utgang fra mangfoldet av elektronisk krypterings-/dekrypteringskretsseksjonene (41a, 41b,...41n) er gjort over en kryptobuss (32).
32. Innretning i henhold til et av kravene 18 til 30,karakterisertv e d at den interne hukommelsen (31) er koblet til kryptobussen (32) via en kretskontroller (30).
33. Innretning i henhold til et av kravene 19 til 33,karakterisertved at en inngangs-/utgangsbuss (11) og/eller inngangs-/utgangsbuss (15) i innretningen (139 kan være en av følgende valg, men ikke begrense til: SCSI, IDE, AT, ATA, USB, FireWire, FiberChannel.
34. Innretning i henhold til et av kravene 19 til 33,karakterisertv e d at inngangs-/utgangsbussen (11) og inngangs-/utgangsbussen (15) kan være forskjellig i hvilket tilfelle innretningskontrolleren (30) eksekverer en protokolloversettelse mellom de to inngangs-Aitgangsbussene (11,15).
35. Innretning i henhold til et av kravene 19, til 34,karakterisertved at: en master boot record til et harddisksystem kryptert med en av mangfoldet av krypterings-/dekrypteringsalgoritmene i de elektroniske krypterings-/dekrypteringsseksjonene (41a, 41b,...41n) med assosiert nøkkel er lagret på en nøkkelbærer (63, 65), mikrokontrolleren (51) leser og overfører den nevnte master boot record for lagring i hukommelsen (31), et koblet datamaskinssystem (10) kan så bli startet opp i henhold til innholdet av hukommelsen (31) via innretningskontrolleren (30) og den mellomkoblede bussen (11).
36. Innretning i henhold til et av kravene 19 til 35,karakterisertv e d at enhver e-mail eller annen type av elektroniske data som for eksempel nettverkstrafikk kan bli overført fra datamaskinsytemet (10) via bussen (11) og innretningskontrolleren (30) til hukommelsen (31), og bli kryptert/dekryptert over kryptobussen (32), og så bli lest tilbake til datamaskinssystemet (10) for videre handlinger.
NO20041110A 2001-09-28 2004-03-17 Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning. NO331504B1 (no)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US32516801P 2001-09-28 2001-09-28
PCT/NO2002/000342 WO2003027816A1 (en) 2001-09-28 2002-09-25 Method and device for encryption/decryption of data on mass storage device

Publications (2)

Publication Number Publication Date
NO20041110L NO20041110L (no) 2004-06-16
NO331504B1 true NO331504B1 (no) 2012-01-16

Family

ID=23266727

Family Applications (1)

Application Number Title Priority Date Filing Date
NO20041110A NO331504B1 (no) 2001-09-28 2004-03-17 Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning.

Country Status (14)

Country Link
US (1) US7434069B2 (no)
EP (1) EP1442349A1 (no)
JP (2) JP4734585B2 (no)
KR (1) KR100692425B1 (no)
CN (1) CN1592877B (no)
AU (1) AU2002326226B2 (no)
BR (1) BR0212873A (no)
CA (1) CA2461408C (no)
HK (1) HK1075945A1 (no)
IL (2) IL161027A0 (no)
NO (1) NO331504B1 (no)
RU (1) RU2298824C2 (no)
WO (1) WO2003027816A1 (no)
ZA (1) ZA200402355B (no)

Families Citing this family (145)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003110544A (ja) * 2001-09-28 2003-04-11 Toshiba Corp 暗復号装置及び方法
US7865440B2 (en) * 2001-10-11 2011-01-04 International Business Machines Corporation Method, system, and program for securely providing keys to encode and decode data in a storage cartridge
US20040088481A1 (en) * 2002-11-04 2004-05-06 Garney John I. Using non-volatile memories for disk caching
GB0301448D0 (en) * 2003-01-22 2003-02-19 Falanx Microsystems As Microprocessor systems
KR100524952B1 (ko) * 2003-03-07 2005-11-01 삼성전자주식회사 기록 매체의 데이터 보호 방법 및 이를 이용한 디스크드라이브
DE10310351A1 (de) * 2003-03-10 2004-09-23 Giesecke & Devrient Gmbh Laden von Mediendaten in einen tragbaren Datenträger
KR100712498B1 (ko) 2003-06-21 2007-04-27 삼성전자주식회사 하드디스크 드라이브의 난수 발생 방법
GB2405958A (en) * 2003-08-20 2005-03-16 Macrovision Europ Ltd Code obfuscation and controlling a processor by emulation
JP2005128996A (ja) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd 情報処理装置、情報処理システム及びプログラム
JP4998518B2 (ja) * 2003-09-30 2012-08-15 大日本印刷株式会社 情報処理装置、情報処理システム及びプログラム
US7562230B2 (en) * 2003-10-14 2009-07-14 Intel Corporation Data security
JP2005130059A (ja) * 2003-10-22 2005-05-19 Fuji Xerox Co Ltd 画像形成装置および交換部品
US7558911B2 (en) * 2003-12-18 2009-07-07 Intel Corporation Maintaining disk cache coherency in multiple operating system environment
EP1578051B1 (en) * 2004-03-18 2008-10-29 STMicroelectronics (Research & Development) Limited Apparatus comprising a key selector and a key update mechanism for encrypting/decrypting data to be written/read in a store
WO2005099342A2 (en) 2004-04-19 2005-10-27 Securewave S.A. A generic framework for runtime interception and execution control of interpreted languages
EP2267624B1 (en) * 2004-04-19 2017-07-12 Lumension Security S.A. A generic framework for runtime interception and execution control of interpreted languages
US7363510B2 (en) * 2004-05-26 2008-04-22 Mount Sinai School Of Medicine Of New York University System and method for presenting copy protected content to a user
JP2006020253A (ja) * 2004-07-05 2006-01-19 Ricoh Co Ltd 情報管理システム、情報管理方法、記録媒体及びプログラム
US20060036952A1 (en) * 2004-08-16 2006-02-16 Inventec Corporation Program-controlled system startup management interface for computer platform
US20060053282A1 (en) * 2004-09-03 2006-03-09 Mccown Steven H Canister-based storage system security
KR20070052233A (ko) * 2004-09-21 2007-05-21 마츠시타 덴끼 산교 가부시키가이샤 기밀정보처리방법, 기밀정보처리장치, 및 컨텐츠데이터재생장치
US7711965B2 (en) * 2004-10-20 2010-05-04 Intel Corporation Data security
US8332653B2 (en) * 2004-10-22 2012-12-11 Broadcom Corporation Secure processing environment
EP1825470A4 (en) * 2004-12-13 2009-04-29 Lg Electronics Inc METHOD AND DEVICE FOR WRITING AND USING KEYS FOR ENCRYPTING / DECALKING A CONTENT AND KEY WRITTEN BY THE PROCESS SAVING THE RECORDING MEDIUM
EP1825469A4 (en) * 2004-12-13 2009-04-29 Lg Electronics Inc METHOD AND DEVICE FOR WRITING AND USING KEYS FOR ENCRYPTING / DECREASING A CONTENT AND KEY WRITING BY THE PROCESS SAVING THE RECORDING MEDIUM
CN1306357C (zh) * 2004-12-15 2007-03-21 中国长城计算机深圳股份有限公司 一种保证信息安全的计算机系统
US8504849B2 (en) 2004-12-21 2013-08-06 Sandisk Technologies Inc. Method for versatile content control
US8601283B2 (en) 2004-12-21 2013-12-03 Sandisk Technologies Inc. Method for versatile content control with partitioning
US8051052B2 (en) * 2004-12-21 2011-11-01 Sandisk Technologies Inc. Method for creating control structure for versatile content control
US7971070B2 (en) * 2005-01-11 2011-06-28 International Business Machines Corporation Read/write media key block
CN100346302C (zh) * 2005-02-01 2007-10-31 苏州超锐微电子有限公司 一种通过磁盘主引导记录实现网络功能的方法
JP2006217369A (ja) * 2005-02-04 2006-08-17 Seiko Epson Corp 暗号化/復号化装置、通信コントローラ及び電子機器
US8423788B2 (en) * 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8321686B2 (en) * 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) * 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
JP2006229863A (ja) * 2005-02-21 2006-08-31 Seiko Epson Corp 暗号化/復号化装置、通信コントローラ及び電子機器
JP2006251989A (ja) * 2005-03-09 2006-09-21 Kwok-Yan Leung オペレーションシステムでネットワークに対応するデータ保護装置
WO2006103679A2 (en) 2005-04-01 2006-10-05 Ged-I Ltd. A method for data storage protection and encryption
US7478220B2 (en) * 2005-06-23 2009-01-13 International Business Machines Corporation Method, apparatus, and product for prohibiting unauthorized access of data stored on storage drives
US7743409B2 (en) * 2005-07-08 2010-06-22 Sandisk Corporation Methods used in a mass storage device with automated credentials loading
GB2429308B (en) * 2005-07-29 2007-08-01 Hewlett Packard Development Co Data transfer device
US7536540B2 (en) * 2005-09-14 2009-05-19 Sandisk Corporation Method of hardware driver integrity check of memory card controller firmware
US20070061597A1 (en) * 2005-09-14 2007-03-15 Micky Holtzman Secure yet flexible system architecture for secure devices with flash mass storage memory
CN100561449C (zh) * 2005-09-23 2009-11-18 中国科学院计算技术研究所 一种硬盘扇区级数据加密解密方法及系统
US20070162626A1 (en) * 2005-11-02 2007-07-12 Iyer Sree M System and method for enhancing external storage
US8001374B2 (en) * 2005-12-16 2011-08-16 Lsi Corporation Memory encryption for digital video
DE102006006489A1 (de) * 2006-02-10 2007-08-16 Bundesdruckerei Gmbh Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte
JP4829632B2 (ja) 2006-02-10 2011-12-07 株式会社リコー データ暗号化装置、データ暗号化方法、データ暗号化プログラム、および記録媒体
US8046593B2 (en) * 2006-06-07 2011-10-25 Microsoft Corporation Storage device controlled access
CN100468434C (zh) * 2006-06-28 2009-03-11 北京飞天诚信科技有限公司 一种实现计算机的开机保护方法及装置
US8613103B2 (en) 2006-07-07 2013-12-17 Sandisk Technologies Inc. Content control method using versatile control structure
US8639939B2 (en) 2006-07-07 2014-01-28 Sandisk Technologies Inc. Control method using identity objects
US8140843B2 (en) * 2006-07-07 2012-03-20 Sandisk Technologies Inc. Content control method using certificate chains
US8266711B2 (en) 2006-07-07 2012-09-11 Sandisk Technologies Inc. Method for controlling information supplied from memory device
US8245031B2 (en) * 2006-07-07 2012-08-14 Sandisk Technologies Inc. Content control method using certificate revocation lists
US8806227B2 (en) * 2006-08-04 2014-08-12 Lsi Corporation Data shredding RAID mode
US20080072058A1 (en) * 2006-08-24 2008-03-20 Yoram Cedar Methods in a reader for one time password generating device
US20080052524A1 (en) * 2006-08-24 2008-02-28 Yoram Cedar Reader for one time password generating device
JP4983165B2 (ja) * 2006-09-05 2012-07-25 ソニー株式会社 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体
US20080080706A1 (en) * 2006-09-29 2008-04-03 Fujitsu Limited Code conversion apparatus, code conversion method, and computer product
KR100834205B1 (ko) 2006-10-10 2008-05-30 김상훈 외장형데이터저장장치의 보안시스템 및 그 제어방법
JP4877962B2 (ja) * 2006-10-25 2012-02-15 株式会社日立製作所 暗号化機能を備えたストレージサブシステム
US7876894B2 (en) * 2006-11-14 2011-01-25 Mcm Portfolio Llc Method and system to provide security implementation for storage devices
US20080141041A1 (en) * 2006-12-08 2008-06-12 Hitachi Global Storage Technologies Netherlands B.V. Wireless encryption key integrated HDD
US8423794B2 (en) * 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
US8588421B2 (en) 2007-01-26 2013-11-19 Microsoft Corporation Cryptographic key containers on a USB token
US7711213B2 (en) * 2007-01-29 2010-05-04 Hewlett-Packard Development Company, L.P. Nanowire-based modulators
EP1953668A3 (en) * 2007-01-30 2009-12-16 MCM Portfolio LLC System and method of data encryption and data access of a set of storage devices via a hardware key
US20080288782A1 (en) * 2007-05-18 2008-11-20 Technology Properties Limited Method and Apparatus of Providing Security to an External Attachment Device
US20090046858A1 (en) * 2007-03-21 2009-02-19 Technology Properties Limited System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key
US20080184035A1 (en) * 2007-01-30 2008-07-31 Technology Properties Limited System and Method of Storage Device Data Encryption and Data Access
US20080181406A1 (en) * 2007-01-30 2008-07-31 Technology Properties Limited System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key
DE102007005638B4 (de) * 2007-02-05 2014-10-09 Siemens Aktiengesellschaft Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage
ITMI20070369A1 (it) * 2007-02-27 2008-08-28 Archivist S R L Apparecchiatura per l'archiviazione e la gestione di documenti elettronici e sistema di archiavizione e gestione di documenti elettronici comprendente una o piu'di dette apparecchiature
JP4892382B2 (ja) * 2007-03-27 2012-03-07 株式会社日立製作所 記憶装置及びデータ管理方法
KR20080100673A (ko) * 2007-05-14 2008-11-19 삼성전자주식회사 암호화 기반의 프로세서 보안 방법 및 장치
US20080288703A1 (en) * 2007-05-18 2008-11-20 Technology Properties Limited Method and Apparatus of Providing Power to an External Attachment Device via a Computing Device
EP2196911A4 (en) * 2007-07-20 2010-10-06 Hui Lin CONSTRUCTION AND METHOD FOR ENCRYPTING A DIGITAL INFORMATION MEMORY CARD
EP2053568A1 (fr) * 2007-09-28 2009-04-29 Gemplus Procédé de génération de masques dans un objet communiquant et objet communiquant correspondant
IL187043A0 (en) * 2007-10-30 2008-02-09 Sandisk Il Ltd Secure pipeline manager
US8898477B2 (en) * 2007-11-12 2014-11-25 Gemalto Inc. System and method for secure firmware update of a secure token having a flash memory controller and a smart card
US8307131B2 (en) * 2007-11-12 2012-11-06 Gemalto Sa System and method for drive resizing and partition size exchange between a flash memory controller and a smart card
US7995754B2 (en) * 2007-11-30 2011-08-09 Microsoft Corporation Recordation of encrypted data to a recordable medium
US9251382B2 (en) * 2007-12-20 2016-02-02 International Business Machines Corporation Mapping encrypted and decrypted data via key management system
US7958372B1 (en) * 2007-12-26 2011-06-07 Emc (Benelux) B.V., S.A.R.L. Method and apparatus to convert a logical unit from a first encryption state to a second encryption state using a journal in a continuous data protection environment
US9262594B2 (en) * 2008-01-18 2016-02-16 Microsoft Technology Licensing, Llc Tamper evidence per device protected identity
US20100031057A1 (en) * 2008-02-01 2010-02-04 Seagate Technology Llc Traffic analysis resistant storage encryption using implicit and explicit data
US20090196417A1 (en) * 2008-02-01 2009-08-06 Seagate Technology Llc Secure disposal of storage data
US8103844B2 (en) 2008-02-01 2012-01-24 Donald Rozinak Beaver Secure direct platter access
US8108928B2 (en) * 2008-06-20 2012-01-31 International Business Machines Corporation Adaptive traitor tracing
US8122501B2 (en) * 2008-06-20 2012-02-21 International Business Machines Corporation Traitor detection for multilevel assignment
US8422684B2 (en) * 2008-08-15 2013-04-16 International Business Machines Corporation Security classes in a media key block
US8341430B2 (en) * 2008-10-03 2012-12-25 Microsoft Corporation External encryption and recovery management with hardware encrypted storage devices
US9104618B2 (en) 2008-12-18 2015-08-11 Sandisk Technologies Inc. Managing access to an address range in a storage device
US8571209B2 (en) 2009-01-19 2013-10-29 International Business Machines Recording keys in a broadcast-encryption-based system
US20100185843A1 (en) * 2009-01-20 2010-07-22 Microsoft Corporation Hardware encrypting storage device with physically separable key storage device
GB2481161B (en) 2009-03-23 2014-08-13 Hewlett Packard Development Co System and method for securely storing data in an electronic device
US9330282B2 (en) * 2009-06-10 2016-05-03 Microsoft Technology Licensing, Llc Instruction cards for storage devices
US8321956B2 (en) 2009-06-17 2012-11-27 Microsoft Corporation Remote access control of storage devices
EP2375355A1 (en) * 2010-04-09 2011-10-12 ST-Ericsson SA Method and device for protecting memory content
US20120079281A1 (en) * 2010-06-28 2012-03-29 Lionstone Capital Corporation Systems and methods for diversification of encryption algorithms and obfuscation symbols, symbol spaces and/or schemas
KR101026647B1 (ko) 2010-07-26 2011-04-04 주식회사 유비즈코아 통신 보안 시스템 및 그 방법과 이에 적용되는 키 유도 암호알고리즘
SE1050902A1 (sv) * 2010-09-02 2012-03-03 Business Security Ol Ab Elektronisk krypteringsapparat och metod
US8650654B2 (en) * 2010-09-17 2014-02-11 Kabushiki Kaisha Toshiba Memory device, memory system, and authentication method
US20120159042A1 (en) * 2010-12-21 2012-06-21 Western Digital Technologies, Inc. Data storage device executing a unitary command comprising two cipher keys to access a sector spanning two encryption zones
KR101824044B1 (ko) * 2011-05-17 2018-01-31 삼성전자주식회사 부호화 출력 기능을 구비한 데이터 저장 장치 및 시스템
FR2980285B1 (fr) * 2011-09-15 2013-11-15 Maxim Integrated Products Systemes et procedes de gestion de cles cryptographiques dans un microcontroleur securise
JP2013069250A (ja) * 2011-09-26 2013-04-18 Toshiba Corp 記憶装置および書き込み装置
KR101240552B1 (ko) * 2011-09-26 2013-03-11 삼성에스디에스 주식회사 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법
KR101236991B1 (ko) 2011-10-24 2013-02-25 한국전자통신연구원 하드디스크 암호화를 위한 장치 및 방법
US8539601B2 (en) 2012-01-17 2013-09-17 Lockheed Martin Corporation Secure data storage and retrieval
US8819443B2 (en) 2012-02-14 2014-08-26 Western Digital Technologies, Inc. Methods and devices for authentication and data encryption
RU2494471C1 (ru) * 2012-04-10 2013-09-27 Закрытое акционерное общество "Современные беспроводные технологии" Устройство шифрования данных по стандартам гост 28147-89 и aes
KR101326243B1 (ko) * 2012-06-04 2013-11-11 순천향대학교 산학협력단 사용자 인증 방법
DE102012015348A1 (de) * 2012-08-06 2014-02-06 Giesecke & Devrient Gmbh Verfahren zum Schreiben und Lesen von Daten auf einem blockorientierten Speichermedium
US11044076B2 (en) * 2013-02-25 2021-06-22 Hecusys, LLC Encrypted data processing
US9215067B2 (en) * 2013-04-05 2015-12-15 International Business Machines Corporation Achieving storage efficiency in presence of end-to-end encryption using downstream decrypters
US9058295B2 (en) 2013-04-25 2015-06-16 Hewlett-Packard Development Company, L.P. Encrypt data of storage device
DE102013212525A1 (de) 2013-06-27 2014-12-31 Siemens Aktiengesellschaft Datenspeichervorrichtung zum geschützten Datenaustausch zwischen verschiedenen Sicherheitszonen
RU2559728C2 (ru) * 2013-10-24 2015-08-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ копирования файлов с зашифрованного диска
KR101428649B1 (ko) * 2014-03-07 2014-08-13 (주)케이사인 맵 리듀스 기반의 대용량 개인정보 암호화 시스템 및 그의 동작 방법
US10326803B1 (en) 2014-07-30 2019-06-18 The University Of Tulsa System, method and apparatus for network security monitoring, information sharing, and collective intelligence
US9298647B2 (en) 2014-08-25 2016-03-29 HGST Netherlands B.V. Method and apparatus to generate zero content over garbage data when encryption parameters are changed
JP6613568B2 (ja) * 2015-01-19 2019-12-04 富士通株式会社 処理プログラム、処理装置および処理方法
US10013363B2 (en) * 2015-02-09 2018-07-03 Honeywell International Inc. Encryption using entropy-based key derivation
US9779262B2 (en) * 2015-04-20 2017-10-03 Qualcomm Incorporated Apparatus and method to decrypt file segments in parallel
US9954681B2 (en) 2015-06-10 2018-04-24 Nxp Usa, Inc. Systems and methods for data encryption
US9514205B1 (en) * 2015-09-04 2016-12-06 Palantir Technologies Inc. Systems and methods for importing data from electronic data files
US10013561B2 (en) * 2015-10-30 2018-07-03 Ncr Corporation Dynamic pre-boot storage encryption key
MD4511C1 (ro) * 2016-04-20 2018-03-31 Анатолий БАЛАБАНОВ Dispozitiv şi procedeu de protecţie criptografică a informaţiei binare (variante)
CN105791434A (zh) * 2016-04-27 2016-07-20 深圳市永兴元科技有限公司 分布式数据处理方法及数据中心
CN106100829B (zh) * 2016-05-23 2020-05-19 深圳市硅格半导体有限公司 加密存储的方法及装置
US10708073B2 (en) 2016-11-08 2020-07-07 Honeywell International Inc. Configuration based cryptographic key generation
DE102017106042A1 (de) * 2016-12-22 2018-06-28 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zum abgesicherten Hochfahren eines Computersystems, sowie Anordnung, umfassend ein Computersystem und ein an das Computersystem angeschlossenes externes Speichermedium
CN107516047A (zh) 2017-08-08 2017-12-26 杭州中天微系统有限公司 一种存储数据加解密装置及方法
US11550927B2 (en) 2017-09-26 2023-01-10 C-Sky Microsystems Co., Ltd. Storage data encryption/decryption apparatus and method
CN107590402A (zh) * 2017-09-26 2018-01-16 杭州中天微系统有限公司 一种存储数据加解密装置及方法
US10846412B2 (en) * 2017-11-14 2020-11-24 Blackberry Limited Electronic device including display and method of encrypting and decrypting information
GB2574433B (en) 2018-06-06 2022-11-02 Istorage Ltd Dongle for ciphering data
CN109375875B (zh) * 2018-10-11 2020-03-17 北京明朝万达科技股份有限公司 文件传输方法和装置
US11204986B1 (en) * 2018-11-28 2021-12-21 American Megatrends International, Llc Control of a prompt for a credential to unlock a storage device
CN109670347A (zh) * 2018-12-05 2019-04-23 珠海全志科技股份有限公司 解密装置、方法及片上系统
CN109670344A (zh) * 2018-12-05 2019-04-23 珠海全志科技股份有限公司 加密装置、方法及片上系统
CN109828489B (zh) * 2018-12-29 2020-06-12 河南辉煌城轨科技有限公司 一种通用型综合监控前置通信控制器软件
CN113704145B (zh) * 2020-05-20 2024-02-09 慧荣科技股份有限公司 加密和解密物理地址信息的方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0471538A2 (en) * 1990-08-13 1992-02-19 Gec-Marconi (Holdings) Limited Data security system
EP0950941A2 (en) * 1998-03-18 1999-10-20 Fujitsu Limited Method of and apparatus for protecting data on storage medium and storage medium
US6158004A (en) * 1997-06-10 2000-12-05 Mitsubishi Denki Kabushiki Kaisha Information storage medium and security method thereof

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63184853A (ja) * 1987-01-28 1988-07-30 Toshiba Corp 携帯可能電子装置
JPH04256113A (ja) * 1991-02-08 1992-09-10 Toshiba Corp コンピュータシステムのセキュリティ管理方式
JP2862030B2 (ja) * 1991-06-13 1999-02-24 三菱電機株式会社 暗号化方式
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
NL9200296A (nl) 1992-02-18 1993-09-16 Tulip Computers International Inrichting voor het door middel van het des algoritme vercijferen en ontcijferen van data naar en van een harde geheugenschijf.
GB2264374A (en) 1992-02-24 1993-08-25 Systems Limited Kk Programmable protocol converter.
US5483596A (en) * 1994-01-24 1996-01-09 Paralon Technologies, Inc. Apparatus and method for controlling access to and interconnection of computer system resources
US5659614A (en) * 1994-11-28 1997-08-19 Bailey, Iii; John E. Method and system for creating and storing a backup copy of file data stored on a computer
JP2812312B2 (ja) * 1996-01-12 1998-10-22 三菱電機株式会社 暗号化システム
JP3747520B2 (ja) * 1996-01-30 2006-02-22 富士ゼロックス株式会社 情報処理装置及び情報処理方法
GB2319705B (en) * 1996-11-21 2001-01-24 Motorola Ltd Arrangement for encryption/decryption of data and data carrier incorporating same
GB2321728B (en) * 1997-01-30 2001-12-19 Motorola Inc Apparatus and method for accessing secured data stored in a portable data carrier
JP3548529B2 (ja) * 1997-08-20 2004-07-28 パワークエスト・コーポレーション イメージ形成中のコンピュータ・パーティション操作
US6157722A (en) * 1998-03-23 2000-12-05 Interlok Technologies, Llc Encryption key management system and method
WO2000004681A1 (en) * 1998-07-16 2000-01-27 Francis Lambert Method for secure data transmission and storage
JP3625658B2 (ja) * 1998-09-18 2005-03-02 富士通エフ・アイ・ピー株式会社 暗号化方式および記録媒体
US6519762B1 (en) * 1998-12-15 2003-02-11 Dell Usa, L.P. Method and apparatus for restoration of a computer system hard drive
GB2353191A (en) * 1999-07-09 2001-02-14 Hw Comm Ltd Packet data encryption/decryption
WO2001048755A1 (fr) * 1999-12-28 2001-07-05 Matsushita Electric Industrial Co., Ltd. Appareil d'enregistrement, appareil de reproduction, appareil de traitement de donnees, appareil d'enregistrement/de reproduction et appareil de transmission de donnees
US7270193B2 (en) * 2000-02-14 2007-09-18 Kabushiki Kaisha Toshiba Method and system for distributing programs using tamper resistant processor
JP3801833B2 (ja) * 2000-02-14 2006-07-26 株式会社東芝 マイクロプロセッサ
AU2002239252A1 (en) * 2000-11-15 2002-05-27 Netcharge.Com, Inc. Method and system for transmitting data with enhanced security that conforms to a network protocol
US20030156715A1 (en) * 2001-06-12 2003-08-21 Reeds James Alexander Apparatus, system and method for validating integrity of transmitted data
US7233669B2 (en) * 2002-01-02 2007-06-19 Sony Corporation Selective encryption to enable multiple decryption keys
US8818896B2 (en) * 2002-09-09 2014-08-26 Sony Corporation Selective encryption with coverage encryption
US20050177749A1 (en) * 2004-02-09 2005-08-11 Shlomo Ovadia Method and architecture for security key generation and distribution within optical switched networks
US20080084995A1 (en) * 2006-10-06 2008-04-10 Stephane Rodgers Method and system for variable and changing keys in a code encryption system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0471538A2 (en) * 1990-08-13 1992-02-19 Gec-Marconi (Holdings) Limited Data security system
US6158004A (en) * 1997-06-10 2000-12-05 Mitsubishi Denki Kabushiki Kaisha Information storage medium and security method thereof
EP0950941A2 (en) * 1998-03-18 1999-10-20 Fujitsu Limited Method of and apparatus for protecting data on storage medium and storage medium

Also Published As

Publication number Publication date
NO20041110L (no) 2004-06-16
KR20040041642A (ko) 2004-05-17
WO2003027816A1 (en) 2003-04-03
CA2461408C (en) 2012-06-05
EP1442349A1 (en) 2004-08-04
US20030070083A1 (en) 2003-04-10
BR0212873A (pt) 2004-09-14
JP2011141883A (ja) 2011-07-21
CN1592877A (zh) 2005-03-09
RU2004113090A (ru) 2005-10-27
IL161027A0 (en) 2004-08-31
RU2298824C2 (ru) 2007-05-10
CA2461408A1 (en) 2003-04-03
US7434069B2 (en) 2008-10-07
HK1075945A1 (en) 2005-12-30
ZA200402355B (en) 2005-06-29
IL161027A (en) 2009-06-15
JP2005504373A (ja) 2005-02-10
JP4734585B2 (ja) 2011-07-27
CN1592877B (zh) 2010-05-26
AU2002326226B2 (en) 2008-06-12
KR100692425B1 (ko) 2007-03-09

Similar Documents

Publication Publication Date Title
NO331504B1 (no) Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning.
AU2002326226A1 (en) Method and device for encryption/decryption of data on mass storage device
US20040172538A1 (en) Information processing with data storage
US8370645B2 (en) Protection of security parameters in storage devices
US8103882B2 (en) Apparatus and method for securing data on a portable storage device
US7406604B2 (en) Method for protecting a memory card, and a memory card
US20120237024A1 (en) Security System Using Physical Key for Cryptographic Processes
TW200949543A (en) Secure disposal of storage data
JP2010509662A (ja) 外部不揮発性メモリに記憶された情報の暗号化のための方法およびシステム
CN101256609B (zh) 存储卡及其安全方法
CN101246530A (zh) 对一组存储设备进行数据加密和数据访问的系统和方法
CN102023935A (zh) 具有密钥的数据存储设备及其方法
US20080076355A1 (en) Method for Protecting Security Accounts Manager (SAM) Files Within Windows Operating Systems
US20090086965A1 (en) Secure, two-stage storage system
RU2560827C1 (ru) Способ защиты информации и портативное многофункциональное устройство для защиты информации
JP2023081374A (ja) データ記憶システムに対するセッションベースのセキュアなアクセス制御のための方法およびシステム
CN104573564A (zh) 一种bios管理员密码的系统下管理方法
TWI509457B (zh) 資料儲存裝置以及其資料保護方法
KR102305680B1 (ko) 복수의 스토리지를 이용한 보안정보 저장 시스템
JP2021149547A (ja) 記憶装置および制御方法
CN115935382A (zh) 一种基于随机数的eMMC控制器的加解密方法
JPH1145202A (ja) ファイル消去防止装置

Legal Events

Date Code Title Description
CHAD Change of the owner's name or address (par. 44 patent law, par. patentforskriften)

Owner name: HIDDN TECHNOLOGY AS, NO

CREP Change of representative
CHAD Change of the owner's name or address (par. 44 patent law, par. patentforskriften)

Owner name: HIDDN TECHNOLOGY AS, LYSAKER TORG 8, 1366 LYSAKER, NORGE MELDING INNKOMMET PATENTSTYRET: 2020.08.17

MM1K Lapsed by not paying the annual fees