PL176458B1

PL176458B1 - Sposób szyfrowania systemu komunikacyjnego

Info

Publication number: PL176458B1
Application number: PL95315574A
Authority: PL
Inventors: Frank W. Sudia
Original assignee: Certc0 Llc
Priority date: 1994-01-13
Filing date: 1995-01-13
Publication date: 1999-05-31
Also published as: HU216231B; ATE202439T1; CA2176032A1; BR9506414A; PT739560E; DE69521413T2; WO1995019672A3; JPH09507729A; US5872849A; JP2006246543A; JP2005328574A; EP0739560B1; PL315574A1; GR3036650T3; HUT75800A; MX9602773A; CZ197896A3; AU1680395A; ES2158081T3; HU9601870D0

Abstract

1. Sposób szyfrowania systemu komu- nikacyjnego, podczas którego deponuje sie w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do uzycia przez wielu uzytkowników, znamienny tym, ze weryfikuje sie kazdy z wielu kluczy w cen- trum depozytowym, potwierdza sie kazdy z wielu kluczy po weryfikacji i inicjuje sie transmisje od kazdego z wielu uzytkowni- ków, uzywajacych jednego z wielu kluczy, uwarunkowana potwierdzeniem. F i g . 3 PL PL PL PL PL PL PL

Description

Przedmiotem wynalazku jest sposób szyfrowania systemu komunikacyjnego, zwłaszcza bezpiecznego wytwarzania, potwierdzania, gromadzenia i rozdziału kluczy szyfrowych, stosowanych w szyfrowanych systemach komunikacyjnych. Wynalazek dotyczy także systemu deponowania kluczy szyfrowych i zarządzania certyfikatami kluczy publicznych, wspomaganego przez samotestujące się urządzenie mikroukładowe.

Rozwój i rozprzestrzenianie się złożonych technologu komputerowych i systemów przetwarzania przesyłanych danych doprowadziły do szybkiego rozwoju cyfrowych form przesyłania informacji. Te informacje są stosowane w operacjach finansowych i bankowych, poczcie elektronicznej, wymianie elektronicznej danych i innych systemach przetwarzania danych Przesyłanie informacji w niechronionych i niezabezpieczonych kanałach komunikacyjnych naraża przesyłane informacje na zmiany. Systemy komunikacji szyfrowej chronią tajemnicę tych transmisji, uniemożliwiając zmianę, przez strony nieuprawnione, informacji przesyłanych poprzez niechroniony kanał. Systemy komunikacji szyfrowej umożliwiają ponadto zapewnienie kompletności i autentyczności transmisji, tworząc zrozumiałe, nie dające się sfałszować i zależne od dokumentów, digitalizowane podpisy, które uniemożliwiają wyparcie się przez nadawcę własnego komunikatu.

Sposób szyfrowania polega na kodowaniu lub szyfrowaniu przesyłanych danych cyfrowych, a w tym również digitalizowanego głosu lub transmisji obrazów·', aby uczynić je niezrozumiałymi dla wszystkich oprócz zamierzonego odbiorcy. Komunikat niezaszyfrowany, zawierający digitalizowane dźwięki, litery i/lub liczby, jest kodowany cyfrowo, a następnie szyfrowany przy wykorzystaniu złożonego algorytmu matematycznego, opartego na zestawie cyfr, który przekształca zakodowany komunikat, zwany także kluczem szyfrowym. Klucz szyfrowy jest sekwencją bitów danych, które są wybierane losowo lub mają specjalne własności matematyczne zależne od stosowanego algorytmu lub systemu szyfrowania. Złożone algorytmy szyfrowe, realizowane na komputerach, przekształcają i transformują liczby, zawierające setki tysięcy bitów i sąodporne na każdy znany sposób nieuprawnionego deszyfrowania. Istniejądwie podstawowe klasy algorytmów szyfrowych: algorytmy z kluczem symetrycznym i algorytmy z kluczem asymetrycznym.

Algorytmy z kluczem symetrycznym wykorzystują identyczny klucz szyfrowy zarówno do szyfrowania przez nadawcę i deszyfrowania przez odbiorcę transmisji. Systemy szyfrowe z kluczem symetrycznym są oparte na wzajemnym zaufaniu dwóch stron, mających wspólny klucz używany do ochrony systemu przed dostępem przez nieuprawnioną trzecią stronę. Najlepszym znanym algorytmem z kluczem symetrycznym jest algorytm DES zgodny z amerykańską Normą Szyfrowania Danych, opublikowany po raz pierwszy przez amerykańską instytucję normalizacyjną National Institute of Standard and Technology, Federal Register, 17 marzec 1975, tom 40, nr 52 i 1 sierpień 1975, tom 40, nr 149. Urządzenie szyfrujące nadawcy wykorzystuje algorytm DES do szyfrowania nadawanej informacji kluczem szyfrowym, przy czym klucz szyfrowy DES ma długość 56 bitów, w trakcie sesji komunikacyjnej przy pomocy klucza sesyjnego. Urządzenie deszyfrujące odbiorcy wykorzystuje odwrotny algorytm DES do odszyfrowania zaszyfrowanego komunikatu tym samym kluczem szyfrowym, jaki był użyty do szyfrowania. Jednak ogólna przydatność symetrycznych systemów szyfrujących została zakwestionowana,

176 458 ponieważ wymagają one, przed pożądaną transmisją między nadawcą i odbiorcą, wymiany klucza szyfrowego pomiędzy nadawcą i odbiorcą poprzez zabezpieczony kanał, do którego nie ma dostępu nieuprawniona trzecia strona. Ta procedura, w której najpierw należy bezpiecznie wymienić klucz szyfrowy i dopiero potem szyfrować komunikaty, jest często powolna i niewygodna, jest więc nieprzydatna w sytuacjach wymagających spontanicznych lub nieoczekiwanych transmisji lub w sytuacjach wymagających komunikacji między nie znającymi się stronami Ponadto przejęcie klucza szyfrowego przez nieuprawnioną trzeciąstronę umożliwia jej dostęp na obu końcach zaszyfrowanej konwersacji

Druga klasa algorytmów szyfrowych, algorytmy asymetryczne, wykorzystuje różne klucze szyfrowe do szyfrowania i deszyfrowania. W systemie szyfrowym, wykorzystującym algorytm z kluczem asymetrycznym, użytkownik podaje klucz szyfrujący do publicznej wiadomości i zachowuje prywatny klucz deszyfrujący. Nie jest tu możliwe wyprowadzenie prywatnego klucza deszyfrującego z publicznego klucza szyfrującego. Tak więc każdy, kto zna publiczny klucz określonego użytkownika, może zaszyfrować komunikat dla tego użytkownika, podczas gdy tylko użytkownik będący właścicielem prywatnego klucza, odpowiadającego kluczowi publicznemu, może odszyfrować komunikat. Ten publiczny/prywatny system kluczy został po raz pierwszy zaproponowany przez Diffiego i Hellmana w publikacji “Nowe kierunki kryptografii” w IEEE Transaction on Information Theory, listopad 1976 i w opisie patentowym USA nr 4 200 770.

Algorytm asymetryczny wczesnego typu umożliwia bezpieczną komunikację niechronionym kanałem dzięki interaktywnemu tworzeniu przez uczestników transmisji klucza szyfrowego dla danej sesji komunikacyjnej. Wykorzystując algorytm z kluczem asymetrycznym, dwaj współdziałający użytkownicy jednocześnie i niezależnie wytwarzają bezpieczny klucz szyfrowy, który nie może być rozszyfrowany przez podsłuchującego i może być użyty symetrycznie do zaszyfrowania sesji komunikacyjnej pomiędzy użytkownikami. Ta interaktywna metoda wytwarzania bezpiecznego klucza cyfrowego była opisana przez Diffiego i Hellmana w pracy opublikowanej w 1976 r.

Do weryfikacji nadawcy może być także stosowany inny system podpisu cyfrowego, zwany DSA od słów Digital Signature Algoritm, tj. Algorytm Podpisu Cyfrowego. Algorytm DSA jestujawniony w amerykańskim zgłoszeniu patentowym nr 07/738431. Algorytm DSA ma własności podobne do własności algorytmu podpisu RSA w tym sensie, że nadawca przetwarza komunikat za pomocą algorytmu mieszającego dla utworzenia skrótu komunikatu, a następnie szyfruje lub podpisuje skrót komunikatu za pomocą swojego prywatnego klucza. Odbiorca weryfikuje zaszyfrowany skrót, używając publicznego klucza nadawcy. Jednak inaczej niż w algorytmie podpisu RSA, który przywraca początkową postać skrótu komunikatu, gdy odbiorca deszyfruje blok podpisu, algorytm weryfikujący DSA daje w wyniku tylko potwierdzenie autentyczności podpisu. Komunikaty zaszyfrowane przy użyciu publicznego klucza zamierzonego odbiorcy nie mogą później być odtworzone przez deszyfrowanie przy pomocy prywatnego klucza odbiorcy. Z tego powodu algorytm DSA może być dość dogodnie użyty do podpisu cyfrowego, ale nie do transmisji klucza lub bezpośredniego szyfrowania komunikatu

Aby system publicznego/prywatnego klucza działał skutecznie, użytkownicy muszą powierzyć scentralizowanej instytucji poświadczającej klucze odpowiedzialność za upublicznianie i uaktualnianie kartoteki publicznych kluczy szyfrujących Instytucja potwierdzająca klucze musi być wiarygodna dla wszystkich użytkowników, zarówno nadawców jak i odbiorców··. W tym celu instytucja potwierdzająca będzie rozprzestrzeniać informację o nazwie i publicznym kluczu szyfrującym każdego użytkownika i będzie dołączać swój własny podpis cyfrowy do rozsyłanych informacji, aby potwierdzić ich prawidłowość. Jednak, gdy więcej niż jedna jednostka lub hierarchia jednostek bierze udział w procesie deponowania, istnieje szereg metodologii lub modeli powiernictwa dla określenia, jak użytkownik będzie dokonywał deponowania. Istnieją trzy podstawowe modele: czysty model hierarchiczny, model wykonujący wzajemne potwierdzenia pomiędzy wieloma hierarchiami i model lokalnego powiernika. Te modele są opisane szczegółowo w dokumencie normalizacyjnym Amerykańskiego Instytutu Normalizacyjnego Χ9.30 “Kryptografia publicznych kluczy, wykorzystująca nieodwracalne algorytmy, dla instytu6

176 458 cji obsługi finansowej: Część 3: Zarządzanie certyfikatami dla DSA”, Amerykańskie Stowarzyszenie Bankierów., Waszyngton D.C., 1992. Chociaż nie ma jeszcze ogólnej zgody co do tego, który z wyżej wymienionych modeli deponowania jest najlepszy, przyjmuje się w opisie, że będzie ustalony i utrzymany stosowny, ogólnie akceptowany model wiarygodnych certyfikatów, w którym wydawanie certyfikatów będzie dokonywane przez więcej niż jednąjednostkę.

Opisany powyżej system publicznych/prywatnych kluczy bierze pod uwagę potrzebę zachowania tajemnicy przez użytkowników, którzy życzą sobie nadawać i odbierać komunikaty w sposób tajny. Jednak muszą być także uwzględnione przestrzeganie prawa i bezpieczeństwa narodowego. Możliwość monitorowania i podsłuchiwania przez rząd transmisji elektronicznych dla celów przestrzegania prawa i bezpieczeństwa narodowego musi być zapewnione, tak aby podejrzani przestępcy, terroryści i zagraniczni szpiedzy nie mogli konspirować poza zasięgiem prawa. Podczas gdy łączność telefoniczna może być monitorowana przez podsłuch, algorytmy szyfrujące czynią zaszyfrowane dane niemożliwymi do odszyfrowania nawet przez potężne komputery przystosowane do łamania szyfrów. Wzrost procentowego udziału cyfrowych i digitalizowanych transmisji zaszyfrowanych za pomocą zaawansowanych algorytmów utrudnia legalny, rządowy nadzór elektroniczny tych transmisji, zwłaszcza jeśli urządzenia szyfrujące są szeroko wprowadzone do telefonów, komputerów, kopiarek i innego sprzętu przetwarzającego dane.

Jednym sposobem umożliwiającym rządowi lub innym uprawnionym, prowadzącym dochodzenie, monitorowanie łączności podejrzanych przestępców, jest wymaganie, aby wszyscy użytkownicy łączności szyfrowej powierzali swoje prywatne klucze deszyfrujące albo instytucjom prywatnym albo rządowi. Ta metodajestjednak nieprzydatna, ponieważ ma niedostateczną ochronę przed nadużywaniem przez rząd prywatnych kluczy deszyfrujących i przed możliwością przedostawania się prywatnych kluczy deszyfrujących do nieuprawnionych trzecich stron przez kradzież lub korupcję.

Inną metodą deponowania prywatnych kluczy szyfrujących, umożliwiającą zachować tajemnicę transmisji i zapewnić egzekwowanie przestrzegania prawa, jest stosowanie systemu takiego, jak opisany w publikacji “Uczciwe Systemy Szyfrowania z Kluczami Publicznymi” Sylvio Micaliego, przedstawionej na CRYPTO 92 w marcu 1993 i opublikowanego przez Laboratorium Nauk Komputerowych Massachusetts Institute of Technology, październik 1993 i w opisie patentowym USA nr 5 276 737.

Główne centrum depozytowe jako instytucja obdarzona zaufaniem, potwierdzająca autentyczność publicznych kluczy użytkowników, okresowo wydaje publicznie dostępne certyfikaty atestujące lub poświadczające powiązania między publicznym kluczem a informacjami identyfikującymi jego właściciela. Certyfikat autentyczności zapewnia nadawcę, że transmisja do określonego użytkownika klucza publicznego będzie rzeczywiście odebrana i przeczytana tylko przez zamierzonego odbiorcę. Certyfikat ma zwykle międzynarodowo przyjęty format elektroniczny, taki jak przyjęty w Rekomendacji CCITT, X.509 wydanej jako norma międzynarodowa przez Międzynarodową Organizację NormalizacyjnąlSO. Certyfikat zawiera między innymi nazwę organizacji lub klucz centrum zarządzającego, które wydaje certyfikaty wystawcy, właściciela klucza publicznego, informacje identyfikujące właściciela, numer serii certyfikatu i daty początku i końca okresu ważności Podpis cyfrowy wystawcy uwierzytelnia certyfikat i zapobiega jego zmianie.

Jednak rząd Stanów Zjednoczonych zaproponowałjako rządowy i być może przemysłowy standard inną metodę umożliwiającą deponowanie prywatnych kluczy deszyfrujących i monitorowania łączności. Rząd Stanów Zjednoczonych zlecił opracowanie mikroukładu zwanego kostką Clippera, która może być wbudowywana do rządowych i przemysłowo produkowanych telefonów i urządzeń komputerowych. Kostka Clippera jest tanią kostką, która może być używana do masowego szyfrowania i zarządzania kluczem. Kostka Capstone jest bardziej zaawansowaną wersją kostki Clippera, mającą dodatkowo możliwość wykonania podpisu cyfrowego i skrótu komunikatu. Podobnie jak inne systemy szyfrujące, kostka Clippera wykorzystuje symetryczny algorytm szyfrowania, taki jak kwalifikowany algorytm zwany Skipjack, który szyfruje, mieszając dane łączności telefonicznej lub komputerowej, w sposób podobny do DES, ale wyko176 458 rzystując klucz 80-bitowy. Każda kostka Chppera ma unikalny numer seryjny, klucz rodziny Clipperów wspólny dla wszystkich i własny symetryczny klucz urządzenia, który będzie potrzebny upoważnionym agencjom rządowym do dekodowania komunikatów zakodowanych przez urządzenie zawierające kostkę. Unikalny prywatny klucz urządzenia jest dzielony na dwa składniki zwane fragmentami klucza, umieszczone oddzielnie w dwóch bazach danych deponowanych kluczy lub agencjach, które będą ustanowione przez rząd.

W przypadku, gdy użytkownicy kostki Clippera chcą nawiązać łączność, najpierw uzgadniają symetryczny klucz sesji, za pomocą którego szyfrują transmisję. Może tu być zastosowana dowolna metoda uzyskania klucza symetrycznego, taka jak interaktywny klucz Diffiego-Hellmana i dowolna metoda przesyłania klucza sesyjnego DES pomiędzy użytkownikami, taka jak przesyłanie RSA. Na początku każdej łączności każdy użytkownik przesyła drugiemu Pole Dostępu Egzekwowania Prawa LEAF, które zawiera informacje umożliwiające stróżom prawa podsłuch lub monitorowanie łączności. Dla utworzenia LEAF najpierw jest kodowany klucz sesyjny za pomocą prywatnego klucza urządzenia, następnie klucz sesyjny zakodowany kluczem urządzenia, numer seryjny urządzenia nadawcy i suma kontrolna, czyli wartość weryfikująca pierwotnego, niezaszyfrowanego klucza sesyjnego są razem szyfrowane kluczem rodziny obcinaczy, tworząc kompletny LEAF. Komunikat jest następnie szyfrowany przy użyciu wybranego klucza sesyjnego. Komunikat zaszyfrowany kluczem sesyjnym i LEAF zaszyfrowany kluczem rodziny są razem przesyłane do odbiorcy. Po otrzymaniu komunikatu, odbiorca najpierw ładuje otrzymany LEAF do swojej kostki Clippera dla sprawdzenia, czy LEAF jest ważny i czy klucz sesyjny zaszyfrowany za pomocą LEAF zgadza się z kluczem sesyjnym uprzednio otrzymanym. Jeżeli LEAF jest ważny, kostka Clippera odszyfruje komunikat za pomocą wybranego klucza sesyjnego, wcześniej odebranego.

Agent egzekwujący przestrzeganie prawa, legalnie podsłuchujący lub monitorujący transmisję, nie zna jednak klucza sesyjnego, musi więc najpierw odszyfrować LEAF dla uzyskania klucza sesyjnego. Agent przejmuje pożądany LEAF, odszyfrowuje go, używając klucza rodziny Clipperów i następnie przedstawia numer seryjny kostki z LEAF, upoważnienie sądowe lub inne legalne zezwolenie dwu powiernikom rządowym, otrzymując w wyniku tego dwa fragmenty prywatnego klucza urządzenia podsłuchiwanego użytkownika. Agent łączy dwa zdeponowane fragmenty klucza urządzenia i wykorzystuje uzyskany klucz urządzenia do odszyfrowania zaszyfrowanego kluczem urządzenia klucza sesyjnego z LEAF. Klucz sesyjny może być następnie użyty do odszyfrowania rzeczywistego, komunikatu przesyłanego. Wymaganie, aby zarówno nadawcajak i odbiorca tworzyli LEAF i poświadczali LEAF drugiego, zapewnia, że agenci egzekwujący przestrzeganie prawa będą mieć rozsądną szansę na przejęcie LEAF, ponieważ oczekuje się, że każdy LEAF jest przesyłany między użytkownikami poprzez ten sam środek komunikacyjny. Ponadto umożliwia to agentom egzekwującym przestrzeganie prawa na selektywne monitorowanie tylko jednego podejrzanego użytkownika, deszyfrując LEAF utworzony przez tego użytkownika niezależnie od tego, który użytkownik nawiązał łączność.

Istnieje wiele problemów technicznych związanych z rządową propozycją zastosowania kostek Clipperów, głównie wynikających z faktu, że prywatne klucze, które mają być powierzane, są na stałe wbudowane w kostki Clipperów podczas ich wytwarzania. Ponieważ prywatny klucz szyfrujący jest umieszczony w kostce i nie może być zmieniony, kostka i prawdopodobnie całe urządzenie, które ją zawiera, będzie musiało być wyrzucone, gdy zostanie zdyskredytowana. Jest korzystne dla użytkownika określonego urządzenia, aby móc dowolnie zmienić klucz, zmienić powiernika i uzyskać ponowny certyfikat urządzenia, jeżeli podejrzewa, że zostało ono zdyskredytowane lub w regularnych okresach czasu dla uniknięcia potencjalnej dyskredytacji. Użytkownik nie tylko nie może zmienić klucza i powiernika, ale stosując urządzenie Clippera nie ma wyboru liczby i tożsamości powierników zatrudnionych przez rząd do strzeżenia jego prywatnego klucza. Prywatne fragmenty kluczy są złożone w dwóch depozytowych bazach danych lub agencjach ustanowionych przez rząd. Użytkownik może nie ufać urządzeniom z kostkami Clippera z racji ryzyka, że rząd może mieć poprzez urządzenie pełny dostęp do dowolnej operacji lub transakcji, dostęp, który może być nadużyty lub skorumpowany. Użytkownicy mogą także sobie

176 458 życzyć,, aby ich klucze były przechowywane przy większej liczbie powierników niż zapewnia to rząd, dla większego bezpieczeństwa ich prywatnych kluczy. Jeżeli koncepcja przechowywanych kluczy ma mieć znaczenie, każdy użytkownik musi mieć możliwość wyboru swojego własnego powiernika, któremu powierzy prywatne klucze, biorąc pod uwagę pożądany poziom zaufania.

Można także przypuszczać, że rządowy system Clipperów umożliwia symetryczną łączność między użytkownikami w czasie rzeczywistym i nie daje żadnych bezpośrednich możliwości przesyłania komunikatów w pamiętająco wysyłającym systemie poczty elektronicznej. Przed zaszyfrowaniem łączności nadawca i odbiorca muszą najpierw uzgodnić symetryczny klucz sesyjny, za pomocąktórego zaszyfrująłączność. Typowo ta wymiana klucza jest wykonywana przy użyciu interaktywnego schematu Diffiego-Hellmana, jedynej metody wymiany klucza realizowanej przez kostkę Clippera. Tak więc użytkownik, jeśli nie chce zorganizować własnego systemu wymiany klucza, jest ograniczony do jednoczesnej interaktywnej łączności takiej , jak łączność głosowa lub faksowa przeprowadzana w czasie rzeczywistym Aby przesyłać komunikaty, jak w pamiętająco-wysyłającym systemie poczty elektronicznej, użytkownik musi mieć możliwość dostępu do publicznego klucza zamierzonego odbiorcy, tak jak przy zastosowaniu potwierdzonego Diffiego-Hellmana lub przesyłania klucza według schematu potwierdzonego RSA, nawet jeżeli zamierzony odbiorca nie jest dostępny dla interaktywnej, bezpośredniej łączności. Ponieważ można sądzić, że rządowy system Clippera nie umożliwia tego, przesyłanie komunikatów w systemie pamiętająco-wysyłającym jesttrudnc. System w standardzie proponowanym przez rząd może zmierzać do ograniczenia możliwości łączności do bezpośredniej łączności interakcyjnej.

Ponadto w systemie rządowym użytkownik pracodawca nie ma dostępu do zaszyfrowanych danych lub transmisji swoich pracowników. Pracodawcy, na których rachunek pracownicy opracowują, przekazują lub przesyłają poufne lub zastrzeżone dane, musi zachować prawo do uzyskania dostępu do danych lub łączności swoich pracowników. Może zaistnieć wiele sytuacji, w których zaszyfrowane informacje byłyby dostępne tylko dla określonych pracowników bezpośrednio zaangażowanych w użycie systemu szyfrowego, . a nie dla zarządu lub dyrekcji odpowiedzialnych za tych pracowników i dysponujących źródłami danych przedsiębiorstwa. Przez szyfrowanie danych lub łączności, pracownicy mogą opracować lub przywłaszczyć sobie nowe programy, produkty lub technologie lub mogą prowadzić nielegalną działalność i operacje, wszystko to bez wiedzy swoich pracodawców. Także zmiana lub reorganizacja personelu lub zmiana urządzeń pamiętających może spowodować stratę dużej ilości informacji, które w momencie szyfrowania były na tyle ważne, że zostały zaszyfrowane, patrz Donn B. Parker “Szyfrowanie i Unikanie Anarchii Informatycznej Przedsiębiorstwa”, prezentacja zaproszonego mówcy na pierwszej rocznej konferencji na temat komputerów i bezpieczeństwa łączności, 3-5 październik 1993, Reston VA. Oprócz twórcy danych lub nadawcy transmisji, kostka Clippera umożliwia tylko rządowi dostęp do transmisji. Chociaż pracodawcy mogą uzyskać nakaz sądowy dla monitorowania łączności swoich pracowników, mogą oni jednak chcieć sprawdzać funkcjonariuszy w sposób bardziej dyskretny, niż przez inicjowanie państwowego śledztwa, gdy powstanie jakieś podejrzenie.

Poza tym, mandatowanie kwalifikowanego algorytmu, który jest wbudowany w kostkę, a stąd dostępny tylko w postaci sprzętu tylko od autoryzowanych przez rząd wytwórców kostek, wprowadza rząd na szybko zmieniający się i bardzo konkurencyjny rynek łączności i sprzętu komputerowego. Agenda rządowa lub producent autoryzowany przez rząd mogą nie móc lub me chcieć projektować i wprowadzać na rynek zaawansowanych urządzeń i wyrobów specjalnie dostosowanych dla określonych firm, co zrobiłby prywatny wytwórca Jeżeli rząd autoryzuje tylko pewnych sprzedawców do wytwarzania kostek, mających kwalifikowany algorytm, to będzie ograniczona konkurencja, a technologia nie będzie mogła być wprowadzana do innych produktów. Dodatkowo, ponieważ szczegóły algorytmu Skipjacka nie zostały podane do publicznej wiadomości, pojawia się podejrzenie, czy algorytm nie będzie niepewny z powodu albo niedopatrzenia jego projektantów, albo przez rozmyślne wprowadzenie przez rząd pułapki. Ważną wartością projektu systemu szyfrowego jest to, że tajemnica i bezpieczeństwo zaszyfrowanych

176 458 komunikatów powinno zależeć od tajności stosownych wartości kluczy, a me od tajności szczegółów systemu.

Sposób według wynalazku polega na tym, że weryfikuje się każdy z wielu kluczy w centrum depozytowym, potwierdza się każdy z wielu kluczy po weryfikacji i inicjuje się transmisję od każdego z wielu użytkowników-·, używających jednego z wielu kluczy, uwarunkowaną potwierdzeniem.

Korzystnym jest, że weryfikuje się każdy z kluczy w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się bezpieczną transmisję od użytkownika inicjującego do użytkownika odbierającego, uwarunkowaną potwierdzeniem kluczy zarówno użytkownika inicjującego, jak i użytkownika odbierającego.

Korzystnym jest, że co najmniej pierwszą wybranąjednostkę, nie będącą stroną łączności, udostępnia się do łączności użytkowników, weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się wiarygodną transmisję od użytkownika inicjującego do odbierającego w sposób umożliwiający dostęp do łączności pierwszej jednostce nie będącej stroną łączności.

Korzystnym jest, że przy wyposażeniu każdego użytkownika w urządzenie komputerowe, rejestruje się urządzenia komputerowe w centrum zgodnie z informacją kontrolną określoną przez właściciela urządzenia, który nie jest użytkownikiem urządzenia, potwierdza się urządzenia komputerowe, przy czym przez każde potwierdzenie tworzy się certyfikat związany z centrum, użytkownikiem i urządzeniem komputerowym i inicjuje się bezpieczną transmisję od użytkownika inicjującego do odbiorcy, wykorzystując klucz komunikatu w sposób umożliwiający właścicielowi dostęp do transmisji.

Korzystnym jest, że weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się wiarygodną transmisję od użytkownika nadającego do użytkownika odbierającego, stosując zweryfikowany klucz, przy czym do transmisji włącza się informację dla uzyskania klucza użytkownika inicjującego i klucza użytkownika odbierającego

Korzystnym jest, że przy zastosowaniu elektronicznych urządzeń komputerowych, kontrolowanych przez odporny na manipulacje układ logiczny, inicjuje się bezpieczną transmisję od urządzenia inicjującego do odbierającego, przy czym do transmisji włącza się informacje dostępu podpisane przez urządzenie inicjujące i umożliwia się dostęp do transmisji przez stronę zewnętrzną.

Korzystnym jest, że weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się transmisję od użytkownika inicjującego do użytkownika odbierającego, uwarunkowaną potwierdzeniem kluczy użytkownika inicjującego i użytkownika odbierającego przez wiarygodne urządzenie użytkownika inicjującego.

Korzystnym jest, że weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się transmisję od użytkownika inicjującego do użytkownika odbierającego, uwarunkowaną potwierdzeniem klucza używanego w transmisji, przy czym do transmisji włącza się informacje o dostępie dla umożliwienia dostępu do transmisji przez stronę zewnętrzną.

Korzystnym jest, ze weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i wiarygodne urządzenie związane z każdym użytkownikiem i inicjuje się transmisję od użytkownika inicjującego do odbiorcy po potwierdzeniu klucza używanego w transmisji i po potwierdzeniu parametrów wiarygodnego urządzenia związanego z użytkownikiem inicjującym.

Korzystnym jest, że jedne z centrów depozytowych przyporządkowuje się pierwszej grupie, drugie z centrów depozytowych przyporządkowuje się drugiej grupie, weryfikuje się klucze w centrach depozytowych, potwierdza się każdy z kluczy po weryfikacji i realizuje się transmisję pomiędzy pierwszym użytkownikiem i drugim użytkownikiem, uwarunkowaną grupami, do których przyporządkowane są centra depozytowe nadawcy i odbiorcy.

Korzystnym jest, że weryfikuje się każdy z kluczy w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i tworzy się zaszyfrowaną transmisję strumieniową od użytko10

176 458 wnika inicjującego do użytkownika odbierającego, stosując klucz szyfrowy użytkownika inicjującego, do transmisji włącza się wstępny pakiet informacji o dostępie, umożliwiający stronie zewnętrznej deszyfrowanie strumienia, i strumień kolejnych pakietów, każdy kolejny pakiet zawierający informację identyfikującą kolejny pakiet jako związany ze strumieniem i co najmniej jeden z kolejnych pakietów pozbawia się informacji o dostępie.

Korzystnym jest, że umieszcza się w wiarygodnym urządzeniu klucz związany ze źródłem oprogramowania, transmituje się oprogramowanie do wiarygodnego urządzenia, przy czym transmisję modyfikuje się przez źródło oprogramowania w sposób potwierdzany przy użyciu umieszczonego klucza i wprowadza się oprogramowanie do wiarygodnego urządzenia, uwarunkowane potwierdzeniem transmisji przy użyciu umieszczonego klucza.

Korzystnym jest, że przy wyposażeniu każdego użytkownika w urządzenie komputerowe, mające co najmniej jeden klucz związany z urządzeniem, rejestruje się urządzenia komputerowe w co najmniej jednym centrum, wybranym z wielu centrów, potwierdza się urządzenia komputerowe, przy czym przez potwierdzenie tworzy się certyfikat dla urządzenia, inicjuje się bezpieczną transmisję od użytkownika inicjującego do odbiorcy, stosując klucz komunikatu, do transmisji włącza się część dostępu zaszyfrowaną kluczem centrum dla uzyskania klucza komunikatu.

Korzystnym jest, że transmituje się elektronicznie przez, wiarygodne urządzenie do trzeciej strony, żądanie upoważnienia przeprowadzenia operacji elektronicznej, przy czym do żądania włącza się identyfikację wiarygodnego urządzenia, określa się przez trzecią stronę, że wiarygodne urządzenie powinno być upoważnione do przeprowadzenia operacji, przynajmniej częściowo zgodnie z określeniem, że wiarygodne urządzenie będzie działać zgodnie z regułami, transmituje się elektronicznie, przez trzecią stronę do wiarygodnego urządzenia, upoważnienia na przeprowadzenie operacji elektronicznej, przy czym do upoważnienia włącza się potwierdzenie, że trzecia strona dała to upoważnienie, transmituje się elektronicznie, przez wiarygodne urządzenie do drugiej strony, potwierdzenie jako zapewnienie, że wiarygodne urządzenie jest upoważnione do przeprowadzenia operacji elektronicznej i będzie ją prowadzić tylko zgodnie z regułami i transmituje się elektronicznie dane operacji, przez wiarygodne urządzenie do drugiej strony, zgodnie z regułami.

Zaletą wynalazku jest wprowadzenie komercyjnego systemu deponowania kluczy, który wykorzystuje opublikowane algorytmy, działa w sposób inspirujący zaufanie i poufność użytkowników i rozwiązuje problemy, jakie stawia bezpieczeństwo narodowe i egzekwowanie przestrzegania prawa. Wynalazek zapewnia pożądane wprowadzenie komercyjnego systemu deponowania kluczy, wykorzystującego prywatne klucze, które mogą być zmienione przez użytkownika dowolnie lub w regularnych odstępach czasu. Zaletąjest wprowadzenie komercyjnego systemu deponowania kluczy, który umożliwia użytkownikowi wybrać agentów-powiemików kluczy dla strzeżeniajego prywatnego klucza lub oddzielnych fragmentów jego prywatnego klucza. Wynalazek umożliwia wprowadzenie komercyjnego systemu deponowania kluczy, który zawiera zabezpieczenia przed nieograniczonym dostępem rządu, a także umożliwia dostęp pracodawców użytkowników lub krajów, których obywatele są zagranicznymi użytkownikami.

Zaletą wynalazku jest więc wprowadzenie komercyjnego systemu deponowania kluczy, który oferuje alternatywę dla systemu kostek Clipperów, proponowanego przez rząd Stanów Zjednoczonych.

Przedmiot wynalazku jest uwidoczniony w przykładach wykonania na rysunku, na którym fig. 1A-1G przedstawiają listy symboli i skrótów stosowanych na figurach, fig. 2 - sieć działań pokazującą etapy uzyskiwania kluczy w znanym sposobie interaktywnym Diffiego-Hellmana, fig. 3 - sieć działań pokazującą etapy części dotyczącej certyfikatu w znanym sposobie potwierdzonego Diffiego-Hellmana, fig. 4 - sieć działań pokazującą etapy części dotyczącej nadawania komunikatów w znanym sposobie potwierdzonego Diffiego-Hellmana, fig. 5 - sieć działań pokazującą etapy szyfrowania w znanym sposobie przesyłania kluczy RSA, fig. 6 - sieć działań pokazującą etapy deszyfrowania w znanym sposobie przesyłania kluczy RSA, fig. 7 - sieć działań pokazującą etapy tworzenia podpisu w znanym sposobie przesyłania kluczy RSA, fig. 8 - sieć

176 458 działań pokazującąetapy weryfikacji podpisu w znanym sposobie RSA, fig. 9 -11 - sieci działań pokazujące razem etapy znanego procesu deponowania kluczy Micali, fig. 12 - przykład formatu znanego certyfikatu publicznych kluczy szyfrujących, fig. 13 - przykład przypuszczalnego formatu Pola Dostępu Egzekwowania Prawa LEAF urządzenia Clipper, fig. 14 - przykład formatu certyfikatu urządzenia wydanego przez wytwórcę urządzenia według wynalazku, fig. 15 - sieć działań pokazującą etapy sprawdzalnego deponowania klucza tylko u jednego agenta depozytowego, fig. 16 - sieć działań pokazującąetapy sposobu sprawdzalnego deponowania klucza opartego na pojedynczym wiarygodnym urządzeniu, fig. 17 - sieć działań pokazującąetapy sposobu przesyłania zaszyfrowanego komunikatu z Nagłówkiem Kontroli Komunikatu MCH, fig. 18 przykład MCH w formacie RSA przesyłania kluczy, fig. 19 - sieć działań pokazuąącąetapy sposobu odbierania zaszyfrowanego komunikatu z MCH, fig. 20 - przykład skrzynki dekodera MCH i sieć działań przebiegu procesu, fig. 21 - przykład samosprawdzającego, wiarygodnego datownika, fig. 22 - przykład formatu certyfikatu właściciela urządzenia, wydanego przez wytwórcę urządzenia według wynalazku, fig. 23 - sieć działań pokazującąetapy sposobu ponownego deponowania klucza przy wymianie klucza przez właściciela urządzenia według wynalazku i fig. 24 sieć działań pokazującą etapy rejestrowania wiarygodnych urządzeń według wynalazku przez wiarygodną stronę trzecią.

Figury 1A-IG przedstawiają listy symboli i skrótów stosowanych na figurach.

Figura 2 przedstawia interaktywny schemat Diffiego-Hellmana, w którym każdy z dwóch użytkowników A, B wybiera losowo tajną liczbę 21, 22, a następnie wylicza pośrednią liczbę 23,24, wykorzystując dwie publicznie znane liczby i tajną liczbę 23,24 wybranąprzez użytkownika. Każdy użytkownik przesyła następnie pośrednią liczbę 23, 24 do drugiego użytkownika, a potem wylicza tajny, symetryczny klucz szyfrowy 25, wykorzystując własną tajną liczbę 21,22 i liczbę pośrednią właśnie otrzymaną od drugiego użytkownika. Interaktywnie utworzony klucz szyfrowy 25, taki jak klucz DES lub inny symetryczny klucz szyfrowy, jest następnie używany symetrycznie przez obu użytkowników do szyfrowania i deszyfrowania tej sesji komunikacyjnej, przesyłanej nie zabezpieczonym kanałem, w taki sposób jak przy komunikacji z kluczem symetrycznym. Ta interaktywna procedura wymaga tylko kilku sekund czasu rzeczywistego i wszystkie komunikaty cyfrowe, włączając w to transmisje dźwięków i obrazów, mogą być zaszyfrowane, po prostu przez naciśnięcie przycisku na początku sesji dla zainicjowania procesu interaktywnej wymiany klucza. Ponieważ wszystkie liczby wybierane w schemacie interakcyjnym Diffiego-Hellmana są bardzo duże, obliczenie nie może być odwrócone i klucz szyfrowy nie może być wyliczony przez podsłuchującego, co chroni tajność komunikacji. Ponieważ obliczenie nie może być odwrócone, każdy użytkownik wie, że komunikat otrzymany przy użyciu tego algorytmu nie został zmieniony i mógł być wysłany tylko przez drugiego użytkownika, więc chroniona jest kompletność i autentyczność komunikacji. Ta metoda interaktywnej wymiany klucza wymaga jednak stron współdziałających w czasie rzeczywistym dla utworzenia klucza szyfrowego i nie może być przydatna dla komunikacji spontanicznej lub między nie znającymi się stronami. W szczególności schemat interakcyjnej wymiany klucza Diffiego-Hellmana nie może być stosowany w pamiętająco-wysyłającym systemie poczty elektronicznej lub przy długim przechowywaniu dokumentów w systemach zapamiętywania danych elektronicznych, ponieważ odbiorca nie jest bezpośrednio dostępny dla negocjowania klucza sesji.

Zmodernizowana, nieinterakcyjna forma schematu Diffiego-Hellmana, znana jako potwierdzony Diffie-Hellman, może być używana, gdy uczestnicy transmisji nie są połączeni bezpośrednio. Początkowy etap potwierdzania podczas sesji z wytwarzaniem klucza w systemie potwierdzonego Diffiego-Hellmana następuje, gdy jeden użytkownik, może nim być odbiorca, losowo wybiera tajną liczbę 31, jego prywatny klucz, a następnie wylicza pośrednią liczbę 33, wykorzystując dwie publicznie znane liczby 321 wybranąprzez siebie tajną liczbę 31. Użytkownik wysyła następnie potwierdzenie identyfikacji razem z pośrednią liczbą i dwoma liczbami publicznymi, które to liczby łącznie tworzą jego klucz publiczny 34. Instytucje potwierdzające wydają następnie certyfikat klucza publicznego 35, podpisany cyfrowo 36 przez instytucję wydającą wiążące potwierdzenie tożsamości użytkownika publicznego klucza potwierdzonego

176 458

Diffiego-Hellmana 34 Publiczny klucz 34 udostępniony przez użytkownika jest ważny tak długo, aż zdecyduje się on zmienić klucz i wybrać inny prywatny klucz 31. Przy przesyłaniu wiadomości z wykorzystaniem metody potwierdzonego Diffiego-Hellmana, dla przesyłania wiadomości do użytkownika odbierającego, użytkownik wysyłający pierwszy otrzymuje certyfikat użytkownika odbierającego 35 i sprawdza podpis 36 instytucji potwierdzającej. Następnie wysyłający oblicza klucz sesji 42 dla tej sesji komunikacyjnej, wykorzystując pośrednią liczbę odbiorcy 33 z certyfikatu odbiorcy i własną tajną liczbę nadawcy 41, jego prywatny klucz, który jest wybrany losowo. Nadawca następnie szyfruje wiadomość 43, wykorzystując klucz sesji 42, i umieszcza na początku komunikatu niezaszyfrowaną własną liczbę pośrednią 40. Otrzymując komunikat, odbiorca wylicza klucz sesji, wykorzystując niezaszyfrowanąpośredmą liczbę nadawcy 40 i własną tajną liczbę 31 lub klucz prywatny, a następnie uzyskuje klucz sesji 42 dla odszyfrowania informacji 43. Tak jak w schemacie interakcyjnym Diffiego-Hellmana, klucz sesji utworzony w schemacie potwierdzonego Diffiego-Hellmana jest następnie używany przez obie strony do szyfrowania i deszyfrowania komunikatu podczas tej sesji poprzez niechroniony kanał wykorzystując konwencjonalny algorytm symetryczny, taki jak klucz DES. Schemat potwierdzonego Diffiego-Hellmana wymaga jednak, aby wiarygodna jednostka lub instytucja potwierdzająca podpisywała certyfikat klucza publicznego, aby nadawca mógł ufać, ze informacja w nim zawarta jest prawdziwa. Ponadto prywatny klucz wybrany losowo przez nadawcę, za pomocą którego wylicza on klucz sesji i liczbę pośredniądla tej transmisji, nie może być identyczny z prywatnym kluczem dołączonym do certyfikatu klucza publicznego, będącego własnością nadawcy, aby uniknąć uzyskania przez innych jego stałych prywatnych liczb kluczowych, odpowiadających publicznym liczbom kluczowym, które zostały potwierdzone. Nadawca powinien utrzymywać je różne od efemerycznych, prywatnych kluczy lub liczb pośrednich, które sągenerowane tylko dla specyficznych komunikatów.

Innym algorytmem z kluczem asymetrycznym jest algorytm nazwany RSA od nazwisk wynalazców Rivesta, Shamira i Adlemana. Stwarza on trudność w rozłożeniu na czynniki liczby, która jest iloczynem dwóch dużych liczb pierwszych. Tak jak schemat interakcyjny Diffiego-Hellmana, algorytm RSAjest względnie łatwy do obliczenia, ale praktycznie niemożliwy do odwrócenia. Nie jest więc możliwe wyprowadzenie klucza prywatnego z klucza publicznego i dzięki temu można zachować tajemnicę komunikacji. Wówczas, gdy komunikatjest zakodowany kluczem publicznym przy użyciu algorytmu RSA, można go odszyfrować tylko przy użyciu klucza prywatnego i na odwrót. Tak jak schemat potwierdzonego Diffiego-Hellmana, algorytm RSA wymaga wiarygodnej jednostki dla potwierdzenia i upublicznienia kluczy użytkowników publicznych. W przeciwieństwie do obu schematów Diffiego-Hellmana, algorytm RSA sam nie generuje klucza sesji dla symetrycznego wykorzystania przez strony. Przeciwnie, publiczny klucz szyfrujący określonego użytkownika bezpośrednio szyfruje komunikaty dla tego użytkownika, a prywatny klucz deszyfrujący użytkownika odszyfrowuje komunikaty zaszyfrowane kluczem publicznym tego użytkownika. Tak więc algorytm RSA jest czystym algorytmem z kluczem asymetrycznym.

Jednak, ponieważ algorytm RSA jest złożony i wprowadza potęgowanie komunikatu przez duże liczby, szyfrowanie i deszyfrowanie komunikatu, nawet o umiarkowanej długości, przy użyciu algorytmu RSA, wymaga długiego czasu. Jest więc o wiele prościej, szybciej i sprawniej wykorzystywać asymetryczny algorytm RSA do przesyłania klucza szyfrowego DES do użycia w algorytmie symetrycznym. Ten znany sposób działania jest znany jako przesyłanie klucza RSA i jest pokazany na figurach 51 6. Na przykład zgodnie z fig. 5, użytkownik może wygenerować losowo klucz DES 51 i zaszyfrować tym kluczem komunikat 52. Następnie użytkownik może zaszyfrować klucz DES 51 przy użyciu publicznego klucza szyfrującego 53 użytkownika, dla którego przeznaczony jest komunikat, i przesłać komunikat 54 zaszyfrowany kluczem DES, razem z kluczem DES 55 zaszyfrowanym RSA, do użytkownika odbierającego. Po odbiorze transmisji, jak pokazano na fig. 6, odbiorca odszyfrowuje klucz DES 51, wykorzystując swój prywatny klucz deszyfrujący RSA 56 i wykorzystuje ten klucz DES 51 do deszyfrowania komunikatu 52. Ponieważ algorytm DES wymaga znacznie mniej czasu i nakładów na obliczenie niż

176 458 algorytm RSA, symetryczny klucz DES jest używany do szyfrowania i deszyfrowania rzeczywistego komunikatu, podczas gdy asymetryczne klucze RSA są używane do szyfrowania i deszyfrowania symetrycznego klucza DES.

System szyfrowania z publicznym/prywatnym kluczem RSA zapewnia także cyfrowy podpis, któryjest zależny od komunikatu i od podpisującego oraz może być użyty do potwierdzenia, że otrzymany komunikat był rzeczywiście wysłany przez nadawcę i został odebrany niezmieniony. Cyfrowy podpis RSA jest oparty na dodatkowej własności RSA, która oprócz tego, że umożliwia deszyfrowanie prywatnym kluczem użytkownika tylko tych komunikatów, które były zaszyfrowane jego kluczem publicznym, umożliwia także szyfrowanie prywatnym kluczem użytkownika komunikatów, które mogą być deszyfrowane tylko jego kluczem publicznym. Ponieważ tylko użytkownik ma swój prywatny klucz, użycie prywatnego klucza do zaszyfrowania umożliwia udowodnienie pochodzenia, co może być potwierdzone przez każdego, kto ma dostęp do publicznego klucza użytkownika. W praktyce, nadawca najpierw wykorzystuje prywatny klucz do zakodowania tekstu w komunikat podpisany, który może być odszyfrowany przez każdego, ale może pochodzić tylko od określonego nadawcy. Jeśli jest to pożądane, nadawca może następnie opcjonalnie wykorzystać publiczny klucz szyfrujący odbiorcy do zaszyfrowania podpisanego komunikatu, który ma być przesłany. Po otrzymaniu tekstu szyfrowanego, odbiorca deszyfruje go przy użyciu prywatnego klucza deszyfrującego, gdy jest to konieczne, i dekoduje podpisany komunikat przy użyciu publicznego klucza szyfrującego nadawcy. Ponieważ tylko nadawca zna unikalny klucz prywatny, tylko nadawca może wysłać określony podpisany komunikat. Tak więc podpis potwierdza tożsamość nadawcy Również, ponieważ odbiorca zna tylko publiczny klucz nadawcy, nadawca nie może twierdzić, że nadawca lub nieuprawniona trzecia strona zmieniła lub wytworzyła jego komunikat. Podpis chroni więc przed wyparciem się komunikatu przez nadawcę. Ponadto, ponieważ tylko prywatny klucz nadawcy przekształca pierwotny komunikat i tylko nadawca zna unikalny klucz prywatny, ani odbiorca, ani nieuprawniona trzecia strona nie może zmienić komunikatu. Podpis potwierdza więc integralność komunikatu.

Algorytm RSA zapewnia także inny rodzaj podpisu cyfrowego, który wykorzystuje funkcję mieszającą do utworzenia krótkiego skrótu komunikatu, unikalnego dla każdego dokumentu. Fig. 7 i 8 przedstawiają tworzenie podpisu RSA i weryfikację podpisu przy użyciu funkcji mieszającej. Funkcja mieszająca jest innym złożonym algorytmem matematycznym, jednokierunkowym to znaczy, że nie można odtworzyć dokumentu, mając wynik mieszania. Jest ona także bezkolizyjna, to znaczy, że jest niemożliwe utworzenie innego dokumentu, który w wyniku mieszania da taki sam skrót. Jak pokazano na fig. 7, nadawca najpierw przetwarza komunikat 72 przy użyciu algorytmu mieszającego 73 w celu utworzenia skrótu komunikatu 74, a następnie szyfruje skrót prywatnym kluczem RSA 75, tworząc zwarty podpis cyfrowy 76, który jest dołączany do komunikatu 72. Po odebraniu transmisji komunikatu 721 skrótu komunikatu 76, jak pokazano na fig. 8, odbiorca deszyfruje zaszyfrowany kluczem RSA skrót komunikatu nadawcy 76, podpis cyfrowy, wykorzystując publiczny klucz RSA 77 nadawcy. Odbiorca także wykorzystuje ten sam algorytm mieszający 73 dla utworzenia skrótu komunikatu 74 z otrzymanego komunikatu. Dwa skróty komunikatu pochodzące z dwóch przekształceń wykonanych przez odbiorcę powinny być identyczne, więc potwierdzające, że komunikat był podpisany przez nadawcę.

Na figurach 9-11 użytkownik, który chce potwierdzić swój publiczny klucz szyfrujący, musi zdeponować prywatny klucz w następujący sposób. Użytkownik najpierw dzieli prywatny klucz 91 na kilka fragmentów 92, z których każdy może być indywidualnie weryfikowany, że jest ważnym fragmentem kompletnego klucza prywatnego 91. Klucz prywatny 91 może być zrekonstruowany tylko, jeśli zna się wszystkie fragmenty lub pewne określone ich liczby. Następnie użytkownik przesyła 93 każdy fragment do innego powiernika lub agencji depozytowej 94, która jak pokazano na fig. 10, weryfikuje 95 fragment jako rzeczywisty fragment prywatnego klucza 91, wykorzystując specjalny algorytm i informuje o tej weryfikacji główne centrum depozytowe. Zgodnie z fig. 11, po uzyskaniu weryfikacji 96, 97 stwierdzającej, że każdy fragment prywatnego klucza jest prawidłowy, główne centrum depozytowe może następnie wydać certyfi14

176 458 kat 98 publicznego klucza użytkownika 99 umożliwiający na użycie go w systemie zapewniającym tajność, przy zapewnieniu, że jeżeli będzie to potrzebne i zgodne z upoważnieniem lub nakazem sądowym, agencie egzekwujące przestrzeganie prawa będą mogły uzyskać tajne fragmenty prywatnego klucza od wybranego przez użytkownika powiernika, złożyć je i monitorować łączność użytkownika. W tym systemie użytkownicy mogą być przekonani o zachowaniu tajemnicy ich zaszyfrowanych transmisji, a rząd może być pewien tego, że ma możliwość uzyskania dostępu do zaszyfrowanej transmisji, gdy pojawi się taka potrzeba. Ponieważjednajednostka nie ma normalnie nigdy dostępu do całego prywatnego klucza i ponieważ użytkownik wybiera jednostkę, do której ma zaufanie, szansa bezprawnego lub skorumpowanego działania jest znacznie zmniejszona. Także, ponieważ szeroki zakres jednostek chce być ponownie wybrany jako powiernicy, szansajednoczesnej zmowy wszystkich powierników i przez to zniszczenie całego systemu depozytowego jest jeszcze bardziej ograniczone.

Zostanie teraz opisany proces deponowania kluczy.

Po wykonaniu mikroukładu według wynalazku, a przed użyciem mikroukładu do szyfrowania lub deszyfrowania transmisji publiczny klucz użytkownika musi być zarejestrowany przez główne centrum depozytowe lub przez agentów depozytowych zatwierdzonych przez wytwórcę mikroukładu. Tą operację może wykonać sam użytkownik, albo może ją zainicjować wytwórca i zarejestrować mikroukład u jednego z agentów depozytowych podczas wytwarzania, zwalniając przez to użytkownika od obowiązku osobistego zdeponowania swojego klucza. Jednak wytwórca powinien jeszcze pozostawić użytkownikowi opcję samodzielnej wymiany klucza w późniejszym terminie. Dla wielu indywidualnych użytkowników zezwolenie wytwórcy na rejestrację mikroukładu z lub bez opcji wymiany klucza będzie wystarczające. Ponadto użytkownicy będą najprawdopodobniej ufać agentowi depozytowemu wybranemu przez wytwórcę. Przedsiębiostwa i inni pracodawcy mogą programować swojej własne mikroukłady i mikroukłady swoich pracowników i rej estrować mikroukłady u agentów depozytowych według swoj ego własnego wyboru. Jednakże przedsiębiorstwa nie będą na ogół pozwalać swoim pracownikom na zmianę klucza na własną rękę, ponieważ mogłoby to doprowadzić do utraty informacji i majątku, jak omówiono powyżej.

Aby utworzyć i zarejestrować klucz szyfrowy użytkownik (lub inna jednostka wykonująca operację) przywołuje oprogramowanie układowe, które zostało wbudowane w mikroukład i instruuje mikroukład, jak wykonać poszczególne etapy sposobu deponowania kluczy Micali lub specyficznej metody deponowania kluczy, która jest stosowana. Patrz figury 9-11, 15 116. Stosując którąkolwiek z wybranych metod deponowania prywatnego klucza u jednego lub więcej agentów depozytowych mikroukład najpierw wygeneruje losowo lub wybierze tajną liczbę, która będzie prywatnym kluczem deszyfrującym dla tego użytkownika (jak również inne, publiczne liczby, które będą wymagane, jeżeli te liczby nie były jeszcze ustalone w innych wcześniejszych generacjach liczb losowych). Mikroukład będzie pamiętał prywatny klucz w sposób nieodczytywalny i odporny na sfałszowanie. Jak pokazano na fig. 15 prywatny klucz szyfrujący może być zdeponowany u pojedynczego agenta. Wiarygodne urządzenie 150 pierwsze generuje publiczną/prywatną parę 151 kluczy szyfrujących dla użytkownika, a następnie wysyła do centrum depozytowego 153 zaszyfrowany i podpisany komunikat 152, zawierający parę kluczy szyfrujących 1511 seryjny numer urządzenia 154 z certyfikatem wytwórcy 155 dla weryfikacji podpisu. Centrum depozytowe 153 weryfikuje podpisy, deszyfruje pakiet komunikatu i zapamiętuje prywatny klucz deszyfrujący użytkownika. Centrum depozytowe wysyła także do użytkownika podpisany certyfikat 156, zawierający numer seryjny urządzenia użytkownika 154 i publiczny klucz szyfrujący użytkownika 1511 publiczny klucz weryfikacji podpisu urządzenia 157 z certyfikatem 158 centrum depozytowego dla weryfikacji podpisu. Gdy urządzenie użytkownika zweryfikuje podpis centrum depozytowego rejestracja jest dokonana.

Jeżeli prywatny klucz ma być zdeponowany u więcej niż jednego agenta depozytowego, mikroukład musi wówczas rozdzielić prywatny klucz na szereg fragmentów, to jest dokonać podziału klucza zgodnie z określoną formułą, wykorzystując sposób deponowania Micali i algorytm opisany wcześniej i pokazany na fig. 9, mikroukład obliczy następnie pewne wartości 90

176 458 wykorzystując specjalny algorytm Micali, tak że każda wartość jest oparta na transformacji matematycznej jednego z fragmentów prywatnego klucza 92 Mikroukład następnie tworzy jeden wydzielony pakiet 93 dla każdego powiernika lub agenta depozytowego 94 zaprojektowany przez użytkownika, każdy wydzielony pakiet 93 zawiera unikalny numer seryjny urządzenia użytkownika, jeden fragment prywatnego klucza i zestaw pewnych wartości, które umożliwiają określonemu powiernikowi zweryfikować otrzymany fragment prywatnego klucza jako ważny fragment całego prywatnego klucza, bez dawania powiernikowi informacji o całym prywatnym kluczu. Jak zostanie omówione później, jeżeli użytkownik nie jest właścicielem urządzenia ale raczej, na przykład pracownikiem właściciela-pracodawcy wydzielony pakiet powiernika powinien także zawierać unikalną liczbę identyfikacyjną właściciela i certyfikat właściciela urządzenia, aby pracodawca-właściciel mógł uzyskać prywatny klucz użytkownika-pracownika bez konieczności wcześniejszego uzyskania upoważnienia. Mikroukład następnie podpisuje każdy wydzielony pakiet powiernika wykorzystując unikalny, prywatny klucz podpisu urządzenia i dołącza certyfikat wytwórcy dla mikroukładu transmitującego, aby potwierdzić, że przesyłana informacja pochodzi z urządzenia znanego i wiarygodnego typu. Na koniec, mikroukład wyda podpisany wydzielony pakiet powiernika dla dostarczenia go przez użytkownika wiarygodnemu agentowi depozytowemu.

Jest też inny sposób weryfikacji przez główne centrum depozytowe oddzielnych fragmentów klucza bez użycia metody Micali, polegający jedynie na wiarygodnym urządzeniu. Stosując tą metodę weryfikacji fragmentów klucza pokazaną na fig. 16, mikroukład generuje jedną losową liczbę, dla każdego fragmentu prywatnego klucza deszyfrującego. Następnie mikroukład tworzy jeden pakiet powiernika 161 dla każdego powiernika lub agenta depozytowego 163 zaproj ektowany przez użytkownika, każdy pakiet zawiera unikalną liczbę urządzenia użytkownika jeden fragment prywatnego klucza i jedną z liczb losowych. Mikroukład podpisuje każdy pakiet powiernika wykorzystując unikalny, prywatny klucz podpisu urządzenia i dołącza certyfikat wytwórcy 162 dla mikroukładu transmitującego, aby potwierdzić, że przesyłane informacje pochodzą z urządzenia znanego i wiarygodnego typu. Jak w sposobie Micali, mikroukład wyda podpisany wydzielony pakiet 161 powiernika dla dostarczenia go przez użytkownika wiarygodnemu agentowi depozytowemu 163. Ponadto mikroukład musi także utworzyć komunikat (zaszyfrowany) 164 dla głównego centrum depozytowego 165, zawierający między innymi publiczny klucz deszyfrujący użytkownika i nazwy agentów depozytowych wyznaczonych przez użytkownika i łącznie z liczbą losową daną przez fragment klucza przesłać do każdego oddzielnego agenta depozytowego.

Jest jednakże możliwe, ponieważ każdy pakiet powiernika zawiera fragment prywatnego klucza, że trzecia strona, mająca dostęp do transmisji od użytkownika do agenta depozytowego mogłaby odczytać zawartość wszystkich pakietów powiernika wysyłanych przez użytkownika i odtworzyć fragmenty prywatnego klucza zawarte w tych pakietach, aby odtworzyć cały prywatny klucz. Następnie, wykorzystując prywatny klucz ta trzecia strona mogłaby odszyfrować i zaszyfrować transmisje w imieniu użytkownika. Najlepszym sposobem dla uniknięcia tej sytuacji jest użycie szyfrowego systemu łączności, gdy wysyła się pakiety powiernika od użytkownika do agentów depozytowych. Użytkownik powinien uzyskać certyfikat publicznego klucza szyfrującego 166 od każdego agenta depozytowego wybranego dla deponowania prywatnego klucza użytkownika, gdzie każdy certyfikat jest podpisany przez główne centrum depozytowe potwierdzające, że określony agent depozytowy jest zaufanym głównego centrum depozytowego, dla odbierania i deponowania pakietu z fragmentem klucza. Następnie podpis głównego centrum depozytowego byłby weryfikowany albo przy użyciu potwierdzenia od wytwórcy urządzenia (lub od instytucji o zasięgu systemowym) lub wykorzystując wstępnie umieszczony klucz instrukcji. Następnie urządzenie szyfrowałoby dla każdego agenta depozytowego, bazując na potwierdzonym publicznym kluczu szyfrującym tego agenta, transmisję 161, która zawiera pakiet powiernika prywatnego klucza użytkownika. Alternatywnie wytwórca mógłby wbudować w mikroukład publiczne klucze szyfrujące kilku wiarygodnych agentów depozytowych dopasowane do kluczy instrukcji dla każdego, jak omówiono wcześniej, aby użytkownik przesłał

176 458 fragment swojego prywatnego klucza do agenta depozytowego wiarygodnego dla posiadacza kluczy instrukcji, którym jest typowo główne centrum depozytowe. W ten sposób wszyscy agenci depozytowi w głównym centrum depozytowym lub w “rodzinie” wytwórców będąmogli odszyfrować żądanie użytkownika przyjęcia do depozytu, oszczędzając użytkownikowi trudu uzyskiwania certyfikatów publicznego klucza szyfrującego od wszystkich agentów depozytowych.

Gdy każdy agent depozytowy lub powiernik 163 otrzymuje odpowiedni pakiet powiernika 161 od użytkownika lub od urządzenia użytkownika, powiernik sprawdza fragment prywatnego klucza otrzymany w pakiecie powiernika 161 od urządzenia użytkownika i razem z głównym centrum depozytowym 165 weryfikuje, ze jest on ważnym i prawidłowym fragmentem kompletnego klucza prywatnego. Jest niezbędne dla agentów depozytowych i głównego centrum depozytowego mieć niezawodne środki udowodnienia lub zweryfikowania, że fragmenty prywatnego klucza szyfrującego użytkownika zostały rzeczywiście zdeponowane. Jest pożądane, aby weryfikacja fragmentów klucza była dokonywana przez agentów depozytowych i główne centrum depozytowe bez badania lub posiadania samych tych fragmentów lub łączenia ich w jednym miejscu. “Uczciwy” system powierniczy Micali daje centrum depozytowemu jeden wysoce pewny sposób weryfikacji oddzielnych depozytów fragmentów klucza. W metodzie Micali pokazanej na figurach 10 i 11 ta weryfikacja jest robiona przy wykorzystaniu zespołu pewnych wartości, które były wyliczone przez mikroukład użytkownika podczas tworzenia pakietu powiernika, przy użyciu specjalnego algorytmu Micali, który był dołączony wraz z fragmentem klucza do każdego pakietu powiernika, wysyłanego do agenta depozytowego. Algorytm Micali i weryfikacja fragmentu klucza są znane i nie ma potrzeby ich tutaj powtarzać. Każdy powiernik 94 następnie przechowuje certyfikat wytwórcy urządzenia dla późniejszego użycia do dekodowania i potwierdza fragment klucza 93 przy wysłanie odpowiedniego podpisanego komunikatu 96 do głównego centrum depozytowego, razem z nazwąużytkowmka i certyfikatem urządzenia i przez podpisanie i przechowywanie fragmentu klucza 90. Tylko, gdy zostanie mu przedstawione (a) upoważnienie lub 'nakaz sądowy lub (b) podpisane żądanie legalnego właściciela urządzenia powiernik ujawni fragment lub (fragmenty) danego prywatnego klucza będącego w jego posiadaniu.

Stosując korzystną metodę deponowania i weryfikacji polegającąjedynie na wiarygodnym urządzeniu pokazaną na fig. 16, każdy powiernik 163 przesyła komunikat 167 do głównego centrum depozytowego 165, identyfikujący nazwę użytkownika, publiczny klucz szyfrujący, numer urządzenia i liczbę losową jako otrzymał. Ponadto urządzenie użytkownika wysyła pakiet do głównego centrum depozytowego 165, zawierający liczby losowe używane do weryfikacji fragmentów prywatnego klucza, a pakiet powinien być zaszyfrowany przy użyciu publicznego klucza szyfrującego głównego centrum depozytowego. Główne centrum depozytowe 165 otrzymuje komunikaty 164, 167 od urządzenia użytkownika i od powierników 163, i sprawdza, czy każda indywidualna liczba losowa otrzymana od każdego powiernika zgadza się z liczbą losowąjaką według urządzenia użytkownika została dana temu powiernikowi. Należy zauważyć, ze według tej metody agent depozytowy 1631 główne centrum depozytowe 165 polegająjedynie na podpisie wiarygodnego urządzenia w pakiecie powiernika 161 dla upewnienia się, ze depozyt jest prawidłowy. Ta metoda deponowania i weryfikacji nie wymaga wykonania wtórnych operacji matematycznych, aby zweryfikować , że depozyt jest prawidłowy lub, że klucz publiczny przedstawiony do potwierdzenia zgadza się ze złożonymi fragmentami klucza. Chociaż z punktu widzenia publicznego użytkownika lub trustu o zasięgu systemowym, mogłoby być jeszcze pożądane wykorzystanie weryfikowalnego algorytmu deponowania takiego jak procedura Micah, nie jest to oczywiście konieczne i można od tego odstąpić wówczas, gdy dodatkowy koszt zastosowania takiej procedury nie może być usprawiedliwiony. Ponadto w tym systemie, polegającym tylko na wiarygodnym urządzeniu nie ma ograniczenia złożoności schematu rozdziału klucza, który może być wymyślony, ponieważ nie jest potrzebne wynajdowanie złożonych algorytmów wtórnych do zweryfikowania prawidłowego wykonania dowolnego danego schematu. Konieczne jest tylko zaufanie do wytwórcy urządzenia, który wprowadził kod oprogramowania układowego i ufność, że urządzenie będzie odporne na sfałszowanie

176 458

Po weryfikacji wszystkich fragmentów prywatnego klucza użytkownika główne centrum depozytowe samo następnie potwierdzi publiczny klucz szyfrujący, który odpowiada prywatnemu kluczowi, który został potwierdzony przez wszystkich powierników użytkownika, główne centrum depozytowe 165 potwierdza klucz publiczny wydając podpisany certyfikat (zwany certyfikatem głównego centrum depozytowego, certyfikatem publicznego klucza szyfrującego lub po prostu certyfikatem depozytowym) potwierdzający, że prywatny klucz odpowiadający publicznemu kluczowi, który się potwierdza został już zdeponowany we właściwy sposób. Publiczny klucz podpisu urządzenia użytkownika uzyskany z certyfikatu wytwórcy urządzenia może także być umieszczony w certyfikacie głównego centrum depozytowego, co eliminuje potrzebę wysyłania lub powtórnej weryfikacji certyfikatu wytwórcy urządzenia w późniejszych etapach procesu. Certyfikat głównego centrum depozytowego może być sformatowane jak poniżej:

Numer wersji

Numer seryjny certyfikatu depozytowego

Kod krajowy głównego centrum depozytowego

Nazwa głównego centrum depozytowego

Publiczny klucz szyfrujący głównego centrum depozytowego (do użycia w tworzeniu LEAF)

Wyróżniająca nazwa użytkownika

Publiczny klucz szyfrowy użytkownika (niniejszym potwierdzany)

Publiczny klucz weryfikacji podpisu urządzenia użytkownika (dla weryfikacji podpisu urządzenia)

Daty ważności (początek/koniec)

Podpis głównego centrum depozytowego [Certyfikat systemowy głównego centrum depozytowego]

Certyfikaty publicznego klucza szyfrującego, które zostały wydane przez główne centrum depozytowe, są rozpowszechnione i mogą być użyte albo przez właściciela urządzenia dla uaktywnienia swego urządzenia do wytwarzania zaszyfrowanych komunikatów lub przez innych do szyfrowania komunikatów do właściciela urządzenia, zawierającego parę publiczny/prywatny kluczy szyfrujących tego użytkownika

Należy zanotować, że niniejszy wynalazek nie wymaga, aby więcej niż jeden agent depozytowy był odbiorcą fragmentów prywatnego klucza szyfrowego użytkownika, w pewnych przypadkach mogłoby wystarczyć tylko złożenie prywatnego klucza szyfrującego użytkownika u jednego agenta depozytowego lub w (centrum depozytowym). Jednakże dla zwiększenia zaufania użytkownika i publicznego zaufania do systemu jest pożądane rozdzielenie prywatnego klucza szyfrującego użytkownika pomiędzy kilku agentów depozytowych tak, że wszystkie fragmenty klucza lub pewna określona ich liczbajest wymagana, by złożyć klucz użytkownika i odszyfrować jego transmisje. Jest ponadto pożądane, aby każdy agent depozytowy był niezależnym zaufanym w interesach, aby wykorzystać “wiedzę o rozdziale”, by w przypadku usiłowania korupcji, łapownictwa, wymuszenia lub nadużycia, było znacznie trudniej bezprawnie uzyskać prywatny klucz szyfrujący użytkownika niż gdyby ten klucz był przechowywany tylko w jednej jednostce. Jest także pożądane, aby jednostki były rozdzielone geograficznie, aby jeszcze bardziej ograniczyć możliwości zagarnięcia lub korupcji.

Szyfrowanie komunikatów

Użytkownik, który chce wysłać zaszyfrowany komunikat do innego użytkownika musi mieć certyfikat depozytowy dla swojego własnego urządzenia i certyfikat depozytowy dla publicznego klucza szyfrującego zamierzonego odbiorcy, ponieważ urządzenie według wynalazku nie będzie ani szyfrować ani deszyfrować, jeśli brakuje któregoś z tych dokumentów. Najpierw nadawca musi załadować swój własny ważny certyfikat do urządzenia, typowo gdy tylko otrzyma je z głównego centrum depozytowego. Następnie certyfikat publicznego klucza może być uzyskany albo bezpośrednio od zamierzonego odbiorcy, ze służby informacyjnej drukującej certyfikaty kluczy publicznych lub z lokalnej kartoteki nadawcy np. kartoteki użytkowników, z którymi nadawca uprzednio wymieniał zaszyfrowane komunikaty. W jednym przykładzie wykonania niniejszego wynalazku, ponieważ urządzenie nadawcy nie będzie szyfrować, a urządzenie odbiorcy

176 458 nie będzie deszyfrować, jeżeli certyfikat publicznego klucza szyfrującego odbiorcy nie jest “ważny”, aby więc urządzenie odbiorcy odszyfrowało zaszyfrowany komunikat certyfikat publicznego klucza szyfrującego odbiorcy musi być podpisany albo przez (a) wytwórcę urządzenia odbiorcy (to prawdopodobnie nie może zajść, ponieważ wytwórcy urządzeń najprawdopodobniej nie będą przyjmować do depozytu prywatnych kluczy użytkowników); (b) główne centrum depozytowe, łącznie z certyfikatem wytwórcy potwierdzającym, że główne centrum depozytowe jest ważnym powiernikiem; lub (c) powiernika lub główne centrum depozytowe, których klucze instrukcji zostały wbudowane w urządzenie podczas produkcji. Wykorzystując potwierdzony publiczny klucz szyfrujący użytkownika jaki jest podany w certyfikacie publicznego klucza odbiorcy, nadawca następnie generuje klucz sesyjny do użycia przez nadawcę i odbiorcę do szyfrowania i deszyfrowania komunikatu, ten klucz sesyjny może być korzystnie generowany przy użyciu metody potwierdzonego Diffie-Hellmana lub alternatywnie innego stosownego systemu. W metodzie potwierdzonego Diffie-Hellmana użytkownik najpierw generuje swój efemeryczny prywatny klucz dla tego komunikatu, a następnie wylicza klucz sesyjny bazując na swoim własnym prywatnym kluczu i kluczu publicznym odbiorcy (to jest pośredniej liczbie odbiorcy i dwóch publicznych liczbach, które są wszystkie zawarte w certyfikacie publicznego klucza szyfrującego odbiorcy). Następnie wykorzystując klucz sesyjny nadawca szyfruje komunikat, który ma być wysłany do odbiorcy/.

Jednakże w podjęciu decyzji wysłać lub nie zaszyfrowany komunikat do zamierzonego odbiorcy nadawca może nie mieć możliwości zweryfikowania właściwości certyfikatu publicznego klucza szyfrującego odbiorcy lub jego podpisu cyfrowego, jeżeli urządzenie nadawcy było wykonane przez innego producenta niż producent urządzenia odbiorcy. Fakt, że urządzenie odbiorcy było wykonane przez innego producenta może uniemożliwić urządzeniu nadawcy łatwą weryfikację albo podpisu producenta, albo certyfikatu producenta (który potwierdza główne centrum depozytowe, które podpisało certyfikat depozytowy klucza odbiorcy) stwierdzający, że główne centrum depozytowe odbiorcy jest ważne i aprobowane przez wytwórcę Podobnie mikroukład odbiorcy byłby niezdolny do weryfikacji tych warunków w odniesieniu do certyfikatu nadawcy przed deszyfrowaniem. Egzekwowanie wymagań depozytu od obu stron jest potrzebne, aby umożliwić agentom egzekwującym przestrzeganie prawa legalny dostęp i deszyfrowanie komunikatów nadawanych i otrzymywanych przez danego, podejrzanego użytkownika, bez konieczności uzyskiwania prywatnego klucza deszyfrującego drugiej niemonitorowanej strony, co dałoby im dostęp do niezwiązanych ze sprawą komunikatów niemonitorowanej strony/.

Jednym sposobem znalezienia rozwiązania tego problemu, gdy więcej niż jeden wytwórca produkuje urządzenia szyfrujące jest umieszczanie w urządzeniu lub w certyfikacie wydawanym przez główne centrum depozytowe użytkownika lub wytwórcę mikroukładów, publicznego klucza wiarygodnej jednostki, np. Banku Rezerw Federalnych. (“FRB”), który mógłby być użyty do weryfikacji jeszcze jednego certyfikatu wydanego przez FRB każdemu z innych różnych, głównych centrów depozytowych lub producentów. Taki certyfikat mógłby weryfikować poszczególne główne centrum depozytowe lub producenta i byłby podpisany przez FRB. Nadawca mógłby następnie uzyskać certyfikat klucza zamierzonego odbiorcy i mógłby wierzyć głównemu centrum depozytowemu, które wydało certyfikat, ponieważ główne centrum depozytowe było akredytowane raczej przez FRB niż przez wytwórcę mikroukładu, jako potwierdzony przez FRB klucz publiczny lub certyfikat. Również podpis poszczególnego urządzenia może być wiarygodnym, ponieważ inny wytwórca, który potwierdził to urządzenie był akredytowany przez FRB, jak potwierdzono w certyfikacie FRB lub kluczu publicznym. Aby wprowadzić to rozwiązanie na mniej prowincjonalnym poziomie Stanów Zjednoczonych i promować bardziej międzynarodowy system o zasięgu światowym, klucz publiczny wiarygodnej instytucji o zasięgu światowym, takiej jak Szwajcarski Bank Rozliczeń Międzynarodowych mógłby być włączony albo do wiarygodnego urządzenia, certyfikatu FRB lub certyfikatu głównego centrum depozytowego lub producenta (zależnie od przyjętego poufnego modelu) i mógłby działać w taki sam sposób, jaki został przedyskutowany w odniesieniu do klucza FRB, aby akredytować główne centra depozytowe i producentów na podstawie światowego zasięgu.

176 458

Innym sposobem, chociaż nie wprowadzającym instytucji o amerykańskim lub światowym zasięgu do jednego urządzenia dla uwiarygodnienia centrów depozytowych potwierdzonych przez innego wytwórcę, jest dla wytwórców urządzeń lub głównych centrów depozytowych wykonywanie potwierdzeń wzajemnych. To mogłoby pomóc urządzeniu nadawcy w wyegzekwowaniu ograniczeń depozytowych odbiorcy poprzez umożliwienie urządzeniu nadawcy na weryfikację ścieżki potwierdzeń certyfikatu depozytowego odbiorcy, wracając poprzez producenta urządzenia odbiorcy lub główne centrum depozytowe do swojego własnego. W korzystnym przykładzie wykonania wynalazku klucz publiczny wiarygodnej jednostki o zasięgu systemowym byłby umieszczony w wiarygodnym urządzeniu i działałby w taki sam sposób jak omówiony powyżej sposób odnoszący się do klucza FRB lub jednostki o zasięgu globalnym, aby akredytować wszystkie główne centra depozytowe i producentów na podstawie systemowej.

Kiedy tylko użytkownik, jednostka lub urządzenie “weryfikuje” podpisany cyfrowo “certyfikat” czy certyfikat producenta, lub certyfikat depozytowy wydany przez instytucję potwierdzającą lub producenta, jest zwykłą praktyką w większości rzeczywistych i proponowanych systemów zarządzania certyfikatami publicznych kluczy (i jest przyjęte w wynalazku), że użytkownik, jednostka lub urządzenie także sprawdza dostępną “listę odwołań certyfikatów” (“CRL”), aby określić, czy instytucja potwierdzająca lub inny wystawca, rozpowszechnił, rozpropagował lub inaczej uczynił dostępną listę odwołanych certyfikatów, która jest aktualizowana zgodnie ze stosowną polityką bezpieczeństwa i bazując na nazwie i numerze certyfikatu, czy certyfikat został odwołany. Certyfikat wydany użytkownikowi może być odwołany z powodu śmierci, zmiany nazwy lub zatrudnienia lub utraty, kradzieży lub zniszczenia urządzenia (inteligentnej karty), zawierającej klucz prywatny. Certyfikat wydany instytucji może być odwołany z powodu przerwy w działalności, zmiany nazwy, utraty, kradzieży lub zniszczenia urządzenia zawierającego prywatny klucz. Certyfikat wydany dla urządzenia może być odwołany z powodu utraty, kradzieży, wycofania z pracy lub zniszczenia urządzenia. Sprawdzanie CRL podczas weryfikacji certyfikatu jest dobrze opisane w znanej literaturze (np. ANSI Χ9.30 - część 3) i nie wymaga dalszej dyskusji. Wszyscy użytkownicy, jednostki i urządzenia będą miały normalny dostęp do odpowiednich urządzeń telekomunikacyjnych i mogą odzyskać CRL lub uzyskać żądaną informację. Podobnie, według wynalazku przyjmuje się, że wszystkie jednostki wydające CRL czynią je dostępnymi dla wszystkich zainteresowanych stron.

Format Nagłówka Kontroli Komunikatu

Podczas wysyłania zaszyfrowanego komunikatu nadawca musi także utworzyć odpowiednie pole Nagłówka Kontroli Komunikatu (MCH), zawierające następujące informacje:

(1) Pośrednią liczbę nadawcy dla zaszyfrowanego komunikatu wyliczoną przez nadawcę przy użyciu jego losowo utworzonego prywatnego klucza efemerycznego, który był także użyty przez nadawcę do obliczenia klucza sesyjnego, za pomocą którego komunikat był zaszyfrowany. Odbiorca musi mieć tą pośrednią liczbę, aby obliczyć klucz sesyjny dla odszyfrowania komunikatu.

(2) Nazwę i kod kraju głównego centrum depozytowego nadawcy.

(3) Nazwę i kod kraju głównego centrum depozytowego odbiorcy, uzyskane z certyfikatu klucza publicznego odbiorcy.

(4) Numer certyfikatu depozytowego nadawcy, zaszyfrowany przy użyciu publicznego klucza szyfrującego głównego centrum depozytowego nadawcy (uzyskanego z certyfikatu depozytowego nadawcy), tak, że tylko główne centrum depozytowe nadawcy może go odszyfrować.

(5) Pośrednią liczbę nadawcy (różną od poprzedmej liczby pośredniej), która była użyta przez nadawcę do obliczenia efemerycznego klucza sesyjnego, za pomocą której nadawca potwierdza zaszyfrowany numer do głównego centrum depozytowego nadawcy. Główne centrum depozytowe nadawcy musi mieć tą liczbę aby obliczyć efemeryczny klucz dla odszyfrowania numeru certyfikatu nadawcy.

(6) Klucz sesyjny dla zaszyfrowania komunikatu, zaszyfrowany przy użyciu własnego klucza publicznego nadawcy (liczba pośrednia z własnego publicznego certyfikatu nadawcy), tak, że rzeczywiście nadawca wysyła klucz sesyjny komunikatu do siebie samego. Agenda egzek20

176 458 wującaprawo może uzyskać dostęp do tego klucza sesyjnego komunikatu, gdy uzyska fragmenty prywatnego klucza nadawcy od agentów depozytowych nadawcy.

(7) Pośrednią liczbę nadawcy (różną od dwóch poprzednich liczb pośrednich nadawcy), która była użyta przez nadawcę do obliczenia efemerycznego klucza sesyjnego, przy pomocy którego klucz sesyjny komunikatu był zaszyfrowany do niego samego Agenda egzekwująca prawo musi mieć tą liczbę, aby obliczyć, używając także prywatnego klucza nadawcy (jego tajna liczba) uzyskanego z głównego centrum depozytowego nadawcy, efemeryczny klucz dla odszyfrowania sesyjnego klucza komunikatu.

(8) Numer certyfikatu odbiorcy, zaszyfrowany przy użyciu publicznego klucza szyfrującego głównego centrum depozytowego odbiorcy (uzyskanego z certyfikatu depozytowego odbiorcy) tak, że tylko główne centrum depozytowe odbiorcy może go odszyfrować.

(9) Pośrednią liczbę nadawcy (różną od trzech poprzednich liczb pośrednich nadawcy), która była użyta przez nadawcę do obliczenia efemerycznego klucza sesyjnego, przy pomocy którego numer certyfikatu depozytowego odbiorcy był zaszyfrowany dla głównego centrum depozytowego odbiorcy. Główne centrum depozytowe odbiorcy musi mieć tą liczbę, aby obliczyć efemeryczny klucz sesyjny dla odszyfrowania numeru certyfikatu odbiorcy.

(10) Znacznik czasu (opcjonalny), dla celów śledzenia i możliwej pomocy w egzekwowaniu daty upoważnienia i ograniczeń czasowych.

(11) Podpis urządzenia nadawcy.

(12) Certyfikat depozytowy publicznego klucza nadawcy wydany przez główne centrum depozytowe nadawcy. Certyfikat depozytowy nadawcy zawiera publiczny klucz urządzenia nadawcy, który główne centrum depozytowe uprzednio zweryfikowało, a następnie skopiowało z certyfikatu producenta urządzenia nadawcy.

(13) Certyfikat głównego centrum depozytowego od FRB, producenta lub jakiejkolwiek instytucji o zasięgu systemowym jest wiarygodny, jeżeli mikroukład odbiorcy jest wykonany przez innego wytwórcę, dołączony do certyfikatu depozytowego nadawcy. Certyfikat producenta, FRB lub instytucji o zasięgu systemowym jest potrzebny tylko dla pierwszej transmisji pomiędzy dwoma stronami. Certyfikat może być także wzajemnie potwierdzany przez producenta odbiorcy i główne centrum depozytowe.

Opisany w ten sposób MCH może być streszczony jak poniżej:

Pośrednia Liczba Nadawcy (dla umożliwienia odbiorcy deszyfrowania komunikatu)

Kod Kraju Głównego Centrum Depozytowego Nadawcy

Nazwa Głównego Centrum Depozytowego Nadawcy

Kod Kraju Głównego Centrum Depozytowego Odbiorcy

Nazwa Głównego Centrum Depozytowego Odbiorcy

Numer Certyfikatu Depozytowego Nadawcy, zaszyfrowany dla Głównego Centrum Depozytowego Nadawcy

Liczba Pośrednia Nadawcy (dla zaszyfrowania numeru certyfikatu nadawcy)

Klucz Sesyjny Komunikatu, zaszyfrowany dla nadawcy

Liczba Pośrednia Nadawcy (dla zaszyfrowania klucza sesyjnego komunikatu dla nadawcy)

Numer Certyfikatu Depozytowego Odbiorcy, zaszyfrowany dla Głównego Centrum Depozytowego Odbiorcy

Liczba Pośrednia Odbiorcy (dla zaszyfrowania numeru certyfikatu odbiorcy)

Znacznik czasu

Podpis MCH Urządzenia Nadawcy [Certyfikat Depozytowy Nadawcy] [Certyfikat Centrum Depozytowego]

Figura 17 przedstawia proces wysyłania zaszyfrowanego komunikatu 176 z MCH. Cały MCH 172 (załączone certyfikaty 173, 174, 175 nie są w sensie technicznym częścią MCH) jest podpisany przez urządzenie nadawcy 171 wykorzystujące prywatny klucz DSA podpisu urządzenia z umieszczonym w nim certyfikatem wytwórcy dołączonym do niego (wewnątrz certyfikatu depozytowego nadawcy) dla potwierdzenia publicznego klucza podpisu urządzenia.

176 458

Gwarantuje to, że cały MCH jest dostarczony do odbiorcy nienaruszony i że mikroukład odbiorcy może łatwo zweryfikować, że MCH nie był modyfikowany. Do certyfikatu producenta może być dołączony certyfikat (FRB) lub instytucji o zasięgu światowym, dla potwierdzenia, że producent mikroukładu nadawcy jest wiarygodny, w przypadku, gdy urządzenie odbiorcy było wyprodukowane przez innego producenta.

W innym przykładzie wykonania wynalazku, drugi, krótszy format MCH może być użyty w przypadku kiedy całkowita tajemnica nie jest krytyczna. W tym MCH ani Numer Certyfikatu Nadawcy, ani Numer Certyfikatu Odbiorcy nie są szyfrowane dla poszczególnego głównego centrum depozytowego. Nieszyfrowanie numerów certyfikatów oszczędza wiele czasu i przestrzeni w tworzeniu MCH. W jeszcze jednym przykładzie wykonania wynalazku trzeci również krótszy format MCH może być użyty w takim typowym przypadku, kiedy zarówno nadawca jak i odbiorca wykorzystują to samo główne centrum depozytowe w celu zdeponowania kluczy, czyniąc EC1 identycznym z EC2. Przez wyeliminowanie potrzeby umieszczania w MCH informacji identyfikujących drugie główne centrum depozytowe i specjalnej liczby pośredniej używanej do szyfrowania numeru certyfikatu odbiorcy dla drugiego głównego centrum depozytowego, MCH może być znacznie krótszy. Ponadto rozmiar MCH może być jeszcze bardziej zredukowany przez użycie przesyłania kluczy RSA do szyfrowania klucza DES dla komunikatu i dla każdego z trzech zaszyfrowanych wewnętrznych składników LEAF. Zgodnie z tąmetodąkażda pośrednia liczba nadawcy powinna być zastąpiona przez mniejszy klucz DES związany z RSA. Tak więc nadawca może szyfrować sesyjny klucz RSA komunikatu dla odbiorcy i eliminować potrzebę pierwszej liczby pośredniej w MCH. Nadawca może także szyfrować sesyjny klucz RSA komunikatu dla siebie samego (rzeczywiście dla późniejszego odszyfrowania przez agendę egzekwującą przestrzeganie prawa) i przez to wyeliminować potrzebę trzeciej liczby pośredniej w MCH. Nadawca może ponadto szyfrować RSA numery certyfikatów swojego i odbiorcy, a więc wyeliminować potrzebę drugiej i czwartej liczby pośredniej w MCH. Jak pokazano na fig. 18 eliminacja czterech liczb pośrednich i związanego z nimi szyfrowania i zamiana każdej liczby pośredniej mniej szym szyfrem transportowym RSA 181 znacznie ogranicza rozmiar MCH.

Udział materiału losowego

Można się niepokoić, że wymiana klucza sesyjnego komunikatu wykorzystująca tylko mer todę transportu RSA lub schemat potwierdzonego Diffie-Hellmana nie jest wystarczająco bezpieczna, ponieważ obydwoma tymi metodami, chociaż zarówno nadawca jak i odbiorca dostarczają informacje, tylko nadawca tworzy klucz sesyjny komunikatu. Jednakże według standardów wojskowych dla bezpiecznej komunikacji zarówno nadawca jak i odbiorca musi wnosić materiał losowy w tworzenie klucza sesyjnego przed każdą sesją łączności najwidoczniej, aby zredukować możliwość użycia przez nadawcę słabego klucza lub powtórnego użycia tego samego klucza i przez to narazić odbiorcę wbrew jego woli na ryzyko utraty bezpieczeństwa. System wiarygodnych urządzeń przewidzianych w wynalazku może zmniejszyć te obawy na dwa różne sposoby. Po pierwsze może on zapewnić, że urządzenie nadawcze będzie wytwarzać każdy klucz oddzielnie wykorzystując przypadkowe liczby pochodzące z szumów generowanych przez wbudowane sprzętowe źródło szumów, takie jak wstecznie spolaryzowana dioda, jak omówiono wcześniej. Następnie, tak długo jak urządzenie podpisuje MCH lub Nagłówek Kontroli Komunikatu, odbiorca może być pewny, że każdy klucz sesyjny komunikatu i liczby losowe użyte do jego wytworzenia są mocne i unikalne. Jednakże ci, którzy nalegająna większe bezpieczeństwo mogą żądać współudziału materiału losowego obu stron komunikacji, jak określono dla Typu 1 wojskowych systemów klasyfikowania informacji.

Jak dotąd w tym wynalazku opisano jak nadawca tworzy klucz sesyjny komunikatu bazując na publicznym kluczy szyfrującym odbiorcy, jakijest zawarty w jego certyfikacie depozytowym, a nie na materiale losowym otrzymanym od odbiorcy podczas wstępnej fazy łączności. Taka organizacja, w której nadawca otrzymywałby udział od odbiorcy tworzy jednakże nowy problem. Nie można po prostu pozwolić odbiorcy na wytworzenie samodzielnie liczby pośredniej Diffie-Hellmana i przesłanie jej nadawcy dla użycia w tworzonym kluczu sesyjnym komunikatu, ponieważ odbiorca nie mógłby dłużej używać zdeponowanego klucza prywatnego w

176 458 swoim wiarygodnym urządzeniu do deszyfrowania komunikatów i ponieważ ich komunikaty nie mogłyby nigdy być monitorowane przez agendy egzekwujące przestrzeganie prawa. Powodzenie systemu wprowadzającego schemat depozytów wymaga, aby ani nadawca, ani odbiorca nie mogli odczytać komunikatu nie używając zarejestrowanego, wiarygodnego urządzenia.

Aby umożliwić sytuację, w której nadawca i odbiorca współtworzą materiał losowy do klucza sesyjnego komunikatu przed transmisją, wstępny protokół wymiany klucza może być zmodyfikowany, aby umożliwić urządzeniu zamierzonego odbiorcy wygenerować nową efemeryczną, tajną liczbę Diffie-Hellmana niezależnie i oprócz zdeponowanego prywatnego klucza odbiorcy, będzie to użyte do obliczenia nowej liczby pośredniej, która z kolei będzie przesłana do nadawcy dla obliczenia sesyjnego klucza komunikatu dla zaszyfrowania komunikatu. Zdeponowany prywatny klucz odbiorcy byłby jeszcze użyty do utworzenia liczb pośrednich (włączonych do MCH) i efemerycznych kluczy sesyjnych, które są użyte do szyfrowania różnych części MCH. Ta modyfikacja wymaga jednak, aby tworzenie nowej tajnej liczby zachodziło wewnątrz urządzenia zamierzonego odbiorcy, żeby ta nowa tajna liczba pozostawała wewnątrz wiarygodnego urządzenia i żeby nowa liczba pośrednia była podpisana przez urządzenie zamierzonego odbiorcy przed wysłaniem do urządzenia nadawcy w celu potwierdzenia, że nowa efemeryczna tajna liczbajest rzeczywiście zamknięta bezpiecznie w urządzeniu odbiorcy. Takjak poprzednio, urządzenie nadawcy wytwarza nowątajnąliczbę niezależnie i oprócz zdeponowanego prywatnego klucza nadawcy i używając tą nową tajną liczbę i nową liczbę pośrednią odbiorcy tworzy klucz sesyjny komunikatu dla odszyfrowania komunikatu. Urządzenie nadawcy będzie także używać nową tajną liczbę nadawcy dla utworzenia nowej liczby pośredniej nadawcy, która będzie wysłana do urządzenia odbiorcy jako fragment MCH, dla celów podsłuchu W tej metodzie klucz sesyjny komunikatu zawierałby więc, zgodnie z życzeniem, materiał losowy wniesiony zarówno przez nadawcę jak i przez odbiorcę.

Jednakże w tym zmodyfikowanym protokole wymiany klucza, ponieważ nadawca i odbiorca w rzeczywistości używająnowych prywatnych kluczy Diffie-Hellmana dla każdego komunikatu, właściwości depozytowe zanikają, ponieważ agendy egzekwujące przestrzeganie prawa i zarząd przedsiębiorstwa nigdy nie mógłby uzyskać tych efemerycznych kluczy sesyjnych od agentów depozytowych. Dlatego potrzeby systemu depozytowego i wspólnota interesów wymagają, żeby klucz sesyjny komunikatu był jak poprzednio przesyłany w MCH. Rzeczywiście, aby zapewnić równość podsłuchu wszystkie pola, które były przedtem ujawnione jako część MCH pozostają takimi. Pole przenoszące klucz sesyjny komunikatu do nadawcy (które jest jedynym sposobem umożliwiającym odczyt komunikatu agentom egzekwującym przestrzeganie prawa, podsłuchującym nadawcę) musi także być włączone do MCH, aby zachować zasadę równości podsłuchu. Klucz sesyjny komunikatu będzie zaszyfrowany w MCH, jak poprzednio, wykorzystując publiczny klucz szyfrujący nadawcy, do którego agenda egzekwująca przestrzeganie prawa będzie jednak miała dostęp. Nowa pośrednia liczba nadawcy będzie wysłana do odbiorcy jako pierwszy fragment MCH, jak poprzednio, aby umożliwić agendom egzekwującym przestrzeganie prawa podsłuchiwanie odbiorcy i obliczenie klucza sesyjnego komunikatu. Tak więc, aby zrealizować wymianę klucza technikajnteraktywnąDiffie-Hellmana, ten protokół wymaga, zeby przyszła nowa liczba pośrednia odbiorcy była utworzona wewnątrz i była podpisana przez jego urządzenie i wymaga, żeby nowa pośrednia liczba nadawcy była dodana do MCH, a nie użyta zamiast wcześniej ustalonych metod przesyłania klucza, ponieważ to jest jedyny sposób, aby członkowie wspólnoty interesów (funcjonariusze egzekwujący przestrzeganie prawa, pracodawcy i inni) mogli czytać komunikat. Ta metodajednakże nie byłaby ekonomiczna dla innych operacji, takich jak bezpośrednie telefoniczne, sieciowe, lub operacje komutowane, ponieważ urządzenie musiałoby za dużo zapamiętać, mianowicie specjalne liczby pośrednie dla każdego kontrpartnera. Ta metoda może być z korzyścią użyta w telefonii komórkowej, rejestracji sieciowej itp., gdzie pożądane są sesje interaktywne w czasie rzeczywistym.

176 458

Nagłówki wspólnoty interesów

MCH będzie na ogół umieszczone przed zaszyfrowanym komunikatem, jako jego nagłówek W wielu istniejących elektronicznych systemach pocztowych i dokumentacyjnych szereg odbiorców ma możliwość czytania jednego zakodowanego komunikatu, wykorzystując realizację transportu RSA w projektowaniu MCHjak omówiono powyżej, przy szyfrowaniu klucza sesyjnego RSA komunikatu wykorzystując publiczny klucz szyfrujący każdego odbiorcy. Tak jest wówczas, gdy szereg odbiorców ma otrzymać ten sam zaszyfrowany komunikat. Nagłówek MCH może zawierać dla każdego zamierzonego odbiorcy, jego nazwę z następującym po niej kluczem sesyjnym komunikatu, RSA zaszyfrowane dla każdego zamierzonego odbiorcy, przy użyciu publicznego klucza szyfrującego tego odbiorcy. Tak więc, każdy zamierzony odbiorca może zlokalizować swój zapis w nagłówku MCH, odszyfrować swoją kopię klucza sesyjnego komunikatu i odczytać komunikat. Również przy szeregu zamierzonych odbiorców, poprawność MCH jest wymuszona z dwóch stron komunikacji: po stronie nadawcy wyjście MCH jest narzucone przez wewnętrzną logikę urządzenia nadawcy, jest to wymaganie, żeby tworzyło ono ważny MCH przed zaszyfrowaniem komunikatu: po stronie odbiorcy poprawność MCH jest narzucona przez weryfikację przez urządzenie odbiorcy podpisu cyfrowego urządzenia nadawcy. Jak stwierdzono poprzednio, ponieważ kopie odbiorcy klucza komunikatu są integralną częścią MCH, żaden odbiorca nie może odczytać komunikatu, jeżeli MCH nie jest wysłany i odebrany nienaruszony, inaczej niż w systemie Clippera, w którym sam MCH nie jest związany z mechanizmem przesyłania klucza.

Przy tej koncepcji formatowania MCH, MCH nie było streszczone jak pokazano na fig. 25. Jak w poprzednich formatach MCH, autentyczność MCH jest gwarantowana przez podpis cyfrowy urządzenia nadawcy 258. Ponadto, jak poprzednio numery certyfikatów depozytowych nadawcy i odbiorcy są zaszyfrowane publicznymi kluczami ich poszczególnych głównych centrów depozytowych 251, 252. W tym formacie jednakże MCH podpisane przez urządzenie nadawcy staje się zmodyfikowaną “listą odbiorców”, która jest bardziej elastyczna i łatwiejsza do zrozumienia w stosunku do sposobu w jaki pracują współczesne systemy szyfrowanej poczty elektronicznej. Na przykład, nazwy nadawcy i odbiorcy (lub system ID lub adresy) są pokazane niezaszyfrowane w MCH 253, 254. Chociaż to koliduje z anonimowością nadawcy i odbiorcy, praktycznie jest trudne wysłanie komunikatu w systemie poczty elektronicznej bez oznaczenia komunikatów nazwą i adresem nadawcy i odbiorcy, więc utrata tajności jest niewielka. Ponadto nazwy pracodawców nadawcy i odbiorcy 255,256 (lub ich unikalne ID, takie jak numery podatkowe lub numery DUNS) są także pokazane niezaszyfrowane, stąd znaczne zmniejszenie wysiłku służy bezpieczeństwa pracodawcy dla znalezienia komunikatów wysłanych i odebranych przez ich poszczególnych pracowników. Alternatywnie zamiast pozostawienia niezaszyfrowanych bloków nazw nadawcy, odbiorcy i pracodawcy, te zapisy mogłyby być równie dobrze odczytywane “nadawca” “adresat” “pracodawca nadawcy” i “pracodawca odbiorcy” (lub ich odpowiedniki) niezaszyfrowane z rzeczywistymi identyfikatorami wewnątrz obszarów zaszyfrowanych, jak poprzednio. Tak więc zamierzony odbiorca komunikatu szukałby w MCH swojego niezaszyfrowanego skrótu identyfikacyjnego i w ten sposób mógł podjąć deszyfrowanie i odczytanie tylko fragmentu MCH przeznaczonej i zaszyfrowanej dla niego.

Ponadto ten format MCH, jak pokazano na fig. 25 umożliwia dostęp do podjednostek w organizacji przedsiębiorstwa, przez określenie wtórnych linii przedsiębiorstwa (a, b, itd.). Dla świadomych tajności pracodawców, MCH mógłby czytać “nadawca podjednostka b przedsiębiorstwa” niezaszyfrowane jak omówiono powyżej i zawierać identyfikator rzeczywistej jednostki organizacyjnej przedsiębiorstwa w obszarze zaszyfrowanym. Ponieważ każdy zapis MCH jest etykietowny, nie ma ograniczeń dotyczących liczby warstw dostępu w przedsiębiorstwie; wszystkie one stają się w pewnym sensie uprawnionymi “odbiorcami” komunikatu. Ponadto, w przeciwieństwie do dotychczasowych formatów MCH ten format MCH może zawierać klucz sesyjny komunikatu zaszyfrowanym bezpośrednio dla pracodawcy 257, tak, że pracodawca nie musi zwracać się do głównego centrum depozytowego i agentów, aby uzyskać klucz sesyjny komunikatu dla jego odszyfrowania. Chociaż może on kolidować z oczekiwaniami pracowników do24

176 458 tyczącymi tajności w miejscu pracy ten format może pozwolić pracodawcom na sprawdzanie i uzyskiwanie kartotek swoich pracowników przy minimalnym wysiłku

Aby utworzyć MCH w tym formacie przed wysłaniem komunikatu nadawca musi najpierw uzyskać wszystkie konieczne nazwy/kody i klucze publiczne zamierzonych odbiorców i ich pracodawców. Te informacje mogą być zebrane z certyfikatu depozytowego odbiorcy i z własnego certyfikatu. Jednakże, aby uogólnić to podejście i uczynić te informacje dostępnymi dla użytkownika, który chce wysłać komunikat, główne centrum depozytowe musi włączyć do każdego standardowego certyfikatu depozytowego, jak omówiono wcześniej, unikalną liczbę identyfikacyjną lub kodową i publiczny klucz szyfrujący zarówno przedsiębiorstwa jak i jego podjednostek. Układ certyfikatu depozytowego powinien być zaprojektowany przy użyciu powtarzalnych podgrup dla skutecznego utrzymywania zmiennych liczb stron “wspólnoty interesów”. Każdy zapis strony wspólnoty interesów miałby unikalny numer identyfikacyjny, publiczny klucz szyfrujący i możliwie kod instrukcji (lub kod taktyczny, jak zostanie omówione poniżej) instruujący urządzenie nadawcy jak kodować zapis MCH tej strony. Kod instrukcji powinien zawierać elementy wyboru dające urządzeniu nadającemu możliwości włączenia (1) unikalnego numeru identyfikacyjnego strony, albo niezaszyfrowanego albo z użyciem pseudonimu np. “empl a”: (2) klucza sesyjnego komunikatu w obszarze zaszyfrowanym lub nie; (3) unikalnego numeru identyfikacyjnego strony w obszarze zaszyfrowanym lub nie, (4) znacznika czasu lub liczby losowej na początku obszaru zakodowanego lub nie. Te (fmozliwe inne) kody instrukcji mogą być określone jako znaczniki masek bitów. Lista stron (i/lub ich kody) ich publiczne klucze szyfrujące i znaczniki instrukcji mogłyby wskazać urządzeniu nadawcy jak formatować części MCH w części dotyczącej wspólnoty interesów w zgodzie z życzeniem każdej strony dotyczącym częściowej lub całkowitej anonimowości. Przewiduje się, że w praktyce wiele stron wspólnoty interesów me będzie chciało mieć kłopotów z anonimowością, ponieważ będzie dla nich znacznie łatwiej wyszukać i identyfikować komunikaty ich pracowników jeśli ich własna nazwa i numery identyfikacyjne będąjawne.

Deszyfrowanie przez odbiorców

Gdy zamierzony odbiorca otrzymuje zaszyfrowany komunikat 191 i pole MCH 192 musi wykonać szereg czynności aby przeczytać komunikat, jak pokazano na fig. 19. Po pierwsze odbiorca musi załadować swój własny ważny certyfikat depozytowy 193 do mikroukładu, ponieważ w korzystnym przykładzie wykonania wynalazku, bez tego mikroukład nie będzie deszyfrował. Typowo, certyfikat depozytowy odbiorcy będzie już przechowywany w pamięci urządzenia w stanie przed weryfikacją. Następnie odbiorca ładuje MCH 192 i certyfikat depozytowy nadawcy 194, który zawiera także klucz weryfikujący publiczny podpis urządzenia nadawcy (z odpowiednim certyfikatem 195 wydanym, jeśli jest to niezbędne, przez instytucję o zasięgu systemowym lub światowym), do swojego mikroukładu 190. Mikroukład nadawcy 190 sprawdza certyfikat depozytowy nadawcy 194, aby potwierdzić, że prywatny klucz deszyfrujący został zdeponowany. Wykonuje się to przy użyciu klucza publicznego producenta, dla potwierdzenia podpisu producenta w certyfikacie urządzenia lub w razie potrzeby, podpisu instytucji o zasięgu systemowym w certyfikacie centrum depozytowego i przez sprawdzenie, czy podpis centrum depozytowego w certyfikacie depozytowym nadawcyjest prawidłowy. W korzystnym przykładzie wykonania publiczny klucz podpisu 196 instytucji o zasięgu systemowym jest bezpośrednio użyty do sprawdzenia certyfikatu depozytowego 195. Mikroukład odbiorcy sprawdza następnie podpis mCh przed działaniem w celu sprawdzenia, że (1) urządzenie wysyłające jest wiarygodne, (2) klucz nadawcyjest zdeponowany, a także zweryfikowany przez nadawcę i (3) MCH 192 jest prawidłowy, to jest MCH jest we właściwym formacie i zawiera wszystkie wymagane informacje. Wykonuje się to przez weryfikację podpisu urządzenia nadawcy, podpisu certyfikatu producenta urządzenia nadawcy i w razie potrzeby, certyfikatu instytucji o zasięgu systemowym, wydanego producentowi. Dla ułatwienia tego procesu weryfikacji publiczne klucze producenta i instytucji o zasięgu systemowym powinny być umieszczone w mikroukładzie odbiorcy 190. W najprostszym przypadku odbiorca powinien zatwierdzić certyfikat depozytowy nadawcy tylko raz na podstawie jego własnego, wbudowanego publicznego klucza wytwórcy lub klucza in176 458 strukcji wiarygodnej jednostki o zasięgu systemowym Gdy raz została potwierdzona ich ważność dla określonego nadawcy, odbiorca potrzebuje stosować tylko wstępnie potwierdzony publiczny klucz nadawcy dla potwierdzenia podpisu MCH, co daje sprawdzenie tylko jednego podpisu dla komunikatu. Jeżeli albo certyfikat nadawcy 194 lub MCH jest nieważny, mikroukład odbiorcy nie odszyfruje komunikatu. Na koniec, po zweryfikowaniu tych certyfikatów i podpisów odbiorca wylicza klucz sesyjny komunikatu na podstawie liczby pośredniej nadawcy, która jest włączona do MCH i własnego prywatnego klucza odbiorcy (jego tajnej liczby) odpowiadającej jego publicznemu kluczowi, jaki został rozpowszechniony w jego certyfikacie 193 publicznego klucza szyfrującego Używając klucza sesyjnego odbiorca deszyfruje komunikat przesłany przez nadawcę.

Deszyfrowanie przez agendy egzekwujące przestrzeganie prawa Aby przejąć i odszyfrować komunikaty do i od poszczególnego użytkownika, agenda egzekwująca przestrzeganie prawa musi mieć upoważnienie sądowe lub zezwolenie na monitorowanie łączności danego użytkownika. Upoważnienie sądowe będzie najprawdopodobniej zawierać (1) “początek monitorowania” datę i godzinę o której agenda egzekwująca przestrzeganie prawa może zacząć monitorować łączność użytkownika, “koniec monitorowania” datę i godzinę po której agenda egzekwująca przestrzeganie prawa nie może monitorować łączności użytkownika, i prawdopodobnie (3) okres amnestii po dacie “końca monitorowania”, podczas którego to okresu amnestii agenda egzekwująca przestrzeganie prawa może zachować prywatny klucz użytkownika jedynie dla odszyfrowania wcześniej przejętych komunikatów, ale nie dla przejmowania i monitorowania dodatkowych komunikatów tego użytkownika. Monitorując komunikaty nadawcy, agenda egzekwująca przestrzeganie prawa przejmuje komunikat i identyfikuje korzystając z MCH nazwę i kraj głównego centrum depozytowego nadawcy, aby określić od kogo żądać prywatnego klucza deszyfrującego nadawcy. Następnie agenda egzekwująca przestrzeganie prawa przedstawia upoważnienie sądowe i MCH z przejętego komunikatu z głównym centrum depozytowym nadawcy, które wykorzystuje swój prywatny klucz do odszyfrowania numeru certyfikatu nadawcy, który został zaszyfrowany w MCH. Wykorzystując numer certyfikatu nadawcy, główne centrum depozytowe nadawcy poszukuje nazwy nadawcy i nazw agentów depozytowych nadawcy i ujawnia je wszystkie agentowi egzekwującemu przestrzeganie prawa razem z certyfikatem producenta urządzenia nadawcy, który będzie potrzebny agentowi egzekwującemu przestrzeganie prawa podczas dekodowania. Agent egzekwujący przestrzeganie prawa następnie kontaktuje się z każdym z agentów depozytowych nadawcy i przedstawia im nazwę nadawcy i upoważnienie i uzyskuje od każdego agenta depozytowego powierzone mu fragmenty klucza nadawcy. Ponieważ korzystny sposób przejmowania i deszyfrowania zaszyfrowanych komunikatów przez agendy egzekwujące przestrzeganie prawa według wynalazku, polega na użyciu prezentowanej poniżej skrzynki dekodera, agenda egzekwująca przestrzeganie prawa żąda także od agentów, aby dołączyli publiczny klucz szyfrujący skrzynki dekodera przeznaczonej dla agentów egzekwujących przestrzeganie prawa, tak że fragmenty klucza mogą być przesłane bezpośrednio do skrzynki dekodera przeznaczonej dla agentów egzekwujących przestrzeganie prawa, a nie do samych agentów. Każdy agent depozytowy wysyła fragment klucza nadawcy będący w jego posiadaniu do skrzynki dekodera będącej w posiadaniu agentów egzekwujących przestrzeganie prawa, jako zaszyfrowany komunikat mający datę “początku monitorowania” i datę “końca monitorowania” i opcjonalnie ”okres amnestii tak, że skrzynka dekodera może przestrzegać terminów upoważnienia. Skrzynka dekodera następnie odszyfrowuje i zaszyfrowuje komunikaty fragmentów klucza, łączy fragmenty klucza i wykorzystuje zrekonstruowany prywatny klucz dla uzyskania klucza sesyjnego dla łączności, który to klucz sesyjny był zaszyfrowany przez nadawcę w MCH jako komunikat wysłany do siebie samego. Skrzynka dekodera może następnie monitorować i przejmować komunikaty do i od nadawcy tylko podczas okresu podanego w zezwoleniu i może kontynuować deszyfrowanie tych przejętnych komunikatów tylko do końca okresu amnestii określonego w zezwoleniu.

Podobna procedura jest stosowana przy monitorowaniu komunikatów do i od odbiorcy. Z MCH przejętego komunikatu agent egzekwujący przestrzeganie prawa identyfikuje nazwę

176 458 i kraj głównego centrum depozytowego odbiorcy, a następnie przedstawia upoważnienie i MCH z przejętego komunikatu w głównym centrum depozytowym odbiorcy, które wykorzystuje swój prywatny klucz do odszyfrowania numeru certyfikatu odbiorcy, który został zaszyfrowany w MCH. Wykorzystując numer certyfikatu odbiorcy, główne centrum depozytowe odbiorcy poszukuje nazwy odbiorcy i nazw agentów depozytowych nadawcy i ujawnia je wszystkie agentowi egzekwującemu przestrzeganie prawa. Agent egzekwujący przestrzeganie prawa następnie kontaktuje się z każdym z agentów depozytowych odbiorcy i przedstawia im nazwę odbiorcy i upoważnienie. Każdy agent depozytowy przesyła fragment klucza, który został mu powierzony przez odbiorcę do skrzynki dekodera agenta egzekwującego przestrzeganie prawajako zaszyfrowany komunikat do skrzynki dekodera mający datę “rozpoczęcia monitorowania”, datę “zakończenia monitorowania” i okres amnestii dla egzekwowania terminów upoważnienia przez skrzynkę dekodera. Skrzynka dekodera następnie deszyfruje i szyfruje fragmenty klucza, łączy je i używa zrekonstruowanego prywatnego klucza odbiorcy łącznie z pośrednią liczbą nadawcy, która znajduje się na początku każdego MCH, do obliczenia klucza sesyjnego komunikatu. Skrzynka dekodera może następnie monitorować i przejmować komunikaty do i od odbiorcy tylko podczas okresu podanego w zezwoleniu i może kontynuować deszyfrowanie tych przejętych komunikatów tylko do końca okresu amnestii określonego w zezwoleniu.

W innym przykładzie wykonania wynalazku format zaszyfrowanego komunikatu fragmentu klucza przesyłanego przez każdego agenta depozytowego do skrzynki dekodera agenta egzekwującego przestrzeganie prawa może być taki jak poniżej:

Numer Certyfikatu Użytkownika

Fragment Prywatnego Klucza: X(i)

Data i Godzina Rozpoczęcia Monitorowania

Data i Godzina Zakończenia Monitorowania

Okres Amnestii zezwolony przez Sąd (dni/godziny)

Data i Godzina (tego komunikatu fragmentu klucza)

Podpis Agenta Depozytowego [Certyfikat Agenta Depozytowego]

W tym formacie, wszystkie informacje oprócz Numeru Certyfikatu byłyby zaszyfrowane kluczem szyfrującym skrzynki dekodera. Ponieważ komunikaty fragmentu klucza od agentów depozytowych są zaszyfrowane dla tej określonej skrzynki dekodera, żaden inny użytkownik ani skrzynka dekodera nie mogą ich odczytać. Ponadto daty i godziny “Rozpoczęcia Monitorowania” i “Koniec Monitorowania” instruują skrzynkę dekodera kiedy zaczynać monitorowanie i dekodowanie komunikatów i kiedy kończyć monitorowanie: Okres Amnestii daje skrzynce dekodera dodatkowy, określony czas na dekodowanie wcześniej przejętych komunikatów, po którym to okresie skrzynka dekodera musi przerwać dekodowanie i wymazać dane prywatnego klucza. Tak więc skrzynka dekodera może być użyta do odszyfrowywania i monitorowania komunikacji użytkowników aż do daty określonej w zezwoleniu, po którym to czasie skrzynka dekodera i umieszczony w niej zegar uniemożliwią dalsze deszyfrowanie Skrzynka dekodera mogłaby także odmówić przetwarzania komunikatów fragmentu klucza mając datę i czas komunikatu wcześniejsze niż dwanaście (12) godzin (lub określony przeciąg czasu) lub mając datę ważności i godzinę, które już minęły

Realizacja skrzynki dekodera

W korzystnym przykładzie wykonania wynalazku agendy egzekwujące przestrzeganie prawa wykorzystują specjalną odporną na manipulacje skrzynkę dekodera dla przejmowania i deszyfrowania komunikatów monitorowanych użytkowników pod pewnymi określonymi i kontrolowanymi warunkami. Przykład skrzynki dekodera i przebiegający w niej proces jest pokazany na fig. 20. Skrzynka dekodera 200 jest zaprojektowana tak, aby być wiarygodnym urządzeniem o projekcie podobnym do systemu wiarygodnych urządzeń wynalazku i dlatego: może egzekwować różne warunki dla uniemożliwienia niewłaściwej akcji agentów egzekwujących przestrzeganie prawa. Skrzynka dekodera 200 ma klucz prywatnego podpisu urządzenia umieszczony przez producenta i publiczny klucz podpisu producenta, który pasuje do

176 458 prywatnego klucza podpisu urządzenia. Oprócz certyfikatu producenta 202 skrzynka dekodera może także mieć certyfikat wydany przez (lub na rzecz) instytucji egzekwującej przestrzeganie prawa lub działu zabezpieczeń przedsiębiorstwa będącego właścicielem skrzynki dekodera, poświadczający związek pomiędzy skrzynką dekodera, a agendą egzekwującą przestrzeganie prawa lub działem zabezpieczeń i potwierdzający, że skrzynka dekodera jest w jej wyłącznym posiadaniu i pod kontrolą. Skrzynka dekodera 200 może mieć także zdolność wytwarzania pary kluczy publiczny/prywatny, podobnie jak typowy mikroukład użytkownika według wynalazku, dla szyfrowania i deszyfrowania administracyjnych i kontrolnych komunikatów do skrzynki dekodera. Skrzynka dekodera 200 ma ponadto zdolność bezpiecznego przechowywania swojego prywatnego klucza i do wydawania odpowiedniego publicznego klucza szyfrującego w certyfikacie 201 podpisanym przez nią z dołączonym jej certyfikatem urządzenia 201 podpisanym przez producenta. Mając taką zdolność do wytwarzania (i używania) pary kluczy publiczny/prywatny umożliwia agentom depozytowym 206 podsłuchiwanego użytkownika, po przedstawieniu przez agentów egzekwujących przestrzeganie prawa głównemu centrum depozytowemu, zezwolenia na monitorowanie łączności użytkownika, wysłać fragmenty klucza 204 tego podsłuchiwanego użytkownika do skrzynki dekodera, zaszyfrowane przy użyciu publicznego klucza szyfrującego skrzynki dekodera i umożliwia skrzynce dekodera odszyfrować te fragmenty klucza przy użyciu jej prywatnego klucza deszyfrującego. Jednakże inaczej niż w typowym mikroukładzie użytkownika według wynalazku, który odszyfrowuje komunikat i przekazuje niezaszyfrowany wynik użytkownikowi, skrzynka dekodera nigdy nie wydaje agentom egzekwującym przestrzeganie prawa prywatnego klucza podsłuchiwanego użytkownika. Zamiast tego skrzynka dekodera przechowuje tą informację bezpiecznie aż do końca Okresu Amnestii określonego w zezwoleniu i w komunikacie fragmentu klucza, po czym skrzynka dekodera wymazuje trwale te informacje.

Dlatego, aby wykonywać swoje obowiązki jako wiarygodne urządzenie i realizować ograniczenia dotyczące daty i czasu narzucone w zezwoleniu na podsłuch, skrzynka dekodera musi także zawierać wiarygodny ustawiony i potwierdzony zegar daty/czasu 205. Producent skrzynki dekodera zaświadcza i legalizuje prawidłowość i ustawienie zegara 205 w swojej liście właściwości znanych urządzeń. Gdy skrzynka dekodera 200 otrzymuje od agentów depozytowych 207 fragmenty klucza 204 zawierające ograniczenia czasowe (bazujące na zezwoleniu) przed i po których zezwolenie jest nieważne, skrzynka dekodera 200 wykorzystuje swój wewnętrzny zegar 205 do potwierdzenia, że zezwolenie agenta egzekwującego przestrzeganie prawa jest jeszcze ważne. Jeżeli zezwolenie nie jest jeszcze ważne, skrzynka dekodera nie będzie monitorowała ani deszyfrowała podsłuchiwanych komunikatów. Jeżeli zezwolenie (i przyjęty okres amnestii) upłynął, prywatny klucz podsłuchiwanego użytkownika jest wymazywany i nie będzie znowu odtworzony przez skrzynkę dekodera na podstawie tego zezwolenia (jeżeli nie zostanie wydane nowe zezwolenie na nowy okres czasu). Należy zanotować, że chociaż wiarygodny zegar 205 jest opcjonalny dla typowego mikroukładu użytkownika, według wynalazku, jest on obowiązkowy dla skrzynki dekodera 200, aby umożliwić skrzynce dekodera egzekwowanie ograniczeń dotyczących daty i godziny podanych w zezwoleniu na podsłuch. Jednakże użytkownik typowego mikroukładu może uczestniczyć w egzekwowaniu ograniczeń czasowych przez utrzymanie kalibracji zegara swojego mikroukładu. Jeżeli zegar użytkownika nie jest kalibrowany MCH tworzone przez urządzenie użytkownika podczas łączności będzie zawierać zerową wartość pola datownika. W tym przypadku skrzynka dekodera przejmująca komunikat będzie mogła egzekwować tylko Datę Końca Monitorowania z zezwolenia odmawiając deszyfrowania po upływie okresów zezwolenia i amnestii. Więc skrzynka dekodera nie może egzekwować Daty Początku Monitorowania ponieważ tak długo, jak zezwolenie jest jeszcze ważne, pozwala ono deszyfrować wszystkie MCH przedłożone z zerową wartością wskaźnika czasu, nawet jeśli były one przejęte przed określonymi przez zezwolenie datąi godziną Początku Monitorowania Ale jeżeli zegar użytkownika jest kalibrowany, skrzynka dekodera egzekwująca przestrzeganie prawa może i odmówi deszyfrowania wszystkich MCH zawierających ważny i wiarygodny znacznik czasu z datą i godziną wcześniej szą od Daty i Godziny Początku Monitorowania według zezwo28

176 458 lenia. Najkorzystniej, skrzynka dekodera według wynalazku będzie deszyfrowała tylko komunikaty, które są wiarygodnie datowane w okresach czasu podanych w zezwoleniu. Przewiduje się, że zwiększy to odporność na potencjalne nadużycia okresów czasu zezwolenia przez agendy egzekwujące przestrzeganie prawa i może motywować użytkowników do utrzymywania swoich urządzeń w stanie kalibrowanym. Rzeczywiście tam gdzie system jest stosowany do szyfrowania wielkiej liczby komunikatów w systemie pamiętania danych egzekwowanie okresów czasu dla późniejszych zezwoleń lub poleceń odzyskiwania może być wysoce pożądane, ponieważ inaczej wiele komunikatów może stać się obiektem inspekcji poza legalnym zakresem nakazu.

Możliwości Nadzoru Egzekwowania Prawa

W depozytowym systemie szyfrowania istnieje obawa, że agenci egzekwujący przestrzeganie prawa mogą być łatwo skorumpowani dla uzyskania kluczy szyfrowych, które chronią dane o dużej wartości ekonomicznej. Na przykład członkowie zasobnych organizacji przestępczych mogą ukraść komplet cennych planów przemysłowych określonego przedsiębiorstwa, po pierwsze przez nielegalny podsłuch łączności tego przedsiębiorstwa, aby uzyskać pewne nagłówki komunikatów i nazwy agentów depozytowych, następnie korumpując niskopłatnych urzędników policyjnych żądać zezwolenia na śledzenie narkotyków, aby uzyskać prywatny klucz deszyfrujący od agenta depozytowego, a na koniec używając prywatnego klucza deszyfrującego ukraść plany. Ponieważ szyfrowanie jest teraz stosowane do zabezpieczenia komunikacji między wieloma komputerami nie jest dłużej dopuszczalne dla agend egzekwujących przestrzeganie prawa podsłuchiwanie systemów telekomunikacyjnych z minimalnym zabezpieczeniem. Znacznie mocniejszy zestaw środków zabezpieczających jest potrzebny dla podniesienia polityki procedur i kontroli na poziom zabezpieczeń współczesnych komputerów firmowych i uniemożliwić zaistnienie takich sytuacji.

Jednym takim zabezpieczeniem dla wiarygodnego urządzenia jest wewnętrzny licznik dla numerowania każdego nagłówka kontroli komunikatu. Licznik będzie zwiększał stan kolejno po każdym dostępie. Kolejny numer komunikatu (MSN) może być umieszczony w każdym zaszyfrowanym nagłówku komunikatu tak, że nie byłby widzialny dla obcego. Może to być zrobione przez zaszyfrowanie numeru albo (1) publicznym kluczem szyfrującym nadawcy razem z kopią nadawcy klucza sesyjnego komunikatu, (2) publicznym kluczem szyfrującym agenta depozytowego albo nadawcy, albo odbiorcy, lub (3) korzystnie, przez co najmniej nadawcę, odbiorcę i ich agentów depozytowych, a możliwie przez wszystkie strony wspólnoty interesów. Jednakże agent depozytowy nadawcy mógłby także, jako przedmiot taktyki, zdecydować się na zezwolenie, aby numer kolejny był przedstawionyjawnie, dla oszczędności miejsca, przy małym ryzykujego wyjawienia. Krytyczne jest podwójne numerowanie nagłówków kontroli komunikatów, należy także unikać w możliwym stopniu luk w numerowaniu.

Innąwłaściwościązabezpieczającąmogłoby być zezwolenie użytkownikowi na włączenie opcjonalnej “linii tytułowej” do nagłówka kontroli komunikatu. Jeżeli użytkownik obawia się nielegalnego podsłuchu na podstawie nieprawidłowego zezwolenia mógłby on zakodować krótki tytuł taki jak “Plan #123 aby ostrzec siebie samego i innych o zawartości komunikatu Alternatywnie użytkownik mógłby po prostu utrzymywać swój własny rejestrator (w systemie oprogramowania poczty) określający sekwencję numerów komunikatów oznaczonych przez urządzenie i tytułów oznaczonych przez użytkownika. Dla oszczędności miejsca linia tytułu miałaby długość zero jeśli nie byłby on zapisany, co byłoby częstym przypadkiem.

Te zabezpieczenia mogłyby być wykorzystane jako dodatkowe fragmenty zabezpieczające. Po pierwsze, generowany poprzez urządzenie numer kolejny komunikatu mógłby być użyty do śledzenia komunikatu zarówno przez nadawcę jak i odbiorcę jak również przez agendy egzekwujące przestrzeganie prawa i system sądowy. Chociaż dostęp agenta egzekwującego przestrzeganie prawa może być trudny do skutecznej kontroli, zwłaszcza podczas gorącej pogoni za przestępcami i chociaż system sądowy może nie zawsze być zdolnym do starannej analizy żądań agentów egzekwujących przestrzeganie prawa przed wydaniem zezwolenia na podsłuch, może wykazać pilność po fakcie, aby skontrolować rezultaty podsłuchu, albo każdego podsłuchu, albo losowo wybranego podsłuchu, albo podsłuchów, które z pewnych względów

176 458 wydają się niezwykłe. Wiarygodne urządzenie agentów egzekwujących przestrzeganie prawa, skrzynka dekodera, jest dlatego zmodyfikowane, aby zawierało wewnętrzny rejestrator kolejnych numerów komunikatów i skrótów (i linii tytułowych, jeśli są) komunikatów, które ono monitorowało i pozwoliło na ich odczytanie agentom egzekwującym przestrzeganie prawa. Elektroniczne upoważnienie przesłane do skrzynki dekodera przez agentów depozytowych podsłuchiwanego użytkownika wraz z fragmentem klucza tego użytkownika może także zawierać publiczny klucz szyfrujący i klucz podpisu sądu, który wydał zezwolenie. Skrzynka dekodera jest następnie zdolna do odpowiedzi na żądanie wydruku rejestru numerów kolejnych komunikatów i linii tytułowych możliwie zaszyfrowanych kluczem odpowiednio uprawnionego odbiorcy, takiego jak sąd, który wydał zezwolenie.

W innym przykładzie wykonania, skrzynka dekodera nie zacznie deszyfrować minitorowanych komunikatów tak długo, aż nie otrzyma określonego nakazu sądowego pasującego do fragmentów klucza otrzymanych od agentów depozytowych. Na przykład, komunikaty fragmentów klucza otrzymane od agentów depozytowych i zaszyfrowane przy użyciu publicznego klucza szyfrującego skrzynki dekodera mogą być usprawnione zawierając (od każdego agenta depozytowego) publiczny klucz szyfrujący i klucz podpisu sądu, który wydał zezwolenie. Albo agenci depozytowi mogą powoływać się w swoich komunikatach fragmentów klucza na datę i numer (jeśli jest) zezwolenia i skrzynka dekodera może następnie otrzymać od sądu jego publiczny klucz szyfrujący i klucz podpisu, jak również sądowy certyfikat klucza publicznego, który został dołączony do oryginału zezwolenia na podsłuch. Na przykład zezwolenie sądu dla agentów depozytowych może być usprawnione i przenosić następujące dane potrzebne do komunikatu fragmentu klucza.

Nazwa Głównego Centrum Depozytowego lub Numer ID

Numer Certyfikatu Monitorowanego Użytkownika

Nazwa Sądu lub Numer ID

Numer Zezwolenia (jeśli jest)

Data i Godzina Zezwolenia

Data i Godzina Początku Monitorowania

Data i Godzina Końca Monitorowania

Maksymalna Liczba Komunikatów (opcjonalna) [Podpis Sędziego]

Certyfikat Sędziego

Certyfikat Instytucji upoważniającej Sędziego (np. sąd itd.)

Agenci depozytowi mogliby następnie “ponownie potwierdzić” publiczny klucz szyfrujący i klucz podpisu sądu dla skrzynki dekodera przez wprowadzenie do zaszyfrowanych komunikatów fragmentów klucza przesyłanych przez agentów depozytowych do skrzynki dekodera następujących dodatkowych informacji:

Nazwa Głównego Centrum Depozytowego lub Numer ID

Numer Certyfikatu Monitorowanego Użytkownika

Nazwa Agenta Depozytowego lub Numer ID (wysyłający ten komunikat fragmentu klucza)

Nazwa Sądu lub Numer ID

Publiczny Klucz Szyfrujący Sądu

Numer Zezwolenia (jeśli jest)

Data i Godzina Zezwolenia

Maksymalna Liczba Komunikatów (opcjonalna)

Podpis Agenta Depozytowego [Certyfikat Agenta Depozytowego]

Skrzynka dekodera otrzymuje w ten sposób zapewnienie, że wszystkie komunikaty fragmentu klucza przyjdą od tego samego sędziego na podstawie tego samego zezwolenia.

Fakt, że skrzynka dekodera ma także publiczny klucz szyfrujący sędziego i klucz podpisu sędziego, pozwala sędziemu żądać i otrzymać (w tajemnicy) rejestr wszystkich kolejnych numerów komunikatów i linii tytułowych komunikatów przejętych i deszyfrowanych przez skrzynkę

176 458 dekodera podczas okresu podsłuchu, dla kontroli, po podsłuchu dla zabezpieczenia przeciw nieusprawiedliwionemu i bezprawnemu działaniu agentów egzekwujących przestrzeganie prawa. Ponadto, skrzynka dekodera nie, skasuje, wymaże, lub ponownie użyje żadnej pamięci przeznaczonej do monitorowania rejestru komunikatów dopóki skrzynka dekodera nie otrzyma oddzielnego polecenia od sędziego lub sądu, potwierdzonego poprzednio otrzymanym publicznym kluczem podpisu, stwierdzającego, że skrzynka dekodera może to zrobić. Takie polecenie może być wydane albo ponieważ sąd otrzymał już od skrzynki dekodera rejestr monitorowanych komunikatów, którego poprzednio zażądał albo ponieważ sąd zdecydował, że nie ma potrzeby przeprowadzania kontroli w tym przypadku. Jeżeli nastąpiłoby zapełnienie pamięci monitorującej rejestr komunikatów, skrzynka dekodera nie będzie deszyfrować dalszych komunikatów, aż do wysłania rejestru do sędziego lub sądu i otrzymania polecenia podpisanego przez sąd, zezwalającego skrzynce dekodera na wymazanie rejestru monitorowanych komunikatów. Agenda egzekwująca przestrzeganie prawa może kontynuować przejmowanie nowych komunikatów podczas ujawniania rejestru monitorowanych komunikatów, chociaż nowe komunikaty nie będą deszyfrowane, aż do ujawnienia dla kontroli pełnego rejestru komunikatów. Skrzynka dekodera ma także możliwość alarmowania agentów egzekwujących przestrzeganie prawa, że rejestr monitorowanych komunikatów jest bliski przepełnienia, tak że mogą oni zażądać rozładowania rejestru komunikatów przeznaczonego do kontroli, tak, żeby skrzynka dekodera nie przerywała deszyfrowania. Te transakcje i połączenia mogą być w pełni zautomatyzowane i prawie natychmiastowe.

Każdy zapis w rejestrze kontrolnym może zawierać oprócz skrótu komunikatu drugi skrót będący wynikiem połączenia (a) skrótu komunikatu i (b) pełnego tekstu poprzedniego zapisu rejestru, które sąpowiązane razem i ponownie streszczone. Może to zapobiec dodaniu, wymazaniu lub zmianie kolejności zapisów w rejestrze przez nieuczciwy personel sądowy. Ta koncepcja jest omówiona w patentach USA nr 5 136 646 i 5 136 647 załączonych tutaj jako referencje.

Jako działanie uzupełniające, sąd mógłby później żądać, aby agenda egzekwująca przestrzeganie prawa przedłożyła nagłówki komunikatów i pełną zawartość skrótów komunikatów w rejestrze kontrolnym, który otrzymał sąd. Także w swoim zezwoleniu na podsłuch, sąd mógłby sztucznie ograniczyć do wartości mniejszej niż pełna pojemność rejestru komunikatów, liczbę monitorowanych komunikatów, które mogą być deszyfrowane przez skrzynkę dekodera zanim rejestr komunikatów i nagłówki komunikatów musiałyby być skontrolowane. Chociaż ten typ ograniczenia nie miałby wpływu na całkowitą zdolność agentów egzekwujących przestrzeganie prawa do prowadzenia śledztwa, ponieważ przekazywanie rejestru do sądu dla kontroli jest prawie natychmiastowe, mogłoby jednak alarmować sąd o niezwykłych okolicznościach. W specyficznych przypadkach, które wymagają kontroli silniejszej niż zwykłe przesyłanie rejestru monitorowanych komunikatów do sądu, sąd może ograniczyć agentów egzekwujących przestrzeganie prawa do występowania o nowe zezwolenie na podsłuch przed osiągnięciem pełnej pojemności rejestru komunikatów.

Tak więc jeżeli (1) zarówno nadawca jak i odbiorca śledzą w swoim lokalnym systemie komputerowym kolejność numerów komunikatów jakie nadająi odbierają i albo dołączone linie tytułowe w nagłówkach kontroli komunikatu albo rejestr komunikatów, (2) zarówno agenci egzekwujący przestrzeganie prawa i sąd zachowują kompletny rejestr każdego odszyfrowanego przez agentów egzekwujących przestrzeganie prawa komunikatu i (3) każdy nagłówek komunikatu zawiera skrót komunikatu, aby zapobiec późniejszej zmianie komunikatu przez jedną ze stron, dla ukrycia swoich działań, wiarygodna kontrola po podsłuchu będzie mogła ustalić, czy mogło nastąpić nadużycie czy korupcja ze strony agendy egzekwującej przestrzeganie prawa. Chociaż ten system nie może, a priori, zapobiec przedstawionemu powyżej scenariuszowi kradzieży planów, świadomość organizacji przestępczej, że jej działania mogą być w pełni skontrolowane przez sąd i poszkodowanego użytkownika może spowodować ocenę opłacalności nieprawidłowych działań policji. Można by także uczynić przedmiotem regulacji, że agencja egzekwująca przestrzeganie prawa zapisuje i przedstawia sądowi wszystkie komunikaty przejęte na podstawie zezwolenia i pozwala podsłuchiwanym stronom na żądanie kontroli podsłuchu,

176 458 szczególnie tam, gdzie przedmiot jest związany z przedsięwzięciami w zakresie prowadzenia interesów, a nie potwierdzeniem przez podsłuch zarzutów popełnienia przestępstwa.

Dane Potokowe

W komunikacji wprowadzającej dane potokowe, takie jak rozmowa telefoniczna, w której każdy komunikat stanowi strumień szeregu pakietów informacyjnych od dwóch lub więcej użytkowników jest niemożliwe dla urządzenia nadającego szyfrować poprzez mieszanie i podpisywać cały komunikat jako część MCH. Chociaż mogłoby być możliwie wysłanie MCH z każdym pakietem komunikatu, byłoby to jednak bardzo kosztowne w kategoriach czasu przetwarzania i szerokości pasma sieci. Skutkiem tego, MCH powinno być przesłane tylko raz w czasie prowadzenia rozmowy. Korzystnym sposobem utrzymania ciągłości strumienia zaszyfrowanych danych jest oznaczenie rozmawiającego użytkownika jako “nadawcę” i wprowadzenie MCH na początku komunikatu, jak poprzednio, włączając kolejny numer komunikatu (MSN) i przewodnik pierwszego komunikatu (jeśli jest) podpisane przez urządzenie. Następnie, urządzenie nadawcy mogłoby wytwarzać serię unikalnych numerów kolejnych pakietów (PSN), których sekwencja zaczynałaby się od zera na początku każdego komunikatu. Dla wszystkich kolejnych pakietów urządzenie potrzebowałoby tylko mieszać i podpisywać ten szczególny pakiet i wprowadzać (i podpisywać) przewodnik, MSN (taki sam dla całego komunikatu) i PSN dla pakietu. Rozmówca będzie wykonywał podobne działania dla każdego pakietu, który wysyła, odnosząc się do MSN rozmówcy dla komunikatu, numeruje kolejno swoje własne pakiety zaczynając od zera i mając podpis wywołanego urządzenia zawierający przewodnik pakietu, MSN rozmówcy i PSN rozmówcy, aby utworzyć “nagłówek kontrolny pakietu” (PCH). Urządzenia mogą opcjonalnie włączać bieżący czas i upływ czasu od momentu rozpoczęcia łączności (w sekundach i milisekundach), co ma już miejsce w poprzednio ujawnionej wersji MCH. Mogłoby to umożliwić bardziej realistyczne odtworzenie przebiegu rozmowy.

Aby ponadto rozróżnić pakiety wywołującego i wywołanego po transmisji, będzie także pożądane włączenie kodu strony rozmowy (CPC) w prostym systemie kodowania nadającym oznaczenia stronom transmisji takie jak wywołujący = 0, wywołany = 1 i dodatkowe strony tej samej zaszyfrowanej sesji otrzymują wyższe numery. Albo zamiast CPC mogą być użyte unikalne numery identyfikacyjne, takie jak numer seryjny urządzenia, numer seryjny urządzenia i numer ID producenta urządzenia lub ich połączenia.

Te metody mogą być także uogólnione jako metoda wytwarzania wielostronnego klucza sesyjnego. Na przykład wywołujący mógłby wytwarzać klucz sesyjny i używać tego samego klucza do inicjowania rozmowy z szeregiem jednocześnie wywołanych stosując przesyłanie klucza RSA. Będzie oddzielny MCH dla każdej dodatkowej strony, oprócz pierwszych dwóch stron (wywołujący i wywołany). Urządzenie wywołującego mogłoby traktować rozmowę wielostronnąjako oddzielne rozmowy lub jako jedną rozmowę mającą ten sam klucz sesyjny ale wiele CPC. Każdy wywołany byłby więc odpowiedzialny za użycie MSN wywołującego i za utrzymanie swoich własnych CPC i PSN. Alternatywnie zakładając użycie konwencjonalnych metod generacji dwustronnego klucza sesyjnego (takich jak metody Diffie - Hellmana) mogłyby mieć miejsce rozmowy konferencyjne, w których strona centralna (np. operator systemu) umieszcza wszystkie rozmowy i wykonuje deszyfrowanie i powtórne szyfrowanie w czasie rzeczywistym pakietów każdej strony dla wszystkich pozostałych. Strona centralna mogłaby także być jednostką, która przełącza do następnego wywołanego, w którym to przypadku pakiety wywołanego byłyby deszyfrowane przez urządzenie tej jednostki a następnie ponownie szyfrowane przy użyciu klucza sesyjnego, którego ten wywołany używa do łączności z inną stroną lub stronami. Patrz także B. Schneier “Kryptografia stosowana”, J. Wiley 1994, str. 276 dotyczące stosowania Diffie-Hellmana przy trzech lub więcej stronach.

Nagłówek kontrolny pakietu (PCH) mógłby być sformułowany jak następuje:

MSN Pierwotnego Wywołującego

Kod Strony Rozmowy Użytkownika (wywołujący = 0 itd.)

Numer Kolejny Pakietu Użytkownika (PSN)

Odstęp Czasu od Początku Rozmowy (msec)

176 458

Przewodnik (tego pakietu) [Podpis Urządzenia]

Mogłoby być korzystne niewysyłanie PCH z każdym pakietem komunikatu, co powodowałoby znaczne zwiększenie kosztów w niektórych systemach używających krótkich pakietów, ale raczej przesyłanie PCH tylko okresowo. Jest to pokrewne do techniki zwanej jako “przesuwane okna” w łączności sieciowej, w której sekwencyjne numerowanie nie jest stosowane dla każdego pakietu ale tylko dla dużej liczby pakietów Zwykle taki system dynamicznie dopasowuje “okno” lub liczbę pakietów, które są wysyłane pomiędzy sprawdzaniem błędów opartym na szumach liniowych to znaczy czyniąc okno większym dla czystej linii, ale czyniąc je mniejszym dla linii zakłóconej, która powoduje wiele błędnych prób. Jeżeli błędy pojawiają się często małe okno wymagałoby od użytkownika przesyłania tylko małej ilości danych; jeżeli błędy sąrzadkie nie potrzeba wykonywać częstego sprawdzania, chyba że przy wysokim koszcie powtórnego przesyłania utraconych danych w przypadku błędu. Nagłówki kontroli pakietów mogą być bezpośrednio wprowadzone do schematu przesuwanego okna w systemie komunikacyjnym, aby uzyskać wymaganą możliwość kontroli działań agenta egzekwującego przestrzeganie prawa na niższych poziomach pakietu, wykorzystując jednocześnie maksymalną zdolność przepustową nowoczesnych sieci komunikacyjnych.

Dla dalszego zwiększenia możliwości kontroli procesu podsłuchu jest korzystnym oznaczenie końca sesji łączności specjalnym pakietem. Ten pakiet może być wysyłany automatycznie przez urządzenie do innych przed rozłączeniem przewidywanym przez użytkownika, aby uniemożliwić innemu użytkownikowi lub agentom egzekwującym przestrzeganie prawa późniejsze twierdzenie, że konwersacja albo była albo nie była skończona, jeżeli rzeczywiście było inaczej. To mogłoby być wykonane przez poinstruowanie każdego urządzenia, aby akceptowało informację wejściową “chcę skończyć” od ludzi z niego korzystających po otrzymaniu której urządzenie wysyłałoby pakiet “przygotowanie rozłączenia”, który powodowałby takie samo działanie drugiego urządzenia. Urządzenia kończyłyby ich strumienie danych “końcowym” pakietem nie zawierającym dodatkowych danych ale korzystnie sumę wszystkich pakietów wysłanych i odebranych, czas rozmowy itp.

Datownik

Inną właściwością tego wynalazku w jego korzystnych przykładach wykonania, jak omówiono powyżej rozważając skrzynkę dekodera, jest wiarygodny, odporny na manipulacje datownik, który sam potwierdza, że może wydać (lub dołączyć) podpisany cyfrowo znacznik czasu (lub sktruktury daty zawierające taki znacznik czasu), który może być uznany za wiarygodny przez trzecie strony. Takie datowniki są opisane w patentach USA nr 5 001 752 i 5 136 643 zgłoszonych przez Addisona M. Fishera. W jego korzystnym przykładzie wykonania pokazanym na fig. 21 datownik 210 (lub podsystem) może być kalibrowany i uruchamianyjedynie przez wiarygodną instytucję takąjak producent lub upoważniony przez producenta, w taki sam sposób jak kasownik pocztowy może być atestowany tylko przez rejonowy urząd obsługi poczty USA, i jest odtąd wiarygodny dla publiczności i systemu pocztowego, jako wydający tylko znaczki o wcześniej opłaconej wartości. Raz wykalibrowany datownik 210 lub podsystem będzie odpowiadał na instrukcje “ustawiania czasu” 211 lub rekalibracji jedynie wówczas, gdy ta instrukcja jest podpisana przez samego producenta lub przez jednostkę, która ma załączony certyfikat 212 od producenta lub osoby autoryzowanej przez producenta stwierdzający, ze ta jednostka jest uprawniona do ustawienia i kalibracji datownika (lub podsystemu) tego urządzenia. Ustawienie czasu według instrukcji może być prawdopodobnie wykonane tylko bezpośrednio w jednostce uprawnionej do ustawienia czasu będącej chwilowo w fizycznym posiadaniu urządzenia i mogącej natychmiast usunąć instrukcję 211 dla uniemożliwienia właścicielowi urządzenia przejęcie instrukcji i wykorzystanie jej w późniejszym terminie dla przestawienia zegara urządzenia.

Raz wykalibrowany i tak długo jak jest niezakłócony, datownik 210 będzie dołączał znaczniki czasu 213 lub włączał znaczniki czasu w strukturalne pola danych w oparciu o swój wewnętrzny mechanizm zegarowy, podpisując 214 wynikowe struktury daty swoim prywatnym

176 458 kluczem urządzenia i dostarczając certyfikat swojego wytwórcy 215. Jeżeli urządzenie-gospodarz utraci zasilanie, będzie manipulowane lub otrzyma instrukcje zaprzestania pracy datownik przerwie wydawanie znaczników czasu. W tym przypadku, aby uniknąć uszkodzenia innych możliwie użytecznych funkcji, które absolutnie wymagają wiarygodnego znacznika czasu, datownik będzie stosować konwencję, takąjak wypełnienie pola znacznika czasu wstępnie uzgodnioną wartością “zero” takąjak wszystkie zera binarne lub binarne jedynki (lub równoważna konwencja), gdy pole danych strukturalnych wymaga wprowadzenia znacznika czasu Jednakże, gdy pole danych strukturalnych lub urządzenie-gospodarz wymaga, żeby rzeczywisty znacznik czasu był wykonany tak jak w przypadku skrzynki dekodera egzekwującej przestrzeganie prawa, jeżeli datownik przestał wydawać znaczniki czasu, przestają działać te funkcje urządzenia-gospodarza, które wymagają znaczników czasu, w przypadku skrzynki dekodera skrzynka odmówi deszyfrowania przejętych komunikatów'·, aby uniknąć lub zminimalizować możliwość wystąpienia sytuacji utraty zasilania przez urządzenie-gospodarza każdy wiarygodny datownik korzystnie może być wyposażony we własną długowieczną baterię 216 tylko do wykorzystania przez zegar, jakiś wskaźnik “obniżonego napięcia” baterii dla uniknięcia utraty zasilania datownika przed wymianą baterii i pewne elementy utrzymujące odpowiedni ładunek elektryczny (takie jak kondensator, druga bateria lub opcjonalne zewnętrzne źródło zasilania) podczas operacji wymiany baterii.

Każdy znacznik czasu wydany przez datownik powinien mieć certyfikat datownika wydany przez producenta (lub inną instytucję ustawiającą czas) stwierdzający jakość i niezawodność zegara datownika, datę jego ostatniego ustawiania, jak również jego oczekiwany dryft czasowy. Gdy odbiorca otrzymuje strukturę daty podpisaną cyfrowo przez urządzenie-gospodarza, odbiorca wie, że jeżeli pole znacznika czasu zawiera prawidłowe wartości, podpis i certyfikat urządzenia potwierdzają prawdziwość czasu podanego w strukturze daty, w momencie, gdy była ona tworzona, podpisywana i wysyłana. Ten certyfikat jest oparty na (1) wiarygodności instytucji, która ostatnio kalibrowała zegar datownika, (2) tolerancji dryftów zegara określonych przez producenta w certyfikacie urządzenia i (3) zdolności zegara do zaprzestania pracy w przypadku manipulacji lub zaniku zasilania. Odbiorca wie ponadto, że jeżeli pole znacznika czasu ma wartość “zero” to zegar nie był w stanie wiarygodnej kalibracji w czasie, gdy urządzenie tworzyło, podpisywało i wydawało strukturę daty. Ta informacja dotycząca wiarygodnych właściwości datownika i jego wewnętrznego mechanizmu zegarowego może być korzystnie zakodowana bezpośrednio w certyfikacie urządzenia stosującym schemat kodowania odpowiadający wartościom cech. Jednakże te informacje mogłyby także wynikać z nazwy producenta i typu urządzenia, które byłyby publikowane przez producenta w specyfikacji i świadectwie wyrobu jako część przedstawionej publicznie “deklaracji technicznej” w momencie wydawania certyfikatu urządzenia.

Takie znaczniki czasu mogłyby także być wydawane przez urządzenie jako część innych operacji obsługi komunikatu pomiędzy tworzeniem MCH a dekodowaniem. Te znaczniki czasu mogłyby być dołączone do osobistego podpisu użytkownika urządzenia, gdy podpisuje on inne dokumenty lub operacje używając swojego osobistego klucza podpisu, który jest bezpiecznie zamknięty wewnątrz urządzenia. Urządzenie mogłoby podpisywać lub współpodpisywać element znacznika czasu podpisu użytkownika, lub alternatywnie mogłoby podpisywać cały blok podpisu użytkownika (który zawiera znacznik czasu, podpisany także przez użytkownika razem ze skrótem dokumentu powstałym w wyniku szyfrowania za pomocą mieszania). Urządzenie mogłoby więc wydawać certyfikat dla uczynienia znacznika czasu wiarygodnym i pewnym dla trzeciej strony znającej publiczny klucz producenta.

Wiarygodna aktualizacja, wymiana i zamiana klucza

Inną właściwością wynalazku jest wiarygodne urządzenie odporne na manipulacje, które zawiera umieszczony publiczny klucz producenta, chroniony obszar pamięci nieulotnej i zabezpieczony procesor (CPU) i może uaktualniać lub dodawać w wiarygodny sposób procedury oprogramowania sprzętowego włączane przez producenta. Wiarygodne urządzenie realizuje aktualizację lub dodawanie akceptując wprowadzanie treści danych zawierających nowe lub do34

176 458 datkowe kody oprogramowania sprzętowego odpowiednie dla tego typu urządzenia i podpisane cyfrowo podpisem producenta, który to podpis zapewnia urządzenie, że nowy kod oprogramowania sprzętowego został opracowany, przebadany i zatwierdzony przez producenta i że urządzenie powinno dlatego albo (a) nałożyć nowy kod oprogramowania sprzętowego na jeden lub wiele aktualnie umieszczonych programów sprzętowych albo (b) dodać nowy kod oprogramowania sprzętowego jako jeden lub więcej nowy program w aktualnie nieużywanym obszarze pamięci chronionej. W korzystnym przykładzie wykonania pamięć chroniona powinna być typu błyskowego, która może przechowywać informacje podczas zaniku zasilania, ale może być także wymazana przez urządzenie (chociaż stosunkowo powoli) i ponownie użyta, jeśli jest to pożądane pamięć chroniona może także zawierać obszary gromadzenia danych (takie jak napędy dysków), w których aktualizowane lub dodatkowe kody mogłyby być pamiętane w postaci zaszyfrowanej, do której klucz deszyfrujący jest znany tylko wiarygodnemu urządzeniu. Pamiętając programy w postaci zaszyfrowanej, urządzenie chroni je skutecznie przed zmodyfikowaniem przez kogoś kto nie zna klucza deszyfrującego. Gdy urządzenie otrzymuje taki podpisany zestaw nowego kodu oprogramowania sprzętowego (lub oprogramowania użytkowego), użytkownik wprowadza kod razem z podpisem producenta i wydaje urządzeniu instrukcję “procesu aktualizacji oprogramowania sprzętowego”. Urządzenie potwierdza następnie podpis producenta wykorzystując publiczny klucz podpisu producenta, który był umieszczony w urządzeniu podczas wytwarzania. Jeżeli podpis producenta jest autentyczny kod jest akceptowany i urządzenie wykonuje pożądaną modyfikację.

Proces wiarygodnego aktualizowania oprogramowania sprzętowego wiarygodnego urządzenia, jaki opisano powyżej może być ponadto rozszerzony przez wprowadzenie upoważnionej trzeciej strony, która życzy sobie zaktualizować procedury oprogramowania sprzętowego należące do funkcji urządzenia związanych z tą trzecią stroną, zawierając funkcje jakie posiada system deponowania kluczy, który może być szeroko zaprojektowany i administrowany przez bankowe główne centrum depozytowe niezależnie od producenta wiarygodnego urządzenia. W przypadku aktualizacji wprowadzanej przez trzecią stronę, producent powinien podpisać certyfikat aktualizacji oprogramowania sprzętowego zawierający klucz publiczny trzeciej strony, dostawcy oprogramowania sprzętowego i wydać go trzeciej stronie. Trzecia strona powinna następnie opracować, przebadać i zatwierdzić wymianę lub wprowadzenie dodatkowych procedur oprogramowania sprzętowego podpisać je prywatnym kluczem podpisu trzeciej strony i dołączyć swój certyfikat modernizacji do certyfikatu producenta. Otrzymawszy taką modernizację użytkownik załaduje podpisane procedury kodu i certyfikat modernizacji producenta do urządzenia, a następnie wyda instrukcję “procesu aktualizacji oprogramowania sprzętowego trzeciej strony”. Urządzenie następnie zweryfikuje podpis trzeciej strony na nowych procedurach, na podstawie certyfikatu modernizacji producenta, a następnie zweryfikuje certyfikat modernizacji publicznym kluczem podpisu producenta, który został umieszczony w urządzeniu podczas jego wytwarzania. Jeżeli oba podpisy są autentyczne modernizacja jest zaakceptowana i urządzenie wykona pożądaną modernizację. Oprócz akceptowania instrukcji modernizacji lub dodawania-procedur oprogramowania sprzętowego urządzenia, wiarygodne, odporne na manipulacje urządzenie może także akceptować instrukcje zamiany lub dodatkowych “instrukcji” publicznych kluczy umieszczonych podczas wytwarzania urządzenia. Jak omówiono powyżej, wiarygodne urządzenie może posiadać publiczne klucze, oprócz kluczy producenta umieszczonych podczas wytwarzania urządzenia. Takie publiczne klucze “instrukcje” mogą zawierać klucze jedhego lub wielu głównych centrów depozytowych jak opisano w wynalazku. Te wbudowane klucze, włączając klucze producenta i innych trzecich wiarygodnych stron, mogą być użyte do weryfikacji różnych certyfikatów, takich jak certyfikaty depozytowe, certyfikaty urządzenia, certyfikaty aktualizacji, certyfikaty instrukcji ustawiania czasu i inne przedstawione urządzeniu, na podstawie których ma ono działać. Oprócz polegania tylko na publicznych kluczach wprowadzonych podczas wytwarzania urządzenia, urządzenie może także akceptować instrukcje zewnętrzne wprowadzające nowe klucze publiczne lub zmieniające istniejące. Aby urządzenie akceptowało i pamiętało w obszarze niepublicznym publiczny klucz podpisu

176 458 wiarygodnej trzeciej strony producent załączy nowy klucz publiczny do podpisanego pakietu danych instrukcyjnych (lub certyfikatu) podpisanego przez producenta, instruującego urządzenie, aby odrzuciło załączony certyfikat i zapamiętało określone publiczne klucze instrukcji w nim zawarte. Specjalny pakiet może także poinstruować urządzenie co do typu operacji, dla których nowy klucz jest wiarygodny (np. do zastosowania przy użyciu klucza depozytowego, stosowany przy wypożyczaniu samochodów, stosowany do danych medycznych, lub w innych zastosowaniach). Otrzymawszy od producenta taki pakiet danych publicznych kluczy, urządzenie najpierw sprawdzi podpis producenta, a następnie zaakceptuje i zapamięta nowe klucze publiczne, łącznie z ograniczeniami dotyczącymi ich stosowania Producent może także wskazać w czasie umieszczania publicznego klucza instrukcji trzeciej strony, albo podczas wytwarzania lub później jako część pakietu danych instrukcyjnych, że jedna z operacji dla której ten klucz trzeciej strony został zatwierdzony jest zamianą własnego, podstawowego publicznego klucza potwierdzenia podpisu producenta. Chociaż taka zamiana własnego publicznego klucza podpisu producenta nie powinna być prawie nigdy wymagana, może się jednak zdarzyć, że odpowiedni prywatny klucz podpisu producenta (dla wydawania certyfikatów urządzeń i innych instrukcji dla urządzenia) mógł zostać zdyskredytowany przez kradzież. Kradzież prywatnego klucza podpisu producenta pozwoliłaby złodziejowi na wydawanie pozornie ważnych instrukcji na zatwierdzanie nowych centrów depozytowych (o wątpliwej wiarygodności) lub zatwierdzanie nowych instytucji ustawiających czas Alternatywnie i bardziej prawdopodobnie prywatny klucz podpisu producenta może być zgubiony lub zniszczony, co uniemożliwi wydawanie dalszych ważnych instrukcji. Każdy z tych przypadków mógłby być określony jako “klęska” w kategoriach systemów komputerowych i mógłby spowodować konieczność wycofania wszystkich urządzeń tego producenta. Jednakże, według wynalazku można by uniknąć lub ograniczyć koszty takiego wycofania przez zezwolenie wiarygodnej trzeciej stronie na zamianę zdyskredytowanego klucza podpisu producenta. Zakładając, że producent już umieścił w urządzeniu klucze instrukcji jednej lub wielu wiarygodnych trzecich stron albo podczas wytwarzania, albo później wykorzystując pakiet danych instrukcyjnych i wprowadził wymianę swojego własnego klucza publicznego do operacji, które ma prawo zatwierdzać publiczny klucz instrukcji trzeciej strony, wytwórca powinien wówczas zwrócić się do tej wiarygodnej trzeciej strony z żądaniem wysłania pakietu danych instrukcyjnych do wszystkich urządzeń producenta upoważnionych do zamiany publicznego klucza podpisu producenta oszczędzając w ten sposób sobie i swoim użytkownikom potencjalnie ogromnych kosztów fizycznej wymiany wszystkich fizycznych urządzeń Ponieważ wszystkie cetryfikaty urządzeń wydane przez tego producenta także musiałyby być wymienione, mogłoby to być zrealizowane przez wystąpienie każdego urządzenia z żądaniem certyfikatu dla własnego klucza podpisu urządzenia. Jeżeli prywatny klucz producenta byłby stracony lub zniszczony, a nie zdyskredytowany, to wszystkie poprzednie podpisy byłyby jeszcze ważne, a użytkownik musiałby tylko przedstawić swój stary certyfikat urządzenia dla otrzymania nowego certyfikatu urządzenia wydanego dla tych samych informacji i podpisanego nowym kluczem podpisu producenta. Wytwórca mógłby następnie zwrócić nowe certyfikaty urządzenia (najprawdopodobniej przez połączenie bezpośrednie lub operacje poczty elektronicznej). Chociaż to także byłoby drogie, byłoby znacznie tańsze i mniej szkodliwe dla reputacji producenta niż całkowita fizyczna wymiana wszystkich wiarygodnych urządzeń tego producenta.

Włączenie do wiarygodnego urządzenia według wynalazku mechanizmu wymiany publicznego klucza producenta lub innych wiarygodnych publicznych kluczy instrukcyjnych mogłoby ograniczyć niektóre systemowe ryzyka zabezpieczeń, jakie przedstawia użycie rozległego systemu na podstawie kluczy publicznych. To umożliwiałoby większe zaufanie do czysto hierarchicznych modeli depozytowych, które na ogół umożliwiają krótsze i prostsze ścieżki potwierdzeń, wymagające mniej certyfikatów, mniejszego wysiłku dla określenia, których certyfikatów używać i mniej czasu obliczeniowego dla potwierdzeń podpisów.

176 458

Wymiana klucza kontrolowana przez właściciela

Jak opisano poprzednio użytkownik ma także możliwość wymiany w swoim urządzeniu kluczy takich jak para kluczy szyfrowych użytkownika w dowolnym momencie po wyprodukowaniu. Użytkownik realizuje wydając wiarygodnemu urządzeniu instrukcję programową, aby wykonało określone etapy sposobu powierzania kluczy, to jest utworzenie nowego prywatnego i publicznego klucza szyfrowego, wysłanie fragmentu klucza do agentów depozytowych i w końcu otrzymanie nowego certyfikatu depozytowego z głównego centrum depozytowego. Jednakże jest także pożądane pozwolić pracodawcy lub sponsorowi użytkownika (lub właścicielowi jeżeli użytkownik jest innym urządzeniem lub procesem) aby (a) upewnić się, że użytkownik wybiera agenta depozytowego, którego pracodawca uważa za możliwego do przyjęcia i (b) zapewnić, że pracodawca, jako prawdziwy właściciel urządzenia będzie znanym temu wybranemu agentowi depozytowemu, a więc będzie mógł żądać od agenta depozytowego fragmentów klucza użytkownika bez konieczności uprzedniego uzyskania zezwolenia lub nakazu sądowego. Pracodawca może wymagać dostępu do poszczególnych kluczy dla wielu powodów, takich jak prowadzenie nadzoru wewnętrznego, lub dla odzyskania zaszyfrowanych danych właściciela po utracie, kradzieży lub zniszczeniu określonego urządzenia. Pracodawca może także potrzebować zmienić klucze urządzenia z takich powodów, jak dla urządzenia którego pierwotny klucz szyfrujący lub klucz podpisu został zdyskredytowany lub wymazany, dla urządzenia, które zostało dane innemu pracownikowi, lub dla urządzenia, którego organizacja posiadająca zmienia klucze we wszystkich urządzeniach szyfrowych w określonych odstępach czasu jako element taktyki.

W korzystnym przykładzie wykonania wiarygodne urządzenie jest wstępnie ustawione przez producenta tak, że będzie ono inicjować tworzenie klucza i proces oddawania do depozytu jeżeli me otrzyma ono wpierw certyfikatu właściciela dla urządzenia 220 takiego jak pokazany na fig. 22 zawierającego trwały numer seryjny określonego urządzenia 221 podpisany 225 przez producenta. Certyfikat właściciela 220 wydany w czasie zakupu przez producenta przedsiębiorstwa kupującemu urządzenie zawiera także nazwę przedsiębiorstwa 222, unikalny numer identyfikacyjny przedsiębiorstwa 223 (taki jak Numer Identyfikacyjny Pracodawcy (EIN) lub Numer Dun & Bradstreet (DUNS) i publiczny klucz weryfikacji podpisu przedsiębiorstwa 224, który odpowiada prywatnemu kluczowi podpisu zatrzymanemu przez przedsiębiorstwo i który będzie użyty do weryfikacji zmiany klucza lub innych instrukcji wydawanych przez przedsiębiorstwo urządzeniu. W wyniku otrzymania tych informacji urządzenie będzie odpowiadać tylko na zmianę klucza lub inne instrukcje podpisane przy użyciu prywatnego klucza właściciela przedsiębiorstwa odpowiadającego publicznemu kluczowi zawartemu w certyfikacie właściciela urządzenia.

Odnosząc się teraz do fig. 23, gdzie pracodawca (właściciel urządzenia) chce zmienić klucz urządzenia 230, pracodawca wydaje urządzeniu 230 podpisaną instrukcję 231 zawierającą (1) numer seryjny urządzenia 232, unikalny numer identyfikacyjny właściciela 233, (2) nazwy agentów depozytowych 235 i głównego centrum depozytowego 234, (3) datę i godzinę wydania instrukcji zmiany klucza, (4) datę i godzinę upływu okresu ważności instrukcji zmiany klucza, (5) unikalny numer seryjny 237 instrukcji zmiany klucza i podpisuje instrukcję prywatnym kluczem podpisu pracodawcy 238. Otrzymawszy ważny certyfikat właściciela 239 i ważną instrukcję zmiany klucza 231 mikroukład wewnątrz wiarygodnego urządzenia 230 najpierw potwierdzi podpis wytwórcy na certyfikacie właściciela 239 i podpis pracodawcy na instrukcji zmiany klucza 231. Następnie wiarygodne urządzenie tworzy klucz i dokonuje procesu deponowania, jak poprzednio, włączając unikalny numer identyfikacyjny właściciela 233 do każdego pakietu deponującego fragment klucza i przesyła pakiety fragmentów klucza tylko do tych agentów depozytowych, którzy są wyznaczeni przez pracodawcę w instrukcji wymiany klucza 231. Późniejsze powtarzanie tych instrukcji (które mogą być wydawane elektronicznie) może być ograniczone przez takie zaprojektowanie urządzenia, że zachowuje ono w pamięci nieulotnej numery seryjne kilku ostatnich, odebranych instrukcji zamiany klucza i odmawia wykonania kolejnej instrukcji. Przyjmując, że zegar urządzenia jest w porządku, kolejne powtórzenie instrukcji zmiany klucza może być ograniczone tylko przez poinstruowanie zegara urządzenia, aby honorował datę i godzinę upływu ważności instrukcji. W korzystnym przykładzie wykonania wynala176 458 zku, urządzenie, którego zegar nie jest wykalibrowany odmówiłoby wykonania instrukcji zamiany klucza, która ma niezerową wartość daty/godziny upływu ważności instrukcji, ale wykonałoby ją gdyby wartości daty/godziny były zerowe.

Otrzymawszy od urządzenia użytkownika pakietów fragmentów klucza (lub zmienionego klucza) zawierających unikalny numer identyfikacyjny właściciela, agenci depozytowi i główne centrum depozytowe zapisaliby ten unikalny numer identyfikacyjny w swoich bazach danych i następnie honorowaliby żądania tego właściciela dostępu do prywatnego klucza szyfrującego. W korzystnym przykładzie wykonania, agenci depozytowi i główne centrum depozytowe żądaliby, aby do pakietu fragmentu klucza oznaczonego unikalnym numerem identyfikacyjnym właściciela dołączony był także certyfikat właściciela urządzenia podpisany przez producenta. Ten certyfikat właściciela urządzenia pozwoliłby agentom depozytowym i głównemu centrum depozytowemu działać zgodnie z komunikatami żądania klucza podpisanymi prywatnym kluczem podpisu właściciela odpowiadającym publicznemu kluczowi właściciela w certyfikacie właściciela urządzenia.

W innym przykładzie wykonania wiarygodnemu urządzeniu można zezwolić na akceptowanie zmiany klucza, zmiany powiernika, przeniesienia własności, lub innych instrukcji właściciela urządzenia bez konieczności używania odrębnego certyfikatu właściciela urządzenia. Wymaganie używania oddzielnego certyfikatu właściciela dla instrukcji dla urządzenia, jest obciążeniem administracyjnym, ponieważ właściciel musi utrzymywać bazę danych certyfikatów dla wszystkich posiadanych urządzeń i umieszczać odpowiedni certyfikat za każdym razem, gdy chce on zmienić klucz urządzenia lub przesłać urządzeniu jakieś inne instrukcje. Lepszym podejściem, jak pokazano na fig. 26 jest posiadanie wydanego przez producenta jednego certyfikatu właściciela dla publicznych kluczy instrukcji właściciela dla danej rodziny urządzeń, mech sprzedawca instaluje swój publiczny klucz weryfikacji instrukcji 261 wewnątrz urządzenia 260 w momencie sprzedaży urządzenia, a następnie ustanawia system oparty na wewnętrznym pamiętaniu tych kluczy. Po pierwszej sprzedaży urządzenia przez wytwórcę właścicielowi, urządzenie 260 będzie najpierw weryfikować prawomocność certyfikatu producenta 262 wydanego właścicielowi wykorzystując publiczny klucz instrukcji producenta 263, który był umieszczony w urządzeniu przez producenta. Jeżeli obszar 264 publicznego klucza instrukcji właściciela jest pusty urządzenie skopiuje publiczny klucz instrukcji właściciela 261 z certyfikatu producenta 262 wydanego właścicielowi do obszaru 264 publicznego klucza instrukcji właściciela w urządzeniu. Jeżeli publiczny klucz instrukcji właściciela już istnieje w urządzeniu i jest inny od tego, którym właściciel próbuje uruchomić urządzenie, urządzenie przyjmuje, że wytwórca sprzedał urządzenie innej jednostce. Ponieważ każde urządzenie będzie miało co najwyżej jednego pierwszego właściciela, własność tego urządzenia będzie określona przez obecność lub nieobecność publicznego klucza instrukcji właściciela 261 wewnątrz urządzenia 260 zamiast (lub w połączeniu z) poprzedniej koncepcji certyfikatu właściciela.

Jeżeli nie został zainstalowany publiczny klucz instrukcji właściciela, urządzenie może być traktowane jako urządzenie należące do pojedynczego użytkownika konsumenta, które nie ma narzuconych ograniczeń w odniesieniu do zmiany klucza lub przeniesienia własności urządzenia; jako takie urządzenie będzie traktować nieistnienie zainstalowanego klucza właściciela jako sygnał, że należy słuchać instrukcji użytkownika bez przywoływania dyskutowanych powyżej zasad zmiany klucza zmiany depozytu i przeniesienia własności. Jeżeli publiczny klucz instrukcji 271 właściciela został zainstalowany w wiarygodnym urządzeniu 270jak pokazano na fig. 27 instrukcje użytkownika 272 dotyczące zmiany klucza zmiany depozytu i przeniesienia własności nie będą wykonywane jeżeli te instrukcje nie sąpodpisane 273 odpowiednim prywatnym kluczem podpisu właściciela 274. Gdy podpis właściciela zostanie zweryfikowany, wiarygodne urządzenie wykonuje etapy procedury zmiany depozytu jak opisano poprzednio. Więc właściciel nie musi dodawać certyfikatu właściciela dowodzącego jego własności danemu zanumerowanemu urządzeniu, gdy daje mu instrukcje. Jednakże podpisane instrukcje właściciela muszą być oczywiście ograniczone do zanumerowanych urządzeń lub może pewnych klas

176 458 urządzeń, których to urządzeń numery odpowiadają określonej regule lub wzorowi, aby uniknąć dostarczania instrukcji każdemu urządzeniu będącemu własnością właściciela.

Ponadto jak pokazano na fig. 28 właściciel może przesłać instrukcję zmiany właściciela urządzenia przez zamianę pierwotnie zainstalowanego publicznego klucza weryfikacji instrukcji właściciela na inny (nowego nabywcy, nowego właściciela urządzenia). Właściciel urządzenia przesyła do urządzenia 280 instrukcję zmiany właściciela 282, zawierającą nazwę i publiczny klucz weryfikacji instrukcji nowego właściciela, podpisanąprywatnym kluczem 283 podpisu instrukcji aktualnego właściciela. Urządzenie weryfikuje instrukcję zmiany właściciela 282 używając publicznego klucza instrukcji 281 aktualnego właściciela, zamienia ten klucz na publiczny klucz instrukcji nowego właściciela 284 i później odpowiada tylko na instrukcje nowego właściciela. Ponadto właściciel może także dodać innego “wtórnego właściciela” przez zainstalowanie drugiego publicznego klucza instrukcji. Ten drugi publiczny klucz weryfikacji instrukcji ma pole “praw”, wskazujący instrukcje jakich operacji może on autoryzować. Pośród tych praw może być: zamiana klucza, dodawanie drugiego właściciela, usunięcie jednego właściciela i powrót do stanu urządzenia konsumenta nie mającego określonego właściciela. Jednakże te określone prawa mogą zawierać więcej lub mniej praw niż, albo te same prawa co, początkowy lub pierwotny klucz weryfikacji instrukcji, włączając w to prawo do wymiany lub usunięcia klucza instrukcji pierwotnego właściciela.

Ogólna rejestracja urządzenia

Zanotujmy, że omówione powyżej ogólne metody deponowania prywatnego klucza deszyfrującego i otrzymywania certyfikatu depozytowego mogą także być stosowane w bardziej ogólnych przypadkach rejestracji wiarygodnego urządzenia u wiarygodnej trzeciej strony i otrzymanie od tej trzeciej strony zezwolenia umożliwiającego urządzeniu komunikowanie się z innymi wiarygodnymi urządzeniami, nie koniecznie ograniczonymi w zakresie i celu do sytuacji deponowania klucza. W tym ogólnym procesie przedstawionym na fig. 24 programowalne wiarygodne urządzenie 240, które komunikuje się z wiarygodną trzecią stroną (TTP) 241 jest wyposażone w prywatny klucz podpisu i certyfikat 242 producenta dla odpowiedniego publicznego klucza podpisu. Zawiera ono także zabezpieczone kopie publicznych kluczy producenta i instytucji o zasięgu systemowym (lub światowym) (SWA), które mogą być tożsame i zabezpieczone na poziomie systemowym oprogramowanie sprzętowe, które może podtrzymywać odległe instalacje dodatkowego poziomu zastosowań oprogramowania i odpowiednie klucze publiczne jak omówiono wszędzie w tym opisie. Urządzenie 240 może zarejestrować się u dowolnego z potencjalnie nieogranicznej liczy TTP 241 dopuszczonych do tego systemu ogólnej rejestracji przez wydany certyfikat instytucji 243 podpisany przez SWA (SWA mógłby także ustanowić potwierdzających dla upoważnienia TTP, aby zostali przyjęci do systemu w zgodzie z dobrze znanymi zasadami hierarchii potwierdzeń kluczy publicznych). Gdy użytkownicy zarejestrują swoje urządzenia u danego TPP, będą mogli angażować się w specjalizowane operacje z innymi partnerami wymiany.

W pierwszym etapie tego procesu, użytkownik inicjuje żądanie 244 zarejestrowania swojego urządzenia 240 u danego potwierdzonego TTP 241. To żądanie 244 zawiera pewne informacje 245 potrzebne do zidentyfikowania użytkownika i natury żądania rejestracji i jest podpisane przez urządzenie, a do niego dołączony jest certyfikat producenta urządzenia 242, aby poręczyć podpis i urządzenie znanego typu. Wybrany TTP może także wymagać innych informacji i zabezpieczeń albo od użytkownika, albo od innych stron weryfikujących tożsamość użytkownika, przynależność, wiarygodność kredytową itp., które są poza zakresem tego protokółu ale mogą mieć wpływ na decyzję TTP przyznania lub odmowy żądanego zezwolenia na dokonywanie operacji. TTP 241 stosując odpowiednie klucze publiczne weryfikuje podpisy producentów na certyfikatach urządzeń 2421 podpis urządzenia na informacji 245 w żądaniu rejestracji użytkownika.

Gdy jest przekonane, że użytkownik może być dopuszczony do prowadzenia operacji żądanej klasy, TTP 241 wydaje następnie odpowiedź 246 zawierającą certyfikat 247 specjalnie upoważniając urządzenie do wykonywania tych operacji na rzecz użytkownika. Certyfikat 247 autoryzowania urządzenia wydany przez TTP typowo zawiera informacje identyfikujące TTP,

176 458 użytkownika, urządzenie użytkownika i operacje dla których pozwolenie jest wydane, jak również ponownie potwierdzoną kopię publicznego klucza podpisu urządzenia użytkownika jako dogodny (i jak później zostanie omówione) tak, że użytkownik nie musi przedkładać certyfikatu swojego urządzenia 242 w każdej następnej operacji z partnerami wymiany. Odpowiedź TTP 246 może także zawierać przekazywane w dół oprogramowanie sprzętowe i lub klucze 248, które mająbyć załadowane do wiarygodnego urządzenia użytkownika, aby umożliwić mu wykonywanie autoryzowanych operacji. Tam gdzie odpowiedź TTP 246 wzywa użytkownika do bezpiecznego załadowania nowego oprogramowania sprzętowego lub kluczy publicznych do swojego urządzenia, odpowiedź 246 będzie także zawierać certyfikat 243 upoważnienia TTP wydany przez SWA potwierdzający publiczny klucz podpisu TTP i przesyłać oprogramowanie sprzętowe i świadectwo aktualizacji klucza publicznego. Gdy wiarygodne urządzenie użytkownika 240 otrzymuje odpowiedź 246, TTP używa swojego wbudowanego, publicznego klucza podpisu SWA do weryfikacji certyfikatu pełnomocnictwa 243 i używa publicznego klucza podpisu TTP w niej zawartego do weryfikacji aktualizacji 248 oprogramowania sprzętowego, klucza publicznego i certyfikatu 247 TTP upoważnienia urządzenia.

Odnosząc się znowu do fig. 24, gdzie użytkownik życzy sobie wykonać operacje z partnerem wymiany 250, jego urządzenie określi datę 249 w zgodzie z zasadami zawartymi w programie sprzętowym zainstalowanym w urządzeniu (albo w czasie wytwarzania albo podczas późniejszego ładowania), jak było obszernie przedyskutowane w tym opisie i będzie podpisywać operację 249 i dołączać certyfikat dla swojego klucza publicznego. Tym certyfikatem mógłby być certyfikat producenta urządzenia 242, ale bardziej prawdopodobnie będzie to certyfikat 247 upoważnienia urządzenia TTP, który zawiera kopię publicznego klucza urządzenia dla wygody ponownie potwierdzoną. Partner wymiany 250 będzie typowo stosował publiczny klucz TTP dla weryfikacji podpisu TTP w swoim certyfikacie 247 upoważnienia urządzenia, a następnie użyje publicznego klucza podpisu w nim zawartego dla weryfikacji podpisu urządzenia na operacji 249, aby potwierdzić dostosowanie się urządzenia do wymagań protokółu operacji narzuconych przez odpowiednie oprogramowanie sprzętowe. W przypadku, gdy partner wymiany 250 nie ma jeszcze określonego publicznego klucza TTP weryfikacji podpisów, użytkownik może włączyć do swojej operacji 249 TTP SWA certyfikat upoważnienia 243, który partner wymiany może zweryfikować używając klucza publicznego SWA, który musi już posiadać aby uczestniczyć w systemie.

Uogólniony proces dotychczas opisywany jest wystarczająco ogólny aby umożliwić (a) deponowanie prywatnego klucza szyfrującego w zamian za świadectwo depozytowe podpisane przez centrum depozytowe (TTP), gdzie informacje zawarte lub umieszczone w certyfikacie urządzenia użytkownika przesłane do centrum depozytowego świadczą, że urządzenie jest już wyposażone w oprogramowanie mogące wykonywać specjalne funkcje opisanego tu systemu szyfrowego z deponowaniem kluczy, lub (b) jeżeli takie urządzenie nie jest tak wyposażone, ale może być tak wyposażone, ładowanie zabezpieczonego rozszerzenia programu, po instalacji którego urządzenie będzie zdolne spełniać wymagania operacyjne systemu depozytowego. Dane operacji 249 przesłane do partnera wymiany 250 mogą stanowić zaszyfrowany komunikat poprzedzony nagłówkiem kontroli komunikatu, do którego dołączone jest upoważnienie 247 (certyfikat depozytowy użytkownika) wydany poprzez TTP 241 (główne centrum depozytowe).

Uogólniony system przedstawiony na fig. 24 posiada więc wiele wysoce pożądanych właściwości, które mogą ułatwić złożone formy operacji gospodarczych lub rządowych w środowisku otwartej sieci komunikacyjnej. W szczególności może być wiele różnych producentów urządzeń, tak długo jak każde uczestniczące urządzenie jest zdolne do wykonywania zabezpieczonych wielostopniowych operacji i podpisywania wykonywanych operacji. Także może być pewna liczba wiarygodnych trzecich stron, każda wydaje inny typ upoważnienia operacyjnego i każda tworzy i potwierdza innąklasę zastosowań programowych, takich jak depozyt klucza, cyfrowe zarządzanie finansami, wypożyczanie samochodów lub zarządzanie zapisami medycznymi użytkownika. Więc chociaż można wymagać od partnera wymiany (przez protokóły i oprogramowanie urządzenia użytkownika) użycia porównywalnie wyposażonego wiarygodne40

176 458 go urządzenia, to urządzenie może być wyprodukowane, sprzedane i wyposażone przez inne strony niż te, z którymi miał do czynienia pierwotny użytkownik, to jednak operacje pierwotnego użytkownika będąjeszcze akceptowane i wykonywane w zgodzie z zasadami systemu, tak długo jak partner posiada kopię publicznego klucza 247 weryfikacji podpisu SWA, która umożliwia wszystkim wersjom urządzeń i ich programom rozpoznawać się wzajemnie i pracować razem, gdy są do tego upoważnione przez SWA i jej TTP. Kilka przykładów związanych z prowadzeniem interesów, które mogą być realizowane przez ten protokół zawierają systemy, które narzucają wymagania operacyjne na (a) szyfrowanie przy użyciu pewnie zdeponowanych kluczy, (b) zarządzanie reprezentacjami cyfrowymi pieniędzy i innych wartościowych dokumentów·', (c) dostęp do i wykorzystywanie medycznych i innych informacji osobistych użytkownika.

Unikalny Numer Identyfikacyjny Właściciela

Zależnie od potrzeby zrównoważenia łatwości użycia i praw do tajności unikalny numer identyfikacyjny właściciela może się także opcjonalnie pojawiać w albo (a) certyfikacie depozytowym użytkownika (b) MCH wydanym podczas normalnej łączności, jak również w komunikatach fragmentów klucza do agenta depozytowego. Byłoby pożądane dla prowadzącego dochodzenie próbującego odszyfrować komunikat móc określić patrząc na MCH zawierający numer identyfikacyjny właściciela, czyjedno lub oba urządzenia prowadzące łączność, z których był wzięty MCH, należą do danego właściciela. Jednakże, potrzeby zachowania tajności, zwłaszcza przez pewnych użytkowników, mogą sugerować, aby numer identyfikacyjny właściciela był pominięty w MCH aby zwiększyć tajność komunikacji. W przypadku, kiedy numer identyfikacyjny właściciela jest włączony tylko do certyfikatu depozytowego urządzenia, a nie do MCH komunikatów, prowadzący dochodzenie wynajętych przez określonego pracodawcę z zadaniem określenia czy określony komunikat pochodzi od pracowników tego pracodawcy, mając do czynienia z wieloma MCH, w których nie ma właścicieli urządzenia, musiałby sprawdzić w głównym centrum depozytowym wymienionym w danym MCH czy ten MCH pochodzi z urządzenia którego właścicielem jest pracodawca. Główne centrum depozytowe mogłoby odszyfrować numer certyfikatu strony komunikatu MCH, której klucze są zdeponowane w tym głównym centrum depozytowym i sprawdzić czy certyfikat użytkownika był wydany przez pracodawcę prowadzącego dochodzenie. Jeżeli tak i jeżeli żądanie prowadzącego dochodzenie jest podpisane przy użyciu klucza podpisu jego pracodawcy (to jest prowadzący dochodzenie ma upoważnienie od pracodawcy-właściciela na dochodzenie), główne centrum depozytowe ujawniłoby te informacje Jeżeli prowadzący dochodzenie nie ma upoważnienia będzie się musiał starać o upoważnienie lub nakaz sądowy, aby móc śledzić podejrzaną działalność odzwierciedloną w MCH właścicieli nieznanego urządzenia. Można przewidzieć, że większość właścicieli urządzeń nie będzie miało obiekcji, aby ich nazwa była podana w sposób otwarty w certyfikatach depozytowych ich użytkowników i w MCH, ponieważ w większości systemów komunikacji elektronicznej jest niepraktyczne ukrywanie informacji o fizycznym i logicznym adresie sieciowym, które często wyraźnie identyfikują instytucje wysyłającego i odbierającego dany komunikat. Więc mało się traci publikując unikalne numery identyfikacyjne właścicieli, a dużo się zyskuje mając możliwość wszystkiego sprawdzenia i wybrania komunikatów według nazwy właściciela urządzenia wysyłającego lub odbierającego.

Unikalny numer identyfikacyjny właściciela może jednakże być jeszcze włączony do certyfikatu depozytowego pracownika lub do MCH komunikatów bez podawania do publicznej wiadomości. Certyfikat depozytowy pracownika i MCH powinny zawierać Publiczny Klucz Szyfrujący Pracodawcy łącznie z innymi kluczami, jak opisano powyżej. Te klucze powinny normalnie znajdować się w certyfikatach depozytowych nadawcy i odbiorcy (zakładając, że zarówno nadawca jak i odbiorca mają pracodawców). Gdy urządzenie nadawcy będzie tworzyć MCH będzie ono wprowadzać do MCH jeden lub oba unikalne numery identyfikacyjne pracodawcy, każdy zaszyfrowany przy użyciu publicznego klucza szyfrującego odpowiedniego pracodawcy tak, że w rzeczywistości urządzenie nadawcy używa MCH do przesłania do każdego pracodawcy-właściciela komunikatu zawierającego tego odpowiedniego pracodawcy-właściciela własny unikalny ID, który tylko on może odszyfrować. Ta metoda jest podobna do tej dyskutowanej po176 458 wyżej, gdzie nadawca używa MCH do wysłania numerów certyfikatów zarówno nadawcy jak i odbiorcy zaszyfrowanych publicznymi kluczami szyfrującymi ich odpowiednich centrów depozytowych i do przesłania klucza sesyjnego do odbiorcy (normalna funkcja MCH jak również do nadawcy), aby umożliwić podsłuch obu stron. Ta technika umożliwia pracodawcy łatwe określenie, który MCH należy do jego pracowników, a przy tym pozwala uniknąć sytuacji, w której wszystkie komunikaty należące do pracowników właściciela-pracodawcy są łatwo identyfikowane w przepływie komunikatów i w której numery ID właściciela sąniezaszyfrowane i łatwe do uzyskania.

Jednak, to podejście ma wadę polegającą na tym, że unikalny numer identyfikacyjny pracodawcy zaszyfrowany przy użyciu publicznego klucza szyfrującego pracodawcy będzie zawsze tworzył tą samą a więc rozpoznawalną wartość. Lepszą realizacją tego podejścia byłoby zaszyfrowanie bloku danych zawierających bieżący znacznik czasu (lub mną liczbę losową) łącznie z numerem certyfikatu depozytowego pracownika (który pracodawca oczywiście ma prawo znać) kluczem publicznym pracodawcy, tak że znacznik czasu dałby dużą zmienność blokowi zaszyfrowanych danych. Kilka bajtów wyraźnego “przyciągającego wzrok” tekstu takiego jak “EMPL” (lub możliwie unikalny ID pracodawcy) mógłby także być włączony do zaszyfrowanego bloku, aby umożliwić deszyfrowanie oczywiście jednostce, która ma odszyfrować pole (w przypadku innych danych pozycje są w zapisie binarnym i w takim przypadku jednostka nie mogłaby ich na pewno znać). W tym przypadku dowodem własności pracodawcy jest to, że tylko pracodawca jest zdolny do odczytania tego pola. Ponadto jeszcze inna liczba losowa może być dodana do bloku danych dla zwiększenia zmienności, w przypadku gdy znacznik czasu nie jest wystarczająco pewny, że będzie różny w każdym przypadku, a więc uczyni wszystkie MCH pracodawcy unikalnymi blokami danych.

W tym ulepszonym podejściu, które byłoby dokonywane dla pracodawców zarówno nadawcy jak i odbiorcy w każdym wysyłanym komunikacie, byłoby możliwe dla pracodawców i innych sponsorów określanie, które komunikaty były tworzone lub odbierane przez ich pracowników, bez konieczności przedkładania zaszyfrowanego MCH każdego komunikatu odpowiedniemu centrum depozytowemu dla określenia, czy lub nie jakieś z tych komunikatów pochodzą z urządzenia będącego własnością pracodawcy, więc prawdopodobnie oszczędzając znaczną sumę pieniędzy. Każdy pracodawca będzie jeszcze musiał kontaktować się z głównym centrum depozytowym i agentami depozytowymi, jak poprzednio dla uzyskania prywatnego klucza szyfrującego swojego pracownika i musi udowodnić, że rzeczywiście jest właścicielem urządzenia pracownika, przez podpisanie swojego żądania prywatnym kluczem, który pasuje do publicznego klucza weryfikacji podpisu zawartego w jego certyfikacie właściciela wydanym przez producenta urządzenia. Co najmniej pracodawcy zaoszczędzą czas, wysiłek i wydatki na dodatkowe żądania do tych stron dotyczące MCH komunikatów, które jak się później okaże nie pochodziły z urządzeń należących do właściciela. Ijak poprzednio, jeżeli pracodawca podejrzewa kryminalną lub mną nieprawidłową działalność w komunikatach do których dołączone są MCH pochodzące z łączności prowadzonej przez urządzenia nie będące jego własnością, pracodawca może zawsze kontaktować się z agendą egzekwującą przestrzeganie prawa, poinformować agendąo podejrzewanej działalności przestępczej i sprawić, aby agenda zwróciła się do sądu dla uzyskania upoważnienia na przejęcie i/lub odszyfrowanie tych komunikatów, które jak się okaże pochodzą od trzeciej strony nie pracownika, przestępców lub prawdopodobnej jednostki z pomieszczeń pracodawcy, zatrudnionej łub me, która używa urządzeń szyfrujących nie będących własnością i nie zarejestrowanych przez pracodawcę.

Ta metoda umieszczania informacji w zaszyfrowanym MCH, tak że informacja może być odczytana tylko przez stronę uprawnioną do odczytania może oczywiście być rozszerzona na inne strony poza nadawcą i odbiorcą (z których każda może odszyfrować klucz sesyjny komunikatu), główne centrum depozytowe każdej strony (z których każde może odszyfrować numer certyfikatu swoich użytkowników) i pracodawca-właściciel każdej strony (z których każdy może odszyfrować numer certyfikatu swojego pracownika lub swój własny unikalny numer identyfikacyjny właściciela, żeby upewnić się czy urządzenie komunikacyjne należy do niego, bez ko42

176 458 nieczności kontaktowania się z kimkolwiek mnym, unikając przy tym identyfikowania się w każdym komunikacie). Może to także być rozszerzone na inne strony, takie jak oddziały bardzo dużych przedsiębiorstw lub na przykład lokalne agendy egzekwujące przestrzeganie prawa w krajach, gdzie nie ma obowiązku uzyskiwania upoważnienia. Oczywiście, wszystkie informacje zaszyfrowane tymi kluczami mogą także być pokazane jako jawne to jest niezaszyfrowane, jak omówiono wcześniej, pod warunkiem, ze te strony nie mają zastrzeżeń, aby były otwarcie nazwane i rutynowo identyfikowane w każdym komunikacie. Te informacje mogąbyć także pominięte, kiedy nie dotyczą danej strony na przykład, gdy użytkownik nie ma pracodawcy. W tym uproszczonym podejściu powinno się używać jednego formatu MCH dla wszystkich sytuacji, zostawiając niewypełnione pola, gdy nie mąjązastosowania. Inaczej, w korzystnym przykładzie wykonania używałoby się różnych zmiennych formatów MCH w tym samym systemie, każdy format byłby identyfikowany przez unikalną wersję numeru w pierwszym polu, tak że każde urządzenie przetwarzające MCH byłoby zdolne do określenia na które pola należy oczekiwać i stosownie do tego robić rozbiór. Ta metoda umożliwiłaby nieskończone wprowadzanie stron do MCH co byłoby systemem najbardziej elastycznym z możliwych. Koszty obliczeniowe zależałyby głównie od tego ile tych pól rzeczywiście ma być zaszyfrowanych publicznym kluczem szyfrującym każdej oddzielnej strony.

Pracodawca może łatwo kontrolować informację zawartąw MCH przez dołączanie do każdego zapisu “pola taktycznego” lub kodu instrukcji zawierającego kod instruujący urządzenie pracodawcy jaką informację włączać do MCH. Jak poprzednio kod instrukcji mógłby zawierać elementy wyboru dające pracodawcy możliwość włączania następujących informacji (1) nazwę i unikalny numer identyfikacyjny pracodawcy, albo zaszyfrowany albo używając pseudonimu; (2) słowo “pracodawca” niezaszyfrowane z unikalnym numerem identyfikacyjnym pracodawcy zaszyfrowanym wewnątrz pola MCH; (3) numer certyfikatu użytkownika w polu zaszyfrowanym; (4) klucz sesyjny komunikatu w polu zaszyfrowanym; (5) znacznik czasu w polu zaszyfrowanym; i (6) losową, zmieszaną liczbę w jednym z innych zaszyfrowanych pól. Wiele z tych możliwości może być rzeczywiście jednoczesnych. Ponadto te możliwości taktyczne mogąbyć takie same dla wszystkich członków wspólnoty interesów włączając strony komunikujące się ze sobą, aby umożliwić stronom oznaczać się swoim pocztowym lub systemowym ID lub prościej używając słowa “nadawca” lub “odbiorca” w odpowiednich jawnych polach MCH.

Wielokrotne jednocześnie deponowane klucze

Oprócz wyżej opisanych właściwości aktualizacji oprogramowania i wymiany publicznego klucza producenta wiarygodne urządzenie według wynalazku powinno także mieć zdolność utrzymywania i zarządzania szeregiem zestawów depozytowych kluczy szyfrującychjednocześnie. Normalnie, gdy urządzenie zaczyna cykl wymiany klucza to jest generowanie i deponowanie nowego prywatnego klucza deszyfrującego i w rezultacie otrzymuje certyfikat depozytowy dla odpowiedniego nowego publicznego klucza szyfrującego, urządzenie wymaże poprzedni klucz prywatny, aby zwiększyć zaufanie urządzenia do nowozdeponowanego klucza prywatnego Alternatywnie urządzenie mogłoby zatrzymać poprzedni klucz prywatny tylko na krótki czas, na przykład na czas potrzebny dla odzyskania danych zaszyfrowanych w pamięci pizy użyciu dotychczasowego prywatnego klucza szyfrującego. Jednakże w alternatywnym przykładzie urządzenie może także akceptować i wykonać instrukcję zmiany klucza albo od użytkownika, albo od właściciela urządzenia, jak opisano powyżej dla utworzenia drugiego ważnego certyfikatu depozytowego dotyczącego tej samej prywatny/publiczny pary kluczy szyfrujących W tym przykładzie urządzenie prowadziłoby proces deponowania wykorzystując prawdopodobnie różną listę agentów depozytowych i inne główne centrum depozytowe i otrzymałoby inny równie ważny certyfikat depozytowy dla tej samej prywatny/publiczny pary kluczy szyfrujących wydany i podpisany przez drugie główne centrum depozytowe i mogłoby go używać przemiennie z pierwszym certyfikatem depozytowym. Ten drugi certyfikat publicznego klucza szyfrującego mógłby być użyty w przypadku, kiedy użytkownik urządzenia odbywa podróż międzynarodową lub koresponduje ze stronami mającymi siedziby w innych krajach, specjalnie, gdy te inne kraje życząsobie prowadzić legalną inwigilację komunikacji wychodzącej i przychodzącej do tego kraju. W takich przy176 458 padkach przez ponowną rejestrację tego samego klucza urządzenia w innym kraju, użytkownik (lub jego pracodawca) mogą usatysfakcjonować możliwe wymagania prawne innego kraju, przy czym użytkownik lub pracodawca zachowują jeszcze dogodną możliwość prowadzenia interesów z pierwotnym zespołem agentów depozytowych w swoim własnym kraju (legalne monitorowanie przez właściciela, odzyskiwanie utraconego klucza itd.). Następnie, aby pozwolić właścicielowi na śledzenie MCH swoich pracowników może być wystarczające jeżeli ID właściciela nadawcy i odbiorcy pojawi się w każdym MCH, informując właściciela że ma on rzeczywiście możliwość uzyskania klucza. Dla oszczędzenia czasu i wysiłku właściciel może następnie wysłać taki MCH do zagranicznego głównego centrum depozytowego i uzyskać numer zagranicznego certyfikatu depozytowego, ukryty numer urządzenia i ukryty certyfikat urządzenia, ale następnie zwraca się do swoich krajowych agentów depozytowych, którzy mogą zweryfikować certyfikat właściciela będący juz w ich posiadaniu i wydać rzeczywiste fragmenty prywatnego klucza. Ta procedura zwalnia właściciela urządzenia od dodatkowych formalności prawnych, które mogłyby być wymagane dla uzyskania rzeczywistych fragmentów klucza od zagranicznych agentów depozytowych.

Ochrona bezpieczeństwa narodowego

Aktualna polityka rządu Stanów Zjednoczonych pozwala na nieregulowane użycie szyfrowania w Stanach Zjednoczonych, ale narzuca ciężkie ograniczenia i kary na eksport urządzeń szyfrujących, oprogramowania lub know-how. Można zmodyfikować aktualny system pozwalający na względnie swobodne prywatne używanie urządzeń kryptograficznych w Stanach Zjednoczonych przy jednoczesnym narzucaniu ograniczeń na ich zastosowanie międzynarodowe. Taki system pozwoliłby na oddzielne międzyoperacyjne “strefy polityczne”, które są otwarte dla wszystkich sprzedawców sprzętu i oprogramowania, przy minimalnych lub żadnych zmianach projektowych w standardowych formatach komunikatów używanych w całym systemie. Jest ponadto pożądane umożliwienie użycia prywatnych agentów depozytowych w sytuacjach czysto wewnątrz przedsiębiorstwa w jednym państwie, w których system deponowania kluczy użyty jest jedynie dla umożliwienia poszczególnym przedsiębiorstwom monitorowania i kontroli zastosowania szyfrów przez swoich własnych pracowników, bez obowiązku wyrażonego lub przyjętego ułatwienia agentom egzekwującym przestrzeganie prawa dostępu do komunikatów, które zostały zaszyfrowane przy użyciu kluczy zdeponowanych przez przedsiębiorstwo. W szczególności takie przedsiębiorstwa mogłyby kupić oprogramowanie i sprzęt dla swojego własnego użytku, ale mogłyby odmówić przyjęcia publicznego obowiązku zapewniania dostępu do prywatnych kluczy w krótkich ramach czasowych jakie mogłyby być pożądane przez agenta egzekwującego przestrzeganie prawa w gorącym pościgu za przestępcami lub terrorystami.

To mogłoby być wykonane zakładając, że wszystkie urządzenia w całym systemie są dołączone bezpośrednio lub pośrednio do instytucji o zasięgu systemowym (SWA), która (jak ujawniono poprzednio) wydaje certyfikaty agentom depozytowym głównym centrom depozytowym i producentom urządzeń, aby umożliwić by każdy był rozpoznawany przez urządzenia systemu jako autentyczny i wiarygodny. Narodowy lub światowy system komunikacyjny musi dla celów praktycznych wspierać istnienie wielu niepowiązanych ze sobą głównych centrów depozytowych i agentów, z których każdy musiałby być potwierdzany przez SWA jako autentyczny. W każdym certyfikacie wydanym głównemu centrum depozytowemu lub agentowi depozytowemu SWA oznaczy go albo jako “publiczny” albo “prywatny”. “Publiczne” główne centrum depozytowe lub agent depozytowy jest wyposażony i przystosowany do szybkiej odpowiedzi na upoważnienie lub wezwanie instytucji bezpieczeństwa narodowego lub egzekwującej przestrzeganie prawa. Użytkownik, którego klucze są zdeponowane u takich agentów może mieć zezwolenie na prowadzenie łączności międzynarodowej. “Prywatne” główne centrum depozytowe lub agent depozytowy stanowią te centra depozytowe jednego przedsiębiorstwa lub jednego kraju, które mają zainstalowaną technologię systemu deponowania kluczy, ale nie podejmują żadnych działań na publicznym poziomie obsługi. Certyfikat z SWA dla głównego centrum depozytowego lub agenta depozytowego będzie także zawierać kod kraju. Więc każdy certyfikat depozytowy użytkownika, który jest wydany i podpisany przez główne centrum depozytowe i ma dołączony

176 458 certyfikat SWA dla głównego centrum depozytowego będzie także mieć kod kraju użytkownika. Zanotujmy, że wygodne jest aby certyfikat depozytowy użytkownika stwierdzał także swoje pochodzenie od publicznego lub niepublicznego agenta depozytowego, chociaż może nie być możliwe dla SWA egzekwowanie prawdziwości tych informacji. To mogłoby pozwolić urządzeniu na egzekwowanie tych zasad nawet łatwiej niż zwykłych wymagań certyfikatu SWA dla głównego centrum depozytowego.

Figury 29 i 30 pokazująegzekwowanie wymagań depozytowych przy wysyłaniu i odbieraniu zaszyfrownych komunikatów międzynarodowych. Jak pokazano na fig. 29 wiarygodne urządzenie 290 nadawcy egzekwuje ten system przez wymaganie certyfikatów depozytowych 291,293 zarówno nadawcy j ak i odbiorcy i j eżeli nadawca i odbiorca nie mają depozytów w tym samym głównym centrum depozytowym ich certyfikaty depozytowe głównego centrum depozytowego SWA, przed wysłaniem międzynarodowego komunikatu. Kody krajów 295,296 użytkownika odbierającego i jego głównego centrum depozytowego muszą być zgodne, aby urządzenie wysyłające 290 wysłało komunikat. Ponadto, jeżeli nadawca i odbiorca pochodząz. różnych krajów 295,2971jeżeli któryś z użytkowników korzysta z niepublicznego głównego centrum depozytowego 298, 299, urządzenie wysyłające odmówi zainicjowania komunikacji do takiego odbiorcy. Jak pokazano na fig. 30 wiarygodne urządzenie odbiorcy będzie także egzekwować wymagania systemu odmawiając deszyfrowania komunikatu, jeżeli został on jakoś utworzony, gdy nadawca i odbiorca pochodzą z różnych krajów i jeżeli któryś z użytkowników korzysta z niepublicznego głównego centrum depozytowego. Te zasady powodują realizację pożądanej polityki niezezwalania na szyfrowaną komunikację międzynarodową poza systemem depozytowym, ponieważ główne centrum depozytowe nie może fałszować swojego statusu publicznego potwierdzonego przez SWA i nawet gdyby główne centrum depozytowe mogło sfałszować kod kraju użytkownika (aby się wydawało, że użytkownik należy do strefy zagranicznej), urządzenie nie dopuści do rozbieżności pomiędzy kodami krajów użytkownika i głównego centrum depozytowego. Chociaż te zasady nie zapobiegają nielegalnemu przewiezieniu przez granicę wiarygodnego urządzenia użytkownika, umożliwiają łatwiejsze dostosowanie się do ograniczeń narodowych pozwalając mu na utrzymywanie zdeponowanego klucza w każdym kraju i komunikowania się przy użyciu właściwego klucza w każdej strefie politycznej.

Wersja urządzenia dla wielu użytkowników

Inną właściwościątego wynalazkujest zdolność inicjowania i jednoczesnego prowadzenia przez to samo urządzenie różnych sesji komunikacyjnych z różnymi lokalnymi i odległymi użytkownikami. Wiele większych komputerów obsługuje wielu użytkowników, którzy często rejestrują się jednocześnie poprzez terminale sesyjne, ale którzy mogą chcieć inicjować zaszyfrowane sesje z innymi jednostkami na całym świecie. Jednakże ponieważ byłoby wysoce nieefektywne wymaganie niezależnych wiarygodnych urządzeń dla każdej sesji użytkownika we wspólnym komputerze, wiarygodne urządzenie mogłoby śledzić klucz sesyjny komunikatu, przez pamiętanie go razem z unikalnym numerem kolejnym komunikatu (MSN) dla tej sesji. Potem, gdy przybywają dodatkowe pakiety komunikatów niosące ten sam MSN mogą być deszyfrowane, a odpowiedzi szyfrowane bez zwłoki. Ponadto urządzenie mogłoby deponować prywatne klucze deszyfrujące wielu użytkowników łącząc każdy prywatny klucz użytkownika z unikalnym numerem identyfikacyjnym poszczególnego użytkownika i zezwalać na stosowanie każdego klucza tylko po przedstawieniu odpowiedniego świadectwa tożsamości użytkownika takiego jak hasło, inteligentna karta, PIN, dane biometryczne, odpowiedź próbna itd. Przez oznaczenie numeru identyfikacyjnego użytkownika, hasła lub ich ekwiwalentu dla każdej pary kluczy publiczny/prywatny, jak to jest tworzone dla depozytu, zwykłe kontrole hasła, takie jak długość, termin ważności, blokada zapisu i łatwość odgadnięcia mogą być następnie dokonywane przez urządzenie dla ograniczenia możliwości nieuprawnionego dostępu.

Przedstawiono tu system i sposób szyfrowania z zastosowaniem deponowanych kluczy. Znawca doceni, że wynalazek może być realizowany także w innych niż opisane przykładach, które są przedstawione w celu ilustracji a nie ograniczania. Wynalazek jest ograniczony tylko niżej podanymi zastrzeżeniami.

176 458 fig. 1Ά

X	Prywatny Klucz Odbiorcy (Wykładnik)
X1...n	Numerowane Fragmenty Prywatnego Klucza
Xi	i-ty Fragment Prywatnego Klucza
y	Efemeryczny Prywatny Kucz Nadawcy (Wykładnik)
a	Publiczna Liczba Podstawowa
P	Moduł Publicznej Liczby Pierwsze]
DHx	Liczba Pośrednia = a^xmod p
DHy	Liczba Pośrednia = afood p
Kdh	Pochodny Klucz Komunikatu Diffie-Hellmana
V1...n	Liczba Pośrednia Micali = a^ximod p
Kmsg	Losowy lub Pochodny Klucz Komunikatn
M	Komuuikat Jawny
C	Komunlkat Zaszyfrowany

176 458

Fig.l®

	Publiczny	Prywatny
Podpis	KS ⁺	KS
Szyfrowanie	KE⁺	KE

fig.lC <KS⁺dev> mfgr

\ /	\ /	\

publiczny klucz podpisu urządzenia podpisany przez producenta (przy użyciu prywatnego klucza mfgr

KS~mfgr) ^ΐβ.ΙΊ) (Komunikat)

KErecir

komunikat do zaszyfrowania przy użyciu publicznego klucza szyfrującego odbiorcy

176 458

box		Skrzynka dekodera agendy egzekwującej przestrzeganie prawa
ca	cal . n	Instytucja potwierdzająca (Publiczne Klucze Podpisu)
dev		Wiarygodne urządzenie
ea	eal...n	Agent depozytowy
ec	ecl...n	Centrum depozytowe
mfgr	mfgrl ...n	Producent wiarygodnego urządzenia
właściciel		Właściciel urządzenia (jeśli inny niż użytkownik)
recip		Odbiorca komunikatu
nadawca		Nadawca komunikatu
swa	1 ...n/	Instytucja o zasięgu systemowym
użytkownik	użytkownik	Użytkownik wiarygodnego urządzenia

Fig.1F <dane>, dev dane

-dev = <dane> KS\ dev (dane) . = (dane)KE +Nadawca nadawca

176 458

Fig.2

Wcześniejsze uzgodnienie (jawnej) pierwszej p i wartości a

Strona A

Strona B

Wspólny klucz a*y mod p znany dla A i B · ale niemożliwy do wyliczenia przez podsłuchującego

176 458

A Użytkownik B Instytucja Potwierdzająca

176 458

Odbiorca oi ta o

ca ca <

N

O

N ca N N □ Q O O

176 458 τΤ l/Ί

176 458

Ό

176 458

Fg- 9

176 458 fig, 10 (O >4

176 458

123

121

W*

Fg.i3 <

Fig.14

Wersja Nr.

Nr. Seryjny Certyfikatu Nazwa Centrum Depozytowego Kod Kraju Centrum Depozytowego KE+ec (dla użytku LEAF)

Nazwa Użytkownika KE+ Użytkownik (dla Komunikatów) KS+dev (dla weryfikacji LEAF) Okres ważności

Podpis Centrum Depozytowego (Kmsg) K(j_evSuma kontrolna Kmsg

Nr.seryjny urządzenia Suma kontrolna LEAF

Kfam

122 —124 —125

Kmsg	Symetryczny Klucz Komunikatu
Kdev	Wbudowany Symetryczny Klucz Urządzenia
Kfam	Symetryczny Klucz Rodziny Clipperów

Nr.wersji Nazwa Mfgr Nr seryjny Urządzenia Typ/Model Urządzenia Data Mfgr KS+dev

Cecha Kodów(opcjonalna) Podpis Mfgr

176 458

Π3

Ν Φ

Ν □

176 458 fig. 16

Certyfikaty

176 458 iw

Η

V

Ι-&

\ο r-

>	evl>mfgr	σ3
o
Ό	CC	Ol +
CC	Nd	CC
Nd	V	Nd

N £

o3 i_

Ci,

CC

rm ru·

CcS

N

Ό ź

v>

r176 458

Fg18

Numer Wersji (Klucz Komunikatu) KE+ recip

Nazwa Centrum Depozytowego Nadawcy (ecl)

-181

Kod Kraju Centrum Depozytowego Nadawcy

Nazwa Centrum Depozytowego Odbiorcy (ec2)

Kod Kraju Centrum Depozytowego Odbiorcy (Numer Certyfikatu Depozytowego Nadawcy) KE+ ecl (Klucz Komunikatu) KE+ nadawca (do siebie) (Numer Certyfikatu Depozytowego Odbiorcy) KE+ ec2

181

Znacznik czasu (opcjonalny)

Podpis Urządzenia Nadawcy

176 458

at Depozytowy y	lorcy	<N	04 Q U 1
O		>
	Ό	O
Ls	O	T3
”C	+	+
O Ό	w	09
uo	w	tż

‘2 £

so o\

€β

N

Ό £

Λ

Ł

CC un σ\ ,_A

«J

N

Ό

Ź cj u,

Q09

La

yfikat emu EC1	04 O U	-swa
U> co o >»	+ CC
Uo?

c3

N

T3

I u

CL·.

VI

176 458

CM O ‘ CM

CO

O'

CM

ui	Λ4 w	Λί W	Ul
+	1	+	1
σ>	ω	Uł	III
id	id	id	id
\z		\z

		Ul	O <d
		«1	fi Λ!
<a jd		N U	<0 fi CO >1
c	Ul	δ	-Η N CU >4
	+	(rf	-O X
M	LU	«Ν	0 Ul
Λί	X	•l“ł
Ul		CLł

Sfc H	+ Ul id	ano Mfgr
•		Ul
fi		r4
5		CU
Ul		Ό
	fi	0
&	i	Cu
¢4	Ul	1

		2σ>
<0 4d c	S —	isa; M
>1		Ol
N	S_co	Ό
	I^H	0
Λί		CU
Ul	z

	Ό	<TJ
& -P	4-> 0	+j H
W «ϋ	(d	(0 Φ
o *	Jd ·Η	id H
U» H	•Η 4d P	H O
^U 44	UU fi Cn	44 H
£ ><	>i >iU4	>1 ϋ
R +>		P Ό)
® ti φ o		P (0 0) Arl
*3 U	U Ul	L> S

176 458

i 1 >1 «3	1 <d
P ·Η	N g
<ΰ 3	>1
•rł <0	0 3
£ +»	0
ω	<d ε
P □	·· ΓΊ (L)
0]	OO-P
Φ (fl 3	c 3 n
n r-f tn	id +J >
_ Tj cd	(0
(d N	Η -P
•P HJU	cum a
N C	Ό C O
ϋ Ό flj	OH V
0 0 H	CU H
en e	m

176 458

Τή.22

220

Numer Wersji

Numer Seryjny Urządzenia

Nazwa Właściciela

Unikalny ID Właściciela

KS+ właściciel

Data Zakupu

Podpis Mfgr

-221

-222

-223

-224

- 225

176 458

239

Komunikaty Żądania Nowego Przyjęcia do Depozytu

176 458

Fg. 24

176 458

Fg.X
Numer Wersji	—254
Nazwa Odbiorcy
(Klucz Komunikatu) KE+odb(do odbiorcy)
Nazwa Centrum Depozytowego Odbiorcy (ecl)
(Numer Certyfikatu Odbiorcy) KE+ecl	—252
Nazwa Pracodawcy Odbiorcy la (empl la)	— 256
(Klucz Komunikatu,Nr Certyfikatu Odbiorcy) KE+empl la	—257
Nazwa Pracodawcy Odbiorcy 1b (empl 1b)	— 256
(Klucz Komunikatu,Nr.Certyfkatu Odbiorcy) KE+empl 1b	—257
A o •
Nazwa Nadawcy	—253
(Klucz Komunikatu) KE+ Nadawca (do siebie)
Nazwa Centrum Depozytowego Nadawcy (ec2)
(Nr.Certyfikatu Nadawcy) KE+ ec2	—251
Nazwa Pracodawcy 2a Nadawcy (empl 2a)	—255
(Klucz Komunikatu,Nr.Certyfikatu Nadawcy) KE+ empl 2a	—257
• • •
Numer Kolejny Komunikatu Nadawcy
Skrót Komunikatu
Czas Utworzenia
Podpis Urządzenia Nadawcy	—258

176 458 ko

ψ

176 458

ΟΟ

CM

οο

CM ώ

CM CM

176 458 α

ο

Η co

-Ζ £

<

ο £

Η <:

176 458 «

ο •*w* (Zł 'C

CU

-c

OS o-

Departament Wydawnictw UP RP. Nakład 70 egz. Cena 6,00 zł.

Claims

Zastrzeżenia patentowe

1. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że weryfikuje się każdy z wielu kluczy w centrum depozytowym, potwierdza się każdy z wielu kluczy po weryfikacji i inicjuje się transmisję od każdego z wielu użytkowników, używających jednego z wielu kluczy, uwarunkowaną potwierdzeniem.
2. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników; znamienny tym, że weryfikuje się każdy z kluczy w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się bezpieczną transmisję od użytkownika inicjującego do użytkownika odbierającego, uwarunkowaną potwierdzeniem kluczy zarówno użytkownika inicjującego, jak i użytkownika odbierającego.
3. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że co najmniej pierwszą wybranąjednostkę, nie będącą stroną łączności, udostępnia się do łączności użytkowników, weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się wiarygodnątransmisję od użytkownika inicjującego do odbierającego w sposób umożliwiający dostęp do łączności pierwszej jednostce nie będącej stroną łączności.
4. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że przy wyposażeniu każdego użytkownika w urządzenie komputerowe, rejestruje się urządzenia komputerowe w centrum zgodnie z informacją kontrolną określonąprzez właściciela urządzenia, który nie jest użytkownikiem urządzenia, potwierdza się urządzenia komputerowe, przy czym przez każde potwierdzenie tworzy się certyfikat związany z centrum, użytkownikiem i urządzeniem komputerowym i inicjuje się bezpieczną transmisję od użytkownika inicjującego do odbiorcy, wykorzystując klucz komunikatu w sposób umożliwiający właścicielowi dostęp do transmisji.
5. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się wiarygodną transmisję od użytkownika nadającego do użytkownika odbierającego, stosując zweryfikowany klucz, przy czym do transmisji włącza się informację dla uzyskania klucza użytkownika inicjującego i klucza użytkownika odbierającego.
6. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że przy zastosowaniu elektronicznych urządzeń komputerowych, kontrolowanych przez odporny na manipulacje układ logiczny, inicjuje się bezpieczną transmisję od urządzenia inicjującego do odbierającego, przy czym do transmisji włącza się informacje dostępu podpisane przez urządzenie inicjujące i umożliwia się dostęp do transmisji przez stronę zewnętrzną.
7. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się transmisję od użytkownika inicjującego do użytkownika odbierającego, uwarunkowaną potwierdzeniem kluczy użytkownika inicjującego i użytkownika odbierającego przez wiarygodne urządzenie użytkownika inicjującego.

176 458
8. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i inicjuje się transmisję od użytkownika inicjującego do użytkownika odbierającego, uwarunkowaną potwierdzeniem klucza używanego w transmisji, przy czym do transmisji włącza się informacje o dostępie dla umożliwienia dostępu do transmisji przez stronę zewnętrzną.
9. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że weryfikuje się klucze w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i wiarygodne urządzenie związane z każdym użytkownikiem i inicjuje się transmisję od użytkownika inicjującego do odbiorcy po potwierdzeniu klucza używanego w transmisji i po potwierdzeniu parametrów wiarygodnego urządzenia związanego z użytkownikiem inicjującym.
10. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że jedne z centrów depozytowych przyporządkowuje się pierwszej grupie, drugie z centrów depozytowych przyporządkowuje się drugiej grupie, weryfikuje się klucze w centrach depozytowych, potwierdza się każdy z kluczy po weryfikacji i realizuje się transmisję pomiędzy pierwszym użytkownikiem i drugim użytkownikiem, uwarunkowaną grupami, do których przyporządkowane są centra depozytowe nadawcy i odbiorcy.
11. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że weryfikuje się każdy z kluczy w centrum depozytowym, potwierdza się każdy z kluczy po weryfikacji i tworzy się zaszyfrowanątransmisję strumieniową od użytkownika inicjującego do użytkownika odbierającego, stosując klucz szyfrowy użytkownika inicjującego, do transmisji włącza się wstępny pakiet informacji o dostępie, umożliwiający stronie zewnętrznej deszyfrowanie strumienia, i strumień kolejnych pakietów, każdy kolejny pakiet, zawierający informację identyfikującą kolejny pakiet jako związany ze strumieniem i co najmniej jeden z kolejnych pakietów pozbawia się informacji o dostępie.
12. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że umieszcza się w wiarygodnym urządzeniu klucz związany ze źródłem oprogramowania, transmituje się oprogramowanie do wiarygodnego urządzenia, przy czym transmisję modyfikuje się przez źródło oprogramowania w sposób potwierdzany przy użyciu umieszczonego klucza i wprowadza się oprogramowanie do wiarygodnego urządzenia, uwarunkowane potwierdzeniem transmisji przy użyciu umieszczonego klucza.
13. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że przy wyposażeniu każdego użytkownika w urządzenie komputerowe, mające co najmniej jeden klucz związany z urządzeniem, rejestruje się urządzenia komputerowe w co najmniej jednym centrum, wybranym z wielu centrów, potwierdza się urządzenia komputerowe, przy czym przez potwierdzenie tworzy się certyfikat dla urządzenia, inicjuje się bezpieczną transmisję od użytkownika inicjującego do odbiorcy, stosując klucz komunikatu, do transmisji włącza się część dostępu zaszyfrowaną kluczem centrum dla uzyskania klucza komunikatu.
14. Sposób szyfrowania systemu komunikacyjnego, podczas którego deponuje się w wiarygodnym centrum depozytowym tajne, asymetryczne klucze szyfrowe do użycia przez wielu użytkowników, znamienny tym, że transmituje się elektronicznie przez, wiarygodne urządzenie do trzeciej strony, żądanie upoważnienia przeprowadzenia operacji elektronicznej, przy czym do żądania włącza się identyfikację wiarygodnego urządzenia, określa się przez trzecią stronę, że wiarygodne urządzenie powinno być upoważnione do przeprowadzenia operacji, przynajmniej

176 458 częściowo zgodnie z określeniem, że wiarygodne urządzenie będzie działać zgodnie z regułami, transmituje się elektronicznie, przez trzecią stronę do wiarygodnego urządzenia, upoważnienia na przeprowadzenie operacji elektronicznej, przy czym do upoważnienia włącza się potwierdzenie, że trzecia strona dała to upoważnienie, transmituje się elektronicznie, przez wiarygodne urządzenie do drugiej strony, potwierdzenie jako zapewnienie, że wiarygodne urządzenie jest upoważnione do przeprowadzenia operacji elektronicznej i będzie ją prowadzić tylko zgodnie z regułami i transmituje się elektronicznie dane operacji, przez wiarygodne urządzenie do drugiej strony, zgodnie z regułami.