PT1364508E - Método e aparelho de certificação de dados - Google Patents

Description

ΕΡ1364508 - 1 -

DESCRIÇÃO "MÉTODO E APARELHO DE CERTIFICAÇÃO DE DADOS" A presente invenção refere-se à certificação de dados enviados através de um rede, mais especificamente, através de uma rede insegura, como a Internet, por meios criptográficos.

Sempre que alguma informação é transmitida através de uma rede insegura existe a possibilidade de ela poder ser interceptada e de algum violada. Consequentemente, muitas actividades realizadas utilizando uma tal rede para conectar as entidades envolvidas na actividade exigem que cada entidade confirme a identidade da outra entidade (s) . Esta situação é o caso particular de actividades realizadas através da Internet.

Uma maneira de satisfazer os requisitos acima descritos é através da utilização de uma assinatura digital. A origem dos dados enviados através de uma rede insegura pode ser autenticada utilizando uma tal assinatura digital.

Uma tal assinatura satisfaz todas as funções de uma assinatura tradicional: para proporcionar a autenticação de origem, e pode também ter um significado -2- ΕΡ1364508 legal. É por isso importante assegurar que seja difícil, se não impossível, assinar um documento electrónico de um modo fraudulento, a fim de sugerir um ponto de origem incorrecto.

Uma forma geralmente aceite - e a única conhecida - de conseguir esta situação é através da utilização de criptografia. Em particular, é utilizada uma forma de criptografia assimétrica chamada de esquema de chave pública. Um esquema de chave pública utiliza duas "chaves" diferentes mas matematicamente relacionadas. Tais chaves assimétricas funcionam através da utilização de um chamado algoritmo "unidireccional". Um tal algoritmo pode ser utilizado para produzir uma chamada assinatura digital com uma chave e verificá-la com a outra chave, mas esta situação demora muito tempo e, na verdade, a utilização da chave de verificação para gerar a assinatura é praticamente inexequível com a escolha correcta do tamanho da chave. Actualmente, a utilização da chave de verificação é uma questão muito simples na verificação da assinatura e, consequentemente, da integridade e da origem da mensagem, e é assim que cada par de chaves é habitualmente utilizado. Estes esquemas de chave pública podem ser baseados tanto nas funções chamadas unidireccionais, em que o processo de verificação implica a verificação de uma equação matemática (por exemplo, EIGamal, curvas elípticas, etc. ver Menezes, A., Oorschot, P.van, e Vanstone, S., "Handbook of Applied Cryptography", CRC, de 1996) ou sobre funções de codificação-descodificação (por exemplo, RSA, ver Rivest, -3- ΕΡ1364508 R.L., Shamir, A. e Adleman, L., "A Method for Obtaining Digital Signatures of Public Key Cryptosystems", “Communications of the ACM", 21 (2), de 1978: 120-126). Este último difere da codificação simétrica, em que a mesma chave é utilizada tanto para codificar como para descodificar uma mensagem. Uma das vantagens de tais métodos assimétricos é que, mesmo que uma terceira entidade esteja na posse da chave utilizada para verificar a mensagem, ela não poderá produzir a assinatura sem ter a outra chave. Se for utilizado um esquema de codificação-descodificação, a chave de codificação é a chave de verificação e a chave de descodificação é a chave de assinatura. O esquema público mais amplamente utilizado, o RSA, faz uso de dois números primos muito grandes e o facto de, no momento de escrita, demorar muito tempo a desfazer o produto destes dois primos para obter os dois números originais. Com números suficientemente grandes, o RSA pode, consequentemente, ser altamente resistente a falsificações de uma assinatura. Geralmente, uma das chaves é o produto "n" dos dois factores primos "pa" e "q" e um chamado expoente público "e", e o outro é um número derivado do par de primos e "e" utilizando matemática modular. O expoente público "e" tem de ser escolhido como sendo mutuamente primo para p-1 e q-1 e um expoente segredo "d" pode então ser derivado, por exemplo, como sendo o número inteiro positivo mais pequeno que satisfaz ed - x(p-l)(q-1) = 1 para algum "x" utilizando repetidamente o algoritmo de -4- ΕΡ1364508

Euclid. Informação adicional sobre este assunto pode ser encontrada em Menezes et al, acima mencionado.

Em virtude de o conhecimento sobre a chave utilizada na verificação não assegurar a assinatura, é possível difundir esta chave (a chamada "chave pública") tanto extensamente quanto possível, ao maior número de pessoas possível, tipicamente, através de uma chamada Infra-estrutura de Chave Pública (PKI, ver CCITT “Consultative Comm. on Intern. Telegraphy and Telephony"),

Recommendation X.509: "The Directory---Authentlcation

Framework", de 1994 e "Public Key Infrastrutura: The PKIX Reference Implementation, Internet Task Engineering Force") para que qualquer pessoa a possa utilizar.

Se uma chave pública em particular puder ser utilizada para verificar uma mensagem, esta situação mostra que o originador da mensagem deve ter sido o utilizador detentor da chave privada. É assim possível indicar a origem de uma mensagem em particular através da utilização de esquemas de chave pública.

Todavia, esta situação exige, consequentemente, que exista algum esquema em funcionamento para ligar a identidade do utilizador a um par de chave pública em particular.

Por exemplo, o detentor podia simplesmente anunciar ao mundo que ele detém o par de chaves -5- ΕΡ1364508 pública/privada. Todavia, o receptor do documento assinado teria então apenas a palavra do detentor no que respeita à sua identidade, ao facto de o detentor ser o proprietário e de que a chave não foi comprometida. Neste caso, o receptor da mensagem não pode verificar se o emissor da mensagem está a ser honesto no que respeita à sua identidade ou estado de proprietário, podendo apenas constatar que a mensagem veio de alguém que se diz ter uma identidade em particular e ser o proprietário do par de chaves.

Face aos problemas acima mencionados sobre a verificação da identidade e do estado dos proprietários de chaves PKI, têm surgido entidades terceiras chamadas de Autoridades de Certificação (AC) que se dedicam à certificação de que um utilizador em particular é quem ele diz ser. 0 utilizador tem de fornecer certas credenciais à AC e também a sua chave pública e a AC, por sua vez, emite um chamado certificado, que não é mais que uma assinatura gerada pela AC numa mensagem que tem um formato escolhido, como o X.509v3, constituído pelas credencias do utilizador e a sua chave pública. Para além disto, a AC tem de tornar disponível um Directório, a partir do que o estado de qualquer chave de utilizador pode ser comunicada a qualquer outro utilizador em qualquer momento, tanto por utilização das chamadas listas de revogação, como por solicitação online. Para além disto, a AC emite um Comunicado da Política de Certificação que apresenta as regras a respeitar pelos utilizadores do sistema, incluindo o método utilizado na identificação dos utilizadores. Para obter -6- ΕΡ1364508 pormenores ver o documento CCITT e "Public Key Infrastructure: The PKIX Reference Implementation", acima mencionado.

Um certificado digital, constituído por um par de chave pública/chave privada tem vantagens adicionais sobre uma solução de assinatura tradicional sem certificados, na medida em que ele pode ter um período operacional limitado e pode também ser suspenso ou revogado na eventualidade de a chave privada do utilizador ficar comprometida, por exemplo, ao ser tornada disponível a uma terceira entidade. Para que a assinatura tenha qualquer utilidade ela tem, de um modo preferido, de estar representada num formato normalizado, como é o caso das assinaturas do "Public Key Crypto Standard" (PKCS#1), que são formatadas de acordo com o CMS (Cryptography Message Syntax) (PKCS#7, para obter mais informação sobre este assunto, ver PKCS #1,7, "RSA Cryptography Standard", RSA Laboratories, de 2001).

Conforme pode ver-se do acima descrito, é de vital importância que a chave privada de uma assinatura seja mantida segura a todo tempo, caso contrário, o seu valor é anulado e o seu valor reside no facto de ela certificar a identidade do autor de uma mensagem na medida em que ela mostra que mensagem teve origem no proprietário de um par de chaves em particular. Esta situação só é assim quando a chave privada não tenha sido comprometida. Consequentemente, têm de ser tomadas medidas para manter a segurança da chave privada. -7 - ΕΡ1364508

Uma abordagem estabelecida para a protecção da chave privada de um par de chaves utilizado em assinaturas digitais é a utilização de soluções de software e depois o seu armazenamento no posto de trabalho do proprietário ou num disco amovivel protegido por um código de acesso ou palavra passe controlado pelo proprietário. Todavia, é geralmente aceite que uma tal solução apenas de software não é suficientemente segura para transacções de elevado valor, a não ser que o posto de trabalho esteja extraordinariamente bem protegido. Esta situação resulta por ser tipicamente possivel recuperar a chave privada utilizando uma procura exaustiva do código de acesso no posto de trabalho e, para além disto, é difícil de proteger a chave privada dos ataques dos chamados "cavalos de Tróia". Neste caso, um programa malicioso, um tipo de vírus, é instalado por um intruso, por exemplo, através de um e-mail que contenha um ficheiro executável e este programa copia secretamente a chave privada do utilizador quando ela estiver a ser utilizada no processo de assinatura ou ele copia secretamente a palavra passe utilizada para proteger a chave privada. Podem ser introduzidas medidas que tornem mais difíceis tais ataques, mas mesmo assim, continua a não ser fácil evitá-los. Por razões de segurança e de aplicabilidade é atractiva a protecção física oferecida pelos cartões inteligentes que proporcionam também uma solução móvel. A desvantagem deste método é que ele exige a utilização de leitores de cartões inteligentes que ainda não estão amplamente disponíveis. -8- ΕΡ1364508

Uma alternativa que durante muito tempo foi considerada muito atractiva é a de armazenar a chave privada num cartão inteligente (cartão com chip). Todavia, esta solução exige que o posto de trabalho utilizado para a aplicação tenha acoplado um leitor de cartão inteligente.

Como os postos de trabalho raramente têm um tal leitor incorporado como equipamento de série e como não existe nenhum único padrão dominante de comunicação com o cartão inteligente, a única possibilidade é a de acoplar uma unidade externa e de instalar um driver no posto de trabalho, o que demora algum tempo e é caro. A identificação e a segurança são aspectos principais das soluções que permitem ao utilizador gerar uma assinatura digital. Consequentemente, um objectivo da presente invenção é o de eliminar ou melhorar, pelo menos, um dos problemas associados à técnica anterior. Em particular, um objectivo é o de atingir um alto nível de segurança e ao mesmo tempo proporcionar uma solução flexível para o problema.

Para além disto, as chaves privadas armazenadas num posto de trabalho podem aparecer "às claras", ou seja, numa forma não codificada na memória cache do computador do utilizador ou na memória cache da impressora ou no spooler ou, de outro modo, na memória cache de um Fornecedor de Serviço de Internet (ISP), mesmo que tenham sido apagadas do computador do utilizador. Na verdade, mesmo itens apagados podem ser recuperados de um computador utilizando -9- ΕΡ1364508 técnicas especializadas para recuperar dados das unidades de disco rígido, etc. Na verdade, sempre que a chave privada é utilizada para gerar uma assinatura, ela tem de ser proporcionada numa forma desprotegida.

Outras soluções para o problema da segurança permitem ao utilizador descarregar a sua chave privada de um servidor central e gerar a assinatura no posto de trabalho em software. Esta situação permite a mobilidade mas ela está ainda vulnerável a ataques se o posto de trabalho não for seguro, o que é a situação típica a não ser que existam restrições sobre quais os postos de trabalho que podem ser utilizados para descarregar a chave privada. 0 documento US 6.058.480 revela um sistema e um método de autenticação de utilizadores e de serviços em que cada utilizador e serviço tem um código de acesso que é conhecido por um "deity" de autenticação. Todavia, este sistema não tem qualquer utilidade na resolução do problema acima descrito sobre como utilizar a chave privada de uma assinatura diqital para assinar dados sem pôr a chave em risco.

Numa forma de realização da presente invenção a chave privada do utilizador é armazenada de um modo centralizado num aparelho de certificação constituído por um ou mais servidores - não estando necessariamente todos no mesmo local físico. Os servidores sao resistentes a - 10- ΕΡ1364508 violações utilizando, tipicamente, um Módulo de Segurança via Hardware (HSM) , como um IBM 4758 tendo disponível um conjunto limitado de comandos. Um destes servidores, chamado de servidor de assinatura, contém as chaves privadas de diferentes utilizadores, iniciadas de um modo tal que apenas o proprietário legitimo pode iniciar a geração da assinatura com a sua própria chave privada.

Para obter mais informação relacionada com as assinaturas digitais pode aqui ser feita referência ao documento de Torben Pedersen, "Signature Server", NEWSONINK, [Online], de Janeiro de 2004, URL: http://www.cryptomathic.com/pdf/news5.pdf; Cryptomathic, "Easy Sign - A User-Friendly Way of doing Mobile Commerce", Cryptomathic Web Site, [online] , de 6 de Agosto de 2001 (2001-08-06), XP002215193, URL: http://web.archive.org1web/2001080615; e também Cryptomathic, "A New Approach to Digital Signatures", Cryptomathic Web Site, [online] , de 1 de Agosto de 2001 (2001-08-01), XP002215195, URL: http://www.archive.org/web/200120801150532/ http://www.cryptomathic.com|news/tech_frame_sig-serv.html. Estes documentos descrevem a utilização de um servidor de assinatura para assinar um documento ou, mais particularmente, de um compilador do valor irrelevante de um documento e a utilização de dois canais independentes de comunicação para a não-repudiação. A invenção é conforme apresentada nas - 11 - ΕΡ1364508 reivindicações independentes 1, 10 e 33. É aqui descrito um método de certificação de dados electrónicos fornecidos por um utilizador, o método compreendendo a recepção de dados a serem certificados num aparelho de certificação a partir de um dispositivo de origem, certificando os dados no aparelho de certificação com um ou mais elementos de informação segura no aparelho de certificação, os referidos elementos sendo exclusivos do utilizador; e o envio de dados assim certificados pelo aparelho de certificação, para enviar a um dispositivo receptor; em que os elementos de informação segura certificam que o emissor dos dados é o utilizador. É também aqui descrito um método de certificação de dados electrónicos enviados por um utilizador, o método compreendendo: o estabelecimento de uma conexão segura entre um dispositivo de origem e um aparelho de certificação; o envio de dados vindos do dispositivo de origem a serem recebidos pelo aparelho de certificação; e a recepção de uma versão dos dados vinda do aparelho de certificação certificado conforme originaram no utilizador, utilizando informação exclusiva do utilizador. 0 método acima proporciona as vantagens de custos reduzidos de administração do aparelho de certificação, maior facilidade de utilização para os utilizadores e maior segurança, na medida em que a informação exclusiva do utilizador nunca sai do servidor de assinatura do aparelho - 12- ΕΡ1364508 de certificação, quer esteja ou não numa forma codificada. Esta situação permite ao utilizador utilizar múltiplos postos de trabalho sem ter de transportar consigo a sua chave privada para cada posto de trabalho. Consequentemente, só uma violação do servidor de assinatura é que pode resultar na disponibilização da chave privada fora do servidor de assinatura o que, consequentemente, terá de ser evitado utilizando hardware resistente a violações concebido para tal fim, como é o IBM 4758.

Em cenários mais avançados, a chave privada pode efectivamente ser distribuída entre qualquer número "N" de servidores utilizando o que é conhecido por “partilha secreta", de um modo tal que cada um deles tem uma componente da chave com a qual eles podem calcular uma entrada para a geração da assinatura, que é então enviada ao dispositivo de origem, onde a totalidade da assinatura digital é então calculada a partir das "K" entradas, onde "K" é um número qualquer entre 2 e "N". A vantagem desta solução é que, pelo menos, "K" servidores teriam de estar comprometidos antes de um atacante pudesse calcular a chave privada. 0 aparelho de certificação pode incluir qualquer equipamento que esteja baseado de um modo centralizado e que esteja acessível a partir de um ou mais dispositivos de origem. De um modo preferido, o aparelho de certificação compreende um servidor de assinatura. De um modo preferido, o aparelho de certificação compreende também um servidor de - 13- ΕΡ1364508 autenticação. De um modo preferido, o aparelho de certificação é acessível a partir de muitos dispositivos de origem. O dispositivo de origem pode, tipicamente, ser um posto de trabalho mas pode também ser uma televisão interactiva ou uma ATM para o levantamento de dinheiro ou outra informação vinda de um aparelho de certificação central. 0 dispositivo de origem terá todo o software necessário à comunicação eficaz com o aparelho de certificação mas o software poderá ser fornecido ou descarregado para o dispositivo de origem apenas enquanto dura a interacção. 0 dispositivo de origem permite a comunicação com o aparelho de certificação.

De um modo preferido, o elemento ou elementos exclusivos compreendem uma chave privada de um par de chave pública/chave privada específico do utilizador. 0 elemento ou elementos exclusivos podem gerar uma assinatura digital específica do utilizador em dados fornecidos pelo utilizador. Tais chaves de PKI e assinaturas digitais proporcionam uma alta segurança pelas razões acima descritas na medida em que elas são muito difíceis de descodificar de um modo fraudulento. O dispositivo receptor pode ser o mesmo que o dispositivo de origem ou, como alternativa, pode ser um dispositivo de uma terceira entidade. Este último permite o envio à entidade requerente de toda a mensagem ou de apenas - 14- ΕΡ1364508 uma parte derivada (de um modo preferido, um valor irrelevante) da mensagem a ser certificada sem necessitar de devolver a mensagem certificada ao dispositivo de origem após a certificação. 0 dispositivo da terceira entidade pode ser qualquer dispositivo apropriado à recepção de dados certificados, que não o dispositivo de origem, como um posto de trabalho separado ou uma rede de computadores. Por exemplo, o dispositivo da terceira entidade pode ser uma porta para uma Rede de Área Local (LAN). Como alternativa, o aparelho de certificação e o dispositivo da terceira entidade podem estar numa única LAN ou podem compreender uma Rede de Área Alargada (WAN).

De um modo preferido, é incluído o passo de incorporação da versão certificada dos dados em dados adicionais a serem enviados a um dispositivo da terceira entidade.

De um modo preferido, o aparelho de certificação contém informação exclusiva do utilizador de modo a realizar a certificação.

De um modo preferido, a informação exclusiva é a chave privada de um par de chave pública/chave privada específica do utilizador. Para além disto, a informação exclusiva é uma assinatura digital específica do utilizador. De um modo preferido, os dados a serem - 15- ΕΡ1364508 certificados é um valor irrelevante de uma mensagem. Esta situação proporciona a vantagem de não ser necessário o envio da totalidade da mensagem ao servidor de assinatura para ser assinada, reduzindo assim o tráfego na rede entre o dispositivo de origem e o servidor de assinatura.

De um modo preferido, o dispositivo de origem e o aparelho de certificação estabelecem uma conexão autenticada entre eles antes e durante a transferência dos dados a serem certificados. Para além disto, a conexão pode ser codificada. Esta situação reduz a possibilidade de a conexão poder ser interceptada ou violada. 0 dispositivo de origem pode enviar um ou mais testemunhos ao aparelho de certificação para serem autenticados. De um modo preferido, um dos testemunhos é enviado ao utilizador ou ao dispositivo de origem pelo aparelho de certificação via um canal alternativo à conexão autenticada. Esta situação aumenta também significativamente a segurança na medida em que exige que dois canais sejam interceptados para se aceder totalmente aos dados. 0 canal alternativo pode ser um canal da rede de telefones móveis. No envio dos testemunhos é particularmente preferida a utilização de mensagens do tipo Serviço de Mensagens Curtas. 0 testemunho pode ser na solução mais simples um - 16- ΕΡ1364508 código de acesso fixo. Numa solução preferida, o testemunho é um código de acesso de utilização única que é comunicado através de um canal autenticado, como o de um telefone móvel, ou é calculado dinamicamente por meio de um testemunho fisico que partilha uma chave com o aparelho de certificação. Tais soluções estão geralmente disponíveis no mercado e exemplos delas estão abaixo descritas.

De um modo preferido, o testemunho é exclusivo de cada transacção, uma transacção sendo o processo de assinatura de dados, enviado pelo dispositivo de origem, pelo dispositivo de certificação e o envio dos dados assinados a um dispositivo receptor. 0 testemunho pode ser armazenado num dispositivo portátil.

De um modo preferido, mais do que um tipo de testemunho pode autenticar o utilizador ou o dispositivo de origem. Por exemplo, um código de acesso fixo pode ser utilizado para além de um código de acesso de utilização única gerado por um testemunho físico ou enviado ao telefone móvel do utilizador. A independência destes testemunhos torna muito difícil ao um atacante comprometer os dois em simultâneo. Consequentemente, tais esquemas são conhecidos por proporcionarem uma "forte" autenticação do utilizador e podem ser utilizados para se atingir um nível mais alto de segurança do que aquele que é obtido pela utilização de apenas um único testemunho de autenticação.

Uma outra característica preferida é que o método - 17- ΕΡ1364508 funciona com um nível de segurança conseguido pela autenticação do utilizador independentemente do dispositivo de origem e com outro nível de segurança, mais alto, conseguido pela autenticação do utilizador e do dispositivo de origem. De um modo preferido, o aparelho de certificação certifica os dados com diferentes elementos exclusivos, dependendo do tipo de testemunho utilizado na autenticação do utilizador ou do dispositivo de origem de segurança, assim como os dados. Uma tal autenticação de múltiplos níveis permite, dependendo do testemunho utilizado, a colocação de diferentes níveis de segurança e de fiabilidade em conexões que utilizam diferentes tipos de testemunho, e a utilização de diferentes níveis de assinatura.

Quando é utilizado mais do que um testemunho, talvez em simultâneo, para autenticar o utilizador, poderá ser desejável assegurar que a administração destes testemunhos seja tratada por grupos de administradores independentes e separados. Para este fim, é possível configurar o aparelho de certificação como um grupo tendo mais do que um servidor separado e de ter cada servidor a gerir um ou mais testemunhos independentes de autenticação.

Um exemplo desta situação é no caso em que a chave privada do utilizador é distribuída utilizando um esquema de partilha secreta entre vários servidores. Uma alternativa é de a chave do utilizador residir num único servidor, conhecido como o servidor de assinatura, e de - 18- ΕΡ1364508 esta situação funcionar juntamente com um ou mais dos outros servidores associados à autenticação do utilizador, conhecidos por servidores de autenticação. 0 utilizador pode estabelecer conexões separadas com cada servidor. É também possível ao utilizador autenticar-se a si próprio utilizando testemunhos geridos por servidores separados sem ter de estabelecer conexões separadas com cada servidor. Um exemplo de um tal esquema é abaixo apresentado na descrição de uma forma de realização da invenção.

De um modo preferido, os dados de validação utilizados para validar o utilizador e/ou os dados a serem certificados têm de ser recebidos pelo aparelho de certificação antes de os dados poderem ser certificados.

De um modo preferido, o aparelho de certificação envia um pedido a um dispositivo remoto para este proporcionar ao utilizador dados de identificação. Para além disto, o aparelho de certificação pode receber uma versão dos dados de identificação (por exemplo, um código de acesso de utilização única) vinda do dispositivo remoto e esta versão pode ser comparada com outros dados do utilizador enviados pelo utilizador (por exemplo, uma versão derivada do código de acesso de utilização única). Depois, se a comparação for bem sucedida, os dados a serem certificados são certificados como tendo origem no utilizador. - 19- ΕΡ1364508

Uma conexão pode ser estabelecida entre o posto de trabalho do utilizador e o dispositivo remoto. Esta conexão pode ser verificada e autenticada independentemente da conexão entre o posto de trabalho e o dispositivo de certificação/servidor de assinatura. É também aqui descrito um método para ser utilizado na certificação de dados que compreende a recepção de um pedido vindo de um dispositivo remoto para enviar dados de identificação a um utilizador, enviar os referidos dados de identificação a um utilizador, e enviar uma versão derivada dos dados de identificação ao dispositivo remoto. Este método proporciona um canal adicional para o envio dos dados de identificação, como os códigos de acesso de utilização única, a um utilizador. 0 método de transferência dos dados de identificação pode ser diferente do método utilizado na transferência do pedido vindo do dispositivo remoto e do método de envio da versão derivada dos dados de identificação. É aqui também descrito um programa de aparelho de computador para implementar os métodos acima descritos e um código portador de um meio de portadora legível num computador de modo a levar o computador a implementar os métodos quando ele estiver a executar. É ainda aqui descrito um aparelho de certificação de dados que compreende um dispositivo de assinatura adaptado para certificar dados recebidos de um dispositivo -20- ΕΡ1364508 de origem remoto como tendo origem num utilizador, em que o aparelho de certificação é disposto para receber dados vindos do dispositivo de origem, certificar os dados como pertencendo ao utilizador, utilizando informação armazenada no aparelho de certificação, a referida informação sendo exclusiva do utilizador, e enviar os dados certificados a um dispositivo receptor.

De um modo preferido, o dispositivo receptor é o dispositivo de origem. Como alternativa, o dispositivo receptor pode ser o dispositivo de uma terceira entidade.

De um modo preferido, o dispositivo de origem e o aparelho de certificação são dispostos para estabelecerem entre eles uma conexão autenticada antes e durante a transferência dos dados a serem certificados. Uma outra caracteristica preferida é que a conexão é codificada. 0 dispositivo de origem pode ser disposto para enviar um testemunho ao aparelho de certificação para ser autenticado. De um modo preferido, este testemunho é enviado ao utilizador ou à origem pelo dispositivo de autenticação via um canal alternativo à conexão autenticada. 0 testemunho pode ser um código de acesso fixo. Como alternativa, o código de acesso pode ser um código de acesso de utilização única. Mais uma vez, o testemunho pode ser exclusivo da transacção.

De um modo preferido, no aparelho da presente -21 - ΕΡ1364508 invenção mais do que um tipo de testemunho pode autenticar o utilizador e o dispositivo de origem.

Como característica adicional preferida, o aparelho de certificação dos dados pode ser disposto para operar com um nível de segurança conseguido pela autenticação do utilizador independentemente do dispositivo de origem e outro nível de segurança, mais alto, conseguido pela autenticação do utilizador e do dispositivo de origem, se for utilizado um dispositivo de origem em particular, por exemplo, um posto de trabalho fiável. Para além disto, o aparelho de certificação pode ser disposto para certificar os dados com diferentes elementos exclusivos, dependendo do tipo de testemunho que é utilizado para autenticar o utilizador ou o dispositivo de origem de segurança, assim como os dados. 0 aparelho de certificação pode também compreender meios de instruções para enviar um pedido a um dispositivo remoto para dar ordens ao dispositivo receptor para ele enviar ao utilizador dados de identificação (por exemplo, um código de acesso de utilização única). 0 aparelho de certificação pode também compreender meios de recepção para receber dados derivados dos dados de identificação vindos do dispositivo remoto.

Os dados derivados vindos do dispositivo remoto podem ser comparados, utilizando meios de comparação, a dados adicionais recebidos pelos meios de recepção e meios -22- ΕΡ1364508 de certificação que certificam os dados a serem certificados, se coincidirem os dados comparados nos meios de comparação. É também aqui descrito um aparelho para utilização na certificação de dados que compreende meios de recepção para receber um pedido vindo de um dispositivo remoto para enviar a um utilizador meios de envio de dados de identificação para enviar os referidos dados de identificação a um utilizador, e meios de envio adicionais para enviar ao dispositivo remoto uma versão derivada dos dados de identificação.

De um modo preferido são também proporcionados os meios de geração do código de acesso, que geram um código de acesso, por exemplo, um código de acesso de utilização única, embora possam também ser gerados outros dados de identificação. De um modo preferido, os meios de recepção e os meios de envio adicionais são dispostos para operarem via um método de comunicação diferente do dos meios de envio.

As formas de realização e os aspectos da invenção acima descritos não devem apenas ser interpretados individualmente, nem unicamente em combinação, mas podem ser combinados de qualquer maneira a fim de proporcionar formas de realização adicionais da invenção. Para além disto, as caracteristicas individuais de uma forma de realização podem ser combinadas com outras caracteristicas -23- ΕΡ1364508 de outras formas de realização para que as várias combinações de caracteristicas individuais de diferentes formas de realização e aspectos também proporcionem à invenção formas de realização adicionais.

Serão agora descritas formas de realização especificas da presente invenção, apenas a titulo de exemplo, fazendo referência aos desenhos em anexo, em que: A Figura 1 mostra a arquitectura das conexões entre vários componentes de acordo com uma primeira forma de realização da presente invenção; A Figura 2 mostra os passos envolvidos na atribuição do acesso exclusivo de um utilizador à sua chave de assinatura de acordo com uma primeira forma de realização da invenção; A Figura 3 mostra um diagrama de fluxo de um método de acordo com uma primeira forma de realização da invenção; A Figura 4 mostra um diagrama de fluxo de um método de acordo com outra forma de realização da invenção; e A Figura 5 mostra um diagrama de fluxo de acordo com outra forma de realização da presente invenção. -24- ΕΡ1364508 A Figura 1 mostra esquematicamente um sistema de acordo com uma forma de realização da presente invenção. Ela mostra um utilizador 102 a operar um dispositivo de origem que, na presente forma de realização, é um posto 101 de trabalho, que está conectado a um dispositivo de certificação que, na presente forma de realização, é um servidor 110 de assinatura via uma linha 140 de comunicação. A linha 140 de comunicação não está inerentemente segura. 0 posto 101 de trabalho pode ser qualquer terminal com o qual possa ser estabelecida uma comunicação com o servidor 110 de assinatura. Por exemplo, o posto 101 de trabalho pode ser um aparelho de televisão interactiva. O requisito é que o posto 101 de trabalho possa comunicar com o servidor 110 de assinatura. Não é necessário qualquer software especial no lado do posto 101 de trabalho da conexão. O servidor 110 de assinatura armazena com segurança as chaves privadas de cada utilizador e pode, adicionalmente, registar alguma ou toda a informação relevante referente aos utilizadores e às suas actividades. O servidor 110 de assinatura trata dos pedidos vindos dos utilizadores via o posto 101 de trabalho e pode enviar pedidos a um servidor da AC. O servidor 110 de assinatura está, de um modo ideal, certificado de acordo com uma norma internacional, como a norma FIPS 140-1 nivel 3 ou 4 (ver FIPS Pub 140-1, de 1994, "National Institute of Standards & Technology", nos EUA), que é uma norma geralmente aceite para indicar a qualidade das caracteristicas de resistência a violações da protecção de hardware do servidor. -25- ΕΡ1364508 0 servidor 110 de assinatura recebe dados, que se pretende que sejam validados como tendo origem no utilizador, vindos do posto 101 de trabalho. A validação é conseguida utilizando a chave privada do utilizador que está armazenada no servidor 110 de assinatura, para codificar os dados recebidos do posto 101 de trabalho e devolver aqueles dados a um receptor que pode ser o utilizador ou uma terceira entidade. Os processos de acordo com as formas de realização da presente invenção serão mais adiante descritos em mais pormenor fazendo referência às Figuras 3, 4 e 5.

Serão agora descritos os pormenores do hardware utilizado nesta forma de realização da invenção. Para além do servidor 110 de assinatura, numa forma de realização da presente forma de realização, o aparelho de certificação tem também um servidor 120 de autenticação separado que é potenciado pelo hardware resistente a violações à semelhança do servidor 110 de assinatura. Como alternativa, o servidor 120 de autenticação pode ser remoto em relação ao servidor 110 de assinatura. O servidor 110 de assinatura é conectado ao servidor 120 de autenticação via uma forte conexão 150 criptográfica (isto é, codificada e autenticada), por exemplo, por uma chave mestra partilhada ou baseada na codificação-descodificação da chave pública, utilizando soluções padrão também conhecidas, por vezes, por VPN (Rede Privada Virtual). Esta situação é utilizada para estabelecer uma chave de sessão e tornar seguro um canal codificado entre os servidores que utilizarem -26- ΕΡ1364508 técnicas criptográficas padrão, como as que são bem conhecidas na técnica anterior. A chave utilizada pode depender do código de acesso do utilizador utilizado para o acesso. 0 túnel 150 seguro existente entre o servidor 120 de autenticação e o servidor 110 de assinatura continua para dentro da parte de hardware do servidor 110 de assinatura, no sentido em que as chaves utilizadas para este túnel são controladas pelo hardware resistente a violações e nunca aparecem às claras fora do aparelho de certificação. A integridade do sistema não necessita então de depender tanto da área segura na qual o servidor está colocado. O mesmo se aplica a todas as comunicações para e de o servidor 110 de assinatura e o servidor 120 de autenticação. O servidor 120 de autenticação distribui códigos de acesso de utilização única e/ou pedidos aos clientes através de um canal 151 alternativo. Na presente forma de realização um canal 151 alternativo utiliza mensagens de SMS (serviço de mensagens curtas) enviadas via uma rede celular de telefones móveis para comunicar os códigos de acesso de utilização única. Como alternativa, o utilizador pode possuir um chamado testemunho 190 seguro portátil, um pequeno dispositivo que partilha uma chave individual com o servidor 120 de autenticação. Uma vez recebido o pedido via o posto 101 de trabalho, ele é introduzido pelo utilizador no testemunho 190 e a resposta, que é basicamente uma codificação do pedido com a chave mantida no testemunho 190, é introduzida no posto 101 de trabalho na forma do -27- ΕΡ1364508 código de acesso de utilização única. 0 servidor 110 de assinatura pode verificar que a resposta é realmente uma codificação do pedido uma vez que ele recebe uma versão derivada do código de acesso de utilização única vindo do servidor 120 de autenticação. Todavia, estão disponíveis muitas alternativas, como o Wireless Application Protocol (WAP) através de uma rede celular (que é uma versão especializada da Internet e que pode ser acedida utilizando telefones móveis compatíveis com o WAP), ou o habitual correio físico. Como alternativa, os códigos de acesso podem ser distribuídos via a Internet, via uma applet, que comunica tão directamente quanto possível com uma impressora conectada ao posto 101 de trabalho (uma vez que esta situação limita o risco de alguma cópia do código de acesso permanecer nas memórias intermediárias da respectiva impressora/spooler, ou no posto 101 de trabalho através de cavalos de Tróia que "cheiram" os códigos de acesso). Exemplos de tipos de código de acesso que podem ser utilizados na presente invenção estão abaixo descritos. Em qualquer caso, a natureza exacta deste processo de autenticação não está limitada pela descrição e muitas variações são possíveis no contexto da invenção.

No momento do registo, um código de acesso fixo é enviado de um modo seguro ao utilizador 102 - que ele pode mudar a qualquer momento - para que cada utilizador 102 possa ser autenticado numa conexão entre um posto 101 de trabalho e um servidor 110 de assinatura como parte do processo de autenticação do utilizador. Na presente forma -28- ΕΡ1364508 de realização, é também distribuído um código de acesso de utilização única online via uma mensagem de SMS desde o servidor 120 de autenticação até ao telefone móvel do utilizador (não mostrado). Um tal código de acesso de utilização única online pode ter um período de validade extremamente curto que, juntamente com a autenticação subjacente ao facto de o servidor saber como localizar o cliente, proporciona uma alta segurança ao código de acesso. O número do telefone móvel do utilizador determina de um modo singular o utilizador, por isso o telefone móvel terá de ser roubado, emprestado ou "clonado" para que a identificação falhe, a não ser que a mensagem de SMS seja interceptada por alguém que possa, ao mesmo tempo, fazer uso desta informação, o que é relativamente difícil dado o canal de autenticação ser independente do canal de comunicação.

Esta forma de realização permite ao utilizador 102 fazer uso da sua assinatura digital ao mesmo tempo que assegura que a assinatura digital propriamente dita nunca sai do aparelho de certificação central seguro, quer esteja ou não numa forma codificada.

Será agora descrita a distribuição dos testemunhos de código de acesso de acordo com uma forma de realização da presente invenção, utilizando os elementos mostrados na Figura 1. Em primeiro lugar, o utilizador 102 entra em contacto com o servidor 110 de assinatura a partir do posto 101 de trabalho via o canal 152. O servidor 110 de -29- ΕΡ1364508 assinatura, via a conexão 150 segura estabelecida entre 0 servidor 110 de assinatura e o servidor 120 de autenticação, dá então instruções ao servidor 120 de autenticação para enviar ao utilizador 102 um código de acesso de utilização única. 0 servidor 120 de autenticação realiza esta operação utilizando mensagens de SMS, conforme acima descrito, via o canal 151. O servidor 120 de autenticação proporciona também ao servidor 110 de assinatura uma versão derivada do código de acesso de utilização única via o canal 150. Esta versão derivada é, nesta forma de realização, um valor irrelevante do código de acesso de utilização única. O valor irrelevante é derivado utilizando um comum algoritmo de sentido único, como o SHA-1 (ver "Secure Hash Standard; FIPS Pub 180-1, de 1995, "National Institute of Standards & Technology", nos EUA) . Um valor irrelevante é, tipicamente, muito mais pequeno que a mensagem de onde ele é derivado e, uma vez calculado o valor irrelevante, a mensagem original não pode dele ser obtida. É também muito improvável que duas mensagens tenham o mesmo valor irrelevante. Este valor irrelevante do código de acesso de utilização única é então comparado com o valor irrelevante enviado pelo posto 101 de trabalho. Em virtude de o mesmo algoritmo padrão de determinação do valor irrelevante ser utilizado tanto no servidor 120 de autenticação como no posto 101 de trabalho, se os dois valores irrelevantes coincidirem, então o utilizador é aceite como estando autenticado pelo servidor 110 de assinatura. Como alternativa, outro tipo de versão derivada do código de acesso pode ser enviado ao servidor -30- ΕΡ1364508 110 de assinatura. O requisito é apenas de que o processo utilizado para derivar a versão do código de acesso ou da resposta ao testemunho seja o mesmo no servidor 120 de autenticação e no posto 101 de trabalho, para que um código de acesso dê a mesma versão derivada que a do servidor 120 de autenticação e a do posto 101 de trabalho, mas dois códigos de acesso diferentes não darão o mesmo resultado. A comparação dos valores irrelevantes permite que o utilizador seja verificado embora o servidor 110 de assinatura nunca receba efectivamente o código de acesso de utilização única.

Será agora descrita uma variação à distribuição dos testemunhos de código de acesso acima descrita. O utilizador estabelece conexões independentes tanto para o servidor 110 de assinatura como para o servidor 120 de autenticação, em vez de ser apenas para o servidor 110 de assinatura. Neste caso, os dados a serem certificados são enviados ao servidor 120 de autenticação através de uma interface e um valor irrelevante dos dados é enviado para o servidor 110 de assinatura através de outra interface. Como alternativa, o valor irrelevante pode ser substituído por ou adicionado a outros dados relacionados. Tipicamente, os dados a serem certificados são gerados no dispositivo de origem com base em aplicações de uma terceira entidade (por exemplo, um banco) através de, por exemplo, um applet ou applets, que encaminham depois os dados e um valor irrelevante dos dados ao servidor 120 de autenticação e ao -31 - ΕΡ1364508 servidor 110 de assinatura, respectivamente. Cada conexão pode ser autenticada através da utilização de um testemunho separado, por exemplo, um código de acesso fixo para a conexão do servidor de assinatura e um código de acesso de utilização única para a conexão do servidor de autenticação. O servidor 120 de autenticação envia os dados a serem certificados ao servidor 110 de assinatura que pode calcular um valor irrelevante dos dados e comparar este valor com o valor irrelevante recebido directamente do utilizador 102. Este esquema também proporciona uma forte certeza no servidor 110 de assinatura de que o utilizador 102 fora autenticado pelo servidor 120 de autenticação, mas tem a vantagem de nenhuma informação relacionada com a autenticação do utilizador pelo servidor de autenticação ser recebida por ou estar disponível ao servidor 110 de assinatura. O servidor 110 de assinatura é suportado por um módulo de segurança de hardware (HSM) resistente a violações que tem uma unidade criptográfica protegida, como o IBM 4758, onde são geradas chaves e assinaturas, e se as chaves não estiverem em uso então elas são armazenadas externamente, codificadas com uma chave mestra. Conforme mostrado na Figura 2, numa forma de realização da invenção, os dados iniciais proporcionados pelo posto 101 de trabalho ao aparelho de certificação são transferidos ao HSM 111 via um canal 141 estabelecido utilizando o código de acesso do utilizador 102 e técnicas de codificação padrão. Uma segunda camada de codificação 140 estende-se do posto de -32- ΕΡ1364508 trabalho até ao aparelho de certificação, mas não se estende para dentro do HSM 111. Esta situação é uma forte conexão codificada com a autenticação do servidor e este canal transporta informação adicional referente a pormenores do utilizador 102 e especificando o método de autenticação a ser utilizado para o canal 151 alternativo. O ponto principal é que nenhuma chave sensível alguma vez aparece às claras fora da caixa segura. Tais soluções são largamente utilizadas em ambientes, por exemplo, da banca, por exemplo, relacionadas com a protecção dos códigos pin. A base de dados 112 regista toda a informação referente aos administradores. O HSM 111 trata do armazenamento das chaves e da funcionalidade criptográfica. O servidor 110 de assinatura é protegido quer por uma firewall 180 quer por uma segurança 182 física para prevenir, reduzir ou deter o acesso não autorizado.

Numa forma de realização da invenção, o servidor 110 de assinatura é suportado pelos clientes 160, 161, 162 operados por pessoal de confiança, por exemplo, sob um controlo duplo, conectado ao servidor 110 de assinatura por uma conexão autenticada e codificada. Durante uma sessão entre o servidor 110 de assinatura e o cliente, o administrador fará primeiro a abertura de sessão e, nesta fase, são aceites as chaves da sessão para autenticar e codificar todas as comunicações entre o cliente 160, 161, 162 e o servidor 110 de assinatura, utilizando a chave mestra, mais uma vez, utilizando procedimentos padrão para estabelecer um VPN entre o cliente 160, 161, 162 e o -33- ΕΡ1364508 servidor. As chaves de transporte necessárias (as chaves mestras para a troca mútua das chaves de sessão) são armazenadas em cartões inteligentes, são accionadas por administradores e são utilizadas para administrar (isto é, criar/activar/desactivar) as contas do chefe de segurança e do técnico assistente para o servidor 110 de assinatura, para fazer a busca dos dados na base de dados do servidor 110 de assinatura e para registar os clientes (aqueles que tiverem uma assinatura no servidor) no servidor 110 de assinatura.

Em transacções de alta segurança uma forma de realização da invenção proporciona vantagens adicionais, para inviabilizar os ataques lançados através da interface gráfica de utilizador para conseguir o que é conhecido por WYSIWYG ("What You See Is What You Sign") : uma simples possibilidade é a de deixar o aparelho de certificação confirmar as partes essenciais dos dados enviados pelo utilizador para certificação via o segundo canal utilizado para fins de autenticação antes de ser realizada a certificação. Neste caso, a totalidade da mensagem a ser certificada tem de ser enviada ao aparelho de certificação para ser inspeccionada.

Os chefes de segurança e os técnicos assistentes são dois níveis de administração do servidor 110 de assinatura: o chefe de segurança é responsável por todos os aspectos relacionados com a segurança do funcionamento do servidor 110 de assinatura, incluindo a adição de novos -34- ΕΡ1364508 administradores, a exportação de registos de auditorias, e a suspensão ou a desactivação das contas dos administradores: o técnico é responsável pelas actividades relacionadas com o utilizador, como o registo de novos clientes no sistema, a suspensão/desactivação de clientes, a extracção de relatórios sobre as actividades do cliente e semelhantes. Os dois niveis proporcionam uma maior segurança ao sistema na medida em que restringem o acesso a alguns sistemas mais do que ao de outros.

Embora estejam aqui descritos dois niveis de administradores do servidor 110 de assinatura, é possível dividir as actividades autorizadas entre um número de diferentes estruturas, conforme o desejado. Por exemplo, é possível permitir ao cliente realizar simples tarefas de administração, como a emissão de novos códigos de acesso, a requisição de relatórios sobre a sua actividade ou a suspensão da sua próprio conta se ele suspeitar de utilizações fraudulentas. Todavia, na presente forma de realização as contas só podem ser reactivadas por um técnico assistente o qual resultará no envio de um novo código de acesso ao cliente feito a partir do servidor 120 de autenticação via o telefone móvel do utilizador. O servidor 120 de autenticação é também potenciado por um módulo 121 de segurança de hardware e tem uma base de dados 122, da mesma maneira que o servidor 110 de assinatura é protegido por uma firewall 181 e uma segurança 183 física. O servidor 120 de autenticação é -35- ΕΡ1364508 também conectado aos clientes 170, 171, 172 utilizando os canais codificados autenticados conforme acima descrito em relação às conexões do servidor 110 de assinatura. Por motivos de segurança estes clientes 170, 171, 172 estão separados dos clientes 160, 161, 162 que estão a administrar o servidor 110 de assinatura. O servidor 110 de assinatura e o servidor 120 de autenticação são, de um modo preferido, alojados separados geograficamente e cada um é accionado por uma entidade independente com clientes 160, 161, 162 e 170, 171, 172 separados a administrar cada um. Esta situação reduz a possibilidade de haver um acesso não autorizado a ambos os servidores, o que seria exigido se a chave privada do utilizador fosse utilizada indevidamente.

Como alternativa, o servidor 120 de autenticação e o servidor 110 de assinatura podem estar alojados no mesmo aparelho de certificação. Neste caso, os clientes 160, 161, 162 e 170, 171, 172 de administração para cada servidor (por exemplo, a interface através da qual é operado o servidor) deverão, de um modo preferido, permanecer separados para que seja proporcionada uma maior segurança, ao ser assegurado que o acesso a ambos os servidores não possa ser obtido pelo mesmo cliente, embora eles possam ser o mesmo. A vantagem desta abordagem de servidor único é que esta abordagem é mais simples, na medida em que é apenas operado um servidor em vez de dois, mas a desvantagem é que ela exige uma maior atenção para -36- ΕΡ1364508 assegurar que o pessoal de confiança nao possa de alguma maneira inviabilizar o sistema.

Para além do código de acesso de utilização única Online até aqui descrito na presente forma de realização, pode ser utilizado um número de outros tipos de código de acesso e de métodos de envio, complementarmente ao envio dos códigos de acesso de utilização única online via mensagens de SMS. A autenticação pode ser alcançada através de testemunhos 190, por exemplo, códigos de acesso, códigos de acesso de utilização única, segredos armazenados, etc. Os diferentes tipos de testemunhos têm diferentes propriedades relacionadas com a sua mobilidade e segurança. Para todos os tipos de código de acesso é gerada uma chave para autenticar o pedido no servidor 110 de assinatura. O servidor 110 de assinatura irá gerar a chave de uma maneira similar e verificará o pedido.

Os códigos de acesso fixos são códigos de acesso que não se alteram e podem ser utilizados muitas vezes em diferentes ocasiões para autenticar um utilizador. Tais códigos de acesso fixos são móveis mas são menos seguros que os códigos de acesso de utilização única porque eles podem ser facilmente escutados por terceiros, tanto pela observação física do cliente quando ele introduz o código de acesso, como enganando o cliente a introduzir o código de acesso num falso local de introdução do código de acesso. Não é possível determinar se um código de acesso fixo está ou não comprometido, mas no caso de alguma -37- ΕΡ1364508 suspeita de ele estar comprometido (por exemplo, baseado nas pistas das auditorias), o código de acesso pode ser desactivado.

Os códigos de acesso fixos têm de ser originalmente proporcionados pelo servidor 120 de autenticação ao utilizador via um canal seguro (por exemplo, um subscrito selado) porque, inicialmente o utilizador não tem qualquer maneira de se autenticar na rede. Depois de o código de acesso inicial ser recebido, o utilizador pode alterar online o código de acesso se for proporcionada uma autenticação e confidencialidade suficiente.

Os códigos de acesso fixos podem ser catalogados por quão susceptiveis eles são a serem comprometidos, para que se possa ter um código de acesso para ambientes controlados ou seguros e outro para ambientes menos controlados ou seguros.

Como alternativa, podem ser utilizados códigos de acesso de utilização única armazenados, que são móveis e mais seguros que os códigos de acesso fixos mas que podem ser comprometidos pelo furto fisico ou pela cópia. O furto é facilmente detectado, quer os códigos de acesso estejam armazenados de um modo impresso ou num dispositivo móvel. Todavia, a cópia não é detectável.

Os códigos de acesso de utilização única -38- ΕΡ1364508 armazenados têm um longo período de validade e têm de ser transmitidos com segurança desde o servidor 120 de autenticação ao utilizador. A cópia de códigos de acesso de utilização única tem de ser impedida o que pode ser muito difícil de conseguir se os códigos de acesso forem transmitidos online através da Internet porque eles podem residir em vários ficheiros de memória cache, memórias intermediárias de impressoras, etc., durante muito tempo depois de o utilizador pensar que eles foram eliminados. A comunicação segura criptográfica reduz o problema da obtenção dos códigos de acesso durante a sua transmissão ao utilizador, mas não garante nada sobre as cópias de texto simples armazenadas no posto de trabalho.

Os códigos de acesso de utilização única online da presente forma de realização são mais seguros que os códigos de acesso de utilização única armazenados, isto devido ao seu curto período de validade que torna virtualmente impossível o seu furto e subsequente utilização. Todavia, é ainda possível a intercepção do canal alternativo, embora seja altamente improvável que ambos os canais sejam atacados pelo mesmo atacante na mesma altura, o que representa uma vantagem desta abordagem.

Uma outra alternativa é uma impressão digital do terminal que pode ser utilizada para identificar o posto 101 de trabalho de um utilizador em particular. Ela é um valor que identifica de um modo singular o posto 101 de trabalho. Uma tal impressão digital pode ser calculada -39- ΕΡ1364508 baseado nos segredos armazenados no posto 101 de trabalho, na configuração de hardware do posto 101 de trabalho e em todos os números de série dos dispositivos de hardware dentro do posto 101 de trabalho. Todavia, em virtude de uma impressão digital poder ser forjada através da cópia de todas estas informações, as impressões digitais só são relevantes para terminais em ambientes controlados, isto é, naqueles que tenham uma protecção fisica e de software. As impressões digitais de terminais não são testemunhos adequadas numa situação em que o cliente utiliza muitos terminais diferentes, mas antes para a situação em que é requerida uma identificação fiável para um único terminal. 0 furto de uma impressão digital requer uma entrada forçada ou um ataque de um hacker, mas não pode ser considerado como sendo detectável.

Esta situação iria melhorar a segurança, se estiver disponível ao utilizador um posto 101 de trabalho fiável e seguro tendo uma conexão de túnel segura até ao servidor 110 de assinatura, e também até ao servidor 120 de autenticação, na medida em que esta situação iria permitir ao utilizador, por exemplo, alterar o seu código de acesso memorizado de um modo seguro em qualquer momento a partir deste posto de trabalho em particular.

Numa alternativa adicional, é criado um nível de segurança muito alto quando as sessões com o servidor 110 de assinatura são encadeadas. Isto significa que o servidor devolve um testemunho 190 que é armazenado no posto 101 de -40- ΕΡ1364508 trabalho e devolvido ao servidor aquando da instigação da próxima sessão. 0 testemunho 190 devolvido pode ou não ser distribuído e mantido de um modo seguro mas permitirá sempre ao cliente detectar algum abuso de utilização da sua assinatura, uma vez que a próxima sessão irá falhar a sua autenticação porque o testemunho terá sido devolvido ao utilizador fraudulento em vez de ao utilizador legítimo. Esta solução exige uma sincronização cuidadosa entre o cliente e o servidor a fim de assegurar que os testemunhos não sejam perdidos no caso de ocorrer uma falha na conexão. Existem muitos métodos conhecidos e bem compreendidos para lidar com esta situação.

Um testemunho 190 adicional e mais seguro é um acessório criptográfico para um computador que permite a identificação completa de um posto 101 de trabalho através da utilização de um protocolo de pedido-resposta. Embora tais acessórios possam ser fisicamente pequenos e flexíveis eles não são adequados à utilização com múltiplos postos 101 de trabalho na medida em que é necessária a identificação completa de um único posto 101 de trabalho. Um exemplo desta situação seria uma pequena unidade ("dongle") conectada à porta série do posto 101 de trabalho, como os dispositivos disponíveis no mercado para o protecção de software e/ou de informação.

Os dispositivos portáteis, como os geradores de códigos de acesso e as partes frontais de cartões inteligentes permitem a identificação muito fiável do -41 - ΕΡ1364508 dispositivo em questão, mesmo que o dispositivo tenha sido furtado tal como qualquer outro dispositivo. Comparado com os códigos de acesso de utilização única terminais via SMS para outro telefone, a vantagem de um dispositivo criptográfico portátil é que a mensagem de SMS pode ser vista sem autorização ou interceptada, enquanto que com o dispositivo criptográfico pode não ser tanto assim.

Os meios mais seguros de identificação podem ser a utilização de um atributo físico do utilizador, como a digitalização da sua retina ou impressão digital. Todavia, neste momento, tais digitalizadoras não estão disponíveis em larga escala para utilização em qualquer posto 101 de trabalho de onde se possa desejar realizar uma sessão. À medida que as comunicações com unidades móveis se torna mais avançada, será possível adoptar canais de autenticação cada vez mais avançados e eles poderão também ser utilizados, desde de que eles cumpram os requisitos de autorização e/ou autenticação do utilizador.

Naturalmente que os vários esquemas acima descritos terão vários níveis de segurança. O nível mais baixo (nível 1) é onde o utilizador memoriza simplesmente um código de acesso que ele partilha com o servidor de assinatura que ele inclui sempre que tiver de ser gerada uma assinatura.

Mais avançada é a solução (nível 2) em que, para -42- ΕΡ1364508 além disto, ele inclui um código de acesso de utilização única que ele recebeu previamente via um canal autorizado independente vindo do servidor de autenticação, por exemplo, uma mensagem de SMS, uma lista impressa em papel enviada pelo correio tradicional ou comunicada a um posto de trabalho seguro através de um túnel codificado e depois impresso em papel. Em cada nova transacção é utilizado um novo código de acesso para além de um código de acesso único que é memorizado pelo utilizador.

Ainda mais avançada e flexivel (nivel 3) é a situação em que o utilizador possui um testemunho portátil, como um VASCO Digipass ou o RSA SecurelD Key Fob, que partilha, por exemplo, uma chave convencional com o servidor de assinatura. Quando o utilizador faz a abertura de sessão, ele recebe um chamado pedido vindo do dispositivo de certificação que ele introduz no testemunho. 0 testemunho processa então o pedido e devolve uma chamada resposta no seu ecrã, que é introduzida no posto de trabalho pelo utilizador como sendo o código de acesso de utilização única e a sua correcção é verificada pelo dispositivo de certificação. Outros testemunhos, geralmente também disponíveis no mercado, calculam automaticamente uma nova resposta a intervalos regulares utilizando uma chave partilhada com o dispositivo de certificação que pode ser alterada sem a utilização de um pedido, na medida em que o pedido é implícito ao sistema.

Para o nível 3, qualquer esquema de identificação personalizada suficientemente segura baseada em testemunhos -43- ΕΡ1364508 disponível no mercado pode, em princípio, ser incorporado na invenção a fim de criar a necessária autenticação do utilizador. Este testemunho pode também ser um dispositivo móvel que pode comunicar de um modo seguro com o dispositivo de certificação, por exemplo, utilizando a segurança de WAP para receber os códigos de acesso de utilização única vindos do servidor de autenticação ou qualquer segurança de comunicação que estiver disponível para aquele dispositivo, como as comunicações via Bluetooth ou infravermelhos enviadas a um qualquer terminal conectado ao servidor de autenticação através de uma rede física. Mais uma vez, a rede física não necessita de ser segura uma vez que a comunicação é tornada segura por meio de um túnel seguro entre o servidor de autenticação e o dispositivo móvel.

Um outro nível de segurança, por exemplo, para um posto 101 de trabalho permanente fiável, pode ser alcançado se for utilizado um dispositivo criptográfico de hardware para proporcionar a identificação completa do posto 101 de trabalho. Para este nível o posto 101 de trabalho pode estar associado a um endereço de IP ou a um número de telefone.

Naturalmente que podem ser introduzidos muitos níveis de acesso e de segurança conforme o requerido tendo diferentes propriedades e requisitos. As vantagens das formas de realização acima são que o servidor 110 de assinatura é utilizado de um modo tal que a chave privada -44- ΕΡ1364508 de um utilizador nunca é transmitida para fora do servidor 110 de assinatura seguro, quer ela esteja ou não codificada. Esta situação significa que fica disponível uma segurança substancialmente aumentada para a protecção das chaves privadas dos utilizadores.

Em virtude de ser possível operar com diferentes níveis de confiança, dependendo do testemunho 190, ou testemunhos, de autenticação enviados ao servidor 110 de assinatura, as sessões com fraca identificação (isto é, aquelas que forem autenticadas de acordo com o nível 2) podem ser utilizadas apenas para assinaturas de transacções com pequenas perdas potências que resultem de fraudes (por exemplo, pequenas transacções bancárias) enquanto que uma sessão mais segura (isto é, aquelas autenticadas de acordo com o nível 3 ou 4) , como o computador pessoal em casa do utilizador, pode ser utilizado para transacções com maiores perdas potenciais que resultem de fraudes, as formas de realização da presente invenção permitem a combinação da utilização de um sistema de terminal fixo e seguro juntamente com a mobilidade dada por ser capaz de utilizar qualquer posto 101 de trabalho. Consequentemente, as vantagens de cada uma são aqui apresentadas.

Quando um cliente desejar ser registado no servidor 110 de assinatura, ele ou ela entra em contacto com um técnico assistente, que trata do seu registo. Se o cliente desejar ser registado com um certificado, existem duas opções dependendo de a AC e o servidor 110 de -45- ΕΡ1364508 assinatura serem ou nao operados pela mesma organizaçao. 1. Se ambos os servidores forem operados pela mesma organização o cliente pode se registado na AC e no servidor 110 de assinatura em simultâneo e um par de chaves e um certificado podem ser imediatamente gerados; 2. Se os servidores forem operados por organizações diferentes o cliente necessita primeiro de se registar na AC e talvez receber uma identificação de chave de remetente e um IAK (Chave de Autenticação Inicial) depois o cliente pode simplesmente ser registado no servidor 110 de assinatura. Se o cliente estiver disposto a revelar a identificação de remetente e o IAK ao técnico assistente, o par de chaves pode ser gerado imediatamente à semelhança do caso 1, caso contrário, a geração da chave terá de ser iniciada via a Internet. O procedimento de registo pode ser realizado utilizando métodos bem conhecidos e compreendidos, como a norma internacional PKIX e seria, tipicamente, da responsabilidade da AC escolhida. Os certificados só seriam necessários guando o aparelho de certificação estiver a receber dados a serem certificados vindos de muitos dispositivos de origem. Se o dispositivo de origem for conhecido, então não seria necessário qualguer AC externa. -46- ΕΡ1364508 A Figura 3 mostra um diagrama de fluxo dos passos envolvidos quando uma mensagem é assinada com a chave privada do utilizador que é mantida no servidor 110 de assinatura.

Em S300, a mensagem é introduzida num posto 101 de trabalho. A mensagem pode ser introduzida manualmente no posto 101 de trabalho. Como alternativa, a mensagem pode ser escrita numa fase anterior e armazenada noutro lugar antes de ser carregada no posto 101 de trabalho. Quando a mensagem estiver pronta para ser enviada, nesta forma de realização, o posto 101 de trabalho é conectado à Internet. Todavia, como alternativa pode ser utilizada uma conexão directa (ponto a ponto) entre o posto de trabalho e o servidor 110 de assinatura. A Internet é utilizada para entra em contacto com o servidor 110 de assinatura através de um canal seguro. Nesta fase, o servidor 110 de assinatura e o posto 101 de trabalho não sabem a quem eles estão respectivamente conectados. Para determinar esta situação, é necessária uma verificação das comunicações, em S302. A verificação do servidor 110 de assinatura pode ser realizada através da utilização de um par de chave pública/chave privada. A chave pública do servidor 110 de assinatura é publicada e está disponível no posto 101 de trabalho, por exemplo, vindo de uma AC. Vários métodos de estabelecimento da identidade do servidor estão depois disponíveis, todos implicando a utilização da chave privada do servidor para codificar ou descodificar uma mensagem. Uma vez que a chave privada do servidor 110 de assinatura é -47- ΕΡ1364508 conhecida apenas ao servidor 110 de assinatura, o posto 101 de trabalho é capaz de identificar mensagens como tendo origem no servidor 110 de assinatura. Para além disto, com a utilização do par de chave privada/chave pública do servidor 110 de assinatura, é possivel o estabelecimento de um túnel seguro desde o posto 101 de trabalho até ao servidor 110 de assinatura através da codificação no posto 101 de trabalho com a chave pública do servidor e apenas o servidor a ser capaz de a descodificar com a sua chave privada. Pode ser utilizada na invenção uma ampla variedade de processos de autenticação e de codificação, que são conhecidos na técnica. Na presente forma de realização o utilizador é identificado através da utilização de um código de acesso fixo que é reconhecido pelo servidor de assinatura durante o processo de autenticação.

Todavia, nesta fase, o servidor 110 de assinatura não terá autenticado o posto 101 de trabalho como sendo utilizado por um utilizador em particular do sistema de certificação. 0 servidor 110 de assinatura necessita de receber algum segredo vindo do posto 101 de trabalho, que seja apenas conhecido do utilizador a fim de realizar a autenticação. Esta situação é realizada pelo servidor 110 de assinatura solicitando ao servidor 120 de autenticação o envio de um código de acesso de utilização única online ao utilizador via um canal separado até à conexão entre o servidor 110 de assinatura e o posto 101 de trabalho, em S304. Nesta forma de realização, esta tarefa é realizada utilizando uma mensagem de SMS. Depois de o receber, o -48- ΕΡ1364508 utilizador introduz então o código de acesso no posto 101 de trabalho, em S308. Em virtude de a conexão do posto 101 de trabalho ao servidor 110 de assinatura ser segura no sentido do posto 101 de trabalho para o servidor 110 de assinatura, a escuta não autorizada não identificará o código de acesso introduzido e enviado ao servidor 110 de assinatura. Para além disto, conforme acima referido, o posto 101 de trabalho calcula um valor irrelevante a partir do código de acesso em vez de enviar o código de acesso via a conexão, em S310. O servidor 120 de autenticação envia ao servidor 110 de assinatura, em S312, a sua própria versão do resultado calculado e o servidor 110 de assinatura compara estes dois valores. Se eles forem iguais então será muito pouco provável que fora introduzido um código de acesso incorrecto e o código de acesso é verificado, em S314.

Uma vez verificado o código de acesso é estabelecido um canal seguro bidireccional, em S316. Esta situação pode ser estabelecida utilizando o segredo (isto é, o código de acesso) que é enviado ao servidor 110 de assinatura com a chave pública do servidor 110 de assinatura para gerar uma chave de sessão. Este canal seguro é baseado nos princípios habituais de um VPN.

Como alternativa, uma das outras formas de código de acesso ou testemunho 190 acima descritas pode ser utilizada para autenticar o utilizador dependendo de o utilizador estar num posto 101 de trabalho seguro ou num -49- ΕΡ1364508 posto 101 de trabalho inseguro.

Conforme mencionado, a invenção não está limitada a quaisquer algoritmos e métodos específicos para o estabelecimento do canal de segurança. O requisito é simplesmente o de que seja estabelecido um canal seguro. No caso da presente forma de realização o canal seguro é bidireccional. Todavia, esta situação pode não ser a que é geralmente utilizada.

Uma vez estabelecido o canal seguro bidireccional, o posto 101 de trabalho calcula um valor irrelevante da mensagem que o utilizador deseja ver certificada, em S318. Este valor irrelevante é então enviado ao servidor 110 de assinatura via o canal seguro. Quando o servidor 110 de assinatura receber o valor irrelevante ele extrai do HSM a chave privada do utilizador e codifica o valor irrelevante com a chave privada do utilizador, em S320 (naturalmente que a chave privada do utilizador pode ser extraída em qualquer momento após ter sido estabelecida a identidade do utilizador). O valor irrelevante assinado é então devolvido ao posto 101 de trabalho. Este valor irrelevante é agora codificado utilizando a chave privada do utilizador e, por isso, está certificado como tendo origem naquele utilizador. Esta situação é conseguida sem que a chave privada alguma vez tenha saído de um ambiente protegido em termos físicos e de software do servidor 110 de assinatura. -50- ΕΡ1364508

Consequentemente, esta forma de realização da invenção elimina as desvantagens de segurança uma vez que assegura que a chave privada nunca está disponível fora do servidor 110 de assinatura. Este aumento da segurança da chave privada resulta num aumento do valor do certificado, uma vez que há uma maior probabilidade de a mensagem ser autêntica. O valor irrelevante assinado é então incorporado na totalidade da mensagem original, em S322, e pode então ser enviada até um receptor via um canal inseguro, como a Internet, em S324. a mensagem é certificada como tendo origem no proprietário da assinatura digital.

Para além disto, em virtude de, numa forma de realização da invenção, serem utilizados tanto o servidor 110 de assinatura como o servidor 120 de autenticação, e eles estarem, de um modo preferido, separados geograficamente, e em virtude de os três, nomeadamente, o posto 101 de trabalho, o servidor 110 de assinatura e o servidor 120 de autenticação terem de estar envolvidos na certificação dos dados vindos do posto 101 de trabalho, tanto o servidor de assinatura como o servidor de autenticação têm de estar comprometidos para que possa ser falsificada uma certificação. A probabilidade de ocorrer situação é reduzida pela separação dos servidores e pela administração independente de cada servidor.

Um canal inseguro pode ser utilizado para -51 - ΕΡ1364508 distribuir a mensagem assinada uma vez que o valor irrelevante assinado actua quer como um identificador quer como um autenticador do conteúdo da mensagem. Em S326, na Figura 3, o receptor verifica com a autoridade de certificação utilizada para emitir o par de chave pública/chave privada e recebe a chave pública do utilizador. Esta situação é utilizada para descodificar o valor irrelevante da mensagem e para certificar que o remetente da mensagem é o utilizador. Para além disto, o receptor pode calcular o valor irrelevante da mensagem propriamente dita e verificar que este valor irrelevante coincide com o valor irrelevante codificado. Se não for este o caso, então a mensagem fora adulterada e pode ser descartada.

Se a mensagem for enviada através de um canal inseguro, embora não seja possível adulterar a mensagem sem que a situação seja detectada, ainda pode ser possível interceptar e ler a mensagem antes de ela ser recebida pelo receptor. Para evitar esta situação, pode ser estabelecido um canal seguro entre o utilizador e o receptor utilizando um método conforme acima descrito ou qualquer outro método adequado. 0 canal seguro necessita apenas de ser no sentido do utilizador para os receptores. Os receptores não necessitam de estabelecer um canal seguro para a informação que é devolvida ao utilizador, a não ser que seja devolvida ao utilizador informação sensível ou secreta vinda do receptor. -52- ΕΡ1364508

Como alternativa, a fim de evitar o problema de terceiras entidades interceptarem e lerem a mensagem enviada entre o utilizador e o receptor, pode ser utilizado um método conforme mostrado na Figura 4.

Este método é similar ao da Figura 3. Em S400, a mensagem é introduzida no posto 101 de trabalho. De S401 a S416 a situação é conforme acima descrito em relação à Figura 3, para estabelecer um canal seguro entre o posto 101 de trabalho e o servidor 110 de assinatura. Todavia, é necessário estabelecer apenas um canal seguro unidirec-cional uma vez que, nesta forma de realização, os passos seguintes ao estabelecimento de um canal seguro são diferentes dos da forma de realização mostrada na Figura 3. Esta forma de realização difere na medida em que a totalidade da mensagem é enviada do posto 101 de trabalho ao servidor 110 de assinatura, em S418.

Consequentemente, não é necessário o servidor 110 de assinatura devolver ao posto 101 de trabalho qualquer informação que requeira codificação. Todavia, na prática é preferido o estabelecimento de um canal seguro bidireccional para evitar que alguma desinformação vinda de terceiras entidades em relação ao servidor 110 de assinatura e ao seu estado seja enviada ao posto 101 de trabalho.

Nesta forma de realização, o servidor 110 de assinatura utiliza a chave privada do utilizador para codificar a totalidade da mensagem enviada pelo utilizador. -53- ΕΡ1364508

Para além disto, o utilizador envia também a um receptor os pormenores de envio para a mensagem. Nesta fase, para além de uma nota de recepção da mensagem o servidor 110 de assinatura não necessita de responder ao posto 101 de trabalho.

Uma vez codificada a mensagem com a chave privada do utilizador, o servidor 110 de assinatura adiciona também a assinatura do servidor 110 de assinatura, através da codificação com a chave privada do servidor 110 de assinatura e envia esta mensagem codificada directamente ao novo receptor. Os receptores podem verificar a mensagem da mesma maneira que está acima descrita em relação à Figura 3, com a excepção de que é utilizada a chave pública do servidor 110 de assinatura, assim como a chave pública do utilizador. Mais uma vez, são aqui utilizados os métodos habituais de codificação e de assinatura.

Alguns ou todos os pedidos de assinatura podem ter um campo de resumo que é registado no registo de auditoria. A finalidade deste resumo é o de tornar possível extrair relatórios com significado sobre as actividades do cliente e permitir o seu rastreio, se for questionada uma transacção.

Para além disto, podem ser suportadas transacções de múltiplos pedidos em que o utilizador envia múltiplos pedidos para múltiplas assinaturas em que cada pedido tem de ser autenticado separadamente. Esta situação permite ao -54- ΕΡ1364508 cliente preparar um número de pedidos e tê-los todos executados com uma única abertura de sessão. Se necessário, aplicações especiais de rede podem introduzir os códigos de acesso em memória cache a fim de proporcionar uma interface mais amigável para o utilizador. 0 utilizador pode também solicitar que uma mensagem ou o valor irrelevante de uma mensagem seja carimbada com o tempo e tenha uma vida útil limitada. Esta situação é realizada utilizando uma bandeira no pedido de assinatura que determina se deverá ou não ser fornecido um carimbo de tempo. 0 carimbo de tempo pode, por exemplo, ser suportado através da comunicação com um servidor de carimbo de tempo via o protocolo PKIK TSP, em que uma assinatura recebida em qualquer mensagem, ou a concatenação de um número de assinaturas é enviada a uma terceira entidade independente que proporciona um carimbo de tempo de um modo independente. Um carimbo de tempo é então adicionado e é gerada uma única assinatura na mensagem que é assim constituída pelas assinaturas recebidas e pelo carimbo de tempo.

Um método alternativo àquele que está acima descrito em relação às Figuras 3 e 4 será agora descrito em relação à Figura 5. 0 sistema e o método é especialmente útil nos casos em que os servidores 110, 120 de assinatura e de autenticação estão separados geograficamente e são -55- ΕΡ1364508 administrados por entidades independentes. Todas as outras caracteristicas podem ser conforme descritas em relação às Figuras 3 e 4.

Os dados a serem assinados são introduzidos no posto de trabalho, em S500. Uma aplicação ou outro programa é descarregado de uma terceira entidade para o posto 101 de trabalho. Nesta forma de realização o posto de trabalho executa a applet ou o programa, o qual conecta quer o servidor 110 de assinatura quer o servidor 120 de autenticação. O servidor 110 de assinatura solicita e recebe o código de acesso fixo vindo do utilizador 102 (conforme acima descrito em relação ao registo inicial), em S502. É então estabelecida, em S504, uma conexão autorizada com o servidor 110 de assinatura conforme acima descrito em relação a S302. 0 servidor 110 de assinatura solicita então ao servidor 120 de autenticação para enviar ao utilizador um código de acesso de utilização única via um canal diferente, em S506, conforme acima descrito em relação a S304 . O código de acesso de utilização única é enviado ao utilizador, em S508, que o introduz através da conexão estabelecida entre o posto 101 de trabalho e o servidor 120 de autenticação, em S510. Uma conexão verificada é então estabelecida quer entre o posto 101 de trabalho e o servidor 110 de assinatura, quer entre o posto 101 de -56- ΕΡ1364508 trabalho e o servidor 120 de autenticaçao, em S512.

Os dados a serem certificados são enviados ao servidor 120 de autenticação através de uma conexão, em S514, e um valor derivado (nesta forma de realização um valor irrelevante dos dados, conforme acima descrito) dos dados a serem certificados é enviado ao servidor 110 de assinatura, em S516. O servidor 120 de autenticação envia os dados a serem certificados ao servidor de assinatura que calcula o valor irrelevante dos dados para produzir um valor derivado para a comparação com o valor derivado enviado directamente do posto de trabalho.

Os dois valores derivados são então comparados pelo servidor 110 de assinatura, em S518, que assegura que os dois servidores estão conectados ao mesmo utilizador. O servidor 110 de assinatura pode então assinar os dados recebidos do servidor 120 de autenticação e devolvê-los ao posto 101 de trabalho, ou encaminhá-los para uma terceira entidade receptora. É também possivel que a versão derivada dos dados seja enviada ao servidor 120 de autenticação e os dados efectivos sejam enviados ao servidor 110 de assinatura. Todavia, esta situação não é preferida uma vez que o servidor 110 de assinatura fica então na posse dos dados a -57- ΕΡ1364508 serem certificados antes de o servidor 120 de autenticação os ter autenticado e o sistema pode, consequentemente, ser adulterado se for obtido o controlo ilegítimo do servidor 110 de assinatura.

Para além de utilizar o código de acesso de utilização única emitido pelo servidor 120 de autenticação para autenticar a conexão entre o posto 101 de trabalho e o servidor 110 de assinatura, conforme acima descrito, é também possível utilizar um testemunho para validar a conexão entre o posto 101 de trabalho e o servidor 110 de assinatura, no caso da Figura 4, e testemunhos separados para validar as conexões entre o posto 101 de trabalho e cada servidor, no caso da Figura 5. Neste procedimento de validação alternativo, os dois canais são estabelecidos de um modo completamente independente o que é especialmente útil quando os servidores 110, 120 de assinatura e de autenticação estão separados geograficamente e são administrados separadamente.

As formas de realização proporcionam um método de certificação que satisfaz os requisitos de uma protecção adequada da chave privada, por exemplo, para satisfazer os requisitos da Directiva da União Europeia sobre certificados qualificados; permite ao proprietário verdadeiro iniciar a geração de uma assinatura digital a partir de qualquer posto 101 de trabalho apropriado que esteja conectado a uma qualquer rede apropriada, como a Internet, sem nunca comprometer a chave de assinatura, -58- ΕΡ1364508 enquanto que, ao mesmo tempo, evita que alguém, que tenha um controlo total sobre um posto 101 de trabalho que tenha sido utilizado conforme acima descrito, tenha, subsequentemente, uma nova assinatura gerada a partir da chave daquele proprietário.

Embora as formas de realização acima descritas estejam descritas em relação a um posto de trabalho e a um servidor, está também no âmbito desta invenção qualquer situação em que uma mensagem necessita de ser assinada com uma assinatura digital sem que a chave privada de um utilizador saia de um servidor seguro. Para além disto, os termos servidor, cliente e posto de trabalho aqui utilizados não estão limitados pelo sentido restrito dos termos. Um servidor pode ser qualquer computador ou semelhante que possa ser contactado na qualidade de unidade central por vários postos de trabalho. Um posto de trabalho faz a interface entre o utilizador e o servidor, que transmite dados e códigos de acesso electrónicos, se necessário, ao servidor. Os clientes são simples interfaces que permitem a administração de um servidor. A presente invenção está aqui descrita apenas a titulo de exemplo e pode ser modificada. A invenção é também constituída por quaisquer características individuais aqui descritas ou implícitas ou mostradas ou implícitas nos desenhos ou em qualquer combinação de quaisquer tais características ou qualquer generalização de quaisquer tais características ou combinações que se -59- ΕΡ1364508 estendem a equivalentes suas.

Lisboa, 19 de Setembro de 2006

Claims (43)

1. ΕΡ1364508 - 1 - REIVINDICAÇÕES 1. Método de certificação de dados electrónicos enviados por um utilizador, o método compreendendo: a recepção de dados enviados pelo utilizador para serem certificados num aparelho (110) de certificação vindos de um dispositivo (101) de origem; o envio de um pedido a um dispositivo (120) remoto dando indicações ao dispositivo remoto para enviar um código de acesso ao utilizador; a recepção de um valor irrelevante derivado do código de acesso vindo do dispositivo remoto; a recepção de um outro valor irrelevante vindo do utilizador; a comparação do outro valor irrelevante vindo do utilizador com o valor irrelevante vindo do dispositivo remoto para assim validar o utilizador; a certificação dos dados no aparelho (110) de certificação com um ou mais elementos de informação segura no aparelho de certificação, os referidos elementos sendo exclusivos do utilizador, se o outro valor irrelevante corresponder ao valor irrelevante derivado vindo do dispositivo remoto; e dar de sarda os dados assim certificados vindos do aparelho (110) de certificação, para os enviar a um dispositivo receptor; em que os elementos de informação segura certificam que remetente dos dados é o utilizador. -2- ΕΡ1364508
2. 2. Método de acordo com a reivindicação 1 compreendendo ainda a autenticação de uma conexão entre o referido dispositivo de origem e o referido aparelho de certificação utilizando um código de acesso fixo reconhecido pelo referido aparelho de certificação; e o estabelecimento de um canal seguro entre o referido dispositivo de origem e o referido aparelho de certificação através da utilização do referido valor irrelevante recebido pelo referido aparelho de certificação juntamente com uma chave pública do referido aparelho de certificação para gerar uma chave de sessão para o referido canal seguro.
3. 3. Método de acordo com a reivindicação 1 ou 2 compreendendo ainda o estabelecimento de um canal codificado entre o referido dispositivo remoto e o referido aparelho de certificação, em que o referido aparelho de certificação e o referido dispositivo remoto incluem hardware (111, 121) resistente a violações e, em que, o referido canal codificado compreende um túnel (150) seguro entre o referido dispositivo remoto e o referido aparelho de certificação para que as chaves utilizadas para o túnel sejam controladas pelo referido hardware resistente a violações e não apareçam às claras fora do referido aparelho de certificação.
4. 4. Método de acordo com a reivindicação 1, 2 ou 3 em que a chave privada de um par de chave pública/chave privada especifico do utilizador define um referido elemento exclusivo do utilizador. ΕΡ1364508 -3 - 5 anteriores, utilizador utilizador.
5. Método de acordo com qualquer das reivindicações em que uma assinatura digital especifica do define um referido elemento exclusivo do
6. 6. Método de acordo com qualquer das reivindicações anteriores, em que o dispositivo receptor é o dispositivo de origem.
7. 7. Método de acordo com qualquer uma das reivindicações 1 a 6, em que o dispositivo receptor é o dispositivo de uma terceira entidade.
8. 8. Método de acordo com qualquer das reivindicações anteriores, em que o valor irrelevante de uma mensagem a ser certificada é gerado no dispositivo de origem, o valor irrelevante sendo os dados a serem certificados pelo aparelho de certificação.
9. 9. Método de acordo com qualquer das reivindicações anteriores, em que o aparelho de certificação é adaptado para receber dados vindos de uma pluralidade de diferentes dispositivos de origem.
10. 10. Método de certificação de dados electrónicos enviados por um utilizador, o método compreendendo: o estabelecimento de uma conexão segura entre um dispositivo (101) de origem operado pelo utilizador e um aparelho (110) de certificação; -4- ΕΡ1364508 o envio de dados enviados pelo utilizador a partir do dispositivo (101) de origem para serem recebidos pelo aparelho (110) de certificação; a recepção de um código de acesso vindo de um dispositivo remoto; o envio de um valor irrelevante do referido código de acesso ao referido aparelho de certificação; e a recepção no dispositivo de origem de uma versão dos dados vindos do aparelho (110) de certificação certificada como tendo origem no utilizador, utilizando informação exclusiva do utilizador.
11. 11 . Método de acordo com a reivindicação 10 compreendendo ainda a autenticação de uma conexão entre 0 referido dispositivo de origem e o referido aparelho de certificação utilizando um código de acesso fixo reconhecido pelo referido aparelho de certificação; e o estabelecimento de um canal seguro entre o referido dispositivo de origem e o referido aparelho de certificação através da utilização do referido valor irrelevante juntamente com uma chave pública do referido aparelho de certificação para gerar uma chave de sessão para o referido canal seguro.
12. 12. Método de acordo com a reivindicação 10 ou 11, compreendendo ainda o passo de incorporação de uma versão certificada dos dados em dados adicionais a serem enviados a ao dispositivo de uma terceira entidade. -5- ΕΡ1364508
13. 13. Método de acordo com a reivindicação 10, 11 ou 12, em que o aparelho de certificação contém informação exclusiva do utilizador de modo a realizar a certificação.
14. 14. Método de acordo com a reivindicação 13, em que a informação exclusiva é a chave privada de um par de chave pública/chave privada especifica do utilizador.
15. 15. Método de acordo com a reivindicação 13 ou 14, em que a informação exclusiva é uma assinatura digital específica do utilizador.
16. 16. Método de acordo com qualquer das reivindicações 10 a 15, em que os dados a serem certificados é um valor irrelevante de uma mensagem.
17. 17. Método de acordo com qualquer das reivindicações anteriores, em que o aparelho de certificação compreende um servidor (110) de assinatura.
18. 18. Método de acordo com qualquer das reivindicações anteriores, em que o aparelho de certificação compreende uma pluralidade de servidores de assinatura utilizando a partilha secreta para armazenar partes individuais de uma chave privada de um utilizador e, em que a assinatura é gerada com base em partes individuais de uma chave privada de um utilizador armazenadas nalguns ou em todos os servidores de assinatura. -6- ΕΡ1364508
19. 19. Método de acordo com a reivindicação 17 ou 18, em que o aparelho de certificação compreende ainda um ou mais servidores (120) de autenticação.
20. 20. Método de acordo com qualquer das reivindicações anteriores, em que o dispositivo (101) de origem compreende um posto de trabalho.
21. 21. Método de acordo com a reivindicação 20, compreendendo ainda o estabelecimento de um canal de comunicação independente verificado e autenticado entre o posto de trabalho e o dispositivo remoto.
22. 22. Método de acordo com qualquer uma das reivindicações 1 a 19, em que o dispositivo de origem compreende uma televisão interactiva.
23. 23. Método de acordo com qualquer das reivindicações anteriores, em que o dispositivo de origem e o aparelho de certificação estabelecem conexões individuais autenticadas entre o dispositivo de origem e um ou vários servidores do aparelho de certificação antes e durante a transferência dos dados a serem certificados.
24. 24. Método de acordo com a reivindicação 23, em que o método funciona através da autenticação do utilizador independentemente da fonte para proporcionar um primeiro nivel de segurança e funciona através da autenticação do utilizador e do dispositivo de origem para proporcionar um -7- ΕΡ1364508 segundo nível de segurança mais elevado que o primeiro nível de segurança.
25. 25. Método de acordo com as reivindicações 1 ou 10, em que o dispositivo de origem envia um testemunho (190) ao aparelho de certificação para ser autenticado e, em que o aparelho de certificação certifica os dados com diferentes elementos exclusivos, dependendo do tipo de testemunho utilizado para autenticar o utilizador ou o dispositivo de origem.
26. 26. Método de acordo com qualquer das reivindicações anteriores, em que são recebidos de um dispositivo remoto antes de os dados serem certificados, dados de validação para validar os dados a serem certificados.
27. 27. Método de acordo com qualquer das reivindicações anteriores, compreendendo ainda o aparelho de certificação a enviar o pedido ao dispositivo remoto depois de receber um pedido de certificação dos dados.
28. 28. Método de acordo com qualquer das reivindicações 1 a 27 compreendendo ainda: a recepção no referido dispositivo remoto de um pedido vindo do referido aparelho de certificação para ele enviar ao utilizador o referido código de acesso; o envio do referido código de acesso ao utilizador; e o envio do referido valor irrelevante derivado do -8- ΕΡ1364508 referido código de acesso ao aparelho de certificação.
29. 29. Método de acordo com qualquer das reivindicações anteriores, em que o referido código de acesso é um código de acesso de utilização única.
30. 30. Método de acordo com a reivindicação 28 ou 29, em que o pedido e o referido valor irrelevante derivado do referido código de acesso são transferidos via um método de comunicação diferente do referido código de acesso.
31. 31. Meio legível por computador que armazena instruções que, quando executadas por um computador, levam o computador a realizar cada um dos passos do método de acordo com qualquer uma das reivindicações 1 a 9.
32. 32. Meio legível por computador que armazena instruções que, quando executadas por um computador, levam o computador a realizar cada um dos passos do método de acordo com qualquer uma das reivindicações 10 a 30.
33. 33. Aparelho (110, 120) de certificação de dados compreendendo: um dispositivo (110, 111) de assinatura adaptado para certificar dados electrónicos recebidos de um dispositivo (101) de origem remoto como tendo origem num utilizador, em que o aparelho de certificação é disposto para receber dados vindos do dispositivo de origem, certificar os dados como sendo pertencentes ao -9- ΕΡ1364508 utilizador, utilizando a informação armazenada no aparelho de certificação e técnicas criptográficas, a referida informação sendo exclusiva do utilizador, e enviar os dados certificados a um dispositivo receptor; e compreendendo ainda meios de instrução para enviar um pedido a um outro dispositivo remoto dando instruções ao outro dispositivo remoto para enviar um código de acesso ao utilizador; meios de recepção para receber um valor irrelevante derivado do código de acesso vindo do outro dispositivo remoto e para receber um outro valor irrelevante vindo do utilizador, meios de comparação para comparar o outro valor irrelevante vindo do utilizador com o valor irrelevante vindo do outro dispositivo remoto; e meios (110, 111) de certificação para certificar os dados a serem certificados se o outro valor irrelevante vindo dos dados do utilizador corresponder ao valor irrelevante vindo do outro dispositivo remoto.
34. 34. Aparelho de certificação de dados de acordo com a reivindicação 33, compreendendo meios para autenticar uma conexão entre o referido dispositivo de origem e o referido aparelho de certificação utilizando um código de acesso fixo reconhecido pelo referido aparelho de certificação; e meios para estabelecer um canal seguro entre o referido dispositivo de origem e o referido aparelho de certificação através da utilização de um referido valor irrelevante recebido pelo referido aparelho de certificação juntamente com uma chave - 10- ΕΡ1364508 pública do referido aparelho de certificação para gerar uma chave de sessão para o referido canal seguro.
35. 35. Aparelho de certificação de dados de acordo com a reivindicação 33 ou 34, compreendendo ainda meios para estabelecer um canal codificado entre o referido dispositivo remoto e o referido aparelho de certificação, em que o referido aparelho de certificação e o referido dispositivo remoto incluem hardware (111, 121) resistente a violações e em que o referido canal codificado compreende um túnel (150) seguro entre o referido dispositivo remoto e o referido aparelho de certificação para que as chaves utilizadas para o túnel sejam controladas pelo referido hardware resistente a violações e não apareçam às claras fora do referido aparelho de certificação.
36. 36. Aparelho de certificação de dados de acordo com a reivindicação 33, em que o aparelho de certificação compreende meios para estabelecer uma conexão autenticada com o dispositivo de origem antes e durante a transferência dos dados a serem certificados.
37. 37. Aparelho de certificação de dados de acordo com a reivindicação 36, em que a referida conexão autenticada é codificada.
38. 38. Aparelho de certificação de dados de acordo com a reivindicação 36 ou 37, em que o aparelho de certificação compreende meios para aceitar um testemunho vindo do - 11 - ΕΡ1364508 dispositivo de origem para ser autenticado e em que o aparelho de certificação compreende meios para utilizar mais do que um tipo de testemunho para autenticar o utilizador ou o dispositivo de origem.
39. 39. Aparelho de certificação de dados de acordo com a reivindicação 38, em que o aparelho de certificação de dados é disposto para operar através da autenticação do utilizador independentemente do dispositivo de origem para proporcionar um primeiro nivel de segurança, e para operar através da autenticação do utilizador e do dispositivo de origem para proporcionar um segundo nivel de segurança mais elevado que o do primeiro nivel de segurança.
40. 40. Aparelho de certificação de dados de acordo com a reivindicação 36 ou 37, em que o dispositivo de origem compreende meios para fornecer um testemunho (190) ao aparelho de certificação para ser autenticado, e em que o aparelho de certificação compreende meios para certificar os dados utilizando diferentes elementos exclusivos, dependendo do tipo de testemunho utilizado para autenticar o utilizador ou o dispositivo de origem.
41. 41. Aparelho de certificação de dados de acordo com qualquer das reivindicações 33 a 40, em que o aparelho de certificação compreende um servidor (110) de assinatura.
42. 42. Aparelho de certificação de dados de acordo com a reivindicação 41, em que o aparelho de certificação - 12- ΕΡ1364508 compreende uma pluralidade de servidores de assinatura, cada servidor de assinatura sendo disposto para utilizar a partilha secreta para armazenar partes individuais de uma chave privada de um utilizador, a partir das quais é gerada a assinatura.
43. 43. Aparelho de certificação de dados de acordo com a reivindicação 41 ou 42, em que o aparelho de certificação compreende ainda um servidor (120) de autenticação. Lisboa, 19 de Setembro de 2006