PT739560E

PT739560E - Sistema criptografico e processo com caracteristica de garantia de chave

Info

Publication number: PT739560E
Application number: PT95908511T
Authority: PT
Inventors: Frank W Sudia
Original assignee: Certco Inc
Priority date: 1994-01-13
Filing date: 1995-01-13
Publication date: 2001-12-28
Also published as: ES2158081T3; OA10456A; JP2007282295A; PL176458B1; AU1680395A; US5872849A; US5850451A; US6009177A; US5857022A; US5841865A; US5799086A; UA41387C2; DE69521413T2; WO1995019672A3; DK0739560T3; HUT75800A; HU9601870D0; GR3036650T3; CA2176032A1; DE69521413D1

Description

86 259 ΕΡ Ο 739 560/ΡΤ

DESCR1CÃO “Sistema criptográfico e processo com característica de garantia de chave”

Antecedentes do invento

Este invento refere-se a sistemas de comunicações criptográficas. Mais particularmente, este invento refere-se à geração, certificação, armazenagem e distribuição segura de chaves criptográficas, utilizadas em sistemas de comunicações criptográficas. Ainda mais particularmente, este invento refere-se a um sistema de garantia de chaves criptográficas e de administração de certificados de chave pública postos em vigor por um dispositivo de pastilha com certificação própria. O desenvolvimento e a proliferação de tecnologia de computadores sofisticada e de sistemas de processamento de dados distribuídos levou a um rápido aumento da transferência de informação na forma digital. Esta informação é utilizada em assuntos da banca e financeiros, em correio electrónico, na troca de dados electrónicos e outros sistemas de processamento de dados. A transmissão desta informação em canais de comunicação não protegidos ou não seguros corre o risca de exposição da informação transmitida a uma escuta clandestina ou a uma alteração. Os sistemas de comunicações criptográficas conservam a privacidade destas transmissões evitando a monitorização por partes não autorizadas de mensagens transmitidas num canal não seguro. Os sistemas de comunicações criptográficas podem assegurar ainda a integridade e autenticidade da transmissão através do fornecimento para reconhecimento, de assinaturas digitalizadas, dependentes do documento e não olvidáveis, que podem evitar a negação pelo remetente da sua própria mensagem.

Os sistemas criptográficos envolvem a codificação ou cifração de transmissões de dados digitais, incluindo voz diyilalizada ou transmissões de vídeo, para as tornar incompreensíveis por todos que não o receptor desejado. Uma mensagem em texto claro, que consiste em sons digitalizados, letras e/ou números, é codificada numericamente e então cifrada utilizando um algoritmo matemático complexo que transforma a mensagem codificada apoiada num dado conjunto de números ou dígitos, também conhecido como uma chave de cifra. A chave de cifra é uma sequência de bits de dados, que pode ou ser escolhida aleatoriamente ou ter propriedades matemáticas especiais, dependendo do algoritmo ou sistema de cifra

86 259 ΕΡ Ο 739 560/ΡΤ utilizados. Os algoritmos criptográficos sofisticados implementados em computadores podem transformar e manipular números que têm centenas ou milhares de bits de comprimento e podem resistir a qualquer processo conhecido de descodificação não autorizada. Existem duas classes básicas de algoritmos criptográficos: algoritmos de chave simétrica e algoritmos de chave assimétrica.

Os algoritmos de chave simétrica utilizam uma chave de cifra idêntica para tanto para cifração pelo remetente da comunicação como para decifração pelo receptor da comunicação. Os sistemas de cifra de chave simétrica são construídos na confiança mútua das duas partes, que repartem a chave de cifra para utilizar o sistema de cifra para o proteger contra terceiras partes não confiáveis. O algoritmo de chave simétrica melhor conhecido é o algoritmo Padrão de Cifração de Dados Nacional (DES) publicado primeiro pelo National Institute of Standards and Technology. Ver o Federal Reqister. 17 de Março de 1975, Vol. 40, n°. 52 e 1 de Agosto de 1975, Vol. 40, n°. 149. O dispositivo criptográfico remetente utiliza o algoritmo DES para cifrar a mensagem, quando carregada com a chave de cifra (uma chave de cifra DES tem o comprimento de 56 bits) para a sessão de comunicação (a chave de sessão). O dispositivo criptográfico receptor utiliza um inverso do algoritmo DES para decifrar a mensagem cifrada, quando carregada com a mesma chave de cifra que foi utilizada para a cifração. No entanto, a adequação de sistemas de cifra de chave simétrica em geral foram questionados em virtude da necessidade do remetente e do receptor trocarem a chave de cifra através de um canal seguro, ao qual nenhuma terceira parte não autorizada tenha acesso, antes das comunicações desejadas entre o remetente e o receptor. Este processo de trocar com segurança chaves de cifra, em primeiro lugar, e apenas depois cifrar a comunicação é muita vezes vagaroso e incómodo, e é portanto inviável em situações que exigem comunicações espontâneas ou não solicitadas, ou em situações que exigem comunicações entre partes não familiarizadas entre si. Além disso, a intercepção da chave de cifra por uma terceira parte não autorizada possibilitará à parte escutar clandestinamente nas duas pontas da conversação cifrada. A segunda classe de algoritmos criptográficos, algoritmos de chave assimétrica, utiliza chaves de cifra diferentes, para cifrar e decifrar. Num sistema de cifra utilizando um algoritmo de chave assimétrica, o utilizador torna a chave de cifração pública e mantém a chave de decifração privada, e não é possível obter a chave de decifração privada a partir da chave de cifração pública. Assim, qualquer pessoa que conheça a chave pública de um utilizador particular pode codificar uma

86 259 ΕΡ Ο 739 560/ΡΤ mensagem para ο utilizador, visto que apenas o utilizador que é o dono da chave privada que corresponde à chave pública pode decifrar a mensagem. Este sistema de chave pública/privada foi primeiro proposto no Diffie and Hellman, “New Directions in Cryptography” IEEE Transactions on Information Theory, de Novembro de 1976, e na patente US n°. 4.200.770 (Hellman et al).

Um tipo anterior de algoritmos de chave assimétrica permite comunicações seguras através de um canal inseguro pela criação interactiva, pelas partes que comunicam entre si, de uma chave de cifra para a sessão de comunicação. Utilizando o algoritmo de chave assimétrica, dois utilizadores interagindo simultaneamente e independentemente geram uma chave de cifra segura, que não pode ser desenvolvida por quem escuta clandestinamente, e que é para ser utilizada simetricamente para codificar a sessão de comunicações entre os utilizadores. Este processo interactivo de gerar uma chave de cifra segura foi descrito por Diffie e Hellman no seu escrito de 1976. Neste processo da técnica anterior, conhecido como o esquema Interactive Diffie-Hellman, mostrado na Fig. 2, cada um dos dois utilizadores A, B escolhem aleatoriamente um número secreto 21, 22 e depois calculam um número intermédio 23, 24, utilizando dois números conhecidos publicamente e o número secreto 21, 22 escolhidos pelo utilizador. Cada utilizador transmite em seguida o número intermédio 23, 24 para o outro utilizador e calculam então a chave de cifra secreta (simétrica) 25, utilizando o seu próprio número secreto 21, 22 e o número intermédio 24, 23 acabados de receber do outro utilizador. A chave de cifra 25 gerada interactivamente é então utilizada simetricamente por ambos os utilizadores como uma chave de cifra simétrica DES ou outra para cifrar e decifrar a sessão de comunicações sobre um canal de outro modo inseguro do modo das comunicações de algoritmo de chave simétrica. Este processo interactivo exige apenas uns poucos segundos de tempo real, e todos as comunicações digitais, incluindo transmissões de som ou vídeo digitalizadas, numa sessão particular podem ser cifradas simplesmente através de premir um botão no principio de uma sessão para iniciar o processo de troca de chave interactiva. Em virtude de todos os números escolhidos no esquema de geração de chave Interactive Diffie-Hellman serem muito grandes, os cálculos são impossíveis para inverter e a chave de cifra secreta não pode ser calculada por quem escuta clandestinamente, preservando assim a privacidade da comunicação. Em virtude dos cálculos serem impossíveis para inverter, cada utilizador sabe que qualquer comunicação recebida utilizando este algoritmo não foi alterada e pode ter sido enviada apenas pelo outro utilizador, preservando assim a integridade e autenticidade da comunicação. Este processo de troca de chave interactiva, exige,

86 259 ΕΡ Ο 739 560/ΡΤ 4 no entanto, que as partes interajam em tempo real a fim de criar a chave de cifra e pode não ser útil para comunicações não solicitadas ou partes não familiarizadas. Em particular, o esquema de troca de chave Interactive Diffie-Hellman não funciona para correio electrónico armazenado e transmitido estilo mensagem ou para armazenagem a longo termo de documentos num sistema de armazenagem de dados electrónicos, em virtude do receptor não estar em tempo real para negociar a chave de sessão.

Uma forma não interactiva modificada do esquema Diffie-Hellman, conhecida como Certified Diffie-Hellman, pode ser utilizada, quando as partes que comunicam não estão juntos em tempo real. O passo de certificação inicial do esquema de geração de chave de sessão Certified Diffie-Hellman é mostrado na Fig. 3. Um utilizador, a ser o receptor, escolhe aleatoriamente um número secreto 31 (a sua chave privada) e calcula então um número intermédio 33 utilizando os dois números conhecidos publicamente 32 e o número secreto 31 escolhido pelo utilizador. O utilizador envia então a prova de identificação ao mesmo tempo que o número intermédio e os dois números públicos, os quais números juntos formam a sua chave pública 34, para uma autoridade de certificação que emite então um certificado de chave pública 35 assinado digitalmente 36, pela autoridade de certificação emissora, que faz a ligação da identidade do utilizador à informação de chave pública Diffie-Hellman 34 do utilizador. A chave pública 34 publicitada pelo utilizador permanece a mesma até que ele decida mudar de chave e escolher outra chave privada 31. As mensagens utilizando o processo Certified Diffie-Hellman são mostradas na Fig. 4. A fim de transmitir uma mensagem para o utilizador, um utilizador remetente obtém primeiro o certificado 35 do utilizador de recepção e verifica a assinatura 36 da autoridade de certificação. O remetente calcula então a chave de sessão 42 para a sessão de comunicação utilizando o número intermédio 33 do receptor (a partir do certificado do receptor) e o próprio número secreto 41 do remetente (a sua chave privada), a qual ele escolhe aleatoriamente. O remetente cifra então uma mensagem 43, utilizando a chave de sessão 42 e coloca o seu próprio número intermédio 40 decifrado no cabeçalho da comunicação. Durante a recepção da comunicação, o receptor calcula a chave de sessão 42 utilizando o número intermédio decifrado 40 do remetente e o seu próprio número secreto 31 (ou chave privada), e utiliza então a chave de sessão 42 para decifrar a mensagem 43. Como com o esquema Interactive Diffie-Hellman, a chave de sessão gerada no esquema Certified Diffie-Hellman é então utilizada por ambas as partes para cifrar e decifrar as comunicações durante a sessão através de um canal inseguro, de outro modo utilizando um algoritmo simétrico convencional, tal como o DES. O esquema 86 259 ΕΡ Ο 739 560/ΡΤ 5

Certified Diffie-Hellman exige, no entanto, que uma entidade de confiança oú uma autoridade certificada assine o certificado de chave pública do utilizador recebido, a fim de que um utilizador remetente possa confiar que a informação contida dentro do mesmo está correcta. Adicionalmente, a chave privada escolhida aleatoriamente pelo remetente, com a qual ele calcula ambas a chave de sessão e o número intermédio para a comunicação, não deve ser idêntica à chave privada, a qual é ligada ao certificado de chave pública do próprio remetente, a fim de evitar que outros fiquem a conhecer os seus números de chave privada permanente (correspondendo aos números de chave pública que foram certificados, o remetente deveria conservá-los distintos de quaisquer chaves privadas efémeras ou números intermédios que são gerados apenas para mensagens específicas.

Outro algoritmo de chave assimétrica, chamado o algoritmo RSA dos inventores Rivest, Shamir e Adleman, é descrito na patente U.S. n°. 4.405.829 (Rivest et al.), e envolve a dificuldade dividir em factores um número que é o produto de dois primos números grandes. Como com o esquema Interactive Diffie-Hellman, o algoritmo RSA é relativamente directo de calcular mas praticamente impossível de ser invertido. Assim, não é possível originar a chave privada a partir da chave pública e, desta maneira, a privacidade da comunicação é preservada. Logo que uma mensagem é cifrada com a chave pública, utilizando o algoritmo RSA, apenas a chave privada a pode decifrar, e vice-versa. Como com o esquema Certified Diffie-Hellman, o algoritmo RSA exige uma entidade de confiança para certificar e publicitar as chaves públicas do utilizador. Ao contrário de ambos os esquemas Diffie-Hellman, no entanto, o próprio algoritmo RSA não gera uma "chave de sessão" para ser utilizada simetricamente pelas partes. Em vez disso, a chave de cifra pública para um utilizador particular cifra directamente as comunicações para o utilizador e a chave de decifração privada do utilizador decifra as comunicações cifradas com a chave pública do utilizador. Desta maneira, o algoritmo RSA é um algoritmo de chave assimétrica puro.

No entanto, em virtude do algoritmo RSA ser complexo e envolver a exponenciação da mensagem por números muito grandes, o cifração e decifração de uma mensagem do mesmo comprimento moderado, utilizando o algoritmo RSA exige um grande período de tempo. Assim, é muito mais simples, rápido e eficiente utilizar o algoritmo assimétrico RSA para transportar uma chave de cifra DES para utilizar num algoritmo simétrico. Este modo de funcionamento de técnica anterior é conhecido como o transporte de chave RSA e é mostrado nas Figs. 5 e 6. Por exemplo, referindo a Fig. 5, um utiiizador podia gerar uma chave DES aleatória 51 e 86 259 ΕΡ Ο 759 560/ΡΤ 6

cifrar uma mensagem 52 com essa chave DES. O utilizador devia então cifrar a chave DES 51 com uma chave de cifração RSA pública 53 do utilizador de recepção pretendido e transmite a mensagem cifrada DES 54 junta com a chave DES cifrada RSA 55 para o utilizador de recepção. Depois de recepção da transmissão, como mostrado na Fig. 6, o receptor decifra a chave DES 51, utilizando a sua chave de decifração RSA privada 56 e utiliza a chave DES 51 para decifrar a mensagem 52. Em virtude do algoritmo DES exigir muito menos tempo e despesa para calcular do que o algoritmo RSA, a chave DES simétrica é utilizada para cifrar e decifrar a mensagem efectiva, enquanto as chaves RSA assimétricas são utilizadas para cifrar e decifrar a chave DES simétrica. O sistema de cifra de chaves púhlica/privada RSA fornece também uma “assinatura” digital que é dependente tanto da mensagem como do assinante, e pode ser utilizado para certificar que a mensagem recebida foi realmente enviada pelo remetente e que foi recebida inalterada. A assinatura digital RSA é baseada na propriedade adicional da RSA que, para além de permitir que a chave privada do utilizador decifre apenas as comunicações cifradas que utilizam a chave pública do utilizador, permite que a chave privada do utilizador cifre mensagens que podem ser decifradas apenas pela chave pública do utilizador. Devido a apenas o utilizador ter a chave privada, a utilização da chave privada para cifrar permite provar a origem, que pode ser verificada por qualquer pessoa com acesso à chave pública do utilizador. Na prática, o remetente utiliza primeiro a sua chave privada para codificar o texto da mensagem numa mensagem assinada, a qual não pode ser decifrada por qualquer pessoa, que não seja apenas do remetente. Se desejado, o remetente pode então utilizar opcionalmente a chave de cifra pública do receptor para cifrar a mensagem assinada para ser transmitida. Depois da recepção do texto cifrado, o receptor decifra o texto cifrado com a sua chave de decifração privada, se necessário, e descodifica a mensagem assinada com a chave de cifra pública do remetente. Visto que apenas o remetente conhece a sua chave privada única, apenas o remetente podia ter enviado a mensagem "assinada” particular; a assinatura verifica assim a identidade do remetente. Também, devido ao receptor apenas ter a chave pública do remetente, o remetente não pode reivindicar que o receptor ou uma terceira parte não autorizada tenha alterado ou inventado a sua mensagem; a assinatura evita assim a rejeição da mensagem pelo remetente. Para além disso, apenas a chave privada do remetente transforma a mensagem original e apenas o remetente conhece a sua única chave privada, nem o receptor nem uma terceira parte não autorizada podiam ter alterado a mensagem; a assinatura certifica assim a integridade da mensagem.

86 259 ΕΡ Ο 739 560/ΡΤ 7 Ο algoritmo RSA também fornece outro tipo de assinatura digital que utiliza uma função de endereçamento, calculada para criar uma compilação de mensagem curto, que é único para cada documento. As Figs. 7 e 8 mostram a criação da assinatura RSA e a verificação da assinatura RSA, respectivamente, utilizando uma função de endereçamento calculado. Uma função de endereçamento calculado é outro algoritmo matemático complexo que é de “uma via”, isto é, a fim de ser impossível reconstruir o documento a partir do resultado de endereço calculado, e é “sem colisão”, isto é, de modo que é impossível produzir outro documento que seja endereçado para a mesma compilação. Como mostrado na fig. 7, o remetente passa primeiro a mensagem 72 através de um algoritmo de endereçamento calculado 73 para produzir a compilação de mensagem 74 e depois cifra a compilação com a sua chave privada RSA 75, formando uma assinatura digital compacta 76, que é anexada à mensagem 72. Depois de receber a transmissão da mensagem 72 e a compilação da mensagem 76, como mostrado na Fig. 8, o receptor decifra a compilação da mensagem cifrada RSA do remetente 76 (a assinatura digital), utilizando a chave pública RSA do remetente 77. O receptor também utiliza o mesmo algoritmo de endereçamento calculado 73 para produzir uma compilação de mensagem 74 a partir da mensagem recebida. As duas compilações de mensagem resultantes das duas transformações realizadas pelo receptor devem ser idênticos, verificando assim que a mensagem foi assinada pelo remetente.

Outro sistema de assinatura digital, denominado DSA para algoritmo de assinatura digital (Digital Signature Algorithm, pode também ser utilizado para verificação do remetente. O algoritmo DSA foi descrito na patente U.S. n°. 5.231.668. O algoritmo DSA tem propriedades que são semelhantes às do algoritmo de assinatura RSA, em que o remetente passa a mensagem através de um algoritmo de endereçamento calculado para produzir uma compilação de mensagem e então cifrar ou assinalar a compilação de mensagem, utilizando a sua chave privada; o receptor verifica a compilação cifrada utilizando a chave pública do remetente. No entanto, diferente do algoritmo de assinatura RSA que devolve a compilação de mensagem original, quando o receptor decifra o bloco de assinatura, o algoritmo de verificação DSA resulta apenas numa confirmação positiva da validade da assinatura; as comunicações cifradas, utilizando uma chave pública do receptor pretendido não pode ser mais tarde recuperada através da decifração com a chave privada correspondente do receptor. Por esta razão, o algoritmo DSA pode ser utilizado de forma muito capaz para assinaturas digitais, mas não para transporte de chave ou para cifra de mensagem directa. 8 86 259 ΕΡ Ο 739 560/ΡΤ

De modo que ο sistema de chave pública/privada funcione de modo eficiente, os utilizadores devem confiar numa autoridade de certificação de chave centralizada, que seja responsável por publicitar e actualizar uma lista de endereços de chaves de cifra públicas. Todos os utilizadores devem confiar na autoridade de certificação de chave, tanto os remetentes como os receptores, para distribuir as chaves públicas correctas para todos os utilizadores, de modo que não sejam transmitidas quaisquer mensagens para receptores a quem não são dirigidas. Com esta finalidade, como explicado acima e descrito a seguir, a autoridade de certificação deve distribuir cada nome do utilizador e a informação de chave de cifra pública, e deve exibir a sua própria assinatura digital para a informação distribuída, a fim de certificar a falta de correcção da informação. No entanto, quando mais do que uma entidade, ou que uma hierarquia de entidades, está envolvida no processo de certificação, existem várias metodologias diferentes ou “modelos de confiança” para determinar como é que um utilizador processará os certificados. Os três modelos principais são (1) um modelo hierárquico puro, (2) um modelo que utiliza uma certificação cruzada entre hierarquias múltiplas, e (3) um modelo de “confiança local”. Estes modelos estão descritos em pormenor nas normas do documento American National Standard X9.30, “Public Key Cryptography Using Irreversible Algorithms for the Financial Services Industry: Part 3: Certificate Management for DSA” (American Bankers Assn., Washington, D.C., 1992). Embora não exista ainda um consenso geral sobre qual dos modelos acima mencionados de confiança é melhor, assume-se através desta descrição que um modelo de confiança de certificação apropriado, geralmente aceite, será estabelecido e terá a adesão a quaisquer certificados passados por mais do que uma entidade que estejam envolvidas. O sistema de chave público/privado descrito acima toma em conta os interesses de privacidade dos utilizadores, que desejam transmitir e receber comunicações privadamente. Adicionalmente, no entanto, existe também a força de lei e dos interesses de segurança nacional dos governos a serem considerados. A capacidade do governo para controlar ou escutar clandestinamente de qualquer outro modo transmissões electrónicas privadas por força da lei e finalidades de segurança nacional deve ser preservada de modo que aos criminosos suspeitos, aos terroristas e aos espiões estrangeiros não seja permitido conspirar por detrás do alcance da lei. Visto que as comunicações por telefone podem ser controladas através de escuta de fios, os algoritmos criptográficos fazem com que os dados cifrados não possam ser decifrados mesmo por computadores de violação de códigos poderosos. O aumento no volume e percentagem de transmissões digitais

86 259 ΕΡ Ο 739 560/ΡΤ 9 e digitatizadas cifradas com algoritmos avançados servirão, portanto, para frustar e impedir a vigilância electrónica legal do governo destas comunicações, especialmente se os dispositivos criptográficos forem amplamente implementados em telefones, computadores, máquinas de fac-símile e todos os outros equipamentos de processamento de dados.

Uma maneira de habilitar o governo ou outros investigadores autorizados para controlar comunicações de criminosos suspeitos é exigir a todos os utilizadores de comunicações criptográficas que garantam as suas chaves de decifração privadas com, ou uma autoridade privada, ou com o governo, isto é, permitir que ou a autoridade privada ou o governo sejam os guardas das chaves de decifração privadas dos utilizadores. Quando necessário para vigilância, o governo terá então acesso a, ou será capaz de conseguir ter acesso às chaves privadas a fim de controlar todas as comunicações cifradas. Este processo, no entanto, não é possível em virtude de conter insuficientes seguranças contra a violação pelo governo das chaves de decifração privadas e contra a possível fuga das chaves de decifração privadas para terceiras partes não autorizadas ou por roubo do governo ou da autoridade privada ou por corrupção do governo ou pessoal da autoridade privada.

Outro processo de garantir as chaves de decifração privadas para preservar tanto os interesses de privacidade do utilizador como os interesses de segurança da força de lei é através da utilização de um sistema tal como o processo descrito no "Fair Public Key Cryptosystems”, proposto por Silvio Micali em CRYPTO 92 em Março de 1993 e publicado pelo Laboratório para Ciência de Computação do Instituto de Tecnologia de Massachusetts em 13 de Outubro de 1993, e na Patente do Estados Unidos Nr. 5.276.737. Através deste processo, mostrado nas Figs. 9-11, um utilizador que queira certificar a sua chave pública com a finalidade de cifração deve certificar a sua chave privada da maneira seguinte. Como mostrado na Fig. 9, o utilizador divide primeiro a sua chave privada 91 em vários “pedaços” 92, cada um dos quais pode ser individualmente verificado 90 como sendo uma parte válida da chave privada 91. A chave privada pode ser reconstruída apenas com o conhecimento de todos os pedaços ou qualquer número específico dos mesmos. O utilizador envia então 93 cada pedaço para um agente de garantia ou agência 94, o qual, como mostrado na Fig. 10, verifica o pedaço como uma parte correcta da chave privada 91, utilizando um algoritmo especial e comunica esta verificação 96 para um centro de garantia principal. Referindo a Fig. 11, depois de receber a verificação 96, 97 de que cada pedaço da chave privada está correcto, o

86 259 ΕΡ Ο 739 560/ΡΤ 10 centro de garantia principal pode então passar um certificado 98 para a chave pública do utilizador 99, permitindo que a mesma seja utilizada num sistema privado com a certeza, se necessário for e de acordo com apenas com uma autorização da autoridade ou do tribunal, as agências de aplicação da lei são capazes de obter os pedaços secretos da chave privada a partir dos agentes de garantia escolhidos pelo utilizador, recombinar os mesmo e controlar as comunicações daquele utilizador. Através deste sistema, os utilizadores podem ficar certos da privacidade das suas transmissões cifradas, e o governo pode estar certo da sua capacidade de ter acesso a transmissões cifradas, quando tal se mostrar ser necessário. Em virtude de qualquer entidade nunca ter normalmente acesso à chave privada completa e em virtude do utilizador escolher entidades, nas quais ele confie, as hipóteses de acções ilegítimas ou corruptas ficam grandemente reduzidas. Também, em virtude de uma gama de entidades mais ampla serem elegíveis como agentes de garantia, as hipóteses de comprometer simultaneamente todos os agentes de garantia, e interromper portanto todo o comércio de confiança, é ainda mais reduzido. O centro de garantia principal, como uma autoridade de confiança que certifica a autenticidade da chave pública do utilizador, emite periodicamente um certificado disponível publicamente, atestando ou legalizando perante um notário a ligação entre a chave de cifra pública e a informação de identificação do dono seu. O certificado de autenticidade assegura ao remetente que as transmissões àquele chamado utilizador de chave pública poderá de facto ser recebido e lido apenas pelo receptor dedicado. O certificado está normalmente num formato eiectrónico reconhecido internacionalmente, tal como o especificado na Recomendação CCITT X.509 e publicado como uma norma internacional peta International Standards Organization (ISO). Um exemplo de um formato de certificado de garantia de chave de cifra pública é mostrado na Fig. 12. O certificado contém, entre outras coisas, o nome da organização ou centro de administração de chave que cria o certificado (o emissor) 121, a chave pública do dono 122, a informação de identificação do dono 126, um número de série do certificado 123, e datas de início e de fim da validade 124. A assinatura digital do emissor 125 “sela” o certificado e evita a sua alteração. O governo dos Estados Unidos, no entanto, propôs como uma norma do governo (e possivelmente da indústria) outro processo para facilitar a garantia das chaves de decifração privadas e para controlar as comunicações. O governo dos Estados Unidos desenvolveu um microcircuito, chamado o "Clipper chip” (pastilha electrónica Clipper), que pode ser incluído dentro de dispositivos de computador e

86 259 ΕΡ Ο 739 560/ΡΤ 11 de telefones produzidos comercialmente e para o governo. A pastilha electrónica Clipper é uma pastilha electrónica de baixo custo que pode ser utilizada para cifra em massa e administração de chave; a pastilha electrónica Capstone é uma versão mais avançada da pastilha electrónica que adiciona capacidades de assinatura digital e compilação de mensagem. Tal como outros sistemas de cifra, a pastilha electrónica Clipper utiliza um algoritmo de cifra simétrico, não obstante um algoritmo classificado chamado Skipjack, que mistura comunicações de dados de computador de telefone e digitais numa maneira semelhante ao DES, mas utilizando uma chave de 80 bit. Cada pastilha electrónica Clipper tem um número de série único, uma chave de família Clipper comum a todos as pastilhas electrónicas Clipper e a sua própria chave de dispositivo privada e simétrica, que será necessária pelas agencias governamentais autorizadas, a fim de descodificar mensagens codificadas por um dispositivo contendo a pastilha electrónica. Quando o dispositivo contendo a pastilha electrónica é fabricado, a chave de dispositivo privada única será dividida em dois componentes (chamados "divisões de chave") e depositados separadamente em duas bases de dados de garantia de chave ou agências que serão estabelecidas no governo. Os agentes das forças da lei podem ter acesso a estas chaves de dispositivo privadas através da obtenção de uma ordem ou outra autorização legal para escutar ou controlar as comunicações e através da apresentação da autorização às duas agências de garantia.

Quando os utilizadores dos dispositivos de pastilha electrónica Clipper desejarem comunicar, eles concordam, em primeiro lugar, com uma chave de sessão simétrica com a qual se cifram as comunicações. Qualquer processo de originar a chave de sessão simétrica, tal como o processo de derivação de chave de Interactive Diffie-Hellman, e pode ser utilizado qualquer processo de transportar a chave de sessão DES entre os utilizadores, tal como o transporte RSA. No início de cada comunicação, cada utilizador envia ao outro um campo de acesso de lei (LEAF), que contém informação suficiente para permitir que os agentes das forças da lei escutem ou controlem a comunicação. O formato acreditado do LEAF Clipper é mostrado na Fig. 13 (notar que em virtude dos pormenores precisos do formato LEAF, a criação e verificação são normalmente classificados de “secreto” pelo governo dos Estados Unidos, esta explicação e a Fig. 13 são ambas algo especulativas). Para formar o LEAF, a chave de sessão é primeiro cifrada utilizando a chave de dispositivo cifrada; depois a chave de sessão de dispositivo de chave cifrado, o número de série do dispositivo de remetente e uma soma de verificação (um valor de verificação) da chave de sessão não cifrada original são cifrados em conjunto com a chave de família Clipper para completar o LEAF. A mensagem é

86 259 ΕΡ Ο 739 560/ΡΤ então cifrada, utilizando a chave de sessão escolhida. A mensagem cifrada de chave de sessão e o LEAF de família de chave cifrada são transmitidos em conjunto para o receptor. Após recepção da comunicação, o utilizador de recepção carrega, em primeiro lugar, o LEAF recebido na sua pastilha electrónica Clipper, a fim de verificar se o LEAF é válido e se a chave de sessão cifrada dentro do LEAF coincide com a chave de sessão recebida anteriormente. Se o LEAF é válido, a pastilha electrónica Clipper decifrará a mensagem com a chave de sessão escolhida que foi recebida anteriormente.

Um agente das forças da lei que dentro da lei faça a escuta ou o controlo da comunicação, no entanto, não sabe a chave de sessão e, assim, deve, em primeiro lugar, decifrar o LEAF a fim de obter a chave de sessão. O agente intercepta o LEAF desejado, decifra o mesmo utilizando a chave de família Clipper e então apresenta o número de série da pastilha electrónica do LEAF e uma autorização de tribunal ou outra autorização legal aos dois agentes de garantia do governo, recebendo em troca as duas divisões de chave da chave de dispositivo privada do utilizador escutado. O agente combina os dois componentes de chave de dispositivo garantidos e utiliza a chave de dispositivo resultante para decifrar a chave de sessão de dispositivo de chave cifrada a partir do LEAF. A chave de sessão pode então ser utilizada para decifrar as mensagens efectivas a partir das comunicações. A exigência de que o remetente e o receptor criem cada um, um LEAF e validem o LEAF do outro, assegura que os agentes das forças da lei têm uma hipótese razoável de interceptar o LEAF, uma vez que se espera que cada LEAF passe entre os utilizadores através do mesmo meio de comunicação. Além disso, permite que se controle legal e selectivamente apenas um utilizador suspeito pela decifração do LEAF, gerado pelo utilizador, indiferentemente de que utilizador originou a comunicação.

Infelizmente, existem muitos problemas técnicos relativamente à proposta de pastilha electrónica Clipper do governo, a maior parte derivados do facto das chaves privadas a serem garantidas serem implantadas permanentemente nas pastilhas electrónicas Clipper durante o fabrico. Em virtude da chave de cifra privada para um dispositivo particular é queimada no interior da pastilha electrónica e não poder ser alterada, a pastilha electrónica e provavelmente todo o dispositivo que a contém deve ser descartado se comprometido. É preferível, para o utilizador de um dispositivo particular, ser capaz de repetir a chave, garantir de novo e certificar de novo o dispositivo como desejado, se existirem suspeitas de comprometimento ou em intervalos regulares para evitar potenciais 13 86 259 ΕΡ Ο 739 560/ΡΤ comprometimentos. Para além da incapacidade do utilizador de repetir e garantir de novo a chave, o utilizador do dispositivo Clipper não tem escolha no que se refere ao número ou às idenlidades dos agenles de yaranLia de chave, empregues pelo governo, para salvaguardar a sua chave privada. Em vez disso, as divisões de chave privada são depositadas em duas bases de dados de garantia ou agências estabelecidas pelo governo. Os utilizadores podem não confiar nos dispositivos de pastilha electrónica Clipper devido ao risco que o governo possa ter acesso completo a qualquer transmissão ou transacção através do dispositivo, acesso que pode ter uma má utilização ou ser corrompido. Os utilizadores podem também desejar que as suas chaves sejam garantidas com mais confiança do que a fornecida pelo governo, a fim de que as suas chaves privadas sejam mais seguras. Se o conceito de garantia de chave é ter significado, cada utilizador deve ter a possibilidade de escolher em quem confiar que garanta as suas chaves privadas, baseados no nível de confiança desejado.

Acredita-se também, que o sistema Clipper do governo permite aos utilizadores comunicar apenas simetricamente e em tempo real, e não fornece qualquer suporte directo para mensagens tipo correio electrónico, armazenadas e transmitidas. Antes da cifra das comunicações, o remetente e o receptor devem primeiro concordar numa chave de sessão simétrica com a qual cifram as comunicações. Tipicamente, esta troca de chave é feita utilizando o esquema Interactive Diffie-Hellman, o único processo de troca de chave, acreditado como sendo suportado peia pastilha electrónica Clipper. Assim, a menos que eles queiram dispor do seu próprio sistema de administração de chave, os utilizadores estão restringidos a comunicações simultâneas e interactivas, tal como voz em tempo real ou comunicações de telecópia. A fim de utilizar mensagens tipo correio electrónico armazenadas e transmitidas um utilizador deve, no entanto, ser capaz de aceder à chave pública do receptor pretendido, tal como através da utilização de um esquema de transporte de chave Certified Diffie-Hellman ou um RSA certificado, mesmo se o receptor dedicado não estiver disponível para uma comunicação em tempo real interactiva. Em virtude de se acreditar que o sistema Clipper do governo não facilita isto, as mensagens armazenadas e transmitidas são difíceis. O sistema padrão proposto do governo pode assim tender a limitar as capacidades de comunicações dos utilizadores de interacção em tempo real.

Além disso, com o sistema do governo, os empregadores dos utilizadores não têm acesso aos dados ou transmissões cifrados dos seus empregados. Os empregadores, em defesa dos quais os empregados estão a desenvolver,

86 259 ΕΡ Ο 739 560/ΡΤ comunicando ou transmitindo dados confidenciais ou de propriedade, devem conservar o direito a ter acesso às transmissões ou dados dos seus empregados. Muitas situações podem acontecer em que a informação cifrada está apenas disponível aos empregados específicos directamente comprometidos na utilização dos sistemas criptográficos e não para a administração ou concelho de directores, os quais são responsáveis por estes empregados e a quem pertencem os recursos de dados da corporação. Pela cifra de dados ou comunicações, os empregados podem desenvolver ou adequar para eles próprios novos programas, produtos e tecnologias ou podem levar a cabo actividades ilegais e transacções, tudo sem o conhecimento dos seus empregadores. O movimento ou a reorganização do pessoal e as mudanças das instalações de armazenagem podiam resultar na perda de grandes quantidades de informação, que era suficientemente importante na altura da cifra ser decifrada. Ver Donn B. Parker, “Crypto and Avoidance of Business Information Anarchy” (Apresentação do orador convidado na First Annual AC Conference on Computer and Communication Security, 3-5 de Novembro de 1993, Reston, VA). Além do originador dos dados ou do remetente das transmissões, a pastilha electrónica Clipper permite que apenas o governo tenha acesso ás transmissões. Embora os empregadores pudessem obter uma autorização do tribunal, a fim de controlar as comunicações dos seus empregados, os empregadores podem desejar controlar os seus funcionários internos de uma maneira mais discreta do que através do início de uma investigação federal de cada vez que haja suspeita.

Além disso, mandatar um algoritmo classificado que está incluído na pastilha electrónica e assim disponível apenas em suporte físico e apenas a partir de fabricantes de pastilhas electrónicas autorizados pelo governo introduz o governo dentro do mercado em rápida alteração e altamente competitivo para comunicações e suporte físico de computadores. Uma agência do governo ou um fabricante autorizado pelo governo pode não ser capaz ou não estar disposto a conceber dispositivos avançados no mercado e produtos especialmente feitos por encomenda para companhias particulares, como poderá estar um fabricante privado. Se o governo autorizar apenas certos vendedores a fabricar as pastilhas electrónicas tendo o algoritmo classificado, a competição será reduzida e a tecnologia será impedida de ser incluída noutros produtos. Adicionalmente, em virtude dos pormenores do algoritmo Skipjack não terem sido tornados públicos, suspeita-se, que o algoritmo possa ser inseguro, devido a erro de concepção ou à introdução deliberada pelo governo de um alçapão. Um valor importante da concepção do sistema de criptografia é que a privacidade e segurança das 15 86 259 ΕΡ Ο 739 560/ΡΤ mensagens cifradas deveriam depender do segredo dos valores de chave relevantes, não do segredo dos pormenores do sistema. É, portanto, desejável proporcionar um sistema de garantia de chave comercial, que utiliza algoritmos publicados, funciona de uma maneira que inspira segurança e confiança ao utilizador, e resolve os problemas postos pelas questões de segurança nacional e da lei.

Também é desejável fornecer um sistema de garantia de chave comercial, que utiliza chaves privadas que podem ser alteradas à vontade pelo utilizador ou em intervalos regulares. É ainda desejável proporcionar um sistema de garantia de chave comercial, que permite ao utilizador escolher os agentes de garantia de chave, para salvaguardar a sua chave privada ou os pedaços separados da sua chave privada. É ainda adicionalmente desejável proporcionar um sistema de garantia de chave comercial que contém salvaguardas contra o acesso do governo sem restrições, permite ainda acesso pelos empregados dos utilizadores ou pelos países dos quais os utilizadores estrangeiros são cidadãos. É também desejável proporcionar um sistema de garantia de chave comercial que ofereça uma alternativa ao sistema de pastilha electrónica Clipper proposto pelo Governo dos Estados Unidos.

RESUMO DQ INVENTO É um objectivo deste invento proporcionar um sistema de garantia de chave comercial, que utiliza algoritmos publicados, funciona de uma maneira que inspira a segurança e confiança, e resolve os problemas postos pelas exigências de segurança nacional e da lei. É outro objectivo deste invento proporcionar um sistema de garantia de chave comercial, que utiliza chaves privadas que podem ser alteradas à vontade pelo utilizador ou em intervalos regulares. É um objectivo adicional deste invento proporcionar um sistema de garantia de chave comercial, que permite ao utilizador escolher os agentes de garantia de

86 259 ΕΡ Ο 739 560/ΡΤ chave, para salvaguardar a sua chave privada ou pedaços separadas da sua chave privada. É ainda um objectivo adicional deste invento proporcionar um sistema de garantia de chave comercial, que contém salvaguardas contra o acesso do governo sem restrições, permitindo ainda acesso pelos empregados dos utilizadores ou pelos países dos quais os utilizadores estrangeiros são cidadãos. E ainda outro objectivo deste invento proporcionar um sistema de garantia de chave comercial que oferece uma alternativa ao sistema de pastilha electrónica Clipper proposto pelo Governo dos Estados Unidos.

Estes e outros objectivos do invento são conseguidos de acordo com os princípios do invento, proporcionando um sistema de garantia de chave criptográfica que utiliza um processo para geração, de modo que possa ser verificado com segurança, uma comunicação de fluxo orientado entre uma pluralidade de utilizadores, como definido nas reivindicações independentes. Algumas características preferidas são especificadas nas reivindicações dependentes.

BREVE DESCRICÃO DOS DESENHOS

Os objectos acima e outros e as vantagens do invento serão evidentes, tendo em consideração a descrição pormenorizada seguinte, em conjunto com os desenhos anexos, nos quais os caracteres de referência referem-se as partes semelhante através dos mesmos, e nos quais: as Figs 1A - 1G são listas de símbolos e abreviaturas que são utilizados nas figuras deste invento; a Fig. 2 é um fluxograma, que mostra os passos do processo de derivação de chave Interactive Diffie-Hellman da técnica anterior; a Fig. 3 é um fluxograma mostrando os passos da porção de certificação do processo Certified Diffie-Hellman da técnica anterior; a Fig. 4 é um fluxograma mostrando os passos da porção de mensagens do processo Certified Diffie-Hellman da técnica anterior; 17 ΕΡ Ο 739 560/ΡΤ a Fig. 5 é um fluxograma mostrando os passos de cifração utilizando o processo de transporte de chave RSA da técnica anterior; a Fig. 6 é um fluxograma mostrando os passos de decifração utilizando o processo de transporte de chave RSA da técnica anterior; a Fig. 7 é um fluxograma mostrando os passos de criação de assinatura utilizando o processo RSA da técnica anterior; a Fig. 8 é um fluxograma mostrando os passos de verificação de assinatura, utilizando o processo RSA da técnica anterior; as Figs. 9-11 são fluxogramas que em conjunto mostram os passos do processo de garantia de chave Micali da técnica anterior; a Fig. 12 é um exemplo do formato para um certificado de garantia de chave de cifra pública da técnica anterior; a Fig. 13 é um exemplo do formato acreditado do dispositivo Clipper do campo de acesso de lei (LEAF); a Fig. 14 é um exemplo do formato para um certificado de dispositivo, emitido pelos fabricantes do dispositivo do presente invento; a Fig. 15 é um fluxograma, que mostra os passos de um processo de garantia verificável de uma chave com apenas um agente de garantia; a Fig. 16 é um fluxograma, que mostra os passos de um processo de garantia verificável uma chave, com base apenas no dispositivo de confiança; a Fig. 17 é um fluxograma mostrando os passos de um processo de envio de uma mensagem cifrada com o cabeçalho de controlo de mensagem (MCH); a Fig. 18 é um exemplo de um MCH num formato de transporte de chave RSA; a Fig. 19 é um fluxograma, que mostra os passos de um processo de recepção de uma mensagem cifrada com um MCH;

86 259 ΕΡ Ο 739 560/ΡΤ 18 a Fig. 20 é um exemplo de uma caixa descodificador MCH e um fluxograma para o seu fluxo de processo; a Fig. 21 é um exemplo de um dispositivo de atribuição de selo de tempo de confiança e com certificação própria; a Fig. 22 é um exemplo do formato para um certificado de dono do dispositivo emitido pelo fabricante do dispositivo; a Fig. 23 é um fluxograma, que mostra os passos de um processo de garantir de novo uma chave (repetir a chave) pelo dono do dispositivo; e a Fig. 24 é um fluxograma, que mostra os passos de um processo para registo do dispositivo de confiança com uma terceira parte de confiança.

DESCRIÇÃO DETALHADA DO INVENTO

Os sistemas criptográficos de chave pública, que incluem a utilização de assinaturas digitais, podem ser potencialmente as pedras fundamentais da criação de sistemas de documentos electrónicos sem papel nacionais, ou mesmo globais. A utilização destes sistemas terá um enorme significado comercial em termos de poupança de custos. O elemento crítico no desenvolvimento e aceitação ampla destes sistemas é a confiança colocada nos sistemas criptográficos subjacentes e as assinaturas digitais pelos governos, bancos, corporações e outros utilizadores, incluindo utilizadores individuais. A confiança nestes sistemas deve aumentar não a partir da segurança por cada utilizador do seu próprio sistema interno ou de outros utilizadores, mas a partir da segurança por cada utilizador do sistema criptográfico de chave pública e dos mecanismos de certificação que o mesmo fornece. O sistema croptográfico comercial do presente invento satisfaz estas preocupações através da utilização da certificação própria e, portanto, dispositivos de cifração confiáveis como árbitros imparciais de confiança.

Um pastilha electrónica inviolável, ou um dispositivo de confiança inviolável contendo a pastilha electrónica, que realiza a cifração, decifração e assinatura digital está incluído com um par de chaves de assinatura pública/privada não modificável únicas para a pastilha electrónica e com um "certificado de fabricante". O certificado de fabricante incluído habilita o dispositivo que contém a pastilha electrónica (a) o "assinar" digitalmente documentos e comunicações ("estruturas de 19 86 259 ΕΡ Ο 739 560/ΡΤ dados") utilizando a sua própria chave de assinatura de dispositivo privado, provando que os mesmos são unicamente originados a partir deste dispositivo e (b) a provar através da anexação do certificado do fabricante a documentos e comunicações, que as estruturas de dados podem ter segurança, porque o dispositivo que origina as mesmas é um dispositivo de um tipo conhecido e de confiança e é feito pelo fabricante de confiança. O certificado do fabricante diz com efeito, "O dispositivo cuja chave privada combina com a chave pública aqui certificada é do tipo XXX. Assinado, o Fabricante". Em virtude da chave de assinatura privada estar incluída de uma maneira inviolável e em virtude do fabricante ser de confiança, os documentos e as comunicações emitidas pelo dispositivo e assinados utilizando a chave de assinatura privada serão também confiáveis.

Uma concretização preferida do presente invento será descrita com referência ao seguinte: (1) criação ou fabrico das pastilhas electrónicas contidos no dispositivos, (2) registo da chave de cifra do dispositivo em agentes de garantia, (3) cifração e decifração normal das mensagens do utilizador, (4) descodificação das comunicações por agentes das forças da lei, (5) repetição da chave e actualização do dispositivo pelo dono ou empregado, (6) auditoria das escutas legais, (7) cifração de dados com fluxo orientado, e (8) salvaguardas de segurança nacional.

Fabrico do dispositivo de confiança O fabrico de dispositivos confiáveis é baseado na presença das seguintes características gerais: (1) um microprocessador incluído (ou mícrocontrolador), um computador em miniatura que faz a mediação com todos os acessos exteriores e realiza várias operações de computação e de programação: (2) um coprocessador criptográfico opcional, o qual pode realizar operações de cifração e de decifração matemáticas normalizadas a uma velocidade muito mais alta do que pode o fazer um microprocessador de geral e o qual contém, de preferência, uma fonte de ruído de suporte físico, tal como uma fonte de ruído de díodo, para assistir à geração de números aleatórios certificáveis, como necessário para a geração da chave criptográfica; 20 86 259 ΕΡ Ο 739 560/ΡΤ (3) uma interface ou subsistema de entrada e saída para auxiliar o manuseamento do fluxo de dados e comandos para microprocessador e a partir do mesmo, o qual pode incluir um mostrador ou monitor de estado; e (4) um subsistema de memória, que pode empregar potencialmente vários tipos de tecnologia de armazenagem de memória, tendo cada um características diferentes de permanência e acessibilidade, tais como (a) memória apenas de leitura ("ROM"), que pode conter programas e dados permanentes e não alteráveis, (b) memória apenas de leitura programável e apagável electricamente ("EEPROM") ou memória "FLASH", que podem conter programas e dados semi-permanentes, isto é, as mesmas podem ser alteradas, mas no entanto não são perdidas quando é perdida a alimentação do dispositivo ou a mesma é desligada, e (c) memória de acesso aleatório ("RAM"), a quai pode ser utilizada para cálculos temporários e armazenagem de dados temporária, mas que é perdida quando a alimentação é desligada.

Todo o dispositivo é projectado e fabricado de tal modo que todos os seus elementos, incluindo especialmente as áreas de memória semi-permanentes e permanentes, são protegidos contra violação, que possa revelar os seus conteúdos ou alterar os seus modos de funcionamento. Uma maneira de proteger os elementos do dispositivo contra violação é através da utilização de revestimentos especiais que são difíceis de remover sem destruir a informação que está por debaixo dos revestimentos. Além disso, existem outras características que podem originar que a memória seja apagada se for tentada qualquer alteração ao conteúdo físico de qualquer das áreas de memória ou se ocorrerem acções suspeitas de violação do sinal, tal como arrefecer o dispositivo por baixas temperaturas anormais numa tentativa de desactivar e ultrapassar o mecanismo de defesa interna do dispositivo. Algumas destas características de protecção podem exigir uma fonte de alimentação de bateria constante, de modo que o dispositivo possa tomar acções eléctricas para apagar dados importantes se existir a suspeita de violação. O presente invento não especifica qualquer processo preferido particular para fazer os dispositivos resistentes à violação, mas antes conta com as tecnologias existentes ou futuras que podem ser ou se podem tornar visíveis geralmente como proporcionando um grau aceitável de protecção de descrições não autorizadas ou modificações dos dados contidos nos dispositivos. Um dispositivo com tais características é algumas vezes referido como um módulo seguro resistente a violação (TRSM), do qual um exemplo corrente é o dispositivo Clipper/Capstone, explicado antes, disponível comercialmente em Mykotronx, Inc. 21 86 259 ΕΡ Ο 739 560/ΡΤ Ο fabricante das pastilhas electrónicas pode ser qualquer um dos muitos fabricantes de pastilhas electrónicas de microprocessadores de computador principais. O fabricante pode ser, de preferência, um que seja conhecido na indústria criptográfica e seja de confiança em relação à qualidade e segurança das pastilhas electrónicas e à integridade do seu processo de fabrico.

As pastilhas electrónicas fabricadas a fim de serem utilizadas no processo, no qual o invento está incluído, incluem as seguintes capacidades. A pastilha electrónica deve, em primeiro lugar, incluir um par de chaves pública/privada de dispositivo incluído para as assinaturas de dispositivo serem emitidas pelo dispositivo, em que a chave de assinatura privada não é lida e é resistente a violação. As chaves de assinatura criptográfica podem ser de qualquer tipo criptográfico aceitável, tal como o RSA. No entanto, em virtude do RSA ter tanto as capacidades de assinatura como de cifração, e em virtude de ser desejável isolar os processos de assinatura e cifração, a chave de assinatura criptográfica deve ser, de preferência DSA. A pastilha electrónica deve incluir também um certificado do fabricante, incluído e resistente a violação, para a chave de assinatura de dispositivo, um exemplo do formato para isso é mostrado na Fig. 14. O dispositivo que contém a pastilha electrónica pode anexar este certificado para as suas assinaturas, a fim de provar que as assinaturas originadas a partir do dispositivo de um tipo conhecido e de confiança tendo as qualidades descritas abaixo.

Um pastilha electrónica fabricada a fim de ser utilizada no processo, no qual o presente invento está incluído deve também incluir a chave de verificação de assinatura pública do fabricante, incluída dentro da pastilha electrónica de uma maneira resistente a violação. A chave de assinatura pública do fabricante pode ser utilizada pelo utilizador para verificar as instruções recebidas de outros, pela verificação se as instruções estiveram anexas a uma assinatura digital válida criada pela chave de assinatura privada do fabricante, a fim de determinar se as instruções são originadas pelo fabricante ou por alguém em quem o fabricante confie. A pastilha electrónica pode também incluir chaves de instruções públicas e resistentes à violação que podem ser utilizadas pelo utilizador para verificar instruções recebidas a partir de outros. A chave de instruções pública pode ser a chave pública de algumas outras entidades confiáveis, tal como o "Bankers Trust Co.”, seleccionadas pelo fabricante ou pode ser a chave pública de uma autoridade nacional ou de sistema global de confiança, e pode em opção ser incluída numa pastilha electrónica pelo fabricante para utilização como um "atalho", para evitar a necessidade de verificar o certificado de fabricante para a entidade de confiança 22 86 259 ΕΡ Ο 739 560/ΡΤ extra. Ο fabricante pode instalar várias chaves de instrução de várias casas de garantia de chave qualificadas, que o fabricante selecciona e acredita que sejam capazes e confiáveis.

Além disso, a pastilha electrónica deve ter a capacidade de gerar um par de chaves pública e privada para cifração e decifração dos dados e comunicações pelo utilizador individual. As chaves criptográficas de cifração podem ser de qualquer tipo criptográfico assimétrico aceitável, tal como o RSA. As chaves criptográficas devem, no entanto, ser, de preferência, do tipo Diffie-Hellman, isto é, o número secreto do utilizador é a chave privada e o número intermédio publicitado do utilizador é a chave pública, as quais são utilizadas juntas no esquema Certified Diffie-Hellman para gerar uma chave de sessão, que é utilizada para cifração e decifração de comunicações. A chave privada assim gerada é depois armazenada dentro das pastilhas electrónicas de uma maneira não legível e resistente a violação. Adicionalmente, a pastilha electrónica deve ter também a possibilidade, uma vez que um par de chaves de cifração pública e privada para o dispositivo já foi gerada, para repetição da chave e geração de um novo par de chaves de cifração pública e privada no lugar do par de chaves anterior. Noutra concretização, pode também ser utilizada a geração de chave Interactive Diffie-Hellman, como explicado mais tarde, a fim de assegurar que todos os remetentes e receptores contribuem com novos números aleatórios para gerar as chaves de sessão de mensagem. O dispositivo de confiança pode ter a capacidade de decifrar as comunicações cifradas em apenas duas condições. A primeira condição é que o centro de garantia principal válido certifica para os dispositivos tanto do remetente como do receptor devem ter sido incluídos dentro do dispositivo, antes de terem recebido a transmissão cifrada. Cada certificado é válido se for assinado por um centro de garantia principal, que certifica que a chave de decifração privada do dispositivo foi garantido por um ou mais agentes de garantia qualificados e, de preferência, por dois ou mais agentes estilo Micali, que utilizam um protocolo de divisão de chave verificável. Este centro de garantia principal certifica se deve ser acompanhado por outro certificado, passado pelo fabricante estabelecendo o centro de garantia principal nomeado, como um agente de garantia válido, ou deve ser assinado por uma terceira parte (uma autoridade nacional de confiança ou um sistema global), nomeada como possuindo uma chave de instruções pública incluída na pastilha electrónica pelo fabricante. A segunda condição para decifração é que a mensagem a ser decifrada dcvc scr precedida por um campo de dados de 23 86 259 ΕΡ Ο 739 560/ΡΤ cabeçalho de controlo de mensagem (MCH) (para cujo formato será uma descrição mais tarde), a fim de que o pessoal de segurança do empregador e legal terá dados suficientes, a partir dos quais se obtêm as chaves privadas garantidas do receptor e logo o controlo da comunicação. A pastilha electrónica pode também ter a capacidade de gerar um par de chaves pública e privada para ser utilizado nas distintas assinaturas de utilizador, a partir do par de chaves incluídas, que é utilizado para as assinaturas de dispositivo. Como com o par de chaves de assinatura de dispositivo, as chaves de assinatura de utilizador criptográfico pode ser de qualquer tipo criptográfico aceitável, tal como o RSA, mas deviam, de preferência, ser DSA, de novo para evitar qualquer possível confusão com as chaves utilizadas para a cifração de mensagens. A chave privada de assinatura de utilizador deve ser ilegível e resistente a violação. O utilizador deve utilizar a chave privada de assinatura para assinar as suas comunicações para verificação de remetente e fins de não repúdio. A pastilha electrónica pode ter também a capacidade de utilizar a chave de assinatura de dispositivo, a fim de assinar um pedido de certificação da chave de assinatura pública de utilizador, que foi gerada pelo utilizador, provando assim que o par de chaves de assinatura do utilizador foi gerado por um dispositivo com propriedades de resistência a violação conhecidas e a chave privada está a ser salvaguardada pelo mesmo. A pastilha electrónica pode também ter uma fonte de ruído de suporte físico, tal como uma fonte de ruído de díodos, para gerar números aleatórios durante a geração de chave, e um único número de série de dispositivo físico, para permitir que o dispositivo ou as suas acções sejam seguidas por sistemas contabilisticos, de administração de redes e de inventário. Neste caso, a assinatura de dispositivo deve certificar não apenas que o dispositivo do utilizador tem propriedades resistentes a violação conhecidas, mas também que todas as chaves ou números aleatórios gerados pelo dispositivo foram gerados aleatoriamente, utilizando um gerador de números aleatórios de alta qualidade, de preferência uma fonte de ruído de díodo.

No fabrico do dispositivo de confiança, que contém a pastilha electrónica, a memória da pastilha electrónica é dividida em, pelo menos, três áreas gerais como se segue: (1) espaço de memória não alterável e permanente, que contém dados e suporte lógico inalterável, incluídos dentro da pastilha electrónica durante o fabrico; (2) espaço de memória alterável e semi-permanente, que contém dados, tais como as chaves de assinatura e cifra privada do utilizador, geradas para o utilizador e

86 259 ΕΡ Ο 739 560/ΡΤ mantidas com confiança para o utilizador pela pastilha electrónica, dados e chaves os quais podem ser utilizados pela pastilha electrónica para fazer assinaturas digitais, ou para decifrar para o utilizador, mas os quais não são nunca descritos fora do dispositivo; e (3) espaço de memória temporária e não permanente, que contém uma área de trabalho utilizada para armazenagem temporária das entradas, resultados intermédios e resultados finais de várias operações de processamento de dados. Dependendo da concepção, estas áreas gerais podem cada uma existir dentro de um tipo diferente de sistema de armazenagem de memória, tal como a ROM para os dados permanentes, memória EEPROM ou FLASH para dados de utilizador, conservados em confiança, e RAM para armazenagem temporária volátil. Outra abordagem pode ser utilizar a memória FLASH para os dados tanto permanentes como não permanentes. Ainda uma outra opção é utilizar um sistema de operação de pastilha electrónica que deve gerir a memória de microprocessador, utilizando uma directoria de objectos. Com esta abordagem, uma porção de memória pode ser dedicado a uma tabela ou directoria dos outros itens na memória e pode incluir informação normalizada para cada objecto, tal como: - nome lógico (por exemplo, "chave pública do fabricante"); - tipo (por exemplo, chave, certificado, rotina de código, etc.); - endereço de início e comprimento de dados (em bytes); - última data modificada (opcional); - nível de protecção (permanente, utilizador ou volátil); - nível de descrição (legível extemamente ou não legível externamente).

Desta maneira, sempre que a memória completa está igualmente resistente a violação, não é necessário conceber áreas especiais para os dados protegidos ou não protegidos em virtude do microprocessador poder rapidamente reforçar o nível desejado de protecção, com base no código, contido na entrada de directoria relevante para o objecto de dados. Este esquema pode também ser aplicado a rotinas de código suporte lógico inalterável, quase tão facilmente como a dados, e pode ser com vantagem aplicado quando se renovam ou substituem rotinas de 25 86 259 ΕΡ Ο 739 560/ΡΤ código suporte lógico inalterável confiáveis, sem a necessidade de substituir fisicamente o dispositivo ou qualquer das suas unidades de memória.

As áreas de memória protegidas do dispositivo podem conter os seguintes tipos de informação, incluindo os códigos de programa de dados e suporte lógico inalterável. A. Inserida permanentemente pelo fabricante 1. Pode ser descrita extemamente a. chave pública de autoridade de sistema geral (opcional) b. chave pública de fabricante c. certificado de fabricante da autoridade de sistema geral d. chave pública de dispositivo e. certificado de dispositivo do fabricante f. número de série único de dispositivo g. números de versão suporte lógico inalterável h. chaves de instrução pública de banco de confiança 2. Não pode ser descrita externamente a. chave de assinatura privada de dispositivo 3. Suporte lógico inalterável a. sistema de operação e sistema de ficheiro b. rotinas de biblioteca criptográfica básicas c. rotinas de sistema de garantia 26 86 259 ΕΡ Ο 739 560/ΡΤ d. outro código de aplicações de confiança B. Gerada por operações de utilizador e mantido em confiança para o utilizador 1. Pode ser Externamente Descrita a. chave de cifra pública do utilizador b. certificado de garantia de chave de cifra pública do utilizador c. chave de assinatura pública do utilizador d. certificado de chave de assinatura pública do utilizador 2. Não pode ser Externamente Descrita a. chave de decifração privada do utilizador b. chave de assinatura privada do utilizador C. Outra Armazenagem Ler Escrever Não Volátil a. certificados de assinatura dos correspondentes b. certificados de garantia dos correspondentes c. certificados de dispositivo dos correspondentes (para verificação MCH) D. Armazenagem de Trabalho (Podia ser Volátih

As chaves públicas (todos os tipos), os certificados (todos os tipos), os valores de informação não válida, os blocos de assinatura, as outras estruturas de dados a serem processadas. 27 86 259 ΕΡ Ο 739 560/ΡΤ

Processo de Garantia de Chave

Depois da pastilha electrónica ter sido fabricada e antes de utilizar a pastilha electrónica para cifrar ou decifrar comunicações, a chave de decifração pública do utilizador deve ser registada com um centro de garantia principal ou com agentes de garantia, aprovados pelo fabricante da pastilha electrónica. Ou o próprio utilizador pode realizar esta operação ou o fabricante pode iniciar e registar a pastilha electrónica num agente de garantia durante o fabrico, evitando assim ao próprio utilizador a exigência de garantir as suas chaves. No entanto, o próprio fabricante podia ainda deixar ao utilizador a opção de repetir a chave numa altura posterior. Para muitos utilizadores individuais, permitindo ao fabricante registar a pastilha electrónica, com ou sem uma opção de repetir a chave, será suficiente. Além disso, os consumidores deveriam muito provavelmente confiar nos agentes de garantia escolhidos pelo fabricante da pastilha electrónica. As corporações ou outros empregados podem programar as suas próprias pastilhas electrónicas e as pastilhas electrónicas dos seus empregados, e podiam registar as pastilhas electrónicas em agentes de garantia da sua própria escolha. As corporações, no entanto, não deveriam geralmente permitir que os seus empregados repitam as chaves eles próprios, porque isto podia resultar na perda de controlo sobre a informação e créditos corporativos, como explicado acima. A fim de gerar e registar uma chave de decifração, o utilizador (ou uma qualquer entidade que realize a operação) invoca um programa de suporte lógico inalterável, que foi incluído na pastilha electrónica e que dá instruções à pastilha electrónica para realizar os passos particulares do processo de garantia de chave Micali ou o processo de garantia de chave específico que é utilizado. Ver as Figs. 9 a11,15e16. Utilizando qualquer processo escolhido para garantira chave privada com um ou mais agentes de garantia, a pastilha electrónica gerará primeiro aleatoriamente, ou escolherá, um número secreto que será a chave de decifração privada para o utilizador (bem como os outros, números públicos que serão exigidos, se os números não foram já ajustados por alguma outra geração aleatória anterior). A pastilha electrónica armazenará a chave privada de uma maneira não legível e resistente a violação. Como mostrado na Fig. 15, a chave de decifração privada pode ser garantida num único agente de garantia. O dispositivo de confiança 150 gera primeiro um par de chaves de cifra pública/privada 151 para o utilizador e envia então para o centro de garantia 153 uma mensagem cifrada e assinada 152 consistindo no par de chaves de cifra 151 e o número de série do dispositivo 154, com o certificado do fabricante 155 para verificação da assinatura. 28 86 259 ΕΡ Ο 739 560/ΡΤ Ο centro de garantia 153 verifica as assinaturas, decifra o pacote de mensagem e armazena a chave de decifração privada do utilizador. O centro de garantia 153 envia também para o utilizador o certificado assinado 156, consistindo no número de série do dispositivo do utilizador 154 e na chave de cifra pública do utilizador 151 e a chave de verificação de assinatura pública do dispositivo 157, com o certificado do centro de garantia 158 para verificação de assinatura. Uma vez que o dispositivo do utilizador verifica a assinatura do centro de garantia, o registo fica completo.

Se a chave privada é para ser garantida em mais do que um agente de garantia, então a pastilha electrónica partirá então a chave privada em vários pedaços chamadas divisões de chave, de acordo com uma fórmula específica. Utilizando o processo de garantia Micali e o algoritmo descritos antes e mostrados na Fig. 9, a pastilha electrónica calculará então certos valores 90 utilizando o algoritmo Micali especial, a fim de que cada valor é apoiado numa transformação matemática de um dos pedaços da chave privada 92. A pastilha electrónica forma então um pacote de partilha para cada agente de confiança ou de garantia 94, indicado pelo utilizador, contendo cada pacote de partilha 93 o único número de série do dispositivo do utilizador, uma divisão de chave privada e o conjunto de certos valores que permitem ao agente de confiança particular verificar a divisão de chave privada recebida como uma parte válida da chave privada completa, sem dar conhecimento ao agente de confiança da chave privada completa. Como explicado mais tarde, se o utilizador não é o dono do dispositivo, mas em vez disso, por exemplo, um empregado do dono e empregador, o pacote de partilha de confiança deve também incluir o número de identificação único do dono do dispositivo e o certificado do dono do dispositivo, a fim de que o dono e empregador pode obter a chave privada do utilizador e empregado sem ter de primeiro obter uma autorização. A pastilha electrónica assina então cada pacote de partilha de confiança utilizando a única chave de assinatura privada de dispositivo e anexa o certificado do fabricante à pastilha electrónica de transmissão, atestando em consequência que a informação transmitida originada de um dispositivo de um tipo conhecido e de confiança. Finalmente, a pastilha electrónica enviará cada pacote de partilha de confiança assinado para entrega pelo utilizador a um agente de garantia e de confiança.

Existe uma outra maneira preferida do centro de garantia principal verificar as divisões de chave separadas, sem utilizar o processo Micali, contando apenas com o dispositivo de confiança. Utilizando este processo de verificação das divisões de chave, mostrado na Fig. 16, a pastilha electrónica gera um número aleatório 29 86 260 ΕΡ 0 739 560/ΡΤ para cada divisão de chave da chave de cifra privada. A pastilha electrónica forma então um pacote de partilha 161 para cada agente de garantia e de confiança 163, indicado pelo utilizador, que contém cada pacote o número do dispositivo do utilizador único, uma divisão de chave privada e um dos números aleatórios. A pastilha electrónica assina cada pacote de partilha de confiança utilizando a chave de assinatura privada de dispositivo única e anexa o certificado do fabricante 162 da pastilha electrónica de transmissão, atestando portando que a informação transmitida é originada de um dispositivo de tipo conhecido e de confiança. Como com o processo Micali, a pastilha electrónica enviará então cada pacote de partilha de confiança assinado 161, para entrega pelo utilizador a um agente de garantia e de confiança 163. Adicionalmente, a pastilha electrónica deve também criar uma mensagem (cifrada) 164 para o centro de garantia principal 165, que contém, entre outras coisas, a chave de cifra pública de utilizador e os nomes dos agentes de garantia indicados pelo utilizador e em conjunto com o número aleatório dado com as divisões de chave a cada agente de garantia respectivo. É possível, no entanto, em virtude de cada pacote de partilha de confiança conter uma divisão de chave privada, que uma terceira parte com acesso a comunicações de um utilizador até os agentes de garantia possa ler os conteúdos de todos os pacotes de partilha de utilizador e recombinar as divisões de chave privada dentro dos pacotes a fim de reagrupar a chave privada completa. Então, utilizando a chave privada, a terceira parte podia decifrar e cifrar comunicações em nome do utilizador. O melhor caminho para evitar esta situação é através da utilização de sistemas de comunicações cifradas, quando se enviam pacotes de partilha a partir de utilizadores para agentes de garantia. O utilizador deve obter o certificado de chave de cifra pública 166 de cada agente de garantia seleccionado, para garantir a chave privada de utilizador, onde cada certificado é assinado pelo centro de garantia principal, certificando que o agente de garantia particular é de confiança para o centro de garantia principal, para receber e armazenar um pacote de divisão de chave, e deve então verificar a assinatura de centro de garantia principal ou utilizando um certificado a partir do fabricante do dispositivo (ou a partir de uma autoridade de sistema geral) ou utilizando uma chave de instruções previamente incluída. O dispositivo deve então cifrar, para cada agente de garantia com base na chave de cifra pública certificada do agente, uma transmissão 161 que inclui o pacote de partilha de chave privada de utilizador. Em alternativa, o fabricante pode inserir na pastilha electrónica as chaves de cifra públicas de vários agentes de garantia confiáveis, que coincidentes com uma chave de instruções para cada um deles, como explicado anteriormente, com a finalidade do utilizador

86 259 ΕΡ Ο 739 560/ΡΤ 30 enviar as suas divisões de chave privada a agentes de garantia de confiança do possuidor das chaves de instruções, o qual é tipicamente o centro de garantia principal. Desta maneira, todos os agentes de garantia na "família" do centro de garantia principal ou do fabricante podem decifrar os pedidos de utilizador para garantir, enquanto poupa ao utilizador a carga de obter os certificados de chave de cifra pública de todos os agentes de garantia.

Uma vez que cada agente de garantia ou de confiança 163 recebe o pacote de partilha apropriado 161 a partir do utilizador ou do dispositivo de utilizador, o agente de confiança inspecciona a divisão de chave privada recebida no pacote de divisão de confiança 161, a partir do dispositivo de utilizador e, em conjunto com o centro de garantia principal 165, verifica que é uma parte válida e correcta da chave privada completa. É necessário para os agentes de garantia e centro de garantia principal terem meios confiáveis de fornecer ou verificar que os fragmentos da chave de decifração privada do utilizador foram de facto depositados. É desejável que a verificação das divisões de chave sejam conseguidas pelos agentes de garantia e pelo centro de garantia principal sem nunca inspeccionarem ou possuírem eles próprios os fragmentos, ou nunca os juntarem numa localização. O sistema de garantia "Distinto" Micali fornece uma maneira altamente de confiança para o centro de garantia verificar os depósitos separados dos fragmentos de chave. No processo Micali, mostrado nas Figs. 10 e 11, esta verificação é feita com o conjunto de certos valores, que foram calculados pela pastilha electrónica do utilizador, durante a preparação do pacote de partilha através da utilização de um algoritmo Micali especial e que foram incluídos com a divisão de chave em cada pacote de partilha para os agentes de garantia. O algoritmo Micali e a verificação de divisão de chave são conhecidos na técnica e não necessitam de ser repetidos aqui. Cada agente de confiança 94 armazena então o certificado do fabricante de dispositivo, para utilização posterior na descodificação, e aprova a divisão de chave 93, através do envio de uma mensagem assinada apropriada 96, para o centro de garantia principal, em conjunto com o nome de utilizador e o certificado de dispositivo, e pela assinatura e armazenagem da divisão de chave 90. Apenas quando apresentado com quer (a) uma autorização ou ordem de tribunal quer (b) um pedido assinado do dono legítimo do dispositivo, o agente de confiança revelará o pedaço (ou pedaços) de uma dada chave de decifração privada na sua posse.

Utilizando o processo de garantia e verificação preferido, contando apenas com o dispositivo de confiança, mostrado na Fig. 16, cada agente de confiança 163 transmite uma mensagem 167 para o centro de garantia principal 165 identificando 31 86 259 ΕΡ Ο 739 560/ΡΤ ο nome do utilizador, chave de cífração pública, número de dispositivo e o número aleatório que ele recebeu. Além disso, o dispositivo de utilizador envia um pacote para o centro de garantia principal 1G5, contendo os números aleatórios utilizados para a verificação das divisões de chave privada, e o pacote deve ser cifrado, utilizando a chave de cifra pública do centro de garantia principal. O centro de garantia principal 165 recebe as mensagens 164, 167 do dispositivo de utilizador e dos agentes de confiança 163, e verifica que o número individual aleatório recebido de cada agente de confiança combina o número aleatório, que o dispositivo de utilizador declarado deu ao agente de confiança. De notar que com este processo os agentes de garantia 163 e o centro de garantia principal 165 contam unicamente com a assinatura de dispositivo de confiança nos pacotes de partilha 161, para se assegurarem de que a garantia é apropriada. Este processo de garantia e verificação não precisa de realizar quaisquer operações matemáticas secundárias, para verificar que a garantia é apropriada ou que a chave pública, apresentada para certificação, se combina com os fragmentos de chave depositados. Embora, do ponto de vista do público, confiança de utilizador ou sistema geral, pode ainda ser desejável utilizar um algoritmo de garantia de chave, verificável tal como o processo Micali, não é claramente necessário e pode-se passar sem o mesmo, quando o custo adicional da utilização de um tal processo não pode ser justificado. Além disso, através deste processo com base apenas no dispositivo de confiança, não existe limite para a complexidade dos esquemas de divisão de chave que podem ser inventados, porque não há necessidade de inventar algoritmos secundários complexos para verificar o desempenho correcto de qualquer esquema dado. É necessário apenas confiar na integridade do fabricante de dispositivo, que tem incluído o código de suporte lógico inalterável e confiar que o dispositivo resiste a violação.

Depois de verificar todas as divisões de chave privada de utilizador, o próprio centro de garantia principal aprova ainda a chave de cifração pública que corresponde à chave de cifração privada, que foi aprovada por todos os agentes de confiança do utilizador; o centro de garantia principal 165 aprova a chave pública através da emissão de um certificado assinado 168 (chamado certificado de centro de garantia principal, certificado de chave de cifração pública, ou simplesmente, o certificado de garantia), que certifica que a chave privada correspondendo à chave pública a ser certificada foi já garantida de uma maneira apropriada. A chave de assinatura pública do dispositivo do utilizador, obtida a partir do certificado do fabricante do dispositivo, pode também ser colocada no certificado do centro de garantia principal, eliminando assim a necessidade de enviar ou tomar a verificar o 32 86 259 ΕΡ Ο 739 560/ΡΤ certificado do fabricante do dispositivo em pontos mais tarde no processo. O certificado de centro de garantia principal podia ser formatado como se segue: Número de versão Número de série do certificado de garantia Código de país do centro de garantia principal Nome do centro de garantia principal

Chave de cifração pública de centro de garantia principal (para utilizar na criação do LEAF)

Nome distinto do utilizador

Chave de cifração pública de utilizador (sendo aqui certificada)

Chave de verificação de assinatura pública de dispositivo de utilizador (para verificar a assinatura de dispositivo)

Data de validade (início/fim)

Assinatura de centro de garantia principal [Certificado de sistema geral de centro de garantia principal]

Os certificados de chave de cifração pública, que foram emitidos pelo centro de garantia principal, são distribuídos e podem ser utilizados ou pelo dono do dispositivo, a fim de activar o seu dispositivo para originar mensagens cifradas, ou por outros para cifrar mensagens para o dono do dispositivo, contendo o par de chave de cifração pública/privada de utilizador.

Deve ser notado que não há necessidade de que mais do que um agente de garantia seja o receptor das divisões de chave de cifração privada de utilizador; em alguns casos, pode ser suficiente simplesmente depositar a chave de decifração privada de utilizador com um único agente de garantia (ou centro de garantia). No entanto, a fim de melhorar a confiança do utilizador e do público no sistema, é desejável dividir a chave de decifração privada de utilizador entre vários agentes de garantia, a fim de todas as divisões de chave, ou algum número específico das mesmas, que são necessárias a fim de juntar a chave de utilizador e decifrar as suas comunicações. É ainda desejável que cada agente de garantia seja uma operação de negócio de confiança, independente, efectuando, desse modo, o "conhecimento dividido", a fim de que ao acontecer uma tentativa de corrupção, suborno, extorsão ou abuso, será muito mais difícil obter falsamente a chave de decifração privada de utilizador do que seria se a chave privada estivesse armazenada numa única entidade. É também desejável que as entidades estejam 33 8G 259 ΕΡ Ο 739 560/ΡΤ separadas geograficamente a fim de suprimir ainda as tentativas de subversão ou corrupção.

Cifracão de Comunicações

Um utilizador, que deseja enviar uma comunicação cifrada para outro utilizador, deve ter um certificado de garantia para o seu próprio dispositivo e um certificado de garantia para a chave de cifra pública de receptor pretendido, em virtude do dispositivo do presente invento nunca cifrar ou decifrar se qualquer deles faltar. Primeiro, o remetente deve carregar o seu próprio certificado válido no dispositivo, tipicamente, quando ele recebe o mesmo, em primeiro lugar, do centro de garantia principal. Então, o certificado de chave pública de receptor pretendido pode ser obtido ou a partir do receptor pretendido directamente, a partir de um serviço de directório listando chaves públicas, ou a partir do ficheiro local do remetente, por exemplo, um ficheiro de utilizadores, com quem o remetente trocou anteriormente comunicações cifradas. Num exemplo, porque um dispositivo do remetente não cifrará e o dispositivo de receptor não decifrará a não ser que o certificado de chave de cifra pública do receptor esteja “válido”, a fim do dispositivo de receptor decifrar a mensagem cifrada, o certificado de chave de cifra pública do receptor deve ser assinada por (a) o fabricante do dispositivo receptor (esta não deve ser a melhor situação, em virtude dos fabricantes do dispositivo não estarão provavelmente a garantir as chaves privadas de utilizador); (b) o centro de garantia principal, e acompanhado pelo certificado de fabricante, que aprova o centro de garantia principal como um centro de confiança válido; ou (c) um centro de garantia principal ou de confiança cuja chave de instruções foi incluída no dispositivo durante o fabrico. Utilizando a chave de cifra pública certificada de receptor pretendido como estabelecido no certificado de chave de cifra do receptor, o utilizador remetente gera então uma chave de sessão, para utilização tanto pelo remetente como pelo receptor, para cifrar e decifrar a comunicação. Esta chave de sessão pode ser gerada de preferência utilizando o processo Certified Diffie-Hellman ou, em alternativa, qualquer outro sistema equivalente. No processo Certified Diffie-Hellman, o utilizador gera, em primeiro lugar aleatoriamente a sua chave privada efémera para a mensagem e depois calcula a chave de sessão, apoiada na sua própria chave privada e na chave pública de receptor (isto é, o número intermédio de receptor e os dois números públicos, os quais estão todos contidos no certificado de chave de cifra pública de receptor). Então, utilizando a chave de sessão, o remetente cifra a mensagem a ser enviada para o utilizador de recepção. 34 86 250 ΕΡ 0 739 560/ΡΤ

No entanto, ao decidir se enviar ou não uma mensagem cifrada para o receptor pretendido, o remetente pode não ser capaz de verificar as propriedades do certificado de chave de cifra pública do receptor, ou das assinaturas digitais no mesmo, se o dispositivo do remetente for feito por um fabricante diferente do que fez o dispositivo do receptor. O facto de que, o dispositivo do receptor foi feito por um fabricante diferente, evita que o dispositivo do remetente verifique se a assinatura de fabricante ou o certificado do fabricante (que certificou o centro de garantia principal, que assinou o certificado de garantia de chave de receptor), declarando que o centro de garantia principal do receptor é válido e está aprovado pelo fabricante. Do mesmo modo, a pastilha electrónica do receptor não deve ser capaz de verificar estas condições em relação ao certificado do remetente antes da decifração. A implementação da restrição de garantia em ambas as partes é necessária, a fim de permitir aos agentes das forças da lei interceptar legalmente e decifrar mensagens, sendo tanto enviadas como recebidas por um dado utilizador suspeito, sem obter necessariamente a chave de decifração privada da outra parte não monitorizada e, desse modo, aceder às mensagens não relacionadas da parte não monitorizada.

Uma maneira para endereçar este resultado, enquanto que ainda se permite mais do que um fabricante para fazer dispositivos criptográficos, é incluir no dispositivo ou num certificado, emitido quer pelo centro de garantia principal do utilizador quer pelo fabricante de pastilha electrónica, uma chave pública de uma entidade nacional de confiança, por exemplo o Banco de Reserva federal ("FRB’’), o qual pode ser utilizado para verificar ainda outro certificado emitido pelo FRB para cada um dos outros vários centros de garantia principais ou fabricantes. Um tal certificado deve verificar a exactidão do centro de garantia principal particular ou fabricante e deve ser assinado pelo FRB. Um utilizador remetente pode então obter o certificado de chave de cifra pública de um receptor pretendido e pode confiar no centro de garantia principal que emitiu o certificado, porque o centro de garantia principal foi aceite pelo FRB, em vez de pelo fabricante de pastilha electrónica, como certificado pelo certificado ou chave pública FRB. Também, a assinatura de um dispositivo particular podia ser de confiança porque o outro fabricante que certificou o dispositivo foi aceite pelo FRB, como certificado pela chave pública ou certificado FRB. A fim de lidar com esta questão num nível menos paroquial com base nos Estados Unidos e promover um sistema mais internacional e geral, a chave pública de uma entidade global de confiança, tal como o "Bank for International Settlements" na Suíça, pode ser incluído no dispositivo de confiança, o certificado FRB ou o centro dc garantia principal ou o certificado de fabricante

86 259 ΕΡ Ο 739 560/ΡΤ (dependendo do modelo de confiança empregue), e pode funcionar da mesma maneira explicada com vista à chave FRB, a fim de aceitar os centros de garantia principais e fabricantes numa base geral. Outra maneira, para além de uma que não envolve as autoridades dos Estados Unidos ou mundiais, para um dispositivo confiar nos centros de garantia certificados por outro fabricante, é para os fabricantes de dispositivo ou os centros de garantia principais cruzarem certificados ente si. Isto deve permitir ao dispositivo de remetente ajudar a reforçar as restrições de garantia de receptor ao permitir que o dispositivo de remetente verifique a via de certificação do certificado de garantia de receptor de retorno através do fabricante de dispositivo de receptor ou do centro de garantia principal para si próprio. Num exemplo preferido, a chave pública de uma entidade de confiança de sistema geral deve ser incluída num dispositivo de confiança e deve funcionar da mesma maneira que a explicada acima no que se refere à chave de entidade global ou FRB, a fim de aceitar todos os centros de garantia principais e fabricantes numa base de sistema geral.

Sempre que qualquer utilizador, entidade ou dispositivo "verifica" um "certificado” assinado digitalmente, quer um certificado de fabricante quer um certificado de garantia, emitido por uma autoridade ou fabricante de certificação, é prática comum na maioria ou em todos os sistemas de administração de certificado de chave pública proposta (e é assumida completamente esta descrição), que o utilizador, entidade ou dispositivo também verifica qualquer "lista de revogação de certificados" ("CLR") aplicável, a fim de determinar se a autoridade de certificação ou outro emissor distribuiu, propagou ou de qualquer outro modo tornou disponível uma lista de certificados revogados, que é actualizada de acordo com uma política de segurança apropriada e se, apoiada no nome do emissor e número de certificado, o certificado foi revogado. Um certificado emitido para um utilizador pode ser revogado por morte, alteração de nome ou de emprego, ou perda, roubo ou destruição do dispositivo (o cartão inteligente pessoal) contendo a chave privada. Um certificado emitido para uma entidade pode ser revogado devido ao cessar do negócio, alteração do nome, ou perda, roubo ou destruição do dispositivo contendo a chave privada. Um certificado emitido para um dispositivo pode ser revogado devido à perda, roubo, remoção do serviço ou destruição do dispositivo. A verificação dos CRL durante a verificação de certificado está bem descrita na literatura pública (por exemplo, ANSI X9.30 - Parte 3) e não exige explicação adicional. Todos os utilizadores, entidades e dispositivos terão normalmente acesso a instalações de telecomunicações apropriadas e podem recuperar os CRL ou realizar inquéritos como desejado. De modo semelhante, com o presente invento, 36 86 259 ΕΡ Ο 739 560/ΡΤ presume-se que todas as entidades que emitem os CLR, os tornem disponíveis a todas as partes interessadas.

Formato de cabeçalho de controlo de mensagem

Quando se envia uma comunicação cifrada, o utilizador remetente deve também formar um campo de cabeçalho de controlo de mensagem (MCH) adequado, contendo a seguinte informação: (1) O número intermédio de remetente para a mensagem cifrada, calculado pelo remetente, que utiliza a chave privada efémera gerada aleatoriamente pelo remetente, que foi também utilizada pelo remetente para calcular a chave de sessão com a qual a mensagem foi cifrada. O utilizador de recepção tem de ter este número intermédio a fim de calcular a chave de sessão para decifrar a mensagem. (2) O nome e código de país do centro de garantia principal de remetente. (3) O nome e código de país do centro de garantia principal do receptor, obtidos a partir do certificado de chave pública de receptor. (4) O número de certificado de garantia do remetente, cifrado utilizando a chave de cifra pública do centro de garantia principal de remetente (obtida a partir do certificado de garantia de remetente) a fim de que apenas o centro de garantia principal de remetente a pode decifrar. (5) O número intermédio de remetente (diferente do número intermédio anterior de remetente), que foi utilizado pelo remetente para calcular a chave de sessão efémera com a qual o número de certificado de remetente foi cifrado para o centro de garantia principal do remetente. O centro de garantia principal do remetente tem de ter este número, a fim de calcular a chave efémera para decifrar o número de certificado do remetente. (6) A chave de sessão para a mensagem cifrada, cifrada utilizando a chave pública própria de remetente (o número intermédio do certificado público próprio do remetente), de modo que com efeito o remetente envia a chave de sessão de mensagem para si próprio. As forças da lei podem ter acesso a esta chave de sessão de mensagem uma vez que a mesma obtém os componentes de chave privada de remetente a partir dos agentes de garantia de remetente.

86 259 ΕΡ Ο 739 560/ΡΤ (7) Ο número intermédio de remetente (diferente dos dois anteriores números intermédios de remetente), que foi utilizado pelo remetente para calcular a chave efémera com a qual a chave de sessão de mensagem foi cifrada para ele próprio. A força da lei tem de ter este número a fim de calcular, utilizando também a chave privada de remetente (o seu número secreto) obtida a partir do centro de garantia principal do remetente, a chave efémera para decifrar a chave de sessão de mensagem. (8) O número de certificado de receptor, cifrado utilizando a chave de cifra pública do centro de garantia principal do receptor (obtida a partir do certificado de garantia do receptor), de modo que apenas o centro de garantia principal de receptor o pode decifrar. (9) O número intermédio de remetente (diferente dos três números intermédios anteriores do remetente) que foi utilizado pelo remetente para calcular a chave efémera com a qual o número de certificado de garantia de receptor foi cifrado para o centro de garantia principal do receptor. O centro de garantia principal de receptor tem de ter este número a fim de calcular a chave de sessão efémera, para decifrar o número de certificado do receptor. (10) Selo de tempo (opcional), para seguir os fins e possibilidade de auxiliar na implementação da data de garantia e restrições de tempo. (11) A assinatura do dispositivo do remetente. (12) O certificado de garantia de chave pública do remetente emitido pelo centro de garantia principal do remetente. O certificado de garantia de remetente contém a chave de assinatura pública de dispositivo de remetente, a qual o centro de garantia principal fez uma pré verificação e reproduziu então a partir do certificado do fabricante do dispositivo do remetente. (13) O certificado do centro de garantia principal a partir do FRB, o fabricante ou uma qualquer autoridade de sistema geral é de confiança, se a pastilha electrónica do receptor é feito por um fabricante diferente, anexo ao certificado de garantia do remetente. O certificado do fabricante, o FRB ou a autoridade de sistema geral é necessária apenas para a primeira comunicação entre as duas partes. O certificado pode ser também um certificado cruzado do fabricante ou o centro de garantia principal do receptor. 38 ΕΡ Ο 739 560/ΡΤ Ο MCH assim descrito podia ser resumido como segue: Número intermédio de remetente (para permitir que o receplor decifre a mensagem) Código de país de centro de garantia principal de remetente Nome de centro de garantia principal de remetente Código de país de centro de garantia principal de receptor Nome de centro de garantia principal de receptor Número de certificado de garantia de remetente, cifrado para o centro de garantia principal de remetente Número intermédio de remetente (para cifrar o número de certificado de remetente)

Chave de sessão de mensagem, cifrada para remetente Número intermédio de remetente (para cifrar a chave de sessão de mensagem para o remetente) Número de certificado de garantia de receptor, cifrado para o centro de garantia principal de receptor Número intermédio de remetente (para cifrar o número de certificado de receptor)

Selo de tempo

Assinatura MCH de dispositivo de remetente [Certificado de garantia de remetente] [Certificado de centro de garantia] A Fig. 17 mostra um processo para envio de uma mensagem cifrada 176 com um MCH. O MCH completo 172 (os certificados anexos 173, 174,175 não são tecnicamente parte do MCH) é assinado pelo dispositivo do remetente 171, utilizando a chave de assinatura DSA privada de dispositivo, com o certificado incluído do fabricante, anexo à mesma (dentro do certificado de garantia do remetente), a fim de certificar a chave de assinatura pública do dispositivo. Isto garante que todo o MCH é entregue intacto para o receptor e que a pastilha electrónica do receptor pode facilmente verificar que o MCH não foi modificado. O certificado do fabricante pode ser acompanhado por um certificado nacional (FRB) ou da autoridade mundial para certificar a exactidão do fabricante da pastilha electrónica do remetente, no caso do dispositivo do receptor ser fabricado por um fabricante diferente.

86 259 ΕΡ Ο 739 560/ΡΤ 39

Um segundo, formato MCH mais curto pode ser utilizado para o caso, em que não é crucial uma privacidade total. Neste MCH, nem o número de certificado de remetente nem o número de certificado de receptor são cifrados para o respectivo centro de garantia principal. O não cifrar os números de certificado poupa muito tempo e espaço na criação do MCH. Ainda numa outra concretização deste invento, um terceiro formato MCH ainda mais curto pode ser utilizado um para o caso comum, no qual o remetente e o receptor utilizam ambos o mesmo centro de garantia principal para fins de garantia de chave, ao fazer o EC1 semelhante ao EC2. Pela eliminação da necessidade no MCH de identificação da informação do segundo centro de garantia principal e para o número intermédio especial, que é utilizado para cifrar o número de certificado de receptor para o segundo centro de garantia principal, o MCH pode ser feito de modo significativamente mais curto. Para além disso, o tamanho do MCH pode ser mais reduzido através da utilização do transporte de chave RSA para cifrar uma chave DES para a mensagem e para cada um dos três componentes LEAF interiores cifrados. De acordo com este processo, cada número intermédio de remetente deve ser substituído por uma chave DES com envolvimento RSA mais pequena. Assim, o remetente podia cifrar RSA a chave de sessão de mensagem para o receptor e eliminar a necessidade do primeiro número intermédio no MCH. O remetente pode também cifrar em RSA a chave de sessão de mensagem para si próprio (de facto, para as forças da lei para decifrar mais tarde) e assim eliminar a necessidade do terceiro número intermédio no MCH. O remetente pode ainda cifrar em RSA os seus próprios números e os números de certificado do receptor e assim eliminar a necessidade do segundo e quarto números intermédios no MCH. Como mostrado na Fig. 18, eliminando os quatro números intermédios e a sua cifração associada e substituindo cada número intermédio com uma cifra de transporte RSA mais pequena 181 poupa uma quantidade significativa de espaço do tamanho do MCH.

Contribuição de material aleatório

Alguém pode estar preocupado que uma chave de sessão de mensagem trocada, utilizando apenas o processo de transporte de chave RSA ou o esquema Certified Diffie-Hellman, não seja suficientemente segura, porque, com qualquer destes dois processos, embora tanto o remetente como o receptor fornecem informação, apenas o remetente gera a chave de sessão de mensagem. No entanto, com os padrões militares para comunicações seguras, tanto o remetente como o receptor devem contribuir com material aleatório na geração de uma chave de sessão, antes de cada sessão de comunicação, a fim de aparentemente reduzir

86 259 ΕΡ Ο 739 560/ΡΤ 40 a hipótese do remetente poder utilizar uma chave fraca ou utilizar a mesma chave repetidamente e portanto sujeitar o receptor a um risco de segurança indesejável contra a sua vontade. O sistema de dispositivos de confiança descritos aqui podem aliviar este temor de duas maneiras. Primeiro, o mesmo pode assegurar que o dispositivo remetente deverá gerar cada chave separadamente, utilizando números aleatórios derivados do ruído de uma fonte de ruído de suporte físico incluída, tal como um díodo de polarização invertida, como explicado anteriormente. Depois, logo que o dispositivo assine o MCH ou cabeçalho de controlo de mensagem, o receptor deve estar seguro que cada chave de sessão de mensagem e os números aleatórios utilizados na geração da mesma são fortes e únicos. Ainda, os que insistem numa maior segurança podem pedir uma contribuição de material aleatório para ambos os lados da comunicação, como definido para sistemas militares Tipo 1, para informação classificada.

Assim, longe desta descrição, o remetente foi descrito como gerando as chaves de sessão de mensagem, com base na chave de cifra pública do receptor, como contida no seu certificado de garantia, mas não se baseia no material aleatório recebido do receptor durante a fase de ajustamento da comunicação. Fazendo os preparativos para que o remetente receba uma contribuição do receptor, no entanto, cria um novo problema. O receptor não pode simplesmente ser autorizado a gerar um número intermédio Diffie-Hellman por si próprio e enviá-lo para o remetente para utilizar na geração de uma chave de sessão de mensagem, porque o receptor então não pode utilizar mais a chave privada garantida dentro do seu dispositivo de confiança para decifrar mensagens e porque as suas comunicações nunca podem ser controladas pela as forças da lei. O sucesso continuado em forçar o esquema de garantia exige que nem o remetente nem o receptor sejam capazes de ler uma mensagem sem utilizar um dispositivo de confiança registado. A fim de permitir uma situação na qual tanto o remetente como o receptor contribuem com material aleatório para a chave de sessão de mensagem antes de comunicarem, o protocolo de troca de chave inicial pode ser modificado, a fim de permitir um suposto dispositivo de receptor para gerar um novo número secreto Diffie-Hellman efémero, separado e afastado da chave privada garantida do receptor, que será utilizado para calcular um novo número intermédio, que será enviado de novo para o remetente para utilização no cálculo da chave de sessão de mensagem para cifrar a mensagem. A chave privada garantida de receptor deve ainda ser utilizada para gerar os números intermédios (incluídos no MCH) e as

86 259 ΕΡ Ο 739 560/ΡΤ 41 chaves de sessão efémera, que são utilizadas para cifrar as várias porções do MCH. Esta modificação exige, no entanto, que a geração do novo número secreto ocorra dentro do suposto dispositivo de receplor, que este novo número secreto permaneça dentro do dispositivo de confiança, e que o novo número intermédio seja assinado pelo suposto dispositivo de receptor, antes de ser enviado para o dispositivo do remetente com a finalidade de atestar que o novo número secreto efémero está sem dúvida seguramente confinado dentro do dispositivo do receptor. Como anteriormente, o dispositivo do remetente gera um novo número secreto, que está separado e longe da chave privada garantida de remetente e, utilizando o novo número secreto e o novo número intermédio de receptor, gera a chave de sessão de mensagem para decifrar a mensagem. O dispositivo do remetente deverá também utilizar o novo número secreto de remetente para gerar o novo número intermédio de remetente, o qual deverá ser enviado para o dispositivo receptor como um elemento do MCH com a finalidade de escuta. Neste processo, a chave de sessão de mensagem deveria, portanto, incluir material aleatório para o qual contribuíram ambos o remetente e o receptor, como desejado.

No entanto, com este protocolo de troca de chave modificado, porque o receptor e o remetente utilizam com efeito novas chaves privadas Diffie-Hellman para cada mensagem, a característica garantia ainda "desaparece", na medida em que as forças da lei e a administração corporativa nunca serão capazes de obter as chaves de sessão de mensagem efémera, a partir dos agentes de garantia. Portanto, as necessidades do sistema de garantia e da comunhão de interesses exigem que a chave de sessão de mensagem seja transportada no MCH como anteriormente. De facto, para assegurar a igualdade de escuta, todos os campos que foram antes descritos como parte do MCH ficam assim. O campo que transporta a chave de sessão de mensagem para o remetente (a qual é a única maneira dos agentes das forças da lei que estão a escutar o remetente lerem a mensagem) deve ser ainda incluído no MCH a fim de preservar o princípio da igualdade de escuta. A chave de sessão de mensagem será cifrada no MCH, como anteriormente, utilizando a chave de cifração pública do remetente, para a qual as forças da lei têm ainda acesso. O novo número intermédio do remetente deverá ser enviado para o receptor como o primeiro elemento do MCH, como anteriormente, a fim de permitir que as forças da lei escutem o receptor e calculem a chave de sessão de mensagem. Assim, a fim de conciliar a técnica de troca de chave Diffie-Hellman Interactiva, este protocolo exige que o suposto novo número intermédio do receptor seja gerado dentro do seu dispositivo e seja assinado pelo mesmo, e exige que o novo número intermédio do remetente seja adicionado ao MCH, não utilizado

86 259 ΕΡ Ο 739 560/ΡΤ 42 em lugar dos processos de transporte de chave indicados anteriormente, visto que é o único processo para que a comunidade de interesses (as forças da lei, os empregados e outros) possam ler a mensagem. Este processo, no entanto, não deve ser económico para as transacções a não ser para as transacções de telefone, redes, ou negócios de acesso telefónico em tempo real, porque o dispositivo deve ter de se lembrar de muita coisa, isto é, os números intermédios especiais para cada parte contrária. Este processo é, de preferência, para ser utilizado em telefones celulares, inícios de sessão de rede, etc, através dos quais é desejada uma sessão interactiva puramente em tempo real.

Comunidade dos cabeçalhos de interesse O MCH deverá geralmente ser colocado antes da mensagem cifrada, como um cabeçalho de mensagem. Em muitos sistemas de correio electrónico normal e de documentos, vários receptores estão habilitados a ler uma mensagem codificada, utilizando a concretização de transporte RSA da concepção MCH como explicado acima, através da cifra RSA da chave de sessão de mensagem, utilizando a chave de cifra pública de cada receptor. Isto é, quando vários receptores têm intenção de receber a mesma mensagem cifrada, o cabeçalho MCH pode incluir, para cada receptor pretendido, o nome do receptor pretendido, seguido pela chave de sessão de mensagem, cifrada RSA para cada receptor pretendido utilizando a chave de cifração pública do receptor. Assim, cada receptor pretendido pode localizar a sua entrada no cabeçalho MCH, decifrar a sua cópia da chave de sessão de mensagem e ler a mensagem. Mesmo com vários receptores pretendidos, a correcção do MCH é implementada em ambas as extremidades da comunicação: na extremidade remetente, a saída MCH é implementada pela lógica interna do dispositivo do remetente, isto é, a exigência de que o mesmo crie um MCH válido antes de cifrar uma mensagem; na extremidade receptora, a correcção MCH é implementada pela verificação pelo dispositivo do receptor da assinatura digital do dispositivo do remetente. Como notado anteriormente, porque as cópias de receptor da chave de mensagem estão integradas no MCH, nenhum receptor pode decifrar a mensagem a menos que o MCH seja enviado e recebido intacto, de modo diferente do sistema Clipper, no qual o próprio MCH não está ligado ao mecanismo de transporte de chave.

Sob este conceito de formatação de MCH, o MCH pode ser resumido como mostrado na Fig. 25. Como nos formatos MCH anteriores, a autenticidade do MCH é garantida pela assinatura digital do dispositivo do remetente 258. Para além

86 259 ΕΡ Ο 739 560/ΡΤ 43 disso, como antes, os números de certificado de garantia do remetente e do receptor são cifrados com as chaves de cifração públicas dos seus respectivos centros de garantia principais 251, 252. Nesle formalo, no entanto, o MCH, assinado pelo dispositivo do remetente, torna-se uma "lista de receptores" modificada que é mais flexível e mais fácil de compreender em relação ao trabalho de sistemas de correio electrónico cifrado ao mesmo tempo. Por exemplo, os nomes do remetente e do receptor (ou as ID ou endereços de sistema) são agora mostrados não cifrados no MCH 253, 254. Embora isto choque com o anonimato do remetente e do receptor, como uma questão prática é difícil enviar mensagens num sistema de correio electrónico sem pôr nas mensagens os nomes e os endereços dos remetente e receptor. Por isso a perda de privacidade é ligeira. Além disso, os nomes dos empregados dos remetente e receptor 255, 256 (ou as suas únicas ID, tal como os números de contribuinte ou números DUNS) são também mostrados não cifrados, reduzindo assim grandemente a tarefa do grupo de segurança dos empregadores, para encontrar mensagens enviadas e recebidas pelos seus respectivos empregados. Em alternativa, em vez de deixar os blocos de nome do remetente, receptor e empregador não cifrados, estas entradas podem apenas ler "remetente", "destinatário", "empregador do remetente" e "empregador do receptor" (ou os seus equivalentes) não cifradas, com os identificadores efectivos dentro das áreas cifradas, como anteriormente. Assim, um receptor pretendido da comunicação deve procurar no MCH a sua abreviatura de identificação não cifrada e desta maneira tentará decifrar e ler apenas as porções do MCH que são dirigidas e cifradas para ele.

Adicionalmente, este formato MCH, como mostrado na Fig. 25 permite o acesso por possíveis sub-unidades dentro da organização do empregador, através da definição de linhas de empregador secundárias (a, b, etc.). Para empregadores conscientes da segurança, o MCH pode ler "sub-unidade de empregador remetente b” não cifrada, como explicado acima, e conter o identificador de unidade de companhia efectivo na área cifrada. Em virtude de cada MCH estar etiquetado, não existe limite de quantas camadas de acesso de empregador podem existir; todas se tornam de alguma maneira "receptores" autorizados da mensagem. Além disso, pelo contrário, para os formatos MCH anteriores, este formato MCH pode incluir a chave de sessão de mensagem cifrada directamente para o empregador 257, a fim de que o empregador não necessita de ir ao centro de garantia principal e agentes para obter a chave de sessão de mensagem para decifrar a mensagem. Embora possivelmente chocando com as expectativas de privacidade do empregado no 44 86 259 ΕΡ Ο 739 560/ΡΤ lugar de trabalho, este formato pode permitir aos empregadores verificar ou recuperar os ficheiros dos seus empregados com um esforço mínimo. A fim de criar um MCH neste formato antes do envio de uma comunicação, o remetente deve primeiro obter todos os nomes/códigos e chaves públicas necessários dos receptores pretendidos e dos seus empregadores. Esta informação pode ser guardada a partir do certificado de garantia do receptor e a partir do seu próprio certificado de garantia. No entanto, a fim de generalizar esta abordagem e tornar esta informação disponível para um utilizador que deseje enviar uma comunicação, os centros de garantia principais devem incluir dentro de cada certificado de garantia de forma padrão do utilizador, como explicado anteriormente, a identificação ou número de código e chave de cifração pública únicos tanto do seu empregador como quaisquer sub-unidades de empregador. O esquema de certificado de garantia pode ser concebido através da utilização de subgrupos repetitivos, para manuseamento eficiente dos números variáveis de partes da "comunidade de interesses". Cada entrada de parte da comunidade de interesses deve ter um número de identificação, uma chave de cifração pública e, possivelmente, um código de instrução (ou código de plano de acção, como explicado abaixo) únicos, que dá instruções ao dispositivo do remetente de como codificar a entrada MCH da parte. O código de instruções pode incluir elementos de escolha, dando ao dispositivo remetente as opções de incluir (1) o número de identificação único da parte ou não cifrado ou utilizando um nome suposto, por exemplo "emp-a"; (2) a chave de sessão de mensagem na área codificada ou não; (3) o número de identificação único da parte na área codificada ou não; e (4) o número de atribuição de selo de tempo ou aleatório no início da área codificada ou não. Estes códigos de instruções (e possivelmente outros) podiam ser definidos como sinalizadores de máscara de bit. A lista de partes (e/ou os seus códigos), as suas chaves de cifração pública e os sinalizadores de instrução deveriam dizer ao dispositivo do remetente como formatar as porções da comunidade de interesses do MCH de acordo com os desejos de cada parte para um anonimato parcial ou total. É antecipado que na prática, muitas partes da comunidade de interesses não se devem preocupar com o anonimato, porque deverá ser muito mais fácil para eles procurá-los e identificar as mensagens dos seus empregados se eles mantiverem os seus próprios nomes e números de identificação em claro. 45 86 259 ΕΡ Ο 739 560/ΡΤ

Decifração por Receptores

Quando o receptor pretendido recebe a mensagem cifrada 191 e o campo MCH 192, devem ser feitas várias coisas a fim do receptor ler a mensagem, como mostrado na Fig. 19. Primeiro, o receptor deve carregar o seu próprio certificado de garantia válido 193 dentro da sua pastilha electrónica 190 porque, num exemplo, a pastilha electrónica não decifrará sem o mesmo. Tipicamente, o certificado de garantia de receptor deverá estar já armazenado na memória do dispositivo num estado previamente verificado. O receptor carrega em seguida o MCH 192 e o certificado de garantia de remetente 194, o qual também contém a chave de verificação de assinatura pública de dispositivo do remetente (com o certificado de autoridade de sistema geral, nacional ou mundial apropriado 195, se necessário) dentro da sua pastilha electrónica 190. A pastilha electrónica 190 do receptor verifica o certificado de garantia 194 do remetente a fim de verificar que a chave de decifração privada de remetente foi garantida. Isto é feito através da utilização da chave pública do fabricante para verificar a assinatura do fabricante no certificado do dispositivo ou, se necessário, a assinatura da autoridade de sistema geral no certificado de centro de garantia e através da verificação se a assinatura do centro de garantia no certificado de garantia do remetente é válido. A chave de assinatura pública 196 da autoridade de sistema geral pode ser utilizada para verificar directamente o certificado de garantia 195. A pastilha electrónica do receptor verifica então a assinatura de MCH antes de proceder a fim de verificar que (1) o dispositivo remetente é de confiança, (2) a chave do remetente está garantida, como também verificado pelo remetente, e (3) o MCH 192 é válido, isto é o MCH tem o formato próprio e contém todas as informações requeridas. Isto é feito através da verificação da assinatura de dispositivo do remetente, a assinatura de certificado do fabricante de dispositivo do remetente e, se necessário, o certificado de autoridade de sistema geral do fabricante. As chaves públicas do fabricante e do autoridade de sistema geral podiam ser incluídas na pastilha electrónica 190 do receptor para facilitar este processo de verificação. No caso mais simples, o receptor precisa de validar o certificado de garantia 194 do remetente apenas uma vez, contra a sua própria chave pública do fabricante, incluída ou a chave de instruções de entidade de confiança de sistema geral. Uma vez que estas são mostradas para serem válidas para um remetente particular, o receptor precisa apenas de utilizar a chave pública de dispositivo previamente validada do remetente para validar a assinatura MCH, resultando apenas numa única validação de assinatura por mensagem. Se quer o certificado de remetente 194 quer o MCH 192 é inválido, a pastilha electrónica do receptor não deverá decifrar a mensagem. 46 86 259 ΕΡ Ο 739 560/ΡΤ

Finalmente, depois da verificação estes certificados e assinaturas, o receptor calcula a chave de sessão de mensagem, com base no número intermédio do remetente, o qual foi incluído no MCH, e a própria chave privada do receptor (o seu número secreto), que corresponde à sua chave pública como publicitado no seu certificado de chave de cifração pública 193. utilizando a chave de sessão, o receptor decifra a mensagem enviada pelo utilizador de envio.

Decifração pelas forças da lei A fim de interceptar e decifrar comunicações para e a partir de um utilizador particular, as forças da lei devem ter uma autorização do tribunal ou uma autorização para monitorizar as comunicações do utilizador particular. A autorização do tribunal deverá, com toda a probabilidade, incluir (1) uma data de "inicio da monitorização" e o tempo, durante o qual as forças da lei podem começar a monitorizar as comunicações do utilizador, (2) uma data "final da monitorização" e o tempo depois após o qual as forças da lei não podem monitorizar as comunicações do utilizador, e possivelmente (3) um período de graça para seguir a data "final da monitorização ", podendo durante período de graça as forças da lei reter a chave privada do utilizador, a fim de apenas decifrarem as comunicações previamente interceptadas, mas não para interceptar ou monitorizar quaisquer comunicações adicionais desse utilizador. Na monitorização das comunicações do utilizador remetente, as forças da lei interceptam a comunicação e identificam a partir do MCH o nome e país do centro de garantia principal do remetente a fim de determinarem a quem exigir a chave de decifração privada do remetente. As forças da lei apresentam então a autorização do tribunal e o MCH da comunicação interceptada ao centro de garantia principal de remetente, o qual utiliza a sua chave privada para decifrar o número de certificado do remetente, que foi cifrado dentro do MCH. Utilizando o número de certificado do remetente, o centro de garantia principal de remetente procura o nome do utilizador remetente e os nomes dos agentes de garantia do remetente, e revela-os todos ao agente das forças da lei em conjunto com o certificado de fabricante de dispositivo do remetente, o qual as forças da lei deverão precisar mais tarde durante a descodificação. O agente das forças da lei contacta então cada um dos agentes de garantia do remetente e apresenta a eles o nome do remetente e a autorização, e obtém de cada agente de garantia as divisões de chave confiadas a eles pelo remetente. Em virtude do processo de intercepção e decifração das comunicações cifradas pelas forças da lei pode utilizar a caixa descodificadora especificada abaixo, a exigência das forças da lei aos agentes de garantia deverá também incluir a chave de cifração pública da 86 259 ΕΡ Ο 739 560/ΡΤ 47

caixa descodificadora das forças da lei, a fim de que as divisões de chave possam ser enviadas directamente para a caixa descodificadora das forças da lei, e não para os próprios agentes das forças da lei. Cada agente de garantia envia a divisão de chave do remetente na sua posse para a caixa descodificadora das forças da lei como uma mensagem cifrada tendo uma data de "início da monitorização", uma data de "paragem da monitorização" e um "período de graça" opcional, de modo que a caixa descodificadora possa reforçar os termos da autorização. A caixa descodificadora decifra então as mensagens de divisão de chave cifradas, combina as divisões de chave e utiliza a chave privada junta de novo do remetente para obter a chave de sessão para a comunicação, tendo sido a chave de sessão cifrada pelo remetente para o MCH como uma mensagem enviada para si próprio. A caixa descodificadora pode então monitorizar e interceptar as comunicações para e do remetente apenas durante o período de monitorização especificado na autorização, e pode continuar a decifrar as comunicações interceptadas apenas até ao fim do período de graça especificado na autorização.

Um procedimento semelhante é utilizado para monitorizar comunicações para e do receptor. A partir do MCH da comunicação interceptada, as forças da lei identificam o nome e o país do centro de garantia principal do remetente e apresentam então a autorização e o MCH a partir da comunicação interceptada ao centro de garantia principal do receptor, o qual utiliza a sua chave privada para decifrar o número de certificado do receptor, que foi cifrado no MCH. Utilizando o número de certificado do receptor, o centro de garantia principal do receptor procura o nome do receptor e os nomes dos seus agentes de garantia e revela-os todos ao agente das forças da lei. O agente das forças da lei contacta então cada um dos agentes de garantia do receptor e apresenta-lhes o nome do receptor e a autorização. Cada agente de garantia envia a divisão de chave, a ele confiada pelo utilizador receptor, para a caixa descodificadora das forças da Iei como uma mensagem cifrada para a caixa descodificadora, que tem uma data de "início da monitorização ", uma data de "paragem da monitorização " e um período de graça para vigor dos termos da autorização pela caixa descodificadora. A caixa descodificadora decifra então as divisões de chave cifradas, combina-as e utiliza a chave privada remontada resultante do receptor, em conjunta com o número intermédio do remetente, o qual está no cabeçalho de cada MCH, para calcular a chave de sessão para a comunicação. A caixa descodificadora pode então controlar e interceptar comunicações para e a partir do receptor apenas durante o período de monitorização especificado na autorização, e pode continuar a decifrar

86 259 ΕΡ Ο 739 560/ΡΤ 48 as comunicações interceptadas apenas até ao fim do período de graça na autorização. O formato para cada mensagem de divisão de chave cifrada de agente de garantia para a caixa descodificadora de implementação de lei pode ser como segue: Número de certificado do utilizador Fragmento de chave privada: X(i)

Data e hora de início da monitorização Data e hora de paragem da monitorização Período de graça permitido por tribunal (dias/horas)

Data e hora (desta mensagem de divisão de chave)

Assinatura do agente de garantia [Certificado do agente de garantia]

Neste formato, toda a informação excepto para o número de certificado deveria ser cifrada com a chave de cifração da caixa descodificadora. Em virtude das mensagens de divisão de chave dos agentes de garantia serem cifradas para a caixa descodificadora particular, nenhum outro utilizador ou caixa descodificadora pode lar as mesmas. Além disso, as datas e horas de "início da monitorização" e de "paragem da monitorização" dão instruções à caixa descodificadora quando deve começar a monitorização e descodificação das comunicações e quando deve parar a monitorização; o período de graça permite à caixa descodificadora um período de tempo especificado e adicional para descodificar qualquer registo posterior das comunicações previamente interceptadas, devendo depois do período de tempo a caixa descodificadora parar a descodificação e deve limpar a chave privada do sujeito. Assim, a chave descodificadora pode ser utilizada para decifrar as comunicações do utilizador, controladas até à data especificada na autorização, tempo no qual a caixa descodificadora e o seu relógio de tempo incluído evita qualquer decifração adicional. A caixa descodificadora pode também recusar o 49 86 259 ΕΡ Ο 739 560/ΡΤ processamento das mensagens de divisão de chave tendo uma hora e data de mensagem mais velhas do que doze (12) horas (ou algum outro período de tempo específico) ou tendo uma hora e data de expiração que tenha já passado.

Implementação da caixa descodificadora

Num caso, as forças da lei empregam uma caixa descodificadora resistente a violação especial para interceptar e decifrar as comunicações de utilizadores monitorizados sob certas condições definidas e controladas. Um exemplo de uma caixa descodificadora e do seu fluxo de processo é mostrado na Fig. 20. A caixa descodificadora 200 é concebida para ser um dispositivo de confiança de uma concepção semelhante dentro do sistema de dispositivos confiáveis do presente invento e, portanto, pode reforçar várias condições a fim de evitar acções impróprias dos agentes das forças da lei. A caixa descodificadora 200 tem uma chave de assinatura de dispositivo privado incluída pelo fabricante e um certificado de chave de assinatura pública de fabricante 202 para a chave de assinatura pública que faz coincidir a chave de assinatura privada de dispositivo. Adicionalmente ao certificado de fabricante 202, a caixa descodificadora pode ter também um certificado 203 emitido por (ou em nome de) uma autoridade das forças da lei ou departamento de segurança de corporação a quem pertence a caixa descodificadora, atestando ou certificando perante um notário a ligação entre a caixa descodificadora e a autoridade de segurança ou das forças da lei, e atestando que a caixa descodificadora está sob a sua exclusiva posse e controlo. A caixa descodificadora 200 tem também a capacidade de gerar um par de chaves pública/privada, tal como a pastilha electrónica de utilizador regular do presente invento, para cifração e decifração de mensagens de administração e controlo para a caixa descodificadora. A caixa descodificadora 200 tem adicional mente a capacidade de armazenar a sua chave privada em segurança e de emitir a chave de cifração pública correspondente dentro de um certificado 201 assinado por si própria, com o seu certificado de dispositivo 202 assinado pelo fabricante anexo. Tendo esta capacidade de gerar (e utilizar) o par de chaves pública/privada permite aos agentes de garantia 206 de um utilizador escutado, com a apresentação pelos agentes das forças da lei ao centro de garantia principal de uma autorização para monitorizar as comunicações do utilizador, para enviar as divisões de chave 204 desse utilizador escutado para a caixa descodificadora cifrada, utilizando a chave de cifração pública da caixa descodificadora e possibilita que a caixa descodificadora decifre as divisões de chave, utilizando a sua chave de decifração privada. No entanto, de modo diferente de uma pastilha electrónica de utilizador 50 86 259 ΕΡ Ο 739 560/ΡΤ regular do presente invento, a qual decifra uma mensagem e faz retornar o resultado não cifrado para o utilizador, a caixa descodificadora nunca faz sair a chave privada do utilizador escutado para os agentes das forças da lei. Em vez disso, a caixa descodificadora armazena esta informação com segurança até ao fim do período de graça especificado na autorização e nas mensagens de divisão de chave, altura em que a caixa descodificadora apaga a informação permanentemente.

Por consequência, a fim de realizar as suas tarefas como um dispositivo de confiança e implementar as restrições de data e hora impostas pela autorização de escuta, a caixa descodificadora 200 deve também conter um relógio com data/hora certificado, calibrado de confiança 205. O fabricante da caixa descodificadora certifica e atesta a validade e a calibração do relógio 205 quando o fabricante emite um certificado de dispositivo 202 com a sua lista de propriedades de dispositivo conhecidas. Quando a caixa descodificadora 200 recebe dos agentes de garantia 207 as divisões de chave 204, contendo os limites de hora (baseados na autorização) antes ou depois dos quais a autorização não é válida, a caixa descodificadora 200 utiliza o seu temporizador de hora interno 205 para verificar que a autorização das forças da lei é ainda válida. Se a autorização não é ainda válida, a caixa descodificadora não deverá monitorizar ou decifrar as comunicações do utilizador escutado. Se a autorização (e qualquer período de graça aplicável) expirou, a chave privada de utilizador escutado é apagada e não será recriada novamente com essa autorização pela caixa descodificadora (a menos que uma nova autorização, tendo um novo período de tempo seja emitida). Deve ser notado que, embora o relógio de confiança 205 seja opcional para uma pastilha electrónica de utilizador regular do presente invento, é imprescindível para a caixa descodificadora 200, a fim de permitir que a caixa descodificadora implemente os limites de data e hora da autorização de escuta. No entanto, o utilizador da pastilha electrónica de utilizador regular pode auxiliar na implementação do limite de tempo através da manutenção da calibração do seu temporizador de relógio de pastilha electrónica. Se o relógio do utilizador não está calibrado, o MCH gerado pelo dispositivo do utilizador, durante as comunicações deverá conter um valor nulo no campo de atribuição de selo de tempo. Naquele caso, a caixa descodificadora ao interceptar a comunicação será capaz de implementar apenas a data de monitorização de paragem da autorização através da recusa de decifrar depois da expiração da autorização e dos períodos de graça. Então, a caixa descodificadora não pode implementar a data de monitorização de Início porque, enquanto a autorização ainda está válida, a autorização permite a decifração de todos os MCH 51 fifi

EP 0 739 560/PT submetidos com valores de atribuição de selo de tempo nulos mesmo que os mesmos sejam interceptados antes do período de autorização de data e hora de monitorização de início. Mas, se o relógio de utilizador está calibrado, a caixa descodificadora de implementação de lei pode e recusará decifrar todos os MCH, contendo um selo de tempo válida e de confiança para uma data e hora anterior à autorização de data e hora de monitorização de início. Mais de preferência, a caixa descodificadora deverá decifrar apenas comunicações com selos de tempo confiáveis durante os períodos de hora de garantia. É antecipado que esta imunidade adicionada a partir do potencial abuso dos períodos de tempo autorizados pelas forças da lei pode motivar que os utilizadores da pastilha electrónica deste invento a manter as suas pastilhas electrónicas num estado calibrado. Na verdade, quando o sistema é utilizado para cifrar grandes números de mensagens num sistema de armazenagem de dados, a implementação de períodos de tempo para uma autorização posterior ou ordem de verificação pode ser altamente desejável, porque, de outro modo, muitas mensagens fora do âmbito legal da autorização pode ficar sujeitas a inspecção.

Características de auditoria das forças da lei

Com um sistema de cifração garantido, existe uma preocupação de que os agentes das forças da lei possam ser facilmente subornados, a fim de obter chaves criptográficas que protejam dados de alto valor económico. Por exemplo, membros de uma associação criminosa bem consolidada podem ser capazes de roubar um conjunto de planos industriais valiosos de uma companhia particular, primeiro furando ilegalmente as comunicações da companhia, a fim de obter alguns cabeçalhos de mensagens e nomes de agentes de garantia, e depois através do suborno de um agente da polícia mal pago pedir uma autorização para uma investigação sobre drogas a fim de obter chave de decifração privada da companhia a partir dos agentes de garantia, e finalmente através da utilização da chave de decifração privada roubar os planos. Em virtude da cifração ser agora utilizada para comunicações seguras entre muitos computadores, já não é aceitável que as forças da lei façam escutas a um sistema de telecomunicações com salvaguardas mínimas. Um conjunto muito mais forte de salvaguardas é necessário a fim de trazer os procedimentos e controlos da polícia até ao nível das práticas modernas de segurança de computadores de corporações e evitar que este tipo de situações ocorram. 52 86 259 ΕΡ Ο 739 560/ΡΤ

Uma tal salvaguarda para o dispositivo de confiança é um contador interno para numerar cada cabeçalho de controlo de mensagem, contador que aumentará sequencialmente depois de cada acesso. O número de sequência de mensagem (MSN) pode ser colocado em cada cabeçalho de mensagem cifrado, a fim de que o mesmo não seja visível por um intruso. Isto pode ser feito através da cifração do número ou (1) com a chave de cifração pública do remetente, em conjunto com a cópia do remetente da chave de sessão de mensagem, (2) com a chave de cifração pública do agente de garantia de quer do remetente quer do destinatário, ou (3) de preferência, com, pelo menos, o remetente, receptor e os seus agentes de garantia, e possivelmente com todas as partes da comunidade de interesses. No entanto, o agente de garantia do remetente pode também, como uma questão de política, escolher permitir que o número de sequência seja exibido em claro, por questões de economia de espaço e do baixo risco de exposição. É crítico evitar duplicar os números de cabeçalhos de controlo de mensagem, e os intervalos na numeração devem ser evitados na medida do possível.

Uma outra característica de salvaguarda pode ser permitir ao utilizador incluir uma "linha de título" secreta opcional no cabeçalho de controlo de mensagem. Se um utilizador temer uma escuta ilegal com autorizações impróprias, o utilizador pode codificar um título curto, tal como o "Plan #123", a fim de o alertar e de alertar os outros para os conteúdos da mensagem. Em alternativa, um utilizador pode simplesmente conservar o seu próprio registo (através de um sistema de suporte lógico de correio) relacionando os números de sequência de mensagem assinada pelo dispositivo e os títulos assinados pelo utilizador. A fim de poupar espaço, a linha de título deve ter o comprimento zero se não for incluído qualquer título, como devia muitas vezes ser o caso.

Uma terceira protecção é adicionar à porção assinada do cabeçalho de controlo de mensagem uma compilação ou informação não válida dos conteúdos de mensagem, a fim de evitar que ou o utilizador ou as forças da lei reclamarem mais tarde que os conteúdos da mensagem decifrada eram diferentes dos realmente enviados. Isto é, por exemplo, o utilizador já não pode substituir mais tarde uma mensagem inofensiva por uma mensagem de negócio de drogas que tenha sido enviada anteriormente, nem pode corromper os agentes das forças da lei, substituindo mais tarde uma mensagem inofensiva ou de negócio de drogas pelos planos industriais valiosos que os agentes roubaram. 86 259 ΕΡ Ο 739 560/ΡΤ 53

Estas salvaguardas podem ser utilizadas como medidas de segurança adicionais. Primeiro, o número de sequência de mensagem gerada de dispositivo do remetente deve ser utilizado para seguir a mensagem, tanto pelo remetente como pelo receptor, bem como pelas forças da lei e pelo sistema de tribunal. Embora o acesso das forças da lei possa ser efectivamente difícil de controlar, especialmente durante a perseguição violenta de criminosos, e embora o sistema de tribunal nem sempre seja capaz de analisar cuidadosamente as exigências das forças da lei antes de emitir autorizações de escuta, diligência depois do facto poder ser exercido a fim de auditar os resultados de uma escuta, ou de qualquer escuta, de uma amostra aleatória de escutas, ou de escutas que de alguma maneira pareçam extraordinárias. O dispositivo de confiança dos agentes das forças da lei, a caixa descodificadora, é, por conseguinte, modificada para incluir um registo interno seguro dos números de sequência de mensagens e compilações de mensagens (e linhas de título, se existentes) das mensagens que a mesma controlou e permitiu que fossem lidas pelas forças da lei. A autorização electrónica, enviada para a caixa descodificadora pelos agentes de garantia do utilizador escutado, com as divisões de chave do utilizador, pode também incluir as chaves de cifração pública e assinatura do tribunal que emitiu a autorização. A caixa descodificadora é então capaz de responder a um pedido para imprimir o registo dos números de sequência de mensagem e linhas de título, possivelmente cifradas com a chave de um receptor autorizado adequadamente tal como o tribunal que emitiu a autorização.

Num exemplo, a caixa descodificadora não deve começará a decifrar as comunicações monitorizadas até que a mesma receba uma ordem específica do tribunal, que faz coincidir as divisões de chave recebidas dos agentes de garantia. Por exemplo, as mensagens de divisão de chave que são recebidas dos agentes de garantia e cifradas utilizando a chave de cifração pública da caixa decifradora podem ser melhoradas para incluir (a partir de cada agente de garantia) as chaves de cifração pública e de assinatura do tribunal que emitiu a autorização. Ou, os agentes de garantia podem referir nas suas mensagens de divisão de chave a data e número (se existir) da autorização, e a caixa descodificadora pode então receber do tribunal as chaves de cifração e de assinatura pública do tribunal, bem como o certificado de chave pública do tribunal, que foi anexo à autorização de escuta original. Por exemplo, a autorização do tribunal para os agentes de garantia pode ser melhorada para conduzir os dados seguintes, os quais são necessários para a mensagem de divisão de chave: 54 86 259 ΕΡ Ο 739 560/ΡΤ

Nome de centro de garantia principal ou número ID Número de certificado de utilizador controlado Nome do tribunal ou número ID Número de autorização (se algum)

Data e hora da autorização Data e hora de início de monitorização Data e hora de paragem de monitorização Número máximo de mensagens (opcional) [Assinatura do Juiz]

Certificado do Juiz

Certificado Certificador de Juiz (por exemplo, tribunal, etc.)

Os agentes de garantia podem então "certificar de novo" as chaves de cifração pública e assinatura do tribunal para a caixa descodificadora, fazendo com que as mensagens de divisão de chave cifradas dos agentes de garantia para a caixa descodificadora incluam a seguinte informação adicional, a qual deve estar presente em cada divisão de chave de cada agente de garantia:

Nome de centro de garantia principal ou número de ID Número de certificado de utilizador monitorizado

Nome de agente de garantia ou número de ID (que envia esta mensagem de divisão de chave)

Nome de tribunal ou número de ID Chave de cifração pública do tribunal Chave de assinatura pública do tribunal Número de autorização (se existir)

Data e hora da autorização Número máximo de mensagens (opcional) 55 06 259 ΕΡ 0 739 560/ΡΤ

Assinatura de agente de garantia [Certificado de agente de garantia] A caixa descodificadora recebe então a certeza de que todas as mensagens de divisão de chave vêm do mesmo juiz e da mesma autorização. O facto da caixa descodificadora ter também as chaves de assinatura e de cifração pública do juiz permite que o juiz exija e receba (confidencialmente) o registo de todos os números de sequência de mensagens e linhas de título de mensagens interceptadas e decifradas pela caixa descodificadora, durante o período de escuta, como uma auditoria após a escuta para salvaguardar contra condutas , injustificadas, ilegais ou corruptas dos agentes das forças da lei. Adicionalmente, a caixa descodificadora não limpa, apaga, ou reutiliza qualquer memória atribuída ao registo de mensagem controlado até que a caixa descodificadora receba uma ordem separada do juiz ou tribunal, verificada em relação à chave de assinatura pública anteriormente recebida, declarando que a caixa descodificadora pode fazer isso. Uma tal ordem será emitida quer porque o tribunal já tinha recebido da caixa descodificadora o registo de mensagem monitorizado que o mesmo tinha previamente exigido, quer porque o tribunal decidiu que não era necessária neste caso qualquer auditoria. Se a área de armazenagem de memória de registo de mensagem controlado ficar cheia, a caixa descodificadora não decifrará mais quaisquer mensagens até que o registo seja enviado para o juiz ou tribunal e uma ordem assinada pelo tribunal seja recebida, permitindo que a caixa descodificadora apague o registo de mensagem monitorizado. As forças da lei podem continuar a interceptar novas mensagens durante a limpeza do registo de mensagem controlado, embora as novas mensagens não devam ser decifradas até que o registo de mensagem completo seja limpo para auditoria. A caixa descodificadora terá também uma característica de alerta das forças da lei que o registo de mensagem monitorizado se está a aproximar da capacidade, de modo que elas possam pedir que o registo de auditoria de mensagem seja carregado a fim de que a caixa descodificadora não cesse a decifração. Estas transacções e comunicações podem ser completamente automatizadas e quase instantâneas.

Cada entrada no registo de auditoria pode conter, adicionalmente a uma compilação da mensagem, um segunda compilação que é o produto de (a) a compilação de mensagem mais (b) o texto completo da entrada de registo prévia encadeado em conjunto e novamente compilado. Isto pode evitar que qualquer 56 86 259 ΕΡ Ο 739 560/ΡΤ pessoal de tribunal desonesto adicione, apague ou torne a sequenciar as entradas no registo. Este conceito é explicado nas patentes U.S. n°s. 5.136.646 e 5.136.647.

Como uma acção seguinte, o tribunal pode exigir mais tarde que as forças da lei submetam os cabeçalhos de mensagem e o conteúdo completo das compilações de mensagem ao registo de auditoria que o tribunal recebeu. Também, na sua autorização e escuta, o tribunal pode artificial mente limitar para menos do que a capacidade de registo de mensagem completa o número de mensagens monitorizadas que podem ser decifradas pela caixa descodificadora antes que o registo de mensagem monitorizado e os cabeçalhos de mensagem devam ser auditados. Embora este tipo de limite não deva ter efeito na capacidade total das forças da lei para investigar, porque o carregamento do registo no tribunal para auditar é quase instantâneo, pode alertar o tribunal para circunstâncias extraordinárias. Em casos específicos que exigem controlos que são mais fortes do que mero envio do registo de mensagens monitorizado para o tribunal, o tribunal pode limitar as forças da lei para menos do que a capacidade de registo de mensagens completo, antes que as forças da lei devam procurar uma autorização adicional para controlar comunicações adicionais.

Assim, se (1) tanto o remetente como o receptor seguirem os números de sequência das mensagens que eles enviam e recebem, e quer linhas de título associadas aos cabeçalhos de controlo de mensagem quer o registo das mensagens nos seus sistemas de suporte lógico locais, (2) tanto as forças da lei como o tribunal retêm um registo completo de cada mensagem decifrada pelas forças da lei, e (3) cada cabeçalho de mensagem inclui uma compilação da mensagem, a fim de evitar que qualquer parte possa mais tarde alterar a mensagem para cobrir as suas acções, então uma auditoria credível após escuta pode determinar se pode ter havido qualquer abuso ou acção de corrupção pela agência das forças da lei. Embora este sistema ainda não possa ser evitar, à priori, o cenário de plano roubado mencionado acima, o conhecimento pela associação criminosa de que as suas acções podem ser completamente auditadas por tanto pelo tribunal como pelos utilizadores sujeitos, pode fornecer uma verificação valiosa de acções impróprias da polícia. Pode também ser feita uma questão de regulação para que a agência da força da lei grave e submeta ao tribunal todas as mensagens interceptadas com uma autorização e permite às partes escutadas requisitar uma auditoria à escuta, particularmente, quando o sujeito está associado a uma empresa de negócios e não são feitas quaisquer acusações criminais com base nessa escuta.

86 259 ΕΡ Ο 739 560/ΡΤ

Dados de corrente orientada

Em comunicações que envolvem dados de corrente orientada, tal como uma chamada telefónica, na qual cada comunicação consiste numa corrente de vários pacotes de mensagens de dois ou mais utilizadores, é impossível para o dispositivo remetente informar não validamente e assinar toda a mensagem como parte do MCH. Embora seja possível enviar um MCH com cada pacote de uma comunicação, fazer isto deve ser muito caro em termos de tempo de processamento e de largura de banda de rede. Portanto, o MCH deve ser portanto transmitido apenas uma vez, na altura do estabelecimento da chamada. Uma maneira preferida de tratar correntes contínuas de dados cifrados é nomear o utilizador que chama como o "remetente" e negociar o MCH no inicio da comunicação, como anteriormente, incluindo o número de sequência de mensagem (MSN) e a informação não válida do primeiro pacote (se existir) assinada pelo dispositivo. Então, o dispositivo do remetente pode gerar uma série de números de sequência de pacote única (PSN), cuja sequência começa com zero no início de cada comunicação. Para todos os pacotes subsequentes, o dispositivo necessita apenas de dar informação não válida e assinar o pacote particular, e incluir (e assinar) a informação não válida, o MSN (a mesma para toda a mensagem) e o PSN para o pacote. Quem recebe a chamada deverá executar acções semelhantes para cada pacote que ele manda, referindo o MSN de quem chama para a comunicação, numerando sequencialmente os seus próprios pacotes, começando no zero, e tendo o dispositivo chamado assinado um grupo, que consiste na informação não válida de pacote, o MSN de quem chama e o PSN de quem recebe a chamada, formando portanto um "cabeçalho de controlo de pacote" (PCH). Os dispositivos podem opcionalmente incluir a hora real como um início a partir da hora de início da comunicação (em segundos ou milisegundos), a qual está já presente nas versões descritas anteriormente do MCH. Isto pode permitir que a chamada seja passada de novo mais realisticamente. A fim de distinguir adicionalmente os pacotes de quem chama e de quem recebe a chamada depois da comunicação, será também desejável incluir um código de partes de chamada (CPC) com um esquema de codificação simples atribuindo números às partes da comunicação, tal como quem chama = 0, quem recebe a chamada = 1, e quaisquer partes adicionais para a mesma sessão cifrada, recebendo números mais altos. Ou podem ser utilizados, no lugar do CPC, um único número de identificação, tal como o número de série de dispositivo, o número

86 259 ΕΡ Ο 739 560/ΡΤ 58 de série de dispositivo mais o número de ID do fabricante do dispositivo, ou a informação não válida do anterior,.

Estes processos podem também ser generalizados como um processo para a geração de chave de sessão com múltiplas partes. Por exemplo, quem chama pode gerar uma chave de sessão e utilizar a mesma chave para iniciar chamadas com várias chamadas simultaneamente, utilizando o transporte de chave RSA. Existirá então um MCH separado para cada parte adicionada depois das duas primeiras partes (quem chama e quem é chamado). O dispositivo que chama pode tratar a chamada com partes múltiplas como chamadas separadas ou como uma única chamada tendo a mesma chave de sessão, mas tendo múltiplos CPC. Cada um que recebe a chamada deve então ser responsável por utilizar o MSN de quem chama e por manter os seus próprios CPC e PSN. Em alternativa, assumindo a utilização dos processos de geração de chave de sessão de duas partes convencionais (tal como os processos de Diffie-Hellman), as chamadas em conferência podem existir, nas quais uma parte central (por exemplo, um operador de sistema) coloca todas as chamadas e realiza a decifração em tempo real e nova cifração dos pacotes de cada parte para todas as outras. A parte central pode também ser o indivíduo que endereça de novo para o seguinte a receber a chamada, caso em que os pacotes de que recebe a chamada deveriam ser decifrados pelo dispositivo do indivíduo e então cifrado de novo utilizando a(s) chave(s) de sessão que quem recebe a chamada está a utilizar para comunicar com a outra parte (ou partes). Ver também B. Schneier, Applied Crvptoaraphv. J. Wiley 1994, a págs. 276, no que se refere à utilização de Diffie-Hellman com três ou mais partes.

Um cabeçalho de controlo de pacote (PCH) pode ser formulado como segue: MSN de quem origina a chamada Código de partes de chamada de utilizador (CPC) (quem chama = 0, etc.) Número de sequência de pacote de utilizador (PSN)

Hora de início a partir do estabelecimento da chamada (mseg)

Informação não válida (deste pacote) [Assinatura de dispositivo]

Pode ser preferível não enviar um PCH com cada pacote de comunicações, devido resultar em sobreposição pesada em alguns sistemas que utilizam pacotes curtos, mas em vez disso enviar o PCH apenas periodicamente. Isto é semelhante

86 259 ΕΡ Ο 739 560/ΡΤ 59 à técnica conhecida como "janelas deslizantes" em comunicações em rede, em que a sequência de pacotes e novas entradas não são realizadas para cada pacote mas apenas para uma pluralidade de pacotes. Nurriialrnenle tais sistemas ajustam dinamicamente a "janela", ou o número dos pacotes que são enviados entre verificações de erro, com base no ruído de linha, isto é fazendo a janela grande para uma linha limpa, mas fazendo a mesma pequena para uma linha ruidosa que está a causar muitas novas entradas de erro. Se ocorrerem frequentemente erros, uma janela pequena deve exigir do utilizador que torne a enviar apenas uma pequena quantidade de dados; se os erros são raros, a verificação pode ser realizada menos frequentemente, não obstante com um alto custo para tornar a enviar dados perdidos no caso de um erro. Os cabeçalhos de controlo de pacote podem ser directamente integrados num esquema de janela deslizante de um sistema de comunicações, fornecendo portanto a capacidade desejada para auditar as acções das forças da lei para o nível de pacote, ao mesmo tempo que permite também passagem através do sistema máximas numa rede de comunicações moderna.

Para reforçar adicionalmente a capacidade de auditoria do processo de escuta, é vantajoso marcar positivamente o fim de uma sessão de comunicações com qualquer pacote especial. Este pacote pode ser enviado automaticamente por cada dispositivo para os outros antes de desligar, não reconhecido para os utilizadores, a fim de evitar que quer os utilizadores quer os agentes das forças da lei venham mais tarde reclamar que a conversação terminou ou não terminou, quando o oposto de facto ocorreu. Isto pode ser conseguido dando instruções a cada dispositivo para aceitar uma entrada "quer desligar agora" do seu utilizador humano, após o que o dispositivo deve enviar para fora um pacote "preparar para desligar", o qual deve então estimular o(s) outro(s) dispositivo(s) para fazer o mesmo. O(s) dispositivo(s) devem terminar as suas correntes de dados com um pacote "final" que não contém dados adicionais, mas que inclui, de preferência, os totais de todos os pacotes enviados e recebidos, a duração da chamada, etc.

Dispositivo de atribuição de selo de tempo

Uma outra característica deste invento na sua concretização preferida, como explicado acima, no que se refere à caixa descodificadora, é a utilização de um dispositivo de atribuição de selo de tempo resistente a violação e de confiança, que auto-certifica que o mesmo pode emitir (ou afixar) digitalmente selos de tempo assinados (ou estruturas de dados, contendo tais selos de tempo), que podem ser 86 259 ΕΡ Ο 739 560/ΡΤ 60

merecedoras de confiança para terceiras partes. Tais dispositivos de atribuição de selo de tempo são descritos nas U.S. n°s. 5.001.752 e 5.136.643, de Addison M. Fisher. Na sua concretização preferida, mostrada na Fig. 21, o dispositivo de atribuição de selo de tempo 210 (ou o subsistema) pode ser calibrado e regulado para funcionar apenas com uma autoridade de confiança, tal como o fabricante ou quem o fabricante confia, da mesma maneira que uma máquina de franquear apenas pode ser regulada pela estação de correios local dos Correios dos Estados Unidos e é a partir de então de confiança para o público e para o sistema postal para distribuir selos postais apenas até à quantia previamente paga. Uma vez calibrado, o dispositivo de atribuição de selo de tempo 210 (ou subsistema) responderá a uma instrução de "regulação de tempo" 211 (ou recalibração) apenas se a instrução for assinada ou pelo próprio fabricante ou por uma entidade que tenha afixado o certificado 212 do fabricante, ou em quem o fabricante confia, atestando que a entidade é de confiança para regular e calibrar o dispositivo de atribuição de selo de tempo (ou subsistema) do dispositivo central. A operação da instrução de regulação de tempo deve provavelmente precisar de ser realizada em pessoa com a autoridade de regulação de tempo a tomar momentaneamente posse física do dispositivo e apagando imediatamente a instrução de regulação de tempo 211, a fim de evitar a possibilidade de um dono de dispositivo captar a instrução e tornar a passar a mesma mais tarde para fazer "retroceder no tempo" um relógio do dispositivo.

Uma vez calibrado e enquanto não for mexido, o dispositivo de atribuição de selo de tempo 210 afixará selos de tempo 213 ou dados de selos de tempo completos nos campos de dados estruturados, com base no seu mecanismo de relógio interno, assinando 214 as estruturas de dados resultantes com a sua chave de dispositivo privada e fornecendo o seu certificado de fabricante 215. se o dispositivo central perder a alimentação, for violado ou receber uma instrução para se desactivar a si próprio, o dispositivo de atribuição de selo de tempo cessará de emitir selos de tempo. Nesse caso, a fim de evitar danificar outras funções possivelmente úteis que não precisem como um elemento absoluto dos selos de tempo confiáveis, o dispositivo de atribuição de selo de tempo utilizará uma convenção, tal como o preenchimento do campo de selo de tempo com um valor "nulo" previamente acordado, tal como todos os zeros binários ou os uns binários (ou um convenção equivalente), quando um campo de dados estruturado pede que seja incluído um selo de tempo. No entanto, quando um campo de dados estruturado ou o dispositivo central requerem que seja emitido um selo de tempo real, tal como no caso de uma caixa descodificadora das forças da lei, se o

86 259 ΕΡ Ο 739 560/ΡΤ 61 dispositivo de atribuição de selo de tempo cessou de emitir selos de tempo, as funções do dispositivo central que exigem selos de tempo não operam; no caso da caixa descodiflcadora, a caixa recusará decifrar as comunicações interceptadas. A fim de evitar ou minimizar a ocorrência da situação de perda de alimentação do dispositivo central, cada dispositivo de atribuição de selo de tempo de confiança deve, de preferência, estar equipado com a sua própria bateria de longa duração separada 216, apenas para utilização do relógio, qualquer indicador de aviso de "bateria baixa" para evitar a perda de alimentação do dispositivo de atribuição de selo de tempo antes de uma troca de bateria e alguns meios para reter uma carga eléctrica adequada (tal como um condensador de armazenamento, um segundo compartimento de bateria ou uma unidade de alimentação externa opcional) durante as operações de troca de bateria.

Para cada selo de tempo emitido pelo dispositivo de atribuição de selo de tempo, pode existir um certificado de dispositivo de atribuição de selo de tempo emitido pelo fabricante (ou outra autoridade de regulação de tempo) atestando a qualidade e confiança do relógio de atribuição de selo de tempo, a data na qual ele foi regulado a última vez, bem como o seu desvio de tempo esperado. Quando um utilizador de recepção recebe uma estrutura de dados que foi digitalmente assinada pelo dispositivo central, o receptor sabe que, se o campo de atribuição de selo de tempo está completado com um valor válido, o certificado e a assinatura de dispositivo certificam que o tempo estava correcto quando a estrutura de dados foi criada, assinada e emitida. Esta certificação é apoiada (1) na exactidão da autoridade que mais recentemente calibrou o relógio da atribuição de selo de tempo, (2) nas tolerâncias de desvio do relógio, indicadas pelo fabricante no certificado de dispositivo, e (3) na capacidade do relógio de se desactivar a si próprio quando de violação ou de perda de energia. O receptor sabe ainda que, se o campo de atribuição de selo de tempo contém um valor "nulo", então o relógio de atribuição de selo de tempo não estava no estado de calibração de confiança na altura em que o dispositivo criou, assinou e emitiu a estrutura de dados. Esta informação respeitante às propriedades confiáveis do dispositivo de atribuição de selo de tempo e do seu mecanismo de relógio interno, pode ser, de preferência, codificada directamente dentro do certificado de dispositivo, utilizando um esquema de codificação de atributo de valor adequado. No entanto, esta informação pode também estar implícita do nome do fabricante e do tipo de dispositivo, o que pode ser publicado pelo fabricante numa certificação de especificação e desempenho, como parte de uma "declaração de política" apresentada publicamente na altura em que o certificado dc dispositivo c emitido. 62 86 259 ΕΡ Ο 739 560/ΡΤ

Tais selos de tempo podem também ser emitidos pelo dispositivo, como parte de outras operações de tratamento de mensagens para além da criação e descodificação de MCH. Estes selos de lempo podem ser apensos à assinatura pessoal do utilizador de dispositivo quando o utilizador assina outro documento ou transação utilizando a sua chave de assinatura pessoal, a qual está confinada em segurança dentro do dispositivo. O dispositivo deve assinar ou co-assinar o elemento de selo de tempo da assinatura do utilizador, ou pode em alternativa assinar sobre o bloco de assinatura inteiro do utilizador (o qual continha o selo de tempo, também assinado pelo utilizador, em conjunto com a compilação de mensagem de resultado de informação não válida do documento). O dispositivo pode então fornecer o seu certificado a fim de tornar o selo de tempo crível e de confiança para uma terceira parte, que conhece a chave pública do fabricante.

Actualizacão confiáveis, substituição e repetição de chave O dispositivo de confiança resistente a violação pode conter uma chave pública do fabricante incluída, uma área de memória não volátil protegida e uma unidade de processador central segura (CPU) e pode actualizar ou suplementar de uma maneira de confiança quaisquer rotinas de suporte lógico inalterável incluídas pelo fabricante. O dispositivo de confiança faz a actualização ou suplementa pela aceitação como entrada de um corpo de dados, contendo códigos de suporte lógico inalterável adicionais ou novos, que são adequados para esse tipo de dispositivo e são assinados digitalmente com a assinatura do fabricante, assinatura que assegura ao dispositivo que o código de suporte lógico inalterável novo foi desenvolvido, testado e aprovado pelo fabricante e que o dispositivo deve, por conseguinte, quer (a) sobrepor o código de suporte lógico inalterável novo a uma ou mais rotinas de suporte lógico inalterável incluídas quer (b) adicionar o código de suporte lógico inalterável novo como uma ou mais rotinas novas a uma área normalmente não utilizada da memória protegida. Na concretização preferida, a memória protegida deve ser do tipo “FLASH”, a qual pode reter a sua informação indefinidamente, quanto a alimentação é desligada, mas também pode ser apagada pelo dispositivo (não obstante, relativamente devagar), e utilizada de novo se desejado. A memória protegida pode também incluir qualquer área de armazenagem de dados (tal como uma unidade de disco), sendo ou não resistente a violação, na qual o código a ser actualizado ou acrescentado pode ser armazenado numa forma cifrada, para a qual a chave de decifração é conhecida apenas pelo dispositivo de confiança. Pela armazenagem dos programas numa forma cifrada, o dispositivo ovita efectivamente que eles sejam modificados por 63 86 259 ΕΡ Ο 739 560/ΡΤ alguém sem conhecimento da chave de decifração. Quando o dispositivo recebe um tal corpo assinado do novo código de suporte lógico inalterável (ou suporte lógico), o utilizador insere o código em conjunto com a assinatura do fabricante e emite uma instrução de "actualizar suporte lógico inalterável de processo" para o dispositivo. O dispositivo verifica então a assinatura de fabricante utilizando a chave de assinatura pública do fabricante, a qual foi incluída no dispositivo durante o fabrico. Se a assinatura do fabricante se verifica, o código é aceite e o dispositivo realiza a actualização desejada. O processo de uma actualização de confiança no suporte lógico inalterável de um dispositivo de confiança como descrito acima pode ser adicionalmente aumentado para acomodar terceiras partes autorizadas que desejem actualizar rotinas de suporte lógico inalterável, que pertencem a funções de dispositivo relevantes para as terceiras partes, incluindo funções tais como o sistema de garantia de chave presente, as quais podem ser em grande parte concebidas e administradas por um centro de garantia principal bancário independentemente do fabricante do dispositivo de confiança. Num exemplo da actualização de terceira parte, o fabricante pode assinar um certificado de actualização de suporte lógico inalterável contendo uma chave pública do fornecedor do suporte lógico da terceira parte e emiti-lo para a terceira parte. A terceira parte pode então desenvolver, testar e aprovar rotinas de suporte lógico adicionais ou de substituição, assiná-las com a chave de assinatura privada da terceira parte, e anexar o seu certificado de actualização a partir do fabricante. Depois de receber uma tal actualização, o utilizador deve carregar ambas as rotinas de código assinadas e o certificado de actualização do fabricante dentro do dispositivo e então emitir uma instrução de "actualizar suporte lógico inalterável da terceira parte de processo". O dispositivo deve então verificar a assinatura da terceira parte nas novas rotinas de código contrapondo o certificado de actualização de fabricante e verificar então o certificado de actualização contrapondo a chave de assinatura pública do fabricante que foi incluída no dispositivo durante o fabrico. Se ambas as assinaturas se verificam, a actualização é aceite e o dispositivo realiza a actualização desejada.

Além da aceitação das instruções para actualizar ou suplementar as rotinas de suporte lógico inalterável de dispositivo, um dispositivo de confiança resistente a violação pode também aceitar instruções para substituir ou acrescentar chaves públicas e "instruções" que foram incluídas durante o fabrico. Como explicado anteriormente, um dispositivo de confiança pode ter chaves públicas, para além das do fabricante, incluídas durante o fabrico do dispositivo. Tais chaves públicas de

86 259 ΕΡ Ο 739 560/ΡΤ 64 "instruções” podem incluir as chaves de um ou mais centros de garantia principais, como descrito no presente invento. Estas chaves incluídas, incluindo as chaves do fabricante ou de outras terceiras partes confiáveis, podem ser utilizadas para verificar vários certificados, tais como certificados de garantia, certificados de dispositivo, certificados de actualização, certificados de instrução de regulação de tempo e outros que podem ser apresentados ao dispositivo para o mesmo actuar sobre os mesmos. Para além de contar apenas com as chaves públicas, incluídas durante o fabrico, o dispositivo pode também aceitar instruções externas para incluir novas chaves públicas ou para substituir as existentes. A fim de um dispositivo aceitar e armazenar numa área não pública a chave de assinatura pública de uma terceira parte de confiança, o fabricante deverá incluir a nova chave pública num pacote de dados de instrução assinado (ou certificado) assinado pelo fabricante, dando instruções ao dispositivo para descartar o certificado incluído e armazenar dentro a chave de instruções pública indicada. O pacote especial pode também dar instruções ao dispositivo para que tipos de transacções a nova chave é de confiança (por exemplo, para utilizar numa aplicação de garantia de chave, aplicação de aluguer de viaturas, aplicação de dados médicos, ou outra utilização). Quando da recepção de um tal pacote de dados de chave pública do fabricante, o dispositivo deve primeiro verificar a assinatura do fabricante e depois aceitar e armazenar a nova chave pública em conjunto com a restrição sobre a utilização da chave pública. O fabricante pode também indicar na altura de inserir uma chave de instruções pública de terceira parte, ou durante o fabrico ou mais tarde como parte de um pacote de dados de instruções, que uma das transações para a qual a chave de terceira parte é aprovada é a substituição da chave de verificação de assinatura pública subjacente própria do fabricante. Embora uma tal substituição da chave de assinatura pública própria de fabricante não devesse quase nunca ser exigida, existe uma possibilidade de que a chave de assinatura privada correspondente do fabricante (para emitir certificados de dispositivo e outras instruções para o dispositivo) possa ser comprometida através de roubo. O roubo da chave de assinatura privada de fabricante deve permitir ao ladrão emitir aparentemente instruções válidas, para aprovar novos centros de garantia (de confiança dúbia) e para aprovar novas autoridades de regulação de tempo. Em alternativa, e mais provável, a chave de assinatura privada de fabricante pode simplesmente ser perdida ou destruída, evitando assim a emissão de quaisquer instruções válidas adicionais. Qualquer um destes acontecimentos devem ser classificados como um "desastre" em termos de sistemas de computador e podem resultar em todos os 65 ΕΡ Ο 739 560/ΡΤ dispositivos do fabricante, tendo que ser chamados de novo. No entanto, através do presente invento, o custo de uma tal nova chamada pode ser evitado ou mitigado, permitindo que uma lerceira parte de confiança substitua a chave de assinatura comprometida do fabricante. Assumindo que o fabricante tinha já incluído as chaves de instruções de uma ou mais terceiras partes dentro do dispositivo, ou durante o fabrico, ou mais tarde utilizando um pacote de dados de instruções, e tinha incluído a substituição da sua própria chave pública entre as transações que a chave de instruções pública da terceira parte pode aprovar, o fabricante pode então voltar para essa terceira parte de confiança e requerer que ela emita um pacote de dados de instrução para todos os dispositivos do fabricante, autorizando a substituição da chave de assinatura pública do fabricante, poupando assim a ela própria e aos seus utilizadores o enorme custo de substituir fisicamente todos os dispositivos físicos. Devido a todos os certificados de dispositivo emitidos pelo fabricante deverem também ser substituídos, isto pode ser conseguido tendo cada dispositivo emitido um pedido de certificado para a chave de assinatura de dispositivo pública própria do dispositivo. Se a chave privada de fabricante for perdida ou destruída, e não comprometida, então todas as assinaturas anteriores devem ser ainda válidas e um utilizador deve precisar apenas de apresentar o seu certificado de dispositivo antigo a fim de ter um novo certificado de dispositivo, emitido para a mesma informação, assinado pela nova chave de assinatura do fabricante. O fabricante deve fazer então retornar novos certificados de dispositivo (mais provavelmente através de uma transação em tempo real ou de correio electrónico). Embora isto seja ainda caro, será muito mais barato e menos prejudicial para a reputação do fabricante do que a substituição física extensa de todos os dispositivos confiáveis do fabricante no campo. A inclusão dentro de um dispositivo de confiança de um mecanismo para substituir uma chave pública de fabricante ou qualquer outra chave de instruções pública de confiança pode mitigar alguns dos riscos de segurança sistemáticos que estão postos pela utilização das chaves públicas de raiz de sistema geral. Isto deverá permitir uma maior confiança nos modelos de confiança puramente hierárquicos, os quais geralmente permitem circuitos de certificação mais simples e mais curtos, exigindo menos certificados, menos esforço para determinar quais certificados se devem utilizar e menos tempo de computador para verificar as assinaturas.

86 259 ΕΡ Ο 739 560/ΡΤ 66

Repetição de chave controlada de dono

Como anteriormente descrito, o utilizador também tem a opção de repetir a chave do seu dispositivo como para o seu par de chaves de cifração de utilizador em qualquer altura depois do fabrico. O utilizador faz isto depois de emitir uma instrução de suporte lógico inalterável para o dispositivo de confiança para realizar os passos particulares do processo de garantia de chave, isto é, para gerar um par de chaves de cifração pública e privada nova, envia as divisões de chave para os agentes de garantia e recebe por fim um novo certificado de garantia do centro de garantia principal. No entanto, é também desejável permitir que um empregador de utilizador ou patrocinador (ou dono, se o utilizador é outro dispositivo ou processo) controle os processos de chave ou de repetição de chave de modo (a) a assegurar que o utilizador seleccione os agentes de garantia que o empregador determinar aceitáveis e (b) a assegurar que o empregador, como o verdadeiro dono do dispositivo, deverá permanecer conhecido dos agentes de garantia seleccionados e por isso será capaz de requerer as divisões de chave do utilizador a partir dos agentes de garantia sem ter de primeiro obter uma autorização ou uma autorização do tribunal. O empregador pode pedir o acesso à chaves de um dispositivo particular por qualquer número de razões, tal como administrar uma vigilância interna ou para recuperar dados de propriedade cifrados depois do dispositivo aplicável ter sido perdido, roubado ou destruído. O empregador pode também necessitar de repetir a chave do dispositivo por qualquer de um número de razões, tal como para um dispositivo cujas chaves de assinatura ou cifração anteriores foram comprometidas ou limpas, para um dispositivo que foi dado a um empregado diferente, ou para um dispositivo cuja organização dona repete a chave de todos os dispositivos criptográficos em intervalos periódicos como uma questão de plano de acção.

Na concretização preferida, o dispositivo de confiança pode ser previamente ajustado pelo fabricante de modo que ele não inicie a geração de chave e processo de garantia, a não ser que o dispositivo receba primeiro um certificado do dono para o dispositivo 220, tal como um mostrado na Fig. 22, contendo o número de série permanente 221 do dispositivo particular e assinado 225 pelo fabricante. O certificado de dono 220, emitido na altura da compra pelo fabricante para a empresa compradora do dispositivo, também contém o nome 222 da empresa, o número de identificação único 223 da empresa (tal como o número de identificação de empregador de serviço de benefício Interno (EIN) ou o número de Dun & Bradstreet (DUNS) ) e a chave de verificação de assinatura pública 224 da

86 259

EP 0 739 560/PT 67 empresa, a qual corresponde à chave de assinatura privada guardada pela empresa e a qual será utilizada para verificar a repetição de chave ou outras instruções emitidas pela empresa para o dispositivo. Subsequentemente à recepção desta informação, o dispositivo deve responder apenas à repetição de chave ou outras instruções que estão assinadas utilizando a chave de assinatura privada da empresa dona correspondente à chave pública contida no certificado do dono do dispositivo.

Referindo agora a Fig. 23, quando o empregador (o dono do dispositivo) deseja repetir a chave do dispositivo 230, o empregador emite uma instrução assinada 231 para o dispositivo 230, incluindo (1) o número de série 232 do dispositivo, o número de identificação de dono único 233, (2) os nomes dos agentes de garantia 235 e o centro de garantia principal 234, (3) a data e hora da instrução de repetir a chave, (4) a data e hora do termo da instrução de repetir a chave 236 e (5) o número de série único de instrução de repetir a chave 237 e assina a instrução utilizando a chave de assinatura privada de empregador 238. Depois de receber um certificado de dono válido 239 e uma instrução de repetir a chave válida 231, a pastilha electrónica dentro do dispositivo de confiança 230 verifica primeiro a assinatura de fabricante no certificado de dono 239 e a assinatura de empregador na instrução de repetir a chave 231. O dispositivo de confiança completa então a geração de chave e o processo de garantia, como antes, incluindo o número de identificação único de dono 233 dentro de cada pacote de partilha de garantia, e envia os pacotes de partilha apenas para os agentes de garantia 235 indicados pelo empregador na instrução de repetir a chave 231. A repetição subsequente destas instruções (a qual pode ser emitida electronicamente) pode ser limitada ao indicar o dispositivo, a fim do dispositivo reter em armazenagem não volátil os números de série das últimas várias instruções de repetição da chave que o mesmo recebeu e recusar executar as instruções de novo. Assumindo que o relógio de tempo do dispositivo é mantido em bom estado, a repetição subsequente das instruções de repetição da chave pode também ser limitado simplesmente através de instrução ao relógio de tempo do dispositivo para cumprir a data e hora de termo da instrução. Numa concretização preferida, um dispositivo cujo relógio não está calibrado deve recusar processar uma instrução de repetição da chave que tenha uma data/hora de termo não nulas, mas deve seguir se a data/hora de termo for deixada nula.

Depois da recepção de um dispositivo utilizador os pacotes de partilha de divisão de chave (ou repetição de chave), contendo um único número de

86 25Θ ΕΡ Ο 739 560/ΡΤ 68 identificação de dono, os agentes de garantia e o centro de garantia principal devem gravar o número de identificação único nas suas respectivas bases de dados e devem, subsequenLemenle, honrar os pedidos do dono para aceder à chave de cifração privada. Numa concretização preferida, os agentes de garantia e centro de garantia devem cada um deles exigir que um pacote de partilha de divisão de chave que indica um único número de identificação de dono deve ser também acompanhado pelo respectivo certificado de dono de dispositivo assinado pelo fabricante. Este certificado de dono de dispositivo deve permitir os agentes de garantia e o centro de garantia principal de actuarem nas mensagens de pedido de chave, assinadas com a chave de assinatura privada de dono, correspondente à chave pública do dono no certificado do dono de dispositivo.

Numa outra concretização, ao dispositivo de confiança pode ser permitido a aceitar a repetição de chave, a repetição de garantia, a transferência de propriedade ou outras instruções do dono do dispositivo sem ter de utilizar um certificado de dono e dispositivo separado. O requisito de ter de utilizar um certificado do dono separado para instruções para o dispositivo é um ónus administrativo, porque o dono tem de manter uma base de dados de certificados para todos os seus dispositivos e localizar o certificado apropriado cada vez que ele queira repetir a chave de um dispositivo ou enviar ao dispositivo algumas outras instruções. Uma abordagem melhor, como mostrado na fig. 26, é o fabricante emitir para o dono um certificado único para a chave de instruções pública do dono para uma dada família de dispositivos, deixar o vendedor instalar a sua chave de verificação de instruções pública 261 dentro do dispositivo 260, quando o dispositivo 260 é vendido, e depois instituir um sistema apoiado na armazenagem interna das chaves. Depois da venda inicial do dispositivo pelo seu fabricante para um dono, o dispositivo 260 deverá primeiro verificar a validade do certificado de fabricante 262 do dono, utilizando a chave de instruções pública 263 do fabricante, que foi incluída dentro do dispositivo pelo fabricante. Se a área de chave de instruções pública 264 do dono, dentro do dispositivo está em branco, o dispositivo deverá copiar a chave de instruções pública 261 do dono a partir do certificado de fabricante 262 do dono para dentro da área de chave de instruções pública 264 do dono do dispositivo. Se uma chave de instruções pública de dono já exista no dispositivo e é diferente da do dono, que tenta iniciar o dispositivo, o dispositivo assume que o fabricante vendeu o dispositivo a outra entidade. Porque cada dispositivo deverá ter, pelo menos, um dono primário, a propriedade do dispositivo será determinada pela presença ou falta de uma chave de instruções pública 261

86 259 ΕΡ Ο 739 560/ΡΤ 69 do dono dentro do dispositivo 260, em vez do (ou adicionalmente ao) conceito anterior de um certificado do dono.

Se nenhuma chave de instruções pública de dono está instalada, o dispositivo é considerado como sendo um dispositivo de consumidor de utilizador único que não está limitado com vista à repetição de chave ou à transferência de propriedade do dispositivo; como tal, o dispositivo deverá considerar a não existência de uma chave do dono instalada, como um sinal para obedecer às instruções do utilizador sem invocar a repetição de chave, a repetição de garantia e as regras de transferência de propriedade explicadas anteriormente. Se uma chave de instruções pública de dono 271 foi instalada dentro do dispositivo de confiança 270, como mostrado na fig. 27, então as instruções de repetição de chave, repetição de garantia e transferência de propriedade de utilizador 272 não deverão ser processadas, a não ser que as instruções sejam assinadas 273 pela chave de assinatura privada de dono correspondente 274. Uma vez que a assinatura de dono 273 tenha sido verificada, o dispositivo de confiança 270 realiza os passos do procedimento de repetição de garantia, como descrito previamente. Assim, o dono não necessita de anexar um certificado de dono fornecendo a sua propriedade de um dispositivo numerado dado, quando se dão instruções ao dispositivo. No entanto, as instruções assinadas de dono devem é claro ser limitadas a um dispositivo numerado ou talvez a alguma classe de dispositivos cujos números de dispositivo se ajustam a uma regra dada ou modelo, a fim de evitar que as instruções sejam alimentadas para todos os dispositivos pertencentes a esse dono.

Adicionalmente, como mostrado na fig. 28, o dono pode enviar uma instrução para transferir a propriedade de dispositivo através da substituição da chave de verificação de instruções pública de dono, instalada originalmente com uma outra (do comprador, o novo dono do dispositivo). O dono do dispositivo envia uma instrução de transferência de propriedade 282 para o dispositivo 280, incluindo o novo nome de dono e chave de verificação de instruções pública, assinada utilizando a chave de assinatura de instruções privada de dono actual 283. O dispositivo verifica a instrução de transferência de propriedade 282, utilizando a chave de instruções pública de dono actual 281, substitui a chave pela nova chave de instruções pública 284 do dono e depois disso responde a instruções apenas do novo dono. Adicionalmente, o dono podia também adicionar outro "dono secundário” através da instalação de uma segunda chave de instruções pública. Esta segunda chave de verificação de instruções pública deveria ter um campo de "direitos", indicando que para quais operações é autorizado aceitar as instruções. 70 86 259 ΕΡ Ο 739 560/ΡΤ

Entre os direitos podem estar: a repetição de chave, a adição de outro dono, a eliminação de um dono (o mesmo de uma venda condicional), a eliminação de todos os donos, e o retrocesso para um dispositivo consumidor, que não tenha um dono declarado. No entanto, estes direitos definidos podem incluir mais ou menos direitos, ou a mesma quantidade de direitos, do que a chave de verificação de instruções primária ou original, incluindo o direito para substituir ou retirar a chave de instruções de dono primária.

Reaisto de dispositivo generalizado

Notar que os processos gerais anteriores, para garantir uma chave de decifração privada e receber um certificado de garantia, podem também ser aplicados para o mais caso geral de registar um dispositivo de confiança numa terceira parte de confiança e receber uma autorização da terceira parte que permite ao dispositivo comunicar com outros dispositivos confiáveis, não necessariamente limitado no âmbito ou finalidade à situação de garantia de chave. Neste processo geral, descrito na Fig. 24, um dispositivo de confiança programável 240, que comunica com uma terceira parte de confiança (TTP) 241, está equipado com uma chave de assinatura privada e um certificado 242 do fabricante para a chave de assinatura pública correspondente. O mesmo também contém cópias seguras das chaves públicas da autoridade de sistema geral (ou global) (SWA) de fabricante, as quais podem ser as mesmas, e suporte lógico inalterável de seguro a nível do sistema que pode suportar a instalação remota de suporte lógico inalterável adicional a nível da aplicação e chaves públicas relacionadas, como explicado algures nesta descrição. O dispositivo 240 pode registar com qualquer um de um número não limitado potencialmente dos TTP 241, que são admitidos neste sistema de registo geral, tendo sido emitido um certificado da autoridade 243, assinado pela SWA (a SWA pode também indicar um conjunto de certificadores para autorizar que os TTP sejam admitidos no sistema, de acordo com os princípios bem conhecidos das hierarquias de certificação de chave pública). Uma vez que os utilizadores tenham registado os seus dispositivos com um dado TTP, eles podem então empenharem-se em transações especializadas com outras partes de comerciais.

No primeiro passo deste processo, o utilizador inicia um pedido 244 para registar o seu dispositivo 240 com um dado certificado TTP 241. Este pedido 244 contém alguma informação 245 para identificar o utilizador e a natureza do pedido de registo e é assinado pelo dispositivo e acompanhado pelo certificado dc

86 259 ΕΡ Ο 739 560/ΡΤ 71 dispositivo 242 do fabricante a fim de atestar a assinatura e o tipo conhecido do dispositivo. O TTP 241 seleccionado pode também requerer outra informação e seguranças quer do utilizador quer de outras partes para verificar a identidade do utilizador, o filiação, o seu crédito, etc., os quais estão fora do âmbito deste protocolo, mas podem influenciar a decisão do TTP para garantir ou negar a autorização desejada de realizar transações. O TTP 241, utilizando as chaves públicas apropriadas, verifica a assinatura do fabricante no certificado de dispositivo 242 e a assinatura de dispositivo na informação 245 no pedido de registo 245 do utilizador.

Quando satisfeito que ao utilizador pode ser permitido empenhar-se na classe pedida de transações, o TTP 241 emite então uma resposta 246, contendo um certificado 247, que autoriza especificamente o dispositivo a realizar as transações em nome do utilizador. O certificado de autorização de dispositivo 247 do TTP deverá tipicamente conter informação de identificação o TTP, o utilizador, o dispositivo do utilizador, e as transações para as quais a permissão é concedida, bem como uma cópia certificada de novo da chave de assinatura pública de dispositivo do utilizador como uma questão de conveniência (e como mais tarde explicado), de modo que o utilizador não submete o seu certificado de dispositivo 242 em cada transação subsequente com os parceiros de negócio. A resposta de TTP 246 pode também conter suporte lógico inalterável carregável para baixo e ou chaves públicas 248 para serem carregadas no dispositivo de confiança do utilizador para lhe permitir a realização das transações autorizadas. Quando a resposta TTP 246 chama o utilizador para carregar de modo seguro novos suportes lógicos inalteráveis ou chaves públicas dentro do seu dispositivo, a resposta 246 deverá também incluir o certificado do TTP da autoridade 243 emitido pela SWA, certificando a chave de assinatura pública de TTP e conduzindo o suporte lógico inalterável e autoridade de actualização de chave pública. Quando o dispositivo de confiança 240 do utilizador recebe a resposta de TTP 246, o mesmo utiliza a sua chave de assinatura pública SWA incluída para verificar o certificado do TTP da autoridade 243 e utiliza a chave de assinatura pública TTP contida no mesmo para verificar o suporte lógico inalterável e as actualizações de chave pública 248 e o certificado de autorização de dispositivo 247 do TTP.

Referindo de novo a Fig. 24, quando o utilizador deseja realizar uma transação com um parceiro de negócio 250, o seu dispositivo deverá formular os dados de transação 249 de acordo com as regras anexas ao programa de suporte lógico inalterável instalado no dispositivo (ou na altura do fabrico ou no

86 250 ΕΡ 0 739 560/ΡΤ 72 carregamento subsequente), como foi extensamente explicado através desta descrição, e deverá assinar a transação 249 e anexar um certificado para a sua chave pública correspondente. Este certificado pode ser o certificado de disposilivo 242 do fabricante, mas ser mais provavelmente o certificado de autorização de dispositivo 247 do TTP, o qual contém uma cópia da chave pública de dispositivo certificada de novo por conveniência. O parceiro de negócio 250 deverá tipicamente utilizar a chave pública do TTP para verificar a assinatura do TTP no seu certificado de autorização de dispositivo 247 e utilizar então a chave de assinatura pública de dispositivo ali contida para verificar a assinatura do dispositivo na transação 249, confirmando, desse modo, a concordância do dispositivo com os requisitos de protocolo de transação impostos pelo suporte lógico inalterável relevante. No caso do parceiro de negócio 250 não ter já a chave de verificação de assinatura pública do TTP específico, o utilizador pode incluir na sua transação 249 o certificado de SWA do TTP da autoridade 243, o qual pode ser verificado pelo parceiro de negócio, utilizando a chave pública de SWA, a qual deve já possuir a fim de ser um participante neste sistema. O processo generalizado descrito até aqui é suficientemente geral para permitir (a) a garantia de uma chave de cifração privada em troca de um certificado de garantia, assinado por um centro de garantia (TTP), em que a informação contida ou implícita no certificado de dispositivo do utilizador conduz ao centro de garantia que o dispositivo está já equipado com suporte lógico inalterável que é capaz de realizar as funções especializadas do sistema de cifração de garantia de chave aqui descrito, ou (b) se tal dispositivo não está equipado dessa forma, mas é capaz de ser equipado dessa forma, o carregamento de uma actualização de suporte lógico segura, que durante a instalação deverá possibilitar ao dispositivo completar os requisitos transaccionais do sistema de garantia. Os dados de transação 249 enviados para o parceiro de negócio 250 pode ser uma mensagem cifrada previamente fixa por um cabeçalho de controlo de mensagem e acompanhada por uma autorização 247 (o certificado de garantia do utilizador), como emitido por um TTP 241 (o centro de garantia principal). O sistema generalizado da Fig. 24 possui, portanto, muitas propriedades altamente desejáveis as quais podem facilitar formas complexas de transações governamentais ou de negócio em ambientes de rede de comunicação aberta. Em particular, podem existir muitos fabricantes de dispositivo diferentes, desde que cada dispositivo participante seja capaz de executar transações de passos múltiplos seguras, carregar o suporte lógico Inalterável para realizar tipos adicionais 73 86 259 ΕΡ Ο 739 560/ΡΤ de transações de passos múltiplos seguras, e assinar as transações assim criadas. Também, pode existir qualquer número de terceiras partes confiáveis, emitindo cada uma delas um tipo diferente de autorização Iransaccional e criando e certificando cada uma delas uma classe diferente de aplicação de suporte lógico inalterável, tal como a garantia de chave, a gestão de dinheiro digital, o aluguer de carros ou a gestão de registos médicos de utilizador. Assim, embora possa ser exigido a um parceiro de negócio (pelo suporte lógico inalterável e protocolos do dispositivo de utilizador) para utilizar um dispositivo de confiança equipado comparativamente, o dispositivo pode ser feito, emitido e equipado por partes diferentes das do utilizador original, ainda as transações de utilizador original deverão ser ainda aceites e processadas de acordo com as regras do sistema, desde que a parte possua uma cópia da chave de verificação de assinatura pública de SWA 247, a qual permite que todas as versões dos dispositivos e os seus programas se reconheçam entre si e trabalhem em conjunto, se tal for certificado pela SWA e os seus TTP. Alguns exemplos de propósitos de negócio que podem ser cumpridos por este protocolo inclui sistemas que reforçam exigências transaccionais para (a) cifração utilizando provavelmente chaves de garantia, (b) gestão das representações digitais do dinheiro ou outros documentos de valor alto, e (c) acesso a informação pessoal médica ou outra do utilizador e utilização da mesma. Número único de identificação de dono

Dependendo da necessidade de equilibrar a facilidade de utilização com os direitos de privacidade, o número único de identificação de dono pode também aparecer opcionalmente em quer (a) o certificado de garantia de utilizador ou (b) MCH emitidos durante as comunicações normais, bem como nas mensagens de divisão de chave para os agentes de garantia. Seria desejável para um investigador, que tenta decifrar comunicações ser capaz de determinar ao olhar para um MCH, contendo o número de identificação do dono, se um ou ambos os dispositivos envolvidos na comunicação, a partir do qual o MCH que foi tirado pertence a um dado dono. No entanto, outros interesses de privacidade, incluindo os de certos donos, pode sugerir que o número de identificação de dono seja omitido do MCH a fim de melhorar a privacidade das comunicações. Nos casos, em que o número de identificação de dono é incluído apenas no certificado de garantia de dispositivo e não nos MCH das comunicações, um investigador, contratado por um empregador particular numa tentativa de determinar se uma comunicação particular, originada pelos empregados do empregador, confrontado com muitos MCH que não tenham donos de dispositivos listados, devem inquirir de um centro 74 86 259 ΕΡ Ο 739 560/ΡΤ de garantia principal, listado num dado MCH, se esse MCH originado por um dispositivo pertença do empregador. O centro de garantia principal deve decifrar o número de certificado de uma parte para a comunicação MCH, cujas chaves são garantidas pelo centro de garantia principal, e verificar se o certificado de utilizador foi emitido para o empregador do investigador. Se for assim e se o pedido do investigador é assinado, utilizando a chave de assinatura do empregador dono (isto é, o investigador tem autorização do empregador ou dono para investigar), o centro de garantia principal deve revelar esta informação. Se o investigador não tiver autorização, ao investigador deve então ser exigido procurar uma autorização ou autorização do tribunal para investigar actividades suspeitas reflectidas nos MCH de donos de dispositivos desconhecidos. É antecipado que a maioria dos donos dos dispositivos não se opõe a serem nomeados abertamente nos seus certificados de garantia de utilizador e MCH, porque na maioria dos sistemas de comunicações electrónicos é impossível suprimir a informação de endereço de rede física e lógica, que muitas vezes identifica fortemente a instituição remetente e receptora de uma dada mensagem. Assim, pouco é perdido ao publicitar os números únicos de identificação de dono, e muito é ganho ao proporcionar a capacidade de rapidamente aprofundar e classificar mensagens pelos nomes de dono de dispositivos remetentes e donos de dispositivo receptores. O número único de identificação de dono pode, no entanto, ainda ser incluído dentro do certificado de garantia do empregado ou dentro dos MCH das comunicações sem serem publicitados. O certificado de garantia do empregado e os MCH devem incluir uma chave de cifração pública de empregador em conjunto com as outras chaves, como descrito acima. Estas chaves devem normalmente estar presentes nos certificados tanto de remetente como de receptor (assumindo que tanto o remetente como o receptor têm empregadores). Quando o dispositivo do remetente forma o MCH, o mesmo deverá incluir dentro do MCH um ou ambos os números únicos de identificação de empregador, cada um cifrado utilizando a chave de cifração pública do respectivo empregador, a fim de que, com efeito, o dispositivo do remetente utiliza o MCH para enviar a cada empregador ou dono uma mensagem, que consiste na ID única própria de empregador ou dono respectivo, que apenas ele pode decifrar. Este processo é semelhante ao explicado acima com vista ao utilização do remetente do MCH para enviar os números de certificado tanto do remetente como do receptor cifrados com as chaves de cifração públicas dos seus respectivos centros de garantia, e para enviar a chave de sessão de mensagem para o receptor (a função normal do MCH), bem como para o remetente, a fim de permitir a escuta de ambas as partes. Esta técnica permite ao 75 86 259 ΕΡ Ο 739 560/ΡΤ empregador determinar prontamente quais os MCH que pertencem aos seus empregados, evitando ao mesmo tempo uma situação, na qual todas as mensagens pertencentes aos empregados do dono empregador são prontamenle identificáveis no fluxo de tráfego de mensagem e no qual os números de ID de dono não são cifrados e são prontamente obtidos.

Esta abordagem tem ainda a desvantagem do número único de identificação e empregador cifrado, utilizando a chave de cifração pública de empregador deverá sempre produzir o mesmo valor e, portanto, reconhecível. Uma melhor implementação desta abordagem deve ser cifrar um bloco de dados, contendo um selo de tempo corrente (ou outro número aleatório) em conjunto com o número de certificado de garantia do empregado (o qual o empregador tem claramente o direito de saber) com a chave pública do empregador, de modo que atribuição de selo de tempo deve dar uma alta variabilidade ao bloco de dados cifrado. Vários bytes de um texto que "prende a atenção" diferente, tal como "EMPR" (ou possivelmente a única ID do empregador, permitindo espaço) pode ser também incluído dentro do bloco cifrado a fim de fazer a decifração com sucesso óbvia para uma entidade que está a decifrar o campo (no caso de os outros itens de dados serem binários, caso em que não se pode ter a certeza). Neste caso, a prova da propriedade do empregador consiste simplesmente no empregador ser capaz de ler este campo. Adicionalmente, ainda um outro número aleatório podia ser adicionado ao bloco de dados para aumentar a variabilidade, no caso da atribuição de seio de tempo não ser suficientemente de confiança para ser diferente de cada vez e para, portanto, tornar os blocos de dados de MCH de empregador únicos.

Esta abordagem melhorada, a qual deve ser feita para os empregadores tanto do remetente como do receptor com todas as mensagens que são enviadas, deve tornar possível aos empregadores e a outros patrocinadores determinar quais comunicações foram geradas ou recebidas pelos seus empregados sem terem de submeter o MCH cifrado para cada comunicação ao centro de garantia apropriado para uma determinação se ou não qualquer destas comunicações foram originadas de um dispositivo pertença do empregador, economizando assim provavelmente uma quantidade de dinheiro considerável. Cada empregador deverá ainda ter de contactar o centro de garantia principal e os agentes de garantia, como anteriormente, a fim de obter a chave de cifração privada do seu empregado, e tem de provar que é de facto o dono do dispositivo do empregado, assinando os seus pedidos com a chave de assinatura privada, que coincide com a chave de verificação dc assinatura pública, contida no seu certificado de dono, como emitido 76 86 259 ΕΡ Ο 739 560/ΡΤ pelo fabricante de dispositivo. Pelo menos, os empregadores poupado em relação a tempo, esforço e despesa de quaisquer pedidos adicionais das partes, no que se refere aos MCH das comunicações, originadas a partir de qualquer paragem tardia, serem de dispositivos sem dono. E, como anteriormente, se um empregador suspeita de actividades criminosas ou outras impróprias em mensagens acompanhadas pelos MCH de comunicações de dispositivos sem dono, o empregador pode sempre contactar uma agência das forças da lei apropriada, contar a essa agência porque é que suspeita da actividade criminosa e tem a agência que ir ao tribunal para obter uma autorização para interceptar e/ou descodificar essas comunicações, as quais parecem ser originadas por terceiras partes criminosas não empregados ou, mais provavelmente, por indivíduos nas instalações do empregador, quer sejam empregados quer não, que estão a utilizar os dispositivos de cifração de que não são proprietários e registados para o empregador.

Este processo de colocar informação no MCH cifrado a fim de que a informação possa ser lida apenas pela parte autorizada a lar a mesma pode, obviamente, ser estendida a partes para além dos remetente e receptor (cada um dos quais pode decifrar a sua respectiva chave de sessão de mensagem do utilizador), cada centro de garantia principal da parte (cada um dos quais pode decifrar o ser respectivo número de certificado de utilizador), e cada dono ou empregador de parte (cada um dos quais pode decifrar o seu respectivo número de certificado de empregado ou o seu próprio número único de identificação de dono, a fim de confirmar se possui o dispositivo de comunicação sem ter de contactar qualquer um dos outros, enquanto que evita ser identificado em cada mensagem). Isto pode também ser estendido a outras partes tal como a divisões dentro de uma grande companhia ou, por exemplo, as forças da lei locais em certas nações estrangeiras que não têm requisitos de autorização. É claro, toda a Informação cifrada com estas chaves pode ser também mostrada em claro, isto é, não cifrada, como explicado anteriormente, desde que estas partes não tenham objecções a serem abertamente nomeadas e identificáveis por rotina em cada mensagem. Esta informação pode ser também omitida sempre que uma parte é irrelevante, por exemplo, quando um utilizador não tiver empregador. A abordagem mais simples deve ser utilizar um formato MCH para todas as situações, deixando campos em branco, quando não aplicáveis. Por outro lado, a concretização preferida deve ser utilizar vários formatos de MCH diferentes dentro do mesmo sistema, sendo cada formato identificado por um número único de versão no primeiro campo, a fim de que cada dispositivo, que processa um MCH deve ser capaz de determinar quais 77 86 259 ΕΡ Ο 739 560/ΡΤ os campos esperar e analisar de acordo o MCH. Este processo deve permitir uma introdução indefinida das partes interessadas no MCH, o que deveria ser o sistema mais flexível possível. A sobreposição de cálculo deve depender principalmenle de quantos destes campos devem de facto de ser cifrados com cada respectiva chave de cifração pública da parte.

Um empregador pode controlar mais facilmente a informação que está incluída no MCH acompanhando cada entrada com um "campo de política" ou um código de instruções que um código que dá as instruções ao dispositivo do empregador de qual a informação que deve ser incluída no MCH. Como anteriormente, o código de instruções pode incluir elementos de escolha, dando ao empregador opções de incluir as seguintes informações: (1) o nome do empregador e o número único de identificação, ou cifrados ou utilizando um pseudónimo; (2) a palavra "empregador” não cifrada, com o número único de identificação de empregador cifrado dentro do campo MCH; (3) o número de certificado de utilizador num campo cifrado; (4) a chave de sessão de mensagem num campo cifrado; (5) um selo de tempo num campo cifrado; e (6) um número para confundir aleatório dentro de qualquer dos outros campos cifrados. Muitas destas opções podem ser, com efeito, simultâneas. Além destas opções de política devem ser as mesmas para todos os membros da comunidade de interesses, incluindo as partes para as próprias comunicações, permitindo portanto que as partes sejam identificadas pelo seu correio ou ID de sistema ou simplesmente utilizando a palavra "remetente" ou "receptor" nos campos MCH em claro relevantes.

Chaves garantidas simultâneas múltiplas

Além das características acima descritas, para actualização das rotinas de suporte lógico inalterável de dispositivo e para substituição das chaves públicas do fabricante, o dispositivo de confiança deve ter também a capacidade de manter e gerir vários conjuntos de chaves de cifração de garantia simultaneamente. Normalmente, quando o dispositivo começa o ciclo de repetição de chave, isto é, a geração e garantia de uma nova chave de decifração privada, e como um resultado recebe um certificado de garantia para a correspondente nova chave de cifração pública, o dispositivo apagará a chave privada anterior a fim de reforçar a confiança do dispositivo na chave privada garantida recentemente. Em alternativa, o dispositivo pode reter a chave privada anterior durante apenas um período de tempo curto como necessário, por exemplo, pelo tempo necessário para recuperar dados cifrados dentro da armazenagem dc dados, utilizando o chave de cifração

86 259 ΕΡ Ο 739 560/ΡΤ 78 privada anterior. No entanto, numa concretização alternativa, o dispositivo pode também aceitar e processar uma instrução de nova garantia, ou do utilizador ou do dono do dispositivo como descrito acima, para criar um segundo certificado de garantia válido, respeitante ao mesmo par de chaves de cifração privadas/públicas. Nesta concretização, o dispositivo deve prosseguir com o processo de garantia, utilizando muito possivelmente uma lista diferente dos agentes de garantia e um centro de garantia principal diferente, e deve receber um certificado de garantia diferente e igualmente válido para o mesmo par de chaves de cifração públicas/privadas, que é assinado e emitido pelo segundo centro de garantia principal e pode ser utilizado de modo interpermutável com o primeiro certificado de garantia. Este segundo certificado de chave de cifração pública pode ser útil em casos, nos quais o utilizador do dispositivo viaja intemacionalmente ou se corresponde com partes localizadas noutros países, especialmente quando as outras nações podem desejar conduzir vigilâncias legítimas de comunicações, originadas ou terminadas nessas outras nações. Em tais casos, ao garantir de novo a mesma chave de dispositivo numa outra nação, o utilizador (ou o empregador do utilizador) pode ajudar a satisfazer possíveis requisitos legais nessa outra nação, enquanto que permite ainda ao utilizador ou empregador a conveniência de fazer negócios com o conjunto original dos agentes de garantia na sua própria nação (monitorização do dono legítimo, recuperação de chave perdida, etc.). Então, a fim de permitir ao dono seguir os MCH dos empregados, pode ser suficiente se as ID de dono dos remetente e receptor aparecessem em cada MCH, dizendo assim ao dono que ele tem a capacidade de obter a chave. Para poupar tempo e esforço, o dono pode então enviar um MCH para o centro de garantia principal estrangeiro para obter o número de certificado de garantia estrangeiro, o número de dispositivo subjacente e o certificado de dispositivo subjacente, mas depois valer-se dos seus agentes de garantia nacionais, os quais podem verificar o certificado do dono já em seu poder e libertar as divisões de chave privada reais. Este procedimento alivia o dono do dispositivo de quaisquer formalidades legais extra que podem ser requeridas a fim de obter as divisões de chave nacionais dos agentes de garantia estrangeiros.

Salvaguardas de exportação de segurança nacional A política normal do governo dos Estado Unidos é permitir o utilização sem regulamento de cifras dentro dos Estados Unidos por cidadãos americanos, mas impor pesadas restrições e multas para a exportação de dispositivos de cifração, suporte lógico ou "conhecimento" (“Know-How"). É possível modificar o presente t

86 259

EP 0 739 560/PT 79 sistema para permitir o utilização privada relativamente livre de dispositivos criptográficos nos Estados Unidos, impondo ao mesmo tempo restrições na sua utilização internacional. Um tal sistema pode permitir "domínios de políLica” inler-operáveis separados, que estão abertos a todos os vendedores de suporte lógico e suporte físico com mínimas ou sem alterações de concepção dos formatos de mensagem padrão utilizados através do sistema. É ainda desejável permitir a utilização de agentes de garantia privados em situações de país único puramente entre corporações, nas quais o sistema de garantia de chave está a ser utilizado unicamente para permitir a uma corporação particular controlar e vigiar as utilizações de cifração dos seus próprios empregados, sem qualquer obrigação, expressa ou implícita, de facilitar o acesso das forças da lei às comunicações que foram cifradas, utilizando chaves que a corporação garantiu. Em particular, tais companhias podem comprar os suporte lógico e suporte físico para sua própria utilização, mas podem negar assumir qualquer dever público de fornecer acesso a chaves privadas em intervalos de tempo curto, como pode ser desejado pelas forças da lei na perseguição de criminosos ou terroristas.

Isto pode ser feito, assumindo, em primeiro lugar, que todos os dispositivos através do sistema estão ligados directa ou indirectamente a uma autoridade de sistema geral (SWA) que (como anteriormente descrito) emite certificados para agentes de garantia, centros de garantia principais e fabricantes de dispositivos, a fim de permitir que cada um seja reconhecido pelos dispositivos dentro do sistema como sendo autêntico e verdadeiro. Um sistema de comunicações global ou nacional deve, por razões práticas, suportar a existência de agentes e centros de garantia principais múltiplos e não relacionados, cada um dos quais deve ser certificado pelo SWA como sendo autêntico. Em cada certificado emitido para um centro de garantia principal ou para um agente de garantia, o SWA indicá-lo-á como "público" ou "privado". Um agente de garantia ou centro de garantia "público" é o que está equipado e obrigado a responder rapidamente a autorizações ou intimações das forças da lei ou da segurança nacional. Os utilizadores cujas chaves são garantidas por tais agentes podem ser autorizados a efectuar comunicações além fronteiras. Um agente de garantia ou centro de garantia principal "privado” inclui os centros de chave de país único ou de companhias únicas que têm instalada tecnologia de sistema de garantia de chave para sua própria utilização mas não assumem qualquer obrigação a um nível público de serviço. O certificado da SWA para o centro de garantia principal ou agente de garantia deverá também incluir um código de país. Então, cada certificado de garantia do utilizador que é emitido c assinado por um centro de garantia principal e tem o certificado de SWA

86 259 ΕΡ Ο 739 560/ΡΤ 80 de centro de garantia principal anexo deverá também levar o código de país do utilizador. Notar que, como uma questão de conveniência, o certificado de garantia do utilizador deve também declarar que o mesmo é originado por um agente de garantia público ou não público, embora possa não ser possível para a SWA reforçar a exactidão dessa informação. Isto pode permitir ao dispositivo tornar estas regras ainda mais fáceis do que exigir sempre o certificado de SWA do centro de garantia principal.

As Figs. 29 e 30 mostram a implementação do requisito de garantia quando enviando e recebendo comunicações criptográficas internacionais. Como mostrado na Fig. 29, o dispositivo de confiança 290 do remetente implementa este sistema requerendo os certificados de garantia 291, 293 tanto do remetente como do receptor, e, se o remetente e o receptor não estão garantidos no mesmo centro de garantia principal, os seus certificados SWA de centro de garantia principais 292, 294, antes de enviar uma comunicação internacional. Os códigos de país 295, 296 · do utilizador receptor e o seu centro de garantia principal devem coincidir a fim de que um dispositivo remetente 290 envie uma comunicação. Além disso, se o remetente e o receptor estão em países diferentes 295, 297 e se qualquer utilizador está a utilizar um centro de garantia principal não público 298, 299, o dispositivo remetente recusará originar uma comunicação para esse receptor. Como mostrado na Fig. 30, o dispositivo de confiança de receptor 300 deverá também implementar este sistema recusando decifrar uma comunicação, se uma é de qualquer maneira originada, na qual o remetente e o receptor estão em diferentes países e se qualquer dos utilizadores está a utilizar um centro de garantia principal não público. Estas regras efectuarão a política desejada de desaprovação de comunicações criptográficas internacionais não garantidas, porque o centro de garantia principal não pode falsificar o seu estatuto público, o qual é certificado pela SWA, e, mesmo que o centro de garantia principal possa falsificar o código de país do utilizador (para fazer com que o utilizador apareça como pertencendo a um domínio estrangeiro), os dispositivos não permitirão uma discrepância entre os códigos de país do utilizador e do centro de garantia principal. Embora estas regras não evitem que um utilizador transporte de modo impróprio o seu dispositivo de cifração de confiança através das fronteiras nacionais, elas permitem uma satisfação fácil com os requisitos nacionais permitindo-lhe manter uma chave garantida em cada nação e comunicar utilizando apenas a chave apropriada em cada domínio de política. 81 86 250 ΕΡ 0 739 560/ΡΤ

Versões de dispositivo utilizadores múltiplos

Uma outra caraoleríslica deste invento é a capacidade para iniciar e gerir simultaneamente várias sessões diferentes de comunicações com utilizadores diferentes locais ou afastados, utilizando o mesmo dispositivo. Muitos computadores grandes suportam utilizadores múltiplos, os quais estão frequentemente registados simultaneamente através de sessões de terminal, mas que podem desejar iniciar sessões cifradas com outras entidades em todo o mundo. No entanto, porque deve ser altamente ineficiente exigir um dispositivo de confiança separado para cada sessão de utilizador num computador repartido, o dispositivo de confiança pode seguir a chave de sessão de mensagem para cada comunicação ao armazená-la em conjunto com um número único de sequência de mensagem (MSN) para a sessão. Então, quando qualquer pacotes de mensagem adicionais que apoiam esse MSN chegam, os mesmos podem ser decifrados, e as respostas cifradas, sem demora. Além disso, o dispositivo pode garantir as chaves de decifração privadas de vários utilizadores enquanto liga cada chave privada de utilizador ao um número de identificação único de utilizador e permite que cada chave seja utilizada apenas na apresentação de alguma autenticação de utilizador adequada, tal como uma palavra passe, cartão inteligente, PIN, biométrico, resposta de. desafio, etc. Ao atribuir um número de identificação de utilizador e senha ou o equivalente a cada par de chaves públicas/privadas como é gerado para garantia, os controlos normais em senhas, tal como comprimento, expiração, bloqueios de retracção e facilidade de adivinhar, podiam então ser impostos pelo dispositivo a fim de limitar a possibilidade de acesso não autorizado.

Assim, é fornecido um sistema e processo criptográfico com característica de garantia de chave. Um especialista na técnica apreciará que o presente invento pode ser posto em prática por outras que não as concretizações descritas, as quais são apresentadas para fins de ilustração e não de limitação, e o presente invento é limitado apenas pelas reivindicações que se seguem.

Por CERTCO INCORPORATED

Eng.° ANTÓNIO JO&O DA CUNHA FERREIRA

Ag. Of· Pr. Ind·

Rua das Flores, 74-4·,° 1200-185 LISBOA

Claims

06 259 ΕΡ 0 739 560/ΡΤ 1/4 REIVINDICAÇÕES 1 - Processo para geração comunicações com fluxo orientado, confiáveis de modo verificável, entre uma pluralidade de utilizadores, compreendendo os passos de: garantir, num centro de garantia de confiança (153, 165), uma chave criptográfica assimétrica (151), associada a cada um de uma pluralidade de utilizadores; verificar cada uma das chaves (151) no centro de garantia (153,165); certificar cada uma das chaves (151) depois da verificação; e gerar uma comunicação com fluxo orientado, cifrada a partir de um utilizador de iniciação para um utilizador de recepção, utilizando a dita chave criptográfica do utilizador de iniciação (151), caracterizado por a dita comunicação compreender (a) um pacote inicial, tendo informação de acesso de chave de decifração de mensagem para permitir que uma terceira parte decifre o fluxo, e (b) um fluxo de pacotes subsequentes, contendo cada pacote subsequente informação de identificação do pacote subsequente, como associado ao fluxo, e no qual, pelo menos, um dos ditos pacotes subsequentes não inclui a dita informação de acesso de chave de decifração de mensagem.
2 - Processo de acordo com a reivindicação 1, em que a comunicação compreende ainda um pacote terminal, tendo informação que indica um final da comunicação.
3 - Processo de acordo com a reivindicação 1 ou reivindicação 2, em que cada pacote subsequente inclui ainda informação única, que indica uma posição do pacote dentro da sequência.
4 - Processo de acordo com a reivindicação 1 ou reivindicação 2, em que cada pacote subsequente inclui ainda informação de atribuição de selo de tempo (213). ΕΡ Ο 739 560/ΡΤ 2/4
5 - Processo de acordo com qualquer uma das reivindicações anteriores, em que a informação de acesso de chave de decifração de mensagem inclui uma informação não válida do pacote inicial.
6 - Processo de acordo com a reivindicação 5, em que a dita informação não válida do dito pacote inicial é assinada com a chave criptográfica (151) do utilizador de iniciação.
7 - Processo de acordo com a reivindicação 6, em que a dita informação de acesso de chave de decifração de mensagem inclui ainda informação de identificação de mensagem.
8 - Processo de acordo com a reivindicação 7, em que, pelo menos, um dos pacotes subsequentes inclui a informação de identificação de mensagem.
9 - Processo de acordo com a reivindicação 8, em que a dita informação de identificação do pacote subsequente como associado ao fluxo é um número de sequência de pacote.
10 - Processo de acordo com qualquer uma das reivindicações anteriores, compreendendo ainda os passos de: receber, no utilizador de iniciação, informação relacionada com uma qualidade de um canal portador da comunicação com fluxo orientado; e incluir selectivamente a informação de identificação de mensagem em pacotes subsequentes a uma velocidade determinada pela qualidade do canal.
11 - Processo de acordo com qualquer uma das reivindicações anteriores, em que os pacotes incluem informação que associa os mesmos ao utilizador de iniciação.
12 - Processo para geração de comunicações com fluxo orientado, confiáveis de modo verificável, entre uma pluralidade de utilizadores, compreendendo os passos de:

86 259 ΕΡ Ο 739 560/ΡΤ 3/4 garantir num centro de garantia de confiança (153, 165) uma chave criptográfica assimétrica (151), associada a cada um de uma pluralidade de utilizadores; verificar cada uma das chaves (151) no centro de garantia (153, 165); certificar cada uma das chaves (151) depois da verificação; e receber, num utilizador de recepção, uma primeira comunicação com fluxo orientado e cifrada de um utilizador de iniciação, tendo a dita comunicação sido cifrada, utilizando a chave criptográfica (151) do utilizador de iniciação; caracterizado em que a dita primeira comunicação compreende (a) um pacote inicial, tendo informação de acesso de chave de decifração de mensagem, para permitir que uma terceira parte possa decifrar o fluxo, e (b) um fluxo de pacotes subsequentes, contendo cada pacote subsequente informação de identificação do pacote subsequente como associado ao fluxo, e em que, pelo menos, um pacote subsequente do primeiro fluxo não inclui a dita informação de acesso de chave de decifração de mensagem.
13 - Processo de acordo com a reivindicação 12, compreendendo ainda os passos de: gerar uma segunda comunicação com fluxo orientado cifrada a partir do utilizador de recepção para um utilizador de iniciação, utilizando uma chave criptográfica do utilizador de recepção, compreendendo a dita segunda comunicação (a) um pacote inicial, tendo informação de acesso de chave de decifração de mensagem, para permitir a uma terceira parte decifrar o segundo fluxo cifrado, e (b) um fluxo de pacotes subsequentes, contendo cada pacote subsequente informação de identificação do pacote subsequente como associado ao segundo fluxo cifrado.
14 - Processo de acordo com a reivindicação 13, em que a informação de acesso de chave de decifração de mensagem, do segundo fluxo cifrado, inclui uma informação não válida do pacote inicial do segundo fluxo cifrado, assinado com a chave criptográfica do utilizador de recepção. 86 259 ΕΡ Ο 739 560/ΡΤ 4/4
15 - Processo de acordo com a reivindicação 14, em que a informação de acesso de chave de decifração de mensagem, do segundo fluxo cifrado, inclui informação de idenlillcação de mensagem recebida do utilizador de iniciação.
16 - Processo de acordo com a reivindicação 15, em que, pelo menos, um dos pacotes subsequentes, do segundo fluxo cifrado, inclui informação de identificação de mensagem.
17 - Processo de acordo com a reivindicação 16, em que a informação de identificação de um pacote subsequente do segundo fluxo cifrado como associado ao segundo fluxo cifrado é um número de sequência de pacote.
18 - Processo de acordo com a reivindicação 17, em que os pacotes do segundo fluxo cifrado inclui informação associando-os com o utilizador de iniciação.
19 - Processo de acordo com qualquer das reivindicações 13 a 18, compreendendo adicionalmente os passos de: receber, no utilizador de recepção, informação relacionada com uma qualidade de um canal portador da comunicação com fluxo orientado; e incluir selectivamente informação de identificação de mensagem em pacotes subsequentes a uma velocidade determinada pela qualidade do canal.
20 - Processo da reivindicação 19, em que a informação relacionada com uma qualidade do canal é continuamente recebida e a velocidade à qual a informação de identificação é selectivamente incluída em pacotes subsequentes é dinamicamente ajustada com base na informação recebida. Lisboa, Zj. 3 ?001· Por CERTCO INCORPORATED -O AGEIUE.QE1CJAU-

Eng.° ANTÓNIO JOÃO DA CUNHA FERRE1RA Ag. Of. Pr. Ind. Rua das Flores, 74-4.° 1200-195 LISBOA