RU2720320C1 - Method for trusted storage on a smart card of a list of revoked certificates (crl) - Google Patents

Method for trusted storage on a smart card of a list of revoked certificates (crl) Download PDF

Info

Publication number
RU2720320C1
RU2720320C1 RU2019133567A RU2019133567A RU2720320C1 RU 2720320 C1 RU2720320 C1 RU 2720320C1 RU 2019133567 A RU2019133567 A RU 2019133567A RU 2019133567 A RU2019133567 A RU 2019133567A RU 2720320 C1 RU2720320 C1 RU 2720320C1
Authority
RU
Russia
Prior art keywords
list
smart card
revoked certificates
certificates
revoked
Prior art date
Application number
RU2019133567A
Other languages
Russian (ru)
Inventor
Кирилл Дмитриевич Козырев
Original Assignee
Акционерное общество "Актив-софт" (АО "Актив-софт")
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Актив-софт" (АО "Актив-софт") filed Critical Акционерное общество "Актив-софт" (АО "Актив-софт")
Priority to RU2019133567A priority Critical patent/RU2720320C1/en
Application granted granted Critical
Publication of RU2720320C1 publication Critical patent/RU2720320C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards

Abstract

FIELD: computer equipment.SUBSTANCE: method of trusted storage on a smart card of a list of revoked certificates, in which at the initialization stage the following operations are performed: certificates of checking the list of revoked certificates are recorded in the secure internal memory of the smart card; backing up internal storage area in the smart card secure internal memory; recording a program component for importing a list of revoked certificates and a program component for checking the list of revoked certificates into the smart card; smart card usage stage involves the following operations: downloading a list of revoked certificates from external storage of a list of revoked certificates and sending them to a revoked list of revoked certificates, which is used to load from the secure internal memory of the smart card certificates of checking the list of revoked certificates and validating the revoked certificates list using the revoked certificates list digital signature; in case of successful verification, a list of revoked certificates is recorded into the internal storage area.EFFECT: technical result consists in providing a trusted storage on a smart card of a list of revoked certificates with improved ease of use.1 cl, 1 dwg

Description

Изобретение относится к области вычислительной техники, а именно к способам доверенного хранения на смарт-карте списка отозванных сертификатов (CRL - Certificate Revocation List) и может применяться для различных типов самрт-карт.The invention relates to the field of computer technology, and in particular to methods of trusted storage on a smart card of a certificate revocation list (CRL - Certificate Revocation List) and can be used for various types of samrt cards.

В настоящее время списки отозванных сертификатов (CRL), необходимые для проверки подлинности текущих пользовательских рабочих сертификатов безопасности, хранятся только на внешних удаленных серверах, поэтому не доступны пользователю в случае отсутствия доступа из локальной компьютерной сети в глобальную сеть Интернет. Это причинят неудобства пользователям при проверке подлинности рабочих сертификатов.Currently, certificate revocation lists (CRLs) required for authenticating current user working security certificates are stored only on external remote servers, therefore they are not accessible to the user if there is no access from the local computer network to the global Internet. This will cause inconvenience to users when authenticating work certificates.

Наиболее близким к заявленному изобретению является способ обновления на смарт-карте списка отозванных сертификатов (CRL), описанный в патентной заявке US2017338966 (A1). Данный способ выбран в качестве прототипа заявленного изобретения.Closest to the claimed invention is a method for updating on a smart card a list of revoked certificates (CRL) described in patent application US2017338966 (A1). This method is selected as a prototype of the claimed invention.

Недостатком способа-прототипа является не достаточное удобство пользования вследствие того, что списки отозванных сертификатов (CRL) хранятся только на удаленных внешних серверах, поэтому не доступны пользователю в случае отсутствия доступа из локальной компьютерной сети в глобальную сеть Интернет.The disadvantage of the prototype method is the lack of ease of use due to the fact that the lists of revoked certificates (CRLs) are stored only on remote external servers, therefore they are not available to the user if there is no access from the local computer network to the global Internet.

Техническим результатом заявленного изобретения является создание способа доверенного хранения на смарт-карте списка отозванных сертификатов (CRL) с улучшенным удобством пользования, за счет возможности загрузки из внешнего хранилища, проверки достоверности и хранения на смарт-карте в защищенном разделе внутренней памяти списка отозванных сертификатов, с помощью находящихся на смарт-карте программного компонента проверки достоверности статуса текущего рабочего сертификата и программного компонента импорта списка отозванных сертификатов.The technical result of the claimed invention is the creation of a method for trusted storage on a smart card of a list of revoked certificates (CRL) with improved ease of use, due to the ability to download from an external storage, validation and storage on a smart card in a protected section of the internal memory of the list of revoked certificates, with using the software component for verifying the status of the current working certificate and the software component for importing the list of revoked certificates on the smart card ikatov.

Поставленный технический результат достигнут путем создания способа доверенного хранения на смарт-карте списка отозванных сертификатов (CRL - Certificate Revocation List), в которомThe technical result achieved is achieved by creating a method for trusted storage on a smart card of a certificate revocation list (CRL - Certificate Revocation List), in which

на этапе инициализации смарт-карты осуществляют следующие операции:at the initialization stage of the smart card, the following operations are performed:

- записывают в защищенную внутреннюю память смарт-карты сертификаты проверки списка отозванных сертификатов;- write to the protected internal memory of the smart card certificates of verification of the list of revoked certificates;

- резервируют в защищенной внутренней памяти смарт-карты область внутреннего хранилища;- reserve the area of internal storage in the protected internal memory of the smart card;

- записывают в смарт-карту программный компонент импорта списка отозванных сертификатов и программный компонент проверки списка отозванных сертификатов;- write to the smart card the software component for importing the list of revoked certificates and the software component for checking the list of revoked certificates;

на этапе пользования смарт-картой осуществляют следующие операции:at the stage of using a smart card, the following operations are performed:

- с помощью компонента импорта списка отозванных сертификатов загружают список отозванных сертификатов из внешнего хранилища списка отозванных сертификатов и передают их в- using the import component of the list of revoked certificates, download the list of revoked certificates from the external storage of the list of revoked certificates and transfer them to

- компонент проверки списка отозванных сертификатов, с помощью которого загружают из защищенной внутренней памяти смарт-карты сертификаты проверки списка отозванных сертификатов и посредством них проверяют достоверность списка отозванных сертификатов, используя цифровую подпись списка отозванных сертификатов, при этом, в случае успешной проверки, записывают в область внутреннего хранилища список отозванных сертификатов.- a component for checking the list of revoked certificates, by means of which the certificates for checking the list of revoked certificates are downloaded from the protected internal memory of the smart card and using them verify the validity of the list of revoked certificates using the digital signature of the list of revoked certificates, and, in case of successful verification, they are written to internal storage list of revoked certificates.

В предпочтительном варианте осуществления способа осуществляют операции инициализации смарт-карты с помощью пользователя или с помощью внешнего программного интерфейса.In a preferred embodiment of the method, smart card initialization operations are carried out using a user or using an external program interface.

Для лучшего понимания заявленного изобретения далее приводится его подробное описание с соответствующими графическими материалами.For a better understanding of the claimed invention the following is a detailed description with the corresponding graphic materials.

Фиг. 1. Схема способа доверенного хранения на смарт-карте списка отозванных сертификатов, выполненная согласно изобретению.FIG. 1. The scheme of the method of trusted storage on a smart card list of revoked certificates, made according to the invention.

Элементы:Items:

1 - смарт-карта;1 - smart card;

2 - область внутреннего хранилища списка отозванных сертификатов (CRL);2 - the area of the internal storage of the certificate revocation list (CRL);

3 - компонент импорта списка отозванных сертификатов (CRL);3 - import component of the certificate revocation list (CRL);

4 - компонент проверки списка отозванных сертификатов (CRL);4 - certificate revocation list verification (CRL) component;

5 - внешнее хранилище списка отозванных сертификатов (CRL);5 - external certificate revocation list (CRL) storage;

6 - сертификаты проверки списка отозванных сертификатов.6 - certificates of verification of the list of revoked certificates.

Рассмотрим вариант выполнения заявленного изобретения способа доверенного хранения на смарт-карте списка отозванных сертификатов (CRL - Certificate Revocation List).Consider an embodiment of the claimed invention of a method for trusted storage on a smart card of a certificate revocation list (CRL).

На этапе инициализации смарт-карты 1 осуществляют следующие операции. Записывают в защищенную внутреннюю память смарт-карты 1 сертификаты 6 проверки списка отозванных сертификатов. Резервируют в защищенной внутренней памяти смарт-карты 1 область 2 внутреннего хранилища. Записывают в смарт-карту 1 программный компонент 3 импорта списка отозванных сертификатов и программный компонент 4 проверки списка отозванных сертификатов.At the initialization stage of the smart card 1, the following operations are performed. They write certificates 6 to the list of revoked certificates to the secure internal memory of the smart card 1. Reserve in the protected internal memory of the smart card 1 area 2 of the internal storage. The software component 3 for importing the certificate revocation list 3 and the software component 4 for checking the certificate revocation list are written to the smart card.

На этапе пользования смарт-картой осуществляют следующие операции. С помощью компонента 3 импорта списка отозванных сертификатов загружают список отозванных сертификатов из внешнего хранилища 5 списка отозванных сертификатов и передают их в компонент 4 проверки списка отозванных сертификатов. С помощью компонента 4 проверки списка отозванных сертификатов загружают из защищенной внутренней памяти смарт-карты 1 сертификаты 6 проверки списка отозванных сертификатов и посредством них проверяют достоверность списка отозванных сертификатов, используя цифровую подпись списка отозванных сертификатов, при этом, в случае успешной проверки, записывают в область 2 внутреннего хранилища список отозванных сертификатов.At the stage of using a smart card, the following operations are performed. Using component 3 of the certificate revocation list import, download the list of certificate revocations from external storage 5 of the certificate revocation list and transfer them to component 4 of the certificate revocation list check. With the help of component 4 of the certificate revocation list check, certificates 6 of the certificate revocation list verification certificate are downloaded from the protected internal memory of the smart card 1, and through them the validity of the certificate revocation list is verified using the digital signature of the certificate revocation list, and, in case of successful verification, they are written to the area 2 internal storage list of revoked certificates.

Осуществляют операции инициализации смарт-карты с помощью пользователя внешнего программного интерфейса.Smart card initialization operations are performed using the user of the external program interface.

Заявленное изобретение обладает следующими преимуществами. Смарт-карта имеет внутреннюю защищенную память. Исполнение смарт-карты обеспечивает защиту внутренней памяти от несанкционированной модификации неавторизованными пользователями. The claimed invention has the following advantages. The smart card has an internal secure memory. Smart card execution protects the internal memory from unauthorized modification by unauthorized users.

Приведенное описание заявленного изобретения представляет собой лишь пример одного варианта его выполнения. Остальные варианты выполнения заявленного изобретения допускаются при соблюдения главного принципа заявленного изобретения - независимости смарт-карты и её внутреннего программного интерфейса от внешней среды при проверке статуса сертификата.The above description of the claimed invention is only an example of one embodiment. Other embodiments of the claimed invention are allowed subject to the main principle of the claimed invention - the independence of the smart card and its internal program interface from the external environment when checking the status of the certificate.

Заявленное изобретения представляет собой смарт-карту как самостоятельный (независимый от внешнего программного обеспечения) элемент инфраструктуры открытых ключей с возможностью проверки достоверности списка отозванных сертификатов (CRL - Certificate Revocation List). Заявленная смарт-карта имеет объем внутренней защищенной памяти, достаточный для хранения списка отозванных сертификатов. Использование заявленного изобретения позволяет исключить некоторые риски нарушения информационной безопасности, а именно риск проявления ошибки второго рода при проверке компрометации ключей безопасности для соответствующего сертификата безопасности в недоверенной среде. Реализация заявленного изобретения позволяет поддерживать жизненный цикл списка отозванных сертификатов в виде его обновления.The claimed invention is a smart card as an independent (independent from external software) element of the public key infrastructure with the ability to verify the authenticity of the certificate revocation list (CRL - Certificate Revocation List). The claimed smart card has enough internal secure memory to store a list of revoked certificates. Using the claimed invention allows to eliminate some risks of information security breaches, namely the risk of a second kind of error when checking the security keys for a corresponding security certificate in an untrusted environment. The implementation of the claimed invention allows you to maintain the life cycle of the list of revoked certificates in the form of updating it.

Хотя описанный выше вариант выполнения изобретения был изложен с целью иллюстрации заявленного изобретения, специалистам ясно, что возможны разные модификации, добавления и замены, не выходящие из объема и смысла заявленного изобретения, раскрытого в прилагаемой формуле изобретения.Although the embodiment described above has been set forth to illustrate the claimed invention, it is clear to those skilled in the art that various modifications, additions and substitutions are possible without departing from the scope and meaning of the claimed invention disclosed in the attached claims.

Claims (9)

1. Способ доверенного хранения на смарт-карте списка отозванных сертификатов (CRL - Certificate Revocation List), в котором 1. A method for trusted storage on a smart card of a certificate revocation list (CRL - Certificate Revocation List), in which на этапе инициализации смарт-карты осуществляют следующие операции:at the initialization stage of the smart card, the following operations are performed: - записывают в защищенную внутреннюю память смарт-карты сертификаты проверки списка отозванных сертификатов;- write to the protected internal memory of the smart card certificates of verification of the list of revoked certificates; - резервируют в защищенной внутренней памяти смарт-карты область внутреннего хранилища;- reserve the area of internal storage in the protected internal memory of the smart card; - записывают в смарт-карту программный компонент импорта списка отозванных сертификатов и программный компонент проверки списка отозванных сертификатов;- write to the smart card the software component for importing the list of revoked certificates and the software component for checking the list of revoked certificates; на этапе пользования смарт-картой осуществляют следующие операции:at the stage of using a smart card, the following operations are performed: - с помощью компонента импорта списка отозванных сертификатов загружают список отозванных сертификатов из внешнего хранилища списка отозванных сертификатов и передают их в - using the import component of the list of revoked certificates, download the list of revoked certificates from the external storage of the list of revoked certificates and transfer them to - компонент проверки списка отозванных сертификатов, с помощью которого загружают из защищенной внутренней памяти смарт-карты сертификаты проверки списка отозванных сертификатов и посредством них проверяют достоверность списка отозванных сертификатов, используя цифровую подпись списка отозванных сертификатов, при этом в случае успешной проверки, записывают в область внутреннего хранилища список отозванных сертификатов.- a component for checking the list of revoked certificates, by means of which the certificates for checking the list of revoked certificates are downloaded from the protected internal memory of the smart card and using them verify the validity of the list of revoked certificates using the digital signature of the list of revoked certificates, in case of successful verification, they are written to the internal area vault list of revoked certificates. 2. Способ по п. 1, отличающийся тем, что осуществляют операции инициализации смарт-карты с помощью пользователя или с помощью внешнего программного интерфейса.2. The method according to p. 1, characterized in that the operation of initialization of the smart card using the user or using an external program interface.
RU2019133567A 2019-10-22 2019-10-22 Method for trusted storage on a smart card of a list of revoked certificates (crl) RU2720320C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019133567A RU2720320C1 (en) 2019-10-22 2019-10-22 Method for trusted storage on a smart card of a list of revoked certificates (crl)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019133567A RU2720320C1 (en) 2019-10-22 2019-10-22 Method for trusted storage on a smart card of a list of revoked certificates (crl)

Publications (1)

Publication Number Publication Date
RU2720320C1 true RU2720320C1 (en) 2020-04-28

Family

ID=70553005

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019133567A RU2720320C1 (en) 2019-10-22 2019-10-22 Method for trusted storage on a smart card of a list of revoked certificates (crl)

Country Status (1)

Country Link
RU (1) RU2720320C1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5910989A (en) * 1995-04-20 1999-06-08 Gemplus Method for the generation of electronic signatures, in particular for smart cards
US20040128504A1 (en) * 2002-09-30 2004-07-01 Tero Kivinen Method for producing certificate revocation lists
RU2449377C2 (en) * 2006-03-11 2012-04-27 Байер Инновейшн Гмбх Method and apparatus for secure processing of protected information
US20160034693A1 (en) * 2014-07-30 2016-02-04 Fujitsu Limited Certificate authority operation apparatus and method
US20160065377A1 (en) * 2013-12-16 2016-03-03 Panasonic Intellectual Property Management Co., Ltd. Authentication system and authentication method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5910989A (en) * 1995-04-20 1999-06-08 Gemplus Method for the generation of electronic signatures, in particular for smart cards
US20040128504A1 (en) * 2002-09-30 2004-07-01 Tero Kivinen Method for producing certificate revocation lists
RU2449377C2 (en) * 2006-03-11 2012-04-27 Байер Инновейшн Гмбх Method and apparatus for secure processing of protected information
US20160065377A1 (en) * 2013-12-16 2016-03-03 Panasonic Intellectual Property Management Co., Ltd. Authentication system and authentication method
US20160034693A1 (en) * 2014-07-30 2016-02-04 Fujitsu Limited Certificate authority operation apparatus and method

Similar Documents

Publication Publication Date Title
CN109313690B (en) Self-contained encrypted boot policy verification
JP5046165B2 (en) How to create a secure counter on an embedded system with a chip card
JP5314016B2 (en) Information processing apparatus, encryption key management method, computer program, and integrated circuit
CN110287654B (en) Media client device authentication using hardware trust root
US20070055881A1 (en) Method for securely exchanging public key certificates in an electronic device
CA3058240C (en) Cryptographic key management based on identity information
US20100268942A1 (en) Systems and Methods for Using Cryptographic Keys
JP2013514587A (en) Content management method using certificate revocation list
JP2009003855A (en) Information security device and counter control method
JP2009521032A5 (en)
JP2016520265A (en) Generation of working security keys based on security parameters
KR20090052321A (en) Content control system and method using versatile control structure
CN105893837A (en) Application program installation method, security encryption chip and terminal
Nyman et al. Citizen electronic identities using TPM 2.0
GB2603035A (en) Post-quantum certificate binding
JP6199712B2 (en) Communication terminal device, communication terminal association method, and computer program
CN110798322A (en) Operation request method, device, storage medium and processor
US8745375B2 (en) Handling of the usage of software in a disconnected computing environment
WO2019210471A1 (en) Data invoking method and data invoking apparatus
CN100437422C (en) System and method for enciphering and protecting software using right
RU2720320C1 (en) Method for trusted storage on a smart card of a list of revoked certificates (crl)
CN116896463A (en) Trusted environment authentication method and device based on blockchain
Saramago et al. A tree-based construction for verifiable diplomas with issuer transparency
JP7222436B2 (en) Security control method, information processing device and security control program
CN109359479B (en) Certificate generation and verification method, device, storage medium and electronic equipment