WO2002087144A1 - Procede pour une communication securisee entre deux dispositifs - Google Patents

Procede pour une communication securisee entre deux dispositifs Download PDF

Info

Publication number
WO2002087144A1
WO2002087144A1 PCT/FR2002/001324 FR0201324W WO02087144A1 WO 2002087144 A1 WO2002087144 A1 WO 2002087144A1 FR 0201324 W FR0201324 W FR 0201324W WO 02087144 A1 WO02087144 A1 WO 02087144A1
Authority
WO
WIPO (PCT)
Prior art keywords
module
key
encrypted
keys
random number
Prior art date
Application number
PCT/FR2002/001324
Other languages
English (en)
Inventor
Laurent Albanese
Valérie PATRIS
Original Assignee
Canal + Technologies
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canal + Technologies filed Critical Canal + Technologies
Priority to US10/474,588 priority Critical patent/US7328342B2/en
Priority to EP02727668A priority patent/EP1391074A1/fr
Priority to CA002444422A priority patent/CA2444422A1/fr
Publication of WO2002087144A1 publication Critical patent/WO2002087144A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • H04N21/4367Establishing a secure communication between the client and a peripheral device or smart card
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Definitions

  • the invention relates to the field of methods for ensuring secure transmission between a first device and a second device, in particular between a digital television decoder and a smart card making it possible to verify that the user is indeed authorized to use said decoder.
  • the confidential information consists of a control word (CW) received by the decoder in a data stream comprising in particular for example a scrambled digital television program.
  • the control word is included in an authorization control message.
  • This control word is itself encrypted.
  • the encrypted control word is transmitted to the smart card.
  • the smart card is provided with a renewable key periodically received for example in an authorization management message (EMM).
  • EMM authorization management message
  • Digko provides on page 4, at the top of the page, a method for coding the control word. This method is described below: when a smart card 5 is inserted in the decoder, a microprocessor 8 of an access control module 4 of the decoder generates two random numbers Ci and A. The microprocessor 8 then encrypts the random numbers C and A by means of a public key of the access controller 4. A first message thus encrypted containing the numbers Ci and A is transferred to the smart card 5. A microprocessor 10 contained in the smart card 5 decrypts this first message using the controller's private key access 4 (contained in card 5).
  • the microprocessor 10 of the smart card 5 sends a second message to the access controller 4, this second message being the random number A encrypted by means of the random number C used as the encryption key.
  • the microprocessor 8 of the access controller 4 deciphers this second message and verifies that the random number A is correct, that is to say is indeed equal to the random number A initially sent. If this verification is positive, it is assumed that the inserted smart card 5 is an authorized smart card. Under these conditions, the access controller 4 will transmit the control message containing the encrypted control word (CW) to the smart card 5 which will process the authorization control message to extract the control word from it. a known way.
  • CW encrypted control word
  • the smart card 5 will send the extracted control word but encrypted by means of the key C and this encrypted control word will be decrypted by the microprocessor 8 of the controller d access 4 using the same key Ci. It is then concluded in this request that as soon as an attempt is made to replace the chip card 5 initially inserted by another chip card, for example, by replacing the authorized card 5 by an unauthorized card, the access controller 4 will immediately notice such a change since the key Ci is not known to the new smart card, so that the access controller 4 will no longer be able to descramble the return messages containing the control word (CW).
  • CW control word
  • a decryption unit 7 of the decoder which normally must use this word control to be able to operate, will be disabled. It is then specified that in the same way the same method can be used to secure a communication between the access controller 4 and the decoder in which the same protocol as that shown in an appended figure is followed.
  • the microprocessor of the decoder will generate the two random words Ci and A and as soon as the microprocessor has deciphered the second "message received from microprocessor 8 of the access controller. 4 and has checked that the random number A is correct, the key Ci will be used in all transmissions between the access controller 4 and the microprocessor 6 of the decoder, used to decode the scrambled program.
  • the session key constituted by the number Ci is transmitted between the two modules on the one hand, from the access controller 4 to the smart card 5 and , on the other hand, from the smart card 5 to the access controller 4. Although this transmission is carried out in an encrypted form, this key can be captured during the transmission then decrypted and used.
  • the Manual authored by MENEZES and entitled “Handbook of Applied Cryptography” published in 1997 under ISBN number 0-8493-8523-7 describes page 508 a protocol known as NEEDHAM-SCHROEDER in which modules A and B exchange three messages. In the first message A sends kl data to B using the public key of B In the second message B sends to A the data kl and a data k2 using the public key of A.
  • module A It is then checked in module A that the message received does indeed contain the data kl. This allows authentication of B and provides assurance that B knows kl.
  • a session key is then constructed in each of the modules, from the data k1 and k2, using an appropriate publicly known non-reversible function. Such a protocol is safe but requires a long verification time.
  • the object of the present invention is to provide a method of communication between two modules, a first and a second, the communication having improved security compared to the prior art described for example in the patent application already cited, but only taking 'a relatively short duration of verification.
  • each of the two modules, the first and the second are provided, for example, the decoder of a public key, and the other the second, for example, the smart card of a private key.
  • the public key and the private key of the first and of the second module respectively are generated in a known manner, so that each of the keys can encrypt a message which can be decrypted by the other key.
  • Two pairs of keys are created, the first module is loaded with a public key the second module is loaded with the corresponding private key, in the same way, the second module is loaded with a public key the first module is loaded with the private key corresponding. The following method is then used.
  • a session number S and a random number Ai are generated using a decoder random number generator.
  • the session number S and the random number A x are then encrypted using the public key of the smart card. The result of this encryption of the session number and the random number is transmitted to the smart card.
  • the numbers S and Ai are decrypted using the private key of the smart card.
  • This private key is the one that is part of the public key private key couple of a first couple.
  • the smart card will then generate by means of a random number generator of the smart card a second random number A 2 .
  • This random number is encrypted as well as S in the smart card using the public key of the decoder.
  • the numbers A 2 and S thus encrypted are transmitted to the decoder.
  • a random session key K is generated using a hash function and the values S, Ai and A 2 .
  • the decoder when the session numbers S and the second random number A 2 have been received, this session number and the number A 2 are decrypted using the private key of the decoder. he is then verified that the number S is indeed the number initially sent by the decoder. If not, the communication session ends. In the decoder it is then generated using a hash function and the values of S, and A 2 a random session key K. Also in the decoder the session key is used to encrypt S. The transmission of the result of encryption of S using the session key K is then transmitted to the smart card.
  • the third message, transmitted from the first to the second module is not encrypted using the public key of the second module but directly the session key since from the reception of the number k2 by the first module, the two modules are in possession of the data necessary to produce the session key, for example from a hash function or more generally from a publicly known non-reversible function.
  • the smart card S is decrypted using the key K. It is verified that the number S is indeed the initial number of sessions sent. Otherwise, communication between the two modules is stopped. Thus, each of the two modules is found equipped with the same session key K without there having been transmission of said key between the two modules. Then, the key K is used by each of the two modules to encrypt the information transmitted from one module to the other.
  • the information to be transmitted is the authorization control message (ECM) containing the control word, said message (ECM) is encrypted with the key K and transmitted to the card. smart.
  • ECM authorization control message
  • the ECM message encrypted with the key K is decrypted with this same key.
  • the invention relates to a method for the secure transmission of information between a first and a second module each containing one of the keys of two pairs of keys, in which a first and a second number are randomly generated. in the first module, a third number in the second module, and where:
  • the method for secure transmission of information between two modules, a first and a second takes place as follows:
  • the first and second modules are each equipped with a key forming part of a first pair of keys comprising a public key and a private key, -
  • the method comprises as in the prior art described in relation to the patent already cited the following operations: a) - generation in the first module of the two random numbers a first S and a second Al, b) - encryption in the first module of two random numbers with the public key, c) - transmission of the first to the second module of a first message containing the first and second numbers S and Al encrypted with the public key of the first pair of keys, d) - decryption in the second module of the first and second numbers S and Al using the private key of the first pair of keys.
  • the method further comprises the following operations, e) - generation by the second module of a third random number A2, f) - encryption in the second module of the first and third random numbers using the public key of the second pair of keys, g) - transmission of the second to the first module of the first and third random numbers encrypted using the public key of the second pair of keys , h) - decryption in the first module of the first and third random numbers encrypted using the public key of the second pair of keys, i) - verification in the first module of the identity of the first random number as generated by the random number generator of the first module and the first random number encrypted using the public key of the second pair of keys as received from the second module.
  • the first module emitted towards the second module a random number which was encrypted in the first module, transmitted to the second, decrypted in the second then retransmitted to the first who has it decrypted and verified the identity between the number initially issued and the number resulting from the encrypted transmission operations between the two modules.
  • operation 1 makes it possible in particular to ensure that the numbers S and A2 transmitted from the second to the first module have been received and deciphered by the first module.
  • the verification of the identity of A2 is implicit since if A2 has not been decrypted correctly the session key K with which the first encrypted module S is not the same as the session key K created in the second module, and under these conditions during the decryption by the second module of the message containing S encrypted using the key K of the first module , we will not get the initial value of S.
  • Figure 1 shows a two-part flow diagram 25 and 26 respectively.
  • Part 25 framed by a dotted line contains the flow chart of the operations carried out in the decoder.
  • Part 26 framed by a dotted line represents the operations carried out in the smart card.
  • Oriented arrows 36, 40, 46, 50, 54 represent transmissions between the first and the second module or between the second and the first module depending on the direction of the arrow.
  • the first and second modules have a first pair of keys 33, 31 respectively the key 33 being the public key of the smart card 26 and the key 31 being the private key of said card.
  • a second pair of keys 32, 30 includes a private key 30 in the module 25 and a public key 32 in the module 26.
  • the access control sequence begins with an initialization routine not shown triggered, for example, by the introduction of the smart card 26 into the decoder 25.
  • a random number generator of the decoder 25 generates a session number S and a first number Ai.
  • the numbers and S are encrypted using the public key 2 number 33 of the second module 26.
  • a first transmission 36 is then carried out to transmit the numbers Ai and S to the second module 26 constituted by the smart card.
  • the numbers A x and S encrypted in step 35 are decrypted using the private key 31 of the smart card 26.
  • a random number generator of the card smart generates in step 38 a random number A 2 .
  • step 39 S and A 2 are encrypted using the public key 32 contained in the smart card 26.
  • the result of this encryption is transmitted in a step 40 to the module 25.
  • the module 25 decrypts at a step 41 using the private key 30 of the decoder 25, the session number S and the second random number A 2 . It is then verified in the module 25 in a step 42 that the session number S deciphered in step 41 is indeed equal to the session number S generated in step 34. If S is not found the exchange of communication is finished. On the contrary, if S is found there is generation of a session key K in step 43.
  • step 43 a hash function is applied to the numbers S Ai and A 2 , the result of this hashing being precisely the session key K.
  • module 26 the same hash function is applied in a step 44 to the random numbers A l7 A 2 and to the session number S to obtain the session key K.
  • the key session K is used in a step 45 to encrypt S.
  • the result of this encryption is transmitted in a step 46 to the smart card 26.
  • the session number S is decrypted in a step 47 in using the K key created in step 44.
  • the result of the decryption is checked in a step 48. If S is not found, the communication is ended. The authentication having failed, the card 26 will refuse to go further until a new session is activated. If S is found then the communication can continue.
  • the hashing methods are the same in module 25 and in card 26. These methods have been introduced beforehand. We can notice at this stage, - that it is not compulsory to use a hashing method applied to the three numbers Ai, A 2 and S to obtain the session key K.
  • the method to obtain K must preferably have , like the hash method, a pseudo-random output.
  • the advantage of hash functions is that they do not make it possible to reverse the result, that is to say to go back to the numbers S, i and A 2 .
  • each of the data transmitted from module 25 to module 26 or from module 26 to module 25 is encrypted with the key K and decrypted with this same key by the other module.
  • the session key is more secure because it is generated from two hazards (Ai, A 2 ) each of the hazards being generated by one of the parties.
  • the encryption and decryption are fast because symmetrical techniques are used, moreover in the same session there is encryption of communications in both directions between the two modules.
  • the following operations include the transmission of the authorization message from the decoder 25 to the smart card 26, the processing of this message to extract the control word CW therefrom, and the return in encrypted form using the key K of this control word to the module 25 which will then be able, using this word, to decipher the scrambled digital data received to extract unscrambled transmitted image data therefrom.
  • This exchange which follows the opening of a session is represented at the bottom of FIG. 1 in a horizontal line.
  • the authorization verification message ECM is encrypted using the key K previously produced.
  • this message is transmitted to the module 26 in its encrypted form.
  • the message is then decrypted in the module 26 in a step 51 using the key K produced in step 44.
  • the authorization verification message ECM is then processed in a step 52 to extract the control word therefrom.
  • CW The control word CW is encrypted in a step 53 by means of the key K.
  • step 54 the encrypted message containing the control word CW is sent to the module 25.
  • the control word is decrypted using the key K in a step 55 and the control word CW is extracted.
  • the method according to one of the variants of the invention is used for secure transmission between a first module 25 which is a digital television decoder having a function of decoding a scrambled digital video stream or a module conditional access to such a decoder, and a second module 26 which is an access authorization recording device, for example a smart card.
  • This card periodically receives in an known manner an authorization management message (EMM).
  • EMM authorization management message
  • Figure 2 has an upper part and a lower part separated from each other by a thick line.
  • FIG. 2 represents the same treatment as that illustrated in the upper part of FIG. 1. This part of the invention will not be described again.
  • the decoder 25 and the smart card 26 are each in possession of a certificate 56, 57 respectively.
  • These certificates comply with the X509 standard.
  • the certificate 56 of the decoder 25 contains the public key 32 of said decoder 25.
  • the certificate 57 of the smart card 26 contains the public key 33 of the smart card 26.
  • the decoder 25 and the card 26 have a private key respectively 30 and 31 associated with their public key respectively 32 and 33.
  • the decoder 25 and the card 26 have a public certification key respectively 58 and 59 associated with the certificate 57 and 56.
  • the decoder transmits in a step 60 the certificate 56 to the smart card 26. On receipt of this certificate, it is verified in the smart card 26, in a step 61 that a signature contained in the certificate 56 is a good signature. This verification is carried out using the public certification key 59 contained in the smart card 26. If the verification gives good results, the public key 32 can be extracted from the certificate 56. Conversely, the smart card 26 transmits the certificate 57 during a step 62 at the decoder 25. This decoder performs the verification of the certificate 57 using the certification key 58 and if the verification gives good results is capable of extracting the public key from it 33 .

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)

Abstract

Procédé de transmission sécurisée d'informations entre un premier (25) et un second (26) modules contenant chacun l'une des clés de deux couples (30, 32; 31, 33) de clés, dans lequel on génère de façon aléatoire un premier S et un second A1 nombres dans le premier module (25), un troisième nombre A2 dans le second module (26), et où : on vérifie de façon symétrique qu'un nombre aléatoire (S, A1, A2) chiffré par l'un (25, 26) des modules puis déchiffré par l'autre (25, 26) et retransmis chiffré à nouveau à l'un (25, 26) est après déchiffrement dans ce module (25, 26) identique au nombre aléatoire initial, on crée (43, 44) de façon autonome dans chacun des modules une clé commune de session K avec au moins trois mêmes nombres (S, A1, A2).

Description

PROCEDE POUR UNE COMMUNICATION SECURISEE ENTRE DEUX
DISPOSITIFS
DESCRIPTION
Domaine de 1 ' invention
L'invention se situe dans le domaine des procédés destinés à assurer une transmission sécurisée entre un premier dispositif et un second dispositif, en particulier, entre un décodeur de télévision numérique et une carte à puce permettant de vérifier que l'utilisateur est bien autorisé à utiliser ledit décodeur.
Etat de la technique
Lorsqu'un premier dispositif par exemple un décodeur doit échanger avec un second dispositif par exemple une carte à puce, des informations confidentielles, il est connu de vérifier que le second dispositif est habilité à recevoir ces informations confidentielles. Dans le cas de la télévision numérique, brouillée, l'information confidentielle est constituée par un mot de contrôle (CW) reçu par le décodeur dans un flux de donnée comportant notamment par exemple un programme de télévision numérique brouillée. Le mot de contrôle est inclus dans un message de contrôle d'autorisation. Ce mot de contrôle est lui-même chiffré. Afin de vérifier qu'un utilisateur muni du second dispositif par exemple une carte à puce est habilité à recevoir le flux de données, par exemple le programme de télévision, le mot de contrôle chiffré est transmis à la carte à puce. La carte à puce est munie d'une clé renouvelable périodiquement reçue par exemple dans un message de gestion d'autorisation (EMM) . Si la clé contenue dans le message de gestion d'autorisation est une bonne clé, par exemple une clé à jour, alors cette- clé va permettre le déchiffrage du mot de contrôle (CW) . Le mot de contrôle est alors transmis au décodeur qui va l'utiliser pour déchiffrer le programme qui a été au préalable chiffré. Dans le procédé qui vient d'être décrit, il n'a pas été question de ' chiffrage pour transmettre le mot de contrôle (CW) chiffré entre le premier module par exemple le décodeur et le second module par exemple la carte à puce. De même, il n'a pas été mentionné que le mot de contrôle déchiffré par la carte à puce est transmis de façon chiffrée au décodeur. Afin que le mot de contrôle (CW) ne voyage pas entre la carte à puce et le décodeur de façon non chiffrée il est prévu selon l'art antérieur de chiffrer le mot de contrôle. La demande de brevet WO 97/38530 disposée par
Digko prévoit en page 4, en haut de la page, une méthode pour coder le mot de contrôle. Cette méthode est décrite ci-après : lorsqu'une carte à puce 5 est insérée dans le décodeur, un microprocesseur 8 d'un module de contrôle d'accès 4 du décodeur génère deux nombres aléatoires Ci et A. Le microprocesseur 8 encrypte alors les nombres aléatoires C et A au moyen d'une clé publique du contrôleur d'accès 4. Un premier message ainsi chiffré contenant les nombres Ci et A est transféré à la carte à puce 5. Un microprocesseur 10 contenu dans la carte à puce 5 déchiffre ce premier message en utilisant la clé privée du contrôleur d'accès 4 (contenue dans la carte 5) . Ensuite le microprocesseur 10 de la carte à puce 5 envoi un second message au contrôleur d'accès 4, ce second message étant le nombre aléatoire A chiffré au moyen du nombre aléatoire C utilisé comme clé de chiffrement. Le microprocesseur 8 du contrôleur d'accès 4 déchiffre ce second message et vérifie que le nombre aléatoire A est correct c'est-à-dire est bien égal au nombre aléatoire A initialement envoyé. Si cette vérification est positive il est supposé que la carte à puce insérée 5 est une carte à puce autorisée. Dans ces conditions, le contrôleur d'accès 4 va transmettre le message de contrôle contenant le mot de contrôle (CW) chiffré à la carte à puce 5 qui va traiter le message de contrôle d'autorisation pour en extraire le mot de contrôle d'une façon connue. Cependant, dans le message de retour vers le contrôleur d'accès 4, la carte à puce 5 va envoyer le mot de contrôle extrait mais chiffré au moyen de la clé C et ce mot de contrôle chiffré sera déchiffré par le microprocesseur 8 du contrôleur d'accès 4 en utilisant la même clé Ci. Il est conclut ensuite dans cette demande que aussitôt que l'on essaie de remplacer la carte à puce 5 initialement insérée par une autre carte à puce, par exemple, en remplaçant la carte autorisée 5 par une carte non autorisée, le contrôleur d'accès 4 va immédiatement remarquer un tel changement puisque la clé Ci n'est pas connue de la nouvelle carte à puce, de telle sorte que le contrôleur d'accès 4 ne sera plus capable de désembrouiller les messages de retour contenant le mot de contrôle (CW) .
Il s'ensuit qu'une unité de déchiffrement 7 du décodeur, qui normalement doit utiliser ce mot de contrôle pour pouvoir opérer, sera désactivée. Il est précisé ensuite que de la même façon la même méthode peut être utilisée pour sécuriser une communication entre le contrôleur d'accès 4 et le décodeur dans laquelle le même protocole que celui montré dans une figure annexée est suivi. Ainsi, si un nouveau contrôleur d'accès 4 est connecté aux autres parties du décodeur le microprocesseur du décodeur va générer les deux mots aléatoires Ci et A et aussitôt que le microprocesseur a déchiffré le second "message reçu du microprocesseur 8 du contrôleur d'accès 4 et a vérifié que le nombre aléatoire A est correct, la clé Ci sera utilisée dans toutes les transmissions entre le contrôleur d'accès 4 et le microprocesseur 6 du décodeur, servant à décoder le programme embrouillé.
On remarque que dans le mode décrit dans la demande de brevet WO 97/38530, la clé de session constituée par le nombre Ci est transmise entre les deux modules d'une part, du contrôleur d'accès 4 à la carte à puce 5 et, d'autre part, de la carte à puce 5 au contrôleur d'accès 4. Bien que cette transmission soit effectuée sous une forme chiffrée, cette clé peut être captée à l'occasion de la transmission puis déchiffrée et utilisée. Le Manuel ayant pour auteur MENEZES et intitulé "Handbook of Applied Cryptography" publié en 1997 sous le numéro ISBN 0-8493-8523-7 décrit page 508 un protocole dit de NEEDHAM-SCHROEDER dans lequel des modules A et B échangent trois messages. Dans le premier message A envoie à B des données kl en utilisant la clé publique de B Dans le second message B envoie à A la donnée kl et une donnée k2 en utilisant la clé publique de A.
Il est alors vérifié dans le module A que le message reçu contient bien la donnée kl. Ceci permet une authentification de B et donne l'assurance que B connaît kl.
Dans le troisième message A renvoie à B la donnée k2 chiffrée par la clé publique de B.
Il est alors vérifié dans le module B que le message reçu contient bien la donnée k2.
Une clé de session est alors construite dans chacun des modules, à partir des données kl et k2 , en utilisant une fonction non réversible appropriée publiquement connue. Un tel protocole est sûr mais nécessite un temps de vérification long.
Brève description de 1 ' invention
La présente invention a pour objet de fournir une méthode de communication entre deux modules, un premier et un second, la communication ayant une sécurité améliorée par rapport à l'art antérieur décrit par exemple dans la demande de brevet déjà citée, mais ne prenant qu'une durée relativement courte de vérification. Selon l'invention, chacun des deux modules, le premier et le second sont munis, par exemple, le décodeur d'une clé publique, et l'autre le second, par exemple, la carte à puce d'une clé privée. La clé publique et la clé privée du premier et du second modules respectivement sont générées de façon connue, de façon à ce que chacune des clés puisse crypter un message qui pourra être déchiffré par l'autre clé. Deux couples de clés sont créés, le premier module est chargé avec une clé publique le second module étant chargé avec la clé privée correspondante, de la même façon, le second module est chargé avec une clé publique le premier module étant chargé avec la clé privée correspondante. La méthode suivante est ensuite utilisée.
Tout d'abord, partant par exemple du premier module, le décodeur, les opérations suivantes sont effectuées. Un numéro de session S et un nombre aléatoire Ai sont générés en utilisant un générateur de nombre aléatoire du décodeur. Le numéro de session S et le nombre aléatoire Ax sont ensuite chiffrés en utilisant la clé publique de la carte à puce. Le résultat de ce chiffrement du numéro de session et du nombre aléatoire est transmis à la carte à puce.
Dans la carte à puce, les nombres S et Ai sont déchiffrés en utilisant la clé privée de la carte à puce. Cette clé privée est celle qui fait partie du couple clé publique clé privée d'un premier couple. La carte à puce va alors générer au moyen d'un générateur de nombre aléatoire de la carte à puce un second nombre aléatoire A2. Ce nombre aléatoire est chiffré ainsi que S dans la carte à puce en utilisant la clé publique du décodeur. Les nombres A2 et S ainsi chiffrés sont transmis au décodeur. Toujours dans la carte à puce il est généré à l'aide d'une fonction de hachage et des valeurs S, Ai et A2 une clé de session aléatoire K.
Dans le décodeur, lorsque les numéros de session S et le second nombre aléatoire A2 ont été reçus ce numéro de session et le nombre A2 sont déchiffrés en utilisant la clé privée du décodeur. Il est ensuite vérifié que le nombre S est bien le nombre envoyé initialement par le décodeur. Si ce n'est pas le cas la session de communication s'arrête. Dans le décodeur il est généré ensuite à l'aide d'une fonction de hachage et des valeurs de S, et A2 une clé de session aléatoire K. Toujours dans le décodeur la clé de session est utilisée pour chiffrer S. La transmission du résultat du chiffrement de S à l'aide de la clé de session K est alors transmise à la carte à puce.
Ainsi on voit que selon le procédé de 1 ' invention et contrairement à ce qui est décrit dans le manuel de MENEZE, le troisième message, transmis du premier au second module, n'est pas chiffré en utilisant la clé publique du second module mais directement la clé de session puisque à partir de la réception du nombre k2 par le premier module, les deux modules sont en possession des données nécessaires pour produire la clé de session, à partir par exemple d'une fonction de hachage ou plus généralement d'une fonction non réversible publiquement connue.
Dans la carte à puce, S est déchiffré en utilisant la clé K. Il est vérifié que le nombre S est bien le nombre initial de session envoyé. Dans le cas contraire, la communication entre les deux modules est arrêtée. Ainsi, chacun des deux modules se retrouve équipé de la même clé de session K sans qu'il y ait eu transmission de ladite clé entre les deux modules. Ensuite, la clé K est utilisée par chacun des deux modules pour chiffrer les informations transmises d'un module à 1 ' autre . Dans l'exemple illustré où le premier module est un décodeur 1 ' information à transmettre est le message de contrôle d'autorisation (ECM) contenant le mot de contrôle, ledit message (ECM) est chiffré avec la clé K et transmis à la carte à puce. Dans la carte à puce le message ECM chiffré avec la clé K est déchiffré avec cette même clé. Le message ECM déchiffré est alors traité par la carte à puce qui en extrait le mot de contrôle CW. Le mot de contrôle CW est chiffré avec la clé K, et le résultat chiffré est transmis au décodeur. A la réception de ce message le décodeur va déchiffrer à l'aide de la clé K le mot de contrôle. Le décodeur sera ainsi autorisé à décoder puisqu'il aura le mot permettant le décodage par exemple du programme reçu. En résumé, l'invention est relative à un procédé de transmission sécurisée d'informations entre un premier et un second module contenant chacun l'une des clés de deux couples de clés, dans lequel on génère de façon aléatoire un premier et un second nombre dans le premier module, un troisième nombre dans le second module, et où :
A) on vérifie que le premier nombre aléatoire chiffré par le premier module puis déchiffré par le second module et retransmis chiffré à nouveau au premier module est après déchiffrement dans ce premier module identique au nombre aléatoire initial,
B) on déchiffre dans le premier module le troisième nombre aléatoire A2 donné, chiffré par le second module, procédé caractérisé en ce que, C) on crée de façon autonome dans chacun des modules une clé commune de session avec au moins les trois nombres générés de façon aléatoire partiellement dans l'un et partiellement dans l'autre module, et transmis de façon chiffrée entre les deux modules pour que les deux modules contiennent les au moins trois nombres , D) on vérifie que le nombre aléatoire donné chiffré par le second module puis déchiffré par le premier module et retransmis au second module chiffré par la clé de session telle qu'obtenue dans l'étape c) , est après déchiffrement par ladite clé de session dans ce second module, identique au nombre aléatoire donné.
E) des informations transmises entre les deux modules sont chiffrées avec la clé commune de session.
Dans un mode de réalisation, décrit ci-dessous de façon plus détaillée, le procédé pour une transmission sécurisée d'informations entre deux modules un premier et un second, se déroule de la façon suivante :
Le procédé suppose que :
— le premier et le second modules sont chacun équipé d'une clé faisant partie d'un premier couple de clés comprenant une clé publique et une clé privée ,-
- au moins le premier module est équipé d'un générateur de nombres aléatoires ; le procédé comporte comme dans 1 ' art antérieur décrit en relation avec le brevet déjà cité les opérations suivantes : a) - génération dans le premier module des deux nombres aléatoires un premier S et un second Al, b) - chiffrement dans le premier module des deux nombres aléatoires avec la clé publique, c) - transmission du premier au second module d'un premier message contenant les premier et second nombres S et Al chiffrés avec la clé publique du premier couple de clés, d) - déchiffrement dans le second module des premier et second nombres S et Al à l'aide de la clé privée du premier couple de clés.
Le procédé selon l'invention se distingue de cet art antérieur et est donc caractérisé en ce que les premiers et second modules étant chacun -équipé :
- avec l'une des clés d'un second couple de clés comprenant une clé publique et une clé privée,
- avec un générateur de clés à partir de nombres aléatoires reçus par ledit générateur, le procédé comprend en outre les opérations ci-après, e) - génération par le second module d'un troisième nombre aléatoire A2 , f) - chiffrement dans le second module des premier et troisième nombres aléatoires à l'aide de la clé publique du second couple de clés, g) - transmission du second au premier module des premier et troisième nombres aléatoires chiffrés à l'aide de la clé publique du second couple de clés, h) - déchiffrement dans le premier module des premier et troisième nombres aléatoires chiffrés à l'aide de la clé publique du second couple de clés, i) - vérification dans le premier module de l'identité du premier nombre aléatoire tel que généré par le générateur de nombres aléatoires du premier module et du premier nombre aléatoire chiffré à l'aide de la clé publique du second couple de clés tel que reçu du second module.
On voit que à l'issue des opérations ci-dessus le premier module a émis en direction du second module un nombre aléatoire qui a été chiffré dans le premier module, transmis au second, déchiffré dans le second puis retransmis au premier qui l'a déchiffré et a vérifié 1 ' identité entre le nombre initialement émis et le nombre résultant des opérations de transmission chiffrée entre les deux modules.
Les opérations se poursuivent ensuite de la façon suivante : j ) - dans chacun des deux modules création d'une clé de session K au moyen du générateur de clés de session contenu dans le module, le générateur de chacun des modules recevant de façon interne pour créer cette clé, les trois nombres Al, A2 , S, k) - envoi du premier module au second module du premier nombre aléatoire chiffré à l'aide de la clé de session K,
1) - vérification dans le second module de l'identité du premier nombre aléatoire tel que déchiffré par le second module avec la clé privée du premier couple de clés et du premier nombre aléatoire tel que déchiffré avec la clé de session K, créée dans le second module .
Ainsi l'opération 1 permet de s'assurer notamment que les nombres S et A2 transmis du second au premier module ont été reçus et déchiffrés par le premier module. La vérification de l'identité de A2 est implicite puisque si A2 n'a pas été déchiffré correctement la clé de session K avec lequel le premier module a chiffré S n'est pas la même que la clé de session K créée dans le second module, et dans ces conditions lors du déchiff ement par le second module du message contenant S chiffré à l'aide de la clé K du premier module, on n'obtiendra pas la valeur initiale de S.
On voit donc que après achèvement de l'opération 1), il a été vérifié de façon symétrique dans chacun des deux modules, qu'un nombre aléatoire chiffré par l'un des modules puis déchiffré par l'autre et retransmis chiffré à nouveau à l'un est après déchiffrement dans ce module identique au nombre aléatoire initial, et qu'il a été créé de façon autonome dans chacun des modules une clé commune de session avec au moins trois mêmes nombres générés de façon aléatoire partiellement dans l'un et partiellement dans l'autre module, et transmis de façon chiffrée entre les deux modules pour que les deux modules contiennent les au moins trois nombres . Naturellement il y a : m)- arrêt de la transmission d'informations entre les deux modules si l'une des vérifications d'identité, opérés en i) ou 1), du premier nombre aléatoire S avec l'une de ses transformées par chiffrement est négative, ou au contraire, n) - poursuite de la transmission d'information à l'aide de la clé de session K si aucune des vérifications d'identité, opérés en i) ou 1), du premier nombre aléatoire S avec l'une de ses transformées par chiffrement n'est négative. Brève description des dessins
L'invention sera maintenant décrite à l'aide des dessins annexés dans lesquels :
- la figure 1 est destinée à illustrer un mode général de réalisation de l'invention ; et
- la figure 2 est destinée à illustrer un mode préféré de réalisation de l'invention
Description détaillée de l'invention La figure 1 représente un organigramme en deux parties 25 et 26 respectivement.
La partie 25 encadrée par un trait de pointillés contient l'organigramme des opérations effectuées dans le décodeur. La partie 26 encadrée par un pointillé représente les opérations effectuées dans la carte à puce. Des flèches orientées 36, 40, 46, 50, 54 représentent des transmissions entre- le premier et le second module ou entre le second et le premier module en fonction du sens de la flèche. On notera tout d'abord que le premier et le second modules possèdent un premier couple de clés 33, 31 respectivement la clé 33 étant la clé publique de la carte à puce 26 et la clé 31 étant la clé privée de ladite carte. Un second couple de clés 32, 30 comporte une clé privée 30 dans le module 25 et une clé publique 32 dans le module 26. La séquence de contrôle des accès commence par une routine d'initialisation non représentée déclenchée, par exemple, par l'introduction de la carte à puce 26 dans le décodeur 25. Dans une étape 34, un générateur de nombre aléatoire du décodeur 25 génère un numéro de session S et un premier nombre Ai . A une étape 35 les nombres et S sont chiffré en utilisant la clé publique 2 numéro 33 du deuxième module 26. Une première transmission 36 est alors effectuée pour transmettre les nombres Ai et S au second module 26 constitué par la carte à puce. Dans une étape 37 effectuée dans la carte à puce 26, les nombres Ax et S chiffrés à l'étape 35 sont déchiffrés à l'aide de la clé privée 31 de la carte à puce 26. Un générateur de nombre aléatoire de la carte à puce génère à une étape 38 un nombre aléatoire A2. Ensuite, à une étape 39 S et A2 sont chiffrés à l'aide de la clé publique 32 contenue dans la carte à puce 26. Le résultat de ce chiffrement est transmis à une étape 40 au module 25. Le module 25 déchiffre à une étape 41 à l'aide de la clé privée 30 du décodeur 25, le numéro de session S et le second nombre aléatoire A2. Il est ensuite vérifié dans le module 25 à une étape 42 que le numéro de session S déchiffré à l'étape 41 est bien égal au numéro de session S généré à l'étape 34. Si S n'est pas retrouvé l'échange de communication est terminé. Au contraire, si S est trouvé il y a génération d'une clé K de session à l'étape 43. A l'étape 43 il est appliqué aux nombres S Ai et A2 une fonction de hachage, le résultat de ce hachage étant précisément la clé de session K. Dans le module 26 la même fonction de hachage est appliquée à une étape 44 aux nombres aléatoires Al7 A2 et au numéro de session S pour obtenir la clé de session K. Dans le module 25, la clé de session K est utilisée à une étape 45 pour chiffrer S. Le résultat de ce chiffrage est transmis à une étape 46 à la carte à puce 26. Dans la carte à puce 26, le numéro de session S est déchiffré à une étape 47 en utilisant la clé K créée à l'étape 44. Le résultat du déchiffrement est vérifié à une étape 48. Si S n'est pas retrouvé la communication est terminée. L ' authentification ayant échouée, la carte 26 refusera d'aller plus loin tant qu'une nouvelle session n'est pas activée. Si S est retrouvé alors la communication peut continuer.
Les méthodes de hachage sont les mêmes dans le module 25 et dans la carte 26. Ces méthodes ont été introduites préalablement . On peut remarquer à ce stade, -qu'il n'est pas obligatoire d'employer une méthode de hachage appliquée aux trois nombres Ai, A2 et S pour obtenir la clé de session K. La méthode pour obtenir K doit de préférence avoir, comme la méthode de hachage, une sortie pseudo-aléatoire. L'avantage des fonctions de hachage est qu'elles ne permettent pas d'inverser le résultat, c'est-à-dire de remonter aux nombres S, i et A2.
Si les clés K sont les mêmes, un échange de données peut être effectué entre les modules 25 et 26, chacune des données transmises du module 25 au module 26 ou du module 26 au module 25 est chiffrée avec la clé K et déchiffrée avec cette même clé par l'autre module. On voit que dans le procédé qui vient d'être décrit, il n'y a aucun échange de clé entre le premier module 25 et le second module 26.
De même dans le procédé selon 1 ' invention il y a symétrie dans le rôle joué par chacun des modules 25, 26 dans l'établissement de la clé de session. De plus, la clé de session est plus sure car elle est générée à partir de deux aléas (Ai, A2) chacun des aléas étant généré par l'une des parties. Les chiffrements et déchiffrements sont rapides car des techniques symétriques sont utilisées, de plus dans une même session il y a chiffrement des communications dans les deux sens entre les deux modules. Dans l'exemple ici traité où le premier module est un décodeur ou éventuellement un module d'autorisation d'accès au décodeur, la suite des opérations comporte la transmission du message d'autorisation du décodeur 25 à la carte à puce 26, le traitement de ce message pour en extraire le mot de contrôle CW, et le renvoi sous une forme chiffrée à l'aide de la clé K de ce mot de contrôle au module 25 qui pourra alors à l'aide de ce mot déchiffrer les données numériques embrouillées reçues pour en extraire des données d'images transmises non brouillées.
Cet échange qui suit l'ouverture d'une session est représenté dans le bas de la figure 1 sous un trait horizontal. Dans le module 25 à une étape 49, le message de vérification d'autorisation ECM est chiffré à l'aide de la clé K précédemment réalisée. A une étape 50 ce message est transmis au module 26 sous sa forme chiffrée. Le message est alors déchiffré dans le module 26 à une étape 51 à l'aide de la clé K réalisée à l'étape 44. Le message de vérification d'autorisation ECM est alors traité à une étape 52 pour en extraire le mot de contrôle CW. Le mot de contrôle CW est chiffré à une étape 53 au moyen de la clé K.
A l'étape 54 le message chiffré contenant le mot de contrôle CW est envoyé au module 25. Le mot de contrôle est déchiffré à l'aide de la clé K à une étape 55 et le mot de contrôle CW est extrait. Ainsi selon cette utilisation particulière le procédé selon l'une des variantes de l'invention est utilisé pour une transmission sécurisée entre un premier module 25 qui est un décodeur de télévision numérique ayant une fonction de décodage d'un flux vidéo numérique brouillé ou un module d'accès conditionnel à un tel décodeur, et un second module 26 qui est un dispositif d'enregistrement d'autorisation d'accès par exemple une carte à puce. Cette carte reçoit périodiquement de façon en elle-même connue un message de gestion d'autorisation (EMM pour Entitlement Management Message). L'échange d'informations chiffrées avec la clé commune de session K entre le premier et le second module et un traitement de l'information échangée comporte les opération ci-après qui ont été commentées ci-dessus en liaison avec la partie inférieure de la figure 1 :
- la transmission d'un message de contrôle d'autorisation (ECM) contenant un mot de contrôle (CW) permettant de désembrouiller le flux brouillé, du premier au second module,
- le déchiffrement du message de contrôle d'autorisation (ECM) ,
- le traitement du message de contrôle d'autorisation (ECM) dans le second module pour en extraire le mot de contrôle (CW) contenu dans ledit message de contrôle d'autorisation (ECM) ,
- le chiffrement dans le second module à l'aide de la clé commune de session K dudit mot de contrôle (CW) ,
- la transmission du second au premier module dudit mot de contrôle (CW) chiffré, - le déchiffrement dans le premier module à l'aide de la clé commune de session K dudit mot de contrôle (CW) et son utilisation éventuelle pour désembrouiller un flux numérique embrouillé. La figure 2 comporte une partie supérieure et une partie inférieure séparées l'une de l'autre par un trait épais .
La partie inférieure de la figure 2 représente le même traitement que celui illustré en partie supérieure de la figure 1. Cette partie de l'invention ne sera pas décrite à nouveau.
Dans le mode préféré de réalisation illustré sur la partie supérieure de la figure 2, le décodeur 25 et la carte à puce 26 sont chacun en possession d'un certificat 56, 57 respectivement. Ces certificats sont par exemple conforme à la norme X509. Le certificat 56 du décodeur 25 contient la clé publique 32 dudit décodeur 25. Réciproquement, le certificat 57 de la carte à puce 26 contient la clé publique 33 de la carte à puce 26. Comme dans l'art antérieur décrit en relation avec la figure 1 le décodeur 25 et la carte 26, possèdent une clé privée respectivement 30 et 31 associée à leur clé publique respectivement 32 et 33. En outre, dans ce mode de réalisation le décodeur 25 et la carte 26 possèdent une clé publique de certification respectivement 58 et 59 associée au certificat 57 et 56. En préalable aux étapes décrites en liaison avec la figure 1, on a les étapes suivantes.
Le décodeur transmet dans une étape 60 le certificat 56 à la carte à puce 26. Au reçu de ce certificat, il est vérifié dans la carte à puce 26, à une étape 61 qu'une signature contenue dans le certificat 56 est une bonne signature. Cette vérification est effectuée à l'aide de la clé publique de certification 59 contenue dans la carte à puce 26. Si la vérification donne de bons résultats, la clé publique 32 peut être extraite du certificat 56. Réciproquement, la carte à puce 26 transmet le certificat 57 au cours d'une étape 62 au décodeur 25. Ce décodeur effectue la vérification du certificat 57 à l'aide de la clé de certification 58 et si la vérification donne de bons résultats est capable d'en extraire la clé publique 33.
Lorsque cette échange préalable est terminé on se retrouve dans la position décrite en relation avec la figure 1. La clé publique 32 du premier module extraite du premier certificat 56 forme, avec la clé privée 30 du premier module, le premier couple de clés et la clé publique 33 du second module 26 extraite du second certificat 57 forme, avec la clé privée 31 du second module, le second couple de clés. Dans la description ci-dessus effectuée du procédé de l'invention et de son utilisation il a été parlé "d'opérations" et non "d'étapes" car comme il apparaîtra immédiatement à l'Homme du métier l'ordre des opérations décrites n'est pas nécessairement celui dans lequel les opérations apparaissent au cours de la description. Certaines des opérations peuvent être effectuées dans un ordre temporel différent ou même simultanément, la seule condition à réaliser pour qu'une information puisse être traitée au cours d'une opération particulière est que au moment du début du traitement ladite information ait été reçue par un module chargée de la traiter.

Claims

REVENDICATIONS
1. Procédé de transmission sécurisée d'informations entre un premier (25) et un second (26) module contenant chacun l'une des clés de deux couples de clés, dans lequel on génère de façon aléatoire un premier (S) et un second (Al) nombres dans le premier module (25), un troisième nombre (A2) dans le second module (26) , et où : A) on vérifie que le premier "nombre aléatoire
(S) chiffré par le premier module puis déchiffré par le second module et retransmis chiffré au premier module, est après déchiffrement dans ce premier module identique au premier nombre aléatoire initial, B) on déchiffre dans le premier module le troisième nombre aléatoire A2, chiffré par le second module, procédé caractérisé en ce que,
C) on crée de façon autonome dans chacun des modules (25, 26) une clé commune de session K avec au moins les trois nombres (S, Al, A2) générés de façon aléatoire partiellement dans l'un (25) et partiellement dans l'autre module (26), et transmis de façon chiffrée entre les deux modules (25, 26) pour que les deux modules contiennent les au moins trois nombres (S, Al, A2) ,
D) on vérifie que le nombre aléatoire chiffré par le second module (26) puis déchiffré par le premier module (25) et retransmis au second module (26) chiffré par la clé de session telle qu'obtenue dans l'étape C) , est après déchiffrement par ladite clé de session dans ce second module, identique au nombre aléatoire initial, E) des informations transmises entre les deux modules (25, 26) sont chiffrées avec la clé commune de session.
2. Procédé pour une transmission sécurisée d'informations entre deux modules (25, 26) un premier et un second, dans lequel :
- le premier et le second modules (25, 26) sont chacun équipés d'une clé faisant partie d'un premier couple de clés (31, 33) ; comprenant une clé publique (33) et une clé privée (31) ;
- au moins le premier module (25) est équipé d'un générateur de nombres aléatoires ; le procédé comportant les opérations suivantes : a)- génération dans le premier module de deux nombres aléatoires un premier (S) et un second (Al) , b)- chiffrement dans le premier module (25) des deux nombres aléatoires avec la clé publique (33) , c) - transmission (36) du premier au second module d'un premier message contenant les premier et second nombres (S) et (Al) chiffrés avec la clé publique (33) du premier couple de clés, d) - déchiffrement (37) dans le second module des premier et second nombres (S) et (Al) à l'aide de la clé (31) privée du premier couple de clés, procédé caractérisé en ce que les premier et second modules étant chacun équipé :
- avec l'une des clés d'un second couple de clés (30, 32) comprenant une clé publique (32) et une clé privée (30) , - avec un générateur de clés à partir de nombres aléatoires reçus par ledit générateur, le procédé comprend en outre les opérations ci-après, e)- génération (38) par le second module (26) d'un troisième nombre aléatoire (A2), f)- chiffrement (39) dans le second module (26) des premier (S)' et troisième (A2) nombres aléatoires à l'aide de la clé publique (32) du second couple de clés (30, 32), g)- transmission (40) du second (26) au premier (25) module des premier (S) et troisième (A2) nombres aléatoires chiffrés à l'aide de la clé publique (32) du second couple de clés, h)- déchiffrement (41) dans le premier module (25) des premier (S) et troisième (A2) nombres aléatoires chiffrés à l'aide de la clé publique (32) du second couple de clés, i)- vérification (42) dans le premier module
(25) de l'identité du premier nombre aléatoire (S) tel que généré par le générateur de nombre aléatoire du premier module (25) et du premier nombre aléatoire chiffré à l'aide de la clé publique (32) du second couple de clés tel que reçu du second module (26) , j)- dans chacun des deux modules (25, 26) création (43, 44) d'une clé commune de session K au moyen du générateur de clés de session contenu dans le module, le générateur de clés de chacun des modules recevant de façon interne pour créer cette clé, les trois nombres (Al, A2, S), k) - envoi (46) du premier module (25) au second module (26) du premier nombre aléatoire (S) chiffré (45) à l'aide de la clé de session K, 1)- vérification (48) dans le second module (26) de l'identité du premier nombre aléatoire (S) tel que déchiffré (47) par le second module (26) avec la clé privée (31) du premier couple de clés et du premier nombre aléatoire (S) tel que déchiffré avec la clé de session K, créée (44) dans le second module (26), m)- arrêt de la transmission d'informations entre les deux modules si l'une des vérifications d'identité, opérées en i) ou 1), du premier nombre aléatoire (S) avec l'une de ses transformées par chiffrement est négative, n) - poursuite de la transmission d'information à l'aide de la clé de cession K si aucune des vérifications d'identité, opérés en i) ou 1), du premier nombre aléatoire (S) avec l'une de ses transformées par chiffrement n'est négative.
3. Procédé dans lequel le second module (26) étant équipé d'un certificat (57) contenant une signature numérique et d'une clé publique (32) de certification le procédé selon la revendication 1 ou 2 est caractérisé en ce que il comprend dans une phase préalable les opérations ci-après, o)- transmission (62) du second (26) au premier (25) module des informations du certificat (57) contenu dans ledit second module (26) , p)- vérification (63) dans le premier module
(25) de la signature du second certificat (57) avec la clé publique (58) de certification contenue dans le premier module (25) et extraction de la clé publique
(33) contenue dans le second certificat, q) réalisation des opérations a) et suivantes de la revendication 1, la clé publique du second module extraite dudit certificat du second module, formant avec une clé privée du premier module le premier couple de clés.
4. Procédé dans lequel, le premier module (25) étant équipé d'une clé publique de certification (58) et d'un premier certificat (56) contenant une signature numérique et le second module (26) étant équipé d'une seconde clé (59) de certification et d'un second certificat (57) contenant une signature numérique et une clé publique de certification le procédé selon la revendication 1 est caractérisé en ce que il comprend dans une phase préalable les opérations ci après, r)- transmission (60) du premier (25) au second (26) module des informations du premier certificat (56) , s)- vérification (61) dans le second module (26) de la signature du premier certificat (56) avec la clé publique (59) de certification contenue dans le second module (26) et extraction de la clé publique
(32) contenue dans le premier certificat (56) , p)- vérification (63) dans le premier module (25) de la signature du second certificat (57) avec la clé publique (58) de certification contenue dans le premier module (25) et extraction de la clé publique
(33) contenue dans le second certificat, t)- réalisation des opérations a) et suivantes de la revendication 1, la clé publique (32) du premier module extraite du premier certificat (56) formant avec une clé privée (30) du premier module (25) le premier couple de clés et la clé publique (33) du second module (26) extraite du second certificat (57) formant avec une clé privée (31) du second module le second couple de clés .
5. Procédé selon l'une des revendications 1 à 4 dans lequel la création d'une clé commune de session K au moyen d'un générateur (43, 44) de clés de session contenu dans chacun des deux modules (25, 26), recevant chacun, de façon interne, trois mêmes nombres (Al, A2, S), est effectuée par une fonction de hachage sur ces nombres.
6. Utilisation du procédé selon l'une des revendications 1 à 5 pour une transmission sécurisée entre un premier module (25) qui est un décodeur de télévision numérique ayant une fonction de décodage d'un flux vidéo numérique brouillé ou un module d'accès conditionnel à un tel décodeur, et un second module (26) qui est un dispositif d'autorisation d'accès, l'échange d'informations chiffrées avec la clé commune de session K entre le premier (25) et le second (26) modules et un traitement de l'information échangée comportant les opérations ci-après : - la transmission (50) d'un message de contrôle d'autorisation (ECM) contenant un mot de contrôle (CW) permettant de désembrouiller le flux brouillé, du premier (25) au second (26) module,
- le déchiffrement (51) du message de contrôle d'autorisation (ECM), - l'extraction (52) par le second module (26) du mot de contrôle (CW) contenu dans le message de contrôle d'autorisation (ECM),
- le chiffrement (53) dans le second module à l'aide de la clé commune de session K dudit mot de contrôle (CW)
- la transmission (54) du second au premier module dudit mot de contrôle (CW) chiffré,
- le déchiffrement (55) dans le premier module à l'aide de la clé commune de session K dudit mot de contrôle (CW) et son utilisation éventuelle pour désembrouiller un flux numérique embrouillé.
7. Utilisation selon la revendication 6 du procédé selon l'une des revendications 1 à 5, dans laquelle le dispositif d'autorisation d'accès est une carte à puce.
PCT/FR2002/001324 2001-04-19 2002-04-17 Procede pour une communication securisee entre deux dispositifs WO2002087144A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US10/474,588 US7328342B2 (en) 2001-04-19 2002-04-17 Method for secure communication between two devices
EP02727668A EP1391074A1 (fr) 2001-04-19 2002-04-17 Procede pour une communication securisee entre deux dispositifs
CA002444422A CA2444422A1 (fr) 2001-04-19 2002-04-17 Procede pour une communication securisee entre deux dispositifs

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0105316A FR2823928B1 (fr) 2001-04-19 2001-04-19 Procede pour une communication securisee entre deux dispositifs
FR0105316 2001-04-19

Publications (1)

Publication Number Publication Date
WO2002087144A1 true WO2002087144A1 (fr) 2002-10-31

Family

ID=8862483

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2002/001324 WO2002087144A1 (fr) 2001-04-19 2002-04-17 Procede pour une communication securisee entre deux dispositifs

Country Status (5)

Country Link
US (1) US7328342B2 (fr)
EP (1) EP1391074A1 (fr)
CA (1) CA2444422A1 (fr)
FR (1) FR2823928B1 (fr)
WO (1) WO2002087144A1 (fr)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008100815A1 (fr) 2007-02-09 2008-08-21 Sony Corporation Procédé et appareil d'autorisation d'une interface de communication
CN102170595A (zh) * 2010-02-25 2011-08-31 爱迪德有限责任公司 在有条件接入系统中禁用明文控制字加载机制
US8209535B2 (en) 2004-03-22 2012-06-26 Samsung Electronics Co., Ltd. Authentication between device and portable storage
CN107040536A (zh) * 2017-04-10 2017-08-11 北京德威特继保自动化科技股份有限公司 数据加密方法、装置和系统

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4357480B2 (ja) * 2003-06-30 2009-11-04 富士通株式会社 無線通信認証プログラムおよび無線通信プログラム
JP4976135B2 (ja) * 2003-11-13 2012-07-18 イルデト アイントホーフェン ベー フェー 限定アクセス方法及び限定アクセス装置
US7502473B2 (en) * 2004-02-25 2009-03-10 Nagravision S.A. Process for managing the handling of conditional access data by at least two decoders
KR20050096040A (ko) * 2004-03-29 2005-10-05 삼성전자주식회사 휴대형 저장장치와 디바이스간에 디지털 저작권 관리를이용한 콘텐츠 재생방법 및 장치와, 이를 위한 휴대형저장장치
US7805611B1 (en) * 2004-12-03 2010-09-28 Oracle America, Inc. Method for secure communication from chip card and system for performing the same
US8560829B2 (en) * 2006-05-09 2013-10-15 Broadcom Corporation Method and system for command interface protection to achieve a secure interface
US8285988B2 (en) 2006-05-09 2012-10-09 Broadcom Corporation Method and system for command authentication to achieve a secure interface
JP4923974B2 (ja) * 2006-09-05 2012-04-25 株式会社デンソー 無線通信システム及び車載装置
KR101424972B1 (ko) 2007-05-10 2014-07-31 삼성전자주식회사 모바일 카드를 이용한 컨텐츠 사용 방법, 호스트 장치, 및모바일 카드
US8149085B2 (en) * 2008-05-02 2012-04-03 Research In Motion Limited Coordinated security systems and methods for an electronic device
US20090287929A1 (en) * 2008-05-15 2009-11-19 Lucent Technologies Inc. Method and apparatus for two-factor key exchange protocol resilient to password mistyping
EP2159762A1 (fr) * 2008-08-27 2010-03-03 Deutsche Telekom AG Procédé d'authentification à base de cartes à puce
EP2211497A1 (fr) * 2009-01-26 2010-07-28 Gemalto SA Procédé d'établissement de communication sécurisée sans partage d'information préalable
JP4760938B2 (ja) * 2009-03-23 2011-08-31 富士ゼロックス株式会社 鍵生成プログラム、鍵記録プログラム、鍵生成装置、pkiカード及び鍵記録システム
US11032259B1 (en) 2012-09-26 2021-06-08 Pure Storage, Inc. Data protection in a storage system
US8745415B2 (en) 2012-09-26 2014-06-03 Pure Storage, Inc. Multi-drive cooperation to generate an encryption key
US10623386B1 (en) 2012-09-26 2020-04-14 Pure Storage, Inc. Secret sharing data protection in a storage system
US9596077B2 (en) * 2013-04-22 2017-03-14 Unisys Corporation Community of interest-based secured communications over IPsec
US11128448B1 (en) 2013-11-06 2021-09-21 Pure Storage, Inc. Quorum-aware secret sharing
US10263770B2 (en) 2013-11-06 2019-04-16 Pure Storage, Inc. Data protection in a storage system using external secrets
US9516016B2 (en) * 2013-11-11 2016-12-06 Pure Storage, Inc. Storage array password management
US9503447B2 (en) 2014-01-30 2016-11-22 Sap Se Secure communication between processes in cloud
US9729518B1 (en) 2014-04-17 2017-08-08 Altera Corporation Method and apparatus for secure provisioning of an integrated circuit device
BR112018011779B1 (pt) 2015-12-23 2024-01-23 Nagravision Sa Método para exploração e dispositivo cliente

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997038530A1 (fr) * 1996-04-03 1997-10-16 Digco B.V. Procede servant a etablir une communication sure entre deux dispositifs et mise en application du procede

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6292568B1 (en) * 1966-12-16 2001-09-18 Scientific-Atlanta, Inc. Representing entitlements to service in a conditional access system
DK190784D0 (da) * 1984-04-12 1984-04-12 Pengeinst Koebe Kreditkort Fremgangsmaade og apparat til datatransmission
US4799061A (en) * 1985-11-18 1989-01-17 International Business Machines Corporation Secure component authentication system
US5227613A (en) * 1989-01-24 1993-07-13 Matsushita Electric Industrial Co., Ltd. Secure encrypted data communication system having physically secure ic cards and session key generation based on card identifying information
US5557518A (en) * 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
US6011848A (en) * 1994-03-07 2000-01-04 Nippon Telegraph And Telephone Corporation Method and system for message delivery utilizing zero knowledge interactive proof protocol
US5602917A (en) * 1994-12-30 1997-02-11 Lucent Technologies Inc. Method for secure session key generation
US6424717B1 (en) * 1995-04-03 2002-07-23 Scientific-Atlanta, Inc. Encryption devices for use in a conditional access system
US6246767B1 (en) * 1995-04-03 2001-06-12 Scientific-Atlanta, Inc. Source authentication of download information in a conditional access system
US6157719A (en) * 1995-04-03 2000-12-05 Scientific-Atlanta, Inc. Conditional access system
GB9507885D0 (en) * 1995-04-18 1995-05-31 Hewlett Packard Co Methods and apparatus for authenticating an originator of a message
US5883958A (en) * 1996-04-01 1999-03-16 Sony Corporation Method and device for data decryption, a method and device for device identification, a recording medium, a method of disk production, and a method and apparatus for disk recording
US5915021A (en) * 1997-02-07 1999-06-22 Nokia Mobile Phones Limited Method for secure communications in a telecommunications system
US6490680B1 (en) * 1997-12-04 2002-12-03 Tecsec Incorporated Access control and authorization system
US6151676A (en) * 1997-12-24 2000-11-21 Philips Electronics North America Corporation Administration and utilization of secret fresh random numbers in a networked environment
US7096494B1 (en) * 1998-05-05 2006-08-22 Chen Jay C Cryptographic system and method for electronic transactions
US6816968B1 (en) * 1998-07-10 2004-11-09 Silverbrook Research Pty Ltd Consumable authentication protocol and system
US7162642B2 (en) * 1999-01-06 2007-01-09 Digital Video Express, L.P. Digital content distribution system and method
US7095851B1 (en) * 1999-03-11 2006-08-22 Tecsec, Inc. Voice and data encryption method using a cryptographic key split combiner
WO2001011843A1 (fr) * 1999-08-06 2001-02-15 Sudia Frank W Systemes d'autorisation et de statut a arbre bloque
US7085931B1 (en) * 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
US6961849B1 (en) * 1999-10-21 2005-11-01 International Business Machines Corporation Selective data encryption using style sheet processing for decryption by a group clerk
US6577733B1 (en) * 1999-12-03 2003-06-10 Smart Card Integrators, Inc. Method and system for secure cashless gaming
US6792113B1 (en) * 1999-12-20 2004-09-14 Microsoft Corporation Adaptable security mechanism for preventing unauthorized access of digital data
US6986046B1 (en) * 2000-05-12 2006-01-10 Groove Networks, Incorporated Method and apparatus for managing secure collaborative transactions
US20030196109A1 (en) * 2000-08-28 2003-10-16 Contentguard Holdings, Inc. Method and apparatus for content transaction aggregation
US6601771B2 (en) * 2001-04-09 2003-08-05 Smart Card Integrators, Inc. Combined smartcard and magnetic-stripe card and reader and associated method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997038530A1 (fr) * 1996-04-03 1997-10-16 Digco B.V. Procede servant a etablir une communication sure entre deux dispositifs et mise en application du procede

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MENEZES: "Handbook of Applied Cryptography", 1997, CRC PRESS LLC, USA, XP002186996 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8209535B2 (en) 2004-03-22 2012-06-26 Samsung Electronics Co., Ltd. Authentication between device and portable storage
WO2008100815A1 (fr) 2007-02-09 2008-08-21 Sony Corporation Procédé et appareil d'autorisation d'une interface de communication
EP2109956A1 (fr) * 2007-02-09 2009-10-21 Sony Corporation Procédé et appareil d'autorisation d'une interface de communication
EP2109956A4 (fr) * 2007-02-09 2011-01-26 Sony Corp Procédé et appareil d'autorisation d'une interface de communication
US8156545B2 (en) 2007-02-09 2012-04-10 Sony Corporation Method and apparatus for authorizing a communication interface
CN102170595A (zh) * 2010-02-25 2011-08-31 爱迪德有限责任公司 在有条件接入系统中禁用明文控制字加载机制
EP2362635A1 (fr) * 2010-02-25 2011-08-31 Irdeto B.V. Désactivation d'un mécanisme de chargement de mots de contrôle de texte clair dans un système d'accès conditionnel
CN107040536A (zh) * 2017-04-10 2017-08-11 北京德威特继保自动化科技股份有限公司 数据加密方法、装置和系统

Also Published As

Publication number Publication date
US7328342B2 (en) 2008-02-05
CA2444422A1 (fr) 2002-10-31
EP1391074A1 (fr) 2004-02-25
FR2823928B1 (fr) 2003-08-22
US20050033964A1 (en) 2005-02-10
FR2823928A1 (fr) 2002-10-25

Similar Documents

Publication Publication Date Title
EP1391074A1 (fr) Procede pour une communication securisee entre deux dispositifs
EP0661846B1 (fr) Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification utilisant un protocole à apport nul de connaissance
CA2112518C (fr) Procede d'authentification d'au moins un dispositif d'identification par un dispositif de verification et dispositif pour sa mise en oeuvre
EP2887574A1 (fr) Procédé de conversion d'un contenu à acces conditionnel
EP2168304B1 (fr) Verification de code mac sans revelation
EP0317400B1 (fr) Dispositif et procédé de sécurisation d'échange de données entre un terminal vidéotex et un serveur
FR2804561A1 (fr) Procede de communication avec sequestre et recuperation de cle de chiffrement
EP1867189A1 (fr) Communication securisee entre un dispositif de traitement de donnees et un module de securite
WO2003107587A1 (fr) Procede et dispositif d’interface pour echanger de maniere protegee des donnees de contenu en ligne
WO2020008131A1 (fr) Procede d'obtention d'une succession de cles cryptographiques
EP2824868A1 (fr) Réseau numérique local, procédés d'installation de nouveux dispositifs et procédés de diffusion et de réception de données dans un tel réseau
WO2006061420A1 (fr) Procede et systeme d ' encryption par un proxy
EP1216458B1 (fr) Procede permettant de securiser des donnees lors de transactions et systeme pour sa mise en oeuvre
EP1032158B1 (fr) Circuit et procédé pour la sécurisation d'un coprocesseur dédié à la cryptographie
EP0566492B1 (fr) Procédé d'authentification d'un ensemble informatique à partir d'une disquette informatique
WO2012080683A2 (fr) Procédé et système d'accès conditionnel à un contenu numérique, terminal et dispositif d'abonné associés
EP3526946A1 (fr) Procédé de chiffrement, procédé de déchiffrement, dispositif et programme d'ordinateur correspondant
EP1362334A1 (fr) Module d'identification pourvu d'un code d'authentification securise
EP1502382B1 (fr) Procede de controle d acces a un reseau
FR2786049A1 (fr) Procede de cryptographie a cle dynamique
WO2019002736A1 (fr) Procédé de réception et de déchiffrement d'un cryptogramme d'un mot de contrôle
FR2770065A1 (fr) Procede de transfert de cle d'embrouillage
FR2800537A1 (fr) Procede et systeme d'emulation d'un code secret entre deux modules materiels

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AU CA IL IN JP KR NO RU UA US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2002727668

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2444422

Country of ref document: CA

WWE Wipo information: entry into national phase

Ref document number: 10474588

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 2002727668

Country of ref document: EP

WWW Wipo information: withdrawn in national office

Ref document number: 2002727668

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP