WO2006072690A2 - Procede et systeme de transmission d’un ensemble de donnees chiffre depuis un dispositif expediteur vers un dispositif destinataire - Google Patents

Procede et systeme de transmission d’un ensemble de donnees chiffre depuis un dispositif expediteur vers un dispositif destinataire Download PDF

Info

Publication number
WO2006072690A2
WO2006072690A2 PCT/FR2005/003215 FR2005003215W WO2006072690A2 WO 2006072690 A2 WO2006072690 A2 WO 2006072690A2 FR 2005003215 W FR2005003215 W FR 2005003215W WO 2006072690 A2 WO2006072690 A2 WO 2006072690A2
Authority
WO
WIPO (PCT)
Prior art keywords
data set
transmitted
message
encrypted data
decryption
Prior art date
Application number
PCT/FR2005/003215
Other languages
English (en)
Other versions
WO2006072690A3 (fr
Inventor
Laurent Frisch
David Arditti
Christophe Mathias
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2006072690A2 publication Critical patent/WO2006072690A2/fr
Publication of WO2006072690A3 publication Critical patent/WO2006072690A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Definitions

  • the present invention relates to a system for transmitting an encrypted data set from a sending device to a destination device.
  • set of data is meant a document, a file, a message, etc. to be transmitted via a communication network, such as in particular a network using the IP (English Internet Protocol).
  • IP International Mobile Network Protocol
  • a set of data of the aforementioned type for example an electronic document
  • the text of the document is encrypted.
  • This operation consists in applying a mathematical function with very particular characteristics on the text.
  • This function uses a variable, the encryption key, which is a sequence of bits.
  • the text is encrypted, it is unreadable. To obtain the readable version, it must be deciphered, that is to say, apply another mathematical function, compatible with the first, with another variable, the decryption key.
  • the value of the decryption key obviously depends on the value of the encryption key and only the owner of the decryption key can decrypt the text.
  • a sender wishes to transmit a confidential document to a recipient, via the aforementioned communication network, he encrypts the document on his workstation with an encryption key and sends the encrypted version of the document to the recipient. The latter decrypts the document on his workstation with the decryption key, which he is the only one to know.
  • Such a method of transmission is implemented in particular in the context of the dematerialization of tenders.
  • a public body launches a call for tenders (mandatory prerequisite for the conclusion of a public contract)
  • the candidate companies have the option of withdrawing the bidding documents in electronic form and then lodging their bids. line.
  • the applicant companies must electronically sign documents containing their offers, - if an electronic document containing an offer is considered invalid by the recipient device, such as in particular a server belonging to the public body, the server rejects the document upon receipt.
  • a criterion of invalidity of such an electronic document could for example apply when the electronic document contains an unwanted element by the recipient device.
  • malware a malicious program (virus, computer worm or other) that is contained in an attachment
  • a prohibited function such as for example a "macro" allowing to carry out system commands directly, as it is possible in Microsoft Word or Microsoft Excel.
  • the recipient device in this case the aforementioned server, is not able to reject it as soon as it is received. Indeed, the key (possibly the keys) of decryption of the document is sent to the recipient server only at the time of the official opening of the calls for tenders.
  • Such a system includes:
  • a first communication module for transmitting an encrypted data set sent by the sending device; a second communication module for communicating with a key archiving module in order to obtain at least one decryption key which is associated with the key; encrypted data set transmitted,
  • an analysis module for analyzing the decrypted data set in order to detect whether the latter comprises an unwanted element by the destination device.
  • the system according to the invention comprises:
  • a third communication module for transmitting a message according to which the decrypted data set comprises or does not include such an undesired element
  • a fourth communication module for transmitting direction of the destination device the encrypted data set as initially transmitted by the sending device, and, in the case where the message analyzed by the second analysis means stipulates that the decrypted data set comprises such an undesired element , information that the encrypted data set has this unwanted element.
  • the system according to the invention makes it possible to eliminate, in an encrypted data set that is transmitted to a destination device, any element undesired by the latter, even before the destination device decrypts the device. the encrypted data set transmitted.
  • the system further comprises:
  • An elimination module for deleting, in the deciphered data set, all or only a part of an undesired element that can be detected by the first analysis module,
  • a rendering module for reconstructing, using at least one encryption key compatible with the decryption key, all or only a part of the encrypted data set transmitted, from the data set decrypted in which the elimination module has removed all or only a part of the undesired element, the encryption key being obtained beforehand by the second communication module, in addition to the decryption key,
  • the third communication module further transmitting the encrypted data set reconstituted in whole or in part, and the fourth communication module further transmitting, in the direction of the destination device, either the entire fully reconstructed transmitted encrypted data set, that is the partially reconstructed transmitted encrypted data set.
  • the second communication module, the decryption and rendering modules, the first analysis module, the elimination module and the third communication module are grouped together in a single device,
  • the communication module, the decryption, rendering and archiving modules, as well as the third communication module, are grouped together in a public key infrastructure.
  • the present invention relates to a method of transmitting an encrypted data set from a sender device to a recipient device, said method comprising the following steps:
  • the method is remarkable in that it further comprises the following steps:
  • step f) transmission, in the direction of the destination device, of the encrypted data set as initially transmitted by the sending device, and, in the case where the message analyzed in step f) stipulates that the data set decrypted includes such an undesired element, information that the encrypted data set includes this unwanted element.
  • step b) at least one encryption key is obtained in addition to the decryption key, the encryption key being compatible with the decryption key, - between steps d) and e) take place:
  • the deciphered data set is transmitted, all or only a part of the unwanted element has been deleted during the deletion step,
  • step g) is transmitted to the destination device, either the set of encrypted data transmitted reconstituted in full, or the set of encrypted data transmitted reconstituted in part.
  • FIG. 1 represents the general architecture of the control system. transmission according to the present invention.
  • the system according to the present invention comprises:
  • a sender device 1 such as for example a computer belonging to a candidate company, as part of a response to a call for tenders
  • a transmission device 2 such as for example a server
  • an encryption / decryption device 3 such as for example a server
  • an archiving device 4 such as for example a server
  • a disinfection device 5 such as, for example, a server
  • a recipient device 6 such as, for example, a server belonging to a public body intended to strip tenders.
  • the computer 1 is intended to transmit to the server 6 an encrypted data set via a public network, for example of the Internet type.
  • the data set is an electronic document containing the call for tenders.
  • Computer 1 includes:
  • a communication interface 1a notably a web browser, with the transmission server 2,
  • Such an encryption is, depending on the case, single or multiple (example: over-encryption).
  • the format of the encrypted document obtained is of the PKCS # 7 (Public Key Cryptography Standards), CMS (English Cryptography Message Syntax), XML (Extensible Markup Language), PGP, etc. ..
  • the transmission server 2 comprises: a communication interface 2a with the computer 1,
  • an application software module 2b connected to the interface 2a and intended to process the requests received by the interface 2a
  • a memory 2c connected to the application module 2b and intended to temporarily store the received encrypted document
  • the encryption / decryption server 3 comprises:
  • an application software module 3b connected to the interface 3a and intended to process the requests received by the interface 3a, a decryption module D,
  • the archiving server 4 comprises:
  • an application software module 4b connected to the interface 4a and intended to process the requests received by the interface 4a
  • the disinfection server 5 comprises:
  • an application software module 5b connected to the interface 5a and intended to process the requests received by the interface 5a
  • an analysis module AN5 intended to detect whether the document decrypted in the encryption / decryption server 3 comprises an unwanted element by the destination server 6,
  • an elimination module EL5 intended to delete, in the deciphered data set, all or only a part of the undesired element that can be detected by the analysis module AN5.
  • the transmitted electronic document is associated with a single encryption key K E and a single decryption key K 0 .
  • a company a candidate in the framework of a call for tenders, connects to the transmission server 2, by means of the computer 1, via a public network, such as for example the Internet.
  • the browser 1a then sends to the transmission server 2, via the Internet, a message M1 with the encrypted document.
  • the interface 2a receives the message M1 and transmits it to the application module 2b which saves the encrypted document in the memory 2c.
  • the application module 2b sends back to the interface 2d a copy of the encrypted document.
  • the interface 2d then sends, in the direction of the encryption / decryption server 3, an M2 message containing the encrypted document, via a private network, for example Intranet.
  • a private network for example Intranet.
  • the communication interface 3a of the encryption / decryption server 3 receives the message M2 and transmits it to the application module 3b.
  • the application module 3b executes an analysis program of the received encrypted document in order to determine which is the decryption key KD compatible with the encryption key KE.
  • the communication interface 3c transmits, in the direction of the archiving server 4, a message M3 which includes a request for recovery of the decryption key K 0 which has been determined in step E2.
  • the communication interface 4a of the archiving server 4 receives the message M3 and transmits it to the application module 4b.
  • the application module 4b extracts from the database 4c the decryption key K 0 requested and transmits it to the interface 4a.
  • the latter then sends, in the direction of the encryption / decryption server 3, via the intranet network, a message M4 containing said decryption key K 0 .
  • the decryption module D executes a decryption program of the received encrypted document, using the decryption key K D obtained.
  • the communication interface 3d transmits, in the direction of the disinfection server 5, via the intranet network, an M5 message which includes a request for disinfection of the decrypted document.
  • the communication interface 5a of the disinfection server 5 receives the message M5 and transmits it to the application module 5b.
  • AN5 executes an analysis program of the decrypted document received to detect if it contains an undesired element.
  • the communication interface 5a transmits, in the direction of the encryption / decryption server 3, via the intranet network, a message M6 entitled for example "healthy document”. If, on the other hand, the application module AN5 detects such an undesired element, the communication interface 5a transmits, in the direction of the encryption / decryption server 3, via the intranet network, a message M6 entitled for example "infected document”.
  • the communication interface 5a transmits, in the direction of the encryption / decryption server 3, via the intranet network, a message M6 entitled for example "infected document”.
  • the module 3b launches a program for analyzing the title of the message M6 received.
  • the communication interface 3a transmits towards the transmission server 2, via the Intranet, an M7 message entitled by example "OK".
  • the communication interface 3a transmits towards the transmission server 2, via the Intranet, an M7 message entitled by example "no OK".
  • the communication interface 2a of the transmission server 2 receives the message M7 and transmits it to the application module 2b.
  • the analysis module AN2 analyzes the message M7. If the message M7 received is entitled "OK", the application module 2b extracts the encrypted document from the memory 2c and transmits it to the communication interface 2e which itself transmits, towards the destination server 6, via the Internet network , an M8 message containing said extracted ciphertext document.
  • the application module 2b still extracts the encrypted document from the memory 2c and transmits it to the communication interface 2e which itself transmits, towards the destination server 6, via the Internet, an alert message M8 entitled "infected document” and containing said extracted encrypted document.
  • the server 6 then receives the message M8 and stores it.
  • the public body, holding the server 6, is thus in possession of either a healthy encrypted document that will not be decrypted that later, ie during the official recounting of tenders, or an infected encrypted document that the public body may not take the risk of deciphering later.
  • the database 4c of the archive server 4 also contains the encryption key KE compatible with the decryption key KD.
  • the communication interface 3c transmits towards the archiving server 4, during the aforementioned step E3, a message M3 which comprises not only a request for recovery of the decryption key K 0 , but also a request for recovery of the encryption key K E.
  • the communication interface 4a of the archiving server 4 receives the message M3 and transmits it to the application module 4b.
  • the application module 4b then extracts from the database 4c the decryption key KD and the encryption key KE requested and transmits the latter to the interface 4a.
  • the interface 4a then transmits, in the direction of the encryption / decryption server 3, via the intranet network, a message M4 containing said decryption key K 0 and said encryption key K E.
  • the communication interface 3c of the encryption / decryption server 3 receives the message M4 and transmits it to the application module 3b.
  • the decryption module D executes a decryption program of the received encrypted document, using the decryption key KD obtained.
  • the communication interface 3d transmits, in the direction of the disinfection server 5, an M5 message which includes a request for disinfection of the decrypted document.
  • the communication interface 5a of the disinfection server 5 receives the message M5 and transmits it to the application module 5b.
  • the analysis module AN5 executes the aforementioned analysis program, in order to detect whether the decrypted document received contains an undesired element.
  • the communication interface 5a sends, in the direction of the encryption / decryption server 3, via the intranet network, a message M6 entitled for example "healthy document".
  • the elimination module EL5 executes a disinfection program, such as for example an anti-virus, to remove all or part of the unwanted element.
  • the communication interface 5a then transmits, in the direction of the encryption / decryption server 3, via the intranet network, a message M6 entitled for example "infected document" and comprising the decrypted document completely or partially freed from the element not wanted.
  • the communication interface 3d receives the message M6 and transmits it to the application module 3b.
  • the aforementioned step E8 is then carried out but differs in that the program analyzes not only the title of the message M6 received, but also the decrypted document contained in the message M6 received.
  • step E9.1 If the title of the message M6 received is "healthy document", the aforesaid step E9.1 is performed.
  • the encryption module E launches a re-decryption program of the decrypted document using KE key obtained previously.
  • the communication interface 3a then transmits towards the transmission server 2, via the intranet network, an M7 message entitled for example "no OK, SAIN" and comprising the encrypted document cleared of the unwanted element.
  • the encryption module E starts a re-encryption program of the decrypted document, using key K E obtained previously, so as to reconstitute the initial encrypted document, only in part, the infected parts of the document being each replaced by an error message.
  • the communication interface 3a then transmits towards the transmission server 2, via the intranet network, an M7 message entitled, for example, "no OK, INFECTED" and comprising the partly reconstituted encrypted document.
  • the communication interface 2a of the transmission server 2 receives the message M7 and transmits it to the application module 2b.
  • the analysis module AN2 starts a program for analyzing the title of the message M7.
  • the application module 2b extracts the encrypted document from the memory 2c and transmits it to the communication interface 2e which itself transmits, towards the destination server 6, via the Internet network , an M8 message containing said extracted ciphertext document.
  • the communication interface 2e transmits towards the destination server 6, via the Internet, an alert message M8 entitled for example "infected document” and containing the document initially sent by the computer 1.
  • the communication interface 2e further transmits to the destination server 6, via the Internet, a message containing the encrypted document received cleared of the unwanted element.
  • the communication interface 2e transmits towards the server 6, via the Internet, an alert message M8 entitled for example "document partially infected” and containing the document originally issued by the computer 1.
  • the communication interface 2e further transmits, in the direction of the destination server 6, via the Internet, a message comprising the encrypted document received, freed from the unwanted element.
  • the end of the transmission process then proceeds in the manner described above with reference to FIG.
  • the connections between the different devices 1 to 6 are for example of the type http (of the English Hyper Text Transfer Protocol). More specifically, the connection between the computer 1 and the transmission server 2, between the transmission server 2 and the encryption / decryption server 3, and between the encryption / decryption server 3 and the archiving server 4 is secure. In the example shown, it is of the https (Hyper Text Transfer Protocol Secure) type.
  • the encryption / decryption 3 and disinfection 5 servers are grouped together in a single and same server so as to avoid the clear transmission of the decrypted documents.
  • the system comprises a plurality of encryption / decryption servers 3.
  • the transmission server 2 or, in place of the latter, a proxy server, comprises a software module in which is installed a program responsible for decomposing the encrypted document from the computer 1 into several sub-encrypted documents, then to direct each of these sub-documents to a cipher / decryption server 3 associated with it.
  • a proxy server comprises a software module in which is installed a program responsible for decomposing the encrypted document from the computer 1 into several sub-encrypted documents, then to direct each of these sub-documents to a cipher / decryption server 3 associated with it.
  • the archiving server 4 is an integral part of this infrastructure.
  • the encryption / decryption server 3 is also an integral part of this infrastructure so that the transmission of the sequestered keys K E or K 0 ' is carried out only inside the infrastructure and not to a third party. who is not the owner.
  • the encryption / decryption server or servers 3 capable of analyzing a document or sub-document encrypted with this certificate
  • the archive server or servers 4 likely to recover the key associated with this certificate.
  • the analysis module AN2 analyzes a message M7 entitled "no OK", “no OK, SAIN” or “no OK, INFECTED” it is programmed so that the communication interface 2a transmits to the computer 1 and possibly the destination server 6, via the Internet, an alert message that the originally encrypted document is infected.
  • the alert message could contain details such as the nature of the unwanted item that has been detected, the designation of the infected parts of the encrypted document transmitted, etc.
  • the message alert would be sent for example according to the http protocol, in the form of an email, a short message, etc.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

L'invention concerne la transmission d'un ensemble de données chiffré depuis un dispositif expéditeur (1) vers un dispositif destinataire (6). Un premier module de communication transmet l'ensemble de données chiffré. Un second module de communication (3c) dialogue avec un module (4) d'archivage de clés afin d'obtenir au moins une clé de déchiffrement associée à l'ensemble de données chiffré transmis. Un module (D) déchiffre l'ensemble de données chiffré transmis au moyen de la clé obtenue. Un premier module d'analyse (AN5) analyse l'ensemble de données déchiffré pour détecter si ce dernier comporte un élément non désiré par le dispositif destinataire (6). Un troisième module de communication (3a) transmet un message selon lequel l'ensemble de données déchiffré comporte ou ne comporte pas un tel élément non désiré. Un second module d'analyse (AN2) analyse le message transmis de telle façon qu'un quatrième module de communication (2e) transmette, en direction du dispositif destinataire (6), soit l'ensemble de données chiffré tel qu'émis initialement par le dispositif expéditeur (1), soit un message d'avertissement selon lequel l'ensemble de données chiffré comporte un élément non désiré.

Description

Procédé et système de transmission d'un ensemble de données chiffré depuis un dispositif expéditeur vers un dispositif destinataire
La présente invention concerne un système de transmission d'un ensemble de données chiffré depuis un dispositif expéditeur vers un dispositif destinataire.
Par ensemble de données, on entend un document, un fichier, un message, etc.. destiné à être transmis via un réseau de communication, tel qu'en particulier un réseau utilisant le protocole IP ( de l'anglais Internet Protocol). A l'heure actuelle, pour assurer la transmission, de façon confidentielle, d'un ensemble de données du type précité, par exemple un document électronique, on chiffre le texte du document. Cette opération consiste à appliquer une fonction mathématique avec des caractéristiques très particulières sur le texte. Cette fonction utilise une variable, la clé de chiffrement, qui est une suite de bits. Une fois le texte chiffré, il est illisible. Pour obtenir la version lisible, il faut le déchiffrer, c'est-à-dire appliquer une autre fonction mathématique, compatible avec la première, avec une autre variable, la clé de déchiffrement.
La valeur de la clé de déchiffrement dépend évidemment de la valeur de la clé de chiffrement et seul le possesseur de la clé de déchiffrement peut déchiffrer le texte. Lorsqu'un expéditeur désire transmettre un document confidentiel à un destinataire, via le réseau de communication précité, il chiffre le document sur son poste de travail avec une clé de chiffrement et il envoie la version chiffrée du document au destinataire. Ce dernier déchiffre le document sur son poste de travail avec la clé de déchiffrement, qu'il est le seul à connaître.
Un tel mode de transmission est mis en œuvre notamment dans le cadre de la dématérialisation des passations d'appels d'offre. Lorsqu'un organisme public lance un appel d'offres (préalable obligatoire à la conclusion d'un marché public), les entreprises candidates ont la faculté de retirer le dossier d'appel d'offres sous forme électronique, puis de déposer leurs offres en ligne.
Des dispositions législatives récentes encadrent, de façon assez étroite, les conditions dans lesquelles le dépôt de ces offres peut s'effectuer. En particulier :
- les entreprises candidates doivent signer électroniquement les documents qui contiennent leurs offres, - si un document électronique qui contient une offre est considéré invalide par le dispositif destinataire, tel qu'en particulier un serveur appartenant à l'organisme public, le serveur rejette le document dès sa réception.
Un critère d'invalidité d'un tel document électronique pourrait par exemple s'appliquer lorsque le document électronique contient un élément non désiré par le dispositif destinataire.
Par élément non désiré, on entend notamment:
- une pièce jointe (fichier texte, image, multimédia ou autres) qui est envoyée par erreur depuis le dispositif expéditeur de l'entreprise candidate,
- un programme malveillant (virus, ver informatique ou autres) qui est contenu dans une pièce jointe, le terme "malveillant" signifiant que le programme se diffuse dans le dispositif destinataire dans le but d'entraîner le dysfonctionnement de ce dernier,
- une fonction interdite, telle que par exemple une "macro" permettant d'effectuer directement des commandes système, comme cela est possible dans Microsoft Word ou Microsoft Excel.
Si on considère qu'un document est invalide selon le critère ci-dessus, et que par ailleurs ce document est chiffré, le dispositif destinataire, en l'occurrence le serveur précité, n'est pas en mesure de le rejeter dès sa réception. En effet, la clé (éventuellement les clés) de déchiffrement du document n'est envoyée au serveur destinataire qu'au moment de l'ouverture officielle des appels d'offre.
En outre, il n'est pas souhaitable d'installer, dans le serveur précité, un module logiciel dédié à l'élimination des virus (notamment un anti-virus) qui sont susceptibles d'être contenus dans les documents chiffrés reçus par le serveur.
Une telle installation est en effet relativement lourde et entraînerait nécessairement des problèmes d'efficacité et d'administrabilité du serveur (ex: obligation de mise à jour régulières des anti-virus du serveur).
Par ailleurs, les documents WO 01/63881 , WO 99/05814, US 2002/0007453 et US 6 721 424 divulguent un système de transmission du type précité, dans lequel l'ensemble de données chiffré est, au cours de sa transmission, déchiffré, puis analysé, afin d'y détecter des éléments non désirés.
Un tel système comprend:
- un premier module de communication pour transmettre un ensemble de données chiffré émis par le dispositif expéditeur, - un second module de communication pour dialoguer avec un module d'archivage de clés afin d'obtenir au moins une clé de déchiffrement qui est associée à l'ensemble de données chiffré transmis,
- un module de déchiffrement de l'ensemble de données chiffré transmis, au moyen de la clé de déchiffrement obtenue, pour obtenir un ensemble de données déchiffré,
- un module d'analyse pour analyser l'ensemble de données déchiffré afin de détecter si ce dernier comporte un élément non désiré par le dispositif destinataire.
L'inconvénient d'un tel système réside dans le fait que ce n'est pas l'ensemble de données chiffré initialement qui est reçu par le dispositif destinataire, mais un ensemble de données transformé, c'est-à-dire déchiffré, rechiffré, etc....
La présente invention a pour but de remédier aux inconvénients précités. A cet effet, le système selon l'invention comprend :
- un troisième module de communication, pour transmettre un message selon lequel l'ensemble de données déchiffré comporte ou ne comporte pas un tel élément non désiré,
- un second module d'analyse pour analyser ledit message transmis,
- un quatrième module de communication pour transmettre en direction du dispositif destinataire l'ensemble de données chiffré tel qu'émis initialement par le dispositif expéditeur, et, dans le cas où le message analysé par les seconds moyens d'analyse stipule que l'ensemble de données déchiffré comporte un tel élément non désiré, des informations selon lesquelles l'ensemble de données chiffré comporte cet élément non désiré.
Grâce à une telle configuration, le système selon l'invention permet d'éliminer, dans un ensemble de données chiffré qui est transmis à un dispositif destinataire, tout élément non désiré par ce dernier, avant même que le dispositif destinataire ne procède au déchiffrement de l'ensemble de données chiffré transmis.
Dans des modes de réalisation préférés du système selon l'invention, on a recours à l'une ou l'autre des dispositions suivantes :
- le système comprend en outre :
• un module d'élimination pour supprimer, dans l'ensemble de données déchiffré, la totalité ou seulement une partie d'un élément non désiré susceptible d'être détecté par le premier module d'analyse,
• un module de restitution pour reconstituer, à l'aide d'au moins une clé de chiffrement compatible avec la clé de déchiffrement, la totalité ou seulement une partie de l'ensemble de données chiffré transmis, à partir de l'ensemble de données déchiffré dans lequel le module d'élimination a supprimé la totalité ou seulement une partie de l'élément non désiré, la clé de chiffrement étant obtenue au préalable par le second module de communication, en plus de la clé de déchiffrement,
• le troisième module de communication transmettant en outre l'ensemble de données chiffré reconstitué en totalité ou en partie, • et le quatrième module de communication transmettant en outre, en direction du dispositif destinataire, soit l'ensemble de données chiffré transmis reconstitué en totalité, soit l'ensemble de données chiffré transmis reconstitué en partie.
- le second module de communication, les modules de déchiffrement et de restitution, le premier module d'analyse, le module d'élimination, ainsi que le troisième module de communication sont regroupés dans un seul dispositif,
- le module de communication, les modules de déchiffrement, de restitution et d'archivage, ainsi que le troisième module de communication, sont regroupés dans une infrastructure à clés publiques.
- le second module de communication, le premier module d'analyse, les modules de déchiffrement, d'élimination, de restitution et d'archivage, ainsi que le troisième module de communication, sont regroupés dans un seul dispositif. Corrélativement, la présente invention concerne un procédé de transmission d'un ensemble de données chiffré depuis un dispositif expéditeur vers un dispositif destinataire, ledit procédé comprenant les étapes suivantes :
- a) transmission d'un ensemble de données chiffré depuis le dispositif expéditeur, - b) dialogue avec un module d'archivage de clés afin d'obtenir au moins une clé de déchiffrement qui est associée à l'ensemble de données chiffré transmis,
- c) déchiffrement de l'ensemble de données chiffré transmis, au moyen de la clé de déchiffrement obtenue, - d) analyse de l'ensemble de données déchiffré pour détecter si ce dernier comporte un élément non désiré par le dispositif destinataire.
Ledit procédé est remarquable en ce qu'il comprend en outre les étapes suivantes:
- e) transmission, en direction d'un module d'analyse, d'un message selon lequel l'ensemble de données déchiffré comporte ou ne comporte pas un tel élément non désiré, - f) analyse du message transmis,
- g) transmission, en direction du dispositif destinataire, de l'ensemble de données chiffré tel qu'émis initialement par le dispositif expéditeur, et, dans le cas où le message analysé à l'étape f) stipule que l'ensemble de données déchiffré comporte un tel élément non désiré, des informations selon lesquelles l'ensemble de données chiffré comporte cet élément non désiré.
Les avantages particuliers du procédé de transmission étant identiques à ceux du système introduit précédemment, ils ne seront pas rappelés ici. Dans un mode de réalisation préféré du procédé selon l'invention, on a recours à la disposition suivante :
- à l'étape b), au moins une clé de chiffrement est obtenue en plus de la clé de déchiffrement, la clé de chiffrement étant compatible avec la clé de déchiffrement, - entre les étapes d) et e) ont lieu :
• une étape de suppression, dans l'ensemble de données déchiffré, de la totalité ou seulement d'une partie de l'élément non désiré qui a été détecté au cours de l'étape d), • une étape de reconstitution, à l'aide d'au moins la clé de chiffrement obtenue, de la totalité ou seulement d'une partie de l'ensemble de données chiffré transmis, à partir de l'ensemble de données déchiffré dont la totalité ou seulement une partie de l'élément non désiré a été supprimée au cours de l'étape de suppression,
- en plus du message transmis à l'étape e), est transmis l'ensemble de données déchiffré, dont la totalité ou seulement une partie de l'élément non désiré a été supprimée au cours de l'étape de suppression,
- au cours de l'étape g) est transmis, en direction du dispositif destinataire, soit l'ensemble de données chiffré transmis reconstitué en totalité, soit l'ensemble de données chiffré transmis reconstitué en partie. D'autres caractéristiques et avantages de l'invention apparaîtront au cours de la description suivante de deux de ses modes de réalisation, donné à titre d'exemple non limitatif, en regard de la figure 1 annexée qui représente l'architecture générale du système de transmission selon la présente invention. Comme on peut le voir sur la figure 1 , le système selon la présente invention comprend :
- un dispositif expéditeur 1 , tel que par exemple un ordinateur appartenant à une entreprise candidate, dans le cadre d'une réponse à un appel d'offre, - un dispositif de transmission 2, tel que par exemple un serveur,
- un dispositif de chiffrement/déchiffrement 3, tel que par exemple un serveur,
- un dispositif d'archivage 4, tel que par exemple un serveur,
- un dispositif de désinfection 5, tel que par exemple un serveur, - un dispositif destinataire 6, tel que par exemple un serveur appartenant à un organisme public destiné à dépouiller des appels d'offre.
L'ordinateur 1 est destiné à transmettre au serveur 6 un ensemble de données chiffré, via un réseau public, par exemple du type Internet.
Dans l'exemple représenté, l'ensemble de données est un document électronique contenant l'appel d'offre.
L'ordinateur 1 comprend :
- une interface de communication 1a, notamment un navigateur Web, avec le serveur de transmission 2,
- une mémoire 1 b dans laquelle est enregistré un document à transmettre, le document ayant été préalablement chiffré à l'aide d'une clé de chiffrement KE, d'une façon connue en tant que telle. Un tel chiffrement est selon les cas, unique ou multiple (exemple: surchiffrement ).
Le format du document chiffré obtenu est du type PKCS#7 (de l'anglais Public Key Cryptography Standards), CMS (de l'anglais Cryptographie Message Syntax), XML (de l'anglais Extensible Markup Language), PGP, etc....
Le serveur de transmission 2 comprend : - une interface de communication 2a avec l'ordinateur 1 ,
- un module logiciel applicatif 2b relié à l'interface 2a et destiné à traiter les requêtes reçues par l'interface 2a,
- une mémoire 2c reliée au module applicatif 2b et destiné à stocker temporairement le document chiffré reçu,
- une interface de communication 2d avec le serveur de chiffrement/déchiffrement 3,
- une interface de communication 2e avec le dispositif destinataire 6. Le serveur de chiffrement /déchiffrement 3 comprend :
- une interface de communication 3a avec le serveur de transmission 2,
- un module logiciel applicatif 3b relié à l'interface 3a et destiné à traiter les requêtes reçues par l'interface 3a, - un module de déchiffrement D,
- un module de chiffrement E,
- une interface de communication 3c avec le serveur d'archivage 4,
- une interface de communication 3d avec le serveur de désinfection 5.
Le serveur d'archivage 4 comprend :
- une interface de communication 4a avec le serveur de chiffrement/chiffrement 3,
- un module logiciel applicatif 4b relié à l'interface 4a et destiné à traiter les requêtes reçues par l'interface 4a,
- une base de données 4c qui est reliée au module applicatif 4b et dans laquelle sont enregistrées une ou plusieurs clés de déchiffrement K0 qui sont compatibles respectivement avec la ou les clés de chiffrement KE précitées. Dans l'état de la technique, le serveur d'archivage 4 est plus connu sous le terme de serveur de séquestre et de recouvrement. Le serveur de désinfection 5 comprend :
- une interface de communication 5a avec le serveur de chiffrement/déchiffrement 3,
- un module logiciel applicatif 5b relié à l'interface 5a et destiné à traiter les requêtes reçues par l'interface 5a,
- un module d'analyse AN5 destiné à détecter si le document déchiffré dans Ie serveur de chiffrement/déchiffrement 3 comporte un élément non désiré par le serveur destinataire 6,
- un module d'élimination EL5 destiné à supprimer, dans l'ensemble de données déchiffré, la totalité ou seulement une partie de l'élément non désiré susceptible d'être détecté par le module d'analyse AN5.
On va maintenant décrire en référence à la figure 1 le procédé de transmission conformément à la présente invention. Dans un souci de simplification, on considérera que le document électronique transmis est associé à une seule clé de chiffrement KE et à une seule clé de déchiffrement K0.
Une entreprise, candidate dans le cadre d'un appel d'offre, se connecte auprès du serveur de transmission 2, au moyen de l'ordinateur 1 , via un réseau public, tel que par exemple Internet.
Une fois la connexion établie, le navigateur 1a envoie alors en direction du serveur de transmission 2, via le réseau Internet, un message M1 comportant le document chiffré.
L'interface 2a reçoit le message M1 et le transmet au module applicatif 2b qui enregistre le document chiffré dans la mémoire 2c.
Le module applicatif 2b envoie en retour à l'interface 2d une copie du document chiffré.
L'interface 2d envoie alors, en direction du serveur de chiffrement/déchiffrement 3, un message M2 contenant le document chiffré, via un réseau privé, par exemple Intranet.
Au cours d'une première étape E1 , l'interface de communication 3a du serveur de chiffrement/déchiffrement 3 reçoit le message M2 et le transmet au module applicatif 3b.
Au cours d'une seconde étape E2, le module applicatif 3b exécute un programme d'analyse du document chiffré reçu de façon à déterminer quelle est la clé de déchiffrement KD compatible avec la clé de chiffrement KE.
Au cours d'une troisième étape E3, l'interface de communication 3c émet, en direction du serveur d'archivage 4, un message M3 qui comprend une requête en recouvrement de la clé de déchiffrement K0 qui a été déterminée à l'étape E2. L'interface de communication 4a du serveur d'archivage 4 reçoit le message M3 et le transmet au module applicatif 4b. Le module applicatif 4b extrait alors de la base de données 4c la clé de déchiffrement K0 demandée et la transmet à l'interface 4a. Cette dernière émet alors, en direction du serveur de chiffrement/déchiffrement 3, via le réseau Intranet, un message M4 contenant ladite clé de déchiffrement K0.
Au cours d'une quatrième étape E4, l'interface de communication
3c du serveur 3 reçoit le message M4 et le transmet au module applicatif 3b. Au cours d'une cinquième étape E5, le module de déchiffrement D exécute un programme de déchiffrement du document chiffré reçu, à l'aide de la clé de déchiffrement KD obtenue.
Au cours d'une sixième étape E6, l'interface de communication 3d émet, en direction du serveur de désinfection 5, via le réseau Intranet, un message M5 qui comprend une requête en désinfection du document déchiffré.
L'interface de communication 5a du serveur de désinfection 5 reçoit le message M5 et le transmet au module applicatif 5b. Le module d'analyse
AN5 exécute un programme d'analyse du document déchiffré reçu pour détecter si ce dernier comporte un élément non désiré.
Si le module applicatif AN5 ne détecte pas un tel élément non désiré, l'interface de communication 5a émet, en direction du serveur de chiffrement/déchiffrement 3, via le réseau Intranet, un message M6 intitulé par exemple "document sain". Si, en revanche, le module applicatif AN5 détecte un tel élément non désiré, l'interface de communication 5a émet, en direction du serveur de chiffrement/déchiffrement 3, via le réseau Intranet, un message M6 intitulé par exemple "document infecté". Au cours d'une septième étape E7, l'interface de communication
3d reçoit le message M6 et le transmet au module applicatif 3b.
Au cours d'une huitième étape E8, le module 3b lance un programme d'analyse de l'intitulé du message M6 reçu.
Si l'intitulé du message M6 est "document sain", l'interface de communication 3a, au cours d'une neuvième étape E9.1 , émet en direction du serveur de transmission 2, via le réseau Intranet, un message M7 intitulé par exemple "OK".
Si l'intitulé du message M6 est "document infecté", l'interface de communication 3a, au cours d'une huitième étape E9.2, émet en direction du serveur de transmission 2, via le réseau Intranet, un message M7 intitulé par exemple "non OK".
L'interface de communication 2a du serveur de transmission 2 reçoit le message M7 et le transmet au module applicatif 2b. Le module d'analyse AN2 analyse le message M7. Si le message M7 reçu est intitulé "OK", le module applicatif 2b extrait le document chiffré de la mémoire 2c et le transmet à l'interface de communication 2e qui elle-même transmet, en direction du serveur destinataire 6, via le réseau Internet, un message M8 contenant ledit document chiffré extrait.
Si le message M7 reçu est intitulé " non OK", le module applicatif 2b extrait tout de même le document chiffré de la mémoire 2c et le transmet à l'interface de communication 2e qui elle-même transmet, en direction du serveur destinataire 6, via le réseau Internet, un message d'alerte M8 intitulé "document infecté" et contenant ledit document chiffré extrait.
Le serveur 6 reçoit alors le message M8 et le mémorise. L'organisme public, détentrice du serveur 6, est ainsi en possession soit d'un document chiffré sain qui ne sera déchiffré qu'ultérieurement, c'est à dire lors du dépouillement officiel des appels d'offre, soit d'un document chiffré infecté que l'organisme public ne prendra peut-être pas le risque de déchiffrer ultérieurement.
Selon une variante du système et du procédé qui viennent d'être décrits ci-dessus, la base de données 4c du serveur d'archivage 4 contient également la clé de chiffrement KE compatible avec la clé de déchiffrement KD. A cet effet, suite à la détermination, par le module applicatif 3b, de la clé de déchiffrement K0, l'interface de communication 3c émet en direction du serveur d'archivage 4, au cours de l'étape E3 précitée, un message M3 qui comprend non seulement une requête en recouvrement de la clé de déchiffrement K0, mais également une requête en recouvrement de la clé de chiffrement KE.
L'interface de communication 4a du serveur d'archivage 4 reçoit le message M3 et le transmet au module applicatif 4b. Le module applicatif 4b extrait alors de la base de données 4c la clé de déchiffrement KD et la clé de chiffrement KE demandées et transmet ces dernières à l'interface 4a. L'interface 4a émet alors, en direction du serveur de chiffrement/déchiffrement 3, via le réseau Intranet, un message M4 contenant ladite clé de déchiffrement K0 et ladite clé de chiffrement KE.
L'interface de communication 3c du serveur de chiffrement/déchiffrement 3 reçoit le message M4 et le transmet au module applicatif 3b. Le module de déchiffrement D exécute un programme de déchiffrement du document chiffré reçu, à l'aide de la clé de déchiffrement KD obtenue.
Une fois cette étape terminée, l'interface de communication 3d émet, en direction du serveur de désinfection 5, un message M5 qui comprend une requête en désinfection du document déchiffré.
L'interface de communication 5a du serveur de désinfection 5 reçoit le message M5 et le transmet au module applicatif 5b. Le module d'analyse AN5 exécute le programme d'analyse précité, afin de détecter si le document déchiffré reçu comporte un élément non désiré.
Si le module d'analyse AN5 ne détecte pas un tel élément non désiré, l'interface de communication 5a émet, en direction du serveur de chiffrement/déchiffrement 3, via le réseau Intranet, un message M6 intitulé par exemple "document sain".
Si, en revanche, le module d'analyse AN5 détecte un tel élément non désiré, le module d'élimination EL5 exécute un programme de désinfection, tel que par exemple un anti-virus, pour supprimer tout ou partie de l'élément non désiré. L'interface de communication 5a émet ensuite en direction du serveur de chiffrement/déchiffrement 3, via le réseau Intranet, un message M6 intitulé par exemple "document infecté" et comportant le document déchiffré débarrassé, en totalité ou en partie, de l'élément non désiré.
L'interface de communication 3d reçoit le message M6 et le transmet au module applicatif 3b. L'étape E8 précitée est alors effectuée mais diffère en ce sens que le programme effectue une analyse non seulement de l'intitulé du message M6 reçu, mais également du document déchiffré contenu dans le message M6 reçu.
Si l'intitulé du message M6 reçu est "document sain", l'étape E9.1 précitée est effectuée.
Si l'intitulé du message M6 reçu est "document infecté", et que le document déchiffré contenu dans le message M6 est débarrassé de l'élément non désiré, le module de chiffrement E lance un programme de rechiffrement du document déchiffré à l'aide de la clé KE obtenue précédemment. L'interface de communication 3a émet alors en direction du serveur de transmission 2, via le réseau Intranet, un message M7 intitulé par exemple " non OK, SAIN " et comportant le document chiffré débarrassé de l'élément non désiré. Si l'intitulé du message M6 reçu est "document infecté", et que le document déchiffré contenu dans le message M6 est débarrassé seulement en partie de l'élément non désiré, le module de chiffrement E lance un programme de rechiffrement du document déchiffré, à l'aide de clé KE obtenue précédemment, de façon à reconstituer le document chiffré initial, seulement en partie, les parties infectées du document étant remplacées chacune par un message d'erreur. L'interface de communication 3a émet alors en direction du serveur de transmission 2, via le réseau Intranet, un message M7 intitulé par exemple " non OK, INFECTÉ " et comportant le document chiffré reconstitué en partie.
L'interface de communication 2a du serveur de transmission 2 reçoit le message M7 et le transmet au module applicatif 2b. Le module d'analyse AN2 lance un programme d'analyse de l'intitulé du message M7.
Si le message M7 reçu est intitulé "OK", le module applicatif 2b extrait le document chiffré de la mémoire 2c et le transmet à l'interface de communication 2e qui elle-même transmet, en direction du serveur destinataire 6, via le réseau Internet, un message M8 contenant ledit document chiffré extrait.
Si le message M7 reçu est intitulé " non OK, SAIN", l'interface de communication 2e transmet en direction du serveur destinataire 6, via le réseau Internet, un message d'alerte M8 intitulé par exemple "document infecté" et contenant le document émis initialement par l'ordinateur 1. L'interface de communication 2e transmet en outre en direction du serveur destinataire 6, via le réseau Internet, un message comportant le document chiffré reçu débarrassé de l'élément non désiré.
Si le message M7 reçu est intitulé "non OK, INFECTÉ", l'interface de communication 2e transmet en direction du serveur 6, via le réseau Internet, un message d'alerte M8 intitulé par exemple "document en partie infecté" et contenant le document émis initialement par l'ordinateur 1.
L'interface de communication 2e transmet en outre en direction du serveur destinataire 6, via le réseau Internet, un message comportant le document chiffré reçu débarrassé de l'élément non désiré. La fin du procédé de transmission se déroule ensuite de la façon qui a été décrite ci-dessus en référence à la figure 1.
Dans l'exemple représenté, les connexions entre les différents dispositifs 1 à 6 sont par exemple de type http (de l'anglais Hyper Text Transfer Protocol). Plus spécifiquement, la connexion entre l'ordinateur 1 et le serveur de transmission 2, entre le serveur de transmission 2 et le serveur de chiffrement/déchiffrement 3, et entre le serveur de chiffrement/déchiffrement 3 et le serveur d'archivage 4 est sécurisée. Dans l'exemple représenté, elle est de type https (de l'anglais Hyper Text Transfer Protocol Secure).
Selon une variante du système représenté sur la figure 1 , les serveurs de chiffrement/déchiffrement 3 et de désinfection 5 sont regroupés au sein d'un unique et même serveur de façon à éviter la transmission en clair des documents déchiffrés.
Selon une autre variante du système représenté sur la figure 1 , le système comprend une pluralité de serveurs de chiffrement/déchiffrement 3. A cet effet, le serveur de transmission 2 ou, en remplacement de ce dernier, un serveur proxy, comprend un module logiciel dans lequel est installé un programme chargé de décomposer le document chiffré en provenance de l'ordinateur 1 en plusieurs sous documents chiffrés, puis d'aiguiller chacun de ces sous documents en direction d'un serveur de chiffrement/déchiffrement 3 qui lui est associé. Selon encore une autre variante du système représenté sur la figure
1 , dans le cas où les clés de chiffrement sont des clés publiques encapsulées dans des certificats, ceux-ci étant gérés par une infrastructure à clé publique (ICP), le serveur d'archivage 4 fait partie intégrante de cette infrastructure.
Dans ces conditions, le serveur de chiffrement/déchiffrement 3 fait également partie intégrante de cette infrastructure de façon à ce que la transmission des clés séquestrées KE ou K0 ' soit effectuée uniquement à l'intérieur de l'infrastructure et non vers un tiers qui n'en est pas le propriétaire.
L'avantage d'une telle infrastructure à clé publique est qu'elle permet d'ajouter des extensions aux certificats précités afin d'indiquer, pour un certificat donné:
- le ou les serveurs de chiffrement/déchiffrement 3 susceptibles d'analyser un document ou un sous document chiffré avec ce certificat,
- le ou les serveurs d'archivage 4 susceptibles de recouvrer la clé associée à ce certificat.
Il va de soi que le mode de réalisation et les variantes qui ont été décrits ci-dessus ont été donnés à titre purement indicatif et nullement limitatif, et que de nombreuses modifications peuvent être facilement apportées par l'homme de l'art sans pour autant sortir du cadre de l'invention.
On pourrait par exemple imaginer que dans le cas où le module d'analyse AN2 analyse un message M7 intitulé " non OK", "non OK, SAIN" ou "non OK, INFECTÉ" il soit programmé pour que l'interface de communication 2a transmette en direction de l'ordinateur 1 et éventuellement du serveur destinataire 6, via le réseau Internet, un message d'alerte selon lequel le document chiffré à l'origine est infecté. En fonction du type de message M7 reçu, le message d'alerte pourrait contenir des précisions telles que la nature de l'élément non désiré qui a été détecté, la désignation des parties infectées du document chiffré transmis, etc.... Le message d'alerte serait envoyé par exemple selon le protocole http, sous forme d'un courrier électronique, d'un message court, etc..

Claims

REVENDICATIONS
1. Système de transmission d'un ensemble de données chiffré depuis un dispositif expéditeur (1 ) vers un dispositif destinataire (6), ledit système comprenant :
- des premiers moyens de communication (2a, 2b, 2d) pour transmettre un ensemble de données chiffré émis par le dispositif expéditeur (1 ),
- des seconds moyens de communication (3c) pour dialoguer avec des moyens (4) d'archivage de clés afin d'obtenir au moins une clé de déchiffrement (KD) qui est associée audit ensemble de données chiffré transmis,
- des moyens (D) de déchiffrement dudit ensemble de données chiffré transmis, au moyen de ladite clé de déchiffrement obtenue, pour obtenir un ensemble de données déchiffré, - des premiers moyens d'analyse (AN5) pour analyser ledit ensemble de données déchiffré afin de détecter si ce dernier comporte un élément non désiré par le dispositif destinataire (6), ledit système étant caractérisé en ce qu'il comprend en outre :
- des troisièmes moyens de communication (3a), pour transmettre un message selon lequel l'ensemble de données déchiffré comporte ou ne comporte pas un tel élément non désiré,
- des seconds moyens d'analyse (AN2) pour analyser ledit message transmis,
- des quatrièmes moyens de communication (2e) pour transmettre en direction du dispositif destinataire (6) :
• soit ledit ensemble de données chiffré tel qu'émis initialement par le dispositif expéditeur (1 ), dans le cas où le message analysé par les seconds moyens d'analyse (AN2) stipule que l'ensemble de données déchiffré ne comporte pas un tel élément non désiré,
• soit un message d'avertissement selon lequel l'ensemble de données chiffré comporte un tel élément non désiré, dans le cas où le message analysé par les seconds moyens d'analyse (AN2) stipule que l'ensemble de données déchiffré comporte cet élément non désiré.
2. Système selon la revendication 1 , comprenant en outre :
- des moyens d'élimination (EL5) pour supprimer, dans l'ensemble de données déchiffré, la totalité ou seulement une partie dudit élément non désiré susceptible d'être détecté par lesdits premiers moyens d'analyse (AN5),
- des moyens de restitution (E) pour reconstituer, à l'aide d'au moins une clé de chiffrement KE compatible avec ladite clé de déchiffrement KD , la totalité ou seulement une partie de l'ensemble de données chiffré transmis, à partir dudit ensemble de données déchiffré dans lequel lesdits moyens d'élimination (EL5) ont supprimé la totalité ou seulement une partie dudit élément non désiré, ladite clé de chiffrement étant obtenue au préalable par les seconds moyens de communication (3c) en plus de ladite clé de déchiffrement, et dans lequel :
- lesdits troisièmes moyens de communication (3a) transmettent en outre l'ensemble de données chiffré reconstitué en totalité ou en partie,
- lesdits quatrièmes moyens de communication (2e) transmettent en direction du dispositif destinataire (6), en plus dudit message d'avertissement, soit l'ensemble de données chiffré transmis reconstitué en totalité, soit l'ensemble de données chiffré transmis reconstitué en partie.
3. Système selon la revendication 1 ou 2, dans lequel le message d'avertissement est accompagné du document tel que chiffré initialement par le dispositif expéditeur (1 ).
4. Système selon la revendication 1 ou 2, dans lequel lesdits seconds moyens de communication (3c), lesdits moyens de déchiffrement (D) et de restitution (E), lesdits premiers moyens d'analyse (AN5), lesdits moyens d'élimination (EL5), ainsi que lesdits troisièmes moyens de communication (3a), sont regroupés dans un seul dispositif.
5. Système selon la revendication 1 ou 2, dans lequel lesdits seconds moyens de communication (3c), les moyens de déchiffrement (D), de restitution (E) et d'archivage (4), ainsi que lesdits troisièmes moyens de communication (3a), sont regroupés dans une infrastructure à clés publiques (ICP).
6. Système selon la revendication 1 ou 2, dans lequel lesdits seconds moyens de communication (3c), lesdits premiers moyens d'analyse (AN5), lesdits moyens de déchiffrement (D), d'élimination (EL5), d'archivage (4) et de restitution (E), ainsi que lesdits troisièmes moyens de communication (3a), sont regroupés dans un seul dispositif.
7. Procédé de transmission d'un ensemble de données chiffré depuis un dispositif expéditeur (1 ) vers un dispositif destinataire (6), ledit procédé comprenant les étapes suivantes :
- a) transmission d'un ensemble de données chiffré depuis le dispositif expéditeur (1),
- b) dialogue avec des moyens (4) d'archivage de clés afin d'obtenir au moins une clé de déchiffrement (K0) qui est associée audit ensemble de données chiffré transmis,
- c) déchiffrement dudit ensemble de données chiffré transmis, au moyen de ladite clé de déchiffrement obtenue,
- d) analyse dudit ensemble de données déchiffré pour détecter si ce dernier comporte un élément non désiré par le dispositif destinataire (6), ledit procédé étant caractérisé en ce qu'il comprend en outre les étapes suivantes:
- e) transmission d'un message selon lequel l'ensemble de données déchiffré comporte ou ne comporte pas un tel élément non désiré, - f) analyse dudit message transmis,
- g) transmission, en direction du dispositif destinataire (6) :
• soit dudit ensemble de données chiffré tel qu'émis initialement par le dispositif expéditeur (1), dans le cas où le message analysé par les seconds moyens d'analyse (AN2) stipule que l'ensemble de données déchiffré ne comporte pas un tel élément non désiré, • soit d'un message d'avertissement selon lequel l'ensemble de données chiffré comporte un tel élément non désiré, dans le cas où le message analysé par les seconds moyens d'analyse (AN2) stipule que l'ensemble de données déchiffré comporte cet élément non désiré.
8. Procédé selon la revendication 7, au cours duquel :
- à l'étape b), au moins une clé de chiffrement KE est obtenue en plus de ladite au moins une clé de déchiffrement KD, ladite clé de chiffrement étant compatible avec la clé de déchiffrement, - entre les étapes d) et e) ont lieu :
• une étape de suppression, dans l'ensemble de données déchiffré, de la totalité ou seulement d'une partie dudit élément non désiré qui a été détecté au cours de l'étape d),
• une étape de reconstitution, à l'aide de ladite au moins une clé de chiffrement obtenue à l'étape b), de la totalité ou seulement d'une partie de l'ensemble de données chiffré transmis, à partir dudit ensemble de données déchiffré dont la totalité ou seulement une partie dudit élément non désiré a été supprimée au cours de l'étape de suppression, - en plus dudit message transmis à l'étape e), est transmis l'ensemble de données déchiffré, dont la totalité ou seulement une partie dudit élément non désiré a été supprimée au cours de ladite étape de suppression,
- au cours de l'étape g), en plus dudit message d'avertissement, est transmis en direction du dispositif destinataire (6), soit l'ensemble de données chiffré transmis reconstitué en totalité, soit l'ensemble de données chiffré transmis reconstitué en partie.
9. Procédé selon la revendication 7 ou 8, au cours duquel ledit message d'avertissement est accompagné du document tel que chiffré initialement par le dispositif expéditeur (1 ).
PCT/FR2005/003215 2005-01-05 2005-12-16 Procede et systeme de transmission d’un ensemble de donnees chiffre depuis un dispositif expediteur vers un dispositif destinataire WO2006072690A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0500139A FR2880484A1 (fr) 2005-01-05 2005-01-05 Procede et systeme de transmission d'un ensemble de donnees chiffre depuis un dispositif expediteur vers un dispositif destinataire, et dispositif d'analyse d'un ensemble de donnees chiffre
FR0500139 2005-01-05

Publications (2)

Publication Number Publication Date
WO2006072690A2 true WO2006072690A2 (fr) 2006-07-13
WO2006072690A3 WO2006072690A3 (fr) 2007-01-25

Family

ID=34955148

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/003215 WO2006072690A2 (fr) 2005-01-05 2005-12-16 Procede et systeme de transmission d’un ensemble de donnees chiffre depuis un dispositif expediteur vers un dispositif destinataire

Country Status (2)

Country Link
FR (1) FR2880484A1 (fr)
WO (1) WO2006072690A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112804136A (zh) * 2021-01-29 2021-05-14 浪潮软件股份有限公司 一种在数据传输过程中自动监测异常数据的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
WO1999005814A2 (fr) * 1997-07-24 1999-02-04 Worldtalk Corporation Filtre securitaire de courrier electronique comportant en memoire une cle de cryptage/decryptage
WO2001063881A1 (fr) * 2000-02-23 2001-08-30 Sun Microsystems, Inc. Filtrage de contenu avec chiffrage de bout en bout dans un pare-feu
US20020007453A1 (en) * 2000-05-23 2002-01-17 Nemovicher C. Kerry Secured electronic mail system and method
US6721424B1 (en) * 1999-08-19 2004-04-13 Cybersoft, Inc Hostage system and method for intercepting encryted hostile data

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
WO1999005814A2 (fr) * 1997-07-24 1999-02-04 Worldtalk Corporation Filtre securitaire de courrier electronique comportant en memoire une cle de cryptage/decryptage
US6721424B1 (en) * 1999-08-19 2004-04-13 Cybersoft, Inc Hostage system and method for intercepting encryted hostile data
WO2001063881A1 (fr) * 2000-02-23 2001-08-30 Sun Microsystems, Inc. Filtrage de contenu avec chiffrage de bout en bout dans un pare-feu
US20020007453A1 (en) * 2000-05-23 2002-01-17 Nemovicher C. Kerry Secured electronic mail system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112804136A (zh) * 2021-01-29 2021-05-14 浪潮软件股份有限公司 一种在数据传输过程中自动监测异常数据的方法

Also Published As

Publication number Publication date
FR2880484A1 (fr) 2006-07-07
WO2006072690A3 (fr) 2007-01-25

Similar Documents

Publication Publication Date Title
EP2204034B1 (fr) Passerelle bidirectionnelle à niveau de sécurité renforcé
CA2508817C (fr) Procede de chargement de fichiers depuis un client vers un serveur cible et dispositif pour la mise en oeuvre du procede
EP3391585B1 (fr) Procédé de sécurisation d'un enregistrement de contenu multimédia dans un support de stockage
EP1946552B1 (fr) Méthode de sécurisation de données échangées entre un dispositif de traitement multimédia et un module de sécurité
WO2008145558A2 (fr) Procede de securisation d'echange d'information, dispositif, et produit programme d'ordinateur correspondant
WO2006027495A1 (fr) Protection et controle de diffusion de contenus sur reseaux de telecommunications
EP3545641B1 (fr) Procédé de chiffrement cherchable
WO2007003783A2 (fr) Serveur de distribution de donnees numeriques, serveur de decryptage de donnees numeriques, systeme de transmission et procede de transmission de donnees numeriques
FR2892876A1 (fr) Procede de depot securise de donnees numeriques, procede associe de recuperation de donnees numeriques, dispositifs associes pour la mise en oeuvre des procedes, et systeme comprenant les dits dispositifs
FR3062013A1 (fr) Procedes et dispositifs de verification de la validite d'une delegation de diffusion de contenus chiffres
FR2845493A1 (fr) Logiciel embarque et procede d'authentification de celui-ci
WO2018060657A1 (fr) Procédé d 'inspection de trafic chiffré avec des trapdoors fournies
WO2006072690A2 (fr) Procede et systeme de transmission d’un ensemble de donnees chiffre depuis un dispositif expediteur vers un dispositif destinataire
EP3568964B1 (fr) Procédé de transmission d'une information numérique chiffrée de bout en bout et système mettant en oeuvre ce procédé
WO2021240098A1 (fr) Procede de delegation de la livraison de contenus a un serveur cache
WO2005109745A1 (fr) Procede de securisation d’operations sur un reseau et dispositifs associes
FR2850223A1 (fr) Procede et dispositif de transfert d'informations securisees
WO2010133459A1 (fr) Procede de chiffrement de parties particulieres d' un document pour les utilisateurs privileges
EP1377035A1 (fr) Méthode de mise à jour de clés de sécurité dans un décodeur de télévision
WO2015011421A1 (fr) Procédé pour la restitution d'un contenu multimedia chiffré
FR3101176A1 (fr) Système d'échange d'informations crypté de bout en bout ne nécessitant pas de tiers de confiance, procédé et programme associés
FR3003712A1 (fr) Module de securite materiel
FR2995428A1 (fr) Procede de cryptage et de transfert d'un document
FR2898448A1 (fr) Authentification d'un dispositif informatique au niveau utilisateur
WO2007074320A1 (fr) Systeme et procede de transmission de donnees confidentielles

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 05850562

Country of ref document: EP

Kind code of ref document: A2

WWW Wipo information: withdrawn in national office

Ref document number: 5850562

Country of ref document: EP