ES2902769T3 - Procedimiento y sistema de activación criptográfica de una pluralidad de equipos - Google Patents

Procedimiento y sistema de activación criptográfica de una pluralidad de equipos Download PDF

Info

Publication number
ES2902769T3
ES2902769T3 ES18830871T ES18830871T ES2902769T3 ES 2902769 T3 ES2902769 T3 ES 2902769T3 ES 18830871 T ES18830871 T ES 18830871T ES 18830871 T ES18830871 T ES 18830871T ES 2902769 T3 ES2902769 T3 ES 2902769T3
Authority
ES
Spain
Prior art keywords
equipment
activation
encryption key
cryptographic
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18830871T
Other languages
English (en)
Inventor
Ludovic Boulay
David Lefranc
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Application granted granted Critical
Publication of ES2902769T3 publication Critical patent/ES2902769T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Sistema de activación criptográfica (1) que comprende un centro de activación (6, 8) y un conjunto de primeros equipos (7), estando dicho centro de activación y equipos conectados por una red de telecomunicaciones, en el que cada primer equipo está adaptado para cifrar, respectivamente descifrar, datos en función de una clave de cifrado principal, cuando dicho primer equipo dispone de dicha clave de cifrado principal descifrada, estando dicho sistema de activación caracterizado porque: cada primer equipo comprende una memoria no volátil que almacena una clave de cifrado principal cifrada por una primera clave de cifrado secundaria y está adaptado para generar, tras reiniciar el primer equipo, una solicitud de activación criptográfica que indique un identificador de dicho primer equipo y para transmitir dicha solicitud de activación criptográfica al centro de activación a través de la red de telecomunicaciones; el centro de activación está adaptado para recibir dicha solicitud de activación, para validar la solicitud de activación en función de al menos el identificador del primer equipo indicado en la solicitud y, solo si ha validado la solicitud de activación, para generar un mensaje de respuesta de activación que comprende dicha primera clave de datos secundaria del primer equipo y para transmitir dicha respuesta de activación al primer equipo a través de la red de telecomunicaciones; estando dicho primer equipo adaptado para recibir la respuesta de activación criptográfica, para finalizar su activación criptográfica extrayendo la primera clave de datos secundaria del primer equipo de dicha respuesta, descifrando dicha clave de cifrado principal almacenada en la memoria con la primera clave de cifrado secundaria extraída y de ese modo obtener dicha clave de cifrado principal no cifrada con el propósito de cifrar los datos por dicho primer equipo con dicha clave principal; estando además dicho primer equipo adaptado para obtener una segunda clave de cifrado secundaria, para cifrar la clave de cifrado principal con dicha segunda clave de cifrado secundaria obtenida, para almacenar dicha clave de cifrado principal cifrada en la memoria no volátil; y estando además dicho primer equipo adaptado para, antes de ser puesto fuera de servicio después de dicho reinicio, eliminar de su memoria no volátil la clave de cifrado principal no cifrada y la segunda clave de cifrado secundaria no cifrada.

Description

DESCRIPCIÓN
Procedimiento y sistema de activación criptográfica de una pluralidad de equipos
[0001] La presente invención se refiere al campo de la seguridad de equipos, en particular a la obtención de una clave criptográfica utilizada para el cifrado o descifrado de datos manipulados por un equipo.
[0002] En general, el equipo seguro debe realizar dos tareas:
- cargar los ejecutables y datos específicos del equipo e iniciarlo a partir de estos elementos;
- recuperar o construir una clave criptográfica utilizada para cifrar o descifrar datos por un equipo.
[0003] La primera tarea se resuelve mediante técnicas no tratadas en la presente propuesta de patente. La segunda tarea asume que la primera tarea se ha resuelto y a continuación permite "desvelar" (es decir, descifrar, o incluso obtener "sin cifrar") los datos "ocultos" (es decir, cifrados) almacenados o recuperados por el equipo (o por el contrario "ocultar" (es decir, cifrar) los datos "desvelados" (es decir, descifrados) almacenados o recuperados por el equipo). Para realizar esta "revelación", el equipo tiene varias posibilidades:
recuperar una clave criptográfica almacenada en el equipo; la clave puede almacenarse en una memoria dedicada e, idealmente, protegerse con medios físicos especiales (del nivel de lo que puede ofrecer un TPM (módulo de plataforma segura (Trusted Platform Module), por ejemplo);
proponer la entrada de una clave criptográfica por parte de un operador;
permitir la inyección de una clave criptográfica desde un periférico conectado al equipo (por ejemplo, una tarjeta inteligente) o desde una interfaz de red;
construir una clave criptográfica sobre la base de dos semiclaves no sensibles (el conocimiento de una semiclave no es suficiente para descifrar/atacar los datos cifrados a recuperar): la primera semiclave se almacena en el equipo, la segunda generalmente se almacena en un periférico extraíble.
[0004] Cada una de estas soluciones tiene ventajas (en general: la simplicidad del procedimiento) y desventajas (muy a menudo: compromisos de seguridad, incluso dificultades de escalado cuando se trata de poner en marcha una gran cantidad de equipos en un tiempo limitado).
[0005] La cuarta solución forma parte de las llamadas soluciones de activación criptográfica. En general, utiliza un "conector CIK" (véase https://en.wikipedia.org/wiki/KSD-64). La implementación de este tipo de solución requiere tener acceso físico al equipo activado. Sin embargo, determinados casos de uso son incompatibles con este tipo de requisito. Este es el caso, por ejemplo:
equipos de comunicación repartidos por una zona de operaciones o una red de comunicación;
equipos (físicos o virtualizados) desplegados en una nube.
[0006] El objetivo de la invención es proponer una solución para la obtención de una clave criptográfica utilizada para cifrar o descifrar datos cifrados utilizados por el equipo que haga posible poner en marcha un gran número de equipos (o más generalmente de entornos de ejecución, en particular entornos virtualizados) en tiempo limitado y de forma remota.
[0007] El documento US 2014/079221 desvela un procedimiento para gestionar datos cifrados almacenados en un centro de datos.
[0008] Para ello, según un primer aspecto, la invención propone un sistema de activación criptográfica que comprende un centro de activación y un conjunto de primeros equipos, estando dicho centro de activación y equipos conectados por una red de telecomunicaciones, en el que cada primer equipo está adaptado para cifrar, respectivamente descifrar, datos en función de dicha clave de cifrado principal, cuando dicho equipo dispone de dicha clave de cifrado principal descifrada, estando dicho sistema de activación caracterizado porque:
cada primer equipo comprende una memoria no volátil que almacena una clave de cifrado principal cifrada por una primera clave de cifrado secundaria y está adaptado para generar, tras reiniciar el equipo, una solicitud de activación criptográfica que indique un identificador de dicho primer equipo y para transmitir dicha solicitud de activación criptográfica al centro de activación a través de la red de telecomunicaciones;
el centro de activación está adaptado para recibir dicha solicitud de activación, para validar la solicitud de activación en función de al menos el identificador del equipo indicado en la solicitud y, solo si ha validado la solicitud de activación, para generar un mensaje de respuesta de activación que comprende dicha primera clave de datos secundaria del primer equipo y para transmitir dicha respuesta de activación al primer equipo a través de la red de telecomunicaciones;
estando dicho primer equipo adaptado para recibir la respuesta de activación criptográfica, para finalizar su activación criptográfica extrayendo la primera clave de datos secundaria del primer equipo de dicha respuesta, descifrando dicha clave de cifrado principal almacenada en la memoria con la primera clave de cifrado secundaria extraída y de ese modo obtener dicha clave de cifrado principal no cifrada con el propósito de cifrar los datos por dicho primer equipo con dicha clave principal; estando además dicho primer equipo adaptado para obtener una segunda clave de cifrado secundaria, para cifrar la clave de cifrado principal con dicha segunda clave de cifrado secundaria obtenida, para almacenar dicha clave de cifrado principal cifrada en la memoria no volátil; y estando además dicho primer equipo adaptado para, antes de ser puesto fuera de servicio después de dicho reinicio, eliminar de su memoria no volátil la clave de cifrado principal no cifrada y la segunda clave de cifrado secundaria no cifrada.
[0009] Por lo tanto, la invención permite disponer de una solución que permita realizar una operación de activación remota desde una estación de activación centralizada, propagando los datos de activación a los equipos a activar a través de cualquier red que no esté controlada.
[0010] También permite la implementación de una propagación de una activación a lo largo de una cadena de activación para mejorar el rendimiento de una operación de activación masiva (es decir, en un gran número de equipos o entornos de ejecución a activar en un mínimo de tiempo).
[0011] En las realizaciones, el sistema de activación criptográfica según la invención incluye además una o más de las siguientes características:
- cada primer equipo está adaptado para generar, tras cada reinicio del primer equipo, una solicitud de activación criptográfica destinada al centro de activación para la transmisión de este último de la clave de cifrado secundaria que se ha utilizado por el primer equipo para obtener la clave principal cifrada almacenada en la memoria no volátil; - cada primer equipo está adaptado además para, antes de dicho reinicio, almacenar en la memoria no volátil su primera clave secundaria de datos cifrada por una clave pública de cifrado asimétrico en correspondencia con su clave de cifrado principal cifrada por dicha primera clave de cifrado secundaria;
- estando cada primer equipo adaptado además para, durante la generación de la solicitud de activación, extraer de su memoria no volátil dicha primera clave secundaria de datos cifrada por la clave pública de cifrado asimétrico almacenada previamente e insertarla en la solicitud de activación;
estando el centro de activación adaptado para extraer de la solicitud de activación recibida dicha primera clave secundaria de datos cifrada por la clave pública de cifrado asimétrico, para descifrarla utilizando una clave privada de cifrado asimétrico asociada a dicha clave pública de cifrado asimétrico, siendo la primera clave secundaria de datos del primer equipo incluida en el mensaje de respuesta de activación generado por dicho centro dicha primera clave secundaria de datos descifrada de este modo por la clave privada; estando además cada primer equipo adaptado para, antes de dicho reinicio, almacenar en la memoria no volátil la segunda clave de cifrado secundaria cifrada por la clave pública de cifrado asimétrico en correspondencia con la clave de cifrado principal cifrada por dicha clave de cifrado secundaria;
- cada primer equipo está además adaptado para cifrar la totalidad o parte de la solicitud de activación y descifrar la totalidad o parte de la respuesta de activación mediante una clave simétrica de cifrado de comunicaciones; y al mismo tiempo, el centro de activación también está adaptado para cifrar la totalidad o parte de la respuesta de activación y descifrar la totalidad o parte de la solicitud de activación utilizando dicha clave simétrica de cifrado de comunicaciones;
- el sistema de activación criptográfica comprende además segundos equipos, y los primeros equipos, los segundos equipos y el centro de activación están organizados en forma de árbol que tiene como raíz dicho centro de activación, siendo los primeros equipos los principales de los segundos equipos, en el que cada segundo equipo está adaptado para realizar, con respecto a su primer equipo principal, las operaciones descritas en las reivindicaciones anteriores como se realizan por el primer equipo con respecto al centro de activación; y una vez que se ha realizado su activación criptográfica, cada primer equipo se adapta para realizar con respecto a cada uno de sus segundos equipos secundarios las operaciones descritas en las reivindicaciones anteriores como se realizan por el centro de activación con respecto a los primeros equipos.
[0012] De acuerdo con un segundo aspecto, la presente invención propone un equipo adaptado para conectarse por una red de telecomunicaciones a un sistema de activación criptográfica que comprende un centro de activación, estando dicho equipo adaptado para cifrar, respectivamente descifrar, datos en función de una clave de cifrado principal, cuando dicho equipo dispone de dicha clave de cifrado principal descifrada, caracterizado porque comprende una memoria no volátil que almacena una clave de cifrado principal cifrada por una primera clave de cifrado secundaria y está adaptado para, tras reiniciar el equipo, generar una solicitud de activación criptográfica indicando un identificador de dicho equipo y para transmitir dicha solicitud de activación criptográfica al centro de activación a través de la red de telecomunicaciones;
estando dicho equipo adaptado para recibir una respuesta de activación criptográfica que comprende dicha primera clave secundaria de datos del equipo desde el centro de activación, para finalizar su activación criptográfica extrayendo de dicha respuesta la primera clave secundaria de datos del equipo, descifrando dicha clave de cifrado principal almacenada en la memoria con la primera clave de cifrado secundaria extraída y obteniendo así dicha clave de cifrado principal no cifrada con el propósito de cifrar los datos por dicho equipo con dicha clave principal; dicho equipo está además adaptado para obtener una segunda clave de cifrado secundaria, para cifrar la clave de cifrado principal con dicha segunda clave de cifrado secundaria obtenida, para almacenar dicha clave de cifrado principal cifrada en la memoria no volátil; y
estando además dicho equipo adaptado para, antes de ser puesto fuera de servicio después de dicho reinicio, eliminar de su memoria no volátil la clave de cifrado principal no cifrada y la segunda clave de cifrado secundaria no cifrada.
[0013] De acuerdo con un tercer aspecto, la presente invención propone un procedimiento de activación criptográfica en un sistema de activación criptográfica que comprende un centro de activación y un conjunto de primeros equipos conectados por una red de telecomunicaciones, estando dicho procedimiento caracterizado porque comprende las siguientes etapas:
- almacenamiento por cada primer equipo de una clave de cifrado principal cifrada por una primera clave de cifrado secundaria en una memoria no volátil del primer equipo;
- tras un reinicio del primer equipo, generación por el primer equipo de una solicitud de activación criptográfica que indica un identificador de dicho primer equipo y transmisión por el primer equipo de dicha solicitud de activación criptográfica al centro de activación a través de la red de telecomunicaciones;
- recepción por el centro de activación de dicha solicitud de activación, validación de la solicitud de activación por parte del centro de activación en función de al menos el identificador del primer equipo indicado en la solicitud, y solo si valida la solicitud de activación, generación por parte del centro de activación de un mensaje de respuesta de activación que comprende dicha primera clave de datos secundaria del primer equipo y transmisión por el centro de activación de dicha respuesta de activación al primer equipo a través de la red de telecomunicaciones;
- recepción por dicho primer equipo de la respuesta de activación criptográfica, finalización de su activación criptográfica extrayendo la primera clave de datos secundaria del primer equipo de dicha respuesta, descifrando dicha clave de cifrado principal almacenada en la memoria con la primera clave de cifrado secundaria extraída y obteniendo así dicha clave de cifrado principal no cifrada;
- cifrado, respectivamente descifrado por cada primer equipo de datos en función de la clave de cifrado principal no cifrada obtenida;
- obtención por dicho primer equipo de una segunda clave de cifrado secundaria, cifrado por dicho primer equipo de la clave de cifrado principal con dicha segunda clave de cifrado secundaria obtenida, a continuación almacenamiento de dicha clave de cifrado principal cifrada por dicho primer equipo en su memoria no volátil; y - antes de que el primer equipo sea puesto fuera de servicio después de dicho reinicio, eliminación de su memoria no volátil de la clave de cifrado principal no cifrada y de la segunda clave de cifrado secundaria no cifrada.
[0014] Estas características y ventajas de la invención serán evidentes tras la lectura de la siguiente descripción, dada únicamente a modo de ejemplo y realizada en referencia a los dibujos adjuntos, en los que:
- la figura 1 representa una vista de un sistema de activación criptográfica en una realización de la invención; - la figura 2 es un diagrama de flujo de etapas implementadas en un procedimiento de activación criptográfica en una realización de la invención;
- la figura 3 es una vista de los equipos y del centro de activación en una realización de la invención.
[0015] La figura 1 muestra un sistema de activación criptográfica S_CIS (en inglés "Cryptographic Ignition System") 1, en una realización de la invención.
[0016] El S_CIS 1 comprende dos subsistemas: un subsistema de supervisión de activación criptográfica Ss_CIM (en inglés "Cryptographic Ignition Management Sub-System") 10 y un subsistema de red de activación criptográfica SS_CIN 2 (en inglés "Cryptographic Ignition Network Sub-System").
[0017] En la realización considerada, el SS_CIM 10 está físicamente aislado del SS_CIN 2 para evitar cualquier fuga a la red de datos sensibles almacenados en el SS_CIM 10
[0018] El SS_CIM 10 comprende un centro de gestión de activación criptográfica CIMC (en inglés "Cryptographic Ignition Management Center') 9. El CIMC 9 corresponde al centro de gestión del sistema 1 y comprende, por ejemplo, una unidad central, una memoria y una interfaz hombre-máquina que permite intercambios con un individuo que tiene la función de administrador del sistema, ROLE_CIS_A.
[0019] El SS_CIN 2 comprende un centro de red de activación criptográfica CIC 6 (en inglés "Cryptographic Ignition Center"). El CIC 6 comprende, por ejemplo, una unidad central, una memoria y una interfaz hombre-máquina que permite intercambios con un individuo que tiene la función de operador del sistema, ROLE_CIS_O. Este operador ROLE_CIS_O posee, en la realización considerada, un soporte de seguridad CIT 8, del tipo de tarjeta inteligente por ejemplo, que permite realizar las operaciones de seguridad necesarias para la activación de un equipo en el caso particular descrito en esta invención cuando el CIT 8 está interconectado con el CIC 6 (por ejemplo, cuando la tarjeta inteligente 8 se inserta en un receptáculo complementario en el CIC 6, para autenticar el portador ROLE_CIS_O). Los elementos criptográficos necesarios para la autenticación del operador y opcionalmente para la activación de un equipo también se almacenan en este soporte CIT 8, en particular, el CIT 8 tiene al menos una clave privada de cifrado asimétrico denominada AK_chiff.pr y asociada a la clave pública indicada AK_chiff.pub (como recordatorio, tal clave pública permite cifrar cualquier mensaje, pero solo el propietario de la clave privada puede descifrar el mensaje así cifrado).
[0020] La máquina CIC 6 tiene una memoria que no es necesariamente fiable y está adaptada para comunicarse con el CIT 8.
[0021] El SS_CIN 2 comprende un conjunto de 3 equipos 7. Cada equipo 7 comprende un dispositivo de activación CIA (en inglés "Cryptographic Ignition Agent"), que en el equipo, está adaptado para comunicarse con el CIC 6 y realizar las operaciones necesarias para la activación criptográfica del equipo. Por lo tanto, en la figura 1 se muestran los equipos 7 separados, incluyendo cada uno un dispositivo de activación, respectivamente CIA.1, CIA.2, CIA.3, CIA.4, CIA.5.
[0022] Los equipos 7 se pueden definir en el CIMC 9 como un grupo, CIAG (en inglés, "Cryptography Ignition Agent Group"). Los operadores ROLE_CIS_0 están autorizados a gestionar la activación de un grupo de equipos. Un equipo puede pertenecer a varios grupos. Por ejemplo, en el caso mostrado, los dispositivos de activación CIA.1, CIA.2, CiA.3 forman el grupo CIAG.1. Y los dispositivos de activación CIA.3, CIA.4, CIA.5 forman el grupo CIAG.2. Cada grupo corresponde a un par de claves AK_chiff.pr/AK_chiff.pub, que es específico del mismo y diferente del correspondiente a un grupo diferente.
[0023] Cada uno de los equipos/dispositivos de activación CIA.1, CIA.2, CIA.3, CIA.4, CIA.5 está conectado por un enlace bidireccional (que puede ser trivializado, por lo tanto, no necesariamente fiable) de telecomunicaciones con el CIC 6, por ejemplo, a través de la red de Internet o una red de radio móvil 3G o 4G. Por lo tanto, los equipos 7 y el CIC 6 comprenden las interfaces (por ejemplo, módem o antena de radiofrecuencia y transceptor de radiofrecuencia, etc.) adecuadas para implementar este enlace.
[0024] En el caso considerado, los equipos 7 son los equipos de un centro de datos (en inglés "data center"), particularmente ordenadores centrales, servidores, bahías de almacenamiento, equipos de red y telecomunicaciones, que constituyen el sistema de información de una empresa (en otra realización, el conjunto 3 de equipos es un conjunto de equipos que almacenan datos de cualquier empresa).
[0025] Hoy en día, los centros de datos tienen importantes necesidades de almacenamiento, lo que les permite almacenar información de los clientes, pero también sus propios datos. Este volumen genera una gran entrada y salida de hardware, y una cuestión de seguridad para un centro de datos es garantizar que una unidad de almacenamiento de datos saliente no implique una fuga de los datos que contiene (por ejemplo, un "atacante" que recupera discos duros en un vertedero para analizar los datos que contienen).
[0026] Una solución a este problema de seguridad es cifrar todos los discos entrantes y, por lo tanto, cuando se van: los discos ya no son utilizables por un "atacante" sin la clave de cifrado que se encuentra dentro del centro de datos.
[0027] La presente invención propone a los administradores del centro de datos considerado en esta invención resolver además:
- una cuestión de seguridad: para cada equipo 7 dentro del centro de datos, cómo hacer que esté disponible de forma segura en cada inicio la clave de cifrado de su disco duro (la clave no se puede almacenar no cifrada con el equipo);
- una cuestión de disponibilidad/rendimiento: cómo hacer que las claves de cifrado estén disponibles rápidamente para que todos los equipos 7 puedan iniciarse de manera oportuna de acuerdo con la política de disponibilidad del centro de datos (la inyección de claves por parte de un operador en todos estos equipos no es posible).
[0028] Con este fin, los diversos elementos del sistema 1 mencionados anteriormente están adaptados para implementar las etapas que se describen a continuación con referencia a la figura 2.
[0029] En una etapa de inicialización 100_0, cuando un nuevo equipo EQPT.i llega al centro de datos y, por lo tanto, al sistema 1, un operador instala y configura este nuevo equipo EQPT.i. En particular, el equipo EQPT.i se registra en el CIMC 9 por el administrador ROLE_CIS_A como parte del sistema 1 y en los grupos de activación a los que pertenece. Esta etapa de inicialización permite recuperar información sobre la primera inicialización del equipo EQPT.i en el sistema 1: en particular, el CIMC 9 prepara una clave de cifrado de telecomunicaciones simétrica K_COM_i_0 y datos de autenticación del equipo EQPT.i de los cuales al menos una cantidad de un solo uso se indica RAND_i_0 (esta cantidad, y sus actualizaciones, se utilizan para evitar una repetición) y un identificador "i" del equipo EQPT.i. El CIMC 9 proporciona, utilizando un medio físico, estos elementos al CIC 6 que almacena en su memoria no volátil un hash de RAND_i_0 (es decir, el resultado de una función hash en RAND_i_0 que proporciona una huella de su valor).
[0030] En este nuevo equipo EQPT.i se instala un dispositivo CIA, denominado CIA.i, que se inicializa con los datos recuperados previamente (identificador "i", RAND_i_0 y K_COM_i_0).
[0031] Durante la instalación y el primer arranque del EQPT.i en el sistema 1 por parte de un operador, el equipo EQPT.i (o el CIA.i, o distribución de los procesamientos entre EQPT.i y CIA.i):
- genera una clave de cifrado DCK (en inglés "Data Ciphering Key") de forma aleatoria (que a continuación se utilizará durante los períodos de uso operativo del equipo EQPT.i);
- genera aleatoriamente una clave de cifrado simétrica temporal SK_TEMP_0;
- cifra, con protección de integridad, por ejemplo, la DCK con la clave SK_TEMP_0: siendo DCK_chiff la clave cifrada obtenida;
- obtiene la clave pública de cifrado, AK chiff pub del centro de activación CIC 6/CIT 8 y a continuación cifra la clave temporal SK_TEMp_0 con la clave pública: siendo SK_TEMP_0_chiff la clave cifrada obtenida;
- borra de su memoria no volátil:
la DCK no cifrada;
la SK_TEMP_0 no cifrada;
- almacena en su memoria no volátil:
a/ la DCK_chiff;
b/ la clave temporal SK_TEMP_0_chiff;
c/ la clave de cifrado de telecomunicaciones K_COM_i_0 (si es posible en un área de memoria protegida en términos de confidencialidad e integridad; hay una clave K_COM_I_0 diferente para cada CIA.i);
d/ la cantidad de un solo uso RAND_i_0 (si es posible en un área de memoria protegida en términos de confidencialidad e integridad).
[0032] Posteriormente, después del primer reinicio tras el primer apagado del equipo EQPT.i (después de cada reinicio tras un apagado sabiendo que el apagado borra los datos almacenados en la memoria volátil), durante su fase de uso, el equipo 7, que comprende el EQPT.i y el CIA.i instalado en este equipo, ya no tiene su DCK no cifrada y, por lo tanto, ya no puede utilizar los datos útiles almacenados cifrados en su memoria, ni cifrar nuevos datos útiles a almacenar. Dispone de los elementos enumerados previamente almacenados en su memoria no volátil.
[0033] Las siguientes etapas de activación criptográfica se implementan para que el equipo EQPT_i pueda recuperar su clave de cifrado criptográfico DCK no cifrada.
[0034] En una etapa 101, el equipo EQPT.i realizará una solicitud de obtención de su clave de cifrado DCK no cifrada de su dispositivo CIA.i
[0035] En una etapa 102, tras la recepción de esta solicitud de obtención de clave DCK, el CIA.i genera una solicitud de activación criptográfica, cifrada total o parcialmente con K_COM_i_0 y que comprende:
el identificador "i" del equipo EQPT.i;
una solicitud de reinicio;
RAND_i_0;
SK_TEMP_0_chiff.
[0036] El CIA.i transmite esta solicitud de activación criptográfica al CIC 6, por el enlace que los conecta.
[0037] En una etapa 103, utilizando el identificador "i" proporcionado, el CIC 6 encuentra en su memoria no volátil (dependiendo de la realización) el hash de RAND_i_0 asociado.
[0038] Si la etapa 103 devuelve un resultado, en una etapa 104, el CIC 6 proporciona al CIT 8 la solicitud recibida del CIA.i 7 y el hash de RAND_I_0 encontrado previamente.
[0039] En una etapa 105, el CIT 8 realiza las siguientes comprobaciones:
- reconstruye la clave K_COM_i_0 correspondiente al CIA.i por medios criptográficos utilizando los elementos a su disposición (por ejemplo, reconstruye esta clave mediante un procedimiento de derivación de clave criptográfica a partir de una clave maestra almacenada en el CIT; en otra realización, la clave K_COM_i_0 podría almacenarse en una memoria no volátil en el CIC 6);
- realiza los cálculos criptográficos sobre los elementos de la solicitud que implican la K_COM_I_0 para validar si los datos cifrados por esta clave están intactos, a continuación si es necesario realizar el descifrado de los datos cifrados usando esta clave;
- comprueba la validez de RAND_i_0 recibida comparándola con la cantidad previamente almacenada en el CIC 6 según lo definido por el hash de RAND_i_0.
Si una de estas verificaciones no es correcta, en una etapa 107, el CIT 8 responde al CIC 6 que la activación se ha rechazado y, por lo tanto, en una etapa 108, el CIC 6 responde al CIA.i que no autoriza la activación criptográfica. Este rechazo se retransmite, en una etapa 109, mediante un mensaje de rechazo desde el CIA.i al EQPT.i. El equipo no recibe los elementos necesarios para su activación y entonces es imposible que se inicie (es decir, no puede descifrar su disco duro sin la clave).
[0040] Además, un operador entonces presente en el centro de activación CIC 6/CIT 8 puede controlar opcionalmente la solicitud de activación del equipo 7 y autorizarla o rechazarla. En el caso de un rechazo por parte del operador, se implementan las etapas 108, 109 como se ha indicado anteriormente.
[0041] Si las verificaciones en la etapa 105 son correctas y en ausencia de rechazo por parte del operador, el CIT 8, en una etapa 111, descifra la cantidad SK_TEMP_0_Chiff para permitir la activación utilizando su clave privada AK_chiff.pr.
[0042] Por lo tanto, en una etapa 112, el CIT 8 genera:
- una nueva cantidad de autenticación de un solo uso RAND_i 1 que se utilizará para la siguiente solicitud de activación del equipo 7;
- una nueva clave de cifrado de telecomunicaciones K_COM_i 1 que se utilizará para la siguiente solicitud de activación del equipo 7.
[0043] A continuación, el CIT 8 cifra por K_COM_i_0:
- la cantidad SK_TEMP_0;
- la nueva cantidad de autenticación de un solo uso RAND_i_1;
- la nueva clave de cifrado de telecomunicaciones K_COM_i_1.
[0044] El CIT 8 en una etapa 113 envía, al CIC 6, los siguientes elementos:
- los elementos cifrados por K_COM_I_0 en la etapa 112;
-e l hash de RAND_I_1;
[0045] En una etapa 114, al recibir estos elementos, el CIC 6 actualiza el hash de RAND_I_1 en su memoria no volátil.
[0046] Además, el CIC 6 envía a continuación al CIA.i los elementos cifrados por K_COM_i_0 en un mensaje de respuesta de activación criptográfica, en una etapa 115.
[0047] En una etapa 116, el CIA.i descifra el mensaje de respuesta recibido con K_COM_i_0.
[0048] A continuación, utiliza la SK_TEMP_0 recibida para descifrar DCK_chiff.
[0049] A continuación, el CIA.i proporciona en una etapa 117 la clave DCK no cifrada para el EQPT.i, que a continuación la utiliza para cifrar o descifrar datos útiles. A continuación se realiza la activación criptográfica requerida.
[0050] En una etapa 118, el CIA.i:
- genera aleatoriamente una nueva clave temporal SK_TEMP_1, a continuación cifra, si es necesario con protección en términos de integridad, la DCK con la clave simétrica SK_TEMP_1: siendo DCK_chiff la clave cifrada obtenida de este modo (cabe apreciar que esta generación y este cifrado podrían realizarse en otra realización por el centro de activación CIC6/CIT 8 y a continuación transmitirse al equipo 7);
- cifra la SK_TEMP_1 con la clave pública AK_chiff.pub; siendo SK_TEMP_1_chiff la clave cifrada obtenida; - borra de su memoria no volátil:
la DCK no cifrada;
la SK_TEMP_1 no cifrada;
- almacena en su memoria no volátil (en lugar de los elementos a, b, c, d almacenados previamente en la memoria no volátil):
a/ DCK chiff;
b/ SK_TEMP_1_chiff;
c/ K_COM_i_1 (si es posible en un área protegida en términos de confidencialidad e integridad);
d/ RAND_i_1 (si es posible en un área protegida en términos de confidencialidad e integridad).
[0051] En el siguiente apagado, seguido de un reinicio, las etapas de activación criptológica descritas anteriormente desde la etapa 101 se implementarán de nuevo considerando los últimos elementos a, b, c, d indicados anteriormente en lugar de los elementos a, b, c, d almacenados anteriormente en las memorias.
[0052] Por lo tanto, una vez que el equipo ha salido del centro de datos, es imposible que un atacante recupere información en un equipo porque los datos están cifrados y la reconstrucción de la clave de cifrado no es posible sin los datos criptográficos almacenados en el CIT (o el CIC según la realización).
[0053] Todas las solicitudes de activación se reciben en el centro de activación CIC6/CIT 8 y un dimensionamiento adecuado del sistema 1 permite la activación de todos los equipos 7 del sistema 1 en un tiempo acorde con la política de indisponibilidad del centro de datos.
[0054] En una realización, se implementa una activación jerárquica que permite una activación más rápida de un conjunto de equipos (o entornos de ejecución) organizados en árbol mediante la propagación de la activación a lo largo del árbol.
[0055] Con referencia a la figura 3, el nodo 30 es la raíz del árbol y corresponde al centro de activación (CIC 6 y CIT 8) que realiza las funciones que le incumben como se ha descrito anteriormente en referencia a las etapas desde la etapa 101.
[0056] Los nodos 41, respectivamente 42 y 43 son, por ejemplo, el equipo 7 que comprende el CIA.1, respectivamente CIA.2, CIA.3 del grupo CIAG.1, que implementan en cada reinicio las operaciones de activación criptográfica descritas con referencia a la figura 2 y que incumben al equipo 7, en comunicación con el CIC 6/CIC 8.
[0057] En esta estructura de árbol, el nodo 41 (correspondiente al equipo 7 que incluye el CIA.1) tiene dos equipos secundarios 7 correspondientes a los nodos 51 y 52. De manera similar, el nodo 42 (correspondiente al equipo 7 que incluye el CIA.2) tiene dos equipos secundarios 7 correspondientes a los nodos 53 y 54.
[0058] Cada uno de los nodos secundarios está conectado a su nodo principal mediante un enlace de telecomunicaciones bilateral. Y la activación criptográfica la realiza un equipo 7 del tipo de nodo secundario de acuerdo con las etapas descritas desde la etapa 101 que incumbe a un equipo 7 salvo que es su nodo principal, una vez que su activación criptográfica se ha realizado con éxito, que realiza las funciones descritas en estas etapas responsabilidad de CIC 6/CIT 8.
[0059] A su vez, un nodo secundario, una vez realizada su activación criptográfica, podrá responder a una solicitud de activación criptográfica de su equipo secundario.
[0060] La activación de un conjunto de equipos después de un reinicio completo del conjunto en particular se acelera así considerablemente.
[0061] Por lo tanto, la presente invención permite:
- realizar la activación criptográfica de manera segura incluso en una red no controlada;
- una gestión centralizada de las activaciones de un conjunto de equipos (o entornos de ejecución);
- delegar la activación para aumentar el rendimiento de activación de una red de equipos (o entornos de ejecución); - el uso del principio de activación criptográfica en un conjunto de equipos.
[0062] La solución es aplicable a equipos de hardware, por ejemplo, en sistemas de información, pero también a soluciones virtualizadas, por ejemplo, aplicaciones de software. De manera más general, la invención se puede implementar en cualquier sistema que implique una red de equipos que necesite activarse de forma remota y en un tiempo mínimo.
[0063] Entre los casos típicos, se pueden mencionar en particular:
la activación de máquinas físicas y máquinas virtuales en un centro de datos (nube) después de un corte y restauración de energía;
la activación de conjuntos de máquinas ofimáticas de tipo estación fija mediante discos cifrados; la activación de una red de equipos privados de transmisión de radio, por ejemplo, equipos militares.
[0064] En una realización, cada equipo 7 comprende un microprocesador y una memoria y el dispositivo de activación CIA del equipo 7 comprende un software que comprende instrucciones de software que se almacenan en la memoria del equipo 7 y que, cuando se ejecuta, implementa las etapas que incumben al CIA mencionadas con referencia a la figura 2. Asimismo, en una realización, el CIC 6 comprende un microprocesador y una memoria que comprende instrucciones software almacenadas en la memoria del CIC 6 y que, al ejecutarse, implementan las etapas que incumben al CIC 6 mencionadas con referencia a la figura 2.
[0065] En otra realización, un CIA de un equipo 7 y/o un CIC 6 se fabrican cada uno en forma de un componente lógico programable, tal como un FPGA (del inglés Field Prngrammable Gate Array), o en la forma de un circuito integrado dedicado, tal como un ASIC (del inglés Applications Specific Integrated Circuit).
[0066] Se observará que el uso de una clave de cifrado de telecomunicaciones K_COM_i_0 (o en la tésima iteración sucesiva: K_COM_i_t) es opcional.
[0067] La distribución de tareas entre el CIT 8 y el CIC 6 como se ha descrito anteriormente es configurable y modificable, siendo el CIC 6 realmente capaz de realizar en una realización todas las tareas. Asimismo, la distribución de tareas entre el CIA.i y el EQPT.i descrito anteriormente es configurable y modificable.

Claims (10)

REIVINDICACIONES
1. Sistema de activación criptográfica (1) que comprende un centro de activación (6, 8) y un conjunto de primeros equipos (7), estando dicho centro de activación y equipos conectados por una red de telecomunicaciones, en el que cada primer equipo está adaptado para cifrar, respectivamente descifrar, datos en función de una clave de cifrado principal, cuando dicho primer equipo dispone de dicha clave de cifrado principal descifrada, estando dicho sistema de activación caracterizado porque:
cada primer equipo comprende una memoria no volátil que almacena una clave de cifrado principal cifrada por una primera clave de cifrado secundaria y está adaptado para generar, tras reiniciar el primer equipo, una solicitud de activación criptográfica que indique un identificador de dicho primer equipo y para transmitir dicha solicitud de activación criptográfica al centro de activación a través de la red de telecomunicaciones;
el centro de activación está adaptado para recibir dicha solicitud de activación, para validar la solicitud de activación en función de al menos el identificador del primer equipo indicado en la solicitud y, solo si ha validado la solicitud de activación, para generar un mensaje de respuesta de activación que comprende dicha primera clave de datos secundaria del primer equipo y para transmitir dicha respuesta de activación al primer equipo a través de la red de telecomunicaciones;
estando dicho primer equipo adaptado para recibir la respuesta de activación criptográfica, para finalizar su activación criptográfica extrayendo la primera clave de datos secundaria del primer equipo de dicha respuesta, descifrando dicha clave de cifrado principal almacenada en la memoria con la primera clave de cifrado secundaria extraída y de ese modo obtener dicha clave de cifrado principal no cifrada con el propósito de cifrar los datos por dicho primer equipo con dicha clave principal; estando además dicho primer equipo adaptado para obtener una segunda clave de cifrado secundaria, para cifrar la clave de cifrado principal con dicha segunda clave de cifrado secundaria obtenida, para almacenar dicha clave de cifrado principal cifrada en la memoria no volátil; y
estando además dicho primer equipo adaptado para, antes de ser puesto fuera de servicio después de dicho reinicio, eliminar de su memoria no volátil la clave de cifrado principal no cifrada y la segunda clave de cifrado secundaria no cifrada.
2. Sistema de activación criptográfica (1) según reivindicación 1, en el que cada primer equipo (7) está adaptado para generar, tras cada reinicio del primer equipo, una solicitud de activación criptográfica destinada al centro de activación (6, 8) para la transmisión de este último de la clave de cifrado secundaria que se ha utilizado por el primer equipo para obtener la clave principal cifrada almacenada en la memoria no volátil.
3. Sistema de activación criptográfica (1) según reivindicación 1 o 2, en el que cada primer equipo (7) está adaptado además para almacenar, antes de dicho reinicio, en su memoria no volátil su primera clave secundaria de datos cifrada por una clave pública de cifrado asimétrico en correspondencia con su clave de cifrado principal cifrada por dicha primera clave de cifrado secundaria;
estando cada primer equipo adaptado además para, durante la generación de la solicitud de activación, extraer de su memoria no volátil dicha primera clave secundaria de datos cifrada por la clave pública de cifrado asimétrico almacenada previamente e insertarla en la solicitud de activación;
estando el centro de activación (6, 8) adaptado para extraer de la solicitud de activación recibida dicha primera clave secundaria de datos cifrada por la clave pública de cifrado asimétrico, para poder descifrarla utilizando una clave privada de cifrado asimétrico asociada a dicha clave pública de cifrado asimétrico, siendo la primera clave secundaria de datos del primer equipo incluida en el mensaje de respuesta de activación generado por dicho centro dicha primera clave secundaria de datos descifrada de este modo por la clave privada;
estando además cada primer equipo adaptado para, antes de dicho reinicio, almacenar en la memoria no volátil la segunda clave de cifrado secundaria cifrada por la clave pública de cifrado asimétrico en correspondencia con la clave de cifrado principal cifrada por dicha clave de cifrado secundaria.
4. Sistema de activación criptográfica (1) según una de las reivindicaciones anteriores, en el que cada primer equipo (7) está además adaptado para cifrar la totalidad o parte de la solicitud de activación y descifrar la totalidad o parte de la respuesta de activación mediante una clave simétrica de cifrado de comunicaciones; y al mismo tiempo, el centro de activación (6, 8) también está adaptado para cifrar la totalidad o parte de la respuesta de activación y descifrar la totalidad o parte de la solicitud de activación utilizando dicha clave simétrica de cifrado de comunicaciones.
5. Sistema de activación criptográfica (1) según una de las reivindicaciones anteriores, que comprende además segundos equipos (51, 52), en el que los primeros equipos (41), los segundos equipos y el centro de activación (6, 8) están organizados en forma de árbol que tiene como raíz dicho centro de activación, siendo los primeros equipos (41) los principales de los segundos equipos, en el que cada segundo equipo está adaptado para realizar, con respecto a su primer equipo principal, las operaciones descritas en las reivindicaciones anteriores como se realizan por el primer equipo con respecto al centro de activación; y una vez que se ha realizado su activación criptográfica, cada primer equipo se adapta para realizar con respecto a cada uno de sus segundos equipos secundarios las operaciones descritas en las reivindicaciones anteriores como se realizan por el centro de activación con respecto a los primeros equipos.
6. Equipo adaptado para conectarse por una red de telecomunicaciones a un sistema de activación criptográfica (1) que comprende un centro de activación (6,8), estando dicho equipo adaptado para cifrar, respectivamente descifrar, datos en función de una clave de cifrado principal, cuando dicho equipo dispone de dicha clave de cifrado principal descifrada, caracterizado porque comprende una memoria no volátil que almacena una clave de cifrado principal cifrada por una primera clave de cifrado secundaria y está adaptado para, tras reiniciar el equipo, generar una solicitud de activación criptográfica indicando un identificador de dicho equipo y para transmitir dicha solicitud de activación criptográfica al centro de activación a través de la red de telecomunicaciones;
estando dicho equipo adaptado para recibir una respuesta de activación criptográfica que comprende dicha primera clave secundaria de datos del equipo desde el centro de activación, para finalizar su activación criptográfica extrayendo de dicha respuesta la primera clave secundaria de datos del equipo, descifrando dicha clave de cifrado principal almacenada en la memoria con la primera clave de cifrado secundaria extraída y obteniendo así dicha clave de cifrado principal no cifrada con el propósito de cifrar los datos por dicho equipo con dicha clave principal; dicho equipo está además adaptado para obtener una segunda clave de cifrado secundaria, para cifrar la clave de cifrado principal con dicha segunda clave de cifrado secundaria obtenida, para almacenar dicha clave de cifrado principal cifrada en la memoria no volátil; y
estando además dicho equipo adaptado para, antes de ser puesto fuera de servicio después de dicho reinicio, eliminar de su memoria no volátil la clave de cifrado principal no cifrada y la segunda clave de cifrado secundaria no cifrada.
7. Equipo según la reivindicación 6 adaptado para ser el principal de al menos otro equipo que está conectado a él a través de la red de telecomunicaciones en el sistema de activación criptográfica organizado en forma de árbol, estando dicho equipo adaptado para recibir una solicitud de activación criptográfica procedente del otro equipo e indicando un identificador del otro equipo, para validar la solicitud de activación del otro equipo en función de al menos el identificador del otro equipo indicado en la solicitud, y solo si el equipo ha finalizado su propia activación criptográfica y si ha validado la solicitud de activación, generar un mensaje de respuesta de activación que comprenda dicha primera clave de datos secundaria del otro equipo y transmitir dicha respuesta de activación al otro equipo a través de la red de telecomunicaciones.
8. Procedimiento de activación criptográfica en un sistema de activación criptográfica (1) que comprende un centro de activación (6,8) y un conjunto de primeros equipos (7) conectados por una red de telecomunicaciones, estando dicho procedimiento caracterizado porque comprende las siguientes etapas:
- almacenamiento por cada primer equipo de una clave de cifrado principal cifrada por una primera clave de cifrado secundaria en una memoria no volátil del primer equipo;
- tras un reinicio del primer equipo, generación por el primer equipo de una solicitud de activación criptográfica que indica un identificador de dicho primer equipo y transmisión por el primer equipo de dicha solicitud de activación criptográfica al centro de activación a través de la red de telecomunicaciones;
- recepción por el centro de activación de dicha solicitud de activación, validación de la solicitud de activación por parte del centro de activación en función de al menos el identificador del primer equipo indicado en la solicitud, y solo si valida la solicitud de activación, generación por parte del centro de activación de un mensaje de respuesta de activación que comprende dicha primera clave de datos secundaria del primer equipo y transmisión por el centro de activación de dicha respuesta de activación al primer equipo a través de la red de telecomunicaciones;
- recepción por dicho primer equipo de la respuesta de activación criptográfica, finalización de su activación criptográfica extrayendo la primera clave de datos secundaria del primer equipo de dicha respuesta, descifrando dicha clave de cifrado principal almacenada en la memoria con la primera clave de cifrado secundaria extraída y obteniendo así dicha clave de cifrado principal no cifrada;
- cifrado, respectivamente descifrado por cada primer equipo de datos en función de la clave de cifrado principal no cifrada obtenida;
- obtención por dicho primer equipo de una segunda clave de cifrado secundaria, cifrado por dicho primer equipo de la clave de cifrado principal con dicha segunda clave de cifrado secundaria obtenida, a continuación almacenamiento de dicha clave de cifrado principal cifrada por dicho primer equipo en su memoria no volátil; y - antes de que el primer equipo sea puesto fuera de servicio después de dicho reinicio, eliminación de su memoria no volátil de la clave de cifrado principal no cifrada y de la segunda clave de cifrado secundaria no cifrada.
9. Procedimiento de activación criptográfica según reivindicación 8, en el que tras cada reinicio del primer equipo, se genera una solicitud de activación criptográfica destinada al centro de activación (6, 8) para la transmisión por este último de la clave de cifrado secundaria que se ha utilizado por el primer equipo para obtener la clave principal cifrada almacenada en la memoria no volátil.
10. Procedimiento de activación criptográfica según la reivindicación 8 o 9, en el que el sistema de activación criptográfica (1) comprende además segundos equipos (51, 52), y los primeros equipos (41), los segundos equipos y el centro de activación (6, 8) están organizados en forma de árbol teniendo como raíz dicho centro de activación, siendo los primeros equipos (41) los principales de los segundos equipos, comprendiendo las siguientes etapas:
- implementación por parte de cada segundo equipo, con respecto a su primer equipo principal, de las operaciones descritas en las reivindicaciones 8 o 9 como se realizan por el primer equipo con respecto al centro de activación; y
- una vez realizada su activación criptográfica, implementación por parte de cada primer equipo con respecto a cada uno de sus segundos equipos secundarios, de las operaciones descritas en las reivindicaciones 8 o 9 como se realizan por el centro de activación con respecto al primer equipo.
ES18830871T 2017-12-28 2018-12-28 Procedimiento y sistema de activación criptográfica de una pluralidad de equipos Active ES2902769T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1701387A FR3076423B1 (fr) 2017-12-28 2017-12-28 Procede et systeme d'activation cryptographique d'une pluralite d'equipements
PCT/EP2018/097071 WO2019129842A1 (fr) 2017-12-28 2018-12-28 Procédé et système d'activation cryptographique d'une pluralité d'équipements

Publications (1)

Publication Number Publication Date
ES2902769T3 true ES2902769T3 (es) 2022-03-29

Family

ID=62597543

Family Applications (1)

Application Number Title Priority Date Filing Date
ES18830871T Active ES2902769T3 (es) 2017-12-28 2018-12-28 Procedimiento y sistema de activación criptográfica de una pluralidad de equipos

Country Status (4)

Country Link
EP (1) EP3732818B1 (es)
ES (1) ES2902769T3 (es)
FR (1) FR3076423B1 (es)
WO (1) WO2019129842A1 (es)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2014332244A1 (en) 2013-10-07 2016-05-05 Fornetix Llc System and method for encryption key management, federation and distribution
US10630686B2 (en) 2015-03-12 2020-04-21 Fornetix Llc Systems and methods for organizing devices in a policy hierarchy
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
US10880281B2 (en) 2016-02-26 2020-12-29 Fornetix Llc Structure of policies for evaluating key attributes of encryption keys
US10860086B2 (en) 2016-02-26 2020-12-08 Fornetix Llc Policy-enabled encryption keys having complex logical operations
US10917239B2 (en) 2016-02-26 2021-02-09 Fornetix Llc Policy-enabled encryption keys having ephemeral policies
US10931653B2 (en) 2016-02-26 2021-02-23 Fornetix Llc System and method for hierarchy manipulation in an encryption key management system
US11063980B2 (en) 2016-02-26 2021-07-13 Fornetix Llc System and method for associating encryption key management policy with device activity
US10713077B2 (en) 2017-01-26 2020-07-14 Semper Fortis Solutions, LLC Multiple single levels of security (MSLS) in a multi-tenant cloud

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1279249B1 (en) * 2000-03-29 2007-08-01 Vadium Technology Inc. One-time-pad encryption with central key service and keyable characters
US7865716B2 (en) * 2004-03-15 2011-01-04 Panasonic Corporation Encryption device, key distribution device and key distribution system
US8837734B2 (en) * 2012-09-14 2014-09-16 Red Hat, Inc. Managing encrypted data and encryption keys
EP2775656A1 (en) * 2013-03-04 2014-09-10 Thomson Licensing Device for generating an encrypted key and method for providing an encrypted key to a receiver

Also Published As

Publication number Publication date
WO2019129842A1 (fr) 2019-07-04
FR3076423B1 (fr) 2020-01-31
FR3076423A1 (fr) 2019-07-05
EP3732818B1 (fr) 2021-09-29
EP3732818A1 (fr) 2020-11-04

Similar Documents

Publication Publication Date Title
ES2902769T3 (es) Procedimiento y sistema de activación criptográfica de una pluralidad de equipos
TWI468943B (zh) 用於從故障裝置之存取資料復原的方法及設備
CN102624699B (zh) 一种保护数据的方法和***
CN1818920B (zh) 管理用于文件加密和解密的多个密钥的***和方法
ES2732126T3 (es) Aprovisionamiento asíncrono de claves de un dispositivo seguro a otro
US9674164B2 (en) Method for managing keys in a manipulation-proof manner
CN109543435A (zh) 一种fpga加密保护方法、***及服务器
GB2513265A (en) Provisioning of security certificates
CN108604263A (zh) 用于客户提供的完整性的双重签名可执行镜像
CN101441601B (zh) 一种硬盘ata指令的加密传输的方法及***
US11831753B2 (en) Secure distributed key management system
US20170026385A1 (en) Method and system for proximity-based access control
US10680814B2 (en) Device key security
CN104468562A (zh) 一种面向移动应用透明的数据安全保护便携式终端
CN104618096A (zh) 保护密钥授权数据的方法、设备和tpm密钥管理中心
BE1024812A9 (nl) Een beveilingingsbenadering voor de opslag van credentials voor offline gebruik en tegen kopiëren beveiligde kluisinhoud in apparaten
TWI729462B (zh) 基於fpga硬體的安全計算方法和裝置
Selimis et al. Rescure: A security solution for iot life cycle
KR100955347B1 (ko) 단말기의 정보 관리 장치 및 그 방법
ES2853574T3 (es) Almacenamiento de memoria seguro
KR102500733B1 (ko) 원격업무용 사용자 단말의 보안성 보장을 위한 원격업무환경 구축 방법 및 이를 이용한 장치
US10437655B2 (en) Hardware-locked encrypted backup
WO2016025931A1 (en) Hardware-locked encrypted backup