Inventos patentados en España.

Inventos patentados en España.

Inventos patentados en España en los últimos 80 años. Clasificación Internacional de Patentes CIP 2013.

CANAL AUTENTICADO SEGURO.

Patente Internacional (Tratado de Cooperación de Patentes). Resumen:

Método para calcular una clave de sesión compartida por un primer y un segundo dispositivos

(11, 21), teniendo dicho primer dispositivo (11), un certificado (Ca) que comprende una clave pública (ga) y una identidad correspondiente a sí mismo (IDa), y el conocimiento de la identidad correspondiente a sí mismo (IDa), a una clave privada (a) y a la clave pública (ga), teniendo dicho segundo dispositivo (21) un certificado (Cb) que comprende una clave pública (gb) y una identidad correspondiente a sí mismo (IDb), y el conocimiento de la identidad correspondiente a sí mismo (IDb), a una clave privada (b) y a la clave pública (gb), comprendiendo dicho método las siguientes etapas: en el primer dispositivo (11): -selección (252) de una primera clave privada efímera (x); -cálculo (252) de una primera clave pública efímera (gx); -envío (254) al segundo dispositivo de su certificado (Ca) y de la primera clave pública efímera (gx); en el segundo dispositivo (21): - recepción (254) del certificado del primer dispositivo (Ca) y de la primera clave pública efímera (gx); - verificación (256) del certificado del primer dispositivo (Ca); - selección (258) de una segunda clave privada efímera (y); - cálculo (258) de una segunda clave pública efímera (gy); - cálculo (258) de una clave compartida efímera (Keph) a partir de la primera clave pública efímera (gx) y de la segunda clave privada efímera (y); - cálculo (258) de una clave permanente (Kperm) a partir de la clave pública del primer dispositivo (ga) y su propia clave privada (b); - cálculo (260) de un primer valor (H(gy, Keph, Kperm, IDb)) a partir de la segunda clave pública efímera (gy), la clave efímera compartida (Keph), la clave permanente (Kperm) y la identidad correspondiente a sí mismo (IDb); - envío (262) al primer dispositivo, de su certificado (Cb), de la segunda clave pública efímera (gy) y del primer valor (H(gy, Keph, Kperm, IDb)); en el primer dispositivo (11): - recepción (262) del certificado del segundo dispositivo (Cb), de la segunda clave pública efímera (gy) y del primer valor (H(gy, Keph, Kperm, IDb)) procedentes del segundo dispositivo; - verificación (264) del certificado del segundo dispositivo (Cb); - cálculo (266) de la clave efímera compartida (Keph) a partir de la segunda clave pública efímera (gy) y de la primera clave privada efímera (x); - cálculo (266) de la clave permanente (Kperm) a partir de la clave pública del segundo dispositivo (gb) y de su propia clave privada (a); - verificación (268) del primer valor (H(gy, Keph, Kperm, IDb)); - cálculo (270) de un segundo valor (H(gx, Keph, Kperm, IDa)) a partir de la primera clave pública efímera (gx), de la clave compartida efímera (Keph), de la clave permanente (Kperm) y de la identidad correspondiente a sí mismo (IDa); - envío (272) al segundo dispositivo, del segundo valor (H(gx, Keph, Kperm, IDa)); en el segundo dispositivo (21): - recepción (272) del segundo valor (H(gx, Keph, Kperm, IDa)); - verificación (274) del segundo valor (H(gx, Keph, Kperm, IDa)); y - cálculo (276) de una clave de sesión (Ksess) en función de la clave compartida efímera (Keph); y en el primer dispositivo (11): - cálculo (280) de la clave de sesión (Ksess) en función de la clave efímera compartida (Keph).

Solicitante: THOMSON LICENSING.

Nacionalidad solicitante: Francia.

Dirección: 1-5, RUE JEANNE D'ARC 92130 ISSY-LES-MOULINEAUX FRANCIA.

Inventor/es: ANDREAUX, JEAN-PIERRE, DURAND, ALAIN, SIRVENT,THOMAS.

Fecha de Publicación de la Concesión: 1 de Diciembre de 2010.

Fecha Solicitud PCT: 29 de Octubre de 2004.

Fecha Concesión Europea: 11 de Agosto de 2010.

Clasificación Internacional de Patentes: H04L9/08 (..Reparto de claves [5]).

Clasificación PCT: H04L9/08 (..Reparto de claves [5]).

Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Eslovenia, Finlandia, Rumania, Chipre.

Volver al resumen de la patente.

Descripción:

La invención se refiere en general a canales autenticados seguros, y concretamente, al cálculo de claves de sesión para el establecimiento de dichos canales, destinadas a la protección de contenidos digitales, por ejemplo, en un sistema de televisión digital. [0002] Los canales autenticados seguros, que son muy conocidos en la técnica de la criptografía, se han establecido para permitir que dos dispositivos mutuamente autenticados (denominados con frecuencia pares) intercambien

información confidencialmente. Un canal autenticado seguro debería tener, preferiblemente, las siguientes características:

- autenticación mutua de los pares;

- confirmación de la clave, es decir, establecimiento de un secreto compartido estando al menos uno de los pares capacitado para verificar que el secreto es común a ambos;

- utilización del método de secreto hacia delante (forward secrecy), es decir, las claves de sesión antiguas no pueden calcularse aun cuando las claves secretas a largo plazo (como la claves secretas del certificado) sean conocidas. [0003] Estas características pueden demostrarse formalmente desde un punto de vista matemático, y se ha demostrado que si existe una forma de saltarse una de las características que anteceden para un protocolo criptográfico específico, podrá quebrantarse todo el protocolo con relativa facilidad. [0004] A lo largo de los años, la comunidad criptográfica ha propuesto muchos protocolos relativos a los canales

autenticados seguros. Tan sólo algunos de dichos canales han demostrado cumplir las características que anteceden. [0005] El documento US 5889865 describe un protocolo de establecimiento de claves entre un par de corresponsales, que incluye la generación por parte de cada corresponsal de las correspondientes firmas. Las firmas se obtienen a partir de una información que es privada del corresponsal, así como a partir de una información que es pública. Tras el intercambio de firmas, la integridad de los mensajes intercambiados puede verificarse extrayendo la información pública contenida en la firma, y comparándola con la información utilizada para generar la firma. A continuación podrá generarse una clave de sesión común a partir de la información pública y privada de los respectivos corresponsales. [0006] El documento US 5953420 describe la generación de claves Diffie-Hellman autenticadas. En primer lugar, cada uno de los usuarios genera un primer valor secreto compartido autenticado a partir de un primer valor secreto persistente no compartido generado por dicho usuario y de un primer valor transformado autenticado recibido del otro usuario a través de un canal de comunicaciones de confianza. A continuación, cada usuario genera dinámicamente un segundo valor secreto compartido a partir de un segundo valor secreto no compartido generado dinámicamente por dicho usuario y un segundo valor transformado generado dinámicamente y recibido del otro usuario. A continuación, cada usuario genera una o más claves mediante la concatenación del primer y el segundo de los valores secretos compartidos conjuntamente con un recuento, para generar un valor concatenado y haciendo pasar el valor concatenado a través de una función de troceo monodireccional para generar un valor de troceo a partir del cual se extraigan las claves. Teniendo en cuenta que los usuarios

legítimos poseen la información necesaria para construir el primer valor secreto compartido, un suplantador que interactúe con un usuario para generar un segundo valor secreto compartido no podrá generar la misma clave. El aumento del recuento de los sucesivos troceos permite la generación de una multiplicidad de claves a partir de una pareja de valores secretos compartidos dada. [0007] El documento US 2004/081321 describe un protocolo de establecimiento de claves que incluye la generación de un valor de función criptográfica, normalmente un valor de troceo, de una clave de sesión y de información pública. Este valor se transfiere entre los corresponsales junto con la información necesaria para generar la clave de sesión. Siempre que la clave de sesión no se encuentre comprometida, el valor de la función criptográfica será el mismo en cada corresponsal. El valor de la función criptográfica no puede comprometerse ni modificarse sin acceder a la clave de la sesión. [0008] Todos los protocolos que proporcionan canales con las características necesarias utilizan diversas primitivas criptográficas: al menos una primitiva asimétrica (como el criptado asimétrico o la firma digital), las funciones de troceo, el Código de Autenticación de Mensaje (MAC) y en algunos de ellos, otras primitivas, tal como el criptado simétrico. Un problema de estos protocolos es que consumen gran cantidad de recursos y son muy difíciles de llevar a cabo en un dispositivo que tenga limitadas capacidades de cálculo, como por ejemplo, un módulo de seguridad portátil, tal como una tarjeta inteligente. Otro problema es que la utilización de muchas primitivas criptográficas hace que sea difícil demostrar la seguridad de un protocolo.

La presente invención proporciona un protocolo de canal de acceso seguro que tiene las características necesarias y que resulta especialmente adecuado para su

implementación en un dispositivo con limitadas capacidades de cálculo. [0010] A lo largo de la descripción se asumirá que, ya que la criptografía es una técnica en plena madurez, los conceptos básicos son perfectamente conocidos. Por razones de claridad y concisión, estos conceptos no se describirán más de lo necesario para la comprensión de la invención. [0011] En un primer aspecto, la invención se refiere a un método de cálculo de una clave de sesión común a un primer y a un segundo dispositivo (11, 21). El primer dispositivo tiene un certificado (Ca) que comprende una clave pública (ga) y una identidad correspondiente a sí mismo (IDa), y un conocimiento de la identidad correspondiente a sí mismo (IDa), una clave privada (a) y la clave pública (ga). El segundo dispositivo tiene el correspondiente certificado y conocimiento. El primer dispositivo selecciona una primera clave privada efímera (x), calcula una primera clave pública efímera (gx), y envía su certificado (Ca) y la primera clave pública efímera (gx) al segundo dispositivo. Cuando se recibe el certificado del primer dispositivo (Ca) y la primera clave pública efímera (gx), el segundo dispositivo verifica el certificado del primer dispositivo (Ca), selecciona una segunda clave privada efímera (y), calcula una segunda clave pública efímera (gy), calcula una clave compartida efímera (Keph) a partir de la primera clave pública efímera (gx) y de la segunda clave privada efímera (y), calcula una clave permanente (Kperm) a partir de la clave pública del primer dispositivo (ga) y de su propia clave privada (b), calcula un primer valor (H(gy, Keph, Kperm, IDb)) a partir de la segunda

clave pública efímera (gy), de la clave efímera compartida (Keph), de la clave permanente (Kperm) y de la identidad correspondiente a sí mismo (IDb), y envía su certificado (Cb), la segunda clave pública efímera (gy) y el primer valor (H(gy, Keph, Kperm, IDb)) al primer dispositivo. Cuando desde el segundo dispositivo se recibe el certificado de dicho segundo dispositivo (Cb), la segunda clave pública (gy) y el primer valor (H(gy, Keph, Kperm, IDb)), el primer dispositivo verifica el certificado del segundo dispositivo (Cb), calcula la clave efímera compartida (Keph) a partir de la segunda clave pública

efímera (gy) y de la primera clave privada efímera (x), calcula la clave permanente (Kperm) a partir de la clave pública del segundo dispositivo (gb) y de su propia clave

privada (a), verifica el primer valor (H(gy, Keph, Kperm, IDb)), calcula un segundo valor (H(gx, Keph, Kperm, IDa)) a partir de la primera clave pública efímera (gx), de la clave compartida efímera (Keph), de la clave permanente (Kperm) y de la identidad correspondiente a sí mismo (IDa), y envía el segundo valor (H(gx, Keph, Kperm, IDa)) al segundo dispositivo. Al recibir el segundo valor (H(gx, Keph, Kperm, IDa)), el segundo dispositivo verifica el segundo valor (H(gx, Keph, Kperm, IDa)) y calcula una clave de sesión (Ksess) en función de la clave compartida efímera (Keph). El primer dispositivo también calcula la clave de sesión (Ksess) en función de la clave efímera compartida (Keph). [0012] En un segundo aspecto, la invención se refiere a un primer dispositivo (11) para participar, junto con un segundo dispositivo (21) en el cálculo de una clave de sesión. El primer dispositivo tiene un certificado (Ca) que comprende una clave pública (ga) y una identidad correspondiente a sí mismo (IDa), y el conocimiento de la identidad correspondiente a sí mismo (IDa), una clave privada (a) y la

clave pública (ga). El primer dispositivo tiene un procesador

(12) para seleccionar una clave privada efímera (x), calcular una primera clave pública efímera (gx); enviar su certificado (Ca) y la primera clave pública efímera (gx) al segundo dispositivo; recibir un certificado correspondiente al segundo dispositivo (Cb), una segunda clave pública efímera (gy), y un primer valor (H(gy, Keph, Kperm, IDb)) procedente del segundo dispositivo, comprendiendo el certificado (Cb), una clave pública (gb) y una identidad del segundo dispositivo (Idb), calculándose el primer valor (H(gy, Keph, Kperm, IDb)) a partir de la segunda clave pública efímera (gy), de una clave compartida efímera (Keph), de una clave permanente (Kperm) y de la identidad correspondiente al segundo dispositivo (IDb); verificación del certificado del segundo dispositivo (Cb); cálculo de la clave compartida efímera (Keph) a partir de la segunda clave pública efímera (gy) y de la clave privada efímera (x); cálculo de la clave permanente (Kperm) a partir de la clave pública del primer dispositivo (gb) y de su propia clave privada (a); verificación del primer valor (H(gy, Keph, Kperm, IDb)); cálculo de un segundo valor (H(gx, Keph, Kperm, IDa)) a partir de la primera clave pública efímera (gx), de la clave compartida efímera (Keph), de la clave permanente (Kperm), y de la identidad correspondiente a sí mismo (IDa); envío del segundo valor (H(gx, Keph, Kperm, IDa)) al segundo dispositivo; y cálculo de una clave de sesión (Ksess) en función de la clave compartida efímera (Keph). [0013] En un tercer aspecto, la invención se refiere a un segundo dispositivo (21) para participar, junto con un primer dispositivo (11) en el cálculo de una clave de sesión. El segundo dispositivo tiene un certificado (Cb) que comprende una clave pública (gb) y una identidad correspondiente a sí mismo (IDb), y el conocimiento de la identidad

correspondiente a sí mismo (IDb), una clave privada (b) y la clave pública (gb). El segundo dispositivo tiene un procesador (22) para la recepción de un certificado del primer dispositivo (Ca) y una primera clave pública efímera (gx), comprendiendo el certificado una clave pública (ga) y una identidad del primer dispositivo (IDa); verificación del certificado del primer dispositivo (Ca); selección de una clave privada efímera (y); cálculo de una segunda clave pública efímera (gy); cálculo de una clave compartida efímera (Keph) a partir de la primera clave pública efímera (gx) y de la clave privada efímera (y); cálculo de una clave permanente (Kperm) a partir de la clave pública del primer dispositivo (ga) y de su propia clave privada (b); cálculo de un primer valor (H(gy, Keph, Kperm, IDb)) a partir de la segunda clave pública efímera (gy), de la clave compartida efímera (Keph), de la clave permanente (Kperm) y de la identidad correspondiente a sí mismo (IDb); envío de su certificado (Cb), de la segunda clave pública efímera (gy) y del primer valor (H(gy, Keph, Kperm, IDb)) al primer dispositivo; recepción de un segundo valor (H(gx, Keph, Kperm, IDa)) desde el primer dispositivo, calculándose el segundo valor a partir de la primera clave pública efímera (gx), de la clave compartida efímera (Keph), de la clave permanente (Kperm) y de la identidad correspondiente al primer dispositivo (IDa); verificación del segundo valor (H(gx, Keph, Kperm, IDa)) y cálculo de la clave de sesión (Ksess) en función de la clave compartida efímera (Keph). [0014] La figura 1 muestra el intercambio de claves de sesión de acuerdo con una realización de la presente invención. [0015] La figura 1 muestra el intercambio de claves de sesión de acuerdo con una realización de la presente invención.

Antes del inicio del método, el primer dispositivo 11 conoce su identidad IDa, su propia clave privada y una clave pública ga. g a es una notación abreviada de ga mod p, dónde a es la clave privada del primer dispositivo, g es un generador conocido y p es un número primo conocido, como se conoce perfectamente en la técnica. El segundo dispositivo 21 tiene el correspondiente conocimiento: IDb, b, gb. Los certificados correspondientes a los dispositivos incluyen la clave pública y la identidad; Ca(ga, IDa) y Cb(gb, IDb), respectivamente. Los dispositivos 11, 12 también cuentan con procesadores (CP) 12, 22 adaptados para efectuar las etapas del método. [0017] En la etapa 252, el primer dispositivo 11 selecciona, preferiblemente al azar, una primera clave privada efímera x y calcula una clave pública efímera gx, que envía junto con su certificado Ca(ga, IDa) al segundo dispositivo 21 en el mensaje 254. [0018] Al recibir el mensaje 254, el segundo dispositivo 21 verifica el certificado Ca(ga, IDa) del primer dispositivo 11; etapa 256. Si la verificación no tiene éxito, el segundo dispositivo 21 abandona el método. No obstante, si la verificación tiene éxito, seleccionará, preferiblemente de forma aleatoria, una segunda clave privada efímera y, y calculará una segunda clave privada efímera gy, una clave efímera compartida Keph = gxy, y una clave permanente Diffie-Hellman Kperm = g ab, en la etapa 258. [0019] En la etapa 260, el segundo dispositivo 21 calcula un primer valor de troceo h(gy, Keph, Kperm, IDb) utilizando la segunda clave pública efímera gy, la clave efímera compartida Keph, la clave permanente Diffie-Hellman Kper y su identidad IDb, así como una función de troceo adecuada, por ejemplo, una de las muchas funciones conocidas en la técnica. Debe entenderse que es posible utilizar otras funciones adecuadas

distintas de las funciones de troceo para este y los siguientes cálculos de valores de troceo de la realización. A continuación, el segundo dispositivo 21 envía la segunda

y

clave pública efímera g, su certificado Cb(gb, IDb), y el primer valor de troceo H(gy, Keph, Kperm, IDb) al primer dispositivo 11 en el mensaje 262. [0020] Al recibir el mensaje 262, el primer dispositivo 11 verifica el certificado Cb(gb, IDb) del segundo dispositivo 21, en la etapa 264. Si la verificación no tiene éxito, el primer dispositivo 11 abandona el método. No obstante, si la verificación tiene éxito, el primer dispositivo 11 calcula la clave efímera compartida Keph y la clave permanente Diffie-Hellman Kperm en la etapa 266. En la etapa 268, el primer dispositivo 11 verifica el primer valor de troceo, utilizando la misma función de troceo al igual que el segundo dispositivo 21 utilizado en la etapa 260. Si no se verifica el primer valor de troceo, el primer dispositivo 11 aborta el método, pero si se verifica el primer valor de troceo, el primer dispositivo 11 calculará el segundo valor de troceo H(gx, Keph, Kperm, IDa) en la etapa 270, utilizando la primera clave pública efímera gx, la clave efímera compartida Keph y la clave permanente Diffie-Hellman Kperm y su identidad IDa. El primer dispositivo 11 envía el segundo valor de troceo H(gx, Keph, Kperm, IDa) al segundo dispositivo 21 en el mensaje 272. [0021] Al recibirse el mensaje 272, el segundo dispositivo 21 verifica el segundo valor de troceo H(gx, Keph, Kperm, IDa) en la etapa 274, utilizando la misma función de troceo utilizada por el primer dispositivo 10 en la etapa 270. Si no se verifica el segundo valor de troceo, el segundo dispositivo 21 aborta el protocolo, pero si se verifica el segundo valor de troceo, el segundo dispositivo 21 calculará, en la etapa 276, una clave de sesión Ksess, calculando el valor de troceo

de la clave efímera compartida Keph. A continuación envía en mensaje de “listo” 278 al primer dispositivo 11 para indicar

que el segundo valor de troceo H(gx , Keph, Kperm, IDa) se ha verificado con éxito, y que se ha calculado la clave de sesión Ksess.

Al recibirse el mensaje “listo” 278 procedente del segundo dispositivo 21, el primer dispositivo 11 calcula, en la etapa 280, la misma clave de sesión Ksess mediante el cálculo del valor de troceo de la clave efímera compartida Keph, utilizando la misma función de troceo que la utilizada por el segundo dispositivo 21 en la etapa 276. A continuación, el primer dispositivo 11 envía un mensaje de “listo” 282 al segundo dispositivo 21 para indicar que también ha calculado la clave de sesión Ksess. [0023] En este punto, tanto el primer dispositivo 11 como el segundo dispositivo 21 tienen la clave de sesión Ksess que puede utilizarse para proteger la información enviada entre ambos. Con el protocolo acorde con la invención, se garantiza la confidencialidad de las claves privadas, y la autenticación y la confirmación de clave se efectúan mutuamente. Asimismo, el método de secreto hacia delante (forward secrecy) y la robustez frente a fugas de la anterior clave de sesión también están garantizadas. Cualquier persona versada en la materia observará que las tres funciones de troceo descritas en relación con las etapas 212, 220 y 226 pueden ser diferentes o las mismas o que dos de ellas sean las mismas y que la tercera sea diferente. [0024] Debe observarse que cuando en esta descripción se hace referencia a números aleatorios, estos números suelen ser en la práctica pseudo-aleatorios. [0025] La expresión “módulo de seguridad” incluye cualquier tipo de módulo de seguridad, portátil o fijo, que comprenda

un procesador y que pueda utilizarse para establecer un canal seguro autenticado de acuerdo con la invención, como por ejemplo, tarjetas inteligentes, tarjetas PC (antiguamente conocidas como tarjetas PCMCIA) y circuitos integrados soldados a la placa de circuito impreso de un dispositivo, tal como un televisor. [0026] La realización que acaba de describirse resulta especialmente adecuada para su implementación en un aparato de televisión digital y un módulo de seguridad. No obstante, cualquier persona versada en la materia se dará cuenta de que la invención puede ser implementada y utilizada por cualquier tipo de dispositivo que cuente con los necesarios recursos, es decir, un procesador y una memoria en la que se almacene la información necesaria. Entre los ejemplos no limitativos de otros dispositivos se encuentran los reproductores de DVD, los ordenadores que interactúan con accesorios externos y cajeros automáticos y tarjetas bancarias.

REFERENCIAS CITADAS EN LA DESCRIPCIÓN

La lista de referencias citada por el solicitante lo es solamente para utilidad del lector, no formando parte de los documentos de patente europeos. Aún cuando las referencias han sido cuidadosamente recopiladas, no pueden excluirse errores u omisiones y la OEP rechaza toda responsabilidad a este respecto.

Documentos de patente citados en la descripción

• US 5889865 A [0005] • US 2004081321 A [0007]

• US 5953420 A [0006]


Reivindicaciones:

1. Método para calcular una clave de sesión compartida por un primer y un segundo dispositivos (11, 21),

teniendo dicho primer dispositivo (11), un certificado (Ca) que comprende una clave pública (ga) y una identidad

correspondiente a sí mismo (IDa), y el conocimiento de la identidad correspondiente a sí mismo (IDa), a una clave privada (a) y a la clave pública (ga),

teniendo dicho segundo dispositivo (21) un certificado (Cb) que comprende una clave pública (gb) y una identidad correspondiente a sí mismo (IDb), y el conocimiento de la identidad correspondiente a sí mismo (IDb), a una clave privada (b) y a la clave pública (gb),

comprendiendo dicho método las siguientes etapas: en el primer dispositivo (11): -selección (252) de una primera clave privada efímera (x); -cálculo (252) de una primera clave pública efímera (gx); -envío (254) al segundo dispositivo de su certificado

(Ca) y de la primera clave pública efímera (gx);

en el segundo dispositivo (21):

- recepción (254) del certificado del primer dispositivo (Ca) y de la primera clave pública efímera (gx);

- verificación (256) del certificado del primer dispositivo (Ca);

- selección (258) de una segunda clave privada efímera (y);

- cálculo (258) de una segunda clave pública efímera (gy);

- cálculo (258) de una clave compartida efímera (Keph) a partir de la primera clave pública efímera (gx) y de la segunda clave privada efímera (y);

- cálculo (258) de una clave permanente (Kperm) a partir de la clave pública del primer dispositivo (ga) y su propia clave privada (b);

- cálculo (260) de un primer valor (H(gy, Keph, Kperm, IDb)) a partir de la segunda clave pública efímera (gy), la clave efímera compartida (Keph), la clave permanente (Kperm) y la identidad correspondiente a sí mismo (IDb);

- envío (262) al primer dispositivo, de su certificado (Cb), de la segunda clave pública efímera (gy) y del primer valor (H(gy, Keph, Kperm, IDb));

en el primer dispositivo (11):

- recepción (262) del certificado del segundo dispositivo (Cb), de la segunda clave pública efímera (gy) y del primer valor (H(gy, Keph, Kperm, IDb)) procedentes del segundo dispositivo;

- verificación (264) del certificado del segundo dispositivo (Cb);

- cálculo (266) de la clave efímera compartida (Keph) a partir de la segunda clave pública efímera (gy) y de la primera clave privada efímera (x);

- cálculo (266) de la clave permanente (Kperm) a partir de la clave pública del segundo dispositivo (gb) y de su propia clave privada (a);

- verificación (268) del primer valor (H(gy, Keph, Kperm, IDb));

- cálculo (270) de un segundo valor (H(gx, Keph, Kperm, IDa)) a partir de la primera clave pública efímera (gx), de la clave compartida efímera (Keph), de la clave permanente (Kperm) y de la identidad correspondiente a sí mismo (IDa);

- envío (272) al segundo dispositivo, del segundo valor (H(gx, Keph, Kperm, IDa));

en el segundo dispositivo (21):

- recepción (272) del segundo valor (H(gx, Keph, Kperm, IDa));

- verificación (274) del segundo valor (H(gx, Keph, Kperm, IDa)); y

- cálculo (276) de una clave de sesión (Ksess) en función de la clave compartida efímera (Keph); y

en el primer dispositivo (11):

- cálculo (280) de la clave de sesión (Ksess) en función de la clave efímera compartida (Keph).

2. Primer dispositivo (11) para participar, junto con un segundo dispositivo (21) en el cálculo de una clave de sesión compartida, teniendo dicho primer dispositivo un certificado (Ca) que comprende una clave pública (ga) y una identidad correspondiente a sí mismo (IDa), y el conocimiento de la identidad correspondiente a sí mismo (IDa), una clave privada (a) y la clave pública (ga), comprendiendo dicho primer dispositivo (11) un procesador (12) para:

- seleccionar una primera clave privada efímera (x);

- calcular una primera clave pública efímera (gx);

- enviar al segundo dispositivo su certificado (Ca) y la primera clave pública efímera (gx);

- recepción de un certificado del segundo dispositivo (Cb), de una segunda clave pública efímera (gy) y de un primer valor (H(gy, Keph, Kperm, IDb)) procedentes del segundo dispositivo, comprendiendo el certificado (Cb) una clave pública (gb) y una identidad del segundo dispositivo (Idb), calculándose el primer valor (H(gy, Keph, Kperm, IDb)) a partir de la segunda clave pública efímera (gy), de una clave

compartida efímera (Keph), de una clave permanente (Kperm) y de la identidad correspondiente al segundo dispositivo (IDb);

- verificación del certificado del segundo dispositivo (Cb);

- cálculo de la clave compartida efímera (Keph) a partir de la segunda clave pública efímera (gy) y de la clave privada efímera (x);

- cálculo de la clave permanente (Kperm) a partir de la clave pública del segundo dispositivo (gb) y de su propia clave privada (a);

- verificación del primer valor (H(gy, Keph, Kperm, IDb));

- cálculo de un segundo valor (H(gx, Keph, Kperm, IDa)) a partir de la primera clave pública efímera (gx), de la clave compartida efímera (Keph), de la clave permanente (Kperm), y de la identidad correspondiente a sí mismo (IDa);

- envío al segundo dispositivo del segundo valor (H(gx, Keph, Kperm, IDa)); y

- cálculo de una clave de sesión (Ksess) en función de la clave compartida efímera (Keph).

3. Segundo dispositivo (21) para participar, junto con un primer dispositivo (11) en el cálculo de una clave de sesión compartida, teniendo dicho segundo dispositivo un certificado (Cb) que comprende una clave pública (gb) y una identidad correspondiente a sí mismo (IDb), una clave privada

(b) y la clave pública (gb), teniendo dicho segundo dispositivo (21) un procesador (22) para cuanto sigue:

- recepción de un certificado del primer dispositivo (Ca) y una primera clave pública efímera (gx), comprendiendo el certificado una clave pública (ga) y una identidad del primer dispositivo (IDa);

- verificación del certificado del primer dispositivo (Ca);

- selección de una clave privada efímera (y); -cálculo de una segunda clave pública efímera (gy); -cálculo de una clave compartida efímera (Keph) a

partir de la primera clave pública efímera (gx) y de la clave 5 privada efímera (y);

- cálculo de una clave permanente (Kperm) a partir de la

clave pública del primer dispositivo (ga) y de su propia

clave privada (b);

- cálculo de un primer valor (H(gy, Keph, Kperm, IDb)) a partir de la segunda clave pública efímera (gy), de la clave compartida efímera (Keph), de la clave permanente (Kperm) y de la identidad correspondiente a sí mismo (IDb);

- envío al primer dispositivo de su certificado (Cb), de la segunda clave pública efímera (gy) y del primer valor 15 (H(gy, Keph, Kperm, IDb));

- recepción de un segundo valor (H(gx, Keph, Kperm, IDa)) desde el primer dispositivo, calculándose el segundo valor a partir de la primera clave pública efímera (gx), de la clave compartida efímera (Keph), de la clave permanente (Kperm) y de

20 la identidad correspondiente al primer dispositivo (IDa); -verificación del segundo valor (H(gx, Keph, Kperm, IDa)); y -cálculo de la clave de sesión (Ksess) en función de la clave compartida efímera (Keph).






Acerca de · Contacto · Patentados.com desde 2007 hasta 2014 // Última actualización: 17/12/2014.