Procedimiento y dispositivo de tratamiento de datos.
Procedimiento de tratamiento de datos que comprende:
- una etapa (E308;
E406; E410, E416) de verificación de un criterio indicativo del desarrollo normal del procedimiento; y
- una etapa (E320; E458; E528) de tratamiento efectuada en caso de verificación negativa,
en el que la etapa de tratamiento (E320; E458; E528) está separada de la etapa de verificación (E308; E406, E410, E416) por una etapa intermedia (E312, E314; E450, E452, E454, E456; E520, E522, E524, E526) de duración no nula, caracterizado por que, al realizarse una primera acción (E314; E408, E412, E414; E504, E506, E508, E510) en caso de verificación positiva, la etapa intermedia comprende la realización de al menos una segunda acción (E314; E450, E454, E456; E520, E522, E524, E528) que tiene al menos una primera característica común con la primera acción, en el que, al realizarse una tercera acción (E418; E512) en caso de verificación positiva, la etapa de tratamiento comprende la realización de al menos una cuarta acción (E458; E528) que tiene al menos una segunda característica común con la tercera acción (E418; E512), en el que, al aplicarse el procedimiento en un aparato electrónico (10), la primera característica común es el consumo eléctrico o la radiación electromagnética del aparato generado/a por la primera acción y por la segunda acción, y en el que la segunda característica común es el consumo eléctrico o la radiación electromagnética del aparato generado/a por la tercera acción y por la cuarta acción
Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E10177462.
Solicitante: OBERTHUR TECHNOLOGIES.
Nacionalidad solicitante: Francia.
Dirección: 420, RUE D'ESTIENNE D'ORVES 92700 COLOMBES FRANCIA.
Inventor/es: CHAMBEROT,FRANCIS.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- G06F21/55 FISICA. › G06 CALCULO; CONTEO. › G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › G06F 21/00 Disposiciones de seguridad para la protección de computadores, sus componentes, programas o datos contra actividades no autorizadas. › La detección de intrusiones locales o la aplicación de contramedidas.
PDF original: ES-2543210_T3.pdf
Fragmento de la descripción:
Procedimiento y dispositivo de tratamiento de datos
La presente invención se refiere a un procedimiento de tratamiento de datos, aplicado por ejemplo en una tarjeta de microcircuito.
En ciertos contextos, se busca que el funcionamiento de los aparatos de tratamiento de datos sea seguro. Este es especialmente el caso en el ámbito del dinero electrónico, en el que una entidad electrónica (por ejemplo una tarjeta de microcircuito) es portadora de una información que representa un valor pecuniario y que solo puede por lo tanto modificarse de acuerdo con un protocolo determinado. Asimismo puede tratarse de una entidad electrónica que permite la identificación de su portador, en cuyo caso el funcionamiento debe ser seguro para evitar cualquier falsificación o uso abusivo.
Tal entidad electrónica es por ejemplo una tarjeta bancaria, una tarjeta SIM para telefonía (procediendo el acrónimo de SIM del inglés Subscriber Identity Module), un pasaporte electrónico, un módulo seguro de tipo HSM (del inglés Hardware Security Module) tal como una tarjeta PCMCIA de tipo IBM4758, sin que estos ejemplos sean limitativos.
Con el fin de mejorar la seguridad del funcionamiento, se busca proteger contra los diversos tipos posibles de ataques. Una categoría importante de ataques que hay que contrarrestar está constituida por los ataques denominados por generación de fallos, durante los cuales personas malintencionadas pretenden hacer que el aparato de tratamiento de datos salga de su funcionamiento normal y, por lo tanto, seguro.
Para detener este tipo de ataques, los procedimientos de tratamiento de datos habitualmente usados prevén etapas de verificación del desarrollo normal del procedimiento, con el objetivo de detectar anomalías, cuyo posible origen es un ataque por generación de fallos. Cuando se detecta una anomalía (es decir que el desarrollo normal no está verificado), se procede inmediatamente al tratamiento de la anomalía, generalmente denominada tratamiento de seguridad. Este tipo de tratamiento consiste efectivamente en una contramedida destinada a reprimir el ataque, por ejemplo impidiendo cualquier funcionamiento posterior del aparato de tratamiento de datos.
Por ejemplo, el documento US 2003/028794 describe un procedimiento en el cual se verifica una huella digital descifrada con el fin de determinar si se han manipulado unos datos, en cuyo caso se pueden tomar unas medidas de bloqueo de la ejecución de estos datos.
Como se ha indicado, se concibe habltualmente el tratamiento de la anomalía como inmediato después de la detección, ya que el hecho de seguir con el tratamiento en presencia de una anomalía implica a primera vista el riesgo de seguir degradando el funcionamiento del aparato de tratamiento de datos, y por lo tanto de su seguridad.
Sin embargo, el inventor indica que esta concepción habitual da al atacante una información sobre el momento en el que se lleva a cabo la detección de la anomalía. En efecto, el Instante de detección de la anomalía es en sí mismo difícilmente accesible desde el exterior. Sin embargo, se piensa que el atacante puede tener acceso, mediante la observación y el análisis del consumo eléctrico (o de la radiación electromagnética) del aparato, en el Instante de aplicación del tratamiento de la anomalía, por ejemplo en el caso en el que este tratamiento consiste en una acción sobre un dispositivo externo. Puesto que este tratamiento va Inmediatamente después de la detección de la anomalía en la concepción habitual, el atacante deduciría de ello de manera relativamente fácil el Instante de detección de la anomalía.
De este modo, debido a la proximidad de la detección de la anomalía y del tratamiento de la misma en los sistemas tradicionales, el atacante tiene acceso a una información adicional acerca del funcionamiento del aparato de tratamiento de datos, lo cual es evidentemente perjudicial para la seguridad del procedimiento.
Con el fin, en particular, de evitar este problema, y por consiguiente mejorar aun más la seguridad de los procedimientos de tratamiento de datos, la invención propone un procedimiento de tratamiento de datos como se define en la reivindicación 1, que comprende en particular una etapa de verificación de un criterio indicativo del desarrollo normal del procedimiento y una etapa de tratamiento realizada en caso de verificación negativa, en el que la etapa de tratamiento está separada de la etapa de verificación por una etapa Intermedia de duración no nula.
Al realizarse una primera acción en caso de verificación positiva, la etapa Intermedia comprende la realización de al menos una segunda acción que tiene al menos una primera característica común con la primera acción.
Un atacante que pretende comprender el funcionamiento del procedimiento tendrá de este modo dificultades para discernir el funcionamiento normal (caso de verificación positiva) del funcionamiento en caso de anomalía (es decir, de verificación negativa).
La segunda acción es, por ejemplo, diferente de la primera acción. De este modo la segunda acción puede comprender menos riesgos, incluso ningún riesgo, para la seguridad del sistema.
Cuando se lleva a cabo una tercera acción en caso de verificación positiva, la etapa de tratamiento puede comprender la realización de al menos una cuarta acción que tiene al menos una segunda característica común con la tercera acción.
Un atacante no podrá por lo tanto distinguir los modos de funcionamiento. De este modo, no podrá evitar el tratamiento de la anomalía.
Cuando el procedimiento se aplica en un aparato electrónico, la primera o segunda característica común es, por ejemplo, el consumo eléctrico o la radiación electromagnética del aparato generado/a por la primera, respectivamente la tercera, acción y por la segunda, respectivamente la cuarta, acción. De este modo, un atacante no podrá distinguir el modo de funcionamiento normal del modo de funcionamiento anormal mediante la observación del comportamiento eléctrico y/o electromagnético del aparato electrónico.
La primera o segunda característica común puede ser asimismo el número de instrucciones aplicado en la primera, respectivamente la tercera, acción y en la segunda, respectivamente la cuarta, acción, lo cual hace imposible la distinción de los modos de funcionamiento por la duración de dichas acciones.
La primera o segunda característica común puede ser además el tipo de instrucción aplicado por la primera, respectivamente la tercera, acción y por la segunda, respectivamente la cuarta, acción, lo que garantiza una gran similitud en la firma eléctrica y/o electromagnética de dichas acciones.
La primera o segunda característica común puede también ser el tipo de datos procesados por la primera, respectivamente la tercera, acción y por la segunda, respectivamente la cuarta, acción, lo que garantiza asimismo tal similitud.
Cuando la primera, respectivamente la tercera, acción comprende un acceso a una primera zona de una memoria, la segunda, respectivamente la cuarta, acción puede comprender un acceso a una segunda zona de dicha memoria diferente de la primera zona. El tratamiento de los datos parece por lo tanto similar en ambos modos de funcionamiento mencionados anteriormente, cuando de hecho se efectúa en contextos diferentes.
De acuerdo con otra posibilidad, la primera o segunda característica común es la comunicación con un dispositivo externo, que puede ser por ejemplo un criptoprocesador, una memoria (por ejemplo, una memoria regrabable de semiconductor), o un terminal de usuario. La comunicación con tales dispositivos exteriores es en efecto observada por los atacantes y esta característica común es por lo tanto particularmente susceptible de inducirles a error.
La primera acción puede constar de una etapa segura, por ejemplo de un algoritmo criptográfico, la cual está de este modo protegida contra los ataques por generación de fallo.
La etapa de tratamiento consta, por ejemplo, de una grabación de datos de bloqueo en una memoria física.
De acuerdo con una posibilidad particularmente interesante, la grabación de datos de bloqueo puede llevarse a cabo de acuerdo con una cronología idéntica a una grabación de datos en la memoria física en caso de desarrollo normal del procedimiento.
De acuerdo con una realización, estos datos representan un valor pecuniario. De este modo, un atacante no podrá discernir a priori un bloqueo del aparato de una operación sobre el valor que representa.
El criterio es negativo, por ejemplo, si se proporciona una firma errónea o si se detecta una anomalía.
El criterio puede también ser negativo si se detecta un ataque. Como ya se ha... [Seguir leyendo]
Reivindicaciones:
1. Procedimiento de tratamiento de datos que comprende:
- una etapa (E308; E406; E410, E416) de verificación de un criterio indicativo del desarrollo normal del procedimiento; y
- una etapa (E320; E458; E528) de tratamiento efectuada en caso de verificación negativa,
en el que la etapa de tratamiento (E320; E458; E528) está separada de la etapa de verificación (E308; E406, E410, E416) por una etapa intermedia (E312, E314; E450, E452, E454, E456; E520, E522, E524, E526) de duración no nula, caracterizado porque, al realizarse una primera acción (E314; E408, E412, E414; E504, E506, E508, E510) en caso de verificación positiva, la etapa intermedia comprende la realización de al menos una segunda acción (E314; E450, E454, E456; E520, E522, E524, E528) que tiene al menos una primera característica común con la primera acción, en el que, al realizarse una tercera acción (E418; E512) en caso de verificación positiva, la etapa de tratamiento comprende la realización de al menos una cuarta acción (E458; E528) que tiene al menos una segunda característica común con la tercera acción (E418; E512), en el que, al aplicarse el procedimiento en un aparato electrónico (10), la primera característica común es el consumo eléctrico o la radiación electromagnética del aparato generado/a por la primera acción y por la segunda acción, y en el que la segunda característica común es el consumo eléctrico o la radiación electromagnética del aparato generado/a por la tercera acción y por la cuarta acción.
2. Procedimiento de acuerdo con la reivindicación 1, en el que la segunda acción es diferente de la primera acción.
3. Procedimiento de acuerdo con la reivindicación 1 o 2, en el que la etapa de tratamiento (E320; E528) consta de una grabación de datos de bloqueo en una memoria física (6).
4. Procedimiento de acuerdo con la reivindicación 3, en el que la grabación (E528) de datos de bloqueo se produce de acuerdo con una cronología idéntica a una grabación (E512) de datos en la memoria física (6) en caso de desarrollo normal del procedimiento.
5. Procedimiento de acuerdo con la reivindicación 1 o 2, en el que la etapa de tratamiento (E320; E528) consta de una grabación de datos representativos de una anomalía detectada en caso de verificación negativa, permitiendo dichos datos representativos de una anomalía detectada un análisis de un problema encontrado por dicho dispositivo.
6. Procedimiento de acuerdo con una de las reivindicaciones 1 a 5, en el que la etapa intermedia comprende al menos una instrucción determinada mientras se ejecuta el procedimiento.
7. Procedimiento de acuerdo con una de las reivindicaciones 1 a 6, en el que la primera acción consta de una etapa segura.
8. Procedimiento de acuerdo con la reivindicación 7, en el que, la etapa segura consta de una algoritmo criptográfico.
9. Procedimiento de acuerdo con una de las reivindicaciones 1 a 8, en el que el criterio es negativo si se proporciona una firma errónea.
10. Procedimiento de acuerdo con una de las reivindicaciones 1 a 9, en el que el criterio es negativo si se detecta una anomalía.
11. Procedimiento de acuerdo con una de las reivindicaciones 1 a 10, en el que el criterio es negativo si se detecta un ataque.
12. Procedimiento de acuerdo con una de las reivindicaciones 1 a 11, en el que el criterio es negativo si se detecta un error funcional.
13. Procedimiento de acuerdo con una de las reivindicaciones 1 a 12, aplicado por un microprocesador (2) de una tarjeta de microcircuito (10).
14. Dispositivo de tratamiento de datos que comprende:
- unos medios de verificación de un criterio indicativo del funcionamiento normal del dispositivo;
- unos medios de tratamiento aplicados en caso de verificación negativa; y
- unos medios de separación para separar la implementación de los medios de verificación de la aplicación de
los medios de tratamiento con una duración no nula;
caracterizado por que al aplicar unos medios de acción en caso de verificación positiva, los medios de separación tienen al menos una primera característica común con los primeros medios de acción, en el que al aplicar unos segundos medios de acción en caso de verificación positiva, los medios de tratamiento tienen al menos una segunda característica común con los segundos medios de acción, en el que al ser el dispositivo un aparato electrónico (10), 5 la primera característica común es el consumo eléctrico o la radiación electromagnética del aparato generado/a por la primera acción y por la segunda acción, y en el que la segunda característica común es el consumo eléctrico o la radiación electromagnética del aparato generado/a por la tercera acción y por la cuarta acción.
15. Dispositivo de acuerdo con la reivindicación 14, siendo el dispositivo una tarjeta de microcircuito.
Patentes similares o relacionadas:
Método y aparato de procesamiento de servicio, del 3 de Junio de 2020, de Advanced New Technologies Co., Ltd: Un método para el procesamiento de servicios, el método que comprende: después de recibir una solicitud de procesamiento de servicios de un usuario, […]
Método y aparato para reconocer el comportamiento de riesgo, del 8 de Abril de 2020, de Alibaba Group Holding Limited: Un método para identificar comportamientos de riesgo dentro de una red informática, el método que comprende: adquirir datos de comportamiento del usuario, […]
Sistemas y métodos para rastrear comportamiento malicioso a través de múltiples entidades de software, del 25 de Marzo de 2020, de Bitdefender IPR Management Ltd: Un sistema de servidor que comprende al menos un procesador de hardware y una unidad de memoria, configurado el al menos un procesador de hardware para ejecutar un gestor […]
Sistemas y métodos de seguridad informática que utilizan excepciones de introspección asíncronas, del 18 de Marzo de 2020, de Bitdefender IPR Management Ltd: Sistema anfitrión que comprende un procesador de hardware y una memoria, estando configurado el procesador de hardware para ejecutar una entidad objetivo, un analizador de […]
Sistema y método para proporcionar un nodo de almacenamiento seguro conectado a la red aérea, del 18 de Marzo de 2020, de THE BOEING COMPANY: Un sistema de almacenamiento conectado a la red, que comprende: al menos un medio de almacenamiento extraíble, el al menos un medio de […]
Servidor de seguridad de soporte lógico, del 19 de Febrero de 2020, de Idemia Identity & Security France: Procedimiento de verificación de ejecución de applets (AA1, AB1) desarrolladas en un lenguaje orientado objeto y compiladas en código intermedio, siendo el procedimiento […]
Método, aparato y sistema para detectar condiciones de seguridad de un terminal, del 5 de Febrero de 2020, de HUAWEI TECHNOLOGIES CO., LTD.: Un aparato para detectar un estado de seguridad del terminal, en donde el aparato está ubicado en una unión entre una red privada y una red pública, […]
Detección y alerta de ataques cibernéticos a redes centradas en recursos, del 29 de Enero de 2020, de Palantir Technologies, Inc: Un sistema informático configurado para generar una alerta relacionada con un ataque cibernético contra un recurso, comprendiendo el sistema informático: […]