+

WO2003034654A2 - Procede et dispositif de protection de donnees - Google Patents

Procede et dispositif de protection de donnees Download PDF

Info

Publication number
WO2003034654A2
WO2003034654A2 PCT/FR2002/003551 FR0203551W WO03034654A2 WO 2003034654 A2 WO2003034654 A2 WO 2003034654A2 FR 0203551 W FR0203551 W FR 0203551W WO 03034654 A2 WO03034654 A2 WO 03034654A2
Authority
WO
WIPO (PCT)
Prior art keywords
data
user
computer system
author
event
Prior art date
Application number
PCT/FR2002/003551
Other languages
English (en)
Other versions
WO2003034654A3 (fr
Inventor
Marc Viot
Philippe Baumard
Original Assignee
Marc Viot
Philippe Baumard
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR0113539A external-priority patent/FR2841412A1/fr
Priority claimed from FR0114574A external-priority patent/FR2841413B1/fr
Application filed by Marc Viot, Philippe Baumard filed Critical Marc Viot
Priority to US10/492,945 priority Critical patent/US7716478B2/en
Priority to AU2002350843A priority patent/AU2002350843A1/en
Priority to JP2003537253A priority patent/JP2005506623A/ja
Publication of WO2003034654A2 publication Critical patent/WO2003034654A2/fr
Publication of WO2003034654A3 publication Critical patent/WO2003034654A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Definitions

  • the present invention relates to a data protection method and device. It applies, in particular, to the secure processing of digital data. Even more particularly, the present invention applies to ensuring control over the distribution of an electronic work, by its user author.
  • Traditional techniques of electronic signature with public keys aim to guarantee the identity of the author of a work and sometimes add time-stamping functionalities.
  • the subsequent user of a signed work guarantees the integrity of the work, the identification of its author and the date of creation of the work by using in turn the public key of the authors, that of time stamping device then by consulting the list of revoked certificates of a third-party certifier.
  • the traditional solution consists in creating secure pipes - trusted spaces - where user subscribers exchange information, the trace of which is possibly kept in a specific table.
  • This traditional solution is the subject of costly specific developments and rarely remedies all of the drawbacks encountered in the implementation of electronic signature techniques; in addition, it has some serious drawbacks i) What about information when it leaves secure pipes, to be directed to an unlisted user or to a non-compatible trusted space? ; ii) What about malicious penetration on secure pipes? ; and iii) They oblige the organization wishing to apply an electronic signature solution to entrust the management of its sensitive information to a third party certifier.
  • the present invention intends to remedy these drawbacks.
  • the present invention aims, according to a first aspect, a data protection method, characterized in that it comprises:
  • envelope a so-called “envelope” file, in a computer system of the author user, envelope comprising data, digital conditioning attributes assigned to said data and information guaranteeing the integrity of said data,
  • a storage step in a remote computer system, of the digital conditioning attributes of said data and of the information guaranteeing the integrity of said data, - for each predetermined event relating to said data, a storage step, in the computer system remote and in relation to the attributes of said data, an identifier of said event and the date of said event, and
  • the attributes of said data include an identifier of the author of said data. Thanks to these provisions, each subsequent user accessing said data knows the identity of their author.
  • the attributes of said data comprise an identifier of each subsequent user, signatory or recipient, of said data. Thanks to these provisions, each subsequent user accessing said data knows the identity of each signatory or subsequent recipient user.
  • each event affecting said data can only be carried out by a subsequent user during a connection between a computer system of said subsequent user and the remote computer system. Thanks to these provisions, the remote computer system and therefore also the author of said data, are informed of each event affecting said data.
  • the remote computer system also stores an identifier of the user causing said event.
  • the method as succinctly set out above comprises a step of determining the conditions of use of said data, by the computer system of the author user and, on each request for access to said data, a step of verification that the conditions of use of the data are respected.
  • the author user sets himself under what conditions, the data may be used by a subsequent user.
  • the conditions of use include conditions for identifying the subsequent user.
  • the user identification conditions include, at least, the implementation of an electronic certificate identifying the computer system of the subsequent user.
  • the user identification conditions include, at least, the implementation of an electronic signature by the computer system of the subsequent user.
  • the subsequent user is authenticated and the author user can have some assurance of the identity of each subsequent user of his data.
  • the conditions of use include a right, or not, to edit said data. Thanks to these provisions, the author user decides whether his data can be modified or not.
  • the conditions of use include a period of right of access to said data. Thanks to these provisions, the author user fixes a period of use of his data. It is noted that this period can be expressed in the form of a time limit, for example fifteen days (for example for the signing of documents related to a general meeting of companies) or at least a deadline (for example, for the taking in account of a seasonal commercial offer).
  • the information guaranteeing the integrity is a condensate (in English "hash"). Thanks to these provisions, the implementation of the information guaranteeing the integrity of the data can be simplified and standardized.
  • each user has an account containing a number of accesses to predetermined data, called “stamps" and each supply of data and / or each access to data causes the counting of a stamp in the account of the user.
  • stamps a number of accesses to predetermined data
  • each supply of data and / or each access to data causes the counting of a stamp in the account of the user.
  • the method as succinctly set out above comprises, during at least part (for example the electronic signature) of the events affecting said data, a step of transmitting, to the author user, a acknowledgment message identifying the subsequent user who caused the event.
  • IP Internet address
  • ISP Internet access provider
  • the sending user performs a selection step equivalent to clicking on a mouse button showing a menu which includes an identification of the process which is the subject of the present invention.
  • the user when the user has opened a data file, by making said selection, he implements the method which is the subject of the present invention on the data of said file.
  • the selection step is carried out by a step of clicking on the right mouse button.
  • the remote computer system when, during a predetermined event, said data is modified by a subsequent user, stores the modifications made to said data. Thanks to these provisions, the author user is informed of changes made to his data. According to particular characteristics, the digital conditioning attributes determine subsequent users authorized to sign said data.
  • the digital conditioning attributes assigned during the step of assigning attributes to said data represent an identification of at least one subsequent user.
  • These digital packaging attributes are called “notarization criteria”. Thanks to these provisions, an author user can choose the subsequent users and, among these, the subsequent users who have signed the data.
  • the digital conditioning attributes assigned during the step of assigning attributes to said data represent a condition for using said data.
  • These numerical conditioning attributes are called “control attributes”. Thanks to these provisions, an author user can choose the authorized uses of the data: simple reading, downloading, editing, for example. It is observed that the notarization criteria and the control attributes can be combined so that each subsequent user has a specific right of use. For example, a lawyer can have a right to edit data, a signatory can have a right to download and a non-signatory user a right to read.
  • the method comprises a step of transmitting, to each author user and to each signatory user, an identifier of at least one predetermined event, the date of occurrence of each said predetermined event and the identifier of the subsequent user who caused the event.
  • the method comprises, in the computer systems of the author user and of the signatory users, a step of grouping said events, corresponding to predetermined events called “notarization criteria”, with the grouping said “envelope” initially formed .
  • each remote computer system is controlled by another remote computer system called "postal agency". Thanks to these provisions, the postal agency retains control of the envelopes sent by remote computer systems.
  • the method as succinctly set out above comprises a step of grouping said events with said envelope, in each computer system of each author user and of each signatory user.
  • the author can only send the document signed by all the signatories after all the signatories have signed the document.
  • the second drawback is that acknowledgments of receipt only reach one person, who is responsible for notifying the other signatories.
  • the present invention aims to remedy these drawbacks.
  • the present invention relates to a data processing method, characterized in that it comprises:
  • envelope a so-called “envelope” file, in a computer system of the author user, envelope comprising data, digital conditioning attributes assigned to said data and information guaranteeing the integrity of said data,
  • a step of grouping said events with said envelope is provided. Thanks to these provisions, the grouping step allows synchronized and therefore quick updating of the envelopes of each author user and each signatory user.
  • the present invention relates, according to a third aspect, to a data protection method, characterized in that it comprises:
  • the present invention relates, according to a fourth aspect, to a data protection device, characterized in that it comprises:
  • envelope a means of forming a so-called “envelope” file, in a computer system of the author user, envelope comprising data, digital conditioning attributes assigned to said data and information guaranteeing the integrity of said data,
  • a means of storage in a remote computer system, adapted: i) to store attributes of digital conditioning of said data and of information guaranteeing the integrity of said data, ii) for each predetermined event relating to said data, to be stored, in the remote computer system and in relation to the attributes of said data, an identifier of said event and of the date of said event, and iii) at each connection between the computer system d an author user and the remote computer system, in memorizing predetermined events corresponding to the attributes of said data in the computer system of the author user, in such a way that the computer system of the author user then stores, for each event touching said data, the identifier of said event, the identifier of the user causing said event and the date of said event
  • the advantages and characteristics of the second to fourth aspects of the present invention being identical to those of the first aspect, they are not repeated here .
  • FIG. 1 schematically represents a particular embodiment of the present invention
  • FIG. 2 schematically represents a flow diagram used in the first embodiment of the method which is the subject of the present invention.
  • FIG. 3 shows, schematically, a flow diagram implemented in a second embodiment of the method of the present invention.
  • envelope of data, a document a file or a conditioned work formed by the content of the data, document file or work and its attributes called “digital conditioning”.
  • user author Ua an identified user with the right envelope creation.
  • identification is done during the processes specific to the device Di which is the subject of the present invention; - either of a file conforming to the PKI public key infrastructure (acronym of Public Key Infrastructure ' 1 for public key infrastructure) and / or to FUIT standard X509 (International Telecommunication Union), identification is then done by a classic process by using the public key contained in the X509 certificate and checking the validity of the certificate with the trusted third party specified in the X509 certificate.
  • PKI public key infrastructure acronym of Public Key Infrastructure ' 1 for public key infrastructure
  • FUIT standard X509 International Telecommunication Union
  • condition In English “hash"
  • condition the assignment of attributes to data, a file, a document or a work so as to protect them in accordance with the present invention is called "conditioning", and, in particular embodiments, to guarantee the parameters of notarization and to control its dissemination and / or subsequent modification.
  • notarization a recording of the essential elements of a transaction between two parties by a trusted (authorized) third party.
  • This technique improves the security of an EDI system to the extent that it provides the parties, thanks to a third party they trust, with different mechanisms for monitoring and archiving the transactions sent and received (integrity, origin, date and destination of data).
  • the third party must acquire the necessary information by protected communications and keep it.
  • FIG. 1 There are, in FIG. 1, four actors implementing a first embodiment of the present invention:
  • the first embodiment illustrated in FIG. 1 also implements an equipment device De specifically assigned to the implementation of the method which is the subject of the present invention as well as various Pv, Pa, Pc, Pu and Px processes, described below.
  • the produced document produced is symbolized, in FIG. 1, by an envelope.
  • the acquisition of the time from a trusted clock is symbolized by an analog time dial and by the letters ("NTP") relating to the protocol used for the acquisition of the time.
  • NTP analog time dial and by the letters
  • the verifier of Vo works is responsible for the management of users (addition, modification, deletion) and remote control of the works transmitted and the verifier of the device Vd is responsible for the management of Vo post offices (addition, modification, deletion) and remote control of their proper functioning.
  • the works verifier Vo submits, at each of its connections, the author of the work user Ua of the device Di to an authentication process Pa.
  • the works verifier Vo also performs a conditioning process Pc of the created work , receives and stores, for subsequent comparison during a process of use Pu, all of the digital conditioning attributes of the work on the equipment device De that it uses in the device Di.
  • the conditioning process Pc of a digital work O consists of:
  • step 101 for the author user Ua, to create an empty conditioned document, called an envelope, on the equipment device De which he uses on the device Di and to name it;
  • step 102 for the author user Ua, to form the grouping of the main part Ep of the envelope, composed of the content of the work Ec to be inserted, possibly of its author's certificate, of a note zone to complete as desired and finally to the so-called "notarization" criteria Cn of the envelope, criteria which will allow the addition of an annex Ea envelope during the process to constitute annex Px of the envelope: - the subsequent signatory users, under form of list of Ls signatory certificates,
  • step 103 for the author user Ua, to define the list of operations to be performed at the opening Oo of the envelope: control of the conditions of use (period, frequency, ...), steps to be carried out (identification , payment, ).
  • the device Di will only allow access to the contents of the envelope after the various checks carried out during the use process Pu.
  • step 104 for the author user Ua, to submit to the authentication process Pa
  • step 105 for the author user Ua, to send to the verifier of the works Vo a request for the creation of an envelope to which the author user Ua adds the digital conditioning attributes of the envelope:
  • step 106 for the verifier of the works Vo, to assign a new instance of envelope le in a table of envelopes Te and to store in the line of the instance le the references of the author user Ua; to create a conditioning table Te specific to the new envelope where it stores the various attributes of digital conditioning of the envelope Cn and Oo transmitted by the user author Ua; to memorize in the table of envelopes Te, at the line corresponding to the instance of envelope le, the coordinates of the conditioning table Te newly created.
  • step 107 for the verifier of the works Vo, to be transmitted to the author user Ua: the instance number specific to the envelope, and the type of hash algorithm Ah to be used.
  • step 108 for the author user Ua, to generate a condensate of the work Co by applying the hash algorithm Ah received to the main part of the envelope Ep.
  • step 109 for the author user Ua, to transmit the condensate Co to the verifier of the works Vo.
  • step 110 for the verifier of works Vo, to receive, from a trusted clock, the current date and time according to the Network Time Protocol (NTP for network time stamping protocol); generate a time stamped condensate Ch by applying to a grouping formed by the instance number le of the envelope, the condensate of the work Co, the current date and time, a hash algorithm Ah .
  • NTP Network Time Protocol
  • step 111 for the verifier of works Vo, to memorize in the table of envelopes Te, on the line corresponding to the envelope instance on: a) the condensate of the work Co, b) the date and the time of creation of the envelope as well as c) the type of hash algorithm Ah used to generate the time-stamped condensate Ch; to produce a time-stamped condensate signed Cs, by encrypting the time-stamped condensate Ch using the current private key of the verifier of works Vo.
  • step 112 for the verifier of the works Vo to generate a pair of keys, specific to the new envelope instance, one private Kv and the other public Kq, according to a key generation algorithm Ak; to be stored in the envelope table Te, at the corresponding line to the envelope instance on, its current works generator certificate and the public key Kq which will allow access to the content of the work, the private key Kv, not being kept at the end of the process Pc packaging.
  • step 113 for the verifier of works Vo, to transmit to the author user Ua a grouping formed of:
  • step 114 for the author user Ua, to verify the time-stamped condensate signed Cs by the use of the public key contained in the verifier's certificate Vo.
  • step 115 for the author user Ua, to be encrypted, using the encryption method Ac / Ak and the key Kv, the main part Ep of the envelope; to form the grouping of the contents of the envelope made up of: - a version number of the format of the envelope,
  • step 116 for the author user Ua and the verifier of the works Vo, to calculate and memorize each in their turn the updating of the sequence control Cq, based on the application to a chain, consisting on the one hand of a condensate of the history of transactions carried out by the user and on the other hand of the last transactions carried out by the user Ua, of a hashing algorithm Ah; then to transmit said sequence control Cq to the verifier of the device Vd.
  • step 117 for the verifier of the device Vd, to validate the successful completion of the transaction with the two actors Ua and Vo, on the one hand by comparing the sequence controls Cq updated respectively by the two actors Ua and Vo and, on the other hand, by checking the consistency of the date and time issued by Vo.
  • step 118 for the author user Ua, to close the envelope, which is then called "closed envelope", by saving it in the form of a file on the equipment device De which the author user Ua uses on the device Di.
  • step 119 for the author user Ua, to transmit the closed envelope, to the first signatory of the list Ls, or in the absence of signatory, to all of the subsequent recipient users present on the list Ld.
  • the author of the work could possibly include his author's certificate in the main part Ep of the envelope. If he also wants to be a signatory of the work, he must be included in the list of signatories Ls described during the definition of the annex part Ea of the envelope. We can thus differentiate the position of the author from that of the lawyer who writes an act: the lawyer is the author of the act without being one of the signatories.
  • the particular embodiment of the method which is the subject of the present invention illustrated in FIGS. 1 and 2 also includes a process of authentication Pa of an identified user Ui, author user Ua or subsequent user Uu, according to the Pv control and conditioning methods. pc.
  • the authentication process here consists of:
  • step 120 during a first connection, for the identified user Ui, to connect the authentication medium Sa, delivered during the "contract” process Pt, on its equipment device De.
  • step 121 for the identified user Ui, to produce an identification condensate Ci, based on the application to an identification chain defined by the identified user, of a hashing algorithm Ah (for the following steps of the process, the identified user Ui must remember this identification string because it will be required on each connection);
  • step 122 then, for the identified user Ui, to form a connection chain Ce composed of a part with fixed content and another part with variable content as a function of the transactions carried out on the device Di by the user Ui: a) the part with fixed content Cf is composed of the approval code Ca appearing on the support provided during the process of contracting Pt and the identification condensate Ci; and b) the variable content part Cq, called sequence control, is based on the application to a chain, consisting firstly of a condensate of the history of transactions carried out by the user and secondly of the latest transactions made by user Ui, of a hash algorithm Ah.
  • step 123 for the verifier of the device Vd, to receive the connection string Ce from the identified user Ui, to extract therefrom approval code Ca, identification condensate Ci, and variable content Cq, to compare the elements Ca and Cq with the corresponding user references stored in the user table You identified and, in case of consistency, to complete the references of said table Tu by adding the identification condensate Ci.
  • - step 124 during the following connections, for the identified user Ui, to connect the authentication authentication support.
  • - step 125 for the identified user Ui and the verifier Vo of the device Di, to each produce a chain of Ce connection. Then, for the verifier Vo to compare the connection string that it produced with that produced by the identified user Ui.
  • the particular embodiment of the method which is the subject of the present invention illustrated in FIG. 1 also includes a "contract" Pt process, a process following the will of a user to identify themselves and / or to contract a subscription on the device Di and which is characterized for the verifier of works Vo, by the production of an authentication support Sa, support given to the identified user Ui, the identified user Ui, according to the authentication processes Pa and conditioning Pc, which consists for the work verifier Vo: - step 130, of producing an approval code Ca, based on the application to an identity chain, supplied by the user Ui of a hashing algorithm Ah.
  • the identity chain is made up of the various elements relating to the identity of the identified user Ui (for example, for a private individual: name, first name, date and place of birth).
  • step 132 in registering the identity string and the e-mail address in a table of identified users Tu, stored on the equipment device De used on the device Di.
  • step 133 in registering the approval code Ca and the e-mail address on a physical Sa authentication support.
  • step 134 to give the user Ui the authentication support Sa.
  • the particular embodiment of the method which is the subject of the present invention illustrated in FIG. 1 also includes a "use" Pu process (process characterized by the implementation of the digital conditioning attributes contained in the envelope when accessing said envelope by a subsequent user Uu and in particular:
  • step 141 for the subsequent user Uu, to perform a first unbundling on a closed envelope from which it extracts:
  • step 142 for the subsequent user Uu, to connect with the work verifier Vo determined during the first unbundling and to issue the instance number Ni of the envelope.
  • step 143 for the verifier of the works Vo to point in the table of envelopes Te, the instance corresponding to the instance number Ni received.
  • step 144 for the verifier of the works Vo, to be checked in the conditioning table Te of the pointed envelope, if all the visas of the subsequent users signatory to the list Ls and of the subsequent users addressees of the list Ld have been stored. If this is the case, the verifier of works Vo authorizes the subsequent user Uu to continue the process. Otherwise, the verifier of Vo works launches the process "constitute annex" Px.
  • step 145 for the subsequent user Uu, to execute the actions from the list of operations to be performed at the opening Oo; to transmit to the verifier of Vo works a grouping formed of the reports of the actions executed.
  • step 146 for the verifier of works Vo, to validate this report by transmitting to the subsequent user Uu, a grouping formed of the public key Kp, of the types of decryption algorithm Ac and of hash Ah to be used, all stored in the instance pointed to in the table of envelopes Te.
  • step 147 for the subsequent user Uu, to decrypt the main part Ep of the envelope using the public key Kp and the type of encryption algorithm Ac received.
  • step 148 for the subsequent user Uu, to unbundle the main part Ep and to discover the content thereof: - the content of the work Ec,
  • step 150 for the subsequent user Uu, to carry out, if desired, various verifications, either: a. to verify the content of the envelope, its creation date and the identity of its author by decrypting the time stamped condensate signed Cs using the elements included in the X509 certificate contained in the envelope and comparing it to the resulting condensate of the hash of the different elements of the envelope (instance number le of the envelope, of the condensate of the work Co, of the current date and time, of a hash algorithm Ah - the condensate of the work Co corresponding to the hash of the main part Ep of the envelope). b.
  • step 151 for the verifier of works Vo, at the possible request of a subsequent user Uu, to compare the time-stamped condensates transmitted by the subsequent user Uu with the initial time-stamped condensates stored, for one, in the table of envelopes Te at the instance pointed to during the process use Pu and, for the others, in the corresponding conditioning table Te.
  • step 152 for the verifier of works Vo, to obtain the current date and time of a trusted clock according to the Network Time Protocol (NTP);
  • NTP Network Time Protocol
  • step 153 for the verifier of Vo works, to produce a time-stamped condensate by applying a hashing algorithm to a formed grouping at. confirmation text and b. the date and time of confirmation.
  • step 154 for the verifier of Vo works, to produce a signed time-stamped condensate, by encrypting the time-stamped condensate with his private key for verifying works Vo.
  • step 155 for the verifier of Vo works, to produce a signed confirmation by forming a grouping composed: a. of the confirmation text b. the date and time of the confirmation c. time-stamped condensate signed d. his certificate to the X509 standard for verifying Vo works;
  • step 156 for the verifier of works Vo, to transmit the signed confirmation to the subsequent user Uu.
  • FIGS. 1 and 2 also includes a process "constitute annex" Px (This process makes it possible: - to inform the author user and the signatory users of the events corresponding to the predetermined events called "notarization criteria" and
  • step 160 for the verifier of the works Vo, to identify in the conditioning table Te pointed during the process used Pu, the first signatory of the list Ls whose visa is absent. If all the visas of the signatories are present, go to the second phase.
  • step 161 for the verifier of works Vo, to submit the subsequent user Uu to an authentication process Pa.
  • the subsequent user Uu is not a user identified Ui by the device, to request it from him a signed X509 standard identity certificate, checking the signature of the certificate and then verifying its validity ("non-revocation") with the trusted third party specified in the said certificate.
  • step 162 for the verifier of the works Vo, to validate this identification by transmitting to the subsequent user Uu, a grouping formed of the public key Kp, of the types of decryption algorithms Ac and of hash Ah to use, all memorized at the instance of the envelope table Te pointed during the process use Pu.
  • step 163 for the subsequent user Uu, to decrypt the main part Ep of the envelope using the public key Kp and the type of encryption algorithm Ac received.
  • step 164 for the subsequent user Uu, to unbundle the main part Ep and to discover the content thereof:
  • step 165 for the subsequent user Uu, in generating a condensate of the main part of the envelope Cp by applying the hash algorithm Ah received to the main part of the envelope Ep.
  • step 166 for the identified subsequent user Uu, to transmit the condensate Cp to the verifier of the works Vo;
  • step 167 for the subsequent user Uu not identified on the device, to sign the condensate Cp by applying to it an encryption algorithm using the private key corresponding to the certificate X509 previously transmitted; then to transmit the condensate Cp accompanied by the condensate signed to the verifier of works Vo.
  • step 168 for the verifier of works Vo, to check the condensate received (and in the case of a signed condensate, previously decrypted) by comparing it to the condensate previously stored in the envelope table Te during the packaging process Pc of the envelope.
  • step 169 for the verifier of works Vo, to receive from a trusted clock the current date and time according to the Network Time Protocol (NTP).
  • NTP Network Time Protocol
  • step 170 for the verifier of works Vo, to generate a time-stamped condensate Ch by applying to a grouping formed by the instance number le of the envelope, condensate from the main part of the envelope Cp (accompanied by unidentified users of the signed condensate), the current date and time, an Ah hash algorithm.
  • step 171 for the verifier of works Vo, to memorize in the conditioning table Te pointed out during the process used Pu, the signatory of the list Ls whose visa is absent: a. condensate Cp (and possibly for unidentified users of signed condensate), b. the date and time of the visa as well as c. the type of hash algorithm used to generate the time-stamped condensate Ch.
  • step 172 for the verifier of works Vo, to generate a pair of keys, specific to the new signatory, one private Kv and the other public Kq, according to an algorithm for generating Ak of key, the private key Kv n ' not being kept at the end of the "constitute annex" process Px.
  • step 173 for the verifier of works Vo, to produce a time-stamped condensate signed Cs, by encryption of the time-stamped condensate Ch by the private key Kv generated for the new signatory.
  • step 174 for the verifier of the works Vo, to memorize in the pointed-up conditioning table Te specific to the envelope instance on: a. the public key Kq of the transaction (accompanied in the case of an unidentified user with their X509 certificate), these elements allowing the verification of the signed time-stamped condensate, b. the date and time of the signatory's visa, and c. the time-stamped condensate signed.
  • step 175 for the verifier of the works Vo, to transmit to the subsequent user Uu a grouping composed of: a. the public key Kq of the transaction (accompanied in the case of an unidentified user with his X509 certificate) - these elements will allow verification of the signed time-stamped condensate, b. the date and time of the signatory's visa, c. the time-stamped condensate signed.
  • step 176 for the verifier of Vo works, to transmit this grouping to all the other signatories who have targeted the envelope and appearing in the list Ls.
  • step 177 for the subsequent user Uu and the previous signatories, to join the grouping received to the content of the annexed envelope Ea.
  • step 178 for the identified subsequent user Uu and the verifier of the works Vo, to calculate and memorize, each, the updating of the sequence control Cq, based on the application to a chain, consisting, on the one hand, a summary of the history of transactions made by the user and, on the other hand, the last transactions made by the user Uu, a hash algorithm Ah.
  • step 179 for the subsequent user Uu, to transmit said sequence control Cq to the verifier of the device Vd.
  • step 180 for the verifier of the device Vd, to validate the successful completion of the transaction with the two actors Uu and Vo, on the one hand, by comparing the updating of the controls sequence Cq updated respectively by the two actors Uu and Vo and, on the other hand, by checking the consistency of the date and the time emitted by Vo.
  • step 181 for the subsequent user Uu, identified or not, to transmit the closed envelope and its annexes, to the next signatory of the list Ls, or in the absence of signatory, to all the recipients of the Ld list.
  • step 182 for the subsequent user Uu identified by the device, to close the process by resuming its authentication support Sa.
  • step 183 for the verifier of the works Vo, to identify in the conditioning table Te pointed during the process used Pu, the recipients of the list Ld whose visa is absent.
  • step 184 for the verifier of works Vo, to submit the subsequent user Uu to an authentication process Pa.
  • the subsequent user Uu is not a user identified Ui by the device, to claim it a signed X509 standard identity certificate, checking the signature of the certificate and then verifying its validity (non-revocation) with the trusted third party specified in the said certificate.
  • the subsequent user Uu does not have a certificate in accordance with the X509 standard, ask him for a confirmation of receipt Cr in the form of email - confirmation including: a. the instance number of the envelope Ni, b. the time stamped condensate signed Cs, c. if possible the serial number of its equipment device De, d. his email address.
  • step 185 for the verifier of the works Vo, to validate this identification by transmitting to the subsequent user Uu, a grouping formed of the public key Kp, of the types of decryption algorithms Ac and of hash Ah to use, all memorized at the instance of the envelope table Te pointed during the process use Pu.
  • step 186 for the subsequent user Uu, to decrypt the main part Ep of the envelope using the public key Kp and the type of encryption algorithm Ac received.
  • step 187 for the subsequent user Uu, to unbundle the main part Ep and to discover the content thereof: a. the content of the work Ec, b. the possible certificate of the author, c. any notes, d. the notarial criteria Cn (list of certificates of Ls signatories and Ld recipients); step 188, for the subsequent user Uu, in generating a condensate of the main part of the envelope Cp by applying the hash algorithm Ah received to the main part of the envelope Ep.
  • step 189 for the subsequent user Uu not identified on the device and provided with an X509 certificate, to sign the condensate Cp by applying to it an encryption algorithm and using the private key corresponding to the X509 certificate transmitted previously; then to transmit the condensate Cp accompanied by the condensate signed to the verifier of works Vo.
  • step 190 for the verifier of works Vo, to check the condensate received (and in the case of a signed condensate, previously decrypted) by comparing it to the condensate previously stored in the envelope table Te during the packaging process Pc of the envelope.
  • step 191 for the verifier of works Vo, to receive from a trusted clock the current date and time according to the Network Time Protocol (NTP).
  • NTP Network Time Protocol
  • step 192 for the verifier of works Vo, to generate a time-stamped condensate Ch by applying to a grouping formed by the instance number le of the envelope, condensate from the main part of the envelope Cp (accompanied by unidentified users either of a signed condensate or of a confirmation of receipt Cr), of the current date and time, of a hash algorithm Ah.
  • step 193 for the verifier of the works Vo, to be stored in the conditioning table Te pointed out during the process used Pu, the recipient of the list Ld whose visa is absent, a. condensate Cp (and possibly for unidentified users either of a signed condensate or of a confirmation of receipt Cr), b. the date and time of the visa as well as c. the type of hash algorithm used to generate the time-stamped condensate Ch.
  • step 194 for the verifier of works Vo, to generate a pair of keys, specific to the new recipient, one private Kv and the other public Kq, according to an algorithm for generating Ak of key, the private key Kv n ' not being kept at the end of the "constitute annex" process Px.
  • step 195 for the verifier of works Vo, to produce a time-stamped condensate signed Cs, by encryption of the time-stamped condensate Ch by the private key Kv generated for the new recipient.
  • step 196 for the verifier of the works Vo, to memorize in the pointed-up conditioning table Te specific to the envelope instance on: at. the public key Kq of the transaction (accompanied in the case of an unidentified user either by an X509 certificate or by a confirmation of receipt Cr) - these elements will allow verification of the signed time-stamped condensate, b. the date and time of the recipient's visa, and c. the time-stamped condensate signed.
  • step 197 for the verifier of the works Vo, to transmit to the subsequent user Uu a grouping composed of: a. the public key Kq of the transaction (accompanied in the case of an unidentified user either by an X509 certificate or by a confirmation of receipt Cr), these elements allowing the verification of the signed time-stamped condensate, b. the date and time of the recipient's visa, and c. the time-stamped condensate signed.
  • step 198 for the verifier of Vo works, to transmit this grouping to all the other signatories who have signed the envelope and appearing in the list Ls.
  • step 199 for the subsequent user Uu and the previous signatories, to join the grouping received to the content of the annexed envelope Ea.
  • step 200 for the subsequent user Uu identified by the device and the verifier of the works Vo, to calculate and memorize each in their turn the update of the control sequence Cq, based on the application to a chain, consisting, d on the one hand, a condensate of the history of transactions carried out by the user and, on the other hand, of the last transactions carried out by the user Uu, of a hashing algorithm Ah; and to transmit said sequence checks Cq to the verifier of the device Vd.
  • step 201 for the verifier of the device Vd, to validate the successful completion of the transaction with the two actors Uu and Vo, on the one hand, by comparing the updating of the sequence controls Cq updated respectively by the two actors Uu and Vo and, on the other hand, by checking the consistency of the date and time emitted by Vo.
  • step 202 for the subsequent user Uu identified by the device, to close the process by resuming its authentication support Sa.
  • FIGS. 1 and 2 The particular embodiment of the method which is the subject of the present invention illustrated in FIGS. 1 and 2 is implemented by an equipment device De, for example of the microcomputer type - called PC compatible - or any programmable equipment capable of implementing the various process of the device of the invention Di and in particular provided with:
  • an equipment device De for example of the microcomputer type - called PC compatible - or any programmable equipment capable of implementing the various process of the device of the invention Di and in particular provided with:
  • an operating system capable of implementing the various processes of the Di device equipment for accessing an external network managed by the operating system (e.g. modem, network card) and the following peripherals managed by the operating system: a. or a non-modifiable Sa authentication support reader (ex: cd-rom) b. or a reader of authentication support Sa allowing the modification of a remote memory zone (ex: dongle, smart card, ...)
  • Said equipment devices De specifically assigned to each of the 4 "actors" of the device Di: a . the author who created the work, “User author Ua” b. the user of the work, “Subsequent user Uu” c. the verifier of conditioned works Vo d. the verifier of the device Vd.
  • the equipment device De is a microcomputer - said to be PC compatible -, provided with a cd-rom reader and a modem;
  • the Sa authentication support is a CD-ROM;
  • the operating system is the Linux system with a 2.2 kernel.
  • the hash algorithms Ah and public key encryption Ac, Ak are the SHA (acronym for "Secure Hash Algorithm” for secure condensate algorithm) for the 'Ah algorithm and the RSA (acronym of "Rivest, Shamir and Adelman") for the algorithm Ac, Ak.
  • the hash algorithm Ah is MD5 (acronym for "Message Digest 5").
  • the public key encryption algorithm Ac, Ak is the DH (acronym for "Diffie-Hellman").
  • the public key encryption algorithm Ac, Ak is the DSA (acronym for "Digital Signature Algorithm” for digital signature algorithm).
  • Figures 1 and 2 refers to a microcomputer - called "PC compatible" - and a Linux operating system, but also applies to any programmable equipment with an operating system capable of putting implement the various processes of the Di device, in particular microcomputer or minicomputer, in standard configuration - processor, motherboard, controller cards for standard peripherals and standard devices (keyboard, screen, storage device) - equipped with an operating system capable of implementing the various processes of this device.
  • Figures 1 and 2 refers to the hash algorithms Ah SHA and MD5, but also applies to any algorithm having the effect of the contraction of an initial element such that the initial element cannot be obtained from the condensate. and that any minimal variation of the initial element generates a complete modification of the condensate.
  • Figures 1 and 2 refers to the encryption algorithms Ac with public key RSA, DH and DSA, but also applies to any algorithm having the effect of encrypting a message by means of a private key and decryption. of said message by a public key such that the determination of the private key by means of the public key is as complex as possible.
  • FIG. 3 shows a second exemplary embodiment of the invention comprising:
  • a step 300 of subscribing a user to the data conditioning service a step 302 of purchasing usage rights, called "stamps", by said user, from the data conditioning service, the number stamps held by said user being kept by a remote computer system accessible to the computer system of the author user via the Internet,
  • a step 304 of creating data for example using word processing software, a spreadsheet, or drawing software,
  • a step 306 of selecting the conditioning functions offered by the implementation of the present invention during which the user clicks on the so-called "right" button of his pointing device, for example a mouse, displays a contextual menu comprising a reference to the conditioning of the data object of the present invention, and selects the conditioning function,
  • a step 308 for configuring the packaging during which the user can select conditions for using the data: a. at least one subsequent recipient user authorized to access the data but not to modify or edit it, b. at least one subsequent recipient user authorized to access and modify the data, vs. a duration of right of access to the data, for example by selection of a predetermined time interval, for example two weeks, or by selection of a deadline for accessing the data, and d. authentication conditions for each subsequent user, for example, password, electronic certificate, electronic signature.
  • envelope a file called "envelope"
  • envelope comprising data, digital conditioning attributes assigned to said data and information guaranteeing the integrity of said data
  • IP Internet address
  • ISP Internet access provider
  • the remote computer system performs a step 328 of memorizing the modifications made to said data, - during at least part (for example the electronic signature and / or modification of the data) of the events affecting said data, a step 330 of transmitting, to the author user, an acknowledgment message identifying the subsequent recipient user having caused said event (alternatively during transmission step 330, transmits, to each author user and to each signatory user, an identifier of at least one predetermined event, the date of occurrence of each said predetermined event and the identifier of the subsequent user who caused said event), and
  • step 332 comprises a step of grouping of said events occurring with said envelope, in each computer system of each author user and each signatory user, either automatically or as soon as he connects to the remote computer system.
  • each access to data causes the deduction of a stamp in the user's account.
  • FIG. 3 Each step of FIG. 3 is clarified by the description of FIGS. 1 and 2.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Le procédé de protection de données comporte: une étape d'affectation (310) auxdites données, dans un système informatique d'un utilisateur auteur, d'attributs dits de 'conditionnement numérique' correspondant à au moins un évènement prédéterminé susceptible d'affecter lesdites données au cours de leur utilisation ultérieure; une étape d'attribution (312), dans une système informatique de l'utilisateur auteur, d'une information garantissant l'intégrité desdites données; une étape de formation d'un fichier dit «enveloppe» (315), dans un système informatique de l'utilisateur auteur, enveloppe comportant des données, des attributs de conditionnement numérique affectés auxdites données et de l'information garantissant l'intégrité desdites données; une étape de mémorisation (316), dans un système informatique distant, des attributs de conditionnement numérique desdites données et de l'information garantissant l'intégrité desdites données; pour chaque événement prédéterminé relatif auxdites données, une étape de mémorisation (326), dans le système informatique distant et en relation avec les attributs desdites données, d'un identifiant dudit événement et de la date dudit événement et; à chaque connexion entre le système informatique d'un utilisateur auteur et le système informatique distant, une étape de mémorisation (332) des événements prédéteréminés correspondant aux attributs desdites données dans le système informatique de l'utilisateur auteur.

Description

PROCEDE ET DISPOSITIF DE PROTECTION DE DONNEES
La présente invention concerne un procédé et un dispositif de protection de données. Elle s'applique, en particulier, au traitement sécurisé de donnée numériques. Encore plus particulièrement, la présente invention s'applique à assurer le contrôle sur la diffusion d'une œuvre électronique, par son utilisateur auteur. Les techniques traditionnelles de signatures électroniques à clefs publiques visent à garantir l'identité de l'auteur d'une œuvre et ajoutent quelquefois des fonctionnalités d'horodatage.
L'utilisateur ultérieur d'une œuvre signée se garantit de l'intégrité de l'œuvre, de l'identification de son auteur et de la date de création de l'œuvre en utilisant tour à tour la clef publique des auteurs, celle du dispositif d'horodatage puis en consultant la liste des certificats révoqués d'un tiers certificateur.
Ces techniques traditionnelles ont plusieurs inconvénients, notamment : i) elles ne protègent par les auteurs du risque de vol de leur clef privée ; ii) elles ne prennent pas en compte tous les critères de la notarisation, notamment ceux concernant la destination des œuvres numériques - fonctions d'accusé réception ; et iii) elles n'offrent aucune possibilité aux auteurs de contrôler la diffusion de leurs œuvres.
Pour pallier à ces inconvénients, la solution traditionnelle consiste à créer des tuyaux sécurisés - espaces de confiance - où des abonnés utilisateurs s'échangent des informations dont la trace est éventuellement conservée dans une table spécifique. Cette solution traditionnelle fait l'objet de développements spécifiques coûteux et remédie rarement à l'ensemble des inconvénients rencontrés dans la mise en œuvre des techniques de signature électronique ; de plus, elle a quelques sérieux inconvénients i) Quid de l'information lorsqu'elle sort des tuyaux sécurisés, pour être dirigée vers un utilisateur non répertorié ou vers un espace de confiance non compatible ? ; ii) Quid des pénétrations malintentionnées sur les tuyaux sécurisés ? ; et iii) Elles obligent l'organisme désireux d'appliquer une solution de signature électronique à confier la gestion de ses informations sensibles à un tiers certificateur.
La présente invention entend remédier à ces inconvénients. A cet effet, la présente invention vise, selon un premier aspect, un procédé de protection de données, caractérisé en ce qu'il comporte :
- une étape d'affectation, dans un système informatique d'un utilisateur auteur, d'attributs dits de "conditionnement numérique" auxdites données, attributs correspondant à au moins un événement prédéterminé susceptible d'affecter lesdites données au cours de leur utilisation ultérieure, - une étape d'attribution, dans un système informatique de l'utilisateur auteur, d'une information garantissant l'intégrité desdites données,
- une étape de formation d'un fichier dit «enveloppe», dans un système informatique de l'utilisateur auteur, enveloppe comportant des données, des attributs de conditionnement numérique affectés auxdites données et de l'information garantissant l'intégrité desdites données,
- une étape de mémorisation, dans un système informatique distant, des attributs de conditionnement numérique desdites données et de l'information garantissant l'intégrité desdites données, - pour chaque événement prédéterminé relatif aux dites données, une étape de mémorisation, dans le système informatique distant et en relation avec les attributs desdites données, d'un identifiant dudit événement et de la date dudit événement, et
- à chaque connexion entre le système informatique d'un utilisateur auteur et le système informatique distant, une étape de mémorisation des événements prédéterminés correspondant aux attributs desdites données dans le système informatique de l'utilisateur auteur, de telle manière que le système informatique de l'utilisateur auteur conserve alors, pour chaque événement touchant lesdites données, l'identifiant dudit événement, l'identifiant de l'utilisateur provoquant ledit événement et la date dudit événement.
Grâce à ces dispositions, l'utilisateur auteur est informé, grâce aux attributs des données, de tous les événements touchant lesdites données et ayant précédé sa dernière connexion au système informatique distant.
Selon des caractéristiques particulières, au cours de l'étape d'affectation d'attributs de conditionnement numérique, les attributs desdites données comportent un identifiant de l'auteur desdites données. Grâce à ces dispositions, chaque utilisateur ultérieur accédant auxdites données connaît l'identité de leur auteur.
Selon des caractéristiques particulières, au cours de l'étape d'affectation d'attributs de conditionnement numérique, les attributs desdites données comportent un identifiant de chaque utilisateur ultérieur, signataire ou destinataire, desdites données. Grâce à ces dispositions, chaque utilisateur ultérieur accédant auxdites données connaît l'identité de chaque utilisateur signataire ou destinataire ultérieur.
Selon des caractéristiques particulières, chaque événement touchant lesdites données ne peut être effectué, par un utilisateur ultérieur, qu'au cours d'une connexion entre un système informatique dudit utilisateur ultérieur et le système informatique distant. Grâce à ces dispositions, le système informatique distant et donc aussi l'auteur desdites données, sont informés de chaque événement touchant lesdites données.
Selon des caractéristiques particulières, au cours de l'étape de mémorisation dans le système informatique distant d'identifiant d'événement, le système informatique distant mémorise, en outre, un identifiant de l'utilisateur provoquant ledit événement.
Grâce à ces dispositions, l'utilisateur auteur est informé de l'identité de chaque utilisateur ultérieur qui provoque un événement sur les données.
Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci- dessus comporte une étape de détermination de conditions d'utilisation desdites données, par le système informatique de l'utilisateur auteur et, à chaque demande d'accès auxdites données, une étape de vérification que les conditions d'utilisation des données sont respectées.
Grâce à ces dispositions, l'utilisateur auteur fixe lui-même dans quelles conditions, les données pourront être utilisées par un utilisateur ultérieur.
Selon des caractéristiques particulières, les conditions d'utilisation comportent des conditions d'identification de l' utilisateur ultérieur. Selon des caractéristiques particulières, les conditions d'identification de l'utilisateur comportent, au moins, la mise en oeuvre d'un certificat électronique identifiant le système informatique de l' utilisateur ultérieur. Selon des caractéristiques particulières, les conditions d'identification de l'utilisateur comportent, au moins, la mise en oeuvre d'une signature électronique par le système informatique de l' utilisateur ultérieur.
Grâce à chacune de ces dispositions, l'utilisateur ultérieur est authentifié et l'utilisateur auteur peut avoir une certaine assurance de l'identité de chaque utilisateur ultérieur de ses données.
Selon des caractéristiques particulières, les conditions d'utilisation comportent un droit, ou non, d'éditer lesdites données. Grâce à ces dispositions, l'utilisateur auteur décide si ses données peuvent être modifiées ou non.
Selon des caractéristiques particulières, les conditions d'utilisation comportent une période de droit d'accès auxdites données. Grâce à ces dispositions, rutilisateur auteur fixe une période d'utilisation de ses données. On observe que cette période peut être exprimée sous forme d'un délai, par exemple quinze jours (par exemple pour la signature de documents liés à une assemblée générale de société) ou d'au moins une date limite (par exemple, pour la prise en compte d'une offre commerciale saisonnière). Selon des caractéristiques particulières, l'information garantissant l'intégrité est un condensât (en anglais "hash"). Grâce à ces dispositions, la mise en oeuvre de rinformation garantissant l'intégrité des données peut être simplifiée et standardisée.
Selon des caractéristiques particulières, chaque utilisateur dispose d'un compte contenant un nombre d'accès à des données prédéterminés, appelés "timbres" et chaque fourniture de données et/ou chaque accès à des données provoque le décomptage d'un timbre dans le compte de l'utilisateur. Grâce à ces dispositions, les services fournis en mettant en oeuvre la présente invention peuvent faire l'objet de micro-paiements et/ou d'abonnements.
Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci- dessus comporte, lors d'au moins une partie (par exemple la signature électronique) des événements touchant lesdites données, une étape de transmission, à l'utilisateur auteur, d'un message d'accusé de réception identifiant l'utilisateur ultérieur ayant provoqué ledit événement.
Selon des caractéristiques particulières, au cours de l'étape de mémorisation d'événement, on mémorise une adresse Internet ("IP") et/ou un identifiant du fournisseur accès à Internet ("FAI") de l'utilisateur ultérieur.
Selon des caractéristiques particulières, pour effectuer au moins l'une des étapes d'affectation d'attributs auxdites données, d'attribution, dans un système informatique de l'utilisateur auteur, d'une information garantissant l'intégrité desdites données, et de mémorisation, dans un système informatique distant, des attributs desdites données, l'utilisateur émetteur effectue une étape de sélection équivalente au clic sur un bouton de souris faisant apparaître un menu qui comporte une identification du procédé objet de la présente invention. Selon des caractéristiques particulières, lorsque l'utilisateur a ouvert un fichier de données, en effectuant ladite sélection, il met en oeuvre le procédé objet de la présente invention sur les données du dit fichier. Selon des caractéristiques particulières, l'étape de sélection est effectuée par un étape de clic sur le bouton droit de la souris.
Grâce à ces dispositions, la mise en oeuvre du procédé objet de la présente invention, par l'utilisateur auteur, est aisée et intuitive.
Selon des caractéristiques particulières, lorsque, au cours d'un événement prédéterminé, lesdites données sont modifiées par un utilisateur ultérieur, le système informatique distant effectue une mémorisation des modifications apportées auxdites données. Grâce à ces dispositions, l'utilisateur auteur est informé des modifications apportées à ses données. Selon des caractéristiques particulières, les attributs de conditionnement numérique déterminent des utilisateurs ultérieurs autorisés à signer lesdites données.
Selon des caractéristiques particulières, pour au moins un événement prédéterminé, les attributs de conditionnement numérique affectés lors de l'étape d'affectation d'attributs aux dites données, représentent une identification d'au moins un utilisateur ultérieur. Ces attributs de conditionnement numériques sont dits «critères de notarisation». Grâce à ces dispositions, un utilisateur auteur peut choisir les utilisateurs ultérieurs et, parmi ces derniers, les utilisateurs ultérieurs signataires des données.
Selon des caractéristiques particulières, pour au moins un événement prédéterminé, les attributs de conditionnement numérique affectés lors de l'étape d'affectation d'attributs aux dites données, représentent une condition d'utilisation desdites données. Ces attributs de conditionnement numériques sont dits «attributs de contrôle». Grâce à ces dispositions, un utilisateur auteur peut choisir les utilisations autorisées des données : lecture simple, téléchargement, édition, par exemple. On observe que les critères de notarisation et les attributs de contrôle peuvent être combinés pour que chaque utilisateur ultérieur possède un droit d'utilisation spécifique. Par exemple, un avocat peut disposer d'un droit d'édition des données, un signataire peut disposer d'un droit de téléchargement et un utilisateur non signataire un droit de lecture simple. Selon des caractéristiques particulières, le procédé comporte une étape de transmission, à chaque utilisateur auteur et à chaque utilisateur signataire, d'un identifiant d'au moins un événement prédéterminé, de la date de survenance de chaque dit événement prédéterminé et de l'identifiant de l'utilisateur ultérieur ayant provoqué ledit événement.
Grâce à ces dispositions, l'utilisateur auteur et les utilisateurs signataires sont informés des événements correspondant aux événements prédéterminés liés aux «critères de notarisation» touchant lesdites données et ayant précédé leurs dernières connexion au système informatique distant.
Selon des caractéristiques particulières, le procédé comporte, dans les systèmes informatiques de l'utilisateur auteur et des utilisateurs signataires, une étape de regroupement desdits événements, correspondant aux événements prédéterminés dits «critères de notarisation», avec le groupage dit «enveloppe» initialement formé.
Grâce à ces dispositions le groupage dit «enveloppe» permet de connaître les événements ayant touchés lesdites données même s'il est dupliqué en dehors du système informatique habituel de l'utilisateur. Selon des caractéristiques particulières, chaque système informatique distant est contrôlé par un autre système informatique distant dit "agence postale". Grâce à ces dispositions l'agence postale conserve la maîtrise des enveloppes émises par les systèmes informatiques distants. Selon des caractéristiques particulières, le procédé tel que succinctement exposé ci- dessus comporte une étape de regroupement des dits événements avec ladite enveloppe, dans chaque système informatique de chaque utilisateur auteur et de chaque utilisateur signataire. Dans l'état actuel de la technique, lorsqu'un auteur d'un document souhaite obtenir la signature de plusieurs personnes, puis, une fois que chaque signataire a signé, obtenir un accusé de réception, il doit effectuer les opérations suivantes :
- l'auteur doit s'identifier en tant qu'auteur,
- l'auteur envoie le document au premier signataire, qui le signe et l'envoie au deuxième signataire et ainsi de suite jusqu'à ce que tous les signataires aient signé,
- l'auteur ne peut envoyer le document signé de tous les signataires qu'une fois que tous les signataires ont signé le document.
Le premier inconvénient de cet état de fait est qu'à moins de réunir tous les signataires au même moment, il n'y a qu'une seule personne qui dispose de toutes les signatures précédantes.
Le deuxième inconvénient est que les accusés de réception ne parviennent qu'à une seule personne, qui est chargée d'en avertir les autres signataires.
Selon un deuxième aspect, la présente invention vise à remédier à ces inconvénients. A cet effet, la présente invention vise un procédé de traitement de données, caractérisé en ce qu'il comporte :
- pour au moins un événement prédéterminé touchant lesdites données, une étape d'affectation d'attributs dits "de conditionnement numérique de notarisation" auxdites données, lesdits attributs de conditionnement numérique représentent une identification d'au moins un utilisateur ultérieur,
- une étape de formation d'un fichier dit «enveloppe», dans un système informatique de l'utilisateur auteur, enveloppe comportant des données, des attributs de conditionnement numérique affectés auxdites données et de l'information garantissant l'intégrité desdites données,
- une étape de transmission, à chaque utilisateur auteur et à chaque utilisateur signataire, d'un identifiant dudit événement correspondant à un dit événement prédéterminé mettant en oeuvre un attribut de conditionnement numérique de notarisation, de la date dudit événement et de l'identifiant de l'utilisateur ultérieur ayant provoqué ledit événement, et
- dans les systèmes informatiques de chaque utilisateur auteur et de chaque utilisateur signataire, une étape de regroupement desdits événements avec ladite enveloppe. Grâce à ces dispositions, l'étape de regroupement permet une mise à jour synchronisée et donc rapide, des enveloppes de chaque utilisateur auteur et de chaque utilisateur signataire.
La présente invention vise, selon un troisième aspect, un procédé de protection de données, caractérisé en ce qu'il comporte :
- une étape de mémorisation, dans un système informatique distant, d'attributs desdites données provenant d'un système informatique d'un utilisateur auteur,
- pour chaque événement prédéterminé relatif aux dites données, une étape de mémorisation, dans le système informatique distant et en relation avec les attributs desdites données, d'un identifiant dudit événement et de la date dudit événement, et
- à chaque connexion entre le système informatique utilisateur et le système informatique distant, une étape de mise à jour et de mémorisation des attributs desdites données dans un système informatique de l'utilisateur auteur de telle manière que le système informatique de l'utilisateur auteur conserve alors, pour chaque événement touchant lesdites données, l'identifiant dudit événement, l'identifiant de l'utilisateur provoquant ledit événement et la date dudit événement. La présente invention vise, selon un quatrième aspect, un dispositif de protection de données, caractérisé en ce qu'il comporte :
- un moyen d'affectation, dans un système informatique d'un utilisateur auteur, d'attributs dits de "conditionnement numérique" auxdites données, attributs correspondant à au moins un événement prédéterminé susceptible d'affecter lesdites données au cours de leur utilisation ultérieure,
- un moyen d'attribution, dans un système informatique de l'utilisateur auteur, d'une information garantissant l'intégrité desdites données,
- un moyen de formation d'un fichier dit «enveloppe», dans un système informatique de l'utilisateur auteur, enveloppe comportant des données, des attributs de conditionnement numérique affectés auxdites données et de information garantissant l'intégrité desdites données,
- un moyen de mémorisation, dans un système informatique distant, adapté : i) à mémoriser des attributs de conditionnement numérique desdites données et de l'information garantissant l'intégrité desdites données, ii) pour chaque événement prédéterminé relatif aux dites données, à mémoriser, dans le système informatique distant et en relation avec les attributs desdites données, un identifiant dudit événement et de la date dudit événement, et iii) à chaque connexion entre le système informatique d'un utilisateur auteur et le système informatique distant, à mémoriser des événements prédéterminés correspondant aux attributs desdites données dans le système informatique de l'utilisateur auteur, de telle manière que le système informatique de l'utilisateur auteur conserve alors, pour chaque événement touchant lesdites données, l'identifiant dudit événement, l'identifiant de l'utilisateur provoquant ledit événement et la date dudit événement Les avantages et caractéristiques des deuxième à quatrième aspects de la présente invention étant identique à ceux du premier aspect, ils ne sont pas rappelés ici.
D'autres avantages, buts et caractéristiques de la présente invention ressortiront de la description qui va suivre, faite en regard des dessins annexés dans lesquels :
- la figure 1 représente, de manière schématique, un mode de réalisation particulier de la présente invention, et
- la figure 2 représente, de manière schématique, un logigramme mis en oeuvre dans le premier mode de réalisation du procédé objet de la présente invention, et
- la figure 3 représente, de manière schématique, un logigramme mis en oeuvre dans un deuxième mode de réalisation du procédé objet de la présente invention. Avant de décrire les figures, on donne, ci-après des définitions de termes utilisés dans le description.
On appelle "enveloppe" des données, un document un fichier ou une œuvre conditionné formé du contenu des données, document fichier ou œuvre et de ses attributs dits de «conditionnement numériques ". On appelle "utilisateur auteur Ua" un utilisateur identifié muni du droit de création d'enveloppe.
On appelle "vérificateur des œuvres Vo" ou "Bureau de Poste" un équipement de gestion des abonnés et de contrôle de diffusion des enveloppes.
On appelle "vérificateur du dispositif Vd" ou "Agence Postale" un équipement de gestion et de contrôle des "Bureaux de Poste" Vo.
On appelle "certificat" un groupage permettant de s'assurer du niveau de validité de l'identité de son propriétaire. Dans la description, il peut prendre la forme :
- soit d'une adresse de courrier électronique (en anglais "e-mail"), l'identification se fait lors des processus propres au dispositif Di objet de la présente invention ; - soit d'un fichier conforme à rinfrastructure à clés publiques PKI (acronyme de Public Key Infrastructure'1 pour infrastructure à clés publiques) et/ou à la norme X509 de FUIT (Union Internationale des Télécommunications), l'identification se fait alors par un processus classique par utilisation de la clef publique contenue dans le certificat X509 et vérification de la validité du certificat auprès du tiers de confiance spécifié dans le certificat X509.
On appelle "condensât" (en anglais "hash"), ou empreinte la contraction d'un élément initial tel que l'élément initial ne puisse être obtenu à partir du condensât et que toute variation minime de l'élément initial engendre une modification du condensât. On appelle "conditionnement" l'affectation d'attributs à des données, un fichier, un document ou une œuvre de façon à les protéger conformément à la présente invention, et, dans des modes de réalisation particuliers, pour en garantir les paramètres de notarisation et d'en contrôler la diffusion et/ou la modification ultérieure.
On appelle "attributs de conditionnement numérique" des informations représentatives d'événements prédéterminés susceptibles d'affecter lesdites données au cours de leur utilisation ultérieure.
On appelle "contrôle de diffusion" les éléments permettant d'assurer la traçabilité de données, et d'en maîtriser les conditions d'utilisation.
On appelle "oeuvre" tout document ou ensemble de documents numérisables. Cette notion comporte donc tout type de données, de fichiers, de documents.
On appelle "notarisation" un enregistrement des éléments essentiels d'une transaction entre deux parties par une tierce partie de confiance (autorisée). Cette technique améliore la sécurité d'un système EDI dans la mesure où elle assure aux parties, grâce à un tiers auquel elles se fient, différents mécanismes de suivi et d'archivage des transactions émises et reçues (l'intégrité, l'origine, la date et la destination des données). Le tiers doit acquérir les informations nécessaires par des communications protégées et les conserver.
On observe, en figure 1, quatre acteurs mettant en oeuvre un premier mode de réalisation de la présente invention :
- l'utilisateur auteur Ua aussi appelé "abonné émetteur", - l'utilisateur destinataire Uu aussi appelé "utilisateur ultérieur",
- un vérificateur des oeuvres Vo et
- un vérificateur du dispositif Vd
Le premier mode de réalisation illustré en figure 1 met aussi en oeuvre un dispositif équipement De affecté spécifiquement à la mise en oeuvre du procédé objet de la présente invention ainsi que différents processus Pv, Pa, Pc, Pu et Px, décrits plus loin. Le document conditionné produit est symbolisé, en figure 1, par une enveloppe. L'acquisition de l'heure auprès d'une horloge de confiance est symbolisée par un cadran horaire analogique et par les lettres ("NTP") relatif au protocole utilisé pour l'acquisition de l'heure. Dans le premier mode particulier de mise en oeuvre de la présente invention illustré en figure 1, le vérificateur des œuvres Vo est responsable de la gestion des utilisateurs (ajout, modification, suppression) et du contrôle à distance des œuvres émises et le vérificateur du dispositif Vd est responsable de la gestion des «bureaux de poste» Vo (ajout, modification, suppression) et du contrôle à distance de leur bon fonctionnement. Le vérificateur des oeuvres Vo soumet, à chacune de ses connexions, l'auteur de l'œuvre utilisateur Ua du dispositif Di à un processus d'authentification Pa. Le vérificateur des oeuvres Vo effectue aussi un processus de conditionnement Pc de l'œuvre créée, reçoit et stocke, pour comparaison ultérieure lors d'un processus d'utilisation Pu, l'ensemble des attributs de conditionnement numérique de l'œuvre sur le dispositif équipement De qu'il utilise dans le dispositif Di.
Comme illustré en figure 2, le processus de conditionnement Pc d'une œuvre numérique O consiste en :
- étape 101, pour l'utilisateur auteur Ua, à créer un document conditionné vide, appelé enveloppe, sur le dispositif équipement De qu'il utilise sur le dispositif Di et à le nommer ; - étape 102, pour l'utilisateur auteur Ua, à former le groupage de la partie principale Ep de l'enveloppe, composé du contenu de l'œuvre Ec à insérer, éventuellement de son certificat d'auteur, d'une zone de note à compléter à son gré et enfin des critères dits de "notarisation" Cn de l'enveloppe, critères qui permettront l'ajout d'une enveloppe annexe Ea lors du processus constituer annexe Px de l'enveloppe : - les utilisateurs ultérieurs signataires, sous forme de liste de certificats de signataires Ls,
- les utilisateurs ultérieurs destinataires, sous forme de liste de certificats de destinataires Ld,
- étape 103, pour l'utilisateur auteur Ua, à définir la liste des opérations à effectuer à l'ouverture Oo de l'enveloppe : contrôle des conditions d'utilisation (période, fréquence, ...), démarches à exécuter (identification, paiement, ...). De manière générale, le dispositif Di ne permettra l'accès au contenu de l'enveloppe qu'à la suite des différentes vérifications effectuées lors du processus d'utilisation Pu.
- étape 104, pour l'utilisateur auteur Ua, à se soumettre au processus d'authentification Pa, - étape 105, pour l'utilisateur auteur Ua, à émettre à destination du vérificateur des œuvres Vo une demande de création d'enveloppe à laquelle l'utilisateur auteur Ua adjoint les attributs de conditionnement numérique de l'enveloppe :
- les critères dits de notarisation Cn de l'enveloppe, et - la liste des opérations à effectuer à l'ouverture Oo.
- étape 106, pour le vérificateur des œuvres Vo, à attribuer une nouvelle instance d'enveloppe le dans une table des enveloppes Te et à mémoriser à la ligne de l'instance le les références de l'utilisateur auteur Ua ; à créer une table de conditionnement Te propre à la nouvelle enveloppe où il mémorise les différents attributs de conditionnement numérique de l'enveloppe Cn et Oo transmises par l'utilisateur auteur Ua ; à mémoriser dans la table des enveloppes Te, à la ligne correspondante à l'instance d'enveloppe le, les coordonnées de la table de conditionnement Te nouvellement créée.
- étape 107, pour le vérificateur des œuvres Vo, à transmettre à l'utilisateur auteur Ua : le numéro d'instance le propre à l'enveloppe, et - le type d'algorithme de hachage Ah à utiliser.
- étape 108, pour l'utilisateur auteur Ua, à générer un condensât de l'œuvre Co par l'application de l'algorithme de hachage Ah reçu à la partie principale de l'enveloppe Ep.
- étape 109, pour l'utilisateur auteur Ua, à transmettre le condensât Co au vérificateur des œuvres Vo. - étape 110, pour le vérificateur des œuvres Vo, à recevoir, de la part d'une horloge de confiance, la date et l'heure courante suivant le protocole Network Time Protocol (NTP pour protocole d'horodatage en réseau) ; à générer un condensât horodaté Ch par l'application à un groupage formé du numéro d'instance le de l'enveloppe, du condensât de l'œuvre Co, de la date et de l'heure courante, d'un algorithme de hachage Ah. - étape 111, pour le vérificateur des oeuvres Vo, à mémoriser dans la table des enveloppes Te, à la ligne correspondante à l'instance d'enveloppe le : a) le condensât de l'œuvre Co, b) la date et l'heure de création de l'enveloppe ainsi que c) le type d'algorithme de hachage Ah utilisé pour générer le condensât horodaté Ch ; à produire un condensât horodaté signé Cs, par le chiffrement du condensât horodaté Ch au moyen de la clef privée actuelle du vérificateur des œuvres Vo.
- étape 112, pour le vérificateur des œuvres Vo à générer une paire de clefs, propre à la nouvelle instance d'enveloppe, l'une privée Kv et l'autre publique Kq, selon un algorithme de génération Ak de clef ; à mémoriser dans la table des enveloppes Te, à la ligne correspondante à l'instance d'enveloppe le, son certificat actuel de générateur des oeuvres et la clef publique Kq qui permettra l'accès au contenu de l'œuvre, la clef privée Kv, n'étant pas conservée à l'issue du processus de conditionnement Pc.
- étape 113, pour le vérificateur des œuvres Vo, à transmettre à l'utilisateur auteur Ua un groupage formé de :
- la méthode de cryptage Ac/Ak et la clef Kv, la date et de l'heure de création de l'enveloppe, le condensât horodaté signé Cs, son certificat à la norme X509 de vérificateur Vo. - étape 114, pour l'utilisateur auteur Ua, à vérifier le condensât horodaté signé Cs par l'utilisation de la clef publique contenue dans le certificat du vérificateur Vo.
- étape 115, pour l'utilisateur auteur Ua, à crypter, à l'aide de la méthode de cryptage Ac/Ak et de la clef Kv, la partie principale Ep de l'enveloppe ; à former le groupage du contenu de l'enveloppe composé : - d'un numéro de version du format de l'enveloppe,
- du certificat à la norme X509 du vérificateur Vo,
- du numéro d'instance de l'enveloppe Ni,
- de la date et de l'heure de création de l'enveloppe,
- du condensât horodaté signé Cs, - de la partie principale cryptée,
- de la liste d'opérations à effectuer à l'ouverture Oo.
- étape 116, pour l'utilisateur auteur Ua et le vérificateur des œuvres Vo, à calculer et à mémoriser chacun de leur côté la mise àjour du contrôle séquence Cq, basée sur l'application à une chaîne, constituée d'un part d'un condensât de l'historique des transactions effectuées par l'utilisateur et d'autre part des dernières transactions effectuées par l'utilisateur Ua, d'un algorithme de hachage Ah ; puis à transmettre ledit contrôle séquence Cq au vérificateur du dispositif Vd.
- étape 117, pour le vérificateur du dispositif Vd, à valider la bonne fin de la transaction auprès des deux acteurs Ua et Vo, d'une part en comparant les contrôles séquence Cq mis à jour respectivement par les deux acteurs Ua et Vo et, d'autre part, en vérifiant la cohérence de la date et l'heure émise par Vo.
- étape 118, pour l'utilisateur auteur Ua, à clôturer l'enveloppe, qui est dénommée alors "enveloppe fermée", par son enregistrement sous forme de fichier sur le dispositif équipement De que l'utilisateur auteur Ua utilise sur le dispositif Di. - étape 119, pour l'utilisateur auteur Ua, à transmettre l'enveloppe fermée, vers le premier signataire de la liste Ls, ou en l'absence de signataire, à l'ensemble des utilisateurs ultérieurs destinataires présents sur la liste Ld.
A l'issue de la procédure de conditionnement Pc, étape 101 à 119, l'auteur de l'œuvre, l'utilisateur auteur Ua, a pu éventuellement inclure son certificat d'auteur dans la partie principale Ep de l'enveloppe. S'il veut, de plus, être signataire de l'œuvre, il doit s'inclure dans la liste des signataires Ls décrite lors de la définition de la partie annexe Ea de l'enveloppe. On peut ainsi différencier la position de l'auteur à celle de l'avocat qui rédige un acte : l'avocat est l'auteur de l'acte sans en être un des signataires. Le mode particulier de réalisation du procédé objet de la présente invention illustré en figures 1 et 2 comporte aussi un processus d'authentification Pa d'un utilisateur identifié Ui, utilisateur auteur Ua ou utilisateur ultérieur Uu, selon les procédés de contrôle Pv et de conditionnement Pc. Le processus d'authentification consiste ici en :
- étape 120, lors d'une première connexion, pour l'utilisateur identifié Ui, à connecter le support d'authentification Sa, remis lors du processus "contracter" Pt, sur son dispositif équipement De.
- étape 121, pour l'utilisateur identifié Ui, à produire un condensât d'identification Ci, basé sur l'application à une chaîne d'identification définie par l'utilisateur identifié, d'un algorithme de hachage Ah (pour les étapes suivantes du procédé, l'utilisateur identifié Ui doit se remémorer cette chaîne d'identification car elle sera exigée à chaque connexion) ;
- étape 122, puis, pour l'utilisateur identifié Ui, à former une chaîne de connexion Ce composée d'une partie à contenu fixe et d'une autre partie à contenu variable en fonction des transactions effectuées sur le dispositif Di par l'utilisateur Ui : a) la partie à contenu fixe Cf est composée du code agrément Ca figurant sur le support fourni lors du processus contracter Pt et du condensât d'identification Ci ; et b) la partie à contenu variable Cq, appelée contrôle séquence, est basée sur l'application à une chaîne, constituée d'une part d'un condensât de l'historique des transactions effectuées par l'utilisateur et d'autre part des dernières transactions effectuées par l'utilisateur Ui, d'un algorithme de hachage Ah. - étape 123, pour le vérificateur du dispositif Vd, à recevoir la chaîne de connexion Ce de l'utilisateur identifié Ui, à en extraire code agrément Ca, condensât d'identification Ci, et contenu variable Cq, à comparer les éléments Ca et Cq avec les références utilisateurs correspondantes mémorisées dans la table des utilisateurs Tu identifiés et, en cas de cohérence, à compléter les références de ladite table Tu par l'ajout du condensât d'identification Ci.
- étape 124, lors des connexions suivantes, pour l'utilisateur identifié Ui, à connecter le support le authentification Sa. - étape 125, pour l'utilisateur identifié Ui et le vérificateur Vo du dispositif Di, à produire, chacun, une chaîne de connexion Ce. Puis, pour le vérificateur Vo à comparer la chaîne de connexion qu'il a produite avec celle produite par l'utilisateur identifié Ui.
Le mode de réalisation particulier du procédé objet de la présente invention illustré en figure 1 comporte aussi un processus "contracter" Pt, processus faisant suite à la volonté d'un utilisateur de s'identifier et/ou de contracter un abonnement sur le dispositif Di et qui se caractérise pour le vérificateur des œuvres Vo, par la production d'un support d'authentification Sa, support remis à l'utilisateur identifié Ui, l'utilisateur identifié Ui, selon les processus d'authentification Pa et de conditionnement Pc, qui consiste pour le vérificateur d' œuvre Vo : - étape 130, à produire un code agrément Ca, basé sur l'application à une chaîne d'identité, fournie par l'utilisateur Ui d'un algorithme de hachage Ah. La chaîne d'identité est composée des différents éléments relatifs à l'identité de l'utilisateur identifié Ui (par exemple, pour une personne physique privée : nom, prénom, date et lieu de naissance).
- étape 131, à produire une adresse de courrier électronique (en anglais "email") spécifique à l'utilisateur identifié Ui de type utilisateur@dispositif.com
- étape 132, à enregistrer la chaîne d'identité et l'adresse de courrier électronique dans une table utilisateurs Tu identifiés, mémorisée sur le dispositif équipement De utilisé sur le dispositif Di.
- étape 133, à enregistrer le code agrément Ca et l'adresse de courrier électronique sur un support d' authentification Sa physique.
- étape 134, à remettre à l'utilisateur Ui le support d' authentification Sa.
Le mode de réalisation particulier du procédé objet de la présente invention illustré en figure 1 comporte aussi un processus "utiliser" Pu (processus se caractérisant par la mise en œuvre des attributs de conditionnement numériques contenus dans l'enveloppe lors de l'accès à ladite enveloppe par un utilisateur ultérieur Uu et notamment :
- une étape vérifiant que les conditions d'utilisation des données sont respectées
- pour chaque événement prédéterminé lors du processus de conditionnement numérique une étape de mémorisation desdits événements, dans le système informatique distant, puis leur transmission vers le système informatique de l'utilisateur auteur) l'enveloppe selon les processus de contrôle Pv et de conditionnement Pc, qui consiste en :
- étape 141, pour l'utilisateur ultérieur Uu, à effectuer un premier dégroupage sur une enveloppe fermée dont il extrait :
- un numéro de version du format de l'enveloppe,
- les coordonnées du vérificateur Vo - norme X509,
- le numéro d'instance de l'enveloppe Ni,
- la date et de l'heure de création de l'enveloppe, - le condensât horodaté signé Cs,
- la partie principale cryptée,
- la liste des opérations à effectuer à l'ouverture Oo,
- la partie annexe Ex, ajoutée lors du processus Px.
- étape 142, pour l'utilisateur ultérieur Uu, à se connecter auprès du vérificateur d'oeuvre Vo déterminé lors du premier dégroupage et à émettre le numéro d'instance Ni de l'enveloppe.
- étape 143, pour le vérificateur des œuvres Vo à pointer dans la table des enveloppes Te, l'instance correspondant au numéro d'instance Ni reçu.
- étape 144, pour le vérificateur des œuvres Vo, à vérifier dans la table de conditionnement Te de l'enveloppe pointée, si tous les visas des utilisateurs ultérieurs signataires de la liste Ls et des utilisateurs ultérieurs destinataires de la liste Ld ont été mémorisés. Si tel est le cas, le vérificateur des oeuvres Vo autorise l'utilisateur ultérieur Uu à continuer le processus. Sinon, le vérificateur des oeuvres Vo lance le processus "constituer annexe" Px.
- étape 145, pour l'utilisateur ultérieur Uu, à exécuter les actions de la liste des opérations à effectuer à l'ouverture Oo ; à transmettre au vérificateur des œuvres Vo un groupage formé des comptes rendus des actions exécutées.
- étape 146, pour le vérificateur des œuvres Vo, à valider ce compte-rendu en transmettant à l'utilisateur ultérieur Uu, un groupage formé de la clef publique Kp, des types d'algorithme de décryptage Ac et de hachage Ah à utiliser, le tout mémorisé à l'instance pointée dans la table des enveloppes Te. - étape 147, pour l'utilisateur ultérieur Uu, à décrypter la partie principale Ep de l'enveloppe en utilisant la clef publique Kp et le type d'algorithme de cryptage Ac reçu.
- étape 148, pour l'utilisateur ultérieur Uu, à dégrouper la partie principale Ep et à en découvrir le contenu : - le contenu de l'œuvre Ec,
- l'éventuel certificat de l'auteur,
- les éventuelles notes, et
- les critères de notarisation Cn (liste des certificats des signataires Ls et des destinataires Ld).
- étape 149, pour l'utilisateur ultérieur Uu, à dégrouper la partie annexe Ea où sont contenus, dans leur ordre d'apparition sur les listes Ls et Ld, pour chaque signataire et destinataire :
- le certificat du signataire du condensât Cs,
- la date et l'heure de visa, et - le condensât horodaté signé Cs.
- étape 150, pour l'utilisateur ultérieur Uu, à procéder, s'il le désire, à différentes vérifications, soit : a. à vérifier le contenu de l'enveloppe, sa date de création et l'identité de son auteur en décryptant le condensât horodaté signé Cs à l'aide des éléments inclus dans le certificat X509 contenu dans l'enveloppe et en le comparant au condensât résultant du hachage des différents éléments de l'enveloppe (numéro d'instance le de l'enveloppe, du condensât de l'œuvre Co, de la date et de l'.heure courante, d'un algorithme de hachage Ah - le condensât de l'œuvre Co correspondant au hachage de la partie principale Ep de l'enveloppe). b. à vérifier d'une manière équivalente l'identité des signataires ou destinataires et la date de leurs visas en utilisant les condensât horodatés signés et les certificats inclus dans l'enveloppe annexe Ea. c. à demander confirmation aux vérificateurs des œuvres Vo en lui transmettant les différents condensât horodatés résultant des vérifications précédentes (i) et (ii).
- étape 151, pour le vérificateur des œuvres Vo, à la demande éventuelle d'un utilisateur ultérieur Uu, à comparer les condensât horodatés transmis par l'utilisateur ultérieur Uu avec les condensât horodatés initiaux mémorisés, pour l'un, dans la table des enveloppes Te à l'instance pointée lors du processus utiliser Pu et, pour les autres, dans la table de conditionnement Te correspondante.
- étape 152, pour le vérificateur des œuvres Vo, à obtenir la date et l'heure courante d'une horloge de confiance suivant le protocole Network Time Protocol (NTP) ;
- étape 153, pour le vérificateur des oeuvres Vo, à produire un condensât horodaté par l'application d'un algorithme de hachage à un groupage formé a. du texte de confirmation et b. de la date et de l'heure de confirmation.
- étape 154, pour le vérificateur des oeuvres Vo, à produire un condensât horodaté signé, par le chiffrement du condensât horodaté par sa clef privée de vérificateur des œuvres Vo. - étape 155, pour le vérificateur des oeuvres Vo, à produire une confirmation signée en formant un groupage composé : a. du texte de la confirmation b. de la date et de l'heure de la confirmation c. du condensât horodaté signé d. de son certificat à la norme X509 de vérificateur des œuvres Vo ;
- étape 156, pour le vérificateur des oeuvres Vo, à transmettre la confirmation signée auprès de l'utilisateur ultérieur Uu.
Le mode de réalisation particulier du procédé objet de la présente invention illustré en figures 1 et 2 comporte aussi un processus "constituer annexe" Px (Ce processus permet : - d'informer l'utilisateur auteur et les utilisateurs signataires des événements correspondant aux événements prédéterminés dits «critères de notarisation» et
- de grouper ces événements avec l'enveloppe initiale pour en conserver rinformation même si l'enveloppe est dupliquée en dehors du système informatique habituel de Putilisateur) de l'enveloppe selon le processus "utiliser" Pu l'enveloppe, qui consiste : Dans une première phase,
- étape 160, pour le vérificateur des œuvres Vo, à identifier dans la table de conditionnement Te pointée lors du processus utilisé Pu, le premier signataire de la liste Ls dont le visa est absent. Si tous les visas des signataires sont présents à passer à la deuxième phase.
- étape 161, pour le vérificateur des œuvres Vo, à soumettre l'utilisateur ultérieur Uu à un processus d'authentification Pa. Dans le cas où l'utilisateur ultérieur Uu n'est pas un utilisateur identifié Ui par le dispositif, à lui réclamer un certificat d'identité à la norme X509 signé, à contrôler la signature du certificat puis à en vérifier la validité (la "non révocation") auprès du tiers de confiance spécifié dans ledit certificat.
- étape 162, pour le vérificateur des œuvres Vo, à valider cette identification en transmettant à l'utilisateur ultérieur Uu, un groupage formé de la clef publique Kp, des types d'algorithmes de décryptage Ac et de hachage Ah à utiliser, le tout mémorisé à l'instance de la table des enveloppes Te pointée lors du processus utiliser Pu.
- étape 163, pour l'utilisateur ultérieur Uu, à décrypter la partie principale Ep de l'enveloppe en utilisant la clef publique Kp et le type d'algorithme de cryptage Ac reçu. - étape 164, pour l'utilisateur ultérieur Uu, à dégrouper la partie principale Ep et à en découvrir le contenu :
- le contenu de l'œuvre Ec,
- l'éventuel certificat de l'auteur, - les éventuelles notes,
- les critères de notarisation Cn (liste des certificats des signataires Ls et des destinataires Ld) ;
- étape 165, pour l'utilisateur ultérieur Uu, à générer un condensât de la partie principale de l'enveloppe Cp par l'application de l'algorithme de hachage Ah reçu à la partie principale de l'enveloppe Ep.
- étape 166, pour l'utilisateur ultérieur Uu identifié, à transmettre le condensât Cp au vérificateur des œuvres Vo ;
- étape 167, pour l'utilisateur ultérieur Uu non identifié sur le dispositif, à signer le condensât Cp en lui appliquant un algorithme de cryptage en utilisant la clef privée correspondant au certificat X509 transmis précédemment ; puis à transmettre le condensât Cp accompagné du condensât signé au vérificateur des œuvres Vo.
- étape 168, pour le vérificateur des œuvres Vo, à contrôler le condensât reçu (et dans le cas d'un condensât signé, préalablement décrypté) en le comparant au condensât précédemment mémorisé dans la table des enveloppes Te lors du processus de conditionnement Pc de l'enveloppe.
- étape 169, pour le vérificateur des oeuvres Vo, à recevoir d'une horloge de confiance la date et l'heure courante suivant le protocole Network Time Protocol (NTP).
- étape 170, pour le vérificateur des oeuvres Vo, à générer un condensât horodaté Ch par l'application à un groupage formé du numéro d'instance le de l'enveloppe, du condensât de la partie principale de l'enveloppe Cp (accompagné pour les utilisateurs non identifiés du condensât signé), de la date et de l'heure courante, d'un algorithme de hachage Ah.
- étape 171, pour le vérificateur des oeuvres Vo, à mémoriser dans la table de conditionnement Te pointée lors du processus utilisé Pu, le signataire de la liste Ls dont le visa est absent : a. le condensât Cp (et éventuellement pour les utilisateurs non identifiés du condensât signé), b. la date et l'heure du visa ainsi que c. le type d'algorithme de hachage utilisé pour générer le condensât horodaté Ch. - étape 172, pour le vérificateur des oeuvres Vo, à générer une paire de clefs, propre au nouveau signataire, l'une privée Kv et l'autre publique Kq, selon un algorithme de génération Ak de clef, la clef privée Kv n'étant pas conservée à l'issue du processus "constituer annexe" Px. - étape 173, pour le vérificateur des oeuvres Vo, à produire un condensât horodaté signé Cs, par le chiffrement du condensât horodaté Ch par la clef privée Kv générée pour le nouveau signataire.
- étape 174, pour le vérificateur des œuvres Vo, à mémoriser dans la table de conditionnement Te pointée propre à l'instance d'enveloppe le : a. la clef publique Kq de la transaction (accompagnée en cas d'utilisateur non identifié de son certificat X509), ces éléments permettant la vérification du condensât horodaté signé, b. la date et l'heure de visa du signataire, et c. le condensât horodaté signé. - étape 175, pour le vérificateur des œuvres Vo, à transmettre à l'utilisateur ultérieur Uu un groupage composé de : a. la clef publique Kq de la transaction (accompagné dans le cas d'un utilisateur non identifié de son certificat X509) - ces éléments permettrons la vérification du condensât horodaté signé, b. la date et l'heure de visa du signataire, c. le condensât horodaté signé.
- étape 176, pour le vérificateur des oeuvres Vo, à transmettre ce groupage à tous les autres signataires ayant visé l'enveloppe et figurant dans la liste Ls.
- étape 177, pour l'utilisateur ultérieur Uu et les précédents signataires, à joindre le groupage reçu au contenu de l'enveloppe annexe Ea.
- étape 178, pour l'utilisateur ultérieur Uu identifié et le vérificateur des œuvres Vo, à calculer et à mémoriser, chacun, la mise àjour du contrôle séquence Cq, basée sur l'application à une chaîne, constituée, d'une part, d'un condensât de l'historique des transactions effectuées par l'utilisateur et, d'autre part, des dernières transactions effectuées par l'utilisateur Uu, d'un algorithme de hachage Ah.
- étape 179, pour l'utilisateur ultérieur Uu, à transmettre ledit contrôle séquence Cq au vérificateur du dispositif Vd.
- étape 180, pour le vérificateur du dispositif Vd, à valider la bonne fin de la transaction auprès des deux acteurs Uu et Vo, d'une part, en comparant la mise àjour des contrôles séquence Cq mis àjour respectivement par les deux acteurs Uu et Vo et, d'autre part, en vérifiant la cohérence de la date et l'heure émise par Vo.
- étape 181, pour l'utilisateur ultérieur Uu, identifié ou non, à transmettre l'enveloppe fermée et ses annexes, vers le signataire suivant de la liste Ls, ou en l'absence de signataire, à l'ensemble des destinataires de la liste Ld.
- étape 182, pour l'utilisateur ultérieur Uu identifié par le dispositif, à clôturer le processus en reprenant son support d' authentification Sa.
Dans une deuxième phase,
- étape 183, pour le vérificateur des œuvres Vo, à identifier dans la table de conditionnement Te pointée lors du processus utilisé Pu, les destinataires de la liste Ld dont le visa est absent.
- étape 184, pour le vérificateur des œuvres Vo, à soumettre l'utilisateur ultérieur Uu à un processus d' authentification Pa. Dans le cas où l'utilisateur ultérieur Uu n'est pas un utilisateur identifié Ui par le dispositif, à lui réclamer un certificat d'identité à la norme X509 signé, à contrôler la signature du certificat puis à en vérifier la validité (la non révocation) auprès du tiers de confiance spécifié dans ledit certificat. Dans le cas où l'utilisateur ultérieur Uu ne possède pas de certificat à la norme X509, à lui réclamer une confirmation de réception Cr sous la forme d'email - confirmation incluant : a. le numéro d'instance de l'enveloppe Ni, b. le condensât horodaté signé Cs, c. si possible le numéro de série de son dispositif équipement De, d. son adresse de courrier électronique.
- étape 185, pour le vérificateur des œuvres Vo, à valider cette identification en transmettant à l'utilisateur ultérieur Uu, un groupage formé de la clef publique Kp, des types d'algorithmes de décryptage Ac et de hachage Ah à utiliser, le tout mémorisé à l'instance de la table des enveloppes Te pointée lors du processus utiliser Pu.
- étape 186, pour l'utilisateur ultérieur Uu, à décrypter la partie principale Ep de l'enveloppe en utilisant la clef publique Kp et le type d'algorithme de cryptage Ac reçu.
- étape 187, pour l'utilisateur ultérieur Uu, à dégrouper la partie principale Ep et à en découvrir le contenu : a. le contenu de l'œuvre Ec, b. l'éventuel certificat de l'auteur, c. les éventuelles notes, d. les critères de notarisation Cn (liste des certificats des signataires Ls et des destinataires Ld) ; - étape 188, pour l'utilisateur ultérieur Uu, à générer un condensât de la partie principale de l'enveloppe Cp par l'application de l'algorithme de hachage Ah reçu à la partie principale de l'enveloppe Ep.
- étape 189, pour l'utilisateur ultérieur Uu non identifié sur le dispositif et muni d'un certificat X509, à signer le condensât Cp en lui appliquant un algorithme de cryptage et utilisant la clef privée correspondant au certificat X509 transmis précédemment ; puis à transmettre le condensât Cp accompagné du condensât signé au vérificateur des œuvres Vo.
- étape 190, pour le vérificateur des œuvres Vo, à contrôler le condensât reçu (et dans le cas d'un condensât signé, préalablement décrypté) en le comparant au condensât précédemment mémorisé dans la table des enveloppes Te lors du processus de conditionnement Pc de l'enveloppe.
- étape 191, pour le vérificateur des oeuvres Vo, à recevoir d'une horloge de confiance la date et l'heure courante suivant le protocole Network Time Protocol (NTP).
- étape 192, pour le vérificateur des oeuvres Vo, à générer un condensât horodaté Ch par l'application à un groupage formé du numéro d'instance le de l'enveloppe, du condensât de la partie principale de l'enveloppe Cp (accompagné pour les utilisateurs non identifiés soit d'un condensât signé, soit d'une confirmation de réception Cr), de la date et de l'heure courante, d'un algorithme de hachage Ah.
- étape 193, pour le vérificateur des oeuvres Vo, à mémoriser dans la table de conditionnement Te pointée lors du processus utilisé Pu, le destinataire de la liste Ld dont le visa est absent, a. le condensât Cp (et éventuellement pour les utilisateurs non identifiés soit d'un condensât signé, soit d'une confirmation de réception Cr), b. la date et l'heure du visa ainsi que c. le type d'algorithme de hachage utilisé pour généré le condensât horodaté Ch.
- étape 194, pour le vérificateur des oeuvres Vo, à générer une paire de clefs, propre au nouveau destinataire, l'une privée Kv et l'autre publique Kq, selon un algorithme de génération Ak de clef, la clef privée Kv n'étant pas conservée à l'issue du processus "constituer annexe" Px. - étape 195, pour le vérificateur des oeuvres Vo, à produire un condensât horodaté signé Cs, par le chiffrement du condensât horodaté Ch par la clef privée Kv générée pour le nouveau destinataire.
- étape 196, pour le vérificateur des œuvres Vo, à mémoriser dans la table de conditionnement Te pointée propre à l'instance d'enveloppe le : a. la clef publique Kq de la transaction (accompagnée dans le cas d'un utilisateur non identifié soit d'un certificat X509, soit d'une confirmation de réception Cr) - ces éléments permettrons la vérification du condensât horodaté signé, b. la date et l'heure de visa du destinataire, et c. le condensât horodaté signé.
- étape 197, pour le vérificateur des œuvres Vo, à transmettre à l'utilisateur ultérieur Uu un groupage composé de : a. la clef publique Kq de la transaction (accompagnée dans le cas d'un utilisateur non identifié soit d'un certificat X509, soit d'une confirmation de réception Cr), ces éléments permettant la vérification du condensât horodaté signé, b. la date et l'heure de visa du destinataire, et c. le condensât horodaté signé.
- étape 198, pour le vérificateur des œuvres Vo, à transmettre ce groupage à tous les autres signataires ayant visé l'enveloppe et figurant dans la liste Ls. - étape 199, pour l'utilisateur ultérieur Uu et les précédents signataires, à joindre le groupage reçu au contenu de l'enveloppe annexe Ea.
- étape 200, pour l'utilisateur ultérieur Uu identifié par le dispositif et le vérificateur des œuvres Vo, à calculer et à mémoriser chacun de leur côté la mise àjour du contrôle séquence Cq, basée sur l'application à une chaîne, constituée, d'une part, d'un condensât de l'historique des transactions effectuées par l'utilisateur et, d'autre part, des dernières transactions effectuées par l'utilisateur Uu, d'un algorithme de hachage Ah ; et à transmettre lesdits contrôles séquence Cq au vérificateur du dispositif Vd.
- étape 201, pour le vérificateur du dispositif Vd, à valider la bonne fin de la transaction auprès des deux acteurs Uu et Vo, d'une part, en comparant la mise àjour des contrôles séquence Cq mis àjour respectivement par les deux acteurs Uu et Vo et, d'autre part, en vérifiant la cohérence de la date et l'heure émise par Vo.
- étape 202, pour l'utilisateur ultérieur Uu identifié par le dispositif, à clôturer le processus en reprenant son support d'authentification Sa.
Le mode de réalisation particulier du procédé objet de la présente invention illustré en figures 1 et 2 est mis en oeuvre par un dispositif équipement De, par exemple de type microordinateur — dit compatible PC - ou tout équipement programmable, aptes à mettre en œuvre les différents processus du dispositif de l'invention Di et notamment muni :
- d'un système d'exploitation apte à mettre en œuvre les différents processus du dispositif Di d'un équipement d'accès à un réseau externe géré par le système d'exploitation (ex : modem, carte réseau) et des périphériques suivants gérés par le système d'exploitation : a. soit un lecteur de support d'authentification Sa non modifiable (ex :cd-rom) b. soit un lecteur de support d'authentification Sa permettant la modification d'une zone mémoire à distance (ex : dongle, carte à puce, ...) Lesdits dispositifs équipements De affectés spécifiquement à chacun des 4 « acteurs » du dispositif Di : a. l'auteur créateur de l'œuvre, «Utilisateur auteur Ua » b. l'utilisateur de l'œuvre, «Utilisateur ultérieur Uu » c. le vérificateur des œuvres conditionnées Vo d. le vérificateur du dispositif Vd.
Selon une première application, le dispositif équipement De est un micro-ordinateur - dit compatible PC -, muni d'un lecteur de cd-rom et d'un modem ; le support d' authentification Sa est un cd-rom ; Le système d'exploitation est le système Linux muni d'un noyau 2.2.
Selon cette application, les algorithmes de hachage Ah et de cryptage à clef publique Ac, Ak, auxquels il est fait référence au cours de la présente description, sont le SHA (acronyme de "Secure Hash Algorithm" pour algorithme de condensât sécurisé) pour l'algorithme Ah et le RSA (acronyme de "Rivest, Shamir et Adelman") pour ralgorithme Ac, Ak.
Selon une variante des deux premières applications, l'algorithme de hachage Ah est le MD5 (acronyme de "Message Digest 5").
Selon une variante des deux premières applications, l'algorithme de cryptage à clef publique Ac, Ak est le DH (acronyme de "Diffie-Hellman").
Selon une variante des deux premières applications, l'algorithme de cryptage à clef publique Ac, Ak est le DSA (acronyme de "Digital Signature Algorithm" pour algorithme de signature numérique).
La description des figures 1 et 2 fait référence à un micro-ordinateur -dit "compatible PC"- et à un système d'exploitation linux, mais s'applique également à tout équipement programmable muni d'un système d'exploitation apte à mettre en œuvre les différents processus du dispositif Di, notamment micro-ordinateur ou mini ordinateur, en configuration standard - processeur, carte mère, cartes contrôleurs des périphériques standards et périphériques standards (clavier, écran, périphérique de stockage) - muni d'un système d'exploitation apte à mettre en œuvre les différents processus du présent dispositif.
La description des figures 1 et 2 fait référence aux algorithmes de hachage Ah SHA et MD5, mais s'applique également à tout algorithme ayant pour effet la contraction d'un élément initial tel que l'élément initial ne puisse être obtenu à partir du condensât et que toute variation minime de l'élément initial engendre une modification complète du condensât.
La description des figures 1 et 2 fait référence aux algorithmes de cryptage Ac à clef publique RSA, DH et DSA, mais s'applique également à tout algorithme ayant pour effet le chiffrement d'un message au moyen d'une clef privée et le déchiffrement dudit message par une clef publique tel que la détermination de la clef privée au moyen de la clef publique soit la plus complexe possible.
On observe, en figure 3, un deuxième mode de réalisation exemplaire de l'invention comportant :
- une étape 300 d'abonnement d'un utilisateur au service de conditionnement de données, - une étape 302 d'achat de droits d'utilisation, dits "timbres", par ledit utilisateur, auprès du service de conditionnement de données, le nombre des timbres détenus par ledit utilisateur étant conservé par un système informatique distant accessible au système informatique de l'utilisateur auteur par l'intermédiaire d'Internet,
- une étape 304 de création de données, par exemple en utilisant un logiciel de traitement de texte, un tableur, ou un logiciel de dessin,
- alors que le document contenant les données à protéger est ouvert, une étape 306 de sélection des fonctions de conditionnement offertes par la mise en oeuvre de la présente invention, au cours de laquelle l'utilisateur clique sur le bouton dit "droit" de son dispositif de pointage, par exemple une souris, visualise un menu contextuel comportant une référence au conditionnement des données objet de la présente invention, et sélectionne la fonction de conditionnement,
- une étape 308 de paramétrage du conditionnement, au cours duquel l'utilisateur peut sélectionner des conditions d'utilisation des données : a. au moins un utilisateur ultérieur destinataire autorisé à accéder aux données mais pas à les modifier, ou éditer, b. au moins un utilisateur ultérieur destinataire autorisé à accéder aux données et à les modifier, c. une durée de droit d'accès aux données, par exemple par sélection d'un intervalle de temps prédéterminé, par exemple deux semaines, ou par sélection d'une date limite d'accès aux données, et d. des conditions d'authentification de chaque utilisateur ultérieur destinataire, par exemple, mot de passe, certificat électronique, signature électronique.
- une étape d'affectation 310, dans un système informatique d'un utilisateur auteur, d'attributs dits de "conditionnement numérique" auxdites données, attributs correspondant à au moins un événement prédéterminé susceptible d'affecter lesdites données au cours de leur utilisation ultérieure, comportant , d'identifiant d'utilisateurs ultérieurs autorisés à prendre connaissance desdites données ("destinataires"), d'identifiant d'utilisateurs ultérieurs signataires desdites données, les conditions d'accès (code personnel, signature électronique, par exemple) et d'utilisation desdites données (droit de copier, télécharger ou modifier les données, par exemple) et, éventuellement, une identification de l'auteur des données,
- une étape 312 d'attribution, dans un système informatique de l'utilisateur auteur, d'une information garantissant l'intégrité desdites données, par exemple un condensât, comme exposé en figures 1 et 2,
- une étape 314 de cryptage desdites données,
- une étape 315 de formation d'un fichier dit «enveloppe», dans un système informatique de l'utilisateur auteur, enveloppe comportant des données, des attributs de conditionnement numérique affectés auxdites données et de l'information garantissant l'intégrité desdites données,
- une étape 316 de mémorisation, dans un système informatique distant, des attributs de conditionnement numérique desdites données (d'éléments permettant le décryptage desdites données cryptées, par exemple), de l'information garantissant l'intégrité desdites données, et, éventuellement, desdites données cryptées,
- une étape 318 de décompte d'un timbre du nombre de timbres dont dispose l'utilisateur auteur,
- une étape 320 de communication desdites données ou d'une information de disponibilité desdites données, entre l'utilisateur auteur et un utilisateur ultérieur destinataire, - une étape 322 de connexion entre l'utilisateur ultérieur destinataire et le système informatique distant, pour accéder auxdites données cryptées (préférentiellement, chaque événement touchant lesdites données ne peut être effectué, par un utilisateur ultérieur, qu'au cours d'une connexion entre un système informatique dudit utilisateur ultérieur et le système informatique distant), - une étape 324 de vérification que les conditions d'utilisation des données sont respectées par l'utilisateur ultérieur destinataire (droit ou non d'éditer les données, identification de l' utilisateur ultérieur par mise en oeuvre d'un certificat électronique ou d'une signature électronique identifiant le système informatique de l' utilisateur ultérieur ou l'utilisateur ultérieur, par exemple),
- pour chaque événement touchant lesdites données, et en particulier, chaque accès aux dites données et chaque modification desdites données, une étape 326 de mémorisation, dans le système informatique distant et en relation avec les attributs desdites données, d'un identifiant dudit événement, de la date dudit événement, et, éventuellement, un identifiant de l'utilisateur ultérieur provoquant ledit événement, une adresse Internet ("IP") et/ou un identifiant du fournisseur accès à Internet ("FAI") de l'utilisateur ultérieur,
- lorsque lesdites données sont modifiées par un utilisateur ultérieur destinataire, le système informatique distant effectue une étape 328 de mémorisation des modifications apportées auxdites données, - lors d'au moins une partie (par exemple la signature électronique et/ou modification des données) des événements touchant lesdites données, une étape 330 de transmission, à l'utilisateur auteur, d'un message d'accusé de réception identifiant l'utilisateur ultérieur destinataire ayant provoqué ledit événement (en variante au cours de l'étape de transmission 330, on transmet, à chaque utilisateur auteur et à chaque utilisateur signataire, un identifiant d'au moins un événement prédéterminé, de la date de survenance de chaque dit événement prédéterminé et de l'identifiant de l'utilisateur ultérieur ayant provoqué ledit événement), et
- à chaque connexion entre le système informatique d'un utilisateur auteur et le système informatique distant, une étape de mise àjour et de mémorisation 332 des événements prédéterminés correspondant aux attributs desdites données dans le système informatique de l'utilisateur auteur, de telle manière que le système informatique de l'utilisateur auteur conserve alors, pour chaque événement touchant lesdites données, l'identifiant dudit événement, l'identifiant de l'utilisateur provoquant ledit événement et la date dudit événement (préférentiellement, l'étape 332 comporte une étape de regroupement des dits événements survenus avec ladite enveloppe, dans chaque système informatique de chaque utilisateur auteur et de chaque utilisateur signataire, soit automatiquement, soit dès qu'il se connecte au système informatique distant.)
On observe que les données contenues dans les enveloppes ne sont modifiables que dans les conditions suivantes :
- les données contenues dans l'enveloppe sont infalsifiables ; et - les événements apportant une modification des données contenues dans l'enveloppe sont mémorisés mais ils n'effacent ni ne remplacent les données initiales fournies par leur auteur.
Selon des variantes, chaque accès à des doimées provoque le décomptage d'un timbre dans le compte de l'utilisateur.
Chaque étape de la figure 3 est éclairée par la description des figures 1 et 2.

Claims

REVENDICATIONS
1. Procédé de protection de données, caractérisé en ce qu'il comporte :
- une étape d'affectation (310), dans un système informatique d'un utilisateur auteur, d'attributs dits de "conditionnement numérique" auxdites données, attributs correspondant à au moins un événement prédéterminé susceptible d'affecter lesdites données au cours de leur utilisation ultérieure,
- une étape d'attribution (312), dans un système informatique de l'utilisateur auteur, d'une information garantissant l'intégrité desdites données, - une étape de formation d'un fichier dit «enveloppe» (315), dans un système informatique de l'utilisateur auteur, enveloppe comportant des données, des attributs de conditionnement numérique affectés auxdites données et de l'information garantissant l'intégrité desdites données,
- une étape de mémorisation (316), dans un système informatique distant, des attributs de conditionnement numérique desdites données et de l'information garantissant l'intégrité desdites données,
- pour chaque événement prédéterminé relatif aux dites données, une étape de mémorisation (326), dans le système informatique distant et en relation avec les attributs desdites données, d'un identifiant dudit événement et de la date dudit événement, et - à chaque connexion entre le système informatique d'un utilisateur auteur et le système informatique distant, une étape de mémorisation (332) des événements prédéterminés correspondant aux attributs desdites données dans le système informatique de l'utilisateur auteur, de telle manière que le système informatique de l'utilisateur auteur conserve alors, pour chaque événement touchant lesdites données, l'identifiant dudit événement, l'identifiant de l'utilisateur provoquant ledit événement et la date dudit événement.
2 - Procédé selon la revendication 1, caractérisé en ce que, au cours de l'étape d'affectation d'attributs de conditionnement numérique, les attributs desdites données comportent un identifiant de l'auteur desdites données.
3 - Procédé selon l'une quelconque des revendications 1 ou 2, caractérisé en ce que, au cours de l'étape d'affectation d'attributs de conditionnement numérique, les attributs desdites données comportent un identifiant de chaque utilisateur ultérieur, signataire ou destinataire, desdites données.
4 - Procédé selon l'une quelconque des revendications 1 à 3, caractérisé en ce que chaque événement touchant lesdites données ne peut être effectué, par un utilisateur ultérieur, qu'au cours d'une connexion entre un système informatique dudit utilisateur ultérieur et le système informatique distant.
5 - Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que, au cours de l'étape de mémorisation dans le système informatique distant d'identifiant d'événement (326), le système informatique distant mémorise, en outre, un identifiant de l'utilisateur provoquant ledit événement.
6 - Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce qu'il comporte une étape de détermination de conditions d'utilisation desdites données, par le système informatique de l'utilisateur auteur et, à chaque demande d'accès auxdites données, une étape de vérification que les conditions d'utilisation des données sont respectées.
7 - Procédé selon la revendication 6, caractérisé en ce que les conditions d'utilisation comportent des conditions d'identification de l' utilisateur ultérieur.
8 - Procédé selon la revendication 7, caractérisé en ce que les conditions d'identification de l'utilisateur comportent, au moins, la mise en oeuvre d'un certificat électronique identifiant le système informatique de l' utilisateur ultérieur.
9 - Procédé selon l'une quelconque des revendications 7 ou 8, caractérisé en ce que les conditions d'identification de l'utilisateur comportent.au moins, la mise en oeuvre d'une signature électronique par le système informatique de l' utilisateur ultérieur.
10 - Procédé selon l'une quelconque des revendications 6 à 9, caractérisé en ce que les conditions d'utilisation comportent un droit, ou non, d'éditer lesdites données.
11 - Procédé selon l'une quelconque des revendications 1 à 10, caractérisé en ce qu'il comporte, lors d'au moins une partie (par exemple la signature électronique) des événements touchant lesdites données, une étape de transmission, à l'utilisateur auteur, d'un message d'accusé de réception identifiant l'utilisateur ultérieur ayant provoqué ledit événement (330). 12 - Procédé selon l'une quelconque des revendications 1 à 11, caractérisé en ce que, lorsque, au cours d'un événement prédéterminé, lesdites données sont modifiées par un utilisateur ultérieur, le système informatique distant effectue une mémorisation des modifications apportées auxdites données (328).
13 - Procédé selon l'une quelconque des revendications 1 à 12, caractérisé en ce que les attributs de conditionnement numérique déterminent des utilisateurs ultérieurs autorisés à signer lesdites données.
14 - Procédé selon l'une quelconque des revendications 1 à 13, caractérisé en ce que, pour au moins un événement prédéterminé, les attributs de conditionnement numérique affectés lors de l'étape d'affectation d'attributs aux dites données, représentent une condition d'utilisation desdites données.
15 - Procédé selon l'une quelconque des revendications 1 à 14, caractérisé en ce que le procédé comporte une étape de transmission, à chaque utilisateur auteur et à chaque utilisateur signataire, d'un identifiant d'au moins un événement prédéterminé, de la date de survenance de chaque dit événement prédéterminé et de l'identifiant de l'utilisateur ultérieur ayant provoqué ledit événement (330).
16 - Procédé selon la revendication 15, caractérisé en ce qu'il comporte, en outre, une étape de regroupement des dits événements avec ladite enveloppe, dans chaque système informatique de chaque utilisateur auteur et de chaque utilisateur signataire.
PCT/FR2002/003551 2001-10-19 2002-10-17 Procede et dispositif de protection de donnees WO2003034654A2 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US10/492,945 US7716478B2 (en) 2001-10-19 2002-10-17 Method and device for data protection
AU2002350843A AU2002350843A1 (en) 2001-10-19 2002-10-17 Method and device for data protection
JP2003537253A JP2005506623A (ja) 2001-10-19 2002-10-17 データ保護方法と装置

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
FR01/13539 2001-10-19
FR0113539A FR2841412A1 (fr) 2001-10-19 2001-10-19 Dispositif combine de conditionnement et controle de diffusion d'une oeuvre numerisable ainsi qu'authentification evolutive de l'auteur de l'oeuvre utilisateur du dispositif
FR01/14574 2001-11-12
FR0114574A FR2841413B1 (fr) 2001-10-19 2001-11-12 Dispositif combine de conditionnement et controle de diffusion d'une oeuvre numerisable ainsi qu'authenfication evolutive de l'auteur de l'oeuvre utilisateur du dispositif
FR02/01896 2002-02-15
FR0201896A FR2841409B1 (fr) 2001-10-19 2002-02-15 Procede et dispositif de protection de donnees

Publications (2)

Publication Number Publication Date
WO2003034654A2 true WO2003034654A2 (fr) 2003-04-24
WO2003034654A3 WO2003034654A3 (fr) 2003-10-09

Family

ID=27248824

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2002/003551 WO2003034654A2 (fr) 2001-10-19 2002-10-17 Procede et dispositif de protection de donnees

Country Status (5)

Country Link
US (1) US7716478B2 (fr)
JP (1) JP2005506623A (fr)
AU (1) AU2002350843A1 (fr)
FR (1) FR2841409B1 (fr)
WO (1) WO2003034654A2 (fr)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7660988B2 (en) * 2002-03-18 2010-02-09 Cognomina, Inc. Electronic notary
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8069208B2 (en) * 2006-04-21 2011-11-29 Microsoft Corporation Peer-to-peer buddy request and response
GB0622149D0 (en) * 2006-11-07 2006-12-20 Singlepoint Holdings Ltd System and method to validate and authenticate digital data
US8478991B2 (en) * 2006-12-20 2013-07-02 Canon Kabushiki Kaisha Management apparatus for managing wireless parameter, control method for the management apparatus, and computer program for instructing computer to execute the control method
US20090290714A1 (en) * 2008-05-20 2009-11-26 Microsoft Corporation Protocol for Verifying Integrity of Remote Data
US20100088520A1 (en) * 2008-10-02 2010-04-08 Microsoft Corporation Protocol for determining availability of peers in a peer-to-peer storage system
US9536109B2 (en) * 2009-10-21 2017-01-03 International Business Machines Corporation Method and system for administering a secure data repository
US20160055331A1 (en) * 2013-03-28 2016-02-25 Irdeto B.V. Detecting exploits against software applications

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5373561A (en) * 1992-12-21 1994-12-13 Bell Communications Research, Inc. Method of extending the validity of a cryptographic certificate
US6367013B1 (en) * 1995-01-17 2002-04-02 Eoriginal Inc. System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents
US5615268A (en) * 1995-01-17 1997-03-25 Document Authentication Systems, Inc. System and method for electronic transmission storage and retrieval of authenticated documents
US5978475A (en) * 1997-07-18 1999-11-02 Counterpane Internet Security, Inc. Event auditing system

Also Published As

Publication number Publication date
JP2005506623A (ja) 2005-03-03
WO2003034654A3 (fr) 2003-10-09
US20050081033A1 (en) 2005-04-14
FR2841409B1 (fr) 2004-07-30
US7716478B2 (en) 2010-05-11
FR2841409A1 (fr) 2003-12-26
AU2002350843A1 (en) 2003-04-28

Similar Documents

Publication Publication Date Title
CN111373400B (zh) 用于实现用于去中心化标识的解析器服务的系统和方法
EP3590223B1 (fr) Procédé et dispositif pour mémoriser et partager des données intégrés
US6671804B1 (en) Method and apparatus for supporting authorities in a public key infrastructure
EP3547203A1 (fr) Méthode et système de gestion d'accès à des données personnelles au moyen d'un contrat intelligent
EP1081890B1 (fr) Système d'horodatage du type classeur et système d'horodatage distribué
FR3079323A1 (fr) Methode et systeme d'acces a des donnees anonymisees
WO2011117486A1 (fr) Infrastructure non hierarchique de gestion de bi-cles de securite de personnes physiques
WO2019233951A1 (fr) Une application logicielle et un serveur informatique pour authentifier l'identité d'un créateur de contenu numérique et l'intégrité du contenu du créateur publié
EP1381183B1 (fr) Dispositif d'authentification d'un message
EP1471682A1 (fr) Procédé de signature électronique avec mécanisme de délégation, équipements et programmes pour la mise en oeuvre du procédé
CN1937492A (zh) 信息处理设备及其控制方法
US20020143987A1 (en) Message management systems and method
WO2003034654A2 (fr) Procede et dispositif de protection de donnees
EP3812945A1 (fr) Système ouvert et sécurisé de traitement de demande de signature électronique et procédé associe
CN115375503A (zh) 一种基于区块链的社交平台数字资产继承和遗嘱定制方法
CN105515959A (zh) 基于cms技术的即时通信保密系统的实现方法
EP2689552B1 (fr) Infrastructure non hiérarchique de gestion de bi-clés de sécurité de personnes physiques ou d'éléments (igcp/pki).
CN112365263A (zh) 一种区块链账号管理互通方法、装置、设备及存储介质
JP2006277011A (ja) 電子情報の作成及び開示システム、並びにその方法
FR3073111A1 (fr) Procede et dispositif pour memoriser et partager des donnees integres
Fleisje PDF Digital Signatures: Delving Deep into the State of the State-of-the-Art
Alizadeh Saveh A PERMISSIONED BLOCKCHAIN-BASED MODEL FOR DIGITAL FORENSICS
Saveh A Permissioned Blockchain-Based Model for Digital Forensics
WO2023001844A1 (fr) Procédé de signature d'un document électronique au moyen d'une chaîne de blocs
FR2841413A1 (fr) Dispositif combine de conditionnement et controle de diffusion d'une oeuvre numerisable ainsi qu'authenfication evolutive de l'auteur de l'oeuvre utilisateur du dispositif

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BY BZ CA CH CN CO CR CU CZ DE DM DZ EC EE ES FI GB GD GE GH HR HU ID IL IN IS JP KE KG KP KR LC LK LR LS LT LU LV MA MD MG MN MW MX MZ NO NZ OM PH PL PT RU SD SE SG SI SK SL TJ TM TN TR TZ UA UG US UZ VN YU ZA ZM

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW MZ SD SL SZ UG ZM ZW AM AZ BY KG KZ RU TJ TM AT BE BG CH CY CZ DK EE ES FI FR GB GR IE IT LU MC PT SE SK TR BF BJ CF CG CI GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2003537253

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 10492945

Country of ref document: US

122 Ep: pct application non-entry in european phase
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载