WO2004063999A1 - Procede de personnalisation securisee d'un objet - Google Patents
Procede de personnalisation securisee d'un objet Download PDFInfo
- Publication number
- WO2004063999A1 WO2004063999A1 PCT/FR2003/003563 FR0303563W WO2004063999A1 WO 2004063999 A1 WO2004063999 A1 WO 2004063999A1 FR 0303563 W FR0303563 W FR 0303563W WO 2004063999 A1 WO2004063999 A1 WO 2004063999A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- secure
- assembly
- machine
- assemblies
- batch
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 230000000712 assembly Effects 0.000 claims abstract description 32
- 238000000429 assembly Methods 0.000 claims abstract description 32
- 230000008569 process Effects 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 18
- 238000003860 storage Methods 0.000 claims description 16
- 238000005516 engineering process Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 5
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000001965 increasing effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000004049 embossing Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/22—Payment schemes or models
- G06Q20/229—Hierarchy of users of accounts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
Definitions
- the present invention relates to a method of secure personalization of an object. More generally, the present invention relates to a method of secure communication between a plurality of secure assemblies.
- the invention proposes a method for securely personalizing an object comprising a secure assembly consisting of a storage unit and a microcircuit adapted to communicate with the outside by using a contactless technology.
- Personalization means the writing, in or on the object, by mechanical, electronic, optical, chemical or any other technique, of personal data specific to this object.
- authentications can be carried out sequentially between a first entity and a second entity participating in the personalization process, which conditions the blocking of the personalization process if the result of this first authentication is negative, or the triggering of a second authentication between the second entity and a third entity also participating in the personalization process, and so on.
- the second entity is a hardware security module or
- HSM in English "Hardware Security Module”
- IBM 4758 PCI the third entity is a microcircuit card associated with an operator.
- a center for personalizing objects as envisaged here is a place with reduced security compared to a center for personalization of a usual card manufacturer (for example, bank cards).
- a usual card manufacturer for example, bank cards
- the objects to be personalized are for example (but not only) official documents or travel documents.
- the personalization of these documents, when they are in electronic form, is done in a decentralized way and therefore, not necessarily in a center of a usual card manufacturer, very secure, but rather, for example, in town halls or prefectures, which do not have the same security infrastructures (for example, access control).
- security infrastructures for example, access control
- the invention aims to remedy these drawbacks.
- the invention provides a method of secure personalization of an object comprising a first secure set consisting of a first storage unit and a first microcircuit, remarkable in that it implements n-1 sets secure in addition to the first secure set, n being an integer strictly greater than 2, each of said secure sets being made up of a storage unit and a microcircuit, and forming with the object an authorized n-tupl, known from at least one of the secure sets, and in that the method comprises a plurality of authentication steps between the secure sets taken two by two, prior to a personalization step consisting of writing, in or on the object, data specific to this object.
- the object to verify that the other secure assemblies are indeed authorized to participate in its personalization provision is made for the object to verify that the other secure assemblies are indeed authorized to participate in its personalization.
- the object to be personalized authenticates the n-1 secure sets.
- the first storage unit keeps a trace making it possible to identify at least one of the secure sets having participated in the personalization process among the n-1 secure sets.
- the invention guarantees the traceability, in the personalized object, of the people or materials involved throughout the process of personalizing the object. These traces can even appear visibly on the object itself. In addition, this traceability can be secured by adding an authentication code to the trace, typically a certificate known to those skilled in the art.
- n-1 secure sets are taken from:
- a secure assembly representing a batch of objects to be personalized
- a secure assembly comprising a secure electronic entity associated with a machine adapted to personalize the objects of this batch
- the first secure assembly is adapted to communicate with the outside using contactless technology.
- This technology is particularly suitable for travel documents and official documents, which are more and more numerous, in their electronic version, to implement this technology for practical reasons.
- the personalization method according to the invention includes a preliminary authentication step involving the n-1 secure sets mentioned above.
- This preliminary step can for example involve the batch, machine and operator secure assemblies.
- the preliminary authentication step is carried out as follows:
- the operator secure set authenticates the batch secure set and the machine secure set
- the operator is on the same site as the machine, it is more convenient to have the secure batch assembly and the machine secure assembly authenticated by the operator secure set, rather than having the authentication of the secure machine set and the secure operator set by the secure batch set, for example, knowing that the secure batch set is generally personalized on a site separate from the site where the machines and their operators are located .
- the operator secure assembly is mobile by comparison with the machine secure assembly, which is advantageously inseparable from the latter (for example sealed to the body of the machine, and necessary for the operation thereof), which facilitates, from a logistical point of view, the initialization procedures of the secure operator assembly, when a new batch arrives, for example.
- 1 secure set is suitable for communicating with the outside using contactless technology.
- a logic processing unit ensures communication between at least two secure assemblies, when these are all simultaneously in its radiofrequency field.
- At least one of the secure sets is suitable for securely accessing a database or "back-office" containing the personal data mentioned above.
- the secure batch set indeed contains batch-specific data, common to all the objects to be personalized. It may be convenient to store the decryption key of the personal data contained in the database in the secure batch set.
- the batch security assembly and / or the machine security assembly may be a microcircuit card.
- the object can be a title issued by the State, such as an identity card, passport, visa or gray card (in English "vehicle registration papers"), or another document of an official nature, such than a notarial deed, or a transport ticket, such as a subscription card to use public transport, or a travel document, such as a driving license, or a toll ticket or other documentary evidence a right to transit, such as permits issued by Mexico City to motorists, for example, to enter the city. Thanks to the present invention, the personalization of these objects can be decentralized, for example carried out in town halls or prefectures, without the need to increase the security of these places.
- the present invention proposes, more generally, a secure communication method, remarkable in that it implements n secure sets, n being an integer at least equal to 2, each of the sets being made up of a storage unit and a microcircuit, and forming an authorized n-tuplet known from at least one of the secure sets, and in that the method comprises a plurality of authentication steps between the sets secure taken two by two.
- At least one of the storage units keeps a trace making it possible to identify at least one of the n secure sets.
- This trace can include an authentication code.
- at least one of the secure assemblies is suitable for communicating with the outside using contactless technology.
- a logic processing unit ensures communication between at least two secure assemblies, when these are all simultaneously in its radiofrequency field.
- At least one of the secure assemblies can be a microcircuit card.
- FIG. 1 is a block diagram of the various exchanges between the secure assemblies participating in the personalization process according to the present invention, in a particular embodiment
- FIG. 2 schematically represents different entities involved in the personalization process according to the present invention, in a particular embodiment
- - Figure 3 is a flowchart illustrating steps of the personalization process according to the present invention, in a particular embodiment.
- the invention can also be applied to a bank card, a SIM card or a memory card.
- the object comprises a first secure assembly E1 consisting of a first storage unit, such as a non-volatile memory, for example of the ROM or EEPROM type, and of a first microcircuit adapted to communicate with the outside. using contactless technology.
- a first storage unit such as a non-volatile memory, for example of the ROM or EEPROM type
- a first microcircuit adapted to communicate with the outside. using contactless technology.
- the method according to the present invention also involves a second secure assembly E2 consisting of a second storage unit and a second microcircuit, which is, in this example, in no way limiting, a card to batch microcircuit, representative of a batch of objects to be personalized.
- the personalization process also involves a third secure assembly E3 consisting of a third storage unit and a third microcircuit, which is, in this example, a machine secure module, inseparable from a machine adapted to personalize the objects of the batch defined by common data stored in the batch card of the secure assembly E2.
- the secure module can for example be sealed to the body of the personalization machine and include elements essential to its operation so that one cannot remove this module or put it out of service without hampering the use of the personalization machine.
- the secure machine module can for example contain self-test means, or even a user license. The machine secure module thus allows the machine to perform self-test operations, which are not the subject of the invention and will therefore not be described here.
- the personalization method also involves a fourth secure assembly E4, consisting of a fourth storage unit and a fourth microcircuit, which is, in this example, a card operator microcircuit, attached to an operator authorized to use the machine specified by the machine secure module of the E3 secure assembly.
- the secure assemblies E1, E2, and E4 communicate with the outside (and in particular with one or more of the other secure assemblies) using contactless technology, for example of the type using inductive coupling.
- a logic processing unit UTL 10 ensures communication between the secure assemblies E1, E2, and E4, when these are all simultaneously in its radiofrequency field, which is shown on the drawing by a dashed circle.
- the UTL is in fact provided with a contactless reader of structure known per se, used in an unconventional manner, in an environment with several microcircuits.
- the UTL 10 is used in an unconventional way in the sense that it is to make the various secure assemblies communicate with each other that they are placed simultaneously in the field of the UTL, unlike a conventional use, where, when several microcircuits are in the UTL field, we select only one to communicate with the UTL.
- the UTL 10 can be a simple conventional personal computer (PC).
- the machine secure module also communicates with the other secure assemblies via the UTL 10. For this, the secure module is connected to the UTL 10 by a conventional wired link. Typically, the UTL 10 is part of the personalization machine.
- the UTL 10 and the four secure sets represented in the form of three smart cards € 1, E2, E4 and a secure module E3, are also illustrated in FIG. 2, which shows that a database or " back-office "is connected to the UTL 10 of a personalization machine 20.
- the database contains the personal data to be written in or on the object to be personalize. These data are preferably stored in encrypted form for security reasons.
- One of the four secure assemblies for example the batch microcircuit card, is suitable for securely accessing this database, for example by means of an authentication procedure of the card with the database and the creation of a session key.
- the secure machine module can also be removable relative to the body of the personalization machine.
- the object to be personalized and the machine secure module can use contactless technology, and the batch card as well as the operator card can use USB keys inserted in the UTL.
- any communication interface allowing the selection of several cards, such as an interface conforming to the BlueTooth standard or even WiFi, can be used.
- the machine secure module is, prior to the implementation of the process for personalizing the object, which is itself personalized during the manufacture of the machine.
- the personalization of the secure machine module notably consists in storing therein a secret datum which is for example a master secret key MSK m (in English "Master Secret Key") identical for a given set of machines. It can be, for example, all the machines of the same site, the same region or a particular type.
- the personalization of the machine secure module also consists in storing therein information specific to the machine with which it will be associated, such as its serial number, its type, or even its date of commissioning.
- a secret master key MSK op common to at least a certain number. operators.
- This master key can for example be common to all operators of the same site, the same region or a particular type.
- the key which will be used will not be MSKm master key but a diversified version by means of diversification information constituted for example by the serial number of the machine used for the personalization of the object.
- a personalization step 32 of the operator card consists in storing therein a secret master key MSK op , identical for all the operators of the same customer, as well as, optionally, an operator number, his name and surname, a photograph of identity and other personal information about him, such as his fingerprints.
- the key which will be used during exchanges between the various cards and the object will be a version of the MSK op key diversified by means of diversification information constituted for example by the unique number identifying each operator.
- the key MSK m common to at least a certain number of machines is also stored in the operator card, for example, to all the machines of a given administration of a region, site or particular type.
- a step 34 of pre-personalizing the objects to be personalized consists in writing in or on the object all the data common to all the objects in a batch, for example linked to the operating system and to the keys allowing secure access to the objects or object type.
- 0t the same for all objects to customize a lot.
- the secret master keys MSK op and MSK m are respectively stored in each object of the operators and of the machines called upon to intervene during the personalization of the batch of objects. Typically, this is the master key associated with the operators of the sites or regions in which it is planned to personalize the objects.
- the batch card is also personalized, in a known manner.
- This personalization consists in particular in storing in the batch card the secret master key MSK
- 0t which will be used during exchanges between the various cards and the object will be a diversified version by means of diversification information constituted for example by a unique object number.
- Steps 30, 32 and 34 can be performed in any order.
- a step 36 of initializing the method is then carried out.
- an authorized authority for example a person hierarchically superior to the operators, stores in each operator card the list L m of the serial numbers of the machines on which the operator is authorized to work and stores in the machine secure module, the L op list of the numbers of operators authorized to work on this machine.
- This step must be particularly secure in relation to the steps for personalizing the object. It can be carried out by adaptations or an adapted organization, for example in a small shielded room, communicating with the secure modules of the personalization machines, and whose access is very controlled, for example by biometric identifications, a code of access and an airlock allowing only one person to pass.
- This step can take place when the machine is started up at the customer's site, then periodically, for example at the start of each day by the team leader, depending on the exact distribution of operators by machine, operators present, and machines in service.
- the operator card (s) and batch are programmed for the personalization of the batch, also by an authority authorized under security conditions similar to those from step 36.
- the authorized authority determines the operators who will work on this lot according to production planning.
- 0 t is installed in the memory of the cards of the operators who will work on this batch. This installation procedure is indicated by dashed arrows in Figure 1.
- steps 36 and 38 are carried out in FIG. 3 is in no way limiting. Steps 36 and 38 can be carried out in any order.
- the machine secure modules and the operator and batch cards are authenticated reciprocally or not using the diversified versions of the corresponding MSKj secret keys and L, lists.
- the triplet secure machine module, operator card, batch card
- This knowledge is reflected in the presence, in the memory of the operator card, of lists of authorized elements (machine (s), batch (s)). In the particular example described here, this is the list L m of authorized machines.
- the list of authorized lots is implicitly determined by the list of keys MSK
- the batch card for a given batch can only authenticate the operator card if it contains the key MSK
- this knowledge results in the presence, in the memory of the operator card, of an explicit enumeration of all the possible triplets of authorized elements. If the operator card does not have such an explicit enumeration, but only a list of authorized elements, it includes means adapted to form from this list all the possible combinations of authorized elements.
- the invention can use any type of authentication scheme and cryptography algorithm known to those skilled in the art. As long as we are working on the same batch and it is always the same triplet which participates in the personalization, it is not necessary to repeat the series of authentications aimed at verifying that we are indeed in the presence of the authorized triplet .
- the secure machine module authenticates the operator card
- the batch card authenticates the operator card
- the operator card authenticates the batch card.
- the object to be personalized it is authorized to work with a single batch card, but can be authorized to work with several operators and / or several machines.
- the object contains for this purpose in memory a list, stored during the pre-personalization of the object, with the batch card, the operator cards and authorized machines, elements from which the object is adapted to deduce therefrom all possible combinations of authorized elements. In the particular example described here, these lists are implicitly determined by the presence of the keys MSK m and MSK op in the memory of the object to be personalized.
- these master keys being limited to a site or to a region or a particular type of operator or machine, they can correspond to a number of machines and operators sufficiently limited to guarantee, in combination with step d '40 preliminary authentication, security of the personalization process.
- the object contains an explicit enumeration of all the possible combinations of triplets (batch card, secure machine module, operator card).
- the authentication step 40 between the participants in the personalization process is repeated. It should be checked that the new secure set is properly authorized and that the secure sets involved in the personalization process always form an authorized triplet.
- the next step 42 is an authentication step, reciprocal or not, between the object and, respectively, the batch card, the secure machine module and the operator card.
- the object authenticates the secure machine module and the operator and batch cards, which allows the object to recover information identifying the machine, the operator and the batch, for traceability of personalization.
- One or more of the cards for example the batch card, are suitable for securely accessing the database, illustrated in FIG. 2, containing the personal data relating to the object. This access is done by example by means of a session key, or by another cryptographic mechanism implementing for example the key MSK
- the trace stored in the personalized object will not correspond to any listed machine, nor any registered operator, nor any existing batch; thus, even if the personalization of the object could have been carried out by the fraudster, we will be able to recognize that this personalized object is a fake.
- This trace can be secured by the use of an authentication code, obtained for example by the use of a hash function, such as SHA-1 or MD5, well known to those skilled in the art, and the use of a cryptography algorithm (for example of the DES type) involving one of the diversified MSK- keys.
- a hash function such as SHA-1 or MD5
- a cryptography algorithm for example of the DES type
- the personalization step 44 itself can be carried out.
- personal information specific to the future user of the object is entered in or on the object, mechanically (by printing, engraving, embossing, etc.), electronic, optical, chemical or by any other technique.
- This data comes from the database (illustrated in Figure 2 previously described) and is stored there.
- the total number of secure assemblies can be limited to three, the object including, by grouping the batch card and the operator card in a single card, or by grouping the machine secure module and the operator card. .
- n of secure sets n being at less than 2
- n being at less than 2
- This method comprises a certain number of authentication steps between the secure sets taken two by two. For example, in the field of banking transactions, given a store delivering loyalty points to its customers on their loyalty card during each purchase, supposedly made by bank card, the invention makes it possible to avoid fraudulent obtaining loyalty points, or their allocation to a customer other than the one who made the purchase giving the right to these loyalty points, or even preventing a customer from recovering loyalty points corresponding to another store.
- the loyalty card which knows the triplet (loyalty card, payment card, seller's card) authorized, authenticates the payment card and the seller's card.
- the operation of allocating loyalty points may possibly also involve a fourth secure assembly, associated with the store: it may for example be a fourth microcircuit card inseparable from the cash register with which the customer pays his purchase.
- the loyalty card also authenticates the store card.
- the communication method according to the present invention applies of course to a large number of other fields not listed here.
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
Abstract
Ce procédé de personnalisation sécurisée d'un objet comportant un premier ensemble sécurisé (El) constitué d'une première unité de mémorisation et d'un premier microcircuit, met en oeuvre n-1 ensembles sécurisés (E2, E3) en plus du premier ensemble sécurisé (El), n étant un entier strictement supérieur à 2, chacun de ces n-1 ensembles sécurisés (E2, E3) étant constitués d'une unité de mémorisation et d'un microcircuit, et formant avec l'objet un n-uplet autorisé, connu d'au moins un des ensembles sécurisés. Ce procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux, préalablement à une étape de personnalisation consistant à écrire, dans ou sur l'objet, des données personnelles propres à cet objet. Applications aux titres émis par I'Etat, documents à caractère officiel, titres de transport ou documents de voyage.
Description
PROCEDE DE PERSONNALISATION SECURISEE D'UN OBJET
La présente invention se rapporte à un procédé de personnalisation sécurisée d'un objet. Plus généralement, la présente invention concerne un procédé de communication sécurisée entre une pluralité d'ensembles sécurisés.
Dans son exemple d'application plus particulièrement décrit ici, l'invention propose un procédé pour personnaliser de façon sécurisée un objet comportant un ensemble sécurisé constitué d'une unité de mémorisation et d'un microcircuit adapté à communiquer avec l'extérieur en utilisant une technologie sans contact. Par personnalisation, on entend l'écriture, dans ou sur l'objet, par voie mécanique, électronique, optique, chimique ou par toute autre technique, de données personnelles propres à cet objet.
A l'heure actuelle, lors de la personnalisation d'un objet, des authentifications peuvent être effectuées de façon séquentielle entre une première entité et une deuxième entité participant au processus de personnalisation, ce qui conditionne le blocage du processus de personnalisation si le résultat de cette première authentification est négatif, ou le déclenchement d'une deuxième authentification entre la deuxième entité et une troisième entité participant également au processus de personnalisation, et ainsi de suite. Typiquement, la deuxième entité est un module de sécurité matériel ou
HSM (en anglais "Hardware Security Module"), tel qu'une carte PCI IBM 4758, et la troisième entité est une carte à microcircuit associée à un opérateur.
Cependant, lors de ces authentifications séquentielles, on ne vérifie pas qu'on est bien en présence d'un triplet autorisé formé par les trois entités. Par exemple on ne vérifie pas si l'opérateur associé à la troisième entité est bien autorisé à réaliser la personnalisation de la première entité. On vérifie uniquement que l'opérateur est bien autorisé à réaliser une opération de personnalisation sur un objet quelconque ou un type d'objet particulier, mais pas sur un objet ou lot d'objets précis. En outre, ces authentifications ne prennent en général pas en compte plus de deux entités dans une procédure d'authentification en plus de l'objet à personnaliser.
Par ailleurs, un centre de personnalisation d'objets tel qu'on l'envisage ici est un lieu présentant une sécurité réduite par rapport à un centre de
personnalisation d'un fabricant de cartes habituel (par exemple, cartes bancaires). Les opérateurs sont plus nombreux, plus dispersés géographiquement et moins contrôlés. En effet, les objets à personnaliser sont par exemple (mais pas seulement) des documents officiels ou des documents de voyage. Bien souvent, la personnalisation de ces documents, lorsqu'ils sont sous forme électronique, se fait de façon décentralisée et donc, pas nécessairement dans un centre d'un fabricant de cartes habituel, très sécurisé, mais plutôt, par exemple, dans des mairies ou des préfectures, qui n'ont pas les mêmes infrastructures de sécurité (par exemple, contrôle d'accès). Le risque de fraude accru lié notamment à cette réduction de la sécurité présente des inconvénients.
La présente invention a pour but de remédier à ces inconvénients. Dans ce but, l'invention propose un procédé de personnalisation sécurisée d'un objet comportant un premier ensemble sécurisé constitué d'une première unité de mémorisation et d'un premier microcircuit, remarquable en ce qu'il met en œuvre n-1 ensembles sécurisés en plus du premier ensemble sécurisé, n étant un entier strictement supérieur à 2, chacun desdits ensembles sécurisés étant constitués d'une unité de mémorisation et d'un microcircuit, et formant avec l'objet un n-uplet autorisé, connu d'au moins un des ensembles sécurisés, et en ce que le procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux, préalablement à une étape de personnalisation consistant à écrire, dans ou sur l'objet, des données personnelles propres à cet objet.
Ces étapes d'authentification entre les divers ensembles sécurisés confèrent un caractère sécurisé au processus de personnalisation de l'objet, ce qui permet de décentraliser les diverses opérations à réaliser sur l'objet en vue de le personnaliser. On améliore ainsi la sécurité du processus de personnalisation, ce qui permet de réaliser la personnalisation dans un environnement moins sécurisé. L'invention offre ainsi les avantages d'un procédé à faible coût en raison d'un moindre investissement dans la sécurité de l'environnement dans lequel est effectuée la personnalisation. Ce procédé peut être adapté à tout schéma
classique de gestion de clés du type Kerberos ou PKI (infrastructures de clés publiques, en anglais "Public Key Infrastructures").
Avantageusement, afin de réduire le risque de fraude, on prévoit que l'objet vérifie que les autres ensembles sécurisés sont bien autorisés à participer à sa personnalisation. A cet effet, l'objet à personnaliser authentifie les n-1 ensembles sécurisés.
Avantageusement, à l'issue de l'étape de personnalisation de l'objet, la première unité de mémorisation conserve une trace permettant d'identifier au moins un des ensembles sécurisés ayant participé au processus de personnalisation parmi les n-1 ensembles sécurisés.
Ainsi, l'invention garantit la traçabilité, dans l'objet personnalisé, des personnes ou matériels intervenus tout au long du processus de personnalisation de l'objet. Ces traces peuvent même figurer de façon visible sur l'objet lui-même. En outre, cette traçabilité peut être sécurisée par l'ajout d'un code d'authentification à la trace, typiquement un certificat connu de l'homme du métier.
Dans un mode particulier de réalisation, les n-1 ensembles sécurisés sont pris parmi :
- un ensemble sécurisé représentant un lot d'objets à personnaliser, - un ensemble sécurisé comportant une entité électronique sécurisée associée à une machine adaptée à personnaliser les objets de ce lot, et
- un ensemble sécurisé attaché à un opérateur habilité à utiliser cette machine.
Cela permet de personnaliser de façon sécurisée tout objet faisant partie d'un lot, tel qu'une carte d'identité prise parmi un lot initial de cartes à personnaliser, la personnalisation étant effectuée au moyen d'une machine habilitée identifiée par un module sécurisé machine associé, et où la machine est manipulée par un opérateur habilité identifié par exemple par une carte à microcircuit opérateur en sa possession, qui l'identifie de façon unique. On augmente ainsi la sécurité, puisqu'on établit à l'avance les opérateurs qui sont autorisés à travailler sur une machine, de même que les machines sur lesquelles le lot sera traité, etc., c'est-à-dire qu'on détermine à l'avance les intervenants au processus de personnalisation.
En outre, cela confère une grande adaptabilité au système, qui peut être distribué et peut être étendu très facilement en augmentant le nombre d'ensembles sécurisés lots et d'ensembles sécurisés opérateurs.
Avantageusement, le premier ensemble sécurisé est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact. Cette technologie est particulièrement adaptée aux documents de voyage et aux documents officiels, qui sont de plus en plus nombreux, dans leur version électronique, à mettre en œuvre cette technologie pour des raisons pratiques. On peut par exemple conserver le format d'origine d'un passeport et insérer dans le papier du passeport un microcircuit utilisant une technologie de communication sans contact.
Avantageusement, le procédé de personnalisation conforme à l'invention comporte une étape préliminaire d'authentification faisant intervenir les n-1 ensembles sécurisés précités. Cette étape préliminaire peut par exemple faire intervenir les ensembles sécurisés lot, machine et opérateur.
Cela permet d'améliorer le rendement du procédé en termes de temps de calcul et donc de rapidité d'exécution, en permettant d'éviter de procéder à ces authentifications pour chaque nouvel objet à personnaliser.
Avantageusement, l'étape préliminaire d'authentification est effectuée comme suit :
- l'ensemble sécurisé opérateur authentifie l'ensemble sécurisé lot et l'ensemble sécurisé machine,
- l'ensemble sécurisé machine authentifie l'ensemble sécurisé opérateur, et - l'ensemble sécurisé lot authentifie l'ensemble sécurisé opérateur.
Du fait que l'opérateur est sur le même site que la machine, il est plus commode de faire réaliser l'authentification de l'ensemble sécurisé lot et de l'ensemble sécurisé machine par l'ensemble sécurisé opérateur, plutôt que de faire réaliser l'authentification de l'ensemble sécurisé machine et de l'ensemble sécurisé opérateur par l'ensemble sécurisé lot, par exemple, sachant que l'ensemble sécurisé lot est généralement personnalisé sur un site distinct du site où se trouvent les machines et leurs opérateurs. En outre, l'ensemble sécurisé opérateur est mobile par comparaison avec l'ensemble sécurisé machine, qui est
avantageusement indissociable de celle-ci (par exemple scellé au corps de la machine, et nécessaire au fonctionnement de celle-ci), ce qui facilite, d'un point de vue logistique, les procédures d'initialisation de l'ensemble sécurisé opérateur, lors de l'arrivée d'un nouveau lot par exemple. Avantageusement, au moins un microcircuit parmi les microcircuits des n-
1 ensembles sécurisés est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.
Selon une caractéristique particulière, une unité de traitement logique assure la communication entre au moins deux ensembles sécurisés, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence.
La technologie sans contact permet une réalisation simple, relativement peu coûteuse et un fonctionnement très pratique. En effet, au plan pratique, il est plus commode de placer une carte à microcircuit sur un lecteur que de l'y insérer. Avantageusement, au moins un des ensembles sécurisés, par exemple l'ensemble sécurisé lot, est adapté à accéder de façon sécurisée à une base de données ou "back-office" contenant les données personnelles mentionnées plus haut.
L'ensemble sécurisé lot contient en effet des données spécifiques au lot, communes à tous les objets à personnaliser. Il peut être commode de mémoriser dans l'ensemble sécurisé lot la clé de déchiffrement des données personnelles contenues dans la base de données.
L'ensemble sécurisé lot et/ou l'ensemble sécurisé machine peut être une carte à microcircuit. L'objet peut être un titre émis par l'Etat, tel qu'une carte d'identité, un passeport, un visa ou une carte grise (en anglais "vehicle registration papers"), ou un autre document à caractère officiel, tel qu'un acte notarié, ou encore un titre de transport, tel qu'une carte d'abonnement pour emprunter les transports en commun, ou un document de voyage, tel qu'un permis de conduire, ou un ticket de péage ou autre justificatif d'un droit à transiter, du type des autorisations délivrées par exemple par la ville de Mexico aux automobilistes, pour entrer dans la ville. Grâce à la présente invention, la personnalisation de ces objets peut être
décentralisée, par exemple effectuée dans des mairies ou des préfectures, sans qu'il soit besoin d'augmenter la sécurité de ces lieux.
Dans le même but que celui indiqué plus haut, la présente invention propose, plus généralement, un procédé de communication sécurisée, remarquable en ce qu'il met en œuvre n ensembles sécurisés, n étant un entier au moins égal à 2, chacun des ensembles sécurisés étant constitué d'une unité de mémorisation et d'un microcircuit, et formant un n-uplet autorisé connu d'au moins un des ensembles sécurisés, et en ce que le procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux.
Selon une caractéristique particulière, au moins une des unités de mémorisation conserve une trace permettant d'identifier au moins un des n ensembles sécurisés.
Cette trace peut comporter un code d'authentification. Avantageusement, au moins un des ensembles sécurisés est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.
Selon une caractéristique particulière, une unité de traitement logique assure la communication entre au moins deux ensembles sécurisés, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence. Au moins un des ensembles sécurisés peut être une carte à microcircuit.
Le procédé de communication et ses caractéristiques particulières mentionnées ci-dessus présentent des avantages similaires à ceux du procédé de personnalisation. Ces avantages ne sont donc pas répétés ici.
D'autres aspects et avantages de l'invention apparaîtront à la lecture de la description détaillée qui suit d'un mode particulier de réalisation, donné à titre d'exemples non limitatifs. La description est faite en référence aux dessins qui l'accompagnent, dans lesquels : la figure 1 est un synoptique des différents échanges entre les ensembles sécurisés participant au procédé de personnalisation conforme à la présente invention, dans un mode particulier de réalisation ; la figure 2 représente de façon schématique différentes entités intervenant dans le procédé de personnalisation conforme à la présente invention, dans un mode particulier de réalisation ; et
. - la figure 3 est un organigramme illustrant des étapes du procédé de personnalisation conforme à la présente invention, dans un mode particulier de réalisation.
Conformément à la présente invention, dans l'exemple particulier d'application qu'on a choisi de décrire en détail ici, on cherche à personnaliser de façon sécurisée un objet tel qu'un titre émis par l'Etat (carte d'identité, passeport, etc.), un autre document à caractère officiel (acte notarié par exemple), un titre de transport (carte d'abonnement pour emprunter les transports en commun, par exemple) un document de voyage (du type du "ticket de passage" pour circuler en automobile à Mexico, mentionné en introduction).
Les exemples précédents sont des applications privilégiées de l'invention, données à titre nullement limitatif. Ainsi, l'invention peut aussi bien s'appliquer à une carte bancaire, une carte SIM ou une carte mémoire.
Pour cela, l'objet comporte un premier ensemble sécurisé E1 constitué d'une première unité de mémorisation, telle qu'une mémoire non volatile, par exemple de type ROM ou EEPROM, et d'un premier microcircuit adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.
Comme le montre la figure 1, le procédé conforme à la présente invention fait également intervenir un deuxième ensemble sécurisé E2 constitué d'une deuxième unité de mémorisation et d'un deuxième microcircuit, qui est, dans cet exemple, nullement limitatif, une carte à microcircuit lot, représentative d'un lot d'objets à personnaliser. Le procédé de personnalisation fait aussi intervenir un troisième ensemble sécurisé E3 constitué d'une troisième unité de mémorisation et d'un troisième microcircuit, qui est, dans cet exemple, un module sécurisé machine, indissociable d'une machine adaptée à personnaliser les objets du lot défini par des données communes mémorisées dans la carte lot de l'ensemble sécurisé E2. Le module sécurisé peut par exemple être scellé au corps de la machine de personnalisation et comporter des éléments indispensables à son fonctionnement de sorte qu'on ne puisse pas retirer ce module ou le mettre hors service sans entraver l'utilisation de la machine de personnalisation. Le module sécurisé machine peut par exemple contenir des moyens d'autotest, voire une licence d'utilisation.
Le module sécurisé machine permet ainsi à la machine d'effectuer des opérations d'auto-test, qui ne font pas l'objet de l'invention et ne seront donc pas décrites ici.
Dans le mode particulier de réalisation de la figure 1 , le procédé de personnalisation fait en outre intervenir un quatrième ensemble sécurisé E4, constitué d'une quatrième unité de mémorisation et d'un quatrième microcircuit, qui est, dans cet exemple, une carte à microcircuit opérateur, attachée à un opérateur habilité à utiliser la machine spécifiée par le module sécurisé machine de l'ensemble sécurisé E3. Dans l'exemple décrit ici, les ensembles sécurisés E1 , E2, et E4 communiquent avec l'extérieur (et notamment avec un ou plusieurs des autres ensembles sécurisés) en utilisant une technologie sans contact, par exemple du type utilisant un couplage inductif.
Une unité de traitement logique UTL 10 assure la communication entre les ensembles sécurisés E1 , E2, et E4, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence, lequel est matérialisé sur le dessin par un cercle en tirets. L'UTL est en effet pourvue d'un lecteur sans contact de structure connue en soi, utilisé de façon non conventionnelle, dans un environnement à plusieurs microcircuits. L'UTL 10 est utilisée de façon non conventionnelle au sens où c'est pour faire communiquer entre eux les différents ensembles sécurisés qu'on les place simultanément dans le champ de l'UTL, contrairement à une utilisation classique, où, lorsque plusieurs microcircuits se trouvent dans le champ de l'UTL, on en sélectionne un seul pour communiquer avec l'UTL. L'UTL 10 peut être un simple ordinateur personnel (PC) classique. Le module sécurisé machine communique également avec les autres ensembles sécurisés par l'intermédiaire de l'UTL 10. Pour cela, le module sécurisé est connecté à l'UTL 10 par une liaison filaire classique. Typiquement, l'UTL 10 fait partie de la machine de personnalisation.
L'UTL 10 et les quatre ensembles sécurisés, représentés sous forme de trois cartes à puce €1, E2, E4 et d'un module sécurisé E3, sont également illustrés sur la figure 2, qui montre qu'une base de données ou "back-office" est connectée à l'UTL 10 d'une machine de personnalisation 20. La base de données contient les données personnelles à écrire dans ou sur l'objet à
personnaliser. Ces données sont de préférence mémorisées sous forme chiffrée pour des raisons de sécurité. Un des quatre ensembles sécurisés, par exemple la carte à microcircuit lot, est adaptée à accéder de façon sécurisée à cette base de données, par exemple moyennant une procédure d'authentification de la carte auprès de la base de données et la création d'une clé de session.
En variante, en lieu et place d'une interface sans contact pour l'UTL, ou en association avec l'interface sans contact, il est possible d'utiliser un autre type d'interface, comme un bus USB. Le module sécurisé machine peut être également amovible par rapport au corps de la machine de personnalisation. A titre d'exemple nullement limitatif, l'objet à personnaliser et le module sécurisé machine peuvent utiliser une technologie sans contact, et la carte lot ainsi que la carte opérateur peuvent utiliser des clés USB insérées dans l'UTL. Plus généralement, toute interface de communication autorisant la sélection de plusieurs cartes, telle qu'une interface conforme à la norme BlueTooth ou encore WiFi, peut être utilisée.
Comme le montre l'organigramme de la figure 3, préalablement au déroulement du procédé de personnalisation proprement dit, des opérations de personnalisation des diverses cartes appelées à intervenir dans la personnalisation de l'objet sont effectuées. Ces opérations de personnalisation sont effectuées dans un lieu sécurisé.
Ainsi, lors d'une étape de personnalisation 30 du module sécurisé machine, le module sécurisé machine est, préalablement à la mise en œuvre du procédé de personnalisation de l'objet, lui-même personnalisé lors de la fabrication de la machine. La personnalisation du module sécurisé machine consiste notamment à y mémoriser une donnée secrète qui est par exemple une clé secrète maître MSKm (en anglais "Master Secret Key") identique pour un ensemble de machines donné. Il peut s'agir, par exemple, de toutes les machines d'un même site, d'une même région ou d'un type particulier. La personnalisation du module sécurisé machine consiste en outre à y mémoriser des informations spécifiques à la machine à laquelle il sera associé, telles que son numéro de série, son type, ou encore sa date de mise en service. Enfin, lors de l'étape de personnalisation 30 du module sécurisé machine, on y mémorise une clé secrète maître MSKop commune à au moins un certain nombre
d'opérateurs. Cette clé maître peut être par exemple commune à tous les opérateurs d'un même site, d'une même région ou d'un type particulier.
Lors des échanges de données qui auront lieu avec l'extérieur, notamment lors des diverses authentifications, qu'il s'agisse de l'objet à personnaliser ou des autres cartes (opérateur ou lot), la clé qui sera utilisée ne sera pas la clé maître MSKm mais une version diversifiée au moyen d'informations de diversification constituées par exemple par le numéro de série de la machine utilisée pour la personnalisation de l'objet.
Une étape de personnalisation 32 de la carte opérateur consiste à y mémoriser une clé secrète maître MSKop, identique pour tous les opérateurs d'un même client, ainsi que, éventuellement, un numéro d'opérateur, ses nom et prénom, une photographie d'identité et d'autres informations personnelles le concernant, telles que ses empreintes digitales. La clé qui sera utilisée lors des échanges entre les diverses cartes et l'objet sera une version de la clé MSKop diversifiée au moyen d'informations de diversification constituées par exemple par le numéro unique identifiant chaque opérateur. Lors de l'étape de personnalisation 32 de la carte opérateur, on mémorise en outre dans la carte opérateur la clé MSKm commune à au moins un certain nombre de machines, par exemple, à toutes les machines d'une administration donnée d'une région, d'un site ou d'un type particulier.
Une étape 34 de pré-personnalisation des objets à personnaliser consiste à inscrire dans ou sur l'objet toutes les données communes à tous les objets d'un lot, par exemple liées au système d'exploitation et aux clés permettant l'accès sécurisé aux objets ou au type d'objet. Durant cette étape, de façon connue de l'homme du métier, on mémorise dans chaque objet à personnaliser la clé maître MSK|0t identique pour tous les objets à personnaliser d'un même lot. Selon l'invention, on mémorise dans chaque objet en outre les clés maîtres secrètes MSKop et MSKm respectivement des opérateurs et des machines appelés à intervenir lors de la personnalisation du lot d'objets. Typiquement, il s'agit de la clé maître associée aux opérateurs des sites ou des régions dans lesquelles il est prévu de personnaliser les objets. Durant cette étape, on personnalise également la carte lot, de façon connue. Cette personnalisation consiste notamment à mémoriser dans la carte lot la clé secrète maître MSK|0t.
La version de la clé MSK|0t qui sera utilisée lors des échanges entre les diverses cartes et l'objet sera une version diversifiée au moyen d'informations de diversification constituées par exemple par un numéro unique d'objet.
Les étapes 30, 32 et 34 peuvent être effectuées dans un ordre indifférent. Une étape 36 d'initialisation du procédé est ensuite effectuée. Lors de cette initialisation, une autorité habilitée, par exemple une personne hiérarchiquement supérieure aux opérateurs, mémorise dans chaque carte opérateur la liste Lm des numéros de série des machines sur lesquelles l'opérateur est autorisé à travailler et mémorise dans le module sécurisé machine, la liste Lop des numéros des opérateurs autorisés à travailler sur cette machine. Cette étape doit être tout particulièrement sécurisée par rapport aux étapes de personnalisation de l'objet. Elle peut être réalisée par des aménagements ou une organisation adaptée, par exemple dans un petit local blindé, communiquant avec les modules sécurisés des machines de personnalisation, et dont l'accès est très contrôlé, par exemple par des identifications biométriques, un code d'accès et un sas ne laissant passer qu'une personne. Cette étape peut avoir lieu lors de la mise en route de la machine chez le client, puis périodiquement, par exemple au début de chaque journée par le chef d'équipe, en fonction de la répartition exacte des opérateurs par machine, des opérateurs présents, et des machines en service.
Puis, lors d'une étape 38 de lancement d'un nouveau lot, la ou les carte(s) opérateur(s) et lot sont programmées pour la personnalisation du lot, également par une autorité habilitée dans des conditions de sécurité similaires à celles de l'étape 36. L'autorité habilitée détermine les opérateurs qui travailleront sur ce lot en fonction de la planification de la production. La clé MSK|0t est installée dans la mémoire des cartes des opérateurs qui travailleront sur ce lot. Cette procédure d'installation est matérialisée par des flèches en tirets sur la figure 1.
L'ordre dans lequel sont réalisées les étapes 36 et 38 sur la figure 3 n'est nullement limitatif. Les étapes 36 et 38 peuvent être réalisées dans un ordre indifférent.
Ensuite, au démarrage d'un nouveau lot d'objets, lors d'une étape 40 d'authentification préalable, les modules sécurisés machine et les cartes opérateur et lot s'authentifient de façon réciproque ou non en utilisant les
versions diversifiées des clés secrètes MSKj correspondantes et les listes L,. Pour cela, au moins une des cartes, par exemple la carte opérateur, connaît le triplet (module sécurisé machine, carte opérateur, carte lot) autorisé à participer à la personnalisation d'un objet. Cette connaissance se traduit par la présence, dans la mémoire de la carte opérateur, de listes d'éléments (machine(s), lot(s)) autorisés. Dans l'exemple particulier décrit ici, il s'agit de la liste Lm des machines autorisées. La liste des lots autorisés est déterminée implicitement par la liste des clés MSK|0t mémorisée dans la carte opérateur. En effet, la carte lot d'un lot donné ne pourra authentifier la carte opérateur que si celle-ci contient la clé MSK|0t correspondant à ce lot. En variante, cette connaissance se traduit par la présence, dans la mémoire de la carte opérateur, d'une énumération explicite de tous les triplets possibles d'éléments autorisés. Au cas où la carte opérateur ne dispose pas d'une telle énumération explicite, mais uniquement d'une liste d'éléments autorisés, elle comporte des moyens adaptés à former à partir de cette liste toutes les combinaisons possibles d'éléments autorisés.
En ce qui concerne l'authentification proprement dite, l'invention peut utiliser indifféremment tout type de schéma d'authentification et d'algorithme de cryptographie connus de l'homme du métier. Tant qu'on travaille sur un même lot et que c'est toujours le même triplet qui participe à la personnalisation, il n'est pas nécessaire de recommencer la série d'authentifications visant à vérifier qu'on est bien en présence du triplet autorisé.
Dans l'exemple particulier décrit ici, les authentifications préalables entre les diverses cartes sont les suivantes :
- la carte opérateur authentifie le module sécurisé machine,
- le module sécurisé machine authentifie la carte opérateur,
- la carte lot authentifie la carte opérateur, et
- la carte opérateur authentifie la carte lot. Quant à l'objet à personnaliser, il est autorisé à travailler avec une seule carte lot, mais peut être autorisé à travailler avec plusieurs opérateurs et/ou plusieurs machines. L'objet contient à cet effet en mémoire une liste, stockée lors de la pré-personnalisation de l'objet, avec la carte lot, les cartes opérateurs
et les machines autorisées, éléments à partir desquels l'objet est adapté à en déduire toutes les combinaisons possibles d'éléments autorisés. Dans l'exemple particulier décrit ici, ces listes sont déterminées implicitement par la présence des clés MSKm et MSKop dans la mémoire de l'objet à personnaliser. En effet, ces clés maîtres étant limitées à un site ou à une région ou un type particulier d'opérateur ou de machine, elles peuvent correspondre à un nombre de machines et d'opérateurs suffisamment limité pour garantir, en combinaison avec l'étape d'authentification préliminaire 40, la sécurité du processus de personnalisation. En variante, l'objet contient une énumération explicite de toutes les combinaisons possibles de triplets (carte lot, module sécurisé machine, carte opérateur) autorisés.
Il est à noter que l'UTL 10 est transparente vis-à-vis de ces échanges entre cartes.
Ces authentifications peuvent aussi être suivies par la génération d'une clé de session, de façon connue en soi, pour chiffrer les messages échangés ultérieurement entre les différents ensembles sécurisés.
En cas de changement d'opérateur ou de lot, l'étape 40 d'authentification entre les intervenants au processus de personnalisation est réitérée. Il convient de vérifier que le nouvel ensemble sécurisé est bien autorisé et que les ensembles sécurisés intervenant dans le processus de personnalisation forment toujours un triplet autorisé.
L'étape suivante 42 est une étape d'authentification, réciproque ou non, entre l'objet et, respectivement, la carte lot, le module sécurisé machine et la carte opérateur. Ainsi, pour chaque objet à personnaliser :
- la carte lot authentifie l'objet, et
- l'objet authentifie le module sécurisé machine et les cartes opérateur et lot, ce qui permet à l'objet de récupérer les informations identifiant la machine, l'opérateur et le lot, pour traçabilité de la personnalisation. Une ou plusieurs des cartes, par exemple la carte lot, sont adaptées à accéder de façon sécurisée à la base de données, illustrée sur la figure 2, contenant les données personnelles relatives à l'objet. Cet accès se fait par
exemple au moyen d'une clé de session, ou par le biais d'un autre mécanisme cryptographique mettant en œuvre par exemple la clé MSK|0t.
Le tableau ci-dessous envisage toutes les situations possibles de tentative de fraude en utilisant une ou plusieurs fausses cartes, voire un faux objet (ces faux étant supposés ne pas posséder les clés secrètes MSKj) et indique le ou les ensemble(s) sécurisé(s) qui, à la suite de l'authentification, détectera la présence d'un élément non autorisé et bloquera le processus de personnalisation. Une carte ou un objet authentique est désigné par la lettre V (vrai) et un faux, par la lettre F (faux).
V La carte lot bloque la procédure
V L'objet bloque la procédure
La trace mémorisée sera invalide
Dans le dernier cas, où le module sécurisé machine, les cartes opérateur et lot ainsi que l'objet sont faux, la trace mémorisée dans l'objet personnalisé ne correspondra à aucune machine répertoriée, ni aucun opérateur enregistré, ni aucun lot existant ; ainsi, même si la personnalisation de l'objet aura pu être effectuée par le fraudeur, on sera en mesure de reconnaître que cet objet personnalisé est un faux. Cette trace peut être sécurisée par l'utilisation d'un code d'authentification, obtenu par exemple par l'emploi d'une fonction de hâchage, telle que SHA-1 ou MD5, bien connues de l'homme du métier, et l'utilisation d'un algorithme de cryptographie (par exemple du type DES) faisant intervenir une des clés MSK-, diversifiées. A contrario, la vérification du code d'authentification garantit que les ensembles sécurisés ayant participé au processus de personnalisation sont vrais.
En revenant à la figure 3, après que les étapes d'authentification du module sécurisé machine et des cartes opérateur et lot auprès de l'objet ont eu lieu, l'étape 44 de personnalisation proprement dite peut être effectuée. Durant cette étape, des informations personnelles propres au futur utilisateur de l'objet sont inscrites dans ou sur l'objet, par voie mécanique (par impression, gravure, embossage, etc.), électronique, optique, chimique ou par toute autre technique. Ces données proviennent de la base de données (illustrée sur la figure 2 précédemment décrite) et y sont mémorisées.
Dans une variante de réalisation, le nombre total d'ensembles sécurisés peut être limité à trois, l'objet y compris, en regroupant en une même carte la carte lot et la carte opérateur, ou en regroupant le module sécurisé machine et la carte opérateur.
Le contexte de la personnalisation d'objets n'est qu'un exemple parmi d'autres applications possibles de la présente invention, laquelle, de façon plus générale, concerne un procédé de communication entre un nombre n d'ensembles sécurisés, n étant au moins égal à 2, qui sont chacun constitués
d'une unité de mémorisation et d'un microcircuit et qui forment un n-uplet autorisé connu d'au moins un des ensembles sécurisés.
Ce procédé comporte un certain nombre d'étapes d'authentification entre les ensembles sécurisés pris deux à deux. Par exemple, dans le domaine des transactions bancaires, étant donné un magasin délivrant des points de fidélité à ses clients sur leur carte de fidélité lors de chaque achat, supposé réalisé par carte bancaire, l'invention permet d'éviter l'obtention frauduleuse de points de fidélité, ou leur attribution à un autre client que celui qui a effectué l'achat donnant droit à ces points de fidélité, ou encore éviter qu'un client récupère des points de fidélité correspondant à un autre magasin.
Pour cela, on considère trois ensembles sécurisés respectivement constitués par trois cartes à microcircuit : la carte de fidélité, la carte bancaire de paiement et une carte associée à un vendeur du magasin attribuant les point de fidélité.
Lors de l'achat, la carte de fidélité, qui connaît le triplet (carte de fidélité, carte de paiement, carte du vendeur) autorisé, authentifie la carte de paiement et la carte du vendeur. L'opération d'attribution des points de fidélité peut éventuellement faire intervenir en outre un quatrième ensemble sécurisé, associé au magasin : il peut par exemple s'agir d'une quatrième carte à microcircuit indissociable de la caisse auprès de laquelle le client règle son achat. Dans ce cas, lors de la transaction d'achat, la carte de fidélité authentifie en outre la carte du magasin.
Si toutes les authentifications, réalisées de façon similaire à ce qui a été décrit plus haut en liaison avec le procédé de personnalisation, sont réussies, les points de fidélité sont mémorisés sur la carte de fidélité.
Le procédé de communication conforme à la présente invention s'applique bien entendu à un grand nombre d'autres domaines non énumérés ici.
Claims
1. Procédé de personnalisation sécurisée d'un objet comportant un premier ensemble sécurisé (E1) constitué de premiers moyens de mémorisation et d'un premier microcircuit, caractérisé en ce qu'il met en œuvre n-1 ensembles sécurisés (E2, E3) en plus dudit premier ensemble sécurisé, n étant un entier strictement supérieur à 2, chacun desdits ensembles sécurisés étant constitués de moyens de mémorisation et d'un microcircuit, et formant avec ledit objet un n- uplet autorisé, connu d'au moins un desdits ensembles sécurisés, et en ce que ledit procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux, préalablement à une étape de personnalisation consistant à écrire, dans ou sur l'objet, des données personnelles propres audit objet.
2. Procédé selon la revendication 1, caractérisé en ce que l'objet à personnaliser authentifie lesdits n-1 ensembles sécurisés.
3. Procédé selon la revendication 1 ou 2, caractérisé en ce que, à l'issue de l'étape de personnalisation dudit objet, les premiers moyens de mémorisation conservent une trace permettant d'identifier au moins un des ensembles sécurisés ayant participé au processus de personnalisation parmi lesdits n-1 ensembles sécurisés.
4. Procédé selon la revendication précédente, caractérisé en ce que ladite trace comporte un code d'authentification.
5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que les n-1 ensembles sécurisés sont pris parmi : - un ensemble sécurisé représentant un lot d'objets à personnaliser,
- un ensemble sécurisé comportant une entité électronique sécurisée associée à une machine adaptée à personnaliser les objets dudit lot, et
- un ensemble sécurisé attaché à un opérateur habilité à utiliser ladite machine.
6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le premier ensemble sécurisé (E1) est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.
7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comporte une étape préliminaire d'authentification faisant intervenir lesdits n-1 ensembles sécurisés.
8. Procédé selon les revendications 5 et 7, caractérisé en ce que l'étape préliminaire d'authentification est effectuée comme suit :
- l'ensemble sécurisé opérateur authentifie l'ensemble sécurisé lot et l'ensemble sécurisé machine,
- l'ensemble sécurisé machine authentifie l'ensemble sécurisé opérateur, et - l'ensemble sécurisé lot authentifie l'ensemble sécurisé opérateur.
9. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'au moins un microcircuit parmi les microcircuits des n-1 ensembles sécurisés est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.
10. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'au moins un desdits ensembles sécurisés est adapté à accéder de façon sécurisée à une base de données contenant lesdites données personnelles.
11. Procédé selon les revendications 5 et 10, caractérisé en ce qu'au moins un desdits ensembles sécurisés adapté à accéder de façon sécurisée à ladite base de données est l'ensemble sécurisé lot.
12. Procédé selon les revendications 6 et 9, caractérisé en ce qu'une unité de traitement logique (10) assure la communication entre au moins deux ensembles sécurisés, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence.
13. Procédé selon l'une quelconque des revendications 5 à 12, caractérisé en ce que l'ensemble sécurisé machine est scellé au corps de la machine.
14. Procédé selon la revendication précédente, caractérisé en ce que l'ensemble sécurisé machine est nécessaire au fonctionnement de la machine.
15. Procédé selon la revendication 5 ou 8, caractérisé en ce que l'ensemble sécurisé lot est une carte à microcircuit.
16. Procédé selon la revendication 5 ou 8, caractérisé en ce que l'ensemble sécurisé machine est une carte à microcircuit.
17. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'objet est un titre émis par l'Etat ou un autre document à caractère officiel ou un titre de transport ou un document de voyage.
18. Procédé de communication sécurisée, caractérisé en ce qu'il met en œuvre n ensembles sécurisés, n étant un entier au moins égal à 2, chacun desdits ensembles sécurisés étant constitué de moyens de mémorisation et d'un microcircuit, et formant un n-uplet autorisé connu d'au moins un desdits ensembles sécurisés, et en ce que ledit procédé comporte une pluralité d'étapes d'authentification entre les ensembles sécurisés pris deux à deux.
19. Procédé de communication selon la revendication précédente, caractérisé en ce qu'au moins un desdits moyens de mémorisation conserve une trace permettant d'identifier au moins un desdits n ensembles sécurisés.
20. Procédé de communication selon la revendication 18 ou 19, caractérisé en ce que ladite trace comporte un code d'authentification.
21. Procédé de communication selon la revendication 18, 19 ou 20, caractérisé en ce qu'au moins un desdits ensembles sécurisés est adapté à communiquer avec l'extérieur en utilisant une technologie sans contact.
22. Procédé de communication selon la revendication précédente, caractérisé en ce qu'une unité de traitement logique assure la communication entre au moins deux ensembles sécurisés, lorsque ceux-ci se trouvent tous simultanément dans son champ radiofréquence.
23. Procédé de communication selon l'une quelconque des revendications 18 à 22, caractérisé en ce qu'au moins un desdits ensembles sécurisés est une carte à microcircuit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AU2003298394A AU2003298394A1 (en) | 2002-12-09 | 2003-12-02 | Method for the secure personalisation of an object |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0215551A FR2848364B1 (fr) | 2002-12-09 | 2002-12-09 | Procede de personnalisation securisee d'un objet |
| FR02/15551 | 2002-12-09 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2004063999A1 true WO2004063999A1 (fr) | 2004-07-29 |
Family
ID=32320123
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/FR2003/003563 WO2004063999A1 (fr) | 2002-12-09 | 2003-12-02 | Procede de personnalisation securisee d'un objet |
Country Status (3)
| Country | Link |
|---|---|
| AU (1) | AU2003298394A1 (fr) |
| FR (1) | FR2848364B1 (fr) |
| WO (1) | WO2004063999A1 (fr) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9524144B2 (en) | 2004-12-23 | 2016-12-20 | Oberthur Technologies | Data processing method and related device |
| US20210096178A1 (en) * | 2019-09-30 | 2021-04-01 | Stmicroelectronics S.R.L. | Method, system and computer program product for introducing personalization data in nonvolatile memories of a plurality of integrated circuits |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2603404A1 (fr) * | 1986-08-28 | 1988-03-04 | Toshiba Kk | Systeme de traitement de support d'information portatif |
| FR2638002A1 (fr) * | 1988-08-26 | 1990-04-20 | Unidel Securite | Procede de personnalisation pour cartes a microcalculateur et systeme pour sa mise en oeuvre |
| WO1996028793A2 (fr) * | 1995-03-10 | 1996-09-19 | Siemens Aktiengesellschaft | Systeme de carte a puce commandee par carte de licence |
-
2002
- 2002-12-09 FR FR0215551A patent/FR2848364B1/fr not_active Expired - Fee Related
-
2003
- 2003-12-02 AU AU2003298394A patent/AU2003298394A1/en not_active Abandoned
- 2003-12-02 WO PCT/FR2003/003563 patent/WO2004063999A1/fr not_active Application Discontinuation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2603404A1 (fr) * | 1986-08-28 | 1988-03-04 | Toshiba Kk | Systeme de traitement de support d'information portatif |
| FR2638002A1 (fr) * | 1988-08-26 | 1990-04-20 | Unidel Securite | Procede de personnalisation pour cartes a microcalculateur et systeme pour sa mise en oeuvre |
| WO1996028793A2 (fr) * | 1995-03-10 | 1996-09-19 | Siemens Aktiengesellschaft | Systeme de carte a puce commandee par carte de licence |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9524144B2 (en) | 2004-12-23 | 2016-12-20 | Oberthur Technologies | Data processing method and related device |
| US20210096178A1 (en) * | 2019-09-30 | 2021-04-01 | Stmicroelectronics S.R.L. | Method, system and computer program product for introducing personalization data in nonvolatile memories of a plurality of integrated circuits |
| US11675001B2 (en) * | 2019-09-30 | 2023-06-13 | Stmicroelectronics S.R.L. | Method, system and computer program product for introducing personalization data in nonvolatile memories of a plurality of integrated circuits |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2848364A1 (fr) | 2004-06-11 |
| AU2003298394A1 (en) | 2004-08-10 |
| FR2848364B1 (fr) | 2005-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0998731B1 (fr) | Procede et systeme de paiement par cheque electronique | |
| EP0055986B1 (fr) | Procédé et dispositif de sécurité pour communication tripartite de données confidentielles | |
| TWI511518B (zh) | 多功能驗證系統之改良 | |
| US20160210621A1 (en) | Verifiable credentials and methods thereof | |
| LU100497B1 (fr) | Méthode et système d'inscription sécurisé de clés cryptographiques sur un support physique pour clés cryptographiques, et support physique produit | |
| EP0708949B1 (fr) | Procede pour produire une cle commune dans deux dispositifs en vue de mettre en oeuvre une procedure cryptographique commune, et appareil associe | |
| EP2605218A1 (fr) | Procédé de sécurisation d'un document électronique | |
| WO2010007479A2 (fr) | Appareil et procédé de génération d'un titre sécurisé à partir d'un titre officiel | |
| JPH10503037A (ja) | 真偽性確認技術 | |
| EP1352311A1 (fr) | Procede d'acces a un systeme securise | |
| WO1999003070A1 (fr) | Terminal informatique individuel susceptible de communiquer avec un equipement informatique d'une façon securisee, ainsi qu'un procede d'authentification mis en oeuvre par ledit terminal | |
| WO2020120849A1 (fr) | Dispositif et procédé pour sécuriser des données sécuritaires d'une carte de paiement bancaire | |
| WO2004063999A1 (fr) | Procede de personnalisation securisee d'un objet | |
| WO2003010721A2 (fr) | Procede et systeme permettant de garantir formellement un paiement, en mettant en oeuvre un telephone portable | |
| FR2730076A1 (fr) | Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants | |
| WO2005050419A1 (fr) | Procede de securisation d'une image d'une donnee biometrique d'authentification et procede d'authentification d'un utilisateur a partir d'une image d'une donnee biometrique d'authentification | |
| EP0595720B1 (fr) | Procédé et système d'incription d'une information sur un support permettant de certifier ultérieurement l'originalité de cette information | |
| EP1198789B1 (fr) | Systeme de paiement securise, permettant de selectionner un montant quelconque | |
| EP4193283B1 (fr) | Procédé pour générer un document numérique sécurisé stocké sur un terminal mobile et associé à une identité numérique | |
| EP3311341A1 (fr) | Procédés d'affiliation, d'émancipation, et de vérification entre un tuteur et un tutoré. | |
| EP1172775A1 (fr) | Procédé de protection d'un accès à un domaine sécurisé | |
| WO2023020795A1 (fr) | Procédé de personnalisation d'un dispositif de sécurité, dispositif de securite personnalise, document d'identite comportant un tel dispositif, et procéde d'authentifiction d'un tel dispositif | |
| FR2971109A1 (fr) | Systeme biometrique de verification de l'identite avec un signal de reussite, cooperant avec un objet portatif | |
| WO2022122821A1 (fr) | Dispositif et procédé d'authentification de produits | |
| FR2855923A1 (fr) | Procede de lutte contre les fraudes pour les documents d'identite comprenant un document rapporte sur un document recepteur |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): BW GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| 122 | Ep: pct application non-entry in european phase | ||
| NENP | Non-entry into the national phase |
Ref country code: JP |
|
| WWW | Wipo information: withdrawn in national office |
Country of ref document: JP |