[go: up one dir, main page]

ES2685123B1 - Individual encryption device with user credential protection mechanism - Google Patents

Individual encryption device with user credential protection mechanism Download PDF

Info

Publication number
ES2685123B1
ES2685123B1 ES201700377A ES201700377A ES2685123B1 ES 2685123 B1 ES2685123 B1 ES 2685123B1 ES 201700377 A ES201700377 A ES 201700377A ES 201700377 A ES201700377 A ES 201700377A ES 2685123 B1 ES2685123 B1 ES 2685123B1
Authority
ES
Spain
Prior art keywords
encryption
usb
central microcontroller
protection mechanism
user credential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn - After Issue
Application number
ES201700377A
Other languages
Spanish (es)
Other versions
ES2685123A1 (en
Inventor
Arroyo Jesús Damaso Asensio
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gruprex S L
Original Assignee
Gruprex S L
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gruprex S L filed Critical Gruprex S L
Priority to ES201700377A priority Critical patent/ES2685123B1/en
Publication of ES2685123A1 publication Critical patent/ES2685123A1/en
Application granted granted Critical
Publication of ES2685123B1 publication Critical patent/ES2685123B1/en
Withdrawn - After Issue legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • G06F21/87Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Description

DESCRIPCIÓNDESCRIPTION

Dispositivo de cifrado individual con mecanismo de protección de credenciales de usuario. Individual encryption device with user credential protection mechanism.

Objeto de la invenciónObject of the invention

El objeto de la presente invención, tal y como el título establece, un dispositivo que realiza la doble función de, por un lado, proteger la información de un usuario en su ordenador personal cifrando el contenido de ficheros seleccionados por el usuario y, por otro lado, las comunicaciones entre éste y contactos de su grupo de confianza y también para la identificación de personas, que puede llevarse a cabo mediante una transformación de credenciales (login/password).The object of the present invention, as the title establishes, a device that performs the dual function of, on the one hand, protecting the information of a user on his personal computer by encrypting the content of files selected by the user and, on the other On the other hand, the communications between it and contacts of your trust group and also for the identification of people, which can be carried out through a credential transformation (login / password).

Caracteriza al presente dispositivo las especiales características funcionales y constructivas que presenta que realiza las funciones de cifrado individual además de permitir la protección de las credenciales (usuario y password) en el proceso de acceso a una web. Además el dispositivo cuenta con unos medios de protección en caso de robo, uso no permitido o acceso al mismo.This device features the special functional and constructive features that it presents that performs the functions of individual encryption in addition to allowing the protection of credentials (user and password) in the process of accessing a website. In addition, the device has some means of protection in case of theft, unauthorized use or access to it.

Se trata de un dispositivo de cifrado simétrico de uso individual y personalizado para cada usuario. El dispositivo ofrece dos tipos de cifrado simétrico, uno de ellos es un cifrado propietario exclusivamente implementado en hardware, bien en un microcontrolador o bien en un FPGA (Field Programmable Gate Array) (dispositivo programable) diseñado para este hecho y por otro lado un cifrado simétrico estándar como puede ser AES (Advanced Encryption Standard) o IDEA (International Data Encryption Algorithm). Pudiendo utilizarse cualquiera de los dos tipos de cifrado que se desee.It is a symmetric encryption device for individual and personalized use for each user. The device offers two types of symmetric encryption, one of which is proprietary encryption exclusively implemented in hardware, either in a microcontroller or in an FPGA (Field Programmable Gate Array) (programmable device) designed for this fact and on the other hand an encryption standard symmetric such as AES (Advanced Encryption Standard) or IDEA (International Data Encryption Algorithm). Any of the two types of encryption that you want can be used.

El dispositivo contiene un algoritmo electrónico que lleva a cabo transformadas matemáticas de las credenciales introducidas por el usuario, es decir, el Login/Password de cualquier web o entorno remoto, evitando que un troyano capaz de leer el teclado mientras el usuario teclea dichas credenciales pueda posteriormente utilizarlas para entrar en el área de acceso de dicho usuario.The device contains an electronic algorithm that performs mathematical transforms of the credentials entered by the user, that is, the Login / Password of any web or remote environment, preventing a Trojan from reading the keyboard while the user types those credentials. subsequently use them to enter the access area of that user.

El dispositivo, también está diseñado para evitar que ante el robo del mismo, un usurpador pueda utilizarlo como si del usuario legítimo se tratara. Para ello, cuando el dispositivo es conectado al PC del usuario, una aplicación de gestión que controla el dispositivo en modo “standalone” obtiene el modelo de ordenador y el número de serie de dicha aplicación, enviándolos al dispositivo, que junto a su número único de serie almacena esos datos en una memoria segura. De esta forma, se lleva a cabo un emparejamiento entre el dispositivo, la aplicación y el PC para evitar el funcionamiento en otro ordenador no perteneciente al usuario. Por supuesto, el usuario, una vez adquirido el dispositivo y en su primer uso, introduce una clave que el dispositivo almacena en su memoria segura de forma que el usuario podrá utilizar el dispositivo cuando introduzca la clave previamente seleccionada.The device is also designed to prevent theft from being used by a usurper as if it were the legitimate user. To do this, when the device is connected to the user's PC, a management application that controls the device in “standalone” mode obtains the computer model and the serial number of said application, sending them to the device, which together with its unique number Serially stores that data in a secure memory. In this way, a pairing between the device, the application and the PC is carried out to prevent operation on another computer not belonging to the user. Of course, the user, once the device is acquired and in its first use, enters a key that the device stores in its secure memory so that the user can use the device when entering the previously selected key.

El dispositivo está diseñado para llevar a cabo un intercambio de claves utilizando un algoritmo de intercambio de claves asimétrico o bien mediante certificación X.509, por ejemplo. Se conecta al ordenador a través de una conexión USB en la que actúa como esclavo y posee otra entrada USB para el control de un teclado que le permite introducir datos escritos y cifrarlos antes de su llegada al ordenador. El dispositivo se caracteriza, además de lo ya comentado, por incluir un mecanismo antiapertura basado en una capa que le envuelve completamente y formada por un cristal piezoeléctrico en forma de polímero. De esta forma, el cristal es conectado al microcontrolador central del dispositivo, que contiene un algoritmo capaz de discernir entre un uso normal del dispositivo o un intento de apertura mediante las formas de onda que produce el cristal piezoeléctrico. The device is designed to perform a key exchange using an asymmetric key exchange algorithm or by X.509 certification, for example. It is connected to the computer through a USB connection in which it acts as a slave and has another USB input for the control of a keyboard that allows you to enter written data and encrypt them before you arrive at the computer. The device is characterized, in addition to what has already been said, for including an anti-opening mechanism based on a layer that completely envelops it and is formed by a polymer-shaped piezoelectric crystal. In this way, the crystal is connected to the central microcontroller of the device, which contains an algorithm capable of distinguishing between a normal use of the device or an attempt to open by means of the waveforms produced by the piezoelectric crystal.

Antecedentes de la invenciónBackground of the invention

Existen algunas aproximaciones a la algoritmia utilizada por el dispositivo de esta invención. Entre las más destacadas se encuentran la patente US2006177065A1 y también la patente US20130142328A1. En el primer caso, la patente US2006177065A1 hace referencia a un sistema y método para llevar a cabo operaciones de cifrado mediante una operación XOR, una tabla numérica y en la cual se generan números aleatorios para formar una clave con los valores de la tabla. Ahora bien, lo que hace el algoritmo mencionado en esa patente es seleccionar un subconjunto de valores de la tabla numérica a través de una generación de números aleatorios pero se trata de un proceso lineal. En nuestro caso, el algoritmo que utilizamos lleva a cabo la generación no lineal de claves de forma que no se puede llevar a cabo una ingeniería inversa para intentar descubrir la clave o la forma de generación de claves de forma lineal. Tampoco protege de ataques texto claro-texto cifrado ya que en nuestro caso, si alguien no autorizado obtiene el dispositivo e intenta enviar un mensaje al dispositivo para ver la respuesta de éste y así determinar cuál puede ser la clave de cifrado, no obtendrá respuesta alguna del dispositivo debido a que dicho dispositivo se comunica exclusivamente con la aplicación en PC autorizada para ello o bien, a través de los mensajes enviados por otro dispositivo electrónico autorizado.There are some approaches to the algorithm used by the device of this invention. Among the most prominent are US2006177065A1 and also US20130142328A1. In the first case, patent US2006177065A1 refers to a system and method for carrying out encryption operations by means of an XOR operation, a numerical table and in which random numbers are generated to form a key with the values of the table. Now, what the algorithm mentioned in that patent does is select a subset of values from the numerical table through a generation of random numbers but it is a linear process. In our case, the algorithm that we use carries out the non-linear generation of keys so that reverse engineering cannot be carried out to try to discover the key or the way of generating the keys linearly. It also does not protect clear text-encrypted text from attacks since in our case, if someone who is not authorized obtains the device and tries to send a message to the device to see the response of the device and thus determine what the encryption key may be, you will not get any response. of the device because said device communicates exclusively with the PC application authorized for it or through the messages sent by another authorized electronic device.

En el segundo caso, la patente US20130142328A1, hace referencia a un sistema y método de cifrado que utiliza claves de un solo uso pero que no se generan de la misma forma que en nuestro caso.In the second case, US20130142328A1, refers to an encryption system and method that uses single-use keys but are not generated in the same way as in our case.

Los dispositivos anteriores presentan una serie de inconvenientes susceptibles de ser mejorados como por ejemplo el hecho de que en caso de quedar comprometida por un atacante la tabla numérica empleada en la encriptación, todos los dispositivos empleadores de dichas tablas deberían cambiar la tabla por una nueva. También carecen de medios de generación de claves de cifrado a través de un mecanismo de generación no lineal. Tampoco cuentan con medios que permiten detectar proceso de intentos de apertura del dispositivo y además con medios de autodestrucción de la información e incluso de parte del hardware. The above devices have a series of drawbacks that can be improved, such as the fact that if the numerical table used in encryption is compromised by an attacker, all the employing devices of these tables should change the table to a new one. They also lack means of generating encryption keys through a non-linear generation mechanism. Nor do they have means to detect the process of attempts to open the device and also to self-destruct information and even the hardware.

Por lo tanto, es objeto de la presente invención desarrollar un dispositivo que supere los anteriores inconvenientes y que además permita realizar la doble función de por un lado, un cifrado individual y por otro lado contar con medios de protección de credenciales de usuario, desarrollando un dispositivo como el que a continuación se describe y queda recogido en su esencialidad en la reivindicación primera.Therefore, it is the object of the present invention to develop a device that overcomes the above inconveniences and also allows to perform the double function on the one hand, an individual encryption and on the other hand have means of protecting user credentials, developing a device as described below and is essentially included in the first claim.

Explicación de la invenciónExplanation of the invention.

Es un objeto de la presente invención un dispositivo de cifrado/descifrado de información, de uso individual, que está diseñado para proteger la información del ordenador de un usuario, permitiendo además del cifrado/descifrado, transformar las credenciales de un usuario (login/password) de forma que su hardware calcula el login/password real que se comprobará en el servidor correspondiente, ya sea de una entidad bancaria o de cualquier índole y que, por tanto, invalida la utilización del login/password tecleado por el usuario de modo que un keylogger o troyano capaz de leer el teclado, adquiera una información inservible si capta lo pulsado por el usuario.An object of the present invention is an information encryption / decryption device, for individual use, which is designed to protect the information of a user's computer, allowing in addition to encryption / decryption, transform the credentials of a user (login / password ) so that your hardware calculates the real login / password that will be checked on the corresponding server, either of a banking entity or of any kind and that, therefore, invalidates the use of the login / password typed by the user so that A keylogger or Trojan capable of reading the keyboard acquires unusable information if it captures what is pressed by the user.

El dispositivo, en este sentido y de forma exclusiva y muy característico de esta invención, puede funcionar en modo USB a través de un puerto serie virtual o mediante conexión USB pura de alto rendimiento para el caso de cifrar archivos o comunicaciones a tiempo real o bien, en modo USB HID para el caso de introducción de credencialescontando con un interruptor digital interno que le permite funcionar en el modo correspondiente, comunicación serie a través de puerto serie virtual, USB HID o USB nativo de alto rendimiento. El motivo de este triple mecanismo de comunicación reside en que los navegadores de Internet sólo aceptan dispositivos que se comunican mediante HID (Human Interface Device). Por tanto, este dispositivo puede funcionar en los tres modos, por un lado como USB de alto rendimiento para envío de datos masivo o bien como HID para su interacción con los navegadores de Internet y, como dispositivo conectado a un puerto serie virtual.The device, in this sense and in an exclusive and very characteristic way of this invention, can operate in USB mode through a virtual serial port or through pure USB connection of high performance in the case of encrypting files or communications in real time or , in USB HID mode for the case of credential introduction with an internal digital switch that allows it to operate in the corresponding mode, serial communication through virtual serial port, USB HID or native USB high performance. The reason for this Triple communication mechanism is that Internet browsers only accept devices that communicate using HID (Human Interface Device). Therefore, this device can work in all three modes, on the one hand as high-performance USB for sending massive data or as HID for its interaction with Internet browsers and, as a device connected to a virtual serial port.

El dispositivo comprende un microcontrolador central de alto rendimiento, que se comunica con un FPGA (dispositivo programable) que contiene un algoritmo de cifrado simétrico basado en un cifrado no lineal que utiliza un LFSR(linear feedback shift register) que se traduce como registro de desplazamiento con retroalimentación lineal y que utiliza una serie de tablas numéricas para crear claves de sesión a través de la generación de semillas aleatorias, es decir el principio de funcionamiento se basa en la generación de una semilla que no es más que un número aleatorio que en combinación con los valores de una tabla generan una clave de sesión. El dispositivo cuenta también con una memoria EPROM criptográfica que almacena de forma cifrada los datos que indica el microcontrolador central.The device comprises a high-performance central microcontroller, which communicates with an FPGA (programmable device) that contains a symmetric encryption algorithm based on a non-linear encryption that uses a linear feedback shift register LFSR that translates as a shift register with linear feedback and that uses a series of numerical tables to create session keys through the generation of random seeds, that is to say the principle of operation is based on the generation of a seed that is not more than a random number that in combination with the values of a table they generate a session key. The device also has a cryptographic EPROM memory that stores the data indicated by the central microcontroller in encrypted form.

A modo de conexionado, el dispositivo posee un conector USB en modo esclavo para su conexión a un PC, un zócalo para memorias microSD y otro conector USB en modo maestro para conectar un teclado o una memoria USB (pen drive).As a connection, the device has a USB connector in slave mode for connection to a PC, a microSD memory socket and another USB connector in master mode to connect a keyboard or a USB memory (pen drive).

El dispositivo posee un interruptor digital interno que le permite funcionar en modo USB HID o USB normal de alto rendimiento, a través de un puerto de comunicaciones virtual, por ejemplo. The device has an internal digital switch that allows it to operate in normal high-performance USB HID or USB mode, through a virtual communications port, for example.

El dispositivo cuenta con un exclusivo mecanismo antiapertura basado en un polímero piezoeléctrico que rodea todo el dispositivo y que es controlado por el microcontrolador central. Así pues, en modo de utilización normal, el mecanismo piezoeléctrico emite unas ondas eléctricas que son muy distintas a aquellas que implican intento de apertura del dispositivo. El dispositivo, en ese momento y a través del controlador central, activa un mecanismo de alto voltaje que destruye el microcontrolador central y hace inservible el dispositivo eliminando además la información útil que hubiera en dicho dispositivo.The device has an exclusive anti-opening mechanism based on a piezoelectric polymer that surrounds the entire device and is controlled by the central microcontroller. Thus, in normal use mode, the piezoelectric mechanism emits electric waves that are very different from those that involve attempts to open the device. The device, at that time and through the central controller, activates a high-voltage mechanism that destroys the central microcontroller and makes the device unusable by also eliminating the useful information that would exist in said device.

Para la gestión del dispositivo se instala en el ordenador del usuario una aplicación software. La primera vez que el dispositivo se conecta al PC a través de la aplicación, éste solicita al usuario la introducción de una clave de acceso. Una vez introducida la clave, ésta se almacena en la memoria criptográfica del dispositivo para sus posteriores usos. Otra información que se almacena en dicha memoria es un código de la aplicación, información única del PC donde se encuentra instalada la aplicación y en la que está conectado el dispositivo. Así, si el dispositivo se ha de instalar en otro PC posteriormente, la aplicación se instalará en dicho PC, el dispositivo solicitará la clave de acceso (en este caso a modo de comprobación) al usuario y de nuevo, el dispositivo obtendrá datos de la aplicación y del PC actual, que guardará en su memoria criptográfica. De este modo, si en algún momento, el dispositivo es robado o el usuario lo pierde y alguien intenta hacer uso de él, el dispositivo conocerá que una nueva aplicación está en un nuevo PC, y si al tercer intento de introducción de la contraseña ésta no es correcta, entonces se activa el mecanismo electrónico de autodestrucción basado en alto voltaje. Si es posible, la misma aplicación del PC enviará un mensaje de alerta al centro de control correspondiente indicando el dispositivo (número de serie) que ha sufrido un intento de robo o intento de acceso no autorizado.A software application is installed on the user's computer to manage the device. The first time the device is connected to the PC through the application, it asks the user to enter a password. Once the key has been entered, it is stored in the cryptographic memory of the device for later use. Other information that is stored in this memory is an application code, unique information of the PC where the application is installed and in which the device is connected. Thus, if the device is to be installed on another PC later, the application will be installed on that PC, the device will request the access key (in this case by way of verification) to the user and again, the device will obtain data from the application and the current PC, which will be stored in your cryptographic memory. Thus, if at any time, the device is stolen or the user loses it and someone tries to use it, the device will know that a new application is on a new PC, and if the third attempt to enter the password is it is not correct, then the high-voltage electronic self-destruct mechanism is activated. If possible, the same PC application will send an alert message to the corresponding control center indicating the device (serial number) that has suffered an attempted theft or attempted unauthorized access.

Salvo que se indique lo contrario, todos los elementos técnicos y científicos usados en la presente memoria poseen el significado que habitualmente entiende un experto normal en la técnica a la que pertenece esta invención. En la práctica de la presente invención se pueden usar procedimientos y materiales similares o equivalentes a los descritos en la memoria. Unless otherwise indicated, all technical and scientific elements used herein have the meaning normally understood by a person skilled in the art to which this invention pertains. In the practice of the present invention procedures and materials similar or equivalent to those described herein can be used.

A lo largo de la descripción y de las reivindicaciones la palabra "comprende” y sus variantes no pretenden excluir otras características técnicas, aditivos, componentes o pasos. Para los expertos en la materia, otros objetos, ventajas y características de la invención se desprenderán en parte de la descripción y en parte de la práctica de la invención.Throughout the description and the claims the word "comprises" and its variants are not intended to exclude other technical characteristics, additives, components or steps. For those skilled in the art, other objects, advantages and features of the invention will be apparent in part of the description and part of the practice of the invention.

Breve descripción de los dibujosBrief description of the drawings

Para complementar la descripción que se está realizando y con objeto de ayudar a una mejor comprensión de las características de la invención, de acuerdo con un ejemplo preferente de realización práctica de la misma, se acompaña como parte integrante de dicha descripción, un juego de dibujos en donde con carácter ilustrativo y no limitativo, se ha representado lo siguiente.To complement the description that is being made and in order to help a better understanding of the characteristics of the invention, according to a preferred example of practical implementation thereof, a set of drawings is attached as an integral part of said description. where, for illustrative and non-limiting purposes, the following has been represented.

La figura 1 muestra una representación de los distintos componentes del dispositivo.Figure 1 shows a representation of the different components of the device.

La figura 2 muestra un esquema del sistema conectado a un PC y el intercambio de información global.Figure 2 shows a scheme of the system connected to a PC and the global information exchange.

La figura 3 muestra un esquema del dispositivo en modo USB HID para la transformación de credenciales electrónicamente.Figure 3 shows a scheme of the device in USB HID mode for the transformation of credentials electronically.

La figura 4 muestra el aspecto del mecanismo antiapertura y el circuito electrónico de destrucción.Figure 4 shows the appearance of the anti-opening mechanism and the electronic destruction circuit.

Realización preferente de la invenciónPreferred Embodiment of the Invention

A la vista de las figuras se describe seguidamente un modo de realización preferente de la invención propuesta.In view of the figures, a preferred embodiment of the proposed invention is described below.

En la figura 1 se pueden observar los diferentes elementos electrónicos del dispositivo. El dispositivo comprende:In figure 1 you can see the different electronic elements of the device. The device comprises:

- Un microcontrolador central (1) de alto rendimiento, que contienen una pluralidad de tablas.- A high performance central microcontroller (1), containing a plurality of tables.

- Un FPGA (dispositivo programable) (2) comunicado con el microcontrolador central (1), donde el FPGA (2) contiene un algoritmo de cifrado simétrico basado en un cifrado no lineal que utiliza un LFSR (linear feedback shift register) que se traduce como registro de desplazamiento con retroalimentación lineal y que utiliza la generación de una semilla o un número aleatorio que en combinación con los valores de una serie de tablas numéricas para crear claves de sesión.- An FPGA (programmable device) (2) communicated with the central microcontroller (1), where the FPGA (2) contains a symmetric encryption algorithm based on a non-linear encryption that uses a linear feedback shift register LFSR as a displacement register with linear feedback and that uses the generation of a seed or a random number that in combination with the values of a series of numerical tables to create session keys.

- Una memoria EPROM criptográfica (3) que almacena de forma cifrada los datos que indica el microcontrolador central (1).- A cryptographic EPROM memory (3) that stores the data indicated by the central microcontroller (1) in encrypted form.

- Un mecanismo antiapertura (4) en conexión con el microcontrolador central (1).- An anti-opening mechanism (4) in connection with the central microcontroller (1).

- Un primer conector USB (5) esclavo para la conexión a un ordenador personal.- A first slave USB connector (5) for connection to a personal computer.

- Un segundo conector USB (6) maestro para teclado.- A second USB connector (6) master for keyboard.

- Un mecanismo antiapertura que en una posible forma de realización está basado en un polímero piezoeléctrico (7) que rodea todo el dispositivo y que es controlado por el microcontrolador central. - An anti-opening mechanism that in a possible embodiment is based on a piezoelectric polymer (7) that surrounds the entire device and is controlled by the central microcontroller.

- Un zócalo para una memoria micro SD (8).- A socket for a micro SD memory (8).

En la figura 2 podemos observar el dispositivo objeto de la invención (10) conectado a un PC (9) y el flujo de datos entre aplicación y dispositivo, entre los que encontramos:In Figure 2 we can see the device object of the invention (10) connected to a PC (9) and the data flow between application and device, among which we find:

- Un primer proceso de emparejamiento (11).- A first pairing process (11).

- Un segundo proceso de emparejamiento (12).- A second pairing process (12).

- Un tercer proceso de envío (13) de archivos para almacenamiento en la memoria micro SD.- A third process of sending (13) files for storage in micro SD memory.

- Un cuarto proceso (14) de transformación de credenciales de usuario.- A fourth process (14) of transforming user credentials.

Una realización preferente de la invención se produce cuando el dispositivo actúa como máquina inteligente de cifrado/descifrado utilizando el algoritmo de cifrado simétrico basado en generación no lineal de claves. El microcontrolador central (1) del dispositivo contiene unas tablas de 1024 bytes cada una como tamaño mínimo y de 8192 bytes cada una como tamaño máximo. A través de estas tablas numéricas (se entienden como vectores unidimensionales) el dispositivo es capaz de seleccionar la clave de cifrado al mismo tiempo que cifra cada byte de información. Esto se lleva a cabo a través de un algoritmo de generación no lineal basado en LFSR. El dispositivo puede seleccionar aleatoriamente la tabla a utilizar. Una vez seleccionada la tabla, se selecciona una semilla aleatoria a través del generador de números aleatorios por hardware que incluye el microcontrolador central y también tras la medición del tiempo pasado entre la conexión del dispositivo y la llegada del primer comando de cifrado. Este mecanismo es exclusivo del dispositivo electrónico. Así, la semilla, de 16 bits se forma por la combinación de ambos números aleatorios, mecanismo también exclusivo de este dispositivo. Una vez que se ha calculado la semilla aleatoria, a través de una secuencia generada por el LFSR, se van obteniendo datos de la tabla y son precisamente estos datos los que se utilizan para el cifrado XOR con el byte correspondiente al texto plano.A preferred embodiment of the invention occurs when the device acts as an intelligent encryption / decryption machine using the symmetric encryption algorithm based on non-linear key generation. The central microcontroller (1) of the device contains tables of 1024 bytes each as a minimum size and 8192 bytes each as a maximum size. Through these numerical tables (understood as one-dimensional vectors) the device is able to select the encryption key while encrypting each byte of information. This is done through a nonlinear generation algorithm based on LFSR. The device can randomly select the table to use. Once the table is selected, a random seed is selected through the hardware random number generator that includes the central microcontroller and also after measuring the time spent between the device connection and the arrival of the first encryption command. This mechanism is exclusive to the electronic device. Thus, the 16-bit seed is formed by the combination of both random numbers, a mechanism also exclusive to this device. Once the random seed has been calculated, through a sequence generated by the LFSR, data is obtained from the table and it is precisely this data that is used for XOR encryption with the byte corresponding to the plain text.

Para evitar ataques típicos de estos mecanismos XOR, tales como ataque por texto plano-texto cifrado, el dispositivo no puede comunicarse con nada salvo con la aplicación instalada y previamente emparejada del ordenador del usuario.To avoid attacks typical of these XOR mechanisms, such as attack by plain text-encrypted text, the device cannot communicate with anything except with the application installed and previously paired with the user's computer.

Cuando el dispositivo ha cifrado el mensaje plano, éste es devuelto a la aplicación del PC que lo envía a su destino, generalmente otro PC con otro dispositivo de esta invención. No obstante, entre el camino suele haber un servidor que actúa como elemento de confianza entre los dispositivos y que permite llevar a cabo un control de la gestión de estos dispositivos y sus usuarios. El flujo de comunicación en el bus USB también puede securizarse para evitar un proceso de escucha.When the device has encrypted the flat message, it is returned to the application of the PC that sends it to its destination, usually another PC with another device of this invention. However, between the way there is usually a server that acts as an element of trust between the devices and that allows to control the management of these devices and their users. The communication flow on the USB bus can also be secured to avoid a listening process.

En la figura 3 se muestra el proceso de protección de credenciales mediante el dispositivo objeto de la invención. Cuando en el acceso a una página web de un servidor (19) se nos pidan el login y el password, a través del teclado (20) se envían (15) las credenciales hacia el dispositivo de cifrado (10) en el que se produce la transformación (16) de las credenciales procediendo a continuación al envío (17) de las credenciales transformadas hacia el PC (9) y desde éste hacia el servidor web (19) a través de internet (18).Figure 3 shows the credential protection process by means of the device object of the invention. When in accessing a web page of a server (19) we are asked for the login and password, through the keyboard (20) the credentials are sent (15) to the encryption device (10) in which it is produced the transformation (16) of the credentials, then sending (17) the credentials transformed to the PC (9) and from it to the web server (19) via the internet (18).

En una realización preferente de la invención, cuando un usuario accede a una página web que le solicita sus credenciales en modo Login/Password, el usuario introduce dichos parámetros. El navegador web interactúa con el dispositivo (10) en modo USB HID (electrónicamente seleccionado) y éste último procede a llevar a cabo una transformación matemática en función del tiempo utilizando el mismo algoritmo de generación no lineal. En este específico caso, se selecciona el número de serie (único a nivel mundial) del dispositivo y a través del que se genera una semilla, seleccionando aquellos valores correspondientes en el recorrido de la tabla de claves. Se lleva a cabo finalmente una función hash segura y ese es el dato que se enviará al servidor (19) de la página web, que verificará el dato en su base de datos para dar acceso al usuario a los servicios de la web, ya sea banca online u otro tipo de web. De esta forma, se evitan ataques de tipo keylogger pero también de tipo grabación de vídeo de la pantalla del usuario, screenlogger, etc.In a preferred embodiment of the invention, when a user accesses a web page requesting their credentials in Login / Password mode, the user enters said parameters. The web browser interacts with the device (10) in USB HID mode (electronically selected) and the latter proceeds to carry out a mathematical transformation as a function of time using the same non-linear generation algorithm. In this specific case, it select the serial number (unique worldwide) of the device and through which a seed is generated, selecting those corresponding values in the key table path. A secure hash function is finally carried out and that is the data that will be sent to the server (19) of the web page, which will verify the data in its database to give the user access to the web services, either Online banking or other type of web. In this way, keylogger attacks are avoided, but also video recording of the user's screen, screenlogger, etc.

En la figura 4 puede observarse el mecanismo antiapertura que comprende el polímero piezoeléctrico (7) conectado con el microcontrolador central (1) mediante un puerto de entrada (21) a través del cual se analizan las señales procedentes del polímero piezoeléctrico (7), contando sobre el microcontrolador (1) con un puerto de salida (22) para activación hacia un mosfet (23) alimentado desde una batería (24).In Figure 4 the anti-opening mechanism comprising the piezoelectric polymer (7) connected to the central microcontroller (1) can be seen through an input port (21) through which the signals from the piezo polymer (7) are analyzed, counting on the microcontroller (1) with an output port (22) for activation to a mosfet (23) powered from a battery (24).

Descrita suficientemente la naturaleza de la presente invención, así como la manera de ponerla en práctica, se hace constar que, dentro de su esencialidad, podrá ser llevada a la práctica en otras formas de realización que difieran en detalle de la indicada a título de ejemplo, y a las cuales alcanzará igualmente la protección que se recaba, siempre que no altere, cambie o modifique su principio fundamental. Describing sufficiently the nature of the present invention, as well as the way of putting it into practice, it is noted that, within its essentiality, it may be implemented in other embodiments that differ in detail from that indicated by way of example. , and which will also achieve the protection sought, provided that it does not alter, change or modify its fundamental principle.

Claims (4)

REIVINDICACIONES 1. Dispositivo de cifrado individual con mecanismo de protección de credenciales de usuario caracterizado porque comprende:1. Individual encryption device with user credential protection mechanism characterized in that it comprises: - Un microcontrolador central (1) que contiene una pluralidad de tablas.- A central microcontroller (1) that contains a plurality of tables. - Un FPGA (dispositivo programable) (2) comunicado con el microcontrolador central (1), donde el FPGA (2) contiene un algoritmo de cifrado simétrico basado en un cifrado no lineal que utiliza un LFSR (linear feedback shift register) que se traduce como registro de desplazamiento con retroalimentación lineal y que utiliza la generación de una semilla o un número aleatorio que en combinación con los valores de una serie de tablas numéricas para crear unas claves de sesión.- An FPGA (programmable device) (2) communicated with the central microcontroller (1), where the FPGA (2) contains a symmetric encryption algorithm based on a non-linear encryption that uses a linear feedback shift register LFSR as a displacement register with linear feedback and that uses the generation of a seed or a random number that in combination with the values of a series of numerical tables to create session keys. - Una memoria EPROM criptográfica (3) que almacena de forma cifrada los datos que indica el microcontrolador central (1).- A cryptographic EPROM memory (3) that stores the data indicated by the central microcontroller (1) in encrypted form. - Un mecanismo de antiapertura (4) en conexión con el microcontrolador central (1) y que está basado en un polímero piezoeléctrico (7) que rodea todo el dispositivo y que es controlado por el microcontrolador central.- An anti-opening mechanism (4) in connection with the central microcontroller (1) and which is based on a piezoelectric polymer (7) that surrounds the entire device and is controlled by the central microcontroller. - Un primer conector USB (5) esclavo para la conexión a un ordenador personal.- A first slave USB connector (5) for connection to a personal computer. - Un segundo conector USB (6) maestro para teclado.- A second USB connector (6) master for keyboard. - Un mecanismo antiapertura.- An anti-opening mechanism. - Un zócalo para una memoria micro SD (8).- A socket for a micro SD memory (8). 2. Dispositivo de cifrado individual con mecanismo de protección de credenciales de usuario según la reivindicación 1 caracterizado porque el microcontrolador central (1) del dispositivo contiene unas tablas de 1024 bytes cada una como tamaño mínimo y de 8192 bytes cada una como tamaño máximo.2. Individual encryption device with user credential protection mechanism according to claim 1 characterized in that the central microcontroller (1) of the device contains tables of 1024 bytes each as a minimum size and 8192 bytes each as maximum size. 3. Dispositivo de cifrado individual con mecanismo de protección de credenciales de usuario según cualquiera de las reivindicaciones anteriores caracterizado por que adicionalmente comprende un cifrado simétrico como puede ser AES (Advanced Encryption Standard) o IDEA (International Data Encryption Algorithm).3. Individual encryption device with user credential protection mechanism according to any of the preceding claims characterized in that it additionally comprises symmetric encryption such as AES (Advanced Encryption Standard) or IDEA (International Data Encryption Algorithm). 4. Dispositivo de cifrado individual con mecanismo de protección de credenciales de usuario según cualquiera de las reivindicaciones anteriores caracterizado por que el dispositivo puede funcionar en modo USB a través de un puerto serie virtual o mediante conexión USB nativa de alto rendimiento para el caso de cifrar archivos o comunicaciones a tiempo real o bien, en modo USB HID para el caso de introducción de credenciales, contando con un interruptor digital interno que le permite funcionar en el modo correspondiente, comunicación serie a través de puerto serie virtual, en modo USB HID o USB nativo de alto rendimiento. 4. Individual encryption device with user credential protection mechanism according to any of the preceding claims characterized in that the device can operate in USB mode through a virtual serial port or through a high-performance native USB connection in the case of encryption files or communications in real time or, in USB HID mode in the case of credential introduction, with an internal digital switch that allows you to operate in the corresponding mode, serial communication through virtual serial port, in USB HID mode or Native USB high performance.
ES201700377A 2017-03-31 2017-03-31 Individual encryption device with user credential protection mechanism Withdrawn - After Issue ES2685123B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
ES201700377A ES2685123B1 (en) 2017-03-31 2017-03-31 Individual encryption device with user credential protection mechanism

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES201700377A ES2685123B1 (en) 2017-03-31 2017-03-31 Individual encryption device with user credential protection mechanism

Publications (2)

Publication Number Publication Date
ES2685123A1 ES2685123A1 (en) 2018-10-05
ES2685123B1 true ES2685123B1 (en) 2019-07-18

Family

ID=63683335

Family Applications (1)

Application Number Title Priority Date Filing Date
ES201700377A Withdrawn - After Issue ES2685123B1 (en) 2017-03-31 2017-03-31 Individual encryption device with user credential protection mechanism

Country Status (1)

Country Link
ES (1) ES2685123B1 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL95903A (en) * 1989-10-03 1995-08-31 Univ Technology Electro-active cradle circuits for the detection of access or penetration
US7945049B2 (en) * 2008-02-28 2011-05-17 Red Hat, Inc. Stream cipher using multiplication over a finite field of even characteristic
US9455962B2 (en) * 2013-09-22 2016-09-27 Winbond Electronics Corporation Protecting memory interface

Also Published As

Publication number Publication date
ES2685123A1 (en) 2018-10-05

Similar Documents

Publication Publication Date Title
Gope et al. A scalable protocol level approach to prevent machine learning attacks on physically unclonable function based authentication mechanisms for Internet of Medical Things
ES2403233T3 (en) Method for authenticating access to a chip protected by a test device
Zhang et al. Privacy protection for telecare medicine information systems using a chaotic map-based three-factor authenticated key agreement scheme
CN101542496B (en) Authentication with physical unclonable functions
US10956560B1 (en) System and method for improving the security of stored passwords for an organization
Awasthi et al. A biometric authentication scheme for telecare medicine information systems with nonce
ES2731775T3 (en) Data encryption system and procedures
TWI627586B (en) Apparatus and method for precessing authentication information
KR101389100B1 (en) A method and apparatus to provide authentication and privacy with low complexity devices
Namasudra et al. Security, privacy, trust, and anonymity
CN102084313A (en) Systems and method for data security
KR101897715B1 (en) System for non-password secure biometric digital signagure
WO2017182679A1 (en) Computer-implemented method for generating passwords and computer program products of same
CN112364323A (en) High-security storage access method and device based on user iris recognition
KR20230175184A (en) Computer file security encryption methods, decryption methods and readable storage media
Choi et al. Design of security enhanced TPM chip against invasive physical attacks
Nath et al. Hardware-based novel authentication scheme for advanced metering infrastructure
KR101740179B1 (en) Digital legal seal for message authentication code
CN115348107A (en) Internet of things device security login method, device, computer equipment and storage medium
ES2685123B1 (en) Individual encryption device with user credential protection mechanism
Merzeh et al. GDPR compliance IoT authentication model for smart home environment
CN213814673U (en) Multi-security-level storage access device based on user fingerprint identification
KR101498974B1 (en) Security management server, system, and method usdion biometric informatio
Kamarudin et al. IBE_Trust Authentication for e-health mobile monitoring system
CN108632026B (en) Data encryption and decryption device

Legal Events

Date Code Title Description
BA2A Patent application published

Ref document number: 2685123

Country of ref document: ES

Kind code of ref document: A1

Effective date: 20181005

FG2A Definitive protection

Ref document number: 2685123

Country of ref document: ES

Kind code of ref document: B1

Effective date: 20190718

FA2A Application withdrawn

Effective date: 20200102