ES2611408T3 - Implementación y utilización segura de datos de seguridad específicos de dispositivo - Google Patents

Abstract

Circuito electrónico a prueba de manipulación indebida para su implementación en un dispositivo, incluyendo el circuito un secreto almacenado no accesible a través de una interfaz de circuito externo y medios para recibir sobre una interfaz de circuito datos de activación, en respuesta a los cuales el circuito realiza un procesamiento criptográfico, caracterizado por que dicho circuito electrónico a prueba de manipulación indebida comprende: - medios (15) para recibir datos de seguridad específicos de dispositivo de configuración para generar, basándose en dicho secreto almacenado (12), dichos datos de activación como una representación criptográfica de dichos datos de seguridad específicos de dispositivo de configuración durante la configuración de dicho dispositivo; - medios para emitir dicha representación criptográfica sobre una interfaz de circuito externo durante la configuración; - medios (13) para volver a generar internamente dichos datos de seguridad específicos de dispositivo durante el uso del dispositivo realizando procesamiento criptográfico al menos parcialmente en respuesta a dicho secreto almacenado (12) siempre que los datos de activación aplicados sobre dicha interfaz correspondan a dicha representación criptográfica, estando dichos datos de seguridad específicos de dispositivo re-generados internamente confinados dentro de dicho circuito electrónico durante el uso de dicho dispositivo; y - medios (14) para realizar una operación relacionada con la seguridad en respuesta a dichos datos de seguridad específicos de dispositivo internamente confinados.

Description

5

10

15

20

25

30

35

40

45

50

55

60

65

DESCRIPCION

Implementacion y utilizacion segura de datos de seguridad especificos de dispositivo CAMPO TECNICO DE LA INVENCION

La presente invencion se refiere en general a la gestion, implementacion y utilizacion de datos de seguridad especificos de dispositivo para diversos fines y, mas particularmente, a procedimientos seguros y eficientes para proporcionar dispositivos con tales datos de seguridad especificos de dispositivo.

ANTECEDENTES DE LA INVENCION

Existe una necesidad general de implementar y utilizar datos de seguridad especificos de dispositivo en una amplia variedad de dispositivos diferentes tales como telefonos moviles, ordenadores personales, camaras, dispositivos de audio, servidores, estaciones base y cortafuegos. Los datos de seguridad especificos de dispositivo pueden utilizarse para diversos fines, incluida la gestion de problemas de seguridad con relacion a la comunicacion a traves de redes inseguras, a la marcacion de contenido de contenido digital y demas.

Para facilitar la comprension de una justificacion detras de la presente invencion, puede ser util pensar en el proceso de fabricacion de dispositivos en grandes volumenes. En particular, puede ser util, por ejemplo, considerar un fabricante de dispositivos, con una confianza limitada en cualquier tercero (en particular fabricantes de chips de terceros), que necesita producir dispositivos que contengan proteccion a prueba de manipulaciones indebidas y claves criptograficas unicas por dispositivo y/u otros datos de seguridad a un bajo costo.

En la comunicacion en red, por ejemplo, la seguridad de los datos suele basarse en algun tipo de datos de seguridad, por ejemplo, una clave criptografica, que se utiliza para establecer la confidencialidad de datos, integridad de datos, autenticacion, autorizacion, no repudio y/u otros servicios de seguridad. Con el rapido desarrollo de Internet, redes de telecomunicaciones de paquetes de datos y otras redes de comunicaciones, se ha vuelto cada vez mas importante poder proporcionar una seguridad de datos apropiada, tal como proteger mensajes intercambiados entre nodos y/o dispositivos en la red. Para simplificar, cualquier entidad que participe en dicha comunicacion se denominara dispositivo de red, y ejemplos incluyen telefonos moviles, ordenadores personales, puertas de enlace de seguridad, cortafuegos, estaciones base de radio y asi sucesivamente.

Existen varias dificultades en la fabricacion segura y rentable de dispositivos con datos de seguridad que pueden utilizarse posteriormente, por ejemplo, para problemas de seguridad relacionados con la comunicacion en red:

• Para instalar o implementar datos de seguridad especificos de dispositivo, diferentes para cada dispositivo. Esto puede requerir procesos de fabricacion totalmente nuevos para algunos componentes del dispositivo y, por lo tanto, resultar costosos y/o ineficientes.

• Para colocar los datos de seguridad en una ubicacion dentro del dispositivo de tal forma que no puedan ser comprometidos o manipulados por personas no autorizadas.

• Para garantizar que los datos de seguridad esten protegidos de partes no autorizadas durante todo el proceso de fabricacion del dispositivo. En particular, si participan partes no confiables durante la fabricacion, puede ser necesaria una gestion de seguridad adicional.

• Para administrar de forma segura la informacion relacionada con los datos de seguridad, que es necesaria para que una parte autorizada pueda posteriormente proporcionar seguridad de datos con relacion al dispositivo como, por ejemplo, configurar una conexion segura con el dispositivo. Por ejemplo, si los datos de seguridad del dispositivo son una clave secreta compartida en un protocolo criptografico, como un protocolo de autenticacion y/o encriptado, la misma clave debe estar disponible, y solo disponible, para el(os) socio(s) de comunicaciones autorizado(s) que debe ser capaz(ces) de configurar la conexion segura con el dispositivo.

Por ejemplo, muchos sistemas de comunicacion de hoy en dia, incluyendo sistemas de comunicacion movil, sistemas de pagination, asi como redes de datos inalambricas y de cable, emplean procedimientos de autenticacion y encriptado con el proposito de mejorar la seguridad y robustez del sistema. El problema de establecer una comunicacion segura y robusta se encuentra en muchas aplicaciones tecnicas, que van desde la comunicacion general de la red hasta aplicaciones mas especificas como la Gestion de Derechos Digitales (DRM, por sus siglas en ingles).

En general, hay dos soluciones para almacenar datos de seguridad en un dispositivo, ya sea en un chip o en un circuito integrado (CI) o en algun tipo de memoria programable, por ejemplo, una PROM, teniendo en cuenta que los datos almacenados en un CI estan generalmente mas protegidos.

En la referencia [1], una clave maestra se almacena en la EEPROM de una tarjeta inteligente y se utiliza para encriptar informacion sensible para ser almacenada en un medio de almacenamiento relativamente menos seguro.

La referencia [2] describe un procesador, que esta conectado a un dispositivo externo con el proposito de descargar

2

5

10

15

20

25

30

35

40

45

50

55

60

65

un programa desde el dispositivo externo a su memoria RAM. Si el programa esta encriptado, un modulo de desencriptado dispuesto en el procesador accede a una clave permanentemente almacenada en el procesador para desencriptar la informacion del programa.

La referencia [3] menciona la denominada generacion de claves a bordo con relacion a las tarjetas inteligentes.

La patente US 5 623 637A describe una tarjeta de memoria PCMCIA que incorpora un circuito integrado de tarjeta inteligente para almacenar un valor de contrasena y circuiterla logica para impedir el acceso a informacion, a menos que el usuario de un ordenador host al que esta conectada la tarjeta de memoria suministre una contrasena que coincida con la contrasena almacenada.

El documento EP 0 750 410 A describe una disposicion para generar y gestionar una clave secreta de un criptosistema de clave publica. En particular, se genera una clave secreta dentro de un dispositivo a prueba de manipulacion indebida incluido en la disposicion que comprende, ademas, medios para escribir la clave secreta y un certificado en un dispositivo personal insertado en la disposicion. La escritura de informacion de seguridad se inicia proporcionando una contrasena. Ademas, la escritura y su almacenamiento en el dispositivo personal esta dispuesta de tal manera que la clave secreta no se pueda leer all! mientras el dispositivo personal se inserta en la disposicion.

El documento "La tarjeta inteligente en la futura red europea de telecomunicaciones moviles digitales" (SMART CARD 2000 CONFERENCE, 4 de octubre de 1989 (), paginas 85 - 92, XP000534136 AMSTERDAM, NL; HENNY J.W.M VAN DE PAVERT) describe una tarjeta inteligente para uso, por ejemplo, en un telefono movil como un testigo personal. La tarjeta inteligente contiene un secreto, compartido con una red de comunicaciones, que no esta disponible en una interfaz de tarjeta. La tarjeta inteligente contiene ademas medios para realizar operaciones criptograficas y, en particular, se puede generar una clave disponible en una interfaz de tarjeta para encriptar datos comunicados entre un telefono movil y un nodo de red.

El almacenamiento de datos secretos, por ejemplo, un numero aleatorio especlfico de dispositivo, en un CI es posible hoy en dla con las herramientas estandar de produccion de CI. Sin embargo, la loglstica para pasar de forma segura el numero aleatorio o algunos datos relacionados desde el fabricante de CI al fabricante del dispositivo donde se utiliza el CI es con las tecnicas actuales inviable/costoso y/o requiere una gestion de seguridad especial para manejar los datos de seguridad. En general, el fabricante del dispositivo y el fabricante del CI pueden ser partes diferentes. Si algunos datos de seguridad son administrados por el fabricante de CI, esto puede constituir una debilidad de seguridad, un posible blanco de ataques y tambien puede aumentar los costos del Ci.

El mismo argumento se aplica al fabricante de CI que genera y/o almacena claves criptograficas en un CI en nombre de un fabricante de dispositivos.

El fabricante del dispositivo puede permitir que el fabricante de CI almacene en el CI datos que no es posible extraer despues de la fabricacion del CI, a menos que se trate de una ingenierla inversa muy avanzada. Sin embargo, el uso de estos datos de dispositivo en un contexto de seguridad con la ayuda de tecnicas de vanguardia requiere una gestion de seguridad en y entre el fabricante de CI y el fabricante de dispositivos y no es seguro o inviable/costoso en un proceso de industrializacion, en particular Para un mercado masivo.

El fabricante del dispositivo puede insertar datos de seguridad en PROM, evitando as! incluir al fabricante de CI como un tercero de confianza y evitando tambien costosos cambios en el proceso de fabricacion de CI. Sin embargo, los secretos en PROM no estan tan bien protegidos contra un adversario con acceso (aunque sea solo temporal) al dispositivo. Ademas, la tecnologla ASIC (Circuito Integrado de Aplicacion Especlfica) requerida para la realizacion de la funcionalidad PROM induce costes adicionales considerables en el CI, por ejemplo, a traves de mascaras adicionales en el proceso de produccion del CI.

Ademas, el fabricante de CI puede querer limitar el uso de sus ICs a los fabricantes de dispositivos con los que confla o tiene acuerdos comerciales.

Un problema algo diferente, pero aun relacionado, es que un tercero, con relaciones de confianza con el fabricante del dispositivo y/o el usuario, se comunique de forma segura con el dispositivo o con un usuario del dispositivo. La gestion de seguridad de los datos de seguridad especlficos de dispositivo puede requerir la inclusion de otras partes.

SUMARIO DE LA INVENCION

La presente invention supera estos y otros inconvenientes de las disposiciones de la tecnica anterior.

Un objeto de la invencion es implementar y utilizar datos de seguridad especlficos de dispositivo en dispositivos tales como telefonos moviles, ordenadores personales, camaras, dispositivos de audio, servidores, estaciones base y cortafuegos.

Es un objeto de la invencion proporcionar un metodo para fabricar de forma segura y rentable un dispositivo con

3

5

10

15

20

25

30

35

40

45

50

55

60

65

capacidades de datos de seguridad, as! como un metodo para gestionar datos de seguridad. En particular, es deseable proporcionar al dispositivo proteccion contra manipulaciones indebidas y datos de seguridad especlficos de dispositivo. Tambien es importante garantizar que los datos de seguridad esten protegidos de partes no autorizadas durante todo el proceso de fabricacion del dispositivo, sin necesidad de una gestion de seguridad extensiva.

Otro objeto de la invencion es proporcionar un metodo mejorado para mantener la seguridad de los datos con relacion a la comunicacion en red entre un dispositivo de red y un socio de comunicacion externo.

Otro objeto mas de la invencion es proporcionar un metodo mejorado para marcar contenido digital producido por un dispositivo productor de contenido.

Una idea basica, de acuerdo con la invencion, es proporcionar un circuito electronico a prueba de manipulacion indebida que esta configurado para su implementacion en un dispositivo y que implementa y utiliza de forma segura datos de seguridad especlficos de dispositivo durante su funcionamiento en el dispositivo. El circuito electronico a prueba de manipulacion indebida esta provisto basicamente de un secreto almacenado a prueba de manipulaciones indebidas que no es accesible a traves de una interfaz de circuito externo. El circuito electronico tambien esta provisto de funcionalidad para realizar el procesamiento criptografico al menos parcialmente en respuesta o basado en el secreto almacenado para generar una instancia de datos de seguridad especlficos de dispositivo que esta internamente confinada dentro de dicho circuito electronico durante el uso del dispositivo. El circuito electronico esta configurado ademas para realizar una o mas operaciones o algoritmos relacionados con la seguridad en respuesta a los datos de seguridad especlficos de dispositivo internamente confinados.

De esta forma, la implementacion segura y la utilizacion de datos de seguridad especlficos de dispositivo con fines de seguridad se pueden lograr de manera efectiva. La seguridad no queda comprometida, ya que el secreto almacenado nunca esta disponible fuera del circuito electronico, y los datos de seguridad especlficos de dispositivo estan internamente confinados dentro del circuito durante el uso o el funcionamiento del dispositivo. Esto significa que los datos de seguridad especlficos de dispositivo se mantienen indisponibles desde la interfaz de programacion de circuito externo y solo pueden usarse dentro del circuito para realizar una operacion relacionada con la seguridad durante el uso y el funcionamiento del dispositivo. Como ejemplo particular, los datos de seguridad especlficos de dispositivo pueden usarse junto con una operacion relacionada con la seguridad para convertir la informacion de entrada encriptada en informacion de salida de texto claro sin revelar el secreto almacenado o los datos de seguridad especlficos de dispositivo en si. La operacion relacionada con la seguridad puede ser una operacion simple, tal como el descifrado de informacion encriptada, o una operacion compuesta mas compleja.

El circuito electronico puede ser un circuito integrado (CI), una tarjeta inteligente o cualquier otro circuito electronico a prueba de manipulacion indebida, aunque preferiblemente sea un circuito encapsulado.

El circuito electronico a prueba de manipulacion indebida, de acuerdo con la invencion, es aplicable generalmente en una amplia variedad de dispositivos, produciendo datos de seguridad especlficos de dispositivo internamente confinados que se pueden usar para diversos propositos relacionados con la seguridad.

El circuito electronico puede, por ejemplo, estar dispuesto en un dispositivo de red, y los datos de seguridad especlficos de dispositivo manejados por el circuito en funcionamiento dentro del dispositivo de red pueden usarse entonces para operaciones de seguridad de datos en la comunicacion de red incluyendo confidencialidad de los datos, integridad de los datos, autenticacion, autorizacion y no repudio. Un ejemplo especlfico consiste en asegurar la comunicacion sobre redes inseguras, incluyendo Internet y redes de comunicacion celular.

En otro escenario de aplicacion, el circuito electronico esta dispuesto en un dispositivo que produce contenido digital, y los datos de seguridad especlficos de dispositivo manejados por el circuito en funcionamiento dentro del dispositivo productor de contenido pueden usarse entonces, por ejemplo, para marcar el contenido digital producido generando una huella digital especlfica del dispositivo integrada en el contenido digital.

Mas especlficamente, en la fabricacion de circuitos, preferiblemente se almacena de forma segura un secreto aleatorio dentro del circuito electronico tal como un CI. Esto podrla ser implementado de tal manera que ni siquiera el fabricante del circuito conoce el secreto. Estos datos secretos pueden ser cualquier numero arbitrario o generado aleatoriamente que pertenece tlpicamente a un gran conjunto de numeros para evitar ataques de adivinacion o precomputacion. Ademas, el circuito electronico esta preferiblemente provisto de algoritmo(s) de seguridad o criptografico(s) implementado(s) para su ejecucion en el circuito electronico con el secreto como entrada (al menos parcial). Una vez que el fabricante del dispositivo instala el circuito electronico para su funcionamiento en el dispositivo, el secreto almacenado puede usarse junto con el algoritmo o algoritmos de seguridad criptografica para generar una instancia de datos de seguridad que es especlfica para el dispositivo particular en el cual el circuito electronico esta implementado.

De este modo, el secreto almacenado y el algoritmo o algoritmos criptograficos implementados en el circuito electronico permiten la generacion de datos de seguridad especlficos de dispositivo confinados de forma segura, por

4

5

10

15

20

25

30

35

40

45

50

55

60

65

ejemplo, claves de encriptado y desencriptado, claves de enlace, claves simetricas, claves publicas privadas y asociadas y/u otros datos de seguridad especlficos de dispositivo que se pueden utilizar para diversas operaciones de seguridad.

En particular, es claramente ventajoso ser capaz de generar datos de seguridad especlficos de dispositivo y proporcionar funcionalidad de seguridad completa basada en cualquier dato secreto, aleatorio que se almacena originalmente en el circuito electronico por el fabricante del circuito (CI). Es mas, el circuito electronico permite la generacion y gestion de datos de seguridad especlficos de dispositivo para una amplia gama de dispositivos en los que se puede disponer el circuito. Ademas, puesto que los datos secretos se almacenan de forma segura en el circuito, no hay necesidad de una gestion de seguridad extensiva en la fabricacion del dispositivo o en la distribucion de circuitos entre el fabricante del circuito (CI) y el fabricante del dispositivo.

El procesamiento criptografico implementado en el circuito electronico se basa preferentemente en una funcion o algoritmo criptografico disenado de manera que sea computacionalmente imposible deducir el resultado del algoritmo sin conocer el secreto, y/o deducir el secreto del resultado.

El secreto puede ser la unica entrada al algoritmo o algoritmos criptograficos implementados en el circuito. Alternativamente, se pueden suministrar datos de entrada adicionales y usarse junto con el secreto del algoritmo o algoritmos para generar los datos de seguridad especlficos de dispositivo. Preferentemente, los datos de activacion requeridos para generar datos de seguridad especlficos de dispositivo se definen durante la configuracion del dispositivo, por ejemplo, en una fase de configuracion durante la fabricacion o durante la configuracion del usuario. Durante el uso del dispositivo, los datos de activacion predeterminados tienen que aplicarse sobre una interfaz de circuito externo para poder generar datos de seguridad adecuados. A menos que se apliquen los datos de activacion correctos, el procesamiento criptografico en el circuito electronico normalmente solo genera datos sin sentido o no funciona en absoluto. Esto implica que el circuito electronico requiere tlpicamente una cierta forma de datos de activacion predeterminados para volver a generar internamente los datos de seguridad especlficos de dispositivo.

Si los datos de activacion se definen durante la fabricacion del dispositivo o en conexion al mismo, los datos de activacion pueden tener que ser transferidos de forma segura desde el fabricante del dispositivo al dispositivo a traves de una parte de confianza intermedia como un operador de red al que el usuario del dispositivo es asociado. Alternativamente, los datos de activacion son definidos por otra parte configuradora tal como el operador de red y transferidos de forma segura al dispositivo. Tambien es posible almacenar los datos de activacion predeterminados en el dispositivo ya durante la configuracion para facilitar el acceso cuando se necesita invocar los datos de seguridad especlficos de dispositivo para una operacion relacionada con la seguridad. Esto significa que un adversario con acceso flsico al dispositivo puede obtener acceso a los datos de activacion o codigo para realizar la operacion relacionada con la seguridad. Sin embargo, el adversario nunca tendra acceso a los datos de seguridad especlficos de dispositivo en si. Ademas, se puede obtener un mayor grado de seguridad protegiendo el codigo de activacion almacenado con una contrasena seleccionada por el usuario.

Por ejemplo, los datos de activacion o el codigo pueden definirse basandose en datos de configuracion de seguridad especlficos de dispositivo proporcionados durante la configuracion del dispositivo. Preferentemente, el circuito electronico esta configurado para generar los datos de activacion como una representacion criptografica de los datos de configuracion de seguridad especlficos de dispositivo, basados en el secreto almacenado, en donde la representacion criptografica es emitida a traves de una interfaz de circuito externo durante la fase de configuracion. Durante el uso del dispositivo, los datos de seguridad especlficos de dispositivo se vuelven a generar internamente siempre que dicha entrada adicional corresponda a la representacion criptografica. Los datos de configuracion de seguridad pueden proporcionarse a traves de una interfaz de circuito externo durante la configuracion, permitiendo al fabricante del dispositivo u otra parte de confianza seleccionar libremente datos de seguridad especlficos de dispositivo para los dispositivos fabricados. Sin embargo, tambien es posible generar internamente los datos de configuracion de seguridad en el circuito electronico durante la fase de configuracion.

En otra realizacion de la invencion, la cual se refiere a la criptografla asimetrica, se puede aplicar al circuito una entrada adicional adecuada tal como un primo, un generador de un grupo matematico, un valor nonce y/o un codigo PIN durante la configuracion del dispositivo, por ejemplo, durante una fase de configuracion en la fabricacion o durante la configuracion del usuario, para generar un par de claves asimetricas y para emitir la clave publica a traves de una interfaz de circuito externo. Durante el uso del dispositivo, la clave privada correspondiente se genera internamente o se vuelve a generar siempre que al menos parte de la misma entrada adicional se aplique sobre una interfaz de circuito externo.

Alternativamente, los datos de activacion pueden ser una simple simiente, tal como un valor nonce, una denominada identidad de enlace o similar, que se aplica inicialmente al circuito electronico durante la configuracion del dispositivo, obligando al circuito electronico a emitir datos de seguridad especlficos de dispositivo a traves de una interfaz de circuito externa en respuesta a un codigo de acceso del dispositivo llamado. El codigo de acceso de dispositivo puede utilizarse para hacer que los datos de seguridad especlficos de dispositivo esten disponibles fuera del circuito bajo ciertas circunstancias, tlpicamente en un entorno controlado durante la fabricacion del dispositivo,

5

5

10

15

20

25

30

35

40

45

50

55

60

65

mientras que los datos de seguridad siempre estan internamente confinados dentro del circuito electronico durante el uso del dispositivo.

En general, el circuito electronico puede estar provisto de un protocolo de autenticacion para requerir autenticacion para conceder acceso a cierta funcionalidad en el circuito, restringiendo con ello de manera efectiva el uso del circuito a partes autorizadas. Tlpicamente, el circuito electronico esta configurado para autenticar al fabricante del dispositivo u otra parte configuradora, y para proporcionar un codigo de acceso del dispositivo al fabricante del dispositivo en respuesta a una autenticacion exitosa. Por ejemplo, el codigo de acceso del dispositivo puede ser generado como un par de respuestas-desaflo basado en un desaflo del fabricante del dispositivo y el secreto almacenado en el circuito electronico. El circuito electronico tambien se puede configurar para desactivar el acceso interno al secreto almacenado y/o los datos de seguridad especlficos de dispositivo, a menos que se introduzca un codigo de acceso de dispositivo predeterminado en el circuito electronico. De esta forma, se puede garantizar que solo una parte autorizada, como el fabricante del dispositivo y/o una parte de confianza, pueda utilizar el secreto almacenado para generar datos de seguridad especlficos de dispositivo y/o utilizar los datos de seguridad en si.

Debe entenderse que pueden definirse multiples senales individuales de datos de activacion durante la configuracion del dispositivo, en la que cada senal de datos de activacion esta asociada con un respectivo dato de seguridad especlfico del dispositivo. El circuito electronico se configura entonces para generar datos de seguridad especlficos de dispositivo, siempre que la senal de datos de activacion asociada se aplique al circuito. Esta caracterlstica puede utilizarse para proporcionar un modulo de identidad multiusuario, tal como un SIM multiusuario (Modulo de Identidad del Subscriptor) para autenticacion y propositos de acuerdo clave, o un decodificador multicanal, tal como un decodificador de television por satelite o por cable, donde se requieren multiples claves de seguridad unicas.

La invencion tambien se refiere a una gestion de seguridad adicional asociada con los datos de seguridad especlficos de dispositivo, por ejemplo, certificacion y delegacion de confianza, con el fin de permitir que terceros de confianza se comuniquen de forma segura con el dispositivo de red y/o el usuario.

La invencion ofrece las siguientes ventajas:

• Implementation y utilization seguras y rentables de datos de seguridad especlficos de dispositivo con fines de seguridad;

• Seguridad rigurosa, ya que el secreto almacenado nunca esta disponible fuera del circuito y los datos de seguridad especlficos de dispositivo estan internamente confinados dentro del circuito durante el uso del dispositivo;

• Protection eficiente de los datos de seguridad especlficos de dispositivo dentro de un circuito electronico a prueba de manipulacion indebida;

• Capacidad para generar datos de seguridad especlficos de dispositivo y proporcionar funcionalidad de seguridad total basada en cualquier information aleatoria secreta que originalmente se almacena en el circuito por el fabricante del circuito (CI);

• Requiere solo una muy limitada confianza en el fabricante del circuito (CI);

• No es necesaria una gestion de seguridad extensiva en la fabrication del dispositivo y/o entre el fabricante del circuito y el fabricante del dispositivo;

• Uso eficiente de datos de activacion para permitir la generation de datos de seguridad especlficos de dispositivo;

• Posibilidad de restringir el uso de ciertas funcionalidades en el circuito a las partes autorizadas;

• La provision de datos de seguridad especlficos de dispositivo en combination con el denominado protocolo de delegacion de confianza generica o una estructura de certificacion de dispositivo proporciona una solution factible y aplicable al problema de la gestion de claves para la gestion segura de derechos digitales; y

• Se abre para modulos de identidad multiusuario y decodificadores multicanal.

Otras ventajas ofrecidas por la presente invencion se apreciaran tras la lectura de la siguiente description de las realizaciones de la invencion.

BREVE DESCRIPCION DE LOS DIBUJOS

La invencion, junto con otros objetivos y ventajas de la misma, se entenderan mejor con referencia a la siguiente descripcion tomada junto con los dibujos adjuntos, en los cuales:

La Figura 1 es un diagrama de bloques esquematico de un dispositivo general provisto de un circuito electronico a prueba de manipulation indebida de acuerdo con una realization basica preferida de la invencion;

La Figura 2 es un diagrama de bloques esquematico de un circuito electronico para su implementacion en un dispositivo de red, y configurado para realizar operaciones de seguridad de datos en comunicacion de red basadas en datos de seguridad especlficos de dispositivo;

La Figura 3 es un diagrama de bloques esquematico de un circuito electronico para su implementacion en un dispositivo productor de contenido digital, y configurado para realizar marcado de contenido basado en datos

6

5

10

15

20

25

30

35

40

45

50

55

60

65

de seguridad especlficos de dispositivo;

La Figura 4 es un diagrama de flujo esquematico de un metodo para fabricar un dispositivo con capacidades de datos de seguridad, incluyendo la gestion de datos de seguridad especlficos de dispositivo, de acuerdo con una realizacion preferida de la invencion;

La Figura 5 es un diagrama de flujo esquematico que ilustra la configuracion y el uso de datos de activacion de acuerdo con una realizacion ejemplar de la invencion;

La Figura 6 es un diagrama de bloques esquematico de un circuito electronico a prueba de manipulacion indebida provisto de funcionalidad para encriptar datos de seguridad configuracionales en datos de activacion, de acuerdo con una realizacion preferida de la invencion;

La Figura 7 es un diagrama de bloques esquematico de una realizacion particular del circuito de la Figura 6 con otras mejoras de seguridad utilizando una clave de entrada adicional;

La Figura 8 es un diagrama de bloques esquematico de un circuito electronico a prueba de manipulacion indebida provisto de la funcionalidad de codigo de acceso del dispositivo para permitir el acceso externo a los datos de seguridad generados durante la configuracion, de acuerdo con otra realizacion preferida de la invencion;

La Figura 9 es un diagrama de bloques esquematico de un circuito electronico a prueba de manipulacion indebida capaz de responder a datos de activacion para generar selectivamente un par de claves asimetricas/clave privada de acuerdo con otra realizacion preferida de la invencion;

La Figura 10 es un diagrama de bloques esquematico de una realizacion particular del circuito de la Figura 9, implementado para la generation de claves privadas y publicas;

La Figura 11 es un diagrama de bloques esquematico de un circuito electronico implementado para la generacion de claves compartidas (por ejemplo, Diffie - Hellman) basado en la generacion de claves publicas y privadas;

La Figura 12 es un diagrama de bloques esquematico de una realizacion de un circuito integrado implementado para la generacion de claves privadas y publicas, y provisto de un algoritmo de encriptado para proteger criptograficamente la clave privada de salida;

La Figura 13 es un diagrama de bloques esquematico de una realizacion de un circuito electronico implementado con un protocolo de autenticacion y un gestor/controlador de codigo de acceso a dispositivo asociado;

La Figura 14 es un diagrama de bloques esquematico de una realizacion de un circuito electronico provisto de la funcionalidad para inhabilitar el acceso a datos secretos o datos de seguridad a menos que el codigo de acceso de dispositivo correcto se aplique al gestor/controlador de codigo de acceso a dispositivo;

La Figura 15 es un diagrama de bloques esquematico de una realizacion basica de un circuito electronico configurado para la generacion de una cadena de claves de enlace; y

La Figura 16 es un diagrama de bloques esquematico de otra realizacion de un circuito electronico provisto de una implementation iterativa para la generacion de una cadena de claves de enlace.

DESCRIPCION DETALLADA DE REALIZACIONES DE LA INVENCION

En todos los dibujos se utilizaran los mismos caracteres de referencia para elementos correspondientes o similares. Vision General

La Figura 1 es un diagrama de bloques esquematico de un dispositivo general provisto de un circuito electronico a prueba de manipulacion indebida, de acuerdo con una realizacion basica preferida de la invencion. El dispositivo general 100 incluye un circuito electronico a prueba de manipulacion indebida 10 y, tlpicamente, tambien una unidad general de entrada/salida 20 para transferir datos hacia/desde el dispositivo. Por supuesto, el dispositivo puede estar equipado con unidades adicionales, por ejemplo, para realizar diversos tipos de procesamiento de datos, todos dependiendo del dispositivo particular y de la funcion general del mismo.

El circuito electronico a prueba de manipulacion indebida 10 puede ser un circuito integrado (CI), una tarjeta inteligente o cualquier otro circuito electronico a prueba de manipulacion indebida y, preferiblemente, comprende una unidad de entrada/salida 11, una unidad de almacenamiento 12 para un secreto C, un motor o unidad para el procesamiento criptografico 13 y una realizacion practica de una operation relacionada con la seguridad 14. El secreto almacenado C no es accesible a traves de una interfaz de circuito externo y, por lo tanto, no esta disponible fuera del circuito electronico 10. El motor criptografico 13 esta conectado a la unidad de almacenamiento 12 y configurado para realizar el procesamiento criptografico al menos parcialmente en respuesta al secreto almacenado a fin de generar una instancia de datos de seguridad especlficos de dispositivo que esta internamente confinada dentro del circuito electronico 10 durante el uso del dispositivo 100. Generalmente esto significa que los datos de seguridad especlficos de dispositivo generados por el motor criptografico 13 no estan disponibles en la interfaz de programacion externa del circuito electronico durante el uso normal del dispositivo 100. La unidad de operacion de seguridad 14 esta enlazada a la salida del motor criptografico 13 y configurada para realizar una o mas operaciones relacionadas con la seguridad, en respuesta a los datos de seguridad especlficos de dispositivo internamente confinados.

Es una gran ventaja ser capaz de generar datos de seguridad especlficos de dispositivo y proporcionar una funcionalidad de seguridad total basada en cualquier information secreta C que se almacena originalmente en el

7

5

10

15

20

25

30

35

40

45

50

55

60

65

circuito electronico 10. La seguridad es rigurosa puesto que el secreto almacenado nunca esta disponible fuera del circuito electronico 10, y los datos de seguridad especificos de dispositivo generados internamente solo pueden usarse dentro del circuito para realizar una operacion relacionada con la seguridad durante el funcionamiento normal del dispositivo.

El circuito electronico a prueba de manipulacion indebida, de acuerdo con la invencion, es aplicable generalmente en una amplia variedad de dispositivos, produciendo datos de seguridad especificos de dispositivo internamente confinados que se pueden usar para diversos propositos relacionados con la seguridad. Ejemplos de dispositivos adecuados para implementar un circuito electronico de acuerdo con la invencion incluyen telefonos moviles, ordenadores personales, camaras, dispositivos de audio, servidores de red, puertas de enlace de seguridad, cortafuegos, estaciones base y asi sucesivamente.

Aplicacion de dispositivo de red

Tal como se ilustra en la Figura 2, el circuito electronico 10 puede estar dispuesto, por ejemplo, en un dispositivo de red y los datos de seguridad especificos de dispositivo generados internamente por el circuito en funcionamiento dentro del dispositivo de red 100 pueden usarse entonces para operaciones de seguridad de datos en comunicacion de red. El dispositivo de red 100 mostrado en la Figura 2 incluye generalmente un circuito electronico 10 a prueba de manipulacion indebida, una interfaz de usuario 20-1 y una unidad de comunicacion de red 20-2 para la comunicacion con otros dispositivos de red o entidades en una o mas redes. Ejemplos de operaciones de seguridad de datos en la comunicacion en red incluyen la confidencialidad de los datos, la integridad de los datos, la autenticacion, la autorizacion y el no repudio, como se define comunmente, por ejemplo en las referencias [4-6]. En otro escenario de aplicacion, el secreto almacenado C puede incluso usarse para generar una direction de terminal, que es (unica) para el dispositivo/terminal y puede utilizarse para una comunicacion de red eficiente.

Aplicacion de marcado de contenido

Tal como se ilustra en la Figura 3, el circuito electronico 10 puede alternativamente estar dispuesto en un dispositivo 100 que produce contenido digital tal como audio digital, video, imagenes, texto, etc. Ejemplos de tales dispositivos productores de contenido incluyen camaras fotograficas digitales, camaras de video, grabadoras de audio, escaneres digitales y cualquier equipo de digitalization que represente contenido en forma digital. Los datos de seguridad especificos de dispositivo generados internamente y mantenidos por el circuito en funcionamiento dentro del dispositivo productor de contenido pueden usarse entonces, por ejemplo, para marcar el contenido digital producido generando una huella digital especifica del dispositivo integrada en el contenido digital. Esto significa que el contenido puede estar vinculado al dispositivo particular que realmente produjo el contenido, y la huella digital puede ser usada posteriormente como evidencia de production. Esta funcion se hace cada vez mas importante en particular en los juicios legales, ya que la posibilidad o falsification de imagenes se ha extendido ampliamente a traves del software de procesamiento de imagenes avanzado disponible a un bajo costo. Por ejemplo, puede generarse una instancia de datos de seguridad especificos de dispositivo, ya sea unicamente en respuesta al secreto almacenado C o en respuesta al secreto almacenado en combination con datos de entrada adicionales tales como algunos datos de activation predeterminados y/o el propio contenido. Los datos de seguridad especificos de dispositivo generados internamente se utilizan entonces como entrada para la operacion relacionada con la seguridad implementada en la unidad 14 para integrar una huella digital especifica del dispositivo en el contenido digital basada en los datos de seguridad especificos de dispositivo generados. El contenido marcado es entonces emitido desde el circuito electronico 10.

El marcado de contenido, como se sugiere por la invencion, puede ser particularmente util en una combinacion de un dispositivo de red y un dispositivo productor de contenido, tal como un telefono movil con una camara integrada, pero tambien es aplicable en camaras independientes o imagenes similares, video o dispositivos de audio.

Escenario de fabricacion

En lo que sigue, la invencion se describira principalmente con un escenario ejemplar particular en mente, a saber, la fabricacion de dispositivos (tambien a veces denominados entidades), incluyendo la gestion de secretos iniciales y/o datos de seguridad especificos de dispositivo y el uso posterior de dichos datos de seguridad dentro de los dispositivos. Sin embargo, debe entenderse que la invencion no esta limitada a la misma y que el escenario de fabricacion sirve meramente como base para una mejor comprension de los conceptos y principios basicos de la invencion.

La Figura 4 es un diagrama de flujo esquematico de un metodo para fabricar un dispositivo con capacidades de datos de seguridad, incluyendo la gestion de datos de seguridad especificos de dispositivo, de acuerdo con una realization preferida de la invencion.

En la etapa S1, en la fabricacion del circuito, preferiblemente se almacena de forma segura un secreto mas o menos aleatorio dentro del circuito electronico a prueba de manipulacion. Esto podria ser implementado de tal manera que ni siquiera el circuito o fabricante de chips conoce el secreto. Estos datos secretos pueden ser cualquier numero arbitrario o generado aleatoriamente. En la etapa S2, que tambien se realiza en la fabricacion de circuitos, el circuito electronico esta provisto de algoritmos criptograficos implementados para su ejecucion en el circuito electronico con

8

5

10

15

20

25

30

35

40

45

50

55

60

65

el secreto como entrada o parte de la entrada. Una vez que el circuito electronico es instalado por el fabricante del dispositivo para su funcionamiento en un dispositivo, el secreto almacenado puede usarse junto con el algoritmo o algoritmos criptograficos para generar una instancia de datos de seguridad que es especlfica para el dispositivo particular en el que esta el circuito electronico implementado. El procesamiento algorltmico criptografico se basa preferentemente en una funcion criptografica disenada para que sea computacionalmente imposible deducir el resultado del algoritmo sin conocer el secreto, y/o deducir el secreto del resultado. En la etapa S3, se implementa una operacion relacionada con la seguridad en el circuito electronico a prueba de manipulacion. La operacion esta configurada para utilizar los datos de seguridad especlficos de dispositivo como entrada y puede estar relacionada con, por ejemplo, encriptado/desencriptado, integridad de datos, autenticacion, no repudio, autorizacion y marcado de contenido. El circuito electronico esta disenado de tal manera que los datos de seguridad especlficos de dispositivo generados por el algoritmo o algoritmos criptograficos durante el uso del dispositivo global estan internamente confinados dentro del circuito electronico. Esto puede lograrse utilizando un registro restringido dentro del circuito electronico a prueba de manipulacion indebida que solo puede ser accedido por el algoritmo criptografico para acceso de escritura y la operacion relacionada con la seguridad para acceso de lectura durante el uso del dispositivo. Con tecnologla de vanguardia, es hoy posible almacenar por ejemplo una clave de seguridad de 128 bits en un registro de hardware dedicado en un circuito integrado. Alternativamente, el confinamiento interno se asegura mediante tecnicas de proteccion de la memoria. Por ejemplo, se puede definir un area protegida en una memoria interna dentro del circuito electronico para el almacenamiento de datos de seguridad especlficos de dispositivo. El acceso a esta area protegida solo se permite a partir de una o mas areas de direccion de memoria especificadas, en las que el algoritmo criptografico mencionado anteriormente y la operacion relacionada con la seguridad se mantienen en forma ejecutable.

De este modo, el secreto almacenado y el algoritmo o algoritmos criptograficos implementados en el circuito electronico permiten la generacion de datos de seguridad especlficos de dispositivo confinados de forma segura, por ejemplo, claves de encriptado y desencriptado, claves de enlace, claves simetricas, claves publicas privadas y asociadas y/u otros datos de seguridad especlficos de dispositivo, que solo se pueden utilizar para diversas operaciones de seguridad dentro del circuito electronico.

En la etapa S4, en la fabricacion del dispositivo, el fabricante del dispositivo instala el circuito en un dispositivo dado. En la etapa S5, el fabricante del dispositivo tambien puede ser responsable de la gestion general de los datos de seguridad especlficos de dispositivo y de la informacion complementaria generada durante una fase opcional de configuracion estrictamente controlada, como se explicara en detalle mas adelante.

En particular, es claramente ventajoso ser capaz de generar datos de seguridad especlficos de dispositivo y proporcionar una funcionalidad de seguridad completa basada en cualquier dato secreto, aleatorio que sea originalmente almacenado en el circuito electronico por el fabricante del circuito. Ademas, el circuito electronico permite la generacion y gestion de datos de seguridad especlficos de dispositivo para una amplia gama de dispositivos en los que se puede disponer el circuito. Ademas, puesto que los datos secretos se almacenan de forma segura en el circuito, no hay necesidad de una gestion de seguridad extensiva en la fabricacion del dispositivo o en la distribution de circuitos entre el fabricante del circuito y el fabricante del dispositivo.

De hecho, se requiere una gestion de seguridad muy limitada entre el fabricante del circuito y el fabricante del dispositivo. El valor particular de C no es normalmente relevante mientras no se conozca a las partes no autorizadas, especialmente si nadie sabe o tiene acceso a C. Basta con que el secreto almacenado C sea suficientemente aleatorio sobre un conjunto suficientemente grande e imposible de enlazar al circuito en particular. Dado que no es necesario registrar o derivar informacion de C durante la fabricacion del circuito, esto puede implementarse eficazmente dentro de un entorno controlado en el fabricante del circuito.

Si se desea o de otra forma apropiado, se puede obtener una gestion de seguridad adicional entre el fabricante del circuito y el fabricante del dispositivo implementando en el circuito un encriptado de clave publica (por ejemplo encriptado RSA) del secreto C basado en la clave publica del fabricante del dispositivo, La clave publica se almacena en el circuito, y la salida del secreto encriptado. La salida encriptada solo puede ser desencriptada por el fabricante del dispositivo utilizando la clave privada correspondiente. De esta manera, C sera conocido por el fabricante del dispositivo.

Como se describira mas adelante, la invention tambien esta bien adaptada para la gestion de seguridad adicional de los datos de seguridad especlficos de dispositivo, por ejemplo, certification y delegation de confianza, con el fin de permitir que terceros de confianza se comuniquen de forma segura con el dispositivo de red y/o el usuario.

El tipo de gestion de seguridad que es apropiado depende de las amenazas o ataques especlficos que el sistema se requiere para ser resistente y contra que partes en el sistema que en cierta medida se confla. Por ejemplo, la gestion de datos de seguridad para dispositivos de red es una tarea muy importante, ya que la seguridad de toda la comunicacion puede confiar en ella.

Por consiguiente, las partes autorizadas con datos de seguridad especlficos de dispositivo pueden ser diferentes

9

5

10

15

20

25

30

35

40

45

50

55

60

65

para diferentes instancias del problema descrito. Se supone a lo largo de los siguientes ejemplos que se confla al fabricante del dispositivo los datos de seguridad especlficos de dispositivo, aunque la invencion no se limita realmente a esa suposicion. Como se indico anteriormente, el fabricante de chips no tiene que confiar en los datos de seguridad, aunque normalmente se asume algun tipo de relacion de confianza, por ejemplo, que el fabricante de chips implementa lo que se acuerda y no introduce ningun secreto "puertas traseras" y as! sucesivamente. Tambien es comun que el propietario o usuario del dispositivo se considere un grupo de confianza, ya que normalmente es de su interes asegurarse de que la transferencia de mensajes sea segura. Sin embargo, esto no es necesariamente cierto y no se asumira; Un escenario de excepcion particular es el de DRM.

Gestion de Derechos Digitales (DRM, por sus siglas en ingles), por ejemplo, es una tecnologla para proteger los activos de un proveedor de contenido/propietario en un sistema de distribucion de contenido digital. En la mayorla de los casos, la tecnologla se implementa encriptando el contenido y asociando a este contenido una llamada licencia que incluye la clave de desencriptado (normalmente en formato encriptado) y los derechos de uso que describen lo que se permite hacer con el contenido.

En el equipo que se utilizara para renderizar el contenido, se implementara un modulo/agente de DRM para asegurar que la representacion sigue lo que se prescribe por los derechos de uso. Este agente se implementa tlpicamente como un modulo de software y/o hardware, aplicando la polltica de uso como se indica en la licencia. El modulo/agente DRM constituye la parte de confianza dentro del equipo de usuario, desde el punto de vista del proveedor de contenido. Tenga en cuenta que el usuario no es una parte de confianza, ya que el usuario puede querer eludir la proteccion del contenido y utilizar el contenido sin las restricciones prescritas en la licencia.

El problema de asegurar el contenido es en parte para administrar la confidencialidad del contenido y la integridad de la licencia durante el transporte desde el distribuidor de contenido al dispositivo donde se utilizara el contenido. Una solucion posible a este problema es que el proveedor/distribuidor de contenido entregue de forma segura al modulo/agente de DRM en el equipo de representacion una "clave de encriptado clave", que puede utilizarse para derivar la clave de encriptado de contenido y comprobar la integridad de la licencia. Para proteger la clave de encriptado clave, los datos de seguridad del dispositivo, no disponibles para el usuario, podrlan ser utilizados por el modulo/agente DRM. Ademas, el proveedor/distribuidor de contenido de confianza necesita alguna informacion relacionada con estos datos de seguridad para asegurar la transferencia a este dispositivo en particular. Por ejemplo, si los datos de seguridad son una clave de desencriptado, la clave de encriptado correspondiente es normalmente necesaria por el distribuidor/proveedor de contenido.

Datos de activacion - configuracion vs. uso

Con referencia una vez mas a la Figura 1, el secreto almacenado C puede ser la unica entrada al motor criptografico. Alternativamente, sin embargo, se puede aplicar entrada adicional a traves de la unidad de entrada/salida 11 del circuito electronico 10 y usarse junto con el secreto almacenado C en el motor criptografico 13 para generar los datos de seguridad especlficos de dispositivo. En una realizacion preferida de la invencion, se define durante la configuracion del dispositivo 100, por ejemplo en una fase de configuracion durante la fabricacion o durante la configuracion del usuario, datos de activacion opcionales (indicados por la llnea discontinua en la figura 1) necesarios para generar datos de seguridad adecuados En la aplicacion particular.

Durante el uso posterior del dispositivo 100, se deben aplicar los mismos datos de activacion al circuito electronico 10 al motor criptografico 13 para poder generar los datos de seguridad especlficos de dispositivo.

Como se ilustra esquematicamente en el diagrama de flujo basico de la Figura 5, los datos de activacion se determinan durante la configuracion del dispositivo, tal vez en una fase de configuracion durante la fabricacion del dispositivo o durante la configuracion del usuario (S11), como se ejemplificara mas adelante. Durante el uso posterior, se generan datos de seguridad especlficos de dispositivo internamente confinados siempre que se apliquen los mismos datos de activacion sobre una interfaz de circuito externo. En otras palabras, tanto el secreto almacenado C como los datos de activacion predeterminados son necesarios para poder generar datos de seguridad apropiados (S12). Finalmente, se realiza una operacion relacionada con la seguridad en respuesta a los datos de seguridad especlficos de dispositivo (S13) generados internamente e internamente confinados. Si los datos de activacion se definen durante la fabricacion del dispositivo, es posible que los datos de activacion tengan que transferirse de forma segura del fabricante del dispositivo al dispositivo, por ejemplo a traves de un interlocutor intermedio como un operador de red al que esta asociado el usuario del dispositivo.

Alternativamente, los datos de activacion predeterminados se almacenan en el dispositivo para facilitar el acceso cuando se necesita invocar los datos de seguridad especlficos de dispositivo para una operacion relacionada con la seguridad. En algunas aplicaciones, los datos de entrada adicionales pueden incluso ser informacion publicamente conocida, ya que solo el propietario del dispositivo que comprende el circuito particular es capaz de generar el resultado debido al secreto almacenado implicado. Esto significa que un adversario con acceso flsico al dispositivo, puede obtener acceso a los datos de activacion o codigo para realizar la operacion relacionada con la seguridad. Sin embargo, el adversario nunca tendra acceso a los datos de seguridad especlficos de dispositivo en si, que siempre esta internamente confinado dentro del circuito durante el uso del dispositivo en general. En algunas aplicaciones,

10

5

10

15

20

25

30

35

40

45

50

55

60

65

puede ser ventajoso proteger el codigo de activacion almacenado, por ejemplo, por medio de una contrasena seleccionada por el usuario.

Activaciones multiples

Tambien es posible definir multiples senales individuales de datos de activacion durante la configuration del dispositivo, en la que cada senal de datos de activacion esta asociada con unos datos de seguridad especlficos de dispositivo individuales respectivos. El circuito electronico de acuerdo con la invention se configura entonces para generar un dato de seguridad especlfico del dispositivo, siempre que la senal de datos de activacion asociada se aplique al circuito. Esto puede utilizarse para proporcionar un modulo de identidad multiusuario, tal como un SIM multiusuario (Subscriber Identity Module) para propositos de autenticacion y acuerdo clave, o un decodificador multicanal, tal como un decodificador de television por satelite o cable, en el que varios Se requieren claves de seguridad unicas. Una determinada clave se activa simplemente aplicando los datos de activacion correspondientes.

En general, los datos de activacion pueden definirse de varias maneras. A modo de ejemplo, los datos de activacion pueden definirse basandose en datos de seguridad de configuracion especlficos de dispositivo proporcionados durante la configuracion del dispositivo, como se describira a continuation principalmente con referencia a las Figuras 6 y 7. Los datos de activacion tambien pueden ser una simiente simple inicialmente aplicada al circuito electronico durante la configuracion del dispositivo, forzando al circuito electronico a emitir datos de seguridad especlficos de dispositivo a traves de una interfaz de circuito externo en respuesta a un llamado acceso de dispositivo, Como se describira principalmente con referencia a la Figura 8. Alternativamente, para aplicaciones basadas en criptografla asimetrica, se puede usar como datos de activacion una entrada adicional adecuada tal como un primo, un generador de un grupo matematico, un nonce y/o un codigo PIN, como se describira mas adelante con referencia a las Figuras 9-12.

Encriptacion/desencriptacion de datos de seguridad configuracionales

La Figura 6 es un diagrama de bloques esquematico de un circuito electronico a prueba de manipulation indebida provisto de funcionalidad para encriptar datos de seguridad configuracionales en datos de activacion de acuerdo con una realization preferida de la invencion. Preferiblemente, el circuito electronico 10 esta configurado para generar datos de activacion como una representation criptografica de algunos datos de seguridad especlficos de dispositivo configuracionales, basados en el secreto almacenado. La representacion criptografica se envla entonces a traves de una interfaz de circuito externo durante la fase de configuracion. Durante el uso del dispositivo, los datos de seguridad especlficos de dispositivo se vuelven a generar internamente siempre que dicha entrada adicional corresponda a la representacion criptografica. Esto permite al fabricante del dispositivo u otra parte de confianza en el control de los dispositivos, como un operador de red, seleccionar libremente datos de seguridad especlficos de dispositivo para dispositivos fabricados durante la configuracion del dispositivo. Esto puede ser ventajoso en ciertas aplicaciones donde se requiere que los datos de seguridad tengan un formato particular. Por ejemplo, en criptografla asimetrica como RSA o curvas ellpticas, las claves no son solo cadenas aleatorias, sino que tienen que ser elegidas con precaucion.

Ademas del secreto aleatorio C implementado por el fabricante del circuito en la unidad de almacenamiento 12, el circuito electronico 10 incluye una realizacion practica 15 de una funcion unidireccional de trampilla, en este caso representada como un algoritmo de encriptado E que usa el secreto C como encriptado llave. El circuito electronico 10 tambien incluye una realizacion practica 13 del correspondiente algoritmo inverso de trampilla, realizando en este caso el desencriptado D, as! como una realizacion 14 de una operation relacionada con la seguridad.

Durante la configuracion, el fabricante del dispositivo u otra parte de configuracion genera cualquier dato K de seguridad especlfico del dispositivo, por ejemplo, una clave criptografica, y la aplica al circuito 10 para el encriptado. Debe entenderse que la configuracion no tiene necesariamente que realizarse durante la fabrication, sino que puede realizarse mas tarde, por el fabricante del dispositivo en una fase de configuracion separada o por una parte separada, tal como un operador de red, que controla la fabricacion Dispositivos. La representacion de resultados criptograficos E (C, K) = X es registrada por el fabricante del dispositivo u otra parte configuradora en un entorno controlado y opcionalmente almacenada en el dispositivo. El par as! generado (X, K) puede ser utilizado, por ejemplo, mas tarde por la parte configuradora o un tercero de confianza para comunicarse de forma segura con el dispositivo. Si es apropiado, considerando el modelo de confianza, la representacion de resultados X y/o los datos de seguridad configuracionales K correspondientes pueden ser gestionados por un operador de red de confianza. La representacion de resultados X puede ser transferida de forma segura desde el operador al dispositivo, tal como un telefono movil o un dispositivo de red similar asociado con el operador, en base a una clave de sesion obtenida de un procedimiento de autenticacion y acuerdo clave.

Alternativamente, la representacion criptografica X se almacena en el dispositivo ya durante la configuracion. A menos que K este internamente confinado durante el uso del dispositivo, un adversario con acceso al dispositivo y los datos de activacion almacenados X pueden obtener la llave de dispositivo K. Por lo tanto, la clave de dispositivo generada internamente K nunca se muestra fuera del circuito durante el uso de El dispositivo, pero solo se utiliza dentro del circuito para cualquier operacion de seguridad o las operaciones que se requieren. Esto significa que la representacion criptografica X puede ser almacenada, por ejemplo en una PROM en el dispositivo y al mismo tiempo

11

5

10

15

20

25

30

35

40

45

50

55

60

65

la clave de dispositivo sensible K resistira ataques de un adversario con acceso al dispositivo ya la interfaz de programacion del circuito electronico. Opcionalmente, si el modelo de confianza as! lo admite, X puede incluso ser protegido por el usuario, de modo que la autenticacion por medio de una contrasena o PIN debe ser llevada a cabo para poder recuperar X para la entrada en el circuito electronico, opcionalmente junto con una limitacion Numero de ensayos antes de que sea necesario un codigo especial de autenticacion.

En resumen, el circuito ilustrado en la Figura 6 implica varias capas de operaciones en dos fases diferentes: Durante una fase de configuracion, los datos configuracionales en forma de una clave de dispositivo K se cifran con el algoritmo E. Posteriormente, durante el uso del dispositivo, la representacion de resultado encriptada se descifra con el algoritmo D, Y la instancia de clave de dispositivo resultante se utiliza entonces como entrada para la operacion relacionada con la seguridad, tal como desencriptado de informacion encriptada en texto claro, autenticacion de origen de datos, proteccion de integridad de mensaje o una combinacion de tales operaciones de seguridad, como queda claro para cualquiera familiarizado Con el campo. Opcionalmente, la operacion D podrla incorporar una funcionalidad no relacionada con la seguridad criptografica que sea sensible con respecto al modelo de confianza, por ejemplo, gestion de los datos que deberlan estar disponibles solo para las partes autorizadas y por lo tanto permanecer en el circuito. DRM da un ejemplo particular a esto donde se puede requerir que el contenido de texto claro de alta calidad (como texto, audio y video) permanezca confidencial, aunque se permite que una copia de resolucion inferior alcance el dispositivo de representacion. De este modo, la operacion relacionada con la seguridad podrla configurarse para reducir selectivamente la resolucion o realizar selectivamente la conversion D/A y as! sucesivamente, controlada en base a la informacion relativa a la clave de dispositivo K.

Naturalmente, el procedimiento anterior se puede extender a multiples pares (K, X) y/o multiples secretos C. De nuevo, el valor real de C no es generalmente relevante mientras no sea conocido por ninguna parte no autorizada.

Tambien debe entenderse que es posible generar internamente los datos de configuracion de seguridad en el circuito electronico durante la fase de configuracion, como se explicara mas adelante con relacion a la Figura 12.

La Figura 7 es un diagrama de bloques esquematico de una realization particular del circuito de la Figura 6 con otras mejoras de seguridad utilizando una clave de entrada adicional. Con el fin de mejorar aun mas la seguridad del circuito electronico a prueba de manipulation indebida de la Figura 6, se puede emplear una clave de entrada adicional como se ilustra en la Figura 7. Al igual que en la Figura 6, durante la configuracion, por ejemplo, en la fabrication, el fabricante del dispositivo u otra parte de configuracion utiliza el algoritmo E implementado en la unidad 15 y la clave C para encriptar los datos de seguridad K1. La salida codificada X1 obtenida puede ser almacenada en el dispositivo durante la configuracion o transferida de otra manera segura al dispositivo y posteriormente introducida en el algoritmo de desencriptado asociado D1 implementado en la unidad 13. Tambien se podrlan generar datos de seguridad adicionales K2 e internamente confinados dentro del circuito electronico 10 Una representacion encriptada X2 de los datos de seguridad K2 se proporciona preferiblemente al dispositivo para su uso como entrada al circuito electronico 10. K2 inicialmente puede ser generado por el fabricante del dispositivo u otra parte configuradora, por ejemplo, en conexion con el encriptado de K1. Alternativamente, K2 puede ser inicialmente generado por un tercero, por ejemplo, un proveedor de contenido o distribuidor, que desea distribuir de forma segura los datos digitales al dispositivo. En tal caso, el proveedor de contenidos representa K2 como X2 de tal manera que el acceso interno a K1 es necesario para reproducir internamente K2, por ejemplo, si K1 es una clave privada entonces X2 es el encriptado de clave publica correspondiente de la clave K2. La clave privada puede ser una clave privada del fabricante del dispositivo y no tiene que ser conocida por el usuario. La clave publica podrla estar disponible, por ejemplo, de una Autoridad de Certification de una infraestructura de clave publica. El proveedor de contenido entonces distribuye X2 al dispositivo. Un algoritmo de desencriptado asociado D2 se implementa en la unidad 14-1 en el circuito electronico para desencriptar la entrada encriptada recibida X2 por medio del K1 generado internamente. Desencriptado de datos (u otra operacion de seguridad) recibida del fabricante del dispositivo o de un tercero, por ejemplo, el proveedor de contenidos, basado en el algoritmo de seguridad D 'implementado en la unidad 14-2, esta disponible entrando X1 y X2 y los datos recibidos, cip, en la interfaz de circuito relevante para obtener el texto cle claro.

Permitiendo selectivamente el acceso externo a datos de seguridad durante la configuracion

La Figura 8 es un diagrama de bloques esquematico de un circuito electronico a prueba de manipulacion indebida provisto de funcionalidad de codigo de acceso del dispositivo para permitir el acceso externo a los datos de seguridad generados durante la configuracion, de acuerdo con otra realizacion preferida de la invention. Como se ha mencionado anteriormente, los datos de activation pueden alternativamente ser una simiente simple, tal como un nonce, una identidad de enlace o datos similares, que se aplica inicialmente al circuito electronico durante la configuracion del dispositivo para generar datos de seguridad B especlficos del dispositivo basados en el secreto almacenado C y los datos de activacion de entrada R. Por ejemplo, R puede ser una cadena de bits aleatoria y/o alguna identidad de dispositivo unica. El motor criptografico 13 se implementa preferiblemente con una aproximacion de una funcion criptografica unidireccional f utilizando el secreto C y los datos de activacion R como entrada. Por ejemplo, la funcion unidireccional criptografica podrla ser un MAC con clave (Codigo de autenticacion de Mensaje), vease [7, 8], de los datos de entrada R usando C como clave.

5

10

15

20

25

30

35

40

45

50

55

60

65

Ademas de la unidad de almacenamiento basico 12 para mantener el secreto C, el motor criptografico 13 y la operacion relacionada con la seguridad 14, el circuito electronico 10 resistente a las manipulaciones mostrado en la Figura 8 tambien comprende un controlador 16 y una disposition de conmutacion 17 para forzar selectivamente al circuito electronico para que emita los datos de seguridad B especlficos del dispositivo a traves de una interfaz de circuito externo durante la configuration. El controlador 16 opera preferiblemente en respuesta a un llamado codigo de acceso de dispositivo (DAC) y cierra el conmutador 17 para hacer que los datos de seguridad B especlficos del dispositivo esten disponibles fuera del circuito cuando el DAC se aplica al circuito durante la fase de configuracion. Por ejemplo, el DAC puede ser dado al fabricante del dispositivo u otra parte configuradora por el fabricante del circuito en un procedimiento de autorizacion, como se describira en detalle mas adelante. Si no se introduce el DAC correcto durante la configuracion, el conmutador 17 permanece abierto y los datos de seguridad B especlficos del dispositivo solo estan disponibles en las interfaces internas apropiadas y, por consiguiente, nunca abandonan el circuito electronico 10. Despues de la configuracion, puede ser incluso deseable desactivar el controlador 16 para asegurar que un adversario con acceso flsico al dispositivo no pueda atacar el circuito 10 probando diferentes codigos en un intento de obtener datos de seguridad especlficos de dispositivo.

Por ejemplo, la configuracion puede realizarse durante la fabrication, en la que el fabricante del dispositivo inserta el circuito electronico tal como un CI recibido de un fabricante de circuitos integrados en un dispositivo particular. Mediante el uso de la funcion criptografica implementada f, se pueden obtener datos de seguridad especlficos de dispositivo: En un entorno controlado, el fabricante del dispositivo introduce algunos datos R como entrada al algoritmo implementado en el motor criptografico en el circuito para generar el resultado f (C, R) = B, y tambien aplica un dAc predeterminado al controlador 16 para permitir la salida externa de los datos de seguridad B resultantes.

En el ejemplo de la Figura 8, el fabricante del dispositivo u otra parte configuradora generalmente no puede elegir datos de seguridad especlficos de dispositivo, sino que tiene que aceptar lo que sale de la funcion unidireccional f, mientras que en los ejemplos de las Figuras 6 y 7, el participante de configuracion es libre de seleccionar los datos de seguridad especlficos de dispositivo.

El par (R, B) se puede usar mas tarde, por ejemplo, despues de que el dispositivo haya sido vendido a un usuario, por el fabricante del dispositivo u otra parte configuradora, o incluso a un tercero confiado por el configurador del dispositivo para comunicarse de forma segura con el dispositivo. Los datos de seguridad especlficos de dispositivo B se pueden usar para asegurar la comunicacion, por ejemplo, como una clave criptografica en un algoritmo de encriptado simetrico o en un codigo de autenticacion de mensajes. Durante el uso, los datos de activation R son requeridos por el dispositivo para recrear internamente B en el circuito electronico 10. Por ejemplo, si R es igual a un RAND en un procedimiento de acuerdo de clave tal como GSM AKA (Acuerdo de Clave y Autenticacion) o UMTS AKA, los datos de seguridad especlficos de dispositivo resultantes seran una clave de sesion AKA.

Los datos de activacion R pueden almacenarse en el dispositivo durante la fabricacion y/o la configuracion, o suministrados antes del establecimiento de la comunicacion segura. Aunque se prefiere la alta confidencialidad, los datos de activacion R no necesariamente deben mantenerse confidenciales ya que solo con acceso al circuito electronico correcto pueden producirse los datos de seguridad relevantes B, y durante el uso del dispositivo, los datos de seguridad B nunca salen el circuito. Sin embargo, R esta preferiblemente protegido contra la integridad, por ejemplo, con B o mediante algun mecanismo fuera de banda, para proteger de, por ejemplo, disturbios en la comunicacion, manipulation y/o ataques de denegacion de servicio.

Un ejemplo de una aplicacion particular podrla ser una companla que posee/gestiona una serie de nodos de red que se comunican a traves de una red no segura. Por ejemplo, los nodos/dispositivos podrlan ser estaciones base de radio en una red movil, dispositivos de dosificacion de consumo de electricidad, maquinas automaticas de venta de bebidas/alimentos, todas provistas de circuitos electronicos con la estructura general de la Figura 8. Durante la configuracion de los nodos por el personal de confianza de la empresa, el fabricante genera una serie de claves B especlficas del nodo en respuesta a uno o mas numeros de entrada R, utilizando uno o mas DAC para extraer los datos de seguridad de la Circuitos Durante el uso, el numero o numeros de entrada R se distribuyen (preferiblemente protegidos contra la integridad) a los nodos de la red (o almacenados en ellos durante la fabricacion/configuracion), y se introducen en los circuitos electronicos correspondientes para generar la clave o claves especlficas del nodo B. Una vez que la o las claves secretas B se comparten de forma segura entre los nodos implicados, se puede establecer una comunicacion segura mediante cualquier protocolo criptografico convencional utilizando B.

Se pueden generar multiples pares (R, B) y/o multiples secretos C, por ejemplo, para permitir la revocation de determinados datos de seguridad o para diferenciar entre partes de comunicaciones.

En otro ejemplo particular, el par (R, B) puede constituir un par identidad de enlace-clave de enlace. Un ejemplo de delegation de confianza, que implica la generation de pares identidad de enlace-clave de enlace, es un protocolo llamado el protocolo Generic Trust Delegation (GTD). Puede ser util dar una vision general de los fundamentos del protocolo GTD. El mecanismo para establecer y delegar confianza en el protocolo GTD se basa en el supuesto de

13

5

10

15

20

25

30

35

40

45

50

55

60

65

que dos partes P1, normalmente un fabricante de dispositivos, y P2, normalmente un dispositivo asociado, comparten un secreto (simetrico). El protocolo aprovecha el hecho de que el fabricante de dispositivos P1 ha asignado normalmente una clave de dispositivo secreto al dispositivo P2, que esta protegida adecuadamente en el dispositivo. Un tercero P3, que tiene una relacion de confianza con P1, quiere comunicarse de forma segura con P2. Como componente principal, el protocolo GTD incluye un protocolo de peticion-respuesta basico, en el que P3 solicita, desde P1, una clave de enlace para una comunicacion segura con P2. La parte P1 genera una identidad de enlace, unica para el par P2 y P3. Entonces, la parte P1 deriva una clave de enlace basada en la identidad de enlace y el secreto que P1 comparte con P2, preferiblemente usando una funcion criptografica unidireccional. La clave de enlace, normalmente junto con la identidad de enlace, se envla de forma segura de P1 a P3 (la seguridad se basa en claves derivadas de la relacion de confianza existente entre P1 y P3). Dado que P2 conoce el secreto compartido entre P1 y P2, la parte P2 tambien puede calcular la misma clave de enlace dada la anterior identidad de enlace. Este ultimo generalmente no es confidencial y puede enviarse a P2 desde P1 o P3. Por consiguiente, P2 y P3 pueden comunicarse de forma segura usando la clave de enlace. Naturalmente, en lugar de la clave especlfica del dispositivo en si, otra clave derivada de la misma podrla utilizarse en ambos lados para calcular la clave de enlace. En este procedimiento, P1 "delega confianza" a P3 en forma de la clave de enlace entre P2 y P3.

El fabricante del dispositivo nunca tiene que revelar la clave especlfica del dispositivo (o mas generalmente la clave de entidad) a ninguna otra parte, ya que no es necesario transferir la clave especlfica del dispositivo fuera del dispositivo y del fabricante del dispositivo (u otro dispositivo configurador). Ademas, el protocolo gTd no requiere un solo tercero confiado en todos los fabricantes de dispositivos.

El secreto desconocido nunca tiene que abandonar el dominio del fabricante, excepto en el area protegida dentro del circuito electronico del dispositivo donde el fabricante (del circuito) almaceno el secreto durante la fabricacion. Por lo tanto, el fabricante tiene mas posibilidades y todos los incentivos para mantener el secreto confidencial, comparado con el estado de la tecnica.

Generacion del par clave privada y/o clave asimetrica

La Figura 9 es un diagrama de bloques esquematico de un circuito electronico a prueba de manipulacion indebida en respuesta a datos de activacion para generar selectivamente un par de claves privadas/asimetricas de acuerdo con otra realizacion preferida de la invencion. En la Figura 9, se puede aplicar al circuito una entrada adicional adecuada tal como un primo, un generador de un grupo matematico, un noce y/o un codigo PIN durante la configuracion del dispositivo, ya sea durante una fase de configuracion en la fabricacion o durante la configuracion del usuario, para Generar un par de claves asimetricas (A, PA) y para emitir la clave publica PA a traves de una interfaz de circuito externo. Durante la utilization del dispositivo, la correspondiente clave privada A se vuelve a generar internamente siempre que al menos una parte de la misma entrada adicional se aplique como datos de activacion a traves de una interfaz de circuito externo. La clave privada A generada internamente puede utilizarse entonces para operaciones PKI (Infraestructura de Clave Publica), tales como encriptado/desencriptado y autenticacion.

La Figura 10 es un diagrama de bloques esquematico de una realizacion particular del circuito de la Figura 9 para la generacion de claves privadas y publicas. A continuation, consideramos el caso ejemplar de la criptografla basada en logaritmos discretos. A modo de ejemplo, es posible utilizar el problema de logaritmos discretos sobre el grupo multiplicativo de enteros modulo un P grande con el generador G. Un entero elegido al azar de 1, ..., P-2 puede usarse como una clave privada . Como se ilustra en la Figura 10, designaremos este numero A, que puede ser identico al numero secreto C desconocido o derivado del secreto del chip junto con la entrada opcional. Como antes, el numero A esta oculto dentro del circuito electronico y no debe ser posible extraer, ni ninguna information (excepto insignificante) de A.

El motor criptografico 13 se basa en una funcion general Z para generar la clave A basada al menos en el secreto C. Un primo grande P podrla ser opcionalmente introducido en el motor 13, que entonces tiene que generar una A adecuada. Entrada, pero el circuito deberla entonces preferiblemente comprobar si G es un generador del grupo. Un nonce generado, por ejemplo, por el fabricante del dispositivo tambien se puede opcionalmente introducir en el circuito para su uso en la generacion de la clave A.

Tambien deberla ser posible generar y emitir una clave publica Pa correspondiente del circuito, esto podrla, por ejemplo, ser GA mod P y/u otra informacion tal como G o, por ejemplo, el motor criptografico 13 tambien incluye entonces una funcion general Y para generar esta clave publica PA, preferentemente basada en P, G y A. La clave publica debe ser distribuida en una De manera autenticada al interlocutor relevante para que pueda ser utilizado de forma segura, mas de los cuales se describira mas adelante. El circuito electronico 10 puede realizar una o mas operaciones de clave publica D' tales como, por ejemplo, encriptado o funciones de firma digital basadas en la clave privada A. Ejemplos especlficos son el encriptado ElGamal y la firma ElGamal.

El secreto C desconocido se genera y almacena facilmente en el circuito 10 (por ejemplo, CI) durante la fabricacion del circuito, y con la nueva funcionalidad mostrada en la Figura 10, es as! posible generar un par de claves asimetrico que puede ser utilizado por el dispositivo en el que el CI esta dispuesto para una comunicacion segura.

5

10

15

20

25

30

35

40

45

50

55

60

65

Otro uso de este par de claves publico-privado es la generacion de claves compartidas, como se ilustra esquematicamente en la Figura 11. Por ejemplo, para la generacion de claves compartidas Diffie-Hellman, la clave publica del dispositivo PA = GA mod P se intercambia por la clave publica del interlocutor PB = GB mod P, donde B es la clave privada correspondiente. PB se alimenta a una unidad de generacion de clave compartida 14-3 en el circuito 10 y se calcula el secreto compartido GAB mod, por ejemplo, un nonce aleatorio opcional se puede tambien utilizar en un algoritmo junto con el secreto compartido para garantizar frescura y para restringir la filtracion de la information de las claves privadas. El resultado es una clave secreta compartida KAB, que no esta disponible externamente. La clave establecida puede utilizarse entonces para una operation relacionada con la seguridad D 'tal como la conversion de la informacion codificada CIP en la salida de texto claro CLE, tal como se implementa en la unidad 14-2.

Mas en general, si A es una clave privada con la correspondiente clave publica PA en un esquema criptografico asimetrico, con A protegida dentro de un circuito electronico a prueba de manipulation, la invention cubre tambien el caso de que una clave criptografica simetrica K encriptada por la clave publica PA, Se descifra y se utiliza dentro del circuito, y no se expone fuera del circuito, en analogla con los ejemplos anteriores.

Dependiendo del uso, la clave privada puede utilizarse como clave de dispositivo. Opcionalmente, la clave publica correspondiente puede ser certificada por el fabricante del dispositivo, como se ejemplificara mas adelante.

En una realization alternativa, el usuario genera una clave privada, no necesariamente derivada directamente del secreto del chip. Por ejemplo, el motor criptografico 13 se puede implementar con un generador de numeros pseudoaleatorios, que utilizando el secreto de fichas como simiente podrla ser iterado un numero de veces, posiblemente con alguna entrada adicional para generar una clave privada. Como en ejemplos anteriores, la clave privada puede estar oculta dentro del circuito electronico y la correspondiente clave publica disponible fuera.

Opcionalmente, un usuario adicional puede insertar un nonce adicional durante la generacion de la clave. Alternativamente, o como complemento, un PIN (numero de identification personal) o una contrasena asignada a un numero puede ser el nonce o parte del nonce para habilitar la autenticacion del usuario en el sentido de que el PIN o la contrasena es necesaria para producir la clave privada dentro el circuito.

Otra option que puede utilizarse conjuntamente con los metodos anteriores es encriptar la clave privada, generada como en uno de los casos anteriores, con el algoritmo de encriptado E y el secreto de chip C 'y emitir la clave privada encriptada X, como se ilustra en la Figura 12. En similitud con las realizaciones de las Figuras 9-11, el circuito electronico 10 resistente a las manipulaciones ilustrado en la Figura 12 incluye una unidad de almacenamiento 12-1, un motor criptografico 13 para generar un par de claves asimetricas y una operacion relacionada con la seguridad 14. Ademas, sin embargo, el circuito 10 de la Figura 12 incluye tambien una unidad de encriptado 15 que implementa el algoritmo E, una unidad de almacenamiento adicional 12-2 para un secreto C adicional y una unidad de desencriptado 13-2 para desencriptar una clave privada encriptada. Esto es en realidad un hlbrido de la realizacion de la Figura 9 o Figura 10 y la realizacion de la Figura 6, pero donde la llamada clave especlfica del dispositivo configuracional, aqul la clave privada A, se genera internamente en respuesta a datos de entrada opcionales y posteriormente se cifra en una representation de resultado X. Cuando la clave privada necesita ser utilizada dentro del circuito electronico Durante el uso del dispositivo global, X se inserta en la unidad de desencriptado 13-2 a traves de una interfaz especial y luego se descifra por D basado en C'. La clave privada A generada internamente puede utilizarse posteriormente en el algoritmo D'. Opcionalmente, X puede estar protegido por contrasena o requerir autenticacion de otro usuario.

Aunque las realizaciones ilustradas en las Figuras 10-12 se basan en logaritmos discretos, debe entenderse que otros esquemas para generar un par de clave asimetrica son tambien factibles.

Autorizacion del uso de las capacidades del circuito

Como se menciono anteriormente brevemente, podrla ser en el interes del fabricante del circuito hacer cumplir que el fabricante del dispositivo u otra parte configuradora solo pueda utilizar el circuito electronico a prueba de manipulacion cuando as! lo autorice el fabricante del circuito. Tambien o alternativamente, dependiendo del modelo de confianza, el fabricante del dispositivo puede desear autorizar que (otras) partes (si hay) que deberlan tener acceso a las capacidades del circuito electronico. Esto puede lograrse "acondicionando" ciertas operaciones dentro del circuito electronico, basandose en un proceso de autenticacion. Tales operaciones podrlan ser, por ejemplo, acceso al valor C para ciertos algoritmos, e incluso salida de ciertos valores, posiblemente incluyendo tambien C, del circuito. El proceso de autenticacion podrla ser una simple contrasena de mantenimiento/usuario, pero preferiblemente implica un mecanismo de autenticacion segura como el protocolo Fiat-Shamir [9] u otro protocolo de conocimiento cero.

La Figura 13 es un diagrama de bloques esquematico de una realizacion de un circuito electronico implementado con un protocolo de autenticacion y un gestor/controlador de codigo de acceso de dispositivo (DAC) asociado. Por simplicidad, solo las partes del circuito que son relevantes para la autenticacion y el codigo de acceso al dispositivo se ilustran en la Figura 13. Ahora damos un ejemplo de un procedimiento de autenticacion para proporcionar un

15

5

10

15

20

25

30

35

40

45

50

55

60

65

codigo de acceso de dispositivo. Preferiblemente, se implementa un protocolo de autenticacion 18 tal como el protocolo Fiat-Shamir en el circuito electronico 10. Esto permite que el circuito electronico 10 autentique al fabricante del dispositivo u otra parte configuradora basado en una clave publica PK implementada en el circuito 10. El dispositivo Fabricante u otra parte de configuracion utiliza una estacion de programacion 110 para transferir information firmada por una clave privada SK al circuito electronico 10 para verification en la unidad de protocolo de autenticacion 18 basada en la clave publica PK correspondiente. Esto implica aparentemente que la clave publica PK tiene que ser introducida en el circuito electronico 10 ya durante la fabrication del circuito. El fabricante del dispositivo u otra parte configuradora normalmente genera pares de claves asimetricas (SK, PK) y proporciona al fabricante del circuito una clave publica PK o una lista de dichas claves publicas. La clave publica es, por supuesto, la informacion publica y no requiere gestion de seguridad adicional. Ademas, el circuito electronico 10 esta tambien provisto de un gestor/controlador de DAC 16. Un desaflo R se introduce en el gestor de DAC 16 desde la estacion de programacion 110. Por ejemplo, R puede ser un numero aleatorio, contener informacion de la identidad del dispositivo o Ser un valor hash de dicha informacion. Si la autenticacion precedente tuvo exito, como se indica mediante una senal de la unidad de protocolo de autenticacion 18, el gestor DAC 16 genera una respuesta S, por ejemplo, empleando una funcion MAC. La respuesta S es entonces transferida por el circuito electronico 10 a la estacion de programacion 110. El par (R, S) constituye un codigo de acceso de dispositivo, DAC, que posteriormente puede ser utilizado por la parte autorizada para acceder a ciertas capacidades de circuito. Por ejemplo, el DAC puede ser utilizado por el fabricante del dispositivo u otra parte configuradora para hacer que los datos de seguridad especlficos de dispositivo esten disponibles en una interfaz de circuito externo durante la configuracion del dispositivo, como se ha ejemplificado anteriormente en la Figura 8.

Dado el modelo de confianza adecuado, el fabricante del dispositivo, por ejemplo, puede otorgar/autorizar el DAC a un tercero de confianza. El DAC tambien puede usarse para "re-programar" el dispositivo, por ejemplo reemplazando datos de seguridad comprometidos por nuevos.

Como se ilustra en la Figura 14, el circuito electronico tambien se puede configurar para inhabilitar el acceso interno al secreto almacenado y/o a los datos de seguridad especlficos de dispositivo, a menos que se introduzca un codigo de acceso de dispositivo predeterminado DAC en el circuito electronico. Por ejemplo, esto puede conseguirse disponiendo un conmutador en la ruta de senal desde la unidad de almacenamiento 12 al motor criptografico 13 y/o en la ruta de senal desde el motor criptografico 13 a la operation relacionada con la seguridad 14. Los conmutadores son tlpicamente controlados Por un gestor/controlador de DAC 16, que funciona en respuesta a un codigo de acceso de dispositivo (R, S). Por ejemplo, el gestor DAC 16 podrla correlacionar el valor R recibido con una respuesta esperada S 'calculando el MAC con clave:

S'=MAC(R, C),

y luego comparar la respuesta recibida S con la respuesta esperada calculada S 'para verificar el codigo de acceso del dispositivo (R, S). De forma predeterminada, el conmutador o los interruptores estan abiertos para deshabilitar el acceso a las capacidades del circuito. Una vez que se ha introducido y verificado el codigo de acceso de dispositivo correcto, el controlador/controlador DAC 16 cierra el conmutador o los interruptores para permitir el acceso a las capacidades del circuito.

De esta manera, se puede garantizar que solo un tercero autorizado, como el fabricante del dispositivo y/o cualquier otra parte que confla en el codigo de acceso del dispositivo, pueda utilizar el secreto almacenado para generar datos de seguridad especlficos de dispositivo y/o utilizarlos Los propios datos de seguridad.

Los mecanismos anteriores para proporcionar acceso condicional a las capacidades del circuito tras la autenticacion son caracterlsticas generales de la invention y pueden aplicarse a cualquiera de los ejemplos dados en la presente solicitud.

Jerarquia de las claves de enlace

El protocolo GTD descrito anteriormente tambien puede aplicarse iterativamente, dando como resultado una cadena de claves de enlace compartidas. El protocolo GTD basico comienza con dos partes que comparten una clave secreta y termina con una de las partes iniciales que comparten otra clave secreta con un tercero. El procedimiento podrla ser repetido iterativamente, involucrando a una cuarta parte que tendra, despues de la segunda aplicacion del protocolo, una clave secreta compartida con una de las partes anteriores, y as! sucesivamente para iteraciones de orden superior.

Se ha reconocido que tambien el protocolo iterado de GTD podrla ser implementado enteramente dentro de un circuito electronico que no tolera interferencias, como se ilustra en la Figura 15. El motor criptografico 13 ahora incluye multiples instancias de una funcion unidireccional criptografica, f, para producir una cadena de k bind claves B1, ..., Bk en respuesta a las correspondientes identidades de enlace R1, ..., Rk de acuerdo con la siguiente formula:

Bi= F(bi-i, Ri) para i=1......k,

5

10

15

20

25

30

35

40

45

50

55

60

65

donde B0 = C.

La primera clave B1 de enlace se deduce tlpicamente por el fabricante del dispositivo u otra parte configuradora durante la configuration del dispositivo, por ejemplo en una fase de configuration durante la fabrication, introduciendo el codigo correcto de acceso al dispositivo DAC en el controlador DAC 16. Una vez que el DAC correcto es Verificada por el controlador 16, el conmutador 17 se cierra para permitir la salida de la primera clave B1 de enlace fuera del circuito electronico 10. Si no se introduce el DAC correcto, la clave de enlace no esta disponible fuera del circuito.

Al suministrar una secuencia de identidades de enlace, el dispositivo puede posteriormente calcular las claves de enlace correspondientes y finalmente realizar una operation de seguridad, tal como el desencriptado de datos encriptados CIP en la salida de texto claro CLE por medio de un algoritmo de desencriptado D '. Las claves de enlace estan internamente confinadas dentro del circuito 10 y no pueden ser transferidas a traves de una interfaz de CI externa por un tercero que no conoce el codigo de acceso del dispositivo. Con esta implementation, un atacante, con acceso flsico al dispositivo, podra a lo sumo desencriptar un mensaje encriptado dado, pero no acceder a las claves de enlace reales.

De este modo, hemos establecido, sin ninguna gestion de seguridad entre el fabricante del circuito y el fabricante del dispositivo, todo un conjunto de claves especlficas del dispositivo (Bi, i = 1, ..., k) que estan disponibles solo dentro del circuito electronico.

En la realization de la Figura 15, las identidades de enlace R1, ..., Rk se insertan "en paralelo". Alternativamente, las claves de enlace pueden generarse mediante una implementacion "iterativa", como se ilustra esquematicamente en la Figura 16. En el ejemplo de la Figura 16, las identidades de enlace R1, ..., Rk, junto con un numero k que indica el numero de iteraciones requeridas, se insertan "en serie", por ejemplo, concatenado en una interfaz de entrada de CI. Un algoritmo incorporado dentro del circuito electronico 10 entonces itera la funcion f tantas veces como se indica por el numero k insertado, procesando sucesivamente las entradas relevantes (Bi = f (Bi-1, Ri) para i = 1, ..., K y donde B0 = C) a la salida Bk a la operacion D 'o cualquier otra operacion o algoritmo adecuado relacionado con la seguridad. Con esta modification, cualquier clave de enlace intermedio puede generarse para uso protegido con D'. Como antes, se puede introducir un DAC para proporcionar acceso externo a la clave de enlace inicial.

Gestion de datos de seguridad para incluir a terceros de confianza

A continuation, nos centraremos un poco mas en como manejar la administration de seguridad si un tercero de confianza desea comunicarse de forma segura con el dispositivo con o sin que un usuario este involucrado/de confianza.

El usuario involucrado/de confianza es un escenario comun y no necesita mas explicaciones. Sin embargo, en el ajuste de DRM, el usuario no es de confianza, tal como describimos anteriormente. En otros ajustes, puede no haber un usuario durante el funcionamiento normal, por ejemplo, si el dispositivo se ejecuta independiente. En todos los casos que involucren a un tercero, el tercero debe tener acceso a alguna information para poder asegurar una comunicacion segura con el dispositivo deseado. Esta informacion puede ser, por ejemplo, ser una clave simetrica para un dispositivo garantizado por una entidad de confianza y autorizada o por un dispositivo firmado por el fabricante, certificado de clave publica utilizado para autenticar una entidad de comunicacion. Describimos dos ejemplos mas detalladamente a continuacion.

Delegacion de clave simetrica a terceros

Consideremos el ejemplo de la Figura 8. Como ejemplo particular, (R, B) podrla ser un par de "union de enlace", denominado simplemente "par de enlace", como en el protocolo GTD basico. De este modo, se generan uno o varios pares de enlace durante la configuracion, por ejemplo, en la fabricacion del dispositivo, y almacenados por la parte configuradora, como el fabricante del dispositivo. Por una disposition fuera de banda, un tercero de confianza es de manera segura delegado uno o varios pares de enlace de este dispositivo en particular y puede comunicarse de forma segura con el dispositivo, haciendo referencia/suministrando las identidades de enlace.

El protocolo GTD iterado podrla lograrse de manera analoga para permitir que un grupo de confianza delegue mas confianza en las partes que pueden comunicarse de forma segura con el dispositivo.

Alternativamente, se puede usar una clave simetrica K elegida como se describe en conexion con la Figura 6, y el par (X, K) puede usarse de la misma manera que (R, B) anterior para permitir que terceros de confianza configuren un canal seguro a un dispositivo.

Infraestructura de Clave Publica

Consideremos una vez mas la estructura ejemplificada en la Figura 6. Ahora, supongamos que K es una clave criptografica asimetrica, por ejemplo, una clave privada. Las siguientes operaciones podrlan llevarse a cabo en una ubicacion segura particular, por ejemplo, en el fabricante del dispositivo durante la fabricacion:

5

10

15

20

25

30

35

Se puede generar una clave de desencriptado de dispositivo privado K junto con un certificado de clave de encriptado publico firmado por la clave de firma privada del dispositivo. Esta ultima clave tambien tiene un certificado de clave publica correspondiente firmado por una parte de confianza, tal como una Autoridad de Certificacion (CA) de una Infraestructura de Clave Publica (PKI), y disponible para una parte relevante a la que acceder, vease [8]. La clave K se introduce en el circuito electronico para producir la correspondiente X, que puede almacenarse en el dispositivo. Posteriormente, la clave privada K puede ser completamente borrada en el dominio del fabricante del dispositivo para evitar cualquier uso no autorizado. El certificado de claves de encriptado publico se puede colocar en un repositorio de certificados disponible publicamente. Cualquier persona con acceso a la clave publica puede realizar posteriormente el encriptado de datos pertenecientes a este dispositivo. La clave privada de desencriptado solo existe durante un breve instante en el circuito electronico.

La situacion es completamente analoga para las firmas digitales, reemplazando "desencriptado" por "firma" y "encriptado" por "verificacion" en el parrafo anterior, como es conocido por cualquier persona familiarizada con el tema.

Un procedimiento similar se aplica a las realizaciones descritas con relacion a las Figuras 9-12. All!, ya esta disponible una clave privada o generada dentro del circuito electronico y la clave publica correspondiente se revela fuera del circuito. Por lo tanto, el fabricante del dispositivo o el usuario puede certificar/solicitar la certificacion de esta clave publica y, a continuation, un tercero puede utilizar el certificado para habilitar las operaciones de seguridad deseadas.

Las realizaciones descritas anteriormente son dadas meramente como ejemplos, y debe entenderse que la presente invention esta limitada unicamente por las reivindicaciones adjuntas.

REFERENCIAS BIBLIOGRAFICAS

[1] European Patent Application 0 753 816 A1, publicada el 15 de enero de 1997.

[2] U.S. Patent N° 6,141,756 emitida el 31 de octubre de 2000.

[3] Digital Signature Cards Range - Secure smart cards for doing electronic business, GEMPLUS, impreso el 27 de octubre de 2003 de
http://www.gemplus.com/products/dig_sign_cards_range.

[4] How PKI can reduce the risks associated with e-business transactions, by Cannady and Stockton, IBM, 1° de febrero de 2001.

[5] The mechanisms of data security, impreso el 2 de septiembre de 2003 de
http://www.cardsnowindia. com/news/security1.htm.

[6] Security in an open world, Skillteam, impreso el 2 de septiembre de 2003 de
http://www.common.lu.

[7] HMAC, Keyed-Hashing for Message Authentication, RFC 2104 by IETF.

[8] Handbook of Applied Cryptography, Menezes, van Oorschot, and Vanstone, Capltulos 1, 9 y 12, CRC Press.

[9] U.S. Patent N° 4,748,668 emitida el 31 de mayo de 1988.

Claims (25)

1. 5

   10

   15

   20

   25

   30

   35

   40

   45

   50

   55

   60

   65

   REIVINDICACIONES

   1. Circuito electronico a prueba de manipulacion indebida para su implementacion en un dispositivo, incluyendo el circuito un secreto almacenado no accesible a traves de una interfaz de circuito externo y medios para recibir sobre una interfaz de circuito datos de activacion, en respuesta a los cuales el circuito realiza un procesamiento criptografico, caracterizado por que dicho circuito electronico a prueba de manipulacion indebida comprende:

   - medios (15) para recibir datos de seguridad especlficos de dispositivo de configuracion para generar, basandose en dicho secreto almacenado (12), dichos datos de activacion como una representacion criptografica de dichos datos de seguridad especlficos de dispositivo de configuracion durante la configuracion de dicho dispositivo;

   - medios para emitir dicha representacion criptografica sobre una interfaz de circuito externo durante la configuracion;

   - medios (13) para volver a generar internamente dichos datos de seguridad especlficos de dispositivo durante el uso del dispositivo realizando procesamiento criptografico al menos parcialmente en respuesta a dicho secreto almacenado (12) siempre que los datos de activacion aplicados sobre dicha interfaz correspondan a dicha representacion criptografica, estando dichos datos de seguridad especlficos de dispositivo re-generados internamente confinados dentro de dicho circuito electronico durante el uso de dicho dispositivo; y

   - medios (14) para realizar una operacion relacionada con la seguridad en respuesta a dichos datos de seguridad especlficos de dispositivo internamente confinados.
2. 2. El circuito electronico de acuerdo con la reivindicacion 1, en el que dicho dispositivo es un dispositivo de red y dicha operacion esta relacionada con al menos uno de: confidencialidad de datos, integridad de datos, autenticacion, autorizacion y no repudio en la comunicacion en red.
3. 3. El circuito electronico de acuerdo con la reivindicacion 1, en el que dicho dispositivo esta configurado para producir contenido digital y dicha operacion relacionada con la seguridad esta configurada para marcar dicho contenido digital basado en dichos datos de seguridad especlficos de dispositivo.
4. 4. El circuito electronico de acuerdo con la reivindicacion 3, en el que dicha operacion esta configurada para generar una huella digital especlfica del dispositivo integrada en dicho contenido digital.
5. 5. El circuito electronico de acuerdo con la reivindicacion 1, en el que dicha etapa de re-generacion solo se realiza si dichos datos de activacion se aplican continuamente sobre dicha interfaz.
6. 6. El circuito electronico de acuerdo con la reivindicacion 1, en el que dichos medios para generar internamente dichos datos de seguridad especlficos de dispositivo comprenden medios para generar una clave privada al menos en parte basada en dicho secreto almacenado, y dichos datos de activacion son generados como una representacion criptografica de dicha clave privada durante la configuracion de dicho dispositivo.
7. 7. El circuito electronico de acuerdo con la reivindicacion 1, que comprende ademas medios (16) para hacer, durante la configuracion de dicho dispositivo, dichos datos de seguridad especlficos de dispositivo disponibles sobre una interfaz de circuito externo, siempre que se introduzca un codigo de acceso de dispositivo predeterminado en el circuito electronico.
8. 8. El circuito electronico de acuerdo con la reivindicacion 1, que comprende ademas medios para inhabilitar el acceso interno a por lo menos uno de dichos secretos almacenados y a dichos datos de seguridad especlficos de dispositivo, a menos que se introduzca un codigo de acceso de dispositivo predeterminado en el circuito electronico.
9. 9. El circuito electronico de acuerdo con la reivindicacion 7 u 8, que comprende ademas:

   - medios (18) para la autenticacion de un fabricante de dicho dispositivo;

   - medios (16) para proporcionar, durante la fabricacion del dispositivo, dicho codigo de acceso del dispositivo a dicho fabricante del dispositivo en respuesta a una autenticacion satisfactoria.
10. 10. El circuito electronico de acuerdo con la reivindicacion 1, en el que dichos medios para realizar una operacion relacionada con la seguridad, basada en dichos datos de seguridad especlficos de dispositivo, comprenden:

    - medios (13) para realizar un procesamiento criptografico adicional basado en dichos datos de seguridad especlficos de dispositivo y otros datos de entrada externos para generar datos de seguridad adicionales; y

    - medios (14) para realizar dicha operacion relacionada con la seguridad en respuesta a dichos datos de seguridad adicionales.
11. 11. El circuito electronico de acuerdo con la reivindicacion 10, en el que dichos datos de seguridad especlficos de

    19

    5

    10

    15

    20

    25

    30

    35

    40

    45

    50

    55

    60

    65

    dispositivo representan una clave privada y dichos datos de entrada externos adicionales representan un encriptado de dichos datos de seguridad especlficos de dispositivo adicionales mediante la clave publica correspondiente.
12. 12. Circuito electronico segun la reivindicacion 11, en el que dichos datos de seguridad adicionales representan una clave de desencriptado de contenido simetrico emitida por un proveedor de contenido, y dichos datos de seguridad especlficos de dispositivo representan una clave privada de un fabricante de dispositivos.
13. 13. Circuito electronico segun la reivindicacion 1, en el que dichos medios para volver a generar datos de seguridad especlficos de dispositivo estan configurados para generar una clave criptografica simetrica en respuesta a una simiente aplicada sobre una interfaz de circuito externo.
14. 14. El circuito electronico de acuerdo con la reivindicacion 1, en el que dichos medios para volver a generar datos de seguridad especlficos de dispositivo estan configurados para generar una clave privada al menos parcialmente basada en dicho secreto almacenado, y dichos medios para realizar una operacion relacionada con la seguridad comprenden medios para realizar operaciones de criptografla asimetrica basadas en dicha clave privada internamente confinada.
15. 15. El circuito electronico de acuerdo con la reivindicacion 14, que comprende ademas medios para generar una clave publica correspondiente a dicha clave privada durante la configuracion de dicho dispositivo, y medios para emitir dicha clave publica sobre una interfaz de circuito externo.
16. 16. El circuito electronico de acuerdo con la reivindicacion 14, que comprende ademas:

    - medios (14-3) para realizar la generacion de claves compartidas para generar una nueva clave compartida basada en dicha clave privada generada y una clave publica de un interlocutor de comunicacion previsto; y

    - medios (14-2) para realizar el procesamiento criptografico basado en dicha nueva clave compartida.
17. 17. El circuito electronico de acuerdo con la reivindicacion 1, en el que dichos medios para volver a generar son operables para generar dichos datos de seguridad especlficos de dispositivo como una cadena de k claves de enlace B1, ..., Bk en respuesta a las correspondientes identidades de enlace R1, ..., Rk de acuerdo con la siguiente formula:

    Bi= f(Bi-i, Ri) para i=1......k,

    Donde B0 representa el secreto almacenado, y f es una funcion criptografica unidireccional.
18. 18. Un dispositivo (100) implementado con un circuito electronico (10) a prueba de manipulacion que tiene medios (12) para almacenar de manera no manipulable un secreto no accesible a traves de una interfaz de circuito externo, y medios para recibir sobre una interfaz de circuito datos de activacion en respuesta al cual el circuito realiza el procesamiento criptografico, caracterizado por que el dispositivo (100) comprende:

    - medios (15) para recibir datos de seguridad especlficos de dispositivo de configuracion para generar, basandose en dicho secreto almacenado (12), dichos datos de activacion como una representacion criptografica de dichos datos de seguridad especlficos de dispositivo de configuracion durante la configuracion de dicho dispositivo;

    - medios para emitir dicha representacion criptografica sobre una interfaz de circuito externo durante la configuracion;

    - medios (13) para volver a generar internamente dichos datos de seguridad especlficos de dispositivo durante el uso del dispositivo realizando un procesamiento criptografico al menos parcialmente en respuesta a dicho secreto almacenado (12) siempre que dichos datos de activacion aplicados sobre dicha interfaz correspondan a dicho enlace criptografico, Estando dichos datos de seguridad especlficos de dispositivo re- generados internamente confinados dentro de dicho circuito electronico durante el uso de dicho dispositivo; y

    - medios (14) para realizar una operacion relacionada con la seguridad en respuesta a dichos datos de seguridad especlficos de dispositivo internamente confinados.
19. 19. El dispositivo de acuerdo con la reivindicacion 18, en el que dicho dispositivo es un dispositivo de red y dicha operacion esta relacionada con al menos uno de: confidencialidad de datos, integridad de datos, autenticacion, autorizacion y no repudio en comunicacion en red.
20. 20. El dispositivo de acuerdo con la reivindicacion 18, en el que dicho dispositivo esta configurado para producir contenido digital y dicha operacion relacionada con la seguridad esta configurada para marcar dicho contenido digital basado en dichos datos de seguridad especlficos de dispositivo.
21. 21. Un metodo para gestionar datos de seguridad para un dispositivo (100) en el que esta instalado un circuito electronico (10) a prueba de manipulacion que tiene medios (12) para almacenar un secreto no accesible a traves de

    5

    10

    15

    20

    25

    30

    35

    40

    45

    50

    una interfaz de circuito externo, medios para recibir mas de un datos de activacion de interfaz de circuito y medios (13) para realizar operaciones criptograficas, caracterizado por que comprende las etapas de:

    - almacenar, en un entorno controlado durante la fabricacion del circuito electronico a prueba de manipulacion, un numero aleatorio y secreto en dicho circuito electronico de tal manera que el numero secreto no este disponible fuera de dicho circuito electronico;

    - realizar, durante la fabricacion de circuitos, un procesamiento criptografico basado al menos parcialmente en dicho numero secreto almacenado para generar datos de activacion como una representation criptografica de datos de seguridad especlficos de dispositivo recibidos;

    - emitir dicha representacion criptografica sobre una interfaz de circuito externo durante la fabricacion del circuito (10) a prueba de manipulacion indebida;

    - regenerar internamente en el circuito electronico (10) a prueba de manipulaciones dichos datos especlficos del dispositivo durante el uso del dispositivo realizando un procesamiento criptografico al menos en respuesta a dicho secreto (12), siempre que los datos de activacion aplicados sobre dicha interfaz correspondan a dicha representacion criptografica, estando dichos datos de seguridad especlficos de dispositivo re-generados internamente confinados dentro de dicho circuito electronico a prueba de manipulacion indebida (10); e

    - implementar, durante la fabricacion del circuito del circuito electronico a prueba de manipulacion indebida (10), una operation relacionada con la seguridad en dicho circuito electronico, estando configurada dicha operation relacionada con la seguridad para recibir al menos dichos datos de seguridad especlficos de dispositivo internamente confinados como entrada durante el uso del dispositivo.
22. 22. El metodo de acuerdo con la reivindicacion 21, en el que dicho dispositivo (100) es un dispositivo de red y dicha operacion esta relacionada con al menos uno de: confidencialidad de datos, integridad de datos, autenticacion, autorizacion y no repudio en comunicacion en red.
23. 23. Procedimiento segun la reivindicacion 21, en el que dicho dispositivo (100) esta configurado para producir contenido digital y dicha operacion relacionada con la seguridad (14) esta configurada para marcar dicho contenido digital basado en dichos datos de seguridad especlficos de dispositivo.
24. 24. El metodo de acuerdo con la reivindicacion 21, que comprende ademas las etapas de:

    - ingresar, en un entorno controlado durante la configuration del dispositivo, dichos datos de activacion como datos de entrada en dicho circuito electronico con el fin de obtener datos de seguridad especlficos de dispositivo de la funcionalidad criptografica del circuito electronico;

    - ingresar, en un entorno controlado durante la configuracion del dispositivo, un codigo de acceso de dispositivo predeterminado al circuito electronico (10) para acceder a los datos de seguridad especlficos de dispositivo a traves de una interfaz de circuito externo (17); y

    - registrar, en un entorno controlado durante la configuracion del dispositivo, dichos datos de seguridad especlficos de dispositivo y dichos datos de entrada.
25. 25. El metodo segun la reivindicacion 21, que comprende ademas las etapas de:

    - generar, en un entorno controlado durante la configuracion del dispositivo, datos de seguridad especlficos de dispositivo;

    - ingresar, en un entorno controlado durante la configuracion del dispositivo, dichos datos de seguridad especlficos de dispositivo generados en dicho circuito electronico con el fin de obtener dichos datos de activacion como una representacion de resultado de la funcionalidad criptografica del circuito electronico; y

    - registrar, en un entorno controlado durante la configuracion del dispositivo, dicha representacion de resultados y los datos de seguridad especlficos de dispositivo previamente generados.