SE1050902A1 - Elektronisk krypteringsapparat och metod - Google Patents

Elektronisk krypteringsapparat och metod Download PDF

Info

Publication number
SE1050902A1
SE1050902A1 SE1050902A SE1050902A SE1050902A1 SE 1050902 A1 SE1050902 A1 SE 1050902A1 SE 1050902 A SE1050902 A SE 1050902A SE 1050902 A SE1050902 A SE 1050902A SE 1050902 A1 SE1050902 A1 SE 1050902A1
Authority
SE
Sweden
Prior art keywords
eller
ett
andra
datafiler
nämnda
Prior art date
Application number
SE1050902A
Other languages
English (en)
Inventor
Rolf Andersson
Roger Eriksson
Fredrik Olsson
Original Assignee
Business Security Ol Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Business Security Ol Ab filed Critical Business Security Ol Ab
Priority to SE1050902A priority Critical patent/SE1050902A1/sv
Priority to PCT/SE2011/051062 priority patent/WO2012030296A2/en
Publication of SE1050902A1 publication Critical patent/SE1050902A1/sv

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

En elektronisk krypteringsapparat for kryptering av datafiler, innefattande en kryptomodul (113) konfigurerad att läsa en eller flera okrypterade datafiler lagrade i ett första filsystem på ett första externt minne (107); kryptera nämnda en eller flera datafiler till en eller fler krypterade datafiler; och skriva nämnda en eller flera krypterade datafiler till ett andra filsystem på ett andra externt minne (108).Att publiceras med FIG 2.

Description

10 15 20 25 30 120102 I:\Pacrawin\WORK\GT\P18680112_Översâttning till svenskadocx förses med eller kopplas från en krypterings/dekrypterings-funktion. En kontrollenhet med USB-gränssnitt och datakiypterings- och dekrypteringskapacitet utför krypterings/dekrypteringsfunktionen för att generera en identitetskod för flashminnet.
Om ett krypterat flashminne sätts in i USB-porten på en värddator, som inte känner igen identitetskoden, kan datorn inte komma åt data på det krypterade flashminnet och därför kan data på flashminnet skyddas. Om emellertid det krypterade flashminnet sätts in i genomgångsdanglen med kryptering, kan kontrollenheten känna igen identitetskoden och utföra dekrypteringsfunktionen på data, och datorn kan därför komma åt data från det krypterade flashminnet. Även denna metod saknar transparens för värddatorn.
En arman nackdel med tidigare känd teknik är icke-existerande eller osäker nyckelhantering.
Det finns därför ett behov av förbättrad elektronisk krypteringsutrustning.
Sammanfattning Det ska betonas att termen ”innefattar” när den används i denna specifikation avser att ange förekomsten av nämnda särdrag, enheter, steg eller komponenter, men utesluter inte förekomsten eller tillägg av en eller fler andra funktioner, enheter, steg eller komponenter, eller grupper av dessa.
Det är ett ändamål med uppfinningen att övervinna åtminstone några av ovanstående nackdelar och tillhandahålla en förbättrad elektronisk krypteringsapparat.
Enligt en första aspekt av uppfinningen, uppnås detta genom en elektronisk krypteringsapparat för kryptering av datafiler. Den elektroniska krypteringsapparaten kännetecknas av en kryptomodul konfigurerad att läsa en eller fler okrypterade datafiler lagrade i ett först filsystem på ett första externt minne; kryptera nämnda en eller flera okrypterade datafiler till en eller flera krypterade datafiler; och skriva nämnda en eller flera krypterade datafiler till ett andra filsystem på ett andra externt minne.
I några utföringsforrner kan apparaten vidare innefatta en första anslutning operativt ansluten till kryptomodulen via en första filsystemenhet för överföring av nämnda en eller flera okrypterade datafiler från det första extema minnet till kryptomodulen; och en andra anslutning operativt ansluten till kryptomodulen via en andra filsystemenhet för överföring av nämnda en eller flera krypterade datafiler krypterade av kryptomodulen till det andra filsystemet på det andra extema minnet.
I några utföringsfonner är kryptomodulen konfigurerad att läsa nämnda en eller fler okrypterade datafiler från ett första extemt USB-minne. 10 15 20 25 30 120102 I:\Pat:rawizi\WORK\GT\P1B680ll2_översàccriirig till svenskadocx I några utföringsfonner är kryptomodulen konfigurerad att skriva nänmda en eller fler krypterade datafiler till ett andra filsystem på ett andra extemt USB-minne.
I några utförandeformer är kryptomodulen konfigurerad att läsa nämnda en eller fler okrypterade datafiler från det andra filsystemet på det andra minnet på en extern dator.
Kryptomodulen kan i några utföringsformer vara konfigurerad att läsa nämnda en eller flera okrypterade datafiler från det andra filsystemet på en hårddisk, en CD- ROM-station, ett RAM-minne (random access memory), ett ROM-minne (read only memory), ett flashminne, optisk lagringsenhet eller magnetisk lagiingsenhet.
Den elektroniska krypterinsapparaten enligt krav 1 eller 2, varvid kryptomodulen (113) är konfigurerad att skriva nämnda en eller flera krypterade datafiler till det andra filsystemet på en hårddisk, en CD-ROM-station, ett RAM-minne (random access memory), ett ROM-minne (read only memory), ett flashminne, optisk lagiingsenhet eller magnetisk lagringsenhet.
Den elektroniska krypteringsapparaten kan i några utföringsformer vidare innefatta ett nyckelgränssnitt operativt anslutet till kryptomodulen för att ladda krypteringsnycklar fór kryptering av nämnda en eller flera okrypterade filer.
Enligt en andra aspekt av uppfinningen uppnås detta med en metod fór kryptering av data. Metoden kännetecknas av stegen att: läsa en eller fler okrypterade datafiler lagrade i ett första filsystem på ett första externt minne; kryptera nämnda en eller flera okrypterade datafiler till en eller fler krypterade filer; och skriva nämnda en eller flera krypterade datafiler till ett andra filsystem på ett andra extemt minne.
I några utföringsformer kan den andra aspekten dessutom ha särdrag identiska med eller motsvarande vilken som helst av de olika särdragen som beskrivits ovan för den första aspekten av uppfinningen.
En fördel med några av uppfinningens utföringsforrrier är att krypterings- apparaten förstår filsystemen hos minnen, som lagra okrypterade såväl som krypterade datafiler, varvid krypteiingsapparaten är väsentligen transparent. Därmed möjliggör den elektroniska krypteringsapparaten obegränsat skapande/raderande av filer och kataloger och läsande/skrivande av filer på olika minnen, såväl som formatering av godtyckliga minnen anslutna till den elektroniska krypteringsapparaten. 10 15 20 25 30 35 120102 I;\Patrawin\WORl<\GT\P18680112_Översàttning till svenskadocx En annan fördel med en några utföringsformer av uppfinningen är att en värddator och filkrypteringsapparaten kan samverka genom filsystemskommandon, dvs öppna, läsa, skriva och stänga.
Kort beskrivning av ritningarna Fler ändamål, särdrag och fördelar med uppfinningen framgår av följande detaljerade beskrivning av utföringsformer av uppfinningen med hänvisning till debifogade ritningarna, på vilka: FIG 1A illustrerar en elektronisk filkrypteringsapparat för kryptering och dekryptering av datafiler enligt några utföringsformer av uppfinningen; FIG IB illustrerar ett generellt blockdiagram av en elektronisk krypterings- apparat in en driftmiljö enligt några utföringsformer av uppfinningen; FIG 2 illustrerar ett blockdiagram av den elektronisk filkrypteringsapparaten i FIG l enligt några utföringsformer av uppfinningen; FIG 3A illustrerar en schematisk ritning framifrån av en utiöringsfonn av den elektroniska krypteringsapparaten; FIG 3B illustrerar en schematisk ritning över baksidan av en utföringsform av den elektroniska krypteringsapparaten; FIG 4 är ett flödesschema som illustrerar steg i en metod för kryptering/ dekryptering av datafiler med den elektroniska krypteringsapparaten; FIG 5 illustrerar ett blockdiagram av en elektronisk filkopieringskrypterings- apparat enligt några utföringsformer av uppfinningen; FIG 6A illustrerar en elektronisk filkrypteringsapparat för kryptering och dekryptering av datafiler enligt några utföringsformer av uppfinningen; FIG 6B illustrarar ett generellt blockdiagram av en elektronisk filkrypterings- apparat i en drifimiljö enligt några utföringsformer av uppfinningen; FIG 7 illustrarar ett blockdiagram av en elektronisk filserverkrypteringsapparat enligt några utföringsformer av uppfinningen; FIG 8A visar en hårdvaruarkitektur av filserverkrypteringsapparaten enligt några utförandeformer av uppfinningen; FIG 8B visar ett FPGA-blockdiagram av filserverkrypteringsapparaten enligt några utföringsforrner av uppfinningen; FIG 9 visar ett blockdiagram av den elektroniska filkrypteringsapparaten enligt några utföringsformer av uppfinningen; och 10 15 20 25 30 120102 I:\Patrawin\WORK\GT\P18680112__Översàttníng till svenskadocx FIG 10 visar ett blockdiagrarn av en elektronisk filserverkrypteringsapparat enligt några utföringsformer av uppfinningen.
Detaljerad beskrivning Utföringsforrner av uppfinningen kommer att beskrivas med hänvisning till figurerna 1-10, vilka alla schematiskt illustrerar ett exernpelarrangemang enligt några utföringsfonner av uppfinningen. Samma hänvisningsbeteckningar används for motsvarande särdrag i olika figurer.
FIG 1A illustrera en elektronisk filkrypteringsapparat 100 för kryptering och dekryptering av datafiler enligt en utföringsforrn av föreliggande uppfinning i en driftmiljö. Ett generellt blockdiagram av den elektroniska filkrypteringsapparaten 100 visas i FIG IB, vilken kan innefatta ett chassi 101, ett kretskort 102, en forsta anslutning 103, en andra anslutning 104, ett användargränssnitt 105 och ett nyckelgränssnitt 106.
Kretskortet 102 är anordnat innei chassit 101 för uppbärande av den första anslutningen 103 för inmatning och utmatning av okrypterad information och den andra anslutningen 104 for inmatning och utmatning av krypterad information.
Den fórsta och andra anslutningen 103 och 104 kan vara USB-kontakter fór att ansluta olika minnesenheter, innefattande men inte begränsat till USB-minnesenheter som till exempel USB-flashminnesenheter.
Enligt FIG 1A kan ett första USB-minne 107 med en USB-kontakt lagra okrypterade filer for kryptering med den elektroniska krypteringsapparaten 100, när det är anslutet till den första anslutningen 103 hos den elektroniska krypteringsapparaten.
Ett andra USB-minne 108 med en USB-kontakt kan anslutas till den andra anslutningen 104 fór att ta emot och lagra filer som krypterats av den elektroniska krypterings- apparaten 100.
Nyckelgränssnittet 106 kan utgöras av, men är inte begränsat till, ett smartcard- gränssnitt för att ladda krypteringsnycklar fór användning vid kryptering/dekryptering av filer, som passerar den elektroniska krypteringsapparaten 100.
USB-minnena 107 och 108 kan vara flashminnen, vart och ett innefattande ett litet kretskort med kretselementen och en USB-kontakt, elektriskt isolerad och skyddad inuti ett hölje av plast, metall eller gummerat material. USB-kontakten kan skyddas av en avtagbar hylsa eller genom att vara indragen i minnesanordningen, trots att det inte är sannolikt att det skadas om det är oskyddat. Flashminnena kan ha en USB-kontakt av 10 15 20 25 30 120102 I:\Pa1:rawin\wORl(\G'I'\P18680ll2_översättning till svenskadocx standard typ A, som möjliggör anslutning med en port hos den elektroniska krypteringsapparaten eller på en persondator (PC).
Den elektroniska filkrypteringsapparaten 100 är försedd med en ”RÖD- /SVART-separation”, det vill säga den bevarar avståndet eller installations- avskärrnningen mellan kretsar och utrustning, som används för att hantera hemlig klartext- eller känslig information (RÖDA signaler) och normala oskyddade kretsar och utrustning (SVART), de senare innefattande de som bär krypterade eller chiffreradc textsignaler (SVARTA signaler).
RÖD-/SVARTA-separationen uppnås med hjälp av två separata uppsättningar av varj e modul förutom kryptomodulen i den elektroniska krypteringsapparaten. Ett exempel på en utföringsform av den elektroniska filkrypteringsapparaten visas i FIG 2.
Kretskortet 102 är försett med en första USB-enhet (driver) 109 förbunden med den första anslutningen 103 för att hantera kommunikationen mellan den elektroniska krypteringsapparaten 100 och det första USB-minnet 107 på den ”RÖDA sidan” när den sätts in i USB-kontakten 103. En första filsystemenhet (driver) 110 anordnad på kretskortet och operativt förbunden med den första USB-enheten 109 är anpassad att hantera information på filsystemsnivå, eftersom det bara är innehållet i datafilema som krypteras.
På den ”SVARTA sidan” har kretskortet 102 en andra USB-enhet (driver) 111 anordnad och förbunden med den andra anslutningen 104 för att hantera kommunika- tionen mellan den elektroniska filkrypteringsapparaten 100 och det andra USB-minnet 108 för att lagra krypterade filer, när det sätts in i den andra USB-kontakten 104. En andra filsystemsenhet (driver) 112 är operativt förbunden med den andra USB-enheten 111, som också är anpassad att hantera information på filsystemsnivå.
En kryptomodul 113 ingår, som har kapacitet för kryptering och dekryptering av datafiler och tillhandahåller autentiseringskontroll av datañler, som passerar genom den elektroniska filkrypteringsapparaten 100.
Kryptomodulen 113 är anordnad på kretskortet 102 och operativt förbunden med den första anslutningen 103 och den andra anslutningen 104. Kryptomodulen 113 är en kontrollenhet konfigurerad att ta emot datafiler i klartext från den första anslutningen 103 och genomföra kryptering av datafilema i klartext till datafiler i kryptotext för överföring som utdata på den andra anslutningen 104.
På motsvarande sätt är kryptomodulen 113 också konfigurerad att ta emot datafiler i kryptotext från den andra anslutningen 104 och utföra dekryptering av 10 15 20 25 30 35 120102 I;\Patrawin\w0RK\GT\P18680112_Översàctning till svenskadocx datafilema i kryptotext till datafiler i klartext för överföring som utdata på den första anslutningen 103.
Varje datafil i klartext, som är lagrad på det första USB-minnet 107, kan läsas och krypteras separat i kryptomodulen 113 när USB-minnet sätts in i den första USB- kontakten 103. Datafiler av godtycklig storlek kan läsas genom streaming och kan krypteras och skickas ut på den andra anslutningen 104 och lagras som kryptotext på det andra USB-minnet 108 när detta sätts in i den andra USB-kontakten 104.
Kryptomodulen 113 exekverar funktionen för kryptering/dekryptering enligt, men är inte begränsad till, AES-GCM, som är en autentiserad krypteringsalgoritrn designad för att hantera både autentisering och sekretess.
FIG 3A visar en schematisk ritning framifrån av en utfómingsforrn av den elektoniska krypteringsapparaten 102. Användargränssnittet 105 kan innefatta, men är inte begränsat till, en display 105a och ett tangentbord l05b för att styra funktionen för kryptering/dekryptering och andra funktioner hos apparaten. Enligt en alternativ utföringsforrn kan användargränssnittet 105 innefatta en tryckkänslig skärm för att styra enhetens funktioner.
FIG 3B visar en schematisk ritning fiån baksidan av en utföringsforrn av den elektroniska krypteringsapparaten 102. Utöver den första och andra anslutnings- kontakten 103 och 104, kan den elektroniska krypteringsapparaten ha en tredje anslutningskontakt 114 för anslutning till en värddator. Den tredje anslutningskontakten kan utgöras av, men är inte begränsad till, en USB-kontakt. Dessutom kan den elektroniska krypteringsapparaten innefatta en strömkontakt 1 15 för strömförsörjning.
Den elektroniska krypteringsapparaten kan alternativt strömförsörjas genom en värddator ansluten till den första kontakten 103 eller den tredje kontakten 114, om den finns tillgänglig.
FIG 4 är ett flödesschema, som visar stegen i en metod för kryptering/ dekryptering av datafiler, som matas in i eller ut ur de två kontaktema 103 och 104 i den elektroniska krypteringsapparaten 102. I ett första steg 200 slås den elektroniska krypteringsapparaten 102 på. Den elektroniska krypteringsapparaten genomgår en bootprocess och enhetens operativsystem övertar kontrollen i steg 201. Den elektroniska krypteringsapparaten 102 har övergått i driftläge för att vara beredd att reagera på kommandon från användargränssnittet 105 och för att kommunicera med ett godtyckligt USB-minne som ansluts till någon av USB-kontaktema 103 eller 104.
USB-minnet 107 ansluts till USB-kontakten 103 i steg 202 och USB-minnet 108 ansluts till USB-kontakten 104 i den elektroniska krypteringsapparaten i steg 203. 10 15 20 25 30 35 120102 11\i=acrawin\woni<\c'r\viasao112_óversàccning :in svenskauocx En användare kan ansluta USB-minnena till dess respektive USB-kontakt antingen samtidigt eller en i taget i valfri ordning. Som svar på att USB-minnet 103 ansluts, etablerar kryptomodulen 113 en förbindelse genom att signalera med det första USB- minnet 103 i steg 204, skaffar åtkomst till information om filer lagrade på ett ordinärt filsystem på USB-minnet och visar informationen om filema och/eller filkatalogerena i en filmeny på displayen 105a. Som svar på att USB-minnet 104 ansluts etablerar kryptomodulen 113 en förbindelse genom att signalera med USB-minnet 104 i steg 205 och om det redan finns några filer och/eller filkataloger lagrade i ett ordinärt filsystem på USB-minnet 104, skaffar åtkomst till information om filema och/eller katalogerna och i det fallet visar informationen om filema och/eller filkatalogema i en filmeny på displayen 105a.
En utvald nyckel för kryptering/dekryptering eller en uppsättning nycklar laddas in i den elektroniska krypteringsapparaten 102 som svar på att en användare sätter in ett smartcard 116 i smartcardgränssnittet 106 i steg 206 tillsammans med en autentisering av användaren, till exempel, men inte begränsat till, att mata in en PIN (Personal Identifikation Number)-kod som gäller för det specifika smartcardet.
Kryptomodulen 113 läser krypteringsnyckeln från användarens smartcard och autentiserar användaren med hjälp av PIN-koden i steg 208.
En användare kan genom användargränssnittet 105 välja en eller flera klartext- eller okrypterade filer och/eller filkataloger lagrade på det forsta USB-minnet 103 i steg 209 och kopiera klartextfilerna till det andra USB-minnet 104, till exempel, men inte begränsat till, drag-och-släpp på skärmen l05a i steg 210. Som svar genereras signaler som svar på kopieringen av den utvalda filen eller filema och/eller filkatalogema från det första USB-minnet 103 till det andra USB-minnet 104, aktiverar kryptomodulen 114 krypteringsfunktionen genom att generera åtkomstsignaler för att lästa den utvalda filen eller filerna och/eller filkatalogerna från det första USB-minnet 103 i steg 211. Den eller de utvalda klartextfilerna och/eller filkatalogema krypteras till kryptotext eller krypterade filer av kryptomodulen 113 i steg 212 medelst krypteringsalgoritrnen, som använder den laddade krypteringsnyckeln(-ama). Krypteringsmodulen lagrar den eller de krypterade filema i ett ordinarie filsystem på det andra USB-minnet 104.
FIG 5 illustrar ett blockdiagrarn av en annan utföringsform av en fil- krypteringsapparat 100” för filkopiering av okrypterade datafiler, varvid de okrypterade filema läses, krypteras och lagras som krypterade datafiler av filkrypteringsapparaten 100” till ett andra filsystem på det andra minnet 108. Kretskortet 102 är anordnad med den första USB-enheten 109 ansluten med den första anslutningen 103 för att hantera 10 15 20 25 30 35 120102 I1\Patrawin\W0RK\G'1'\P18680112_Översàttning till svsnskadocx kommunikationen mellan den elektroniska krypteringsanordningen 100 och det forsta USB-minnet 107 på den ”RÖDA sidan” när den ansluts till USB-kontakten 103. Den första F S-(filsystems)enheten 110 anordnad på kretskortet och operativt ansluten till den första USB-enheten 109 är anpassad att hantera information på filsystemsnivå, då det endast är innehållet i datafilerna som är krypterat.
På den ”SVARTA sidan” har kretskortet 102 den andra USB-enheten 111 anordnad och ansluten till den andra kontakten 104 för att hantera kommunikationen mellan den elektroniska krypteringsanordningen 100” och det andra USB-minnet 108 för lagring av krypterade filer när den ansluts till den andra USB-kontakten 104. Den andra FS-(fïlsystern)enheten 112 är operativt ansluten till den andra USB-enheten 111, vilken också är anpassas för att hantera infonnation på filsystemsnivå. Kryptomodulen innefattar två block, ett filkopieringsapplikationsblock 120 och ett filsystemkrypterings- block (CRYPTFS) 122. Filkopieringsapplikationsblocket 120 är anslutet mellan den första filsysternsenheten 110 och filsysternkrypteringsblocket 122 och är konfigurerat att läsa nämnda en eller flera okrypterade datafiler från det första externa USB-minnet l 07.
Filsysternkrypteringsblocket 122 har kapacitet att kryptera och dekryptera och tillhandahåller autentiseringskontroll av datafiler, som passerar den elektroniska filkrypteringsanordningen 100”. Filsystemkrypteringsblocket 122 är anslutet till fil- kopieringsapplikationsblocket 120 och den andra filsysternsenheten 112.
Både filkopieringsapplikationsblocket 120 och filsystemkrypteingsblocket är anordnade på kretskortet 102. Filsystemkrypteringsblocket 122 är en kontrollenhet konfigurerad att ta emot datafileri klartext från den första anslutningen 103 via filkopieringsapplikationsblocket 120 och exekvera kryptering av datafilema i klartext till datafiler med kryptotext för överföring som utdata på den andra anslutningen 104.
På motsvarande sätt är filsystemkrypteringsblocket 122 också konfigurerat att ta emot datafiler med kryptotext från den andra anslutningen 104 och exekvera dekryptering av de datafïlema med kryptotext till datafiler med klartext för överföring via filkopieringsapplikationen 120 som utdata från den första anslutningen 103.
Varje datafil med klartext, som är lagrad på det första USB-minnet 107, kan kopieras av filkopieringsapplikationsblocket 120 och krypteras separat av fil- systemkrypteringsblocket 122 när USB-minnet ansluts till den första USB-kontakten 103. Datafiler av godtycklig storlek kan läsas genom streaming och kan krypteras och matas ut på den andra kontakten 104 och lagras som kryptotextfiler på det andra USB- minnet 108 när det ansluts till den andra USB-kontakten 104. 10 15 20 25 30 12 0102 I z \Pat rawin\WORK\GT\P186 8 0 112_Översâttning til 1 svenska . docx 10 Filsystemkrypteringsblocket 122 exekverar krypterings/dekrypterings- funktionen enligt, men inte begränsat till, AES-GCM, vilken är en autentiserad krypteingsalgoritm designad att hantera både autentisering och sekretess.
F igurema 6A och 6B visar en elektronisk filhanteringskrypteringsapparat 100” ” för kryptering och dekryptering av datafiler enligt en utföringsforrn av föreliggande uppfinning i en drifimiljö. Den första och andra kontakten 103 och 104 kan vara USB- kontakter för att ansluta olika minnesenheter, innefattande, men inte begränsat till, en dator 124 för generell användning och USB-minnet 108. Den elektroniska filhanterings- krypteringsapparaten 100” är i denna utföringsforrn konfigurerad att kryptera en eller flera datafiler lagrade i ett filsystem på det interna eller externa minnet hos datorn, till en eller flera krypterade datafiler; och skriva den eller de krypterade datafilema till det externa USB-minnet 108.
Figur 7 visar ett blockdiagram av den elektroniska filhanteringskrypterings- apparaten 100” ” enligt några utföringsformer av uppfinningen. En elektronisk filhanteringskrypteringsapparat 100””kan implementeras med, men är inte begränsad till, en Linux-baserad dator. Datorn 124 har en Windows-stack 125 i den här utfórings- formen, innefattande en applikation 126 och en SMB/CIFS- implementering av fil- systemet 127, TCP/IP 128, RNDIS-enhet 129 och en USB-värd 130.
Filhanteringskrypteringsapparaten 100” ” innefattar, men är inte begränsad till, en USB-periferienhet 109” för anslutning och överföring av okrypterade datafiler till/från datorn 124 med en Windows-stack 125, en RNDlSenhet 131, TCP/IP 132 operativt ansluten till SMB/CFIS-filsystenismodulen 133 för implementering av filsystemet. En USB-värd 111” är inkluderad för anslutning och överföring av krypterade datafiler till/från USB-minnet 108 via filsystemsenheten 112”. Krypterings- modulen 122” krypterar/dekrypterar de okrypterade/krypterade datafilerna på fil- systenmivå mellan datorn 124 och USB-minnet 108.
Sålunda implementerar SMB/CIFS-modulen 133 och krypteringsmodulen 122” ett virtuellt krypterat filsystern på toppen av det fysiska filsystemet och kan därigenom kryptera datafiler transparent med hjälp av krypteringsnyckeln, som laddas via nyckel- gränssnittet 106.
Den elektroniska filkrypteringsanordningen 100” manövreras medelst MMI 105, vilket är implementerat som en applikation som startar när anordningen bootas.
Figur 8A visar en hårdvaruarkitektur för filkrypteringsanordningen enligt några utföringsformer av uppfinningen. 10 15 20 25 30 120102 I;\Patrawin\WORK\GT\PlB6BOlujßversàttning till svenskædocx ll Designen kan vara baserad på, men är inte begränsad till, en ACME FOX G20 Linux Embedded Single Board Computer, i denna utfóringsform. Ett dotterkort, (FED Board) är anslutet till datom. Foxg20-systemet kan vara baserat på en ATMEL AT91SAM9G20 mikrokontrollenhet, som kan ha en ARM926-processor (MCU) med MMU, instruktion och data-cachar, två USB-värdportar, en USB-port, en SPI kontroll- enhet, UART:er, en realtidsklocka, fast Ethemet MAC och funktionalitet som stödjer DRAM, strömfórsörjningsenhet, Micro SD FLASH-kortplats.
Dotterkortet (FEB-kort) kan ha en FPGA-modul med klockgenerator, olika knappar, en smartcardgränssnittskrets, en J TAG, debugganslutning och en display- modul.
Fox-kortet kan hantera större delen av funktionaliteten. Kommunikationen med dotterkortet kan hanteras av SPI-kommunikation fór smartcardstyrenheten. RS232 kan användas för gränssnitten fór display och knappar. Displayen kan vara, men är inte begränsad till, OLED. Mjukvaran till den smarta displayen kan anpassas och/eller uppgraderas.
FPGAn kan vara, men är inte begränsad till, en Lattice XP2-enhet. Designen kan vara uppdela i, men är inte begränsad till, två huvuddatavägar. SPI-till-smartcard- vägen och MMl-vägen, som visas i figur 8B. Det är en kontextuell skillnad mellan kryptografiska nycklar och fysiska nycklar (knappar) som kan tryckas in av användaren.
SPI-till-smartcard-vägen kan tillåta värd-MUCzen att komma åt ett smartcard via sitt SPI-gränssnitt. Det kan innefatta en SPI-slav, styrlogik med register och ett smartcardkontrollblock.
SPI-slaven kan väsentligen vara, men är inte begränsad till, två 8-skiftsregister, vilka kan klockas av SPCK. SPI-klockan kan vara asynkron med huvudklockan. Alltså kan klar-pulsen(ready strobe) från slaven fångas in (synkroniseras) och förses med ny tidsinformation innan data lagras i SC-kontrollblocket.
I SC-styrkommandon, kan status och nyckeldata skiflas in/ut, men är inte begränsat till, 8 bitar i taget.
Det största blocket kan vara smartcard-kontrollenheten. Den kan hantera både smartcardprotokollet och de NBK-kortspecifika detaljerna.
MMI-vägen kan ha ett antal knappar. Knappinmatningar aktiveras (debounced) och information om knapptryckningshändelser och vilka knappar som trycks ned kan skickas till värden seriellt med UART. LED:er kan slås på valfritt genom att signallera i motsatt riktning. 10 15 20 25 30 120102 I;\Patrawin\WORK\GT\P186801l2_óversàttning till svenskadocx 12 Den seriella anslutningen från värden till displayen kan vidarekopplas elektriskt genom FPGA:n.
Den extema klockinsignalen (33MHz i denna utfóringsfonn) är vidarekopplad to en PLL, vilken är konfigurerad att dividera med 3 med avsikt att generera en huvudklocka på ll MHz i denna utfóringsfonn. Andra externa klockfrekvenser och huvudklockfrekvenser kan användas i andra uttöringsformer. SPI-slavblocket kan inte drivas av klockan.
En återställning kan genereras som eller-inte-fiinktion i den extema återställningsinsignalen och PLL-låssignalen.
FIG 9 illustrerar ett blockdiagrarn med den elektroniska filkrypteringsapparaten enligt några uttöringsfonner av uppfinningen, varvid krypteringsmodulen 113 ” är en separat hårdvarumodul.
FIG 10 illustrerar ett blockdiagram med en elektronisk filhanterings- krypteringsapparat enligt några utiöringsforrner av uppfinningen, varvid krypterings- modulen 122” ” är en separat hårdvarumodul.
Den elektroniska krypteringsapparaten 100 kan innefatta en digital elektronisk dator eller datorutrustning och processer uttörda i en dator eller datorsystem. Datorn kan innefatta ett databehandlingssystem, innefattande en dataprocessor med kryptomodulen 113 för att behandla data, och lagringsorgan anslutna till datorprocessom fór att lagra data på ett lagringsmedium.
Den elektroniska krypteringsapparaten kan realiseras som en elektronisk apparat med manipuleringsskydd (tamper protection), dvs innefatta skydd mot åtkomst till de elektroniska kretsarna i krypteringsapparaten, information som finns i de elektroniska kretsarna (som programkod eller kretskonfiguration) eller intema signaler genererade av de elektroniska kretsarna. Dessutom eller alternativt kan manipulerings- skydd hos den elektroniska krypteringsapparaten omfatta att försök till åtkomst av de elektroniska kretsarna, information eller signaler detekteras.
Uppfinningen har beskrivits med hänvisning till olika uttöringsformer. En fackman kan emellertid identifiera många variationer till de beskrivna utförings- formerna, som fortfarande ligger inom skyddsomfånget för uppfinningen. Det bör exempelvis observeras att i beskrivningen av utfóringsformer av uppfinningen, indelningen av de funktionella blocken i specifika enheter inte på något sätt begränsar uppfinningen. Tvärtom är dessa indelningar bara exempel. Funktionella block, som är beskrivna som en enhet, kan delas upp i två eller flera enheter. På samma sätt kan 10 15 20 25 30 120102 I;\Pat.rawin\w0RK\GT\I-*:LB680112_Översàttning till svenskadocx 13 funktionella block, som beskrivits som implementerade i två eller flera enheter, implementeras som en enhet utan att avvika från uppfinningens skyddsomf°ang.
Sålunda ska det uppfattas så att avgränsningarna i de föreslagna utförings- fonnerna endast är för illustration och inte på något sätt är begränsande. Uppfinningens omgång framgår av patentkraven snarare än av beskrivningen och alla variationer som faller inom patentkravens omfång ska omfattas.
Föreliggande uppfinning kan realiseras som en metod i en apparat, som en apparat eller som ett systern med en datorprogramprodukt. Följaktligen kan före- liggande uppfinning vara i form av en komplett hårdvaruutföringsform, eller en utföringsfonn som kombinerar mjukvaru- och hårdvaruaspekter, som häri allmänt refereras som en enhet, komponent eller apparat. Vidare kan mjukvaran enligt uppfinningen varai form av en datorprogramprodukt. Datorprogramprodukten kan lagras på ett lagiingsmedium för datorbruk med programkod lagrad på mediet.
Utföringsfonnerna av uppfinningen beskrivna med hänvisningar till ritningar-na innefattar en dator och processer, som utförs på datom. Programmet kan vara i form av källkod, objektkod, kod lärnplig för användning i en implementation av metoden enligt uppfinningen. Bäraren kan vara en godtycklig enhet, som har möjlighet att transportera programmet. Till exempel kan bäraren vara ett inspelningsbart medium, datonninne, skrivskyddat minne eller en elektrisk bärarsignal. Utföringsformer enligt uppfinningen kan utföras när datorprogramprodukten är laddad och körs på ett system som har datorkapacitet. Även om uppfinningen har beskrivits med hänvisning till utföringsformer konfigurerade för USB-minnen, kan andra utföringsformer av den elektroniska krypteringsapparaten konfigureras att fungera på godtyckligt lämpligt datormedium inklusive hårddiskar, CD-ROM, RAM-minne, ROM-minnen, flashminnen, optiska lagringsenheter eller magnetiska lagringsenheter extemt anslutna till den elektroniska krypteringsapparaten direkt eller indirekt via till exempel en dator.
Utföringsforrner av föreliggande uppfinning har beskrivits ovan med hänvisning till flödesscheman och/eller blockdiagram. Det ska förstås att några eller alla av de illustrerade blocken kan implementeras med hjälp av datorprograminstruktioner.
Dessa datorprogramsinstruktioner kan matas in till en processor i en dator för generellt bruk, en dator för specifikt bruk eller andra programmerbara databehandlingsapparater för att producera en maskin, så att instruktionerna när de exekveras skapar medel för att implementera fimktionema/handlingama, som är angivna i flödesschemat enligt ovan. 10 15 20 25 30 35 120102 I:\Patrawin\WORK\GT\Pl8680ll2_Översàttning till svenska.docx 14 Det ska förstås att funktionema/handlingarna beskrivna i flödesschcmat kan utföras i annan ordning än som beskrivs i funktionsbeskrivningen. Till exempel kan två block, som visas utföras efter varandra, utföras samtidigt eller ibland i omvänd ordning, beroende på funktionerna/handlingarna i det aktuella fallet. Även om en del av diagrammen innehåller pilar för kommunikationsvägar för att visa den primära kommunikationsriktningen, ska det förstås att kommunikationen kan genomföras i motsatt riktning till pilama.
En datorprogramprodukt kan innefatta datorprogramkodavsnitt för att exekvera metoden, som beskrivits i beskrivningen och patentkraven, för att tillhandahålla styrdata när datorprogramkodavsnitten körs av en elektronisk apparat med datorkapacitet.
Ett datorlagringsmediurn med en lagrad datorprogramprodukt kan innefatta datorprogramkodavsnitt för att exekvera metoden, som beskrivits i beskrivningen och patentkraven, för att tillhandahålla styrdata när datorprogramkodavsnitten körs av en elektronisk apparat med datorkapacitet.
De många särdragen och fördelarna hos uppfinningen är uppenbara från den detaljerade beskrivningen, och det är ändamålet med de bifogade patentkraven att täcka alla sådana funktioner och fördelar hos uppfinningen, som faller inom uppfmnings- tanken. Trots att utföringsformer av metoden och apparaten enligt uppfinningen har illustrerats i de bifogade ritningama och beskrivits i den detaljerade beskrivningen ovan, är beskrivningen endast illustrativ, och ändringar, modifieringar och utbyten kan utföras utan att avvika från uppfinningens omfång så som den beskrivs i de följande kraven.
Terminologi: CIFS Common Intemet File System GPIO General Purpose Input/Output J TAG Joint Test Action Group MAC Medium Access Controller MCU Micro Controller Unit MMI Man Machine Interface NBK Key Card OLED Organic Light Emitting Diod RNDIS Remote Network Driver Interface Specification SD Secure Digital SMB Server Message Block SPI Serial Peripheral Interface UART Universal Asynchronous Receiver Transmitter 120102 I:\Patrawin\w0RK\GT\I-\18680ll2_óversàttning till svenskadocx 15 VHDL VHSIC Hardware Description Language VHSIC Very High Speed Integrated Circuit

Claims (9)

10 15 20 25 30 35 120102 I:\Pat:rawin\WORK\GT\P18680112_Översàt:tning till svenskadocx 16 PATENTKRAV
1. Elektronisk krypteringsapparat för kryptering av datafiler, kännetecknad av en kryptomodul (113) konfigurerad att läsa en eller fler okrypterade datafiler lagrade i ett första filsystern på ett första externt minne (l07); kryptera nämnda en eller flera datafiler till en eller fler krypterade datafiler och skriva nämnda en eller flera krypterade datafiler till ett andra frlsystern på ett andra externt minne (108).
2. Elektronisk krypteringsapparat enligt krav 1, innefattande: en första anslutning (103) operativt förbunden med kryptomodulen (113) via en första frlsystemenhet (110) för överföring av nämnda en eller flera okrypterade datafiler, lästa från det första extema minnet (107), till kryptomodulen (113); och en andra anslutning (104) operativt förbunden med kryptomodulen (113) via en andra filsysternenhet (112) för överföring av nämnda en eller flera krypterade filer krypterade av kryptomodulen (113) till det andra filsystemet på det andra extema minnet (108).
3. Elektronisk krypteringsapparat enligt krav 1 eller 2, varvid krypto- modulen (113) är konfigurerad att läsa närnnda en eller flera okrypterade datafiler från en första extern USB-minnesenhet (107).
4. Elektronisk krypteringsapparat enligt krav 1 till 3, varvid kryptomodulen (113) är konfigurerad att skriva nämnda en eller flera datafiler till det andra filsystemet på en andra extem USB-minnesenhet (108).
5. Elektronisk krypteringsapparat enligt krav leller 2, varvid krypto- modulen (113) är konfigurerad att läsa nämnda en eller flera okrypterade datafiler från det andra filsystemet på det andra externa minnet på en extern dator (124).
6. Elektronisk krypteringsapparat enligt krav 1 eller 2, varvid krypto- modulen (113) är konfigurerad att läsa nämnda en eller flera okrypterade datafiler från det andra filsystemet på en hårddisk, en CD-ROM-station, ett RAM (Random Access Memory), ett ROM (Read Only Memory), ett flashminne, en anordning för optisk lagring eller en anordning för magnetisk lagring. 10 15 120102 I:\Patrawin\WORK\GT\Pl86B01l2_Översåttning till svenskadocx 17
7. Elektronisk krypteringsapparat enligt krav 1 eller 2, varvid krypto- modulen (113) är konfigurerad att skriva nämnda en eller flera krypterade datafiler till det andra filsysternet på den andra externa minnesanordningen på en hårddisk, en CD- ROM-station, ett RAM (Random Access Memory), ett ROM (Read Only Memory), ett flashminne, en anordning för optisk lagring eller en anordning för magnetisk lagring.
8. Elektronisk krypteringsapparat enligt krav 1 till 7, vidare innefattande ett nyckelgränssnitt (106) operativt förbundet med kryptomodulen (113) för att ladda krypteringsnycklar för kryptering av nämnda en eller flera okrypterade filer.
9. Metod för kryptering av data, kärmetecknad av stegen att: läsa en eller fler okrypterade datafiler lagrad i ett första filsystem på ett första externt minne (107); kryptera nämnda en eller flera okrypterade filer till en eller fler krypterade datafiler; och skriva nämnda en eller flera krypterade filer till ett andra filsystem på ett andra externt minne (108).
SE1050902A 2010-09-02 2010-09-02 Elektronisk krypteringsapparat och metod SE1050902A1 (sv)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SE1050902A SE1050902A1 (sv) 2010-09-02 2010-09-02 Elektronisk krypteringsapparat och metod
PCT/SE2011/051062 WO2012030296A2 (en) 2010-09-02 2011-09-02 Electronic encryption device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE1050902A SE1050902A1 (sv) 2010-09-02 2010-09-02 Elektronisk krypteringsapparat och metod

Publications (1)

Publication Number Publication Date
SE1050902A1 true SE1050902A1 (sv) 2012-03-03

Family

ID=45420932

Family Applications (1)

Application Number Title Priority Date Filing Date
SE1050902A SE1050902A1 (sv) 2010-09-02 2010-09-02 Elektronisk krypteringsapparat och metod

Country Status (2)

Country Link
SE (1) SE1050902A1 (sv)
WO (1) WO2012030296A2 (sv)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11574057B2 (en) * 2020-10-29 2023-02-07 Dell Products L.P. Encryption as a service with request pattern anomaly detection

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL161027A0 (en) * 2001-09-28 2004-08-31 High Density Devices As Method and device for encryption/decryption of data on mass storage device
US20070033320A1 (en) 2005-08-05 2007-02-08 Wu Victor C Crypto pass-through dangle
US7962755B2 (en) * 2006-04-28 2011-06-14 Ceelox, Inc. System and method for biometrically secured, transparent encryption and decryption
US7908476B2 (en) * 2007-01-10 2011-03-15 International Business Machines Corporation Virtualization of file system encryption
GB0808341D0 (en) * 2008-05-08 2008-06-18 Michael John P External storage security and encryption device

Also Published As

Publication number Publication date
WO2012030296A2 (en) 2012-03-08
WO2012030296A3 (en) 2012-04-26

Similar Documents

Publication Publication Date Title
US20240354265A1 (en) System and method for securely connecting to a peripheral device
AU2019245506B2 (en) Secured computer system
US8615656B2 (en) Secure remote peripheral encryption tunnel
US8341087B2 (en) Method for implementing and application of a secure processor stick (SPS)
EP3391276B1 (en) Hardware integrity check
US20150178504A1 (en) Virtual machine assurances
US10013565B2 (en) System and method for secure transport of data from an operating system to a pre-operating system environment
CN100464313C (zh) 一种移动存储装置及存取移动存储装置中加密数据的方法
WO2019209630A1 (en) File processing method and system, and data processing method
US9674336B2 (en) Portable processing unit add on for mobile devices
CN103268206B (zh) 一种基于打印技术的印章设备
US10523427B2 (en) Systems and methods for management controller management of key encryption key
WO2016024838A1 (ko) 클라우드 기반의 애플리케이션 보안 서비스 제공 방법 및 시스템
SE1050902A1 (sv) Elektronisk krypteringsapparat och metod
Loftus et al. Android 7 file based encryption and the attacks against it
KR101043255B1 (ko) Usb 허브 보안 장치 및 이를 이용한 데이터 보안 방법
KR20110050631A (ko) 암호화 파일 시스템에서 입력/출력의 제어 및 효율성을 향상시키기 위한 방법 및 시스템
CN106325710A (zh) 移动终端的控制方法、装置和移动终端
WO2013129987A1 (en) Electronic encryption device and method
WO2023135477A1 (en) System and method for secure copy-and-paste opertions between hosts through a peripheral sharing device
McCune Reducing the trusted computing base for applications on commodity systems
US20220108041A1 (en) External secure and encrypted ssd device and a secure operating system on an external ssd device
CN110489386A (zh) 信息处理方法、装置、存储介质及电子设备
Balmer Framework for a high-assurance security extension to commercial network clients
Gao et al. The research and design of embed RSA encryption algorithm network encryption card driver

Legal Events

Date Code Title Description
NAV Patent application has lapsed