Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6898519B2 - 暗号化キーのセキュリティ - Google Patents
[go: Go Back, main page]

JP6898519B2 - 暗号化キーのセキュリティ - Google Patents

暗号化キーのセキュリティ Download PDF

Info

Publication number
JP6898519B2
JP6898519B2 JP2020516649A JP2020516649A JP6898519B2 JP 6898519 B2 JP6898519 B2 JP 6898519B2 JP 2020516649 A JP2020516649 A JP 2020516649A JP 2020516649 A JP2020516649 A JP 2020516649A JP 6898519 B2 JP6898519 B2 JP 6898519B2
Authority
JP
Japan
Prior art keywords
authentication value
encryption key
module
bios
storage location
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2020516649A
Other languages
English (en)
Other versions
JP2020534619A (ja
Inventor
アリ,ヴァリ
ブラムリー,リック
ピンヘイロ,エンドリゴ,ナディン
ディアス・コレア,ロドリゴ
フェレイラ,ロナルド,ロッド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of JP2020534619A publication Critical patent/JP2020534619A/ja
Application granted granted Critical
Publication of JP6898519B2 publication Critical patent/JP6898519B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/107License processing; Key processing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Description

暗号鍵の生成は、ソフトウェアおよびデータの安全確保のために頻発するタスクである。暗号鍵は、データの暗号化および解読、データおよび/またはコマンドをアプリケーション間で安全に伝送すること、システムの部品の間でデータおよび/またはコマンドを安全に伝送すること、およびその他を含む、種々のタスクのために使用されている。
本出願は、添付図面に関連して行われる以下の詳細な説明に関連して、より十分に理解されるであろう。
図1は、暗号化キーのセキュリティに関連する例示的なシステムを説明している。
図2は、暗号化キーのセキュリティに関連する別の例示的なシステムを説明している。
図3は、暗号化キーのセキュリティに関連する例示的な動作のフローチャートを説明している。
図4は、暗号化キーのセキュリティに関連する別の例示的なシステムを説明している。
図5は、例示的なシステム、方法、および均等物が作動してよい、例示的なコンピューティング装置を説明している。
暗号化キーのセキュリティに関連するシステム、方法、および均等物が記載される。暗号化キーを生成する場合、後で使用するためにキーを持続させることが望ましいが、その理由はキーの生成プロセスは、キー生成プロセスが同一のキーを生成することを防止するため、キーがランダムに生成されることを保証してよいからである。キーを持続させることなしには、キーを使用したデータ暗号化は、回復不能となりうる。キーを望ましくないアクセス(例えば悪意の動作主体による)から保護するために、キーは認証値によって保護されていてよい。幾つかの場合には、この認証は個人識別番号(PIN)またはパスワードであってよい。しかしながら、特定の場合にはユーザーが入力した値は不適切な解決策となる可能性があり、ユーザーの入力なしに認証値を取得することが望ましい。
従って、本願に記載された例は、暗号鍵を生成および/またはアクセスするための認証値を記憶する、基本入出力システムのセキュリティプロセスに関する例について記述している。システムのブート中に、認証値は、暗号鍵の生成またはアクセスに責任を負う信頼されたプロセスに知られている、固定された位置に記憶されてよい。この信頼されたプロセスが認証値にアクセスしたならば、認証値がその後悪意の存在によってアクセスされることを防止するために、信頼されたプロセスは認証値を固定された位置から消去してよい。
図1は、暗号化キーのセキュリティに関連する例示的なシステムを図示している。図1に描かれた項目は説明的な例であり、そして多くの異なるシステム、デバイス、およびその他が、種々の例に従って作動してよいことが理解されねばならない。
図1は、暗号化キーのセキュリティに関連する例示的なシステム100を図示している。起動の一環として、システム100は、データアクセスおよび部品間の通信の暗号化といった、種々の機能を行うために、1つまたはより多くの暗号化キーを使用してよい。これらの暗号鍵の生成および/またはアクセスは、認証値104によって保護(セキュア化)されてよい。システム100はこれらの暗号化キーを、認証値のユーザー入力を取得することが実行可能となる前に使用してよいことから、システム100がユーザー入力なしに、暗号化キーの生成および/またはアクセスを行うための方途を有することが望ましくありうる。
従って、システム100は、セキュリティモジュール125を含む、基本入出力システム(BIOS)120を含んでいる。システム100の起動の間にBIOSセキュリティモジュール125は、BIOS120がアクセス可能なセキュアストレージ(安全記憶領域)110の固定記憶位置102に認証値104を記憶させてよい。認証値104が暗号鍵の生成および/または取得に使用される場合には、BIOS120および/またはシステム100によって信頼されている認証値取得モジュール130が、固定記憶位置102から認証値104を探索してよい。従って、固定記憶位置102はBIOSセキュリティモジュール125および認証値取得モジュール130の両者に知られているセキュアストレージ110内部の位置であってよく、認証値取得モジュール130はシステム100がブートされる毎に、認証値104が同じ位置に記憶されまた検索されることを許容する。認証値取得モジュール130が認証値104を取得したならば、認証値取得モジュール130は次いで固定記憶位置102をランダムデータで上書きして、認証値104が他のプロセスに読み取り可能となることを防止してよい。
認証値取得モジュール130は次いで、認証値104を暗号化キー取得モジュール140に提供してよく、これは認証値104を使用して暗号化キー(単数または複数)を取得してよい。1つの例において、暗号化キー取得モジュール140は、認証値104に基づいて暗号化キーを生成することにより、暗号化キーを取得してよい。これは例えば、暗号化キーがシステム100によって最初に使用される場合に行われてよい。他の例においては、暗号化キー取得モジュール140は暗号化キーを記憶場所199から、認証値104を使用して検索してよい。実例として、記憶場所199は、それ自体が認証値104に基づいて暗号化されている、暗号化キーのバージョンを記憶していてよい。かくして、暗号化キー取得モジュール140は認証値104を使用して、暗号化キーの暗号化されたバージョンを解読(復号)することにより、暗号化キーを取得してよい。
種々の例において、セキュアストレージ110は種々の形態を取ってよい。セキュアストレージ110の形態は、システム100がアクセス可能な資源に依存していてよく、そしてまた、固定記憶位置102の形態、および/または種々の部品がどのようにして固定記憶位置102および/または認証値104と相互作用(例えばアクセスや消去)を行うかを決定付けるものであってよい。例えば、セキュアストレージ110は、BIOS120のプライベートメモリであってよい。このBIOSプライベートメモリは例えば、望ましくないアクセスを防止するようにBIOS120によってアクセスが制御されたメモリであってよい。このことは、BIOSプライベートメモリに対するアクセスが、例えばBIOS120によって信頼されたプロセス、プライベートメモリを望ましくない改変やアクセスから保護することが可能なBIOSコードに対するAPIコール、およびその他によってのみ行われ得ることを確実なものとしてよい。かくして、固定記憶位置102は、ユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI)変数であってよい。このことは、認証値取得モジュール130がアドミニストレータ権限を使用したプライベートBIOSコールを使用して、認証値104を固定記憶位置102から読み出すことを意味してよい。例えば、ウィンドウズオペレーティングシステムを実行しているシステム100について、プライベートBIOSコールは、ウィンドウズ・マネジメント・インスツルメンテーション(WMI)コールの形態を取ってよい。
別の例においては、セキュアストレージ110は信頼されたプラットフォームモジュールであってよい。かくして、固定記憶位置102はプラットフォーム構成レジスタであってよい。この例において、認証値取得モジュール130は、アドミニストレータ権限での操作を直接に使用して、プラットフォーム構成レジスタから認証値104を読み出してよい。さらに、この例においては、プラットフォーム構成レジスタを消去することは、プラットフォーム構成レジスタをランダムデータで拡張することを包含していてよい。
この例においては別個の部品として示されているのであるが、他の実施形態においては、システム100の種々の他の部品をBIOS120の一部分として実施してよい。例えば、認証値取得モジュール130および/または暗号化キー取得モジュール140は、BIOSレベルで実施される命令であってよく、そして上述したように、セキュアストレージ110はBIOSプライベートメモリであってよい。
理解されるように、以下の記載においては、例示物の完全な理解を提供するために、幾つもの具体的な詳細事項が記述されている。しかしながら、それらの例示物は、そうした具体的な詳細事項に限定することなく実施されてよいことが理解される。他の場合においては、例示物の説明を不必要に不明瞭にすることを避けるため、方法および構造が詳細に記載されない場合がある。また、例示物は相互に組み合わせて使用されてよい。
本願で使用するところでは、「モジュール」は、限定するものではないが、ハードウェア、ファームウェア、コンピュータ可読媒体に記憶されたソフトウェアまたはマシン上で実行中のソフトウェア、および/または機能(単数または複数)または動作(単数または複数)を行うための、および/または別のモジュール、方法、および/またはシステムから機能または動作を生じさせるための各々の組み合わせを含んでいる。モジュールには、ソフトウェア制御されたマイクロプロセッサ、ディスクリートモジュール、アナログ回路、デジタル回路、プログラムされたモジュールデバイス、命令を保持しているメモリデバイス、およびその他が含まれていてよい。モジュールは、ゲート、ゲートの組み合わせ、または他の回路部品を含んでいてよい。複数の論理モジュールが記載される場合には、それら複数の論理モジュールを1つの物理モジュールに組み入れることが可能であってよい。同様に、単一の論理モジュールが記載される場合には、その単一の論理モジュールを複数の物理モジュールの間に分散することが可能であってよい。
図2は、暗号化キーのセキュリティに関連する例示的なシステム200を示している。このシステム200は、セキュアストレージ210を含んでいる。セキュアストレージ210は、基本入出力システム220からアクセス可能であってよい。システム200はまた、セキュアストレージ210に認証値を記憶するため、BIOSセキュリティモジュール225を含んでいる。認証値は、固定記憶位置においてセキュアストレージ210に記憶されてよい。認証値は、システム200のブートの間にセキュアストレージ210に記憶されてよい。幾つかの例においては、セキュアストレージ210はBIOS220のプライベートメモリであってよい。かくして、固定記憶位置は、ユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI)変数であってよい。他の例においては、セキュアストレージ210は信頼されたプラットフォームモジュールであってよい。ここで、固定記憶位置は、予め決定されたプラットフォーム構成レジスタであってよい。
システム200はまた、暗号化キーモジュール230を含んでいる。暗号化キーモジュール230は、セキュアストレージ210内の固定記憶位置から認証値を読み出してよい。例示として、固定記憶位置がUEFI変数である場合、暗号化キーモジュール230は認証値をUEFI変数から、アドミニストレータ権限を用い、プライベートBIOSコールを使用して読み出してよい。暗号化キーモジュール230はまた、固定記憶位置にある認証値を上書きしてよい。例示として、固定記憶位置がプラットフォーム構成レジスタである場合、認証値を上書きすることは、レジスタをランダムデータで拡張することを含んでいてよい。暗号化キーモジュール230はまた、認証値を使用して暗号化キーを取得してよい。1つの例では、暗号化キーは、認証値を使用して暗号化キーを生成することによって取得されてよい。他の例では、暗号化キーは、認証値を使用して、システム200がアクセス可能なストレージ上にある暗号化キーをアクセスすることにより、取得されてよい。
図3は、例示的な方法300を示している。方法300は、非一時的なプロセッサ可読媒体で実行可能な命令について具現化されてよい。こうした命令は、プロセッサによって実行された場合に、プロセッサが方法300を実施するようにさせてよい。他の例においては、方法300は、論理ゲートおよび/または特定用途向け集積回路(ASIC)のRAM内に存在していてよい。
方法300は、暗号化キーのセキュリティに関連する種々のタスクを実施してよい。方法300は、310において認証値を読み出すことを含んでいる。この認証値は、セキュアストレージ内の固定記憶位置から読み出されてよい。この認証値は、基本入出力システム(BIOS)のスタートアップの間に固定記憶位置に記憶されてよい。この固定記憶位置は、例えば、ユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI)変数、信頼されたプラットフォームモジュール、プラットフォーム構成レジスタ、およびその他を介してアクセス可能なBIOSプライベートメモリであってよい。
方法300はまた、320において固定記憶から認証値を消去することを含んでいる。認証値を消去することは、固定記憶位置にランダムデータを書き込むことを含んでいてよい。方法300はまた、330において、認証値を使用して暗号化キーを取得することを含んでいる。暗号化キーは、例えば、認証値を使用して暗号化キーを生成し、認証値を使用して暗号化キーを記憶場所からアクセスし、およびその他によって取得されてよい。
図4は、暗号化キーのセキュリティに関連するシステム400を示している。システム400は、信頼されたプラットフォームモジュール410を含んでいる。信頼されたプラットフォームモジュールは、基本入出力システム(BIOS)420からアクセス可能なプラットフォーム構成レジスタを含んでいてよい。BIOS420は、BIOSセキュリティモジュール425を含んでいてよい。BIOSセキュリティモジュールは、システム400のスタートアップの間に、認証値をプラットフォーム構成レジスタに記憶させてよい。
システム400はまた、値取得モジュール430を含んでいてよい。値取得モジュール430は、プラットフォーム構成モジュールから認証値を取得してよい。値取得モジュール430はまた、プラットフォーム構成レジスタをランダムデータで拡張してよい。このことは、その後にプラットフォーム構成レジスタをアクセスする主体が、認証値を取得することを防止してよい。
システム400はまた、キー取得モジュール440を含んでいてよい。キー取得モジュール440は、認証値を使用して暗号化キーを取得してよい。キー取得モジュールは、認証値を使用して暗号化キーを生成することにより、認証値を使用して暗号化キーのためのセキュアストレージにアクセスすることにより、およびその他によって、暗号化キーを取得してよい。
図5は、例示的なシステムおよび方法、およびそれらの均等物が動作してよい、例示的なコンピューティングデバイスを示している。この例示的なコンピューティングデバイスは、バス530によって接続されたプロセッサ510およびメモリ520を含むコンピュータ500であってよい。コンピュータ500は、暗号化キーのセキュリティモジュール540を含んでいる。暗号化キーのセキュリティモジュール540は単独で、または組み合わせられて、例示的なシステム、方法、およびその他に関して上記に説明した、種々の機能を行ってよい。異なる例においては、暗号化キーのセキュリティモジュール540は、プロセッサで実行可能な命令を記憶している非一時的なコンピュータ可読媒体として、ハードウェア、ソフトウェア、ファームウェア、特定用途向け集積回路、および/またはこれらの組み合わせにおいて実施されてよい。
これらの命令はまた、メモリ520に一時的に記憶され、次いでプロセッサ510によって実行される、データ550および/またはプロセス560としてコンピュータ500に提示されてよい。プロセッサ510は、デュアルマイクロプロセッサおよび他のマルチプロセッサアーキテクチャを含む、種々のプロセッサであってよい。メモリ520は、不揮発性メモリ(例えば、リードオンリーメモリ)および/または揮発性メモリ(例えば、ランダムアクセスメモリ)を含んでいてよい。メモリ520はまた、例えば、磁気ディスクドライブ、半導体ドライブ、フロッピーディスクドライブ、テープドライブ、フラッシュメモリカード、光学ディスク、およびその他であってよい。かくして、メモリ520はプロセス560および/またはデータ550を記憶していてよい。コンピュータ500はまた、他のコンピュータ、デバイス、周辺機器、およびその他を含む他のデバイスと、数多くの構成(図示せず)でもって関連されていてよい。
開示された例についての以上の記載は、任意の当業者が本開示物を作成または使用することを可能にするように提供されたものであることが理解されよう。当業者には、これらの例の多種多様な修正が即座に明白であり、そして本願に規定された一般的な原理は、開示の思想または範囲から逸脱することなしに、他の例に対しても適用されてよい。かくして、本開示は本願に示された例に限定されることを意図したものではなく、本願に開示された原理および新規な特徴と一貫性のある、最も広い範囲が与えられるものである。

Claims (15)

  1. システムであって:
    基本入出力システム(BIOS)からアクセス可能なセキュアストレージ;
    システムのブートの間に、セキュアストレージ内の固定記憶位置にある認証値を記憶するBIOSセキュリティモジュール;および
    暗号化キーモジュールを含み、暗号化キーモジュールは:
    固定記憶位置から認証値を読み出し;
    固定記憶位置にある認証値を上書きし;そして
    認証値を使用して暗号化キーを取得する、システム。
  2. 暗号化キーは、認証値を使用して暗号化キーを生成することによって取得される、請求項1のシステム。
  3. 暗号化キーは、認証値に基づいて、システムがアクセス可能なストレージ上にある暗号化キーをアクセスすることによって取得される、請求項1のシステム。
  4. セキュアストレージはBIOSのプライベートメモリであり、そして固定記憶位置はユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI)変数である、請求項1のシステム。
  5. 暗号化キーモジュールは認証値をUEFI変数から、アドミニストレータ権限を用い、プライベートBIOSコールを使用して読み出す、請求項4のシステム。
  6. セキュアストレージは信頼されたプラットフォームモジュールであり、そして固定記憶位置は予め決定されたプラットフォーム構成レジスタである、請求項1のシステム。
  7. 認証値を上書きすることは、レジスタをランダムデータで拡張することを含む、請求項6のシステム。
  8. コンピュータ可読媒体であって、プロセッサによって実行された場合に:
    セキュアストレージ内の固定記憶位置から認証値を読み出し、ここで認証値は基本入出力システム(BIOS)のスタートアップの間に固定記憶位置に記憶されたものであり;
    認証値を固定記憶位置から消去し;そして
    認証値を使用して暗号化キーを取得するようにプロセッサを制御する、プロセッサで実行可能な命令を記憶している、コンピュータ可読媒体。
  9. 認証値を消去することは、固定記憶位置にランダムデータを書き込むことを含む、請求項8のコンピュータ可読媒体。
  10. 固定記憶位置は、ユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI)変数を介してアクセス可能なBIOSプライベートメモリ内にある、請求項8のコンピュータ可読媒体。
  11. 固定記憶位置は、信頼されたプラットフォームモジュールのプラットフォーム構成レジスタである、請求項8のコンピュータ可読媒体。
  12. 暗号化キーは、認証値を使用して暗号化キーを生成すること、認証値を使用して記憶場所から暗号化キーをアクセスすることの一方によって取得される、請求項8のコンピュータ可読媒体。
  13. システムであって:
    基本入出力システム(BIOS)からアクセス可能な第1のプラットフォーム構成レジスタを有する、信頼されたプラットフォームモジュール;
    システムのスタートアップの間に、認証値をプラットフォーム構成レジスタに記憶するBIOSセキュリティモジュール;
    プラットフォーム構成モジュールから認証値を取得し、そしてプラットフォーム構成レジスタをランダムデータで拡張する値取得モジュール;および
    認証値を使用して暗号化キーを取得するよう認証値を使用するキー取得モジュールを含む、システム。
  14. キー取得モジュールは、認証値を使用して暗号化キーを生成する、請求項13のシステム。
  15. キー取得モジュールは、認証値を使用してシステムからアクセス可能なストレージから暗号化キーを取得する、請求項13のシステム。

JP2020516649A 2017-09-19 2017-09-19 暗号化キーのセキュリティ Expired - Fee Related JP6898519B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2017/052181 WO2019059887A1 (en) 2017-09-19 2017-09-19 CRYPTOGRAPHIC KEY SECURITY

Publications (2)

Publication Number Publication Date
JP2020534619A JP2020534619A (ja) 2020-11-26
JP6898519B2 true JP6898519B2 (ja) 2021-07-07

Family

ID=65811522

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020516649A Expired - Fee Related JP6898519B2 (ja) 2017-09-19 2017-09-19 暗号化キーのセキュリティ

Country Status (6)

Country Link
US (1) US11507668B2 (ja)
EP (1) EP3685300A4 (ja)
JP (1) JP6898519B2 (ja)
KR (1) KR102322955B1 (ja)
CN (1) CN111373404B (ja)
WO (1) WO2019059887A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112989379B (zh) * 2021-03-17 2025-02-25 联想(北京)有限公司 密钥保护实现方法、装置及电子设备

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6401208B2 (en) * 1998-07-17 2002-06-04 Intel Corporation Method for BIOS authentication prior to BIOS execution
US7117376B2 (en) * 2000-12-28 2006-10-03 Intel Corporation Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations
US7281125B2 (en) * 2001-08-24 2007-10-09 Lenovo (Singapore) Pte. Ltd. Securing sensitive configuration data remotely
US7376968B2 (en) 2003-11-20 2008-05-20 Microsoft Corporation BIOS integrated encryption
US7421588B2 (en) * 2003-12-30 2008-09-02 Lenovo Pte Ltd Apparatus, system, and method for sealing a data repository to a trusted computing platform
US7552326B2 (en) 2004-07-15 2009-06-23 Sony Corporation Use of kernel authorization data to maintain security in a digital processing system
GB2419434A (en) * 2004-10-23 2006-04-26 Qinetiq Ltd Encrypting data on a computer's hard disk with a key derived from the contents of a memory
US7711960B2 (en) * 2006-08-29 2010-05-04 Intel Corporation Mechanisms to control access to cryptographic keys and to attest to the approved configurations of computer platforms
US8556991B2 (en) * 2008-08-08 2013-10-15 Absolute Software Corporation Approaches for ensuring data security
US20100083002A1 (en) * 2008-09-30 2010-04-01 Liang Cui Method and System for Secure Booting Unified Extensible Firmware Interface Executables
US8811619B2 (en) 2008-10-31 2014-08-19 Dell Products, Lp Encryption key management system and methods thereof
US20110154023A1 (en) * 2009-12-21 2011-06-23 Smith Ned M Protected device management
CN102024115B (zh) * 2010-11-19 2013-04-17 紫光股份有限公司 一种具有用户安全子系统的计算机
DE112011105678T5 (de) * 2011-09-28 2014-07-17 Hewlett-Packard Development Company, L.P. Entsperren eines Speichergeräts
US9037854B2 (en) 2013-01-22 2015-05-19 Amazon Technologies, Inc. Privileged cryptographic services in a virtualized environment
US9032117B2 (en) * 2013-07-10 2015-05-12 Cisco Technology, Inc. Active cable with display
US10192054B2 (en) * 2013-09-13 2019-01-29 Intel Corporation Automatic pairing of IO devices with hardware secure elements
US9367689B2 (en) 2013-11-13 2016-06-14 Via Technologies, Inc. Apparatus and method for securing BIOS in a trusted computing system
TW201535145A (zh) * 2013-12-04 2015-09-16 Insyde Software Corp 使用保護讀取儲存器安全地儲存韌體數據之系統及方法
US9563773B2 (en) * 2014-02-26 2017-02-07 Dell Products L.P. Systems and methods for securing BIOS variables
US9785801B2 (en) * 2014-06-27 2017-10-10 Intel Corporation Management of authenticated variables
WO2016014031A1 (en) * 2014-07-22 2016-01-28 Hewlett-Packard Development Company, L.P. Authorizing a bios policy change for storage
US10296730B2 (en) * 2014-08-18 2019-05-21 Dell Products L.P. Systems and methods for automatic generation and retrieval of an information handling system password
CN104850792A (zh) * 2015-05-20 2015-08-19 浪潮电子信息产业股份有限公司 一种服务器信任链的构建方法和装置
CN104866784B (zh) * 2015-06-03 2018-03-23 杭州华澜微电子股份有限公司 一种基于bios加密的安全硬盘、数据加密及解密方法
US10013561B2 (en) 2015-10-30 2018-07-03 Ncr Corporation Dynamic pre-boot storage encryption key
CN105678173B (zh) * 2015-12-31 2018-06-29 武汉大学 基于硬件事务内存的vTPM安全保护方法
CN107292176B (zh) * 2016-04-05 2021-01-15 联想企业解决方案(新加坡)有限公司 用于访问计算设备的可信平台模块的方法和系统

Also Published As

Publication number Publication date
CN111373404A (zh) 2020-07-03
US11507668B2 (en) 2022-11-22
EP3685300A1 (en) 2020-07-29
KR102322955B1 (ko) 2021-11-08
EP3685300A4 (en) 2021-04-28
US20200210588A1 (en) 2020-07-02
KR20200047696A (ko) 2020-05-07
WO2019059887A1 (en) 2019-03-28
JP2020534619A (ja) 2020-11-26
CN111373404B (zh) 2024-03-22

Similar Documents

Publication Publication Date Title
US9535712B2 (en) System and method to store data securely for firmware using read-protected storage
CN109918919B (zh) 认证变量的管理
US11455396B2 (en) Using trusted platform module (TPM) emulator engines to measure firmware images
JP4982825B2 (ja) コンピュータおよび共有パスワードの管理方法
JP4288209B2 (ja) システム・オン・チップのためのセキュリティ・アーキテクチャ
CN109587106B (zh) 密码分区的云中的跨域安全性
JP6096301B2 (ja) ファームウェアにおける盗難防止
US11354417B2 (en) Enhanced secure boot
TWI632483B (zh) 安全裝置及在其內提供安全服務至主機的方法、安全設備以及電腦軟體產品
US10747885B2 (en) Technologies for pre-boot biometric authentication
US10853086B2 (en) Information handling systems and related methods for establishing trust between boot firmware and applications based on user physical presence verification
US11960737B2 (en) Self-deploying encrypted hard disk, deployment method thereof, self-deploying encrypted hard disk system and boot method thereof
Raj et al. ftpm: A firmware-based tpm 2.0 implementation
Buhren et al. Fault attacks on encrypted general purpose compute platforms
US10229281B2 (en) Remote provisioning and authenticated writes to secure storage devices
US10956564B2 (en) Systems and methods for key-based isolation of system management interrupt (SMI) functions and data
JP6898519B2 (ja) 暗号化キーのセキュリティ
US8108905B2 (en) System and method for an isolated process to control address translation
US10592663B2 (en) Technologies for USB controller state integrity protection
US20230229774A1 (en) Bios action request for authorized application
CN103942482B (zh) 一种基于嵌入式的主机安全保护方法
Proudler et al. Initialising TPM2

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200423

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210511

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210610

R150 Certificate of patent or registration of utility model

Ref document number: 6898519

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees