Ces opérations permettent de garantir à un ou plusieurs organisme (s) préalablement déterminé (s) (par exemple un administrateur de sécurité d'un réseau d'en-reprise, un tiers de confiance, voire, dans certains cas, les utilisateurs d'un système de chiffrement eux-mêmes), la possibilité de recouvrer, si besoin est, la clé de session utilisée dans la communication, et cela à partir des données échangées. La possibilité de recouvrer une clé de session peut découler d'un besoin d'interception légale ou de récupération de clés au sein d'une entreprise.

L'invention trouve une application dans les communications sécurisées.

Etat de la technique antérieure On connaît essentiellement deux familles de techniques de séquestre/récupération de clé, garantissant à une ou plusieurs autorités de séquestre la capacité de reconstituer, à partir des données échangées lors d'une communication entre deux interlocuteurs ou entités a et b, la clé de session utilisée, en vue de déchiffrer cette communication. Ces deux familles de techniques présentent l'avantage de pouvoir être mises en oeuvre sans qu'aucun échange de

données n'aient à être effectué à chaque communication entre les entités et la (ou les) autorité (s) de séquestre (procédé dit"off line").

Famille 1 : archivage de clés statiques de distribution de clé auprès d'une autorité de séquestre Cette famille de techniques s'applique à des systèmes dans lesquels l'établissement d'une clé de session entre les interlocuteurs utilise un protocole d'échange de clé reposant sur la possession, par--l'un des interlocuteurs (par exemple b) d'une clé secrète statique (c'est-à-dire non renouvelée à chaque session). La clé secrète utilisée par b dans le protocole d'échange de clé est archivée auprès d'une autorité de séquestre (ou répartie entre plusieurs autorités de séquestre). La possession de ce secret permet à l'autorité (ou aux autorités) de séquestre (s) de reconstituer, si besoin est, toute clé de session échangée entre a et b à partir des messages du protocole d'établissement de cette clé. Un exemple de cette méthode de séquestre et de récupération de clé est proposé dans !'article". "A Proposed Architecture for Trusted Third Party Services", par N. Jefferies, C.

Mitchell et M. Walker, paru dans"Lectures Notes in Computer Science 1029, Cryptography Policy and Algorithms Conference", pp. 98-104, Springer Verlag, 1996. C'est une des principales méthodes, relevant de cette première famille de techniques, qui a, jusqu'à aujourd'hui, été envisagée en Europe.

Famille 2 : récupération de clés de chiffrement dynamiques (clés de session) au moyen de champs légaux Cette seconde famille de techniques ne fait pas appel, contrairement à la précédente, à l'archivage préalable de clés secrètes statiques utilisées pour l'échange de clés de session, mais à l'insertion, dans les messages échangés entre a et b, lors d'une communication sécurisée, d'un ou de plusieurs champs légaux contenant, sous une forme intelligible seulement pour une autorité de séquestre, une information sur la clé de session KS. La clé KS (ou une information sur cette clé) peut par exemple être chiffrée sous la clé publique RSA d'une autorité de séquestre. Le protocole "Secure Key Recovery" (SKR), proposé par IBM, relève de cette famille de techniques.

Ces deux familles de techniques présentent <BR> <BR> <BR> <BR> <BR> certains inconvénients pour la sécurisation d'applications ouvertes que l'on souhaite pouvoir utiliser entre des interlocuteurs situés dans des pays différents ou les juridictions distinctes, comme par exemple la messagerie sécurisée. Lorsqu'une application sécurisée est susceptible d'être utilisée pour des communications internationales, il est souhaitable aue deux conditions soient remplies : (i) chaque pays doit être libre de mettre ou non en place, pour les communications qui le concernent, un système de séquestre/récupération de clé pour cette application ; (ii) dans chaque pays où un système de séquestre/récupération de clé est mis en place, les autorités habilitées à récupérer le cas échéant les clés de session servant à chiffrer

une communication internationale doivent pouvoir le faire sans avoir à coopérer, pour chaque interception, avec les autorités des autres pays.

Or, les techniques connues et précédemment décrites ne satisfont pas ou satisfont mal à ces conditions : -pour les procédés de la première famille, lorsque la méthode de distribution de la clé de session considérée relève du chiffrement à clé publique (en particulier le chiffrement RSA employé pour cet usage dans de très nombreux produits de sécurité), la récupération de la clé de session d'une communication n'est possible, sans coopération internationale, que dans le pays où la clé secrète utilisée pour la distribution de clé a été archivée. Cette difficulté a conduit certains auteurs (cf. l'article de N. Jefferies et al. précédemment cité) à préconiser des systèmes de séquestre/récupération de clé reposant sur une méthode d'échange de clé plus symétrique, apparentée au schéma de Diffie-Hellman. Ces systèmes satisfont à la condition (ii) précédente et pourraient peut-être, moyennant certaines adaptations, satisfaire à la condition (i), mais ils introduisent des contraintes fortes sur la méthode de distribution de clé utilisée, qui conduisent notamment à exclure l'utilisation de l'algorithme RSA.

-Pour les procédés de la seconde famille, la récupération de clé dans le pays destinataire,

à partir de champs légaux, repose sur la mise en place dans le pays émetteur d'une technique de séquestre/récupération de clé adaptée au pays destinataire, à savoir l'émission de champs légaux intelligibles pour les autorités de séquestre du pays destinataire. Cette contrainte est en contradiction avec la condition (i) précédente.

L'article de D. E. Denning intitulé"Descriptions of Key Escrow Systems"publié dans"Communications of the ACM", vol. 39, n°3, Mars 1996, ainsi que l'article de D. E. Denning et D. K. Branstad intitulé"A taxonomy of Key Recovery Encryption Systems", publié dans "Communications of the ACM", vol. 39, n°3, Mars 1996, donnent une description et une analyse comparative de plus de trente systèmes de séquestre et de récupération de clé.

On peut s'en tenir à deux exemples illustrés sur les figures 1 et 2 annexées.

Sur la figure 1, tout d'abord, on voit deux <BR> <BR> <BR> <BR> entités a, b équipées chacune de moyens de cryptcloa, non représentés et munies chacune d'une identité Ida, Idb, d'une clé publique et d'une clé secrète de chiffrement, respectivement Pa, Pb, et Sa, Sb, ainsi que d'un certificat Ca, Cb ; on voit, en outre, deux autorités de séquestre Ta et Tb associées aux deux entités a et b, ces deux autorités archivant chacune les clés secrètes Sa, Sb des entités associées ainsi que leurs certificats Ca ou Cb. Les certificats attestent de la correspondance entre clé secrète et clé publique et que la clé secrète a bien été archivée. L'autorité de certification n'est pas représentée sur cette figure.

Le certificat peut être conforme à la recommandation X509 de l'UIT-T.

Le procédé de communication entre ces différents moyens comprend les opérations suivantes : A) l'entité a, qui est supposée s'engager dans une session de transmission d'un message vérifie la validité des certificats Ca et Cb, produit une clé de session KS mettant en oeuvre un générateur pseudo-aléatoire non représenté, utilise ses moyens de cryptologie pour chiffrer la clé de session KS avec la clé publique Po. de l'autre entité et chiffrer le message M avec la clé de session selon un algorithme de chiffrement symétrique, transmet son identité IDa ou son certificat Ca, la clé de session cryptée Po (KS) e le message chiffré Exs (M), B) l'entité b, à qui est destinée la transmission : vérifie la validité des certificats Ça et Co, récupère la clé de session KS en utilisant sa clé secrète So, déchiffre le message M en utilisant la clé de session KS.

Dans un tel procédé, l'autorité de séquestre Tb peut, si elle le souhaite, recouvrer elle aussi la clé de session KS grâce à la clé secrète S-qu'elle a archivée et peut ainsi recouvrer le message transmis.

Ce procédé présente un inconvénient. effet, si l'autorité de séquestre Tb peut récupérer la clé de session KS (car elle a archivé la clé secrète Tb) et peut ainsi recouvrer le message transmis, il n'en va pas de même pour l'autorité de séquestre Ta, car elle

ne dispose pas de la clé secrète Sb. Il faut alors supposer une coopération entre les autorités de séquestre Ta et Tb, ce qui ne va pas de soi dans le cas de communications internationales.

Cette difficulté vient, notamment, de ce que le processus d'échange de clé fait appel à un chiffrement- déchiffrement dissymétrique utilisant un couple de clés respectivement publique-secrète, comme par exemple dans le chiffrement RSA. Certains auteurs ont préconisé des processus plus symétriques, apparentés à un protocole dit de Diffie-Hellman. Ce procédé est illustré sur la figure 2. On y retrouve sensiblement les mêmes moyens que sur la figure 1, à savoir les deux entités a e b et les deux autorités de séquestre Ta et Tb. Les paramètres du protocole de Diffie-Hellman sont constitués par un grand nombre premier p, dit modulé, et un nombre générateur g. Les deux autorités de séquestre Ta et To se sont entendues sur ces nombres p et g. La clé secrète Sa de a est un exposant secret α qui est archivé dans Ta et la clé publique de a est Pa=g. Le certificat Ca contient la clé publique Pa=gα.

Il en va de même pour l'entité b : (S2= , Pb=g )- Pour envoyer un message à l'entité b, l'entité a engendre une clé de session KS et adresse à b : son certificat Ca (qui contient Pa=gα), la clé de session chiffrée par un algorithme E utilisant la clé gα , (Eg (KS)), 'le message chiffré par la clé de session KS (EKS (M)).

La connaissance par Ta de a et de la clé publique Pb=g de b permet à Ta de calculer (gp) a=gp. De même

pour Tb qui peut calculer (g «) =ga . Ainsi, gα est-il partagé par a et b.

Chaque autorité Ta ou Tb peut donc retrouver la clé de session (KS) et donc recouvrer le message (M).

Mais, là encore, ce schéma suppose un accord entre les parties.

La présente invention a pour but de remédier à ces inconvénients en proposant un procédé qui ne requiert aucun accord entre les parties communicantes7 le recouvrement de la clé de session et du message s'effectuant à partir des seules données échangées dans la communication.

Exposé de l'invention De façon précise, l'invention a pour objet un procédé de communication chiffrée avec séquestre et récupération de clé de chiffrement, mettant en oeuvre : -une première entité (a) comprenant des premiers moyens de cryptologie (MCa) et munie d'une première identité (Ida), d'une première clé publique de distribution de clé (Pa) et d'u, e première clé secrète de distribution de clé (Sa) correspondant à ladite première clé publique (Pa), -une seconde entité (b) comprenant des seconds moyens de cryptologie (MCb) et munie d'une e seconde identité (Idb), d'une seconde clé publique de distribution de clé (Pb) et d'une seconde clé secrète de distribution de clé (Sb) correspondant à ladite seconde clé publique (Pb), ce procédé comprenant :

i) une phase préliminaire d'établissement dune clé de session (KS) phase dans laquelle l'une au moins des entités (a, b) produit une clé de session (KS) et forme un cryptogramme constitué de cette clé chiffrée par la clé publique (Pô, Pa) de l'autre entité, l'autre entité (b, a) déchiffrant ledit cryptogramme à l'aide de sa clé secrète (Sb, Sa) et recouvrant la clé de session (KS), ii) une phase d'échange de messages (M) dans laquelle les entités (a, b) forment des cryptogrammes Eus (M) constitués par des messages (M) chiffrés par la clé de sessior (NS) é ablie dans la phase préliminaire, chaque entité déchiffrant le cryptogramme qu'elle reçoit à l'aide de la clé de session (KS) et recouvrant ainsi le message qui lui a été adressé, ce procédé étant caractérisé par le fait que met en oeuvre, en outre, au moins une autorité de séquestre (Ta, Tb) associée à l'une des entités (a, b), cette autorité archivant la clé secrète (Sa, Sb) de l'entité associée (a, b), dans la phase préliminaire, l'entité (a, b) qui produit la clé de session (KS) met en oeuvre un générateur pseudo-aléatoire (PRGa, PRGb) connu de l'autorité de séquestre (Ta, Tb) associée initialise ce générateur pseudo-aléatoire à l'aide de sa clé secrète (Sa, Sz) et d'une valeur initiale (VI) déduite, par un algorithme connu de l'autorité de séquestre (Ta, Tb), de données appropriées.

Selon un mode de mise en oeuvre, l'autorité de séquestre (Ta, Tb) associée à l'entité (a, b) qui a produit, dans la phase préliminaire, la clé de session (KS), met en oeuvre un générateur pseudo-aléatoire identique à celui de l'entité associée (PRGa, PRGb), initialise ce générateur avec ladite valeur initiale (VI) et la clé secrète (Sa, Sb) de l'entité associée (a, b) qu'elle a archivée, et recouvre ainsi la clé de session (KS).

Selon un autre mode de mise en oeuvre, l'autorité de séquestre (Tb, Ta) associée à l'entité (b, a) qui n'a pas produit, dans la phase préliminaire, la clé de session (KS), déchiffre le cryptogramme de la clé session (Pb (KS), Pa (KS)) à l'aide de la clé secrète (Sb, Sa) de l'entité associée (b, a) qu'elle a archivée et recouvre ainsi la clé de session (KS).

Quant à la valeur initiale VI elle peut soit être déduite des données échangées entre les entités a et b dans la phase préliminaire d'établissement de la clé de session soit être obtenue par essais successifs à partir de données susceptibles de prendre un nombre donné de valeurs, ce nombre étant suffisamment restreint pour que le temps mis par l'autorité de séquestre soit compatible avec l'application envisagée.

Comme indiqué dans l'introduction, l'autorité de séquestre peut être un tiers agréé, ou un administrateur de sécurité d'un réseau d'entreprise, ou l'utilisateur lui-même (le séquestre est alors un "auto-séquestre").

Brève description des dessins -la figure 1, déjà décrite, illustre un procédé connu asymétrique ; -la figure 2, déjà décrite, illustre un procédé commun symétrique ; -la figure 3 illustre schématiquement un procédé selon l'invention.

Description de modes particuliers de mise en oeuvre Le procédé de l'invention peut être décrit en spécifiant d'abord certaines conditions initiales, : en précisant ensuite les procédures développées dans le moyen de cryptologie de l'utilisateur et en décrivant enfin la procédure de récupération de la clé.

A. Conditions initiales La clé secrète Sa du système de chiffrement de clés à clé publique utilisé par l'entité a à des fins d'établissement de clés de session est archivée auprès de l'autorité de séquestre Ta. La remise à a, par une autorité de certification AC désignée à l'avance par Ta, d'un certificat Ca attestant de la correspondance entre l'identité Ida de a et la clé publique Pa (par exemple un certificat conforme à la recommandation XK09 de l'UIT-T), doit être subordonnée à cet archivage. La possession par a d'un certificat émanant de AC prouve que l'archivage auprès de Ta de la clé secrète Sa correspondant à la clé publique Pa a été effectivement réalisé. En pratique, l'autorité de certification AC et le tiers de séquestre Ta peuvent être un même organisme, ou deux organismes distincts ayant passé un accord. La génération de la clé secrète Sa peut, selon

le cas, être effectuée par l'utilisateur a ou par le tiers Ta.

B. Procédures dans le moyen de cryptologie de l'utilisateur On entend par"moyen de cryptologie de a"noté MCa, les ressources logicielles et matérielles mettant en oeuvre les calculs cryptographiques d'établissement d'une clé de session et de chiffrement de a lors d'une communication sécurisée. Par exemple, le logiciel client d'une messagerie sécurisée peut être considéré comme un moyen de cryptologie.

Pour que le moyen de cryptologie MCa de l'utilisateur a soit en conformité avec le service de tiers de séquestre offert par Ta, il doit satisfaire aux conditions suivantes : i) L'exécution des fonctions de chiffrement de MCa (établissement d'une clé de session, chiffrement) doit être subordonnée. à la présence d'un certificat Ca provenant d'une autorité de certification AC désignée par Ta et de la clé secrète Sa correspondante. Le moyen de chiffrement MCa doit vérifier non seulement que le certificat Ca est valide, mais encore qu'il y a effectivement correspondance entre la clé secrète Sa et la clé publique Pa contenue dans Ta.

Ces vérifications sont nécessaires pour avoir l'assurance que le tiers de séquestre Ta est en mesure de recouvrer les clés de session traitées par MCa. ii) Le procédé de génération de clés mis en oeuvre dans MCa-typiquement l'algorithme de génération de clé utilisé pour générer une clé de session KS

lorsque a initie une session sécurisée avec un interlocuteur b-doit être un générateur pseudo- aléatoire GPA connu de Ta, et dont les germes, c'est-à-dire les entrées à partir desquelles les valeurs produites par le générateur sont calculées, sont constitués : -de la clé secrète Sa (ou, selon une variante, d'une fonction H (Sa) de cette clé) ; -d'une valeur initiale VI déduite, par un algorithme connu de Ta, de données variables contenues dans la partie non chiffrée des communications entre a et ses interlocuteurs (par exemple la date et l'heure), ou d'un compteur géré à l'intérieur de MCa.

Le générateur pseudo-aléatoire doit satisfaire aux conditions suivantes : i) il doit être facile de déduire la valeur de sortie de ce générateur (typiquement la clé de session KS) à partir de Sa (ou de H (Sa)) et de la valeur initiale VI. Selon un mode de réalisation préféré de l'invention, la taille de la valeur initiale VI peut être limitée entre 20 et 40 bits de taille effective, afin que, lorsque la clé secrète Sa est connue, la récupération de. la valeur de sortie du générateur reste possible par recherche exhaustive même lorsque la valeur exacte de VI est perdue, ii) il doit être difficile de prédire une information sur Sa (ou sur H (Sa)) à partir d'un ensemble de valeurs de VI et des valeurs de sortie GPA (Sa, VI) ou GPA (H (Sa), VI) correspondantes,

iii) il doit être difficile de prédire une information relative aux sorties GFA (Sa, VI) ou GPA (H (Sa), VI) pour les différentes valeurs de VI lorsque la valeur de Sa (ou H (Sa)) est inconnue.

C. Procédures de récupération de clé Il existe deux procédures distinctes pour la récupération de la clé de session KS utilisée pour chiffrer une communication sécurisée entre l'utilisateur a et un correspondant b, par Ta ou une autorité habilitée à accéder au secret Sa archivé par Ta : i) Si la clé de session KS est produite par b et reçue par a chiffrée à l'aide de la clé publique Pa de a, alors Ta peut recouvrer la clé KS en déchiffrant à l'aide du secret archivé Sa le cryptogramme Pa (KS) transmis dans le protocole de distribution de clé. ii) Si la clé de session KS est produite dans le moyen de cryptologie MCa de a et envoyée à b chiffrée sous la clé publique Po de b, alors Ta peut récupérer dans les données échangées en clair entre a et b la valeur d'initialisation VI et reconstituer la valeur de KS à l'aide de VI et de la valeur archivée de Sa, en effectuant le calcul KS=GPA (Sa, VI) ou KS=GPA (H (Sa), VI). Dans le cas où VI et le contenu d'un compteur, ou dans le cas où la taille effective de VI est limitée et où, pour une raison quelconque, VI ne peut être récupéré à partir des données en clair, il reste possible pour Ta de récupérer la clé de session KS en procédant à un essai exhaustif des valeurs possibles de VI, et en vérifiant pour chacune si

la valeur KS=GPA (Sa, VI) ou KS=GPA (H (Sa), VI) obtenue est la bonne.

En combinant les procédures élémentaires i) et ii) définies ci-dessus, Ta reste capable de recouvrer la clé de session dans le cas où un protocole d'établissement de clé de session plus complexe est utilisé entre a et b. On peut considérer, à titre d'exemple, le protocole suivant : b engendre une valeur secrète KS1 et la transmet à a chiffrée sous la clé publique Pa de a ; a génère une valeur secrète KS et la transmet à b chiffrée sous la clé publique Pb de b ; a et b calculent la clé de session KS, égale au OU exclusif des valeurs KSI et KS2 (KS=K1 XOR K2). Pour un protocole de ce genre, Ta serait capable de recouvrer KS1 en utilisant la procédure i) définie ci-dessus et de retrouver KS2 en utilisant la procédure ii), et donc, à partir de ces deux valeurs, de recouvrer KS.

Le procédé qui vient d'être décrit peut être mis en oeuvre selon des variantes dans lesquelles l'information que constitue la clé secrète Sa n'est pas archivée auprès d'une unique entité Ta, mais fractionnée en"parts"archivées auprès de tiers de séquestre distincts.

Par exemple, la clé secrète Sa de a peut être constituée par un exposant RSA secret d. Ce secret peut être fractionné en deux"parts"dl et d2 telles que dl+d2=d. Deux autorités de séquestre Ta et T'a, respectivement chargées de l'archivage de dl et de d2 (et du module public na de a), sont capables : de vérifier, sans révéler leur part du secret d, qu'elles sont effectivement capables de

calculer la fonction secrète associée à la clé Sa ; il suffit pour ce faire que chacune d'entre elles calcule, modulo n, la puissance de la valeur d'entrée déterminée par sa part, puis que les valeurs obtenues soient multipliées entre elles modulo na, de recouvrer une clé de session KS à partir des données du protocole d'établissement de cette clé (en révélant au besoin à l'autre tiers ou à une autorité d'interception leur part de la clé Sa).