知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-01
(45)【発行日】2024-05-13
(54)【発明の名称】耐改ざんデータ処理装置
(51)【国際特許分類】
H04L 9/10 20060101AFI20240502BHJP
H04L 9/32 20060101ALI20240502BHJP
G06F 21/44 20130101ALI20240502BHJP
【FI】
H04L9/10 A
H04L9/32 200B
G06F21/44
【請求項の数】
15
(21)【出願番号】P 2021540853
(86)(22)【出願日】2020-01-10
(65)【公表番号】
(43)【公表日】2022-03-03
(86)【国際出願番号】 EP2020050504
(87)【国際公開番号】W WO2020148176
(87)【国際公開日】2020-07-23
【審査請求日】2022-12-21
(31)【優先権主張番号】19151564.2
(32)【優先日】2019-01-14
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】521309879
【氏名又は名称】ミューズ エレクトロニクス ゲーエムベーハー
(74)【代理人】
【識別番号】110000338
【氏名又は名称】弁理士法人 HARAKENZO WORLD PATENT & TRADEMARK
(72)【発明者】
【氏名】ツァッハ,ゲーラルト
(72)【発明者】
【氏名】レヒナー,フィリップ
【審査官】金沢 史明
(56)【参考文献】
【文献】特開2006-031818(JP,A)
【文献】米国特許出願公開第2015/0186684(US,A1)
【文献】特開2011-018347(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-21/88
H04L 9/00- 9/40
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
プロセッサ(3)と、前記プロセッサ(3)に接続されたプログラムメモリ(4)と、データライン(5)を介して前記プロセッサ(3)に接続され、電源ライン(11)を介して電力が供給される少なくとも1つのハードウェアコンポーネント(6~9)とが配置されたハウジング(2)を備え、前記ハウジング(2)内に配置され、インターフェース(16)を有するマイクロコントローラ(15)と、第1の公開/秘密鍵ペア(22)の前記公開鍵(pubA,i)が格納された永続鍵メモリ(17)とによって特徴付けられたデータ処理装置であって、
前記マイクロコントローラ(15)によって制御されるスイッチ(12)は、前記データライン(5)に挿入され、
前記マイクロコントローラ(15)は、前記インターフェース(16)を介して前記インターフェース(16)に着脱可能に接続されたメモリモジュール(20)の前記第1の鍵ペア(22)の前記秘密鍵(privA,i)を使用して生成された署名(25)を受信し、前記第1の鍵ペア(22)の前記公開鍵(pubA,i)を使用して前記署名(25)を検証し、検証が成功する場合において、前記スイッチ(12)をオンにするように構成される、
データ処理装置。
【請求項2】
マイクロコントローラ(15)によって制御される更なるスイッチ(13)は、前記電源ライン(11)に挿入され、前記マイクロコントローラ(15)は、前記検証が成功する場合において、前記更なるスイッチ(13)もスイッチオンするように、更に構成されることを特徴とする、請求項1に記載のデータ処理装置。
【請求項3】
前記マイクロコントローラ(15)は、前記検証が成功する場合において、前記インターフェース(16)を介して前記メモリモジュール(20)からプログラム(27)をロードするように構成されていることを特徴とする、請求項1又は2に記載のデータ処理装置。
【請求項4】
第2の公開鍵/秘密鍵ペア(23)の前記秘密鍵(privB,j)は、前記鍵メモリ(17)に格納され、前記マイクロコントローラ(15)は、前記インターフェース(16)を介して、前記第2の鍵ペア(23)の前記公開鍵(pubB,j)を使って暗号化されたプログラム又はデータ(27)をロードし、前記第2の鍵ペア(23)の前記秘密鍵(privB,j)を使用し、プログラム又はデータをそれぞれ復号し、前記プログラム又はデータを、前記プログラムメモリ(4)又は前記ハードウェアコンポーネント(6~9)内への格納のために、前記プロセッサ(3)にそれぞれ供給するように構成されることを特徴とする、請求項3に記載のデータ処理装置。
【請求項5】
前記マイクロコントローラ(15)の信頼済みプラットフォームモジュール(18)内に公開鍵/秘密鍵マスター鍵ペア(24)の前記公開鍵(pubM)が格納され、前記マイクロコントローラ(15)は、前記インターフェイス(16)を介して前記マスター鍵ペア(24)の前記秘密鍵(privM)を使用して署名された公開鍵(pubA,i)を受信し、前記マスター鍵ペア(24)の前記公開鍵(pubM)を使用し、公開鍵(pubA,i)のの前記署名(25)を検証し、前記検証が成功する場合において、前記受信した公開鍵(pubA,i)を前記鍵メモリ(17)内に格納するように構成される、請求項1~4の何れか1項に記載のデータ処理装置。
【請求項6】
前記ハードウェアコンポーネント(6~9)の少なくとも1つは、永続的な大容量記憶装置であることを特徴とする、請求項1~5の何れか1項に記載のデータ処理装置。
【請求項7】
前記ハードウェアコンポーネント(6~9)の少なくとも1つは、無線インターフェースモジュールであることを特徴とする、請求項1~5の何れか1項に記載のデータ処理装置。
【請求項8】
前記ハードウェアコンポーネント(6~9)の少なくとも1つは、カメラ又は環境センサであることを特徴とする、請求項1~5の何れか1項に記載のデータ処理装置。
【請求項9】
前記インターフェースは、有線インターフェース(16)であることを特徴とする、請求項1~8の何れか1項に記載のデータ処理装置。
【請求項10】
前記インターフェースは、USBインターフェースであることを特徴とする、請求項9に記載のデータ処理装置。
【請求項11】
前記ハウジング(2)は、前記マイクロコントローラ(15)に接続された改ざんセンサ(32)を備え、前記マイクロコントローラ(15)は、前記改ざんセンサ(32)が起動する場合、前記スイッチ(12)をオフにするように構成されることを特徴とする、請求項1~10の何れか1項に記載のデータ処理装置。
【請求項12】
前記ハウジング(2)は、前記マイクロコントローラ(15)に接続された改ざんセンサ(32)を備え、前記マイクロコントローラ(15)は、前記改ざんセンサ(32)が起動する場合、前記更なるスイッチ(13)をオフにするように構成されることを特徴とする、請求項2~11の何れか1項に記載のデータ処理装置。
【請求項13】
前記マイクロコントローラ(15)は、前記改ざんセンサ(32)が起動する場合、前記鍵メモリ(17)をクリアするように更に構成されることを特徴とする、請求項11又は12に記載のデータ処理装置。
【請求項14】
前記データ処理装置は、前記マイクロコントローラ(15)に接続された停電検出器(30)を備え、前記マイクロコントローラ(15)は、前記停電検出器(30)が起動する場合、前記鍵メモリ(17)をクリアするように構成されることを特徴とする、請求項1~13の何れか1項に記載のデータ処理装置。
【請求項15】
前記マイクロコントローラ(15)は、前記停電検出器(30)が起動する場合、前記信頼済みプラットフォームモジュール(18)内の前記マスター鍵ペア(24)の前記公開鍵(pubM)を削除するように更に構成されることを特徴とする、請求項5及び14に記載のデータ処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、プロセッサと、プロセッサに接続されたプログラムメモリと、データラインを介してプロセッサに接続され、電源ラインを介して電力が供給される少なくとも1つのハードウェアコンポーネントとが配置されたハウジングを含む、データ処理装置に関する。
【背景技術】
【0002】
US2015/0186684 A1は、データ処理装置用の電源装置を記載する。電源は、電子タグを承認コードに接続するための受信機を有する。受信機は、タグから受信した承認コードを指定されたコードと比較し、検証の場合において、トランジスタスイッチを介して装置への電源をオンにする。
【発明の概要】
【発明が解決しようとする課題】
【0003】
改ざん及びハッカー攻撃に対するデータ処理装置の保護は、特に公的及び産業部門において、セキュリティが決定的なアプリケーションにとって戦略的に重要である。物理的なアクセスバリア及びソフトウェアファイアウォールという手段によって装置を保護するために、大きな努力がなされている。特に、標準的なオペレーティングシステム及びアプリケーションを有する分野におけるモバイルデータ処理装置の保護は、当該装置への簡単な物理的アクセス、それらのほとんどがオープンインターフェースであること、及びそのような装置のためのマルウェアの広範な使用のために、主要な問題である。
【0004】
本発明は、冒頭で述べた種類のデータ処理装置を、特に現場における携帯的な使用のために、改善されたセキュリティを用いて作成する、という目的を有する。
【0005】
本目的は、ハウジング内に配置され、インターフェースを有するコントローラと、第1の公開/秘密鍵ペアの公開鍵が格納される永続鍵メモリとによって特徴付けられ、
マイクロコントローラによって制御されるスイッチが当該少なくとも1つのハードウェアコンポーネントのデータライン内に挿入され、
マイクロコントローラがインターフェースを介してインターフェースに着脱可能に接続されたメモリモジュールの、第1の鍵ペアの秘密鍵を使用して生成された署名を受信し、第1の鍵ペアの公開鍵を使用して署名を検証し、検証の場合にスイッチをオンにするように構成される、冒頭で述べたタイプのデータ処理装置によって達成される。
マイクロコントローラによって制御されるスイッチが当該少なくとも1つのハードウェアコンポーネントのデータライン内に挿入され、
マイクロコントローラがインターフェースを介してインターフェースに着脱可能に接続されたメモリモジュールの、第1の鍵ペアの秘密鍵を使用して生成された署名を受信し、第1の鍵ペアの公開鍵を使用して署名を検証し、検証の場合にスイッチをオンにするように構成される、冒頭で述べたタイプのデータ処理装置によって達成される。
【課題を解決するための手段】
【0006】
本発明は、データ処理装置のための完全に新規なセキュリティ概念を作成する。セキュリティのコンセプトは、ハードウェアコンポーネントのオン及びオフを切り替えるためのデバイス内部スイッチと、外部接続可能なメモリモジュールのソフトウェア認証の組み合わせから構成される。外部接続可能なメモリモジュールは、装置を適切に起動するための「鍵」として機能する。本目的のために、個別のマイクロコントローラは、ハウジング内に配置されており、マイクロコントローラは、外部メモリモジュールの認証を処理することによって、ハードウェアコンポーネントの起動のための「セキュリティゲートウェイ」として機能し、それに応じて、ハードウェアスイッチを動作させる。データ処理装置は、対応して認証されたメモリモジュールなしでは動作することができないため、データ処理装置の改ざんの危険性が低減される。
【0007】
本開示において、「メモリモジュール」という用語は、インターフェースを介して該署名をデータ処理装置に送信することができるあらゆる種類のハードウェアコンポーネントを意味するものと理解される。メモリモジュールは、既に事前計算された当該署名、又は、必要に応じて、署名を生成するための該秘密鍵のみを含むことができる。例えば、メモリモジュールは、特に第1のケースにおいて、半導体メモリカード、メモリスティック又はチップ、RFID又はNFCタグ等の単なるメモリであり、特に第2のケースにおいて、独自の計算能力、例えば、SIMカード、暗号ドングル、スマートフォン等も備えている。
【0008】
この方法で接続されたデータ処理装置の1つ以上のハードウェアコンポーネントは、あらゆる種類とすることができる。例には、有線又は無線インターフェースモジュール、例えば、USBポート、メモリカードインターフェース、WiFi(登録商標)、Bluetooth(登録商標)又はセルラーネットワークモジュールといった無線インターフェース、キーボード、スクリーン又はタッチスクリーンといった入出力装置、カメラ又は他のあらゆる種類の環境センサが含まれる。接続されたハードウェアコンポーネントの1つは、揮発性メモリであることが好ましいプロセッサのプログラムメモリとは対照的に、特に永続的、すなわち不揮発性の大容量記憶装置、例えば、磁気ハードディスクまたは光ディスクであってもよい。したがって、マイクロコントローラによって認証されたメモリモジュールがなければ、データ処理装置は、オペレーティングシステム及びアプリケーションプログラムが格納された大容量記憶装置を有さず、すなわち、いわば「空」である。正しいメモリモジュールが接続されている場合にのみ、対応するハードウェアコンポーネント、例えばプログラム及び必要なインターフェース、カメラ、センサ等を有する永続的な大容量記憶装置が使用可能であり、並びに、データ処理装置は使用準備が整う。接続されたメモリモジュールに応じて、異なるハードウェアコンポーネントを動作させることができる。
【0009】
それぞれのハードウェアコンポーネントのデータラインを接続するスイッチに加えて、マイクロコントローラによって制御される更なるスイッチは、それぞれのハードウェアコンポーネントの電源ラインに挿入することができ、マイクロコントローラは、セキュリティを向上させるために、検証の場合において、該更なるスイッチをオンにするように構成することもできる。
【0010】
本発明の特に好適な具体例において、マイクロコントローラは、検証の場合において、インターフェースを介してメモリモジュールからプログラム及び/又はデータをロードするように構成することができる。したがって、データ処理装置は例えば、永続的な大容量記憶装置なしに配送させることができる。動作に必要なシステムプログラム、アプリケーション、及びデータは、認定されたメモリモジュール上のユーザに配布することができる。データ処理装置に関して認証されたそれぞれのメモリモジュールが接続されている場合のみ、データ処理装置においてプログラム及びデータがロードされ、データ処理装置を動作させることができる。
【0011】
第2の公開/秘密鍵ペアの秘密鍵は、好ましくは鍵メモリに格納され、マイクロコントローラは、インターフェースを介して第2の鍵ペアの公開鍵を使って暗号化されたプログラム又はデータをロードし、第2の鍵ペアの秘密鍵を使用して、プログラム又はデータをそれぞれ復号し、プログラム又はデータを、プログラムメモリ又はハードウェアコンポーネントへの格納のためにプロセッサに供給するように構成される。メモリモジュールからデータ処理装置へのプログラムのデータ転送は、暗号化され、インターフェース上の盗聴攻撃を受けない。
【0012】
外部メモリモジュールの公開鍵が格納される鍵メモリは、例えば、直接マイクロコントローラ内又はそれに接続されたメモリ内に配置することができる。代わりに、鍵メモリをマイクロコントローラに接続されている、信頼済みプラットフォームモジュール(TPM)に配置することもできる。本発明の更なる有利な実施形態において、そういったTPMを使用し、公開/秘密鍵とマスター鍵ペアの公開鍵をその中に格納することができ、マイクロコントローラは次に、インターフェースを介してマスター鍵ペアの秘密鍵を使用して署名された公開鍵を受信し、マスター鍵ペアの公開鍵を使用してその署名を検証し、検証の場合において、受信した公開鍵を鍵メモリに格納するように構成される。マスター鍵ペアの秘密鍵を有する管理者は、例えば、インターフェースに接続された管理者端末を使用してアプリケーション又はミッション固有の公開鍵を格納し、したがって、対応するアプリケーション又はミッション固有の承認されたメモリモジュールを有するユーザのためにデータ処理装置を準備することができる。
【0013】
インターフェースは、外部メモリモジュール又は任意の管理者端末を接続するために使用される。インターフェースは、有線であっても、無線であってもよく、例えば、RFID(無線周波数識別)、WLAN(無線ローカルエリアネットワーク)、NFC(近距離無線通信)又はBluetooth(登録商標)規格に基づく短距離無線インターフェースであってもよい。インターフェースは、好ましくは有線であり、特に好ましくは、物理的な割当てセキュリティを保証するためにUSBインターフェースである。
【0014】
本発明の更なる好ましい特徴によれば、ハウジングは、マイクロコントローラに接続された改ざんセンサを備え、マイクロコントローラは、改ざんセンサが作動したときにスイッチ又は複数のスイッチをオフにするように構成される。このような改ざんセンサは、例えば、ハウジングの完全性を監視し、ハウジングが開いている、又は損傷していることに応答して、1つ以上のハードウェアコンポーネントを停止することができる。この場合において、改ざんセンサが起動する場合、マイクロコントローラは、メモリモジュールが再接続された場合であっても、更なる起動を防止するために、鍵メモリをクリアすることもできることが好ましい。
【0015】
代替的に又は追加的に、データ処理装置は、マイクロコントローラに接続された停電検出器を備えることができ、マイクロコントローラは、停電検出器が起動したときに鍵メモリをクリアするように構成することができる。したがって、電源が改ざんされた場合でも、装置の更なる動作を防止することができる。信頼済みプラットフォームモジュールを有する実施形態において、マイクロコントローラは、停電検出器が起動する場合、信頼済みプラットフォームモジュール内のマスター鍵ペアの公開鍵を、更に削除することができる。マスター公開鍵がない場合、メモリモジュール固有の公開鍵は格納できなくなる。その結果、装置は、停電が検出された後、永久的に使用不能になる。
【図面の簡単な説明】
【0016】
本発明は、添付の図面に示される実施形態を参照して、以下により詳細に説明される。図面は、示す:
【発明を実施するための形態】
【0017】
図1によると、データ処理装置1は、その中に配置されたコンポーネントを安全且つ保護された状態に収容するためのハウジング2(ここでは概略的にのみ示される)を備えている。データ処理装置1は、例えば、デスクトップ、ラップトップ、ノートブック、ハンドヘルド又はタブレットコンピュータ又はスマートフォンである。ハウジング2は、高度に堅牢であり、好ましくは、ハウジング内部のデータ処理装置1のコンポーネントへのアクセスが可能な限り困難であるように固定される。ハウジング2は、防沫性又は防水性であり、照射及び放射線から保護され、熱、衝撃及び衝突から保護され、防弾性及び防爆性などであり得る。
【0018】
揮発性プログラムメモリ4に接続されたプロセッサ3、及びデータライン5を介してプロセッサ3に接続された1つ以上のハードウェアコンポーネント6~9は、対応する接続ラインを有する1つ以上の回路基板上において、ハウジング2内に配置される。データ処理装置1の全てのコンポーネントは、例としての電源ライン11を介して、ハードウェアコンポーネント6~9を含んでいる、ハウジングの内部、又は外部の電源10から、電力を供給される。
【0019】
(ここでは一例として、4つの)ハードウェアコンポーネント6~9のそれぞれは、特に、以下のようにすることができる:
-永続的な、すなわち不揮発性の大容量記憶装置、例えば、磁気ハードディスク、光記憶ディスク、フラッシュメモリ、ROM、PROM、EPROM、EEPROM等;
-有線インターフェースモジュール、例えば、USB、Firewire(登録商標)、又はHDMIインターフェース、若しくはメモリカードインターフェース、例えば、SDメモリカード;
-無線インターフェースモジュール、例えば、GSM、UMTS、LTE、5G等の2G、3G、4G又は5G規格に従ったWiFi(登録商標)、Bluetooth(登録商標)、NFC、又はRFIDモジュール若しくはセルラーネットワークモジュール;
-カメラ、又はあらゆる他の環境センサ、例えば、ハウジング2の内部及び/又は外部の温度、光及び音のための温度、音又は光センサ;
-化学センサ、大気質センサ、放射能を検出するセンサ、距離計、マルチメータ、データロガー等;
-キーボード、スクリーン、タッチスクリーンなどの入力及び/又は出力ユニット;
-衛星ナビゲーション受信機、例えばGPS、ガリレオ又はグロナス受信機;
-位置、又は加速度測定装置、又はIMU(慣性測定ユニット);
-音又は音声入出力用のオーディオモジュール。
-永続的な、すなわち不揮発性の大容量記憶装置、例えば、磁気ハードディスク、光記憶ディスク、フラッシュメモリ、ROM、PROM、EPROM、EEPROM等;
-有線インターフェースモジュール、例えば、USB、Firewire(登録商標)、又はHDMIインターフェース、若しくはメモリカードインターフェース、例えば、SDメモリカード;
-無線インターフェースモジュール、例えば、GSM、UMTS、LTE、5G等の2G、3G、4G又は5G規格に従ったWiFi(登録商標)、Bluetooth(登録商標)、NFC、又はRFIDモジュール若しくはセルラーネットワークモジュール;
-カメラ、又はあらゆる他の環境センサ、例えば、ハウジング2の内部及び/又は外部の温度、光及び音のための温度、音又は光センサ;
-化学センサ、大気質センサ、放射能を検出するセンサ、距離計、マルチメータ、データロガー等;
-キーボード、スクリーン、タッチスクリーンなどの入力及び/又は出力ユニット;
-衛星ナビゲーション受信機、例えばGPS、ガリレオ又はグロナス受信機;
-位置、又は加速度測定装置、又はIMU(慣性測定ユニット);
-音又は音声入出力用のオーディオモジュール。
【0020】
制御可能なスイッチ12は、ハードウェアコンポーネント6~9のデータライン5の各々に挿入される。同様に、制御可能なスイッチ13は、ハードウェアコンポーネント6~9の各電源ライン11に挿入されている。スイッチ12、13は、制御ライン14を介してハウジング2内のマイクロコントローラ15によって制御される。
【0021】
マイクロコントローラ15は、ハウジング2から外部へのインターフェース16を有する。インターフェース16は、有線又は無線のいずれでもよく、例えば、インターフェースは、USBインターフェース、RFID、無線LAN、NFC、又はBluetooth(登録商標)の規格に従った短距離無線インターフェース等である。しかしながら、インターフェース16は、所望により、インターフェースモジュールとして設計されたハードウェアコンポーネント6~9によって形成することもできる。
【0022】
永続鍵メモリ17及び信頼済みプラットフォームモジュール18は、その機能については後で詳しく説明するが、マイクロコントローラ15に接続される。鍵メモリ17は、信頼済みプラットフォームモジュール18と同様にマイクロコントローラ15内に直接配置することもでき、逆に、マイクロコントローラ15は、信頼済みプラットフォームモジュール18内のプロセッサ要素によって形成することもできる。
【0023】
マイクロコントローラ15は、マイクロコントローラ15の内部、鍵メモリ17内、及び/又は信頼済みプラットフォームモジュール18内の永続的なメモリ領域に格納され、マイクロコントローラ15が以下に説明する機能を実行できるようにするファームウェア19を用いてプログラムされる。
【0024】
メモリモジュール20は、インターフェース16に、着脱可能に接続される。あるいは、又はその上、管理者端末21は、特にマイクロコントローラ15、鍵メモリ17及び/又は信頼済みプラットフォームモジュール18を構成するために、インターフェース16を介して接続することもできる。
【0025】
メモリモジュール20は例えば、半導体メモリカードといった「純粋である」メモリ、例えば、USBメモリスティック、SDメモリカード、RFID、又はNFCタグ等であり、又はそれ自身の処理能力も備える。すなわち、メモリに加えて、SIMカード、暗号ドングル、スマートフォン、PDA(携帯情報端末)、デジタルブレスレットといった「ウェアラブル(wearable)」、スマートウォッチ、又は一般にあらゆるタイプのデジタル装置など、ユーザの身体に装着可能な独自のプロセッサも、備える。
【0026】
図2は、上述のコンポーネントにおける様々な鍵ペア22~24の格納を示す。各鍵ペア22~24は、秘密鍵「priv」及び公開鍵「pub」からなる。当技術分野において知られるように、通信参加者Aのデータは、自分の秘密鍵privAを使用して署名されている。参加者Aの公開鍵pubAを利用して署名を再計算することにより、別の参加者Bが認証できる。つまり、秘密鍵privAを利用して実際の署名を確認することができる。参加者Aが参加者Bの公開鍵pubBでデータを暗号化している場合、暗号化されたデータは、参加者Bが自分の秘密鍵privBを用いて復号できる。
【0027】
このような公開鍵/秘密鍵暗号方式により、1セットのメモリモジュールSM1、SM2、...、一般的にはSMiからのメモリモジュール20の多様性は、データ処理装置2に関して認証することができる。第1に、メモリモジュールSMiの公開鍵pubA,iは例えば、データ処理装置1の製造中、初期化中、及び/又は現場のユーザへの配送中に、マイクロコントローラ15の鍵メモリ17に格納される。メモリモジュールSMi自身は、関連する秘密鍵privA,iを含み、公開鍵pubA,i及び秘密鍵privA,iは、第1の鍵ペア22を形成する。
【0028】
したがって、マイクロコントローラ15は、メモリモジュール20、又はSMiが接続される場合、すなわち、データ処理装置1の動作に対するその承認を確認するために、メモリモジュール20、又はSMiを認証することができる。この目的のために、マイクロコントローラ19は、インターフェース16を介して秘密鍵privA,iを使用するメモリモジュールSMiによって生成されたメモリモジュールSMiの署名25を受け取り、鍵メモリ17に格納された公開鍵pubA,iを用いてその署名を検証する。検証の場合において、すなわち、検証が成功する場合、マイクロコントローラ15は、スイッチ12、13をオンに切り替え、検証が失敗する場合、スイッチ12、13をオフに切り替える。
【0029】
もちろん、ハードウェアコンポーネント6~9は、必ずしも両方のスイッチ12、13を有する必要はない。例えば、そのデータライン5のみがスイッチ12を介して接続されてもよく、又はその電源ライン11のみがスイッチ13を介して接続されてもよい。ハードウェアコンポーネント6~9がデータスイッチ12および電力スイッチ13の両方を有する場合、両方のスイッチ12、13は必ずしも必要ではないが、一般に、共にオン又はオフに切り替えられる。
【0030】
使用可能な全てのハードウェアコンポーネント6~9の特定のサブグループは、特定のメモリモジュールSMiに関連付けることができる。特定のサブグループは、検証の場合において、マイクロコントローラ15によってスイッチオンされる。次に、スイッチオンされるハードウェアコンポーネント6~9は、その公開鍵pubA,iの対応する識別番号によって選択することができ、その検証は、例えば、成功したものであり、ハードウェアコンポーネント6~9のリストが鍵メモリ17内に関連付けられているものである。あるいは、メモリモジュールSMiは、署名25を用いてスイッチオンされるハードウェアコンポーネント6~9のリストを送信することもできる。
【0031】
任意選択で、マイクロコントローラ15は、接続されたメモリモジュール20の存在を連続的にチェックする、又はインターフェース16は、メモリモジュール20の除去又は障害を検出し、以前にオンに切り替えられたハードウェアコンポーネント6~9を直ちにオフに切り替える。
【0032】
プログラム又はデータ27、例えば、データ処理装置1のオペレーティングシステム、動作データ及び/又はアプリケーションは、任意選択で1つ以上のメモリモジュールSMiに格納することができる。検証の場合において、マイクロコントローラ15は次に、インターフェース16を介してメモリモジュール20からプログラム又はデータ27をロードし、プロセッサ3に供給することができ、例えば、プログラムメモリ4又はハードウェアコンポーネント6~9、例えば大容量記憶装置6に記憶することができる。
【0033】
プログラム又はデータ27がインターフェース16を介して送信されるとき、当該プログラム又はデータは、第2の公開鍵pubB,j及び秘密鍵privB,jにより構成される第2の公開鍵/秘密鍵ペア23の補助を得て暗号化することができる。この目的のために、第2の鍵ペア23の秘密鍵privB,jは、マイクロコントローラ15の鍵メモリ17に格納され、第2の鍵ペア23の公開鍵pubB,jは、メモリモジュール20に格納される。メモリモジュール20は、データ処理装置1の公開鍵pubB,jを用いてプログラム又はデータ27を現時点で暗号化し、インターフェース16を介してプログラム又はデータ27を送信することができ、マイクロコントローラ15は、鍵メモリ17に格納された秘密鍵privB,jを用いて、この方法で暗号化されたプログラム又はデータ27を復号することができる。
【0034】
必要に応じて、複数の異なる第2の鍵ペア23を使用することもできる。すなわち、複数の秘密鍵privB,1、privB,2...privB,jは、それぞれの関連する公開鍵pubB,j、pubB,j...、pubB,jを用いて暗号化された異なるプログラム又はデータ27を復号化するために、鍵メモリ17内に格納することができる。
【0035】
任意選択で、鍵メモリ17内に格納される公開鍵pubA,1、pubA,2、...、pubA,iのセットは、公開鍵がそれぞれ接続可能なメモリモジュールSM1、SM2、...、SMiに関連付けられており、例えば、異なるミッションのために異なるプログラム27を有するそれぞれ異なるメモリモジュール20を用いる用途のためのデータ処理装置1を承認するように修正することができる。この目的のために、マスター鍵ペア24の公開鍵pubMは、装置1の特別に保護された部分、特に信頼済みプラットフォームモジュール18に任意選択で格納される。マスター鍵ペア24の関連する秘密鍵privMは、管理者端末21内に格納される。管理者端末21がインターフェース16に接続されるとき、マイクロコントローラ15は、管理者端末21の秘密鍵privMを使用して生成された管理者端末21の署名28を受信し、信頼済みプラットフォームモジュール18内に格納されたマスター鍵ペア24の公開鍵pubMと協力して当該署名を検証することができる。検証のイベントにおいて、マイクロコントローラ15は、1つ以上の新しい、又は更新された公開鍵pubA,iを有するリスト29が管理者端末21から受信され、既にそこに存在する公開鍵pubA,iの代わりに、又はそれに加えて、鍵メモリ17に格納することを可能にする。このように、データ処理装置1は、管理者端末21と協力して、一時的にのみ有効な、多様なメモリモジュール20を用いる用途のために構成することができる。
【0036】
鍵メモリ17内に格納された1つ以上の秘密鍵privB,1、privB,2、...、privB,jも同様に修正することができる。
【0037】
データ処理装置1の誤動作又は改ざんに対する更なるセキュリティ対策として、電源10に停電検出器30を設けることができる。停電検出器30は、マイクロコントローラ15を作動させ、電源10の故障又は中断の場合に鍵メモリ17をクリアする。その結果、接続されたメモリモジュール20を認証するために鍵メモリ17に格納された公開鍵pubA,iは、もはや存在しない。任意選択で、停電検出器30が起動するとき、マイクロコントローラ15は、信頼済みプラットフォームモジュール18内のマスター鍵ペア24の公開鍵pubMを削除することもでき、それによって、データ処理装置1は、もはや、インターフェース16を介して、管理者端末21と協力して構成することができず、したがって、使用不能にされる。その上、マイクロコントローラ15内のプログラムの一部又は全部を削除することもできる。
【0038】
鍵メモリ17及び/又は信頼済みプラットフォームモジュール18に対する同様の「緊急削除機能」も、ユーザが起動することができ及びハウジング2の外部からアクセス可能なスイッチ31と協力して、作動させることができる。
【0039】
追加のセキュリティ対策として、ハウジング2に改ざんセンサ32を装備することができる。改ざんセンサ32は例えば、開封、損傷、振動、過熱、過冷却、照射又は超音波処理などの、ハウジング2上、又は内の改ざんを検出し、次いで、マイクロコントローラ15に、スイッチ12、13をオフに切り替えさせ、及び/又は前述の緊急削除機能をトリガさせる。このような改ざんセンサ32は例えば、以下のようなものであってもよい:
-ハウジング2が開放されたときに開閉するスイッチング接点であって、その作動をマイクロコントローラ15に信号で伝えるスイッチング接点;
-ハウジング2のハウジング壁の電気抵抗を、例えば、ハウジング2の壁の上に分配された電極の間で、又は導電性インク、有線等のグリッド内で、監視して、抵抗の変化に基づいてハウジング2内の割れ目又は亀裂を検出する抵抗測定装置;
-ハウジング2の内部のためのマイクロホンであって、マイクロホンは、ハウジング内部の音透過又は反射挙動の変化に基づいて、ハウジング2の構造変化を検出するマイクロホン;
-導入された音、又は超音波のために、ハウジング2及びそのコンポーネントのソリッドステート構造の音の伝達又は共鳴挙動に基づいた、そのような構造変化を検出するソリッドボーン音監視装置;
-例えばハウジング2内への光、又は音の侵入によるハウジング2の開口を検出する、ハウジング2内、又は上の他のタイプの光又は音検出器;
-ハウジング2上、又は内の改ざんを検出するために、ハウジング内部、又は外側に向けられるカメラ等。
-ハウジング2が開放されたときに開閉するスイッチング接点であって、その作動をマイクロコントローラ15に信号で伝えるスイッチング接点;
-ハウジング2のハウジング壁の電気抵抗を、例えば、ハウジング2の壁の上に分配された電極の間で、又は導電性インク、有線等のグリッド内で、監視して、抵抗の変化に基づいてハウジング2内の割れ目又は亀裂を検出する抵抗測定装置;
-ハウジング2の内部のためのマイクロホンであって、マイクロホンは、ハウジング内部の音透過又は反射挙動の変化に基づいて、ハウジング2の構造変化を検出するマイクロホン;
-導入された音、又は超音波のために、ハウジング2及びそのコンポーネントのソリッドステート構造の音の伝達又は共鳴挙動に基づいた、そのような構造変化を検出するソリッドボーン音監視装置;
-例えばハウジング2内への光、又は音の侵入によるハウジング2の開口を検出する、ハウジング2内、又は上の他のタイプの光又は音検出器;
-ハウジング2上、又は内の改ざんを検出するために、ハウジング内部、又は外側に向けられるカメラ等。
【0040】
マイクロコントローラ15は、改ざんセンサ32が作動するとき、改ざんされたデータ処理装置1の更なる使用を防止するために、又はそれを完全に使用不能にするために、鍵メモリ17及び/又は信頼済みプラットフォームモジュール18をクリアするようにプログラムすることができる。
【0041】
本発明は、図示された実施形態に限定されない。しかしながら、本発明は、むしろ、添付の特許請求の範囲内にある、それらの全ての変形、修正、及び組み合わせを包含する。
【図1】
【図2】