ホーム > 特許ランキング > Google LLC
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-10
(54)【発明の名称】コンピューティングデバイスのためのデータ回復
(51)【国際特許分類】
H04L 9/08 20060101AFI20240903BHJP
G06F 21/62 20130101ALI20240903BHJP
G06F 21/33 20130101ALI20240903BHJP
G09C 1/00 20060101ALI20240903BHJP
【FI】
H04L9/08 A
G06F21/62
G06F21/33
G09C1/00 650Z
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024508484
(86)(22)【出願日】2022-08-05
(85)【翻訳文提出日】2024-03-13
(86)【国際出願番号】 US2022074627
(87)【国際公開番号】W WO2023019091
(87)【国際公開日】2023-02-16
(31)【優先権主張番号】17/444,884
(32)【優先日】2021-08-11
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】502208397
【氏名又は名称】グーグル エルエルシー
【氏名又は名称原語表記】Google LLC
【住所又は居所原語表記】1600 Amphitheatre Parkway 94043 Mountain View, CA U.S.A.
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】ウレケ,トニー
(72)【発明者】
【氏名】デスーザ,ロイ
(72)【発明者】
【氏名】ケルブル,シュテファン
(57)【要約】
一態様によれば、コンピューティングデバイスにアクセスするための方法は、コンピューティングデバイスが、コンピューティングデバイスへの回復アクセスのための認証クレデンシャルを受け取ることを含み、認証クレデンシャルは、コンピューティングデバイス上の暗号化データにアクセスするために用いられる認証クレデンシャルとは異なり、方法は、回復アクセスのための認証クレデンシャルの受け取りに応じて、コンピューティングデバイス上に記憶された第1の鍵部分を取得することと、ネットワークを通じて、第2の鍵部分を受け取るための要求を送信することと、ネットワークを通じて、第2の鍵部分を含む応答を受け取ることと、第1の鍵部分および第2の鍵部分を用いて復号鍵を回復することと、復号鍵を用いてコンピューティングデバイス上の暗号化データを復号することとをさらに含む。
【特許請求の範囲】
【請求項1】
コンピューティングデバイスにアクセスするための方法であって、前記方法は、前記コンピューティングデバイスが、前記コンピューティングデバイスへの回復アクセスのための第1の認証クレデンシャルを受け取ることを含み、前記第1の認証クレデンシャルは、前記コンピューティングデバイス上の暗号化データにアクセスするために用いられる第2の認証クレデンシャルとは異なり、
前記方法は、
前記第1の認証クレデンシャルの受け取りに応じて、前記コンピューティングデバイス上に記憶された第1の鍵部分を取得することと、
ネットワークを通じて、第2の鍵部分を受け取るための要求を送信することと、
前記ネットワークを通じて、前記第2の鍵部分を含む応答を受け取ることと、
前記第1の鍵部分および前記第2の鍵部分を用いて復号鍵を回復することと、
前記復号鍵を用いて前記コンピューティングデバイス上の前記暗号化データを復号することと
をさらに含む、方法。
【請求項2】
前記第2の鍵部分を受け取るための前記要求は、データベース内へのログエントリの記録を起動し、前記第2の鍵部分は、前記データベース内への前記ログエントリの記録後に、前記コンピューティングデバイスにおいて受け取られる、請求項1に記載の方法。
【請求項3】
前記第1の鍵部分および前記第2の鍵部分を組み合わせて、ラッピング鍵を形成することと、前記ラッピング鍵を用いて前記復号鍵を復号することと
をさらに含む、請求項1に記載の方法。
【請求項4】
少なくとも1つの許可ユーザアカウントを識別する登録データを取得することと、前記第1の認証クレデンシャルが前記少なくとも1つの許可ユーザアカウントに対応するかどうかを決定することと、
前記第1の認証クレデンシャルが前記少なくとも1つの許可ユーザアカウントに対応することに応じて、前記第2の鍵部分を受け取るための前記要求を送信することと
をさらに含む、請求項1に記載の方法。
【請求項5】
前記第1の鍵部分は、前記コンピューティングデバイスの暗号プロセッサにおいて記憶され、前記第2の鍵部分を受け取るための前記要求は、前記第2の鍵部分を記憶するように構成されたセキュリティモジュールへ送信される、請求項1に記載の方法。
【請求項6】
登録データを前記暗号プロセッサまたは前記セキュリティモジュールのうちの少なくとも一方の上に記憶することをさらに含み、前記登録データは、少なくとも1つの許可ユーザアカウントを識別する、請求項5に記載の方法。
【請求項7】
前記第1の認証クレデンシャルが認証システムによって認証されたことに応じて、認証成功応答を受け取ることをさらに含み、
前記第1の鍵部分は、前記認証成功応答に応じて取得される、請求項1に記載の方法。
【請求項8】
前記第1の認証クレデンシャルは、前記コンピューティングデバイスを所有または管理する第三者に関連する、請求項1に記載の方法。
【請求項9】
前記第1の認証クレデンシャルは、前記コンピューティングデバイスのユーザに関連する、請求項1に記載の方法。
【請求項10】
回復システムであって、ネットワークを通じて、コンピューティングデバイスからの第1の要求を受け取るように構成されたセキュリティモジュールを備え、前記第1の要求は、暗号化データを復号するための復号鍵を回復するために前記コンピューティングデバイス上に記憶された第1の鍵部分と組み合わされるように構成された第2の鍵部分を求めるものであり、
前記回復システムは、
前記第1の要求に関するログエントリをデータベース内に記録するための第2の要求を前記データベースへ送信するように構成されたデータベースレコーダをさらに備え、
前記セキュリティモジュールは、前記ログエントリが前記データベース内に記録された後に、前記第2の鍵部分を前記コンピューティングデバイスへ送信するように構成されている、回復システム。
【請求項11】
前記セキュリティモジュールは、登録データの少なくとも部分を記憶するように構成されており、前記登録データは、第三者に関連付けられた少なくとも1つの許可ユーザアカウントを識別する、請求項10に記載の回復システム。
【請求項12】
前記セキュリティモジュールは、前記登録データの受け取りに応じて、前記第2の鍵部分を生成するように構成されている、請求項11に記載の回復システム。
【請求項13】
前記セキュリティモジュールは、前記登録データの受け取りに応じて、前記第1の鍵部分を生成するように構成されており、前記セキュリティモジュールは、前記第1の鍵部分を前記コンピューティングデバイスへ送信するように構成されている、請求項11に記載の回復システム。
【請求項14】
実行可能命令を記憶する非一時的コンピュータ可読媒体であって、前記実行可能命令は、少なくとも1つのプロセッサによって実行されると、前記少なくとも1つのプロセッサに、コンピューティングデバイスへの回復アクセスのための第1の認証クレデンシャルを受け取ることを行わせ、前記第1の認証クレデンシャルは、前記コンピューティングデバイス上の暗号化データにアクセスするために用いられる第2の認証クレデンシャルとは異なり、
前記第1の認証クレデンシャルの受け取りに応じて、前記コンピューティングデバイス上に記憶された第1の鍵部分を取得することをさらに行わせ、
ネットワークを通じて、第2の鍵部分を受け取るための要求を送信することをさらに行わせ、前記第2の鍵部分を受け取るための前記要求は、データベース内へのログエントリの記録を起動し、
前記ログエントリが前記データベース内に記録された後に、前記第2の鍵部分を含む応答を受け取ることと、
前記第1の鍵部分および前記第2の鍵部分を用いて復号鍵を回復することと、
前記復号鍵を用いて前記暗号化データを復号することと
をさらに行わせる、非一時的コンピュータ可読媒体。
【請求項15】
前記実行可能命令は、前記少なくとも1つのプロセッサによって実行されると、前記少なくとも1つのプロセッサに、コンピューティングセッションがログオフされたことに対する受け取りに応じて、データを暗号化させる命令を含む、請求項14に記載の非一時的コンピュータ可読媒体。
【請求項16】
前記実行可能命令は、前記少なくとも1つのプロセッサによって実行されると、前記少なくとも1つのプロセッサに、少なくとも1つの許可ユーザアカウントを識別する登録データを取得することと、
前記第1の認証クレデンシャルが前記少なくとも1つの許可ユーザアカウントに対応するかどうかを決定することと、
前記第1の認証クレデンシャルが前記少なくとも1つの許可ユーザアカウントに対応することに応じて、前記第2の鍵部分を受け取るための前記要求を送信することと
を行わせる命令を含む、請求項14に記載の非一時的コンピュータ可読媒体。
【請求項17】
前記実行可能命令は、前記少なくとも1つのプロセッサによって実行されると、前記少なくとも1つのプロセッサに、前記登録データを、前記コンピューティングデバイス上の暗号プロセッサ、またはサーバコンピュータによって実行可能なセキュリティモジュールのうちの少なくとも一方の上に記憶することと、
前記登録データの受け取りに応じて、前記第1の鍵部分または前記第2の鍵部分のうちの少なくとも一方を生成することと
を行わせる命令を含む、請求項16に記載の非一時的コンピュータ可読媒体。
【請求項18】
前記実行可能命令は、前記少なくとも1つのプロセッサによって実行されると、前記少なくとも1つのプロセッサに、前記第1の鍵部分を前記暗号プロセッサ上に記憶することと、
前記第2の鍵部分を前記セキュリティモジュール上に記憶することと
を行わせる命令を含む、請求項17に記載の非一時的コンピュータ可読媒体。
【請求項19】
前記実行可能命令は、前記少なくとも1つのプロセッサによって実行されると、前記少なくとも1つのプロセッサに、前記第1の認証クレデンシャルが認証システムによって認証されたことに応じて、認証成功応答を受け取らせる命令を含み、
前記第1の鍵部分は、前記認証成功応答に応じて、前記コンピューティングデバイスから取得される、請求項14に記載の非一時的コンピュータ可読媒体。
【請求項20】
前記実行可能命令は、前記少なくとも1つのプロセッサによって実行されると、前記少なくとも1つのプロセッサに、前記第1の鍵部分および前記第2の鍵部分を組み合わせて、ラッピング鍵を形成することと、
前記ラッピング鍵を用いて前記復号鍵を復号することと
を行わせる命令を含む、請求項14に記載の非一時的コンピュータ可読媒体。
【発明の詳細な説明】
【背景技術】
【0001】
関連出願の相互参照
本出願は、「DATA RECOVERY FOR A COMPUTING DEVICE」と題する、2021年8月11日に出願された、米国非仮特許出願第17/444,884号の継続であり、その優先権を主張し、同出願の開示は、その全体が本明細書において参照により組み込まれる。
本出願は、「DATA RECOVERY FOR A COMPUTING DEVICE」と題する、2021年8月11日に出願された、米国非仮特許出願第17/444,884号の継続であり、その優先権を主張し、同出願の開示は、その全体が本明細書において参照により組み込まれる。
【0002】
背景
コンピューティングデバイスに関連付けられたデータは暗号化され、その後、ユーザが自身のデバイスにログインする際に復号され得る。例えば、ユーザは自身のパスワードを提供し得、ユーザが認証されたことに応じて、データは復号され得る。コンピューティングデバイスをユーザに提供する組織(例えば、学校、企業)は、時として、暗号化データを用いてデバイスをセットアップすることを含む、デバイスを管理するためのポリシーを有する。しかし、このような組織は、ユーザが不在であるか、または非協力的であり得るときに、暗号化データのうちの一部へのアクセスを必要とすることがある。加えて、ユーザが自身のパスワードを失念してしまったということがあり得る。例によっては、ユーザのパスワードがなければ、暗号化データを復号するための復号鍵は回復不可能になり得る。
コンピューティングデバイスに関連付けられたデータは暗号化され、その後、ユーザが自身のデバイスにログインする際に復号され得る。例えば、ユーザは自身のパスワードを提供し得、ユーザが認証されたことに応じて、データは復号され得る。コンピューティングデバイスをユーザに提供する組織(例えば、学校、企業)は、時として、暗号化データを用いてデバイスをセットアップすることを含む、デバイスを管理するためのポリシーを有する。しかし、このような組織は、ユーザが不在であるか、または非協力的であり得るときに、暗号化データのうちの一部へのアクセスを必要とすることがある。加えて、ユーザが自身のパスワードを失念してしまったということがあり得る。例によっては、ユーザのパスワードがなければ、暗号化データを復号するための復号鍵は回復不可能になり得る。
【発明の概要】
【0003】
概要
本開示は、コンピューティングデバイスを管理する組織(または人物)が暗号化データへのアクセスを必要とし、組織(または人物)がコンピューティングデバイスを所有するときに、暗号化データへのアクセスを安全に提供することができる回復システムに関する。例によっては、回復システムは、ユーザが自身のパスワードにアクセスできず、ユーザがコンピューティングデバイスを所有するときに、暗号化データへのアクセスを安全に提供することができる。技術的問題は、暗号化データへの認証クレデンシャルが、安全で透明である仕方で利用可能でないときに、コンピューティングデバイス上の暗号化データへのアクセスを提供することを含み得る。本明細書において説明される回復システムは、ユーザの認証クレデンシャルが、ネットワーク攻撃および物理攻撃に対して弾力性のある仕方で利用可能でないときに、データへのアクセスを提供しつつ、コンピューティングデバイスに関連付けられたデータのセキュリティを維持する技術的解決策を提供し得る。
本開示は、コンピューティングデバイスを管理する組織(または人物)が暗号化データへのアクセスを必要とし、組織(または人物)がコンピューティングデバイスを所有するときに、暗号化データへのアクセスを安全に提供することができる回復システムに関する。例によっては、回復システムは、ユーザが自身のパスワードにアクセスできず、ユーザがコンピューティングデバイスを所有するときに、暗号化データへのアクセスを安全に提供することができる。技術的問題は、暗号化データへの認証クレデンシャルが、安全で透明である仕方で利用可能でないときに、コンピューティングデバイス上の暗号化データへのアクセスを提供することを含み得る。本明細書において説明される回復システムは、ユーザの認証クレデンシャルが、ネットワーク攻撃および物理攻撃に対して弾力性のある仕方で利用可能でないときに、データへのアクセスを提供しつつ、コンピューティングデバイスに関連付けられたデータのセキュリティを維持する技術的解決策を提供し得る。
【0004】
回復システムは、特定の条件が満たされた場合にコンピューティングデバイス上の復号ユニットに開示される2つの異なる鍵部分(例えば、第1の鍵部分、第2の鍵部分)を別個の場所内に維持し得、復号ユニットは、暗号化データを復号するために用いられる復号鍵を回復するために、第1の鍵部分および第2の鍵部分の両方を必要とする。対照的に、一部の従来の回復機構は復号鍵の管理を中央エンティティに割り当てることがあり、これは、不正使用のリスク、ネットワーク攻撃に対する脆弱性、ならびに場合によっては、ユーザのプライバシ、セキュリティ、および/または安全をリスクにさらし得るであろう大量監視に対する脆弱性などの技術的問題をもたらし得る。
【0005】
回復システムは、回復サービスモジュールを有する1つまたは複数のサーバコンピュータを含む。回復システムは、安全なネットワークを通じて回復サービスモジュールと通信するように構成されたコンピューティングデバイスを含む。コンピューティングデバイスは、コンピューティングデバイスのユーザに関連付けられた鍵部分(例えば、第1の鍵部分)を記憶し、管理するように構成された暗号プロセッサを含む。第1の鍵部分は、コンピューティングデバイスの内部に(例えば、暗号プロセッサの内部に)記憶される秘密鍵(例えば、暗号秘密)であり得る。コンピューティングデバイス(例えば、暗号プロセッサ)は第1の鍵部分(および第2の鍵部分)を生成し、記憶し得る。例によっては、ユーザに関連付けられたユーザアカウントが作成され、および/またはユーザが回復システムに登録された際に、コンピューティングデバイスは第1の鍵部分を生成し、記憶する。暗号プロセッサは、暗号化動作を実行するための専用コンピュータオンチップまたはマイクロプロセッサであり得る。例によっては、暗号プロセッサはセキュリティチップまたはトラステッドプラットフォームモジュールである。
【0006】
以下においてさらに説明されるように、暗号化データにアクセスするために用いられるユーザの認証クレデンシャルが利用できない場合には、暗号プロセッサは、ネットワークを通じて、回復サービスモジュールと通信し、第2の鍵部分を取得し得、第1の鍵部分および第2の鍵部分が、暗号化データを復号するために用いられる復号鍵を回復するために用いられる。第2の鍵部分が暗号プロセッサに返される前に、回復サービスモジュールはログエントリをデータベース(例えば、公開台帳)内に記録させ得、ログエントリは、デバイス識別子、アクセスを認められた人物を識別する情報、および/またはアクセスが提供された時刻/日付などの、アクセスに関する情報を識別し得る。
【0007】
回復サービスモジュールは、コンピューティングデバイスのユーザに関連付けられた鍵部分を記憶し、管理する1つまたは複数のハードウェアセキュリティモジュールを含む。例えば、ハードウェアセキュリティモジュールは、コンピューティングデバイス上の暗号化データを復号するための復号鍵を回復するために(第1の鍵部分と組み合わせて)用いられる鍵部分(例えば、第2の鍵部分)を記憶し、管理し得る。ハードウェアセキュリティモジュールは、暗号化鍵を管理し、暗号化および復号機能ならびに他の暗号機能を遂行するコンピューティングデバイス(例えば、物理コンピューティングデバイス)であり得る。
【0008】
ユーザは自身の認証クレデンシャルをコンピューティングデバイスに提供し得、それは、認証されると、暗号プロセッサに、第1の鍵部分をコンピューティングデバイス上の復号ユニットに開示させ得る。ユーザの認証クレデンシャルは、コンピューティングデバイスに関連付けられたパスワード、またはコンピューティングデバイスに関連付けられたユーザアカウントであり得る。しかし、認証クレデンシャルは、デジタル証明書またはバイオメトリクスデータ(例えば、顔スキャン、虹彩スキャン、指紋スキャン、音声データ等)などの他の形態の識別情報を含み得る。例によっては、復号ユニットは、(暗号プロセッサによって開示された)第1の鍵部分、および認証クレデンシャルを用いて復号鍵を回復し、コンピューティングデバイス上の暗号化データを復号する。例えば、復号鍵は暗号化鍵(例えば、ラッピング鍵)を用いて暗号化され得る。復号ユニットは第1の鍵部分および認証クレデンシャルを用いて、復号鍵を復号するために用いられる暗号化鍵を取得し得る。
【0009】
例によっては、第三者がコンピューティングデバイス上の暗号化データのうちの一部へのアクセスを必要とすることがある。例えば、第三者は、ユーザのコンピューティングデバイスを所有または管理する組織に関連付けられ得る。例えば、コンピューティングデバイスは、ユーザの会社によって所有もしくは管理された業務用コンピュータ、またはユーザの学校によって所有もしくは管理された学校用コンピュータなどの、事業者所有のコンピューティングデバイスであり得る。1つまたは複数の理由(例えば、ガバナンスの理由、リスクマネジメントの理由、法的理由、および/またはコンプライアンスの理由)のために、組織はコンピューティングデバイス上の暗号化データへのアクセスを必要とすることがある。しかし、ユーザの認証クレデンシャルがなければ、一部の従来の技術によれば、復号ユニットは復号鍵を取得または導出することができないことになる。
【0010】
このシナリオに対処するために、ユーザが不在であるか、非協力的であるか、または認証クレデンシャルを提供することができず(例えば、パスワードを失念した)、第三者がコンピューティングデバイスを物理的に所有する場合に、組織に関連付けられた1人または複数の人物(例えば、許可された第三者)がユーザのコンピューティングデバイスにアクセスすることができるよう、組織はコンピューティングデバイスを回復システムに登録し得る。例えば、回復システムは、ユーザのコンピューティングデバイスに関連付けられた登録データを記憶し得る。登録データは、ユーザが不在であるか、または非協力的であるか、あるいはさもなければ、認証クレデンシャルが利用不可能である場合に、ユーザの暗号化データにアクセスすることができる組織内の1人または複数の人員(または人員の役割/種類)を識別し得る。例えば、登録データは、ユーザの暗号化データに入ることを許可されたユーザアカウントを識別することによって、許可された第三者を指定し得る。ユーザアカウントは組織内の特定の人物または特定の役割(例えば、支配人、取締役、人事主任等)に割り当てられ得る。第三者はユーザのコンピューティングデバイスまたは別のコンピューティングデバイスを用いて回復サービスに登録し得る。例えば、第三者は自身のコンピューティングデバイスを用いて(例えば、サーバコンピュータによって実行可能な)回復サービスモジュールと通信し、登録データを登録し、登録データを提出し得、登録データは、その後、回復サービスモジュールによってユーザのコンピューティングデバイスへ通信される。例によっては、第三者はユーザのコンピューティングデバイスを用いて登録し、登録データを提出し得る。例によっては、コンピューティングデバイスは、第三者が回復サービスに登録し、1つまたは複数の許可された第三者ユーザアカウントを入力することを可能にする1つまたは複数のユーザインターフェースを描画し得る。
【0011】
コンピューティングデバイス上の暗号プロセッサは登録データを記憶し得る。例によっては、サーバコンピュータの回復サービスモジュール(例えば、ハードウェアセキュリティモジュール)が登録データを記憶し得る。例によっては、コンピューティングデバイスが回復システムに登録されたことに応じて、ハードウェアセキュリティモジュールは第2の鍵部分を生成し、記憶し得る。例によっては、第2の鍵部分はハードウェアセキュリティモジュールにおいて暗号化され、記憶される。
【0012】
登録されたコンピューティングデバイス上の暗号化データにアクセスするために、第三者は自身の認証クレデンシャルをコンピューティングデバイスに提供し得、それは、認証されると、暗号プロセッサに、認証クレデンシャルは、暗号プロセッサ上に記憶された登録データ内の許可された第三者ユーザアカウントのうちの1つに対応するかどうか(またはそれに一致するかどうか)を決定させる。第三者の認証クレデンシャルが、許可された第三者ユーザアカウントのうちの1つである場合には、暗号プロセッサは(コンピューティングデバイス上に記憶された)第1の鍵部分を復号ユニットに開示し得る。また、第三者の認証クレデンシャルが、許可された第三者ユーザアカウントのうちの1つである場合には、暗号プロセッサは、許可された第三者に関連付けられたサーバコンピュータの回復サービスモジュールの部分であるハードウェアセキュリティモジュールと通信し、ハードウェアセキュリティモジュールにおいて記憶された第2の鍵部分を取得するように構成されている。例えば、暗号プロセッサは、ネットワークを通じて、鍵要求をハードウェアセキュリティモジュールへ送信し得、鍵要求は、第三者に関する識別情報、ユーザに関する識別情報、および/またはコンピューティングデバイスに関連付けられたデバイス識別子を含む。
【0013】
第2の鍵部分が取り出され、暗号プロセッサに返される前に、コンピューティングデバイスへのアクセスを記録するためのログエントリがデータベース内に作成される。データベースは、公に利用可能であるデータベースであり得る。データベースは、公衆の特定の部分によってアクセス可能であるデータベースであり得る。例によっては、データベースは公開台帳である。例えば、回復サービスモジュールは、ログエントリをデータベース内に記録するように構成されたデータベースレコーダを含む。例によっては、データベースは、例えば、マークル木、ハッシュリスト、またはハッシュチェーンを用いて、耐タンパ性を有するロギングをサポートし得る。第2の鍵部分がコンピューティングデバイスへ送信される前に、データベースレコーダはネットワークを通じてデータベースと通信し、ログエントリをデータベース内に記録し得る。ログエントリはコンピューティングデバイスへのアクセスに関する情報を含み得る。例えば、ログエントリは、時刻、日付、コンピューティングデバイスの識別、ならびに/またはコンピューティングデバイスへのアクセスを得た人物の識別、人物の役割、および/もしくは組織を含み得る。ログエントリがデータベース内に作成された後に、ハードウェアセキュリティモジュールは第2の鍵部分を暗号プロセッサへ送信する。暗号プロセッサは第2の鍵部分を復号ユニットに提供する。復号ユニットは第1の鍵部分および第2の鍵部分を用いて、暗号化データを復号するために用いられる復号鍵を回復する。例によっては、第1の鍵部分および第2の鍵部分は、復号鍵を復号するために(例えば、対称ラッピング鍵を形成するよう)組み合わされ、復号鍵は、暗号化データを復号するために用いられる。例によっては、復号鍵は、デバイスが回復プロセスに登録された際に、第1の鍵部分および第2の鍵部分の組み合わせを用いて暗号化されていてもよい。
【0014】
例によっては、回復システムは、ユーザが別のデバイス上で(またはブラウザを用いて)自身のパスワードを変更しており、ユーザが自身のパスワードにアクセスできず、ユーザがコンピューティングデバイスを所有するときに、暗号化ユーザデータへのアクセスを安全に提供することができる。一例では、ユーザは自身の認証クレデンシャルをコンピューティングデバイスに提供し得、認証されると、暗号プロセッサは認証クレデンシャルを受け取る。ユーザは他の仕方で(例えば、古いパスワード、電子メールまたは電話検証などの回復方法を用いて)認証されてもよい。認証クレデンシャルは、復号鍵を回復するための(第1の鍵部分と組み合わされる)現在の認証クレデンシャルではないため、暗号プロセッサは(上述されたのと同じ仕方で)ハードウェアセキュリティモジュールと通信し、第2の鍵部分を取得し得る。第2の鍵部分は、ログエントリがデータベース内に作成された後に、暗号プロセッサに開示される。
【0015】
一態様によれば、コンピューティングデバイスにアクセスするための方法が、コンピューティングデバイスが、コンピューティングデバイスへの回復アクセスのための認証クレデンシャルを受け取ることを含み、認証クレデンシャルは、コンピューティングデバイス上の暗号化データにアクセスするために用いられる認証クレデンシャルとは異なり、方法は、回復アクセスのための認証クレデンシャルの受け取りに応じて、コンピューティングデバイス上に記憶された第1の鍵部分を取得することと、ネットワークを通じて、第2の鍵部分を受け取るための要求を送信することと、ネットワークを通じて、第2の鍵部分を含む応答を受け取ることと、第1の鍵部分および第2の鍵部分を用いて復号鍵を回復することと、復号鍵を用いてコンピューティングデバイス上の暗号化データを復号することと、をさらに含む。
【0016】
いくつかの態様によれば、方法は以下の特徴(またはそれらの任意の組み合わせ)のうちの1つまたは複数を含み得る。第2の鍵部分を受け取るための要求はデータベース内へのログエントリの記録を起動し、第2の鍵部分はデータベース内へのログエントリの記録後にコンピューティングデバイスにおいて受け取られる。本方法は、第1の鍵部分および第2の鍵部分を組み合わせて、ラッピング鍵を形成することと、ラッピング鍵を用いて復号鍵を復号することとを含み得る。本方法は、少なくとも1つの許可ユーザアカウントを識別する登録データを取得することと、回復アクセスのための認証クレデンシャルが少なくとも1つの許可ユーザアカウントに対応するかどうかを決定することと、回復アクセスのための認証クレデンシャルが少なくとも1つの許可ユーザアカウントに対応することに応じて、第2の鍵部分を受け取るための要求を送信することとを含み得る。第1の鍵部分はコンピューティングデバイスの暗号プロセッサにおいて記憶され、第2の鍵部分を受け取るための要求は、第2の鍵部分を記憶するように構成されたセキュリティモジュールへ送信される。本方法は、登録データを暗号プロセッサまたはセキュリティモジュールのうちの少なくとも一方の上に記憶することを含み得、登録データは少なくとも1つの許可ユーザアカウントを識別する。本方法は、回復アクセスのための認証クレデンシャルが認証システムによって認証されたことに応じて認証成功応答を受け取ることを含み得、第1の鍵部分は認証成功応答に応じて取得される。回復アクセスのための認証クレデンシャルは、コンピューティングデバイスを所有または管理する第三者に関連し得る。回復アクセスのための認証クレデンシャルはコンピューティングデバイスのユーザに関連し得る。
【0017】
一態様によれば、回復システムが、ネットワークを通じて、コンピューティングデバイスからの第1の要求を受け取るように構成されたセキュリティモジュールを含み、第1の要求は、暗号化データを復号するための復号鍵を回復するためにコンピューティングデバイス上に記憶された第1の鍵部分と組み合わされるように構成された第2の鍵部分を求めるものであり、回復システムは、第1の要求に関するログエントリをデータベース内に記録するための第2の要求をデータベースへ送信するように構成されたデータベースレコーダをさらに含む。セキュリティモジュールは、ログエントリがデータベース内に記録された後に、第2の鍵部分をコンピューティングデバイスへ送信するように構成されている。
【0018】
いくつかの態様によれば、回復システムは以下の特徴(またはそれらの任意の組み合わせ)のうちの1つまたは複数を含み得る。セキュリティモジュールは、登録データの少なくとも部分を記憶するように構成されており、登録データは、第三者に関連付けられた少なくとも1つの許可ユーザアカウントを識別する。セキュリティモジュールは、登録データの受け取りに応じて第2の鍵部分を生成するように構成されている。セキュリティモジュールは、登録データの受け取りに応じて第1の鍵部分を生成するように構成されており、セキュリティモジュールは、第1の鍵部分をコンピューティングデバイスへ送信するように構成されている。
【0019】
一態様によれば、非一時的コンピュータ可読媒体が実行可能命令を記憶し、実行可能命令は、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに、コンピューティングデバイスへの回復アクセスのための認証クレデンシャルを受け取ることを行わせ、認証クレデンシャルは、コンピューティングデバイス上の暗号化データにアクセスするために用いられる認証クレデンシャルとは異なり、回復アクセスのための認証クレデンシャルの受け取りに応じて、コンピューティングデバイス上に記憶された第1の鍵部分を取得することをさらに行わせ、ネットワークを通じて、第2の鍵部分を受け取るための要求を送信することをさらに行わせ、第2の鍵部分を受け取るための要求はデータベース内へのログエントリの記録を起動し、ログエントリがデータベース内に記録された後に、第2の鍵部分を含む応答を受け取ることと、第1の鍵部分および第2の鍵部分を用いて復号鍵を回復することと、復号鍵を用いて暗号化データを復号することとをさらに行わせる。
【0020】
いくつかの態様によれば、非一時的コンピュータ可読媒体は以下の特徴(またはそれらの任意の組み合わせ)のうちの1つまたは複数を含み得る。実行可能命令は、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに、コンピューティングセッションがログオフされたことに対する受け取りに応じてデータを暗号化させる命令を含む。実行可能命令は、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに、少なくとも1つの許可ユーザアカウントを識別する登録データを取得することと、回復アクセスのための認証クレデンシャルが少なくとも1つの許可ユーザアカウントに対応するかどうかを決定することと、回復アクセスのための認証クレデンシャルが少なくとも1つの許可ユーザアカウントに対応することに応じて、第2の鍵部分を受け取るための要求を送信することと、を行わせる命令を含む。実行可能命令は、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに、登録データを、コンピューティングデバイス上の暗号プロセッサ、またはサーバコンピュータによって実行可能なセキュリティモジュールのうちの少なくとも一方の上に記憶することと、登録データの受け取りに応じて第1の鍵部分または第2の鍵部分のうちの少なくとも一方を生成することと、を行わせる命令を含む。実行可能命令は、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに、第1の鍵部分を暗号プロセッサ上に記憶することと、第2の鍵部分をセキュリティモジュール上に記憶することと、を行わせる命令を含む。実行可能命令は、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに、回復アクセスのための認証クレデンシャルが認証システムによって認証されたことに応じて認証成功応答を受け取らせる命令を含み、第1の鍵部分は認証成功応答に応じてコンピューティングデバイスから取得される。実行可能命令は、少なくとも1つのプロセッサによって実行されると、少なくとも1つのプロセッサに、第1の鍵部分および第2の鍵部分を組み合わせて、対称ラッピング鍵を形成することと、対称ラッピング鍵を用いて復号鍵を復号することと、を行わせる命令を含む。
【0021】
1つまたは複数の実装形態の詳細が添付の図面および以下の説明において説明される。他の特徴も、説明および図面から、ならびに請求項から明らかになるであろう。
【図面の簡単な説明】
【0022】
【図1A】一態様に係るコンピューティングデバイス上の暗号化データを回復するための回復システムを示す図である。
【図1B】一態様に係るコンピューティングデバイスのためのログインワークフローを示す図である。
【図1C】一態様に係るコンピューティングデバイスのための回復ワークフローを示す図である。
【図2】別の態様に係るコンピューティングデバイス上の暗号化データを回復するための回復システムを示す図である。
【図3】一態様に係る回復システムの例示的な動作を示すフローチャートである。
【図4】別の態様に係る回復システムの例示的な動作を示すフローチャートである。
【図5】別の態様に係る回復システムの例示的な動作を示すフローチャートである。
【発明を実施するための形態】
【0023】
詳細な説明
図1Aは、一態様に係るコンピューティングデバイス120上の暗号化データ136aを回復するための回復システム100を示す。図1Bは、一態様に係るコンピューティングデバイス120のためのログインワークフローを示す。図1Cは、一態様に係るコンピューティングデバイス120のための回復ワークフローを示す。図1Aを参照すると、コンピューティングデバイス120は、データ136を暗号化するように構成された暗号化ユニット133を含む。データ136が暗号化されると、データ136は暗号化データ136aと称され得る。データ136が復号されると、データ136は復号データ136bと称され得る。ユーザ101がコンピューティングデバイス120のコンピューティングセッションからログオフさせられると(またはサインアウトさせられると)、暗号化ユニット133はデータ136を暗号化してもよい。例によっては、コンピューティングデバイス120が、コンピューティングデバイス120の機能性のうちの少なくとも一部へのアクセスを得るために、ユーザの認証クレデンシャル138の入力を必要とする際に、ユーザ101はコンピューティングセッションからログオフさせられる(またはサインアウトさせられる)。
図1Aは、一態様に係るコンピューティングデバイス120上の暗号化データ136aを回復するための回復システム100を示す。図1Bは、一態様に係るコンピューティングデバイス120のためのログインワークフローを示す。図1Cは、一態様に係るコンピューティングデバイス120のための回復ワークフローを示す。図1Aを参照すると、コンピューティングデバイス120は、データ136を暗号化するように構成された暗号化ユニット133を含む。データ136が暗号化されると、データ136は暗号化データ136aと称され得る。データ136が復号されると、データ136は復号データ136bと称され得る。ユーザ101がコンピューティングデバイス120のコンピューティングセッションからログオフさせられると(またはサインアウトさせられると)、暗号化ユニット133はデータ136を暗号化してもよい。例によっては、コンピューティングデバイス120が、コンピューティングデバイス120の機能性のうちの少なくとも一部へのアクセスを得るために、ユーザの認証クレデンシャル138の入力を必要とする際に、ユーザ101はコンピューティングセッションからログオフさせられる(またはサインアウトさせられる)。
【0024】
暗号化ユニット133は、ユーザがコンピューティングセッションから意図的にログオフすると(またはサインアウトすると)、データ136を暗号化してもよい。暗号化ユニット133は、特定の非活動期間(例えば、ユーザコマンドが一定期間にわたって受け取られない)の満了に応じて、データ136を暗号化してもよい。暗号化されるデータ136は、ユーザデータ、および/またはコンピューティングデバイス120の使用中にユーザ101によって生成されたデータであり得る。例によっては、データ136は、コンピューティングデバイス120上に記憶されるか、またはそれを介してアクセス可能である任意のデータを含む。例によっては、データ136は、コンピューティングデバイス120上に記憶されるデータの部分を表し得る。
【0025】
例によっては、コンピューティングデバイス120はユーザアカウントに関連付けられており、認証クレデンシャル138はユーザアカウントのための認証クレデンシャルである。ユーザ101は、暗号化データ136aを復号し、かつ/またはコンピューティングデバイス120の機能性のうちの少なくとも一部へのアクセスを得るために、自身の認証クレデンシャル138をコンピューティングデバイス120に提供し得る。例によっては、ユーザ101は、コンピューティングデバイス120のディスプレイ140上に描画された認証インターフェース142を介して自身の認証クレデンシャル138を提供する。認証インターフェース142は、認証クレデンシャル138を受け取る任意の種類のインターフェースであり得る。例によっては、認証インターフェース142はユーザ識別および認証のための入力画面(例えば、ログイン画面)を含む。例によっては、ユーザの認証クレデンシャル138が利用不可能である場合には、認証インターフェース142は回復画面と称される。例によっては、ユーザ101は認証インターフェース142を用いずに自身の認証クレデンシャル138を提供することができる。
【0026】
認証クレデンシャル138は、データ136にアクセスし、かつ/またはコンピューティングデバイス120の機能性のうちの一部にアクセスすることを試みている人物を認証するために用いられる情報であり得る。認証クレデンシャル138は、ユーザを識別する任意の種類のデータ構造、オブジェクト、または文書であり得る。例によっては、認証クレデンシャル138はパスワード(またはパスフレーズと称される)を含む。パスワードは文字列、数字、および/または特殊文字の形態のものであり得る。例によっては、認証クレデンシャル138はデジタル証明書を含む。デジタル証明書は、ユーザのデジタル識別子(例えば、公開鍵)、および認証局のデジタル署名を含み得る。例によっては、認証クレデンシャル138はバイオメトリックデータを含む。例によっては、バイオメトリックデータは、顔スキャン、虹彩スキャン、指紋スキャン、および/または声データを含み得る。
【0027】
認証クレデンシャル138は認証システム144によって認証され得る。認証システム144は、パスワードベースの認証システム、証明書ベースの認証システム、バイオメトリックベースの認証システム、および/または多要素ベースの認証システムなどの、認証クレデンシャル138に基づいてユーザを認証することができる任意の種類のシステムであり得る。パスワードベースの認証システムはパスワードを用いてユーザを認証し得る。証明書ベースの認証システムは、デジタル署名および認証局の信用性を検証し得、暗号法を用いて、ユーザが証明書に関連付けられた正しいプライベート鍵を有することを確認し得る。
【0028】
バイオメトリックベースの認証システムはバイオメトリクスを用いてユーザを認証し得る。例によっては、バイオメトリックベースの認証システムは、アクセスを得ることを試みる個人の異なる顔特徴を、データベース内に記憶された承認された顔と照合する顔認識を用い得る。例によっては、バイオメトリックベースの認証システムは特定の形状および音質の形成について話者の発話パターンを調べ得、ユーザを識別するための標準化された言葉に頼り得る。例によっては、バイオメトリックベースの認証システムは個人の指紋上の固有パターンを照合し得る。例によっては、バイオメトリックベースの認証システムは虹彩認識および/または網膜スキャナを含み得、パターンが、データベース内に記憶された承認情報と比較される。多要素ベースの認証システムは、ユーザを識別するための2つ以上の独立した手法(例えば、ユーザのデバイスから生成されたコード、Captchaテスト、指紋、および/または顔認識等)を用い得る。
【0029】
例によっては、コンピューティングデバイス120は、ユーザ101を認証するためにネットワーク150を通じて認証システム144と通信する。例えば、コンピューティングデバイス120は、ネットワーク150を通じて、暗号化送信を認証システム144へ送信し得る。例によっては、暗号化送信は認証クレデンシャル138を含む。例によっては、暗号化送信は認証クレデンシャル138の暗号化バージョンを含み、認証システム144は認証クレデンシャル138を復号する。認証システム144は、認証クレデンシャル138を認証するように構成されており、認証クレデンシャル138が認証された場合には、認証システム144は、ユーザ101が認証されたことを指示する認証応答146を送信するように構成されている。例によっては、認証クレデンシャル138はコンピューティングデバイス120上でローカルに認証される。例によっては(図示せず)、認証システム144はコンピューティングデバイス120上に含まれる。
【0030】
図1Aおよび図1Bを参照すると、コンピューティングデバイス120は、(認証された)認証クレデンシャル138を受け取るように構成された暗号プロセッサ126を含む。認証クレデンシャル138の受け取りに応じて、および認証クレデンシャル138がユーザ101に対応する場合には、暗号プロセッサ126は、第1の鍵部分130を復号ユニット132に開示するように構成されている。以上において指示されたように、ユーザの認証クレデンシャル138は、コンピューティングデバイス120に関連付けられたパスワード、またはコンピューティングデバイス120に関連付けられたユーザアカウントであり得る。しかし、認証クレデンシャル138は、デジタル証明書またはバイオメトリクスデータ(例えば、顔スキャン、虹彩スキャン、指紋スキャン、音声データ等)などの他の形態の識別情報を含み得る。
【0031】
第1の鍵部分130は、暗号プロセッサ126の内部に記憶される秘密鍵であり得る。秘密鍵は一種の暗号秘密である。様々な種類の秘密鍵であるか、またはハードウェアセキュリティモジュール110の内部で遂行される秘密計算の結果を表したものでもあり得る、他の暗号秘密も存在し得るであろう。暗号プロセッサ126は、暗号化動作を実行するための専用コンピュータオンチップまたはマイクロプロセッサであり得る。例によっては、暗号プロセッサ126はセキュリティチップである。例によっては、暗号プロセッサ126はトラステッドプラットフォームモジュールである。例によっては、暗号プロセッサ126は、1つまたは複数の物理的セキュリティ対策を施されたパッケージ内に組み込まれる。復号ユニット132は認証クレデンシャル138および第1の鍵部分130を受け取り得、復号ユニット132は認証クレデンシャル138および第1の鍵部分130を用いて復号鍵134を回復し得る。例によっては、復号ユニット132は、暗号プロセッサ126とは別個のモジュール/パッケージであり得る、コンピューティングデバイス120のアプリケーションプロセッサ上で実行するように構成されている。アプリケーションプロセッサは、コンピューティングデバイス120のアプリケーション機能を制御するシステムオンチップ(SOC:system-on-chip)であり得る。例によっては、復号ユニット132は、暗号プロセッサ126内で実行するように構成されている。例によっては、暗号プロセッサ126を用いる代わりに、暗号プロセッサ126の上述の機能はコンピューティングデバイス120のアプリケーションプロセッサによって実行され得る。
【0032】
例によっては、復号ユニット132は、復号鍵134を回復するために認証クレデンシャル138および第1の鍵部分130の両方を必要とし得る。例によっては、図1Aおよび図1Bに示されるように、認証クレデンシャル138および第1の鍵部分130は組み合わされ、暗号化鍵(例えば、対称ラッピング鍵などの、ラッピング鍵)を形成し、暗号化鍵は、復号鍵134を復号するために用いられる。認証クレデンシャル138がパスワードである場合には、パスワードおよび第1の鍵部分130は組み合わされ、暗号化鍵(例えば、ラッピング鍵)を形成し、暗号化鍵は、復号鍵134を復号するために用いられる。ユーザがコンピューティングデバイス120上で自身のパスワードを変更した場合には、コンピューティングデバイス120は新たなパスワードおよび第1の鍵部分130から新たな暗号化鍵を生成し、新たな暗号化鍵を用いて復号鍵134を暗号化し、前の暗号化された復号鍵134を削除し得る。それゆえ、復号鍵134はパスワードから回復され、導出され、かつ/またはそれに関連付けられ得る。しかし、ユーザが別のデバイス上でユーザアカウントのためのパスワードを変更した場合には、復号鍵134を回復するための回復プロセスが必要とされ得る。認証クレデンシャル138がバイオメトリックデータまたはデジタル証明書を含む場合には、バイオメトリックデータまたはデジタル証明書データは、復号鍵134を復号するために第1の鍵部分130と組み合わせて用いられ得る。用いられるバイオメトリック、またはデジタル証明書の同様の変更は、復号鍵134の暗号化の変更をもたらし得る。
【0033】
例によっては、第三者103がコンピューティングデバイス120上の暗号化データ136aのうちの一部へのアクセスを必要とすることがある。例えば、第三者103は、ユーザのコンピューティングデバイス120を所有または管理する組織152に関連付けられ得る。例えば、コンピューティングデバイス120は、ユーザの会社によって所有もしくは管理された業務用コンピュータ、またはユーザの学校によって所有もしくは管理された学校用コンピュータなどの、事業者所有のコンピューティングデバイスであり得る。1つまたは複数の理由(例えば、ガバナンスの理由、リスクマネジメントの理由、法的理由、および/またはコンプライアンスの理由)のために、組織152はコンピューティングデバイス120上の暗号化データ136aへのアクセスを必要とすることがある。しかし、ユーザの認証クレデンシャル138がなければ、従来の技術によれば、復号ユニット132は復号鍵134を導出することができないことになる。
【0034】
回復システム100は、回復サービスモジュール108を有するサーバコンピュータ102を含む。回復サービスモジュール108は、コンピューティングデバイスのユーザに関連付けられた鍵部分を記憶し、管理するハードウェアセキュリティモジュール110を含む。ハードウェアセキュリティモジュール110は、暗号化鍵を管理し、暗号化および復号機能ならびに他の暗号機能を遂行するコンピューティングデバイス(例えば、物理コンピューティングデバイス)であり得る。
【0035】
例によっては、本開示は単一のハードウェアセキュリティモジュール110に関して回復システム100を説明しているが、回復サービスモジュール108はハードウェアセキュリティモジュール110のグループを含み得る。ハードウェアセキュリティモジュール110は、回復されると、コンピューティングデバイス120上の暗号化データ136aを復号するための復号鍵134を回復するために第1の鍵部分130と組み合わせて用いられる、第2の鍵部分131を記憶し、管理し得る。第2の鍵部分131は、復号鍵134を回復するために用いられる情報の部分である。第2の鍵部分131は、ハードウェアセキュリティモジュール110の内部に記憶される秘密鍵であり得る。以上において指示されたように、秘密鍵は一種の暗号秘密である。様々な種類の秘密鍵であるか、またはハードウェアセキュリティモジュール110の内部で遂行される秘密計算の結果を表したものでもあり得る、他の暗号秘密も存在し得るであろう。例によっては、第1の鍵部分130および第2の鍵部分131は楕円曲線鍵ペアのプライベート鍵(例えば、秘密鍵)である。楕円曲線暗号(ECC:elliptic curve cryptography)は、データを暗号化するための鍵ベースの技術である。しかし、第1の鍵部分130および/または第2の鍵部分131は、公開鍵暗号法をサポートする(楕円曲線以外の)何らかの他の方式のプライベート/秘密部分であることもできるであろう。例によっては、第1の鍵部分130および第2の鍵部分131は大きな整数(例えば、非常に大きな整数)である。例によっては、第1の鍵部分130および第2の鍵部分131は何らかの暗号材料(例えば、秘密鍵、または暗号計算の結果のいずれか)であることができるであろう。
【0036】
図1Aは、ハードウェアセキュリティモジュール110が、単一のユーザに関連する第2の鍵部分131を記憶する状況を用いて説明されているが、ハードウェアセキュリティモジュール110(またはハードウェアセキュリティモジュール110のグループ)は多くのユーザ(例えば、数百人、数千人、または数百万人のユーザ)のための第2の鍵部分131を記憶し得ることが留意される。ハードウェアセキュリティモジュール110において記憶された第2の鍵部分131自体では、特定のユーザまたは特定のデバイスに関連する復号鍵134を回復するために十分でない。
【0037】
ユーザが不在であるか、または非協力的であり、第三者103がコンピューティングデバイス120を物理的に所有する場合に、組織152に関連付けられた1人または複数の人物(例えば、許可された第三者)が暗号化データ136aおよび/またはユーザのコンピューティングデバイス120にアクセスすることができるよう、組織152は、コンピューティングデバイス120を、ユーザへのその配布の前または後に、回復システム100に登録し得る。例によっては、ユーザ101は、組織152がコンピューティングデバイス120を回復サービスに登録することを可能にすることに同意する必要があり得る。例によっては、組織152が回復サービスのために登録した後に、その組織152のコンピューティングデバイス120は、ユーザ101が自身のコンピューティングデバイス120に最初にログインしたときに、組み込まれる(on-boarded)。例によっては、組織152は、自身のコンピューティングデバイス120のうちの1つまたは複数を、コンピューティングデバイス120がユーザに引き渡される前に登録し得る。
【0038】
回復システム100は、ユーザのコンピューティングデバイス120に関連付けられた登録データ128を記憶し得る。登録データ128は、ユーザ101が不在であるか、または非協力的である場合に、ユーザの暗号化データ136aにアクセスすることができる組織152内の1人または複数の人員(または人員の役割/種類)を識別し得る。例えば、登録データ128は、ユーザの暗号化データ136aに入ることを許可されたユーザアカウントを識別することによって、許可された第三者を指定し得る。ユーザアカウントは組織152内の特定の人物または特定の役割(例えば、支配人、取締役、人事主任等)に割り当てられ得る。第三者103はユーザのコンピューティングデバイス120または別のコンピューティングデバイスを用いて回復システム100に登録し得る。例えば、コンピューティングデバイスは、第三者103が回復システム100に登録し、1つまたは複数の許可ユーザアカウントを入力することを可能にする1つまたは複数のユーザインターフェースを描画し得る。
【0039】
コンピューティングデバイス120上の暗号プロセッサ126は登録データ128を記憶し得る。例によっては、サーバコンピュータ102の回復サービスモジュール108(例えば、ハードウェアセキュリティモジュール110)が登録データ128を記憶し得る。例によっては、第三者103はコンピューティングデバイス120(または異なるコンピューティングデバイス)を用いて登録データ128を登録し、登録データ128を提供し得、回復サービスモジュール108はハードウェアセキュリティモジュール110において登録データ128のうちの少なくとも部分を記憶する。例によっては、回復サービスモジュール108は登録データ128のうちの少なくとも部分を暗号プロセッサ126へその上への記憶のために送信し得る。例によっては、第三者103はコンピューティングデバイス120を用いて登録データ128を登録し、登録データ128を提供し得、暗号プロセッサ126は登録データ128のうちの少なくとも部分を記憶し、暗号プロセッサ126は登録データ128のうちの少なくとも部分をハードウェアセキュリティモジュール110へその上への記憶のために送信する。
【0040】
例によっては、コンピューティングデバイス120が回復システム100に登録されたことに応じて、第1の鍵部分130および第2の鍵部分131が生成される。例によっては、第1の鍵部分130および第2の鍵部分131は、コンピューティングデバイス120上で実行するソフトウェアによって生成される。例によっては、第1の鍵部分130は、ハードウェアセキュリティモジュール110のみが第1の鍵部分130にアクセスすることができるよう、暗号化される。例によっては、第2の鍵部分131は暗号プロセッサ126のみが利用可能である。この時点では、暗号化された第1の鍵部分130は暗号プロセッサ126上に引き続き存在する。しかし、例によっては、第1の鍵部分130は暗号化されており、不当にアクセスされ得ないため、第1の鍵部分130はコンピューティングデバイス120上の他の場所に記憶されてもよい。
【0041】
例によっては、ハードウェアセキュリティモジュール110が第1の鍵部分130および第2の鍵部分131を生成し得る。ハードウェアセキュリティモジュール110は第2の鍵部分131を記憶し得る。例によっては、第2の鍵部分131は暗号化される。例によっては、コンピューティングデバイス120が回復システム100に登録されたことに応じて、ハードウェアセキュリティモジュール110が第1の鍵部分130を生成し、第1の鍵部分130を暗号プロセッサ126へ送信し得、暗号プロセッサ126は第1の鍵部分130を安全に記憶する。例によっては、コンピューティングデバイス120が回復システム100に登録されたことに応じて、暗号プロセッサ126が第1の鍵部分130および第2の鍵部分131を生成し得、暗号プロセッサ126は第2の鍵部分131をハードウェアセキュリティモジュール110へ送信し得る。例によっては、第2の鍵部分131はハードウェアセキュリティモジュール110において暗号化され、記憶される。
【0042】
図1Aおよび図1Cを参照すると、第三者103は自身の認証クレデンシャル138を提供し得、それは、(例えば、認証システム144によって)認証されると、暗号プロセッサ126に、認証クレデンシャル138は、暗号プロセッサ126上に記憶された登録データ128内の許可ユーザアカウントのうちの1つに対応するかどうか(またはそれに一致するかどうか)を決定させる。第三者の認証クレデンシャル138が、許可ユーザアカウントのうちの1つである場合には、暗号プロセッサ126は(コンピューティングデバイス120上に記憶された)第1の鍵部分130を復号ユニット132に開示し得る。
【0043】
また、第三者の認証クレデンシャル138が、登録データ128内で識別された許可ユーザアカウントのうちの1つである場合には、暗号プロセッサ126は、プロトコル105を介してハードウェアセキュリティモジュール110と通信し、ハードウェアセキュリティモジュール110において記憶された第2の鍵部分131を取得するように構成されている。例によっては、プロトコル105は、暗号プロセッサ126およびハードウェアセキュリティモジュール110を関与させるマルチパーティ復号プロトコルを含む。例によっては、プロトコル105は、図2に示されるとおりの3パーティプロトコルなど、2つを超える関係者を含む。なおさらに、プロトコル105は4パーティプロトコルまたは5パーティプロトコルを含み得る。暗号プロセッサ126は、ネットワーク150を通じて、鍵要求をハードウェアセキュリティモジュール110へ送信し得、鍵要求は、第三者に関する識別情報、ユーザに関する識別情報、および/またはコンピューティングデバイス120に関する識別情報を含む。例によっては、鍵要求は、要求が識別/許可を通じて妥当性を確認されたこと(例えば、認証システム144を通じて妥当性を確認されたこと)を確認するための許可情報を含み得る。例によっては、ハードウェアセキュリティモジュール110は鍵要求からの第三者103またはユーザ101に関する識別情報を用いてサーバ側でそれ自体の認証を遂行する。例によっては、ハードウェアセキュリティモジュール110は、第2の鍵部分131を返す前に第三者103(またはユーザ101)を認証するための認証チェックを遂行し得る(例えば、独立して遂行する)。例によっては、サーバコンピュータ102は認証システム144を含むか、またはそれと通信し得る。
【0044】
例によっては、暗号プロセッサ126はリバースプロキシを介してハードウェアセキュリティモジュール110と通信する。例えば、コンピューティングデバイス120は回復サービスモジュール108に連絡を取り得、回復サービスモジュール108はリバースプロキシに接続し得、リバースプロキシはハードウェアセキュリティモジュール110の仲介を排除する(disintermediates)。例によっては、暗号プロセッサ126は、暗号化されたペイロード(例えば、鍵要求)を送信し得、ペイロードはハードウェアセキュリティモジュールの公開鍵を用いて暗号化される。ハードウェアセキュリティモジュール110は、第2の鍵部分131を有する暗号化された(および/または署名された)応答を返し得る。例によっては、暗号プロセッサ126は登録プロセスの際に、暗号化されたペイロードを生成し得、暗号プロセッサ126は回復の際に、暗号化されたペイロードを送信する。暗号化されたペイロードは、ユーザの種類、ユーザアカウント識別子、および/またはコンピューティングデバイス120に関する識別情報を含み得る。
【0045】
第2の鍵部分131がコンピューティングデバイス120に返される前に、コンピューティングデバイス120へのアクセスを公に記録するためのログエントリ112がデータベース114内に作成される。例によっては、ログエントリ112は単一のデータベース114内に記録される。例によっては、ログエントリ112は複数のデータベース114内に記録される。例えば、回復サービスモジュール108は、ログエントリ112を1つまたは複数のデータベース114内に記録するように構成されたデータベースレコーダ111を含む。第2の鍵部分131がコンピューティングデバイス120へ送信される前に、データベースレコーダ111は、ネットワーク150を通じてデータベース114と通信し、ログエントリ112をデータベース114内に記録するように構成されている。ログエントリ112はコンピューティングデバイス120へのアクセスに関する情報を含み得る。例えば、ログエントリ112は、時刻、日付、コンピューティングデバイス120の識別、ならびに/またはコンピューティングデバイス120へのアクセスを得た人物の識別、人物の役割、および/もしくは組織を含み得る。
【0046】
例によっては、データベース114は、記録が公に利用可能であるデータベースである。例によっては、データベース114は公開台帳である。例によっては、データベース114は公衆のうちの一部がアクセス可能である。例によっては、データベース114は、サーバコンピュータ102とは別個であるコンピューティングデバイスに存在する。例によっては、データベース114はサーバコンピュータ102内に含まれる。データベースレコーダ111は、ログエントリ112の記録が成功したことを示す応答を受け取り得る。ハードウェアセキュリティモジュール110は、ログエントリ112が成功したことを示す応答であるかどうかを決定し、その後、第2の鍵部分131を含む応答を送信し得る。例によっては、応答は、アクセス要求がデータベース114内にログ記録されたとの情報(例えば、証明)を含み得る。
【0047】
例によっては、データベース114は全ての回復の試みを記録し得る。例によっては、データベース114は、不成功に終わった回復の試みを記録し得る。ハードウェアセキュリティモジュール110は、不成功に終わった回復の試みに応じてログエントリ112をデータベース114内に記録させ得る。例えば、ハードウェアセキュリティモジュール110は、ハードウェアセキュリティモジュール110が復号および/またはアクセス不可能であろう、不正な形式の要求を受け取り得る。例によっては、送信者の署名(またはそれの部分)が無効と決定された場合に(例えば、攻撃者がラップトップ/要求者に成り済ますことを試みていた)、ハードウェアセキュリティモジュール110はログエントリ112をデータベース114内に記録させ得る。しかし、偶発的な、および/または悪意のある試みを含む、回復の試みが不成功に終わる多数の理由があり得る。例によっては、ハードウェアセキュリティモジュール110は、認証システム144を用いて要求者(例えば、ユーザ101または第三者103)を認証することを試み得、認証されない場合には、ハードウェアセキュリティモジュール110はデータベース114内へのログエントリ112の記録を行わせ、拒否応答を要求者へ返し得る。
【0048】
次に、コンピューティングデバイス120上の復号ユニット132は第1の鍵部分130および第2の鍵部分131を用いて復号鍵134を回復し得、復号鍵134は、暗号化データ136aを復号するために用いられる。例によっては、第1の鍵部分130および第2の鍵部分131は、復号鍵134を復号するために組み合わされ、復号鍵134は、暗号化データを復号するために用いられる。例によっては、対称ラッピング鍵を形成するための第1の鍵部分130および第2の鍵部分131、ならびに対称ラッピング鍵は、復号鍵134を覆う(cover)ために用いられる。
【0049】
例によっては、回復システム100は、ユーザ101が別のデバイス上で(またはブラウザを用いて)自身のパスワードを変更しており、ユーザ101が自身のパスワードにアクセスできず、ユーザ101がコンピューティングデバイス120を所有するときに、暗号化データ136aへのアクセスを安全に提供することができる。例えば、ユーザは自身の認証クレデンシャル138を提供し得、(例えば、認証システム144によって)認証されると、暗号プロセッサ126は認証クレデンシャル138を受け取る。ユーザは他の仕方で(例えば、古いパスワード、電子メールまたは電話検証などの回復方法を用いて)認証されてもよい。例によっては、ユーザ101は、暗号化データ136aへのアクセスを取得するための自身の以前のパスワードを失念してしまったが、ユーザ101は認証システム144のための自身のログインパスワードを有する。例によっては、ユーザ101が、認証システム144のための自身のパスワードを失念してしまった場合には、サーバコンピュータ102は、場合によっては、このパスワードをリセットし、ユーザ101が、暗号化データ136aへのアクセスを得るためにこの回復プロセスを起動することができるよう何らかの仕方でユーザ101を認証し得る。
【0050】
認証クレデンシャルは、復号鍵134を回復するための(第1の鍵部分130と組み合わされる)現在の認証クレデンシャルではないため、暗号プロセッサ126は、例えば、(上述されたのと同じ仕方で)ハードウェアセキュリティモジュール110と通信し、第2の鍵部分131を取得することによって、回復サービスをトリガし得、第2の鍵部分131は、ログエントリ112がデータベース114内に記録された後に、暗号プロセッサ126に開示される。
【0051】
コンピューティングデバイス120は、1つまたは複数のプロセッサ122および1つまたは複数のメモリデバイス123を有する任意の種類のデバイスであることができ、メモリデバイス123は暗号化データ136aを記憶する。プロセッサ122は、1つもしくは複数の機械実行可能命令、ソフトウェア、ファームウェア、またはこれらの組み合わせを実行するように構成された基板内に形成され得る。プロセッサ122は半導体ベースのものであることができる - すなわち、プロセッサは、デジタル論理を遂行することができる半導体材料を含むことができる。メモリデバイス123は、プロセッサ122によって読み出され、かつ/または実行され得るフォーマットで情報を記憶する主メモリを含み得る。また、メモリデバイス123は、プロセッサ122によって実行されると、コンピューティングデバイス120を参照して説明される機能性を遂行する実行可能命令を記憶し得る。
【0052】
コンピューティングデバイス120は、ラップトップ、スマートフォン、タブレット、デスクトップコンピューティングデバイス、ゲーミングコンソール、スマートテレビ、またはウェアラブルデバイス等などの任意の種類の消費者コンピューティングデバイスであり得る。例によっては、コンピューティングデバイス120はサーバコンピュータである。コンピューティングデバイス120は、暗号化され得るデータ136を記憶し得る。例によっては、暗号化データ136aは、ユーザ101に関連付けられたデータを含む。
【0053】
コンピューティングデバイス120はネットワーク150を通じてサーバコンピュータ102と通信し得る。サーバコンピュータ102は、多数の異なるデバイス、例えば、標準サーバ、このようなサーバのグループ、またはラックサーバシステムの形態を取るコンピューティングデバイスであり得る。例によっては、サーバコンピュータ102は、プロセッサおよびメモリなどの構成要素を共有する単一のシステムであり得る。ネットワーク150は、インターネット、および/またはローカルエリアネットワーク(LAN:local area network)、ワイドエリアネットワーク(WAN:wide area network)、セルラーネットワーク、衛星ネットワーク、もしくは他の種類のデータネットワークなどの、他の種類のデータネットワークを含み得る。ネットワーク150はまた、ネットワーク150内でデータを受け取り、および/または送信するように構成された任意の数のコンピューティングデバイス(例えば、コンピュータ、サーバ、ルータ、ネットワークスイッチ等)を含み得る。ネットワーク150は任意の数の配線および/または無線接続をさらに含み得る。
【0054】
サーバコンピュータ102は、基板内に形成された1つまたは複数のプロセッサ104、オペレーティングシステム(図示せず)、および1つまたは複数のメモリデバイス106を含み得る。メモリデバイス106は、任意の種類の(または複数の種類の)メモリ(例えば、RAM、フラッシュ、キャッシュ、ディスク、テープ等)を表し得る。例によっては(図示せず)、メモリデバイス106は、外部ストレージ、例えば、サーバコンピュータ102から物理的に遠隔にあるが、それによってアクセス可能なメモリを含み得る。サーバコンピュータ102は、特別にプログラムされたソフトウェアを表す1つまたは複数のモジュールまたはエンジンを含み得る。
【0055】
図2は、コンピューティングデバイス220上の暗号化データ236aへの回復アクセスを提供するためのマルチパーティ回復プロトコルを用いる回復システム200を示す。回復システム200は図1A~図1Cの回復システム100の一例であり得、それらの図を参照して説明された詳細のうちの任意のものを含み得る。例によっては、回復システム200は、第1の鍵部分230を記憶するコンピューティングデバイス220、第2の鍵部分231を記憶するサーバコンピュータ202a、および第3の鍵部分233を記憶するサーバコンピュータ202bを含む、3パーティシステムである。例によっては、サーバコンピュータ202bは、回復システム200に登録したエンティティまたは組織に関連付けられている。
【0056】
第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233は、暗号化データ236aを復号するための復号鍵234を回復するために用いられる(例えば、組み合わされる)。例によっては、回復システム200は、第4の鍵部分が別のコンピューティングデバイスにおいて記憶され、第5の鍵部分が別のコンピューティングデバイスにおいて記憶されるなどする、4パーティまたは5パーティシステムなど、3つを超える関係者を用いる。
【0057】
第三者がコンピューティングデバイス220上の暗号化データ236aのうちの一部へのアクセスを必要とすることがある。例えば、第三者は、ユーザのコンピューティングデバイス220を所有または管理する組織に関連付けられ得る。例によっては、サーバコンピュータ202bは組織によって所有または管理される。しかし、暗号化データ236aに関連付けられたユーザの認証クレデンシャルがなければ、一部の従来技術によれば、復号ユニット232は復号鍵234を導出することができないことになる。
【0058】
回復システム200は、コンピューティングデバイスのユーザに関連付けられた鍵部分(例えば、第2の鍵部分231)を記憶し、管理するハードウェアセキュリティモジュール210aを有するサーバコンピュータ202aを含む。例によっては、サーバコンピュータ202aは組織に関連付けられない。例によっては、サーバコンピュータ202aは、コンピューティングデバイスのユーザに関連付けられた鍵部分を記憶し、管理する第三者サービスである。ハードウェアセキュリティモジュール210aは、暗号化鍵を管理し、暗号化および復号機能ならびに他の暗号機能を遂行するコンピューティングデバイス(例えば、物理コンピューティングデバイス)であり得る。サーバコンピュータ202aは、単一のハードウェアセキュリティモジュール210a、またはハードウェアセキュリティモジュール210aのグループを含み得ることが留意される。ハードウェアセキュリティモジュール210aは、回復されると、コンピューティングデバイス220上の暗号化データ236aを復号するための復号鍵234を回復するために第1の鍵部分230および第3の鍵部分233と組み合わせて用いられる、第2の鍵部分231を記憶し、管理し得る。
【0059】
回復システム200は、エンティティまたは組織に関連付けられたコンピューティングデバイスのユーザに関連付けられた鍵部分(例えば、第3の鍵部分233)を記憶し、管理するハードウェアセキュリティモジュール210bを有するサーバコンピュータ202bを含む。例によっては、サーバコンピュータ202aは、コンピューティングデバイスを用いるユーザ(例えば、Appleユーザ、Googleユーザ、Microsoftユーザ等)のための鍵部分を記憶し、管理し、サーバコンピュータ202bは、組織またはエンティティによって所有または管理されたコンピューティングデバイスのための鍵部分を記憶し、管理する。ハードウェアセキュリティモジュール210bは、暗号化鍵を管理し、暗号化および復号機能ならびに他の暗号機能を遂行するコンピューティングデバイス(例えば、物理コンピューティングデバイス)であり得る。サーバコンピュータ202bは、単一のハードウェアセキュリティモジュール210b、またはハードウェアセキュリティモジュール210bのグループを含み得ることが留意される。ハードウェアセキュリティモジュール210bは、回復されると、コンピューティングデバイス220上の暗号化データ236aを復号するための復号鍵234を回復するために第1の鍵部分230および第2の鍵部分231と組み合わせて用いられる、第3の鍵部分233を記憶し、管理し得る。
【0060】
例によっては、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233の各々は、復号鍵234を回復するために用いられる情報の部分である。鍵部分(例えば、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233のいずれか)は、それぞれのデバイスの内部に記憶される秘密鍵であり得る。秘密鍵は一種の暗号秘密である。様々な種類の秘密鍵であるか、またはハードウェアセキュリティモジュール210a、ハードウェアセキュリティモジュール210b、もしくは暗号プロセッサ226の内部で遂行される秘密計算の結果も表したものでもあり得る、他の暗号秘密も存在し得るであろう。例によっては、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233は楕円曲線鍵ペアのプライベート鍵(例えば、秘密鍵)である。しかし、第1の鍵部分230、第2の鍵部分231、および/または第3の鍵部分233は、公開鍵暗号法をサポートする(楕円曲線以外の)何らかの他の方式のプライベート/秘密部分であることもできるであろう。
【0061】
ユーザが不在であるか、または非協力的であり、第三者がコンピューティングデバイス220を物理的に所有する場合に、組織に関連付けられた1人または複数の人物(例えば、許可された第三者)が暗号化データ236aおよび/またはユーザのコンピューティングデバイス220にアクセスすることができるよう、組織は、コンピューティングデバイス220を、ユーザへのその配布の前または後に、回復システム200に登録し得る。
【0062】
回復システム200は、ユーザのコンピューティングデバイス220に関連付けられた登録データ(例えば、図1Aの登録データ128)を記憶し得る。例によっては、登録データはコンピューティングデバイス220において記憶される。例によっては、登録データはサーバコンピュータ202aにおいて記憶される。例によっては、登録データはサーバコンピュータ202bにおいて記憶される。登録データは、ユーザが不在であるか、または非協力的である場合に、ユーザの暗号化データ236aにアクセスすることができる組織内の1人または複数の人員(または人員の役割/種類)を識別し得る。例えば、登録データは、ユーザの暗号化データ236aに入ることを許可されたユーザアカウントを識別することによって、許可された第三者を指定し得る。ユーザアカウントは組織内の特定の人物または特定の役割(例えば、支配人、取締役、人事主任等)に割り当てられ得る。第三者はユーザのコンピューティングデバイス220または別のコンピューティングデバイスを用いて回復システム200に登録し得る。例えば、コンピューティングデバイスは、第三者が回復システム200に登録し、1つまたは複数の許可ユーザアカウントを入力することを可能にする1つまたは複数のユーザインターフェースを描画し得る。
【0063】
例によっては、第三者はコンピューティングデバイス220(または異なるコンピューティングデバイス)を用いて登録データを登録し、登録データを提供し得、登録データは、コンピューティングデバイス220、サーバコンピュータ202a、および/またはサーバコンピュータ202b上に記憶され得る。例によっては、コンピューティングデバイス220が回復システム200に登録されたことに応じて、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233が生成される。例によっては、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233は、コンピューティングデバイス220上で実行するソフトウェアによって生成される。第2の鍵部分231はサーバコンピュータ202aへその上への記憶のために安全に送信され得る。第3の鍵部分233はサーバコンピュータ202bへその上への記憶のために安全に送信され得る。例によっては、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233はサーバコンピュータ202aによって生成される。第1の鍵部分230はコンピューティングデバイス220へその上への記憶のために安全に送信され得る。第3の鍵部分233はサーバコンピュータ202bへその上への記憶のために安全に送信され得る。例によっては、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233はサーバコンピュータ202bによって生成される。第1の鍵部分230はコンピューティングデバイス220へその上への記憶のために安全に送信され得る。第2の鍵部分231はサーバコンピュータ202aへその上への記憶のために安全に送信され得る。例によっては、第1の鍵部分230はコンピューティングデバイス220によって生成され、第2の鍵部分231はサーバコンピュータ202aによって生成され、第3の鍵部分233はサーバコンピュータ202bによって生成される。
【0064】
第三者は自身の認証クレデンシャルを提供し得、それは、認証されると、暗号プロセッサ226に、第三者の認証クレデンシャルは、暗号プロセッサ226上に記憶された登録データ内の許可ユーザアカウントのうちの1つに対応するかどうか(またはそれに一致するかどうか)を決定させる。第三者の認証クレデンシャルが、許可ユーザアカウントのうちの1つである場合には、暗号プロセッサ226は第1の鍵部分230を復号ユニット232に開示し得る。
【0065】
また、第三者の認証クレデンシャルが、登録データ内で識別された許可ユーザアカウントのうちの1つである場合には、暗号プロセッサ226は、ハードウェアセキュリティモジュール210aと通信し、第2の鍵部分231を取得し、ハードウェアセキュリティモジュール210bと通信し、第3の鍵部分233を取得するように構成されている。例によっては、暗号プロセッサ226は、ネットワークを通じて、鍵要求をハードウェアセキュリティモジュール210aへ送信し得、鍵要求は、第三者に関する識別情報、ユーザに関する識別情報、および/またはコンピューティングデバイス220に関する識別情報を含む。例によっては、ハードウェアセキュリティモジュール210aは鍵要求からの第三者に関する識別情報を用いてサーバ側でそれ自体の認証を遂行する。例によっては、ハードウェアセキュリティモジュール210aは、第2の鍵部分231を返す前に第三者を認証するための認証チェックを遂行し得る(例えば、独立して遂行する)。
【0066】
第2の鍵部分231がコンピューティングデバイス220に返される前に、コンピューティングデバイス220へのアクセスを公に記録するためのログエントリ212がデータベース214内に作成される。ログエントリ212はコンピューティングデバイス220へのアクセスに関する情報を含み得る。例えば、ログエントリ212は、時刻、日付、コンピューティングデバイス220の識別、ならびに/またはコンピューティングデバイス220へのアクセスを得た人物の識別、人物の役割、および/もしくは組織を含み得る。例によっては、データベース214は、記録が公に利用可能であるデータベースである。例によっては、データベース214は公開台帳である。
【0067】
また、第三者の認証クレデンシャルが、登録データ内で識別された許可ユーザアカウントのうちの1つである場合には、暗号プロセッサ226は、ハードウェアセキュリティモジュール210bと通信し、第3の鍵部分233を取得するように構成されている。例によっては、暗号プロセッサ226は、ネットワークを通じて、鍵要求をハードウェアセキュリティモジュール210bへ送信し得、鍵要求は、第三者に関する識別情報、ユーザに関する識別情報、および/またはコンピューティングデバイス220に関する識別情報を含む。例によっては、ハードウェアセキュリティモジュール210bは鍵要求からの第三者に関する識別情報を用いてサーバ側でそれ自体の認証を遂行する。例によっては、ハードウェアセキュリティモジュール210bは、第3の鍵部分233を返す前に第三者を認証するための認証チェックを遂行し得る(例えば、独立して遂行する)。
【0068】
例によっては、第3の鍵部分233がコンピューティングデバイス220に返される前に、ハードウェアセキュリティモジュール210bはデータベース214と通信し、ログエントリ212がデータベース214内に記録されたか否かを決定し得る。そうである場合には、ハードウェアセキュリティモジュール210bは、第3の鍵部分233を含む応答を暗号プロセッサ226へ送信し得る。例によっては、ハードウェアセキュリティモジュール210aは、ログエントリ212をデータベース214内に記録するように構成されている。例によっては、ハードウェアセキュリティモジュール210bは、ログエントリ212をデータベース214内に記録するように構成されている。例によっては、ハードウェアセキュリティモジュール210aおよびハードウェアセキュリティモジュール210bはアクセスをデータベース214内に独立して記録し得る。例によっては、ハードウェアセキュリティモジュール210aおよびハードウェアセキュリティモジュール210bは別個のログエントリ212を別個のデータベース214内に記録し得る。例によっては、回復システム200は、コンピューティングデバイス220へのアクセスを記録する第1のデータベース、およびコンピューティングデバイス220へのアクセスを記録する第2のデータベースなどの、複数の(別個の)データベース214を含む。例によっては、ハードウェアセキュリティモジュール210aはログエントリ212を第1のデータベース内に記録し得る。例によっては、ハードウェアセキュリティモジュール210bはログエントリ212を第2のデータベース内に記録し得る。
【0069】
ログエントリ212はコンピューティングデバイス220へのアクセスに関する情報を含み得る。例えば、ログエントリ212は、時刻、日付、コンピューティングデバイス220の識別、ならびに/またはコンピューティングデバイス220へのアクセスを得た人物の識別、人物の役割、および/もしくは組織を含み得る。例によっては、データベース214は、記録が公に利用可能であるデータベースである。例によっては、データベース214は公開台帳である。
【0070】
次に、コンピューティングデバイス220上の復号ユニット232は第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233を用いて復号鍵234を回復し得、復号鍵234は、暗号化データ236aを復号するために用いられる。例によっては、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233は、復号鍵234を復号するために組み合わされ、復号鍵234は、暗号化データ236aを復号するために用いられる。例によっては、第1の鍵部分230、第2の鍵部分231、および第3の鍵部分233は、ラッピング鍵(例えば、対称ラッピング鍵)を形成するために用いられ、ラッピング鍵は、復号鍵234を覆うために用いられる。
【0071】
例によっては、回復システム200は、ユーザが自身のパスワードを変更しており、ユーザが自身のパスワードにアクセスできず、ユーザがコンピューティングデバイス220を所有しているときに、暗号化データ236aへのアクセスを安全に提供することができる。ユーザは他の仕方で(例えば、古いパスワード、電子メールまたは電話検証などの回復方法を用いて)認証されてもよい。例によっては、ユーザは、暗号化データ236aへのアクセスを取得するための自身の以前のパスワードを失念してしまったが、ユーザは、コンピューティングデバイス220に関連付けられた認証システムのための自身のログインパスワードを有する。例によっては、ユーザが、認証システムのための自身のパスワードを失念してしまった場合には、サーバコンピュータ202aは、場合によっては、このパスワードをリセットし、ユーザが、暗号化データ236aへのアクセスを得るためにこの回復プロセスを起動することができるよう何らかの仕方でユーザを認証し得る。認証されると、暗号プロセッサ226は、例えば、(上述されたのと同じ仕方で)ハードウェアセキュリティモジュール210aと通信し、第2の鍵部分231を取得し、ハードウェアセキュリティモジュール210bと通信し、第3の鍵部分233を取得することによって、回復サービスをトリガし得、第2の鍵部分231または第3の鍵部分233のうちの少なくとも一方は、ログエントリ212がデータベース214内に記録された後に、暗号プロセッサ226に開示される。
【0072】
図3は、一態様に係る回復システムの例示的な動作を示すフローチャート300を示す。図3のフローチャート300は順次順に動作を示しているが、これは単なる一例にすぎず、追加の、または代替的な動作が含まれ得ることは理解されるであろう。さらに、図3の動作および関連動作は、図示のものとは異なる順序で、または並行した、もしくは重なり合った仕方で実行され得る。フローチャート300は図1A~図1Cの回復システム100を参照して説明されているが、フローチャート300は、図2の回復システム200を含む、本明細書において説明されるシステムのうちの任意のものに従って実行され得る。
【0073】
フローチャート300は図1A~図1Cの回復システム100によって実行可能であり得る。例によっては、フローチャート300は図2の回復システム200によって実行可能であり得る。例によっては、フローチャート300は、コンピューティングデバイス120によって遂行される動作を示す。例えば、暗号化されたデータ136を回復する際に、コンピューティングデバイス120は図3の動作を遂行し得る。図3の動作は、第三者103がコンピューティングデバイス120にアクセスすることを試みており、第三者103がコンピューティングデバイス120を所有するときに、適用可能であり得る。また、図3の動作は、ユーザ101がコンピューティングデバイス120を所有するが、ユーザの現在の認証クレデンシャル138がユーザ101に不明であるときに、適用可能であり得る。換言すれば、暗号化データ136aにアクセスするためのユーザの認証クレデンシャル138がユーザに不明である。
【0074】
動作302は、コンピューティングデバイス120への回復アクセスのための認証クレデンシャル138を受け取ることを含み、認証クレデンシャル138は、コンピューティングデバイス120上の暗号化データ136aにアクセスするために用いられる認証クレデンシャルとは異なる。例によっては、認証クレデンシャル138は、コンピューティングデバイス120を所有または管理する第三者103に関連付けられている。例によっては、認証クレデンシャル138はコンピューティングデバイス120のユーザ101に関連付けられている。例えば、ユーザは多数の異なる仕方で認証され得る。暗号化データ136aにアクセスするためのパスワードは紛失または失念されることがあるが、コンピューティングデバイス120は、暗号化データ136にアクセスするために用いられるパスワードとは異なる認証クレデンシャル138を受け取り得、その認証クレデンシャル138が、ユーザ101を認証するために用いられる。
【0075】
動作304は、認証クレデンシャル138の受け取りに応じて、コンピューティングデバイス上に記憶された第1の鍵部分130を取得することを含む。例によっては、第1の鍵部分130はコンピューティングデバイス120の暗号プロセッサ126上に記憶される。例によっては、第1の鍵部分130は、認証クレデンシャル138が認証されると、取得される(例えば、開示される)。例によっては、第1の鍵部分130は、認証クレデンシャル138が認証され、第三者103が登録データ128内に含まれていると、取得される。動作306は、ネットワーク150を通じて、第2の鍵部分131を受け取るための要求を送信することを含む。例によっては、第2の鍵部分131はサーバコンピュータ102におけるハードウェアセキュリティモジュール110上に記憶される。動作308は、ネットワーク150を通じて、第2の鍵部分131を含む応答を受け取ることを含む。例によっては、ハードウェアセキュリティモジュール110は、ログエントリ112がデータベース114内に記録された後に、第2の鍵部分131を返す。例によっては、ハードウェアセキュリティモジュール110は、ハードウェアセキュリティモジュール110が認証クレデンシャル138を独立して認証し、かつ/または第三者103は登録データ128上に含まれていると決定した場合に、第2の鍵部分131を返す。動作310は、第1の鍵部分130および第2の鍵部分131を用いて復号鍵134を回復することを含む。動作312は、復号鍵134を用いてコンピューティングデバイス120上の暗号化データ136aを復号することを含む。
【0076】
図4は、別の態様に係る回復システムの例示的な動作を示すフローチャート400を示す。図4のフローチャート400は順次順に動作を示しているが、これは単なる一例にすぎず、追加の、または代替的な動作が含まれ得ることは理解されるであろう。さらに、図4の動作および関連動作は、図示のものとは異なる順序で、または並行した、もしくは重なり合った仕方で実行され得る。フローチャート400は図1A~図1Cの回復システム100を参照して説明されているが、フローチャート400は、図2の回復システム200を含む、本明細書において説明されるシステムのうちの任意のものに従って実行され得る。
【0077】
フローチャート400は図1A~図1Cの回復システム100によって実行可能であり得る。例によっては、フローチャート400は図2の回復システム200によって実行可能であり得る。例によっては、フローチャート400は、サーバコンピュータ102(例えば、回復サービスモジュール108)によって遂行される動作を示す。例えば、暗号化されたデータ136を回復する際に、サーバコンピュータ102は図4の動作を遂行し得る。図4の動作は、第三者103がコンピューティングデバイス120にアクセスすることを試みており、第三者103がコンピューティングデバイス120を所有するときに、適用可能であり得る。また、図4の動作は、ユーザ101がコンピューティングデバイス120を所有するが、暗号化データ136aにアクセスするためのユーザの認証クレデンシャルがユーザ101に不明であるときに、適用可能であり得る。
【0078】
動作402は、ネットワーク150を通じて、コンピューティングデバイス120から第2の鍵部分131を受け取るための第1の要求を受け取ることを含み、第2の鍵部分131は、暗号化データ136aを復号するための復号鍵134を回復するために、コンピューティングデバイス120上に記憶された、第1の鍵部分130と組み合わされるように構成されている。動作404は、第1の要求に関するログエントリ112をデータベース114内に記録するための第2の要求をデータベース114へ送信することを含む。動作406は、ログエントリ112がデータベース114内に記録された後に、第2の鍵部分131をコンピューティングデバイス120へ送信することを含む。例によっては、アクセスをデータベース114内に記録することによって、透明性が増大し得、これにより、アクセスが発見可能になり得るため、インサイダ攻撃を防ぐ。
【0079】
図5は、別の態様に係る回復システムの例示的な動作を示すフローチャート500を示す。図5のフローチャート500は順次順に動作を示しているが、これは単なる一例にすぎず、追加の、または代替的な動作が含まれ得ることは理解されるであろう。さらに、図5の動作および関連動作は、図示のものとは異なる順序で、または並行した、もしくは重なり合った仕方で実行され得る。フローチャート500は図1A~図1Cの回復システム100を参照して説明されているが、フローチャート500は、図2の回復システム200を含む、本明細書において説明されるシステムのうちの任意のものに従って実行され得る。
【0080】
フローチャート500は図1A~図1Cの回復システム100によって実行可能であり得る。例によっては、フローチャート500は図2の回復システム200によって実行可能であり得る。例によっては、フローチャート500は、コンピューティングデバイス120によって遂行される動作を示す。例えば、暗号化されたデータ136を回復する際に、コンピューティングデバイス120は図5の動作を遂行し得る。図5の動作は、第三者103がコンピューティングデバイス120にアクセスすることを試みており、第三者103がコンピューティングデバイス120を所有するときに、適用可能であり得る。また、図5の動作は、ユーザ101がコンピューティングデバイス120を所有するが、暗号化データ136aにアクセスするためのユーザの認証クレデンシャルがユーザ101に不明であるときに、適用可能であり得る。
【0081】
動作502は、コンピューティングデバイス120に関連付けられた認証クレデンシャル138を受け取ることを含み、認証クレデンシャル138は、コンピューティングデバイス120上の暗号化データ136aにアクセスするために用いられる認証クレデンシャルとは異なる。動作504は、認証クレデンシャル138の受け取りに応じて、コンピューティングデバイス120上に記憶された第1の鍵部分130を取得することを含む。動作506は、ネットワーク150を通じて、第2の鍵部分131を受け取るための要求を送信することを含み、第2の鍵部分131を受け取るための要求はデータベース114内へのログエントリ112の記録を起動するように構成されている。動作508は、ログエントリ112がデータベース114内に入力された後に、第2の鍵部分131を含む応答を受け取ることを含む。動作510は、第1の鍵部分130および第2の鍵部分131を用いて復号鍵134を回復することを含む。動作512は、復号鍵134を用いて暗号化データ136aを復号することを含む。
【0082】
図6は、ここで説明される技術と共に用いられ得る汎用コンピュータデバイス600および汎用モバイルコンピュータデバイス650の一例を示す。コンピューティングデバイス600は、ラップトップ、デスクトップ、タブレット、ワークステーション、パーソナルデジタルアシスタント、テレビ、サーバ、ブレードサーバ、メインフレーム、および他の適切なコンピューティングデバイスなどの、様々な形態のデジタルコンピュータを代表することを意図されている。コンピューティングデバイス650は、パーソナルデジタルアシスタント、セルラー電話、スマートフォン、および他の同様のコンピューティングデバイスなどの、様々な形態のモバイルデバイスを代表することを意図されている。ここで示される構成要素、それらの接続および関係、ならびにそれらの機能は単に例示を意図されているにすぎず、本文書において説明され、かつ/またはクレームされる主題の実装形態を限定することを意図されていない。
【0083】
コンピューティングデバイス600は、プロセッサ602、メモリ604、記憶デバイス606、メモリ604および高速拡張ポート610に接続する高速インターフェース608、ならびに低速バス614および記憶デバイス606に接続する低速インターフェース612を含む。プロセッサ602は半導体ベースのプロセッサであることができる。メモリ604は半導体ベースのメモリであることができる。構成要素602、604、606、608、610、および612の各々は様々なバスを用いて相互接続されており、共通マザーボード上に、または必要に応じて他の仕方で実装され得る。プロセッサ602は、メモリ604内または記憶デバイス606上に記憶された命令を含む命令をコンピューティングデバイス600内での実行のために処理し、高速インターフェース608に結合されたディスプレイ616などの、外部入力/出力デバイス上にGUIのためのグラフィカル情報を表示することができる。他の実装形態では、複数のプロセッサおよび/または複数のバスが、必要に応じて、複数のメモリおよび各種のメモリと共に用いられ得る。また、(例えば、サーババンク、ブレードサーバのグループ、またマルチプロセッサシステムとして)各デバイスが必要な動作の部分を提供する、複数のコンピューティングデバイス600が接続され得る。
【0084】
メモリ604はコンピューティングデバイス600内の情報を記憶する。一実装形態では、メモリ604は揮発性メモリユニットまたはユニット群である。別の実装形態では、メモリ604は不揮発性メモリユニットまたはユニット群である。メモリ604はまた、磁気または光ディスクなどの、別の形態のコンピュータ可読媒体であってもよい。
【0085】
記憶デバイス606は、コンピューティングデバイス600のための大容量記憶を提供する能力を有する。一実装形態では、記憶デバイス606は、フロッピー(登録商標)ディスクデバイス、ハードディスクデバイス、光ディスクデバイス、またはテープデバイス、フラッシュメモリもしくは他の同様のソリッドステートメモリデバイス、あるいは、ストレージエリアネットワークまたは他の構成内のデバイスを含む、デバイスのアレイなどの、コンピュータ可読媒体であるか、またはそれを包含し得る。コンピュータプログラム製品が情報担体内に有形に組み込まれ得る。コンピュータプログラム製品はまた、実行されると、上述されたものなどの、1つまたは複数の方法を遂行する命令を包含し得る。情報担体は、メモリ604、記憶デバイス606、またはプロセッサ602上のメモリなどの、コンピュータまたは機械可読媒体である。
【0086】
高速コントローラ608は、コンピューティングデバイス600のための、帯域幅を大量使用する動作を管理し、その一方で、低速コントローラ612は、帯域幅をそれほど使用しない動作を管理する。機能のこのような割り当ては単なる例示にすぎない。一実装形態では、高速コントローラ608は、メモリ604、ディスプレイ616に(例えば、グラフィックプロセッサまたはアクセラレータを通じて)、および様々な拡張カード(図示せず)を受け入れ得る、高速拡張ポート610に結合されている。本実装形態では、低速コントローラ612は記憶デバイス606および低速拡張ポート614に結合されている。様々な通信ポート(例えば、USB、Bluetooth(登録商標)、イーサネット(登録商標)、無線イーサネット)を含み得る、低速拡張ポートは、キーボード、ポインティングデバイス、スキャナなどの、1つもしくは複数の入力/出力デバイス、または例えば、ネットワークアダプタを通じて、スイッチもしくはルータなどのネットワーキングデバイスに結合され得る。
【0087】
コンピューティングデバイス600は、図に示されるように、多数の異なる形態で実施され得る。例えば、それは、標準サーバ620として実施されるか、またはこのようなサーバのグループの形で複数倍実施され得る。それはまた、ラックサーバシステム624の部分として実施され得る。加えて、それは、ラップトップコンピュータ622などのパーソナルコンピュータの形で実施され得る。代替的に、コンピューティングデバイス600からの構成要素は、デバイス650などの、モバイルデバイス内の他の構成要素(図示せず)と組み合わされ得る。このようなデバイスの各々は1つまたは複数のコンピューティングデバイス600、650を包含し得、全システムは、互いに通信する複数のコンピューティングデバイス600、650で構成され得る。
【0088】
コンピューティングデバイス650は、構成要素の中でもとりわけ、プロセッサ652、メモリ664、ディスプレイ654などの入力/出力デバイス、通信インターフェース666、およびトランシーバ668を含む。デバイス650はまた、追加の記憶を提供するために、マイクロドライブまたは他のデバイスなどの、記憶デバイスを提供され得る。構成要素650、652、664、654、666、および668の各々は様々なバスを用いて相互接続されており、構成要素のうちのいくつかは、共通マザーボード上に、または必要に応じて他の仕方で実装され得る。
【0089】
プロセッサ652は、メモリ664内に記憶された命令を含む、コンピューティングデバイス650内の命令を実行することができる。プロセッサは、別個の、および複数のアナログおよびデジタルプロセッサを含むチップのチップセットとして実施され得る。プロセッサは、例えば、ユーザインターフェース、デバイス650によって実行されるアプリケーション、およびデバイス650による無線通信の制御などの、デバイス650の他の構成要素の協調を提供し得る。
【0090】
プロセッサ652は、ディスプレイ654に結合された制御インターフェース658およびディスプレイインターフェース656を通じてユーザと通信し得る。ディスプレイ654は、例えば、TFT LCD(Thin-Film-Transistor Liquid Crystal Display(薄膜トランジスタ液晶ディスプレイ))もしくはOLED(Organic Light Emitting Diode(有機発光ダイオード))ディスプレイ、または他の適切なディスプレイ技術であり得る。ディスプレイインターフェース656は、グラフィカルおよび他の情報をユーザに提示するようディスプレイ654を駆動するための適切な回路機構を含み得る。制御インターフェース658はユーザからのコマンドを受け取り、それらをプロセッサ652への送信のために変換し得る。加えて、他のデバイスとのデバイス650の近エリア通信を可能にするために、プロセッサ652と通信する外部インターフェース662が提供され得る。外部インターフェース662は、例えば、実装形態によっては、有線通信を、または他の実装形態では、無線通信を提供し得、また、複数のインターフェースも用いられ得る。
【0091】
メモリ664はコンピューティングデバイス650内の情報を記憶する。メモリ664は、コンピュータ可読媒体もしくは媒体群、揮発性メモリユニットもしくはユニット群、または不揮発性メモリユニットもしくはユニット群のうちの1つまたは複数として実施され得る。また、拡張メモリ674が提供され、例えば、SIMM(Single In Line Memory Module(シングルインラインメモリモジュール))カードインターフェースを含み得る、拡張インターフェース672を通じてデバイス650に接続され得る。このような拡張メモリ674はデバイス650のための余分の記憶空間を提供し得るか、またはまた、デバイス650のためのアプリケーションもしくは他の情報を記憶し得る。具体的には、拡張メモリ674は、上述されたプロセスを実施する、または補うための命令を含み得、セキュア情報も含み得る。それゆえ、例えば、拡張メモリ674は、デバイス650のためのセキュリティモジュールとして提供され得、デバイス650の安全な使用を可能にする命令を用いてプログラムされ得る。加えて、識別情報をハッキング不可能な仕方でSIMMカード上に配置するなど、SIMMカードを介して、安全なアプリケーションを追加の情報と共に提供し得る。
【0092】
メモリは、後述されるように、例えば、フラッシュメモリおよび/またはNVRAMメモリを含み得る。一実装形態では、コンピュータプログラム製品が情報担体内に有形に組み込まれる。コンピュータプログラム製品は、実行されると、上述されたものなどの、1つまたは複数の方法を遂行する命令を包含する。情報担体は、例えば、トランシーバ668または外部インターフェース662を通じて受け取られ得る、メモリ664、拡張メモリ674、またはプロセッサ652上のメモリなどの、コンピュータまたは機械可読媒体である。
【0093】
デバイス650は、必要な場合にはデジタル信号処理回路機構を含み得る、通信インターフェース666を通じて無線で通信し得る。通信インターフェース666は、とりわけ、GSM(登録商標)音声通話、SMS、EMS、もしくはMMSメッセージング、CDMA、TDMA、PDC、WCDMA(登録商標)、CDMA2000、またはGPRSなどの、様々なモードまたはプロトコル下での通信を提供し得る。このような通信は、例えば、無線周波数トランシーバ668を通じて行われ得る。加えて、Bluetooth、Wi-Fi(登録商標)、または他のこのようなトランシーバ(図示せず)を用いるなどして、短距離通信が行われ得る。加えて、GPS(Global Positioning System(全地球測位システム))受信器モジュール670が、デバイス650上で実行するアプリケーションによって必要に応じて用いられ得る追加のナビゲーションおよび場所関連無線データをデバイス650に提供し得る。
【0094】
デバイス650はまた、ユーザからの発話情報を受け取り、それを、使用可能なデジタル情報に変換し得る、音声コーデック660を用いて音声で通信し得る。音声コーデック660は、同様に、例えば、デバイス650の送受話器内の、スピーカなどを通じて、ユーザのための可聴音声を生成し得る。このような音声は、音声通話からの音声を含み得、録音音声(例えば、音声メッセージ、音楽ファイル等)を含み得、また、デバイス650上で動作するアプリケーションによって生成された音声を含み得る。
【0095】
コンピューティングデバイス650は、図に示されるように、多数の異なる形態で実施され得る。例えば、それはセルラー電話680として実施され得る。それはまた、スマートフォン682、パーソナルデジタルアシスタント、または別の同様のモバイルデバイスの部分としても実施され得る。
【0096】
それゆえ、ここで説明されるシステムおよび技術の様々な実装形態は、デジタル電子回路機構、集積回路機構、特別に設計されたASIC(application specific integrated circuit(特定用途向け集積回路))、コンピュータハードウェア、ファームウェア、ソフトウェア、および/またはこれらの組み合わせの形で実現され得る。これらの様々な実装形態は、データおよび命令を記憶システム、少なくとも1つの入力デバイス、および少なくとも1つの出力デバイスから受信し、データおよび命令をそれに送信するために結合された、専用または汎用のものであり得る、少なくとも1つのプログラマブルプロセッサを含むプログラマブルシステム上で実行可能および/または解釈実行可能である1つまたは複数のコンピュータプログラムの形での実装形態を含むことができる。
【0097】
これらのコンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーションまたはコードとしても知られる)はプログラマブルプロセッサのための機械命令を含み、高レベル手続き型および/もしくはオブジェクト指向プログラミング言語で、ならびに/またはアセンブリ/機械言語で実施され得る。本明細書で使用するとき、用語「機械可読媒体」「コンピュータ可読媒体」は、機械命令を機械可読信号として受信する機械可読媒体を含む、機械命令および/またはデータをプログラマブルプロセッサに提供するために用いられる任意のコンピュータプログラム製品、装置および/またはデバイス(例えば、磁気ディスク、光ディスク、メモリ、プログラマブル論理デバイス(PLD:Programmable Logic Device))を指す。用語「機械可読信号」は、機械命令および/またはデータをプログラマブルプロセッサに提供するために用いられる任意の信号を指す。
【0098】
ユーザとの対話を提供するために、ここで説明されるシステムおよび技術は、情報をユーザに表示するための表示デバイス(例えば、CRT(cathode ray tube(陰極線管))またはLCD(liquid crystal display(液晶ディスプレイ))モニタ)、ならびにユーザが入力をコンピュータに与えられる(provided)ことができるキーボードおよびポインティングデバイス(例えば、マウスまたはトラックボール)を有するコンピュータ上で実施され得る。他の種類のデバイスを、ユーザとの対話を提供するために用いることもでき、例えば、ユーザに提供されるフィードバックは、任意の形態の感覚フィードバック(例えば、視覚フィードバック、聴覚フィードバック、または触知フィードバック)であることができ、ユーザからの入力は、音響、音声、または触知入力を含む、任意の形態で受け取ることができる。
【0099】
ここで説明されるシステムおよび技術は、バックエンド構成要素を(例えば、データサーバとして)含むか、もしくはミドルウェア構成要素(例えば、アプリケーションサーバ)を含むか、フロントエンド構成要素(例えば、ユーザが、ここで説明されるシステムおよび技術の一実装形態と対話することができるグラフィカルユーザインターフェースまたはウェブブラウザを有するクライアントコンピュータ)、またはこのようなバックエンド、ミドルウェア、もしくはフロントエンド構成要素の任意の組み合わせを含むコンピューティングシステムにおいて実施することができる。システムの構成要素は、デジタルデータ通信の任意の形態または媒体(例えば、通信ネットワーク)によって相互接続され得る。通信ネットワークの例としては、ローカルエリアネットワーク(「LAN」)、ワイドエリアネットワーク(「WAN」)、およびインターネットが挙げられる。
【0100】
コンピューティングシステムはクライアントおよびサーバを含むことができる。クライアントおよびサーバは、概して、互いに遠隔にあり、典型的には、通信ネットワークを通じて対話する。クライアントおよびサーバの関係は、それぞれのコンピュータ上で実行し、互いにクライアント-サーバ関係を有するコンピュータプログラムにより生じる。
【0101】
加えて、図面に示される論理フローは、所望の結果を達成するために、図示されている特定の順序、または順番を必要としない。加えて、他のステップが提供され得るか、またはステップが上述のフローから除外され得、他の構成要素が上述のシステムに追加されるか、またはそれらから除去され得る。したがって、他の実装形態も添付の特許請求の範囲の範囲に含まれる。
【0102】
特に詳細に説明された上述の実装形態は単なる例または可能な実装形態にすぎず、含まれ得る多くの他の組み合わせ、追加、または代替案が存在することは理解されるであろう。
【0103】
また、構成要素の特定の呼称、用語の大文字表記、属性、データ構造、または任意の他のプログラミングもしくは構造的態様は必須または重要でなく、本開示の主題またはその特徴を実施する機構は、異なる名称、フォーマット、またはプロトコルを有し得る。さらに、システムは、上述されたように、ハードウェアおよびソフトウェアの組み合わせを介して実施されるか、または完全にハードウェア要素の形で実施され得る。また、本明細書において説明される様々なシステム構成要素の間の機能性の特定の分割は単なる例示にすぎず、必須ではなく、単一のシステム構成要素によって遂行される機能は、代わりに、複数の構成要素によって遂行されてもよく、複数の構成要素によって遂行される機能は、代わりに、単一の構成要素によって遂行されてもよい。
【0104】
上述の説明のいくつかの部分は、情報に対する動作のアルゴリズムおよび記号的表現を用いて特徴を提示している。これらのアルゴリズム的記述および表現は、データ処理技術分野における当業者によって、自身の仕事の内容を他の当業者へ効果的に伝えるために用いられ得る。これらの動作は、機能的に、または論理的に説明されているが、コンピュータプログラムによって実施されることが理解される。さらに、動作のこれらの取り合わせを、一般性を失うことなく、モジュールとして、または機能名によって言及することが時として都合良いことも分かっている。
【0105】
別途特に断りのない限り、上述の説明から明らかなように、本説明全体を通じて、「処理(processing)」、または「計算(computing)」、または「算出(calculating)」、または「決定(determining)」、または「表示(displaying)」、または「提供(providing)」、または同様のものなどの用語を利用した説明は、コンピュータシステムのメモリもしくはレジスタ、または他のこのような情報記憶、送信、もしくは表示デバイス内の物理(電子)量として表されるデータを操作し、変換する、コンピュータシステム、または同様の電子コンピューティングデバイスのアクションおよびプロセスを指すことが理解される。
【図1A】
【図1B】
【図1C】
【図2】
【図3】
【図4】
【図5】
【図6】
【手続補正書】
【提出日】2024-05-02
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
コンピューティングデバイスにアクセスするための方法であって、前記方法は、組織によって管理されるユーザデバイスのユーザインターフェースを介して、前記組織の管理者と関連付けられた第1の認証クレデンシャルを受け取ることを含み、前記第1の認証クレデンシャルは、第2の認証クレデンシャルとは異なり、前記第2の認証クレデンシャルは、前記ユーザデバイスに割り当てられたユーザに関連付けられ、前記ユーザデバイス上の暗号化データにアクセスするために用いられ、
前記方法は、
前記第1の認証クレデンシャルの認証成功に応じて、前記ユーザデバイスのメモリデバイスに記憶された第1の鍵部分を取得することと、
ネットワークを通じて、第2の鍵部分を受け取るための要求を送信することと、
前記ネットワークを通じて、前記第2の鍵部分を含む応答を受け取ることと、
前記第1の鍵部分および前記第2の鍵部分を用いて復号鍵を回復することと、
前記復号鍵を用いて前記ユーザデバイス上の前記暗号化データを復号することと
をさらに含む、方法。
【請求項2】
前記第2の鍵部分を受け取るための前記要求は、データベース内へのログエントリの記録を起動し、前記ログエントリは、前記管理者による前記ユーザデバイスへのアクセスに関する情報を含む、請求項1に記載の方法。
【請求項3】
前記第2の鍵部分は、前記データベースへの前記ログエントリの記録後に前記ユーザデバイスにおいて受け取られる、請求項2に記載の方法。
【請求項4】
前記第1の鍵部分および前記第2の鍵部分を組み合わせて、ラッピング鍵を形成することと、前記ラッピング鍵を用いて前記復号鍵を復号することと
をさらに含む、請求項1に記載の方法。
【請求項5】
少なくとも1つの許可ユーザアカウントを識別する登録データを取得することと、前記第1の認証クレデンシャルが前記少なくとも1つの許可ユーザアカウントに対応するかどうかを決定することと、
前記第1の認証クレデンシャルが前記少なくとも1つの許可ユーザアカウントに対応することに応じて、前記第2の鍵部分を受け取るための前記要求を送信することと
をさらに含む、請求項1に記載の方法。
【請求項6】
前記第1の鍵部分は、前記ユーザデバイスの暗号プロセッサにおいて記憶され、前記第2の鍵部分を受け取るための前記要求は、前記第2の鍵部分を記憶するように構成されたセキュリティモジュールへ送信される、請求項1に記載の方法。
【請求項7】
登録データを前記暗号プロセッサまたは前記セキュリティモジュールのうちの少なくとも一方の上に記憶することをさらに含み、前記登録データは、前記第1の認証クレデンシャルに対応する少なくとも1つの許可ユーザアカウントを識別する、請求項6に記載の方法。
【請求項8】
前記第1の認証クレデンシャルが認証システムによって認証されたことに応じて、認証成功応答を受け取ることをさらに含み、
前記第1の鍵部分は、前記認証成功応答に応じて取得される、請求項1に記載の方法。
【請求項9】
装置であって、
少なくとも1つのプロセッサと、
実行可能命令を記憶する非一時的コンピュータ可読媒体とを備え、前記実行可能命令は、前記少なくとも1つのプロセッサに、
組織によって管理されるユーザデバイスのユーザインターフェースを介して、前記組織の管理者と関連付けられた第1の認証クレデンシャルを受け取ることを行わせ、前記第1の認証クレデンシャルは、第2の認証クレデンシャルとは異なり、前記第2の認証クレデンシャルは、前記ユーザデバイスに割り当てられたユーザに関連付けられ、前記ユーザデバイス上の暗号化データにアクセスするために用いられ、前記実行可能命令は、前記少なくとも1つのプロセッサに、
前記第1の認証クレデンシャルの認証成功に応じて、前記ユーザデバイスのメモリデバイスに記憶された第1の鍵部分を取得することと、
ネットワークを通じて、第2の鍵部分を受け取るための要求を送信することと、
前記ネットワークを通じて、前記第2の鍵部分を含む応答を受け取ることと、
前記第1の鍵部分および前記第2の鍵部分を用いて復号鍵を回復することと、
前記復号鍵を用いて前記ユーザデバイス上の前記暗号化データを復号することと
をさらに行わせる、装置。
【請求項10】
前記第2の鍵部分を受け取るための前記要求は、データベース内へのログエントリの記録を起動し、前記ログエントリは、前記管理者による前記ユーザデバイスへのアクセスに関する情報を含む、請求項9に記載の装置。
【請求項11】
前記第2の鍵部分は、前記データベースへの前記ログエントリの前記記録中または前記記録後に前記ユーザデバイスにおいて受け取られる、請求項10に記載の装置。
【請求項12】
前記実行可能命令は、前記少なくとも1つのプロセッサに、
前記第1の鍵部分および前記第2の鍵部分を組み合わせて、ラッピング鍵を形成することと、
前記ラッピング鍵を用いて前記復号鍵を復号することと
を行わせる命令を含む、請求項9に記載の装置。
【請求項13】
前記実行可能命令は、前記少なくとも1つのプロセッサに、
少なくとも1つの許可ユーザアカウントを識別する登録データを取得することと、
前記第1の認証クレデンシャルが前記少なくとも1つの許可ユーザアカウントに対応するかどうかを決定することと、
前記第1の認証クレデンシャルが前記少なくとも1つの許可ユーザアカウントに対応することに応じて、前記第2の鍵部分を受け取るための前記要求を送信することと
を行わせる命令を含む、請求項9に記載の装置。
【請求項14】
前記第1の鍵部分は、前記ユーザデバイスの暗号プロセッサにおいて記憶され、前記第2の鍵部分を受け取るための前記要求は、前記ネットワークを通じて、前記第2の鍵部分を記憶するように構成されたセキュリティ回路機構へ送信される、請求項9に記載の装置。
【請求項15】
登録データを前記暗号プロセッサまたは前記セキュリティ回路機構のうちの少なくとも一方の上に記憶することをさらに含み、前記登録データは、前記第1の認証クレデンシャルに対応する少なくとも1つの許可ユーザアカウントを識別する、請求項14に記載の装置。
【請求項16】
前記実行可能命令は、前記少なくとも1つのプロセッサに、
前記第1の認証クレデンシャルが認証システムによって認証されたことに応じて、認証成功応答を受け取ることを行わせる命令を含み、
前記第1の鍵部分は、前記認証成功応答に応じて取得される、請求項9に記載の装置。
【請求項17】
請求項1~8のいずれか1項に記載の方法を少なくとも1つのプロセッサに実行させる実行可能命令を備える、プログラム。
【国際調査報告】