JPH02105192A - 個人識別番号処理の許可を検証する装置および方法 - Google Patents

個人識別番号処理の許可を検証する装置および方法

Info

Publication number
JPH02105192A
JPH02105192A JP1211546A JP21154689A JPH02105192A JP H02105192 A JPH02105192 A JP H02105192A JP 1211546 A JP1211546 A JP 1211546A JP 21154689 A JP21154689 A JP 21154689A JP H02105192 A JPH02105192 A JP H02105192A
Authority
JP
Japan
Prior art keywords
pin
key
control vector
cryptographic
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP1211546A
Other languages
English (en)
Other versions
JPH0823736B2 (ja
Inventor
Stephen M Matyas
ステイブン・エム・マテイース
Dennis G Abraham
デニーズ・ジイー・アバラハム
Donald B Johnson
ドナルド・ビイー・ジヨンソン
Ramesh K Karne
ラメシユ・ケイ・カーン
An V Le
アン・ヴイ・リ
Rostislaw Prymak
ローステイスロー・プライマク
Julian Thomas
ジユリアン・トーマス
D Wilkins John
ジヨン・デイー・ウイルキンズ
Phil C Yeh
フイル・シイー・イー
Ronald M Smith
ロナルド・エム・スミス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH02105192A publication Critical patent/JPH02105192A/ja
Publication of JPH0823736B2 publication Critical patent/JPH0823736B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 A、産業上の利用分野 本発明は、広義にはデータ処理技術に関し、具体的には
データ処理における暗号の応用分野に関する。
B、従来技術及びその課題 参照文献−以下に示す特許出願は本発明に関係するもの
で、引用により本明細書に組み込む。
(a)B、Brachtl等による1987年5月29
日付の米国特許出願第55502号” Control
led Useof Cryptographic K
eys via GeneratingStation
s Established Control Val
ues ”(b)S、M、Matyas等による198
8年8月11日付の米国特許出願第231114号l″
SecureManagement of Keys 
Using Control Vectors″0(c
)S、M、Matyas等による1988年8月17日
付の米国特許出願第233515号 ”DataCry
ptography 0perations Usin
g ControlVectors″ U  毎日、電子振替(EFT)システムは組織及び個
人間で数十像ドルを電子的に振替えしている。ユーザの
識別が確実に検証され、ネットワークのノード間でメツ
セージの正確で変更のない伝送が保証されない限り、こ
うしたトランザクションは安全に処理できない。
個人識別番号(PIN)とは、EFTシステムまたはP
OSシステムで使用されるデビット・カードまたはクレ
ジット・カードの所持者に割り当てられ、または所持者
が選択する秘密番号である。
PINはシステムに対してカード所持者を認証する働き
をする。EFTシステム及びPOSシステムでは、PI
N及び他のEFT)ランザクシロンの機密性と保全性を
確保するため、暗号を使用する。
暗号とは、許可を受けていない者に対して情報を隠すた
めに、理解可能な情報を見かけ上理解不能な情報に変形
するものである。暗号は、陸上通信線、通信衛星、マイ
クロ波施設を使用する通信ネットワークを介して伝送さ
れる情報を保護する唯一の既知の実用的な方法である。
暗号は、データの秘密を保護するだけでなく、データの
保全性をも保護するために使用できる。
データの暗号変形は、通常、キーの制御下で、選択され
たアルゴリズムまたは手順によって定義される。アルゴ
リズムは通常一般に知られているので、変形または暗号
化されたデータの保護は、キーの秘密性に依存する。す
なわち、不正使用者が既知のアルゴリズムとキーを使っ
て暗号化されたデータを簡単に回復できないようにする
ために、キーを秘密に保持しておかなければならない。
したがって、データの保護は秘密キーの保護に依存する
キー管理の新しい方法は、やはり本発明の良好な背景技
術をもたらすS、M、Matyas等の上記の特許出願
(b)に記載されている。本明細書に開示する発明は、
生成、変換、配布及び検証中におけるPINの機密性及
び保全性の保護に暗号キー及び暗号方法を適用すること
を目的とする暗号PIN処理に関するものである。一方
、S、M、Matyas等の特許出願は、キー自体の生
成、配布及び管理に関するものである。
PINが適切に機能するためには、PINを、カード所
持者及びカード所持者を認証することができる金融機関
だけが知っており、他の誰も知らないようにしなければ
ならない。
PINは、不正使用者(カード拾得者、泥棒、偽造者)
が推測を繰り返して(または試行錯誤により)正しいP
INを見つける機会がほとんどない程度に十分な桁数の
数字を含まなければならない。しかし、PINは余り多
くの数字を含むべきではない。そうでないと、トランザ
クション時間が遅くなる。PINが長くなるほど、覚え
難くなり、入力エラーの可能性が大きくなる。10進数
で4ないし8桁のPINが業界の標準であるが、もっと
長いPINが顧客選択オプションとして利用されること
もある。
カード所持者に許される不正確な連続PIN入力の回数
を制限するのが慣例である。通常、不正確な入力が3回
あるとトランザクションは打ち切られる。こうすると、
不正使用者がPINを徹底的に検討して正しいPINを
推測するのが困難になる。カードの取上げも、無許可の
カード使用を妨げる手段として利用されることがある。
銀行カードとユーザを認証する手段としてのPIN− ユーザは通常、金融機関識別番号、カードの失効時期及
び主口座番号(PAN)を刻字した磁気ストライプ識別
カード(銀行カード)を持っている。顧客が自分の口座
を開き、ユーザに銀行カードを発行する機関を発行人と
呼ぶ。システムへの入力点で、ユーザの銀行カードに関
する情報がシステムに読み込まれ、ユーザは個人識別番
号(PIN)と呼ばれる秘密の数字を入力する。カード
所持者が正しいPINを入力し、口座残高が取引を行な
うのに十分であり、その取引の種類がその口座に認めら
れている場合、システムは振替えを許可する。
電子式振替及びpos環境 第1図に示すネットワーク構成を考える。PO5端末や
現金自動受け払い機(ATM)など、トランザクション
要求が開始される入力点をEFT端末と呼ぶ。金融機関
のコンピュータ施設は、接続されたEFT端末を管理す
ることもあり、上位処理センタ(RPC)と呼ばれる。
第1図に示す3つのHPCは、知能交換機を介して相互
接続されている。交換機は、別のRPCでよく、情報が
ネットワーク中で効率的に経路設定できるようにHPC
間で接続を確立する。RPCとそれに関連するEFT端
束の間、及びHPCと隣接するネットワークの間に位置
する独立の装置である通信制御装置(cC)が、通信リ
ンクを介するデータ伝送の管理を担当する。同様に、E
FT端末は、リンク管理機能に対して補足的サポートを
与えるものと仮定する。CCはシステム・ユーザ及びデ
ータを検査するための容量をもつ。
EFT端末に入力された情報に最初に作用するRPCが
、獲得側(獲得RPC)である。EFT端末でトランザ
クションを開始するユーザは、ローカル機関(HPCI
、その場合、獲得側は発行者でもある)または遠隔機関
(HPCYまたはHPCZ)の顧客である。ユーザは発
行者によって管理されない入力点でトランザクションを
開始できる場合、サポート・ネットワークは交換システ
ムと呼ばれる。
暗号なしの例 暗号を使用しない簡単なトランザクシロンを考える。こ
れを第2図に示す。顧客は、銀行カードを使って35ド
ルの食料品店の勘定を払って、現金でさらに50ドルを
受け取りたいものとする。
食料品店の口座はX銀行にあり、顧客の口座はX銀行に
ある。顧客のカードを、顧客またはEFT端末に参加し
ている小売店の店員が、EFT端末に挿入し、顧客は、
電卓のような外形をし同様に動作する、キーボードまた
はPINパッドなど適切な入力装置によってPINを入
力する。同様に、食料品店は、85ドル(食料品店の3
5ドルと顧客が受け取る50ドル)を顧客の口座から食
料品店の口座に振り込むことを求める振込み要求を入力
する。
伝送及び処理の際に、PINは16桁の10進数PIN
ブロツク(8バイト)として記憶される。
いくつかのPINブロック・フォーマットが標準化され
ている、あるいは事実上標準になっている。
EFT端末で入力された情報は、暗号要求メツセージに
組み込まれる。このメツセージまたはトランザクション
要求は、顧客のPIN(すなわち、8バイトのPINブ
ロック)、顧客の口座番号(PAN) 、及び適切な経
路設定情報を含み、獲得側(HPCI)及び交換機を介
して、発行者(HPCI)に送られる。
借方要求を受け取ると、HPCYは、そのPINが顧客
のPANと正しく相関しているかどうか、及び顧客の口
座残高が85ドルの振込みをカバーするのに十分かどう
かを検査する。PINの検証が失敗すると、ユーザには
通常、正しいPINを入力する機会が少なくとももう2
回毎えら・れる。さらに試みてもPINが依然として拒
絶された場合、HPCYは否定応答をHPCIに送る。
PINは正しいが、口座残高が振込みを行なうのには十
分でない場合、HPCYは、否定応答または借方拒絶(
不十分な資金)メツセージをHPCIを送ることにより
借方要求を拒否する。
次いでネットワークを介して食料品店のEFT端末に振
込みが承認されないことを食料品店に知らせるメツセー
ジが送られる。
借方要求が承認された場合は、HPCYは借方要求を記
録し、顧客の口座残高を85ドル分減らして、肯定応答
または借方許可メツセージをHPCXに送り戻す。HP
CXは、借方許可を受け取ると、2つの処置を取る。食
料品店に振込みが承認されたことを知らせるメツセージ
が食料品店のEFT端末に送られる。次いでHPCXは
食料品店の口座に85ドルを貸方記入する。これでトラ
ンザクシロンが終了する。
カード所持者が発行者のRPCまたは他の指定されたノ
ードのRPCによって認証された場合、その処理はオン
ライン・モードで動作すると言われる。カード所持者が
端末によって認証された場合、その処理はオフライン・
モードで動作すると言われる。
一噴」コF里人りり桝 暗号を使用する同じ簡単なトランザクシロンを考える。
これを第3図に示す。この場合は、顧客が入力したPI
N(場合によっては、他のデータも)から導出されたP
INブロックが、秘密のPIN暗号キーPEKIで暗号
化される。この説明では、PINブロック・フォーマッ
トは、IBM暗号化PINパッド・フォーマットである
と仮定する。PIN暗号化キーはEFT端末と獲得側(
HPCX)との間で共用される。
獲得側(HPCX)では、暗号化されたPINブロック
がPIN暗号化キーPEDIによる暗号化からPIN暗
号化キーPEK2による暗号化に変換される。PEK2
は、獲得側(HPCX)と交換機の間で共用されるPI
N暗号化キーである。同様に、交換機で、暗号化された
PINブロックがPEK2による暗号化からPEK3に
よる暗号化に変換される。PEL3は、交換機と発行者
(HPCY)の間で共用されるPIN暗号化キーである
。暗号PIN変換動作は、PIN変換命令を使って実行
される。
発行者(HPCY)側では、暗号化されたPINブロッ
クが、IBM暗号化PINパッド・フォーマットからI
BM3B24フォーマットに再フォ−マツト化される。
この暗号動作も、PIN変換命令を使って実行される。
ただし、この場合は入力PIN暗号化キーと出力PIN
暗号化キーが同じでもよい。この動作は、PEK3によ
りPINブロックを非暗号化し、IBM暗号化PINパ
ッド・フォーマットからIBM3B24フォーマットに
PINブロックを再フォ−マツト化し、その結果得られ
たPINブロックをPEK3により再暗号化することか
ら成る(その結果得られた異なるキーPEK4によりP
INブロックを再暗号化することも可能である)。再フ
ォ−マツト化されたPINブロックは、次いでPIN検
証命令を用いて検証される。PIN検証命令は、入力と
して、(3624PINブロツク・フォーマットによる
)暗号化されたPINブロック、PAN。
PEK3の暗号化された値、及び暗号化されたシステム
定義PIN生成キーPGK(PIN妥当性検査キーとも
呼ばれる)を受け入れる。内部で、非暗号化された(復
号された。以下同じ)PINブロックから顧客のPIN
が回復される。このPINが、顧客のPANから導出さ
れた同様なシステム生成PIN1非暗号化されたPIN
生成キー(PGK) 、及びこの説明では重要ではない
、命令に供給される他のアルゴリズム依存データと等し
いかどうか比較される。入力されたPINと内部で計算
されたPINの値が等しい場合、PIN検証命令は「1
」を戻し、そうでない場合は、「0」を戻す。
PIN妥当性検査で内部計算PIN値を生成するのに使
用されるアルゴリズムと同じアルゴリズムが、PINを
生成するのにも使用される。生成されたPINは、平文
の形でも暗号化した形でも出力できる。
要約すると、PIN処理機能を適切に支援するには、P
INブロック作成命令、PIN変換命令、PIN検証命
令、PIN生成命令の4つの暗号命令が必要である。P
INブロック作成命令は、顧客が入力したPINと他の
ユーザ及びシステム依存データからい(つかのフォーマ
ットの1つでPINブロックを作成し、供給された暗号
化されたPIN暗号化キー(PEK)によりPINブロ
ックを暗号化する。PIN変換命令は2つの機能を備え
ている。この命令は、第1のPIN暗号化キーによる暗
号化から異なる第2のPIN暗号キーによる暗号化にP
INブロックを再暗号化するのに使用できる。また、P
INブロックを再フォ−マツト化、すなわち、第1のP
INフォーマットから第2のPINフォーマットに再フ
ォ−マツト化するのにも使用できる。PIN検証命令は
、システムによって生成されたPINlすなわち、シス
テムPIN生成キー(PGK)がら始めに生成されたP
INの妥当性検査を行なうのに使用される。
平文PINは、通常はPINメイラ(PINが封筒の外
側からは見えないような形で封筒の内側に印刷できる特
殊な封筒)を使って当該の各カード所持者に送られる。
PIN生成命令は、システム供給PINを生成するのに
使用される。顧客が自分のPINを選択する場合には、
オフセット値が顧客の銀行カードに記録される。このオ
フセットは、入力されたPINの値と組み合わされると
、システム生成PINと等しいかどうか比較できる値(
導出PINと呼ばれる)を生成する。すなわち、PIN
検証命令は、顧客が自分のPINの値を選択する状況で
も利用される。
第4図に、顧客が個人で選択したPINパッドを入力す
る2つの方法、すなわち、暗号化されていないPINパ
ッドを使う方法及び暗号化PINパッドを使う方法を示
す。それぞれの場合の出力は、PIN生成システムに送
られる(第5図参照)。PIN生成システムは、任意選
択として顧客が選択したPIN(c8PIN)を受け入
れ、PAN及び他のデータからPINを内部生成し、C
3PINが供給されている場合、内部PINまたはC3
PINからのそのオフセットを出力する。
そのオフセットはその顧客の新しい銀行カードに書き込
まれる。C3PINが供給されていない場合、内部生成
PINはPINメイラに印刷されて顧客に郵送される。
磁気符号化したPANと任意選択のオフセットを含む銀
行カードも顧客に郵送される。PINメイラ印刷装置と
銀行カード書込み機は遠隔地に置くこともできる。
PIN処理の要件 PIN処理の要件は、以下のように要約できる。
1、PINをPINメイラの作成に適した暗号化した形
及び平文の両方で生成する。
2、PINオフセットを銀行カードの作成に適した暗号
化した形及び平文の両方で生成する。
3、顧客が入力した平文のPINからフォーマット化さ
れたPINブロックを作成し、供給されたPIN暗号化
キーでPINブロックを暗号化する。
4、第1の暗号化キー(PEKI)による暗号化から異
なる第2の暗号化キー(PEK2)による暗号化にPI
Nを変換する。
5、あるPINブロック・フォーマットから別のPIN
ブロック・フォーマットにPINを再フォ−マツト化す
る。ただし、ある変換は許可し、ある変換は拒否できる
ように制御機構を設ける。
6.1つまたは複数のアルゴリズムを用いてPINを検
証する(すなわち、平文の顧客入力PIN及び平文のシ
ステム生成PINを用いて比較を行なう)。
7、暗号化されたPINのデータベースを用いてPIN
を検証する(すなわち、暗号化された顧客入力PINと
暗号化されたシステム記憶PINを用いて比較を行なう
)。
PINとキーの比較 PINはいくつかの点でキーと異なっており、したがっ
てPIN管理はキー管理と異なる。
通常4桁のPINは、56ビツトのキーよりも組合せの
数がはるかに少なくなる。その結果、PINは特に辞書
攻撃を受けやすい。こうした攻撃では、システム・イン
ターフェース及び暗号命令が平文及び暗号化されたPI
Nの辞書を構成するように操作される。PINは単一の
PINブロック・フォーマットで記憶され、固定したP
IN暗号化キーによって暗号化される。傍受した暗号化
されたPINを再フォ−マツト化し、同じPIN暗号化
キーによる暗号化に変換することもできる場合、辞書中
のその暗号化された値を見つけることにより、未知の平
文PINの値を容易に導き出すことができる。4桁のP
INを用いる場合、こうした攻撃を実行するための処理
及び記憶要件は無視できる。しかし、キーは2”58の
組合せがあるので、同じ種類の辞書攻撃を受けない。
PINは、16個の10進数(または8バイト)から構
成されるPINブロックで記憶され変換される。いくつ
かのPINブロック・フォーマットが標準化され、ある
いは事実上標準となっている。
それには以下のものがある。
ANSI9.8 ISOフォーマット0 VISAフォーマット1(最下位口座番号)VISAフ
ォーマット4(最上位口座番号)IBM  4736 ECI  フォーマットl l5Oフォーマット I ECI  フォーマット4 VISA フォーマット2 VISA フォーマット3  (PINを4桁にしがで
きない) IBM暗号化PINハツト(4704EPP)IBM 
3624 IBM 3621及び5906 ECI  フォーマット2 ECT フォーマット3 ANSI 9.8x IB14非暗号化PINパッド DIEBOLD、  DOCU置、  NCRBIJR
ROUGHS PIN処理の重要な部分は、PINブロック作成、ある
PINブロック・フォーマットかう別ノフォーマットへ
の再フォ−マツト化、及びPIN回復(PINブロック
からPINを引き出すこと)からなる。一方、キーは常
に、56個の独立したキー・ビットとパリティに使用で
きる8ビツトからなる64ビツトとして記憶される。い
くつかのPINブロック・フォーマットを認識しなけれ
ばならないPIN管理とは異なり、キー管理は1つのフ
ォーマットだけでキーを処理する。
簡単に言うと、PINはそれが検証されるために存在す
る。キーも検証可能であるが、キーが存在する主な理由
は、暗号手段によってデータ(及びキー)に機密性と保
全性を与えることである。
当業界で受け入れられているい(つかのPINI証アル
ゴリズムがPINの認証に利用できる。
PINは、システムの入力点で(すなわち、PIHに関
連するトランザクションが要求されたとき)PINメイ
ラを発行するために生成されるとき平文の形で現れる。
パーソナル・キーは、システムへの入力点で平文の形で
現れるが、システム・キーは導入時にだけ入力点で平文
の形で現れる。
すなわち、PINとキーは管理方法が異なる。
PINとデータの比較 PINは、EFT及びPO8金融トランザクションの不
可欠の部分であり、発見されたPINを原因とする金銭
の損失に関する協定の各当事者に課される賠償責任を定
義する事前に締結された協定にもとづいて使用しなけれ
ばならない。したがって、−度暗号化されると、PIN
は決して非暗号化されない。すべてのPIN検証は暗号
化されたPINで、または暗号機構の安全保護境界の内
部では平文のPINで実行される。
一方、データは送信側(装置またはアプリケーション・
プログラム)が暗号化し、受信側(装置またはアプリケ
−シロン)が非暗号化する。そうしないと、受け取った
データは使用できなくなる。
これが、PINの管理とデータの管理の基本的な違いで
ある。
PIN  全保護とPIN処理 PINはキーやデータとは異なるそれ自体の独自の安全
保護及び処理要件をもつことを認識することが重要であ
る。
オプションは、システム指定PINにもユーザ指定PI
Nにも必要である。実施者が遵守しなければならないP
INブロック・フォーマットを定義する標準が存在する
。専用PIN処理モードも存在する。平文及び暗号化さ
れたPINの辞書を累積できる電子速度攻撃を防ぐため
の特別の防御手段が必要である。
PINを管理し処理するための新しい機器及び方法が、
PINを管理し処理する従来の機器及び方法と互換性を
もつことが大切である。しかし、新しい機器は、従来の
機器との互換性を損なうことなく、より高いPINの安
全保護を提供できるものである。
様々なPINフォーマットを処理し、平文PINインタ
ーフェースとの互換性をもたらすための従来技術の方法
は、安全保護、複雑性、使用可能性の点から不十分であ
った。PINフォーマットの増大につれて、PINフォ
ーマットを暗号分離のためにPIN暗号化キーに関連付
ける方法は扱いにくくなってきた。PIN検証アルゴリ
ズムを暗号分離のためにPIN生成キーに関連付ける方
法も扱いにくくなってきた。ある暗号強度のPINフォ
ーマットからより小さな強度のPINフォーマットへの
変換を防止するためのPINフォーマット変換の制御が
不十分になってきた。平文PINインターフェースを利
用する以前のシステムとの互換性は、平文PIN入力に
よって平文及び暗号化されたPINの辞書が構築でき、
システムが攻撃にさらされる、同様の平文PINインタ
ーフェースで溝たされていた。さらに、平文及び暗号化
PINインターフェースを暗号分離する従来技術の方法
は、システムの複雑性及び使用可能性の点から不十分で
あった。従来技術の方法は、互換性要件を支援するPI
N処理システムを構成するための柔軟で安全な方法を安
全保護管理者にもたらさない。
本発明の目的は、改良された暗号PIN処理方法を提供
することである。
本発明の他の目的は、従来技術より柔軟性の大きな改良
された暗号PIN処理方法を提供することである。
本発明の他の目的は、システム管理者が確立した安全保
護の方針に従って平文PINインターフェースの使用を
制御する、改良された暗号PIN処理方法を提供するこ
とである。
本発明の他の目的は、システム管理者が確立した安全保
護の方針に従っであるフォーマットから別のフォーマッ
トへのPINの変換を制限する、改良された暗号PIN
処理方法を提供することである。
本発明の他の目的は、PIN暗号化キーの記憶装置に、
選択されたPINブロック・フォーマットを暗号化する
許可を組み込む、改良された暗号PIN処理方法を提供
することである。
本発明の他の目的は、PIN生成キーの記憶装置に、選
択されたPIN検証アルゴリズムでそのキーを使用する
許可を組み込む、改良された暗号PIN処理方法を提供
することである。
C3課題を解決するための手段 上記及びその他の目的、特長及び利点は、本明細書に開
示する発明によって実現される。暗号PIN処理は、キ
ーの設定者(オリジネータ)が意図するキー使用の許可
を与える制御ベクトルをPIN生成(検証)キー及びP
IN暗号化キーと関連付けることにより改良された形で
達成される。
キー設定者は、安全保護管理者の制御下にあるローカル
暗号機構(cF)及びユーティリティ・プログラムでも
よく、上記の関連特許出願に記載されたキー管理方法を
使ってキーを配布する他のネットワーク・ノードでもよ
い。
制御ベクトルによって指定される使用のうちには、PI
Nの生成、検証、変換及びPINブロック作成などいく
つかのPIN処理命令と共に関連するキーを使用する許
可に対する制限も含まれる。
さらに、制御ベクトルは、(PIN検証の場合など)平
文PIN入力を処理するいくつかの命令の許可を制限す
ることができる。制御ベクトルは、特定のPINフォー
マットまたは特定の処理アルゴリズムへのPIN処理を
識別し、場合によっては制限する情報を含むことができ
る。
この制御ベクトルを導入することによって、フォーマッ
ト、用途及び処理許可をキーに結合する柔軟な方法が提
供される。システム管理者は、本発明に基づいて適切な
制御ベクトルを選択することにより、安全保護方針の実
施を変更する際に柔軟性を行使することができる。さら
に、安全保護管理者がいくつかのPINフォーマットの
変換を制限する方法が提供される。
この制御ベクトルを導入することによって、また平文及
び暗号化PIN処理を分離し、PINフォーマットを生
成キー及び暗号キーに結合することで改良された安全保
護レベルが提供される。
D、実施例 本明細書に開示された発明の基礎となる原理を全般的に
説明するために、上記のS、M、Matyas等の関連
特許出願(b)を参照する。
暗号PIN処理は、キーの設定者ないしは創作者が意図
するキー使用の許可を与える制御ベクトルをPIN生成
(検証)キー及びPIN暗号キーと関連付けることによ
り、改良された形で達成される。設定者は、安全保護管
理者の制御下にあるローカル暗号機構(cF)及びユー
ティリティ・プログラムでもよく、上記の関連特許出願
に記載されたキー管理方法を使ってキーを配布する他の
ネットワーク・ノードでもよい。
制御ベクトルによって指定される使用のうちには、PI
Nの生成、検証、変換及びPINブロック作成などいく
つかのPIN処理命令と共に関連するキーを使用する許
可に対する制限も含まれる。
さらに、制御ベクトルは、(PIN検証の場合など)平
文PIN入力を処理するいくつかの命令の許可を制限す
ることができる。制御ベクトルは、特定(7)PINフ
ォーマットまたは特定の処理アルゴリズムへのPIN処
理を識別し、場合によっては制限する情報を含むことが
できる。
この制御ベクトルを導入することによって、フォーマッ
ト、用途及び処理許可をキーに結合する柔軟な方法が提
供される。システム管理者は、本発明に基づいて適切な
制御ベクトルを選択することにより、安全保護方針の実
施を変更する際に柔軟性を行使することができる。さら
に、安全保護管理者がいくつかのPINフォーマットの
変換を制限する方法が提供される。
この制御ベクトルを導入することによって、平文及び暗
号化PIN処理を分離し、PINフォーマットを生成キ
ー及び暗号キーに結合することで改良された安全保護レ
ベルが提供される。
この制御ベクトルを導入することによって提供されるP
IN処理命令及び顕著な安全保護機能のいくつかを次に
示す。
1、PINブロック作成 第8図に示したPINブロック作成(cPINB)命令
は、いくつかの可能なPINブロック・フォーマットの
1つでPINブロックを作成して、指定されたPIN暗
号化キーによりPINブロックを暗号化する。PINブ
ロックは平文PIN1及び必要ならばCPINB命令に
入力として指定された他のユーザ指定データまたはシス
テム指定データから作成される。
2、IBM3624PIN生成 第9図に示したPIN生成(G P I N)命令は、
生成されたPINからフォーマット化されたPINブロ
ックを、あるいは生成されたPINと措定された顧客選
択PINからPINオフセットを作成する。GPIN命
令は、いくつかの可能なPIN生成アルゴリズムの1つ
によりPINを生成する。望ましいPIN生成アルゴリ
ズムは、GP■N命令へのパラメータ入力によって指定
する。各PIN生成アルゴリズムは、共通の秘密PIN
生成キー、及びGPIN命令への入力として供給される
他のユーザ指定データ、システム指定データ及びアルゴ
リズム指定データからPINを生成する。
3、IBM3824PIN検証 第10図に示したPIN検証(VPIN)命令は、指定
された入力PINが内部で生成されたPINに等しいか
どうかを示す1(イエス)または0(ノー)を生成する
。VPIN命令は、入力PINの平文モードと暗号モー
ドの両方を支援するが、これらのモードは、PIN生成
キーの制御ベクトルによってさらに制限できる。入力P
INは常にフォーマット化され、vPIN命令によって
許可された許容PINブロック・フォーマットに合致し
なければならない。暗号化されるとき、PINブロック
は、PIN暗号化キーを用いて暗号化される。内部で、
VPIN命令は、いくつかの可能なPIN生成/検証ア
ルゴリズムの1つを使ってPINを生成する。望ましい
PIN生成/検証アルゴリズムは、VPINアルゴリズ
ムへのパラメータ入力によって指定子る。各PIN生成
/検証アルゴリズムは、共通の秘密PIN生成キー、及
びVPIN命令に入力として供給される他のユーザ指定
データ、システム指定データ及びアルゴリズム指定デー
タからPINを生成する。
4、PIN変換 第11図に示したPIN変換(P I NT)命令は、
第1のPIN暗号化キーによって暗号化された入カフオ
ーマット化PINブロックを第2のPIN暗号化キーに
よって再暗号化させ、または異なるPINブロック・フ
ォーマットに再フォ−マツト化させ、次いで同じPIN
暗号化キーによって暗号化させ、または異なるPINブ
ロック・フォーマットに再フォ−マツト化させ、次いで
第2のPIN暗号化キーによって再暗号化させる。
第12図は、暗号機構をもつデータ処理システムの構成
図である。第12図で、データ処理システム2は、暗号
機能アクセス・プログラムやアプリケーション・プログ
ラムなどのプログラムを実行する。これらのプログラム
は、制御ベクトルと関連する暗号キーを使ってPIN管
理のための暗号サービス要求を出力する。制御ベクトル
の一般フオーマットを第6図に示す。制御ベクトルは、
関連するキーがそ、の設定者によって実行を許される機
能を定義する。この暗号アーキテクチャの発明は、プロ
グラムが暗号キーのために要求するPIN処理機能がキ
ーの設定者によって許可されたかどうかを妥当性検査す
る装置と方法に関するものである。
第12図に示すように、安全な境界6で特徴付けられる
暗号機構4はデータ処理システム2内に含まれ、または
それに関連付けられている。入出力経路8は安全境界6
を通過して、プログラムから暗号サービス要求、暗号キ
ー及びそれらの関連する制御ベクトルを受け取る。入出
力経路8は、暗号機構からのこうした暗号要求に対する
応答を出力する。安全境界6には、バス12によって入
出力経路8に接続される暗号命令記憶装置1oが含まれ
る。制御ベクトル検証装置14は、命令記憶装置10に
接続され、暗号処理装置16も命令記憶装置10に接続
されている。主キー記憶装置18は暗号処理装置16に
接続されている。暗号機構4は、受け取ったサービス要
求に応答してPIN処理機能を実行するための安全な位
置を提供する。
暗号命令記憶装置1oは、入出力経路8を介して、暗号
キーによってPIN処理機能を実行することを求める暗
号サービス要求を受け取る。制御ベクトル検証装置14
は、入出力経路8に接続された、暗号キーに関連する制
御ベクトルを受け取るための入力をもつ。制御ベクトル
検証装置14は、また暗号命令記憶装置10に接続され
た、制御信号を受け取って、制御ベクトルが暗号サービ
ス要求によって要求され、たキー管理機能を許可するか
どうかの検証を開始するための、入力をもつ。
制御ベクトル検証装置14は、暗号処理装置16の入力
に接続された、PIN処理機能が許可され、暗号処理装
置16が許可信号を受け取って、暗号キーによる要求さ
れたPIN処理機能の実行が開始したことを知らせるた
めの、許可出力20をもつ。暗号キー記憶装置22は、
入出力経路8を介して暗号機構4に接続されている。暗
号キー記憶装置22は、暗号キーを暗号化された形で記
憶する。その際、暗号キーは、関連する制御ベクトルと
主キー記憶装置18に記憶された主キーとの論理積であ
る記憶キーによつて暗号化される。
暗号キー記憶装置22から暗号化されたキーを回復する
1例は、暗号命令記憶装置10が入出力経路8を介して
、暗号キー記憶装置22から暗号キーを回復することを
求める暗号サービス要求を受け取るときである。制御ベ
クトル検証装置14は、次いでそれに応答して、暗号キ
ーを回復する機能が許可されたことを示す許可信号を線
2oを介して暗号処理装置16に出方する。暗号処理装
置16は、次いで線2o上の許可信号に応答して動作し
、暗号キー記憶装置22から暗号化された形の暗号キー
を受け取り、関連する制御ベクトルと主キー記憶装置1
8に記憶された主キーとの論理積である記憶キーによっ
て暗号化された形の暗号キーを非暗号化する。
記憶キーは、関連する制御ベクトルと主キー記憶装置1
8に記憶された主キーの排他的論理和の積である。この
論理積は好ましい実施例で排他的論理和演算であるが、
他の種類の論理演算でもよい。
関連する制御ベクトルは、その一般フオーマットを第6
図に示したが、暗号キー記憶装置22に暗号化された形
の関連する暗号キーと共に記憶される。すべてのキーが
主キーによって暗号化された暗号記憶装置に記憶されて
いるので、均一なキーの暗号化及び暗号化されたキーの
非暗号化の方法が実行できる。
その一般フオーマットを第6図に示した関連する制御ベ
クトルは、キー管理機能、データ暗号化/非暗号化機能
及び個人識別番号(P I N)処理機能を含めて、許
可された種類の暗号機能を定義するフィールドを含む。
PIN処理アプリケーションでは、PIN処理機能の種
類がタイプ・フィールドで指定される。関連する制御ベ
クトルは、またキー及び関連する暗号化された情報の移
出(エキスポート)制御ならびにキー及び関連する暗号
化情報の用途を定義するための追加フィールドも含む。
本明細書では以下の略語等を使用する。
ECB  電子コード・ブック CBC暗号ブロック連鎖 KM   128ビツト主キー KEK  128ビツト・キー暗号化キーK    8
4ビツト・キー *K    128ビツト・キー (*)K  64または128ビツト・キーKD   
84ビツト・データ暗号化キーKK   84ビツト・
キー暗号化キー*KK  128ビツト・キー暗号化キ
ーKKo  オフセット64ビツト・キー暗号化キー:
KKo  オフセット64ビツトまたは128ビツト・
キー暗号化キー (*) K K oオフセット64ビットまたは128
ビツト・キー暗号化キー :KKNI  12Bビット部分注釈キー暗号化キー*
KN  *KKNI oと等価の128ビツト注釈キー ex   e4ビット制御ベクトル CxL  64ビツト左制御ベクトル CxR64ビツト右制御ベクトル XORまたはxor    排他的論理和演算or  
 論理和演算 X’O’  16進表記法 11  連結演算 [Xコ オプション・パラメータX no t:  不等号 Eまたはe 単一暗号化 りまたはd 単一非暗号化 EDEまたはede  3重暗号化 DEDまたはded  3重非暗号化 方程式 各命令の機能は数学的にII、I2゜I 3.
  I 4.、、、−−−01.02゜03、、、、の
形で示される。ただし、If、I2.I3は機能への入
力で、 01.02,03.、、、は機能からの出力である。
KM 、 Cx      (にML XORCx)I
HにMRXORCx) ;KMY 11 KMX ただし、KML =主キーKMの左64ビツト、KMR
=主キーKMの右64ビツト、 KMY = KML XORCx KMX :KMRXORCx e:KM、cx(key)  e*KM、cx(key
) =eKMY(dKMX(eKMY(key))) ただし、KMY :KML XORCxKMX  = 
KMRXORCx key=64ビット・キー 54KEKn、CX(key)  e:にEKn、Cx
(key)  :eKEKY(dKEKX(eにEKY
(key)) ただし、KEKY =KEKnL XORCxLKEK
X  = KEKnRXORCxRkey = 64ビ
ツト・キー e*KM、cxL(KEKnL)e零KM、cxL(K
EKL)= eKMY)dKMX(eKMY(KEKn
L))) ただし、KEKL = KEにの左64ビツトにMY 
=KML XORCxL KMX :KMRXORCxL e零KM、cxR(KEKnR)e零KM、CxR(K
EKR) =eKMY(dKMX(eKMY(KEKn
R))) ただし、KEKR= KEKの右64ビツトKMY =
にML XORCxR KMX =KMRXORCxR e零KEKo(key)   e*KEKo(key)
 = eKEKLo(dKEKRo(eにEKLo (
key) ) ) ただし、KEKLo =KEKL XORcntrKE
KRo  = KEKRXORcntrcntr = 
KEK用の明示64ビツトのキー・メツセージ・カラ ンター key = 64ビツト・キー キーの暗号分離 キーはキーの種類及びキー用途といった属性に応じて本
発明により暗号分離される。
1、このアーキテクチャにより、暗号キーが規定され意
図された方式でしか使用できないことが保証される。
2、内部とリンク上の分離。キーは、内部で(すなわち
、暗号機構内で)制御ベクトルあるいは他の適切なまた
は同等な機能によって分離される。
リンク上では、キーは制御ベクトルを用いて分離される
3、ハードウェアとソフトウェアによる実施。ある暗号
分離はハードウェアで実施される。他の暗号分離はソフ
トウェアによって実施できる。
4、制御ベクトル・キー・タイプと互換性モード・キー
・タイプ。互換性モード・キー・タイプで安全保護が低
下しないように、この2つのクラスのキー・タイプの生
成、配布及び用途を支配する規則が課される。
5、本発明によって提供される必要・なキー分離のリス
トを以下に示す。
a)データの秘密性: ENCIPIIERからのDE
CIPHERはメールボックスや、バロット、パスオン
などの公開キー・プロトコルを可能にする。
b) チー9MAC:MACVERから17)MACG
E)lは、支払いを許可する(電子署名と同じ)。
C)データXLATE :中間装置が暗号化データを非
暗号化できない安全な変換チャンネルが確立されるよう
にする。
d)データCOMAPT :他のデータ・キーの安全保
護を低下させずに互換性モードを可能にする。
e)データANsI : ANSIX9.1? キー管
理が、非ANSIX0.17キー管理と、どちらの安全
保護も失わずに共存できるようにする。
f)キー暗号化キー: KEK受信者からのKEK送信
者g)PINキー: PIN暗号化キーからPIN生成
キーピン・キーの分離 分離の理由を以下に示す。
1、A−PIN生成キー:PIN暗号化キーPINブロ
ックを有効ID値と等しくシ、次いでPIN暗号化キー
の代わりにPIN生成キーによって暗号化させることが
できる部内者が、PINを露出することができる。
2、B−PIN生成機能:PIN暗号化機能PIN生成
中に、PIN暗号化属性は、平文PINを生成すること
ができるPIN生成キーを、暗号化されたPINを常に
出力しなければならないものから分離できるようにする
3、C−PINブロック生成及びPIN生成:PIN再
フォーマット化、PIN検証及びPINXlate P−INキーを使ってPINを電子速度で作成し、また
はその他の方法でネットワークに「導入」することなく
、PIN暗号化キーをPIN再フォーマット化、PIN
検証、PIN  X1ateなどの日常的PIN処理機
能と共に使用できるようにする。こうすると、直接非暗
号化することなしにPINを攻撃し回復するのに使用で
きる平文及び暗号化PINの辞書を電子速度で収集する
ことが防止される。PINがどこでいつどんな条件でシ
ステムに導入されるかについて厳格な制御を行なう必要
がある。
4、D−PINブロック作成:PIN生成PINのネッ
トワークへの導入に対してより厳密な制御が行使できる
。PINブロックを作成する必要のあるノードが、必ず
しもPINを生成する権利または必要をもつ必要はない
5、E−PIN再フォーマット化及びPIN検証:PI
NXlate PINを変換する必要及び権利をもっノードが、必ずし
もPINを再フォ−マツト化または検証する権利または
必要をもつ必要はない。後の2つの機能を一緒に使うと
内部攻撃によってPINを徹底的に検討することができ
るが、PIN  Xlate機能をいくつかのノードが
使っても完全な処理機能が奪われることはない。
制御ベクトル 制御ベクトルの概念 制御ベクトルは、キーの用途を制御するための64ビツ
トの秘密でない暗号変数である。暗号システムに対して
定義された各キーには、関連する制御ベクトルCをもつ
。すなわち、キーと制御ベクトルとで集合(K、C)が
定義される。
各制御ベクトルはCV  TYPEを指定する。
これは、キーがどのように使用されるかと、キーがその
リンクを介してどのように通信されるかを支配する規則
とを広範に定義する。キーは、データ・キー、送信者キ
ー暗号化キー、受信者キー暗号化キー、PIN暗号化キ
ー、PIN生成キー、中間ICV1キ一部分またはトー
クンのどれでもよい。制御ベクトルの追加ビットは、ど
の暗号命令及びパラメータ入力でキーが動作するかを正
確に指定する。さらに、他のビットがキーの移出、すな
わち、キーが移出できるかどうかを制御する。
制御ベクトルは、特別の暗号機能を介してキーに暗号結
合される。たとえば、Kがキー記憶装置に記憶されてい
るとき、Kは制御ベクトルと主キーの排他的論理和を取
ることによって形成されるキーによって暗号化される。
すなわち、Kは集合(eKM、C(K)、C)として記
憶される。ただし、KM、CはKM  xor  Cを
示す、Kがリンクを介して(装置間で)送られるときに
は、同様の暗号化された形が使用される。この場合、主
キーKMの代わりにキー暗号化キーKEKを使う。ただ
し、KEKは送信者と受信者の間で共用されるキーであ
る。すなわち、Kは集合(eKEK、C(K)、C)と
して送られる。このアーキテクチャは、制御ベクトルの
値が文脈から暗示的に定義される、または利用可能なキ
ー関連情報から再構築できる状況で、キーを用いて制御
ベクトルを記憶しまたは送ることを必要としない。
制御ベクトル(c)が暗号化された形eKM。
C(K)また゛はeKEK、C(K)を介してキー(K
)に厳密に結合されているので、Cが正確に指定されな
い限り、明らかにKをその暗号化された形から回復でき
ない。すなわち、集合(EKM。
C(K)、C)が要求された暗号命令への入力として供
給される場合、暗号機構は、まずCの供給値を検証して
、キーの要求された用途が許可されるかどうか判定する
。その後で始めて、Cを使ってeKM、C(K)を非暗
号化し、暗号機能の内部のKの平文の値を回復する。誤
った値C*が指定された場合、暗号機構が一時的にだま
されて、C*を受け入れることがあるが、正しいKが回
復されることはない。すなわち、Cの正しい値も指定さ
れない限り、ユーザがKの正しい値を回復できる機会は
ない。したがって、この暗号原理が、アーキテクチャ全
体を構成するための基礎である。
追加の安全保護が必要に応じて適切な場所で提供される
制御ベクトルは、暗号キーの用途属性を定義する簡略な
データ構造である。制御ベクトルは暗号化処理を介して
キーに暗号結合されている。この処理は、制御ベクトル
が正しく指定された場合にだけ、キーが正しく非暗号化
できるものである(制御ベクトルの1つのビットが変化
しても、全く異なったキーが回復される)。
CV検査 制御ベクトルは、CV検査が最小限になるように設計さ
れている。制御ベクトル用途ビットは、各用途属性それ
自体が特定の用途を許可または拒否するように定義され
構成されている。すなわち、データ暗号化命令によって
データを暗号化する能力が、「データ/秘密性」をタイ
プ/サブタイプとする制御ベクトル内の単一の「暗号化
」ビットによって制御される。
すなわち、各用途属性は他のすべての用途属性から独立
して定義される。このため、各命令が、要求された機能
が必要とする用途属性だけを検査するようなCv検査処
理が保証される。他のいくつかの属性が使用可能または
使用不能になるときにだけ用途属性が使用可能になる談
計は、CV検査が増加するので特に回避されている。2
つまたはそれ以上の制御ベクトル間の属性の何らかの相
互検査が必要であるが、最小限に抑えられている。
Cv検査を容易にし簡単にするために、各暗号命令に、
必要に応じて、パラメータとして命令に渡される1つま
たは複数のキーの指定された使用を宣言する「モード」
パラメータが、渡される。
すなわち、C■検査処理は、指定された「モード」に応
じて各制御ベクトルを検証する。これにより、一貫性を
確保するための制御ベクトル属性間のコストのかかる相
互検査が不要になる。この設計は、暗号命令が制御ベク
トルを生成しないという原理にも従っている。制御ベク
トルすべてがパラメータ入力として暗号命令に供給され
る。
可能な場合、同じ用途属性及びフィールド属性は、Cv
タイプがどうであれ、制御ベクトルの同じビット位置に
置かれる。このため、Cv検査が容易になる。たとえば
、用途ビットがデータ/秘密性CVではrEJと「D」
、データ/xlatecVでは「X0UT」と「X工N
」である場合でさえ、暗号テキスト変換命令は、データ
/秘密性C■とデータ/xlatecVで同じビット位
置に問い合わせる。
CV槽構 造般に、(フォーマット、フィールド及びビット指定を
含む)制御ベクトル構造は、CV検査を容易にして最小
限に抑え、同時に暗号の安全保護をもたらすように定義
される。CV槽構造、いわば設計過程で最大の自由度を
もつ変数である。
制御ベクトルには以下の設計オプションを使用した。
1、垂直分子fl二制御ベクトルは、類似のものによっ
て行なわれる分離とほぼ同様に、制御ベクトル構造内で
の垂直分離をもたらすrCVタイプ」フィールドをもつ
。制御ベクトルのタイプは、直感によって定義され、従
来のキー用語及びキー管理に従う。
しかし、垂直分離は、CAのもとて必要な場合にのみ実
施され、したがってアーキテクチャの単純さとC■検査
規則の理解の容易さが保証される。
まずCV主タイプ(たとえば、データ・キー、キー暗号
化キー、PINキー)の幅広いクラスを最初に定義し、
次いでCvタイプ内のC■サブタイプと用途属性を定義
することにより、CV検査規則を、「分割及び征服」式
探索が力づくの方法よりも効果的なのとほぼ同様に、最
適化することができる。
2、水平分離:制御ベクトルは、キーに関連する用途属
性(またはその他の暗号変数)を記録するためのデータ
構造として理想的である。CA内では、これは、キーを
入力として使用できるあらゆる暗号命令(または、複数
のキー・パラメータが関与する場合、命令内のキー・パ
ラメータ)に対するビットを制御ベクトル内で指定する
ことによって実施される。ビット値「1」は、キーの用
途がCFによって「使用可能」になることを示し、ビッ
ト値「0」は、キーの用途がCFによって「使用不能」
になることを示す。この形の制御ベクトルの構造化を水
平分離と呼ぶ。
3、コード化フィールド=2つまたはそれ以上のビット
のフィールドが、安全保護上の理由からコード化される
ことがある。コード化フィールドは、個々のビットそれ
自体が意味をもたず、ビットが一緒になって1組の可能
な値を定義するという特性をもつ。コード化フィールド
は、−時に1つの値しかとれないので、相互に排他的な
事象を定義するという利点がある。コード化フィールド
は、CV検査が性能上必ずしも常に最適化されないとい
う潜在的な欠点をもつ。しかし、用途属性が、暗号攻撃
をもたらし、あるいは何らかの暗号の弱点を導入する、
不適切な組合せで混合できないようにするために、コー
ド化フィールドが必要となることがある。
4、非システ。ム生成キーからの保護:この制御ベクト
ルとキーを結合する方法は、CV検査が非システム生成
キーから(KGEHまたはGKSを用いて)システム生
成キーを検出できないようなものである。このため、ア
ーキテクチャ内部に、キー及び制御ベクトルを生成する
ための「裏口」方法が存在する。この方法は、「選択し
た」制御ベクトルとランダム数を定義することから成る
。このランダム数は、次いで選択された制御ベクトルを
用いてアーキテクチャのもとで記載された方式で暗号化
されたキーとして表される(ただし、この方法は、暗号
機構内で実際に回復されるキーを制御することはできな
い)。
いわゆる「裏口」キー生成方法は本来厄介なものである
が、追加の防御手段がアーキテクチャに取り入れられて
ない場合は、暗号攻撃が可能なことがある。この「裏口
」キー生成(−度だけ)を不要にするアーキテクチャを
定義するのは容易であるが、そうすれば、保証のない複
雑さと処理が追加して導入されることになる。より実際
的な方法はCAが後に続くものである。すなわち、「裏
口」キー生成の問題が、安全保護上の理由で必要な場合
にだけ回避される。すなわち、安全保護、複雑さ、性能
の間でうまくバランスをとる。「裏口」キー生成方法に
よって導入される暗号の弱点を回避する技法は以下の通
りである。
a)必要な場合、単一の制御ベクトル内の競合する用途
属性が2つの制御ベクトル間で分割される。
GKS命令は、キ一対のいわゆる悪い組合せが生成され
ないように検証する。
b)必要な場合、単一制御ベクトル内の競合する用途属
性が、単一のコード化フィールドに含められる。
C)最後の手段として、余分の冗長構成を使用して、C
Fがそれ自体のシステム生成キーを妥当性検査できるよ
うにする。
5、制御ベクトルの偶数パリティ:偶数パリティは制御
ベクトルで実施される。これにより、奇数パリティ・キ
ーと制御ベクトルの排他的論理和によって内部キーが奇
数パリティになることが保証される。したがって、内部
導出キーが奇数パリティかどうか検査する(こうした検
証が実施される場合)ハードウェアとの互換性が保証さ
れる。別の言い方をすると、CAは、ハードウェアが内
部キーに対してこの奇数パリティを実施しないことを保
証できない。
64ビツトの制御ベクトルに0ないし63の番号が付け
である。最上位ビットは規約によりビット0である。6
4ビツト中で、8つのパリティ・ビットがある。
6、等価異形暗号(Variant)防止ビット:これ
は、等価異形暗号と制御ベクトルの間の暗号分離を保証
するものである。ノード内部の実施態様では、この両者
が混ざり合うことがさけられない場合がある。
7、上へのマツピングの回避二制御ベクトルの設計及び
暗号命令セットによる制御ベクトルの操作により、複数
の値をもつCvフィールドが単一の値にマツプされる事
例が回避される。安全保護が損われない場合、こうした
上へのマツピングの特定の事例が認められる(たとえば
、。LCVAlFRMK及びRTMK命令)。
PINキーの制御ベクトルフォーマットPINキーは以
下のサブタイプに分けられる。
a)PIN暗号化キー(PEK) PINを暗号化するのに使用されるキーである。
b)PIN生成キー(PGK) PINを生成するのに使用されるキーである。
PGKは、場合によっては、PINを妥当性検査するの
に使用されるので、PIN妥当性検査キーとも呼ばれる
PIN暗号化キーの制御ベクトル 第6図を参照する。この図の各フィールド及びサブフィ
ールドの詳細な説明を以下に示す。
CV  TYPE PIN暗号化キー(PEK)のCVタイプ=B’0O1
0000’  (主タイプ=“PINキー詐=B’00
10°、サブタイプ=“PIN暗号化キー゛′=B’0
00°) EXPORT C0HTROL(移出制御)−コノフィ
ールトハ1ビットを占める。
EXPORT C0NTR0L = 1 :このキーは
RFMKによって移出できる。また、RFMK1RFM
K1LCVA命令でこのビットをゼロにリセットできる
EXPORT C0NTR0L=O:このキーはRFM
Kによって移出できない。また、どの命令によっても1
に変更できない。
USAGE (用途) a ) CREATE PINBLK=1CREATE
 PIHBLK=1: コノキーは、CREATE P
INBLOCK命令のPINブロックを暗号化すること
ができる。
CREATE PINPBL=O:このキーは、CRE
ATE PINBLOCに命令のPINブロックを暗号
化することができない。
b ) GENPIII GENPIH=1 :このキーはGENERATE P
IN命令の入力顧客PIN(cPIN)を暗号化するこ
とができる。
c ) VERPIH VERPIN=1 : 、:(7)+−は、VERIF
Y PIN命令に入力された暗号化PINを非暗号化す
ることができる。
VERPIH=O: コ(Dキーは、 VERIFY 
PIN命令に入力された暗号PINを非暗号化すること
ができない。
d)XPINイン XPIN イア =1 : コ(7) *−は、TRA
NSLATE PIN命令の暗号化された入力PINを
非暗号化することができる。
XPINイア ”O: コ17)−1−一は、TRAN
SLATE PIN命令の暗号化された入力PINを非
暗号化することができない。
e ) XPINアウト=1:このキーは、TRAHS
LATE PIN命令の出力PINを暗号化することが
できる。
xPIHアウト=Q : コ17)キーは、TRANS
LATE PIN命令の出力PINを暗号化することが
できない。
AV(等偏異形暗号防止) このフィールドは有効な制御ベクトルを等価異形暗号に
基づく暗号システムで使用される64の事前設定した等
価異形暗号から区別する。84の事前設定した等価異形
暗号のうちどの等価異形暗号の8バイトもすべて同じな
ので、制御ベクトルの少なくとも2つのバイトが同じで
ないようにAVフィールドの値を設定すると、有効な制
御ベクトルが事前定義した等価異形暗号から区別される
5OFTWAREビツト このフィールドは、12ビツトを占める。
a)CV   VER3ION このフィールドは、長さ6ビツトで、現在の制御ベクト
ル定義を将来の定義から区別するためにCFAPが使用
する。
b)ソフトウェアで実施する用途 なし。このフィールドは、制御ベクトルが64ビツト制
御ベクトルであるか、それとも64ビツトより多い拡張
制御ベクトルであるかを示す。
RESERVEDビット このフィールドは、システムの将来使用のためにに留保
されている。このフィールドの将来の使用を容易にする
ために、ハードウェアは、このフィールドの最後の16
ビツトがすべてゼロであることを検査して確認しなけれ
ばならない。このフィールドの他のビットは検査しなく
てもよい。留保ビットのうち1バイト(パリティを含む
)は、特にCv タTYPEフィールドの将来の拡張用
に留保されている。
PARI TY このフィールドは、制御ベクトルのあらゆるバイトの最
後のビットから構成される。すべてのパリティ・ビット
は、そのバイトの前の7ビツトの偶数パリティである。
PIN生成キーの制御ベクトル 第7図を参照する。この図の各フィールド及びサブフィ
ールドの詳細な説明を以下に示す。
CV  TYPE PIN生成キー(7)CV TYPE=P’00100
00゜(主タイプ=“PINキー”=B’0010’、
サブタイプ=“PIN生成キー”:B’001’)EX
PORT C0NTR0L (移出制御)EXPORT
 C0NTR0L = 1 : 、l:、 ツキ−はR
FMKにヨッテ移出できる。また、RFMKlRTMK
及びLCVA命令でこのビットを0にリセットできる。
EXPORT C0NTR0L :O: コ(Dキーは
RFMKによッテ移出できない。また、どの命令によっ
ても1に変更できない。
USAGE (用途) a )GENPIN このフィールドは2ピツトを占め、そのキーはGENE
RATE PIN命令のPINまたはPINオフセット
を生成することができる条件を示す。
GENPIN=B’OO’ : P I NまたはPI
Nオフセットを生成することができない。
GENPIH=B’01’ :平文のPINまたは平文
のPINオフセットを生成することができる。
GEHPIH=B’IO’ :暗号化されたPINまた
は暗号化されたPINオフセットを生成することができ
る。GENPIH=8“11゛:平文または暗号化PI
Nあるいは平文または暗号化PINオフセットを生成す
ることができる。
b ) GPIN このビットは、顧客が選択したPIN(cPIN)を平
文PINまたは暗号化PINの形でGENPIN命令に
入力できるかどうかを示す。
GPIN=O:平文または暗号化PINが許される。
GPIH=1:暗号化PINだけが許される。
c )VERPIN このビットは、キーをPIN妥当性検査キーとして使っ
てVERIFY PIN命令のPINを検査することが
できるかどうかを示す。
VERPIN =CP I N ノ検査に使用できる。
VERPIN=O: P I N 17)検査に使用で
きない。
d ) VPIN このビットは、VERIFY PIN命令で検査される
PINを平文PINの形で命令に入力できるかそれとも
暗号化PINの形かを示す。
VPIH=0:平文または暗号化PINが許される。
VPIN=1:暗号化PINだけが許される。
AV(等価異形暗号防止) PIN暗号化キーの説明と同じ。
5OFTWAREビツト このフィールドは12ビツトを占める。
a)CV  VER8I 0N PIN暗号化キーの説明と同じ。
b)ソフトウェアで実施する用途 なし EXTEMSION (拡張) PIN暗号化キーの説明と同じ。
RESERVEDビット PIN暗号化キーの説明と同じ。
PARITYビット PIN暗号化キーの説明と同じ。
PIN処理命令 PIN処理命令を、以下の項に詳細に説明する。これら
の命令は、暗号機構の内部で実施されなければならない
PINブロック作成CPINB 方程式: %式% : e:KM、cl(KPE)  KPEは、制御ベクトル
C1でKMによって3重暗号化された64ビツト のPIN暗号化キーであり、入力PI Nを暗号化するのに使用される。
PIN    平文の1ないし16の10進数。
for+++at−out  ピン・ブロックに使用さ
れるPINフォーマットを示す4ビツト・コード 0000: I 8M3 E324フオーマツト000
CI 8M3621フォーマット0010: A N 
S Iフォーマット0011: 4704フオーマツト
(暗号化キー・パッド) 0100:Docutel、 Diebold、 NC
Rolol:Burroughs 0110: I S Oフォーマット 0111:未使用 IXXXn未使用 pad−in  これは入力埋込み文字で、X”Olな
いしX’ F”の4ビツト値で、PINフォーマットに
応じてPINをフォー マット化するのに使用される。埋込み 文字及び埋め込む文字の数は、フォー マットの種類によって変わる。
5eq−in  2バイトの順序番号。PINフォーマ
ットが1バイトの順序番号しか必要とし ない場合、5eq−1nの最下位バイトが使用される。
5eq−inはフォーマットにより必要なこともそうで
ないこともある。
pan    主口座番号の「最も右側の(最下位)」
12桁を表す12個の4ビツトの数字。
Panはフォーマットに応じて必要なこともそうでない
こともある。
a−pin−1en  C1は入力ピン暗号化キーの制
御ベクトルである。化カニ eKPE(PIN BLOCK−ピン暗号化キーKPE
によって暗号化されたフォーマット化された PIN  ブロック 説明:PINブロック作成機能は、ATMまたは他の任
意のPIN入力装置で入力PIN暗号化キーを用いて平
文PINを暗号化するのに使用される。
平文PINはその機能に入力される1−16の10進文
字である。PINは、所与のformat−outタイ
プを用いてフォーマット化され、KPEキーで暗号化さ
れる。このフォーマット化されたPINは、検査ノード
または他の任意の中間ノードに安全に送ることができる
CC: 1、動作成功 2.01無効。
3、動作失敗(エラー) 制御ベクトル検査: 1、CIの検査 CVタイプ=”PIHKEY/PEK”PINBLK用
途作成ピット=1 留保=x’o’ IBM3824PIN生成(GPIN)方程式: e:
KM、cl (KPG、 [e:KM、C2(にD)]
e:KM、c3(KPE) 、out−mode、eK
PE(cPIN、 [CPIN]dec−tab、 v
al−data、 a−pin−fen、 pad。
cpin−mode、 cl、 [C2]、 C3−−
−PIN     (Out−mode二〇)−一−e
KD(PIN)     (Out−mode=o)−
−−0ffset   (Out−mode=2)−−
−eKD(Offset)(Out−mode=3)入
カニ e−:KM、C1(KPG)  KPGは、制御ベクト
ルC1でKMによって3重暗号化された64ビツト のPIN生成キーである。
e:KM、c2(KD)  KDは、制御ベクトルC2
でKMによって3重暗号化された64ビツト のデータ・キーであり、生成された PINまたは生成されたオフセット を暗号化するために使用される。
out−mode  = 1またはout−膳ode 
:3の場合、この任意選択のパラメータ を供給しなければならない。
e*KM、c3(Kf’E)  KPEは、制御ベクト
ルC2でKMによって3重暗号化された64ビツト のピン暗号化キーであり、顧客PIN を暗号化するために使用される。
out−miode  出力モードは必要な出力のフォ
ーマットを示す。
0:平文PIN出力 1 : eKD (PIN) 2:オフセット 3 : eKD (オフセット) eKPE(cPIN)  CP I Nは64ビツト(
16個の10進コード化数)の顧客が選択した PINである。オフセットを生成す るために使用され、PIN暗号化キー による顧客選択PINの暗号化され り形である。その省略値は、この機 能への暗号化された顧客選択PIN である(cPINはI 8M3824 フオーマツトでフォーマット化され たPINである)。
CPIN  CP I Nハ平文の64ビツト(16の
10進コード化数)の顧客が選択したPI Nである。その機能にcpin−mode=oが指定さ
れた場合、この任意選択の入力 を、供給しなければならない。平文の 顧客PINは、PIN生成キーがその 機能への平文PINを認める場合にだ け認められる。平文顧客PINは、既 存のシステム要件と互換性を保つため にOCAによって認められる。
dec−tab  10進化表は、PIN生成処理で使
用される16個の10進数を表す、6 4ビツトの平文人力である。
val−data  妥当性検査データは、埋込みを含
む64ビツトの平文ユーザ・データである。
通常、これはユーザのPANとなる。
a−pin−fen  a−pin−fenは、生成さ
れたPINのどれだけの数字が顧客に割り当てられ るかを示す4ビツトの数(1−18) であり、中間PIHの桁数を表す。
pad  これは埋込み文字で、X’A’ないしX’F
’の4ビツトの値であり、IBM3624P INフォーマットによってPINを フォーマット化するのに使用される。
0−15個の埋込み文字(16−ピ ン文字の数=埋込み文字)が可能で ある。
cpin−mode  cpin−modeは、平文の
顧客PINと暗号化された顧客PINのどちらが機能 に渡されるのかを指定する。制御ベク トル検査は、平文PINから暗号化 PINの使用の安全保護を確保にす るために、PIN生成キーで実施さ れる。
O:平文CPIN 1:暗号化CPIN C1,C2,C3C1、C2、C3はそれぞれKPGl
KD及びKPEの制御ベクトルである。C2は、指定 された出力タイプが1または3である 場合に供給しなければならない任意 選択の制御ベクトルである。
出カニ PIII     これは、IBM3624フォーマッ
トによってフォーマット化された平 文の64ビツトのPIN出力である。
埋込み及びフォーマット化はハード ウェア内部で実施される。
eKD(PIN)  eKD(PIN)は、データ・キ
ーKDによって暗号化された64ビツトのフォーマッ ト化されたPINである。データ非 暗号化命令を使って、PIN郵送の ために他のノードでPINを非暗号 化する ことができる。(安全なP Cを使って、これらの暗号化された PINを非暗号化し郵送のために印 刷することができる。)PINの非 暗号化は生成ノードでは認められな い。
オフセット オフセットは、PINがユーザによって選
択された場合に、PIN検証処理 が使用する1−16の10進数を表す 64ビツト・データである。オフセッ ト・データは、顧客が選択したPI N(cPINという)と検査によっ て生成されるPIN(PINという) の差を反映する。
説明:GPIN命令は、妥当性検査データからIBM3
624フオーマツトでフォーマット化されたPIN及び
PIN生成キーを生成する。また、GPIN命令は、オ
フセットを生成するため顧客によって選択されたPIN
を受け入れることができる。顧客選択PINは平文でも
暗号化した形でもよい。
PIN出力は平文でも暗号化した形でよい。出力PIN
は常に供給された埋込み文字を用いてフォーマット化さ
れる。平文出力はPINメイラを介して配布される平文
PINを印刷するのに使用できる。暗号化されたPIN
またはオフセットは、PINメイラ端末で非暗号化機能
を支援するために供給される。安全なPCは、PIN及
びオフセットを非暗号化して顧客カードに印刷するのに
使用できる。
オフセット出力は、平文または暗号化した形である。オ
フセットは、他の情報に加えて、顧客のカードに書き込
まれる。オフセットは、CPIN(長さ=16)から中
間PIN (長さ=指定PIN長さ)を差し引くことに
よって生成される。CPINの埋込みは保持され、オフ
セットに伝播される。
注:PIN生成キーとPIN検証キーは同じキーを指す
。機能におけるキーの用途に基づいて異なる名前が使用
される。
CC: 1、動作成功 2、CL C2またはC3が無効。
3、埋込み文字無効 4、顧客PIN無効 5.10進化表無効 6、動作失敗(エラー) 制御ベクトル検査: 1、cvタイプ=″PIN KEY/PGK ”out
−I!ode = 1または2の場合、GEHPIN=
 ’01°または°11°である。
out−mode = 1または3の場合、GE)lP
IN=’lO°または°11°である。
cp in−mode = Oの場合、EPIN=0留
保=x’o’ 2 、 (out−+++ode = 1または3)の
場合、C2で検査cvタイプ= ” data/com
patibility″またはdata/privac
y″ E用途ビット=1 D用途ビット二〇 3 、 chip−mode:1の場合、C3で検査C
Vタイプ=”PIN KEY/PEに”GEM PIN
用途ビット=1 1BM3824PIN検証(VP I N)方程式: %式%[ : e:KM、cl(KPV)  K P Vは、制御ベク
トルC1でKMによって3重暗号化された64ビツトの
PIN妥当性検査キーである。PIN生成キー(KPG
)及びPIN有効キー(KPV)は、PINを検証する
ための同じキーでなければならない。キー名KPVとK
PGは表記だけに使用される。
e:KM、C2(KPE)  K P Eは、制御ベク
トルC2でKMによって3重暗号化された64ビツトの
PIN暗号化キーである。
eKPE(PIN)  eKPE(PIN)は、PIN
入力保護キーによって暗号化された64ビツトのフォー
マット化PINである。PINブロック作成を使って、
フォーマット化PINを暗号化する。PINはIBM3
624 フォーマットでフォーマット化された64ビツトのPI
Nで、ある。これは、PIN機能を検証するための標準
入力である。
PI)I    PINは、平文フォーマットで84ビ
ツト(16個の10進コード化数)の入力室されている
場合は、この任意選択の入力を、供給しなければならな
い。平文人力PINは、PIN検証キーがその機能への
平文PINを認める場合にだけ認められる。平文人力P
INは既存のシステム要件と互換性を保つためにOCA
によって認められる。
dec−tab  10進化表は、PIN検証処理で使
用される16個の10進数を表す64ビツトの平文人力
である。
val−data  有効データは、埋込みを含む。6
4ビツトのユーザ・データである。通常、それはユーザ
のPANとなる。
a−pin−fen  a−pin−1enは、生成さ
れたPINのどれだけの数字が顧客に・割り当てられる
かを示す数(1−18)である。これは中間PINの桁
数である。
p−chk−1en  p−chk−fenは、顧客に
割り当てられたPINのどれだけの数字が検証処理で検
証されるかを示す数(1−16)である。
これらの数字は、中間PIN及び顧客人力PINから右
から左に選択される。
offset  offsetは、PINがユーザによ
って選択された場合にPIN検証処理によって使用され
る1−16の10進数を表す64ビツトのデータである
。オフセット・デー夕は、顧客が選択したPINと妥当
性処理によって生成される中間PINの差を反映する。
pin−mode  pin−modeは入力されたP
INが平文かそれとも暗号化されたものであるかを示す
0:平文 1:暗号化 C1,C2C1とC2G1 K P V 、!= K 
P E用の制御ベクトルである。
出カニ PIN−0にまたはPIN−HOT−OK説明
:VPIN命令は、妥当性検査データとPIN妥当性検
査キーからIBM3624フォーマットによってフォー
マット化されたPINを生成し、それを顧客人力PIN
と比較する。顧客が入力したPINは、IBM3B24
フォーマットによってフォーマット化されたPINであ
り、平文でも暗号化された形でもよい。
pin−modeは、=入力PINが平文かそれともP
IN暗号化キーによって暗号化された形かを示す。
平文PIN入力は、PIN検証キーが平文のPIN入力
を使用できる場合にだけ認められる。
オフセット入力は平文である。入力されたPIN及びオ
フセットは、a−pin−1en の長さに等しい最も
左側の数字だけを使って追加される(MODlo)。こ
の結果は、P−chk−fenの長さに等しい最も右側
の数字だけを使って中間PINと比較される。この機能
の出力は、上記のようなPINの比較結果に基づいてY
ESまたはNoである。
CC: 1、動作成功 2、C1またはC2無効 3、入力PIN無効 4.10進化表無効 5、動作失敗(エラー) 制御ベクトル検査: 1、C1による検査 CVタイプ=″PIN KEY/PGK ”VERPI
N用途ヒツト=1 pin−mode=1の場合、EPIH=1である。
留保=x’o“ 2 、 pin−mode:] の場合、C2による検
査CVタイプ=”PIN KEY/PEK”VERPI
N使用ヒツト=1 保留=x’o’ PIN変換(P I NT) 方程式: %式%) : e*KM、cl(KPEI)  KPEI は、制御ベ
クトルC1でKMによって3重暗号化された64ビツト
<7)PIN暗号化キーであり、フォーマット化PIN
入力を暗号化するのに使用される。
e*KM、C2(KPE2)  KPE2は、制御ベク
トルc2でKMによって3重暗号化された任意選択の6
4ビットPIN暗号化キーであり、出力のために変換さ
れたPINを暗号化するのに使用される。KPE2 は
、KPEIに等しくても等しくなくてもよい。にPE2
 が供給されない場合、ランダムに生成されたにPE3
を使って変換されたPINを暗号化する。
eKPEl (PIN)  これは、KPEI キーに
よって暗号化された64ビツトのフォーマット化PIN
である。
fora+at−in  これは、KPEI キーによ
って暗号化された64ビツトのフォーマット化PINで
ある。
0000: IBM3624 フォーマット000CI
BM3621 フォーマット0010: ANSI フ
ォーマット 0011: 4704フオーマツト(暗号化キー・パッ
ド) 0101: Docutel、 Diebold、 N
CR0101:  Burroughs ollo: ISOフォーマット 011C未使用 lXXXe未使用 format−out  P I Nフォーマット出力
を示す4ビツト・コード 0000: IBM3624 フォーマット000CI
B)13621 フォーマット0010: ANSI 
フォーマット oon: 4704フオーマツト(暗号化キー・パッド
) 0100: Docutel、 Diebold、 N
CRolol: Burroughs 011CISOフォーマット otrt:未使用 IXXX:未使用 pad−in  これは、入力埋込み文字で、X’O’
 ないしX’F’ (’) 4 ヒ−/ )値で、PI
Nフォーマットに応じてPINをフォーマット化するの
に使用される。埋込み文字及び埋め込む文字の数はフォ
ーマット出力の種類によって変わる。
pad−out  これは、出力埋込み文字で、x’o
’ ないL X’F’ (D4ヒy ト値で、PINフ
ォーマットに応じてPINをフォーマット化するのに使
用される。埋込み文字及び埋め込む文字の数はフォーマ
ット出力の種類によって変わる。
5eq−in  2バイトの順序番号。入力PINフォ
ーマットが1バイトの順序番号しか必要としない場合、
5eq−inの最下位バイトが使用される。5eq−i
nはformat−inに応じて必要なこともそうでな
いこともある。
5eq−out  2バイトの順序番号。出力PINフ
ォーマットが1バイトの順序番号しか必要としない場合
、5eq−outの最下位バイトが使用されるo 5e
q−Oujはformat−outに応じて必要なこと
もそうでないこともある。
pan   主口座番号の「最も右側の」 (最下位)
12桁を表す12個の4ビツト数字。
Pan はフォーマットに応じて必要なこともそうでな
いこともある(検査数字は含まれない)。
kp2−mode  kp2−modeは、キー暗号化
キーが供給されるか、それとも安全にランダムに生成し
なければならないかを示す。KPE2が供給されるとき
は、暗号化された形e*にM。
C2(KPE2)で供給されるので、キーは暗号機構の
外部には平文で露出されてない。
0 : KPE2が供給する 1:KPE3をランダムに生成しなければならない。
KPE3がランダムに生成されるときは、暗号機構でそ
れ栃生成しなければならず、再フォ−マツト化の組合せ
が可能なことになる。KPE2が供給されるとき、実施
態様に依存する安全マツピング表に応じである種の変換
組合せを禁止しなければならない。下記の説明の所の注
を参照されたい。
C1,C2C1とC2はそれぞれKPE 1とKPE2
の制御ベクトルである。KPE2は、kp2−mode
がt Ovまたは!1“かに応じて供給または出力され
る。C2は、 常に機能に供給される。
出カニ eKPE2(PIH−Block)  eKPE2(P
IN Block)は、PIN暗号化キーKPE2によ
って暗号化された64ビツトの変換されたPINである
。PINは、出カフオー辱ットの仕様に応じて変換され
る。
eKPtJ(PIN Block)、 e:KM、C2
(にPE3)  eKPE3(PIN−B 1ock)
は、PIN暗号化キーKPE3によって暗号化された6
4ビツトの変換されたPINである。PINは出力フォ
ーマットの仕様に応じて変換される。e:にH0C2(
にPE3)は、ランダムに生成され制御ベクトルC2で
KMによって3重暗号化されたキーKPE3である。
説明:PIN変換(P I NT)機能は、暗号機構の
外部でPINが平文で現れることなく、あるPINブロ
ック・フォーマットから別のPINブロック・フォーマ
ットにPINを変換するために使用される。PINはあ
るピン暗号化キーから別のピン暗号化キーに安全に変換
される。PINブロック・フォーマットを第8図に示す
PIN暗号化キーKPE 1、KPE2は、同じでも異
なっていてもよい。同じである場合、入力パラメータe
:KM、c1 (KPEI)e: とKM、C2(KP
E2)  は等しくなり、C1=C2である。
注: (format−inとfor+*at−out
によって選択された)ある種の再フォ−マツト化の組合
せは、暗号化PINの安全保護を弱めることがある。不
正使用者が固定した出カキ−によって暗号化されたPI
Nのすべてのフォーマットを生成することができる場合
、辞書攻撃が行なわれる。このため、KPE2が出力で
指定されるときは、可能な組合せを制限しなければなら
ない。ここで提示する方法は、format−in及び
form+at−outで指標を付けたビット入力の8
68マツピング表を定義することである。指定した再フ
ォ−マツト化の組合せのビット入力は、その組合せが認
められる場合は°1″、そうでない場合はゼロに設定さ
れる。この表は、保全性を保って(すなわち、CF内で
)記憶またはアクセスしなければならない。
保全性を保ってこの表をロードする方法は、安全なフロ
ント・パネル・インターフェースを介してCFに取り付
けた携帯型キーバッドを用いるものである。キーバッド
は、フロント・パネルのキー交換機によって使用可能に
なる。物理キーは、委託された安全保護担当者が保管す
る。CFはLOAD XLATE AUTIIORIT
Y TABLEなど1つまたは複数の命令を含むことが
できる。それらの命令は、物理キー交換機が使用可能位
置にあるかどうか検証し、次いでキーバッド・バッファ
の内容を内部表記憶位置に転送する。キー交換機が適切
な位置にない場合、命令は打ち切られ、当該のエラー・
コードが出る。物理キー交換機の代替手段は、安全保護
担当者が秘密のパスワードを入力することを必要とする
ものである。次いで、この命令は、パスワードを暗号で
検証してから内部表を更新する。
新しい表の内容をキーバッドなどの外部装置から入力す
る必要はない。安全性は劣るが、アプリケーション・プ
ログラムが、プログラミング・インターフェースを介し
てこの表をCFに渡すこともできる。しかし、その場合
も、転送は、物理キー交換機または担当者が入力するパ
スワードによって使用可能にすべきである。許可表をロ
ードするためにどの方法を選ぶかは実施者の責任である
。目標は、表をCFに安全にロードする手段を設けて、
無許可の機具による置換や修正を防止することである。
平文のKPE2が入力パラメータとして供給されるとき
は、この表がPINTによって参照される。
一方、KPE2が指定されない場合、KPE3はランダ
ムに生成され、したがってそれを使って固定キーによっ
てPINを再フォ−マツト化することはできない。した
がって、KPE3がランダムに生成される場合、組合せ
の制限は不要である。
どちらの場合でも、出力PINは、PIN検証機能への
入力として使用することもでき、他のノードに送ること
もできる。
CC: 1、動作成功 2、C1またはC2無効 3、フォーマット無効 4、動作失敗 制御ベクトル検査: 1.01による検査 CVタイプ= ”PIN KEY/PEK”PIN X
LT IN用途ヒツト=1 留保=x”o’ 2.02による検査 CVタイプ=”PIN KEY/PEK″PIN XL
T OUT用途ヒツト=1留保=x’o” 標準及び定義 崖! ANSI X2.92−1981  rデータ暗号化7
)L/ゴリズム(Data Encryption A
lgorithm)JAHSI Xo、106−198
3  r D E A動作モード(Modesof D
EA 0peration)JANSI X9.2−1
98X  r金融機関相互間での借方及び貸方メツセー
ジ交換のためのメツセージ交換仕様(Intercha
nge MessageSpecification 
for Debit and CreditMessa
ge  Exchange  among  Fina
ncialInstitutions) J oこの標
準は、金融取引に関連する銀行カードによって発するメ
ツセージを専用システム間で交換するための共通インタ
ーフェースを指定する。メツセージの構造、フォーマッ
ト、内容、データ要素及びデータ要素の値をt断定する
ANSI X9.8−1982  r米国個人識別番号
(PIN)管理及び安全保護標準(American 
NationalStandard for Pers
onal IdentificationNumber
 (PIN) Management and 5ec
urity) J 。
この標準は、個人識別番号(PIN)のライフ・サイク
ルの管理及び安全保護の標準及び指針を確定する。
AHSI X9.9−1986 r米国金融機関メツセ
ージ確認(卸売り)標準(American Nati
onalStandard for Financia
l InstitutionMessage Auth
entication (wholesale)J o
この標準は、振替え(たとえば、電信振替え)、信用状
、証券転送、借款契約、外国為替契約などの金融メツセ
ージ(卸売り)を確認する方法を確定する。
ANSI X9.17−1985  r金融機関キー管
理(卸売り)(Financial In5titut
ion Key Management(Wholes
ale) ) J oこの標準は、確認及び暗号化の暗
号キーの生成、交換及び使用のための(プロトコルを含
む)方法を確定する。
ANSI X9.19−198X  r金融機関小売メ
ツセージ確認(Financial In5titut
ion RetailMessage Authent
ication) J oこの標準は、小売取引用の金
融メツセージを確認する方法を確定する。
静SI X9.23−198X  r卸売り金融メツセ
ージの暗号化(Encryption of Whol
esale FinancialMessage) J
。この標準は、機密を守るために卸売り金融メツセージ
を暗号化する方法を確定する。(たとえば、電信振替え
、信用状など) ISODIS 8583  r銀行カードによって発さ
れるメツセージ−メツセージ交換仕様−金融取引の内容
(Bank Card Originated Mes
sages −Interchange Messag
e 5pecification −Content 
for Financial Transaction
s) J 。
この国際標準は、銀行カードによって発される金融取引
に関連するメツセージを専用システム間で交換するため
の共通インターフェースを指定する。メツセージの構造
、フォーマット、内容、データ要素及びその値を指定す
る。
ISODIS 8720  rメツセージ確認(Mes
sageAuthentfcation) J 。
ISODP 8730  r銀行業務−標準メツセージ
確認(卸売り)の要件(Banking −Requi
rementsfor 5tandard Messa
ge Authentication(wholesa
le) J oこの国際標準は、メツセージ確認コード
(MAC)によって金融機関の間でパスされるメツセー
ジの真正さを保護する技術を指定する。
ISODP 8731  r銀行業務−メッセージ確認
用アルゴリズム−第1部:DES−1アルゴリズム(B
anking −Approved Algorith
ms forMessage Authenticat
ion −Part 1:DES−IAlgorith
m) J 、 l5O8731の第1部は、メツセージ
確認コード(MAC)の計算用の方法としてデータ暗号
化アルゴリズム(DEA−1)を扱う。第2部は、他の
非DEAアルゴリズムである。
rsODP 8732  r銀行業務−卸売りキー管理
(Banking −Key Management 
1Jholesale) J 。
この国際標準は、卸売り金融取引の腔中に交換されるメ
ツセージの暗号化及び確認用のキー人力材料の管理方法
を指定する。
ISODP 954?  r個人識別番号管理及び安全
保護第1部−PIN保護の原理及び技術(Person
alIdentification  Number 
 Management  andSecurity Part  1 −  PIN  Protectio
n  Pr1nciples  andTechniq
ue) J oこの標準は、育効なPIN管理に必要な
最小の安全保護処置を指定する。
PINデータを交換する標準手段が設けられる。
本発明の代替実施例では、平文キーを、暗号動作で即時
使用できるように暗号機構に記憶することができる。平
文キーは、たとえば暗号機構の第1図の作業用記憶装置
に記憶できる。
第1の方法では、各キーとそれに関連する制御ベクトル
は、暗号機構内tDRAMに1対の表示として記憶され
る。こうしたキー及び制御ベクトルはそれぞれ、使用す
る前に、権限を与えられたシステム担当者(たとえば、
安全保護担当役員)だけが利用できる特別の許可された
手順によって、暗号機構内で初期化される。主キーの初
期化に類似の手順(たとえば、物理キー活動化キー・交
換機を介して使用可能になる、フロント・パネル・イン
ターフェースに接続された携帯式キー人力装置による)
を、暗号機構内でキー及び制御ベクトルを初期化するた
めに容易に適合させることができるはずである。暗号機
構内のパラメータを初期化する方法は、当分野で周知で
ある。日常動作中に、特定のキーにアクセスするには、
まず関連する制御ベクトルにアクセスし、前述のように
制御ベクトル検査動作を実行して、提案されたキー使用
が認証されるようにする。認証が肯定の場合、対応する
キーがRAMからアクセスされて、暗号機構内で意図さ
れた動作に使用される。
第2の方法では、(第1の方法と同様の)キー及び制御
ベクトルの対になった表示を記憶する代わりに、キーと
それに関連する制御ベクトルの排他的論理和の結果が暗
号機構内のRAMに記憶され、キーと制御ベクトルが排
他的論理和されて、排他的論理和演算の結果が暗号機構
内のRAMに記憶される。第1図に示したように、暗号
機構の初期化手順は、暗号機構の外部でキーと制御ベク
トルの排他的論理和演算を実行し、次いでキーと制御ベ
クトルを入力する手順と類似の手順を使って、その結果
をパラメータとして入力することに基づくものである。
別法として、キー及び制御ベクトルを、暗号機構内で排
他的論理和して、その結果を前と同様に記憶することも
できる。後で、次のようなキーにアクセスするステップ
を追跡することができる。特定のキーの使用を指定する
命令は、そのキーに関連する制御ベクトルをも命令のパ
ラメータとして供給しなければならない。提案されたキ
ー使用が認証されることを保証するため、制御ベクトル
を、まず制御ベクトル検査動作によって、前と同様に検
査する。認証が肯定の場合、暗号機構に記憶されたキー
と制御ベクトルの排他的論理和の結果にアクセスし、意
図する暗号動作で使用される平文キーを回復するため、
命令にパラメータとして供給された制御ベクトルと排他
的論理和する。詐欺が試みられ、すなわち、偽りの制御
ベクトルが命令中で指定された場合、回復されたキーの
平文の値が正しくない(すなわち、正しいキー値ではな
い)ことがわかる。暗号命令は、こうした制御ベクトル
の詐取の結果正しくないキー値が生成されたときは、有
用な出力が得られないように設計されている。第2の方
法では、キーKを記憶する好ましい形は、キーとその制
御ベクトルの間の結合関数Fとして排他的論理和を使用
して、結果を形成することであり、逆結合関数1”−1
は、制御ベクトルとの積の排他的論理和である。しかし
、他の結合関数Fとその逆関数F−1の方がより適切と
なる特定の応用例もあり得る。
たとえば、より大きな安全保護が必要な適用例ではたと
えば、キーKがその制御ベクトルCによって暗号化され
てeC(K) を形成する暗号化変形としてFを定義す
ることができ、逆変形はたとえば、eC(に)がCによ
って非暗号化される非暗号化関数である。
E1発明の詳細 な説明したように本発明によれば、制御ベクトルによっ
てフォーマット、用途及び処理許可をキー結合する柔軟
な方法が提供される。システム管理者は本発明に基づい
て適切な制御ベクトルを選択することにより、安全保護
方針の実施を変更する際に柔軟性を行使することができ
る。さらに、安全保護管理者がいくつかのPINフォー
マットの交換を制限する方法が提供される。
【図面の簡単な説明】
第1図は、交換を支援するEFTネットワーク構成の概
略図である。 第2図は、EFTネットワークのPIN処理トランザク
ション(暗号化なし)の説明図である。 第3図は、EFTネットワークのPIN処理トランザク
ション(暗号化あり)の説明図である。 第4図は、顧客が選択したPINをPIN生成(または
カード発行)システムに入力するための2つの方法の説
明図である。 第5図は、カード発行者用のPIN生成システムの概略
図である。PINオフセット、PAN及びその他のデー
タがローカルまたは遠隔ステージーンで新しい銀行カー
ドに書き込まれる。PINはローカルまたは遠隔印刷装
置ステージーンで安全なPINメイラ上に印刷される。 第6図は、PIN暗号化キー用の制御ベクトル・フォー
マットを示す図である。 第7図は、PIN生成キー用の制御ベクトル・フォーマ
ットを示す図である。 第8図は、PINブロック作成命令の構成図である。 第9図は、IBM3624PIN生成命令の構成図であ
る。 第10図は、IBM3824PIN検証命令の構成図で
ある。 第11図は、PIN変換命令の構成図である。 第12図は、暗号機構をもつデータ処理システムの構成
図である。

Claims (1)

  1. 【特許請求の範囲】 制御ベクトルに関連付けられる暗号キーの管理のための
    暗号サービス要求を出力するプログラムを実行するデー
    タ処理システムにおいて上記プログラムによって暗号キ
    ーについて要求された個人識別番号処理機能がキーの設
    定者によって許可されたことを検証する方法であって、 (a)安全境界によって特徴付けられる暗号機構におい
    て暗号キーについて個人識別番号処理機能を遂行するた
    めの暗号サービス要求を受け取るステップと、 (b)上記暗号キーに関連する制御ベクトルを受け取っ
    て該制御ベクトルが上記暗号サービス要求によって要求
    された個人識別番号処理機能を許可することを検査する
    ステップと、 (c)上記個人識別番号処理機能が許可されたことを知
    らせて要求された個人識別番号処理機能の実行を開始す
    るステップと、 を有する個人識別番号処理方法。
JP1211546A 1988-08-26 1989-08-18 個人識別番号処理の許可を検証する装置および方法 Expired - Fee Related JPH0823736B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US23793888A 1988-08-26 1988-08-26
US237938 1994-05-02

Publications (2)

Publication Number Publication Date
JPH02105192A true JPH02105192A (ja) 1990-04-17
JPH0823736B2 JPH0823736B2 (ja) 1996-03-06

Family

ID=22895868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1211546A Expired - Fee Related JPH0823736B2 (ja) 1988-08-26 1989-08-18 個人識別番号処理の許可を検証する装置および方法

Country Status (2)

Country Link
JP (1) JPH0823736B2 (ja)
CA (1) CA1313411C (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009251737A (ja) * 2008-04-02 2009-10-29 Oki Electric Ind Co Ltd 暗証番号入力装置及び暗証番号入力装置の暗号化機能の変更方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009251737A (ja) * 2008-04-02 2009-10-29 Oki Electric Ind Co Ltd 暗証番号入力装置及び暗証番号入力装置の暗号化機能の変更方法

Also Published As

Publication number Publication date
CA1313411C (en) 1993-02-02
JPH0823736B2 (ja) 1996-03-06

Similar Documents

Publication Publication Date Title
US4924514A (en) Personal identification number processing using control vectors
US4500750A (en) Cryptographic application for interbank verification
US4918728A (en) Data cryptography operations using control vectors
EP0354774B1 (en) Data cryptography using control vectors
AU733803B2 (en) Initial secret key establishment including facilities for verification of identity
CA1124864A (en) Cryptographic architecture for use with a high security personal identification system
US8019084B1 (en) Automated banking machine remote key load system and method
US8517262B2 (en) Automated banking machine that operates responsive to data bearing records
US5615268A (en) System and method for electronic transmission storage and retrieval of authenticated documents
CN103729944B (zh) 一种安全下载终端主密钥的方法及系统
US7418592B1 (en) Automated banking machine system and method
CN1307818C (zh) 一种用于电子交易的密码系统和方法
Bürk et al. Digital payment systems enabling security and unobservability
JPS645783B2 (ja)
NO332206B1 (no) Fremgangsmate og anordning ved dokumentautentisering
US20070168291A1 (en) Electronic negotiable documents
JPS61188666A (ja) 個人識別番号認証方法
JPH0218512B2 (ja)
EP0354771B1 (en) Personal identification number processing using control vectors
JPH02105192A (ja) 個人識別番号処理の許可を検証する装置および方法
Van Heurck Trasec: Belgian security system for electronic funds transfers
CA1322418C (en) Data cryptography operations using control vectors
Rihaczek TeleTrusT-OSIS and communication security
Kunjadić et al. Payment Cards Counterfeiting Methods and Pin Uncovering
Rajeswaran Network Security: Atm Pin Unlocking And Avoid Skimming By UAN Techinique

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees