JPH1013402A - 公開鍵暗号の秘密鍵管理方法および装置 - Google Patents

公開鍵暗号の秘密鍵管理方法および装置

Info

Publication number
JPH1013402A
JPH1013402A JP8161968A JP16196896A JPH1013402A JP H1013402 A JPH1013402 A JP H1013402A JP 8161968 A JP8161968 A JP 8161968A JP 16196896 A JP16196896 A JP 16196896A JP H1013402 A JPH1013402 A JP H1013402A
Authority
JP
Japan
Prior art keywords
secret key
tamper
portable device
personal portable
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8161968A
Other languages
English (en)
Inventor
Shinji Ishii
晋司 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP8161968A priority Critical patent/JPH1013402A/ja
Publication of JPH1013402A publication Critical patent/JPH1013402A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 個人携帯デバイスを紛失したり破損したりし
た場合でも秘密鍵が再生でき、個人携帯デバイスにユー
ザの秘密鍵を入力する場合にも秘密鍵の書込み用に特別
な耐タンパ装置を必要としない公開鍵暗号の秘密鍵の管
理方法および装置を提供すること。 【解決手段】 秘密鍵を構成する部分秘密鍵であって、
各々は耐タンパ個人携帯デバイスのユーザと利害関係の
ある者により秘密に管理されている部分秘密鍵を、該耐
タンパ個人携帯デバイスのユーザと利害関係のある全て
の者から、各々別々に該耐タンパ個人携帯デバイスに入
力し、この入力された部分秘密鍵から、前記耐タンパ個
人携帯デバイス内で、秘密鍵を生成し、この生成された
秘密鍵を、前記耐タンパ個人携帯デバイス外への秘密鍵
の読み出しが不可である該耐タンパ個人携帯デバイス内
の格納領域に格納する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、個人が所有する個
人携帯デバイスで使用する公開鍵暗号の秘密鍵の管理方
法および装置に関する。
【0002】
【従来の技術】ネットワークを利用して、音声・映像あ
よび実行プログラムのような著作権を有するディジタル
コンテンツを販売しようとする場合には、利用者認証お
よび配送確認のみならず必ずディジタルデータの不正コ
ピーが問題となる。
【0003】利用者認証の問題を解決する方法として
は、ディジタル暗号の中の公開鍵暗号を利用する方法が
ある。
【0004】ディジタル暗号アルゴリズムには、共通鍵
暗号アルゴリズム(秘密鍵暗号アルゴリズム)と公開鍵
暗号アルゴリズムがある。
【0005】共通鍵暗号アルゴリズムは、高速演算が可
能であるが、暗号化鍵と復号鍵に同じ共通鍵を使用する
ことから、その共通鍵は通信する両者のみが秘密に保持
する必要がある。
【0006】一方、公開鍵暗号アルゴリズムは、共通鍵
暗号アルゴリズムに比べて計算量が多いため高速処理に
は不向きであるが、暗号化鍵と復号鍵には異なる鍵を使
用するため、暗号化鍵を公開しておくことにより、共通
鍵暗号アルゴリズムの共通鍵のように鍵を秘密に配送す
る必要がなくなる。
【0007】ところが、公開鍵暗号アルゴリズムでは、
暗号化鍵を公開することから、誰もが暗号文を生成する
ことができるので、暗号化されて送られてきた通信文等
を、誰が暗号化して送ってきたのかを証明することも必
要になる。そこで、考えられるようになったのが署名を
利用した相手認証である。
【0008】相手認証機能を備えた公開鍵暗号アルゴリ
ズムの代表例としては、RSA暗号がある。これは、暗
号通信に際して、暗号化するときには暗号化鍵を使用
し、復号するときには復号鍵を使用する。また、署名を
行うときには復号鍵を使用し、その署名を検証するとき
には暗号化鍵を使用する。
【0009】一方、配送すべきディジタルデータを暗号
化するためには、公開鍵暗号ではなく共通鍵暗号がほと
んどの場合に使用される。その最大の理由は、非常に大
きなディジタルデータの暗号処理には、公開鍵暗号に比
べてはるかに高速な共通鍵暗号の方が適しているからで
ある。
【0010】しかし、共通鍵暗号では、通信する両者が
共通の秘密鍵を所有していなければならない。そこで、
共通鍵暗号に使う共通の秘密鍵は、公開鍵暗号を利用し
て相手を認証して配送することが一般であるが、これだ
けでは正規の購入者による不正コピーは防ぐことが出来
ない。
【0011】
【発明が解決しようとする課題】そこで、耐タンパ装置
で構成された個人が携帯可能なデバイスを用いて、その
装置の内部で公開鍵暗号に用いる鍵を生成し、秘密鍵は
そのデバイス内部でのみ使用出来るようにして、そのデ
バイス外には決して読み出せないようにする方法が提案
されている(特願平8−72949)。
【0012】しかし、この提案の運用上の問題点とし
て、個人が携帯するデバイスは、紛失したり、誤って破
損してしまったりすることが考えられるという点があ
る。この点に関しては、個人携帯デバイスにユーザの秘
密鍵を書込むための特別な耐タンパ装置を使用するとい
う提案(特願平7−155030、特願平7−1594
14、特願平7−204642)があるが、従来は秘密
鍵を再生出来るようにするためには、このような秘密鍵
を生成し書込むための特別な耐タンパ装置が必要である
という問題点があった。
【0013】そこで、本発明は、暗号化されたディジタ
ルデータを復号するための復号鍵を物理的に複製不可能
なように個人携帯デバイスに格納し、暗号化されたディ
ジタルデータを利用する度ごとにその個人携帯デバイス
内で復号処理を行うことにより、この個人携帯デバイス
を所持しているもののみがディジタルデータを利用出来
るようにした個人携帯デバイスにおいて、その個人携帯
デバイスを紛失したり破損したりした場合でも秘密鍵が
再生でき、その個人携帯デバイスにユーザの秘密鍵を入
力する場合にも秘密鍵の書込み用に特別な耐タンパ装置
を必要としない公開鍵暗号の秘密鍵の管理方法および装
置を提供することを目的をする。
【0014】
【課題を解決するための手段】本発明は、公開鍵暗号の
秘密鍵を生成し管理する方法であって、(a)秘密鍵を
構成する部分秘密鍵であって、各々は耐タンパ個人携帯
デバイスのユーザと利害関係のある者により秘密に管理
されている部分秘密鍵を、該耐タンパ個人携帯デバイス
のユーザと利害関係のある全ての者から、各々別々に該
耐タンパ個人携帯デバイスに入力するステップと、
(b)ステップ(a)で入力された部分秘密鍵から、前
記耐タンパ個人携帯デバイス内で、秘密鍵を生成するス
テップと(c)ステップ(b)で生成された秘密鍵を、
前記耐タンパ個人携帯デバイス外への秘密鍵の読み出し
が不可である該耐タンパ個人携帯デバイス内の格納領域
に格納するステップと、を有することを特徴とする公開
鍵暗号の秘密鍵管理方法を提供する。
【0015】また、本発明は、上記方法において、更
に、(d)ステップ(c)で格納された秘密鍵を、前記
耐タンパ個人携帯デバイス内部のみにおいて復号処理と
署名処理に利用するステップを有することを特徴とす
る。
【0016】また、本発明は、上記方法において、更
に、(e)前記耐タンパ個人携帯デバイスの覆いの開封
を検出するステップと、(f)ステップ(e)で前記耐
タンパ個人携帯デバイスの覆いの開封が検出された時
に、秘密鍵を前記格納領域から消去するステップと、を
有することを特徴とする。
【0017】また、本発明は、上記方法において、更
に、(g)ステップ(e)で前記耐タンパ個人携帯デバ
イスの覆いの開封が検出された時に、該耐タンパ個人携
帯デバイス内に実装された構成要素を破壊して該耐タン
パ個人携帯デバイスを使用不能にするステップを有する
ことを特徴とする。
【0018】また、本発明は、上記方法において、更
に、(h)前記耐タンパ個人携帯デバイス内の秘密鍵の
紛失による秘密鍵再生がユーザから要求された時に、前
記部分秘密鍵を該ユーザと利害関係のある全ての者か
ら、各々別々に該耐タンパ個人携帯デバイスに再度入力
するステップと、(i)ステップ(h)で入力された部
分秘密鍵から、前記耐タンパ個人携帯デバイス内で、秘
密鍵を再度生成するステップと、(j)ステップ(i)
で生成された秘密鍵を、前記格納領域に再度格納するス
テップと、を有することを特徴とする。
【0019】また、本発明は、上記方法において、更
に、(k)前記耐タンパ個人携帯デバイスの破損による
秘密鍵再生がユーザから要求された時に、前記部分秘密
鍵を該ユーザと利害関係のある全ての者から、各々別々
に新たな耐タンパ個人携帯デバイスに入力するステップ
と、(l)ステップ(k)で入力された部分秘密鍵か
ら、前記新たな耐タンパ個人携帯デバイス内で、秘密鍵
を生成するステップと、(m)ステップ(l)で生成さ
れた秘密鍵を、前記新たな耐タンパ個人携帯デバイス外
への秘密鍵の読み出しが不可である該新たな耐タンパ個
人携帯デバイス内の格納領域に格納するステップと、を
有することを特徴とする。
【0020】また、本発明は、上記方法において、更
に、(n)新たな秘密鍵を構成する新たな部分秘密鍵で
あって、各々は前記耐タンパ個人携帯デバイスのユーザ
と利害関係のある者により秘密に管理されている新たな
部分秘密鍵を、該耐タンパ個人携帯デバイスのユーザと
利害関係のある全ての者から、各々別々に該耐タンパ個
人携帯デバイスに入力するステップと、(o)ステップ
(n)で入力された新たな部分秘密鍵から、前記耐タン
パ個人携帯デバイス内で、新たな秘密鍵を生成するステ
ップと、(p)ステップ(o)で生成された新たな秘密
鍵を、元の秘密鍵に上書きして前記格納領域に格納する
ステップと、を有することを特徴とする。
【0021】また、本発明は、上記方法において、更
に、前記格納領域に格納された秘密鍵により復号すべき
暗号化情報のバックアップを、秘密鍵再生が必要となる
前に作成するステップと、前記暗号化情報を前記バック
アップから前記耐タンパ個人携帯デバイスへ、秘密鍵が
再生された後にリストアするステップと、を有すること
を特徴とする。
【0022】また、本発明は、上記方法において、更
に、秘密鍵再生および更新が必要となる前に、前記格納
領域に格納された元の秘密鍵により復号すべき暗号化情
報のバックアップを作成するステップと、秘密鍵が再生
された後で秘密鍵が更新される前に、前機暗号化情報を
前記バックアップから前記耐タンパ個人携帯デバイスへ
リストアするステップと、秘密鍵が再生された後で秘密
鍵が更新される前に、前記暗号化情報を再生された秘密
鍵を用いて前記耐タンパ個人携帯デバイス内で復号する
ステップと、秘密鍵が再生され更新された後に、該復号
するステップで復号された情報を更新された秘密鍵を用
いて前記耐タンパ個人携帯デバイス内で暗号化するステ
ップと、を有することを特徴とする。
【0023】また、本発明は、上記方法において、更
に、(q)二つの素数pおよびqを生成し、(p−1)
と(q−1)の最小公倍数をLとするステップと、
(r)pとqの積を公開鍵法nとし、Lより小さく且つ
Lと互いに素である正の整数を公開鍵指数eとするステ
ップと、(s)前記耐タンパ個人携帯デバイスのユーザ
と利害関係のある者の総数をkとして、各々別々に該耐
タンパ個人携帯デバイ各々がLより小さく且つLと互い
に素である(k−1)個の正の整数を部分秘密鍵d1
2 ,----,dk-1 とするステップと、(t)前記ステ
ップ(b)が x exp(d)≡x exp(d0 ・d1 ・d2 ・----・dk-1 ) (mod n) 但しxはn未満の任意の正の整数、を満たす秘密鍵dを
生成するように、 e・d0 ・d1 ・d2 ・----・dk-1 ≡1 (mod L) を満たすユーザの部分秘密鍵d0 を生成するステップ
と、を有することを特徴とする。
【0024】また、本発明は、上記方法において、更
に、ステップ(t)で生成されたユーザの部分秘密鍵d
0 を一度だけ前記耐タンパ個人携帯デバイスから出力す
るステップを有することを特徴とする。
【0025】また、本発明は、上記方法において、更
に、前記耐タンパ個人携帯デバイスのユーザと利害関係
のある全ての者に、乱数を配布するステップと、前記全
ての者の部分秘密鍵を用いて、前記乱数に順次署名する
ステップと、前記耐タンパ個人携帯デバイスのユーザと
利害関係のある者各々が、順次署名された乱数を公開鍵
を用いて検証し、該順次署名された乱数が無事検証され
た時に、秘密鍵が不正なく生成されたことを各々におい
て確信するステップと、を有することを特徴とする。
【0026】また、本発明は、上記方法において、更
に、前記耐タンパ個人携帯デバイスのユーザと利害関係
のある全ての者に、秘密鍵再生要求を配布するステップ
と、前記全ての者の部分秘密鍵を用いて、前記秘密鍵再
生要求に順次署名するステップと、前記耐タンパ個人携
帯デバイスのユーザと利害関係のある者各々が、順次署
名された秘密鍵再生要求を公開鍵を用いて検証し、該順
次署名された秘密鍵再生要求が無事検証された時に、秘
密鍵再生許可を各々において発行するステップと、を有
することを特徴とする。
【0027】さらに、本発明は、公開鍵暗号の秘密鍵を
生成し管理する耐タンパ個人携帯デバイスであって、秘
密鍵を構成する部分秘密鍵であって、各々は該耐タンパ
個人携帯デバイスのユーザと利害関係のある者により秘
密に管理されている部分秘密鍵を、該耐タンパ個人携帯
デバイスのユーザと利害関係のある全ての者から、各々
別々に該耐タンパ個人携帯デバイスに入力する第1の手
段と、第1の手段により入力された部分秘密鍵から、該
耐タンパ個人携帯デバイス内で、秘密鍵を生成する第2
の手段と、第2の手段により生成された秘密鍵を、該耐
タンパ個人携帯デバイス外への秘密鍵の読み出しが不可
である該耐タンパ個人携帯デバイス内の格納領域に格納
する第3の手段と、を有することを特徴とする耐タンパ
個人携帯デバイスを提供する。
【0028】また、本発明は、上記デバイスにおいて、
更に、該耐タンパ個人携帯デバイス内部のみにおいて前
記格納領域に格納された秘密鍵を用いて復号処理と署名
処理を行うプロセッサを有することを特徴とする。
【0029】また、本発明は、上記デバイスにおいて、
更に、該耐タンパ個人携帯デバイスの覆いの開封を検出
する開封検出手段と、前記開封検出手段により該耐タン
パ個人携帯デバイスの覆いの開封が検出された時に、秘
密鍵を前記格納領域から消去する手段と、を有すること
を特徴とする。
【0030】また、本発明は、上記デバイスにおいて、
更に、前記開封検出手段により該耐タンパ個人携帯デバ
イスの覆いの開封が検出された時に、該耐タンパ個人携
帯デバイス内に実装された構成要素を破壊して該耐タン
パ個人携帯デバイスを使用不能にする手段を有すること
を特徴とする。
【0031】また、本発明は、上記デバイスにおいて、
該耐タンパ個人携帯デバイス内の秘密鍵の紛失による秘
密鍵再生がユーザから要求された時に、前記第1の手段
は、前記部分秘密鍵を該ユーザと利害関係のある全ての
者から、各々別々に該耐タンパ個人携帯デバイスに再度
入力し、前記第2の手段は、前記第1の手段により入力
された部分秘密鍵から、該耐タンパ個人携帯デバイス内
で、秘密鍵を再度生成し、前記第3の手段は、前記第2
の手段により生成された秘密鍵を、前記格納領域に再度
格納することを特徴とする。
【0032】また、本発明は、上記デバイスにおいて、
前記第1の手段は、新たな秘密鍵を構成する新たな部分
秘密鍵であって、各々は該耐タンパ個人携帯デバイスの
ユーザと利害関係のある者により秘密に管理されている
新たな部分秘密鍵を、該耐タンパ個人携帯デバイスのユ
ーザと利害関係のある全ての者から、各々別々に該耐タ
ンパ個人携帯デバイスに入力し、前記第2の手段は前記
第1の手段により入力された新たな部分秘密鍵から、該
耐タンパ個人携帯デバイス内で、新たな秘密鍵を生成
し、前記第3の手段は、前記第2の手段により生成され
た新たな秘密鍵を、元の秘密鍵に上書きして前記格納領
域に格納することを特徴とする。
【0033】また、本発明は、上記デバイスにおいて、
更に、二つの素数pおよびqを生成し、(p−1)と
(q−1)の最小公倍数をLとする手段と、pとqの積
を公開鍵法nとし、Lより小さく且つLと互いに素であ
る正の整数を公開鍵指数eとする手段と、該耐タンパ個
人携帯デバイスのユーザと利害関係のある者の総数をk
として、各々別々に該耐タンパ個人携帯デバイ各々がL
より小さく且つLと互いに素である(k−1)個の正の
整数を部分秘密鍵d1 ,d2 ,----,dk-1 とする手段
と、前記第2の手段が x exp(d)≡x exp(d0 ・d1 ・d2 ・----・dk-1 ) (mod n) 但しxはn未満の任意の正の整数、を満たす秘密鍵dを
生成するように、 e・d0 ・d1 ・d2 ・----・dk-1 ≡1 (mod L) を満たすユーザの部分秘密鍵d0 を生成する手段と、を
有することを特徴とする。
【0034】また、本発明は、上記デバイスにおいて、
更に、前記ユーザの部分秘密鍵d0を一度だけ該耐タン
パ個人携帯デバイスから出力する手段を有することを特
徴とする。
【0035】さらに、本発明は公開鍵暗号を用いたディ
ジタルデータの取扱い方法であって、(a)ユーザ側
で、署名用の第1の公開鍵暗号の公開鍵と秘密鍵を生成
するステップと、(b)第1の公開鍵暗号の公開鍵を証
明書発行センタに登録するステップと、(c)証明書発
行センタの秘密鍵を使って第1の公開鍵暗号の公開鍵に
署名し、署名された公開鍵をユーザの証明書として公開
するステップと、(d)著作権所有者側で、ディジタル
データ復号用の第2の公開鍵暗号の公開鍵と秘密鍵を生
成し、第2の公開鍵暗号の秘密鍵を耐タンパ個人携帯デ
バイス外への秘密鍵の読み出しが不可である該耐タンパ
個人携帯デバイス内の格納領域に格納するステップと、
(e)前記耐タンパ個人携帯デバイスと第2の公開鍵暗
号の公開鍵をユーザ側に提供して、ユーザ側で第2の公
開鍵暗号の秘密鍵を用いた復号処理と第1の公開鍵暗号
の秘密鍵を用いた署名処理を前記耐タンパ個人携帯デバ
イス内部で行うことにより、著作権所有者側の提供する
ディジタルデータが利用可能となるようにするステップ
と、を有することを特徴とするディジタルデータの取扱
い方法を提供する。
【0036】
【発明の実施の形態】以下、図面に従って本発明の実施
の形態を説明するが、ここでは公開鍵暗号アルゴリズム
のなかでも、暗号機能と認証機能を合わせ持っていて、
最も広く利用されているRSA暗号を用いて説明する。
なお、RSA暗号の詳細については、社団法人電子情報
通信学会編、池野、小山共著「現代暗号理論」の「第6
章 RSA公開鍵暗号」に詳述されている。
【0037】(第1の実施形態)まず、本発明の第1の
実施形態について図1〜図5を参照して詳細に説明す
る。
【0038】図1は、第1の実施形態におけるシステム
構成を示すもので、このシステムはユーザ端末54上で
使用されるユーザ56の個人携帯デバイス55と、ユー
ザ端末54にネットワーク53を介して接続するサービ
ス提供者52および個人携帯デバイス発行者51を含ん
でいる。
【0039】この図1の構成において、サービス提供者
52が提供するサービスを受けようとするユーザ56
は、自分の個人携帯デバイス55をユーザ端末54に挿
入し、このユーザ端末54を操作することにより所望の
コンテンツがサービス提供者52からネットワーク53
を介してユーザ端末54に配布されるようにする。
【0040】ここで、個人携帯デバイス55の鍵生成に
関与するものは一般に何名でも構わないが、以下では、
図1に示しているように、サービス提供者52、ユーザ
56、個人携帯デバイス発行者51の3者が鍵生成に関
与する最もシンプルな場合を例として説明する。なお、
この第1の実施形態を実際に実施する際には、あるユー
ザがあるサービスを受けるときにこのユーザと金銭的な
利害関係にある(もしくはあるであろう)全てのエンテ
ィティが鍵生成に参加することが望ましい。
【0041】この第1の実施形態では、個人携帯デバイ
ス55を発行するときに、サービス提供者52の管理者
や個人携帯デバイス55の所有者を含めて誰にもその値
を知られることなく個人携帯デバイス55で使用する公
開鍵暗号の秘密鍵を生成することが可能で、且つその秘
密鍵は唯一その個人携帯デバイス55の内部のみにある
ことが証明可能である。
【0042】さらに、たとえ個人携帯デバイス55を紛
失したり破壊したりしても、個人携帯デバイス55に格
納されるユーザの秘密鍵が再生可能である。
【0043】図2は、この第1の実施形態における個人
携帯デバイス55の詳細な構成を示す図である。
【0044】図2の個人携帯デバイス55は、耐タンパ
装置セクション55Aへの入力を提供するための公開鍵
指数初期値入力部501、部分秘密鍵初期値入力部50
2、補正済み部分秘密鍵出力要求入力部503、平文・
暗号文・署名文入力部504を有する。
【0045】また、図2の個人携帯デバイス55は、耐
タンパ装置セクション55Aからの出力を提供するため
の公開鍵法出力部591、公開鍵指数出力部592、補
正済み部分秘密鍵出力部593、暗号処理結果出力部5
94を有する。
【0046】耐タンパ装置セクション55Aはその内部
をいかなる者も触れることが出来ないように覆われた耐
タンパ装置からなるものである。
【0047】この耐タンパ装置セクション55Aは、公
開鍵指数初期値入力部501に接続された公開鍵指数初
期値記憶部521と、公開鍵指数初期値記憶部521に
接続された鍵生成パラメタ生成部522と、鍵生成パラ
メタ生成部522に接続された鍵生成パラメタ保存部5
23と、鍵生成パラメタ保存部523および公開鍵指数
出力部592に接続された公開鍵指数格納部524とを
有する。
【0048】また、この耐タンパ装置セクション55A
は、公開鍵指数初期値記憶部521に接続された鍵生成
許可判断部511と、鍵生成許可判断部511および鍵
生成パラメタ生成部522と接続された素数生成部51
2と、素数生成部512に接続された公開鍵法生成部5
13と、公開鍵法生成部513および公開鍵法出力部5
91に接続された公開鍵法格納部514とを有する。
【0049】また、この耐タンパ装置セクション55A
は、部分秘密鍵初期値入力部502に接続された部分秘
密鍵補正部531と、秘密鍵合成部532と、秘密鍵合
成部532に接続された秘密鍵格納部533とを有す
る。
【0050】また、この耐タンパ装置セクション55A
は、補正済み部分秘密鍵出力要求入力部503に接続さ
れた最終部分秘密鍵出力要求チェック部541と、最終
部分秘密鍵出力要求入力部541、部分秘密鍵補正部5
31、秘密鍵合成部532、鍵生成許可判断部511お
よび補正済み秘密鍵出力部593に接続された補正済み
部分秘密鍵記憶部542を有する。
【0051】また、この耐タンパ装置セクション55A
は、平文・暗号文・署名文入力部504、公開鍵法格納
部514、秘密鍵格納部533および暗号処理結果出力
部594に接続された暗号処理部551と、開封検出部
561と、開封検出部561、補正済み部分秘密鍵記憶
部542および秘密鍵格納部533に接続された消去指
示部562とを有する。
【0052】この図2の構成では、耐タンパ装置セクシ
ョン55Aの覆いを無理やり開けてこの耐タンパ装置セ
クション55A内に格納されているRSA暗号の秘密鍵
を読み出そうとすると、開封検出部561が開封を検出
し消去指示部562が起動されて、秘密鍵格納部533
に格納された秘密鍵を電気的に消去するので、たとえこ
の個人携帯デバイス55の所有者であっても秘密鍵を読
み出すことは出来ない。また、秘密鍵を別の鍵に書き換
えられることを防ぐために、開封された時には耐タンパ
装置セクション55A内に使用されている半導体チップ
や基盤配線を破壊するように設計されている。このよう
な耐タンパ装置の例としては、S.H. Weingard, "Physic
al Security for the μASBYSS System", Proceedings
1987 IEEE Symposium on Security and Privacy, pp. 5
2-58, April 1987に開示されたものがある。
【0053】次に、この第1の実施形態における鍵生成
の手順について説明する。
【0054】まず、RSA暗号に用いる公開鍵(公開鍵
指数e、公開鍵法n)および秘密鍵(秘密鍵指数d)の
一般的な生成手順を簡単に説明する。
【0055】通常、RSA暗号の鍵は以下の(1)−
(5)のステップで生成される。
【0056】(1)二つの素数p,qを生成する。
【0057】(2)生成した二つの素数p,qの積を公
開鍵の公開鍵法nとする。
【0058】(3)(p−1)と(q−1)の最小公倍
数をLとする。
【0059】(4)Lより小さく且つLと互に素である
正の整数を選び、これを公開鍵の公開鍵指数eとする。
【0060】(5)e・d≡1 (mod L)を満たす秘
密鍵の秘密鍵指数dを生成する。
【0061】これに対し、この第1の実施形態では、秘
密鍵を部分秘密鍵に分割することが出来るということを
利用する。
【0062】この第1の実施形態における鍵生成では、
上記のステップ(1)〜(4)まではそのままで、上記
のステップ(5)を次のステップ(5’)と(5”)に
置き換える。
【0063】(5’)各々がLより小さく且つLと互い
に素である(k−1)個の正の整数を選び、これらを秘
密パラメタd1 ,d2 ,----,dk-1 とする。ここで、
kは必要な秘密パラメタの数、即ち、鍵生成に関与する
者の数である。
【0064】(5”)e・d0 ・d1 ・d2 ・----・d
k-1 ≡1 (mod L)を満たす秘密パラメタd0 を生成
し、 x exp(d)≡x exp(d0 ・d1 ・d2 ・----・dk-1 ) (mod n) 但しnは公開鍵法、xはn未満の任意の正の整数、を満
たす秘密鍵dを生成する。
【0065】ここで、分割秘密パラメタd0 ,d1 ,d
2 ,----,dk-1 は秘密鍵dを分割したものであると考
えると分かりやすい。また、di 以外の全ての分割秘密
パラメタを知ったとしてもdi を求めるには、RSA暗
号を破るのと同等の計算能力が必要である。従って、分
割秘密パラメタd0 ,d1 ,d2 ,----,dk-1 の全て
を入手しない限り秘密鍵dを推測するにはRSA暗号を
破るのと同等の計算能力が必要となる。この第1の実施
形態ではこの性質を有効利用する。なお、RSA暗号の
秘密鍵に分割秘密パラメタを用いた同様のアルゴリズム
が C. Boyd, "Some Applications of Multiple Key Cip
hers", Advances in Cryptology - EUROCRYPT '88, pp.
455-467, Lecture Notes in Computer Science Vol. 3
30, Springer-Verlag, 1988 に開示されている。
【0066】次に、この第1の実施形態における秘密鍵
生成の手順を、図1に示したk=3の例について、図3
を参照して説明する。図3において、実線部分はネット
ワークを介して行う動作を、破線部分はネットワーク5
3を介さずに行う動作を各々示す。
【0067】まず、個人携帯デバイス55を発行する個
人携帯デバイス発行者51が公開鍵指数初期値e’と部
分秘密鍵d1 を個人携帯デバイス55に入力する(図3
のステップ(1))。
【0068】ここで、鍵生成許可判断部511は鍵生成
が許可されているかどうかを以下のように判断する。
【0069】補正済み部分秘密鍵記憶部542の値が0
の時は、個人携帯デバイス55が発行された直後で、ま
だ一度も秘密鍵を生成していない場合である。従って、
補正済み部分秘密鍵記憶部542の値が0のときには鍵
生成許可判断部511はON状態となり、鍵生成の次の
段階に遷移できる。
【0070】個人携帯デバイス55に既に秘密鍵が書込
まれている場合には、セキュリティ上の観点から、鍵生
成に関与するエンティティが現在個人携帯デバイス55
に書込まれている秘密鍵を合成するために必要な部分秘
密鍵を知っている場合にのみ秘密鍵の更新ができるよう
にして、何者かが勝手に秘密鍵を更新出来ないようにす
る必要がある。
【0071】従って、既に秘密鍵を生成している場合に
は、鍵生成に関与するエンティティが部分秘密鍵初期値
入力部502から現在有効な部分秘密鍵の初期値を全て
入力し、入力された各部分秘密鍵の初期値が鍵生成パラ
メタ保存部523に格納されている(p−1)と(q−
1)の最小公倍数Lと互いに素になるように部分秘密鍵
補正部531で補正される。そして、補正された部分秘
密鍵が補正済み部分秘密鍵記憶部542のものと全て等
しいとき、鍵生成許可判断部511がON状態になり、
それ以外の場合には鍵生成許可判断部511がOFF状
態になって秘密鍵の更新が出来ないようになっている。
【0072】鍵生成許可判断部511がON状態のと
き、素数生成部512が新たに二つの素数p,qを生成
し、次いで鍵生成パラメタ生成部522が(p−1)と
(q−1)の最小公倍数Lを生成する。この最小公倍数
Lを鍵生成パラメタ保存部523に保存すると共に、L
より小さく且つLと互いに素である正の整数を公開鍵指
数初期値e’を順次インクリメントして求め、これを公
開鍵指数eとして公開鍵指数格納部524に格納する。
この公開鍵指数eは公開可能であるので自由に読み出し
可能である。
【0073】一方、公開鍵法生成部513が素数生成部
512で生成された二つの素数p,qの積を生成し、こ
れを公開法nとして公開鍵法格納部514に格納する。
この公開鍵法nも公開可能であるので自由に読み出し可
能である。
【0074】図3のステップ(1)では、個人携帯デバ
イス発行者51は公開鍵指数初期値e’を公開鍵指数初
期値入力部501において入力し、入力された公開鍵指
数初期値e’は公開鍵指数初期値記憶部521に蓄積さ
れる。
【0075】また、個人携帯デバイス発行者51は乱数
から求められた部分秘密鍵初期値d1 ’を部分秘密鍵初
期値入力部502において入力する。入力された部分秘
密鍵初期値d1 ’は鍵生成パラメタ保存部523に格納
されたLと互いに素になるように所定の規則に基づいて
部分秘密鍵補正部531で補正されて、部分秘密鍵d1
が求められる。ここで、部分秘密鍵補正部531は同じ
e,n,d1 ’に対して常に同じd1 が求められるよう
に動作する。この補正を実現する最も単純なやり方とし
ては、d1 ’を順次インクリメントしてd1 を求めると
いうやり方がある。補正された部分秘密鍵d1 は補正済
み部分秘密鍵記憶部542に蓄積される。
【0076】次に、個人携帯デバイス発行者51は、個
人携帯デバイス55をサービス提供者52に送る。
【0077】サービス提供者52は同様に乱数から求め
られた部分秘密鍵初期値d2 ’を部分秘密鍵初期値入力
部502において入力する。そして、個人携帯デバイス
発行者51の場合と同様に、入力された部分秘密鍵初期
値d2 ’は鍵生成パラメタ保存部523に格納されたL
と互いに素になるように所定の規則に基づいて部分秘密
鍵補正部531で補正されて、部分秘密鍵d2 が求めら
れる。補正された部分秘密鍵d2 は補正済み部分秘密鍵
記憶部542に蓄積される(図3のステップ(2))。
【0078】次に、サービス提供者52は、個人携帯デ
バイス55をユーザ56に送る。
【0079】ユーザ56が鍵生成指示を入力すると、個
人携帯デバイス55内では e・d0 ・d1 ・d2 ≡1 (mod L) を満たす部分秘密鍵d0 がe,d1 ,d2 から生成さ
れ、この部分秘密鍵d0 が補正済み部分秘密鍵記憶部5
42に蓄積される。さらに、 x exp(d)≡x exp(d0 ・d1 ・d2 ) (mod n) 但しnは公開鍵法、xはn未満の任意の正の整数、を満
たす秘密鍵dが秘密鍵合成部532で求められて秘密鍵
格納部533に格納される(図3のステップ(3))。
【0080】この鍵生成後、ユーザ56は部分秘密鍵d
0 の出力指示を補正済み部分秘密鍵出力要求入力部50
3において入力し、これに応じて部分秘密鍵d0 が補正
済み部分秘密鍵記憶部542から補正済み部分秘密鍵出
力部593を介して出力される。ただし、部分秘密鍵d
0 の出力は最終部分秘密鍵出力要求チェック部541に
より1度限りに制限されている。秘密鍵格納部533内
に得られた秘密鍵dと補正済み部分秘密鍵記憶部542
内の補正済み部分秘密鍵は秘密情報として上述の通り開
封検出部561と消去指示部562によって厳重に管理
される一方で、ユーザ56はe,nを公開する(図3の
ステップ(4))。
【0081】次に、以上の鍵生成が不正なく行なわれた
かどうかを確かめるために、以下の確認作業を行なう。
【0082】まず、ユーザ56がチャレンジコードとし
て乱数rを生成する(図3のステップ(5))。そし
て、生成された乱数rに個人携帯デバイス55内の秘密
鍵dと公開鍵法nを用いて署名処理を行い、D(r)を
得る(図3のステップ(6))。また、ユーザ56は部
分秘密鍵d0 と公開鍵法nを用いて、D0 (r)を得る
(図3のステップ(7))。そして、これらr,D
(r),D0 (r)をサービス提供者52と個人携帯デ
バイス発行者51に送信する(図3のステップ(8)
(9))。ここで、これらr,D(r),D0 (r)を
送信する通信路は必ずしも安全な通信路である必要はな
い。
【0083】サービス提供者52は、ユーザ56から受
け取ったr,D(r),D0 (r)とユーザ56により
公開されているn,eを用いてE(D(r))を計算
し、このE(D(r))がrと等しいかどうかチェック
する(図3のステップ(10))。
【0084】このE(D(r))がrに等しいときに
は、サービス提供者52は鍵生成が不正なく行われたこ
とを確信できる。そして、サービス提供者52は部分秘
密鍵d2 を用いてD2 (D0 (r))を計算し(図3の
ステップ(10))、このD2(D0 (r))を個人携
帯デバイス発行者51に送信する(図3のステップ(1
2))。
【0085】一方、個人携帯デバイス発行者51も、ユ
ーザ56から受け取ったr,D(r),D0 (r)とユ
ーザ56により公開されているn,eを用いてE(D
(r))を計算し、このE(D(r))がrと等しいか
どうかチェックする(図3のステップ(11))。
【0086】このE(D(r))がrに等しいときに
は、個人携帯デバイス発行者51は鍵生成が不正なく行
われたことを確信できる。そして、個人携帯デバイス発
行者51は部分秘密鍵d1 とサービス提供者52から受
け取ったD2 (D0 (r))とユーザ56により公開さ
れているeを用いてE(D1 (D2 (D0 (r))))
を計算し、このE(D1 (D2 (D0 (r))))がr
と等しいかどうかチェックする(図3のステップ(1
3))。
【0087】このE(D1 (D2 (D0 (r))))が
rと等しいとき、これをもって個人携帯デバイス発行者
51は他の全てのエンティティが鍵生成は不正なく行な
われたことを確信したことの証拠とできる。そして、個
人携帯デバイス発行者51はD1 (D0 (r)とD
1 (r)を計算して、これらD1 (D0 (r)とD
1 (r)をサービス提供者52に送信する(図3のステ
ップ(14))。
【0088】サービス提供者52は、部分秘密鍵d2
個人携帯デバイス発行者51から受け取ったD1 (D0
(r))とユーザ56により公開されているeを用いて
E(D2 (D1 (D0 (r))))を計算し、このE
(D2 (D1 (D0 (r))))がrと等しいかどうか
チェックする(図3のステップ(15))。
【0089】このE(D2 (D1 (D0 (r))))が
rと等しいとき、これをもってサービス提供者52は他
の全てのエンティティが鍵生成は不正なく行なわれたこ
とを確信したことの証拠とできる。そして、サービス提
供者52はD2 (D1 (r))を計算して、このD2
(D1 (r))をユーザ56に送信する(図3のステッ
プ(16))。
【0090】ユーザ56は、公開鍵指数eと部分秘密鍵
0 とサービス提供者52から受け取ったD2 (D
1 (r))を用いてE(D0 (D2 (D1 (r))))
を計算し、このE(D0 (D2 (D1 (r))))がr
と等しいかどうかチェックする(図3のステップ(1
7))。
【0091】このE(D0 (D2 (D1 (r))))が
rと等しいとき、これをもってユーザ56は他の全ての
エンティティが鍵生成は不正なく行なわれたことを確信
したことの証拠とできる。
【0092】以上の鍵生成と確認の手順が完了すると、
ユーザ56はセキュリティを要するサービスを利用可能
となる。なお、万一の場合にそなえて、個人携帯デバイ
ス55がサービス固有の秘密情報を格納しているときに
は、ユーザ56は個人携帯デバイス55内の公開鍵を用
いてその秘密情報を暗号化し、暗号化された秘密情報の
バックアップを作成する。この秘密情報のバックアップ
は個人携帯デバイス55内でのみ復号可能であるので、
ユーザ56はこの秘密情報のバックアップを個人携帯デ
バイス55とは別に管理しておく。
【0093】個人携帯デバイス55を紛失したり盗まれ
たりした場合には、個人携帯デバイス55の所有者がサ
ービスを受けられなくなるばかりが、他人に個人携帯デ
バイス55を悪用される可能性もある。従って、この様
な場合には以前使用していた秘密鍵は廃止して、新たな
秘密鍵を使用することが望ましい。しかし、もし単純に
秘密鍵を変えてしまうと、今までにサービスを受けて蓄
積したデータが利用出来なくなってしまう。この点で、
サービスを受けた時にバックアップを作成しておけば、
このような場合に利用出来なくなるデータ量を最小限に
おさえることが可能である。
【0094】次に、この第1の実施形態において、個人
携帯デバイス55を紛失した場合に、個人携帯デバイス
55を再発行する手順について説明する。なお、以下の
手順は個人携帯デバイス55を落としたり踏みつけたり
して物理的に破壊した場合にも適用出来るものである。
【0095】個人携帯デバイス55を紛失したり破壊し
たりしたときには、秘密鍵と個人携帯デバイスの再発行
手順が図4のフローチャートに従って以下の通り行なわ
れる。
【0096】まず、ユーザ56は紛失・破壊してしまっ
たことを記述した「紛失・破壊による秘密鍵/個人携帯
デバイス再生依頼書」を電子情報として作成する。この
電子情報は、あらかじめ記載項目を決めておけば、ワー
プロ等で簡単に作成できる。以下では、この「紛失・破
壊による秘密鍵/個人携帯デバイス再生依頼書」をFo
rmと略す。
【0097】次にユーザ56は、ユーザ56が秘密に所
有している部分秘密鍵d0 と公開鍵法nを用いてFor
mに署名処理を行い、D0 (Form)を得る。この署
名処理時に、二進数表現でn<Formのときには一回
の演算では署名は出来ないので、ハッシュ関数を利用し
てメッセージダイジェストを生成しそのメッセージダイ
ジェストに署名処理を行うか、Formを分割して得ら
れる各部に対して署名処理を行う。
【0098】そして、ユーザ56は得られた署名結果D
0 (Form)とFormそのものをサービス提供者5
2および個人携帯デバイス発行者51に送付する(ステ
ップ601)。ここで、D0 (Form)とFormの
送付にはオンライン処理を利用することも可能である。
【0099】つぎに、サービス提供者52はユーザ56
から受け取ったFormをチェックして、過去のサービ
ス利用履歴等からこのユーザ56が不正を行なったこと
があるかを確かめ、個人携帯デバイス55の再発行要求
は妥当であるかどうか判断する。個人携帯デバイス55
の再発行が妥当であると判断された場合には、サービス
提供者52は、サービス提供者52が秘密に所有してい
る部分秘密鍵d2 と公開鍵法nを用いてユーザ56から
受け取ったD0 (Form)に署名処理を行って、D2
0 (Form)を得る。そしてこの署名結果D20
(Form)を個人携帯デバイス発行者51に送付する
(ステップ603)。
【0100】一方、個人携帯デバイス発行者51はユー
ザ56から受け取ったFormをチェックして、個人携
帯デバイス55の再発行要求は妥当であるかどうか判断
する。ここで、個人携帯デバイス55を破壊した場合に
は、破壊された個人携帯デバイス55も個人携帯デバイ
ス発行者51に送付してもらう必要が有り得る。個人携
帯デバイス55の再発行が妥当であると判断された場合
には、個人携帯デバイス発行者51は、個人携帯デバイ
ス発行者51が秘密に所有している部分秘密鍵d1 と公
開鍵法nを用いてユーザ56から受け取ったD0 (Fo
rm)に署名処理を行って、D10 (Form)を得
る。そしてこの署名結果D10 (Form)をサービ
ス提供者52に送付する(ステップ602)。
【0101】つぎにサービス提供者52は、個人携帯デ
バイス発行者51から受け取ったD10 (Form)
に対して、サービス提供者52が秘密に所有している部
分秘密鍵d2 と公開鍵(e,n)を用いて、F2 =E
(D2 (D1 (D0 (Form))))を計算し(ス
テップ606)、このF2 =E(D2 (D1 (D
0(Form))))がユーザ56から受け取ったForm
と等しいかどうかを検証する(ステップ607)。この
検証が成功した場合には、サービス提供者52から秘密
鍵再生許可が発行され(ステップ611)、そうでない
場合には、秘密鍵再生が中止される(ステップ61
2)。
【0102】一方、個人携帯デバイス発行者51は、サ
ービス提供者52から受け取ったD20 (Form)
に対して、個人携帯デバイス発行者51が秘密に所有し
ている部分秘密鍵d1 と公開鍵(e,n)を用いて、F
1 =E(D1 (D2 (D0 (Form))))を計算し
(ステップ604)、このF1 =E(D1(D2(D
0(Form))))がユーザ56から受け取ったFo
rmと等しいかどうかを検証する(ステップ605)。
この検証が成功した場合には、個人携帯デバイス発行者
51から秘密鍵再生許可が発行され(ステップ60
8)、そうでない場合には、秘密鍵再生が中止される
(ステップ609)。
【0103】秘密鍵再生許可が個人携帯デバイス発行者
51とサービス提供者52の両方から得られた場合に
は、秘密鍵再生が許可され(ステップ613)、以降秘
密鍵再生と個人携帯デバイス再発行の手順が、新たに秘
密鍵を発行する場合と同様に行われる(ステップ61
4)。
【0104】この秘密鍵と個人携帯デバイスの再発行手
順において、ユーザ56の作成したFormが正しいこ
とは個人携帯デバイス発行者51、サービス提供者5
2、ユーザ56という鍵生成に関与した3者全員がこの
Formに署名することによってのみ検証可能である。
このため、この第1の実施形態においては、誰か、若し
くは誰かを除いた者同志が結託してFormを偽造しよ
うとしても、秘密鍵は再生できない。
【0105】従って、この第1の実施形態においては、
鍵生成の際に、金銭的に利害関係のあるエンティティの
全員が秘密パラメタを生成し、これら秘密パラメタを個
人携帯デバイス55に書込むことで鍵生成を行うので誰
も個人携帯デバイス55内で生成された秘密鍵を知るこ
とはできない。しかも、万一紛失や破壊により秘密鍵が
使用不可能になった場合には、金銭的に利害関係のある
エンティティの全員が秘密鍵の再生と個人携帯デバイス
の再発行を承認したときのみ秘密鍵が再生できるので、
このような場合であってもユーザ56がそれまでに蓄積
した情報の全てを失うことはなくなる。
【0106】なお、個人携帯デバイス55の紛失により
個人携帯デバイス55を再発行する場合には、元の秘密
鍵を再生した後に、図5のフローチャートの手順に従っ
て、この再生した秘密鍵を失った秘密鍵とは異なる新た
な秘密鍵に替えることができる。
【0107】この場合、ユーザ56は元の部分秘密鍵d
0 を再発行される個人携帯デバイス55に入力し、個人
携帯デバイス発行者51は元の部分秘密鍵d1 と新たな
秘密鍵d1NEWを再発行される個人携帯デバイス55に入
力し、サービス提供者52は元の部分秘密鍵d2 と新た
な秘密鍵d2NEWを再発行される個人携帯デバイス55に
入力する(ステップ700)。
【0108】そして、個人携帯デバイス発行者51によ
り入力された元の部分秘密鍵d1 が再発行される個人携
帯デバイス55内に格納されている再生された部分秘密
鍵d1 と等しいかどうかを検証し(ステップ701)、
また、サービス提供者52により入力された元の部分秘
密鍵d2 が再発行される個人携帯デバイス55内に格納
されている再生された部分秘密鍵d2 と等しいかどうか
を検証する(ステップ702)。これらステップ701
と702のどちらかの検証が失敗した場合には、新たな
秘密鍵の発行を中止する(ステップ707)。
【0109】これらステップ701と702の両方の検
証が成功した場合には、新たな部分秘密鍵d1NEWとd
2NEWを使って新たな部分秘密鍵d0NEWと新たな公開鍵指
数eNE W を生成する(ステップ703)。
【0110】そして個人携帯デバイス55内に蓄積され
ている秘密情報CardInfoを新たな鍵で暗号化し
直してENEW (D0 (D2 (D1 (E(CardInf
o)))))とする(ステップ704)。
【0111】そして新たな部分秘密鍵d0 をユーザ56
に出力する(ステップ705)一方、元の部分秘密鍵d
0 、d1 、d2 を破棄する(ステップ706)。
【0112】以上のようにして生成または再生したRS
A暗号の秘密鍵は、個人携帯デバイス55の所有者のみ
がこの秘密鍵を使用できることを誰にでも納得させるこ
とができ、且つこの秘密鍵の値そのものは個人携帯デバ
イス55の所有者も含めて誰も知ることができないこと
を誰にでも納得させることができる。
【0113】つまり、この第1の実施形態によると、本
人の確認のために相手認証機能を利用でき、ディジタル
著作権情報を購入した本人でさえ不正なコピーをするこ
とができない。しかも、個人携帯デバイスを誤って紛失
したり破壊したりしたときでも、以前に個人携帯デバイ
ス55で使用していたのと同一の秘密鍵を、秘密鍵を個
人携帯デバイスに書込むための特別な装置を用いること
なく再生することが可能である。
【0114】なお、実際の実施においては、個人携帯デ
バイス55は規格化されたICカードやPCカード(P
CMCIA)を用いて容易に実現できる。
【0115】また、受信側で実際に復号したコンテンツ
を利用する方法としては、特願平6−298702や特
願平6−299940に開示される方法が利用可能であ
る。
【0116】(第2の実施形態)次に、本発明の第2の
実施形態について図6と図7を参照して詳細に説明す
る。
【0117】この第2の実施形態では、署名用の秘密鍵
を図6のフローチャートの手順で以下のように生成し、
管理する。
【0118】まず、ユーザ自身が公開鍵暗号の鍵生成を
行い(ステップ811)、生成した秘密鍵はユーザ本人
の責任で厳重に保管する(ステップ812)。
【0119】一方、公開鍵はこのユーザと金銭的な利害
関係にある全てのエンティティから信頼されている証明
書発行センタに送付し、この証明書発行センタに登録す
る(ステップ813)。
【0120】証明書発行センタでは、ユーザから送付さ
れた公開鍵を受け取ると(ステップ814)、ユーザの
公開鍵に対して証明書発行センタの秘密鍵を用いて署名
を行う(ステップ815)。そして、この署名した公開
鍵をユーザの証明書として公開する(ステップ81
6)。
【0121】これにより、ユーザ本人のみが唯一秘密鍵
を用いて署名を行う能力があることを証明できるように
なり、また、この秘密鍵を用いて署名された署名につい
てユーザが他人に責任を擦りつけて自身の責任を逃れる
ことは出来なくなる。
【0122】次に、購入したディジタル情報を不正にコ
ピーされることなく、ユーザがディジタル情報を利用出
来るようにするため、購入したディジタル情報を復号す
るための公開鍵暗号の秘密鍵を図7のフローチャートの
手順で以下のように生成し、管理する。ここで、復号用
の公開鍵暗号は上述の署名用の公開鍵暗号とは別に提供
されるものである。
【0123】まず、ディジタル情報を復号するための公
開鍵暗号の鍵生成をこのディジタル情報の著作権所有者
側で行い(ステップ821)、生成した秘密鍵を個人携
帯デバイス内に厳重に保管して、この復号用の秘密鍵は
個人携帯デバイス内部でのみ使用可能で外部には読み出
せないようにする(ステップ822)。
【0124】そして、この復号用の秘密鍵を格納した個
人携帯デバイスと公開鍵をユーザに送付する(ステップ
823)。
【0125】ユーザ側では、この復号用の秘密鍵を格納
した個人携帯デバイスと公開鍵を受け取ると(ステップ
824)、ユーザは購入したディジタル情報を個人携帯
デバイスの内部で格納されている秘密鍵を用いて復号す
ることが可能となる。
【0126】この図7の手順では、著作権所有者がディ
ジタル情報の復号にだけ使用する公開鍵暗号の秘密鍵を
生成し、個人携帯デバイス内部にこの復号用の秘密鍵を
閉じ込めてしまうので、著作権所有者のみが暗号化され
たディジタル情報をコピーすることが可能であり、従っ
てディジタル著作権情報の不正なコピーを防止すること
が出来る。
【0127】このように署名用と復号用に2種類の異な
る公開鍵暗号を用いることにより、この第2の実施形態
では、ネットワーク上でディジタル情報を商品として取
り扱う場合に、支払い意志を表明したものはユーザのみ
であることが証明でき、且つ、ユーザが情報提供者に無
断でディジタル情報をコピー出来ないことが証明できる
ようになる。
【0128】なお、この第2の実施形態では、復号用の
公開鍵暗号の秘密鍵と署名用の公開鍵暗号の秘密鍵は同
一の個人携帯デバイスに格納しても良いし、別々のデバ
イスに格納しても良い。
【0129】
【発明の効果】以上説明したように、本発明によると、
誰もが知ってはならない公開鍵暗号の秘密鍵をユーザの
みが使用できることを証明可能な個人用の秘密鍵とし
て、特別な秘密鍵書込み専用装置を用いることなく個人
携帯デバイス内で生成することができる。しかも、個人
携帯デバイスを誤って紛失したり破壊したりしても、以
前の個人携帯デバイスと同一の秘密鍵を再生することが
できる。
【0130】この個人携帯デバイスを使用することによ
り、ネットワーク上でディジタル情報を商品として取り
扱う場合に、支払い意志を表明したものはユーザのみで
あることが証明でき、且つ、ユーザが情報提供者に無断
でディジタル情報をコピー出来ないことが証明できるよ
うになる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態におけるシステムの概
略構成を示す図である。
【図2】本発明の第1の実施形態における個人携帯デバ
イスのブロック図である。
【図3】本発明の第1の実施形態における鍵生成の手順
を説明する図である。
【図4】本発明の第1の実施形態における秘密鍵と個人
携帯デバイスの再発行の手順を示すフローチャートであ
る。
【図5】本発明の第1の実施形態における秘密鍵の更新
の手順を示すフローチャートである。
【図6】本発明の第2の実施形態における署名用の秘密
鍵の生成、管理の手順を示すフローチャートである。
【図7】本発明の第2の実施形態における復号用の秘密
鍵の生成、管理の手順を示すフローチャートである。
【符号の説明】
51 個人携帯デバイス発行者 52 サービス提供者 53 ネットワーク 54 ユーザ端末 55 個人携帯デバイス 55A 耐タンパ装置セクション 56 ユーザ 501 公開鍵指数初期値入力部 502 部分秘密鍵初期値入力部 503 補正済み部分秘密鍵出力要求入力部 504 平文・暗号文・署名文入力部 511 鍵生成許可判断部 512 素数生成部 513 公開鍵法生成部 514 公開鍵法格納部 521 公開鍵指数初期値記憶部 522 鍵生成パラメタ生成部 523 鍵生成パラメタ保存部 524 公開鍵指数格納部 531 部分秘密鍵補正部 532 秘密鍵合成部 533 秘密鍵格納部 541 最終部分秘密鍵出力要求チェック部 542 補正済み部分秘密鍵記憶部 551 暗号処理部 561 開封検出部 562 消去指示部 591 公開鍵法出力部 592 公開鍵指数出力部 593 補正済み部分秘密鍵出力部 594 暗号処理結果出力部
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/00 601F

Claims (22)

    【特許請求の範囲】
  1. 【請求項1】 公開鍵暗号の秘密鍵を生成し管理する方
    法であって、(a)秘密鍵を構成する部分秘密鍵であっ
    て、各々は耐タンパ個人携帯デバイスのユーザと利害関
    係のある者により秘密に管理されている部分秘密鍵を、
    該耐タンパ個人携帯デバイスのユーザと利害関係のある
    全ての者から、各々別々に該耐タンパ個人携帯デバイス
    に入力するステップと、(b)ステップ(a)で入力さ
    れた部分秘密鍵から、前記耐タンパ個人携帯デバイス内
    で、秘密鍵を生成するステップと、(c)ステップ
    (b)で生成された秘密鍵を、前記耐タンパ個人携帯デ
    バイス外への秘密鍵の読み出しが不可である該耐タンパ
    個人携帯デバイス内の格納領域に格納するステップと、
    を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  2. 【請求項2】 請求項1記載の方法において、更に、
    (d)ステップ(c)で格納された秘密鍵を、前記耐タ
    ンパ個人携帯デバイス内部のみにおいて復号処理と署名
    処理に利用するステップを有することを特徴とする公開
    鍵暗号の秘密鍵管理方法。
  3. 【請求項3】 請求項1記載の方法において、更に、
    (e)前記耐タンパ個人携帯デバイスの覆いの開封を検
    出するステップと、(f)ステップ(e)で前記耐タン
    パ個人携帯デバイスの覆いの開封が検出された時に、秘
    密鍵を前記格納領域から消去するステップと、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  4. 【請求項4】 請求項3記載の方法において、更に、
    (g)ステップ(e)で前記耐タンパ個人携帯デバイス
    の覆いの開封が検出された時に、該耐タンパ個人携帯デ
    バイス内に実装された構成要素を破壊して該耐タンパ個
    人携帯デバイスを使用不能にするステップを有すること
    を特徴とする公開鍵暗号の秘密鍵管理方法。
  5. 【請求項5】 請求項1記載の方法において、更に、
    (h)前記耐タンパ個人携帯デバイス内の秘密鍵の紛失
    による秘密鍵再生がユーザから要求された時に、前記部
    分秘密鍵を該ユーザと利害関係のある全ての者から、各
    々別々に該耐タンパ個人携帯デバイスに再度入力するス
    テップと、(i)ステップ(h)で入力された部分秘密
    鍵から、前記耐タンパ個人携帯デバイス内で、秘密鍵を
    再度生成するステップと、(j)ステップ(i)で生成
    された秘密鍵を、前記格納領域に再度格納するステップ
    と、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  6. 【請求項6】 請求項1記載の方法において、更に、
    (k)前記耐タンパ個人携帯デバイスの破損による秘密
    鍵再生がユーザから要求された時に、前記部分秘密鍵を
    該ユーザと利害関係のある全ての者から、各々別々に新
    たな耐タンパ個人携帯デバイスに入力するステップと、
    (l)ステップ(k)で入力された部分秘密鍵から、前
    記新たな耐タンパ個人携帯デバイス内で、秘密鍵を生成
    するステップと、(m)ステップ(l)で生成された秘
    密鍵を、前記新たな耐タンパ個人携帯デバイス外への秘
    密鍵の読み出しが不可である該新たな耐タンパ個人携帯
    デバイス内の格納領域に格納するステップと、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  7. 【請求項7】 請求項1記載の方法において、更に、
    (n)新たな秘密鍵を構成する新たな部分秘密鍵であっ
    て、各々は前記耐タンパ個人携帯デバイスのユーザと利
    害関係のある者により秘密に管理されている新たな部分
    秘密鍵を、該耐タンパ個人携帯デバイスのユーザと利害
    関係のある全ての者から、各々別々に該耐タンパ個人携
    帯デバイスに入力するステップと、(o)ステップ
    (n)で入力された新たな部分秘密鍵から、前記耐タン
    パ個人携帯デバイス内で、新たな秘密鍵を生成するステ
    ップと、(p)ステップ(o)で生成された新たな秘密
    鍵を、元の秘密鍵に上書きして前記格納領域に格納する
    ステップと、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  8. 【請求項8】 請求項1記載の方法において、更に、 前記格納領域に格納された秘密鍵により復号すべき暗号
    化情報のバックアップを、秘密鍵再生が必要となる前に
    作成するステップと、 前機暗号化情報を前記バックアップから前記耐タンパ個
    人携帯デバイスへ、秘密鍵が再生された後にリストアす
    るステップと、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  9. 【請求項9】 請求項1記載の方法において、更に、 秘密鍵再生および更新が必要となる前に、前記格納領域
    に格納された元の秘密鍵により復号すべき暗号化情報の
    バックアップを作成するステップと、 秘密鍵が再生された後で秘密鍵が更新される前に、前記
    暗号化情報を前記バックアップから前記耐タンパ個人携
    帯デバイスへリストアするステップと、 秘密鍵が再生された後で秘密鍵が更新される前に、前記
    暗号化情報を再生された秘密鍵を用いて前記耐タンパ個
    人携帯デバイス内で復号するステップと、 秘密鍵が再生され更新された後に、該復号するステップ
    で復号された情報を更新された秘密鍵を用いて前記耐タ
    ンパ個人携帯デバイス内で暗号化するステップと、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  10. 【請求項10】 請求項1記載の方法において、更に、
    (q)二つの素数pおよびqを生成し、(p−1)と
    (q−1)の最小公倍数をLとするステップと、(r)
    pとqの積を公開鍵法nとし、Lより小さく且つLと互
    いに素である正の整数を公開鍵指数eとするステップ
    と、(s)前記耐タンパ個人携帯デバイスのユーザと利
    害関係のある者の総数をkとして、各々別々に該耐タン
    パ個人携帯デバイ各々がLより小さく且つLと互いに素
    である(k−1)個の正の整数を部分秘密鍵d1,d2
    ----,dk-1 とするステップと、(t)前記ステップ
    (b)が x exp(d)≡x exp(d0 ・d1 ・d2 ・----・dk-1 ) (mod n) 但しxはn未満の任意の正の整数、を満たす秘密鍵dを
    生成するように、 e・d0 ・d1 ・d2 ・----・dk-1 ≡1 (mod L) を満たすユーザの部分秘密鍵d0 を生成するステップ
    と、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  11. 【請求項11】 請求項10記載の方法において、更
    に、 ステップ(t)で生成されたユーザの部分秘密鍵d0
    一度だけ前記耐タンパ個人携帯デバイスから出力するス
    テップを有することを特徴とする公開鍵暗号の秘密鍵管
    理方法。
  12. 【請求項12】 請求項1記載の方法において、更に、 前記耐タンパ個人携帯デバイスのユーザと利害関係のあ
    る全ての者に、乱数を配布するステップと、 前記全ての者の部分秘密鍵を用いて、前記乱数に順次署
    名するステップと、 前記耐タンパ個人携帯デバイスのユーザと利害関係のあ
    る者各々が、順次署名された乱数を公開鍵を用いて検証
    し、該順次署名された乱数が無事検証された時に、秘密
    鍵が不正なく生成されたことを各々において確信するス
    テップと、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  13. 【請求項13】 請求項1記載の方法において、更に、 前記耐タンパ個人携帯デバイスのユーザと利害関係のあ
    る全ての者に、秘密鍵再生要求を配布するステップと、 前記全ての者の部分秘密鍵を用いて、前記秘密鍵再生要
    求に順次署名するステップと、 前記耐タンパ個人携帯デバイスのユーザと利害関係のあ
    る者各々が、順次署名された秘密鍵再生要求を公開鍵を
    用いて検証し、該順次署名された秘密鍵再生要求が無事
    検証された時に、秘密鍵再生許可を各々において発行す
    るステップと、 を有することを特徴とする公開鍵暗号の秘密鍵管理方
    法。
  14. 【請求項14】 公開鍵暗号の秘密鍵を生成し管理する
    耐タンパ個人携帯デバイスであって、 秘密鍵を構成する部分秘密鍵であって、各々は該耐タン
    パ個人携帯デバイスのユーザと利害関係のある者により
    秘密に管理されている部分秘密鍵を、該耐タンパ個人携
    帯デバイスのユーザと利害関係のある全ての者から、各
    々別々に該耐タンパ個人携帯デバイスに入力する第1の
    手段と、 第1の手段により入力された部分秘密鍵から、該耐タン
    パ個人携帯デバイス内で、秘密鍵を生成する第2の手段
    と、 第2の手段により生成された秘密鍵を、該耐タンパ個人
    携帯デバイス外への秘密鍵の読み出しが不可である該耐
    タンパ個人携帯デバイス内の格納領域に格納する第3の
    手段と、 を有することを特徴とする耐タンパ個人携帯デバイス。
  15. 【請求項15】 請求項14記載のデバイスにおいて、
    更に、 該耐タンパ個人携帯デバイス内部のみにおいて前記格納
    領域に格納された秘密鍵を用いて復号処理と署名処理を
    行うプロセッサを有することを特徴とする耐タンパ個人
    携帯デバイス。
  16. 【請求項16】 請求項14記載のデバイスにおいて、
    更に、 該耐タンパ個人携帯デバイスの覆いの開封を検出する開
    封検出手段と、 前記開封検出手段により該耐タンパ個人携帯デバイスの
    覆いの開封が検出された時に、秘密鍵を前記格納領域か
    ら消去する手段と、 を有することを特徴とする耐タンパ個人携帯デバイス。
  17. 【請求項17】 請求項16記載のデバイスにおいて、
    更に、 前記開封検出手段により該耐タンパ個人携帯デバイスの
    覆いの開封が検出された時に、該耐タンパ個人携帯デバ
    イス内に実装された構成要素を破壊して該耐タンパ個人
    携帯デバイスを使用不能にする手段を有することを特徴
    とする耐タンパ個人携帯デバイス。
  18. 【請求項18】 請求項14記載のデバイスにおいて、
    該耐タンパ個人携帯デバイス内の秘密鍵の紛失による秘
    密鍵再生がユーザから要求された時に、前記第1の手段
    は、前記部分秘密鍵を該ユーザと利害関係のある全ての
    者から、各々別々に該耐タンパ個人携帯デバイスに再度
    入力し、前記第2の手段は、前記第1の手段により入力
    された部分秘密鍵から、該耐タンパ個人携帯デバイス内
    で、秘密鍵を再度生成し、前記第3の手段は、前記第2
    の手段により生成された秘密鍵を、前記格納領域に再度
    格納することを特徴とする耐タンパ個人携帯デバイス。
  19. 【請求項19】 請求項14記載のデバイスにおいて、
    前記第1の手段は、新たな秘密鍵を構成する新たな部分
    秘密鍵であって、各々は該耐タンパ個人携帯デバイスの
    ユーザと利害関係のある者により秘密に管理されている
    新たな部分秘密鍵を、該耐タンパ個人携帯デバイスのユ
    ーザと利害関係のある全ての者から、各々別々に該耐タ
    ンパ個人携帯デバイスに入力し、前記第2の手段は前記
    第1の手段により入力された新たな部分秘密鍵から、該
    耐タンパ個人携帯デバイス内で、新たな秘密鍵を生成
    し、前記第3の手段は、前記第2の手段により生成され
    た新たな秘密鍵を、元の秘密鍵に上書きして前記格納領
    域に格納することを特徴とする耐タンパ個人携帯デバイ
    ス。
  20. 【請求項20】 請求項14記載のデバイスにおいて、
    更に、 二つの素数pおよびqを生成し、(p−1)と(q−
    1)の最小公倍数をLとする手段と、 pとqの積を公開鍵法nとし、Lより小さく且つLと互
    いに素である正の整数を公開鍵指数eとする手段と、 該耐タンパ個人携帯デバイスのユーザと利害関係のある
    者の総数をkとして、各々別々に該耐タンパ個人携帯デ
    バイ各々がLより小さく且つLと互いに素である(k−
    1)個の正の整数を部分秘密鍵d1 ,d2 ,----,d
    k-1 とする手段と、 前記第2の手段が x exp(d)≡x exp(d0 ・d1 ・d2 ・----・dk-1 (mod n) 但しxはn未満の任意の正の整数、を満たす秘密鍵dを
    生成するように、 e・d0 ・d1 ・d2 ・----・dk-1 ≡1 (mod L) を満たすユーザの部分秘密鍵d0 を生成する手段と、 を有することを特徴とする耐タンパ個人携帯デバイス。
  21. 【請求項21】 請求項20記載のデバイスにおいて、
    更に、前記ユーザの部分秘密鍵d0 を一度だけ該耐タン
    パ個人携帯デバイスから出力する手段を有することを特
    徴とする耐タンパ個人携帯デバイス。
  22. 【請求項22】 公開鍵暗号を用いたディジタルデータ
    の取扱い方法であって、(a)ユーザ側で、署名用の第
    1の公開鍵暗号の公開鍵と秘密鍵を生成するステップ
    と、(b)第1の公開鍵暗号の公開鍵を証明書発行セン
    タに登録するステップと、(c)証明書発行センタの秘
    密鍵を使って第1の公開鍵暗号の公開鍵に署名し、署名
    された公開鍵をユーザの証明書として公開するステップ
    と、(d)著作権所有者側で、ディジタルデータ復号用
    の第2の公開鍵暗号の公開鍵と秘密鍵を生成し、第2の
    公開鍵暗号の秘密鍵を耐タンパ個人携帯デバイス外への
    秘密鍵の読み出しが不可である該耐タンパ個人携帯デバ
    イス内の格納領域に格納するステップと、(e)前記耐
    タンパ個人携帯デバイスと第2の公開鍵暗号の公開鍵を
    ユーザ側に提供して、ユーザ側で第2の公開鍵暗号の秘
    密鍵を用いた復号処理と第1の公開鍵暗号の秘密鍵を用
    いた署名処理を前記耐タンパ個人携帯デバイス内部で行
    うことにより、著作権所有者側の提供するディジタルデ
    ータが利用可能となるようにするステップと、 を有することを特徴とするディジタルデータの取扱い方
    法。
JP8161968A 1996-06-21 1996-06-21 公開鍵暗号の秘密鍵管理方法および装置 Pending JPH1013402A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP8161968A JPH1013402A (ja) 1996-06-21 1996-06-21 公開鍵暗号の秘密鍵管理方法および装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP8161968A JPH1013402A (ja) 1996-06-21 1996-06-21 公開鍵暗号の秘密鍵管理方法および装置

Publications (1)

Publication Number Publication Date
JPH1013402A true JPH1013402A (ja) 1998-01-16

Family

ID=15745511

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8161968A Pending JPH1013402A (ja) 1996-06-21 1996-06-21 公開鍵暗号の秘密鍵管理方法および装置

Country Status (1)

Country Link
JP (1) JPH1013402A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002517024A (ja) * 1998-05-22 2002-06-11 サートコ インコーポレイテッド ロバスト性を有しかつ効率的な分散型rsa鍵生成
JP2002544415A (ja) * 1999-05-06 2002-12-24 アッサ アブロイ アーベー 鍵及び錠装置
JP2006121689A (ja) * 2004-10-15 2006-05-11 Samsung Electronics Co Ltd Drmシステムにおけるシステムキーを共有及び生成する方法、並びにその装置
JP2021516905A (ja) * 2018-04-27 2021-07-08 リドセック デジタル テクノロジー カンパニー,リミティド 鍵管理の方法およびシステム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002517024A (ja) * 1998-05-22 2002-06-11 サートコ インコーポレイテッド ロバスト性を有しかつ効率的な分散型rsa鍵生成
JP2002544415A (ja) * 1999-05-06 2002-12-24 アッサ アブロイ アーベー 鍵及び錠装置
JP2006121689A (ja) * 2004-10-15 2006-05-11 Samsung Electronics Co Ltd Drmシステムにおけるシステムキーを共有及び生成する方法、並びにその装置
JP2021516905A (ja) * 2018-04-27 2021-07-08 リドセック デジタル テクノロジー カンパニー,リミティド 鍵管理の方法およびシステム

Similar Documents

Publication Publication Date Title
EP1253743B1 (en) Method and system for generation and management of secret key of public key cryptosystem
US10673632B2 (en) Method for managing a trusted identity
JP4638990B2 (ja) 暗号鍵情報の安全な配布と保護
JP4463979B2 (ja) 暗号方式でカムフラージュされた暗号方式キーをストアし証明し使用する装置および方法
US7421079B2 (en) Method and apparatus for secure key replacement
US8559639B2 (en) Method and apparatus for secure cryptographic key generation, certification and use
US7228419B2 (en) Information recording medium, information processing apparatus and method, program recording medium, and information processing system
US20060195402A1 (en) Secure data transmission using undiscoverable or black data
RU2584500C2 (ru) Криптографический способ аутентификации и идентификации с шифрованием в реальном времени
JP2005537559A (ja) トランザクションの安全な記録
JP2005328574A (ja) キー寄託機能付き暗号システムおよび方法
JP2000357156A (ja) 認証シード配布のためのシステムおよび方法
JP2004023796A (ja) 選択的に開示可能なデジタル証明書
US20030076957A1 (en) Method, system and computer program product for integrity-protected storage in a personal communication device
JPH11316543A (ja) カ―ドデ―タ認証システム
CN114357385A (zh) 一种软件防护和授权方法、系统及装置
JPH09261217A (ja) 通信装置及びその方法
JPH1013402A (ja) 公開鍵暗号の秘密鍵管理方法および装置
JP2002132145A (ja) 認証方法、認証システム、記録媒体及び情報処理装置
JP4270589B2 (ja) 電子度数による支払方法および装置
JPH11110464A (ja) 電子証券の発行、移転、証明、消去のための処理システム及びその処理方法
JPH096233A (ja) 鍵発行方法および装置
JP2001356833A (ja) ソフトウェアの不正使用防止システム
HK1255142B (en) Method for managing a trusted identity