WO1999038078A1

WO1999038078A1 - Dispositif de stockage, dispositif de cryptage/decryptage et procede permettant d'acceder a une memoire remanente

Info

Publication number: WO1999038078A1
Application number: PCT/JP1999/000170
Authority: WO
Inventors: Yasuhiro Nakamura; Seiji Hiraka; Kazunori Asada; Satoshi Era
Original assignee: Tokyo Electron Ltd; B U G Inc
Current assignee: Tokyo Electron Ltd; B U G Inc
Priority date: 1998-01-21
Filing date: 1999-01-20
Publication date: 1999-07-29
Anticipated expiration: 2000-07-21
Also published as: KR100397316B1; US6457126B1; KR20010034283A; EP1056015A4; EP1056015A1

Description

明細書記憶装置、暗号化 · 復号化装置、及び不揮発性メモリのアクセス方法この特許出願は、平成 1 0年 1月 2 1 日に日本国特許庁に出願された特願平 1 0— 9 3 0 3のパリ条約に基づく優先権を主張する出願であり、この日本国特許出願の内容は参照のため、この明細書に取り込むものとする。技術分野

この発明は、コンピュー夕等の外部記憶装置等として使用される記憶装置に関し、特に、データを暗号化した状態で保存する記憶装置に関する。背景技術

コンピュータ技術の発展に伴い、機密情報の保護の必要性が増大している。このため、データを暗号化して記憶したり、送信したりする暗号化技術の重要性が高まっており、例えば、記憶装置に暗号鍵を格納しておき、データをこの暗号鍵を用いて暗号化してメモリに格納し、メモリから読み出されたデータをこの暗号鍵を用いて復号化すること等が行われている。

しかし、暗号鍵を全ての記憶装置に共通にすると、 1つの記憶装置の喑号鍵が知られると、大量生産されている他の記憶装置の喑号鍵も知られることになり、記憶デ一夕が解読されるおそれがある。

記憶装置に個別に暗号鍵を設定することも可能であるが、製造工程が増加し、記憶装置の製造コストが上昇してしまう。また、コンピュータで全てのデータを暗号化してメモリカ一ドに格納し、メモリ力一ドから読み出したデータをコンピュータで復号化する技術も知られている。しかし、この方法では、コンピュータと記憶装置間の通信をモニタすることにより、暗号鍵が知られてしまうおそれがある。この発明は上記実状に鑑みてなされたもので、データを暗号化及ぴ復号化する機能を備え、且つ、暗号鍵等の機密情報の漏洩の虞の少ない記憶装置を提供することを目的とする。

また、この発明は、たとえ、一部の記憶装置の暗号鍵等が漏洩しても、他の記憶装置の暗号鍵が漏洩することのない記憶装置を提供することを他の目的とする。発明の開示

上記目的を達成するため、この発明の第 1の観点にかかる記憶装置は、データを記憶するための書換可能な不揮発性メモリ（ 1 1 ) と、前記不揮発性メモリをアクセスするための制御手段（ 1 2 ) とより構成され、データを記憶するための記憶装置であって、

前記不揮発性メモリに第 1の暗号鍵が格納され、前記制御手段内に第 2の喑号鍵が格納され、前記第 1の喑号鍵は、前記第 2の喑号鍵により暗号化されており、

前記制御手段は、前記第 2の暗号鍵を用いて前記第 1の喑号鍵を復号化する鍵復号手段（ 1 2 ) と、前記鍵復号手段により復号化された第 1 の暗号鍵を用いてデータを暗号化して前記不揮発性メモリに書き込む書込手段（ 1 2 ) と、前記不揮発性メモリからデータを読み出して、前記鍵復号手段により復号化された前記第 1の暗号鍵を用いて読み出したデ一タを復号化する読出手段（ 1 2 ) とを備える、

ことを特徴とする。この記憶装置によれば、第 1 と第 2の暗号键を使用し、これらを分散して格納し、さらに、第 1の暗号鍵を第 2の暗号鍵で暗号化しているので、暗号鍵が 1つの場合よりも、暗号鍵が漏洩する危険が少なく、データが盗用されにくレ、。

特に、第 1の暗号鍵を書き換え可能な不揮発性メモリに格納しているので、第 1 の暗号鍵を装置毎、或いは、一定台数毎に変更することができる。従って、第 2の暗号鍵が漏洩しても、全ての記録装置のデータを解読することは困難である。

また、不揮発性メモリは、データを格納するために用意されているものであり、第 1 の暗号鍵を格納しても、コスト等が上昇することがない。前記第 2の喑号鍵は複数の前記記憶装置に共通であり、前記第 1 の暗号鍵は、同一の第 2の暗号鍵を記憶している前記記憶装置の一部のみに共通或いはそれぞれに固有の暗号鍵である。この構成により、装置毎に異なる暗号鍵を使用できる。

例えば、前記不揮発性メモリはフラッシュメモリ（ 1 1 ) から構成され、前記制御手段は前記第 2の暗号鍵を記憶したマスク； R O M (読み出し専用メモリ）（ 1 5 ) から構成される。マスク R O Mなどは大量生産に適しており、第 2の喑号鍵を含む情報を安価に製造することができる。一方、フラッシュメモリは、書き換え可能であり、第 1の喑号鍵を装置毎又は所定台数毎に変更して、任意のタイミングで記録することができる。

パスワードを取り込み、正しいパスワードが入力された場合のみ、前記暗号化された第 1の暗号鍵を復号化するようにしてもょレ、。この場合、例えば、前記第 1の暗号鍵は、前記第 2の暗号鍵とパスワードを基に生成された第 3の暗号鍵により暗号化されて前記不揮発性メモリに格納され、前記鍵復号手段は、パスワードを入力する手段と、入力されたパスワードから第 3の暗号鍵を生成する手段と、前記第 2の暗号鍵と生成された第 3の暗号鍵とを用いて前記暗号化されている第 1の暗号鍵を復号化する手段を備える。

前記鍵復号手段は、例えば、復号プログラムと該復号プログラムを実行する手段（ 1 6 ) とより構成され、前記復号プログラムは前記不揮発性メモリに格納される。このような構成とすれば、パスワードに応じた復号プログラムを適宜不揮発性メモリに記録することができる。

前記鍵復号手段と前記書込手段と前記読出手段は、復号化された第 1 の暗号鍵を記憶し、外部からのアクセスに対して保護された揮発性メモリ（ 1 3 ) を含む。復号化された第 1の暗号鍵は R A M (ランダムァクセスメモリ）などに格納され、使用される。この R A Mの内容が外部から読み出せると、不揮発性メモリに格納されたデータが解読されてしまう。このため、揮発性メモリは、外部からのアクセスに対してプロテクトされていることが望ましい。

前記不揮発性メモリは、例えば、フラッシュメモリ（ 1 1 ) である。前記制御手段は、前記第 1の暗号鍵を生成し、生成した第 1の暗号鍵を前記第 2の暗号鍵を用いて暗号化して前記不揮発性メモリに記録する鍵生成手段（ 1 6 ) を備えるものであってもよい。この構成によれば、記憶装置自体が第 1の暗号鍵を生成し、データの暗号化 ·復号化に使用することができる。

前記鍵生成手段は、入力されたパスヮードに基づいて前記第 1の喑号鍵を生成するように構成してもよい。このような構成とすることにより、第 1の暗号鍵の特定が一層困難となる。

前記第 2の暗号鍵は、例えば、複数の記憶装置に共通の暗号鍵であつてもよい。このような構成とすれば、制御手段を、複数の装置に共通な暗号鍵が格納されたマスク R〇M等を備えるものとするなどして、コストを低減できる。

また、この発明の第 2の観点にかかる記憶装置は、

第 1の暗号鍵とデータを記憶するための書換可能な不揮発性メモリ ( 1 1 ) と、

第 2の喑号键を記憶し、前記不揮発性メモリをアクセスするための制御手段（ 1 2 ) と、

より構成され、データを記憶する記憶装置であって、

前記制御手段は、前記第 1 と第 2の暗号鍵を用いてデータを暗号化して前記不揮発性メモリに書き込む書込手段（ 1 6 ) と、前記不揮発性メモリからデータを読みだして前記第 1 と第 2の暗号鍵を用いて復号化して出力する読出手段（ 1 6 ) とを備える、

ことを特徴とする。

このような構成によれば、不揮発性メモリに格納されているデータは複数の暗号鍵を用いて暗号化されている。従って、両方の暗号鍵を知らなければ、不揮発性メモリに記録されているデータを復号できず、単一の喑号鍵を使用する場合よりも、機密性の高いデータを安全に記憶することができる。

また、 2つの暗号鍵が、記憶装置内の異なった位置に分散して格納されているので、暗号鍵の特定が困難である。

例えば、前記第 2の暗号鍵は、複数の記憶装置に共通の暗号鍵であり、前記制御手段に配置された読出専用メモリ（ 1 5 ) に格納される。また、前記第 1の喑号鍵は、前記第 2の喑号鍵を共通とする複数の記憶装置の —部のみに共通又は固有の暗号鍵である。

第 1の暗号鍵を書き換え可能な不揮発性メモリに格納することにより、例えば、記憶装置毎に容易に第 1の暗号鍵を変更することができる。また、複数の記憶装置に共通の第 2の暗号鍵を読出専用メモリに格納することにより、第 2の暗号鍵を記憶するメモリを大量生産する事が可能となる。

例えば、前記不揮発性メモリは、フラッシュメモリ（ 1 1 ) であり、前記読出専用メモリはマスク ROM (読み出し専用メモリ）（ 1 5) である。

また、この発明の第 3の観点にかかる記憶装置は、

暗号化された暗号鍵を記憶する暗号鍵記憶手段（ 1 1 ) と、前記暗号鍵を用いて暗号化されたデータを記憶するための書換可能な不揮発性メモリ（ 1 1 ) と、

前記暗号鍵を復号する復号手段（ 1 6) と、前記復号手段により復号された暗号鍵を記憶する揮発性メモリ（ 1 3) と、前記揮発性メモリに記憶された暗号鍵を用いて外部より供給されるデータを暗号化して前記不揮発性メモリに書き込む書込手段（ 1 6) と、前記不揮発性メモリからデータを読み出し、読み出したデータを前記揮発性メモリに記憶されている暗号鍵を用いて復号化して出力する読出手段（ 1 6) とを備える制御手段（ 1 2) と、前記揮発性メモリへの外部からのアクセスを禁止する禁止手段（ 1 6， 2 2， I DB， 2 5) と、を備え、

復号化された暗号鍵への外部からのアクセスが防止されていることを特徴とする。

暗号鍵は、暗号化されているが、使用時には復号化され、揮発性メモリに格納される。従って、この揮発性メモリをアクセスして、データを読み出せば暗号鍵が知られてしまう。この発明では、禁止手段により、揮発性メモリへの外部からのアクセスを禁止しているので、このような事態を防止できる。

前記禁止手段は、例えば、前記制御手段を封止する封止手段（2 5) と、前記封止手段に封止され、前記揮発性メモリと前記復号手段との間でデータを伝送する内部バス（ I D B) と、を含む。この構成によれば、揮発性メモリが封止されているので、この揮発性メモリを外部から直接アクセスすることができない。また、復号手段と揮発性メモリ間のバスも封止されているので、バス上のデータをプローブして、暗号鍵を判別することも困難である。

前記暗号鍵記憶手段と前記復号手段との間で暗号化された暗号鍵を伝送し、及び、前記書込手段及び前記読出手段と前記不揮発性メモリとの間で暗号化されているデータを伝送するデータバス（DB) と、前記内部パスとを別体に構成し、前記復号化された暗号鍵は前記データパス上には出力されないように構成することが望ましい。この構成により、外部に引き出されているバスをプローブして、暗号鍵をモニタする事態を防止できる。

前記禁止手段は、この記憶装置が開封されたことを検出する開封検出手段（2 2) と、前記開封検出手段が開封を検出した際に、前記不揮発性メモリの内容を消去する手段（ 1 6) を含んでもよい。

この構成によれば、不揮発性メモリや揮発性メモリへの不正なァクセスを禁止できる。

また、この発明の第 4の観点にかかる記憶装置は、

不揮発性メモリと、

第 1の暗号鍵を生成する鍵生成手段（ 1 6) と、

第 2の暗号鍵を記憶する鍵記憶手段（ 1 5) と、

前記鍵生成手段により生成された前記第 1の暗号鍵と前記鍵記憶手段に記憶されている前記第 2の暗号鍵とを用いてデータを暗号化して前記不揮発性メモリに書き込む書込手段（ 1 6) と、前記不揮発性メモリからデータを読出して前記第 1 と第 2の暗号鍵を用いて復号化して出力する読出手段（ 1 6) とを備える、ことを特徴とする。

この構成によれば、記憶装置自体が第 1の暗号鍵を生成することができる。この暗号鍵を、例えば、使用者のパスワード等に基づいて生成するようにすれば、暗号鍵が装置毎に異なることになり、暗号の解読は非常に困難となり、システムの信頼度を高めることができる。

前記鍵生成手段は、生成した第 1の暗号鍵を、前記不揮発性メモリに格納し、前記書込手段及び読出手段は、前記不揮発性メモリに格納された第 1の暗号鍵を暗号化 *復号化に使用してもよい。この構成によれば、例えば、フォーマット時等に、第 1の暗号鍵を生成して不揮発性メモリに格納しておき、以後は、この鍵を使用するので、処理を高速化することができる。

入力されたパスヮードに基づいて前記第 1の暗号鍵を生成するように構成してもよい。このような構成とすることにより、第 1の暗号鍵の特定が一層困難となる。

前記第 2の暗号鍵は、例えば、複数の記憶装置に共通の暗号鍵であり、マスク R O M等の読出専用メモリからなる鍵記憶手段に格納される。このような構成とすれば、複数の装置に共通な暗号鍵をマスク R O M等で製造でき、コストを低減できる。

また、この発明の第 5の観点にかかる記憶装置は、

第 1の暗号鍵を記憶する第 1の暗号鍵記憶手段（ 1 1 ) と、

第 2の暗号鍵を記憶する第 2の暗号鍵記憶手段（ 1 5 ) と、

第 3の暗号鍵を記憶する第 3の暗号鍵記憶手段（ 1 5 ) と、

前記第 1乃至第 3の暗号鍵記憶手段に記憶された前記第 1乃至第 3の暗号鍵を用いてデータを暗号化して不揮発性メモリに書き込む書込手段 ( 1 6 ) と、前記不揮発性メモリからデータを読出して前記第 1乃至第 3の暗号鍵を用いて復号化して出力する読出手段（ 1 6 ) とを備え、前記第 1乃至第 3の暗号鍵は、装置内において分散して配置されていることを特徴とする。

この発明によれば、 3以上の暗号鍵を使用し、かつ、これらを分散して格納することにより、暗号の解読を非常に困難にすることができる。また、この発明の第 6の観点にかかる暗号化 ·復号化装置は、第 1の暗号鍵が格納された書換可能な不揮発性メモリ（ 1 1 ) と、第 2の暗号鍵が格納された読み出し専用メモリ（ 1 5 ) と、

データを前記第 1 と第 2の暗号鍵を用いて暗号化して出力する暗号化手段（ 1 6 ) と、暗号化されたデータを前記第 1 と第 2の暗号鍵を用いて復号化して出力する復号化手段（ 1 6 ) とを備える、

ことを特徴とする。

この構成によれば、 2つの暗号鍵を用いてデータを暗号化 ·復号化することができる。しかも、読み出し専用メモリに、複数の装置に共通の第 2の暗号鍵を配置し、不揮発性メモリに個別暗号鍵を格納することができる。

また、この癸明の第 7の観点に係る不揮発性メモリのアクセス方法は、複数の装置に共通の共通暗号鍵を読出専用メモリに記憶させ、ュニークな個別暗号鍵を前記共通暗号鍵で暗号化して書換可能な不揮発性メモリに記憶させておき、

前記不揮発性メモリにデータを書き込む際は、前記共通暗号鍵を用いて前記個別喑号鍵を復号化し、復号化した前記個別暗号鍵を用いてデ一タを喑号化して前記不揮発性メモリに書き込み、

前記不揮発性メモリからデータを読み出す際は、前記共通暗号鍵を用いて前記個別喑号鍵を復号化し、前記不揮発性メモリから読み出したデ —タを復号化した個別暗号鍵を用いて復号化して出力する、

ことを特徴とする。このアクセス方法によっても、喑号鍵が 1 つの場合よりも、暗号鍵が漏洩する危険が少なく、データが盗用されにくい。また、コストの上昇も少ない。

所定のパスヮードが入力された時にのみ、前記個別暗号鍵を復号化するようにしても良い。この場合、前記個別暗号鍵は、前記共通暗号鍵とパスヮ一ドを基に生成された第 3の暗号鍵により暗号化されて前記不揮発性メモリに記憶されており、パスワードを入力し、入力されたパスヮ一ドから前記第 3の暗号鍵を生成し、前記共通暗号鍵と生成された第 3 の暗号鍵とを用いて前記個別暗号鍵を復号化する。

また、前記共通暗号鍵及ぴ復号化された個別暗号鍵は、例えば、外部からのアクセスに対し、プロテクトされてもよい。このような構成とすることにより、信頼性をより高めることができる。図面の簡単な説明

図 1は、この発明の第 1〜第 3の実施の形態にかかる記憶装置、コンピュ一タ、及び、テスト装置の基本構成を示すブロック図である。

図 2は、フラッシュメモリと第 2の R O Mの内部構成を示す図である。図 3は、フラッシュメモリへのデータの書き込み動作を説明するためのフローチヤ一トである。

図 4は、フラッシュメモリからのデータの読み出し動作を説明するためフローチャートである。

図 5は、テスト動作を説明するためのフローチャートである。

図 6は、機密情報を記憶した領域へのアクセスを禁止する構成の一例を説明するためのブロック図である。

図 7は、テストモードで、 S R A Mの内容をリセットする構成の一例を示す図である。図 8は、この発明の第 4の実施の形態にかかる記憶装置のブラッシュメモリの構成を示す図である。

図 9は、第 2の実施の形態におけるデータ鍵復号動作を説明するためのフローチヤ一トである。

図 1 0は、この発明の第 4〜第 7の実施の形態にかかる記憶装置の構成を示すブロック図である。

図 1 1は、図 1 0に示す E E P R O Mの構成を示す図である。

図 1 2は、第 6の実施の形態にかかる記憶装置の暗号鍵生成処理を説明するためのフローチャートである。

図 1 3は、第 7の実施の形態にかかる記憶装置の暗号鍵生成 ·記録処理を説明するためのフローチャートである。

図 1 4は、この発明の第 8の実施の形態にかかる記憶装置の構造を示すブロック図である。発明を実施するための最良の形態

以下、この発明の実施の形態にかかる記憶装置を、フラッシュメモリ装置を例に説明する。

図 1は、この発明の第 1の実施の形態にかかる記憶装置の構成を示す。図示するように、記憶装置 1 0は、フラッシュメモリ 1 1 と、フラッシュメモリ 1 1をアクセスするための L S I 1 2 とより構成されている。フラッシュメモリ 1 1は、通常知られているように、ブロック消去型の記憶素子である。すなわち、フラッシュメモリ 1 1は、複数のメモリセルから構成された複数のブロックを備え、予め消去されたブロックにデータの書き込みが可能なメモリである。

フラッシュメモリ 1 1が有する記憶領域には、図 2 ( A ) に示すように、エリア T 1が含まれる。エリア T 1には、データを暗号化及び復号化するための暗号鍵であるデータ鍵 k 1力 S、予め記録されている。データ鍵 k 1は、十分大きなビット数の素数等から構成され、後述するシステム鍵 k 2により暗号化されている。

また、ファイルの位置を示すファイルアロケーションテーブル（FA T) 、ディレクトリ情報、消去済みのブロックを示す空きブロックテーブル等もフラッシュメモリ 1 丄に格納されている。

また、データ鍵 k 1により暗号化されたデータもフラッシュメモリ 1 1に格納されている。

L S I 1 2は、コンピュータ 20の制御に従って、フラッシュメモリ 1 1をアクセスするために種々の制御動作を行う。 L S I 1 2は、 S R AMI 3と、第 1 と第 2の ROM1 4、 1 5 と、コントローラ 1 6と、より構成される。

S RAM (スタティックランダムアクセスメモリ） 1 3は、揮発性の高速メモリであり、コントローラ 1 6のワークエリアとして機能する。第 1の R〇M (リードオンリメモリ） 1 4は、マスク R OM等からなる読出専用メモリであり、コントローラ 1 6の動作プログラムを記憶する。

第 2の ROM1 5は、マスク ROM等からなる読出専用メモリである。第 2の ROM 1 5が有する記憶領域には、図 2 (B) に示すように、システム鍵エリア T 2、復号プログラム記憶エリア Τ 3、期待値エリア Τ 4及びハツシュ関数ェリア Τ 5が含まれる。

システム鍵ェリア Τ 2は、全ての記憶装置 1 0に共通に設定された暗号鍵であるシステム鍵 k 2を記憶する。復号プログラム記憶ェリア T 3 は、データ鍵 k 1を復号化するための復号プログラムを記憶する。期待値エリア T 4は、後述する期待値 Dを記憶する。ハッシュ関数エリア T 5は、ハッシュ関数を記憶する。フラッシュメモリ 1 1、 S RAM 1 3、及び第 1及び第 2の ROM 1 4、 1 5には、互いに異なった物理ァドレスが割り当てられている。また、第 2の ROM1 5の、システム鍵ェリア T 2の先頭ァドレスは A 1である。復号プログラムェリア T 3の先頭ァドレスは A 2である。期待値エリア T 4の先頭アドレスは A 3である。ハッシュ関数エリア T 5はの先頭ァドレスは A4である。

コントローラ 1 6は、 C PU (中央処理装置）、 D S P (ディジタルシグナルプロセッサ）等とその周辺回路から構成されている。コント口 —ラ 1 6は、第 1の: OM1 4のプログラムエリァに格納されたプログラムに従って動作する。具体的には、コントローラ 1 6は、（ 1 ) フラッシュメモリ 1 1へのデータの書き込み動作、（2) フラッシュメモリ 1 1からのデータの読み出し動作、（ 3 ) 記憶装置 1 0内のメモリをテストするテスト動作を行う。

コントローラ 1 6は、機能的には、 I ZOバッファ（インタフェース回路） 1 6 1 と、インタフェース回路 1 6 1に接続された制御部 1 6 2 と、アドレスカウンタ 1 6 3と、より構成される。

インタフェース回路 1 6 1は、外部のコンピュータ 2 0及びテスト装置 3 0等にバス（データバス及びコントロールバス） 2 1を介して接続されている。

アドレスカウンタ 1 6 3は、アドレスバスを介してフラッシュメモリ 1 1、 S RAM1 3、第 1及ぴ第 2の： OM 1 4、 1 5のアドレス端子 Addに接続されている。

また、制御部 1 6 2の制御端子は、制御バスを介してフラッシュメモリ 1 1、 S RAM 1 3、第 1及び第 2の ROM1 4、 1 5の制御端子 Co ntに接続されている。

制御部 1 6 2の第 1のデータ入出力端子は、データパス D Bを介してフラッシュメモリ 1 1 と第 1の ROM l 4のデータ端子 Dataに接続されている。制御部 1 6 2の第 2のデータ入出力端子は、内部データバス I DBを介して S RAM 1 3と第 2の ROM1 5のデータ端子 Dataに接続されている。

S RAMI 3、第 1及び第 2の ROM l 4、 1 5、コントローラ 1 6、及ぴ内部データバス I D Bは、樹脂等により一体にモールドされている。このため、 S RAMI 3及び第 2の ROM1 5の記憶データが L S I 1 2の外部に出力されることはない。即ち、 S R AM 1 3及び第 2の R O M l 5の記憶データは、外部からのアクセスに対してプロテクトされている。

この記憶装置 1 0は、コンピュータ 20にケーブルにより接続され又はプラグイン接続される。

接続後の記憶装置 1 0とコンピュータ 20 (又はテスト装置 3 0) の動作を説明する。

(0) 相互認証時

この記憶装置 1 0を使用する場合、先ず、コンピュータ 2 0と記憶装置 1 0の間で相互認証を行う。

この相互認証時、コンピュータ 20は、例えば、図示せぬ表示画面に「パスワードを入力してください」等のメッセージを表示する。このメッセージに応答して、使用者がパスワードを入力する。

コンピュータ 20のドライバとコントローラ 1 6の制御部 1 6 2は、このパスワードに基づいて、相互に認証し合う。そして、相互認証に成功すると、記憶装置 1 0の使用を許可する。一方、相互認証に失敗すると、制御部 1 6 2は、以後のアクセスを禁止する。

( 1 ) 書き込み動作

記憶装置 1 0にデータを書き込む場合、コンピュータ 20は、バス 2 1を介して記憶装置 1 0に書込コマンドを出力する。この書き込みコマンドは I /Oバッファ 1 6 1にセットされる。制御部 1 6 2は、このコマンドを解読し、データの書き込みコマンドであることを判別すると、図 3に示す処理を開始する。

まず、制御部 1 6 2は、 I /Oバッファ 1 6 1を介して、バス 2 1上に書き込みデータの送信を要求するコマンドを出力する（ステップ S

1)

この要求に応答して、コンピュータ 2 0は、書き込みデータの総量と、先頭の論理アドレスを送信する。続いて、コンピュータ 2 0は書き込みデータを順次送信する。

制御部 1 6 2は、コンピュータ 20から送信されて来たデータ総量と先頭論理ァドレスを I ZOバッファ 1 6 1を介して取り込む（ステップ S 2 ) 。

制御部 1 6 2は、フラッシュメモリ 1 1のエリア T 1から暗号化されたデータ鍵 k 1を S RAM 1 3上に読み出す。さらに、復号プログラムエリア T 3に格納されている復号プログラムを実行し、システム鍵 k 2 を用いて、データ鍵 k 1を S RAM 1 3上で復号化し、平文のデータ鍵 k 1を生成する。そして、生成したデータ鍵 k 1を S RAM 1 3に記憶させる（ステップ S 3) 。

次に、制御部 1 6 2は、フラッシュメモリ 1 1に格納されている空きブロックテーブルを参照して、書き込み対象の空きプロックを特定する。そして、書き込み対象として特定された空きプロックの物理ァドレスをアドレスカウンタに設定する（ステップ S 4) 。

—方、コンピュータ 20は書き込み対象のデータをデータパス 2 1上に順次出力する。

制御部 1 6 2は、コンピュータ 20から供給されるデータを取り込む (ステップ S 5) 。そして、制御部 1 6 2は、取り込んだデータを S R AM 1 3に保持されている平文のデータ鍵 k 1を用いて暗号化する（ステツプ S 6 ) 。

制御部 1 6 2は、書込制御信号を制御バスに出力し、さらに、暗号化したデータをデータバス D Bに出力する。データバス D Bに出力された、この暗号化済みのデータは、フラッシュメモリ 1 1のアドレスカウンタ 1 6 3が指示する位置に書き込まれる（ステップ S 7) 。

制御部 1 6 2は、全てのデータについて処理を終了したか否かを判別する（ステップ S 8 ) 。処理が終了していなければ、アドレスカウンタ 1 6 3を更新して（ステップ S 9) 、ステップ S 5に戻って次のデータを取り込み、暗号化して、フラッシュメモリ 1 1の次の記憶エリアに書き込む。

なお、現在の書込対象ブロックが一杯になった場合には、ステップ S 9で次の空きブロックを選択し、選択した空きブロックの物理ァドレスをアドレスカウンタ 1 6 3にセットし、次の空きブロックにデータを書き込む。

制御部 1 6 2は、データを格納し終わると、フラッシュメモリ 1 1に格納されている FAT、ディレクトリ情報、空きプロックテーブル等を更新する。さらに、 S RAM1 3に記憶されたデータ鍵 k 1を消去し（ステツプ S 1 0) 、処理を終了する。

(2) 読み出し動作

記憶装置 1 0からデータを読み出す場合、コンピュータ 20は、パス 2 1を介して記憶装置 1 0に読み出しコマンドを出力する。

読み出しコマンドが I ZOバッファ 1 6 1にセットされると、制御部 1 6 2は、このコマンドを解読する。そして、このコマンドがデータの読み出しの指示であることを判別すると、図 4に示す処理を開始する。まず、制御部 1 6 2は、 I ZOバッファ 1 6 1を介して、バス 2 1上に先頭の論理ァドレスと読み出し対象データの総量の送信を要求するコマンドを出力する（ステップ S 1 1 ) 。

この要求に応答し、コンピュータ 2 0は、読み出し対象データの先頭アドレス（論理アドレス）とデータ総量をバス 2 1を介してコント口一ラ 1 6に通知する。

制御部 1 6 2は、 I ZOバッファ 1 6 1を介して先頭ァドレスとデータ総量を受信する（ステップ S 1 2) 。

次に、制御部 1 6 2は、復号プログラムェリア T 3に格納された復号プログラムを実行する。そして、復号プログラムに従い、暗号化されたデータ鍵 k 1をフラッシュメモリ 1 1のデータ鍵ェリア T 1から読み出し、システム鍵 k 2を用いてこれを復号化して、平文のデータ鍵 k lを生成して、 S R AM 1 3に格納する（ステップ S 1 3 ) 。

次に、制御部 1 6 2は、フラッシュメモリ 1 1に記憶されている F A T及びディレクトリ情報などに基づき、読み出し対象ファイル（データ）が格納されている物理アドレスを判別する。そして、判別された物理ァドレスをァドレスカウンタ 1 6 3にセットし、内部データバス I D B上に出力させる（ステップ S 1 4) 。

さらに、制御部 1 6 2は、読み出し制御信号を出力し、アドレスカウンタ 1 6 3が指示する物理アドレスに記憶されたデータを、データバス DBを介して読み出す（ステップ S 1 5) 。

制御部 1 6 2は、読み出したデータを、 S R AM 1 3に格納したデータ鍵 k 1を用いて復号化する。次いで制御部 1 6 2は、復号化したデータを、 1 0バッファ 1 6 1及びパス 2 1を介してコンピュータ 20に送信する（ステップ S 1 6) 。

次に、制御部 1 6 2は、読み出しが終了したか否かを判別する（ステップ S 1 7 ) 。ステップ S 1 7において、制御部 1 6 2は、具体的には、例えば、読み出したデータの総量がコンピュータ 2 0から指示された総量に一致したか否かを判別する。そして、読み出しが終了していない場合、アドレスカウンタ 1 6 3は、物理ァドレスを更新する（ステップ S 1 8 ) 。

制御部 1 6 2は、以後、同様にして、物理アドレスを順次更新しながら、データを読み出し、復号化して出力する。

指定された量のデータを読み終えたと判断されると、制御部 1 6 2は、 S A M 1 3上のデータ鍵を消去し（ステップ S 1 9 ) 、読み出し動作を終了する。

このように、この実施の形態によれば、複数の記憶装置 1 0の第 2の O M 1 5に共通の暗号鍵（システム鍵 k 2 ) が格納され、各記憶装置 1 0に固有の暗号鍵（データ鍵 k 1 ) がフラッシュメモリ 1 1に格納される。データ鍵 k lは、システム鍵 k 2により予め暗号化されている。従って、データ鍵 k 1 とシステム鍵 k 2の両方を知らなければ、フラッシュメモリ 1 1に記録されているデータを復号化することができない。従って、フラッシュメモリ 1 1に機密性の高いデータを格納している場合でも、その機密の漏洩を有効に防止できる。

しかも、複数の記憶装置 1 0に共通なシステム鍵 k 2を、マスク R O Mなどの大量生産に適した読み出し専用メモリからなる第 2の R O M 1 5に記録し、個別のデータ鍵 k 1をデータ記録用のフラッシュメモリ 1 1に記録すれば、コストの上昇を抑えることも可能である。

また、データ鍵 k 1が記録装置 1 0毎に設定されていれば、何らかの理由により、ある記憶装置 1 0のデータ鍵 k 1 とシステム鍵 k 2の両方が知られても、他の記憶装置 1 0が記憶するデータを復号化することはできない。従って、被害を最小（ 1台）に抑えることができる。また、この構成によれば、 S R AM 1 3 と第 2の R OM 1 5とコントローラ 1 6 との間のデータの送受信は内部データバス I D Bを介して行われる。このため、 L S I 1 2の外部からは送受信されるデータを観察することができない。従って、復号化されたデータ鍵 k 1及びシステム鍵 k 2を含む機密情報の漏洩を防ぐことができる。

( 3) テスト動作

記憶装置 1 0は、製造時や出荷時にテストされ、フラッシュメモリ 1 1、 S RAM 1 3 , 第 1の ROM1 4及び第 2の R OM 1 5の全てがデ —タを正しく記憶できること、或いは正しくデータを記憶していることが確認される。

—方、第 2の ROM 1 5はマスク ROM等で構成されているため、テスト時にシステム鍵 k 2ゃ復号プログラムが既に記録されている。システム鍵 k 2ゃ復号プログラムは、テストであっても外部に漏れるこどは望ましくない。

そこで、この実施の形態では、第 2の ROM1 5のテストとして、特有なテストモ一ドを使用する。

記憶装置 1 0をテストする場合、記憶装置 1 0は外部のテスト装置 3 0等に接続され、テスト装置 3 0はコントローラ 1 6にテストコマンドを送出する。

制御部 1 6 2は、このテストコマンドに応答し、図 5に示す処理を開始する。

まず、制御部 1 6 2は、フラッシュメモリ 1 1のテストを行う（ステップ S 2 1 ) 。

フラッシュメモリ 1 1のテストは、具体的には、以下に述べる手順で行う。すなわち、まず制御部 1 6 2は、フラッシュメモリ 1 1を一且初期化し、全体にデータ「0」が格納されていることをチェックする。次に、制御部 1 6 2は、フラッシュメモリ 1 1に「 1」を書き込み、これを読み出して、書込データと読出データが一致することを確認する。フラッシュメモリ 1 1は一定の確率でエラ一ビットを含んでおり、エラ一ビッ卜が検出された場合には、その位置等も判別する。

フラッシュメモリ 1 1のテストが完了すると、制御部 1 6 2は、 S R AMI 3をテストする（ステップ S 2 2) 。

具体的には、まず、制御部 1 6 2は、アドレスを順次更新しながら、 S R AM 1 3の全てのビットに所定の値を書き込む。次いで、 S RAM 1 3からデータを読み出し、書き込んだデータと読み出したデータとが —致するか否かを、テスト装置 3 0により判別する。

S RAM 1 3のテストが完了すると、制御部 1 6 2は、第 1の ROM 1 4をテストする（ステップ S 2 3) 。第 1の ROM1 4のテストは、第 1の ROM 1 4の記憶データを読み出し、読み出されたデータが期待値と一致することをテスト装置 3 0で確認することにより行う。

第 1の ROM1 4のテストが完了すると、制御部 1 6 2は、第 2の R OM 1 5をテス卜する。第 2の ROM 1 5のテストは、基本的には、第 1の ROM 1 4のテストと同一である。つまり、記憶データを読み出し、正しいデータが記憶されているか否かを判別することにより行う。

但し、システム鍵 k 2及ぴ復号プログラムをそのまま読み出すと、システム鍵 k 2及び復号プログラムが第三者に知られ、データ鍵 k l及びシステム鍵 k 2が盗用又は悪用される虞がある。そこで、システム鍵ェリア T 2と復号プログラムェリア T 3については、異なるテスト方法を採用する。

まず、制御部 1 6 2は、第 2の ROM 1 5の先頭ァドレス A 1をアドレスカウンタ 1 6 3にセットする（ステップ S 24) 。次に、制御部 1 6 2は、アドレスカウンタ 1 6 3が指示するァドレスがシステム鍵ェリァ T 2又は復号プログラムエリア T 3のアドレスアドレスカウンタ 1 6 3が指示するアドレス < A 3 ) であるか否かを判別する（ステップ S 2 5 ) 。これらのエリアのアドレスであると判断された場合、何もせずにアドレスを更新して（ステップ S 2 6) 、ステップ S 2 5にリターンする。

一方、これらのエリアのアドレスではないと判断された場合、そのデ —タを読み出し、テスト装置 3 0に供給する（ステップ S 2 7) 。さらに、次のアドレスが存在するか否かを判別し（ステップ S 2 8 ) 、存在すれば、アドレスを更新して（ステップ S 2 6) 、ステップ S 2 5にリターンする。

このようにして、制御部 1 6 2は、第 2の ROM1 5のアドレス A 3 以降の記憶データを順次読み出し、 I Oバッファ 1 6 1を介してバス 2 1上に出力する。テスト装置 3 0は、読み出されたデ一タが、予め定められている記録パターンと一致するか否か等を判断し、一致しない場合には、そのアドレスを判別する。

アドレス A 3以降のエリアのテストが終了すると、システム鍵ェリァ T 2と復号プログラムエリア丁 3のテストに移る。

まず、制御部 1 6 2は、ハッシュ関数ェリア T 5に記憶されたハッシュ関数 Hを読み出す（ステップ S 29 ) 。次に、制御部 1 6 2は、期待値エリア T 4に格納されている期待値のセット Diを読み出す（ステツプ S 30 ) 。

制御部 1 6 2は、システム鍵ェリア丁 2と復号プログラムェリア T 3 から順次読み出した所定バイトのデータの組について、この 2つのデータをハッシュ関数 Hに代入した値を求める（ステップ S 3 1 ) 。具体的には、制御部 1 6 2は、システム鍵ェリア T 2と復号プログラムエリア T 3から順次読み出した所定パイトのデータの組のうち i番目に読み出した組を a i及び b iとした場合、 a i及び b iをハッシュ関数 Hに代入した値 H ( a i, b i) を求める。

そして、制御部 1 6 2は、ステップ S 3 1で求めた値 y i (つまり、 y i=H ( a i, b i) ) が、期待値 D iに一致するか否かを判別する（ステツプ S 3 2 ) 。

制御部 1 6 2は、システム鍵ェリア T 2と復号プログラムェリア T 3 の全記憶データを読み出すまで、比較動作を繰り返す。例えば、システム鍵エリァ T 2のサイズと復号プログラムエリア T 3のサイズとの合計が 4 kバイトであり、 a、 bのサイズがいずれも 5 1 2バイトとすれば、 4回作業を繰り返す。

制御部 1 6 2は、全ての演算結果 yiと全ての期待値 Diが一致する場合、一致検出信号をテスト装置 3 0に送信する（ステップ S 3 3) 。 1 回でも不一致があった場合、制御部 1 6 2は、テスト装置 3 0に不一致検出信号を送信する（ステップ S 34) 。以上でテスト動作を終了する。

このようなテストモードを採用することにより、システム鍵 k 2ゃ復号プログラム等の機密情報をテスト実施者に公開することなく、記憶装置 1 0内のメモリの良 · 不良を検査することができる。

なお、このテスト手法は、一例に過ぎない。従って、システム鍵 k 2 ゃ復号化されたデータ鍵 k 1が L S I 1 2の外部に出力されないならば、どのようなテスト手法を採用してもよい。例えば、第 2の ROM 1 5に格納されているすべてのデータについて、上述のハッシュ関数 Hを用いたテストを行ってもよい。また、期待値 Diをテスト装置 3 0から記憶装置 1 0に提供するようにしてもよい。

また、関数 Hは、ハッシュ関数に限定されない。しかし、関数 Hは、一つの演算結果に対して複数の変数が対応する一方向関数が望ましい。このような構成とすれば、たとえ、期待値 Diが第三者に知られても、システム鍵 k 2 と復号プログラム自体を特定することはできなくなる。なお、以上の説明では、テストモードで、制御部 1 6 2がデータの書き込み及び読み出しを順次行った。しかし、この記憶装置 1 0は、テストモ一ドが設定されると、.テストモ一ドが解除されるまで、外部のバス 2 1 と内部バスを直結し、テスト装置 3 0が、各メモリを直接アクセスできるように構成されても良い。

この場合、システム鍵ェリア T 2及び復号プログラムエリア T 3がァドレッシングされたときは、第 2の R O M 1 5をデイスエイブル状態に設定し、外部からの直接アクセスを受付けない（禁止する）ように、ァドレス信号をマスクすることが望ましい。具体的には、例えば図 6に示すように、上位のァドレス信号をデコ一ドすればよい。

上記実施の形態では、フラッシュメモリ 1 1にデータを書き込んだり、フラッシュメモリ 1 1からデータを読み出したりする間は、 S R A M 1 3に平文のデータ鍵 k 1が記憶される。一方、この状態で、動作クロックを停止し、テストモードに入り、 S R A M 1 3の記憶データを読み出すと、データ鍵 k 1が第三者に知られてしまう虞がある。

このため、図 7に示すように、テストモ一ドが指示されると、制御部 1 6 2が、 S R A M 1 3にリセット信号を送出して、これをリセットしてもよい。この場合は、例えば、リセットの後、外部からの制御に従つたテストを実行できるように、リセット信号をオフする構成とすればよい。

(第 2の実施の形態）

第 1の実施の形態では、システム鍵 k 2が漏洩した場合、このシステム鍵 k 2を用いてデータ鍵 k 1が復号可能である。しかし、システム鍵 k 2を知っているだけではデータ鍵が復号できないように構成することも可能である。このような構成の第 2の実施の形態を以下に説明する。この実施の形態の記憶装置の基本構成は、図 1に示す構成と同一であり、データ鍵 k 1は、フラッシュメモリ 1 1のデータ鍵ェリア T 1に格納されている。

但し、データ鍵ェリア T 1に格納されているデータ鍵 k 1は、システム鍵 k 2と所定値 RNとを組み合わせて得られた値を喑号鍵として用いて暗号化されている。この所定値 RNは、出力値が初期値に依存するタィプの乱数発生プログラムにより生成された値である。この初期値として、暗号解読のためのパスワード PWが用いられる。

さらに図 8に示すように、フラッシュメモリ 1 1には、復号プロダラム及び乱数プログラムが記憶されている。復号プログラムは、パスヮ一ド PWに基づいてデータ鍵 k 1を復号化するためのプログラムである。乱数プログラムは、上述した所定値 RNを生成する際に使用するものと実質的に同一のものである。

この記憶装置 1 0を使用する際（データのリ一ドノライト時等）、コンピュ一タ 20上のドライバは、使用者にパスヮ一ドの入力を要求する。

ドライバは、パスワードが入力されると、データ鍵 k lの復号化を指示する指示信号と、この指示信号と共に入力されたパスワードとを、バス 2 1を介してコントローラ 1 6に供給する。

制御部 1 6 2は、この指示信号に応答し、パスワードを受信して（図 9、ステップ S 4 1 ) 、乱数プログラムを起動する。そして、受信したパスワードを初期値として与える（ステップ S 4 2) 。この乱数発生プログラムは、出力値が初期値に依存するタイプのものであり、出力される値が初期値により定まる。

制御部 1 6 2は、乱数プログラムが生成した乱数値 RNとシステム鍵 k 2とを組み合わせて暗号鍵を作成する（ステップ S 4 3) 。暗号鍵は、例えば、システム鍵 k 2と乱数値 RNとを、互いに加算（「k 2 +RNJ ) したり、互いに連結（「k 2 ; R N」）したり、互いに乗算（「k 2 . ； N」）したりして作成する。

暗号鍵が作成されると、制御部 1 6 2は、作成された暗号鍵を用いてデータ鍵 k 1を復号化する（ステップ S 4 4 ) 。

以後、制御部 1 6 2は、復号化されたデータ鍵 k 1 を用いて、コンビユータ 2 0から供給されたデータを暗号化してブラッシュメモリ 1 1に格納する。そして、制御部 1 6 2は、フラッシュメモリ 1 1から読み出したデータを復号化し、コンピュータ 2 0に供給する。

このような構成とすれば、システム鍵 k 2が何らかの原因で第三者に知られても、その第三者がパスワードを知らない限り、データ鍵 k lを復号化することができず、フラッシュメモリ 1 1に記憶されているデータを復号化することができない。従って、フラッシュメモリ 1 1に格納されたデータの漏洩を防止することができる。

また、データ鍵 k 1を暗号化するための暗号鍵及び復号プログラムを、記憶装置 1 0毎に個別に作成して、フラッシュメモリ 1 1に格納することもできる。これにより、記憶装置 1 0毎に暗号鍵を異ならせることができる。

なお、第 2の実施の形態で、例えば、復号プログラムと乱数プロダラムをシステム鍵 k 2で暗号化して、フラッシュメモリ 1 1に格納しておいても良い。この場合、システム鍵 k 2でこれらのプログラムを復号化した後、これらのプログラムを実行し、データ鍵を復号化する処理を実行する。

また、第 2の実施の形態の復号プログラムは、パスワード等の使用者を特定する情報に基づいてデータ鍵 k 1を復号化できるならば、任意の構成が採用可能である。

例えば、パスワード P Wに基づいて一時的な暗号鍵 k t を生成し、数式 1に示すように、データ鍵 k 1を一時的な喑号鍵 k tで暗号化し、暗号結果をシステム鍵 k 2で暗号化した結果 k 1 dをフラッシュメモリ 1 1のエリア T 1に格納してもよレヽ。一時的な暗号鍵 k tは、例えば、パスワード PWを種として乱数を癸生することにより生成すればよい。 (数式 1 )

k 1 d = k 2 (k t ( k 1 ) )

この場合、エリア T 1に格納されているデータ鍵 k 1を復号化するためには、まず、エリア丁 1に格納されているデータ k 1 dをシステム鍵 k 2で復号化して（k t (k 1 ) ) を生成する。次に、入力されたパスワード PWに基づいて一時的な喑号鍵 k tを生成する。そして、この一時的な暗号鍵 k tを用いてデータ鍵 k 1を復号化するようにすればよレ、。第 1及び第 2の実施の形態では、システム鍵 k 2を平文のまま第 2の ROM1 5に格納した。しかし、システム鍵 k 2は一時的な喑号键 k t で暗号化された状態で第 2の R OM 1 5に格納されてもよい。この場合には、一時的な喑号鍵 k tを用いてシステム鍵 k 2を復号化した後、デ —タ鍵 k 1を復号化する処理を行う。

また、図 1では、第 1の ROM 1 4と第 2の ROM 1 5を別体とした。しかし、第 1の ROM 1 4と第 2の ROM1 5とを、 1つの ROMの異なる領域としてもよい。この場合も、この ROMとコントローラ 1 6との間の通信内容が L I S 1 2の外部に漏れないようにデータバスを構成する。

システム鍵 k 2は全ての記憶装置 1 0に共通である必要はなく、一定台数毎にシステム鍵 k 2を変更してもよい。また、データ鍵 k 1は、記憶装置 1 0毎に異なる必要はなく、複数の記憶装置 1 0に共通でもよい。但し、システム鍵 k 2を同一にする記憶装置 1 0の間では、データ鍵 k 1が異なるように設定することが望ましい。 (第 3の実施の形態）

第 1の実施の形態で、データ鍵 k lは、システム鍵 k 2を用いて暗号化された上でフラッシュメモリ 1 1に格納されていた。第 2の実施の形態で、データ鍵 k 1は、一時的な暗号鍵 k t を用いて暗号化された上でフラッシュメモリ 1 1 に格納されていた。

しかし、データ鍵 k 1は平文のままフラッシュメモリ 1 1に格納されていてもよい。この場合は、例えば、データ鍵 k 1及びシステム鍵 k 2 の両方を用いてデータの暗号化及び復号化を行えばよい。以下では、デ —タ鍵 k 1及びシステム鍵 k 2の両方を用いてデータの暗号化及び復号化を行うこの発明の第 3の実施の形態を説明する。

この発明の第 3の実施の形態にかかる記憶装置 1 0の構成は、図 1に示す、第 1の実施の形態における構成と実質的に同一である。暗号化された一般のデータはフラッシュメモリ 1 1に格納される。

ただし、フラッシュメモリ 1 1 のェリア T 1 には、データ鍵 k 1 は平文のまま記憶されている。データ鍵 k 1は平文のままエリア T 1に格納されているため、第 2の R O M 1 5は、データ鍵 k 1 を復号化するための復号プログラムを格鈉する必要がなく、従って復号プログラムェリァ

T 3は不要である。

次に、上記構成の記憶装置 1 0及びコンピュータ 2 0 (又はテスト装置 3 0 ) の動作を説明する。ただし、コンピュータ 2 0 と記憶装置 1 0 との間での相互認証の動作は、第 1の実施の形態における上述した（ 0 ) の相互認証時の動作と実質的に同一である。

記憶装置 1 0にデータを書き込む場合の動作も、第 1の実施の形態における上述した（ 1 ) の書き込み動作と実質的に同一である。

ただし、ステップ S 3で、制御部 1 6 2は、フラッシュメモリ 1 1 のエリア T 1からデータ鍵 k 1を単に読み出して S R A M 1 3に格納する。すなわち、データ鍵 k 1の復号化は行わない。

また、ステップ S 6で、制御部 1 6 2は、ステップ S 5でコンビユータ 20から取り込んだデータを、 S RAM 1 3に保持されているデータ鍵 k l とシステム鍵 k 2を用いて暗号化する。

例えば、制御部 1 6 2は、データ鍵 k 1 とシステム鍵 k 2を加算（k 1 + k 2) 、連結（k 1 ； k 2 ) 、乗算（k 1 ♦ k 2) 等することにより、新たな喑号鍵を生成し、この鍵を用いてデータを暗号化する。或いは、データ鍵 k 1でデータを暗号化し、さらに、暗号化されたデータをシステム鍵 k 2で暗号化する。

そして、ステップ S 1 0で、制御部 1 6 2は、空きブロックテーブルと FAT及びディレクトリ情報などを更新し、 S RAM 1 3に記憶されたデータ鍵 k 1及びシステム鍵 k 2を両方消去して、処理を終了する。記憶装置 1 0からデータを読み出す場合の動作も、第 1の実施の形態における上述の（2) の読み出し動作と実質的に同一である。

ただし、ステップ S 1 3で、制御部 1 6 2は、フラッシュメモリ 1 1 のエリア T 1から平文のデータ鍵 k 1を読み出すと、 S RAM 1 3に格納する。また、第 2の ROM1 5のシステム鍵エリア T 2からシステム鍵 k 2を読み出し、 S RAM1 3に格納する。

また、ステップ S 1 6で、制御部 1 6 2は、ステップ S 1 5で読み出したデータを、 S RAM 1 3上のデータ鍵 k 1に加えシステム鍵 k 2も用いて復号化することにより、平文のデータを生成する。

そして、ステップ S 1 9で、コントローラ 1 6は、 S RAM1 3上のデータ鍵 k 1及びシステム鍵 k 2を両方消去してから、読み出し動作を終了する。

この実施の形態によれば、データ鍵 k l とシステム鍵 k 2とを用いてデータが暗号化及び復号化される。従って、データ鍵 k l とシステム鍵 k 2の両方を知らなければ、フラッシュメモリ 1 1に記録されているデ —タを復号できない。このため、単一の暗号鍵を使用する場合よりも、機密性の高いデ一タを安全に記憶することができる。

また、データ鍵 k 1及びシステム鍵 k 2は、記憶装置 1 0の異なった位置に分散して格納されている。このため、暗号鍵の特定が困難となる。特に、システム鍵 k 2は、 L S I 1 2内に封止されており、システム鍵 k 2を外部から直接知ることはできない。また、データ鍵 k lが、記憶装置 1 0毎に個別に設定されていれば、ある記憶装置 1 0についてデータ鍵 k 1が知られても、他の記憶装置 1 0についてはそのデータ鍵 k 1 では、データを復号できない。従って、被害を最小（ 1台）に抑えることができる。

また、テスト動作のうち、フラッシュメモリ 1 1、 S RAM 1.3及び第 1の ROM1 4をテストする動作は、第 1の実施の形態における上述の（3) のテスト動作と実質的に同一である。

フラッシュメモリ 1 1、 S R AM 1 3及び第 1の R OM 1 4のテストが完了すると、制御部 1 6 2は、第 1の実施の形態におけるステップ S 2 9〜 S 3 4の処理と実質的に同一の処理を第 2の ROM1 5について行うことにより、第 2の ROM1 5をテストする。

具体的には、制御部 1 6 2は、第 2の ROM1 5内の期待値ェリア T 4及びハッシュ関数ェリア T 5から、期待値のセット D i及びハッシュ関数 Hを読み出す。次に、読み出したハッシュ関数 Hに、第 2の ROM 1 5から順次読み出した所定バイトのデータの組を代入した値を求める。そして、求めた値 yiが、期待値 Diに一致するか否かを判別する。

制御部 1 6 2は、第 2の ROM1 5の全記憶データを読み出すまで、比較動作を繰り返す。そして、全ての演算結果と全ての期待値が一致する場合、一致検出信号をテスト装置 3 0に送信し、テスト動作を終了する。 1回でも不一致の場合、不一致検出信号をテスト装置 3 0に送信して、テスト動作を終了する。

このようなテストモ一ドを採用することにより、システム鍵 k 2等の機密情報をテスト実施者に公開することなく、記憶装置 1 0内のメモリの良 '不良を検査することができる。このため、テスト担当者等によるシステム鍵 k 2の盗用又は悪用を避けられる。

なお、このテスト手法は、一例であり、システム鍵 k 2が L S I 1 2 の外部に出力されないならば、どのようなテスト手法を採用してもよい。例えば、第 2の R O M 1 5のうち、システム鍵 k 2が格納されている領域等の機密性の高い情報が格納されている領域についてのみ、上述のハッシュ関数 Hを用いたテストを行い、他の領域については、第 1の R O

M l 4 と同様に、記憶データを順次読み出し、期待値と比較するようにしてもよい。また、期待値 D iをテスト装置 3 0から記憶装置 1 0に提供するようにしてもよい。

(第 4の実施の形態）

第 3の実施の形態では、データ鍵 k 1 とシステム鍵 k 2の 2つの暗号鍵を使用してデータを暗号化及び復号化した。しかし、 3以上の暗号鍵を使用して、データを暗号化及び復号化してもよい。以下、 3以上の暗号鍵を使用する第 4の実施の形態を説明する。

この実施の形態の記憶装置の基本構成は、第 1〜第 3の実施の形態におけるものと実質的に同一である。ただし、コントローラ 1 6は、図 1

0に示すように、 E E P R O M 1 6 4を内蔵している。 E E P R O M 1

6 4には、第 3の暗号鍵 k 3が格納されている。

この実施の形態の記憶装置 1 0の基本動作は、第 3の実施の形態における記憶装置 1 0の基本動作と同一である。ただし、コンピュータ 2 0 から受信したデータの暗号化は、データ鍵 k l、システム鍵 k 2及び第 3の暗号鍵 k 3を用いて行う。フラッシュメモリ 1 1から読み出したデ一タの復号化も、データ鍵 k l、システム鍵 k 2及び第 3の暗号鍵 k 3 を用いて行う。

データの暗号化の手法は任意である。暗号鍵の作成方法は、任意である。たとえば、コンピュータ 2 0から受信したデータをデータ鍵 k 1で暗号化し、さらに、これをシステム鍵 k 2で暗号化し、さらに、第 3の暗号鍵 k 3で暗号化してもよい。この場合、復号化は、フラッシュメモリ 1 1から読み出したデータを第 3の暗号鍵 k 3で復号化し、復号化されたデ一タをシステム鍵 k 2で復号化し、さらに、これをデータ鍵 k 1 で復号化することにより行う。

また、これら 3つの喑号鍵について加算（k l + k 2 + k 3) 、連結 ( k 1 ； k 2 ； k 3 ) 等の演算を行つて新たな喑号鍵を生成し、この暗号鍵を使用してデータを暗号化してもよい。

このように、暗号鍵を多数箇所に分散して格納することにより、暗号の解読がより困難となる。従って、信頼性の高い記憶装置を提供できる。なお、第 3の喑号鍵 k 3の記憶位置は、 E E P ROM1 64に限定されない。たとえば、第 2の R〇M 1 5の任意の領域でもよい。

(第 5の実施の形態）

第 3及び第 4の実施の形態では、各暗号鍵（データ鍵 k l、システム鍵 k 2、第 3の喑号鍵 k 3) が平文のまま各メモリに格納されている。しかし、これらの手法では、各暗号鍵の記憶位置が漏洩すると、各暗号鍵が読み出され、データ鍵が復号化され、解読される虞がある。

そこで、暗号鍵自体を暗号化して各メモリに格納してもよい。例えば、第 3の暗号鍵 k 3をシステム鍵 k 2で暗号化して E E P ROM 1 64に記録してもよい。この場合、データの書込時及び読み出し時には、例えば、システム鍵 k 2を用いて第 3の喑号鍵 k 3を復号化する。そして、復号化された第 3の暗号鍵 k 3を用いて、データの暗号化や復号化を行 0。

この構成では、第 3の暗号鍵 k 3は暗号化されているが、使用時には復号化され、 S RAM 1 3に格納される。従って、この S RAM 1 3を外部からアクセスして、データを読み出せば第 3の喑号鍵 k 3が知られてしまう。しかし、図 1 0の物理的構成では、封止及びバスの分割等により、 S RAM 1 3への外部からのアクセスが禁止されているので、平文である第 3の喑号鍵 k 3の漏洩が防止される。

(第 6の実施の形態）

第 3〜第 5の実施の形態では、各喑号鍵（データ鍵 k l、システム鍵 k 2、第 3の喑号鍵 k 3 ) が不揮発性メモリに予め格納されている。しかし、この記憶装置 1 0の使用時に、暗号鍵を一時的に生成してもよい。以下、このような構成の第 6の実施の形態を説明する。

この実施の形態の記憶装置 1 0の基本構成は、図 1 0に示す構成と実質的に同一である。ただし、 E E P R OM 1 6 4には、図 1 1に示すように、設定された初期値に対応して定まる値を出力する乱数プログラムと喑号鍵生成プログラムが記憶されている。

この場合の記憶装置 1 0の動作を図 1 2を参照して説明する。

まず、この記憶装置 1 0を使用する際、コンピュータ 2 0は、記憶装置 1 0の要求に従って（又はコンピュータ 2 0上のドライバの要求に従つて）、使用者にパスワードの入力を要求する（ステップ S 5 1 ) 。この要求に従って、使用者によりパスワードが入力されると（ステツプ S 5 2 ) 、制御部 1 6 2は、乱数プログラムを起動し、供給されたパスワードを初期値として設定する（ステップ S 5 3) 。乱数プログラムは、実行されると、初期値に対応する値を 1つ発生する。制御部 1 6 2 は、この値を S RAM 1 3に格納し、第 3の暗号鍵 k 3 として使用する (ステップ S 5 4 ) 。

以後のデータ読出動作、書込動作は、第 5の実施の形態と同様である。第 3の暗号鍵 k 3を生成するタイミングは任意である。第 3の暗号鍵 k 3は、記憶装置 1 0の使用開始時や、フラッシュメモリ 1 1をァクセスする際などのタイミングで生成されてよい。

データを格納した際に設定したパスヮードと、データを読み出す際に設定したパスヮードが異なる場合、第 3の暗号鍵 k 3は異なった値となる。このため、この実施の形態によれば、正しいパスワードを入力しなければ、記憶データの暗号が解読できない。従って、システムキーが漏洩した場合でも、記憶データを安全に保持できる。

なお、乱数プログラムをデータ鍵 k 1及び Z又はシステム鍵 k 2で暗号化して、フラッシュメモリ 1 1に格納してもよい。

なお、乱数プログラムを含む暗号鍵生成プログラムの記憶位置は、 E E P R O M 1 6 4に限定されず、任意である。例えば、第 1の実施の形態において、データ键 k 1又はシステム鍵 k 2に代えて、暗号生成プログラムを記憶させ、この暗号プログラムを実行して得られた暗号鍵を第 1又は第 2の暗号鍵として使用してもよい。

(第 7の実施の形態）

この発明の実施の形態では、使用者が生成した暗号鍵をフラッシュメモリ 1 1に登録し、以後この暗号鍵を使用することも可能である。以下、このような構成の第 7の実施の形態を説明する。

この実施の形態の記憶装置 1 0の基本構成は、図 1 0に示す構成と実質的に同一である。ただし、この実施の形態では、この記憶装置 1 0を最初に使用する際（例えば、記憶装置 1 0のフォーマット時）、使用者は、この記憶装置 1 0を所定のドライバ機能を有するコンピュータ 2 0 に接続し、コンピュータ 2 0から記憶装置 1 0に、データ鍵の設定を指示する指示信号を送信する。

この指示信号に応答し、制御部 1 6 2は、図 1 3に示す処理を開始し、コンピュータ 2 0にパスワードの供給を要求する（ステップ S 6 1 ) 。この要求に応答したコンピュータから、使用者の操作等に従ってパスヮ ―ドが供給されると、制御部 1 6 2は、パスワードを受信し（ステップ S 6 2 ) 、例えばフォーマツトの処理を含む所定の処理を行う（ステツプ S 6 3 ) 。

所定の処理終了後、制御部 1 6 2は、供給されたパスワード（又は、パスワードが示す値）を初期値として、乱数プログラムを起動する（ステツプ S 6 4 ) 。

制御部 1 6 2は、得られた乱数値をデータ鍵 k 1 とし、エリア T 1に格納し（ステップ S 6 5 ) 、処理を終了する。

通常状態でのフラッシュメモリ 1 1へのデータの書き込み · ブラッシュメモリ 1 1からのデータの読み出し等の動作は、上述の第 3の実施の形態と同様である。すなわち、この記憶装置 1 0は、データ鍵 k 1 とシステム鍵 k 2 (第 4の実施の形態では、さらに、第 3の喑号鍵 k 3 ) を用いてデータを暗号化及び復号化する。

このような構成とすれば、使用者自身が入力したパスヮードに基づいてデータ鍵が生成される。また、データ鍵 k 1をフラッシュメモリ 1 1 から読み出すだけで済むので、暗号化 ·復号化の処理時間が短くてすむ。なお、乱数プログラムが発生した値をデータ鍵 k 1 として設定する際に、例えば、このデータ鍵 k 1をシステム鍵 k 2で暗号化してもよい。この場合、通常状態でのフラッシュメモリ 1 1へのデータの書き込み · フラッシュメモリ 1 1からのデータの読み出し等の動作は、例えば、上述の第 1の実施の形態と同様である。

(第 8の実施の形態）この発明は、タンパフリー技術と組み合わせることにより、より完全なものとなる。即ち、この記憶装置 1 0の筐体 2 5が開封された時点で、記憶データを破壊するように構成することが望ましい。

このような構成を有する記憶装置 1 0の一例を説明する。

この実施の形態の記憶装置 1 0は、図 1 4に示すように、筐体 2 5内の複数箇所に配置されたマイクロスィッチ 2 2 と、コンデンサ（又は二次電池） 2 3 とオアゲート 2 4を備えている。

記憶装置 1 0がコンピュータ 2 0に接続された状態において、パス 2 1の電源ラインからコンデンサ（又は二次電池） 2 3に電力が供給され、コンデンサ 2 3は充電される。

マイクロスィッチ 2 2は、通常状態では、オフ状態にあり、筐体 2 5 が開封された時にオンする。 1つでもマイクロスィッチ 2 2がオンすると、このオン信号は、オアゲート 2 4を介して割り込み信号として、制御部 1 6 2に供給される。

この割り込み信号に応答して、制御部 1 6 2は、フラッシュメモリ 1 1及び S R A M 1 3を初期化する。この際、初期化に要する電力は、コンデンサ（又は二次電池） 2 3から供給される。

この構成によれば、筐体 2 5の一部が開封された際に、制御部 1 6 2 は割り込み処理を行う。この割り込み処理を、フラッシュメモリ 1 1の内容及び S R A M 1 3の內容を消去する処理とすれば、フラッシュメモリ 1 1の内容及び S R A M 1 3の内容は消去される。従って、フラッシュメモリ 1 1に記憶されていた機密情報が第三者に漏れることが避けられる。

なお、フラッシュメモリ 1 1 としては、メモリ全体を一括して消去できるものが望ましい。

また、ブロック単位で順次消去する場合には、制御部 1 6 2は、フラッシュメモリ 1 1の任意のブロックを消去する際、空きブロックテープルを参照し、空きブロックではないブロックを先に消去し、空きブロックを最後に消去する。一般的な D O S (ディスクォペレ一ティングシステム）では、ファイル等を消去する際、先頭の 1文字を所定コードに書き換えることにより、実際にはデータを消去しない場合がある。この種のシステムでは、データを消去する際には、消去対象のデータが位置するブロック内に他のデータがある場合に、他のデータを空きブロックに移動（コピー）してから、そのブロックを物理的に消去しておくことが望ましい。

また、周知のタンパフリー技術を使用し、 L S I 1 2のパッケージが開封された際に、記憶データを強制的に消失させるようにしてもよい。これにより、記憶装置 1 0の信頼性をより高めることができる。

また、周知のタンパフリ一技術を使用し、記憶装置 1 0のケース又はコントローラ 1 6のパッケージがあけられた時等で、 E E P R O M 1 6 4の記憶内容を自動的に消去できるようにしてもよい。これによれば、第 3の喑号鍵 k 3が第三者に漏れることが避けられ、信頼性がさらに向上する。

なお、この発明は、受信した平文のデータを暗号化して出力し、受信した暗号文を復号化して出力する装置等にも適用可能である。

この場合の構成及び動作は、フラッシュメモリ 1 1へのデータの書込処理が外部への出力（送信）処理、フラッシュメモリ 1 1からのデータの読み出しが外部からの入力（受信）処理に変更される点を除けば、上述の第 1〜第 8の実施の形態の処理と同一である。

その他、この発明は上述の第 1〜第 8の実施の形態に限定されず、種々の変形及び応用が可能である。

以上説明したように、この発明によれば、記憶装置に記憶された機密情報を安全に記憶でき、記憶装置の記録内容の信頼性を高めることができる。

Claims

請求の範囲

1. データを記憶するための書換可能な不揮発性メモリ（ 1 1 ) と、前記不揮発性メモリをアクセスするための制御手段（ 1 2) とより構成され、データを記憶するための記憶装置であって、

前記不揮発性メモリに第 1の暗号鍵が格納され、前記制御手段内に第 2の暗号鍵が格納され、前記第 1の暗号鍵は、前記第 2の喑号鍵により暗号化されており、

前記制御手段は、前記第 2の暗号键を用いて前記第 1の喑号鍵を復号化する鍵復号手段（ 1 2) と、前記鍵復号手段により復号化された第 1 の暗号鍵を用いてデータを暗号化して前記不揮発性メモリに書き込む書込手段（ 1 2) と、前記不揮発性メモリからデータを読み出して、前記鍵復号手段により復号化された前記第 1の暗号鍵を用いて読み出したデ一タを復号化する読出手段（ 1 2) とを備える、

ことを特徴とする記憶装置。

2. 前記第 2の暗号鍵は複数の前記記憶装置に共通であり、前記第 1 の暗号鍵は、同一の第 2の暗号鍵を記憶している前記記憶装置の一部に共通の暗号鍵である、ことを特徴とする請求項 1に記載の記憶装置。

3. 前記第 2の暗号鍵は複数の前記記憶装置に共通であり、前記第 1 の暗号鍵は、同一の第 2の暗号鍵を記憶している前記記憶装置のそれぞれに固有の暗号鍵である、ことを特徴とする請求項 1に記載の記憶装置。

4. 前記不揮発性メモリはフラッシュメモリ（ 1 1 ) から構成され、前記制御手段は前記第 2の暗号鍵を記憶したマスク ROM (読み出し専用メモリ）（ 1 5) を含む、ことを特徴とする請求項 1に記載の記憶装

5. 前記鍵復号手段は、パスワードを取り込み、正しいパスワードが入力された場合のみ、前記暗号化された第 1の暗号鍵を復号化する、ことを特徴とする請求項 1に記載の記憶装置。

6. 前記第 1の暗号鍵は、前記第 2の暗号鍵とパスワードを基に生成された第 3の暗号鍵により喑号化されて前記不揮発性メモリに格納されており、

前記鍵復号手段は、パスワードを入力する手段と、入力されたパスヮードから第 3の暗号鍵を生成する手段と、前記第 2の暗号鍵と生成された第 3の暗号鍵とを用いて前記暗号化されている第 1の暗号鍵を復号化する手段（ 1 6) を備える、ことを特徴とする請求項 1に記載の記憶装

7. 前記鍵復号手段は、復号プログラムと該復号プログラムを実行する手段（ 1 6) とより構成され、

前記復号プログラムは前記不揮発性メモリに格納されている、ことを特徴とする請求項 1に記載の記憶装置。

8. 前記鍵復号手段と前記書込手段と前記読出手段は、復号化された第 1の暗号鍵を記憶し、外部からのアクセスに対して保護された揮発性メモリ（ 1 3) を含む、

ことを特徴とする請求項 1に記載の記憶装置。

9. 前記不揮発性メモリはフラッシュメモリ（ 1 1 ) である、ことを特徴とする請求項 1に記載の記憶装置。

1 0. 前記制御手段は、前記第 1の暗号键を生成し、生成した第 1の暗号鍵を前記第 2の暗号鍵を用いて暗号化して前記不揮発性メモリに記録する鍵生成手段（ 1 6) を備える、

ことを特徴とする請求項 1に記載の記憶装置。

1 1. 前記鍵生成手段は、入力されたパスワードに基づいて前記第 1 の暗号鍵を生成する、ことを特徴とする請求項 1 0に記載の記憶装置。

1 2. 前記第 2の暗号鍵は、複数の記憶装置に共通の暗号鍵である、ことを特徴とする請求項 1 0に記載の記憶装置。

1 3. 第 1の喑号鍵とデータを記憶するための書換可能な不揮発性メモリ（ 1 1 ) と、

第 2の暗号鍵を記憶し、前記不揮発性メモリをアクセスするための制御手段（ 1 2) と、

より構成され、データを記憶する記憶装置であって、

前記制御手段は、前記第 1 と第 2の暗号鍵を用いてデータを暗号化して前記不揮発性メモリに書き込む書込手段（ 1 6) と、前記不揮発性メモリからデータを読みだして前記第 1 と第 2の暗号鍵を用いて複号化して出力する読出手段（ 1 6) とを備える、

ことを特徴とする記憶装置。

1 4. 前記第 2の暗号鍵は、複数の記憶装置に共通の暗号鍵であり、前記制御手段に配置された読出専用メモリに格納され、

前記第 1の暗号鍵は、前記第 2の暗号鍵を共通とする複数の記憶装置の一部のみに共通又は固有の喑号鍵である、

ことを特徴とする請求項 1 3に記載の記憶装置。

1 5. 前記不揮発性メモリはフラッシュメモリ（ 1 1 ) から構成され、前記制御手段は前記第 2の暗号鍵を記憶したマスク ROM (読み出し専用メモリ）（ 1 5) を備える、

ことを特徴とする請求項 1 3に記載の記憶装置。

1 6. 暗号化された暗号鍵を記憶する暗号鍵記憶手段（ 1 1 ) と、前記暗号鍵を用いて暗号化されたデータを記憶するための書換可能な不揮発性メモリ（ 1 1 ) と、

復号化された暗号鍵への外部からのアクセスが防止されていることを特徴とする記憶装置。

1 7. 前記禁止手段は、この記憶装置が開封されたことを検出する開封検出手段（ 1 6， 2 2) と、前記開封検出手段が開封を検出した際に、前記不揮発性メモリの内容を消去する手段（ 1 6 ) を含む、ことを特徴とする請求項 1 6に記載の記憶装置。

1 8. 前記禁止手段は、前記制御手段を封止する封止手段（ 2 5) と、前記封止手段に封止され、前記揮発性メモリと前記復号手段との間でデータを伝送する内部パス（ I D B) と、を含む、ことを特徴とする請求項 1 6に記載の記憶装置。

1 9. 前記暗号鍵記憶手段と前記復号手段との間で暗号化された暗号鍵を伝送し、かつ、前記書込手段及び前記読出手段と前記不揮発性メモリとの間で暗号化されているデータを伝送するデータパス（D B) と、前記内部パスとは別体に構成され、

前記復号化された暗号鍵は前記データバス上には出力されないように構成されている、

ことを特徴とする請求項 1 8に記載の記憶装置。

20. 不揮発性メモリ（ 1 1 ) と、

第 1の暗号鍵を生成する鍵生成手段（ 1 6) と、

第 2の暗号鍵を記憶する鍵記憶手段（ 1 5) と、

前記鍵生成手段により生成された前記第 1の暗号鍵と前記鍵記憶手段に記憶されている前記第 2の暗号鍵とを用いてデータを暗号化して前記不揮発性メモリに書き込む書込手段（ 1 6) と、前記不揮発性メモリからデータを読出して前記第 1 と第 2の暗号鍵を用いて復号化して出力する読出手段（ 1 6) とを備える、

ことを特徴とする記憶装置。

2 1. 前記鍵生成手段は、生成した第 1の暗号鍵を、前記不揮発性メモリに格納する手段を備え、前記書込手段及ぴ前記読出手段は、前記不揮発性メモ'リに格納された第 1の暗号鍵を使用する、

ことを特徴とする請求項 2 0に記載の記憶装置。

2 2. 前記鍵生成手段は、入力されたパスワードに基づいて前記第 1 の暗号鍵を生成する、ことを特徴とする請求項 20に記載の記憶装置。

2 3. 前記第 2の暗号鍵は、複数の記憶装置に共通の暗号鍵であり、読出専用メモリからなる前記鍵記憶手段に格納されている、

ことを特徴とする請求項 2 0に記載の記憶装置。

24. 第 1の暗号鍵を記憶する第 1の暗号鍵記憶手段（ 1 1 ) と、第 2の喑号鍵を記憶する第 2の暗号鍵記憶手段（ 1 5) と、第 3の暗号鍵を記憶する第 3の暗号鍵記憶手段（ 1 5) と、前記第 1乃至第 3の暗号鍵記憶手段に記憶された前記第 1乃至第 3の暗号鍵を用いてデータを暗号化して不揮発性メモリに書き込む書込手段 ( 1 6) と、前記不揮発性メモリからデータを読出して前記第 1乃至第

3の暗号鍵を用いて復号化して出力する読出手段（ 1 6) とを備え、前記第 1乃至第 3の暗号鍵が分散して配置されていることを特徴とする記憶装置。

2 5. 第 1の暗号鍵が格納された書換可能な不揮発性メモリ（ 1 1 ) と、

第 2の暗号鍵が格納された読み出し専用メモリ（ 1 5 ) と、データを前記第 1 と第 2の暗号鍵を用いて暗号化して出力する暗号化手段（ 1 6 ) と、暗号化されたデータを前記第 1 と第 2の喑号鍵を用いて復号化して出力する復号化手段（ 1 6 ) とを備える、

ことを特徴とする暗号化 ·復号化装置。

2 6 . 複数の装置に共通の共通暗号鍵を読出専用メモリに記憶させ、ユニークな個別暗号鍵を前記共通暗号鍵で暗号化して書換可能な不揮発性メモリに記憶させておき、

前記不揮発性メモリにデータを書き込む際は、前記共通暗号鍵を用いて前記個別喑号键を複号化し、復号化した前記個別暗号鍵を用いてデータを暗号化して前記不揮発性メモリに書き込み、

前記不揮発性メモリからデータを読み出す際は、前記共通暗号鍵を用いて前記個別暗号鍵を復号化し、前記不揮発性メモリから読み出したデ一タを復号化した個別暗号鍵を用いて復号化して出力する、

ことを特徴とする不揮発性メモリのアクセス方法。

2 7 . 所定のパスワードが入力された時にのみ、前記個別喑号鍵を復号化する、ことを特徴とする請求項 2 6に記載の不揮発性メモリのァクセス方法。

2 8 . 前記個別暗号鍵は、前記共通暗号鍵とパスワードを基に生成された第 3の喑号键により暗号化されて前記不揮発性メモリに記憶されており、

パスワードを入力し、入力されたパスヮードから前記第 3の暗号鍵を生成し、前記共通暗号鍵と生成された第 3の暗号鍵とを用いて前記個別暗号键を復号化する、ことを特徴とする請求項 2 6に記載の不揮発性メモリのアクセス方法。

2 9 . 前記共通暗号鍵及ぴ復号化された個別暗号鍵は、外部からのァクセスに対し、プロテクトされている、ことを特徴とする請求項 2 6に記載の不揮発性メモリのアクセス方法。