メッセージを符号化/復号化する方法および関連する装置
本発明は、セキュア装置(1)とクライアント装置のネットワークにおける所定のクライアント装置(Cj)との間で交換されるべきメッセージを暗号化/復号化する方法ならびにセキュア装置に関する。この方法は、
−私有鍵(nj,dj)および公開鍵(nj,ej)を用いてそれぞれセキュア装置(1)および所定のクライアント装置(Cj)によって非対称暗号の演算を実施するステップと、
−セキュア装置に記憶されている秘密マスター鍵(MK)および所定のクライアント装置(Cj)によって発行された少なくとも1つの公開データアイテム(nj,CIDj)に基づき、所定のクライアント装置(Cj)の公開鍵(nj,ej)に対応する私有鍵(nj,dj)を求めるステップとを有する。
−私有鍵(nj,dj)および公開鍵(nj,ej)を用いてそれぞれセキュア装置(1)および所定のクライアント装置(Cj)によって非対称暗号の演算を実施するステップと、
−セキュア装置に記憶されている秘密マスター鍵(MK)および所定のクライアント装置(Cj)によって発行された少なくとも1つの公開データアイテム(nj,CIDj)に基づき、所定のクライアント装置(Cj)の公開鍵(nj,ej)に対応する私有鍵(nj,dj)を求めるステップとを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はネットワーク上でのメッセージを安全化および識別する方法ならびに対応するセキュア装置に関する。
【0002】
ネットワークは、例えばディジタルバスまたは無線伝送を介するか、インターネット網を用いるメッセージの交換に適した送信装置/受信装置のセットからなる。
【0003】
一般に認証局(certifying authority)と称されるセキュア送信/受信装置と、クライアント送信/受信装置との間のネットワークを介して伝送されるメッセージの流れを安全なものにするために、暗号化鍵を用いてメッセージを暗号化することが公知である。
【0004】
一般的に、メッセージを送信する装置は暗号化鍵を利用することができ、受信装置は対応する復号化鍵を利用することができる。
【0005】
メッセージの暗号化は主に2つのタイプの用途を有する:
−平文を理解不能且つ利用不能なテキストに置換するメッセージの安全化
−ディジタル署名を使用してネットワークを介して伝送されるメッセージの起点および完全性を保証するメッセージの識別。
【0006】
これらの用途の両方のタイプにおいては、第三者による不正な傍受およびメッセージの復号化の危険を最小にすること、または署名の不正な添付による改竄の危険を最小にすることに適している。
【0007】
したがって種々の暗号方法が、権限のない暗号化または復号化を回避するために提案されている。
【0008】
例えば、いわゆる対称暗号方法が提案されている。これらの方法においては、秘密鍵と称される同一の鍵がメッセージの暗号化および復号化に使用される。しかしながらこれらの方法は非常に安全ではない。何故ならば、秘密鍵が発見された場合にはネットワークの全ての送信/受信装置が壊されるからである。
【0009】
そのような方法の改善策は対称鍵導出と称される技術を使用することである。図1はこの技術の使用例を示す。この図1は認証局100のアーキテクチャと、この認証局100と通信することができる装置のネットワークの所定のクライアント装置102のアーキテクチャを概略的に示す。
【0010】
対照鍵導出の技術によれば、各クライアント装置102はネットワークの他の装置の鍵とは異なる固有の暗号化/復号化鍵KDiを有する。この鍵は各クライアント装置102に記憶されている識別子CIDiおよび認証局100のみに既知であるいわゆるマスター鍵MKに基づき計算または導出される。この導出鍵はメッセージの暗号化にも復号化にも使用される。
【0011】
導出鍵KDiは最初に認証局によって生成されて、安全なやり方で各クライアント装置に記憶される。その後は、所定のクライアント装置とのメッセージmの交換前にはその都度認証局100がクライアント装置102にそのクライアント装置102の識別子CIDiを要求し、識別子CIDiおよびマスター鍵MKに導出関数を適用することにより、関連するクライアント装置の導出鍵KDiを再計算する。次に、認証局は計算された導出鍵を用いてメッセージを暗号化(記号「E」)または復号化(記号「D」)する。記号E{KDi}(m)は鍵KDiを用いるメッセージmの暗号化に対応する。
【0012】
メッセージの識別に使用されるいわゆる対称鍵導出の技術の例は刊行物WO 02/19613に記載されている。
【0013】
この技術は慣例の対称方法よりも安全である。何故ならば所定のクライアント装置の導出鍵がハッキングされた場合でも、ハッカーは他の装置の導出鍵を計算できないのでネットワークの全てのクライアント装置が壊されることはないからである。しかしながら、この技術は全てのクライアント装置の安全化を要求するために費用がかかる。
【0014】
さらには、非対称暗号方法が提案されている。これらの方法は、公開鍵/私有鍵と称される同一でない暗号化鍵と復号化鍵の組を使用することを特徴とする。
【0015】
図2は非対称方法の使用例を示し、ここではクライアント装置202,203が暗号化されたメッセージを認証局200に伝送することができる。
【0016】
この非対称方法によれば、クライアント装置のネットワークの各クライアント装置202,203は公開鍵PubCi,PubCjを有し、これらの公開鍵はクライアント装置固有のものであり、また伝送すべきメッセージmを暗号化するために使用される。認証局200はデータベースにクライアント装置の公開鍵に対応する全ての私有鍵を記憶する。図2の例では私有鍵が認証局200によって各クライアント装置の識別子と共に記憶される。クライアント装置203が暗号化されたメッセージを認証局200に伝送しようとする場合には、このクライアント装置203は自身の公開鍵E{PubCi}を用いて暗号化されたメッセージmに付加的に自身の識別子CIDiも伝送するので、認証局はタイプする私有鍵PrivCiを検索することができる。続いてメッセージmが私有鍵PrivCiを用いて復号化される。
【0017】
有利には、そのような非対称方法はクライアント装置の安全化を要求しない。殊にクライアント装置をハッキングしても、したがってそのクライアント装置の公開暗号化鍵を発見しても、発行されたメッセージを復号化することはできない。殊にこの公開暗号化鍵に対応する公開鍵でしかメッセージを復号化することはできない。
【0018】
しかしながらこのタイプの非対称方法の主な欠点は、認証局がネットワークの全てのクライアント装置の全ての私有鍵を記憶しているデータベースを管理しなければならないことである。このデータベースは相当大きいメモリを必要とする。さらには、このデータベースにおけるプライベート鍵の検索は、交換を妨げる相当に長いメッセージ伝送時間を必要とする。
【0019】
別の例として、私有鍵/公開鍵のただ1つの組が全てのメッセージを暗号化する非対称方法が提案されている。したがって、ネットワークのクライアント装置は全て同じ公開鍵を有しており、また認証局はユニークな私有鍵を記憶する。しかしながらこれらの方法も十分に安全なものではない。何故ならば、私有鍵のハッキングによってクライアント装置のネットワーク全体が壊されることになるからである。
【0020】
本発明の課題は、非対称鍵の記憶およびデータベースの管理を要求することなく、セキュリティのレベルが高まっている暗号化/復号化の代替的な方法を提供することである。
【0021】
この目的に関して、本発明の対象は通信ネットワークを用いて送信器と受信器との間で交換されるべきメッセージを暗号化/復号化する方法であり、ここで送信器および受信器の双方はセキュア装置とクライアント装置のネットワーク内の所定のクライアント装置の内の1つであり、この方法は以下のステップを有する:
−公開鍵とこの公開鍵とは異なる私有鍵を用いてそれぞれセキュア装置および所定のクライアント装置によって非対暗号の演算を実施するステップと、
−所定のクライアント装置からセキュア装置へと少なくとも1つの公開データアイテムを発行するステップとを有し、
さらに、セキュア装置によって暗号化されたメッセージを送信/受信している間にその都度、セキュア装置に記憶されている秘密マスター鍵および所定のクライアント装置によって発行された公開データアイテムまたは各公開データアイテムに基づき、所定のクライアント装置の公開鍵に対応する私有鍵を求めるステップを有することを特徴とする。
【0022】
有利にはこの方法は非対称暗号方法に関連する対称鍵導出の技術を使用する。したがって、導出技術は秘密導出鍵を生成するためには使用されずに、私有鍵/公開鍵の1つの組の私有鍵を生成するために使用される。
【0023】
本発明の別の対象は、通信ネットワークを介してクライアント装置のネットワークの所定のクライアント装置とメッセージを交換することができるセキュア装置であり、このセキュア装置は所定のクライアント装置に固有であり、且つメッセージのあらゆる交換に先行してクライアント装置によって発行された少なくとも1つの公開データアイテムを受信することができ、このセキュア装置は所定のクライアント装置に記憶されている公開鍵に対応する私有鍵を用いて非対称暗号の演算を実施する手段を有し、さらに、マスター鍵を記憶するセキュアな手段と、マスター鍵および発行された公開データアイテムまたは各公開データアイテムに基づき前述の私有鍵を求める手段とを有する。
【0024】
本発明は、付属の図面を参照する実施例および実施形態を用いてさらに理解および説明される。なお、本発明はそれらの実施例および実施形態に限定されるものではない。図面において、
−図1は認証局のアーキテクチャと対称鍵導出の公知の方法により暗号化されたメッセージを交換することができる受信装置のアーキテクチャとを示し、
−図2は認証局のアーキテクチャと非対称暗号化の公知の方法により暗号化されたメッセージを交換することができる送信装置のアーキテクチャとを示し、
−図3はネットワークの装置のイニシャライズ段階の間に私有鍵/公開鍵の組を生成するための本発明の実施例によるセキュア装置のアーキテクチャを示し、
−図4は本発明の実施例によるイニシャライズ段階の間の暗号化/復号化の方法の種々のステップの概略的なチャートを示し、
−図5は本発明の実施例によるメッセージを安全化するためのクライアント装置およびセキュア装置のアーキテクチャを示し、
−図6は本発明の実施例によるメッセージを安全化するための暗号化/復号化の方法の種々のステップの概略的なチャートを示し、
−図7は本発明の実施例によるメッセージを識別するためのクライアント装置およびセキュア装置のアーキテクチャを示し、
−図8は本発明の実施例によるメッセージを識別するための暗号化/復号化の方法のステップの概略的なチャートを示す。
【0025】
図3はセキュア装置1のアーキテクチャおよびクライアント装置Ciのアーキテクチャを示す。
【0026】
セキュア装置1は乱数発生器2、マスター鍵を記憶するためのメモリ3、私有鍵の一部diを計算するためのモジュール4および公開鍵PubCiを計算するためのモジュール5を有する。
【0027】
乱数発生器2は一方ではいわゆるマスター鍵MKを構成することに適した数を生成し、他方ではネットワークのクライアント装置が識別することができる複数の数CIDiを生成することができる。
【0028】
有利には、いわゆるマスター鍵は128ビットの長さを有し、クライアント装置Ci,Cjの識別子CIDi,CIDjは64ビットの長さを有する。
【0029】
付加的に発生器2は、計算モジュール5による公開鍵の計算に使用される512ビットのランダムな2つの異なる大きな奇の素数pおよびqを生成することができる。
【0030】
セキュア装置のメモリ3は「ROM」または「EEPROM」タイプなどの不揮発性である。このメモリは発生器2によって生成されたマスター鍵MKを記憶することができる。マスター鍵はセキュア装置にのみ既知な秘密鍵であるので、この秘密鍵を記憶するためのメモリ3は有利には交換されるメッセージのセキュリティを保障するために非常に安全なものである。
【0031】
計算モジュール4は私有鍵/公開鍵の組の私有鍵の一部を求めることができる。一般的に、私有鍵PrivCiは2つの部分からなる混合された鍵である。第1の部分はあらゆる非対称アルゴリズムにおいて係数niと称される公開鍵の一部によって形成されている。第2の部分は一般に、RSAタイプの非対称アルゴリズムにおける秘密指数diと称される:PrivCi=(ni,di)計算モジュール4はクライアント装置Ciの識別子CIDiおよびマスター鍵MKに基づき、私有鍵PrivCiの第2の部分diを計算することができる。
【0032】
計算モジュール4は有利には、識別子CIDiの長さをECIDiと称される識別子の拡張への変更関数を実施することができる計算ユニット6を有する。例えばMGFと称される公知の拡張関数を使用することができる。この関数は64のビット数を1024のビット数に拡張することができる。殊にこの関数はインターネットアドレス:ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1.pdfから入手可能な刊行物RSA Laboratories “PKCS #1v2.1: RSA Cryptography Standard、2002年1月14日に記載されている。
【0033】
計算モジュール4はマスター鍵MKに基づき識別子の拡張ECIDiを暗号化するためのユニット7を有する。このユニットは対称導出アルゴリズムを実施する。有利には、このアルゴリズムはCBCモードにおいて使用される一般にAES“Advanced Encryption Standard”と称されるアルゴリズムを使用する。このアルゴリズムはインターネットアドレス:http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf.において入手可能な刊行物FIPS 197、2001年11月26日に記載されている。
【0034】
有利には、計算モジュール4は識別子の拡張の結果または暗号化されたECIDiに依存して、秘密指数diを選択するためのユニット8も有する。この秘密指数diを選択するために、選択ユニット8は決定性関数を使用する。例えば、このユニットはデータアイテムが以下の判定基準を満たすようにデータアイテムを選択することに適している:
−このデータアイテムdiは識別子の拡張の暗号化の結果ECIDiよりも小さくなくてはならない
−このデータアイテムdiは素数のリスト:2,3,5,7,11,13と互いに素である、識別子の拡張の暗号化の結果ECIDiに最も近い数でなくてはならない。必要に応じて、後者の条件はより長い素数のリストに拡張してもよい。
【0035】
概略的に算出モジュール5を2つの計算ユニットに分けることができる。各ユニットは公開鍵:PubCi=(ni,ei)のエレメントを計算することができる。
【0036】
第1の計算ユニット9は、(pi−1)×(qi−1)が秘密指数diと互いに素であるように乱数発生器2によって生成された2つの大きな素数piおよびqiを選択することができる。実際には、(pi−1)がdiと互いに素である数piが最初に生成され、続いて(qi−1)がdiと互いに素である数qiが生成される。
【0037】
付加的に、この計算ユニット9はni=pi×qiであるように係数niと称される私有鍵の第1の部分を計算することができる。係数niは私有鍵PrivCi=(ni,di)のエレメントも構成する。
【0038】
第2の計算ユニット10は秘密データpi,qiおよびdiに基づき公開鍵eiの他のエレメントを計算するために拡張ユークリッド互除法を使用する。この拡張ユークリッド互除法は殊に、A. Menezes, P. van OorschotおよびS. Vanstoneによる刊行物“Handbook of Applied Cryptography”CRC Press、1996年、第67ページに記載されている。この刊行物をインターネットアドレス:http://www.cacr.math.uwaterloo.ca/hac/において参照することができる。
【0039】
より正確には、データアイテムeiを以下のように計算する。
ei×di=1mod(pi−1)×(qi−1)
【0040】
ネットワークのクライアント装置Ciは識別子CIDiおよび公開鍵PubCi=(ni,ei)を記憶するためのメモリ11ならびに非対称暗号化または署名検証のためのモジュールを有する。
【0041】
一般的に、通信ネットワークのセキュア装置1およびクライアント装置Ci,Cjは暗号化されたメッセージを交換できるようにするためにパーソナライズまたはイニシャライズされる。
【0042】
本発明によるセキュア装置およびクライアント装置のパーソナライズの方法の基本的なステップをここで説明する。
【0043】
本発明によるパーソナライズの方法はセキュア装置1に対して設けられているユニークなマスター鍵MKおよびネットワークのクライアント装置Ci,Cjを特徴化またはパーソナライズするために設けられている複数の識別子CIDi,CIDjを生成する第1のステップを有する。
【0044】
この方法は各クライアント装置に関連する私有鍵/公開鍵の組を計算する第2のステップを有する。殊に、私有鍵はセキュア装置のマスター鍵MKを用いて各クライアント装置Ciの識別子CIDiを暗号化することによって取得される:PrivCi=f{MK}(CIDi)。対応する公開鍵PubCiは殊に私有鍵に基づいて、例えば拡張ユークリッド互除法を使用する数学的な関数を適用することにより計算される:PubCi=F(PrivCi)。
【0045】
セキュア装置およびネットワークのクライアント装置のパーソナライズの方法の第3のステップによれば、生成された識別子CIDi,CIDjおよびこの識別子CIDi,CIDjに基づき計算された公開鍵PubCi,PubCjはネットワークの各クライアント装置Ci,Cjに発行されるか、製造中にクライアント装置に挿入される。
【0046】
最後に、対応する私有鍵PrivCi,PrivCj、ならびに私有鍵/公開鍵の組を計算することを可能にする中間データの全体のセットが破棄される。したがって、セキュア装置はこれらのクライアント装置のいずれかに関連するいずれのデータアイテムも記憶しない。
【0047】
ここでパーソナライズのステップの実施例のステップを図4に関連させて説明する。
【0048】
ネットワークの装置のパーソナライズの段階のステップ41においては、発生器2がマスター鍵MKを構成する128ビットの乱数およびパーソナライズされるべきクライアント装置Ciの識別子CIDiになることができる64ビットの数を生成する。
【0049】
したがってステップ42においては、生成されたマスター鍵MKがセキュア装置1のメモリ3に記憶される。このマスター鍵MKはネットワークの全てのクライアント装置に関連する私有鍵/公開鍵の組の全てのセットを計算するための基礎として使用される。
【0050】
ステップ43においては、計算ユニット6が識別子の拡張ECIDiを形成する128のビット数を生成するために、クライアント装置Ciの識別子CIDiを拡張アルゴリズムによって拡張する。
【0051】
識別子の拡張ECIDiはマスター鍵MKを用いてステップ44において暗号化される。この暗号化はAESタイプの対称アルゴリズムを適用することにより計算ユニット7によって実行される。
【0052】
次に、ステップ45において選択ユニット8が秘密指数diを形成する数を選択する。
【0053】
ステップ46および47の過程においては、計算モジュール5が2つの大きな素数piおよびqiを選択し、これらの数および秘密指数diに基づき公開鍵PubCi=(ni,ei)を計算する。
【0054】
所定のクライアント装置Ciの公開鍵PubCi=(ni,ei)が計算されるやいなや、ステップ48においてセキュア装置1はここでは詳細に説明しない安全なやり方で、この公開鍵が計算される識別子CIDiと共に公開鍵を所定のクライアント装置に発行する。
【0055】
識別子CIDiおよび公開鍵PubCiはクライアント装置Ciのメモリ11に記録される。
【0056】
有利には、本発明によれば、クライアント装置のメモリ11は読み出しに対して安全である必要はない。何故ならば、公開鍵PubCiおよび識別子CIDiを発見したとしても対応する私有鍵PrivCiまたはネットワークの他の私有鍵または公開鍵をいずれにせよ計算することができないので、伝送される暗号化されたメッセージおよび送信/受信装置のネットワークのセキュリティは保護されるからである。
【0057】
さらには、識別子CIDiならびにこの識別子CIDiに基づき計算された全てのデータセット、殊に秘密データpiおよびqi、秘密指数di、公開指数ei、係数niおよび識別子の拡張ECIDiはセキュア装置1のメモリ3に保存されずにステップ49において破棄される。
【0058】
したがって、マスター鍵MKをハッキングしたとしても、その識別子を知ることなく所定のクライアント装置に関連する私有鍵/公開鍵を計算することはできない。
【0059】
パーソナライズの方法は、安全化または識別の観点において暗号化されたメッセージを交換することができるようにセキュア装置およびクライアント装置を構成することを目的とする。
【0060】
本発明による送信/受信装置の実施例をここで図5および6に関連させて説明する。
【0061】
殊に、図5は暗号化されたメッセージE{Pub Cj}(m)を発行できる所定のクライアント装置Cjのアーキテクチャならびにこのメッセージを復号化することができるセキュア装置1のアーキテクチャを示す。
【0062】
一般的に、クライアント装置Ciは不揮発性のメモリ11および暗号化モジュール12を有する。
クライアント装置Cjのメモリ11は識別子CIDjと、係数njおよび公開データアイテムejからなる公開鍵PubCjとを包含する。
【0063】
セキュア装置1はマスター鍵MKが記憶されているメモリ3、秘密指数djを計算するためのモジュール4および復号化モジュール13を有する。
【0064】
本発明によれば、暗号化モジュール12および復号化モジュール13は例えばアルゴリズムRSAES−OAEPのようなアルゴリズムを実施する非対称暗号化の方法を使用する。このアルゴリズムの記述は、前述の刊行物《PKCS #1v2.1:#RSA Cryptography Standard》において発見することができる。
【0065】
秘密指数djを計算するためのモジュール4は、クライアント装置のパーソナライズの段階において使用される計算モジュール4と同一の計算ユニットを有する。したがって、この計算ユニットはパーソナライズの段階において行われるやり方と同じやり方でクライアント装置Ciの識別子CIDiおよびマスター鍵MKに基づき秘密指数diを計算するので、この秘密指数diはクライアント装置Ciのメモリ11に記憶されている公開暗号化鍵PubCiに依然として対応している。
【0066】
ここでメッセージを安全化するための暗号化/復号化の方法を図6に関連させて詳細に説明する。
【0067】
この方法は伝送されるべきメッセージを暗号化するステップ61を有する。この暗号化は公開鍵PubCj=(nj,ej)を用いてクライアント装置Cjの暗号化モジュール12によって実行される。
E{Pub Cj}(m)=RSAES−OAEP Encrypt{(nj,ej)}(m)
【0068】
次に、ステップ62において、クライアント装置Cjの識別子CIDjおよび係数njならびに暗号化されたメッセージE{Pub Cj}(m)がセキュア装置1に発行される。
【0069】
最後に、セキュア装置1の秘密指数djを計算するためのモジュール4における計算ユニット6,7および選択ユニット8が、クライアント装置Cjによって発行された識別子CIDjに基づき識別子の拡張ECIDjを計算するステップ63、マスター鍵MKを用いて識別子の拡張ECIDjを暗号化するステップ64および識別子の拡張ECIDjの暗号化の結果に基づき秘密指数djを選択するステップ65を実施する。選択ユニット8はクライアント装置のパーソナライズの段階において適用される選択規則と同じ選択規則を使用することが必要とされる。
【0070】
最後に、セキュア装置1の非対称復号化を行うモジュール13は、クライアント装置Cjによって発行された、計算された秘密指数djおよび係数njからなる混合された私有鍵を用いてメッセージを復号化するステップ66を実行する:
m=RSAES−OAEP−Decrypt{(dj,nj)}(E{Pub Cj}(m))
【0071】
有利には、セキュア装置1はメッセージを送信するクライアント装置Cjと結び付くデータアイテムを保持しない。殊に、クライアント装置の識別子CIDj、この識別子CIDjの拡張ECIDj、このクライアント装置CIDjの秘密指数djおよび係数njがステップ67において破棄される。
【0072】
本発明の暗号化/復号化方法は、セキュア装置1によって署名が添付され、この署名されたメッセージが送信されるクライアント装置Cjによってその署名が検証されることによってメッセージを識別することも可能にする。
【0073】
メッセージの起点を識別するために使用される本発明による暗号化/復号化の方法を図7および図8に関連させて説明する。
【0074】
図7はセキュア装置1とクライアント装置Cjのアーキテクチャを概略的に示す。
【0075】
セキュア装置およびクライアント装置からなるシステムは図5に関連させて説明したシステムと類似する。したがって、図5と図7に共通する構成要素には同一の参照番号を使用し、ここでは再度説明しない。
【0076】
実際には、セキュア装置/クライアント装置のシステムは同一のモジュール4およびメモリ3,11を有するが、セキュア装置の復号化を行うモジュール13およびクライアント装置の暗号化を行うモジュール12はそれぞれ署名生成モジュール14および署名検証モジュール15に置換されている点が異なる。
【0077】
メッセージの署名に使用される暗号化/復号化方法はステップ81を有し、このステップ81の過程においてはセキュア装置1が署名されたメッセージmを発行しようとするクライアント装置Cjから識別子CIDjおよび係数njを要求する。
【0078】
ステップ82,83および84の過程において、前述のメッセージmの安全化またはパーソナライズに使用される暗号化/復号化と同じやり方で、セキュア装置1の計算を行うモジュール4は発行された識別子CIDjおよびマスター鍵MKに基づきクライアント装置Cjの秘密指数djを再計算する。
【0079】
次に、ステップ85において、セキュア装置1の署名を行うモジュール14は、クライアント装置Cjによって発行された、計算された秘密指数djおよび係数njを用いてメッセージに署名する:S{PrivCj}(m)、ここでPrivCj=(dj,nj)。
【0080】
最後に、ステップ86において、セキュア装置1はメッセージmならびにその署名S{(dj,nj)}(m)を所定のクライアント装置Cjに発行する。
【0081】
ステップ87においては、クライアント装置Cjの検証を行うモジュール15が演算を実施することにより、メモリ11に記憶されており且つ私有鍵PrivCj=(dj,nj)に対応する公開鍵PubCj=(nj,ej)を用いてメッセージの書名を検証する:
V{PubCj}(S{PrivCj}(m))=0または1
【0082】
ステップ88においては、私有鍵を求めることができる所定のクライアント装置Cjの識別子CIDjおよび中間データCIDj,ECIDj,djおよびnjがセキュア装置によって破棄される。
【0083】
署名演算Sおよび署名検証演算Vに関して、前述の刊行物《PKCS#1v2.1:RSA Cryptography Standard》に記載されているRSASSA−PSSアルゴリズムを使用することができる。
【図面の簡単な説明】
【0084】
【図1】認証局のアーキテクチャと対称鍵導出の公知の方法により暗号化されたメッセージを交換することができる受信装置のアーキテクチャ。
【図2】認証局のアーキテクチャと非対称暗号化の公知の方法により暗号化されたメッセージを交換することができる送信装置のアーキテクチャ。
【図3】ネットワークの装置のイニシャライズ段階の間に私有鍵/公開鍵の組を生成するための本発明の実施例によるセキュア装置のアーキテクチャ。
【図4】本発明の実施例によるイニシャライズ段階の間の暗号化/復号化の方法の種々のステップの概略的なチャート。
【図5】本発明の実施例によるメッセージを安全化するためのクライアント装置およびセキュア装置のアーキテクチャ。
【図6】本発明の実施例によるメッセージを安全化するための暗号化/復号化の方法の種々のステップの概略的なチャート。
【図7】本発明の実施例によるメッセージを識別するためのクライアント装置およびセキュア装置のアーキテクチャ。
【図8】本発明の実施例によるメッセージを識別するための暗号化/復号化の方法のステップの概略的なチャート。
【技術分野】
【0001】
本発明はネットワーク上でのメッセージを安全化および識別する方法ならびに対応するセキュア装置に関する。
【0002】
ネットワークは、例えばディジタルバスまたは無線伝送を介するか、インターネット網を用いるメッセージの交換に適した送信装置/受信装置のセットからなる。
【0003】
一般に認証局(certifying authority)と称されるセキュア送信/受信装置と、クライアント送信/受信装置との間のネットワークを介して伝送されるメッセージの流れを安全なものにするために、暗号化鍵を用いてメッセージを暗号化することが公知である。
【0004】
一般的に、メッセージを送信する装置は暗号化鍵を利用することができ、受信装置は対応する復号化鍵を利用することができる。
【0005】
メッセージの暗号化は主に2つのタイプの用途を有する:
−平文を理解不能且つ利用不能なテキストに置換するメッセージの安全化
−ディジタル署名を使用してネットワークを介して伝送されるメッセージの起点および完全性を保証するメッセージの識別。
【0006】
これらの用途の両方のタイプにおいては、第三者による不正な傍受およびメッセージの復号化の危険を最小にすること、または署名の不正な添付による改竄の危険を最小にすることに適している。
【0007】
したがって種々の暗号方法が、権限のない暗号化または復号化を回避するために提案されている。
【0008】
例えば、いわゆる対称暗号方法が提案されている。これらの方法においては、秘密鍵と称される同一の鍵がメッセージの暗号化および復号化に使用される。しかしながらこれらの方法は非常に安全ではない。何故ならば、秘密鍵が発見された場合にはネットワークの全ての送信/受信装置が壊されるからである。
【0009】
そのような方法の改善策は対称鍵導出と称される技術を使用することである。図1はこの技術の使用例を示す。この図1は認証局100のアーキテクチャと、この認証局100と通信することができる装置のネットワークの所定のクライアント装置102のアーキテクチャを概略的に示す。
【0010】
対照鍵導出の技術によれば、各クライアント装置102はネットワークの他の装置の鍵とは異なる固有の暗号化/復号化鍵KDiを有する。この鍵は各クライアント装置102に記憶されている識別子CIDiおよび認証局100のみに既知であるいわゆるマスター鍵MKに基づき計算または導出される。この導出鍵はメッセージの暗号化にも復号化にも使用される。
【0011】
導出鍵KDiは最初に認証局によって生成されて、安全なやり方で各クライアント装置に記憶される。その後は、所定のクライアント装置とのメッセージmの交換前にはその都度認証局100がクライアント装置102にそのクライアント装置102の識別子CIDiを要求し、識別子CIDiおよびマスター鍵MKに導出関数を適用することにより、関連するクライアント装置の導出鍵KDiを再計算する。次に、認証局は計算された導出鍵を用いてメッセージを暗号化(記号「E」)または復号化(記号「D」)する。記号E{KDi}(m)は鍵KDiを用いるメッセージmの暗号化に対応する。
【0012】
メッセージの識別に使用されるいわゆる対称鍵導出の技術の例は刊行物WO 02/19613に記載されている。
【0013】
この技術は慣例の対称方法よりも安全である。何故ならば所定のクライアント装置の導出鍵がハッキングされた場合でも、ハッカーは他の装置の導出鍵を計算できないのでネットワークの全てのクライアント装置が壊されることはないからである。しかしながら、この技術は全てのクライアント装置の安全化を要求するために費用がかかる。
【0014】
さらには、非対称暗号方法が提案されている。これらの方法は、公開鍵/私有鍵と称される同一でない暗号化鍵と復号化鍵の組を使用することを特徴とする。
【0015】
図2は非対称方法の使用例を示し、ここではクライアント装置202,203が暗号化されたメッセージを認証局200に伝送することができる。
【0016】
この非対称方法によれば、クライアント装置のネットワークの各クライアント装置202,203は公開鍵PubCi,PubCjを有し、これらの公開鍵はクライアント装置固有のものであり、また伝送すべきメッセージmを暗号化するために使用される。認証局200はデータベースにクライアント装置の公開鍵に対応する全ての私有鍵を記憶する。図2の例では私有鍵が認証局200によって各クライアント装置の識別子と共に記憶される。クライアント装置203が暗号化されたメッセージを認証局200に伝送しようとする場合には、このクライアント装置203は自身の公開鍵E{PubCi}を用いて暗号化されたメッセージmに付加的に自身の識別子CIDiも伝送するので、認証局はタイプする私有鍵PrivCiを検索することができる。続いてメッセージmが私有鍵PrivCiを用いて復号化される。
【0017】
有利には、そのような非対称方法はクライアント装置の安全化を要求しない。殊にクライアント装置をハッキングしても、したがってそのクライアント装置の公開暗号化鍵を発見しても、発行されたメッセージを復号化することはできない。殊にこの公開暗号化鍵に対応する公開鍵でしかメッセージを復号化することはできない。
【0018】
しかしながらこのタイプの非対称方法の主な欠点は、認証局がネットワークの全てのクライアント装置の全ての私有鍵を記憶しているデータベースを管理しなければならないことである。このデータベースは相当大きいメモリを必要とする。さらには、このデータベースにおけるプライベート鍵の検索は、交換を妨げる相当に長いメッセージ伝送時間を必要とする。
【0019】
別の例として、私有鍵/公開鍵のただ1つの組が全てのメッセージを暗号化する非対称方法が提案されている。したがって、ネットワークのクライアント装置は全て同じ公開鍵を有しており、また認証局はユニークな私有鍵を記憶する。しかしながらこれらの方法も十分に安全なものではない。何故ならば、私有鍵のハッキングによってクライアント装置のネットワーク全体が壊されることになるからである。
【0020】
本発明の課題は、非対称鍵の記憶およびデータベースの管理を要求することなく、セキュリティのレベルが高まっている暗号化/復号化の代替的な方法を提供することである。
【0021】
この目的に関して、本発明の対象は通信ネットワークを用いて送信器と受信器との間で交換されるべきメッセージを暗号化/復号化する方法であり、ここで送信器および受信器の双方はセキュア装置とクライアント装置のネットワーク内の所定のクライアント装置の内の1つであり、この方法は以下のステップを有する:
−公開鍵とこの公開鍵とは異なる私有鍵を用いてそれぞれセキュア装置および所定のクライアント装置によって非対暗号の演算を実施するステップと、
−所定のクライアント装置からセキュア装置へと少なくとも1つの公開データアイテムを発行するステップとを有し、
さらに、セキュア装置によって暗号化されたメッセージを送信/受信している間にその都度、セキュア装置に記憶されている秘密マスター鍵および所定のクライアント装置によって発行された公開データアイテムまたは各公開データアイテムに基づき、所定のクライアント装置の公開鍵に対応する私有鍵を求めるステップを有することを特徴とする。
【0022】
有利にはこの方法は非対称暗号方法に関連する対称鍵導出の技術を使用する。したがって、導出技術は秘密導出鍵を生成するためには使用されずに、私有鍵/公開鍵の1つの組の私有鍵を生成するために使用される。
【0023】
本発明の別の対象は、通信ネットワークを介してクライアント装置のネットワークの所定のクライアント装置とメッセージを交換することができるセキュア装置であり、このセキュア装置は所定のクライアント装置に固有であり、且つメッセージのあらゆる交換に先行してクライアント装置によって発行された少なくとも1つの公開データアイテムを受信することができ、このセキュア装置は所定のクライアント装置に記憶されている公開鍵に対応する私有鍵を用いて非対称暗号の演算を実施する手段を有し、さらに、マスター鍵を記憶するセキュアな手段と、マスター鍵および発行された公開データアイテムまたは各公開データアイテムに基づき前述の私有鍵を求める手段とを有する。
【0024】
本発明は、付属の図面を参照する実施例および実施形態を用いてさらに理解および説明される。なお、本発明はそれらの実施例および実施形態に限定されるものではない。図面において、
−図1は認証局のアーキテクチャと対称鍵導出の公知の方法により暗号化されたメッセージを交換することができる受信装置のアーキテクチャとを示し、
−図2は認証局のアーキテクチャと非対称暗号化の公知の方法により暗号化されたメッセージを交換することができる送信装置のアーキテクチャとを示し、
−図3はネットワークの装置のイニシャライズ段階の間に私有鍵/公開鍵の組を生成するための本発明の実施例によるセキュア装置のアーキテクチャを示し、
−図4は本発明の実施例によるイニシャライズ段階の間の暗号化/復号化の方法の種々のステップの概略的なチャートを示し、
−図5は本発明の実施例によるメッセージを安全化するためのクライアント装置およびセキュア装置のアーキテクチャを示し、
−図6は本発明の実施例によるメッセージを安全化するための暗号化/復号化の方法の種々のステップの概略的なチャートを示し、
−図7は本発明の実施例によるメッセージを識別するためのクライアント装置およびセキュア装置のアーキテクチャを示し、
−図8は本発明の実施例によるメッセージを識別するための暗号化/復号化の方法のステップの概略的なチャートを示す。
【0025】
図3はセキュア装置1のアーキテクチャおよびクライアント装置Ciのアーキテクチャを示す。
【0026】
セキュア装置1は乱数発生器2、マスター鍵を記憶するためのメモリ3、私有鍵の一部diを計算するためのモジュール4および公開鍵PubCiを計算するためのモジュール5を有する。
【0027】
乱数発生器2は一方ではいわゆるマスター鍵MKを構成することに適した数を生成し、他方ではネットワークのクライアント装置が識別することができる複数の数CIDiを生成することができる。
【0028】
有利には、いわゆるマスター鍵は128ビットの長さを有し、クライアント装置Ci,Cjの識別子CIDi,CIDjは64ビットの長さを有する。
【0029】
付加的に発生器2は、計算モジュール5による公開鍵の計算に使用される512ビットのランダムな2つの異なる大きな奇の素数pおよびqを生成することができる。
【0030】
セキュア装置のメモリ3は「ROM」または「EEPROM」タイプなどの不揮発性である。このメモリは発生器2によって生成されたマスター鍵MKを記憶することができる。マスター鍵はセキュア装置にのみ既知な秘密鍵であるので、この秘密鍵を記憶するためのメモリ3は有利には交換されるメッセージのセキュリティを保障するために非常に安全なものである。
【0031】
計算モジュール4は私有鍵/公開鍵の組の私有鍵の一部を求めることができる。一般的に、私有鍵PrivCiは2つの部分からなる混合された鍵である。第1の部分はあらゆる非対称アルゴリズムにおいて係数niと称される公開鍵の一部によって形成されている。第2の部分は一般に、RSAタイプの非対称アルゴリズムにおける秘密指数diと称される:PrivCi=(ni,di)計算モジュール4はクライアント装置Ciの識別子CIDiおよびマスター鍵MKに基づき、私有鍵PrivCiの第2の部分diを計算することができる。
【0032】
計算モジュール4は有利には、識別子CIDiの長さをECIDiと称される識別子の拡張への変更関数を実施することができる計算ユニット6を有する。例えばMGFと称される公知の拡張関数を使用することができる。この関数は64のビット数を1024のビット数に拡張することができる。殊にこの関数はインターネットアドレス:ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1.pdfから入手可能な刊行物RSA Laboratories “PKCS #1v2.1: RSA Cryptography Standard、2002年1月14日に記載されている。
【0033】
計算モジュール4はマスター鍵MKに基づき識別子の拡張ECIDiを暗号化するためのユニット7を有する。このユニットは対称導出アルゴリズムを実施する。有利には、このアルゴリズムはCBCモードにおいて使用される一般にAES“Advanced Encryption Standard”と称されるアルゴリズムを使用する。このアルゴリズムはインターネットアドレス:http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf.において入手可能な刊行物FIPS 197、2001年11月26日に記載されている。
【0034】
有利には、計算モジュール4は識別子の拡張の結果または暗号化されたECIDiに依存して、秘密指数diを選択するためのユニット8も有する。この秘密指数diを選択するために、選択ユニット8は決定性関数を使用する。例えば、このユニットはデータアイテムが以下の判定基準を満たすようにデータアイテムを選択することに適している:
−このデータアイテムdiは識別子の拡張の暗号化の結果ECIDiよりも小さくなくてはならない
−このデータアイテムdiは素数のリスト:2,3,5,7,11,13と互いに素である、識別子の拡張の暗号化の結果ECIDiに最も近い数でなくてはならない。必要に応じて、後者の条件はより長い素数のリストに拡張してもよい。
【0035】
概略的に算出モジュール5を2つの計算ユニットに分けることができる。各ユニットは公開鍵:PubCi=(ni,ei)のエレメントを計算することができる。
【0036】
第1の計算ユニット9は、(pi−1)×(qi−1)が秘密指数diと互いに素であるように乱数発生器2によって生成された2つの大きな素数piおよびqiを選択することができる。実際には、(pi−1)がdiと互いに素である数piが最初に生成され、続いて(qi−1)がdiと互いに素である数qiが生成される。
【0037】
付加的に、この計算ユニット9はni=pi×qiであるように係数niと称される私有鍵の第1の部分を計算することができる。係数niは私有鍵PrivCi=(ni,di)のエレメントも構成する。
【0038】
第2の計算ユニット10は秘密データpi,qiおよびdiに基づき公開鍵eiの他のエレメントを計算するために拡張ユークリッド互除法を使用する。この拡張ユークリッド互除法は殊に、A. Menezes, P. van OorschotおよびS. Vanstoneによる刊行物“Handbook of Applied Cryptography”CRC Press、1996年、第67ページに記載されている。この刊行物をインターネットアドレス:http://www.cacr.math.uwaterloo.ca/hac/において参照することができる。
【0039】
より正確には、データアイテムeiを以下のように計算する。
ei×di=1mod(pi−1)×(qi−1)
【0040】
ネットワークのクライアント装置Ciは識別子CIDiおよび公開鍵PubCi=(ni,ei)を記憶するためのメモリ11ならびに非対称暗号化または署名検証のためのモジュールを有する。
【0041】
一般的に、通信ネットワークのセキュア装置1およびクライアント装置Ci,Cjは暗号化されたメッセージを交換できるようにするためにパーソナライズまたはイニシャライズされる。
【0042】
本発明によるセキュア装置およびクライアント装置のパーソナライズの方法の基本的なステップをここで説明する。
【0043】
本発明によるパーソナライズの方法はセキュア装置1に対して設けられているユニークなマスター鍵MKおよびネットワークのクライアント装置Ci,Cjを特徴化またはパーソナライズするために設けられている複数の識別子CIDi,CIDjを生成する第1のステップを有する。
【0044】
この方法は各クライアント装置に関連する私有鍵/公開鍵の組を計算する第2のステップを有する。殊に、私有鍵はセキュア装置のマスター鍵MKを用いて各クライアント装置Ciの識別子CIDiを暗号化することによって取得される:PrivCi=f{MK}(CIDi)。対応する公開鍵PubCiは殊に私有鍵に基づいて、例えば拡張ユークリッド互除法を使用する数学的な関数を適用することにより計算される:PubCi=F(PrivCi)。
【0045】
セキュア装置およびネットワークのクライアント装置のパーソナライズの方法の第3のステップによれば、生成された識別子CIDi,CIDjおよびこの識別子CIDi,CIDjに基づき計算された公開鍵PubCi,PubCjはネットワークの各クライアント装置Ci,Cjに発行されるか、製造中にクライアント装置に挿入される。
【0046】
最後に、対応する私有鍵PrivCi,PrivCj、ならびに私有鍵/公開鍵の組を計算することを可能にする中間データの全体のセットが破棄される。したがって、セキュア装置はこれらのクライアント装置のいずれかに関連するいずれのデータアイテムも記憶しない。
【0047】
ここでパーソナライズのステップの実施例のステップを図4に関連させて説明する。
【0048】
ネットワークの装置のパーソナライズの段階のステップ41においては、発生器2がマスター鍵MKを構成する128ビットの乱数およびパーソナライズされるべきクライアント装置Ciの識別子CIDiになることができる64ビットの数を生成する。
【0049】
したがってステップ42においては、生成されたマスター鍵MKがセキュア装置1のメモリ3に記憶される。このマスター鍵MKはネットワークの全てのクライアント装置に関連する私有鍵/公開鍵の組の全てのセットを計算するための基礎として使用される。
【0050】
ステップ43においては、計算ユニット6が識別子の拡張ECIDiを形成する128のビット数を生成するために、クライアント装置Ciの識別子CIDiを拡張アルゴリズムによって拡張する。
【0051】
識別子の拡張ECIDiはマスター鍵MKを用いてステップ44において暗号化される。この暗号化はAESタイプの対称アルゴリズムを適用することにより計算ユニット7によって実行される。
【0052】
次に、ステップ45において選択ユニット8が秘密指数diを形成する数を選択する。
【0053】
ステップ46および47の過程においては、計算モジュール5が2つの大きな素数piおよびqiを選択し、これらの数および秘密指数diに基づき公開鍵PubCi=(ni,ei)を計算する。
【0054】
所定のクライアント装置Ciの公開鍵PubCi=(ni,ei)が計算されるやいなや、ステップ48においてセキュア装置1はここでは詳細に説明しない安全なやり方で、この公開鍵が計算される識別子CIDiと共に公開鍵を所定のクライアント装置に発行する。
【0055】
識別子CIDiおよび公開鍵PubCiはクライアント装置Ciのメモリ11に記録される。
【0056】
有利には、本発明によれば、クライアント装置のメモリ11は読み出しに対して安全である必要はない。何故ならば、公開鍵PubCiおよび識別子CIDiを発見したとしても対応する私有鍵PrivCiまたはネットワークの他の私有鍵または公開鍵をいずれにせよ計算することができないので、伝送される暗号化されたメッセージおよび送信/受信装置のネットワークのセキュリティは保護されるからである。
【0057】
さらには、識別子CIDiならびにこの識別子CIDiに基づき計算された全てのデータセット、殊に秘密データpiおよびqi、秘密指数di、公開指数ei、係数niおよび識別子の拡張ECIDiはセキュア装置1のメモリ3に保存されずにステップ49において破棄される。
【0058】
したがって、マスター鍵MKをハッキングしたとしても、その識別子を知ることなく所定のクライアント装置に関連する私有鍵/公開鍵を計算することはできない。
【0059】
パーソナライズの方法は、安全化または識別の観点において暗号化されたメッセージを交換することができるようにセキュア装置およびクライアント装置を構成することを目的とする。
【0060】
本発明による送信/受信装置の実施例をここで図5および6に関連させて説明する。
【0061】
殊に、図5は暗号化されたメッセージE{Pub Cj}(m)を発行できる所定のクライアント装置Cjのアーキテクチャならびにこのメッセージを復号化することができるセキュア装置1のアーキテクチャを示す。
【0062】
一般的に、クライアント装置Ciは不揮発性のメモリ11および暗号化モジュール12を有する。
クライアント装置Cjのメモリ11は識別子CIDjと、係数njおよび公開データアイテムejからなる公開鍵PubCjとを包含する。
【0063】
セキュア装置1はマスター鍵MKが記憶されているメモリ3、秘密指数djを計算するためのモジュール4および復号化モジュール13を有する。
【0064】
本発明によれば、暗号化モジュール12および復号化モジュール13は例えばアルゴリズムRSAES−OAEPのようなアルゴリズムを実施する非対称暗号化の方法を使用する。このアルゴリズムの記述は、前述の刊行物《PKCS #1v2.1:#RSA Cryptography Standard》において発見することができる。
【0065】
秘密指数djを計算するためのモジュール4は、クライアント装置のパーソナライズの段階において使用される計算モジュール4と同一の計算ユニットを有する。したがって、この計算ユニットはパーソナライズの段階において行われるやり方と同じやり方でクライアント装置Ciの識別子CIDiおよびマスター鍵MKに基づき秘密指数diを計算するので、この秘密指数diはクライアント装置Ciのメモリ11に記憶されている公開暗号化鍵PubCiに依然として対応している。
【0066】
ここでメッセージを安全化するための暗号化/復号化の方法を図6に関連させて詳細に説明する。
【0067】
この方法は伝送されるべきメッセージを暗号化するステップ61を有する。この暗号化は公開鍵PubCj=(nj,ej)を用いてクライアント装置Cjの暗号化モジュール12によって実行される。
E{Pub Cj}(m)=RSAES−OAEP Encrypt{(nj,ej)}(m)
【0068】
次に、ステップ62において、クライアント装置Cjの識別子CIDjおよび係数njならびに暗号化されたメッセージE{Pub Cj}(m)がセキュア装置1に発行される。
【0069】
最後に、セキュア装置1の秘密指数djを計算するためのモジュール4における計算ユニット6,7および選択ユニット8が、クライアント装置Cjによって発行された識別子CIDjに基づき識別子の拡張ECIDjを計算するステップ63、マスター鍵MKを用いて識別子の拡張ECIDjを暗号化するステップ64および識別子の拡張ECIDjの暗号化の結果に基づき秘密指数djを選択するステップ65を実施する。選択ユニット8はクライアント装置のパーソナライズの段階において適用される選択規則と同じ選択規則を使用することが必要とされる。
【0070】
最後に、セキュア装置1の非対称復号化を行うモジュール13は、クライアント装置Cjによって発行された、計算された秘密指数djおよび係数njからなる混合された私有鍵を用いてメッセージを復号化するステップ66を実行する:
m=RSAES−OAEP−Decrypt{(dj,nj)}(E{Pub Cj}(m))
【0071】
有利には、セキュア装置1はメッセージを送信するクライアント装置Cjと結び付くデータアイテムを保持しない。殊に、クライアント装置の識別子CIDj、この識別子CIDjの拡張ECIDj、このクライアント装置CIDjの秘密指数djおよび係数njがステップ67において破棄される。
【0072】
本発明の暗号化/復号化方法は、セキュア装置1によって署名が添付され、この署名されたメッセージが送信されるクライアント装置Cjによってその署名が検証されることによってメッセージを識別することも可能にする。
【0073】
メッセージの起点を識別するために使用される本発明による暗号化/復号化の方法を図7および図8に関連させて説明する。
【0074】
図7はセキュア装置1とクライアント装置Cjのアーキテクチャを概略的に示す。
【0075】
セキュア装置およびクライアント装置からなるシステムは図5に関連させて説明したシステムと類似する。したがって、図5と図7に共通する構成要素には同一の参照番号を使用し、ここでは再度説明しない。
【0076】
実際には、セキュア装置/クライアント装置のシステムは同一のモジュール4およびメモリ3,11を有するが、セキュア装置の復号化を行うモジュール13およびクライアント装置の暗号化を行うモジュール12はそれぞれ署名生成モジュール14および署名検証モジュール15に置換されている点が異なる。
【0077】
メッセージの署名に使用される暗号化/復号化方法はステップ81を有し、このステップ81の過程においてはセキュア装置1が署名されたメッセージmを発行しようとするクライアント装置Cjから識別子CIDjおよび係数njを要求する。
【0078】
ステップ82,83および84の過程において、前述のメッセージmの安全化またはパーソナライズに使用される暗号化/復号化と同じやり方で、セキュア装置1の計算を行うモジュール4は発行された識別子CIDjおよびマスター鍵MKに基づきクライアント装置Cjの秘密指数djを再計算する。
【0079】
次に、ステップ85において、セキュア装置1の署名を行うモジュール14は、クライアント装置Cjによって発行された、計算された秘密指数djおよび係数njを用いてメッセージに署名する:S{PrivCj}(m)、ここでPrivCj=(dj,nj)。
【0080】
最後に、ステップ86において、セキュア装置1はメッセージmならびにその署名S{(dj,nj)}(m)を所定のクライアント装置Cjに発行する。
【0081】
ステップ87においては、クライアント装置Cjの検証を行うモジュール15が演算を実施することにより、メモリ11に記憶されており且つ私有鍵PrivCj=(dj,nj)に対応する公開鍵PubCj=(nj,ej)を用いてメッセージの書名を検証する:
V{PubCj}(S{PrivCj}(m))=0または1
【0082】
ステップ88においては、私有鍵を求めることができる所定のクライアント装置Cjの識別子CIDjおよび中間データCIDj,ECIDj,djおよびnjがセキュア装置によって破棄される。
【0083】
署名演算Sおよび署名検証演算Vに関して、前述の刊行物《PKCS#1v2.1:RSA Cryptography Standard》に記載されているRSASSA−PSSアルゴリズムを使用することができる。
【図面の簡単な説明】
【0084】
【図1】認証局のアーキテクチャと対称鍵導出の公知の方法により暗号化されたメッセージを交換することができる受信装置のアーキテクチャ。
【図2】認証局のアーキテクチャと非対称暗号化の公知の方法により暗号化されたメッセージを交換することができる送信装置のアーキテクチャ。
【図3】ネットワークの装置のイニシャライズ段階の間に私有鍵/公開鍵の組を生成するための本発明の実施例によるセキュア装置のアーキテクチャ。
【図4】本発明の実施例によるイニシャライズ段階の間の暗号化/復号化の方法の種々のステップの概略的なチャート。
【図5】本発明の実施例によるメッセージを安全化するためのクライアント装置およびセキュア装置のアーキテクチャ。
【図6】本発明の実施例によるメッセージを安全化するための暗号化/復号化の方法の種々のステップの概略的なチャート。
【図7】本発明の実施例によるメッセージを識別するためのクライアント装置およびセキュア装置のアーキテクチャ。
【図8】本発明の実施例によるメッセージを識別するための暗号化/復号化の方法のステップの概略的なチャート。
【特許請求の範囲】
【請求項1】
通信ネットワークを用いて送信器と受信器との間で交換されるべきメッセージを暗号化/復号化する方法であって
前記送信器および前記受信器の双方はセキュア装置(1)およびクライアント装置(Ci,Cj)のネットワーク内の所定のクライアント装置(Ci)の内の1つであり、
−公開鍵(ni,ei)および該公開鍵(ni,ei)とは異なる私有鍵(ni,di)を用いて、それぞれセキュア装置および所定のクライアント装置によって非対称暗号の演算を実施するステップと、
−前記所定のクライアント装置(Ci)から前記セキュア装置(1)へと少なくとも1つの公開データアイテム(ni,CIDi)を発行するステップとを有する、メッセージを暗号化/復号化する方法において、
さらに、前記セキュア装置によって暗号化されたメッセージを送信/受信している間にその都度、前記セキュア装置に記憶されている秘密マスター鍵(MK)および前記所定のクライアント装置(Ci)によって発行された公開データアイテムまたは各公開データアイテム(ni,CIDi)に基づき、前記所定のクライアント装置(Ci)の前記公開鍵(ni,ei)に対応する前記私有鍵(ni,di)を求めるステップを有することを特徴とする、メッセージを暗号化/復号化する方法。
【請求項2】
前記公開データアイテムまたは各公開データアイテムを発行する前記ステップ(62,81)は、前記公開鍵の一部(ni)を発行するステップを有し、該公開鍵の一部は前記私有鍵の第1の部分を形成する、請求項1記載のメッセージを暗号化/復号化する方法。
【請求項3】
前記公開データアイテムまたは各公開データアイテムを発行する前記ステップ(62,81)は、前記クライアント装置(Ci)の識別子(CIDi)を発行するステップを有し、前記私有鍵を求める前記ステップは発行された前記識別子に基づき前記私有鍵の第2の部分(di)を計算するステップを有する、請求項1または2記載のメッセージを暗号化/復号化する方法。
【請求項4】
前記クライアント装置の公開鍵(ni,ei)に対応する前記私有鍵(ni,di)を求める前記ステップは、前記秘密マスター鍵(MK)を用いて、対称アルゴリズムにより、前記所定のクライアント装置(Ci)の識別子(CIDi)に適用される関数の結果(ECIDi)を暗号化するステップ(44,64,83)を有する、請求項3記載のメッセージを暗号化/復号化する方法。
【請求項5】
前記クライアント装置の公開鍵(ni,ei)に対応する前記私有鍵(ni,di)を求める前記ステップは、前記所定のクライアント装置(Ci)の前記識別子(CIDi)に適用される関数の結果(ECIDi)の前記暗号化の結果に基づき、決定性計算ユニット(8)により、前記私有鍵の前記第2の部分(di)を選択するステップ(45,65,84)を有する、請求項4記載のメッセージを暗号化/復号化する方法。
【請求項6】
決定性アルゴリズムにより前記私有鍵の前記第2の部分(di)を選択するステップを、
−前記所定のクライアント装置(Ci)の前記識別子(CIDi)に適用される関数の前記結果(ECIDi)の前記暗号化の結果よりも小さい数、
−前記所定のクライアント装置(Ci)の前記識別子(CIDi)に適用される関数の前記結果(ECIDi)の前記暗号化の前記結果に最も近く、且つ素数のリストと互いに素である数、
を選択することにより実施する、請求項5記載のメッセージを暗号化/復号化する方法。
【請求項7】
前記私有鍵を求めるための前記所定のクライアント装置(Ci)の識別子(CIDi)および該識別子(CIDi)に基づき計算された全てのデータ(pi,qi,di,ECIDi,ei,ni)を破棄するステップ(49,67,87)を有する、請求項3記載のメッセージを暗号化/復号化する方法。
【請求項8】
暗号演算はメッセージを識別する演算を含み、該演算は、
−前記セキュア装置(1)により、前記私有鍵を求めるステップにおいて求められた前記私有鍵(ni,di)を用いて前記メッセージを署名するステップ(85)と、
−前記メッセージの署名および該メッセージを、該署名を検証する前記クライアント装置(86)に伝送するステップ(86)と、
−前記クライアント装置により、前記公開鍵(ni,ei)を用いて前記メッセージの前記署名を検証するステップ(87)とを有する、請求項1から7までのいずれか1項記載のメッセージを暗号化/復号化する方法。
【請求項9】
前記暗号演算はメッセージを安全化する演算を含み、該演算は、
−前記クライアント装置(Ci)により、前記公開鍵(ni,di)を用いてメッセージを暗号化するステップ(61)と、
−暗号化された前記メッセージを前記セキュア装置(1)に伝送するステップ(62)と、
−前記セキュア装置(1)により、前記私有鍵を求めるステップにおいて求められた前記私有鍵(ni,di)を用いて、暗号化された前記メッセージを復号化するステップ(66)とを有する、請求項1から8までのいずれか1項記載のメッセージを暗号化/復号化する方法。
【請求項10】
前記所定のクライアント装置(Ci)をパーソナライズする先行段階を有し、該先行段階は、
−前記セキュア装置(1)により、ユニークなマスター鍵(MK)と、前記所定のクライアント装置(Ci)に固有であり該クライアント装置(Ci)を識別できる識別子(CIDi)とを生成するステップと、
−計算モジュール(5)により、前記私有鍵の前記第2の部分(di)に基づき前記所定のクライアント装置(Ci)の前記公開鍵(ni,ei)を計算するステップとを有する、請求項3から9までのいずれか1項記載のメッセージを暗号化/復号化する方法。
【請求項11】
前記パーソナライズする先行段階はさらに、
(pi−1)×(qi−1)が前記所定のクライアント装置(Ci)の前記私有鍵の前記第2の部分(di)と互いに素であるよう2つの大きい素数pi,qiからなる2つの秘密データを選択するステップ(46)と、
ni=pi×qiであるよう前記所定のクライアント装置(Ci)の係数niを計算するステップ(48)と、
前記データアイテムまたは各データアイテム(pi,qi)および前記所定のクライアント装置(Ci)の前記係数(ni)に基づき、拡張ユークリッド互除法によって前記公開鍵の一部(ei)を計算するステップ(48)とを有する、請求項10記載のメッセージを暗号化/復号化する方法。
【請求項12】
通信ネットワークを介してクライアント装置(Ci,Cj)のネットワークの所定のクライアント装置(Ci)とメッセージを交換するセキュア装置(1)であって、
前記所定のクライアント装置(Ci)に固有であり、且つメッセージのあらゆる交換に先行して前記所定のクライアント装置(Ci)によって発行される少なくとも1つの公開データアイテム(CIDi,ni)を受信し、且つ、
−前記所定のクライアント装置(Ci)に記憶されている公開鍵(ni,ei)に対応する私有鍵(ni,di)を用いて非対称暗号の演算を実施する手段を有する、セキュア装置において、
さらに、
−マスター鍵(MK)を記憶するセキュアな手段(3)と、
−前記マスター鍵(MK)および発行された前記公開データアイテムまたは各公開データアイテム(CIDi,ni)に基づき前記私有鍵(di,ni)を求める手段(4)とを有することを特徴とする、セキュア装置。
【請求項13】
前記公開データアイテム(CIDi,ni)は前記所定のクライアント装置(Ci)の前記公開鍵の一部(ni)および/または前記所定のクライアント装置の識別子(CIDi)を有する、請求項12記載のセキュア装置。
【請求項14】
前記私有鍵は、前記所定のクライアント装置(Ci)の前記公開鍵の一部(ni,ei)に対応する第1の部分(ni)と、前記マスター鍵(MK)および前記所定のクライアント装置の識別子(CIDi)に基づき計算された第2の秘密部分(di)とを有する混合された鍵である、請求項13記載のセキュア装置。
【請求項15】
前記私有鍵(di,ni)を用いて非対称暗号演算を実施する手段は、
−メッセージ(m)を署名する手段(S)と、
−メッセージ(m)を暗号化する手段(E)とを有する、請求項12から14までのいずれか1項記載のセキュア装置。
【請求項16】
前記私有鍵を求める手段(4)はさらに、
−マスター鍵(MK)を用いて、前記所定のクライアント装置(Ci)の識別子(CIDi)に適用される関数の結果(ECIDi)を暗号化する、対称暗号化を行うユニット(7)、および/または、
−対称暗号化を行うユニット(7)によって形成された暗号化の結果に基づき前記私有鍵の第2の秘密部分(di)を選択する決定性アルゴリズムを計算するユニット(8)を有する、請求項14または15記載のセキュア装置。
【請求項17】
前記ネットワークの前記クライアント装置をイニシャライズする手段をさらに有し、該イニシャライズする手段は、
−ユニークなマスター鍵(MK)および複数の相互に異なる識別子(CIDj,CIDi)をランダムに生成する手段(2)を有し、ここで各識別子は前記クライアント装置のネットワークのユニークなクライアント装置(Ci)を特徴付けることに適しており、
−前記私有鍵の前記第2の秘密部分(di)の値に依存して2つの秘密データアイテム(pi,qi)を選択し、前記公開鍵の第1の部分(ni)を計算する計算ユニット(9)を有し、
−拡張ユークリッド互除法によって、前記秘密データ(pi,qi)、前記私有鍵の前記第2の部分(di)および前記公開鍵の前記第1の部分(ni)に基づき前記公開鍵の第2の部分(ei)を計算するユニット(10)を有する、請求項14から16までのいずれか1項記載のセキュア装置。
【請求項18】
プログラミング可能な計算器に基づき実施されているセキュア装置においてプログラムが実行される場合に、請求項1から11までのいずれか1項記載のメッセージを暗号化/復号化するステップを実行する命令を有するコンピュータプログラム。
【請求項19】
請求項18によるプログラムが記憶されているプログラミング可能な計算器に基づき実施されているセキュア装置において使用される記憶媒体。
【請求項1】
通信ネットワークを用いて送信器と受信器との間で交換されるべきメッセージを暗号化/復号化する方法であって
前記送信器および前記受信器の双方はセキュア装置(1)およびクライアント装置(Ci,Cj)のネットワーク内の所定のクライアント装置(Ci)の内の1つであり、
−公開鍵(ni,ei)および該公開鍵(ni,ei)とは異なる私有鍵(ni,di)を用いて、それぞれセキュア装置および所定のクライアント装置によって非対称暗号の演算を実施するステップと、
−前記所定のクライアント装置(Ci)から前記セキュア装置(1)へと少なくとも1つの公開データアイテム(ni,CIDi)を発行するステップとを有する、メッセージを暗号化/復号化する方法において、
さらに、前記セキュア装置によって暗号化されたメッセージを送信/受信している間にその都度、前記セキュア装置に記憶されている秘密マスター鍵(MK)および前記所定のクライアント装置(Ci)によって発行された公開データアイテムまたは各公開データアイテム(ni,CIDi)に基づき、前記所定のクライアント装置(Ci)の前記公開鍵(ni,ei)に対応する前記私有鍵(ni,di)を求めるステップを有することを特徴とする、メッセージを暗号化/復号化する方法。
【請求項2】
前記公開データアイテムまたは各公開データアイテムを発行する前記ステップ(62,81)は、前記公開鍵の一部(ni)を発行するステップを有し、該公開鍵の一部は前記私有鍵の第1の部分を形成する、請求項1記載のメッセージを暗号化/復号化する方法。
【請求項3】
前記公開データアイテムまたは各公開データアイテムを発行する前記ステップ(62,81)は、前記クライアント装置(Ci)の識別子(CIDi)を発行するステップを有し、前記私有鍵を求める前記ステップは発行された前記識別子に基づき前記私有鍵の第2の部分(di)を計算するステップを有する、請求項1または2記載のメッセージを暗号化/復号化する方法。
【請求項4】
前記クライアント装置の公開鍵(ni,ei)に対応する前記私有鍵(ni,di)を求める前記ステップは、前記秘密マスター鍵(MK)を用いて、対称アルゴリズムにより、前記所定のクライアント装置(Ci)の識別子(CIDi)に適用される関数の結果(ECIDi)を暗号化するステップ(44,64,83)を有する、請求項3記載のメッセージを暗号化/復号化する方法。
【請求項5】
前記クライアント装置の公開鍵(ni,ei)に対応する前記私有鍵(ni,di)を求める前記ステップは、前記所定のクライアント装置(Ci)の前記識別子(CIDi)に適用される関数の結果(ECIDi)の前記暗号化の結果に基づき、決定性計算ユニット(8)により、前記私有鍵の前記第2の部分(di)を選択するステップ(45,65,84)を有する、請求項4記載のメッセージを暗号化/復号化する方法。
【請求項6】
決定性アルゴリズムにより前記私有鍵の前記第2の部分(di)を選択するステップを、
−前記所定のクライアント装置(Ci)の前記識別子(CIDi)に適用される関数の前記結果(ECIDi)の前記暗号化の結果よりも小さい数、
−前記所定のクライアント装置(Ci)の前記識別子(CIDi)に適用される関数の前記結果(ECIDi)の前記暗号化の前記結果に最も近く、且つ素数のリストと互いに素である数、
を選択することにより実施する、請求項5記載のメッセージを暗号化/復号化する方法。
【請求項7】
前記私有鍵を求めるための前記所定のクライアント装置(Ci)の識別子(CIDi)および該識別子(CIDi)に基づき計算された全てのデータ(pi,qi,di,ECIDi,ei,ni)を破棄するステップ(49,67,87)を有する、請求項3記載のメッセージを暗号化/復号化する方法。
【請求項8】
暗号演算はメッセージを識別する演算を含み、該演算は、
−前記セキュア装置(1)により、前記私有鍵を求めるステップにおいて求められた前記私有鍵(ni,di)を用いて前記メッセージを署名するステップ(85)と、
−前記メッセージの署名および該メッセージを、該署名を検証する前記クライアント装置(86)に伝送するステップ(86)と、
−前記クライアント装置により、前記公開鍵(ni,ei)を用いて前記メッセージの前記署名を検証するステップ(87)とを有する、請求項1から7までのいずれか1項記載のメッセージを暗号化/復号化する方法。
【請求項9】
前記暗号演算はメッセージを安全化する演算を含み、該演算は、
−前記クライアント装置(Ci)により、前記公開鍵(ni,di)を用いてメッセージを暗号化するステップ(61)と、
−暗号化された前記メッセージを前記セキュア装置(1)に伝送するステップ(62)と、
−前記セキュア装置(1)により、前記私有鍵を求めるステップにおいて求められた前記私有鍵(ni,di)を用いて、暗号化された前記メッセージを復号化するステップ(66)とを有する、請求項1から8までのいずれか1項記載のメッセージを暗号化/復号化する方法。
【請求項10】
前記所定のクライアント装置(Ci)をパーソナライズする先行段階を有し、該先行段階は、
−前記セキュア装置(1)により、ユニークなマスター鍵(MK)と、前記所定のクライアント装置(Ci)に固有であり該クライアント装置(Ci)を識別できる識別子(CIDi)とを生成するステップと、
−計算モジュール(5)により、前記私有鍵の前記第2の部分(di)に基づき前記所定のクライアント装置(Ci)の前記公開鍵(ni,ei)を計算するステップとを有する、請求項3から9までのいずれか1項記載のメッセージを暗号化/復号化する方法。
【請求項11】
前記パーソナライズする先行段階はさらに、
(pi−1)×(qi−1)が前記所定のクライアント装置(Ci)の前記私有鍵の前記第2の部分(di)と互いに素であるよう2つの大きい素数pi,qiからなる2つの秘密データを選択するステップ(46)と、
ni=pi×qiであるよう前記所定のクライアント装置(Ci)の係数niを計算するステップ(48)と、
前記データアイテムまたは各データアイテム(pi,qi)および前記所定のクライアント装置(Ci)の前記係数(ni)に基づき、拡張ユークリッド互除法によって前記公開鍵の一部(ei)を計算するステップ(48)とを有する、請求項10記載のメッセージを暗号化/復号化する方法。
【請求項12】
通信ネットワークを介してクライアント装置(Ci,Cj)のネットワークの所定のクライアント装置(Ci)とメッセージを交換するセキュア装置(1)であって、
前記所定のクライアント装置(Ci)に固有であり、且つメッセージのあらゆる交換に先行して前記所定のクライアント装置(Ci)によって発行される少なくとも1つの公開データアイテム(CIDi,ni)を受信し、且つ、
−前記所定のクライアント装置(Ci)に記憶されている公開鍵(ni,ei)に対応する私有鍵(ni,di)を用いて非対称暗号の演算を実施する手段を有する、セキュア装置において、
さらに、
−マスター鍵(MK)を記憶するセキュアな手段(3)と、
−前記マスター鍵(MK)および発行された前記公開データアイテムまたは各公開データアイテム(CIDi,ni)に基づき前記私有鍵(di,ni)を求める手段(4)とを有することを特徴とする、セキュア装置。
【請求項13】
前記公開データアイテム(CIDi,ni)は前記所定のクライアント装置(Ci)の前記公開鍵の一部(ni)および/または前記所定のクライアント装置の識別子(CIDi)を有する、請求項12記載のセキュア装置。
【請求項14】
前記私有鍵は、前記所定のクライアント装置(Ci)の前記公開鍵の一部(ni,ei)に対応する第1の部分(ni)と、前記マスター鍵(MK)および前記所定のクライアント装置の識別子(CIDi)に基づき計算された第2の秘密部分(di)とを有する混合された鍵である、請求項13記載のセキュア装置。
【請求項15】
前記私有鍵(di,ni)を用いて非対称暗号演算を実施する手段は、
−メッセージ(m)を署名する手段(S)と、
−メッセージ(m)を暗号化する手段(E)とを有する、請求項12から14までのいずれか1項記載のセキュア装置。
【請求項16】
前記私有鍵を求める手段(4)はさらに、
−マスター鍵(MK)を用いて、前記所定のクライアント装置(Ci)の識別子(CIDi)に適用される関数の結果(ECIDi)を暗号化する、対称暗号化を行うユニット(7)、および/または、
−対称暗号化を行うユニット(7)によって形成された暗号化の結果に基づき前記私有鍵の第2の秘密部分(di)を選択する決定性アルゴリズムを計算するユニット(8)を有する、請求項14または15記載のセキュア装置。
【請求項17】
前記ネットワークの前記クライアント装置をイニシャライズする手段をさらに有し、該イニシャライズする手段は、
−ユニークなマスター鍵(MK)および複数の相互に異なる識別子(CIDj,CIDi)をランダムに生成する手段(2)を有し、ここで各識別子は前記クライアント装置のネットワークのユニークなクライアント装置(Ci)を特徴付けることに適しており、
−前記私有鍵の前記第2の秘密部分(di)の値に依存して2つの秘密データアイテム(pi,qi)を選択し、前記公開鍵の第1の部分(ni)を計算する計算ユニット(9)を有し、
−拡張ユークリッド互除法によって、前記秘密データ(pi,qi)、前記私有鍵の前記第2の部分(di)および前記公開鍵の前記第1の部分(ni)に基づき前記公開鍵の第2の部分(ei)を計算するユニット(10)を有する、請求項14から16までのいずれか1項記載のセキュア装置。
【請求項18】
プログラミング可能な計算器に基づき実施されているセキュア装置においてプログラムが実行される場合に、請求項1から11までのいずれか1項記載のメッセージを暗号化/復号化するステップを実行する命令を有するコンピュータプログラム。
【請求項19】
請求項18によるプログラムが記憶されているプログラミング可能な計算器に基づき実施されているセキュア装置において使用される記憶媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2007−516633(P2007−516633A)
【公表日】平成19年6月21日(2007.6.21)
【国際特許分類】
【出願番号】特願2006−518282(P2006−518282)
【出願日】平成16年7月5日(2004.7.5)
【国際出願番号】PCT/FR2004/001743
【国際公開番号】WO2005/006645
【国際公開日】平成17年1月20日(2005.1.20)
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
【公表日】平成19年6月21日(2007.6.21)
【国際特許分類】
【出願日】平成16年7月5日(2004.7.5)
【国際出願番号】PCT/FR2004/001743
【国際公開番号】WO2005/006645
【国際公開日】平成17年1月20日(2005.1.20)
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
[ Back to top ]