暗号鍵管理装置及び暗号鍵管理方法
【課題】この発明は、簡易な手法で特定の複数のユーザのみがそれぞれ独立に暗号鍵を取得することを可能として、ユーザにとっての取り扱いを便利にし得るとともに、実用上十分なデータの保護を図ることができるようにした暗号鍵管理装置及び暗号鍵管理方法を提供することを目的としている。
【解決手段】RSと入力パスワードとから生成された第2の共通鍵(Ku)を用いて第1の共通鍵(Kb)に共通鍵方式による暗号化処理を施して情報記録媒体(15a)に記録する手段(14d)と、情報記録媒体(15a)に記録された公開鍵(Kp)を用いて第1の共通鍵(Kb)に公開鍵方式による暗号化処理を施す手段(14g)と、公開鍵方式による暗号化処理が施された第1の共通鍵(Kb)に攪拌処理を施して情報記録媒体(15a)に記録する手段(14h)とを備える。
【解決手段】RSと入力パスワードとから生成された第2の共通鍵(Ku)を用いて第1の共通鍵(Kb)に共通鍵方式による暗号化処理を施して情報記録媒体(15a)に記録する手段(14d)と、情報記録媒体(15a)に記録された公開鍵(Kp)を用いて第1の共通鍵(Kb)に公開鍵方式による暗号化処理を施す手段(14g)と、公開鍵方式による暗号化処理が施された第1の共通鍵(Kb)に攪拌処理を施して情報記録媒体(15a)に記録する手段(14h)とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、暗号化されたデータを情報記録媒体に対して記録再生する情報記録再生システムに係り、特にその暗号化に使用した暗号鍵を管理する暗号鍵管理装置及び暗号鍵管理方法に関する。
【背景技術】
【0002】
周知のように、首記の如き情報記録再生システムを、例えば会社組織内等で使用する場合、管理者とその管理者によって情報記録再生システムの使用を許可された社員とに対しては、それぞれ独立に、情報記録媒体に記録されている暗号化されたデータを読み出して復号化可能とすることが必要とされる。
【0003】
これに対し、管理者とその管理者によって情報記録再生システムの使用を許可された社員以外の者が、情報記録媒体に記録されている暗号化されたデータを読み出して復号化可能とすることは確実に防止されて、データを十分に保護することができなければならないものである。
【0004】
すなわち、特定の複数のユーザのみが、それぞれ独立に、データの暗号化に使用した暗号鍵を用いて、情報記録媒体に記録されている暗号化されたデータを復号化することができ、特定の複数のユーザ以外の者は暗号鍵を入手し得ないような、暗号鍵の管理形態が強く要望されることになる。
【0005】
特許文献1には、乱数により生成した使捨鍵を、ユーザ固有鍵と公開鍵とを用いてそれぞれ暗号化した第1及び第2の暗号化鍵を格納しておき、ユーザはユーザ固有鍵を用いて第1の暗号化鍵から使捨鍵を生成し、第3者は秘密鍵を用いて第2の暗号化鍵から使捨鍵を生成するようにした構成が開示されている。
【0006】
特許文献2には、共通鍵暗号方式により暗号化された電子メールの本文に、予め定められた電子メールの受信者及び送信者以外の第3者の公開鍵を用いて所定の暗号鍵を暗号化する手段と、第3者の公開鍵により暗号化した所定の暗号鍵とを付加するようにした構成が開示されている。
【0007】
特許文献3には、パスワードと乱数とから生成した秘密鍵をサーバの暗号鍵で暗号化して得たアクセスチケットを乱数とともにクライアントに応答し、クライアントが乱数とパスワードとから生成された秘密鍵とアクセスチケットとをサーバに送信し、サーバが復号鍵でアクセスチケットを復号して秘密鍵を取り出すようにした構成が開示されている。
【特許文献1】特開平11−161167号公報
【特許文献2】特許第3590143号公報
【特許文献3】特開2006−20291号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
そこで、この発明は上記事情を考慮してなされたもので、簡易な手法で特定の複数のユーザのみがそれぞれ独立に暗号鍵を取得することを可能として、ユーザにとっての取り扱いを便利にし得るとともに、実用上十分なデータの保護を図ることができるようにした暗号鍵管理装置及び暗号鍵管理方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
この発明に係る暗号鍵管理装置は、第1の共通鍵を用いてデータに共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、情報記録媒体から読み出した暗号化データに第1の共通鍵を用いて共通鍵方式の復号化処理を施す情報記録再生システムを対象としている。そして、公開鍵を生成し情報記録媒体に記録する公開鍵生成手段と、第1の共通鍵とRSとを生成し、RSを情報記録媒体に記録する共通鍵生成手段と、共通鍵生成手段で生成されたRSと入力されたパスワードとに基づいて第2の共通鍵を生成し、この生成された第2の共通鍵を用いて共通鍵生成手段で生成された第1の共通鍵に共通鍵方式による暗号化処理を施して情報記録媒体に記録する共通鍵方式鍵暗号化手段と、公開鍵生成手段で生成され情報記録媒体に記録された公開鍵を用いて、共通鍵生成手段で生成された第1の共通鍵に公開鍵方式による暗号化処理を施す公開鍵方式鍵暗号化手段と、公開鍵方式鍵暗号化手段で暗号化処理が施された第1の共通鍵に攪拌処理を施して情報記録媒体に記録する可逆的攪拌手段とを備えるようにしたものである。
【0010】
また、この発明に係る暗号鍵管理方法は、第1の共通鍵を用いてデータに共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、情報記録媒体から読み出した暗号化データに第1の共通鍵を用いて共通鍵方式の復号化処理を施す情報記録再生システムを対象としている。そして、公開鍵を生成し情報記録媒体に記録する公開鍵生成工程と、第1の共通鍵とRSとを生成し、RSを情報記録媒体に記録する共通鍵生成工程と、共通鍵生成工程で生成されたRSと入力されたパスワードとに基づいて第2の共通鍵を生成し、この生成された第2の共通鍵を用いて共通鍵生成工程で生成された第1の共通鍵に共通鍵方式による暗号化処理を施して情報記録媒体に記録する共通鍵方式鍵暗号化工程と、公開鍵生成工程で生成され情報記録媒体に記録された公開鍵を用いて、共通鍵生成工程で生成された第1の共通鍵に公開鍵方式による暗号化処理を施す公開鍵方式鍵暗号化工程と、公開鍵方式鍵暗号化工程で暗号化処理が施された第1の共通鍵に攪拌処理を施して情報記録媒体に記録する可逆的攪拌工程とを備えるようにしたものである。
【発明の効果】
【0011】
上記した発明によれば、RSと入力パスワードとに基づいて生成された第2の共通鍵を用いて第1の共通鍵に共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、情報記録媒体に記録された公開鍵を用いて第1の共通鍵に公開鍵方式による暗号化処理を施し可逆的攪拌処理を施して情報記録媒体に記録するようにしたので、簡易な手法で特定の複数のユーザのみがそれぞれ独立に暗号鍵を取得することを可能として、ユーザにとっての取り扱いを便利にし得るとともに、実用上十分なデータの保護を図ることができるようになる。
【発明を実施するための最良の形態】
【0012】
以下、この発明の実施の形態について図面を参照して詳細に説明する。図1は、この実施の形態で説明する情報記録再生システムの概略を示している。この情報記録再生システムは、コンピュータ本体11に、例えばキーボード及びマウス等の入力機器12と液晶等でなる表示機器13とが接続される構成となっている。
【0013】
また、このコンピュータ本体11には、暗号復号処理制御部14を介して大容量の情報記録再生機器であるHDD(hard disk drive)15が外部接続されている。この場合、暗号復号処理制御部14としては、コンピュータ本体11に内蔵されている構成としてもよいものである。
【0014】
そして、コンピュータ本体11では、その内部データを暗号復号処理制御部14で暗号化し、HDD15によりハードディスク15aに記録することができるとともに、ハードディスク15aに記録されている暗号化データをHDD15で読み出し、その読み出したデータを暗号復号処理制御部14で復号化して内部に取り込むことができる。
【0015】
図2は、上記暗号復号処理制御部14の一例を示している。すなわち、この暗号復号処理制御部14は、乱数発生部14a、共通鍵方式データ暗号化部14b、共通鍵方式データ復号化部14c、共通鍵方式鍵暗号化部14d、共通鍵方式鍵復号化部14e、公開鍵方式鍵生成部14f、公開鍵方式鍵暗号化部14g、可逆的攪拌処理部14h及び公開鍵方式鍵復号化部14iを備えている。
【0016】
このうち、乱数発生部14aは、RS(random seed)及び共通鍵Kbを生成するものである。また、共通鍵方式データ暗号化部14bは、乱数発生部14aで生成された共通鍵Kbを用いて、入力されたデータに暗号化処理を施すものである。さらに、共通鍵方式データ復号化部14cは、共通鍵方式データ暗号化部14bで暗号化されたデータに、共通鍵Kbを用いて復号化処理を施すものである。
【0017】
また、上記共通鍵方式鍵暗号化部14dは、ユーザの設定したパスワードと乱数発生部14aで生成されたRSとを結合させた共通鍵Kuを用いて、乱数発生部14aで生成された共通鍵Kbに暗号化処理を施すものである。さらに、上記共通鍵方式鍵復号化部14eは、共通鍵方式鍵暗号化部14dによる暗号化処理結果COM[Ku]{Kb}に、共通鍵Kuを用いて復号化処理を施すものである。
【0018】
そして、上記公開鍵方式鍵生成部14fは、公開鍵Kpを生成するものである。また、上記公開鍵方式鍵暗号化部14gは、公開鍵方式鍵生成部14fで生成された公開鍵Kpを用いて、共通鍵Kbに暗号化処理を施すものである。さらに、上記可逆的攪拌処理部14hは、公開鍵方式鍵暗号化部14gによる暗号化処理結果に、例えば可逆ハッシュ等の可逆的攪拌処理を施すものである。また、上記公開鍵方式鍵復号化部14iは、公開鍵方式鍵暗号化部14gによる暗号化処理結果に、上記公開鍵Kpに対応する秘密鍵Ksを用いて復号化処理を施すものである。
【0019】
上記のような構成となされた情報記録再生システムにおいて、以下、その暗号復号処理制御部14を利用した暗号鍵の管理について説明する。なお、以下の説明では、一例として、会社組織内における管理者とその管理者によって情報記録再生システムの使用を許可された社員とを、ユーザとした場合について述べている。
【0020】
まず、図3は、上記暗号復号処理制御部14に新しいHDD15が接続された際に、管理者側が行なう処理動作をまとめたフローチャートを示し、図4は、その処理動作を模式的に表わしたものである。すなわち、処理動作が開始(ステップS3a)されると、ステップS3bで、公開鍵方式鍵生成部14fにより公開鍵Kpが生成される。
【0021】
その後、ステップS3cで、公開鍵Kpがハードディスク15aに書き込まれるとともに、公開鍵Kpに対応する秘密鍵Ksが別途保管されて、処理が終了(ステップS3d)される。そして、このようにハードディスク15aに公開鍵Kpの記録された状態で、情報記録再生システムが社員に引き渡される。
【0022】
図5は、上記のようにして情報記録再生システムが引き渡された社員側が行なう処理動作をまとめたフローチャートを示し、図6は、その処理動作を模式的に表わしたものである。すなわち、処理動作が開始(ステップS5a)されると、ステップS5bで、乱数発生部14aによりRSが生成され、そのRSがハードディスク15aに書き込まれるとともに、ステップS5cで、乱数発生部14aにより共通鍵Kbが生成される。
【0023】
そして、以後、この共通鍵Kbを用いて、共通鍵方式データ暗号化部14bにより、入力されたデータに、共通鍵方式による暗号化処理が施されてHDD15に出力され、ここに、データが暗号化されてハードディスク15aに記録されるようになる。
【0024】
その後、ステップS5dで、入力機器12を介して入力されたパスワードと乱数発生部14aで生成されたRSとが結合されて共通鍵Kuが生成される。そして、ステップS5eで、共通鍵方式鍵暗号化部14dにより、共通鍵Kuを用いて、乱数発生部14aで生成された共通鍵Kbに共通鍵方式による暗号化処理が施され、その暗号化処理結果COM[Ku]{Kb}がハードディスク15aに書き込まれる。
【0025】
一方、ステップS5fで、公開鍵方式鍵暗号化部14gにより、ハードディスク15aに書き込まれている公開鍵Kpを用いて、乱数発生部14aで生成された共通鍵Kbに公開鍵方式による暗号化処理が施される。そして、ステップS5gで、公開鍵方式で暗号化された共通鍵Kbに、可逆的攪拌処理部14hにより攪拌処理が施され、その攪拌処理結果PUB[Kp]{Kb}がハードディスク15aに記録されて、処理が終了(ステップS5h)される。
【0026】
図7は、上記したように、共通鍵Kuを用いて共通鍵方式で暗号化された共通鍵COM[Ku]{Kb}と、公開鍵Kpを用いて公開鍵方式で暗号化され可逆的攪拌処理された共通鍵PUB[Kp]{Kb}とが記録されたハードディスク15aから、社員が、暗号化されたデータを読み出して復号化処理するための処理動作をまとめたフローチャートを示し、図8は、その処理動作を模式的に表わしたものである。
【0027】
すなわち、処理動作が開始(ステップS7a)され、ステップS7bで、入力機器12を介してパスワードが入力されると、ステップS7cで、パスワードによる認証がとれたか否かが判別され、認証がとれない場合(NO)、ステップS7dで、認証がとれない旨の警告を表示機器13に表示して、処理が終了(ステップS7g)される。
【0028】
また、上記ステップS7cでパスワードによる認証がとれた場合(YES)には、ステップS7eで、入力機器12を介して入力されたパスワードとハードディスク15aに記録されているRSとを結合させた共通鍵Kuが生成される。
【0029】
その後、ステップS7fで、共通鍵方式鍵復号化部14eにより、ハードディスク15aに記録されている暗号化された共通鍵COM[Ku]{Kb}に、ステップS7eで生成された共通鍵Kuを用いて共通鍵方式による復号化処理が施されることによって、共通鍵Kbが得られ、処理が終了(ステップS7g)される。
【0030】
そして、以後、この復号化された共通鍵Kbを用いて、共通鍵方式データ復号化部14cにより、ハードディスク15aから読み取ったデータに、共通鍵方式による復号化処理が施されてコンピュータ本体11に出力され、ここに、ハードディスク15aに記録された暗号化データが復号化されてコンピュータ本体11に供給されるようになる。
【0031】
図9は、上記したように、共通鍵Kuを用いて共通鍵方式で暗号化された共通鍵COM[Ku]{Kb}と、公開鍵Kpを用いて公開鍵方式で暗号化され可逆的攪拌処理された共通鍵PUB[Kp]{Kb}とが記録されたハードディスク15aから、管理者が、暗号化されたデータを読み出して復号化処理するための処理動作をまとめたフローチャートを示し、図8は、その処理動作を模式的に表わしたものである。
【0032】
すなわち、処理動作が開始(ステップS9a)され、ステップS9bで、入力機器12を介して秘密鍵Ksが入力されると、ステップS9cで、ハードディスク15aに記録されている暗号化され攪拌された共通鍵PUB[Kp]{Kb}に、可逆的攪拌処理部14hにより攪拌時と逆の攪拌処理が施される。
【0033】
その後、ステップS9dで、公開鍵方式鍵復号化部14iにより、逆攪拌処理が施された後の共通鍵Kbに、ステップS9bで入力された秘密鍵Ksを用いて公開鍵方式による復号化処理が施されることによって、共通鍵Kbが得られ、処理が終了(ステップS9e)される。
【0034】
そして、以後、この復号化された共通鍵Kbを用いて、共通鍵方式データ復号化部14cにより、ハードディスク15aから読み取ったデータに、共通鍵方式による復号化処理が施されてコンピュータ本体11に出力され、ここに、ハードディスク15aに記録された暗号化データが復号化されてコンピュータ本体11に供給されるようになる。
【0035】
上記した実施の形態によれば、社員はパスワードを入力することにより共通鍵Kbを容易に得ることができ、管理者は秘密鍵Ksを用いて共通鍵Kbを容易に得ることが可能となる。つまり、特定の複数のユーザのみがそれぞれ独立に暗号化を解くための鍵を用意に取得して、情報記録媒体(ハードディスク15a)に記録されたデータを復号化することが可能となり、ユーザにとっての取り扱いを便利にすることができる。
【0036】
また、データを暗号化するための共通鍵Kbは、社員の設定するパスワードと乱数発生部14aで生成されたRSとを結合させた共通鍵Kuを用いて共通鍵方式で暗号化してハードディスク15aに記録するとともに、管理者が秘密鍵Ksを所持する公開鍵Kpを用いて公開鍵方式で暗号化し、さらに可逆的攪拌処理を施してハードディスク15aに記録するようにしている。このため、ハードディスク15aに記録されたデータを読み取っても、そこから第3者が共通鍵Kbを入手することは困難であり、ハードディスク15aに記録されたデータを実用上十分に保護することができる
特に、社員は、管理者がハードディスク15aに記録した公開鍵Kpを用いて、乱数発生部14aで生成した共通鍵Kbを暗号化しているので、管理者に断りなく自分で共通鍵Kbを更新しても、管理者は秘密鍵Ksを用いて共通鍵Kbを得ることができるため、より一層、ユーザにとっての自由度を高め、かつ、データの保護を図ることができる。
【0037】
なお、この発明は上記した実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を種々変形して具体化することができる。また、上記した実施の形態に開示されている複数の構成要素を適宜に組み合わせることにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素から幾つかの構成要素を削除しても良いものである。さらに、異なる実施の形態に係る構成要素を適宜組み合わせても良いものである。
【図面の簡単な説明】
【0038】
【図1】この発明の実施の形態を示すもので、情報記録再生システムの概略を説明するために示すブロック構成図。
【図2】同実施の形態における情報記録再生システムの暗号復号処理制御部の一例を説明するために示すブロック構成図。
【図3】同実施の形態における情報記録再生システムの管理者側が行なう処理動作の一例を説明するために示すフローチャート。
【図4】同実施の形態における情報記録再生システムの管理者側が行なう処理動作の一例を模式的に説明するために示す図。
【図5】同実施の形態における情報記録再生システムの社員側が行なう処理動作の一例を説明するために示すフローチャート。
【図6】同実施の形態における情報記録再生システムの社員側が行なう処理動作の一例を模式的に説明するために示す図。
【図7】同実施の形態における情報記録再生システムの社員側が行なう処理動作の他の例を説明するために示すフローチャート。
【図8】同実施の形態における情報記録再生システムの管理者側及び社員側が行なう処理動作の他の例を模式的に説明するために示す図。
【図9】同実施の形態における情報記録再生システムの管理者側が行なう処理動作の他の例を説明するために示すフローチャート。
【符号の説明】
【0039】
11…コンピュータ本体、12…入力機器、13…表示機器、14…暗号復号処理制御部、14a…乱数発生部、14b…共通鍵方式データ暗号化部、14c…共通鍵方式データ復号化部、14d…共通鍵方式鍵暗号化部、14e…共通鍵方式鍵復号化部、14f…公開鍵方式鍵生成部、14g…公開鍵方式鍵暗号化部、14h…可逆的攪拌処理部、14i…公開鍵方式鍵復号化部、15…HDD、15a…ハードディスク。
【技術分野】
【0001】
この発明は、暗号化されたデータを情報記録媒体に対して記録再生する情報記録再生システムに係り、特にその暗号化に使用した暗号鍵を管理する暗号鍵管理装置及び暗号鍵管理方法に関する。
【背景技術】
【0002】
周知のように、首記の如き情報記録再生システムを、例えば会社組織内等で使用する場合、管理者とその管理者によって情報記録再生システムの使用を許可された社員とに対しては、それぞれ独立に、情報記録媒体に記録されている暗号化されたデータを読み出して復号化可能とすることが必要とされる。
【0003】
これに対し、管理者とその管理者によって情報記録再生システムの使用を許可された社員以外の者が、情報記録媒体に記録されている暗号化されたデータを読み出して復号化可能とすることは確実に防止されて、データを十分に保護することができなければならないものである。
【0004】
すなわち、特定の複数のユーザのみが、それぞれ独立に、データの暗号化に使用した暗号鍵を用いて、情報記録媒体に記録されている暗号化されたデータを復号化することができ、特定の複数のユーザ以外の者は暗号鍵を入手し得ないような、暗号鍵の管理形態が強く要望されることになる。
【0005】
特許文献1には、乱数により生成した使捨鍵を、ユーザ固有鍵と公開鍵とを用いてそれぞれ暗号化した第1及び第2の暗号化鍵を格納しておき、ユーザはユーザ固有鍵を用いて第1の暗号化鍵から使捨鍵を生成し、第3者は秘密鍵を用いて第2の暗号化鍵から使捨鍵を生成するようにした構成が開示されている。
【0006】
特許文献2には、共通鍵暗号方式により暗号化された電子メールの本文に、予め定められた電子メールの受信者及び送信者以外の第3者の公開鍵を用いて所定の暗号鍵を暗号化する手段と、第3者の公開鍵により暗号化した所定の暗号鍵とを付加するようにした構成が開示されている。
【0007】
特許文献3には、パスワードと乱数とから生成した秘密鍵をサーバの暗号鍵で暗号化して得たアクセスチケットを乱数とともにクライアントに応答し、クライアントが乱数とパスワードとから生成された秘密鍵とアクセスチケットとをサーバに送信し、サーバが復号鍵でアクセスチケットを復号して秘密鍵を取り出すようにした構成が開示されている。
【特許文献1】特開平11−161167号公報
【特許文献2】特許第3590143号公報
【特許文献3】特開2006−20291号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
そこで、この発明は上記事情を考慮してなされたもので、簡易な手法で特定の複数のユーザのみがそれぞれ独立に暗号鍵を取得することを可能として、ユーザにとっての取り扱いを便利にし得るとともに、実用上十分なデータの保護を図ることができるようにした暗号鍵管理装置及び暗号鍵管理方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
この発明に係る暗号鍵管理装置は、第1の共通鍵を用いてデータに共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、情報記録媒体から読み出した暗号化データに第1の共通鍵を用いて共通鍵方式の復号化処理を施す情報記録再生システムを対象としている。そして、公開鍵を生成し情報記録媒体に記録する公開鍵生成手段と、第1の共通鍵とRSとを生成し、RSを情報記録媒体に記録する共通鍵生成手段と、共通鍵生成手段で生成されたRSと入力されたパスワードとに基づいて第2の共通鍵を生成し、この生成された第2の共通鍵を用いて共通鍵生成手段で生成された第1の共通鍵に共通鍵方式による暗号化処理を施して情報記録媒体に記録する共通鍵方式鍵暗号化手段と、公開鍵生成手段で生成され情報記録媒体に記録された公開鍵を用いて、共通鍵生成手段で生成された第1の共通鍵に公開鍵方式による暗号化処理を施す公開鍵方式鍵暗号化手段と、公開鍵方式鍵暗号化手段で暗号化処理が施された第1の共通鍵に攪拌処理を施して情報記録媒体に記録する可逆的攪拌手段とを備えるようにしたものである。
【0010】
また、この発明に係る暗号鍵管理方法は、第1の共通鍵を用いてデータに共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、情報記録媒体から読み出した暗号化データに第1の共通鍵を用いて共通鍵方式の復号化処理を施す情報記録再生システムを対象としている。そして、公開鍵を生成し情報記録媒体に記録する公開鍵生成工程と、第1の共通鍵とRSとを生成し、RSを情報記録媒体に記録する共通鍵生成工程と、共通鍵生成工程で生成されたRSと入力されたパスワードとに基づいて第2の共通鍵を生成し、この生成された第2の共通鍵を用いて共通鍵生成工程で生成された第1の共通鍵に共通鍵方式による暗号化処理を施して情報記録媒体に記録する共通鍵方式鍵暗号化工程と、公開鍵生成工程で生成され情報記録媒体に記録された公開鍵を用いて、共通鍵生成工程で生成された第1の共通鍵に公開鍵方式による暗号化処理を施す公開鍵方式鍵暗号化工程と、公開鍵方式鍵暗号化工程で暗号化処理が施された第1の共通鍵に攪拌処理を施して情報記録媒体に記録する可逆的攪拌工程とを備えるようにしたものである。
【発明の効果】
【0011】
上記した発明によれば、RSと入力パスワードとに基づいて生成された第2の共通鍵を用いて第1の共通鍵に共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、情報記録媒体に記録された公開鍵を用いて第1の共通鍵に公開鍵方式による暗号化処理を施し可逆的攪拌処理を施して情報記録媒体に記録するようにしたので、簡易な手法で特定の複数のユーザのみがそれぞれ独立に暗号鍵を取得することを可能として、ユーザにとっての取り扱いを便利にし得るとともに、実用上十分なデータの保護を図ることができるようになる。
【発明を実施するための最良の形態】
【0012】
以下、この発明の実施の形態について図面を参照して詳細に説明する。図1は、この実施の形態で説明する情報記録再生システムの概略を示している。この情報記録再生システムは、コンピュータ本体11に、例えばキーボード及びマウス等の入力機器12と液晶等でなる表示機器13とが接続される構成となっている。
【0013】
また、このコンピュータ本体11には、暗号復号処理制御部14を介して大容量の情報記録再生機器であるHDD(hard disk drive)15が外部接続されている。この場合、暗号復号処理制御部14としては、コンピュータ本体11に内蔵されている構成としてもよいものである。
【0014】
そして、コンピュータ本体11では、その内部データを暗号復号処理制御部14で暗号化し、HDD15によりハードディスク15aに記録することができるとともに、ハードディスク15aに記録されている暗号化データをHDD15で読み出し、その読み出したデータを暗号復号処理制御部14で復号化して内部に取り込むことができる。
【0015】
図2は、上記暗号復号処理制御部14の一例を示している。すなわち、この暗号復号処理制御部14は、乱数発生部14a、共通鍵方式データ暗号化部14b、共通鍵方式データ復号化部14c、共通鍵方式鍵暗号化部14d、共通鍵方式鍵復号化部14e、公開鍵方式鍵生成部14f、公開鍵方式鍵暗号化部14g、可逆的攪拌処理部14h及び公開鍵方式鍵復号化部14iを備えている。
【0016】
このうち、乱数発生部14aは、RS(random seed)及び共通鍵Kbを生成するものである。また、共通鍵方式データ暗号化部14bは、乱数発生部14aで生成された共通鍵Kbを用いて、入力されたデータに暗号化処理を施すものである。さらに、共通鍵方式データ復号化部14cは、共通鍵方式データ暗号化部14bで暗号化されたデータに、共通鍵Kbを用いて復号化処理を施すものである。
【0017】
また、上記共通鍵方式鍵暗号化部14dは、ユーザの設定したパスワードと乱数発生部14aで生成されたRSとを結合させた共通鍵Kuを用いて、乱数発生部14aで生成された共通鍵Kbに暗号化処理を施すものである。さらに、上記共通鍵方式鍵復号化部14eは、共通鍵方式鍵暗号化部14dによる暗号化処理結果COM[Ku]{Kb}に、共通鍵Kuを用いて復号化処理を施すものである。
【0018】
そして、上記公開鍵方式鍵生成部14fは、公開鍵Kpを生成するものである。また、上記公開鍵方式鍵暗号化部14gは、公開鍵方式鍵生成部14fで生成された公開鍵Kpを用いて、共通鍵Kbに暗号化処理を施すものである。さらに、上記可逆的攪拌処理部14hは、公開鍵方式鍵暗号化部14gによる暗号化処理結果に、例えば可逆ハッシュ等の可逆的攪拌処理を施すものである。また、上記公開鍵方式鍵復号化部14iは、公開鍵方式鍵暗号化部14gによる暗号化処理結果に、上記公開鍵Kpに対応する秘密鍵Ksを用いて復号化処理を施すものである。
【0019】
上記のような構成となされた情報記録再生システムにおいて、以下、その暗号復号処理制御部14を利用した暗号鍵の管理について説明する。なお、以下の説明では、一例として、会社組織内における管理者とその管理者によって情報記録再生システムの使用を許可された社員とを、ユーザとした場合について述べている。
【0020】
まず、図3は、上記暗号復号処理制御部14に新しいHDD15が接続された際に、管理者側が行なう処理動作をまとめたフローチャートを示し、図4は、その処理動作を模式的に表わしたものである。すなわち、処理動作が開始(ステップS3a)されると、ステップS3bで、公開鍵方式鍵生成部14fにより公開鍵Kpが生成される。
【0021】
その後、ステップS3cで、公開鍵Kpがハードディスク15aに書き込まれるとともに、公開鍵Kpに対応する秘密鍵Ksが別途保管されて、処理が終了(ステップS3d)される。そして、このようにハードディスク15aに公開鍵Kpの記録された状態で、情報記録再生システムが社員に引き渡される。
【0022】
図5は、上記のようにして情報記録再生システムが引き渡された社員側が行なう処理動作をまとめたフローチャートを示し、図6は、その処理動作を模式的に表わしたものである。すなわち、処理動作が開始(ステップS5a)されると、ステップS5bで、乱数発生部14aによりRSが生成され、そのRSがハードディスク15aに書き込まれるとともに、ステップS5cで、乱数発生部14aにより共通鍵Kbが生成される。
【0023】
そして、以後、この共通鍵Kbを用いて、共通鍵方式データ暗号化部14bにより、入力されたデータに、共通鍵方式による暗号化処理が施されてHDD15に出力され、ここに、データが暗号化されてハードディスク15aに記録されるようになる。
【0024】
その後、ステップS5dで、入力機器12を介して入力されたパスワードと乱数発生部14aで生成されたRSとが結合されて共通鍵Kuが生成される。そして、ステップS5eで、共通鍵方式鍵暗号化部14dにより、共通鍵Kuを用いて、乱数発生部14aで生成された共通鍵Kbに共通鍵方式による暗号化処理が施され、その暗号化処理結果COM[Ku]{Kb}がハードディスク15aに書き込まれる。
【0025】
一方、ステップS5fで、公開鍵方式鍵暗号化部14gにより、ハードディスク15aに書き込まれている公開鍵Kpを用いて、乱数発生部14aで生成された共通鍵Kbに公開鍵方式による暗号化処理が施される。そして、ステップS5gで、公開鍵方式で暗号化された共通鍵Kbに、可逆的攪拌処理部14hにより攪拌処理が施され、その攪拌処理結果PUB[Kp]{Kb}がハードディスク15aに記録されて、処理が終了(ステップS5h)される。
【0026】
図7は、上記したように、共通鍵Kuを用いて共通鍵方式で暗号化された共通鍵COM[Ku]{Kb}と、公開鍵Kpを用いて公開鍵方式で暗号化され可逆的攪拌処理された共通鍵PUB[Kp]{Kb}とが記録されたハードディスク15aから、社員が、暗号化されたデータを読み出して復号化処理するための処理動作をまとめたフローチャートを示し、図8は、その処理動作を模式的に表わしたものである。
【0027】
すなわち、処理動作が開始(ステップS7a)され、ステップS7bで、入力機器12を介してパスワードが入力されると、ステップS7cで、パスワードによる認証がとれたか否かが判別され、認証がとれない場合(NO)、ステップS7dで、認証がとれない旨の警告を表示機器13に表示して、処理が終了(ステップS7g)される。
【0028】
また、上記ステップS7cでパスワードによる認証がとれた場合(YES)には、ステップS7eで、入力機器12を介して入力されたパスワードとハードディスク15aに記録されているRSとを結合させた共通鍵Kuが生成される。
【0029】
その後、ステップS7fで、共通鍵方式鍵復号化部14eにより、ハードディスク15aに記録されている暗号化された共通鍵COM[Ku]{Kb}に、ステップS7eで生成された共通鍵Kuを用いて共通鍵方式による復号化処理が施されることによって、共通鍵Kbが得られ、処理が終了(ステップS7g)される。
【0030】
そして、以後、この復号化された共通鍵Kbを用いて、共通鍵方式データ復号化部14cにより、ハードディスク15aから読み取ったデータに、共通鍵方式による復号化処理が施されてコンピュータ本体11に出力され、ここに、ハードディスク15aに記録された暗号化データが復号化されてコンピュータ本体11に供給されるようになる。
【0031】
図9は、上記したように、共通鍵Kuを用いて共通鍵方式で暗号化された共通鍵COM[Ku]{Kb}と、公開鍵Kpを用いて公開鍵方式で暗号化され可逆的攪拌処理された共通鍵PUB[Kp]{Kb}とが記録されたハードディスク15aから、管理者が、暗号化されたデータを読み出して復号化処理するための処理動作をまとめたフローチャートを示し、図8は、その処理動作を模式的に表わしたものである。
【0032】
すなわち、処理動作が開始(ステップS9a)され、ステップS9bで、入力機器12を介して秘密鍵Ksが入力されると、ステップS9cで、ハードディスク15aに記録されている暗号化され攪拌された共通鍵PUB[Kp]{Kb}に、可逆的攪拌処理部14hにより攪拌時と逆の攪拌処理が施される。
【0033】
その後、ステップS9dで、公開鍵方式鍵復号化部14iにより、逆攪拌処理が施された後の共通鍵Kbに、ステップS9bで入力された秘密鍵Ksを用いて公開鍵方式による復号化処理が施されることによって、共通鍵Kbが得られ、処理が終了(ステップS9e)される。
【0034】
そして、以後、この復号化された共通鍵Kbを用いて、共通鍵方式データ復号化部14cにより、ハードディスク15aから読み取ったデータに、共通鍵方式による復号化処理が施されてコンピュータ本体11に出力され、ここに、ハードディスク15aに記録された暗号化データが復号化されてコンピュータ本体11に供給されるようになる。
【0035】
上記した実施の形態によれば、社員はパスワードを入力することにより共通鍵Kbを容易に得ることができ、管理者は秘密鍵Ksを用いて共通鍵Kbを容易に得ることが可能となる。つまり、特定の複数のユーザのみがそれぞれ独立に暗号化を解くための鍵を用意に取得して、情報記録媒体(ハードディスク15a)に記録されたデータを復号化することが可能となり、ユーザにとっての取り扱いを便利にすることができる。
【0036】
また、データを暗号化するための共通鍵Kbは、社員の設定するパスワードと乱数発生部14aで生成されたRSとを結合させた共通鍵Kuを用いて共通鍵方式で暗号化してハードディスク15aに記録するとともに、管理者が秘密鍵Ksを所持する公開鍵Kpを用いて公開鍵方式で暗号化し、さらに可逆的攪拌処理を施してハードディスク15aに記録するようにしている。このため、ハードディスク15aに記録されたデータを読み取っても、そこから第3者が共通鍵Kbを入手することは困難であり、ハードディスク15aに記録されたデータを実用上十分に保護することができる
特に、社員は、管理者がハードディスク15aに記録した公開鍵Kpを用いて、乱数発生部14aで生成した共通鍵Kbを暗号化しているので、管理者に断りなく自分で共通鍵Kbを更新しても、管理者は秘密鍵Ksを用いて共通鍵Kbを得ることができるため、より一層、ユーザにとっての自由度を高め、かつ、データの保護を図ることができる。
【0037】
なお、この発明は上記した実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を種々変形して具体化することができる。また、上記した実施の形態に開示されている複数の構成要素を適宜に組み合わせることにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素から幾つかの構成要素を削除しても良いものである。さらに、異なる実施の形態に係る構成要素を適宜組み合わせても良いものである。
【図面の簡単な説明】
【0038】
【図1】この発明の実施の形態を示すもので、情報記録再生システムの概略を説明するために示すブロック構成図。
【図2】同実施の形態における情報記録再生システムの暗号復号処理制御部の一例を説明するために示すブロック構成図。
【図3】同実施の形態における情報記録再生システムの管理者側が行なう処理動作の一例を説明するために示すフローチャート。
【図4】同実施の形態における情報記録再生システムの管理者側が行なう処理動作の一例を模式的に説明するために示す図。
【図5】同実施の形態における情報記録再生システムの社員側が行なう処理動作の一例を説明するために示すフローチャート。
【図6】同実施の形態における情報記録再生システムの社員側が行なう処理動作の一例を模式的に説明するために示す図。
【図7】同実施の形態における情報記録再生システムの社員側が行なう処理動作の他の例を説明するために示すフローチャート。
【図8】同実施の形態における情報記録再生システムの管理者側及び社員側が行なう処理動作の他の例を模式的に説明するために示す図。
【図9】同実施の形態における情報記録再生システムの管理者側が行なう処理動作の他の例を説明するために示すフローチャート。
【符号の説明】
【0039】
11…コンピュータ本体、12…入力機器、13…表示機器、14…暗号復号処理制御部、14a…乱数発生部、14b…共通鍵方式データ暗号化部、14c…共通鍵方式データ復号化部、14d…共通鍵方式鍵暗号化部、14e…共通鍵方式鍵復号化部、14f…公開鍵方式鍵生成部、14g…公開鍵方式鍵暗号化部、14h…可逆的攪拌処理部、14i…公開鍵方式鍵復号化部、15…HDD、15a…ハードディスク。
【特許請求の範囲】
【請求項1】
第1の共通鍵を用いてデータに共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、前記情報記録媒体から読み出した暗号化データに前記第1の共通鍵を用いて共通鍵方式の復号化処理を施す情報記録再生システムにおいて、
公開鍵を生成し前記情報記録媒体に記録する公開鍵生成手段と、
前記第1の共通鍵とRSとを生成し、前記RSを前記情報記録媒体に記録する共通鍵生成手段と、
前記共通鍵生成手段で生成されたRSと入力されたパスワードとに基づいて第2の共通鍵を生成し、この生成された第2の共通鍵を用いて前記共通鍵生成手段で生成された第1の共通鍵に共通鍵方式による暗号化処理を施して前記情報記録媒体に記録する共通鍵方式鍵暗号化手段と、
前記公開鍵生成手段で生成され前記情報記録媒体に記録された公開鍵を用いて、前記共通鍵生成手段で生成された第1の共通鍵に公開鍵方式による暗号化処理を施す公開鍵方式鍵暗号化手段と、
前記公開鍵方式鍵暗号化手段で暗号化処理が施された第1の共通鍵に攪拌処理を施して前記情報記録媒体に記録する可逆的攪拌手段とを具備することを特徴とする暗号鍵管理装置。
【請求項2】
前記共通鍵生成手段により前記情報記録媒体に記録されたRSと入力されたパスワードとに基づいて前記第2の共通鍵を生成し、この生成された第2の共通鍵を用いて、前記共通鍵方式鍵暗号化手段により暗号化されて前記情報記録媒体に記録された第1の共通鍵に共通鍵方式による復号化処理を施す共通鍵方式鍵復号化手段と、
前記可逆的攪拌手段により前記攪拌処理とは逆の攪拌処理が施された、前記情報記録媒体に記録された第1の共通鍵に、前記公開鍵生成手段で生成された公開鍵に対応する秘密鍵を用いて公開鍵方式による復号化処理を施す公開鍵方式鍵復号化手段とを具備することを特徴とする請求項1記載の暗号鍵管理装置。
【請求項3】
前記共通鍵生成手段は、乱数発生器により前記第1の共通鍵とRSとを生成することを特徴とする請求項1記載の暗号鍵管理装置。
【請求項4】
前記情報記録媒体は、ハードディスクであることを特徴とする請求項1記載の暗号鍵管理装置。
【請求項5】
第1の共通鍵を用いてデータに共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、前記情報記録媒体から読み出した暗号化データに前記第1の共通鍵を用いて共通鍵方式の復号化処理を施す情報記録再生システムにおいて、
公開鍵を生成し前記情報記録媒体に記録する公開鍵生成工程と、
前記第1の共通鍵とRSとを生成し、前記RSを前記情報記録媒体に記録する共通鍵生成工程と、
前記共通鍵生成工程で生成されたRSと入力されたパスワードとに基づいて第2の共通鍵を生成し、この生成された第2の共通鍵を用いて前記共通鍵生成工程で生成された第1の共通鍵に共通鍵方式による暗号化処理を施して前記情報記録媒体に記録する共通鍵方式鍵暗号化工程と、
前記公開鍵生成工程で生成され前記情報記録媒体に記録された公開鍵を用いて、前記共通鍵生成工程で生成された第1の共通鍵に公開鍵方式による暗号化処理を施す公開鍵方式鍵暗号化工程と、
前記公開鍵方式鍵暗号化工程で暗号化処理が施された第1の共通鍵に攪拌処理を施して前記情報記録媒体に記録する可逆的攪拌工程とを具備することを特徴とする暗号鍵管理方法。
【請求項6】
前記共通鍵生成工程により前記情報記録媒体に記録されたRSと入力されたパスワードとに基づいて前記第2の共通鍵を生成し、この生成された第2の共通鍵を用いて、前記共通鍵方式鍵暗号化工程により暗号化されて前記情報記録媒体に記録された第1の共通鍵に共通鍵方式による復号化処理を施す共通鍵方式鍵復号化工程と、
前記可逆的攪拌工程により前記攪拌処理とは逆の攪拌処理が施された、前記情報記録媒体に記録された第1の共通鍵に、前記公開鍵生成工程で生成された公開鍵に対応する秘密鍵を用いて公開鍵方式による復号化処理を施す公開鍵方式鍵復号化工程とを具備することを特徴とする請求項5記載の暗号鍵管理方法。
【請求項7】
前記共通鍵生成工程は、乱数発生器により前記第1の共通鍵とRSとを生成することを特徴とする請求項5記載の暗号鍵管理方法。
【請求項8】
前記情報記録媒体は、ハードディスクであることを特徴とする請求項5記載の暗号鍵管理方法。
【請求項1】
第1の共通鍵を用いてデータに共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、前記情報記録媒体から読み出した暗号化データに前記第1の共通鍵を用いて共通鍵方式の復号化処理を施す情報記録再生システムにおいて、
公開鍵を生成し前記情報記録媒体に記録する公開鍵生成手段と、
前記第1の共通鍵とRSとを生成し、前記RSを前記情報記録媒体に記録する共通鍵生成手段と、
前記共通鍵生成手段で生成されたRSと入力されたパスワードとに基づいて第2の共通鍵を生成し、この生成された第2の共通鍵を用いて前記共通鍵生成手段で生成された第1の共通鍵に共通鍵方式による暗号化処理を施して前記情報記録媒体に記録する共通鍵方式鍵暗号化手段と、
前記公開鍵生成手段で生成され前記情報記録媒体に記録された公開鍵を用いて、前記共通鍵生成手段で生成された第1の共通鍵に公開鍵方式による暗号化処理を施す公開鍵方式鍵暗号化手段と、
前記公開鍵方式鍵暗号化手段で暗号化処理が施された第1の共通鍵に攪拌処理を施して前記情報記録媒体に記録する可逆的攪拌手段とを具備することを特徴とする暗号鍵管理装置。
【請求項2】
前記共通鍵生成手段により前記情報記録媒体に記録されたRSと入力されたパスワードとに基づいて前記第2の共通鍵を生成し、この生成された第2の共通鍵を用いて、前記共通鍵方式鍵暗号化手段により暗号化されて前記情報記録媒体に記録された第1の共通鍵に共通鍵方式による復号化処理を施す共通鍵方式鍵復号化手段と、
前記可逆的攪拌手段により前記攪拌処理とは逆の攪拌処理が施された、前記情報記録媒体に記録された第1の共通鍵に、前記公開鍵生成手段で生成された公開鍵に対応する秘密鍵を用いて公開鍵方式による復号化処理を施す公開鍵方式鍵復号化手段とを具備することを特徴とする請求項1記載の暗号鍵管理装置。
【請求項3】
前記共通鍵生成手段は、乱数発生器により前記第1の共通鍵とRSとを生成することを特徴とする請求項1記載の暗号鍵管理装置。
【請求項4】
前記情報記録媒体は、ハードディスクであることを特徴とする請求項1記載の暗号鍵管理装置。
【請求項5】
第1の共通鍵を用いてデータに共通鍵方式による暗号化処理を施して情報記録媒体に記録するとともに、前記情報記録媒体から読み出した暗号化データに前記第1の共通鍵を用いて共通鍵方式の復号化処理を施す情報記録再生システムにおいて、
公開鍵を生成し前記情報記録媒体に記録する公開鍵生成工程と、
前記第1の共通鍵とRSとを生成し、前記RSを前記情報記録媒体に記録する共通鍵生成工程と、
前記共通鍵生成工程で生成されたRSと入力されたパスワードとに基づいて第2の共通鍵を生成し、この生成された第2の共通鍵を用いて前記共通鍵生成工程で生成された第1の共通鍵に共通鍵方式による暗号化処理を施して前記情報記録媒体に記録する共通鍵方式鍵暗号化工程と、
前記公開鍵生成工程で生成され前記情報記録媒体に記録された公開鍵を用いて、前記共通鍵生成工程で生成された第1の共通鍵に公開鍵方式による暗号化処理を施す公開鍵方式鍵暗号化工程と、
前記公開鍵方式鍵暗号化工程で暗号化処理が施された第1の共通鍵に攪拌処理を施して前記情報記録媒体に記録する可逆的攪拌工程とを具備することを特徴とする暗号鍵管理方法。
【請求項6】
前記共通鍵生成工程により前記情報記録媒体に記録されたRSと入力されたパスワードとに基づいて前記第2の共通鍵を生成し、この生成された第2の共通鍵を用いて、前記共通鍵方式鍵暗号化工程により暗号化されて前記情報記録媒体に記録された第1の共通鍵に共通鍵方式による復号化処理を施す共通鍵方式鍵復号化工程と、
前記可逆的攪拌工程により前記攪拌処理とは逆の攪拌処理が施された、前記情報記録媒体に記録された第1の共通鍵に、前記公開鍵生成工程で生成された公開鍵に対応する秘密鍵を用いて公開鍵方式による復号化処理を施す公開鍵方式鍵復号化工程とを具備することを特徴とする請求項5記載の暗号鍵管理方法。
【請求項7】
前記共通鍵生成工程は、乱数発生器により前記第1の共通鍵とRSとを生成することを特徴とする請求項5記載の暗号鍵管理方法。
【請求項8】
前記情報記録媒体は、ハードディスクであることを特徴とする請求項5記載の暗号鍵管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2008−98696(P2008−98696A)
【公開日】平成20年4月24日(2008.4.24)
【国際特許分類】
【出願番号】特願2006−274281(P2006−274281)
【出願日】平成18年10月5日(2006.10.5)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成20年4月24日(2008.4.24)
【国際特許分類】
【出願日】平成18年10月5日(2006.10.5)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]