JP2001509926A - データカード検証装置 - Google Patents

Abstract

(57)【要約】 電子取引の１対の通信者を検証する方法において、各々の通信者は第１及び第２の署名スキームを有し、第１の署名スキームは、計算上、検証よりも署名が計算上一層困難であり、第２の署名スキームは、署名よりも検証が計算上一層困難である。検証方法は、第１の通信者が第１の署名スキームに従って情報に署名し、第１の署名を、第２の通信者に転送し、第２の通信者は、第１の通信者から受信された第１の署名を検証する。この検証は、第１の署名スキームに従って行われる。第２の通信者は、第２の署名スキームに従って、情報に署名し、第２の署名を第１の通信者に送信する。第１の通信者は、第２の通信者から受信した第２の署名を検証する。この検証は、第２の署名アルゴリズムに従って行われる。どちらかの検証が失敗に終ると、取引は拒絶される。この方法によれば、一方の通信者が、比較的低い計算力をもって、取引のセキュリティを保ちながら、取引に参加することを可能にする。

Description

【発明の詳細な説明】 ［発明の名称］ データカード検証装置 ［技術分野］ 本発明は、電子取引システムにおいてのデータ転送及び確認のための方法及び 装置に、より詳しくは、スマートカードを用いた電子取引システムに関する。 ［背景技術］ 金融取引もしくは証券の交換のような取引を電子式に行うことは、広く受入れ られている。自動化されたテラーマシン（ＡＴＭ）及びクレジットカードは、個 人の取引に広く使用されており、その使用が拡大されるのに伴って、かかる取引 を検証する必要性も増大してきている。スマートカードは、多少クレジットカー ドに類似しており、いくらかの演算処理能力及び記憶能力を備えている。スマー トカードは、例えば、疑いをもたないユーザーから情報を集収するためのダミー 端局などによって不正使用され易い。そのため、端局とスマートカードとの間も しくは逆にスマートカードと端局との間の重要な情報の交換が行われる前に、端 局並びにカードの真正さを検証することが必要となる。これらの検証の１つは、 取引の真正さが後のセッションに加わる両当事者によって検証されうるように、 最初の取引をデジタルに「署名」する形式を取り得る。この署名は、ランダムな メッセージ即ち取引と当事者に関連したシークレットキーとを使用したプロトコ ルに従って行われる。 署名は、当事者のシークレットキーを定めることができないように行われねば ならない。シークレットキーの配分の複雑さをさけるために、署名の発生におい て公共キー暗号化スキームを利用することが好ましい。これらの能力は、比較的 大きな計算リソースにアクセスする当事者間で行う場合に使用可能となるが、ス マートカードの場合のように計算リソースがより限定されている個人レベルにお いてこれらの取引を容易化することも同様に大切である。 取引カード又はスマートカードは、現在は限られた計算能力と共に利用しうる が、これらは、商業的に存続し得る形で既存のデジタル署名プロトコルを実現す るには十分ではない。前述したように、検証署名を作成するには、公共キー暗号 化スキームを利用することが必要となる。現在、多くの公共キースキームは、Ｒ ＳＡに基づいているが、ＤＳＳ並びによりコンパクトなシステムに対する需要は 、これを急速に変えつつある。ディフィー・ヘルマン（Ｄｉｆｆｉｅ−Ｈｅｌｌ ｍａｎ）公共キープロトコルを具現したＤＳＳスキームは、整数Ｚ_Pの集合を使 用する。ここにｐは大きな素数である。適切なセキュリティのためには、ｐは５ １２ビットのオーダーとする必要がある。結果する署名は、減少ｍｏｄ ｑ（こ こにｑは（ｐ−１））を割算し、１６０ビットのオーダーとすることができる。 最初の十分に完成した公共キーアルゴリズムの１つであり、暗号化にもデジタ ル署名にも役立つ、別の暗号化スキームは、ＲＳＡアルゴリズムである。ＲＳＡ は、大きな数を因数分解することの困難さに、そのセキュリティを求めている。 公共キー及びプライベートキーは、１対の（１００−２００桁又はそれ以上の） 大きな素数の関数である。ＲＳＡ暗号化の公共キーは、２つの素数ｐ、ｑ（ｐ及 びｑは秘密に保つものとする）の積であるｎと、（ｐ−１）×（ｑ−１）に対し て比較的に素であるｅとである。従って、暗号化キーｄは、ｅ^-1（ｍｏｄ（ｐ− １）×（ｑ−１））である。ここにｄ、ｎは互いに素である。 メッセージｍを暗号化するには、各々の数字ブロックがユニーク表示モジュラ ス（ｕｎｉｑｕｅ ｒｅｐｒｅｓｅｎｔａｔｉｏｎ ｍｏｄｕｌｏ）ｎであるよ うな、複数の数字ブロックに割算する。その場合、暗号化メッセージブロックｃ_i は単純にｍ_i ^e（ｍｏｄ ｎ）である。メッセージを解号するには、各々の暗号 化ブロックｃ_iを取り、 ｍ_i＝ｃ_i ^d（ｍｏｄ ｎ）を計算する。 比較的小さなモジュラス（ｍｏｄｕｌｕｓ）で高いセキュリティを与える別の 暗号化スキームは、有限なフィールド２^mにおいて楕円曲線を利用するスキーム である。１５５のオーダーのｍの値は、５１２ビットモジュラスＤＳＳと比較可 能なセキュリティを与えるので、実施にとって大きな利点を提供する。 ディフィー・ヘルマン（Ｄｉｆｆｉｅ−Ｈｅｌｌｍａｎ）公共キー暗号化は、 ディスクリート・ログ（ｄｉｓｃｒｅｔｅ ｌｏｇｓ）の性質を利用するので、 ゼネレーターβ及びその指数化（ｅｘｐｏｎｅｎｔｉａｔｉｏｎ）β^kが既知で も、ｋの値は定められない。任意の曲線上の２点の和が同じ曲線上の第３の点を 生ずる楕円曲線の場合にも同様の性質が存在する。同様に、曲線上の点Ｐに整数 ｋを掛算すれば、同じ曲線上に別の点を生ずる。楕円曲線の場合、点ｋＰは、単 に点Ｐのコピーｋ個を互いに加算することによって得られる。 しかし、開始点と終点とを知ることによっては、暗号化のためのセッションキ ーとして次に使用しうる整数ｋの値は明らかにされない。従って、値ｋＰ（Ｐは 最初の既知の点）は、指数形β^kと同様である。更に、楕円曲線の暗号化システ ムは、帯域効率、計算量の減少及び最小コードスペースがアプリケーションの目 標である場合に、他のキー暗号化システムに比べて利点を提供する。 更に、スマートカード及び自動化テラーマシン取引の文詠においては、両当事 者の確認（ａｕｔｈｅｎｔｉｃａｔｉｏｎ）に、２つの主要なステップが含まれ る。第１のステップは、スマートカードによる端局の確認であり、第２のステッ プは、端局によるスマートカードの確認である。一般に、確認には、端局によっ て生成されスマートカードによって受信される証明書の検証と、スマートカード によって署名され端局によって検証される証明書の検証が含まれる。２つの証明 書が肯定的に検証されたら、スマートカードと端局との間の取引は、継続（続行 ）することができる。 スマートカードの処理能力は限定されているので、スマートカードによって実 行される検証及び署名処理は、一般に、簡単な暗号化アルゴリズムに限定される 。よりこみいった暗号化アルゴリズムは、一般に、スマートカードに含まれる処 理能力の範囲を超えている。そのため、スマートカードにおいて実現され、比較 的セキュリティの高い、署名検証及び発生方法に対する需要が存在する。 ［発明の概要］ 本発明は、一つの視点においてスマートカードと端局との間のデータの検証方 法を提供することを目的としている。 この視点によれば、電子取引の１対の参加者を検証する方法が提供され、該方 法は以下の各工程を含む：即ち第１の参加者から第２の参加者によって受信され た情報を、第１の署名アルゴリズムに従って検証する工程と、第２の参加者から 第１の参加者によって受信された情報を、第２の署名アルゴリズムに従って検証 する工程と、を有し、どちらかの検証が失敗に終った場合には、取引は拒絶され るようにした検証方法が提供される。 第１の署名アルゴリズムは、検証よりも署名において計算上一層困難なアルゴ リズムであることができ、また第２の署名アルゴリズムが署名よりも検証におい て計算上一層困難なアルゴリズムであるようにしてもよい。このような実施の形 態においては、ハイレベルのセキュリティを保ちながら、第２の参加者が、比較 的低い計算力をもって取引に参加することが可能となる。 別の実施の形態によれば、第１の署名アルゴリズムは、ＲＳＡ型又はＤＤＳ型 アルゴリズムに基づいたものであり、第２の署名アルゴリズムは、楕円曲線アル ゴリズムに基づいている。 ［図面の簡単な説明］ 図１ａは、スマートカードと端局とを示す概略図である。 図１ｂは、スマートカード取引システムにおいての検証プロセスの間に生起す る一連の事象を示す概略図である。 図２は、特定のプロトコルを示す詳細な模式図である。 ［発明を実施するための最良の形態］ 図１ａにおいて端局（ターミナル）１００は、スマートカード１０２を受入れ るようになされている。通常は、端局中にカード１０２を挿入することによって 取引が開始される。次に、図１ｂに示すように、端局とカードとの間の相互の確 認が行われる。非常に一般的には、この相互の確認は、「チャレンジ−レスポン ス」（ｃｈａｌｌｅｎｇｅ−ｒｅｓｐｏｎｓｅ）プロトコルに従って行われる。 一般に、カードは、端局に情報を転送し、端局１００は、ＲＳＡに基づいたアル ゴリズム１１２によって、情報に署名し、次にカード１０２に送られ、カード１ ０２は、ＲＳＡに基づいたアルゴリズム１１４によって情報を確認する。カード と端局との間の情報交換（１１６）は、カードによって発生させた情報をも含み 、この情報は、ＲＳＡアルゴリズムに従って端局によって署名されるべく端局に 送られ、ＲＳＡアルゴリズムを用いて検証されるべくカードに返送される。関連 する検証が行われる（１１８）と、別のステップが行われ、このステップでは、 情報は、楕円曲線プロトコル１２０を用いて、カードによって署名され、楕円曲 線に基づいたプロトコルを用いて端局により検証（１２４）されるべく端局に送 られる。同様に、カードと端局との間の情報交換（１２２）は、端局によって発 生される情報を含むことができ、この情報は、カードによって署名されるべくカ ードに送られ、検証されるべく端局に返送される。適正な情報が検証１２６され れると、端局とカードとの間の以降の取引が進行可能（１２８）となる。 次に図２を参照すると、「チャレンジ−レスポンス」（ｃｈａｌｌｅｎｇｅｄ −ｒｅｓｐｏｎｓｅ）プロトコルによる端局とカードとの相互の確認の詳細な実 施形態が、全体として符号２００によって示されている。端局１００は、最初に 、カード１０２によって検証され、次にカードが端局によって検証される。端局 は、最初に、そのＩＤ、Ｔ_IDを含む証明書Ｃ_i、２０と、公共キーを含む公共情 報とを、カードに送る。証明書２０は、端局から受領した公共キーと端局ＩＤＴ_ID との関連付けをカードが検証できるように、証明オーソリティないし官庁（Ｃ Ａ）により署名されてもよい。端局とＣＡとによって用いられる、この実施の形 態によるキーは、どちらも、ＲＳＡアルゴリズムに基づくことができる。 ＲＳＡアルゴリズムによれば、各々のメンバーないし当事者は、公共キー及び プライベートキーをもち、各々のキーは、２つの部分を有する。署名は、 Ｓ＝ｍ^d（ｍｏｄ ｎ） を形をもち、ここに、 ｍは署名されるべきメッセージであり、 ｎは公共キーであり、モジュラスであり、かつ２つの素数ｐ、ｑの積、 ｅは、ランダムに選ばれたキーであり、公共キーでもあり、（ｐ−１）×（ｑ −１）に対して相対的に素であるように選ばれた数である。 ｄは、ｅ^-1（ｍｏｄ（ｐ−１）×（ｑ−１））に対して一致する（合同な）プ ライベートキーである。 ＲＳＡアルゴリズムに対して、対の整数（ｎ、ｅ）は、署名のために用いられ る公共キー情報である。他方では、対の整数（ｄ、ｎ）は、公共キー情報（ｎ、 ｅ）を用いて暗号化されたメッセージを解号するために使用しうる。 図２に戻って、数ｎ、ｅは、ＣＡの公共キーであり、システムパラメーターと して設定することができる。公共キーｅは、スマートカード（以下「カード」と も略称）に格納しておいても、また別の実施の形態に従って、カードにおいて、 ハード回路の論理回路にしておいてもよい。更に、ｅを比較的小さい値に選ぶこ とによって、指数化（ｅｘｐｏｎｅｎｔｉａｔｉｏｎ）が比較的すみやかに実行 されることが保証される。 証明書２０Ｃ_iは、ＣＡによって署名され、パラメーター（ｎ、ｅ）を有する 。証明書は、端局ＩＤ Ｔ_Idと端局公共キー情報Ｔ_n、Ｔ_e（ＲＳＡアルゴリズム に基づく）を有する。証明書Ｃ₁は、カード抽出Ｔ_ID、Ｔ_n、Ｔ_eによって検証（ ２４）される。この情報は、簡単に、Ｃ₁ ^e ｍｏｄ ｎを実行することによって 抽出される。カードは、次に、ランダムな数Ｒ１を発生（２６）させることによ って端局を確認する。これらの数は、カードによって端局に送られる。端局は、 Ｒ１^Te ＭＯＤＴ_nを実行することによって、そのシークレットキーＴ_dを用いて 、メッセージＲ１に署名し、値Ｃ₂を発生させる（２８）。なお、端局によって 使用されるキーは、やはりＲＳＡキーであり、このＲＳＡキーは、公共キーＴ_e がおそらくはシステムワイドであるような、値３を有する小さなパラメーターか ら成り、公共キーの他の部分は、端局に関連されるモジュラス（ｍｏｄｕｌｕｓ ）Ｔ_nであるように、オリジナルに作り出されたものである。端局プライベート キーＴ_dは、小さな公共キーＴ_eに対応するものであれば、小さくできない。端局 の場合、端局は、指数化（ｅｘｐｏｎｅｎｔｉａｔｉｏｎ）を比較的すみやかに 実行するための計算能力を備えているため、プライベートキーＴ_dが大きく選ば れることは問題ではない。 端局は、値Ｃ₂を計算する（２８）と、ランダムなシークレットナンバーＲ２ を発生させ（２９）、端局は、Ｒ２、Ｃ₂をカードに送る（３２）。カードは次 に端局のｍｏｄｕｌｕｓ Ｔ_nを用いて、小さな指数Ｔ_eによって、署名された値 Ｃ₂に対して、モジュールの指数化（ｍｏｄｕｌａｒ ｅｘｐｏｎｅｎｔｉａｔ ｉｏｎ）を実行する（３４）。これは、Ｒ１’＝Ｃ₂ ^Te ｍｏｄ Ｔ_nを計算する ことによって行う。Ｒ１’がＲ１に等しい（３６）と、カードは、そのＩＤ Ｔ_ID がモジュラスＴ_nに関連（３８）されている端局と取引していることを知る。 カードは、一般に、前記の演算を実行するためのモジュール（ｍｏｄｕｌｏ）算 術プロセッサー（不図示）を備えている。 ランダムなシークレットナンバーＲ２は、カードによって署名（４０）され、 カードＩＤをその公共情報に関連付けるＣＡによって署名された証明書と共に、 端局に返却される。カードによる署名は、楕円曲線署名，アルゴリズムに従って 実行される。 カードによる検証は、端局の検証と同様にして行われるが、カードによる署名 は、楕円曲線暗号化システムを利用する。 典型的に、楕円曲線で実施の場合について、署名成分Ｓは、次の形式を有する 。 ｓ＝ａｅ＋ｋ（ｍｏｄ ｎ） ここに、 Ｐは、システムの所定のパラメーターである曲線上の点、 ｋは、短い項（ｔｅｒｍ）のプライベートキー又はセッションキーとして選ば れたランダムな整数であり、対応した短い項の公共キーＲ＝ｋｐを有する。 ａは、送信側（カード）の長い項のプライベートキーであり、対応する公共キ ーａＰ＝Ｑを有する。 ｅは、メッセージｍ（この場合Ｒ２）及び短い項の公共キーＲの確実なハッシ ュ、例えばＳＨＡハッシュ関数である。 ｎは曲線の次数である。 単純化のために、この署名成分ｓは、前述したようにｓ＝ａｅ＋ｋの形とする が、それ以外の署名プロトコルを用いても差支えない。 署名を検証するには、ｓＰ−ｅＱを計算し、Ｒと比較しなければならない。カ ードは、例えばフィールド算術演算器（不図示）を用いて、Ｒを発生させる。カ ードは、図２のブロック（４４）に示したｍ、ｓおよびＲを含むメッセージを端 局に送出し、ｋＰに対応するべき値（ｓＰ−ｅＱ）を計算（４６）することによ って、端局によって署名を検証する。計算された値が対応すれば（４８）、署名 は検証されるので、カードは、検証され、取引は継続（続行）することができる 。 端局は、証明書をチェックし、次に、Ｒ２を含む取引データの署名をチェック し、端局に対してカードを確認する。本（第１の）実施形態によれば、カードに よって発生させた署名は、楕円曲線署名であり、これは、カードが生成させるの は容易にできるが、端局による検証には、より多くの計算が必要とされる。 以上の式からわかるように、ｓの計算は比較的率直であり、大きな計算力を必 要としない。しかし検証を行うには、ｓＰ、ｅＱを得るために多数の点乗算を必 要とし、その各々は計算が複雑である。他のプロトコル例えばＭＱＶプロトコル は、楕円曲線に基づいて実施された場合、同様の計算を必要とし、計算能力が限 られている場合、検証が遅くなる。しかし、一般に端局ではこのようにはならな い。 端局及びカードの検証のための特定のプロトコルについて、本発明の実施の形 態を以上に説明したが、これ以外のプロトコルも使用可能である。

───────────────────────────────────────────────────── フロントページの続き (81)指定国 ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＤＥ， ＤＫ，ＥＳ，ＦＩ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，ＩＴ，Ｌ Ｕ，ＭＣ，ＮＬ，ＰＴ，ＳＥ)，ＯＡ(ＢＦ，ＢＪ，ＣＦ ，ＣＧ，ＣＩ，ＣＭ，ＧＡ，ＧＮ，ＭＬ，ＭＲ，ＮＥ， ＳＮ，ＴＤ，ＴＧ)，ＡＰ(ＧＨ，ＧＭ，ＫＥ，ＬＳ，Ｍ Ｗ，ＳＤ，ＳＺ，ＵＧ，ＺＷ)，ＥＡ(ＡＭ，ＡＺ，ＢＹ ，ＫＧ，ＫＺ，ＭＤ，ＲＵ，ＴＪ，ＴＭ)，ＡＬ，ＡＭ ，ＡＴ，ＡＵ，ＡＺ，ＢＡ，ＢＢ，ＢＧ，ＢＲ，ＢＹ， ＣＡ，ＣＨ，ＣＮ，ＣＵ，ＣＺ，ＤＥ，ＤＫ，ＥＥ，Ｅ Ｓ，ＦＩ，ＧＢ，ＧＥ，ＧＨ，ＨＵ，ＩＤ，ＩＬ，ＩＳ ，ＪＰ，ＫＥ，ＫＧ，ＫＰ，ＫＲ，ＫＺ，ＬＣ，ＬＫ， ＬＲ，ＬＳ，ＬＴ，ＬＵ，ＬＶ，ＭＤ，ＭＧ，ＭＫ，Ｍ Ｎ，ＭＷ，ＭＸ，ＮＯ，ＮＺ，ＰＬ，ＰＴ，ＲＯ，ＲＵ ，ＳＤ，ＳＥ，ＳＧ，ＳＩ，ＳＫ，ＳＬ，ＴＪ，ＴＭ， ＴＲ，ＴＴ，ＵＡ，ＵＧ，ＵＺ，ＶＮ，ＹＵ，ＺＷ

Claims (1)

1. 【特許請求の範囲】 １． 各々第１の署名スキーム及び第２の署名スキームを有する電子取引の１対 の通信者の検証方法において、以下の各工程： 第１の通信者が、前記第１の署名スキームに従って、情報に署名し、前記第１ の署名を前記第２の通信者に送ること、 前記第２の通信者は、前記第１の通信者から受信した前記第１の署名を検証し 、この検証は、前記第１の署名スキームに従ってなされること、 前記第２の通信者は、第２の署名スキームに従って、情報に署名し、該第２の 署名を前記第１の通信者に転送すること、 該第１の通信者は、前記第２の通信者から受信した前記第２の署名を検証し、 この検証は前記第２の署名アルゴリズムに従ってなされること、そして、 どちらかの検証が失敗に終ったときは前記取引は拒絶すること、 を有する検証方法。 ２． 前記第１の署名スキームは、検証の場合よりも署名の場合が計算上より困 難であり、前記第２の署名スキームは、署名の場合よりも検証の場合の方が計算 上より困難であり、それにより、前記取引のセキュリティを保ちながら一方の前 記通信者が比較的低い計算力を持って参加することを可能とする請求の範囲第１ 項記載の検証方法。 ３． 前記第１のデジタル署名スキームがＲＳＡ型スキームであり、前記第２の 署名スキームが楕円曲線型スキームである請求の範囲第１項記載の検証方法。 ４． 前記第１のデジタル署名スキームがＤＳＳ型スキームであり、前記第２の 署名スキームが楕円曲線型スキームである請求の範囲第１項の検証方法。 ５．各々第１の署名スキーム及び第２の署名スキームを有する電子取引の１対の 通信者の検証方法において、以下の各工程： 前記第１の通信者は、公共キー及び該第１の通信者の識別情報を含む証明書を 、前記第２の通信者に送信すること、 前記第２の通信者は、該証明書を検証し、それから前記公共キー及び識別情報 を抽出すること、 前記第２の通信者は、第１チャレンジＲ１を発生させ、該第１チャレンジＲ１ を、前記第１の通信者に送信すること、 該第１の通信者は、前記第１の署名スキームに従って、受信した該チャレンジ Ｒ１に署名すること、 前記第１の通信者は、第２のチャレンジを発生させ、該第２のチャレンジを、 前記署名Ｃ２と共に、前記第２の通信者に送信すること、 前記第２の通信者は、前記第１の署名スキームに従って、前期署名Ｃ２を検証 すること、 前記第２の通信者は、前記第２の署名スキームに従って、前期第２のチャレン ジＲ２に署名し、この第２の署名を前記第１の通信者に送信すること、及び、 前記第１の通信者は、前記第２の署名スキームに従って、前記第２の署名を検 証し、これにより、前記第１の署名又は第２の署名が検証されなかったときに前 記取引を拒絶するすること、 を有する検証方法。 ６． 第２の通信者との電子取引において使用するための、スマートカードであ って、メモリを有し、該メモリは、 第１署名発生アルゴリズムと、それに関連された検証アルゴリズムとから成る 、第１署名スキームと、 第２署名発生アルゴリズムと、それに関連された検証アルゴリズムとから成る 、第２署名スキームと、 該各アルゴリズムを呼出すためのプログラムと、 該第１検証アルゴリズムを作動させ、該第２の通信者から受信した第１の情報 を検証し、第２署名アルゴリズムを作動させ、第２の情報に署名し、該第２の通 信者に転送する演算手段と、 を含む、スマートカード。