JP6882666B2 - 鍵生成装置および鍵生成方法 - Google Patents

鍵生成装置および鍵生成方法 Download PDF

Info

Publication number
JP6882666B2
JP6882666B2 JP2017042340A JP2017042340A JP6882666B2 JP 6882666 B2 JP6882666 B2 JP 6882666B2 JP 2017042340 A JP2017042340 A JP 2017042340A JP 2017042340 A JP2017042340 A JP 2017042340A JP 6882666 B2 JP6882666 B2 JP 6882666B2
Authority
JP
Japan
Prior art keywords
encryption key
encryption
error correction
concealment
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017042340A
Other languages
English (en)
Other versions
JP2018148434A (ja
Inventor
泰生 野口
泰生 野口
武司 下山
武司 下山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017042340A priority Critical patent/JP6882666B2/ja
Priority to US15/911,860 priority patent/US10985914B2/en
Publication of JP2018148434A publication Critical patent/JP2018148434A/ja
Application granted granted Critical
Publication of JP6882666B2 publication Critical patent/JP6882666B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • H03M13/11Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits using multiple parity bits
    • H03M13/1102Codes on graphs and decoding on graphs, e.g. low-density parity check [LDPC] codes
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • H03M13/13Linear codes
    • H03M13/15Cyclic codes, i.e. cyclic shifts of codewords produce other codewords, e.g. codes defined by a generator polynomial, Bose-Chaudhuri-Hocquenghem [BCH] codes
    • H03M13/151Cyclic codes, i.e. cyclic shifts of codewords produce other codewords, e.g. codes defined by a generator polynomial, Bose-Chaudhuri-Hocquenghem [BCH] codes using error location or error correction polynomials
    • H03M13/1515Reed-Solomon codes
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • H03M13/13Linear codes
    • H03M13/15Cyclic codes, i.e. cyclic shifts of codewords produce other codewords, e.g. codes defined by a generator polynomial, Bose-Chaudhuri-Hocquenghem [BCH] codes
    • H03M13/151Cyclic codes, i.e. cyclic shifts of codewords produce other codewords, e.g. codes defined by a generator polynomial, Bose-Chaudhuri-Hocquenghem [BCH] codes using error location or error correction polynomials
    • H03M13/152Bose-Chaudhuri-Hocquenghem [BCH] codes
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • H03M13/13Linear codes
    • H03M13/19Single error correction without using particular properties of the cyclic codes, e.g. Hamming codes, extended or generalised Hamming codes
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/23Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using convolutional codes, e.g. unit memory codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/34Encoding or coding, e.g. Huffman coding or error correction

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Theoretical Computer Science (AREA)

Description

本発明は鍵生成装置および鍵生成方法に関する。
所定のアクセス権のあるユーザからはデータを閲覧可能とし、アクセス権のないユーザからはデータを閲覧不可とするために、データを暗号化して保存しておくことがある。例えば、組織外部に対して開示したくない業務上の秘密データを、標的型攻撃や内部犯行などのセキュリティ攻撃から保護するため、暗号化して保存しておくことがある。しかし、共通鍵暗号方式の共通鍵など暗号処理に使用する暗号鍵を適切に管理しないと、本来アクセス権のないユーザによって暗号鍵が窃取され、暗号化されたデータが不正に復号されて漏洩してしまうというセキュリティリスクがある。
なお、暗号処理技術に関して、指紋・静脈・虹彩などの身体的特徴または筆跡などの行動的特徴に基づいてデータ処理を行う生体認証技術がある。生体認証技術の一形態としてファジーコミットメント(Fuzzy Commitment)が提案されている。ファジーコミットメントでは、パスワードなどの秘密情報に基づいて登録用の生体情報をマスクし、マスクデータと秘密情報のハッシュ値とをデータベースに登録しておく。その後、照合用の生体情報とデータベースに登録されたマスクデータを用いて秘密情報を復元し、復元した秘密情報のハッシュ値とデータベースに登録されたハッシュ値とを比較して認証成否を判定する。
生体認証技術に関しては、ユーザから受け付けた入力パターンに基づいてファジーコミットメントを生成するファジーコミットメント方法が提案されている。また、データベースに登録された生体認証用のテンプレートを保護することができる認証装置が提案されている。また、テンプレートと鍵情報とが漏洩してもなりすまし攻撃を抑制することができる生体認証システムが提案されている。
国際公開第00/51244号 国際公開第2006/093238号 国際公開第2012/042775号
Ari Juels and Martin Wattenberg, "A fuzzy commitment scheme", Proc. of the 6th ACM (Association for Computing Machinery) conference on Computer and Communications Security, pp. 28-36, 1999
ところで、暗号鍵の漏洩リスクを低減する方法としては、別の暗号鍵を用いて暗号鍵自体を暗号化して保存しておくなど、別の情報を使って暗号鍵を秘匿化して保存しておく方法が考えられる。しかし、暗号鍵の秘匿化に用いる情報が十分に保護されていないと、結局、暗号鍵の秘匿化が不正に解除されてしまうリスクがある。また、暗号鍵を使用するために、ユーザの端末装置など様々な装置上で暗号鍵の秘匿化が一時的に解除されることになる場合、秘匿化が解除されたときに暗号鍵が漏洩するリスクがある。
1つの側面では、本発明は、暗号鍵の保護を強化することができる鍵生成装置および鍵生成方法を提供することを目的とする。
1つの態様では、生成回路と秘匿処理部と暗号処理部とを有する鍵生成装置が提供される。生成回路は、ハードウェアに依存した値を生成する。秘匿処理部は、秘匿化暗号鍵を取得すると、生成回路によって生成された値を用いて秘匿化暗号鍵に対してマスク処理を行って第1のデータを生成し、第1のデータを第1の誤り訂正復号方法によって復号して第2のデータを生成し、第2のデータを第2の誤り訂正復号方法によって復号して暗号鍵を生成する。暗号処理部は、秘匿化暗号鍵と平文または暗号文とを取得すると、秘匿化暗号鍵に対応する暗号鍵を秘匿処理部から取得し、暗号鍵を用いて平文の暗号化または暗号文の復号を行う。
また、1つの態様では、鍵生成装置が実行する鍵生成方法が提供される。
1つの側面では、暗号鍵の保護を強化することができる。
第1の実施の形態の鍵生成装置の例を示す図である。 第2の実施の形態の情報処理システムの例を示す図である。 暗号処理サーバのハードウェア例を示すブロック図である。 暗号鍵管理装置のハードウェア例を示すブロック図である。 PUF回路の例を示す図である。 クライアントと暗号処理サーバの機能例を示すブロック図である。 暗号鍵秘匿化の手順例を示すフローチャートである。 暗号化の手順例を示すフローチャートである。 復号の手順例を示すフローチャートである。 再暗号化の手順例を示すフローチャートである。
以下、本実施の形態を図面を参照して説明する。
[第1の実施の形態]
第1の実施の形態を説明する。
図1は、第1の実施の形態の鍵生成装置の例を示す図である。
第1の実施の形態の鍵生成装置10は、暗号鍵の漏洩リスクを低減するセキュリティ装置である。鍵生成装置10は、コンピュータに搭載されてもよい。また、鍵生成装置10は、クライアント装置に搭載されてもよいしサーバ装置に搭載されてもよい。鍵生成装置10は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの電子回路を用いて実装される。
鍵生成装置10は、生成回路11、秘匿処理部12および暗号処理部13を有する。
生成回路11は、生成回路11のハードウェアに依存した値を生成する。例えば、生成回路11は、不純物の密度など製造上の個体差に応じて値が変わるPUF(Physical Unclonable Function)値を生成する。PUF値の違いは、入力信号の変化に対して出力信号が変わるタイミングの微差や、電源投入直後のメモリ上の初期値の違いなどによって生じることがある。よって、生成回路11の複製は困難であり、鍵生成装置10と同種の鍵生成装置を製造しても、他の鍵生成装置の生成回路は鍵生成装置10の生成回路11とは異なる値を生成する。生成回路11が生成する値の桁数(例えば、二進数のビット数)を大きくすることで、他の鍵生成装置の生成回路とは大きく異なる値を生成できる。
生成回路11は、概ね安定的に生成回路11に固有の値を生成する。ただし、生成回路11が生成する値は、製造上の微差を利用しているため、常に同一の値になるとは限らず一定の範囲で揺らぐ可能性がある。例えば、生成回路11が生成する値は、鍵生成装置10の周囲の外気温度など鍵生成装置10の動作環境に応じて多少変化する可能性がある。生成される値の変化は、十分少ない桁(例えば、十分少ないビット)について発生し、他の鍵生成装置の生成回路が生成する値とは区別可能な範囲に収まることが想定される。
生成回路11が生成する値は、秘匿処理部12など鍵生成装置10の内部からは読み出し可能である一方、鍵生成装置10の外部からは読み出し困難となっている。すなわち、生成回路11が生成する値は物理的に保護されており漏洩リスクは小さい。なお、生成回路11は秘匿処理部12に含まれていてもよい。
秘匿処理部12は、暗号処理部13から秘匿化暗号鍵14を取得する。秘匿化暗号鍵14は、暗号鍵15を秘匿化したものである。生成回路11が生成する値を使わずに秘匿化暗号鍵14から暗号鍵15を復元することは困難である。秘匿化暗号鍵14の生成方法は後述する。秘匿処理部12は、秘匿化暗号鍵14を取得すると、生成回路11が生成した値を生成回路11から取得する。秘匿処理部12は、以下のようにして、生成回路11が生成した値と秘匿化暗号鍵14とから暗号鍵15を復元する。
まず、秘匿処理部12は、生成回路11が生成した値を用いて秘匿化暗号鍵14に対してマスク処理を行い、マスク処理の結果として第1のデータを生成する。このマスク処理は、例えば、生成回路11が生成した値と秘匿化暗号鍵14との間でビット毎の排他的論理和を求める論理演算である。次に、秘匿処理部12は、第1の誤り訂正復号方法によって第1のデータを誤り訂正復号し、第1の誤り訂正復号方法の結果として第2のデータを生成する。そして、秘匿処理部12は、第2の誤り訂正復号方法によって第2のデータを誤り訂正復号し、第2の誤り訂正復号方法の結果として暗号鍵15を生成する。秘匿処理部12は、復元した暗号鍵15を外部には出力せずに暗号処理部13に提供する。
秘匿化暗号鍵14は生成回路11が生成する値に依存しているため、鍵生成装置10以外の装置では暗号鍵15を正しく復元することができない。秘匿化暗号鍵14は、例えば、秘匿処理部12によって以下のようにして生成される。
まず、秘匿処理部12は、暗号鍵15を取得すると、第2の誤り訂正符号化方法によって暗号鍵15を誤り訂正符号化し、第2の誤り訂正符号化方法の結果として第3のデータを生成する。第2の誤り訂正符号化方法は、前述の第2の誤り訂正復号方法に対応する。次に、秘匿処理部12は、乱数を生成し、生成した乱数を用いて第3のデータに対してマスク処理を行い、マスク処理の結果として第4のデータを生成する。このマスク処理は、例えば、乱数と第3のデータとの間でビット毎の排他的論理和を求める論理演算である。
次に、秘匿処理部12は、第1の誤り訂正符号化方法によって第4のデータを誤り訂正符号化し、第1の誤り訂正符号化方法の結果として第5のデータを生成する。第1の誤り訂正符号化方法は、前述の第1の誤り訂正復号方法に対応する。そして、秘匿処理部12は、生成回路11が生成した値を用いて第5のデータに対してマスク処理を行い、マスク処理の結果として秘匿化暗号鍵14を生成する。このマスク処理は、例えば、生成回路11が生成した値と第5のデータとの間でビット毎の排他的論理和を求める論理演算である。秘匿処理部12は、生成した秘匿化暗号鍵14を外部に出力する。
第1の誤り訂正符号化方法と第2の誤り訂正符号化方法は、同じ符号化アルゴリズムであってもよいし異なる符号化アルゴリズムであってもよい。同様に、第1の誤り訂正復号方法と第2の誤り訂正復号方法は、同じ復号アルゴリズムであってもよいし異なる復号アルゴリズムであってもよい。上記の乱数のハミング重みは、好ましくは、第2の誤り訂正復号方法の誤り訂正能力以下である。生成回路11が生成する値のハミング重みは、好ましくは、第1の誤り訂正復号方法の誤り訂正能力を超える。
秘匿化暗号鍵14を生成した際に生成回路11が生成した値と暗号鍵15を復元した際に生成回路11が生成した値の差、すなわち、生成回路11が生成する値の変化のハミング重みは、好ましくは、第1の誤り訂正復号方法の誤り訂正能力以下である。ハミング重みは、二進数の「1」のビット数など「0」以外の値をとる桁の数である。誤り訂正能力は、訂正可能ビット数や訂正可能桁数と言うこともできる。
この場合、秘匿化暗号鍵14は生成回路11が生成する値を用いてマスク処理がなされており、生成回路11が生成する値は鍵生成装置10の外部から読み出し困難である。よって、鍵生成装置10以外の装置によって秘匿化暗号鍵14から暗号鍵15を復元することは困難となる。また、秘匿化暗号鍵14は乱数を用いてマスク処理がなされているため、仮に暗号鍵15が漏洩しても生成回路11が生成する値を推測することは困難となる。また、第1の誤り訂正復号方法によって、生成回路11が生成する値の揺らぎが除去され、第2の誤り訂正復号方法によって乱数が除去され、暗号鍵15が正しく復元される。
暗号処理部13は、秘匿化暗号鍵14と、平文16または暗号文17とを取得する。すると、暗号処理部13は、秘匿化暗号鍵14を秘匿処理部12に提供して暗号鍵15を秘匿処理部12から取得する。暗号処理部13は、暗号鍵15を用いて平文16を暗号化して暗号文17を生成し、暗号文17を外部に出力する。または、暗号処理部13は、暗号鍵15を用いて暗号文17を復号して平文16を生成し、平文16を外部に出力する。暗号化や復号などの暗号処理が終了すると、暗号処理部13は暗号鍵15を破棄することが好ましい。すなわち、暗号処理毎に秘匿化暗号鍵14が外部から入力され、暗号処理毎に暗号鍵15が鍵生成装置10の内部で一時的に復元される。
暗号鍵15としては、例えば、共通鍵暗号方式の共通鍵が用いられる。暗号処理部13は、AES(Advanced Encryption Standard)などの所定の共通鍵暗号方式によって平文16の暗号化または暗号文17の復号を行う。ただし、公開鍵暗号方式の秘密鍵を上記の方法によって保護することも考えられる。その場合、暗号処理部13は、暗号鍵15としての秘密鍵を用いて、所定の公開鍵暗号方式によって暗号文17を復号する。
第1の実施の形態の鍵生成装置10によれば、外部から読み出しが困難な生成回路11が生成する値を用いて秘匿化暗号鍵14が生成され、暗号処理の際には鍵生成装置10の内部で秘匿化暗号鍵14から暗号鍵15が一時的に復元される。よって、暗号鍵15が漏洩するリスクを低減でき暗号鍵15の保護を強化できる。その結果、暗号鍵15を用いて復号可能な暗号文17のセキュリティを強化でき、平文16の漏洩リスクを低減できる。
[第2の実施の形態]
次に、第2の実施の形態を説明する。
図2は、第2の実施の形態の情報処理システムの例を示す図である。
第2の実施の形態の情報処理システムは、暗号鍵の保護や平文の暗号化や暗号文の復号などの暗号処理を特定のサーバ装置によって集中的に行い、情報セキュリティを向上させるシステムである。この情報処理システムは、暗号処理サーバ100およびクライアント200,200a,200bを含む。暗号処理サーバ100およびクライアント200,200a,200bは、ネットワーク30に接続されている。ネットワーク30は、例えば、LAN(Local Area Network)などの組織内ネットワークである。
暗号処理サーバ100は、暗号処理を行うサーバコンピュータである。暗号処理サーバ100は、クライアント200,200a,200bから暗号鍵を受信し、受信した暗号鍵を秘匿化して秘匿化暗号鍵を返信する。また、暗号処理サーバ100は、クライアント200,200a,200bから平文と秘匿化暗号鍵を受信し、受信した秘匿化暗号鍵から暗号鍵を復元し、復元した暗号鍵を用いて平文を暗号化して暗号文を返信する。
また、暗号処理サーバ100は、クライアント200,200a,200bから暗号文と秘匿化暗号鍵を受信し、受信した秘匿化暗号鍵から暗号鍵を復元し、復元した暗号鍵を用いて暗号文を復号して平文を返信する。また、暗号処理サーバ100は、クライアント200,200a,200bから旧暗号文と旧秘匿化暗号鍵と新秘匿化暗号鍵を受信し、旧秘匿化暗号鍵に基づいて旧暗号文を復号し、新秘匿化暗号鍵に基づいて平文を再暗号化して新暗号文を返信する。暗号処理サーバ100の内部で一時的に復元された暗号鍵は、クライアント200,200a,200bに提供されない。
クライアント200,200a,200bは、ユーザが操作する端末装置としてのクライアントコンピュータである。暗号処理サーバ100とクライアント200,200a,200bとは、WebAPI(Application Programming Interface)を用いて通信する。クライアント200,200a,200bは、暗号鍵を暗号処理サーバ100に送信し、秘匿化暗号鍵を暗号処理サーバ100から受信する。クライアント200,200a,200bは、秘匿化暗号鍵を保持し元の暗号鍵は保持しないことが好ましい。
また、クライアント200,200a,200bは、データを暗号化して保存したいとき、平文(暗号化されていないデータ)と秘匿化暗号鍵を暗号処理サーバ100に送信し、平文に対応する暗号文(暗号化されたデータ)を暗号処理サーバ100から受信する。クライアント200,200a,200bは、暗号文を保持し平文は保持しないことが好ましい。また、クライアント200,200a,200bは、暗号化されたデータを参照したいとき、暗号文と秘匿化暗号鍵を暗号処理サーバ100に送信し、暗号文に対応する平文を暗号処理サーバ100から受信する。
なお、暗号鍵を秘匿化するとき、ネットワーク30を介して暗号鍵を暗号処理サーバ100に送信する代わりに、オフラインで暗号鍵を暗号処理サーバ100に読み込ませてもよい。例えば、暗号鍵を可搬記録媒体に記録し、その可搬記録媒体を暗号処理サーバ100に読み込ませてもよい。また、入力デバイスを用いてユーザが暗号処理サーバ100に対して暗号鍵を入力してもよい。同様に、ネットワーク30を介して秘匿化暗号鍵をクライアント200,200a,200bに送信する代わりに、オフラインで秘匿化暗号鍵をクライアント200,200a,200bに読み込ませてもよい。
図3は、暗号処理サーバのハードウェア例を示すブロック図である。
暗号処理サーバ100は、CPU(Central Processing Unit)101、RAM(Random Access Memory)102、HDD(Hard Disk Drive)103、画像信号処理部104、入力信号処理部105、媒体リーダ106および通信インタフェース107を有する。また、暗号処理サーバ100は、暗号鍵管理装置120を有する。暗号鍵管理装置120は、第1の実施の形態の鍵生成装置10に対応する。これらのユニットはバスに接続されている。クライアント200,200a,200bも、暗号処理サーバ100と同様のハードウェアを用いて実装できる。ただし、クライアント200,200a,200bは暗号鍵管理装置120を有しなくてよい。
CPU101は、プログラムの命令を実行する演算回路を含むプロセッサである。CPU101は、HDD103に記憶されたプログラムやデータの少なくとも一部をRAM102にロードし、プログラムを実行する。なお、CPU101は複数のプロセッサコアを備えてもよく、暗号処理サーバ100は複数のプロセッサを備えてもよく、以下の処理を複数のプロセッサまたはプロセッサコアを用いて並列に実行してもよい。また、複数のプロセッサの集合を「マルチプロセッサ」または単に「プロセッサ」と呼ぶことがある。
RAM102は、CPU101が実行するプログラムやCPU101が演算に用いるデータを一時的に記憶する揮発性の半導体メモリである。なお、暗号処理サーバ100は、RAM以外の種類のメモリを備えてもよく、複数個のメモリを備えてもよい。
HDD103は、OS(Operating System)やアプリケーションソフトウェアなどのソフトウェアのプログラム、および、データを記憶する不揮発性の記憶装置である。なお、暗号処理サーバ100は、フラッシュメモリやSSD(Solid State Drive)などの他の種類の記憶装置を備えてもよく、複数の不揮発性の記憶装置を備えてもよい。
画像信号処理部104は、CPU101からの命令に従って、暗号処理サーバ100に接続されたディスプレイ111に画像を出力する。ディスプレイ111としては、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイ(LCD:Liquid Crystal Display)、プラズマディスプレイ、有機EL(OEL:Organic Electro-Luminescence)ディスプレイなど、任意の種類のディスプレイを用いることができる。
入力信号処理部105は、暗号処理サーバ100に接続された入力デバイス112から入力信号を取得し、CPU101に出力する。入力デバイス112としては、マウスやタッチパネルやタッチパッドやトラックボールなどのポインティングデバイス、キーボード、リモートコントローラ、ボタンスイッチなどを用いることができる。また、暗号処理サーバ100に複数の種類の入力デバイスが接続されていてもよい。
媒体リーダ106は、記録媒体113に記録されたプログラムやデータを読み取る読み取り装置である。記録媒体113として、例えば、磁気ディスク、光ディスク、光磁気ディスク(MO:Magneto-Optical disk)、半導体メモリなどを使用できる。磁気ディスクには、フレキシブルディスク(FD:Flexible Disk)やHDDが含まれる。光ディスクには、CD(Compact Disc)やDVD(Digital Versatile Disc)が含まれる。
媒体リーダ106は、例えば、記録媒体113から読み取ったプログラムやデータを、RAM102やHDD103などの他の記録媒体にコピーする。読み取られたプログラムは、例えば、CPU101によって実行される。なお、記録媒体113は可搬型記録媒体であってもよく、プログラムやデータの配布に用いられることがある。また、記録媒体113やHDD103を、コンピュータ読み取り可能な記録媒体と言うことがある。
通信インタフェース107は、ネットワーク30に接続され、ネットワーク30を介して他の装置と通信を行うインタフェースである。通信インタフェース107は、例えば、スイッチなどの通信装置とケーブルで接続される有線通信インタフェースである。ただし、基地局と無線リンクで接続される無線通信インタフェースであってもよい。
暗号鍵管理装置120は、暗号鍵の秘匿化、平文の暗号化、暗号文の復号および暗号文の再暗号化を行うハードウェアセキュリティモジュールである。暗号化や復号の際に暗号鍵が暗号鍵管理装置120の外部に流出しないようにすることで暗号鍵が保護される。暗号鍵管理装置120は、ASICやFPGAなどの電子回路として実装される。
図4は、暗号鍵管理装置のハードウェア例を示すブロック図である。
暗号鍵管理装置120は、入出力インタフェース121、制御部122、秘匿処理部123、暗号化部124および復号部125を有する。なお、秘匿処理部123は、第1の実施の形態の秘匿処理部12に対応する。暗号化部124および復号部125は、第1の実施の形態の暗号処理部13に対応する。
入出力インタフェース121は、CPU101から暗号処理コマンドを受け付け、暗号処理結果をCPU101に提供する。暗号処理コマンドの種類として、暗号鍵秘匿化コマンド、暗号化コマンド、復号コマンドおよび再暗号化コマンドが挙げられる。暗号鍵秘匿化コマンドには秘匿化前の暗号鍵が付加される。暗号化コマンドには秘匿化暗号鍵と平文が付加される。復号コマンドには秘匿化暗号鍵と暗号文が付加される。再暗号化コマンドには旧暗号文と旧秘匿化暗号鍵と新秘匿化暗号鍵が付加される。
制御部122は、入出力インタフェース121から暗号処理コマンドを取得し、秘匿処理部123、暗号化部124および復号部125を利用して暗号処理を実行し、暗号処理結果を入出力インタフェース121に出力する。
暗号鍵秘匿化コマンドに対しては、制御部122は、暗号鍵を秘匿処理部123に入力して秘匿化暗号鍵を秘匿処理部123から取得する。暗号化コマンドに対しては、制御部122は、秘匿化暗号鍵を秘匿処理部123に入力して暗号鍵を秘匿処理部123から取得し、暗号鍵と平文を暗号化部124に入力して暗号文を暗号化部124から取得する。
復号コマンドに対しては、制御部122は、秘匿化暗号鍵を秘匿処理部123に入力して暗号鍵を秘匿処理部123から取得し、暗号鍵と暗号文を復号部125に入力して平文を復号部125から取得する。再暗号化コマンドに対しては、制御部122は、旧秘匿化暗号鍵を秘匿処理部123に入力して旧暗号鍵を秘匿処理部123から取得し、旧暗号鍵と旧暗号文を復号部125に入力して平文を復号部125から取得する。制御部122は、新秘匿化暗号鍵を秘匿処理部123に入力して新暗号鍵を秘匿処理部123から取得し、新暗号鍵と平文を暗号化部124に入力して新暗号文を暗号化部124から取得する。
秘匿処理部123は、制御部122から暗号鍵を取得すると、暗号鍵を秘匿化して秘匿化暗号鍵を制御部122に出力する。また、秘匿処理部123は、制御部122から秘匿化暗号鍵を取得すると、暗号鍵の秘匿化を解除して暗号鍵を制御部122に出力する。秘匿化を解除した暗号鍵は暗号鍵管理装置120の外部には出力されない。暗号鍵管理装置120で生成された秘匿化暗号鍵からは、以下に説明するように他の装置で暗号鍵を復元することはできない。また、他の装置で生成された秘匿化暗号鍵からは、以下に説明するように暗号鍵管理装置120で暗号鍵を復元することはできない。
秘匿処理部123は、論理演算部131、PUF回路132、誤り訂正符号化部133,134、誤り訂正復号部135,136および乱数生成部137を有する。なお、PUF回路132は、第1の実施の形態の生成回路11に対応する。
論理演算部131は、秘匿化暗号鍵の生成および暗号鍵の復元に用いられる。論理演算部131は、データに対するマスク処理を行う。具体的には、論理演算部131は、2つのビット列の間でビット毎に排他的論理和を算出する論理演算を実行する。
PUF回路132は、PUFを利用してハードウェア固有の値であるPUFコードを生成する電子回路である。PUF回路132は、秘匿化暗号鍵の生成および暗号鍵の復元に用いられる。PUFコードは、不純物の密度など製造上不可避的に発生するハードウェアの個体差に依存する。このため、同じPUFコードを生成するようにPUF回路132を複製することは困難であり、PUF回路132が生成するPUFコードは他の暗号鍵管理装置のPUFコードとは十分に異なっている。PUF回路132が生成するPUFコードは、大きく変化しないものの、常に同一の値になるとは限らず一定の範囲で揺らぐことがある。PUFコードの変化は、PUFコードの長さ(全ビット数)と比べて十分少ないビットについて発生する。PUFコードは、暗号鍵管理装置120の外部から読み出すことは困難であり、漏洩リスクが小さく物理的に保護されている。
誤り訂正符号化部133,134は、それぞれ所定の誤り訂正符号化方式に従ってデータを符号化する。誤り訂正符号化部133,134は、秘匿化暗号鍵の生成に用いられる。誤り訂正符号化部133,134が使用する誤り訂正符号化方式は、同一でもよいし異なってもよい。誤り訂正符号化部133は線形符号を用いてもよい。例えば、誤り訂正符号化部133は(n,k1,2d1+1)の線形符号を用いる。「n」は符号化後のビット長、「k1」は符号化前のビット長、「d1」は訂正可能ビット数を表す。また、例えば、誤り訂正符号化部134は(k2,p,2d2+1)の線形符号または非線形符号を用いる。「k2」は符号化後のビット長、「p」は符号化前のビット長、「d2」は訂正可能ビット数を示す。k2はk1と同じかk1より小さい。
線形符号の例として、ハミング符号、BCH(Bose Chaudhuri Hocquenghem)符号、リードソロモン符号、ターボ符号、LDPC(Low Density Parity Check)符号、畳み込み符号などを挙げることができる。非線形符号の例として、NR符号、ナドラ符号、グリーン符号などを挙げることができる。誤り訂正符号化部133,134が共にリードソロモン符号を用いる場合、n=2047,k1=1023,k2=511,p=351の実装例が考えられる。また、誤り訂正符号化部133,134が共にBCH符号を用いる場合、n=8191,k1=1535,k2=1023,p=223の実装例が考えられる。
誤り訂正復号部135,136は、それぞれ所定の誤り訂正符号化方式に従って誤り訂正符号を復号する。誤り訂正復号部135,136は、暗号鍵の復元に用いられる。誤り訂正復号部135は誤り訂正符号化部133に対応し、誤り訂正復号部136は誤り訂正符号化部134に対応する。すなわち、誤り訂正復号部135は、誤り訂正符号化部133を用いて生成された誤り訂正符号を復号できる。誤り訂正復号部136は、誤り訂正符号化部134を用いて生成された誤り訂正符号を復号できる。
乱数生成部137は、所定条件を満たす乱数を生成する。乱数生成部137は、秘匿化暗号鍵の生成に用いられる。乱数生成部137が生成する乱数のハミング重み、すなわち、「1」のビット数は、誤り訂正復号部136の誤り訂正能力(訂正可能ビット数)以下になるようにする。なお、PUF回路132が生成するPUFコードのハミング重みは、誤り訂正復号部135の誤り訂正能力(訂正可能ビット数)を超えるようにする。また、PUF回路132が異なるタイミングで生成した2つのPUFコードの排他的論理和のハミング重みは、誤り訂正復号部135の誤り訂正能力以下になるようにする。すなわち、PUFコードの揺らぎは誤り訂正復号部135の誤り訂正能力を超えない。
暗号化部124は、制御部122から暗号鍵と平文を取得し、取得した暗号鍵を用いて平文を暗号化して暗号文を制御部122に出力する。暗号化部124は、暗号方式としてAESなどの所定の共通鍵暗号方式を用いる。制御部122から取得する暗号鍵は、AESの共通鍵など所定の共通鍵暗号方式の共通鍵である。暗号化部124は、暗号化が終わった後は、制御部122から取得した暗号鍵や平文を内部に保持せず破棄する。
復号部125は、制御部122から暗号鍵と暗号文を取得し、取得した暗号鍵を用いて暗号文を復号して平文を制御部122に出力する。復号部125は、暗号化部124と同じ所定の共通鍵暗号方式を用いる。復号部125は、復号が終わった後は、制御部122から取得した暗号鍵や生成した平文を内部に保持せず破棄する。
図5は、PUF回路の例を示す図である。
PUF回路132の実装方法としてラッチ回路を利用する方法が考えられる。一例として、PUF回路132は、n個(nはPUFコードのビット数を示す非負整数)のラッチ回路であるラッチ回路138−1,138−2,…,138−nを含む。n個のラッチ回路はPUFコードのnビットに対応する。ラッチ回路138−1はPUFコードの最下位ビットの値を出力する。ラッチ回路138−2はPUFコードの下位から2番目のビットの値を出力する。ラッチ回路138−nはPUFコードの最上位ビットの値を出力する。
ラッチ回路138−1,138−2,…,138−nは同じ構造を有する。各ラッチ回路は2つのNAND回路(第1のNAND回路と第2のNAND回路)を含む。第1のNAND回路は、ラッチ回路外部からの入力信号が入力される第1の入力端と、第2のNAND回路の出力信号がフィードバックされる第2の入力端とを有する。また、第1のNAND回路は、出力信号が出力される出力端を有する。第1のNAND回路の出力信号は、ラッチ回路外部への出力信号となる。第2のNAND回路は、第1のNAND回路と同じラッチ回路外部からの入力信号が入力される第1の入力端と、第1のNAND回路の出力信号がフィードバックされる第2の入力端とを有する。また、第2のNAND回路は、出力信号が出力される出力端を有する。
このようなラッチ回路138−1,138−2,…,138−nに対して所定の入力値(例えば、「1」)を入力すると、論理的には、各ラッチ回路の出力値は不定になる。しかし、不純物の密度など各ラッチ回路の物理的特徴から、特定の出力値が出力されやすいという傾向(「1」の出力されやすさと「0」の出力されやすさ)がラッチ回路毎に決まる。よって、ラッチ回路138−1,138−2,…,138−nを用いて生成されるnビットのPUFコードは、概ねPUF回路132固有の値をとる。ただし、論理的には各ラッチ回路の出力値は不定であり常に同じ値が出力されることは保証されない。よって、PUFコードは大きく変化しないものの一定範囲で揺らぐことがある。
図6は、クライアントと暗号処理サーバの機能例を示すブロック図である。
暗号処理サーバ100は、アプリケーション部141、Web通信部142およびデバイスドライバ143を有する。アプリケーション部141、Web通信部142およびデバイスドライバ143は、例えば、プログラムモジュールを用いて実装される。
アプリケーション部141は、クライアント200,200a,200bに対して暗号処理サービスを提供するアプリケーションソフトウェアである。アプリケーション部141は、Web通信部142を介してクライアント200,200a,200bからリクエストメッセージを受信する。すると、アプリケーション部141は、リクエストメッセージの内容に応じてデバイスドライバ143に暗号処理を要求し、デバイスドライバ143から暗号処理結果を取得する。アプリケーション部141は、暗号処理結果からレスポンスメッセージを生成し、Web通信部142を介してクライアント200,200a,200bにレスポンスメッセージを送信する。
Web通信部142は、通信インタフェース107およびネットワーク30を介してクライアント200,200a,200bと通信する。Web通信部142は、通信プロトコルとしてHTTP(Hypertext Transfer Protocol)やIP(Internet Protocol)を用いる。Web通信部142は、HTTPリクエストメッセージをクライアント200,200a,200bから受信してアプリケーション部141に転送する。また、Web通信部142は、HTTPレスポンスメッセージをアプリケーション部141から取得してクライアント200,200a,200bに転送する。
デバイスドライバ143は、暗号鍵管理装置120にアクセスするミドルウェアである。デバイスドライバ143は、アプリケーション部141からの要求に応じて暗号鍵管理装置120に対して暗号処理コマンドを入力する。デバイスドライバ143は、暗号処理コマンドに対するレスポンスとして暗号処理結果を暗号鍵管理装置120から取得し、暗号処理結果をアプリケーション部141に出力する。デバイスドライバ143は、暗号鍵秘匿化コマンドに対するレスポンスとして秘匿化暗号鍵を取得する。また、デバイスドライバ143は、暗号化コマンドに対するレスポンスとして暗号文を取得する。また、デバイスドライバ143は、復号コマンドに対するレスポンスとして平文を取得する。デバイスドライバ143は、再暗号化コマンドに対するレスポンスとして新暗号文を取得する。
クライアント200は、アプリケーション部241、Web通信部242、秘匿化暗号鍵記憶部243および暗号文記憶部244を有する。アプリケーション部241およびWeb通信部242は、例えば、プログラムモジュールを用いて実装される。秘匿化暗号鍵記憶部243および暗号文記憶部244は、例えば、RAMまたはHDDに確保した記憶領域を用いて実装される。クライアント200a,200bも、クライアント200と同様のモジュール構成によって実装することができる。
アプリケーション部241は、暗号処理サーバ100が提供する暗号処理サービスを利用するアプリケーションソフトウェアである。アプリケーション部241は、クライアント200を使用するユーザの操作に応じて暗号処理を要求するリクエストメッセージを生成し、Web通信部242を介して暗号処理サーバ100にリクエストメッセージを送信する。そして、アプリケーション部241は、暗号処理結果を含むレスポンスメッセージをWeb通信部242を介して暗号処理サーバ100から受信する。
例えば、アプリケーション部241は、新たな暗号鍵が用意されると、暗号鍵秘匿化の要求を示すリクエストメッセージを生成する。このリクエストメッセージは秘匿化前の暗号鍵を含む。暗号鍵は、クライアント200が所定のアルゴリズムに従って生成してもよいし、他の装置が所定のアルゴリズムに従って生成してもよい。また、暗号鍵は、可搬記録媒体に記録されて可搬記録媒体からクライアント200に読み込まれてもよいし、ユーザがクライアント200に対して入力してもよい。アプリケーション部241は、暗号鍵秘匿化の要求に対して秘匿化暗号鍵を含むレスポンスメッセージを受信する。アプリケーション部241は、秘匿化暗号鍵を秘匿化暗号鍵記憶部243に格納する。ただし、秘匿化暗号鍵を可搬記録媒体に記録してもよいし他の装置に転送してもよい。アプリケーション部241は、秘匿化後は元の暗号鍵を保持せず破棄することが好ましい。なお、前述のように、暗号鍵をオフラインで暗号処理サーバ100に提供することもできる。
また、アプリケーション部241は、あるデータを暗号化することを示すユーザ操作を受け付けると、暗号化の要求を示すリクエストメッセージを生成する。このリクエストメッセージは秘匿化暗号鍵と平文を含む。アプリケーション部241は、暗号化の要求に対して暗号文を含むレスポンスメッセージを受信する。アプリケーション部241は、暗号文を暗号文記憶部244に格納する。ただし、アプリケーション部241は、暗号文を可搬記録媒体に記録してもよいし他の装置に転送してもよい。アプリケーション部241は、暗号化されていない平文を保持せず破棄することが好ましい。
また、アプリケーション部241は、暗号文記憶部244に格納された暗号文を閲覧するユーザ操作を受け付けると、復号の要求を示すリクエストメッセージを生成する。このリクエストメッセージは秘匿化暗号鍵と暗号文を含む。アプリケーション部241は、復号の要求に対して平文を含むレスポンスメッセージを受信する。アプリケーション部241は、例えば、クライアント200が有するディスプレイに平文を表示する。アプリケーション部241は、閲覧が終わった後は平文を保持せず破棄することが好ましい。
また、アプリケーション部241は、暗号文の暗号鍵を変更するユーザ操作を受け付けると、再暗号化の要求を示すリクエストメッセージを生成する。このリクエストメッセージは、変更前の旧秘匿化暗号鍵と変更後の新秘匿化暗号鍵と旧暗号鍵で暗号化された旧暗号文を含む。新秘匿化暗号鍵は、上記の暗号鍵秘匿化の要求に従って予め暗号処理サーバ100から入手しておく。暗号化されたデータを長期間保存しておく場合、定期的に暗号鍵を変更することで情報セキュリティを向上させることができる。アプリケーション部241は、再暗号化の要求に対して新暗号鍵で暗号化された新暗号文を含むレスポンスメッセージを受信する。アプリケーション部241は、新暗号文を暗号文記憶部244に格納する。再暗号化では、クライアント200に平文は提供されない。
Web通信部242は、ネットワーク30を介して暗号処理サーバ100と通信する。Web通信部242は、通信プロトコルとしてHTTPやIPを用いる。Web通信部242は、HTTPリクエストメッセージをアプリケーション部241から取得して暗号処理サーバ100に転送する。また、Web通信部242は、HTTPレスポンスメッセージを暗号処理サーバ100から受信してアプリケーション部241に転送する。
秘匿化暗号鍵記憶部243は、暗号処理サーバ100によって提供された秘匿化暗号鍵を記憶する。秘匿化暗号鍵はPUF回路132が生成するPUFコードを用いて秘匿化されているため、暗号鍵管理装置120以外の装置では秘匿化暗号鍵から元の暗号鍵は復元されない。暗号文記憶部244は、暗号処理サーバ100によって暗号化された暗号文を記憶する。この暗号文は、秘匿化暗号鍵記憶部243に記憶された秘匿化暗号鍵に対応する暗号鍵で暗号化されている。暗号文記憶部244に記憶された暗号文は、暗号鍵管理装置120以外の装置では復号されない。
次に、暗号鍵管理装置120の処理手順について説明する。
図7は、暗号鍵秘匿化の手順例を示すフローチャートである。
(S10)入出力インタフェース121は、暗号鍵秘匿化コマンドを受信する。制御部122は、暗号鍵秘匿化コマンドに付加された暗号鍵wを取得する。制御部122は、暗号鍵wを秘匿処理部123に入力する。
(S11)誤り訂正符号化部134は、暗号鍵wを符号化してE2(w)を生成する。
(S12)乱数生成部137は、乱数sを生成する。
(S13)論理演算部131は、ステップS11の誤り訂正符号E2(w)とステップS12の乱数sの排他的論理和を算出してE2(w)+sを生成する。
(S14)誤り訂正符号化部133は、ステップS13の排他的論理和の演算結果を符号化してE1(E2(w)+s)を生成する。
(S15)論理演算部131は、PUF回路132からPUFコードxを取得する。
(S16)論理演算部131は、ステップS14の誤り訂正符号とステップS15のPUFコードxの排他的論理和を算出してx+E1(E2(w)+s)を生成する。
(S17)制御部122は、ステップS16の排他的論理和の演算結果を秘匿化暗号鍵swとして秘匿処理部123から取得する。入出力インタフェース121は、制御部122から秘匿化暗号鍵swを取得して暗号鍵管理装置120の外部に送信する。
図8は、暗号化の手順例を示すフローチャートである。
(S20)入出力インタフェース121は、暗号化コマンドを受信する。制御部122は、暗号化コマンドに付加された秘匿化暗号鍵swと平文Pを取得する。制御部122は、秘匿化暗号鍵swを秘匿処理部123に入力する。
(S21)論理演算部131は、PUF回路132からPUFコードyを取得する。ここで取得されるPUFコードyは、秘匿化暗号鍵swを生成するときに使用したPUFコードxと十分に近似するものの完全に一致するとは限らない。
(S22)論理演算部131は、ステップS20の秘匿化暗号鍵swとステップS21のPUFコードyの排他的論理和を算出してsw+yを生成する。秘匿化暗号鍵swが秘匿処理部123によって生成された正当な秘匿化暗号鍵である場合、排他的論理和の演算結果はsw+y=x+y+E1(E2(w)+s)となる。
(S23)誤り訂正復号部135は、ステップS22の排他的論理和の演算結果を復号してD1(sw+y)を生成する。秘匿化暗号鍵swが秘匿処理部123によって生成された正当な秘匿化暗号鍵である場合、PUFコードxとPUFコードyは十分に近似するため、x+yのハミング重みは誤り訂正復号部135の訂正可能ビット数以下となる。よって、復号結果はD1(sw+y)=E2(w)+sとなる。
(S24)誤り訂正復号部136は、ステップS23の復号結果を更に復号してD2(E2(w)+s)を生成する。乱数sのハミング重みは誤り訂正復号部136の訂正可能ビット数以下であるため、復号結果はD2(E2(w)+s)=wとなる。
(S25)制御部122は、ステップS24で復元された暗号鍵wを秘匿処理部123から取得し、暗号鍵wとステップS20の平文Pを暗号化部124に入力する。暗号化部124は、暗号鍵wを用いて平文Pを暗号化して暗号文Cを生成する。
(S26)制御部122は、ステップS25で生成された暗号文Cを暗号化部124から取得する。入出力インタフェース121は、制御部122から暗号文Cを取得して暗号鍵管理装置120の外部に送信する。
なお、秘匿化暗号鍵swが秘匿処理部123によって生成された正当な秘匿化暗号鍵でない場合、暗号鍵wが正しく復元されない。ステップS24の復号結果が所定の共通鍵暗号方式の暗号鍵に該当しないことを判定できる場合、秘匿処理部123は制御部122に対してエラーを通知してもよい。その場合、制御部122は平文Pの暗号化をスキップしてもよく、入出力インタフェース121はエラーを外部に通知してもよい。
図9は、復号の手順例を示すフローチャートである。
(S30)入出力インタフェース121は、復号コマンドを受信する。制御部122は、復号コマンドに付加された秘匿化暗号鍵swと暗号文Cを取得する。制御部122は、秘匿化暗号鍵swを秘匿処理部123に入力する。
(S31〜S34)秘匿処理部123が秘匿化暗号鍵swから暗号鍵wを復元する処理は、前述のステップS21〜S24と同様であるため説明を省略する。
(S35)制御部122は、ステップS34で復元された暗号鍵wを秘匿処理部123から取得し、暗号鍵wとステップS30の暗号文Cを復号部125に入力する。復号部125は、暗号鍵wを用いて暗号文Cを復号して平文Pを生成する。
(S36)制御部122は、ステップS35で生成された平文Pを復号部125から取得する。入出力インタフェース121は、制御部122から平文Pを取得して暗号鍵管理装置120の外部に送信する。
なお、秘匿化暗号鍵swが秘匿処理部123によって生成された正当な秘匿化暗号鍵でない場合、暗号鍵wが正しく復元されない。ステップS34の復号結果が所定の共通鍵暗号方式の暗号鍵に該当しないことを判定できる場合、秘匿処理部123は制御部122に対してエラーを通知してもよい。その場合、制御部122は暗号文Cの復号をスキップしてもよく、入出力インタフェース121はエラーを外部に通知してもよい。また、暗号文Cが正当な暗号鍵wによって暗号化されていない場合、暗号文Cから平文Pが正しく復元されない。ステップS35の復号結果が正しい平文でないことを判定できる場合、復号部125は制御部122に対してエラーを通知してもよい。その場合、入出力インタフェース121はエラーを外部に通知してもよい。
図10は、再暗号化の手順例を示すフローチャートである。
(S40)入出力インタフェース121は、再暗号化コマンドを受信する。制御部122は、再暗号化コマンドに付加された秘匿化暗号鍵sw1,sw2と暗号文C1を取得する。秘匿化暗号鍵sw1は旧秘匿化暗号鍵であり、秘匿化暗号鍵sw2は新秘匿化暗号鍵である。制御部122は、秘匿化暗号鍵sw1を秘匿処理部123に入力する。
(S41)論理演算部131は、PUF回路132からPUFコードy1を取得する。ここで取得されるPUFコードy1は、秘匿化暗号鍵sw1を生成するときに使用したPUFコードx1と十分に近似するものの完全に一致するとは限らない。
(S42)論理演算部131は、ステップS40の秘匿化暗号鍵sw1とステップS41のPUFコードy1の排他的論理和を算出してsw1+y1を生成する。秘匿化暗号鍵sw1が秘匿処理部123によって生成された正当な秘匿化暗号鍵である場合、排他的論理和の演算結果はsw1+y1=x1+y1+E1(E2(w1)+s1)となる。なお、PUFコードx1は秘匿化暗号鍵sw1を生成したときのPUFコードであり、暗号鍵w1は旧暗号鍵であり、乱数s1は秘匿化暗号鍵sw1を生成したときの乱数である。
(S43)誤り訂正復号部135は、ステップS42の排他的論理和の演算結果を復号してD1(sw1+y1)を生成する。秘匿化暗号鍵sw1が秘匿処理部123によって生成された正当な秘匿化暗号鍵である場合、PUFコードx1とPUFコードy1は十分に近似するため、x1+y1のハミング重みは誤り訂正復号部135の訂正可能ビット数以下となる。よって、復号結果はD1(sw1+y1)=E2(w1)+s1となる。
(S44)誤り訂正復号部136は、ステップS43の復号結果を更に復号してD2(E2(w1)+s1)を生成する。乱数s1のハミング重みは誤り訂正復号部136の訂正可能ビット数以下であるため、復号結果はD2(E2(w1)+s1)=w1となる。
(S45)制御部122は、ステップS44で復元された暗号鍵w1を秘匿処理部123から取得し、暗号鍵w1とステップS40の暗号文C1を復号部125に入力する。復号部125は、暗号鍵w1を用いて暗号文C1を復号して平文Pを生成する。また、制御部122は、秘匿化暗号鍵sw2を秘匿処理部123に入力する。
(S46)論理演算部131は、PUF回路132からPUFコードy2を取得する。ここで取得されるPUFコードy2は、秘匿化暗号鍵sw2を生成するときに使用したPUFコードx2と十分に近似するものの完全に一致するとは限らない。
(S47)論理演算部131は、ステップS40の秘匿化暗号鍵sw2とステップS46のPUFコードy2の排他的論理和を算出してsw2+y2を生成する。秘匿化暗号鍵sw2が秘匿処理部123によって生成された正当な秘匿化暗号鍵である場合、排他的論理和の演算結果はsw2+y2=x2+y2+E1(E2(w2)+s2)となる。なお、PUFコードx2は秘匿化暗号鍵sw2を生成したときのPUFコードであり、暗号鍵w2は新暗号鍵であり、乱数s2は秘匿化暗号鍵sw2を生成したときの乱数である。
(S48)誤り訂正復号部135は、ステップS47の排他的論理和の演算結果を復号してD1(sw2+y2)を生成する。秘匿化暗号鍵sw2が秘匿処理部123によって生成された正当な秘匿化暗号鍵である場合、PUFコードx2とPUFコードy2は十分に近似するため、x2+y2のハミング重みは誤り訂正復号部135の訂正可能ビット数以下となる。よって、復号結果はD1(sw2+y2)=E2(w2)+s2となる。
(S49)誤り訂正復号部136は、ステップS48の復号結果を更に復号してD2(E2(w2)+s2)を生成する。乱数s2のハミング重みは誤り訂正復号部136の訂正可能ビット数以下であるため、復号結果はD2(E2(w2)+s2)=w2となる。
(S50)制御部122は、ステップS49で復元された暗号鍵w2を秘匿処理部123から取得し、暗号鍵w2とステップS45の平文Pを暗号化部124に入力する。暗号化部124は、暗号鍵w2を用いて平文Pを暗号化して暗号文C2を生成する。
(S51)制御部122は、ステップS50で生成された暗号文C2を暗号化部124から取得する。入出力インタフェース121は、制御部122から暗号文C2を取得して暗号鍵管理装置120の外部に送信する。
第2の実施の形態の暗号鍵管理装置120によれば、外部から読み出しが困難なPUF回路132が生成するPUFコードを用いて秘匿化暗号鍵が生成され、暗号処理の際には暗号鍵管理装置120の内部で秘匿化暗号鍵から暗号鍵が一時的に復元される。よって、暗号鍵が漏洩するリスクを低減でき暗号鍵の保護を強化できる。その結果、暗号鍵を用いて復号可能な暗号文の情報セキュリティを強化でき、平文の漏洩リスクを低減できる。また、暗号鍵を変更する際には、暗号鍵管理装置120の外部に平文が出力されないように暗号文の復号と再暗号化が行われる。よって、暗号鍵の変更が容易となり、長期的に保存するデータの情報セキュリティを強化することができる。
また、秘匿化暗号鍵はハードウェア依存のPUFコードを用いてマスク処理がなされているため、暗号鍵管理装置120以外の装置で秘匿化暗号鍵から暗号鍵を復元することが困難となる。また、秘匿化暗号鍵はその生成時に選択される乱数を用いてマスク処理がなされているため、管理不備などが原因で仮に暗号鍵が漏洩しても、秘匿化暗号鍵と元の暗号鍵から暗号鍵管理装置120のPUFコードを推測することは困難となる。よって、暗号鍵管理装置120を安定的に運用することが可能となる。
10 鍵生成装置
11 生成回路
12 秘匿処理部
13 暗号処理部
14 秘匿化暗号鍵
15 暗号鍵
16 平文
17 暗号文

Claims (3)

  1. 生成回路であって、前記生成回路のハードウェアに依存したPUF(Physical Unclonable Function)値を生成する生成回路と、
    暗号鍵を取得すると、前記暗号鍵を第1の誤り訂正符号化方法によって符号化して第1のデータを生成し、乱数を用いて前記第1のデータに対してマスク処理を行って第2のデータを生成し、前記第2のデータを第2の誤り訂正符号化方法によって符号化して第3のデータを生成し、前記生成回路によって生成されたPUF値を用いて前記第3のデータに対してマスク処理を行って秘匿化暗号鍵を生成し、前記秘匿化暗号鍵を取得すると、前記生成回路によって生成されたPUF値を用いて前記秘匿化暗号鍵に対してマスク処理を行って第のデータを生成し、前記第のデータを前記第2の誤り訂正符号化方法に対応するの誤り訂正復号方法によって復号して第のデータを生成し、前記第のデータを前記第1の誤り訂正符号化方法に対応するの誤り訂正復号方法によって復号して前記暗号鍵を生成する秘匿処理部と、
    前記秘匿化暗号鍵と平文または暗号文とを取得すると、前記秘匿化暗号鍵に対応する前記暗号鍵を前記秘匿処理部から取得し、前記暗号鍵を用いて前記平文の暗号化または前記暗号文の復号を行う暗号処理部と、
    を有し、前記生成回路によって生成されるPUF値のハミング重みは、前記第2の誤り訂正復号方法の誤り訂正能力より大きく、前記乱数のハミング重みは、前記第1の誤り訂正復号方法の誤り訂正能力以下である、
    鍵生成装置。
  2. 前記暗号処理部は、前記秘匿化暗号鍵と他の秘匿化暗号鍵と前記暗号文とを取得すると、前記秘匿化暗号鍵に対応する前記暗号鍵を前記秘匿処理部から取得し、前記暗号鍵を用いて前記暗号文を復号し、前記他の秘匿化暗号鍵に対応する他の暗号鍵を前記秘匿処理部から取得し、前記他の暗号鍵を用いて前記暗号文の復号結果を再暗号化する、
    請求項1記載の鍵生成装置。
  3. 鍵生成装置が実行する鍵生成方法であって、
    暗号鍵を取得し、
    前記暗号鍵を第1の誤り訂正符号化方法によって符号化して第1のデータを生成し、乱数を用いて前記第1のデータに対してマスク処理を行って第2のデータを生成し、前記第2のデータを第2の誤り訂正符号化方法によって符号化して第3のデータを生成し、前記鍵生成装置が有する生成回路が生成する前記生成回路のハードウェアに依存したPUF(Physical Unclonable Function)値を用いて、前記第3のデータに対してマスク処理を行って秘匿化暗号鍵を生成し、
    前記秘匿化暗号鍵を出力し、
    前記秘匿化暗号鍵と平文または暗号文とを取得し、
    記生成回路が生成するPUF値を用いて、前記秘匿化暗号鍵に対してマスク処理を行って第のデータを生成し、前記第のデータを前記第2の誤り訂正符号化方法に対応するの誤り訂正復号方法によって復号して第のデータを生成し、前記第のデータを前記第1の誤り訂正符号化方法に対応するの誤り訂正復号方法によって復号して前記暗号鍵を生成し、
    生成された前記暗号鍵を用いて前記平文の暗号化または前記暗号文の復号を行
    前記生成回路によって生成されるPUF値のハミング重みは、前記第2の誤り訂正復号方法の誤り訂正能力より大きく、前記乱数のハミング重みは、前記第1の誤り訂正復号方法の誤り訂正能力以下である、
    鍵生成方法。
JP2017042340A 2017-03-07 2017-03-07 鍵生成装置および鍵生成方法 Active JP6882666B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017042340A JP6882666B2 (ja) 2017-03-07 2017-03-07 鍵生成装置および鍵生成方法
US15/911,860 US10985914B2 (en) 2017-03-07 2018-03-05 Key generation device and key generation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017042340A JP6882666B2 (ja) 2017-03-07 2017-03-07 鍵生成装置および鍵生成方法

Publications (2)

Publication Number Publication Date
JP2018148434A JP2018148434A (ja) 2018-09-20
JP6882666B2 true JP6882666B2 (ja) 2021-06-02

Family

ID=63445122

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017042340A Active JP6882666B2 (ja) 2017-03-07 2017-03-07 鍵生成装置および鍵生成方法

Country Status (2)

Country Link
US (1) US10985914B2 (ja)
JP (1) JP6882666B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11133930B2 (en) * 2017-03-24 2021-09-28 Metrarc Limited Security credentials
US10579339B2 (en) * 2017-04-05 2020-03-03 Intel Corporation Random number generator that includes physically unclonable circuits
US10521651B2 (en) * 2017-10-18 2019-12-31 Global Tel*Link Corporation High definition camera and image recognition system for criminal identification
US11381392B2 (en) * 2018-05-15 2022-07-05 Mfe Capital, Llc Device for off-line storage and usage of digital assets
KR20210097537A (ko) * 2020-01-30 2021-08-09 삼성전자주식회사 물리적 복제 방지 기능에 기초하여 마스킹 데이터를 생성하는 보안 장치 및 이의 동작 방법
US11587072B2 (en) 2021-05-20 2023-02-21 Bank Of America Corporation System for secure resource transfer integration
CN114358268B (zh) * 2022-01-07 2024-04-19 湖南大学 软硬件结合的卷积神经网络模型知识产权保护方法

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE255787T1 (de) 1999-02-11 2003-12-15 Rsa Security Inc Ein fuzzy engagement schema
US7149955B1 (en) * 2001-03-07 2006-12-12 Marvell International Ltd. Encoding and decoding apparatus and method with hamming weight enhancement
WO2006093238A1 (ja) 2005-03-03 2006-09-08 Matsushita Electric Industrial Co., Ltd. 認証補助装置、認証主装置、集積回路及び認証方法
US8181101B2 (en) * 2009-01-30 2012-05-15 International Business Machines Corporation Data bus system, its encoder/decoder and encoding/decoding method
WO2011089143A1 (en) * 2010-01-20 2011-07-28 Intrinsic Id B.V. Device and method for obtaining a cryptographic key
WO2012042775A1 (ja) 2010-09-30 2012-04-05 パナソニック株式会社 生体認証システム、通信端末装置、生体認証装置、および生体認証方法
US20120183135A1 (en) * 2011-01-19 2012-07-19 Verayo, Inc. Reliable puf value generation by pattern matching
CN103583013B (zh) * 2011-06-02 2016-04-13 三菱电机株式会社 密钥信息生成装置以及密钥信息生成方法
US9396357B2 (en) * 2011-12-06 2016-07-19 Intrisic Id B.V. Physically unclonable function (PUF) with improved error correction
CN107612685A (zh) * 2011-12-29 2018-01-19 英特尔公司 使用在物理上不可克隆的函数的安全密钥存储
US8750502B2 (en) * 2012-03-22 2014-06-10 Purdue Research Foundation System on chip and method for cryptography using a physically unclonable function
CN104704768B (zh) * 2012-10-04 2018-01-05 本质Id有限责任公司 用于从用作物理不可克隆功能的存储器中生成密码密钥的***
DE102013203415B4 (de) * 2013-02-28 2016-02-11 Siemens Aktiengesellschaft Erstellen eines abgeleiteten Schlüssels aus einem kryptographischen Schlüssel mittels einer physikalisch nicht klonbaren Funktion
SG10201407854XA (en) * 2013-11-26 2015-06-29 Agency Science Tech & Res Error correction method and module for non-volatile memory
DE102013227184A1 (de) * 2013-12-27 2015-07-02 Robert Bosch Gmbh Verfahren zur Absicherung eines Systems-on-a-Chip
US9806718B2 (en) * 2014-05-05 2017-10-31 Analog Devices, Inc. Authenticatable device with reconfigurable physical unclonable functions
US9882720B1 (en) * 2014-06-27 2018-01-30 Amazon Technologies, Inc. Data loss prevention with key usage limit enforcement
KR102201642B1 (ko) * 2014-11-28 2021-01-13 삼성전자주식회사 Puf 회로 및 그것의 키 등록 방법
US9703989B1 (en) * 2014-12-23 2017-07-11 Altera Corporation Secure physically unclonable function (PUF) error correction
JP6587188B2 (ja) * 2015-06-18 2019-10-09 パナソニックIpマネジメント株式会社 乱数処理装置、集積回路カード、および乱数処理方法
WO2017021254A1 (en) * 2015-08-06 2017-02-09 Intrinsic Id B.V Cryptographic device having physical unclonable function
US20170104590A1 (en) * 2015-10-12 2017-04-13 Yongge Wang Method and Apparatus for Error Correcting Code Based Public Key Encryption Schemes
US10146464B2 (en) * 2016-06-30 2018-12-04 Nxp B.V. Method for performing multiple enrollments of a physically uncloneable function
US10462110B2 (en) * 2017-02-16 2019-10-29 Intel Corporation System, apparatus and method for providing a unique identifier in a fuseless semiconductor device

Also Published As

Publication number Publication date
US10985914B2 (en) 2021-04-20
JP2018148434A (ja) 2018-09-20
US20180262331A1 (en) 2018-09-13

Similar Documents

Publication Publication Date Title
JP6882666B2 (ja) 鍵生成装置および鍵生成方法
JP6810348B2 (ja) 暗号データ処理方法、暗号データ処理装置および暗号データ処理プログラム
CN110799941B (zh) 防盗和防篡改的数据保护
US7839278B2 (en) Volatile device keys and applications thereof
US8750502B2 (en) System on chip and method for cryptography using a physically unclonable function
US8504826B2 (en) Client and host validation based on hash of key and validation of encrypted data
CN106888080B (zh) 保护白盒feistel网络实施方案以防错误攻击
JP6882678B2 (ja) 衝突検出システムおよび衝突検出方法
US20110246433A1 (en) Random number based data integrity verification method and system for distributed cloud storage
US10608813B1 (en) Layered encryption for long-lived data
Azraoui et al. Stealthguard: Proofs of retrievability with hidden watchdogs
US10476663B1 (en) Layered encryption of short-lived data
US20220224532A1 (en) Systems and Methods for Hiding Private Cryptographic Keys in Multimedia Files
CN113498591A (zh) 一种密码***和方法
CN110659506A (zh) 基于密钥刷新对存储器进行重放保护
US20120017086A1 (en) Information security transmission system
US11106549B2 (en) Secure and encrypted logging systems and methods with data recovery
US11356254B1 (en) Encryption using indexed data from large data pads
JP6488954B2 (ja) 暗号データ処理方法、暗号データ処理システム、暗号データ処理装置および暗号データ処理プログラム
VS et al. A secure regenerating code‐based cloud storage with efficient integrity verification
KR102024379B1 (ko) 생체 정보 기반의 전자 서명이 가능한 데이터 전송 장치 및 그 동작 방법
Ruan et al. Securing sensor data storage and query based on k‐out‐of‐n coding
KR101974345B1 (ko) 전자 서명을 통한 차량 간 보안 통신을 지원하는 커넥티드 차량용 데이터 통신 장치 및 그 동작 방법
CN113591140B (zh) 资源数据防篡改方法、***、计算机设备及存储介质
Nandhini et al. Time Constrained Data Destruction in Cloud

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191112

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20191118

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20191118

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200915

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210406

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210419

R150 Certificate of patent or registration of utility model

Ref document number: 6882666

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150