WO2005064843A1

WO2005064843A1 - 素数算出装置及び方法並びに鍵発行システム

Info

Publication number: WO2005064843A1
Application number: PCT/JP2004/019108
Authority: WO
Inventors: Yuichi Futa; Motoji Ohmori
Original assignee: Matsushita Electric Industrial Co.,Ltd.
Priority date: 2003-12-26
Filing date: 2004-12-21
Publication date: 2005-07-14
Also published as: JP4668796B2; US7634084B2; EP1699161A1; KR20060126705A; WO2005064844A1; KR20060129302A; US20070143388A1; US7706528B2; JPWO2005064844A1; TW200527925A; TW200531495A; EP1699160A1; US20070121934A1; JP4668795B2; JPWO2005064843A1

Abstract

素数の算出を行う際に、簡単な管理により重複を避けながら素数を算出する素数算出装置を提供する。　素数算出装置は、既知の素数ｑと、素数の利用範囲における一意の管理情報を記憶している。素数算出装置は、管理情報を読み出し、読み出した管理情報に依存する攪乱情報Ｒを生成し、素数ｑを読み出し、読み出した素数ｑと生成した攪乱情報Ｒとを用いて、数Ｎ＝２×攪乱情報Ｒ×素数ｑ＋１により、素数候補Ｎを算出し、算出された素数候補Ｎが素数であるか否かを判定し、素数であると判定された場合に、算出された素数候補Ｎを素数として出力する。これにより、素数算出装置は、一意の管理情報から、重複を避けながら素数候補を算出することができる。　

Description

明細書

素数算出装置及び方法並びに鍵発行シテム技術分野

[0001] 本発明は、素因数分解の困難さを安全性の根拠として情報のセキュリティを保持する技術に関する。

背景技術

[0002] 近年、コンピュータ技術及び通信技術に基づくデータ通信が広く普及してきており、このデータ通信においては、秘密通信方式やデジタル署名方式が用いられる。ここで、秘密通信方式とは、特定の通信相手以外に通信内容を漏らすことなく通信を行う方式である。またデジタル署名方式とは、通信相手に通信内容の正当性を示したり、発信者の身元を証明したりする通信方式である。

[0003] 1.公開鍵暗号方式

これらの秘密通信方式又はデジタル署名方式においては、公開鍵暗号方式とよばれる暗号方式が用いられる。公開鍵暗号方式を用いる秘密通信では、暗号化鍵と復号ィ匕鍵とが異なり、復号ィ匕鍵は秘密にするが、暗号ィ匕鍵は公開する。秘密にする復号化鍵を秘密鍵と呼び、公開する暗号化鍵を公開鍵と呼ぶ。通信相手が多数のとき、共通鍵暗号では通信相手間で鍵をもつ必要がある力公開鍵暗号では通信相手がーつの固有の鍵をもつだけで通信可能になるため、通信相手が増えても、共通鍵暗号より鍵の数が少なくてよい。このように、公開鍵暗号は多数の通信相手と通信を行うのに適しており、不可欠な基盤技術である。

[0004] 公開鍵暗号方式の 1種である RS A暗号方式では、整数の素因数分解問題を解くことが、計算量の上で困難であることを安全性の根拠としている。素因数分解問題とは、 p, qを素数とし、整数 n = p X qとするとき、整数 nに対して、素数 p, qを求める問題である。ここで、 Xは通常の乗算である。一般に p, qが 1024ビットの数のように大きい場合は、素因数分解問題が困難である。それにより、 RSA暗号方式の公開鍵から秘密鍵を求めることや、秘密鍵を持たないユーザが暗号文から平文を求めることが、困難になる。なお、素因数分解問題については、非特許文献 1の 144一 151ページに詳しく述べられている。

[0005] (素因数分解問題を応用する RSA暗号方式）

ここで、素因数分解問題を応用する RSA暗号方式について説明する。

(1)鍵の生成

次に示すようにして公開鍵及び秘密鍵を計算する。

'ランダムに大きい素数 p, qを選択し、その積 n=pXqを計算する。

[0006] ·(p—l)及び(q—l)の最小公倍数L = LCM(p—l, q— 1)を計算する。

•Lと互いに素で Lより小さヽ自然数 eをランダムに選ぶ。

l≤e≤L-l, GCD(e, L)=l

ここで、 GCD(e, L)は、 eと Lの最大公約数を示している。

•eXd=l mod Lを満たす dを計算する。 GCD(e, L) =1より、このような dは必ず存在する。このようにして、得られた整数 e及び整数 nが、公開鍵である。また、整数 dが、秘密鍵である。ここで、 X mod yは、 xを yで割った余りを示す。

[0007] (2)暗号文の生成

公開鍵である整数 e及び整数 nを用いて、平文 mに暗号演算を施して暗号文 cを計算する。

c=m e mod n

なお、この明細書において、演算子"は、べき乗を示す。例えば、 A"xは、 x>0のときは Aを X回乗じたものを示す。

[0008] (3)復号文の生成

秘密鍵である整数 dを用いて、暗号文 cに復号演算を施して復号文 m'を計算する。

m =c d mod n

なお、

m =c d mod n

= (m e ) d mod n

= rrT(eXd mod L) mod n

=m 1 mod n

=m mod n であるので、復号文 m'は、平文 mと一致する。

[0009] また、 RSA暗号については、非特許文献 2の 110— 113ページに詳しく説明されている。

上記に示した素因数分解を応用した RSA暗号における公開鍵の生成のステップにおいて、素数生成が行われる。素数生成については、非特許文献 3の 145— 154ぺージに詳しく説明されている。素数生成方法には、確率的素数生成法と確定的素数生成方法がある。確率的素数生成法により生成される素数は、「素数である確率が高い」数であり、 100%素数であるとは限らない。一方、確定的素数生成方法は、確実に素数である数を生成する。確率的素数生成方法及び確定的素数生成方法にっ、ては、非特許文献 2に詳しく説明されている。以下では、確定的素数生成方法について説明する。

[0010] 2.従来例 1 確定的素数生成方法

確定的に素数を生成することができる Maurer法による確定的素数生成方法について説明する。ここで、 Maurer法については、非特許文献 3の 152— 153ページに詳しく説明されている。

前記確定的素数生成方法では、次に示すステップを繰り返すことにより、素数を生成する。あら力じめビットサイズ lenqの素数 qが与えられて!/、る。

[0011] (ステップ 1) (lenq-1)ビットの乱数 Rを選択する。なお、乱数 Rの先頭ビットは、必ず 1となるようにする。

(ステップ 2)数 Nを以下の式により計算する。

N= 2 X q XR+ l

(ステップ 3)数 Nが素数である力否かを、次に示す第 1判定及び第 2判定がともに、成立する場合に、素数と判定する。他の場合に、素数でないと判定する。

[0012] (第 1判定） 2' (N—1) = 1 mod N

(第 2判定） GCD (2' (2R)—1、N) = 1

素数であると判定される場合には、数 Nを素数として出力する。素数でないと判定される場合には、ステップ 1へ戻って、素数が出力されるまで、処理を繰り返す。

ステップ 3で述べられている判定方法は、 Pocklingtonの素数判定法とよばれ、非特許文献 3の 144ページに詳しく述べられている。 Pocklingtonの素数判定法では、 N = 2 X q XR+ lのqが素数でぁり、第 1判定及び第 2判定の結果が真であれば、必ず、 Nが素数になる。そのため、確定的に素数であることを判定でき、確定的な素数生成が可能になる。

[0013] このようにして、 Maurer法による確定的素数生成方法では、サイズ lenqの素数 qを基にして、サイズ 2 X lenqの素数 Nを生成する。従って、 Maurer法による確定的素数生成方法を用いて所定長の素数を生成する場合には、前記所定長以下の素数の生成を繰り返し行う。例えば、 512ビット長の素数を生成する場合には、あらかじめ与えられた 8ビットの素数を基にして 16ビットの素数を生成する。次に、生成した 16ビットの素数を基にして 32ビットの素数を生成する。次に、生成した 32ビットの素数を基にして 64ビットの素数を生成する。以下同様の素数生成を繰り返して、 512ビットの素数を生成する。

[0014] なお、前記第 2判定を次の判定に代えてもよい。

(第 3判定） 2' (2R)≠1 mod N

上記第 3判定方法は、非特許文献 4に詳しく述べられている。以降、こちらの判定方法を使用していく。

3.複数の鍵発行サーバをもつ鍵発行システム

公開鍵暗号の鍵発行システムでは、ユーザが鍵を生成する場合や、鍵発行サーバによりユーザに鍵を発行する場合がある。鍵発行サーバにより鍵を発行する場合、ュ一ザに鍵を発行するサーバは一台であることが多い。しかし、処理の負荷を軽減するために、鍵発行システムは、複数台の鍵管理サーバを備え、複数台の鍵管理サーバのそれぞれにおいて、鍵を発行することもある。

特許文献 1：特開 2003— 5644号公報

非特許文献 1 :岡本龍明、太田和夫共編、「暗号 ·ゼロ知識問題 ·数論」、共立出版、 1990

非特許文献 2 :岡本龍明、山本博資、 "現代暗号"、産業図書 (1997年）

非特許文献 3 : A. Menezes, P. C. van Oorschot, S. A. Vanstone, "Handbook of applied cryptography , CRC Pres s, 1997 非特許文献 4:岡本栄司、「暗号理論入門」、共立出版、 1993、 21ページ非特許文献 5 : Henri Cohen, A Course in Computational Algebraic

Number Theory", GTM 138, Springer— Verlag, 1993

発明の開示

発明が解決しょうとする課題

[0015] 複数台の鍵発行サーバを用いた鍵発行システムでは、第 1の鍵発行サーバと、第 2 の鍵発行サーバにぉ、て、それぞれ発行した RSA鍵を互いにチェックすることはない。なぜなら、発行した RSA鍵を、他の鍵発行サーバへ公開すると、セキュリティ上問題があるからである。このため、偶然、第 1及び第 2の鍵発行サーバが、第 1のユーザ及び第 2のユーザのために、同じ公開鍵と同じ秘密鍵を生成することが起こりうる。

[0016] このため、暗号方式を利用する際に、セキュリティが確保できないという問題がある例えば、第 3のユーザが、第 1のユーザのための前記公開鍵を用いて、第 1のユーザに対して、暗号文を生成して送付すると、第 1のユーザは、当然、自身の秘密鍵を用いて、暗号文を復号できるが、第 2のユーザも自身の秘密鍵を用いて、前記暗号文を復号できてしまう。

課題を解決するための手段

[0017] このような問題を解決するためには、 RSAの公開鍵は、 2つの異なる素数の積により演算されるので、公開鍵の生成において用いられる各素数力第 1の鍵発行サーバと、第 2の鍵発行サーバにおいて、異なるようにしておけばよい。

そこで、本発明は、素数の算出を行う際に、簡単な管理により重複を避けながら素数を算出する素数算出装置、鍵発行システム、素数算出方法及び素数算出プロダラムを提供することを目的とする。

[0018] 上記目的を達成するために、本発明は、既知の素数 qより大きい素数候補 Nを算出して素数判定する素数算出装置であって、既知の素数 qを記憶している素数記憶手段と、素数の利用範囲における一意の管理情報を記憶している管理情報記憶手段と、前記管理情報記憶手段から前記管理情報を読み出し、読み出した前記管理情報に依存する攪乱情報 Rを生成する攪乱情報生成手段と、前記素数記憶手段から前記素数 qを読み出し、読み出した前記素数 q及び生成された前記攪乱情報 Rを用いて、 N = 2 X攪乱情報 RX素数 q+ 1により、素数候補 Nを算出する候補算出手段と、算出された素数候補 Nが素数であるカゝ否かを判定する素数判定手段と、素数であると判定される場合に、算出された素数候補 Nを素数として出力する出力手段とを備えることを特徴とする。

発明の効果

[0019] 上記に示した構成によると、素数算出装置は、一意の管理情報に依存して生成された攪乱情報 Rを用いて、素数候補 Nを算出するので、重複を避けながら素数候補を算出することができる。素数の利用範囲とは、素因数分解の困難性を安全性の根拠として素数を利用する範囲である。

ここで、前記攪乱情報生成手段は、前記管理情報記憶手段から前記管理情報を読み出す読出部と、乱数 rを算出する乱数算出部と、読み出した前記管理情報と生成した乱数 rとを結合する結合部と、前記管理情報と乱数 rとの結合体に基づ、て、攪乱情報 Rを算出する演算部とを含むとしてもよい。

[0020] この構成によると、素数算出装置は、管理情報と乱数 rとの結合体に基づいて、攪乱情報 Rを生成するので、管理情報による一意性と、乱数 rによるランダム性とを兼ね備えた攪乱情報を生成することができる。

ここで、前記演算部は、前記結合体に、単射の関数を施して攪乱情報 Rを生成するとしてちよい。

[0021] この構成によると、素数算出装置は、結合体に、単射の関数を施して、攪乱情報 R を生成するので、単射の関数の性質により、結合体が有する一意性を保ち、且つ結合体力変換されることによるランダム性を備える攪乱情報を生成することができる。ここで、前記単射の関数は、排他的論理和であり、前記演算部は、所定の鍵情報を予め記憶しており、前記鍵情報と前記結合体とに排他的論理和を施して攪乱情報 R を生成するとしてもよい。

[0022] この構成によると、素数算出装置は、結合体と所定の鍵情報とから、排他的論理和を施して、攪乱情報 Rを生成することができる。

ここで、前記素数算出装置は、素数 qの 2倍のビット長を有する素数候補 Nを算出し、前記乱数算出部は、素数 qのビット長から前記管理情報のビット長及び 1を差し引 V、て得られるビット長の前記乱数 rを算出するとしてもよ、。

[0023] この構成によると、素数算出装置は、素数 qのビット長力も管理情報のビット長を及び 1を差し引いて得られるビット長の乱数 rを算出し、素数 qの 2倍のビット長を有する素数候補 Nを算出することができる。

ここで、前記素数判定手段は、前記素数候補 Nに対して、 2^N_1 = 1 mod Nを満たすか否かを判定する第 1判定部と、前記第 1判定部により満たすと判定される場合に、さらに、素数候補 N及び攪乱情報 Rに対して、 2^2R ≠1 mod Nを満たす力否力を判定し、満たすと判定する場合に、素数候補 Nが素数であると決定する第 2判定部とを含むとしてもよい。

[0024] この構成によると、素数算出装置は、第 1及び第 2判定部を用いて、素数候補 Nが素数であるか否かを判断するので、第 1及び第 2判定部の双方にて、判定結果が肯定的な場合に、素数候補 Nを素数と判断することができる。

ここで、前記素数判定手段は、前記素数候補 Nに対して、 2^N_1 = 1 mod Nを満たすか否かを判定する第 1判定部と、前記第 1判定部により満たすと判定される場合に、さらに、素数候補 N及び攪乱情報 Rに対して、 GCD (2^2R —1、 N) = 1を満たすか否かを判定し、満たすと判定する場合に、素数候補 Nが素数であると決定する第 2判定部とを含むとしてもよい。

[0025] この構成によると、素数算出装置は、第 1及び第 2判定部を用いて、素数候補 Nが素数であるか否かを判断するので、第 1及び第 2判定部の双方にて、判定結果が肯定的な場合に、素数候補 Nを素数と判断することができる。

ここで、前記素数算出装置は、さらに、前記素数判定手段により素数であると判定されるまで、前記攪乱情報生成手段、前記候補算出手段及び前記素数判定手段に対して、攪乱情報 Rの生成と、素数候補 Nの算出と、前記判定とを繰り返すように制御する繰返制御手段を含むとしてもよヽ。

[0026] この構成によると、素数算出装置は、繰返制御手段により、生成された素数候補が素数であると判定されるまで、攪乱情報 Rの生成、素数候補 Nの算出、素数の判定とを繰り返すので、常に、素数を出力することができる。ここで、前記素数算出装置は、さらに、乱数 R'を算出する次段乱数算出手段と、出力された前記素数 N及び生成された前記乱数 R'を用いて、 N' = 2 X乱数 R' X素数 N+ 1により、素数候補 N'を算出する次段候補算出手段と、算出された素数候補 N' が素数であるか否かを判定する次段素数判定手段と、素数であると判定される場合に、算出された素数候補 N'を素数として出力する次段出力手段と、前記次段素数判定手段により素数であると判定されるまで、前記次段乱数算出手段、前記次段候補算出手段及び前記次段素数判定手段に対して、乱数 R'の生成と、素数候補 N'の算出と、前記判定とを繰り返すように制御する次段繰返制御手段とを含むとしてもよい。

[0027] この構成によると、素数算出装置は、素数 Nと、生成された乱数 R'とを用いて、素数候補 N'を算出し、算出された素数候補 N'が素数であるか否かを判断し、素数である場合には、算出された素数候補 N'を素数として出力することができる。

ここで、記素数算出装置は、さらに、所定の検証値を記憶している次段情報記憶手段と、乱数 r'を生成する次段乱数生成手段と、前記管理情報に生成した前記乱数 r' を乗じて攪乱情報 R，を算出し、 N' = 2 X攪乱情報 R， X素数 N+検証値により、素数候補 N'を算出する次段候補算出手段とを含み、前記素数判定手段は、さらに、算出された素数候補 N'が素数である力否かを判定し、前記出力手段は、さらに、素数候補 N'が素数であると判定される場合に、算出された素数候補 N'を素数として出力するとしてちょい。

[0028] この構成によると、素数算出装置は、検証値と、素数 Nと、管理情報に乱数 r'を乗じた攪乱情報 R'とを用いて、素数候補 N'を算出し、算出された素数候補 N'が素数である力否かを判断し、素数である場合には、素数候補 N'を素数として出力することができる。これにより、素数 N'から検証値を減じた結果が、管理情報にて割り切れる素数 N'を生成することができる。

[0029] ここで、前記素数算出装置は、 RSA暗号の公開鍵及び秘密鍵を生成する鍵生成装置であり、前記素数算出装置は、さらに、算出された素数 Nを用いて、 RSA暗号の公開鍵を生成する公開鍵生成手段と、生成された公開鍵を用いて、 RSA暗号の秘密鍵を生成する秘密鍵生成手段とを含むとしてもよヽ。

この構成によると、素数算出装置は、 RSA暗号の公開鍵及び秘密鍵を生成する鍵生成装置とすることができ、素数算出装置は、算出された素数 Nを用いて、公開鍵を生成し、生成した公開鍵を用いて、秘密鍵を生成することができる。

[0030] ここで、前記公開鍵生成手段は、前記繰返制御手段に対して、新たに素数 N'が得られるように指示し、前記素数 N及び新たに得られた素数 N'を用いて、 n=素数 N X 素数 N'により、数 nを算出し、乱数 eを生成し、算出された数 nと生成された乱数の組が前記公開鍵であり、前記秘密鍵生成手段は、 e X d= l mod Lを満たす dを算出し、 Lは、素数 N-1と素数 N'-lとの最小公倍数であり、算出された dが前記秘密鍵であるとしてもよい。

[0031] この構成によると、素数算出装置は、素数 N及び素数 N'を用いて、数 nを算出し、乱数 eを生成することにより、公開鍵を生成し、生成された乱数 eと、素数 N— 1と素数

N，—1との最小公倍数とから、秘密鍵を生成することができる。

ここで、前記素数算出装置は、端末装置に対して、 RSAの秘密鍵及び公開鍵を生成し、発行する鍵発行サーバ装置であり、前記素数算出装置は、さらに、生成した前記秘密鍵を、端末装置に対して出力する鍵出力手段と、生成した前記公開鍵を、公開する公開手段とを含むとしてもよ、。

[0032] この構成によると、素数算出装置は、生成した秘密鍵を端末装置に対して出力し、生成した公開鍵を公開することができる。

ここで、前記素数算出装置は、さらに、前記端末装置を一意に識別する端末装置識別子を取得する識別子取得手段と、取得した端末装置識別子を含む前記管理情報を生成する管理情報生成手段と、生成した前記管理情報を前記管理情報記憶手段に書き込む書込手段とを含むとしてもよい。

[0033] この構成によると、素数算出装置は、端末装置識別子を含む管理情報を生成し、生成した管理情報を管理情報記憶手段へ書き込むので、一意の管理情報を記憶することがでさる。

ここで、前記素数算出装置は、さらに、鍵発行サーバ装置としての当該素数算出装置を一意に識別するサーバ識別子を予め記憶しているサーバ識別子記憶手段を含み、前記管理情報生成手段は、さらに、前記サーバ識別子記憶手段から前記サーバ識別子を読み出し、読み出したサーバ識別子をさらに含む前記管理情報を生成するとしてちょい。

[0034] この構成によると、素数算出装置は、さらに、サーバ識別子を含む管理情報を生成するので、管理情報の一意性を高めることができる。

また、本発明は、既知の素数より大きい素数を算出する素数算出装置であって、既知の入力素数の 2倍のビット長を有する出力素数を算出する素数算出手段と、既知の素数初期値を記憶している素数記憶手段と、前記素数算出手段に対して、算出を複数回繰り返すように制御する繰返制御手段とを備え、前記繰返制御手段は、前記繰返しにおける初回の算出において、前記素数記憶手段に記憶されている素数初期値を、前記入力素数として、前記素数算出手段に与え、前記繰返しの初回の算出以外の他の算出において、 1つ前の回の算出においてされた出力素数を、当該他の算出における前記入力素数として、前記素数算出手段に与え、前記複数回の算出のいずれか 1の算出において、前記素数算出手段は、素数の利用範囲における一意の管理情報を記憶して!/、る管理情報記憶部と、前記管理情報記憶部から前記管理情報を読み出し、読み出した前記管理情報に依存する攪乱情報 Rを生成する攪乱情報生成部と、前記入力素数 qを受け取り、受け取った前記入力素数 q及び生成された前記攪乱情報 Rを用いて、 N = 2 X攪乱情報 RX素数 q+ 1により、素数候補 Nを算出する候補算出部と、算出された素数候補 Nが素数であるか否かを判定する素数判定部と、素数であると判定される場合に、算出された素数候補 Nを出力素数として出力する出力部と、前記素数判定部により素数であると判定されるまで、前記攪乱情報生成部、前記候補算出部及び前記素数判定部に対して、攪乱情報 Rの生成と、素数候補 Nの算出と、前記判定とを繰り返すように制御する繰返制御部とを含むことを特徴とする。

[0035] この構成によると、素数算出装置の素数出力手段は、複数回の出力素数の算出の何れかの 1の算出において、一意の管理情報に依存して生成された攪乱情報 Rを用いて、素数候補 Nを算出するので、重複を避けながら素数候補を算出することができる。

ここで、前記複数回の算出のうち、最終回の算出において、前記素数算出手段は、所定の検証値を記憶している情報記憶部と、乱数 r'を生成する乱数生成部と、前記管理情報に生成した前記乱数 r'を乗じて攪乱情報 R'を算出し、 N' = 2 X攪乱情報 R ' X 1つ前の回において算出された出力素数 +検証値により、素数候補 N'を算出する候補算出部と、算出された素数候補 N'が素数であるか否かを判定する素数判定部と、素数候補 N'が素数であると判定される場合に、算出された素数候補 N'を素数として出力する出力部と、前記素数判定部により素数であると判定されるまで、前記乱数生成部、前記候補算出部及び前記素数判定部に対して、乱数 r'の生成と、素数候補 N'の算出と、前記判定とを繰り返すように制御する繰返制御部とを含むとしてちょい。

[0036] この構成によると、素数算出装置は、検証値と、 1つ前の回において算出された出力素数と、管理情報に乱数 r'を乗じた攪乱情報 R'とを用いて、素数候補 N'を算出し、算出された素数候補 N'が素数であるカゝ否かを判断し、素数である場合には、素数候補 N'を素数として出力することができる。これにより、素数 N'から検証値を減じた結果が、管理情報にて割り切れる素数 N'を生成することができる。

[0037] また、本発明は、端末装置に対して RSAの秘密鍵及び公開鍵を生成して発行する鍵発行サーバ装置と、前記端末装置とから構成される鍵発行システムであって、鍵発行サーバ装置は、既知の素数 qより大きい素数 Nを算出する素数算出手段と、算出された素数 Nを用いて、 RSA暗号の公開鍵を生成する公開鍵生成手段と、生成された公開鍵を用いて、 RSA暗号の秘密鍵を生成する秘密鍵生成手段と、生成された前記秘密鍵を、端末装置に対して出力する鍵出力手段と、生成された前記公開鍵を公開する公開手段とを備え、前記素数算出手段は、既知の素数 qを記憶している素数記憶部と、一意の管理情報を記憶している管理情報記憶部と、前記管理情報記憶部から前記管理情報を読み出し、読み出した前記管理情報に依存する攪乱情報 Rを生成する攪乱情報生成部と、前記素数記憶部から前記素数 qを読み出し、読み出した前記素数 q及び生成された前記攪乱情報 Rを用いて、 N = 2 X攪乱情報 R X素数 q+ 1により、素数候補 Nを算出する候補算出部と、算出された素数候補 Nが素数であるか否かを判定する素数判定部と、素数であると判定される場合に、算出された素数候補 Nを素数として出力する出力部と、前記素数判定部により素数であると判定されるまで、前記攪乱情報生成部、前記候補算出部及び前記素数判定部に対して、攪乱情報 Rの生成と、素数候補 Nの算出と、前記判定とを繰り返すように制御する繰返制御部とを含み、前記端末装置は、前記秘密鍵を受け取る受信手段と、受信した秘密鍵を記憶する鍵記憶手段とを備えることを特徴とする。

[0038] この構成によると、鍵発行システムの鍵発行サーバ装置は、一意の管理情報に依存して生成された攪乱情報 Rを用いて、素数候補 Nを算出するので、重複を避けな力素数候補を算出することができる。端末装置は、秘密鍵を、鍵発行サーバ装置力受信し、記憶するので、重複を避けながら生成された素数 Nにより生成された、つまり重複を避けながら生成された秘密鍵を記憶することができる。

[0039] ここで、前記鍵発行システムは、さらに、証明書発行サーバ装置を含み、前記鍵出力手段は、前記公開鍵を前記証明書発行サーバ装置へ出力し、前記証明書発行サーバ装置は、当該証明書発行サーバ装置の秘密鍵を記憶している記憶手段と、前記公開鍵を取得する取得手段と、前記証明書発行サーバ装置の秘密鍵を用いて、前記公開鍵を含む公開鍵情報に、デジタル署名を施して、署名データを生成し、少なくとも前記公開鍵及び生成した前記署名データを含む公開鍵証明書を生成する証明書生成手段と、生成した公開鍵証明書を鍵発行サーバ装置へ出力する出力手段とを備えるとしてもよい。

[0040] この構成によると、鍵発行システムは、証明書発行サーバ装置を用いて、鍵発行サーバ装置にて発行された公開鍵に対する公開鍵証明書を発行することができる。図面の簡単な説明

[0041] [図 1]鍵発行システム 1の全体の概要を示す図である。

[図 2]鍵発行サーバ 100の構成を示すブロック図である。

[図 3]素数生成部 116の構成を示すブロック図である。

[図 4]制御情報テーブル T100のデータ構造の一例を示す図である。

[図 5]素数情報生成部 133の構成を示すブロック図である。

[図 6]証明書発行サーバ 200の構成を示すブロック図である。

[図 7]検証値テーブル T200のデータ構造の一例を示す図である。

[図 8]端末装置 300の構成を示すブロック図である。圆 9]鍵発行システム 1の動作概要を示す流れ図である。

[図 10]鍵発行システム 1における鍵依頼処理の動作を示す流れ図である。

[図 11]鍵発行システム 1における鍵発行処理の動作を示す流れ図である。図 12へ続く。

[図 12]鍵発行システム 1における鍵発行処理の動作を示す流れ図である。図 11から続き、図 13へ続く。

[図 13]鍵発行システム 1における鍵発行処理の動作を示す流れ図である。図 12から続き、図 14へ続く。

[図 14]鍵発行システム 1における鍵発行処理の動作を示す流れ図である。図 13から続く。

[図 15]素数生成処理の動作を示す流れ図である。

圆 16]素数候補生成処理の動作を示す流れ図である。図 17へ続く。

圆 17]素数候補生成処理の動作を示す流れ図である。図 16から続く。

[図 18]鍵発行システム 1における証明書発行処理の動作を示す流れ図である。

[図 19]素数情報生成部 133Aの構成を示すブロック図である。

[図 20]検証値テーブル T250のデータ構造の一例を示す図である。

[図 21]素数情報生成部 133Bの構成を示すブロック図である。

[図 22]素数生成部 116Cの構成を示すブロック図である。

[図 23]制御情報テーブル T150のデータ構造の一例を示す図である。

[図 24]素数情報生成部 133Cの構成を示すブロック図である。

圆 25]素数候補生成処理の動作を示す流れ図である。

[図 26]鍵発行システム 2の全体の概要を示す図である。

[図 27]鍵発行サーバ 1100の構成を示すブロック図である。

[図 28]発行済鍵情報テーブル T1100のデータ構造の一例を示す図である。

[図 29]鍵発行監査サーバ 1200の構成を示すブロック図である。

[図 30]検証値テーブル T1200のデータ構造の一例を示す図である。

[図 31]鍵発行時における鍵発行システム 2の動作概要を示す流れ図である。

[図 32]鍵監査時における鍵発行システム 2の動作概要を示す流れ図である。 [図 33]鍵発行システム 2における証明書発行処理の動作を示す流れ図である。

[図 34]鍵発行システム 2における鍵情報取得処理の動作を示す流れ図である。

[図 35]鍵発行システム 2における監査処理の動作を示す流れ図である。

[図 36]確認処理の動作を示す流れ図である。

[図 37]8ビットの素数から 512ビットの素数を生成するの動作を示す図である。

[図 38]素数生成装置 2100の構成を示すブロック図である。

[図 39]素数生成処理の動作を示す流れ図である。

[図 40]素数候補生成処理の動作を示す流れ図である。

[図 41]素数生成装置 2200の構成を示すブロック図である。

[図 42]素数生成装置 2300の構成を示すブロック図である。

[図 43]素数生成装置 2400の構成を示すブロック図である。

[図 44]素数生成装置 2500の構成を示すブロック図である。

[図 45]発行識別子情報「IDI」のビット列に、乱数「R1」を構成する各ビットを埋め込んだ結果「IDI— Rl」の一例を示す図である。

[図 46]検証処理の動作を示す流れ図である。

符号の説明

1 鍵発行システム

100、 101、 102 鍵発行サーノ

110 識別子格納部

111 秘密鍵格納部

112 公開鍵格納部

113 証明書格納部

114 制御部

115 識別子生成部

116 素数生成部

117 鍵判定部

118 鍵生成部

119 情報取得部 120 受信部

121 送信部

130 サーバ識別子記憶領域

131 端末情報記憶領域

132 繰返制御部

133 素数情報生成部

135 繰返カウンタ

136 出力カウンタ

140 情報制御部

141 乱数生成部

142 素数候補生成部

143 第 1素数判定部

144 第 2素数判定部

200 証明書発行サーバ

210 秘密鍵格納部

211 発行公開鍵格納部

212 発行識別子情報格納部

213 公開鍵証明書格納部

214 発行公開鍵確認部

215 公開鍵証明書生成部

216 証明書取得部

217 受信部

218 送信部

220 サーバ情報記憶領域

221 確認情報記憶領域

300、 301、 302、 303、 304、 305、 306 端末装置

310 秘密鍵格納部

311 公開鍵証明書格納部 312 制御部

313 受付部

314 無線部

315 ベースバンド信号処理部

316 スピーカー

317 マイク

318 表示部

319 アンテナ

320 端末識別子記憶領域

400 端末装置

2 鍵究行システム

1100、 1101、 1102 鍵発行サ

1110 識別子格納部

1111 秘密鍵格納部

1112 公開鍵格納部

1113 証明書格納部

1114 制御部

1115 識別子生成部

1116 素数生成部

1117 鍵判定部

1118 鍵生成部

1119 情報取得部

1120 受信部

1121 送信部

1122 証明書生成部

1123 証明書用秘密鍵格納部

1124 発行済鍵情報格納部

1130 サーバ識別子記憶領域 1131 端末情報記憶領域

1200 鍵発行監査サーバ

1210 確認情報格納部

1211 発行済鍵情報格納部

1212 制御部

1213 発行公開鍵確認部

1214 受付部

1215 監査結果出力部

1216 受信部

1217 送信部

1220 サーバ情報記憶領域

1250 モニタ

1300、 1301、 1302、 1303、 1304、 1305、 1306 端末装置

1400 端末装置

2100 素数生成装置

2101 受付部

2102 受付情報記憶部

2103 素数シード生成部

2104 乱数生成部

2105 素数候補生成部

2106 素数判定部

2107 素数判定部

2200 素数生成装置

2201 受付部

2202 受付情報記憶部

2203 乱数生成部

2204 素数候補生成部

2205 素数判定部 2206 素数判定部

2300 素数生成装置

2301 受付部

2302 受付情報記憶部

2303 識別子素数生成部

2304 乱数生成部

2305 素数候補生成部

2306 素数判定部

2307 素数判定部

2400 素数生成装置

2401 受付部

2402 受付情報記憶部

2403 乱数生成部

2404 素数候補生成部

2405 素数判定部

2406 素数判定部

2500 素数生成装置

2501 受付部

2502 受付情報記憶部

2503 乱数生成部

2504 素数候補生成部

2505 素数判定部

2506 素数判定部

発明を実施するための最良の形態

1.第 1の実施の形態

本発明に係る第 1の実施の形態としての鍵発行システム 1について、説明する。 1. 1 鍵発行システム 1の概要

鍵発行システム 1は、図 1に示すように、鍵発行サーバ 100、 101、 102と、証明書発行サーノ 200と、端末装置 300、 301、 · · ·、 302、 303、 · · ·、 304、 305、 · · ·、 3

06とから構成されている。端末装置の台数は、例えば 1000台である。

[0044] 鍵発行サーバ 100、 101及び 102は、それぞれ異なる会社にて管理されている。端末装置 300、 301、 · · ·、 302は、鍵発行サーバ 100に対して、鍵の発行要求し、端末装置 303、 · · ·、 304は、鍵発行サーバ 101に対して、鍵の発行要求し、端末装置 305、 · · ·、 306は、鍵発行サーバ 102に対して、鍵の発行要求をする。なお、端末装置 300、 301、 · · ·、 302は、鍵発行サーバ 100との間には、安全な通信経路が確立されているものとする。また、端末装置 303、 · · ·、 304と、鍵発行サーバ 101との間、及び端末装置 305、 · · ·、 306と、鍵発行サーバ 102との間においても、同様に、安全な通信経路が確立されてヽるものとする。

[0045] また、鍵発行サーバ 100、 101、 102と、証明書発行サーバ 200との間においても、同様に、安全な通信経路が確立されているものとする。

なお、以下においては、鍵発行サーバ 100、証明書発行サーバ 200、及び端末装置 300を用いて、鍵発行システム 1の概要を説明する。

鍵発行サーバ 100は、端末装置 300より鍵の発行要求を受け取ると、 RSA暗号における秘密鍵及び公開鍵を生成し、証明書発行サーバ 200に対して、生成した公開鍵に対する公開鍵証明書の発行要求をする。なお、ここで、生成する各鍵の鍵長は、 1024ビットとする。

[0046] 証明書発行サーバ 200は、鍵発行サーバ 100より証明書の発行要求を受け取ると、公開鍵証明書を発行して、発行した公開鍵証明書を鍵発行サーバ 100へ送信する。

鍵発行サーバ 100は、証明書発行サーバ 200より公開鍵証明書を受け取ると、受け取った公開鍵証明書と、生成した秘密鍵とを、端末装置 300へ送信する。

端末装置 300は、公開鍵証明書と、秘密鍵とを、鍵発行サーバ 100より受け取ると、受け取った公開鍵証明書と、秘密鍵とを記憶する。

[0047] 以降、例えば、端末装置 400のユーザは、先ず、鍵発行サーバ 100より、端末装置 300の公開鍵証明書を入手、又は端末装置 300より公開鍵証明書を入手し、証明書発行サーバ 200が有する公開鍵を用いて、公開鍵証明書の正当性を確認し、正当な公開鍵証明書であると判断する場合に、入手した公開鍵証明書を、端末装置 400 にて記憶する。端末装置 400は、記憶している公開鍵証明書に含まれる公開鍵を用いて、端末装置 300へ送信する電子メールを暗号ィ匕して、暗号化された電子メールを端末装置 300へ送信する。

[0048] 端末装置 300は、端末装置 400より暗号ィ匕された電子メールを受信すると、記憶している秘密鍵を用いて、暗号ィ匕された電子メールを復号して、復号された電子メールを表示する。

これにより、端末装置 300と端末装置 400との間では、安全にデータのやりとりがでさるようになる。

[0049] なお、端末装置 301、 · · ·、 302は、端末装置 300と同様であるため、説明は省略する。また、鍵発行サーバ 101、及び 102は、鍵発行サーバ 100と同様であるため、説明は省略する。

以降の説明において、各端末装置の代表として端末装置 300を、各鍵発行サーバの代表として鍵発行サーバ 100を用いる。

[0050] 1. 2 鍵発行サーバ 100の構成

鍵発行サーバ 100は、図 2にて示すように、識別子格納部 110、秘密鍵格納部 11 1、公開鍵格納部 112、証明書格納部 113、制御部 114、識別子生成部 115、素数生成部 116、鍵判定部 117、鍵生成部 118、情報取得部 119、受信部 120及び送信部 121から構成されて、る。

[0051] 鍵発行サーバ 100は、具体的には、マイクロプロセッサ、 ROM、 RAM,ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従つて動作することにより、鍵発行サーバ 100は、その機能を達成する。

[0052] なお、鍵発行サーバ 101、及び 102は、鍵発行サーバ 100と同様の構成であるため、説明は省略する。

(1)識別子格納部 110

識別子格納部 110は、ビットサイズが 126ビット以下である発行識別子情報を記憶するための領域を有している。発行識別子情報のビットサイズは、例えば、 64ビットである。

[0053] (2)秘密鍵格納部 111

秘密鍵格納部 111は、秘密鍵生成の際に用いられる 2つの素数を記憶するための素数格納領域と、鍵生成部 118にて生成された秘密鍵を記憶するための秘密鍵格納領域とを有している。

(3)公開鍵格納部 112

公開鍵格納部 112は、鍵生成部 118にて生成された公開鍵を記憶するための領域を有している。

[0054] (4)証明書格納部 113

証明書格納部 113は、証明書発行サーバにて発行された公開鍵証明書を記憶する領域を有している。

(5)制御部 114

制御部 114は、図 2に示すように、サーバ識別子記憶領域 130と、端末情報記憶領域 131とを有している。

[0055] サーバ識別子記憶領域 130は、当該サーバを識別するサーバ識別子を予め記憶している。例えば、鍵発行サーバ 100は、 SIDAを、鍵発行サーバ 101は、 SIDBを、鍵発行サーバ 102は、 SIDCを記憶している。なお、以降では、鍵発行サーバ 100のサーバサーバ識別子を「SID」として説明する。ここでは、サーバ識別子のビットサイズを 31ビットとする。

[0056] 端末情報記憶領域 131は、鍵発行の要求のあった端末装置を識別する端末識別子を記憶する領域を有している。ここで、端末識別子は、例えば、端末装置のシリアル番号である。ここでは、シリアル番号のビットサイズを 32ビットする。

制御部 114は、端末装置 300から受信部 120を介して、鍵の発行要求を示す鍵発行依頼情報と、端末装置 300の端末識別子「TID」とを受け取ると、受け取った端末識別子「TID」を端末情報記憶領域 131へ書き込む。制御部 114は、発行識別子情報の生成命令と、受け取った端末識別子「TID」とを識別子生成部 115へ出力する。

[0057] 制御部 114は、証明書発行サーバ 200から受信部 120を介して、公開鍵証明書「 Cert」を受け取ると、受け取った公開鍵証明書「Cert」を証明書格納部 113へ書き込む。制御部 114は、秘密鍵及び公開鍵証明書を、鍵の発行要求のあった端末装置 3 00へ配布の処理を開始する配布開始命令を情報取得部 119へ出力する。

(6)識別子生成部 115

識別子生成部 115は、制御部 114から発行識別子情報の生成命令と、端末識別子「TID」とを受け取ると、サーバ識別子記憶領域にて記憶されて、るサーバ識別子「SID」を取得する。

[0058] 識別子生成部 115は、取得したサーバ識別子「SID」と、受け取った端末識別子「T ID」と数「1」とから、発行識別子情報「IDI = SID I I TID | 」を生成する。ここで、記号「 I I」はビットまたはバイト連結である。発行識別子情報「IDI」の最下位ビットを「1」とすることにより、発行識別子情報「IDI」は、常に奇数となり、そのビットサイズは、 64ビットとなる。

[0059] 識別子生成部 115は、生成した発行識別子情報「IDI」を識別子格納部 110へ書き込み、素数生成部 116へ、素数の生成開始命令を出力する。

(7)素数生成部 116

素数生成部 116は、図 3に示すように、繰返制御部 132及び素数情報生成部 133 とを有している。

[0060] 素数生成部 116は、 8ビットの素数から 512ビットの素数を生成し、生成した 512ビットの素数を鍵判定部 117へ出力する。

く繰返制御部 132 >

繰返制御部 132は、 8ビットからなる素数とその素数のビットサイズ (つまり「8」）とを予め記憶している初期値記憶領域と、素数情報生成部 133から受け取った素数を一時的に記憶する一時記憶領域とを有して、る。

[0061] 繰返制御部 132は、図 3に示すように、素数情報生成部 133の動作の繰返回数をカウントする繰返カウンタ 135と、鍵判定部 117へ出力した素数の個数、つまり生成した 512ビットの素数の出力回数をカウントする出力カウンタ 136とを有している。なお、繰返カウンタ 135及び出力カウンタ 136の初期値は、それぞれ「1」である。

繰返制御部 132は、図 4に示す制御情報テーブル T100を有している。制御情報テーブル T100は、回数と制御情報とからなる組を 1以上格納している。回数は、繰返カウンタ 135の値に対応する。制御情報は、素数情報生成部 133にて生成する素数の生成方法の種別を示す。

[0062] 繰返制御部 132は、識別子生成部 115から素数の生成開始命令を受け取ると、素数情報生成部 133が素数を生成するよう制御する。素数情報生成部 133から素数を受け取ると、繰返カウンタ 135及び出力カウンタ 136のそれぞれの値に基づいて、再度、素数情報生成部 133へ素数生成の命令、及び受け取った素数を鍵判定部 117 へ出力の何れかを行う。

[0063] 以下に、その動作について説明する。

繰返制御部 132は、識別子生成部 115から素数の生成開始命令を受け取ると、繰返カウンタ 135及び出力カウンタ 136を、それぞれ「1」に設定する。

繰返制御部 132は、素数情報生成部 133から、素数を受け取ると、繰返カウンタ 13 5の値に「1」を加算し、加算結果が、 7である力否かを判断する。

[0064] 加算結果が 7であると判断する場合には、繰返制御部 132は、出力カウンタ 136の値力 1である力否かを判断する。 1であると判断する場合には、繰返制御部 132は、受け取った素数を素数「pl」として、鍵判定部 117へ出力し、出力カウンタ 136の値に「1」を加算し、繰返カウンタ 135の値に「1」を設定する。 1でない、つまり 2以上であると判断する場合には、繰返制御部 132は、受け取った素数を素数「p2」として、素数「p2」と判定開始命令を鍵判定部 117へ出力する。

[0065] 加算結果が 7でないと判断する場合には、受け取った素数のビットサイズを算出し、繰返制御部 132は、受け取った素数と、算出したビットサイズとを、一時記憶領域に一時的に記憶する。

繰返制御部 132は、素数の生成開始命令を受け取り、繰返カウンタ 135及び出力カウンタ 136のそれぞれの値に「1」を加算した後、素数情報生成部 133から受け取つた素数とそのビットサイズとを一時的に記憶した後、及び出力カウンタ 136に「1」を加算し、且つ繰返カウンタ 135の値を「1」に設定した後の何れかの場合において、繰返制御部 132は、以下の動作を行う。

[0066] 繰返制御部 132は、繰返カウンタ 135の値が、 1であるか否かを判断する。 1であると判断する場合には、初期値記憶領域より 8ビットの素数とそのビットサイズを読み出し、 1でないと判断する場合には、一時記憶領域よりビットサイズ「8 X (2' (11—1) )」と、その素数とを読み出す。つまり、繰返制御部 132は、繰返カウンタ 135の値力 1でないと判断する場合には、一時記憶領域より、直前に一時的に記憶した素数とそのビットサイズとを読み出す。ここで、「n」は、繰返カウンタの値である。これにより、繰返制御部 132は、一時記憶領域より、前回生成した素数及びそのビットサイズを読み出す。例えば、繰返カウンタ 135に値が「2」である場合には、繰返制御部 132は、「16」ビットからなる素数を読み出し、繰返カウンタ 135に値が「3」である場合には、「31」ビットからなる素数を読み出す。つまり、繰返カウンタ 135の値が「2」から「6」までの間、順に、「16」ビットからなる素数、「32」ビットからなる素数、「64」ビットからなる素数、「 128」ビットからなる素数、及び「256」ビットからなる素数を読み出すことになる。

[0067] 繰返カウンタ 135の値に対応する制御情報を制御情報テーブル T100より読み出し、読み出した制御情報が、「情報 C」であるか否かを判断する。

「情報 C」であると判断する場合には、繰返制御部 132は、読み出した素数及びそのビットサイズと、制御情報とからなる第 1情報を生成し、生成した第 1情報を、素数情報生成部 133へ出力する。

[0068] 「情報 C」でないと判断する場合には、繰返制御部 132は、識別子格納部 110より発行識別情報「IDI」を取得し、取得した発行識別子情報「IDI」のビットサイズ rienlD I」を算出し、読み出した素数及びそのビットサイズと、制御情報と、発行識別子情報「 IDI」及びそのビットサイズ「lenIDI」とからなる第 2情報を生成し、生成した第 2情報を、素数情報生成部 133へ出力する。

[0069] また、繰返制御部 132は、鍵判定部 117より素数を再度生成する旨の再生成命令を受け取ると、出力カウンタ 136の値に「1」を加算し、且つ繰返カウンタ 135の値を「 1」に設定し、繰返カウンタ 135の値力 1である力否かの判断を行う動作以降を行う。

<素数情報生成部 133 >

素数情報生成部 133は、図 5に示すように、情報制御部 140、乱数生成部 141、素数候補生成部 142、第 1素数判定部 143及び第 2素数判定部 144から構成されている。 [0070] 素数情報生成部 133は、繰返制御部 132から受け取った素数のビットサイズが 2倍のビットサイズからなる素数を生成する。例えば、 8ビットからなる素数を受け取った場合には、 16ビットからなる素数を生成し、 16ビットからなる素数を受け取った場合には、 32ビットからなる素数を生成する。

なお、以下の説明において、繰返制御部 132から受け取る素数を素数「q」、そのビットサイズを「lenq」として、各構成要素について説明する。

[0071] <情報制御部 140 >

情報制御部 140は、第 1情報及び第 2情報を記憶するための情報記憶領域を有している。

情報制御部 140は、証明書発行サーバ 200により割り当てられ、且つ制御情報「情報 A」に基づいて素数を生成する際に用いる第 1検証値「cl l」及び第 2検証値「cl2 」を予め記憶して、る検証値記憶領域を有して、る。

[0072] 情報制御部 140は、繰返制御部 132から、素数「q」と、素数のビットサイズ「lenq」と、制御情報とからなる第 1情報を受け取ると、受け取った第 1情報を情報記憶領域へ書き込む。つまり、素数「q」と、素数のビットサイズ「lenq」と、制御情報 (この場合、「情報 C」）とを書き込む。

情報制御部 140は、繰返制御部 132から、素数「q」と、素数のビットサイズ「lenq」と、制御情報と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とからなる第 2情報を受け取ると、受け取った第 2情報を情報記憶領域へ書き込む。つまり、素数「q」と、素数のビットサイズ「lenq」と、制御情報、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とを書き込む。

[0073] 情報制御部 140は、受け取った情報の書き込み後、乱数の生成の指示を示す第 1 生成指示を、乱数生成部 141へ出力する。

情報制御部 140は、第 2素数判定部 144より、素数を受け取ると、受け取った素数を繰返制御部 132へ出力する。

情報制御部 140は、素数候補生成部 142から出力カウンタ 136の値を読み出す旨の回数読出命令を受け取ると、繰返制御部 132の出力カウンタ 136の値を読み出す。情報制御部 140は、読み出した値を、素数候補生成部 142へ出力する。 [0074] <乱数生成部 141 >

乱数生成部 141は、乱数の生成の指示を示す第 1生成指示を、情報制御部 140から受け取ると、情報制御部 140の情報記憶領域にて記憶されて、る制御情報を読み出す。乱数生成部 141は、読み出した制御情報力 ^情報 C」である力否かを判断する

「情報 C」であると判断する場合には、乱数生成部 141は、情報制御部 140の情報記憶領域にて記憶されて、る rienqjを読み出し、（lenq— 1)ビットからなる乱数「R1」を生成し、生成した乱数「R1」と読み出した制御情報とを素数候補生成部 142へ出力する。ここで、乱数「R1」の最上位ビットは 1とする。乱数生成方法は、非特許文献 2が詳しい。

[0075] 「情報 C」でないと判断する場合には、乱数生成部 141は、情報制御部 140の情報記憶領域にて記憶されて、る rienqj及び「lenIDI」を読み出し、 (lenq-lenIDI-1) ビットからなる乱数「R1」を生成し、生成した乱数「R1」と読み出した制御情報とを素数候補生成部 142へ出力する。ここで、乱数「R1」の最上位ビットは 1とする。

[0076] また、乱数生成部 141は、第 1素数判定部 143及び第 2素数判定部 144の何れかから、再度乱数を生成する旨の第 2生成指示を受け付けると、制御情報を情報記憶領域より読み出し、上記の動作を行う。

<素数候補生成部 142 >

素数候補生成部 142は、生成された情報を記憶する生成情報記憶領域と、単射である関数「f」を予め記憶している関数記憶領域とを有している。ここで、関数「f」は、例えば、 f (X I I Y) =Enc (K、 X I I Y)である。 Enc (K、 X | | Y)は鍵 Xを用いたときの (X I I Y)の共通鍵暗号による暗号文である。共通鍵暗号の暗号化関数は一般的に全単射である。また、記号「 I I」はビットまたはバイト連結である。暗号化関数「Enc (K、X I I Y)」の一例は、「Enc (K、X | | Y) =K XOR X | | Υ」である。なお、共通暗号の一例は、 DESであり、 DESを用いる場合には、鍵長は 128ビットとなる。このとき、素数候補生成部 142は、所定の鍵「Κ」を記憶している。

[0077] 素数候補生成部 142は、乱数生成部 141より、乱数「R1」と制御情報とを受け取ると、受け取った制御情報が「情報 C」である力否かの判断をする。「情報 C」であると判断する場合には、素数候補生成部 142は、情報制御部 140の情報記憶領域より素数「q」を読み出す。素数候補生成部 142は、読み出した素数「q 」と乱数生成部 141より受け取った乱数「R1」とを用いて、数「N = 2 XRl X q+ l」を生成する。このとき生成した数「N」が素数候補となる。

[0078] 素数候補生成部 142は、生成した数「N」のビットサイズ「lenN」が「lenq」と一致するカゝ否かを判断し、一致すると判断する場合には、素数候補生成部 142は、生成した数「N」を第 1素数判定部 143へ出力し、受け取った乱数「R1」を、「R」として生成情報記憶領域に記憶する。

一致しないと判断する場合には、素数候補生成部 142は、乱数生成部 141より受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、上記の動作を行い、数「N = 2 XRl X q+ l」を生成する。

[0079] 制御情報力 ^情報 C」でないと判断する場合には、素数候補生成部 142は、情報制御部 140の情報記憶領域より素数「q」及び発行識別子情報「IDI」を読み出す。素数候補生成部 142は、制御情報が「情報 B」であるか否かを判断する。

「情報 B」であると判断する場合には、素数候補生成部 142は、受け取った乱数「R 1」と読み出した発行識別子情報「IDI」とから、結合値「IDI I I Rl」を生成し、生成した結合値「IDI I I Rl」と関数記憶領域にて記憶している関数「f」とを用いて、数「 R=f (lDI I I Rl)」を生成する。素数候補生成部 142は、生成した数「R」と読み出した素数「q」とを用いて、数「N = 2 XRX q+ l」を生成する。このとき生成した数「N」が素数候補となる。

[0080] 素数候補生成部 142は、生成した数「N」のビットサイズ「lenN」が「2 X lenqjであるか否かを判断する。

「2 X lenq」であると判断する場合には、素数候補生成部 142は、生成した数「N」を第 1素数判定部 143へ出力し、生成した数「R」を生成情報記憶領域に記憶する。

[0081] 「2 X lenq」でないと判断する場合には、素数候補生成部 142は、乱数生成部 141 より受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、数「R」及び「 N」を生成する。

「情報 B」でないと判断する場合には、素数候補生成部 142は、受け取った乱数「R 1」と読み出した発行識別子情報「IDI」とを用いて、数「R = IDIXR1」を生成する。素数候補生成部 142は、回数読出命令を情報制御部 140へ出力し、情報制御部 14 0から、出力カウンタ 136の値を受け取る。素数候補生成部 142は、出力カウンタ 13 6の値が「1」であるか否かを判断する。

[0082] 出力回数力「l」であると判断する場合には、素数候補生成部 142は、情報制御部 140の検証値記憶領域より第 1検証値「c 11」を読み出す。

出力回数が「1」でない、つまり「2」以上であると判断する場合には、素数候補生成部 142は、情報制御部 140の検証値記憶領域より第 2検証値「c 12」を読み出す。なお、第 1検証値「cll」を読み出した場合の動作と、第 2検証値「cl2」を読み出した場合の動作とは、同じであるため、以下においては、検証値「c」として説明する。

[0083] 素数候補生成部 142は、読み出した素数「q」、発行識別子情報「IDI」、検証値「c」及び生成した数「R」とを用いて、数「N = 2X (R+w) Xq+1」を生成する。このとき生成した数「N」が素数候補となる。

ここで、「w」は「2XwXq+l = c mod IDI、 0≤w<IDI」を満たす数である。「w」は、「w=(c— l) Xm mod IDI」を計算することにより求める。「n^¾「（2Xq) Xm =1 mod IDI」を満たす数である。上述したように、発行識別子情報「IDI」が奇数、すなわち、「GCD(IDI、 2)=1」であり、「IDI<q」であるため、「m」は計算可能である。計算方法については、非特許文献 5が詳しい。なお、以降において、第 1検証値「cl 1」を用いた場合の「w」を「wl」と表記、及び第 2検証値を用いた場合の「w」を「 w2jと表記する。

[0084] 素数候補生成部 142は、素数「q」のビットサイズ「lenq」を、情報制御部 140の情報記憶領域より読み出し、生成した数「N」のビットサイズが「2 X lenqjであるか否かを判断する。

「2Xlenq」であると判断する場合には、素数候補生成部 142は、生成した数「N」を第 1素数判定部 143へ出力し、生成した数「R」を生成情報記憶領域に記憶する。

[0085] 「2Xlenq」でないと判断する場合には、素数候補生成部 142は、乱数生成部 141 より受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、数「R」及び「 N」を生成する。く第 1素数判定部 143 >

第 1素数判定部 143は、数「N」を素数候補生成部 142より受け取ると、受け取った数「N」を用いて、以下の式の成立を判定する。

[0086] 2" (N-1) = 1 mod N (eql)

ここで、 2' (N— 1)は、 2の N—1乗を示している。

第 1素数判定部 143は、式 (eql)が成立していると判断する場合には、数「N」を第 2素数判定部 144へ出力する。

第 1素数判定部 143は、式 (eql)が成立していないと判断する場合には、乱数生成部 141へ第 2生成指示を出力する。

[0087] <第 2素数判定部 144 >

第 2素数判定部 144は、数「N」を第 1素数判定部 143より受け取ると、素数候補生成部 142の生成情報記憶領域にて記憶されている数「R」を読み出す。

第 2素数判定部 144は、数「N」及び「R」とを用いて、以下の式の成立を判定する。

[0088] 2" (2 XR) ≠ 1 mod N (eq2)

第 2素数判定部 144は、式 (eq2)が成立していると判断する場合には、数「N」を素数「N」として、情報制御部 140を介して、繰返制御部 132へ出力する。

第 2素数判定部 144は、式 (eq2)が成立していないと判断する場合には、乱数生成部 141へ第 2生成指示を出力する。

[0089] (8)鍵判定部 117

鍵判定部 117は、素数生成部 116より受け取った 2つの素数「pl」及び「p2」を、記憶する素数記憶領域を有する。

鍵判定部 117は、素数生成部 116より素数「pl」及び「p2」を受け取ると、受け取つた素数「p 1」及び「p2」をそれぞれ素数記憶領域へ記憶する。

[0090] 鍵判定部 117は、素数生成部 116より判定開始命令を受け取ると、素数記憶領域にて記憶して、る 2つの素数「pl」と「p2」とが一致するか否かを判断する。一致すると判断する場合には、記憶している素数「p2」を消去し、再生成命令を繰返制御部 1 32へ出力する。

一致しないと判断する場合には、記憶している 2つの素数「pl」及び「p2」を、秘密鍵格納部 111の素数格納領域へ書き込み、鍵生成開始命令を鍵生成部 118へ出力する。

[0091] (9)鍵生成部 118

鍵生成部 118は、鍵判定部 117より鍵生成命令を受け取ると、秘密鍵格納部 111 の素数格納領域にて記憶されている 2つの素数「pl」及び「p2」を読み出し、読み出した素数「pl」と「p2」との積「n=pl X p2」を計算する。

鍵生成部 118は、乱数「e」を生成し、算出した「n」と、生成した乱数「e」とからなる組「PK= (n、 e)」を公開鍵として生成し、生成した公開鍵「PK」を公開鍵格納部 112 へ書き込む。ここで、乱数「e」は、従来と同様に、乱数「e」は、数「L」と互いに素であり、「l≤e≤L— 1、 GCD (e、 L) = 1」を満たす。ここで、 GCD (e、 L)は、 eと Lの最大公約数を示し、数「L」は、「L=LCM (pl— 1、 p2— 1)」であり、 LCM (pl— 1、 p2— 1) は、「pl— 1」と「p2— 1」との最小公倍数を示す。

[0092] 鍵生成部 118は、「e X d= l mod L」を満たす「d」を算出し、算出した「d」と、素数「pl」及び「p2」と力なる組「SK= (pl、 p2、 d)」を秘密鍵として、秘密鍵格納部 1 11の秘密鍵格納領域へ書き込む。鍵生成部 118は、公開鍵証明書の要求処理を開始する要求開始命令を、情報取得部 119へ出力する。

(10)情報取得部 119

情報取得部 119は、鍵生成部 118から要求開始命令を受け取ると、識別子格納部 110から発行識別子情報「IDI」と、公開鍵格納部 112から公開鍵「PK」と、制御部 1 14のサーバ識別子記憶領域 130からサーバ識別子とを、それぞれ読み出す。情報取得部 119は、読み出した発行識別子情報「IDI」と、公開鍵「PK」と、サーバ識別子と、公開鍵証明書の発行を依頼する証明書発行依頼情報とを送信部 121を介して、証明書発行サーバ 200へ送信する。

[0093] 情報取得部 119は、制御部 114から配布開始命令を受け取ると、秘密鍵格納部 11 1にて記憶している秘密鍵「SK」と、証明書格納部 113にて記憶している公開鍵証明書「Cert」と、制御部 114の端末情報記憶領域にて記憶している端末識別子とを、それぞれ読み出し、読み出した秘密鍵「SK」及び公開鍵証明書「Cert」を、読み出した端末識別子に対応する端末装置 300へ送信部 121を介して送信する。 [0094] (11)受信部 120

受信部 120は、インターネットを介して、証明書発行サーバ 200及び端末装置 300 より情報を受信し、受信した情報を、制御部 114へ出力する。

(12)送信部 121

送信部 121は、情報取得部 119より、発行識別子情報「IDI」と、公開鍵「PK」と、サーバ識別子と、証明書発行依頼情報とを受け取ると、受け取った各情報を証明書発行サーバ 200へ送信する。

[0095] 送信部 121は、情報取得部 119より、秘密鍵「SK」及び公開鍵証明書「Cert」を受け取り、受け取った各情報を、端末装置 300に送信する。

1. 3 証明書発行サーバ 200の構成

証明書発行サーバ 200は、鍵発行サーバ 100、 101、及び 102から証明書発行依頼情報を受け取ると、公開鍵証明書を発行し、発行した公開鍵証明書を発行依頼のあった鍵発行サーバへ送信する。

[0096] 証明書発行サーバ 200は、図 6にて示すように、秘密鍵格納部 210、発行公開鍵格納部 211、発行識別子情報格納部 212、公開鍵証明書格納部 213、発行公開鍵確認部 214、公開鍵証明書生成部 215、証明書取得部 216、受信部 217及び送信部 218から構成されている。

証明書発行サーバ 200は、具体的には、マイクロプロセッサ、 ROM、 RAM,ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンビユータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、証明書発行サーバ 200は、その機能を達成する。

[0097] なお、鍵発行サーバ 100から証明書発行依頼情報を受け取った場合の動作と、他の鍵発行サーノから証明書発行依頼情報を受け取った場合の動作とは、同じであるため、以降の説明では、鍵発行サーバ 100から送信された証明書発行依頼情報を用いて説明する。

(1)秘密鍵格納部 210

秘密鍵格納部 210は、証明書発行サーバ 200のみが有する秘密鍵「SKCA」を予め記憶している。

[0098] ここで、秘密鍵「SKCA」に対応する公開鍵「PKCA」は、端末装置 400に配布されているものとする。

(2)発行公開鍵格納部 211

発行公開鍵格納部 211は、鍵発行サーバ 100より受け取った公開鍵「PK」を記憶する領域を有している。

[0099] (3)発行識別子情報格納部 212

発行識別子情報格納部 212は、鍵発行サーバ 100より受け取った発行識別子情報「IDI」を記憶する領域を有して!/、る。

(4)公開鍵証明書格納部 213

公開鍵証明書格納部 213は、発行した公開鍵証明書「Cert」を記憶する領域を有している。

[0100] (5)発行公開鍵確認部 214

発行公開鍵確認部 214は、図 6に示すように、サーバ情報記憶領域 220及び確認情報記憶領域 221を有して、る。

サーバ情報記憶領域 220は、公開鍵証明書の発行依頼のあった鍵発行サーバを識別するサーバ識別子を記憶する領域を有して、る。

[0101] 確認情報記憶領域 221は、図 7に示すように、検証値テーブル T200を有している。検証値テーブル T200は、サーバ識別子と、第 1検証値と、第 2検証値とからなる組を 1以上記憶する領域を有している。サーバ識別子は、鍵発行サーバを識別する識別子であり、「SIDA」は、鍵発行サーバ 100を示し、「SIDB」は、鍵発行サーバ 101 を示し、「SIDB」は、鍵発行サーバ 102を示す。第 1検証値及び第 2検証値は、対応付けられたサーバ識別子にて示される鍵発行サーバに割り当てた検証値である。なお、以降では、鍵発行サーバ 100のサーバ識別子を「SID」として説明する。

[0102] 発行公開鍵確認部 214は、鍵発行サーバ 100から受信部 217を介して、発行識別子情報「IDI」と、公開鍵「PK」と、サーバ識別子と、証明書発行依頼情報とを受け取る。

発行公開鍵確認部 214は、受け取ったサーバ識別子を、サーバ情報記憶領域 22 0に書き込む。

[0103] 発行公開鍵確認部 214は、受け取ったサーバ識別子を用いて、対応する第 1検証値「c 11」及び第 2検証値「c 12」を読み出す。

発行公開鍵確認部 214は、受け取った公開鍵「PK」と発行識別子情報「IDI」とを用いて、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたカゝ否かを確認する。

[0104] ここで、確認方法について、説明する。公開鍵「PK」は、上述したように「ΡΚ= (η、 e)」である。発行公開鍵確認部 214は、「n— (cl l X cl2)」を算出し、算出結果力「I DI」で割り切れるか否かを検証する。これにより、公開鍵「PK」が、発行識別子情報「I DIJを用いて生成された力否かを確認することができる。

発行公開鍵確認部 214は、「η— (cl l X cl2)」が、「IDI」で割り切れると判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断し、 Γ_η — (cl l X cl2)」が、「IDI」で割り切れないと判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されて、な、と判断する。

[0105] 発行公開鍵確認部 214は、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断する場合には、受け取った公開鍵「PK」を発行公開鍵格納部 211へ、発行識別子情報を発行識別子情報格納部 212へ、それぞれ書き込む。発行公開鍵確認部 214は、公開鍵証明書の生成開始命令を公開鍵証明書生成部 215へ出力する。

発行公開鍵確認部 214は、公開鍵「ΡΚ」が、発行識別子情報「IDI」を用いて生成されていないと判断する場合には、処理を終了する。

[0106] (6)公開鍵証明書生成部 215

公開鍵証明書生成部 215は、発行公開鍵確認部 214より、公開鍵証明書の生成開始命令を受け取ると、秘密鍵格納部 210より秘密鍵「SKCA」を、発行公開鍵格納部 211より公開鍵「PK」を、発行識別子情報格納部 212より発行識別子情報「IDI」を、それぞれ読み出す。

[0107] 公開鍵証明書生成部 215は、読み出した秘密鍵「SKCA」、公開鍵「PK」及び発行識別子情報「IDI」を用いて、公開鍵証明書「」を生成する。生成する公開鍵証明書「Cert」は、具体的には、「Cert=n | | e | | IDI | | Sig (SKCA、 n | | e I I IDI)」である。ここで、 Sig (K、 D)は、データ「D」に対して、秘密鍵「K」を用いたときの署名データである。記号「 I I」は、ビットまたはバイトの連結である。

[0108] 公開鍵証明書生成部 215は、生成した公開鍵証明書「Cert」を公開鍵証明書格納部 213へ書き込み、公開鍵証明書「Cert」の送信開始命令を証明書取得部 216へ出力する。

(7)証明書取得部 216

証明書取得部 216は、公開鍵証明書生成部 215より、公開鍵証明書「Cert」の送信開始命令を受け取ると、公開鍵証明書格納部 213から公開鍵証明書「Cert」を、サーバ情報記憶領域 220からサーバ識別子を、それぞれ読み出し、読み出した公開鍵証明書「Cert」を、読み出したサーバ識別子に対応する鍵発行サーバ 100へ送信部 218を介して送信する。

[0109] (8)受信部 217

受信部 217は、鍵発行サーバ 100より情報を受信し、受信した情報を、発行公開鍵確認部 214へ出力する。

(9)送信部 218

送信部 218は、証明書取得部 216より情報を受け取り、受け取った情報を鍵発行サーバ 100へ送信する。

[0110] 1. 4 端末装置 300の構成

端末装置 300は、図 8にて示すように、秘密鍵格納部 310、公開鍵証明書格納部 3 11、制御部 312、受付部 313、無線部 314、ベースバンド信号処理部 315、スピーカ一 316、マイク 317及び表示部 318から構成されている。端末装置 300の一例は、携帯電話機である。

[0111] 端末装置 300は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプロダラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従つて動作することにより、端末装置 300は、その機能を達成する。 [0112] なお、端末装置 301、 · · ·、 302、 303、 · ·、 304、 305、 · · ·、 306は、端末装置 30 0と同様の構成であるため、説明は省略する。

また、端末装置 301、 · · ·、 302から鍵発行依頼情報と、端末識別子とを、鍵発行サーバ 100へ送信した場合、端末装置 303、 · · ·、 304から鍵発行依頼情報と、端末識別子とを、鍵発行サーバ 101へ送信した場合、及び端末装置 305、 · · ·、 306から鍵発行依頼情報と、端末識別子とを、鍵発行サーバ 102へ送信した場合の動作は、端末装置 300から鍵発行依頼情報と、端末識別子とを、鍵発行サーバ 100へ送信した場合の動作と同じであるため、以降の説明では、鍵発行依頼情報と、端末識別子とを、鍵発行サーバ 100へ送信した場合の動作について説明する。

[0113] (1)秘密鍵格納部 310

秘密鍵格納部 310は、鍵発行依頼情報を送信した鍵発行サーバ、ここでは、鍵発行サーバ 100にて発行された秘密鍵「SK= (pl、 p2、 d)」を記憶する領域を有している。

(2)公開鍵証明書格納部 311

公開鍵証明書格納部 311は、鍵発行サーバ 100にて発行された秘密鍵に対応する公開鍵の公開鍵証明書「Cert」を記憶する領域を有して!/ヽる。

[0114] (3)制御部 312

制御部 312は、図 8にて示すように、端末識別子記憶領域 320を有している。

制御部 312は、暗号ィ匕された電子メールを記憶するメール記憶領域をも有して!/、る端末識別子記憶領域 320は、当該装置を識別する端末識別子「TID」を予め記憶している。

[0115] 制御部 312は、受付部 313より鍵発行要求の指示を受け付けると、端末識別子記憶領域 320から端末識別子「TID」を読み出す。

制御部 312は、鍵発行依頼情報と、読み出した端末識別子「TID」とを、鍵発行サーバ 100へ、ベースバンド信号処理部 315及び無線部 314を介して送信する。制御部 312は、鍵発行サーバ 100より、無線部 314及びベースバンド信号処理部 3 15を介して、秘密鍵「SK」及び公開鍵証明書「Cert」を受け取ると、受け取った秘密鍵「SK」を秘密鍵格納部 310へ、公開鍵証明書「Cert」を公開鍵証明書格納部 311 へ、それぞれ書き込む。

[0116] 制御部 312は、端末装置 400より、無線部 314及びベースバンド信号処理部 315 を介して、暗号ィ匕された電子メールを受け取ると、受け取った暗号化された電子メールをメール記憶領域へ書き込む。

制御部 312は、受付部 313より、暗号ィ匕された電子メールの表示命令を受け取ると、秘密鍵格納部 310より秘密鍵「SK」を、メール記憶領域より暗号ィ匕された電子メールを、それぞれ読み出し、読み出した秘密鍵「SK」を用いて、暗号化された電子メールを復号し、復号された電子メール (以下、単に「電子メール」という。）を表示部 318 へ出力する。

[0117] (4)受付部 313

受付部 313は、ユーザの操作により、鍵発行要求の指示を受け付けると、受け付けた指示を制御部 312へ出力する。

受付部 313は、ユーザの操作により、暗号化された電子メールの表示の指示を受け付けると、表示命令を制御部 312へ出力する。

[0118] (5)無線部 314

無線部 314は、アンテナ 319を備えており、無線信号の送受信を行う。

(6)ベースバンド信号処理部 315

ベースバンド信号処理部 315は、無線部 314より受け取った信号をスピーカー 316 へ出力するための信号処理や、マイク 317より受け取った音声を無線部 314へ出力するための信号処理を行う。

[0119] ベースバンド信号処理部 315は、制御部 312から鍵発行依頼情報及び端末識別子を受け取ると、受け取った力ゝら鍵発行依頼情報及び端末識別子を、無線部 314を介して鍵発行サーバ 100へ送信する。

ベースバンド信号処理部 315は、鍵発行サーバ 100から秘密鍵及び公開鍵証明書とを、無線部 314を介して受け取ると、受け取った秘密鍵及び公開鍵証明書を制御部 312へ出力する。

[0120] ベースバンド信号処理部 315は、鍵発行サーバ 100から秘密鍵及び公開鍵証明書とを、無線部 314を介して受け取ると、受け取った秘密鍵及び公開鍵証明書を制御部 312へ出力する。

ベースバンド信号処理部 315は、端末装置 400から暗号ィ匕された電子メールを、無線部 314を介して受け取ると、受け取った暗号ィ匕された電子メールを制御部 312へ出力する。

[0121] (7)スピーカー 316

スピーカー 316は、ベースバンド信号処理部 315にて処理された信号を音声として出力する。

(8)マイク 317

マイク 317は、使用者の音声を受け付け、受け付けた音声をベースバンド信号処理部 315へ出力する。

[0122] (9)表示部 318

表示部 318は、制御部 312より受け取った電子メールを表示する。

1. 5 鍵発行システム 1の動作

ここでは、鍵発行システム 1の動作について説明する。

(1)鍵発行システム 1の動作概要

鍵発行システム 1の動作概要を図 9に示す流れ図を用いて、説明する。

[0123] 以下では、鍵発行サーバ 100が端末装置 300に鍵を発行するときの動作概要を示す。

端末装置 300は、まず、鍵依頼処理にて、鍵発行依頼情報及び端末識別子「TID 」を鍵発行サーバ 100へ送信する (ステップ S5)。

鍵発行サーバ 100は、端末装置 300より鍵発行依頼情報及び端末識別子「TID」を受信すると、鍵発行処理にて、発行識別子情報「IDI」、秘密鍵「SK= (pl、 p2、 d )」及び公開鍵「PK= (n、 e)」を生成する。鍵発行サーバ 100は、生成した発行識別子情報「IDI」及び公開鍵「PK」と、証明書発行依頼情報と、サーバ識別子「SID」とを、証明書発行サーバ 200へ送信する (ステップ S10)。

[0124] 証明書発行サーバ 200は、発行識別子情報「IDI」及び公開鍵「PK」と、証明書発行依頼情報と、サーバ識別子「SID」とを受信すると、証明書発行処理にて、公開鍵「 PK」に対応する秘密鍵「SK」に含まれる素数「pl」、「p2」が発行識別子情報「IDI」を用いて生成されているかを判定し、判定結果が肯定的な場合に、公開鍵「PK」に対する公開鍵証明書「」を生成する。証明書発行サーバ 200は、生成した公開鍵証明書「Cert」を鍵発行サーバ 100へ送信する (ステップ S 15)。

[0125] 鍵発行サーバ 100は、鍵発行処理にて、証明書発行サーバ 200から公開鍵証明書「じを受信すると、秘密鍵「SK= (pl、 p2、 d)」と公開鍵証明書「」を端末装置 300へ送信する (ステップ S 20)。

端末装置 300は、鍵依頼処理にて、鍵発行サーバ 100から秘密鍵「SK」と公開鍵証明書「Cert」とを受信すると、受信した秘密鍵「SK」、公開鍵証明書「Cert」を格納し、システムを終了する。

[0126] (2)鍵依頼処理

ここでは、図 9に示す鍵依頼処理の動作について、図 10に示す流れ図を用いて、説明する。なお、ここでは、端末装置 300及び鍵発行サーバ 100を用いて、鍵依頼処理の動作を説明する。

端末装置 300の受付部 313は、ユーザの操作により、鍵発行要求の指示を受け付ける（ステップ S 100)。

[0127] 端末装置 300の制御部 312は、端末識別子記憶領域 320から端末識別子「TID」を取得する（ステップ S 105)。

端末装置 300の制御部 312は、鍵発行依頼情報と、取得した端末識別子「TID」とを、鍵発行サーバ 100へ、ベースバンド信号処理部 315及び無線部 314を介して送信する (ステップ S 110)。

[0128] 端末装置 300の制御部 312は、鍵発行サーバ 100より、無線部 314及びベースバンド信号処理部 315を介して、秘密鍵「SK」及び公開鍵証明書「Cert」を受け取る（ステップ S 115)。

制御部 312は、受け取った秘密鍵「SK」を秘密鍵格納部 310へ書き込み (ステップ S120)、公開鍵証明書「Cert」を公開鍵証明書格納部 311へ書き込む (ステップ S1 25)。

[0129] (3)鍵発行処理ここでは、図 9に示す鍵発行処理の動作について、図 11、図 12、図 13及び図 13 に示す流れ図を用いて、説明する。

鍵発行サーバ 100の制御部 114は、端末装置 300から受信部 120を介して、鍵発行依頼情報と、端末装置 300の端末識別子「TID」とを受け取ると (ステップ S200)、受け取った端末識別子「TID」を端末情報記憶領域 131へ書き込み、発行識別子情報の生成命令と、受け取った端末識別子「TID」とを識別子生成部 115へ出力する（ステップ S205)。

[0130] 識別子生成部 115は、制御部 114から発行識別子情報の生成命令と、端末識別子「TID」とを受け取ると、サーバ識別子記憶領域にて記憶されて、るサーバ識別子「SID」を取得する。識別子生成部 115は、取得したサーバ識別子「SID」と、受け取つた端末識別子「TID」と数「1」とから、発行識別子情報「IDI」を生成し、生成した発行識別子情報「IDI」を識別子格納部 110へ書き込み、素数の生成命令を素数生成部 116へ出力する (ステップ S210)。

[0131] 繰返制御部 132は、識別子生成部 115から素数の生成開始命令を受け取ると、繰返カウンタ 135及び出力カウンタ 136を、それぞれ「1」に設定する (ステップ S215)。繰返制御部 132は、繰返カウンタ 135の値力 1である力否かを判断する (ステップ S220)。

[0132] 1であると判断する場合には (ステップ S220における「YES」）、繰返制御部 132は、初期値記憶領域より素数とそのビットサイズを読み出し (ステップ S225)、 1でないと判断する場合には (ステップ S220における「NO」 )、一時記憶領域よりビットサイズ「 8 X (2" (11—1) )」と、その素数、つまり前回生成した素数とそのビットサイズとを読み出す (ステップ S230)。つまり、繰返制御部 132は、繰返カウンタ 135の値力 1でないと判断する場合には、一時記憶領域より、前回生成した素数とそのビットサイズとを読み出す。ここで、「n」は、繰返カウンタの値である。

[0133] 繰返カウンタ 135の値に対応する制御情報を制御情報テーブル T100より読み出し (ステップ S235)、読み出した制御情報力「情報 C」である力否かを判断する (ステップ S 240)。

「情報 C」であると判断する場合には (ステップ S 240における「YES」 )、繰返制御部 132は、読み出した素数及びそのビットサイズと、制御情報とからなる第 1情報を生成し、生成した第 1情報を、素数情報生成部 133へ出力する (ステップ S245)。

[0134] 「情報 C」でな、と判断する場合には (ステップ S 240における「NO」 )、繰返制御部 132は、識別子格納部 110より発行識別子情報「IDI」を取得し、取得した発行識別子情報「IDI」のビットサイズ「lenIDI」を算出し、読み出した素数及びそのビットサイズと、制御情報と、発行識別子情報「IDI」及びそのビットサイズ「lenIDI」とからなる第 2 情報を生成し、生成した第 2情報を、素数情報生成部 133へ出力する (ステップ S25 0)。

[0135] 素数情報生成部 133は、素数生成処理により素数を生成し、生成した素数を繰返制御部 132へ出力する (ステップ S 255)。

繰返制御部 132は、素数情報生成部 133から、素数を受け取ると、繰返カウンタ 13 5の値に「1」を加算し (ステップ S260)、加算結果力 7である力否かを判断する (ステツプ S 265)。

[0136] 加算結果が 7でないと判断する場合には (ステップ S265における「NO」）、繰返制御部 132は、受け取った素数のビットサイズを算出し (ステップ S270)、受け取った素数と、算出したビットサイズとを一時的に記憶し (ステップ S275)、ステップ S220へ戻る。

加算結果が 7であると判断する場合には (ステップ S265における「YES」）、繰返制御部 132は、出力カウンタ 136の値が、 1である力否かを判断する（ステップ S280)。

[0137] 1であると判断する場合には (ステップ S280における「YES」）、繰返制御部 132は

、受け取った素数を素数「pl」として、鍵判定部 117へ出力し (ステップ S285)、出力カウンタ 136の値に「1」を加算し (ステップ S290)、繰返カウンタ 135の値に「1」を設定し (ステップ S295)、ステップ S220へ戻る。

1でない、つまり 2以上であると判断する場合には (ステップ SNOにおける「NO」）、繰返制御部 132は、受け取った素数を素数「p2」として、素数「p2」と判定開始命令を鍵判定部 117へ出力する (ステップ S300)。

[0138] 鍵判定部 117は、ステップ S285にて繰返制御部 132より素数「pl」を受け取ると、受け取った素数「pl」を素数記憶領域へ記憶する。鍵判定部 117は、ステップ S300 にて繰返制御部 132より「p2」及び判定開始命令とを受け取ると、受け取った素数「p 2」を素数記憶領域へ記憶する。鍵判定部 117は、素数記憶領域にて記憶している 2 つの素数「pl」と「p2」とが一致する力否かを判断する (ステップ S305)。一致すると判断する場合には、記憶している素数「p2」を消去し、再生成命令を繰返制御部 13 2へ出力し (ステップ S305における「YES」）、繰返制御部 132は、鍵判定部 117より素数を再度生成する旨の再生成命令を受け取ると、上述したステップ S290及びステップ S295を行い、ステップ S220へ戻る。

[0139] 一致しないと判断する場合には、記憶している 2つの素数「pl」及び「p2」を、秘密鍵格納部 111の素数格納領域へ書き込み、鍵生成開始命令を鍵生成部 118へ出力し (ステップ S305における「NO」）、鍵生成部 118は、鍵判定部 117より鍵生成命令を受け取ると、秘密鍵格納部 111の素数格納領域にて記憶されてヽる 2つの素数「pl」及び「p2」を読み出し、読み出した素数「pl」と「p2」との積「n=pl X p2」を計算する（ステップ S310)。

[0140] 鍵生成部 118は、乱数「e」を生成し (ステップ S315)、算出した「n」と、生成した乱数「e」と力もなる組「PK= (n、 e)」を公開鍵として生成し、生成した公開鍵「PK」を公開鍵格納部 112へ書き込む (ステップ S320)。ここで、乱数「e」は、従来と同様に、乱数「e」は、数「L」と互、に素であり、「 1≤ e≤ L—l、 GCD (e、 L) = 1」を満たす。数「L 」は、「L=LCM (pl— 1、ρ2— 1)」である。

[0141] 鍵生成部 118は、「e X d= l mod L」を満たす「d」を算出し (ステップ S325)、算出した「d」と、素数「pl」及び 2」とからなる組「SK= (pl、 p2、 d)」を秘密鍵として、秘密鍵格納部 111の秘密鍵格納領域へ書き込み、要求開始命令を、情報取得部 1 19へ出力する (ステップ S330)。

情報取得部 119は、鍵生成部 118から要求開始命令を受け取ると、識別子格納部 110から発行識別子情報「IDI」と、公開鍵格納部 112から公開鍵「PK」と、制御部 1 14のサーバ識別子記憶領域 130からサーバ識別子とを、それぞれ読み出す (ステツプ S335)。情報取得部 119は、読み出した発行識別子情報「IDI」と、公開鍵「PK」と、サーバ識別子と、公開鍵証明書の発行を依頼する証明書発行依頼情報とを送信部 121を介して、証明書発行サーバ 200へ送信する (ステップ S340)。 [0142] 制御部 114は、証明書発行サーバ 200から受信部 120を介して、公開鍵証明書「 Cert」を受け取ると、受け取った公開鍵証明書「Cert」を証明書格納部 113へ書き込み、配布開始命令を情報取得部 119へ出力する (ステップ S345)。

情報取得部 119は、制御部 114から配布開始命令を受け取ると、秘密鍵格納部 11 1にて記憶している秘密鍵「SK」と、証明書格納部 113にて記憶している公開鍵証明書「Cert」と、制御部 114の端末情報記憶領域にて記憶している端末識別子とを、それぞれ読み出し (ステップ S350)、読み出した秘密鍵「SK」及び公開鍵証明書「Cer tjを、読み出した端末識別子に対応する端末装置 300へ送信部 121を介して送信する（ステップ S355)。

[0143] (4)素数生成処理

ここでは、図 12に示す素数生成処理の動作について、図 15に示す流れ図を用いて、説明する。

情報制御部 140は、繰返制御部 132から、素数「q」と、素数のビットサイズ「lenq」と、制御情報とからなる第 1情報及び素数「q」と、素数のビットサイズ「lenq」と、制御情報と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とからなる第 2情報の何れかを受け取ると、受け取った情報を情報記憶領域へ書き込み、乱数の生成の指示を示す第 1生成指示を、乱数生成部 141へ出力する (ステップ S400)。

[0144] 乱数生成部 141は、乱数の生成の指示を示す第 1生成指示を、情報制御部 140から受け取ると、情報制御部 140の情報記憶領域にて記憶されて、る制御情報を読み出し (ステップ S405)、読み出した制御情報が「情報 C」である力否かを判断する (ステツプ S410)。

「情報 C」であると判断する場合には (ステップ S410における「YES」）、乱数生成部 141は、情報制御部 140の情報記憶領域にて記憶されている「lenq」を読み出し (ステツプ S415)、（lenq— 1)ビットからなる乱数「R1」を生成し、生成した乱数「R1」と読み出した制御情報とを素数候補生成部 142へ出力する (ステップ S420)。ここで、乱数「R1」の最上位ビットは 1とする。乱数生成方法は、非特許文献 2が詳しい。

[0145] 「情報 C」でな、と判断する場合には (ステップ S410における「NO」 )、乱数生成部 141は、情報制御部 140の情報記憶領域にて記憶されている「lenq」及び「lenIDI」を読み出し (ステップ S425)、（lenq-lenIDI-1)ビットからなる乱数「R1」を生成し、生成した乱数「R1」と読み出した制御情報とを素数候補生成部 142へ出力する (ステップ S430)。ここで、乱数「R1」の最上位ビットは 1とする。

[0146] 素数候補生成部 142は、素数候補生成処理により、乱数「R」と、素数候補である数

「N」とを生成し、生成した乱数「R」を生成情報記憶領域に記憶し、生成した数「N」を第 1素数判定部 143へ出力する (ステップ S435)。

第 1素数判定部 143は、数「N」を素数候補生成部 142より受け取ると、受け取った数「N」を用いて、上述した式 (eql)が成立する力否かを判断する (ステップ S440)。

[0147] 第 1素数判定部 143は、式 (eql)が成立していると判断する場合には、数「N」を第

2素数判定部 144へ出力し (ステップ S440における「YES」）、第 2素数判定部 144 は、数「N」を第 1素数判定部 143より受け取ると、素数候補生成部 142の生成情報記憶領域にて記憶されている数「R」を読み出し、上述した式 (eq2)が成立するか否かを判断する (ステップ S445)。

[0148] 第 2素数判定部 144は、式 (eq2)が成立していると判断する場合には (ステップ S4

45における「YES」）、数「N」を素数「N」として、情報制御部 140を介して、繰返制御部 132へ出力する (ステップ S450)。

第 1素数判定部 143は、式 (eql)が成立していないと判断する場合には、乱数生成部 141へ第 2生成指示を出力（ステップ S440における「NO」）、第 2素数判定部 1

44は、式 (eq2)が成立していないと判断する場合には、乱数生成部 141へ第 2生成指示を出力し (ステップ S445における「NO」）、乱数生成部 141は、第 1素数判定部

143及び第 2素数判定部 144の何れかから、再度乱数を生成する旨の第 2生成指示を受け付けると、ステップ S405〖こ戻る。

[0149] (5)素数候補生成処理

ここでは、図 15に示す素数候補生成処理の動作について、図 16及び図 17に示す流れ図を用いて、説明する。

素数候補生成部 142は、乱数生成部 141より、乱数「R1」と制御情報とを受け取ると (ステップ S500)、受け取った制御情報が「情報 C」である力否かの判断をする (ステツプ S505)。 [0150] 「情報 C」であると判断する場合には (ステップ S505における「YES」）、素数候補生成部 142は、情報制御部 140の情報記憶領域より素数「q」を読み出す (ステップ S5 10)。素数候補生成部 142は、読み出した素数「q」と乱数生成部 141より受け取った乱数「R1」とを用いて、数「N = 2 XRl X q+ l」を生成する（ステップ S 515)。素数候補生成部 142は、生成した数「N」のビットサイズ「lenN」が「lenq」と一致するか否かを判断し (ステップ S520)、一致すると判断する場合には (ステップ S520における「Y ES」）、素数候補生成部 142は、生成した数「N」を第 1素数判定部 143へ出力し、受け取った乱数「R1」を、「R」として生成情報記憶領域に記憶する (ステップ S595)。

[0151] 一致しないと判断する場合には (ステップ S520における「NO」）、素数候補生成部 142は、乱数生成部 141より受け取った乱数「R1」に 2を掛けて、その結果を「R1」とし (ステップ S525)、ステップ S515に戻る。

制御情報が「情報 C」でな、と判断する場合には (ステップ S505における「NO」 )、素数候補生成部 142は、情報制御部 140の情報記憶領域より素数「q」及び発行識別子情報「IDI」を読み出す (ステップ S530)。素数候補生成部 142は、制御情報が「情報 B」である力否かを判断する (ステップ S535)。

[0152] 「情報 B」であると判断する場合には (ステップ S535における「YES」）、素数候補生成部 142は、受け取った乱数「R1」と読み出した発行識別子情報「IDI」とから、結合値「IDI I I Rl」を生成し、生成した結合値「IDI I I Rl」と関数記憶領域にて記憶している関数「f」とを用いて、数「R=f (IDI I I Rl)」を生成する（ステップ S540)。素数候補生成部 142は、生成した数「R」と読み出した素数「q」とを用いて、数「N = 2 XR X q+ lJを生成する（ステップ S545)。

[0153] 素数候補生成部 142は、生成した数「N」のビットサイズ「lenN」が「2 X lenqjであるか否かを判断する (ステップ S550)。

「2 X lenqjであると判断する場合には (ステップ S550における「YES」 )、素数候補生成部 142は、生成した数「N」を第 1素数判定部 143へ出力し、生成した数「R」を生成情報記憶領域に記憶する (ステップ S595)。

[0154] 「2 X lenqjでな、と判断する場合には (ステップ S550における「NO」 )、素数候補生成部 142は、乱数生成部 141より受け取った乱数「R1」に 2を掛けて、その結果を「 Rl」とし (ステップ S555)、ステップ S540へ戻る。

「情報 B」でな、と判断する場合には (ステップ S535における「NO」 )、素数候補生成部 142は、受け取った乱数「R1」と読み出した発行識別子情報「IDI」とを用いて、数「R=IDI XR1」を生成する (ステップ S560)。素数候補生成部 142は、回数読出命令を情報制御部 140へ出力し、情報制御部 140から、出力カウンタ 136の値を受け取る。素数候補生成部 142は、受け取った値力「l」である力否かを判断する (ステップ S565)。

[0155] 出力回数力「l」であると判断する場合には (ステップ S565における「YES」）、素数候補生成部 142は、情報制御部 140の検証値記憶領域より第 1検証値「cl l」を読み出す (ステップ S570)。素数候補生成部 142は、読み出した素数「q」、発行識別子情報「IDI」、検証値「cl l」及び生成した数「R」とを用いて、数「N = 2 X (R+wl) X q+ 1」を生成する（ステップ S575)。ここで、「wl」は「2 X wl X q+ 1 = cl l mod IDI、 0≤wl <IDI」を満たす数である。

[0156] 出力回数が「1」でない、つまり「2」以上であると判断する場合には (ステップ S565 における「NO」）、素数候補生成部 142は、情報制御部 140の検証値記憶領域より第 2検証値「cl2」を読み出す (ステップ S580)。素数候補生成部 142は、読み出した素数「q」、発行識別子情報「IDI」、検証値「cl2」及び生成した数「R」とを用いて、数「N = 2 X (R+w2) X q+ 1」を生成する（ステップ S585)。ここで、「w2」は「2 X w 2 X q+ l = cl2 mod IDI、 0≤w2く IDI」を満たす数である。

[0157] 素数候補生成部 142は、素数「q」のビットサイズ「lenq」を、情報制御部 140の情報記憶領域より読み出し、生成した数「N」のビットサイズが「2 X lenqjであるか否かを判断する (ステップ S590)。

「2 X lenqjであると判断する場合には (ステップ S590における「YES」 )、素数候補生成部 142は、生成した数「N」を第 1素数判定部 143へ出力し、生成した数「R」を生成情報記憶領域に記憶する (ステップ S595)。

[0158] 「2 X lenqjでな、と判断する場合には (ステップ S590における「NO」 )、素数候補生成部 142は、乱数生成部 141より受け取った乱数「R1」に 2を掛けて、その結果を「 Rl」とし (ステップ S600)、ステップ S560に戻る。 (6)証明書発行処理

ここでは、図 9に示す証明書発行処理の動作について、図 18に示す流れ図を用いて、説明する。

[0159] 証明書発行サーバ 200の発行公開鍵確認部 214は、鍵発行サーバ 100から受信部 217を介して、発行識別子情報「IDI」と、公開鍵「PK」と、サーバ識別子と、証明書発行依頼情報とを受け取る (ステップ S650)。

発行公開鍵確認部 214は、受け取ったサーバ識別子を、サーバ情報記憶領域 22 0に書き込む（ステップ S655)。

[0160] 発行公開鍵確認部 214は、受け取ったサーバ識別子を用いて、対応する第 1検証値「c 11」及び第 2検証値「c 12」を読み出す (ステップ S660)。

発行公開鍵確認部 214は、読み出した第 1検証値「c 11」及び第 2検証値「c 12」と、受け取った公開鍵「PK」と、発行識別子情報「IDI」とを用いて、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成された力否かを確認する (ステップ S660)。

[0161] 発行公開鍵確認部 214は、「n— (cl l X cl2)」が、「IDI」で割り切れると判断する場合、つまり公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断する場合には (ステップ S660における「YES」）、発行公開鍵確認部 214は、受け取った公開鍵「PK」を発行公開鍵格納部 211へ、発行識別子情報を発行識別子情報格納部 212へ、それぞれ書き込み、発行公開鍵確認部 214は、公開鍵証明書の生成開始命令を公開鍵証明書生成部 215へ出力する (ステップ S665)。

[0162] 発行公開鍵確認部 214は、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されて、な、と判断する場合には (ステップ S660における「YES」 )、処理を終了する公開鍵証明書生成部 215は、発行公開鍵確認部 214より、公開鍵証明書の生成開始命令を受け取ると、秘密鍵格納部 210より秘密鍵「SKCA」を、発行公開鍵格納部 211より公開鍵「PK」を、発行識別子情報格納部 212より発行識別子情報「IDI」を、それぞれ読み出す (ステップ S670)。

[0163] 公開鍵証明書生成部 215は、読み出した秘密鍵「SKCA」、公開鍵「PK」及び発行識別子情報「IDI」を用いて、公開鍵証明書「」を生成し、生成した公開鍵証明書「Cert」を公開鍵証明書格納部 213へ書き込み、公開鍵証明書「」の送信開始命令を証明書取得部 216へ出力する (ステップ S675)。

証明書取得部 216は、公開鍵証明書生成部 215より、公開鍵証明書「Cert」の送信開始命令を受け取ると、公開鍵証明書格納部 213から公開鍵証明書「Cert」を、サーバ情報記憶領域 220からサーバ識別子を、それぞれ読み出し、読み出した公開鍵証明書「Cert」を、読み出したサーバ識別子に対応する鍵発行サーバ 100へ送信部 218を介して送信する（ステップ S680)。

[0164] 1. 6 素数情報生成部 133の動作検証

素数情報生成部 133の第 1素数判定部 143及び、第 2素数判定部 144は、 Pockli ngton判定である。 Pocklington判定は、非特許文献 1の 144ページ及び非特許文献 4が詳しい。以下に、簡単に説明する。

Pocklington判定によると、「N = 2 XR X q + 1」の「q」が素数であり

2" (N-1) = 1 mod N

2" (2R) ≠1 mod N

の両方が成り立つ場合、数「N」は素数となり、素数情報生成部 133は、数「N」を素数として出力することができる。

[0165] また、乱数「R1」のビットサイズが（lenq-lenIDI-1)であるので、数「R」のビットサイズが（lenq— 1)になり、ほとんどの数「N」のビットサイズが（2 X lenq)になる。ここで、素数「q」や発行識別子情報「IDI」などの値によっては、ビットサイズが（2 X lenq— 1) となる場合がある。その場合は、素数候補生成部 142は、上述したように、 R1に 2を掛けて、それを新たに R1とすることにより、生成する数「N」のビットサイズを (2 X lenq )になるように設定することができる。

[0166] 1. 7 第 1の実施の形態の効果

(1)生成される鍵の一意性

ここでは、鍵発行サーバ 100にて生成される鍵、つまり素数の一意性について説明する。

ここで、以下の命題を証明する。

[0167] (命題)発行識別子情報 IDIが異なれば、出力される素数「N」が異なる。まず、以下の補題を証明し、その補題を用いて、上記の命題を証明する。

(補題）二つの素数「pl = 2XqlXRl + 1」及び「p2 = 2 X q2 X R2 + 1」に対し、 p 1=ρ2であれば、、 ql = q2力つ R1=R2となる。

(証明） pl=p2の場合、素数「ql」及び「q2」のビットサイズは、それぞれ 256ビットであり、数「R1」及び「R2」のビットサイズは、それぞれ 255ビットであるため、 ql=q2 となるのは明らか。また、 ql=q2より、 R1=R2も成り立つ（証明終)。

[0168] 上記補題より、 pl=p2であれば、 R1=R2が成り立つ。 Rl=f(IDIl I | R11)、R 2 = f(lDI2 I I R22)とおくと、 R1=R2であり、 fは単射であるため、 IDI1=IDI2が成り立つ。したがって、この対偶を取ることにより、上記の命題が成り立つ。以上より、 IDIが異なれば必ず素数が異なる。したがって、鍵発行サーバ 100に与える IDIを毎回変えることで、毎回異なる素数を生成することができる。これにより、生成される素数は、一意性が保たれる。

[0169] したがって、複数回生成した素数が一致しないことを比較することなぐ証明できる。

(2)生成された鍵の正当性

鍵発行サーバ 100にて生成された素数「pl」に対して、「pl— cll」は必ず発行識別子情報「IDI」で割り切れる。

なぜなら、「pl— cll = 2XqX (R+wl)+l-cll = 2XqX (IDI XR1 +wl) + 1 — cll = 2XqXIDIXRl + 2XqXwl + l— cll」であり、項「2XqXIDIXR」は、「I DI」で割り切れることが分かる。また、上述したように、「2XqXwl + l = cll mod IDIJが成り立って!/、るため、残りの項「2 XqXwl + 1— cl 1」も「IDI」で割り切れる。つまり、鍵発行サーバ 100にて生成された素数「pl」に対して、「pl— cll」は必ず発行識別子情報「IDI」で割り切れる。したがって、生成された素数「pl」に対し、「pl— c 11」が発行識別子情報「IDI」で割り切れる力否かで、鍵発行サーバ 100を用いて素数が生成されたかを確認することができる。

[0170] また、上記と同様の理由により、素数「pl」に対して、「p2— cl2」は必ず発行識別子情報「IDI」で割り切れる。

したがって、「n— cllXcl2」は「IDI」で割り切れるため、証明書発行サーバ 200は、「n— cllXcl²」が「IDI」で割り切れることを確認することで、素数「pl」、「p²」が正しく発行識別子情報「IDI」を用いて生成して、るかを確認することができる。

[0171] なぜなら、秘密鍵である素数「pl」、「p2」はそれぞれ、素数「ql」、「q2」、乱数「R1 1」、「R12」、発行識別子情報「IDI」に対して、「pl = 2XqlX (IDIXRll+wl) + l = cll mod IDI」、「p2 = 2Xq2X (IDIXR12+wl)+l = cl2 mod IDI」を満たすため、

n = plXp2=(2XqlXIDIXRll + l) X (2Xq2XIDIXR12+l) = cllXcl2 mod IDI

となる。そのため、証明書発行サーバ 200は、「n— cllXcl2」が「IDI」で割り切れるか否かを確認することにより、鍵発行サーバが正しく発行識別子情報 IDIを用いて生成して、るかを確認することができる。

[0172] なお、「IDI」のビットサイズが「lenIDI」であり、「R1」のビットサイズが（lenq— lenlDI —1)であるため、ほとんどの「Nl = 2XqX (IDIXRl+w)+l」のビットサイズは、 2 Xlenqlとなる。ここで、「ql」や「IDI」などの値によっては、ビットサイズが（2 X lenq— 1)となる場合がある。その場合は、素数候補生成部 142で、「R1」に 2を掛けて、それを新たに「R1」とみなすことにより、「N1」のビットサイズを「2Xlenql」になるように設定することができる。

[0173] さらに、鍵発行システム 1は、端末がその端末がもつ秘密鍵を用いて、不正を働いたとき、以下の確認方法により、秘密鍵より不正を働いた端末の情報を得ることができる。不正を働いた端末の秘密鍵「pl」、「p2」が判明したとする。また、不正の追跡者、例えば証明書発行サーバ 200の管理者は、発行識別子情報と端末の対応表と持つているとする。「pl-cll」、「p2-cl2」は共に発行識別子情報「IDI」で割り切れる。そのため、 GCD(pl— cll、 _P2-cl2)は発行識別子情報で割り切れる。したがって、 GCD(pl— cll、 p2—cl2)の素因数を調べることにより、不正の追跡者は、取りうる発行識別子情報を限定でき、発行識別子情報を知る、すなわち、端末を特定するための助けとなる。

[0174] 1. 10 素数生成の変形例 1

上記実施の形態では、第 1検証値及び第 2検証値の 2つの検証値を用いたが、ここでは、 1つの検証値を用いた場合の素数の生成について、説明する。上記実施の形態と異なる点は、鍵発行サーバにおける素数情報生成部と、証明書発行サーバにおける発行公開鍵確認部とが異なる。以下に、本変形例における素数情報生成部 133A、及び発行公開鍵確認部 214Aについて説明する。なお、他の構成要素については、第 1の実施の形態にて示した構成要素を用いる。

[0175] (1)素数情報生成部 133A

素数情報生成部 133Aは、図 19に示すように、情報制御部 140A、乱数生成部 14 1A、素数候補生成部 142A、第 1素数判定部 143A及び第 2素数判定部 144Aから構成されている。

素数情報生成部 133Aは、繰返制御部 132から受け取った素数のビットサイズが 2 倍のビットサイズからなる素数を生成する。

[0176] なお、以下の説明において、繰返制御部 132から受け取る素数を素数「q」、そのビットサイズを「lenq」として、各構成要素について説明する。

<情報制御部 140A>

情報制御部 140Aは、第 1情報及び第 2情報を記憶するための情報記憶領域を有している。

[0177] 情報制御部 140Aは、証明書発行サーバ 200により割り当てられ、且つ制御情報「情報 A」に基づ、て素数を生成する際に用いる検証値「cl」を予め記憶して、る検証値記憶領域を有している。

情報制御部 140Aは、繰返制御部 132から、素数「q」と、素数のビットサイズ「lenq」と、制御情報とからなる第 1情報を受け取ると、受け取った第 1情報を情報記憶領域へ書き込む。つまり、素数「q」と、素数のビットサイズ「lenq」と、制御情報 (この場合、「情報 C」）とを書き込む。

[0178] 情報制御部 140Aは、繰返制御部 132から、素数「q」と、素数のビットサイズ「lenq」と、制御情報と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とからなる第 2 情報を受け取ると、受け取った第 2情報を情報記憶領域へ書き込む。つまり、素数「q 」と、素数のビットサイズ「lenq」と、制御情報、発行識別子情報「IDI」と、そのビットサィズ「lenIDI」とを書き込む。

[0179] 情報制御部 140Aは、受け取った情報の書き込み後、乱数の生成の指示を示す第 1生成指示を、乱数生成部 141Aへ出力する。

情報制御部 140Aは、第 2素数判定部 144Aより、素数を受け取ると、受け取った素数を繰返制御部 132へ出力する。

<乱数生成部 141A>

乱数生成部 141 Aは、第 1の実施の形態にて示す乱数生成部 141 Aと同様であるため、説明は省略する。

[0180] <素数候補生成部 142A>

素数候補生成部 142Aは、生成された情報を記憶する生成情報記憶領域と、単射である関数「f」を予め記憶している関数記憶領域とを有している。ここで、関数「f」は、例えば、 f (X I I Y) =Enc (K、 X I I Y)である。 Enc (K、 X | | Y)は鍵 Xを用いたときの (X I I Y)の共通鍵暗号による暗号文である。共通鍵暗号の暗号化関数は一般的に全単射である。また、記号「 I I」はビットまたはバイト連結である。暗号ィ匕関数「Enc (K、X I I Y)」の一例は、「Enc (K、X | | Y) =K XOR X | | Υ」である。なお、共通暗号の一例は、 DESであり、 DESを用いる場合には、鍵長は 128ビットとなる。

[0181] 素数候補生成部 142Aは、乱数生成部 141Aより、乱数「R1」と制御情報とを受け取ると、受け取った制御情報が「情報 C」である力否かの判断をする。

「情報 C」であると判断する場合には、素数候補生成部 142Aは、情報制御部 140 Aの情報記憶領域より素数「q」を読み出す。素数候補生成部 142Aは、読み出した素数「q」と乱数生成部 141 Aより受け取った乱数「R1」とを用いて、数「N = 2 X Rl X q+ l」を生成する。素数候補生成部 142Aは、生成した数「N」のビットサイズ「lenN」が「lenq」と一致するカゝ否かを判断し、一致すると判断する場合には、素数候補生成部 142Aは、生成した数「N」を第 1素数判定部 143Aへ出力し、受け取った乱数「R1 」を、「R」として生成情報記憶領域に記憶する。

[0182] 一致しないと判断する場合には、素数候補生成部 142Aは、乱数生成部 141Aより受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、上記の動作を行い、数「N = 2 XRl X q+ l」を生成する。

制御情報力 ^情報 C」でないと判断する場合には、素数候補生成部 142Aは、情報制御部 140Aの情報記憶領域より素数「q」及び発行識別子情報「IDI」を読み出す。素数候補生成部 142Aは、制御情報が「情報 B」である力否かを判断する。

[0183] 「情報 B」であると判断する場合には、素数候補生成部 142Aは、受け取った乱数「 RUと読み出した発行識別子情報「IDI」と関数記憶領域にて記憶して、る関数「f」とを用いて、数「R=f (IDI I I Rl)」を生成する。素数候補生成部 142Aは、生成した数「R」と読み出した素数「q」とを用いて、数「N = 2 XRX q+ l」を生成する。

[0184] 素数候補生成部 142Aは、生成した数「N」のビットサイズ「lenN」が「2 X lenqjであるか否かを判断する。

「2 X lenq」であると判断する場合には、素数候補生成部 142Aは、生成した数「N」を第 1素数判定部 143Aへ出力し、生成した数「R」を生成情報記憶領域に記憶する

[0185] 「2 X lenq」でないと判断する場合には、素数候補生成部 142Aは、乱数生成部 14 1Aより受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、数「R」及び「N」を生成する。

「情報 B」でないと判断する場合には、素数候補生成部 142Aは、受け取った乱数「 R 1」と読み出した発行識別子情報「IDI」とを用いて、数「R = IDI X R1」を生成する。

[0186] 素数候補生成部 142Aは、情報制御部 140Aの検証値記憶領域より検証値「cl」を読み出す。

素数候補生成部 142Aは、読み出した素数「q」、発行識別子情報「IDI」、検証値「 cl」及び生成した数「R」とを用いて、数「N = 2 X (R+w) X q+ 1」を生成する。

[0187] ここで、「w」は「2 X w X q+ l = cl mod IDI、 0≤w<IDI」を満たす数である。「 w」は、「w= (cl— l) X m mod IDI」を計算することにより求める。「m」は「（2 X q) X m= l mod IDI」を満たす数である。

素数候補生成部 142Aは、素数「q」のビットサイズ「lenq」を、情報制御部 140Aの情報記憶領域より読み出し、生成した数「N」のビットサイズが「2 X lenqjであるか否かを判断する。

[0188] 「2 X lenq」であると判断する場合には、素数候補生成部 142Aは、生成した数「N」を第 1素数判定部 143Aへ出力し、生成した数「R」を生成情報記憶領域に記憶する「2 X lenq」でないと判断する場合には、素数候補生成部 142Aは、乱数生成部 14 1Aより受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、数「R」及び「N」を生成する。

[0189] <第 1素数判定部 143A>

第 1素数判定部 143Aは、第 1の実施の形態にて示す第 1素数判定部 143と同様であるため、説明は省略する。

<第 2素数判定部 144A>

第 2素数判定部 144Aは、第 1の実施の形態にて示す第 2素数判定部 144と同様であるため、説明は省略する。

[0190] (2)発行公開鍵確認部 214A

発行公開鍵確認部 214Aは、図示していないが、サーバ情報記憶領域 220A及び確認情報記憶領域 221 Aを有して、る。

サーバ情報記憶領域 220Aは、公開鍵証明書の発行依頼のあった鍵発行サーバを識別するサーバ識別子を記憶する領域を有している。

[0191] 確認情報記憶領域 221Aは、図 20に示すように、検証値テーブル T250を有している。検証値テーブル T250は、サーバ識別子と、検証値とからなる組を 1以上記憶する領域を有している。サーバ識別子は、鍵発行サーバを識別する識別子であり、「 SIDA」は、鍵発行サーバ 100を示し、「SIDB」は、鍵発行サーバ 101を示し、「SID B」は、鍵発行サーバ 102を示す。検証値は、対応付けられたサーバ識別子にて示される鍵発行サーバに割り当てた検証値である。なお、以降では、鍵発行サーバ 100 のサーバ識別子を「SID」として説明する。

[0192] 発行公開鍵確認部 214Aは、鍵発行サーバ 100から受信部 217を介して、発行識別子情報「IDI」と、公開鍵「PK」と、サーバ識別子と、証明書発行依頼情報とを受け取る。

発行公開鍵確認部 214Aは、受け取ったサーバ識別子を、サーバ情報記憶領域 2 20Αに書き込む。

[0193] 発行公開鍵確認部 214Aは、受け取ったサーバ識別子を用いて、対応する検証値「cl」を読み出す。

発行公開鍵確認部 214Aは、受け取った公開鍵「PK」と発行識別子情報「IDI」とを用いて、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたカゝ否かを確認する。

[0194] ここで、確認方法は、「n— (cl) "2J力「IDI」で割り切れるか否かを検証する。これにより、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたカゝ否かを確認することがでさる。

発行公開鍵確認部 214Aは、「n— (cl) '2」が、「IDI」で割り切れると判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断し、「n— (c 1) '2」が、「IDI」で割り切れないと判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されて、な、と判断する。

[0195] 発行公開鍵確認部 214Aは、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断する場合には、受け取った公開鍵「PK」を発行公開鍵格納部 211へ、発行識別子情報を発行識別子情報格納部 212へ、それぞれ書き込む。発行公開鍵確認部 214Aは、公開鍵証明書の生成開始命令を公開鍵証明書生成部 215へ出力する。

発行公開鍵確認部 214Aは、公開鍵「ΡΚ」が、発行識別子情報「IDI」を用いて生成されてヽなヽと判断する場合には、処理を終了する。

[0196] (3)素数候補生成処理

本変形例に係る素数候補生成処理について、第 1実施の形態にて示した素数候補生成処理と異なる点のみ説明する。なお、鍵発行処理、及び素数生成処理の動作の流れは、第 1の実施の形態と同様であるため、説明は省略する。

素数候補生成部 142Aは、図 16及び図 17に示すステップ S500からステップ S56 0までを実行後、ステップ S565を省略して、ステップ S570にて、検証値「cl」を読み出す。素数候補生成部 142Aは、ステップ S575にて、数「N = 2 X (R+w) X q+ 1」を生成する。つまり、ステップ S565、ステップ S580及びステップ S585を省略し、ステツプ S570及びステップ S575を上記のように変更する。

[0197] 以降は、第 1の実施の形態と同様であるため、説明は省略する。つまり、本変形例に係る素数候補生成処理は、出力カウンタの値に関わらず、検証値「c 1」と素数「q」と数「R」とを用いて、数「N」を生成することになる。

(4)証明書発行処理

本変形例に係る証明書発行処理について、第 1実施の形態にて示した証明書発行処理と異なる点のみ説明する。

[0198] 発行公開鍵確認部 214Aは、ステップ S660にて、受け取ったサーバ識別子に対応する検証値 (例えば、「cl」）を読み出し、ステップ S670にて、読み出した検証値「 cl」と、公開鍵「PK」と発行識別子情報「IDI」とを用いて、「PK」が「IDI」より生成されたか否かを確認する。

1. 11 素数生成の変形例 2

上記実施の形態では、第 1検証値及び第 2検証値の 2つの検証値を用いたが、ここでは、 1個の検証値であり、且つその検証値が固定値「1」である場合の素数の生成について、説明する。

[0199] 上記実施の形態と異なる点は、鍵発行サーバにおける素数情報生成部と、証明書発行サーバにおける発行公開鍵確認部とが異なる。以下に、本変形例における素数情報生成部 133B、及び発行公開鍵確認部 214Bについて説明する。なお、他の構成要素については、第 1の実施の形態にて示した構成要素を用いる。

(1)素数情報生成部 133B

素数情報生成部 133Bは、図 21に示すように、情報制御部 140B、乱数生成部 14 1B、素数候補生成部 142B、第 1素数判定部 143B及び第 2素数判定部 144Bから構成されている。

[0200] 素数情報生成部 133Bは、繰返制御部 132から受け取った素数のビットサイズが 2 倍のビットサイズからなる素数を生成する。

く情報制御部 140B>

情報制御部 140Bは、第 1情報及び第 2情報を記憶するための情報記憶領域を有している。 [0201] 情報制御部 140Bは、制御情報「情報 A」に基づいて素数を生成する際に用いる検証値「 1」を予め記憶して!/、る検証値記憶領域を有して、る。

情報制御部 140Bは、繰返制御部 132から、素数「q」と、素数のビットサイズ「lenq」と、制御情報とからなる第 1情報を受け取ると、受け取った第 1情報を情報記憶領域へ書き込む。つまり、素数「q」と、素数のビットサイズ「lenq」と、制御情報 (この場合、

「情報 C」）とを書き込む。

[0202] 情報制御部 140Bは、繰返制御部 132から、素数「q」と、素数のビットサイズ「lenq」と、制御情報と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とからなる第 2 情報を受け取ると、受け取った第 2情報を情報記憶領域へ書き込む。つまり、素数「q

」と、素数のビットサイズ「lenq」と、制御情報、発行識別子情報「IDI」と、そのビットサィズ「lenIDI」とを書き込む。

[0203] 情報制御部 140Bは、受け取った情報の書き込み後、乱数の生成の指示を示す第

1生成指示を、乱数生成部 141Bへ出力する。

情報制御部 140Bは、第 2素数判定部 144Bより、素数を受け取ると、受け取った素数を繰返制御部 132へ出力する。

<乱数生成部 141B>

乱数生成部 141 Bは、第 1の実施の形態にて示す乱数生成部 141 Bと同様であるため、説明は省略する。

[0204] <素数候補生成部 142B >

素数候補生成部 142Bは、生成された情報を記憶する生成情報記憶領域と、単射である関数「f」を予め記憶して、る関数記憶領域とを有して、る。

素数候補生成部 142Bは、乱数生成部 141Bより、乱数「R1」と制御情報とを受け取ると、受け取った制御情報が「情報 C」である力否かの判断をする。

[0205] 「情報 C」であると判断する場合には、素数候補生成部 142Bは、情報制御部 140B の情報記憶領域より素数「q」を読み出す。素数候補生成部 142Bは、読み出した素数「q」と乱数生成部 141Bより受け取った乱数「R1」とを用いて、数「N = 2 XRl X q + 1」を生成する。素数候補生成部 142Bは、生成した数「N」のビットサイズ「lenN」が「lenq」と一致するカゝ否かを判断し、一致すると判断する場合には、素数候補生成部 142Bは、生成した数「N」を第 1素数判定部 143Bへ出力し、受け取った乱数「R1

」を、「R」として生成情報記憶領域に記憶する。

[0206] 一致しないと判断する場合には、素数候補生成部 142Bは、乱数生成部 141Bより受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、上記の動作を行い、数「N = 2 XRl X q+ l」を生成する。

制御情報力 ^情報 C」でないと判断する場合には、素数候補生成部 142Bは、情報制御部 140Bの情報記憶領域より素数「q」及び発行識別子情報「IDI」を読み出す。素数候補生成部 142Bは、制御情報力 S「情報 B」である力否かを判断する。

[0207] 「情報 B」であると判断する場合には、素数候補生成部 142Bは、受け取った乱数「

RUと読み出した発行識別子情報「IDI」と関数記憶領域にて記憶して、る関数「f」とを用いて、数「R=f (IDI I I Rl)」を生成する。素数候補生成部 142Bは、生成した数「R」と読み出した素数「q」とを用いて、数「N = 2 XRX q+ l」を生成する。

[0208] 素数候補生成部 142Bは、生成した数「N」のビットサイズ「lenN」が「2 X lenqjであるか否かを判断する。

「2 X lenq」であると判断する場合には、素数候補生成部 142Bは、生成した数「N」を第 1素数判定部 143Bへ出力し、生成した数「R」を生成情報記憶領域に記憶する

[0209] 「2 X lenq」でないと判断する場合には、素数候補生成部 142Bは、乱数生成部 14 1Bより受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、数「R」及び「N」を生成する。

「情報 B」でないと判断する場合には、素数候補生成部 142Bは、受け取った乱数「 R 1」と読み出した発行識別子情報「IDI」とを用いて、数「R = IDI X R1」を生成する。

[0210] 素数候補生成部 142Bは、情報制御部 140Bの検証値記憶領域より検証値「1」を

BJCみ出す。

素数候補生成部 142Bは、読み出した素数「q」、発行識別子情報「IDI」、検証値「 1」及び生成した数「R」とを用いて、数「N = 2 XRX q+ l」を生成する。ここで、最後の項の「1」が検証値である。

[0211] 素数候補生成部 142Bは、素数「q」のビットサイズ「lenq」を、情報制御部 140Bの情報記憶領域より読み出し、生成した数「N」のビットサイズが「2 X lenqjであるか否かを判断する。

[0212] 「2 X lenq」でないと判断する場合には、素数候補生成部 142Bは、乱数生成部 14 1Bより受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、数「R」及び「N」を生成する。

く第 1素数判定部 143B>

第 1素数判定部 143Bは、第 1の実施の形態にて示す第 1素数判定部 143と同様であるため、説明は省略する。

[0213] <第 2素数判定部 144B>

第 2素数判定部 144Bは、第 1の実施の形態にて示す第 2素数判定部 144と同様であるため、説明は省略する。

(2)発行公開鍵確認部 214B

発行公開鍵確認部 214Bは、図示していないが、サーバ情報記憶領域 220B及び確認情報記憶領域 221Bを有して、る。

[0214] サーバ情報記憶領域 220Bは、公開鍵証明書の発行依頼のあった鍵発行サーバを識別するサーバ識別子を記憶する領域を有している。

確認情報記憶領域 221Bは、固定値である検証値「1」を記憶している。発行公開鍵確認部 214Bは、鍵発行サーバ 100から受信部 217を介して、発行識別子情報「IDI」と、公開鍵「PK」と、サーバ識別子と、証明書発行依頼情報とを受け取る。

[0215] 発行公開鍵確認部 214Bは、受け取ったサーバ識別子を、サーバ情報記憶領域 2 20Βに書き込む。

発行公開鍵確認部 214Bは、検証値「1」を、確認情報記憶領域 221Bカゝら読み出す。

発行公開鍵確認部 214Bは、受け取った公開鍵「ΡΚ」と発行識別子情報「IDI」とを用いて、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたカゝ否かを確認する。

[0216] ここで、確認方法は、「n—検証値」、つまり「n— 1」力「IDI」で割り切れるか否かを検証する。これにより、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたか否かを確認することができる。

発行公開鍵確認部 214Bは、「n— 1」が、「IDI」で割り切れると判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断し、「n— 1」が、「I DI」で割り切れないと判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されて!ヽな!ヽと判断する。

[0217] 発行公開鍵確認部 214Bは、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断する場合には、受け取った公開鍵「PK」を発行公開鍵格納部 211へ、発行識別子情報を発行識別子情報格納部 212へ、それぞれ書き込む。発行公開鍵確認部 214Bは、公開鍵証明書の生成開始命令を公開鍵証明書生成部 215へ出力する。

発行公開鍵確認部 214Bは、公開鍵「ΡΚ」が、発行識別子情報「IDI」を用いて生成されてヽなヽと判断する場合には、処理を終了する。

[0218] (3)素数候補生成処理

素数候補生成部 142Bは、図 16及び図 17に示すステップ S500力もステップ S560 までを実行後、ステップ S565を省略して、ステップ S570にて、検証値「1」を読み出す。素数候補生成部 142Bは、ステップ S575にて、数「N = 2 X (R+w) X q+ 1」を生成する。つまり、ステップ S565、ステップ S580及びステップ S585を省略し、ステツプ S570及びステップ S575を上記のように変更する。なお、数「N」を算出する際の最後の項が検証値である。

[0219] 以降は、第 1の実施の形態と同様であるため、説明は省略する。

つまり、本変形例に係る素数候補生成処理は、出力カウンタの値に関わらず、素数「q」と数「R」とを用いて、数「N」を生成することになる。

(4)証明書発行処理

[0220] 発行公開鍵確認部 214Bは、ステップ S660にて、検証値「1」を読み出し、ステップ S670にて、読み出した検証値「1」と、公開鍵「PK」と発行識別子情報「IDI」とを用 V、て、「PK」が「IDI」より生成されたか否かを確認する。

(5)確認方法の検証

上記に示した方法にて、証明書発行サーバは、鍵発行サーバが正しく発行識別子情報 IDIを用いて生成して、るかを確認することができる。

[0221] なぜなら、秘密鍵である素数「pl」、「p2」はそれぞれ、素数「ql」、「q2」、乱数「R1 1」、「R12」、発行識別子情報「IDI」を用いて、「pl = 2XqlXIDIXRll + l」、「p2 = 2Xq2XIDIXR12+l」を満たすため、

n = plXp2=(2XqlXIDIXRll + l) X (2Xq2XIDIXR12+l) = IDIX (4XqlXq2XRllXR12XIDI + 2XqlXRll + 2Xq2XR12) + となる。そのため、「n— 1」は「IDI」で割り切れるため、「n— 1」が「IDI」で割り切れることを確認することで、素数「pl」、「p2」が正しく発行識別子情報「IDI」を用いて生成して!、るかを確認することができる。

[0222] 1.12 素数生成の変形例 3

上記実施の形態では、 256ビットの素数を生成する際に、単射関数を施して、生成する素数の一意性を満たし、 512ビットの素数を生成する際に、生成する素数の正当性を確認するための要素を付加したが、ここでは、素数の一意性及び正当性を確認するための要素の付加を、 1回の動作にて行う場合について、説明する。

[0223] 上記実施の形態と異なる点は、鍵発行サーバにおける素数生成部と、証明書発行サーバにおける発行公開鍵確認部とが異なる。以下に、本変形例における素数生成部 116C、及び発行公開鍵確認部 214Cについて説明する。なお、他の構成要素については、第 1の実施の形態にて示した構成要素を用いる。また、ここでは、サーバ識別子のビットサイズを 15ビット、端末装置の端末識別子のビットサイズを 16ビットとし、発行識別子情報のビットサイズを 32ビットする。

[0224] (1)素数生成部 116C

素数生成部 116Cは、図 22に示すように、繰返制御部 132C及び素数情報生成部 133Cとを有して!/ヽる。

素数生成部 116Cは、 8ビットの素数から 512ビットの素数を生成し、生成した 512 ビットの素数を鍵判定部 117へ出力する。

[0225] <繰返制御部 132C>

繰返制御部 132Cは、 8ビットからなる素数とその素数のビットサイズ (つまり「8」）とを予め記憶している初期値記憶領域と、素数情報生成部 133Cから、受け取った素数を一時的に記憶する一時記憶領域とを有している。

繰返制御部 132Cは、素数情報生成部 133Cの動作の繰返回数をカウントする繰返カウンタ 135Cと、鍵判定部 117へ出力した素数の個数、つまり生成した 512ビットの素数の出力回数をカウントする出力カウンタ 136Cとを有している。なお、繰返カウンタ 135C及び出力カウンタ 136Cの初期値は、それぞれ「1」である。

[0226] 繰返制御部 132Cは、図 23に示す制御情報テーブル T150を有している。制御情報テーブル T150は、回数と制御情報とからなる組を 1以上格納している。回数は、繰返カウンタ 135Cの値に対応する。制御情報は、素数情報生成部 133Cにて生成する素数の生成方法の種別を示す。

繰返制御部 132Cは、識別子生成部 115から素数の生成開始命令を受け取ると、素数情報生成部 133Cが素数を生成するよう制御する。素数情報生成部 133Cから素数を受け取ると、繰返カウンタ 135C及び出力カウンタ 136Cのそれぞれの値に基づいて、再度、素数情報生成部 133Cへ素数生成の命令、及び受け取った素数を鍵判定部 117へ出力の何れかを行う。

[0227] 以下に、その動作について説明する。

繰返制御部 132Cは、識別子生成部 115から素数の生成開始命令を受け取ると、繰返カウンタ 135C及び出力カウンタ 136Cを、それぞれ「1」に設定する。

繰返制御部 132Cは、素数情報生成部 133Cから、素数を受け取ると、繰返カウンタ 135Cの値に「1」を加算し、加算結果が、 7であるか否かを判断する。

[0228] 加算結果が 7であると判断する場合には、繰返制御部 132Cは、出力カウンタ 136 Cの値が、 1である力否かを判断する。 1であると判断する場合には、繰返制御部 132 Cは、受け取った素数を素数「pl」として、鍵判定部 117へ出力し、出力カウンタ 136 Cの値に「1」を加算し、繰返カウンタ 135Cの値に「1」を設定する。 1でない、つまり 2 以上であると判断する場合には、繰返制御部 132Cは、受け取った素数を素数「p2」として、素数「p2」と判定開始命令を鍵判定部 117へ出力する。

[0229] 加算結果が 7でないと判断する場合には、受け取った素数のビットサイズを算出し、受け取った素数と、算出したビットサイズとを、一時記憶領域に一時的に記憶する。繰返制御部 132Cは、素数の生成開始命令を受け取り、繰返カウンタ 135C及び出力カウンタ 136Cのそれぞれの値に「 1」を加算した後、素数情報生成部 133Cカも受け取った素数とそのビットサイズとを一時的に記憶した後、及び出力カウンタ 136Cに「1」を加算し、且つ繰返カウンタ 135Cの値を「1」に設定した後の何れかの場合において、繰返制御部 132Cは、以下の動作を行う。

[0230] 繰返制御部 132Cは、繰返カウンタ 135Cの値力 1である力否かを判断する。 1であると判断する場合には、繰返制御部 132Cは、初期値記憶領域より 8ビットの素数とそのビットサイズを読み出し、 1でないと判断する場合には、一時記憶領域よりビットサイズ「8 X (2" (11—1) )」と、その素数とを読み出す。つまり、繰返制御部 132Cは、繰返カウンタ 135Cの値が、 1でないと判断する場合には、一時記憶領域より、前回生成した素数とそのビットサイズとを読み出す。ここで、「n」は、繰返カウンタの値である。

[0231] 繰返カウンタ 135Cの値に対応する制御情報を制御情報テーブル T150より読み出し、読み出した制御情報が、「情報 C」であるか否かを判断する。

「情報 C」であると判断する場合には、繰返制御部 132Cは、読み出した素数及びそのビットサイズと、制御情報とからなる第 1情報を生成し、生成した第 1情報を、素数情報生成部 133Cへ出力する。

[0232] 「情報 C」でないと判断する場合には、繰返制御部 132Cは、識別子格納部 110より発行識別情報「IDI」を取得し、取得した発行識別子情報「IDI」のビットサイズ rienlD I」を算出し、読み出した素数及びそのビットサイズと、制御情報と、発行識別子情報「 IDI」及びそのビットサイズ「lenIDI」とからなる第 2情報を生成し、生成した第 2情報を、素数情報生成部 133Cへ出力する。

[0233] また、繰返制御部 132Cは、鍵判定部 117より素数を再度生成する旨の再生成命令を受け取ると、出力カウンタ 136Cの値に「1」を加算し、且つ繰返カウンタ 135Cの値を「1」に設定し、繰返カウンタ 135Cの値力 1であるか否かの判断を行う動作以降を行う。

<素数情報生成部 133C>

素数情報生成部 133Cは、図 24に示すように、情報制御部 140C、乱数生成部 14 1C、素数候補生成部 142C、第 1素数判定部 143C及び第 2素数判定部 144Cから構成されている。

[0234] 素数情報生成部 133Cは、繰返制御部 132C力も受け取った素数のビットサイズが 2倍のビットサイズからなる素数を生成する。例えば、 8ビットからなる素数を受け取つた場合には、 16ビットからなる素数を生成し、 16ビットからなる素数を受け取った場合には、 32ビットからなる素数を生成する。

なお、以下の説明において、繰返制御部 132C力受け取る素数を素数「q」、そのビットサイズを「lenq」として、各構成要素について説明する。

[0235] <情報制御部 140C>

情報制御部 140Cは、第 1情報及び第 2情報を記憶するための情報記憶領域を有している。

情報制御部 140Cは、証明書発行サーバ 200により割り当てられ、且つ制御情報「情報 AB」に基づいて素数を生成する際に用いる素数「qg」とそのビットサイズ「lenqg 」とを予め記憶している割当素数記憶領域を有している。ここで、素数「qg」のビットサィズは、例えば、「64」ビットである。

[0236] 情報制御部 140Cは、繰返制御部 132Cから、素数「q」と、素数のビットサイズ「len q」と、制御情報とからなる第 1情報を受け取ると、受け取った第 1情報を情報記憶領域へ書き込む。つまり、素数「q」と、素数のビットサイズ「lenq」と、制御情報 (この場合、「情報 C」）とを書き込む。情報制御部 140Cは、繰返制御部 132Cから、素数「q」と、素数のビットサイズ「len q」と、制御情報と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とからなる第 2情報を受け取ると、受け取った第 2情報を情報記憶領域へ書き込む。つまり、素数「 q」と、素数のビットサイズ「lenq」と、制御情報、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とを書き込む。

[0237] 情報制御部 140Cは、受け取った情報の書き込み後、乱数の生成の指示を示す第 1生成指示を、乱数生成部 141Cへ出力する。

情報制御部 140Cは、第 2素数判定部 144Cより、素数を受け取ると、受け取った素数を繰返制御部 132Cへ出力する。

情報制御部 140Cは、素数候補生成部 142Cから出力カウンタ 136Cの値を読み出す旨の回数読出命令を受け取ると、繰返制御部 132Cの出力カウンタ 136Cの値を読み出す。情報制御部 140Cは、読み出した値を、素数候補生成部 142Cへ出力する。

[0238] <乱数生成部 141C>

乱数生成部 141Cは、乱数の生成の指示を示す第 1生成指示を、情報制御部 140 C力受け取ると、情報制御部 140Cの情報記憶領域にて記憶されて、る制御情報を読み出す。乱数生成部 141Cは、読み出した制御情報が「情報 C」である力否かを判断する。

[0239] 「情報 C」であると判断する場合には、乱数生成部 141Cは、情報制御部 140Cの情報記憶領域にて記憶されて、る rienqjを読み出し、（lenq— 1)ビットからなる乱数「R 1」を生成し、生成した乱数「R1」と読み出した制御情報とを素数候補生成部 142C へ出力する。ここで、乱数「R1」の最上位ビットは 1とする。乱数生成方法は、非特許文献 2が詳しい。

[0240] 「情報 C」でないと判断する場合には、乱数生成部 141Cは、情報制御部 140Cの情報記憶領域にて記憶されて、る ienqjを、割当素数記憶領域にて記憶されて！、る「lenqg」を、それぞれ読み出す。乱数生成部 141Cは、読み出した「lenq」及び「le nqg」を用いて、（lenq-2 X lenqg-l)ビットからなる乱数「R1」を生成し、生成した乱数「R1」と読み出した制御情報とを素数候補生成部 142Cへ出力する。ここで、乱数「R 1」の最上位ビットは 1とする。

[0241] また、乱数生成部 141Cは、第 1素数判定部 143及び第 2素数判定部 144の何れかから、再度乱数を生成する旨の第 2生成指示を受け付けると、制御情報を情報記憶領域より読み出し、上記の動作を行う。

<素数候補生成部 142C>

素数候補生成部 142Cは、生成された情報を記憶する生成情報記憶領域と、発行識別子情報「IDI」と素数「qg」とから一意的に素数を生成する素数生成関数「gp」、及び単射である関数「f」を予め記憶している関数記憶領域とを有している。

[0242] ここで、素数生成関数「gp」を用いた素数生成の一例を、以下に示す。

先ず、「c = 0」として、「2XqgXf(IDI | | c) + 1」が素数であるかを判定する。素数である場合は、「gp(IDI, qg) = 2XqgXf (IDI | | c) +1」とする。素数でなければ、「c」に「1」加算して、「2XqgXf(IDI | | c) + 1」が素数であるかを判定する。素数であれば、「gp(IDI, qg)=2XqgXf(lDI | | c)+l」とする。素数でなければ、「 c」に「 1」加算して同様の判定を行!、素数になるまで繰り返す。このように関数「gp」を定義するとき、関数「qg」と「f」とを保持していれば、発行識別子情報「IDI」に対して、素数候補生成部 142Cは、何回素数生成関数により素数を生成しても、同じ素数を生成するができる。このとき、「IDI」のビットサイズ及び「qg」のビットサイズ力それぞれ「32」ビット及び「64」ビットである場合には、「gp(IDI、 qg)」のビットサイズは、 128 ビットとなる。

[0243] 素数候補生成部 142Cは、乱数生成部 141Cより、乱数「R1」と制御情報とを受け取ると、受け取った制御情報が「情報 C」である力否かの判断をする。

「情報 C」であると判断する場合には、素数候補生成部 142Cは、情報制御部 140 Cの情報記憶領域より素数「q」を読み出す。素数候補生成部 142Cは、読み出した素数「q」と乱数生成部 141Cより受け取った乱数「R1」とを用いて、数「N = 2 X Rl X q+l」を生成する。素数候補生成部 142Cは、生成した数「N」のビットサイズ「lenN」が「lenq」と一致するカゝ否かを判断し、一致すると判断する場合には、素数候補生成部 142Cは、生成した数「N」を第 1素数判定部 143Cへ出力し、受け取った乱数「R1 」を、「R」として生成情報記憶領域に記憶する。 [0244] 一致しないと判断する場合には、素数候補生成部 142Cは、乱数生成部 141より受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、上記の動作を行い、数「N = 2 XRl X q+ l」を生成する。

制御情報が「情報 C」でな、と判断する場合、つまり制御情報が「情報 AB」であると判断する場合には、素数候補生成部 142Cは、情報制御部 140Cの情報記憶領域より素数「q」及び発行識別子情報「IDI」を、割当素数記憶領域より素数「qg」を、それぞれ読み出す。

[0245] 素数候補生成部 142Cは、読み出した発行識別子情報「IDI」及び素数「qg」と、関数記憶領域にて記憶して、る関数「f」及び「gp」とを用いて、上記に示す方法にて、素数「pIDI = gp (IDI、 qg)」を生成し、生成した素数「pIDI」を生成情報記憶領域へ feす。。

素数候補生成部 142Cは、生成情報記憶領域にて記憶している素数「pIDI」を読み出し、読み出した素数「pIDI」と、受け取った乱数「R1」と、読み出した素数「q」とを用いて、数「N = 2 XRl X q X pIDI+ l」を生成する。

[0246] 素数候補生成部 142Cは、生成した数「N」のビットサイズ「lenN」が「2 X lenqjであるか否かを判断する。

「2 X lenq」であると判断する場合には、素数候補生成部 142Cは、生成した数「N」を第 1素数判定部 143Cへ出力し、受け取った乱数「R1」を「R」として生成情報記憶領域に記憶する。

[0247] 「2 X lenq」でないと判断する場合には、素数候補生成部 142Cは、乱数生成部 14 1Cより受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、数「N」を生成する。

く第 1素数判定部 143C>

第 1素数判定部 143Cは、第 1の実施の形態にて示す第 1素数判定部 143と同様であるため、説明は省略する。

[0248] <第 2素数判定部 144C>

第 2素数判定部 144Cは、第 1の実施の形態にて示す第 1素数判定部 144と同様であるため、説明は省略する。 (2)発行公開鍵確認部 214C

発行公開鍵確認部 214Cは、図示していないが、サーバ情報記憶領域 220C及び確認情報記憶領域 221Cを有して、る。

[0249] サーバ情報記憶領域 220Cは、公開鍵証明書の発行依頼のあった鍵発行サーバを識別するサーバ識別子を記憶する領域を有している。

確認情報記憶領域 221Cは、鍵発行サーバ 100に割り当てた素数「qg」とそのビットサイズ「lenqg」と、鍵発行サーバ 100にて記憶している素数生成関数及び単射関数のそれぞれと同様の関数「gp」及び「f」を予め記憶して、る。

[0250] 発行公開鍵確認部 214Cは、鍵発行サーバ 100から受信部 217を介して、発行識別子情報「IDI」と、公開鍵「PK= (n、 e)」と、サーバ識別子と、証明書発行依頼情報とを受け取る。

発行公開鍵確認部 214Cは、受け取ったサーバ識別子を、サーバ情報記憶領域 2 20Cに書き込む。

[0251] 発行公開鍵確認部 214Cは、受け取った公開鍵「PK」と発行識別子情報「IDI」とを用いて、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたカゝ否かを確認する。

以下に、確認方法を示す。先ず、発行公開鍵確認部 214Cは、受け取った発行識別子情報「IDI」と、記憶している素数「qg」、関数「gp」及び「f」とを用いて、素数「gp ( IDI、 qg)」を生成し、生成した素数素数「gp (IDI、 qg)」を確認情報記憶領域 221C へ書き込む。素数「gp (IDI、 qg)」の生成方法は、上記に示す方法と同様であるため、説明は省略する。このとき、発行公開鍵確認部 214Cにて生成される素数「gp (IDI 、 qg)」は、鍵発行サーバの素数候補生成部 142Cにて生成される素数「pIDI」と同じであることが分力ゝる。

[0252] 次に、発行公開鍵確認部 214Cは、確認情報記憶領域 221Cにて記憶している素数「gp (IDI、 qg)」を読み出し、「n— 1」が、読み出した素数「gp (IDI、 qg)」で割り切れるか否かを検証する。これにより、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたカゝ否かを確認することができる。

発行公開鍵確認部 214Cは、「n-l」が、素数「gp (IDI、 qg)」で割り切れると判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断し、「n— 1」が、素数「gp (IDI、 qg)」で割り切れないと判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されて、な、と判断する。

[0253] 発行公開鍵確認部 214Cは、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断する場合には、受け取った公開鍵「PK」を発行公開鍵格納部 211へ、発行識別子情報を発行識別子情報格納部 212へ、それぞれ書き込む。発行公開鍵確認部 214Cは、公開鍵証明書の生成開始命令を公開鍵証明書生成部 215へ出力する。

発行公開鍵確認部 214Cは、公開鍵「ΡΚ」が、発行識別子情報「IDI」を用いて生成されてヽなヽと判断する場合には、処理を終了する。

[0254] (3)素数生成処理

本変形例に係る素数生成処理について、第 1実施の形態にて示した素数生成処理と異なる点のみ説明する。なお、鍵発行処理の動作の流れは、第 1の実施の形態と同様であるため、説明は省略する。

図 15に示す素数生成処理のステップ S425において、乱数生成部 141Cは、乱数生成部 141Cは、情報制御部 140Cの情報記憶領域にて記憶されている「lenq」を、割当素数記憶領域にて記憶されて、る rienqgjを、それぞれ読み出すように変更する。次に、ステップ S430において、乱数生成部 141Cは、読み出した「lenq」及び「le nqg」を用いて、（lenq-2 X lenqg-l)ビットからなる乱数「R1」を生成し、生成した乱数「R1」と読み出した制御情報とを素数候補生成部 142Cへ出力するように変更する。ここで、乱数「R1」の最上位ビットは 1とする。

[0255] (4)素数候補生成処理

本変形例に係る素数候補生成処理について、図 25に示す流れ図を用いて説明する。

素数候補生成部 142Cは、乱数生成部 141Cより、乱数「R1」と制御情報とを受け取ると (ステップ S 700)、受け取った制御情報が「情報 C」であるか否かの判断をする (ステップ S705)。

[0256] 「情報 C」であると判断する場合には (ステップ S705における「YES」 )、素数候補生成部 142Cは、情報制御部 140Cの情報記憶領域より素数「q」を読み出す (ステップ S710)。素数候補生成部 142Cは、読み出した素数「q」と乱数生成部 141Cより受け取つた乱数「R1」とを用いて、数「N = 2 XRl X q+ l」を生成する（ステップ S 715)。素数候補生成部 142Cは、生成した数「N」のビットサイズ「lenN」が「lenq」と一致する力否かを判断し (ステップ S720)、一致すると判断する場合には (ステップ S720における「YES」）、素数候補生成部 142Cは、生成した数「N」を第 1素数判定部 143C へ出力し、受け取った乱数「R1」を、「R」として生成情報記憶領域に記憶する (ステツプ S755)。

[0257] 一致しないと判断する場合には (ステップ S720における「NO」）、素数候補生成部 142Cは、乱数生成部 141より受け取った乱数「R1」に 2を掛けて、その結果を「R1」とし (ステップ S725)、ステップ S715へ戻る。

制御情報が「情報 C」でな、と判断する場合 (ステップ S705における「NO」 )、つまり制御情報が「情報 AB」であると判断する場合には、素数候補生成部 142Cは、情報制御部 140Cの情報記憶領域より素数「q」及び発行識別子情報「IDI」を、割当素数記憶領域より素数「qg」を、それぞれ読み出す (ステップ S730)。

[0258] 素数候補生成部 142Cは、読み出した発行識別子情報「IDI」及び素数「qg」と、関数記憶領域にて記憶して、る関数「f」及び「gp」とを用いて、上記に示す方法にて、素数「pIDI = gp (IDI、 qg)」を生成し、生成した素数「pIDI」を生成情報記憶領域へ記憶する（ステップ S735)。

素数候補生成部 142Cは、生成情報記憶領域にて記憶している素数「pIDI」を読み出し、読み出した素数「pIDI」と、読み出した素数「q」と、生成した素数「pIDI」とを用いて、数「N = 2 XRl X q X pIDI + 1」を生成する（ステップ S 740)。

[0259] 素数候補生成部 142Cは、生成した数「N」のビットサイズ「lenN」が「2 X lenqjである力否かを判断する (ステップ S 745)。

「2 X lenqjであると判断する場合には (ステップ S745における「YES」 )、素数候補生成部 142Cは、生成した数「N」を第 1素数判定部 143Cへ出力し、乱数「R1」を「R 」として生成情報記憶領域に記憶する (ステップ S755)。

[0260] 「2 X lenqjでな、と判断する場合には (ステップ S745における「NO」 )、素数候補生成部 142Cは、乱数生成部 141Cより受け取った乱数「R1」に 2を掛けて、その結果を「R1」とし (ステップ S750)、ステップ S740へ戻る。

(5)証明書発行処理

[0261] 発行公開鍵確認部 214Cは、ステップ S660にて、受け取った発行識別子情報「ID I」と、記憶している素数「qg」、関数「gp」及び「f」とを用いて、素数「gp(IDI、 qg)」を生成し、確認情報記憶領域 221Cへ書き込むように変更する。ステップ S665においては、発行公開鍵確認部 214Cは、素数「gp(IDI、 qg)」を読み出し、受け取った公開鍵「PK」及び発行識別子情報「IDI」と、読み出した素数「gp(IDI、 qg)」とを用いて、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成された力否かを確認する。

[0262] (6)素数の一意性及び確認方法の検証

上記と同様の証明により、素数生成部 116Cにて生成される素数の一意性は満たされる。つまり、端末装置ごとに、異なる発行識別子情報が生成されるため、素数生成に用いる関数「f」の単射の性質により、生成される素数も異なる。これにより、端末装置毎に、異なる秘密鍵及びそれに対応する公開鍵を割り当てることができる。

[0263] 上記に示した方法にて、証明書発行サーバは、鍵発行サーバが正しく発行識別子情報 IDIを用いて生成して、るかを確認することができる。

なぜなら、秘密鍵である素数「pl」、「p2」はそれぞれ、素数「ql」、「q2」、乱数「R1 1」、「R12」、及び素数「pIDI = gp(IDI、 qg)」を用いて、「pl = 2Xql XpIDIXRll + 1」、「p2 = 2Xq2XpIDIXR12+l」を満たすため、

n=plXp2= (2 Xql XpIDIXRll +1) X (2Xq2XpIDIXR12+l) = pIDIX (4XqlXq2XRllXR12XpIDI + 2XqlXRll + 2Xq2XR12) +1

となる。そのため、「n— 1」は「pIDI」で割り切れるため、「n— 1」が「pIDI」で割り切れることを確認することで、素数「pl」、「p2」が正しく発行識別子情報「IDI」を用いて生成して、るかを確認することができる。

[0264] (7)変形例本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。

上記の変形例では、予め 1個の素数「qg」を記憶しているとしたが、これに限定されない。鍵発行サーバは、予め 2つの素数「qgl」、「qg2」を記憶しておき、素数「pl」を生成する場合に、素数「qgl」を用い、素数「p2」を生成する場合に、素数「qg2」を用いてもよい。

[0265] また、上記の変形例では、素数「pl」及び「p2」を生成する場合に用いる「pIDI」を同一のものととした力これに限定されない。例えば、素数「pl」の生成に用いる「c」の値と、例えば、素数「p2」の生成に用いる「c」の値とを異なるように設定し、素数「pl 」及び「p2」を生成する場合に用いる、それぞれの「pIDI」の値を異なるようにしてもよい。

[0266] 2.第 2の実施の形態

本発明に係る第 2の実施の形態としての鍵発行システム 2について、第 1の実施の形態における鍵発行システム 1と異なる点を中心に説明する。

2. 1 鍵発行システム 2の概要

鍵発行システム 2は、図 26に示すように、鍵発行サーノ 1100、 1101、 1102と、鍵発行監査サーノ 1200と、端末装置 1300、 1301、 · · ·、 1302、 1303、 · · ·、 1304、 1305、 · · ·、 1306から構成されている。端末装置の台数は、例えば 1000台である。

[0267] 鍵発行サーバ 1100、 1101及び 1102は、それぞれ異なる会社にて管理されている。端末装置 1300、 1301、 · · ·、 1302は、鍵発行サーバ 1100に対して、鍵の発行要求し、端末装置 1303、 · · ·、 1304は、鍵発行サーバ 1101に対して、鍵の発行要求し、端末装置 1305、 · · ·、 1306は、鍵発行サーバ 1102に対して、鍵の発行要求をする。なお、端末装置 1300、 1301、 · · ·、 1302は、鍵発行サーバ 1100との間には、安全な通信経路が確立されているものとする。また、端末装置 1303、 · · ·、 1304 と、鍵発行サーバ 1101との間、及び端末装置 1305、 · · ·、 1306は、鍵発行サーバ 1102との間においても、同様に、安全な通信経路が確立されているものとする。

[0268] また、鍵発行サーバ 1100、 1101、 1102と、鍵発行監査サーバ 1200との間においても、同様に、安全な通信経路が確立されているものとする。なお、以下においては、鍵発行サーバ 1100、鍵発行監査サーバ 1200、及び端末装置 1300を用いて、鍵発行システム 2の概要を説明する。

鍵発行サーバ 1100は、端末装置 1300より鍵の発行要求を受け取ると、 RSA暗号における秘密鍵及び公開鍵を生成する。さらに、鍵発行サーバ 1100は、生成した公開鍵に対する公開鍵証明書を生成し、生成した公開鍵証明書及び秘密鍵を、端末装置 1300へ送信する。なお、ここで、生成する各鍵の鍵長は、 1024ビットとする。

[0269] 鍵発行サーバ 1100は、鍵発行監査サーバ 1200より、発行済みの公開鍵及び発行識別子情報を要求する旨の発行済鍵依頼情報を受信すると、発行した公開鍵と、公開鍵の生成に用いた発行識別子情報とからなる発行済鍵情報を鍵発行監査サーバ 1200へ送信する。

鍵発行監査サーバ 1200は、鍵発行サーバ 1100より発行済公開鍵情報を受け取ると、発行された公開鍵の正当性を監査し、監査結果を表示する。

[0270] 端末装置 1300は、公開鍵証明書と、秘密鍵とを、鍵発行サーバ 1100より受け取ると、受け取った公開鍵証明書と、秘密鍵とを記憶する。

以降、例えば、端末装置 1400のユーザは、先ず、鍵発行サーバ 1100より、端末装置 1300の公開鍵証明書を入手、又は端末装置 1300より公開鍵証明書を入手し、鍵発行サーバ 1100が有し、公開鍵証明書の正当性を確認する際に用いる証明書用公開鍵「C— PK」を用いて、公開鍵証明書の正当性を確認し、正当な公開鍵証明書であると判断する場合に、入手した公開鍵証明書を、端末装置 1400にて記憶する。端末装置 1400は、記憶している公開鍵証明書に含まれる公開鍵を用いて、端末装置 1300へ送信する電子メールを暗号ィ匕して、暗号化された電子メールを端末装置 1300へ送信する。

[0271] 端末装置 1300は、端末装置 1400より暗号ィ匕された電子メールを受信すると、記憶している秘密鍵を用いて、暗号ィ匕された電子メールを復号して、復号された電子メールを表示する。

これにより、端末装置 1300と端末装置 1400との間では、安全にデータのやりとりがでさるよう〖こなる。

[0272] なお、端末装置 1301、 · · ·、 1302は、端末装置 1300と同様であるため、説明は省略する。また、鍵発行サーバ 1101、及び 1102は、鍵発行サーバ 1100と同様であるため、説明は省略する。

以降の説明において、各端末装置の代表として端末装置 1300を、各鍵発行サーバの代表として鍵発行サーバ 1100を用いる。

[0273] 2. 2 鍵発行サーバ 1100の構成

鍵発行サーバ 1100は、図 27にて示すように、識別子格納部 1110、秘密鍵格納部 1111、公開鍵格納部 1112、証明書格納部 1113、制御部 1114、識別子生成部 1115、素数生成部 1116、鍵判定部 1117、鍵生成部 1118、情報取得部 1119、受信部 1120、送信部 1121、証明書生成部 1122、証明書用秘密鍵格納部 1123及び発行済鍵情報格納部 1124から構成されてヽる。

[0274] 鍵発行サーバ 1100は、具体的には、マイクロプロセッサ、 ROM、 RAM,ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、鍵発行サーバ 1100は、その機能を達成する。

[0275] なお、鍵発行サーバ 1101、及び 1102は、鍵発行サーバ 1100と同様の構成であるため、説明は省略する。

(1)識別子格納部 1110

識別子格納部 1110は、第 1の実施の形態における識別子格納部 1110と同様に、ビットサイズが 126ビット以下である発行識別子情報を記憶するための領域を有している。発行識別子情報のビットサイズは、例えば、 64ビットである。

[0276] (2)秘密鍵格納部 1111

秘密鍵格納部 1111は、第 1の実施の形態における秘密鍵格納部 1111と同様に、素数格納領域と秘密鍵格納領域とを有してヽる。

(3)公開鍵格納部 1112

公開鍵格納部 1112は、第 1の実施の形態における公開鍵格納部 112と同様に、公開鍵を記憶するための領域を有して、る。

[0277] (4)証明書格納部 1113 証明書格納部 1113は、当該サーバにて生成した証明書発行サーバにて発行された公開鍵証明書を記憶する領域を有して、る。

(5)証明書用秘密鍵格納部 1123

証明書用秘密鍵格納部 1123は、公開鍵証明書を生成する際に用いられる証明書用秘密鍵「C— SK」を、予め記憶している。

[0278] (6)制御部 1114

制御部 1114は、図 27に示すように、サーバ識別子記憶領域 1130と、端末情報記憶領域 1131とを有している。

サーバ識別子記憶領域 1130は、当該サーバを識別するサーバ識別子を予め記憶している。例えば、鍵発行サーバ 1100は、 SIDAを、鍵発行サーバ 1101は、 SID Bを、鍵発行サーバ 1102は、 SIDCを記憶している。なお、以降では、鍵発行サーバ 1100のサーバサーバ識別子を「SID」として説明する。ここでは、サーバ識別子のビットサイズを 31ビットとする。

[0279] 端末情報記憶領域 1131は、鍵発行の要求のあった端末装置を識別する端末識別子を記憶する領域を有している。ここで、端末識別子は、例えば、端末装置のシリアル番号である。ここでは、シリアル番号のビットサイズを 32ビットする。

制御部 1114は、端末装置 1300から受信部 1120を介して、鍵発行依頼情報と、端末装置 1300の端末識別子「TID」とを受け取ると、受け取った端末識別子「TID」を端末情報記憶領域 1131へ書き込む。制御部 1114は、発行識別子情報の生成命令と、受け取った端末識別子「TID」とを識別子生成部 1115へ出力する。

[0280] 制御部 1114は、鍵発行監査サーバ 1200から受信部 1120を介して、発行済鍵依頼情報を受け取ると、鍵情報取得命令を情報取得部 1119へ出力する。

(7)識別子生成部 1115

識別子生成部 1115は、第 1の実施の形態における識別子生成部 115と同様であるため、説明は省略する。

[0281] (8)素数生成部 1116

素数生成部 1116は、第 1の実施の形態における素数生成部 116の素数の生成方法と同様の方法にて、 512ビットの素数を生成する。 (9)鍵判定部 1117

鍵判定部 1117は、第 1の実施の形態における鍵判定部 117と同様であるため、説明は省略する。

[0282] (10)鍵生成部 1118

鍵生成部 1118は、鍵判定部 1117より鍵生成命令を受け取ると、秘密鍵格納部 11 1の素数記憶領域にて記憶されている 2つの素数「pl」及び「p2」を読み出し、読み出した素数「pl」と「p2」との積「n=pl X p2」を計算する。

[0283] 鍵生成部 1118は、「e X d= l mod L」を満たす「d」を算出し、算出した「d」と、素数「pl」及び「p2」と力なる組「SK= (pl、 p2、 d)」を秘密鍵として、秘密鍵格納部 1 11の秘密鍵格納領域へ書き込む。鍵生成部 118は、公開鍵証明書の生成命令を、証明書生成部 1122へ出力する。

(11)証明書生成部 1122

証明書生成部 1122は、鍵生成部 1118より公開鍵証明書の生成命令を受け取ると、証明書用秘密鍵格納部より証明書用秘密鍵「C—SK」を、公開鍵格納部 1112より公開鍵「PK」を、識別子格納部 1110より発行識別子情報「IDI」を、それぞれ読み出す。

[0284] 証明書生成部 1122は、読み出した秘密鍵「C— SK」、公開鍵「PK」及び発行識別子情報「IDI」を用いて、公開鍵証明書「」を生成する。生成する公開鍵証明書「 Cert」は、具体的には、「Cert=n | | e | | IDI | | Sig (C— SK、 n | | e | | IDI ；)」である。ここで、 Sig (K、 D)は、データ「D」に対して、秘密鍵「K」を用いたときの署名データである。記号「 I I」は、ビットまたはバイトの連結である。

[0285] 証明書生成部 1122は、生成した公開鍵証明書「Cert」を証明書格納部 1113へ書き込み、公開鍵証明書「Cert」の配布開始命令を情報取得部 1119へ出力する。 (12)情報取得部 1119

情報取得部 1119は、証明書生成部 1122から配布開始命令を受け取ると、秘密鍵格納部 1111にて記憶して!/、る秘密鍵「SK」と、証明書格納部 1113にて記憶してヽる公開鍵証明書「Cert」と、制御部 1114の端末情報記憶領域 1131にて記憶して、る端末識別子とを、それぞれ読み出し、読み出した秘密鍵「SK」及び公開鍵証明書「Cert」を、読み出した端末識別子に対応する端末装置 1300へ送信部 1121を介して送信する。

[0286] 情報取得部 1119は、秘密鍵「SK」及び公開鍵証明書「Cert」を、端末装置 1300 へ送信部 1121を介して送信した後、公開鍵格納部 1112より発行した公開鍵「PK = (n、 e)」を、識別子格納部 1110より発行した発行識別子情報「IDI」を、それぞれ読み出し、読み出した公開鍵「PK」及び発行識別子情報「IDI」を 1つの組として、発行済鍵情報格納部 1124へ書き込む。

[0287] 情報取得部 1119は、制御部 1114から鍵情報取得命令を受け取ると、発行済鍵情報格納部 1124より、全ての発行済鍵情報を読み出す。情報取得部 1119は、制御部 1114のサーバ識別子記憶領域 1130よりサーバ識別子を読み出し、読み出した全ての発行済鍵情報とサーバ識別子とを、送信部 1121を介して鍵発行監査サーバ 1200へ送信する。

[0288] (13)発行済鍵情報格納部 1124

発行済鍵情報格納部 1124は、図 28に示すように、発行済鍵情報テーブル T110 0を有している。

発行済鍵情報テーブル T1100は、発行済公開鍵と、発行済識別子情報とからなる組を 1以上記憶するための領域を有して、る。

[0289] 発行済公開鍵は、当該鍵発行サーバにて発行した公開鍵であり、発行済識別子情報は、公開鍵及びその公開鍵に対応する秘密鍵を生成する際に用いられた発行識別子情報である。

上記により、鍵発行サーバ 1100は、発行した公開鍵と、発行した発行識別子情報とを蓄積していくことができる。 [0290] なお、発行済鍵情報格納部 1124は、発行済公開鍵情報である発行履歴を格納するために使用するため、電源が切れてもデータが消えない不揮発性メモリ（例えば、ハードディスクなど）でなければならな、。

(14)受信部 1120

受信部 1120は、鍵発行監査サーバ 1200及び端末装置 1300より情報を受信し、受信した情報を、制御部 1114へ出力する。

[0291] (15)送信部 1121

送信部 1121は、情報取得部 1119より、秘密鍵「SK」及び公開鍵証明書「Cert」を受け取り、受け取った各情報を、端末装置 1300に送信する。

送信部 1121は、情報取得部 1119より、 1以上の発行済鍵情報とサーバ識別子とを受け取ると、受け取った 1以上の発行済鍵情報とサーバ識別子とを鍵発行監査サーバ 1200へ送信する。

[0292] 2. 3 鍵発行監査サーバ 1200

鍵発行監査サーバ 1200は、図 29に示すように、確認情報格納部 1210、発行済鍵情報格納部 1211、制御部 1212、発行公開鍵確認部 1213、受付部 1214、監査結果出力部 1215、受信部 1216及び送信部 1217から構成されている。

鍵発行監査サーバ 1200は、具体的には、マイクロプロセッサ、 ROM、 RAM,ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンビユータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、鍵発行監査サーバ 1200は、その機能を達成する。

[0293] なお、鍵発行サーバ 1100から発行済鍵情報を受け取った場合の動作と、他の鍵発行サーノから発行済鍵情報を受け取った場合の動作とは、同じであるため、以降の説明では、鍵発行サーバ 100から送信された発行済鍵情報を用いて説明する。

(1)確認情報格納部 1210

確認情報格納部 1210は、図 30に示すように、検証値テーブル T1200を有している。検証値テーブル T1200は、サーバ識別子と、第 1検証値と、第 2検証値とからなる組を 1以上記憶する領域を有している。サーバ識別子は、鍵発行サーバを識別する識別子であり、「SIDA」は、鍵発行サーバ 1100を示し、「SIDB」は、鍵発行サーノ 1101を示し、「SIDB」は、鍵発行サーバ 1102を示す。第 1検証値及び第 2検証値は、対応付けられたサーバ識別子にて示される鍵発行サーバに割り当てた検証値である。なお、以降では、鍵発行サーバ 1100のサーバ識別子を「SID」として説明する。

[0294] ( 2)発行済鍵情報格納部 1211

発行済鍵情報格納部 1211は、鍵発行サーバ 1100より送信された 1以上の発行済鍵情報を記憶するための領域を有して、る。

(3)制御部 1212

制御部 1212は、図 29に示すように、サーバ情報記憶領域 1220を有している。

[0295] サーバ情報記憶領域 220は、公開鍵証明書の発行依頼のあった鍵発行サーバを識別するサーバ識別子を記憶する領域を有して、る。

制御部 1212は、受付部 1214より、公開鍵の監査を開始する監査開始命令と、監查対象のサーバ識別子 (ここでは、「SID」とする。）を受け付けると、発行済鍵依頼情報を、送信部 1217を介してサーバ識別子に対応する鍵発行サーバ 1100へ送信する。

[0296] 制御部 1212は、受付部 1214より受け取ったサーバ識別子をサーバ情報記憶領域 1220へ書き込む。

制御部 1212は、鍵発行サーバ 1100から受信部 217を介して、 1以上の発行済鍵情報とサーバ識別子とを受け取る。

制御部 1212は、受け取ったサーバ識別子と、サーバ情報記憶領域にて記憶して V、るサーバ識別子とがー致するか否かを判断する。

[0297] 一致すると判断する場合には、制御部 1212は、受け取った 1以上の発行済鍵情報を発行済鍵情報格納部 1211へ書き込み、監査開始命令と受け取ったサーバ識別子とを発行公開鍵確認部 1213へ出力する。

一致しないと判断する場合には、制御部 1212は、処理を終了する。

(4)発行公開鍵確認部 1213

発行公開鍵確認部 1213は、制御部 1212より監査開始命令とサーバ識別子とを受け取ると、受け取ったサーバ識別子を用いて、対応する第 1検証値「cl l」及び第 2検証値「c 12」を、確認情報格納部 1210から読み出す。

[0298] 発行公開鍵確認部 1213は、未読の発行済鍵情報のうち 1つの発行済鍵情報を、発行済鍵情報格納部 1211から読み出す。

発行公開鍵確認部 1213は、読み出した発行済鍵情報に含まれる公開鍵「PK」と発行識別子情報「IDI」と、第 1検証値「cl l」及び第 2検証値「cl2」とを用いて、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたカゝ否かを確認する。

[0299] ここで、確認方法は、第 1の実施の形態と同様であるため、説明は省略する。

発行公開鍵確認部 1213は、「n— (cl l X cl2)」が、「IDI」で割り切れると判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたと判断し、 Γ_η — (cl l X cl2)」が、「IDI」で割り切れないと判断する場合には、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されて、な、と判断し、読み出した発行識別子情報「IDI」を一時的に記憶する。

[0300] 発行公開鍵確認部 1213は、未読の発行済鍵情報が存在するか否かを判断し、未読の発行済鍵情報が存在すると判断する場合には、上記の動作を繰り返す。未読の発行済鍵情報が存在しないと判断する場合には、一時的に記憶している発行識別子情報が存在するカゝ否かを判断する。

一時的に記憶している発行識別子情報が存在すると判断する場合には、発行公開鍵確認部 1213は、記憶されている全ての発行識別子を連結し、不正発行識別子情報群を生成し、生成した不正発行識別子情報群を監査結果出力部 1215へ出力する。

[0301] 一時的に記憶している発行識別子情報が存在しないと判断する場合には、発行公開鍵確認部 1213は、全ての公開鍵の正当性が確認されたことを示す旨の正当メッセージを監査結果出力部 1215へ出力する。

(5)受付部 1214

受付部 1214は、ユーザの操作により、監査を開始する指示と、監査対象の鍵発行サーバのサーバ識別子とを受け付けると、監査開始命令と、サーバ識別子を制御部 1212へ出力する。 [0302] (6)監査結果出力部 1215

監査結果出力部 1215は、発行公開鍵確認部 1213から不正発行識別子情報群を受け取ると、受け取った不正発行識別子情報群をモニタ 1250へ出力する。

監査結果出力部 1215は、発行公開鍵確認部 1213から正当メッセージを受け取ると、受け取った正当メッセージをモニタ 1250へ出力する。

[0303] なお、モニタ 1250では、監査結果出力部 1215より受け取った情報を表示する。

(7)受信部 1216

受信部 1216は、鍵発行サーバ 1100より、 1以上の発行済鍵情報と、サーバ識別子とを受信すると、受信した 1以上の発行済鍵情報と、サーバ識別子とを制御部 121 2へ出力する。

[0304] (8)送信部 1217

送信部 1217は、制御部 1212より、発行済鍵依頼情報を受け取ると、受け取った発行済鍵依頼情報を鍵発行サーバ 1100へ送信する。

2. 4 端末装置 1300の構成

端末装置 1300は、第 1の実施の形態における端末装置 300と同様であるため、説明は省略する。

[0305] なお、端末装置 1301、 · · ·、 1302、 1303、 · · ·、 1304、 1305、 · · ·、 1306【こつ!ヽても、端末装置 300と同様であるため、説明は省略する。

2. 5 鍵発行システム 2の動作

ここでは、鍵発行システム 2の動作にっ、て説明する。

(1)鍵発行システム 2の動作概要

ここでは、鍵発行システム 2の動作概要を説明する。

[0306] 以下では、鍵発行サーバ 1100が端末装置 1300に鍵を発行するときの動作概要を示す。

以降の説明において、 1以上の発行済鍵情報を発行済鍵情報群として、記述する <鍵発行時の動作概要 >

鍵発行時の動作概要を図 31に示す流れ図を用いて、説明する。 [0307] 端末装置 1300は、ユーザの操作により、鍵発行要求の指示を受け付けると、鍵発行依頼情報と、端末識別子「TID」とを、鍵発行サーバ 100へ送信する (ステップ S10 00)。

鍵発行サーバ 1100は、鍵発行依頼情報と、端末識別子「TID」とを、端末装置 13 00より受信すると、鍵発行処理にて秘密鍵及び公開鍵を生成し (ステップ S 1005)、証明書発行処理により、ステップ S1005にて生成した公開鍵に対する公開鍵証明書を発行し、発行した公開鍵証明書と、ステップ S 1005にて生成した秘密鍵とを、端末装置 1300へ送信する（ステップ S 1010)

端末装置 1300は、鍵発行サーバ 1100より、秘密鍵「SK」及び公開鍵証明書「Ce rt」を受信すると、受信した秘密鍵「SK」、及び公開鍵証明書「Cert」を記憶する (ステツプ S 1015)。

[0308] <鍵の監査時の動作概要 >

鍵の監査時の動作概要を図 32に示す流れ図を用いて、説明する。

鍵発行監査サーバ 1200は、監査処理にて、発行済鍵依頼情報を鍵発行サーバ 1 100へ送信する（ステップ S 1050)。

鍵発行サーバ 1100は、鍵情報取得処理にて取得した発行済鍵情報群と、サーバ識別子とを鍵発行監査サーバ 1200へ送信する (ステップ S 1055)。

[0309] (2)鍵発行処理

ここでは、図 31に示す鍵発行処理の動作について、第 1の実施の形態にて示す鍵発行処理との異なる点のみを、図 11、図 12、図 13及び図 14に示す流れ図を用いて、説明する。

本実施の形態に係る鍵発行処理は、図 11、図 12及び図 13に示すステップ S200 力もステップ S325まで実行する。

[0310] 本実施の形態に係る鍵発行処理は、図 13に示すステップ S330を、鍵生成部 111 8は、組「SK= (pl、 p2、 d)」を秘密鍵として、秘密鍵格納部 1111の秘密鍵格納領域へ書き込み、公開鍵証明書の生成命令を、証明書生成部 1122へ出力するように変更する。

本実施の形態に係る鍵発行処理は、変更後のステップ S330を実行すると、処理を終了する。

[0311] (3)証明書発行処理

ここでは、図 31に示す鍵発行処理の動作について、図 33に示す流れ図を用いて、説明する。

証明書生成部 1122は、鍵生成部 1118より公開鍵証明書の生成命令を受け取ると、証明書用秘密鍵格納部より証明書用秘密鍵「C—SK」を、公開鍵格納部 1112より公開鍵「PK」を、識別子格納部 1110より発行識別子情報「IDI」を、それぞれ読み出す (ステップ S 1100)。

[0312] 証明書生成部 1122は、読み出した秘密鍵「C— SK」、公開鍵「PK」及び発行識別子情報「IDI」を用いて、公開鍵証明書「」を生成し、生成した公開鍵証明書「Ce rtjを証明書格納部 1113へ書き込み、公開鍵証明書「Cert」の配布開始命令を情報取得部 1119へ出力する (ステップ S 1105)。

情報取得部 1119は、証明書生成部 1122から配布開始命令を受け取ると、秘密鍵格納部 1111にて記憶して!/、る秘密鍵「SK」と、証明書格納部 1113にて記憶してヽる公開鍵証明書「Cert」と、制御部 1114の端末情報記憶領域にて記憶している端末識別子とを、それぞれ読み出し、読み出した秘密鍵「SK」及び公開鍵証明書「Cer t」を、読み出した端末識別子に対応する端末装置 1300へ送信部 1121を介して送信する (ステップ S 1110)。

[0313] 情報取得部 1119は、公開鍵格納部 1112より発行した公開鍵「PK= (n、 e)」を、識別子格納部 1110より発行した発行識別子情報「IDI」を、それぞれ読み出し、読み出した公開鍵「PK」及び発行識別子情報「IDI」を 1つの組として、発行済鍵情報格納部 1124へ書き込む (ステップ S 1115)。

(4)鍵情報取得処理

ここでは、図 32に示す鍵情報取得処理の動作について、図 34に示す流れ図を用いて、説明する。

[0314] 鍵発行サーバ 1100の制御部 1114は、鍵発行監査サーバ 1200から受信部 1120 を介して、発行済鍵依頼情報を受け取ると、鍵情報取得命令を情報取得部 1119へ出力する（ステップ S 1200)。鍵発行サーバ 1100の情報取得部 1119は、制御部 1114から鍵情報取得命令を受け取ると、発行済鍵情報格納部 1124より、全ての発行済鍵情報を読み出す (ステップ S 1205)。

[0315] 情報取得部 1119は、制御部 1114のサーバ識別子記憶領域 1130よりサーバ識別子を読み出し、読み出した発行済鍵情報群とサーバ識別子とを、送信部 1121を介して鍵発行監査サーバ 1200へ送信する（ステップ S 1210)。

(5)監査処理

ここでは、図 32に示す監査処理の動作について、図 35に示す流れ図を用いて、説明する。

[0316] 鍵発行監査サーバ 1200の受付部 1214は、ユーザの操作により、監査を開始する指示と、監査対象の鍵発行サーバのサーバ識別子とを受け付けると、監査開始命令と、サーバ識別子を制御部 1212へ出力する (ステップ S 1300)。

制御部 1212は、受付部 1214より、公開鍵の監査を開始する監査開始命令と、監查対象のサーバ識別子 (ここでは、「SID」とする。）を受け付けると、発行済鍵依頼情報を、送信部 1217を介してサーバ識別子に対応する鍵発行サーバ 1100へ送信する（ステップ S 1305)。

[0317] 制御部 1212は、受付部 1214より受け取ったサーバ識別子をサーバ情報記憶領域 1220へ書き込む（ステップ S 1310)。

制御部 1212は、鍵発行サーバ 1100から受信部 217を介して、 1以上の発行済鍵情報とサーバ識別子とを受け取る (ステップ S 1315)。

制御部 1212は、受け取ったサーバ識別子と、サーバ情報記憶領域にて記憶しているサーバ識別子とがー致するか否かを判断する (ステップ S 1320)。

[0318] 一致すると判断する場合には (ステップ S1320における「YES」）、制御部 1212は

、受け取った 1以上の発行済鍵情報を発行済鍵情報格納部 1211へ書き込み、監査開始命令と受け取ったサーバ識別子とを発行公開鍵確認部 1213へ出力する (ステップ S 1325)。

発行公開鍵確認部 1213は、確認処理において、公開鍵の正当性の確認を行い、結果をモニタ 1250にて表示する。 [0319] 一致しないと判断する場合には (ステップ S1320における「NO」）、制御部 1212は、処理を終了する。

(6)確認処理

ここでは、図 35に示す確認処理の動作について、図 36に示す流れ図を用いて、説明する。

[0320] 発行公開鍵確認部 1213は、制御部 1212より監査開始命令とサーバ識別子とを受け取ると、受け取ったサーバ識別子を用いて、対応する第 1検証値「cl l」及び第 2検証値「c 12」を、確認情報格納部 1210から読み出す (ステップ S 1400)。

発行公開鍵確認部 1213は、発行済鍵情報格納部 1211から、未読の発行済鍵情報を 1つ読み出す (ステップ S 1405)。

[0321] 発行公開鍵確認部 1213は、読み出した発行済鍵情報に含まれる公開鍵「PK」と発行識別子情報「IDI」と、第 1検証値「cl l」及び第 2検証値「cl2」とを用いて、公開鍵「PK」が、発行識別子情報「IDI」を用いて生成されたカゝ否かを確認する (ステップ S1410)。なお、確認方法は、第 1の実施の形態と同様であるため、説明は省略する

[0322] 発行公開鍵確認部 1213は、「n— (cl l X cl2)」が、「IDI」で割り切れないと判断する場合、つまり公開鍵が不正であると判断する場合 (ステップ S1410における「NO」）

、読み出した発行識別子情報「IDI」を一時的に記憶する (ステップ S1415)。

発行公開鍵確認部 1213は、「n— (cl l X cl2)」が、「IDI」で割り切れると判断する場合、つまり公開鍵が正当であると判断する場合には (ステップ S1410における「YE

S」）、ステップ S1415を省略する。

[0323] 発行公開鍵確認部 1213は、未読の発行済鍵情報が存在するカゝ否かを判断し (ステツプ S1420)、未読の発行済鍵情報が存在すると判断する場合には (ステップ S14

20における「YES」）、ステップ S1405へ戻る。

未読の発行済鍵情報が存在しないと判断する場合には (ステップ S1420における「

NO」）、一時的に記憶している発行識別子情報が存在するカゝ否かを判断する (ステツプ S1425)。

[0324] 一時的に記憶して、る発行識別子情報が存在すると判断する場合には (ステップ S 1425における「YES」）、発行公開鍵確認部 1213は、記憶されている全ての発行識別子を連結し、不正発行識別子情報群を生成し、生成した不正発行識別子情報群を、監査結果出力部 1215を介して、モニタ 1250にて表示する（ステップ S1430)。一時的に記憶して、る発行識別子情報が存在しな、と判断する場合には (ステップ S1425における「NO」）、発行公開鍵確認部 1213は、全ての公開鍵の正当性が確認されたことを示す旨の正当メッセージを、監査結果出力部 1215を介して、モニタ 1 250にて表示する（ステップ S1435)。

[0325] 3.まとめ

上記の第 1の実施の形態にて示す鍵発行サーバ 100の素数生成部 116の素数情報生成部 133は、図 37に示す動作を繰り返すことにより、 8ビットの素数から 512ビットの素数を生成する。

素数情報生成部 133は、 8ビットの素数から 16ビットの素数を生成し (ステップ S17 00)、生成した 16ビットの素数から 32ビットの素数を生成し (ステップ S1705)、以降順に、 32ビットの素数から 64ビットの素数、 64ビットの素数から 128ビットの素数、 12 8ビットの素数力も 256ビットの素数を生成し (ステップ S1710、 S1715、及び S1720 )、最後に、生成した 256ビットの素数から 516ビットの素数を生成する (ステップ S17 25)。

[0326] 素数生成部 116は、 8ビットから 128ビットの素数を生成する間は、制御情報「情報

C」により、従来と同様の生成方法にて、素数を生成する。

素数生成部 116は、ステップ S1720においては、制御情報「情報 B」により、生成される素数が、発行識別子情報「IDI」に対して一意となるように、単射の関数「f」を用

V、て 256ビットの素数を生成する。

[0327] 素数生成部 116は、ステップ S1725においては、制御情報「情報 A」により、生成される素数の正当性を確認できるように、発行識別子情報「IDI」を埋め込んだ 512ビットの素数を生成する。

これにより、鍵発行サーバ 100は、単射関数「f」を用いることにより、端末装置毎に異なる秘密鍵及び公開鍵を生成することができる。また、鍵発行サーバ 100にて、 25

6ビットの素数力も 512ビットの素数を生成する際に、生成される素数に、発行識別子情報「IDI」が埋め込まれているため、証明書発行サーバ 200は、生成された公開鍵と発行識別子情報とを用いて、公開鍵の正当性を確認することができる。

[0328] なお、第 2の実施の形態においても、上記の記載と同様に、鍵発行サーバ 1100は、単射関数「f」を用いることにより、端末装置毎に異なる秘密鍵及び公開鍵を生成することができる。また、鍵発行サーバ 1100にて、 256ビットの素数から 512ビットの素数を生成する際に、生成される素数に、発行識別子情報「IDI」が埋め込まれているため、鍵発行監査サーバ 1200は、生成された公開鍵と発行識別子情報とを用いて、公開鍵の正当性を確認することができる。

[0329] 上記第 1の実施の形態によると、鍵発行サーバ 100は、単射の関数「f」を用いることにより、複数回素数生成を行っても、素数が一致しないことを比較することなぐ証明できる素数を生成することが実現できる。

上記第 1の実施の形態によると、鍵発行サーバ 100が、生成する素数に発行識別子情報「IDI」を埋め込むことにより、証明書発行サーバ 200は、正しく鍵発行しているかを発行識別子情報「IDI」で割り切れるカゝをチェックすることで確認できる。

[0330] 従来、 1台の鍵発行サーバを有する鍵発行システムがある。し力しながら、ユーザが増加すると、素数を生成する際に、複数回べき乗を行うことにより計算量が大きくなるため、計算時間が大きくなつてくる。そこで、鍵発行サーバを複数もち、それぞれで鍵発行をすることにより、計算量の分散を図ることがある。し力しながら、複数台の鍵発行サーバをもつ従来の鍵発行システムでは、例えば、 2人のユーザで同じ素数が鍵となる場合がある。このとき、暗号の安全性が著しく低下する。なぜなら、例えば、ユーザ Aの素数を ρΑ1、 pA2とし、 ηΑ=ρΑ1 X pA2、ユーザ Bの素数を ρΒ1、 pB2とし、 ηΒ=ρΒ1 Χ ρΒ2とする。このとき、 ρΑ1 =ρΒ1であれば、ユーザ Aは GCD (pAl, n B)を求めることにより、ユーザ Bの素数の一つが pAlと等しいことがわかり、その結果、 nBZpAlを計算することにより、 pB2も得ることができる。 RSA暗号は、素因数分解を安全性の根拠としているため、素因数が判明すると、簡単に解読可能になる。そのため、ユーザ Aはユーザ Bの公開鍵で暗号ィ匕した暗号文を解ける。また、同様に、ユーザ Bはユーザ Aの公開鍵で暗号ィ匕した暗号文を解けてしまう。

[0331] 従来技術では、複数回素数生成を行ったときに素数が一致する可能性があり、それにより、暗号の安全性を著しく低下させる。それに対しては、発行済の素数 (秘密鍵)と発行した素数を比較することにより、一致しないことを確認できる。しかし、通常の公開鍵暗号のシステムでは、発行した後の公開鍵は鍵発行サーバで管理する力秘密鍵は機密性が高いため、削除してしまうことが多い。そのため、新たに発行済の素数 (秘密鍵)を管理する必要がある。さらに、発行数が 10億個程度に大きさになると、比較する時間が大きく現実的でない。

[0332] また、複数の鍵発行サーバで発行した場合、すべての鍵発行サーバで発行した素数が一致させないため、各鍵発行サーバ間で、発行した素数、すなわち、秘密鍵を互いにチェックさせる必要がある。各鍵発行サーバ間で信頼関係がある場合は問題ないが、各鍵発行サーバはそれぞれ別の会社が設置することが多いため、信頼できるとは限らない。さらに、もし、各鍵発行サーバ間で信頼関係がある場合であっても、鍵を発行するたびに、各鍵発行サーバの秘密鍵のデータベースにアクセスするため、各鍵発行サーバ間の通信量が大きくなる。このように各鍵発行サーバ間で互いにチェックすることも現実的でな、。

[0333] 本発明の鍵発行サーバを用いると、素数の生成を複数回行っても、素数が一致しないことを比較することなぐ証明できる。

3. 1 変形例

本発明を上記の第 1、第 2実施の形態及び素数生成の変形例 1、 2、 3に基づいて説明してきた力本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。

[0334] (1)発行識別子情報「IDI」は、サーバ識別子、端末識別子及び数「1」の連結からなるとしたが、これに限定されない。 IDIはサーバ識別子と、カウンタにより生成される発行識別子「PID」とを用いて生成してもよい。ここで、発行識別子「PID」は、 1から発行順に割り当てられた奇数である。このとき、識別子生成部 115は、素数を発行（生成)するたびに、数「2」をインクリメントしていくことで、容易に毎回異なる素数を生成でさること〖こなる。

[0335] (2) 128ビットから 256ビットの素数を生成する際に、単射関数を用いたが、これに限定されない。発行識別子情報を埋め込む前であれば、単射関数を施す動作は、どの段階でもよい。

例えば、 8ビットの素数から 16ビットの素数を生成する際に、単射関数を施してもよい。または、 16ビットの素数から 32ビットの素数を生成する際に、単射関数を施してもよい。または、 32ビットの素数から 64ビットの素数を生成する際に、単射関数を施してもよい。または、 64ビットの素数から 128ビットの素数を生成する際に、単射関数を施してちょい。

[0336] ただし、発行識別子「IDI」のビット数は、入力の用いられる素数「q」のビット数よりも小さく、乱数「R1」のビット数は、（lenq— lenlDI— 1)ビットであり、数「R」のビット数は、 (lenq— 1)ビットである。

(3)第 1の実施の形態における素数生成部 116を、 1つの素数生成装置としてもよい。このとき、素数生成装置は、発行識別子情報「IDI」とそのビットサイズ「lenIDI」が与えられた場合、与えられた「IDI」及びそのビットサイズ「lenIDI」と、予め記憶されている 8ビットの素数とから、 512ビットの素数を生成する。

[0337] また、第 2の実施の形態における素数生成部 1116も同様に、 1つの素数生成装置としてちよい。

(4)第 1の実施の形態における素数生成部 116を、予め記憶している 8ビットの素数から 128ビットの素数を生成する第 1素数生成部と、 128ビットの素数から 512ビットの素数を生成する第 2素数生成部とからなるとしてもよい。また、第 1素数生成部及び第 2素数生成部を、それぞれ個別の素数生成装置としてもよ！、。

[0338] 第 1素数生成部は、従来と同様の方法にて、 8ビットの素数から 128ビットの素数を生成する。従来の方法については、特許文献 1及び非特許文献 3が詳しい。

以下に、第 2素数生成部の構成の一例を、図 38に示す。ここでは、第 2素数生成部を 1つの素数生成装置 2100として説明する。素数生成装置 2100は、素数「ql」と、そのビットサイズ「lenql」（ここでは、ビットサイズを 128ビットとする。）と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とが与えられた場合に、（4 X lenql)ビットからなる素数「N」を出力する。なお、ここで示す素数生成装置 2100は、第 1の実施の形態にて示す第 1及び第 2検証値を用いな、で、素数「N」を生成する。

[0339] 素数生成装置 2100は、図 38に示すように、受付部 2101、受付情報記憶部 2102 、素数シード生成部 2103、乱数生成部 2104、素数候補生成部 2105、第 1素数判定部 2106及び第 2素数判定部 2107から構成されている。

素数生成装置 2100は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、素数生成装置 2100は、その機能を達成する。

[0340] <受付情報記憶部 2102>

受付情報記憶部 2102は、素数「N」を生成する際に与えられた素数「ql」、素数「q 1」のビットサイズ「lenql」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を記憶する領域を備えて！/、る。

<受付部 2101 >

受付部 2101は、素数「ql」、素数「ql」のビットサイズ「lenql (例えば、 128ビット）」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を、外部 (例えば、上記に示す第 1素数生成部)より受け付け、受け付けた素数「ql」、そのビットサイス、 rienq 1」、発行識別子情報「IDI」及びそのビットサイズ「lenIDI」を受付情報記憶部 2102へ書き込む。

[0341] 受付部 2101は、受け付けた各情報を、素数シード生成部 2103へ出力する。

<素数シード生成部 2103 >

素数シード生成部 2103は、上記第 1の実施の形態にて示す素数生成部 116において、制御情報装が「情報 B」の場合に行う動作と同様の動作を行うので、ここでの説明は省略する。なお、ここでは、 128ビットの素数「ql」から 256ビットの素数「q2」を生成するものとする。

[0342] 素数シード生成部 2103、生成した素数「q2」を素数候補生成部 2105へ出力する

<乱数生成部 2104 >

乱数生成部 2104は、第 1生成指示を、素数候補生成部 2105から受け取ると、素数「ql」のビットサイズ「lenql」と、発行識別子情報「IDI」のビットサイズ「lenIDI」とを、受付情報記憶部 2102より読み出す。

[0343] 乱数生成部 2104は、読み出したビットサイズ「lenql」及び「lenIDI」を用いて、（2

X lenql-lenIDI-1)ビットの乱数「R1」を生成する。ここで、乱数「R1」の最上位ビットは 1とする。

乱数生成部 2104は、生成した乱数「R1」を素数候補生成部 2105へ出力する。また、乱数生成部 2104は、第 1素数判定部 2106及び第 2素数判定部 2107の何れかから、再度乱数を生成する旨の第 2生成指示を受け付けると、各ビットサイズを読み出し、上記の動作を行う。

[0344] <素数候補生成部 2105 >

素数候補生成部 2105は、生成された数を記憶する生成情報記憶領域とを有している。

素数候補生成部 2105は、素数シード生成部 2103より素数「q2」を受け取ると、第 1生成指示を乱数生成部 2104へ出力する。

[0345] 素数候補生成部 2105は、乱数生成部 2104より、乱数「R1」を受け取ると、受付情報記憶部 2102にて記憶して、る発行識別子情報「IDI」を読み出す。

素数候補生成部 2105は、素数シード生成部 2103より受け取った素数「q2」、受付情報記憶部 2102より読み出した発行識別子情報「IDI」及び乱数生成部 2104より受け取った乱数「R1」とを用いて、数「R=IDI XR1」と、数「N = 2 XRX q2+ l」とを生成する。

[0346] 素数候補生成部 2105は、素数「ql」のビットサイズ「lenql」を、受付情報記憶部 2 102より読み出し、生成した数「N」のビットサイズが「4 X lenql」であるか否かを判断する。

「4 X lenql」であると判断する場合には、素数候補生成部 2105は、生成した数「N 」を第 1素数判定部 2106へ出力し、生成した数「R」を生成情報記憶領域に記憶する

[0347] 「4 X lenql」でないと判断する場合には、素数候補生成部 2105は、乱数生成部 2 104より受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、上記の動作を行ヽ、数「R」及び「N」を生成する。素数候補生成部 2105は、数「N」のビットサイズが、「4 X lenql」となるまで、上記の動作を繰り返す。

[0348] く第 1素数判定部 2106〉

第 1素数判定部 2106は、第 1の実施の形態にて示す第 1素数判定部 143と同様の動作であるため、ここでの説明は省略する。

く第 2素数判定部 2107〉

第 2素数判定部 2107は、第 1の実施の形態にて示す第 2素数判定部 144と同様の動作であるため、ここでの説明は省略する。

[0349] なお、第 2素数判定部 2107は、判定により、生成した数「N」が素数であると判断する場合には、生成した数「N」を素数「N」として出力する。

<素数生成装置 2100の動作 >

以下に、素数生成装置 2100の動作について説明する。

(素数生成処理）

ここでは、素数生成装置 2100にて行われる素数生成処理について、図 39に示す流れ図を用いて、説明する。

[0350] 素数生成装置 2100は、受付部 2101において、素数「ql」、素数「ql」のビットサイズ「lenq 1」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を受け付け、受け付けた各情報を受付情報記憶部 2102へ書き込む (ステップ S2000) 素数生成装置 2100は、素数シード生成部 2103において、ステップ S2000にて受け付けた各情報を用いて、素数「q2」を生成する (ステップ S 2005)。

[0351] 素数生成装置 2100は、乱数生成部 2104において、ステップ S2000にて受け付けたビットサイズ「lenql」及び「lenIDI」を用いて、（2 X lenql— lenlDI— 1)ビットの乱数「R1」を生成する (ステップ S2010)。ここで、乱数「R1」の最上位ビットは 1とする。素数生成装置 2100は、素数候補生成部 2105において、ステップ S2000にて受け付けられた発行識別子情報「IDI」、ステップ S2005にて生成された素数「q2」及びステップ S2010にて生成された乱数「R1」とを用いて、素数候補生成処理を施すことにより、数「R」及び「N」を生成する (ステップ S2015)。素数生成装置 2100は、第 1 素数判定部 2106において、ステップ S2015にて生成した数「N」を用いて、上記に示す式（eql)が成立するか否かを判定する（ステップ S2020)。

[0352] 式（eql)が成立していると判断する場合には (ステップ S2020における「YES」）、素数生成装置 2100は、第 2素数判定部 2107において、ステップ S2015にて生成した数「R」と「N」とを用いて、上記に示す式 (eq2)が成立するか否かを判定する (ステップ S 2025)。

式（eq2)が成立して!/、ると判断する場合には (ステップ S2025における「YES」 )、素数生成装置 2100は、数「N」を素数「N」として出力し、処理を終了する (ステップ S 2030)。

[0353] 式 (eql)が成立していないと判断する場合 (ステップ S 2020における「NO」）、及び式（eq2)が成立して!/ヽな!、と判断する場合には（ステップ S2025における「NO」）、ステップ S2010に戻り、再度処理を行う。

(素数候補生成処理）

ここでは、素数生成処理のステップ S2015にて行われる素数候補生成処理について、図 40に示す流れ図を用いて説明する。

[0354] 素数候補生成部 2105は、素数生成処理のステップ S2000にて受け付けた発行識別子情報「IDI」と、ステップ S 2010にて生成した乱数「R1」とを用いて、数「R」を生成する（ステップ S 2050)。ここで、数「R」は「R = IDI XR1」である。

素数候補生成部 2105は、素数生成処理のステップ S2005にて生成された素数「q

2」と、ステップ S2050にて生成された数「R」とを用いて、数「N」を生成する（ステップ

S2055)。ここで、数「N」は、「N = 2 XR X q2+ l」である。

[0355] 素数候補生成部 2105は、生成した数「N」のビットサイズが「4 X lenql」であるか否かを判断する（ステップ S 2060)。

「4 X lenql」であると判断する場合には (ステップ S2060における「YES」）、処理を終了する。「4 X lenq 1」でな!/、と判断する場合には (ステップ S 2060における「NO」）

、素数生成処理のステップ S 2010にて生成した乱数「R1」に 2を掛けて、その結果を

「R1」として、ステップ S2050へ戻る（ステップ S2065)。

[0356] <その他 > ここでは、生成する秘密鍵である素数のビットサイズは 512ビットとしている力これに限定されない。 1024ビットであっても、 2048ビットであってもよい。また、上記の第 1素数生成部で生成する素数も同様に 128ビットに限らない。

(5)上記に示す素数シード生成部 2103を 1つの素数生成装置としてもよい。以下に、この場合の素数生成装置 2200について、説明する。素数生成装置 2200は、素数「q」と、そのビットサイズ「lenq」（ここでは、ビットサイズを 128ビットとする。）と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とが与えられた場合に、（2 X lenq)ビットからなる素数「N」を出力する。

[0357] 素数生成装置 2200は、図 41に示すように、受付部 2201、受付情報記憶部 2202 、乱数生成部 2203、素数候補生成部 2204、第 1素数判定部 2205及び第 2素数判定部 2206から構成されて、る。

素数生成装置 2200は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、素数生成装置 2200は、その機能を達成する。

[0358] <受付情報記憶部 2202 >

受付情報記憶部 2202は、素数「N」を生成する際に与えられた素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「1 enlDIjを記憶する領域を備えて、る。

<受付部 2201 >

受付部 2201は、素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を、外部 (例えば、上記に示す第 1素数生成部）より受け付け、受付部 2201は、受け付けた素数「q」、そのビットサイズ「lenq 」、発行識別子情報「IDI」及びそのビットサイズ rienlDIjを受付情報記憶部 2202へ書き込む。

[0359] 受付部 2201は、処理を開始する旨の開始指示を素数候補生成部 2204へ出力する。 <乱数生成部 2203 >

乱数生成部 2203は、乱数を生成する旨の第 1生成指示を、素数候補生成部 220 4から受け取ると、素数「q」のビットサイズ「lenq」と、発行識別子情報「IDI」のビットサィズ「lenIDI」とを受付情報記憶部 2202より読み出す。

[0360] 乱数生成部 2203は、読み出したビットサイズ「lenq」及び「lenIDI」を用いて、（len q— lenlDI— 1)ビットの乱数「R1」を生成する。ここで、乱数「R1」の最上位ビットは 1とする。乱数生成方法は、非特許文献 2が詳しい。

乱数生成部 2203は、生成した乱数「R1」を素数候補生成部 2204へ出力する。また、乱数生成部 2203は、第 1素数判定部 2205及び第 2素数判定部 2206の何れかから、再度乱数を生成する旨の第 2生成指示を受け付けると、各ビットサイズを読み出し、上記の動作を行う。

[0361] <素数候補生成部 2204 >

素数候補生成部 2204は、単射である関数「f」を予め記憶している関数記憶領域と、関数「f」を用いて生成された数を記憶する生成情報記憶領域とを有して、る。素数候補生成部 2204は、受付部 2201より開始指示を受け取ると、第 1生成指示を乱数生成部 2203へ出力する。

[0362] 素数候補生成部 2204は、乱数「R1」を乱数生成部 2203より受け取ると、受付情報記憶部 2202にて記憶している素数「q」及び発行識別子情報「IDI」を読み出す。素数候補生成部 2204は、関数記憶領域にて記憶している関数「f」と、読み出した素数「q」及び発行識別子情報「IDI」と、乱数生成部 2203より受け取った乱数「R1」とを用いて、数「R = f (IDI I I Rl)」と、数「N = 2 XRX q+ l」とを生成する。

[0363] 素数候補生成部 2204は、生成した数「N」のビットサイズが「2 X lenq」であるか否かを判断する。

「2 X lenq」であると判断する場合には、素数候補生成部 2204は、生成した数「N」を第 1素数判定部 2205へ出力し、生成した数「R」を生成情報記憶領域に記憶する

[0364] 「2 X lenqjでな、と判断する場合には、素数候補生成部 2204は、乱数生成部 22 03より受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、上記の動作を行、、上記の式を満たす数「R」及び「N」を生成する。

素数候補生成部 2204は、生成した数「N」のビットサイズが、「2 X lenq」となるまで、上記の動作を繰り返す。

[0365] <第 1素数判定部 2205 >

第 1素数判定部 2205は、第 1の実施の形態にて示す第 1素数判定部 143と同様の動作であるため、ここでの説明は省略する。

く第 2素数判定部 2206 >

第 2素数判定部 2206は、第 1の実施の形態にて示す第 2素数判定部 144と同様の動作であるため、ここでの説明は省略する。

[0366] なお、第 2素数判定部 2206は、判定により、生成した数「N」が素数であると判断する場合には、生成した数「N」を素数「N」として出力する。

<素数生成装置 2200の動作 >

以下に、素数生成装置 2200の動作について説明する。

(素数生成処理）

ここでは、素数生成装置 2200にて行われる素数生成処理について、図 39に示す流れ図を用いて、変更点のみ説明する。

[0367] 素数生成装置 2200は、ステップ S2000において、素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を、ユーザ操作により受け付け、受け付けた各情報を受付情報記憶部 2202へ書き込むように変更する。

素数生成装置 2200は、上記のように変更されたステップ S2000の実行後、ステツプ S2005を省略し、以下のように変更されたステップ S2010を実行する。素数生成装置 2200は、ステップ S 2010において、（lenq— lenlDI— 1)ビットの乱数「R1」を生成するように変更する。

[0368] 以降の動作の流れは、図 39と同様であるため、説明は省略する。

(素数候補生成処理）

ここでは、素数候補生成処理について、図 40に示す流れ図を用いて、変更点のみ説明する。先ず、ステップ S2050を、数「R=f (IDI I I Rl)」を生成するように変更する。

[0369] 次に、ステップ S 2055を、数「N = 2 XRX q + 1」を生成するように変更する。

以降の動作の流れは、図 40と同様であるため、説明は省略する。

(6)素数生成変形例 3における素数生成部 116Cを、予め記憶している 8ビットの素数から 256ビットの素数を生成する第 1素数生成部と、 256ビットの素数から 512ビットの素数を生成する第 2素数生成部とからなるとしてもよい。また、第 1素数生成部及び第 2素数生成部を、それぞれ個別の素数生成装置としてもよ！、。

[0370] 第 1素数生成部は、従来と同様の方法にて、 8ビットの素数から 256ビットの素数を生成する。

以下に、第 2素数生成部の構成の一例を、図 42に示す。ここでは、第 2素数生成部を 1つの素数生成装置 2300として説明する。素数生成装置 2300は、素数「q」と、そのビットサイズ「lenq」（ここでは、ビットサイズを 128ビットとする。）と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とが与えられた場合に、（2 X lenq)ビットからなる素数「N」を出力する。なお、ここで示す素数生成装置 2300は、第 1の実施の形態にて示す第 1及び第 2検証値を用、な、で、素数「N」を生成する。

[0371] 素数生成装置 2300は、図 42にて示すように、受付部 2301、受付情報記憶部 230 2、識別子素数生成部 2303、乱数生成部 2304、素数候補生成部 2305、第 1素数判定部 2306及び第 2素数判定部 2307から構成されている。

素数生成装置 2300は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、素数生成装置 2300は、その機能を達成する。

[0372] <受付情報記憶部 2302 >

受付情報記憶部 2302は、素数「N」を生成する際に与えられた素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「1 enlDIjを記憶する領域を備えて、る。

<受付部 2301 > 受付部 2301は、素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を、外部 (例えば、第 1の素数生成部）より受け付け、受け付けた素数「q」、そのビットサイズ「lenq」、発行識別子情報「IDI」及びそのビットサイズ「lenIDI」を受付情報記憶部 2302へ書き込む。

[0373] 受付部 2301は、処理を開始する旨の開始指示を、識別子素数生成部 2303へ出力する。

<識別子素数生成部 2303 >

識別子素数生成部 2303は、素数「qg」及びそのビットサイズ「lenqg」を予め記憶している。

[0374] 識別子素数生成部 2303は、発行識別子「IDI」と素数「qg」力も一意的に素数を生成する素数生成関数「gp」と、単射の関数「f」とを予め記憶している。

識別子素数生成部 2303は、受付部 2301より開始指示を受け取ると、発行識別子情報「IDI」を、受付情報記憶部 2302より読み出す。

識別子素数生成部 2303は、予め記憶している素数「qg」及び素数生成関数「gp」と、読み出した発行識別子情報「IDI」より、素数「pIDI = gp (IDI, qg)」を生成する。素数「pIDI」の生成方法は、素数生成の変形例 3にて示す方法と同様であるため、説明は省略する。

[0375] 識別子素数生成部 2303は、生成した素数「pIDI」を素数候補生成部 2305へ出力する。

<乱数生成部 2304 >

乱数生成部 2304は、第 1生成指示を、素数候補生成部 2305から受け取ると、素数「q」のビットサイズ「lenq」を、受付情報記憶部 2302より読み出し、素数「qg」のビットサイズ「lenqg」を識別子素数生成部 2303より読み出す。

[0376] 乱数生成部 2304は、読み出したビットサイズ「lenq」及び「lenqg」を用いて、（lenq — 2 X lenqg— 1)ビットの乱数「R」を生成する。ここで、乱数「R」の最上位ビットは 1とする。

乱数生成部 2304は、生成した乱数「R」を素数候補生成部 2305へ出力する。また、乱数生成部 2304は、第 1素数判定部 2306及び第 2素数判定部 2307の何れかから、再度乱数を生成する旨の第 2生成指示を受け付けると、各ビットサイズを読み出し、上記の動作を行う。

[0377] <素数候補生成部 2305 >

素数候補生成部 2305は、識別子素数生成部 2303より素数「pIDI」を受け取ると、第 1生成指示を乱数生成部 2304へ出力する。

素数候補生成部 2305は、乱数生成部 2304より、乱数「R」を受け取ると、受付情報記憶部 2302にて記憶している素数「q」を読み出す。

[0378] 素数候補生成部 2305は、識別子素数生成部 2303より受け取った素数「pIDI」、受付情報記憶部 2302より読み出した素数「q」及び乱数生成部 2304より受け取った乱数「R」とを用いて、「N = 2 X R X q X pIDI + 1」を生成する。

素数候補生成部 2305は、素数「q」のビットサイズ「lenq」を、受付情報記憶部 230 2より読み出し、生成した数「N」のビットサイズが「2 X lenqjであるか否かを判断する

[0379] 「2 X lenq」であると判断する場合には、素数候補生成部 2305は、生成した数「N」を第 1素数判定部 2306へ出力し、乱数「R」を一時的に記憶する。

「2 X lenq」でないと判断する場合には、素数候補生成部 2305は、乱数生成部 23 04より受け取った乱数「R」に 2を掛けて、その結果を「R」として、再度、上記の動作を行い、数「N」を生成する。

[0380] 素数候補生成部 2305は、数「N」のビットサイズが、「2 X lenq」となるまで、上記の動作を繰り返す。

く第 1素数判定部 2306 >

第 1素数判定部 2306は、第 1の実施の形態にて示す第 1素数判定部 143と同様の動作であるため、ここでの説明は省略する。

[0381] <第 2素数判定部 2307 >

第 2素数判定部 2307は、第 1の実施の形態にて示す第 2素数判定部 144と同様の動作であるため、ここでの説明は省略する。

なお、第 2素数判定部 2307は、判定により、生成した数「N」が素数であると判断する場合には、生成した数「N」を素数「N」として出力する。 [0382] <素数生成装置 2300の動作 >

以下に、素数生成装置 2300の動作について説明する。

(素数生成処理）

ここでは、素数生成装置 2300にて行われる素数生成処理について、図 39に示す流れ図を用いて、変更点のみ説明する。

[0383] 素数生成装置 2300は、ステップ S2000において、素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を、ユーザ操作により受け付け、受け付けた各情報を受付情報記憶部 2202へ書き込むように変更する。

素数生成装置 2300は、ステップ S2005において、素数「pIDI」を生成するように変更する。

[0384] 素数生成装置 2300は、ステップ S2010において、（lenq— 2 X lenqg— 1)ビットの乱数「R」を生成するように変更する。

以降の動作の流れは、図 39と同様であるため、説明は省略する。

(素数候補生成処理）

ここでは、素数候補生成処理について、図 40に示す流れ図を用いて、変更点のみ説明する。

[0385] 先ず、ステップ S2050を、省略する。

次に、ステップ S 2055を、数「N = 2 XRX q X pIDI+ 1」を生成するように変更する以降の動作の流れは、図 40と同様であるため、説明は省略する。

<その他 >

ここでは、生成する秘密鍵である素数のビットサイズは 512ビットとしている力これに限定されない。 1024ビットであっても、 2048ビットであってもよい。また、上記の第 1素数生成部で生成する素数も同様に 256ビットに限らない。

[0386] (7)第 1の実施の形態における素数生成部 116を、予め記憶している 8ビットの素数から 256ビットの素数を生成する第 1素数生成部と、 256ビットの素数から 512ビットの素数を生成する第 2素数生成部とからなるとしてもよい。また、第 1素数生成部及び第 2素数生成部を、それぞれ個別の素数生成装置としてもよ！、。

第 1素数生成部は、従来と同様の方法にて、 8ビットの素数から 128ビットの素数を生成し、上記に示す素数生成装置 2200を適用して、 128ビットの素数から 256ビットの素数を生成する。

[0387] 以下に、第 2素数生成部の構成の一例を、図 43に示す。ここでは、第 2素数生成部を 1つの素数生成装置 2400として説明する。素数生成装置 2400は、素数「q」と、そのビットサイズ「lenq」（ここでは、ビットサイズを 256ビットとする。）と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」とが与えられた場合に、（2 X lenq)ビットからなる素数「N」を出力する。なお、ここで示す素数生成装置 2400は、第 1の実施の形態にて示す第 1及び第 2検証値を用、な、で、素数「N」を生成する。

[0388] 素数生成装置 2400は、図 43に示すように、受付部 2401、受付情報記憶部 2402 、乱数生成部 2403、素数候補生成部 2404、第 1素数判定部 2405及び第 2素数判定部 2406から構成されて、る。

素数生成装置 2400は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、素数生成装置 2400は、その機能を達成する。

[0389] <受付情報記憶部 2402 >

受付情報記憶部 2402は、素数「N」を生成する際に与えられた素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「1 enlDIjを記憶する領域を備えて、る。

<受付部 2401 >

受付部 2401は、素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を、外部 (例えば、上記に示す第 1素数生成部）より受け付け、受付部 2401は、受け付けた素数「q」、そのビットサイズ「lenq 」、発行識別子情報「IDI」及びそのビットサイズ rienlDIjを受付情報記憶部 2402へ書き込む。 [0390] 受付部 2401は、処理を開始する旨の開始指示を素数候補生成部 2404へ出力する。

<乱数生成部 2403 >

乱数生成部 2403は、乱数を生成する旨の第 1生成指示を、素数候補生成部 240 4から受け取ると、素数「q」のビットサイズ「lenq」と、発行識別子情報「IDI」のビットサィズ「lenIDI」とを受付情報記憶部 2402より読み出す。

[0391] 乱数生成部 2403は、読み出したビットサイズ「lenq」及び「lenIDI」を用いて、（len q— lenlDI— 1)ビットの乱数「R1」を生成する。ここで、乱数「R1」の最上位ビットは 1とする。

乱数生成部 2403は、生成した乱数「R1」を素数候補生成部 2404へ出力する。また、乱数生成部 2403は、第 1素数判定部 2405及び第 2素数判定部 2406の何れかから、再度乱数を生成する旨の第 2生成指示を受け付けると、各ビットサイズを読み出し、上記の動作を行う。

[0392] <素数候補生成部 2404 >

素数候補生成部 2404は、生成された数を記憶する生成情報記憶領域とを有している。

素数候補生成部 2404は、受付部 2401より開始指示を受け取ると、第 1生成指示を乱数生成部 2403へ出力する。

[0393] 素数候補生成部 2404は、乱数「R1」を乱数生成部 2403より受け取ると、受付情報記憶部 2402にて記憶している素数「q」及び発行識別子情報「IDI」を読み出す。素数候補生成部 2404は、読み出した素数「q」及び発行識別子情報「IDI」と、乱数生成部 2403より受け取った乱数「R1」とを用いて、数「R=IDI XR1」と、数「N = 2 X R X q+ l」とを生成する。

[0394] 素数候補生成部 2404は、生成した数「N」のビットサイズが「2 X lenqjであるか否かを判断する。

「2 X lenq」であると判断する場合には、素数候補生成部 2404は、生成した数「N」を第 1素数判定部 2405へ出力し、生成した数「R」を生成情報記憶領域に記憶する [0395] 「2 X lenqjでな、と判断する場合には、素数候補生成部 2404は、乱数生成部 24 03より受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、上記の動作を行ヽ、数「R」及び「N」を生成する。

素数候補生成部 2404は、生成した数「N」のビットサイズが、「2 X lenq」となるまで、上記の動作を繰り返す。

[0396] く第 1素数判定部 2405 >

第 1素数判定部 2405は、第 1の実施の形態にて示す第 1素数判定部 143と同様の動作であるため、ここでの説明は省略する。

く第 2素数判定部 2406 >

第 2素数判定部 2406は、第 1の実施の形態にて示す第 2素数判定部 144と同様の動作であるため、ここでの説明は省略する。

[0397] なお、第 2素数判定部 2406は、判定により、生成した数「N」が素数であると判断する場合には、生成した数「N」を素数「N」として出力する。

<素数生成装置 2400の動作 >

以下に、素数生成装置 2400の動作について説明する。

(素数生成処理）

ここでは、素数生成装置 2400にて行われる素数生成処理について、図 39に示す流れ図を用いて、変更点のみ説明する。

[0398] 素数生成装置 2400は、ステップ S2000において、素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」及び発行識別子情報のビットサイズ「lenIDI」を受け付け、受け付けた各情報を受付情報記憶部 2402へ書き込むように変更する。素数生成装置 2400は、上記のように変更されたステップ S2000の実行後、ステツプ S2005を省略し、以下のように変更されたステップ S2010を実行する。素数生成装置 2400は、ステップ S 2010において、（lenq— lenlDI— 1)ビットの乱数「R1」を生成するように変更する。

[0399] 以降の動作の流れは、図 39と同様であるため、説明は省略する。

(素数候補生成処理）

先ず、ステップ S2050を、数「R=IDI XR1」を生成するように変更する。

[0400] 次に、ステップ S 2055を、数「N = 2 XRX q + 1」を生成するように変更する。

(8)第 1の実施の形態における素数生成部 116を、予め記憶している 8ビットの素数から 256ビットの素数を生成する第 1素数生成部と、 256ビットの素数から 512ビットの素数を生成する第 2素数生成部とからなるとしてもよい。また、第 1素数生成部及び第 2素数生成部を、それぞれ個別の素数生成装置としてもよ！、。

[0401] 第 1素数生成部は、従来と同様の方法にて、 8ビットの素数から 128ビットの素数を生成し、上記に示す素数生成装置 2200を適用して、 128ビットの素数から 256ビットの素数を生成する。

以下に、第 2素数生成部の構成の一例を、図 44に示す。ここでは、第 2素数生成部を 1つの素数生成装置 2500として説明する。素数生成装置 2500は、素数「q」と、そのビットサイズ「lenq」（ここでは、ビットサイズを 256ビットとする。）と、発行識別子情報「IDI」と、そのビットサイズ「lenIDI」と、検証値「c」が与えられた場合に、（2 X lenq )ビットからなる素数「N」を出力する。

[0402] 素数生成装置 2500は、図 44に示すように、受付部 2501、受付情報記憶部 2502 、乱数生成部 2503、素数候補生成部 2504、第 1素数判定部 2505及び第 2素数判定部 2506から構成されて、る。

素数生成装置 2500は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、素数生成装置 2500は、その機能を達成する。

[0403] <受付情報記憶部 2502 >

受付情報記憶部 2502は、素数「N」を生成する際に与えられた素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」、発行識別子情報のビットサイズ「lenl DIJ及び検証値「c」を記憶する領域を備えて！/、る。 <受付部 2501 >

受付部 2501は、素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」、発行識別子情報のビットサイズ「lenIDI」及び検証値「c」を、外部（例えば、上記に示す第 1素数生成部)より受け付け、受付部 2501は、受け付けた素数「q」、そのビットサイズ「lenq」、発行識別子情報「IDI」、そのビットサイズ「lenIDI」及び検証値「c」を受付情報記憶部 2502へ書き込む。

[0404] 受付部 2501は、処理を開始する旨の開始指示を素数候補生成部 2504へ出力する。

<乱数生成部 2503 >

乱数生成部 2503は、乱数を生成する旨の第 1生成指示を、素数候補生成部 250 4から受け取ると、素数「q」のビットサイズ「lenq」と、発行識別子情報「IDI」のビットサィズ「lenIDI」とを受付情報記憶部 2502より読み出す。

[0405] 乱数生成部 2503は、読み出したビットサイズ「lenq」及び「lenIDI」を用いて、（len q— lenlDI— 1)ビットの乱数「R1」を生成する。ここで、乱数「R1」の最上位ビットは 1とする。

乱数生成部 2503は、生成した乱数「R1」を素数候補生成部 2504へ出力する。また、乱数生成部 2503は、第 1素数判定部 2505及び第 2素数判定部 2506の何れかから、再度乱数を生成する旨の第 2生成指示を受け付けると、各ビットサイズを読み出し、上記の動作を行う。

[0406] <素数候補生成部 2504 >

素数候補生成部 2504は、生成された数を記憶する生成情報記憶領域とを有している。

素数候補生成部 2504は、受付部 2501より開始指示を受け取ると、第 1生成指示を乱数生成部 2503へ出力する。

[0407] 素数候補生成部 2504は、乱数「R1」を乱数生成部 2503より受け取ると、受付情報記憶部 2502にて記憶して、る素数「q」、発行識別子情報「IDI」及び検証値「c」を

BJCみ出す。

素数候補生成部 2504は、読み出した素数「q」、発行識別子情報「IDI」及び検証値「c」と、乱数生成部 2503より受け取った乱数「R1」とを用いて、数「R=IDIXR1」と、数「N = 2X (R+w) Xq+1」とを生成する。

[0408] ここで、「w」は「2XwXq+l = c mod IDI、 0≤w<IDI」を満たす数である。「w」は、「w=(c— l) Xm mod IDI」を計算することにより求める。「n^¾「（2Xq) Xm =1 mod IDI」を満たす数である。

素数候補生成部 2504は、生成した数「N」のビットサイズが「2 X lenq」であるか否かを判断する。

[0409] 「2Xlenq」であると判断する場合には、素数候補生成部 2504は、生成した数「N」を第 1素数判定部 2505へ出力し、生成した数「R」を生成情報記憶領域に記憶する

「2Xlenq」でないと判断する場合には、素数候補生成部 2504は、乱数生成部 25 03より受け取った乱数「R1」に 2を掛けて、その結果を「R1」として、再度、上記の動作を行ヽ、数「R」及び「N」を生成する。

[0410] 素数候補生成部 2504は、生成した数「N」のビットサイズが、「2Xlenq」となるまで、上記の動作を繰り返す。

く第 1素数判定部 2505 >

第 1素数判定部 2505は、第 1の実施の形態にて示す第 1素数判定部 143と同様の動作であるため、ここでの説明は省略する。

[0411] く第 2素数判定部 2506 >

第 2素数判定部 2506は、第 1の実施の形態にて示す第 2素数判定部 144と同様の動作であるため、ここでの説明は省略する。

なお、第 2素数判定部 2506は、判定により、生成した数「N」が素数であると判断する場合には、生成した数「N」を素数「N」として出力する。

[0412] <素数生成装置 2500の動作 >

以下に、素数生成装置 2400の動作について説明する。

(素数生成処理）

ここでは、素数生成装置 2500にて行われる素数生成処理について、図 39に示す流れ図を用いて、変更点のみ説明する。 [0413] 素数生成装置 2500は、ステップ S2000において、素数「q」、素数「q」のビットサイズ「lenq」、発行識別子情報「IDI」、発行識別子情報のビットサイズ「lenIDI」及び検証値「c」を受け付け、受け付けた各情報を受付情報記憶部 2502へ書き込むように変更する。

素数生成装置 2500は、上記のように変更されたステップ S2000の実行後、ステツプ S2005を省略し、以下のように変更されたステップ S2010を実行する。素数生成装置 2500は、ステップ S 2010において、（lenq— lenlDI— 1)ビットの乱数「R1」を生成するように変更する。

[0414] 以降の動作の流れは、図 39と同様であるため、説明は省略する。

(素数候補生成処理）

[0415] 次に、ステップ S2055を、数「N = 2 X (R+w) X q+ 1」を生成するように変更する以降の動作の流れは、図 40と同様であるため、説明は省略する。

(9)上記第 1の実施の形態において、素数生成部 116は、単射関数「f」を施し、その後、発行識別子情報「IDI」の埋め込みを行ったが、単射関数「f」を施すだけでもよ V、し、発行識別子情報「IDI」の埋め込みのみを行ってもょ、。

[0416] 単射関数を施しただけの場合には、生成される素数は一意性が満たされる。このとき、単射関数を施すタイミングは、いつでもよい。

発行識別子情報「IDI」の埋め込みのみを行う場合には、生成された素数の一意性は満たされないが、生成された鍵の正当性の確認は、「IDI」を用いて行うことができる。なお、発行識別子情報「IDI」の埋め込みのみを行う場合は、 256ビットの素数から 512ビットの素数を生成するタイミングに行う。

[0417] また、第 2の実施の形態においても同様である。

(10)上記第 1及び第 2の実施の形態において、制御情報が「情報 B」である場合に、素数生成部 116は、単射関数を施し、数「R=f (IDI I I Rl)」を生成したが、これに限定されない。

例えば、制御情報が「情報 B」である場合に、素数生成部 116は、数「R=f (Rl I DI)」を生成してもよいし、数「R=f (IDI) I I Rl」を生成してもよし、数「R=R1 I I f (IDI)」を生成してもよい。

[0418] また、単射関数を用いないで、数「R= (IDI I I Rl)」を生成してもよいし、数「R= Rl I I IDI」を生成してもよい。

また、発行識別子情報「IDI」のビット列に、乱数「R1」を構成する各ビットを埋め込み、埋め込んだ結果 (以下、「IDI— Rl」という。）に単射関数「f」を施して数「R」を生成してちょい。

[0419] その一例を図 45に示す。発行識別子情報「IDI」は、上述したように具体的には、 6 4ビット力なり、そのビット列を「S S S S · · ' S S S 」とする。乱数「R1」は、具体

1 2 3 4 62 63 64

的には、 63ビットからなり、そのビット列を「Τ Τ Τ Τ · ' ·Τ Τ Τ 」とする。ここで、「S

1 2 3 4 61 62 63

」及び「T」は、「0」及び「1」の何れかである。なお、「η」は 1以上 64以下の数であり n m

、「m」は 1以上 63以下の数である。このとき、数「IDI Rl」のビット列は、「S T S T

2 2

S T S T - - ·Τ S T S T s 」となる。

3 3 4 4 61 62 62 63 63 64

[0420] なお、一例では、発行識別子情報「IDI」のビット列に対して、 1ビット置きに、乱数「 Rl」の各ビットを埋め込んだ力これに限定されない。発行識別子情報「IDI」のビット列に対して、複数ビット置きに、乱数「R1」の各ビットを埋め込んで、数「IDI— Rl」を生成してもよい。このとき、「IDI」のビット列の間に埋め込まれないビット全てを、「IDI 」のビット列における末尾のビット以降に、結合して、「IDI_R1」を生成する。

[0421] また、乱数「R1」のビット列に対して、発行識別子情報「IDI」の各ビットを埋め込んで、数「IDI— Rl」を生成してもよい。例えば、 1ビット置きに埋め込む場合には、数「I DI Rl」のビット列は、「T S T S T S T S ' "T S T S S 」となる。

一 1 1 2 2 3 3 4 4 62 62 63 63 64

また、発行識別子情報「IDI」と乱数「R1」とから、数「IDI— Rl」を生成し、生成した数「IDI— Rl」に単射関数「f」を施して数「R」を生成した力これに限定されない。数「R」は、「R = IDI— Rl」としてもよい。

[0422] (11)上記第 1の実施の形態において、制御情報が「情報 A」である場合に、素数生成部 116は、発行識別子情報「IDI」の埋め込みを行ったが、埋め込む情報は、 ΓΐϋΙ 」に限定されない。

例えば、鍵発行サーバ 100と証明書発行サーバ 200とだけが既知の秘密関数であり、且つ 1対 1の関数である「g」を用いた値であってもよい。このとき、「IDI」の代わりに埋め込む値は、「g (IDI)」である。

[0423] また、第 2の実施の形態においても同様である。

(12)上記第 1の実施の形態において、鍵発行サーバ 100と端末装置 300との間に、安全な通信経路を確立して、鍵発行サーバ 100から端末装置 300へ、秘密鍵及び公開鍵の送付を行ったが、これに限定されない。

例えば、端末装置 300の製造時に、鍵発行サーバ 100と端末装置 300とを、入出力装置を介して、秘密鍵及び公開鍵の送付を行ってもょ、。

[0424] また、第 2の実施の形態においても同様である。

(13)上記第 1及び第 2の実施の形態において、端末装置の具体例として、携帯電話機としたが、これに限定されない。

暗号化されたデータをネットワークを介して受信し、復号できる端末装置であればよい。

[0425] 例えば、パーソナルコンピュータや、 PDA (Personal Digital Assistants)である。

(14)上記第 1及び第 2の実施の形態において、発行識別子情報「IDI」は、奇数であるとしたが、素数生成に検証値を用いない場合には、発行識別子情報「IDI」は、奇数でなくてもよい。

[0426] このとき、サーバ識別子と、カウンタにより、 1から順に生成される発行識別子「PID」とを用いて生成する場合には、このとき、識別子生成部 115は、素数を発行 (生成）するたびに、数「1」をインクリメントしていくことで、容易に毎回異なる素数を生成できることになる。

(15)第 1及び第 2の実施の形態にて、生成する秘密鍵である素数のビットサイズは 512ビットに限らない。 1024ビットであっても、 2048ビットであってもよい。このとき、素数生成部 116は、秘密鍵である素数のビットサイズ (ここでは、「lenN」とする。）に対して、（lenNZ4)ビットからなる素数を、従来の素数の生成方法により生成し、その後、単射関数「f」を施して、（lenNZ2)ビットからなる素数を生成し、最後に、発行識別子情報「IDI」を埋め込んだ「lenN」ビットからなる素数「N」を生成する。

[0427] なお、発行識別子情報「IDI」の埋め込みのみを行う場合には、素数生成部は、 (le nNZ2)ビットからなる素数を、従来の素数の生成方法により生成し、最後に、発行識別子情報「IDI」を埋め込んだ「lenN」ビットからなる素数「N」を生成する。

また、単射関数「f」を施し、一意な素数を生成するのみの場合は、（lenNZ2)ビット力もなる素数を、従来の素数の生成方法により生成し、その後、単射関数「f」を施して、「lenN」ビットからなる素数を生成する。

[0428] (16)第 1の実施の形態における素数生成部 116を、 1つの素数生成装置としてもよい。このとき、この素数生成装置は、整数 lenと発行識別子情報 IDIを入力とし、 lenビットの素数を出力するとしてもよい。

また、上述したように、第 1実施の形態における素数生成部 116は、素数情報生成部 133の代わりに、素数生成の変形例 1、 2及び 3にて示す素数情報生成部 133A、素数情報生成部 133B及び素数情報生成部 133Cの何れかを用 V、てもよ、。

[0429] また、第 1実施の形態における素数生成部 116は、 8ビットの素数から 512ビットの素数を生成する際に、発行識別子情報「IDI」を埋め込まないで、単射関数「f」を 1回のみ施してもよい。このとき、証明書発行サーバ 200では、証明書発行依頼情報と、公開鍵を受け取ると、正当性の確認を行わないで、公開鍵証明書「Cert」を発行する

[0430] (17)素数に発行識別子情報を含ませる方法は、実施の形態に限らない。例えば、下位 lenlDIビットが IDIである素数を生成 '発行するとしてもよい。

(18)鍵発行サーバは 3台に限定されない。鍵発行サーバは 1台以上であればよい。このとき、各鍵発行サーバにて行う素数の生成方法は、同一の方法を用いる。

(19)第 1の実施の形態における第 2素数判定部 144は、素数の判定に用いる条件式は、上記に示す (eq2)に限定されない。

[0431] 条件式「GCD (2" (2R)— 1、 N) = 1」を用いて、第 2素数判定部 144は、第 1素数判定部 143より受け取った数「N」が、当該条件式を満たすか否かを判断し、満たすと判断する場合に、数「N」を素数「N」としてもよい。 (20)第 1の実施の形態において、鍵発行サーバ 100は、端末装置 300へ秘密鍵と公開鍵証明書を配布したが、これに限定されない。鍵発行サーバ 100は、端末装置 300へ秘密鍵のみを配布してもよい。このとき、鍵発行サーバ 100は、公開鍵証明書を第三者に対して、公開する。または、鍵発行サーバ 100は、公開鍵を第三者に対して、公開する。

[0432] (21)第 1の実施の形態において、素数生成部 116は、出力カウンタ 136にて、鍵判定部 117へ出力した素数の個数を管理したが、これに限定されない。

鍵判定部 117にて、受け取った素数の個数をカウントしてもよい。この場合の一例を、以下に示す。

素数生成部 116は、識別子生成部 115から素数の生成開始命令を受け取ると、素数「pl」を生成し、生成した素数「pl」を鍵判定部 117へ出力する。素数生成部 116 は、鍵判定部 117から次の素数の要求を受け取ると、素数「p2」を生成し、生成した素数「p2」を鍵判定部 117へ出力する。なお、素数「pl」及び「p2」の生成は、第 1の実施の形態と同様であるため、説明は省略する。

[0433] 鍵判定部 117は、カウンタ (初期値は「0」である。）を用いて、素数生成部 116より素数を受け取ると、カウンタに「1」をインクリメントし、その結果が、 1である力否かを判断する。 1であると判断する場合には、鍵判定部 117は、素数生成部 116へ、次の素数を要求する。 1でないと判断する場合には、鍵判定部 117は、素数「pl」と「p2」と力一致する力否かの判断を行う。以降の動作は、第 1の実施の形態と同様であるため、説明は省略する。

[0434] (22)上記第 1及び第 2の実施の形態において、発行識別子情報「IDI」のビットサイズを 64ビットとした力これに限定されな、。 (lenq-1)よりも小さ、ビットサイズであればよい。

また、素数生成の変形例 3において、素数「qg」のビットサイズを 64ビットとしたが、これに限定されない。素数「qg」は、ビットサイズ「lenqg」が「（2 X lenqg)く（lenq— 1 )」を満たす素数であればよい。このとき、発行識別子情報は、そのビットサイズが、素数「qg」のビットサイズより小さければよい。

[0435] (23)証明書発行サーバ 200の発行公開鍵確認部 214において、公開鍵「PK= ( n、 e)」が、発行識別子情報「IDI」を用いて生成されたか否かを確認する方法について、「n— (cl l X cl2)」が、「IDI」で割り切れるか否かを検証するとしている。ここで、検証方法の具体例を示す。

検証方法の具体的な動作の流れを、図 46に示す流れ図を用いて説明する。

[0436] 発行公開鍵確認部 214は、数「n-(cl l X cl2)」を「Q」とする（ステップ S2500)。

次に、発行公開鍵確認部 214は、「Q— IDI」を算出し、算出結果を、再度、「Q」とする（ステップ S 2505)。

発行公開鍵確認部 214は、数「Q」が、発行識別子情報「IDI」より小さいか否かを判断する (ステップ S2510)。

[0437] 小さいと判断する場合には (ステップ S2510における「YES」）、発行公開鍵確認部 214は、数「Q」が「0」であるか否かを判断する（ステップ S2515)。

「0」であると判断する場合には (ステップ S2515における「YES」）、検証結果「0」を出力する (ステップ S2520)。「0」でないと判断する場合には (ステップ S2515における「NO」）、検証結果「1」を出力する (ステップ S2525)。

[0438] 数「Q」が、発行識別子情報「IDI」以上であると判断する場合には (ステップ S2510 における「NO」）、ステップ S2505へ戻る。

この動作により、公開鍵「PK= (n、 e)」が、発行識別子情報「IDI」を用いて生成された力否かを確認することができる。

発行公開鍵確認部 214は、図 18に示すステップ S670にて、上記の検証処理を実行後、出力された検証結果が「0」である場合には、公開鍵「PK」は発行識別子情報「IDI」を用いて生成されたと判断し、検証結果力「l」である場合には、公開鍵「PK」は発行識別子情報「IDI」を用いて生成されて、な、と判断する。

[0439] (24)素数候補生成部 142にて生成された数「N」が、「lenN= 2 X lenq」を満たさない場合、「R1 = 2 XR1」としている力その演算の具体例を以下に示す。

素数候補生成部 142は、生成された数「N」が、「lenN= 2 X lenq」を満たさない場合には、数「R1」のビット列を、左に 1ビット分だけシフトする。このとき、末尾のビットには「0」が設定される。これにより、「R1 = 2 XR1」とすることできる。

[0440] (25)第 1及び第 2の実施の形態において、数「N」を算出する際に、「N = 2 X (R+ w) Xq+1」とした力これに限定されない。「N = 2XRXq + c」としてもよい。

なぜなら、上記の実施の形態にて示した「w」及び「m」の条件式「w= (c-1) Xm mod IDI」と、「（2Xq) Xm=l mod IDI」とを用いると、「N = 2X (R+w) Xq + 1」は、以下のように変形することができるからである。

[0441] 2X (R+w) Xq+l = 2XRXq + 2XwXq+l

= 2XRXq + 2X (c 1) XmXq+1

= 2XRXq + 2X (c—l) X (l/2q) Xq+1

= 2XRXq+(c-l)+l

=2XRXq+c

これにより、「N = 2X (R+w) Xq+1」の代わりに、「N = 2XRXq + c」としてもよいことがわ力ゝる。

[0442] なお、「c」は検証値であり、出力カウンタの値が「1」の場合には、検証値「c」は、「c 11」となり、出力カウンタの値が「2」以上の場合には、検証値「c」は、「cl2」となる。例えば、第 1の実施の形態における証明書発行サーバ 200は、「N— cllXcl2」力「IDI」で割り切れるカゝ否かを判断することにより、生成された公開鍵の正当性を確認することができる。

[0443] (26)第 1の実施の鍵発行システム 1において、鍵発行サーバにて生成された素数の正当性を検証する素数検証装置を加えてもょ、。

この場合における素数検証装置及び鍵発行サーバ 100の動作について、以下に説明する。

素数検証装置は、証明書発行サーバと同様に、検証値テーブルを予め記憶している。

[0444] 鍵発行サーバ 100は、素数生成部 116にて素数「pl」を生成すると、生成した素数「pl」、発行識別子情報「IDI」及びサーバ識別子を、素数検証装置へ出力する。素数検証装置は、鍵発行サーバ 100より、素数「pl」、発行識別子情報「IDI」及びサーバ識別子を受け取ると、受け取ったサーバ識別子に対応する第 1検証値「cll」を読み出し、読み出した第 1検証値「cll」を用いて、「pl— cll」を算出し、算出結果 1S 「IDI」で割り切れるカゝ否かを判断する。割り切れると判断する場合には、素数検証装置は、素数「pl」の利用を許可する情報を鍵発行サーバ 100へ出力する。割り切れないと判断する場合には、素数「pl」の利用を禁止する情報を鍵発行サーバ 10 0へ出力する。

[0445] 鍵発行サーバ 100の素数生成部 116は、素数検証装置から、素数「pl」の利用を禁止する情報を受け取ると、再度、素数「pl」を生成して、上記動作を繰り返す。鍵発行サーバ 100の素数生成部 116は、素数検証装置から、素数「pl」の利用を許可する情報を受け取ると、生成した素数「pl」を鍵判定部 117へ出力し、素数「p2」を生成する。素数生成部 116は、生成した素数「p2」、発行識別子情報「IDI」及びサーバ識別子を、素数検証装置へ出力する。

[0446] 素数検証装置は、鍵発行サーバ 100より、素数「p2」、発行識別子情報「IDI」及びサーバ識別子を受け取ると、受け取ったサーバ識別子に対応する第 2検証値「cl2」を読み出し、読み出した第 1検証値「cl2」を用いて、「pl— cl2」を算出し、算出結果力「IDI」で割り切れるカゝ否かを判断する。割り切れると判断する場合には、素数検証装置は、素数「p2」の利用を許可する情報を鍵発行サーバ 100へ出力する。割り切れないと判断する場合には、素数「p2」の利用を禁止する情報を鍵発行サーバ 10 0へ出力する。

[0447] 鍵発行サーバ 100の素数生成部 116は、素数検証装置から、素数「p2」の利用を禁止する情報を受け取ると、再度、素数「p2」を生成して、上記動作を繰り返す。鍵発行サーバ 100の素数生成部 116は、素数検証装置から、素数「p2」の利用を許可する情報を受け取ると、生成した素数「p2」と判定開始命令とを鍵判定部 117へ出力する。

[0448] 鍵発行サーバ 100における以降の動作は、第 1の実施の形態と同様であるため、説明は省略する。

なお、素数生成部 116は、鍵判定部 117より再生成命令を受け取った場合には、再度素数「p2」を生成し、上記の動作を繰り返す。

(27)第 1及び第 2の実施の形態において、第 1及び第 2検証値は、鍵発行サーバ毎に割り当てたが、これに限定されない。

[0449] 端末装置毎に第 1及び第 2検証値を割り当て、端末識別子と、端末装置毎に割り当てられた第 1及び第 2検証値とからなるテーブルを鍵発行サーバ及び証明書発行サーバにて管理してもよい。

鍵発行サーバは、鍵発行の要求のあった端末装置に対応する第 1及び第 2検証値を用いて、素数「pl」及び「p2」を生成し、生成した「pl」及び「p2」を用いて、公開鍵及び秘密鍵を生成する。鍵発行サーバは、公開鍵証明書を要求する際には、公開鍵、発行識別子情報、サーバ識別子及び端末識別子を、証明書発行サーバへ送信する。

[0450] 証明書発行サーバは、受け取った端末識別子に対応する第 1及び第 2検証値を読み出し、読み出した検証値と、受け取った公開鍵、及び発行識別子情報とを用いて、公開鍵の正当性を検証する。

端末装置毎に、 2つの検証値を割り当てることにより、公開鍵の一意性を保ちながら

、端末装置毎に割り当てた公開鍵の正当性を検証することができる。

[0451] また、上記に示す素数検証装置を用いて、生成した素数毎に、正当な素数であるか否かの検証を行ってもよい。なお、素数検証装置は、端末識別子と、端末装置毎に割り当てられた第 1及び第 2検証値とからなるテーブルを有して、るとする。

(28)第 1及び第 2の実施の形態において、端末装置と鍵発行サーバとを、それぞれ個別の装置としたが、端末装置にて鍵発行を行ってもよい。

[0452] このとき、端末装置は、例えば、第 1の形態にて示す構成に加えて、鍵発行サーバ

100の構成にて説明した識別子格納部、識別子生成部、素数生成部、鍵判定部、鍵生成部及び公開鍵格納部とを有する。

端末装置は、識別子生成部を用いて、端末識別子と、数「1」とから発行識別子情報「IDI=TID | I 1」を生成し、生成した発行識別子情報を識別子格納部にて記憶する。

[0453] 端末装置は、素数生成部、鍵判定部及び鍵生成部を用いて、公開鍵と秘密鍵とを生成し、生成した公開鍵を公開鍵格納部へ格納し、生成した秘密鍵を秘密鍵格納部へ格納する。

さらに、端末装置は、発行識別子情報と、公開鍵と、端末識別子と、証明書発行依頼情報とを、証明書発行サーバへ送信し、公開鍵証明書を、証明書発行サーバから受信する。

また、端末装置は、 ICカードであってもよい。この場合、 ICカードは、鍵の生成及び格納を行う。なお、発行識別子情報の生成及び格納をも ICカードが行ってもよい。このとき、 ICカードと、証明書発行サーバとの通信は、証明書発行サーバとネットワーク接続された装置に、 ICカードを装着することにより行う。

[0454] (29)端末識別子は、一例として、シリアル番号としている力これに限定されない。

端末識別子は、ユーザの生体科学的特徴を示すバイオメトリックス情報であってもよい。バイオメトリックス情報は、例えば、ユーザの指紋の特徴を示す指紋情報、ユーザの声紋の特徴を示す声紋情報、ユーザの虹彩の特徴を示す虹彩情報、ユーザの顔の輪郭の特徴を示す輪郭情報、ユーザの DNAの特徴を示す DNA情報又は、これら情報の組合せである。

[0455] また、端末識別子の一部が、バイオメトリックス情報であるとしてもよ!、。

また、端末識別子は、端末装置を管理する管理サーバにて発行され、管理サーバ力ネットワークによる通信によって、与えられるものとしてもよい。または、管理サーバにて発行された端末識別子を、 SDカード等の記録媒体によって、与えられるとしてもよい。

(30)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力もなるデジタル信号であるとしてもよい。

[0456] また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD-RO M、 MO、 DVD, DVD-ROM, DVD— RAMゝ BD (Blu— ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。

[0457] また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク等を経由して伝送するものとしてもよ、。

また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。

[0458] また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい

(31)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよ!/、。産業上の利用可能性

[0459] 発明を構成する各サーバ及び各端末装置は、電器機器製造産業において、経営的に、また継続的及び反復的に、製造し、販売することができる。また、本発明を構成する各サーバ及び各端末装置は、インターネットを用いたサービス産業において、経営的に、また継続的及び反復的に使用することができる。

Claims

請求の範囲

[1] 既知の素数 qより大きい素数候補 Nを算出して素数判定する素数算出装置であつて、

既知の素数 qを記憶して、る素数記憶手段と、

素数の利用範囲における一意の管理情報を記憶している管理情報記憶手段と、前記管理情報記憶手段から前記管理情報を読み出し、読み出した前記管理情報に依存する攪乱情報 Rを生成する攪乱情報生成手段と、

前記素数記憶手段から前記素数 qを読み出し、読み出した前記素数 q及び生成された前記攪乱情報 Rを用いて、 N = 2 X攪乱情報 RX素数 q+ 1により、素数候補 N を算出する候補算出手段と、

算出された素数候補 Nが素数であるカゝ否かを判定する素数判定手段と、素数であると判定される場合に、算出された素数候補 Nを素数として出力する出力手段と

を備えることを特徴とする素数算出装置。

[2] 前記攪乱情報生成手段は、

前記管理情報記憶手段から前記管理情報を読み出す読出部と、

乱数 rを算出する乱数算出部と、

読み出した前記管理情報と生成した乱数 rとを結合する結合部と、

前記管理情報と乱数 rとの結合体に基づいて、攪乱情報 Rを算出する演算部とを含むことを特徴とする請求項 1に記載の素数算出装置。

[3] 前記演算部は、前記結合体に、単射の関数を施して攪乱情報 Rを生成する

ことを特徴とする請求項 2に記載の素数算出装置。

[4] 前記単射の関数は、排他的論理和であり、

前記演算部は、所定の鍵情報を予め記憶しており、前記鍵情報と前記結合体とに排他的論理和を施して攪乱情報 Rを生成する

ことを特徴とする請求項 3に記載の素数算出装置。

[5] 前記素数算出装置は、素数 qの 2倍のビット長を有する素数候補 Nを算出し、前記乱数算出部は、素数 qのビット長から前記管理情報のビット長及び 1を差し引 V、て得られるビット長の前記乱数 rを算出する

ことを特徴とする請求項 3に記載の素数算出装置。

[6] 前記素数判定手段は、

前記素数候補 Nに対して、 2^N— i = l mod Nを満たすカゝ否かを判定する第 1判定部と、

前記第 1判定部により満たすと判定される場合に、さらに、素数候補 N及び攪乱情報 Rに対して、 2^2R ≠1 mod Nを満たすか否かを判定し、満たすと判定する場合に、素数候補 Nが素数であると決定する第 2判定部と

を含むことを特徴とする請求項 5に記載の素数算出装置。

[7] 前記素数判定手段は、

前記第 1判定部により満たすと判定される場合に、さらに、素数候補 N及び攪乱情報 Rに対して、 GCD (2^2R —1、 N) = 1を満たす力否かを判定し、満たすと判定する場合に、素数候補 Nが素数であると決定する第 2判定部と

を含むことを特徴とする請求項 5に記載の素数算出装置。

[8] 前記素数算出装置は、さらに、

前記素数判定手段により素数であると判定されるまで、前記攪乱情報生成手段、前記候補算出手段及び前記素数判定手段に対して、攪乱情報 Rの生成と、素数候補 Nの算出と、前記判定とを繰り返すように制御する繰返制御手段

を含むことを特徴とする請求項 1に記載の素数算出装置。

[9] 前記素数算出装置は、さらに、

乱数 R'を算出する次段乱数算出手段と、

出力された前記素数 N及び生成された前記乱数 R'を用いて、 N' = 2 X乱数 R' X 素数 N+ 1により、素数候補 N'を算出する次段候補算出手段と、

算出された素数候補 N'が素数である力否かを判定する次段素数判定手段と、素数であると判定される場合に、算出された素数候補 N'を素数として出力する次段出力手段と、前記次段素数判定手段により素数であると判定されるまで、前記次段乱数算出手段、前記次段候補算出手段及び前記次段素数判定手段に対して、乱数 R'の生成と、素数候補 N'の算出と、前記判定とを繰り返すように制御する次段繰返制御手段とを含むことを特徴とする請求項 8に記載の素数算出装置。

[10] 記素数算出装置は、さらに、

所定の検証値を記憶している次段情報記憶手段と、

乱数 r'を生成する次段乱数生成手段と、

前記管理情報に生成した前記乱数 r'を乗じて攪乱情報 R'を算出し、 N' = 2 X攪乱情報 R' X素数 N+検証値により、素数候補 N'を算出する次段候補算出手段とを含み、

前記素数判定手段は、さらに、算出された素数候補 N'が素数であるか否かを判定し、

前記出力手段は、さらに、素数候補 N'が素数であると判定される場合に、算出された素数候補 N'を素数として出力する

ことを特徴とする請求項 8に記載の素数算出装置。

[11] 前記素数算出装置は、 RSA暗号の公開鍵及び秘密鍵を生成する鍵生成装置であり、

前記素数算出装置は、さらに、

算出された素数 Nを用いて、 RSA暗号の公開鍵を生成する公開鍵生成手段と、生成された公開鍵を用いて、 RSA暗号の秘密鍵を生成する秘密鍵生成手段とを含む

ことを特徴とする請求項 8に記載の素数算出装置。

[12] 前記公開鍵生成手段は、前記繰返制御手段に対して、新たに素数 N'が得られるように指示し、前記素数 N及び新たに得られた素数 N'を用いて、 n=素数 N X素数 N' により、数 nを算出し、乱数 eを生成し、

算出された数 nと生成された乱数 eとの組が前記公開鍵であり、

前記秘密鍵生成手段は、 e X d= l mod Lを満たす dを算出し、

Lは、素数 N— 1と素数 N'— 1との最小公倍数であり、算出された dが前記秘密鍵である

ことを特徴とする請求項 11に記載の素数算出装置。

[13] 前記素数算出装置は、端末装置に対して、 RSAの秘密鍵及び公開鍵を生成し、発行する鍵発行サーバ装置であり、

前記素数算出装置は、さらに、

生成した前記秘密鍵を、端末装置に対して出力する鍵出力手段と、

生成した前記公開鍵を、公開する公開手段とを含む

ことを特徴とする請求項 11に記載の素数算出装置。

[14] 前記素数算出装置は、さらに、

前記端末装置を一意に識別する端末装置識別子を取得する識別子取得手段と、取得した端末装置識別子を含む前記管理情報を生成する管理情報生成手段と、生成した前記管理情報を前記管理情報記憶手段に書き込む書込手段とを含むことを特徴とする請求項 13に記載の素数算出装置。

[15] 前記素数算出装置は、さらに、

鍵発行サーバ装置としての当該素数算出装置を一意に識別するサーバ識別子を予め記憶して！/ヽるサーバ識別子記憶手段を含み、

前記管理情報生成手段は、さらに、前記サーバ識別子記憶手段から前記サーバ識別子を読み出し、読み出したサーバ識別子をさらに含む前記管理情報を生成することを特徴とする請求項 14に記載の素数算出装置。

[16] 既知の素数より大きい素数を算出する素数算出装置であって、

既知の入力素数の 2倍のビット長を有する出力素数を算出する素数算出手段と、既知の素数初期値を記憶して!/、る素数記憶手段と、

前記素数算出手段に対して、算出を複数回繰り返すように制御する繰返制御手段とを備え、

前記繰返制御手段は、前記繰返しにおける初回の算出において、前記素数記憶手段に記憶されている素数初期値を、前記入力素数として、前記素数算出手段に与え、

前記繰返しの初回の算出以外の他の算出において、 1つ前の回の算出においてされた出力素数を、当該他の算出における前記入力素数として、前記素数算出手段に与え、

前記複数回の算出のいずれか 1の算出において、前記素数算出手段は、素数の利用範囲における一意の管理情報を記憶している管理情報記憶部と、前記管理情報記憶部から前記管理情報を読み出し、読み出した前記管理情報に依存する攪乱情報 Rを生成する攪乱情報生成部と、

前記入力素数 qを受け取り、受け取った前記入力素数 q及び生成された前記攪乱情報 Rを用いて、 N = 2 X攪乱情報 R X素数 q+ 1により、素数候補 Nを算出する候補算出部と、

算出された素数候補 Nが素数であるカゝ否かを判定する素数判定部と、

素数であると判定される場合に、算出された素数候補 Nを出力素数として出力する出力部と、

前記素数判定部により素数であると判定されるまで、前記攪乱情報生成部、前記候補算出部及び前記素数判定部に対して、攪乱情報 Rの生成と、素数候補 Nの算出と、前記判定とを繰り返すように制御する繰返制御部とを含む

ことを特徴とする素数算出装置。

前記複数回の算出のうち、最終回の算出において、前記素数算出手段は、所定の検証値を記憶して!/、る情報記憶部と、

乱数 r'を生成する乱数生成部と、

前記管理情報に生成した前記乱数 r'を乗じて攪乱情報 R'を算出し、 N' = 2 X攪乱情報 R' X 1つ前の回において算出された出力素数 +検証値により、素数候補 N'を算出する候補算出部と、

算出された素数候補 N'が素数であるカゝ否かを判定する素数判定部と、素数候補 N'が素数であると判定される場合に、算出された素数候補 N'を素数として出力する出力部と、

前記素数判定部により素数であると判定されるまで、前記乱数生成部、前記候補算出部及び前記素数判定部に対して、乱数 r'の生成と、素数候補 N'の算出と、前記判定とを繰り返すように制御する繰返制御部とを含むことを特徴とする請求項 16に記載の素数算出装置。

[18] 端末装置に対して RSAの秘密鍵及び公開鍵を生成して発行する鍵発行サーバ装置と、前記端末装置とから構成される鍵発行システムであって、

鍵発行サーバ装置は、

既知の素数 qより大きい素数 Nを算出する素数算出手段と、

算出された素数 Nを用いて、 RSA暗号の公開鍵を生成する公開鍵生成手段と、生成された公開鍵を用いて、 RSA暗号の秘密鍵を生成する秘密鍵生成手段と、生成された前記秘密鍵を、端末装置に対して出力する鍵出力手段と、生成された前記公開鍵を公開する公開手段とを備え、

前記素数算出手段は、

既知の素数 qを記憶して、る素数記憶部と、

一意の管理情報を記憶して!/、る管理情報記憶部と、

前記管理情報記憶部から前記管理情報を読み出し、読み出した前記管理情報に依存する攪乱情報 Rを生成する攪乱情報生成部と、

前記素数記憶部から前記素数 qを読み出し、読み出した前記素数 q及び生成された前記攪乱情報 Rを用いて、 N = 2 X攪乱情報 RX素数 q+ 1により、素数候補 Nを算出する候補算出部と、

算出された素数候補 Nが素数であるカゝ否かを判定する素数判定部と、素数であると判定される場合に、算出された素数候補 Nを素数として出力する出力部と、

前記素数判定部により素数であると判定されるまで、前記攪乱情報生成部、前記候補算出部及び前記素数判定部に対して、攪乱情報 Rの生成と、素数候補 Nの算出と、前記判定とを繰り返すように制御する繰返制御部とを含み、

前記端末装置は、

前記秘密鍵を受け取る受信手段と、

受信した秘密鍵を記憶する鍵記憶手段と

を備えることを特徴とする鍵発行システム。

[19] 前記鍵発行システムは、さらに、証明書発行サーバ装置を含み、前記鍵出力手段は、前記公開鍵を前記証明書発行サーバ装置へ出力し、前記証明書発行サーバ装置は、

当該証明書発行サーバ装置の秘密鍵を記憶している記憶手段と、

前記公開鍵を取得する取得手段と、

前記証明書発行サーバ装置の秘密鍵を用いて、前記公開鍵を含む公開鍵情報に、デジタル署名を施して、署名データを生成し、少なくとも前記公開鍵及び生成した前記署名データを含む公開鍵証明書を生成する証明書生成手段と、

生成した公開鍵証明書を鍵発行サーバ装置へ出力する出力手段とを備えることを特徴とする請求項 18に記載の鍵発行システム。

[20] 既知の素数 qより大きい素数候補 Nを算出して素数判定する素数算出装置で用いられる素数算出方法であって、

前記素数算出装置は、既知の素数 qを記憶している素数記憶手段と、素数の利用範囲における一意の管理情報を記憶している管理情報記憶手段とを備え、前記素数算出方法は、

前記管理情報記憶手段から前記管理情報を読み出し、読み出した前記管理情報に依存する攪乱情報 Rを生成する乱数生成ステップと、

前記素数記憶手段から前記素数 qを読み出し、読み出した前記素数 q及び生成された前記攪乱情報 Rを用いて、 N = 2 X攪乱情報 RX素数 q+ 1により、素数候補 N を算出する候補算出ステップと、

算出された素数候補 Nが素数であるカゝ否かを判定する素数判定ステップと、素数であると判定される場合に、算出された素数候補 Nを素数として出力する出力ステップと

を含むことを特徴とする素数算出方法。

[21] 既知の素数 qより大きい素数候補 Nを算出して素数判定する素数算出装置で用いられる素数算出用のコンピュータプログラムであって、

前記素数算出装置は、既知の素数 qを記憶している素数記憶手段と、素数の利用範囲における一意の管理情報を記憶している管理情報記憶手段とを備え、前記素数算出用のコンピュータプログラムは、前記管理情報記憶手段から前記管理情報を読み出し、読み出した前記管理情報に依存する攪乱情報 Rを生成する乱数生成ステップと、

を含むことを特徴とするコンピュータプログラム。

[22] 前記コンピュータプログラムは、

コンピュータ読み取り可能な記録媒体に記録されている

ことを特徴とする請求項 21に記載のコンピュータプログラム。

[23] 前記コンピュータプログラムは、

搬送波に乗せられて送信される