DE69635234T2 - Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel - Google Patents

Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel Download PDF

Info

Publication number
DE69635234T2
DE69635234T2 DE69635234T DE69635234T DE69635234T2 DE 69635234 T2 DE69635234 T2 DE 69635234T2 DE 69635234 T DE69635234 T DE 69635234T DE 69635234 T DE69635234 T DE 69635234T DE 69635234 T2 DE69635234 T2 DE 69635234T2
Authority
DE
Germany
Prior art keywords
secret key
portable device
key
personal portable
tamper
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69635234T
Other languages
English (en)
Other versions
DE69635234D1 (de
Inventor
Shinji Ishii
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP15503095A external-priority patent/JPH096233A/ja
Priority claimed from JP15941495A external-priority patent/JPH096236A/ja
Priority claimed from JP7204642A external-priority patent/JPH0950236A/ja
Priority claimed from JP8072949A external-priority patent/JPH09261217A/ja
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of DE69635234D1 publication Critical patent/DE69635234D1/de
Application granted granted Critical
Publication of DE69635234T2 publication Critical patent/DE69635234T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein Verfahren und ein System zur Erzeugung und zur Verwaltung eines Geheimschlüssels eines auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems, so dass ein Geheimschlüssel vor jedem geheimgehalten werden kann und nur durch einen spezifischen Anwender anwendbar ist.
  • Beschreibung des Standes der Technik
  • Wenn digitale Daten mit Copyrights, wie beispielsweise Sprach/Video-Daten oder Ausführungsprogramme, zum Verkauf über Netzwerke anzubieten sind, müssen die Probleme einer Anwenderauthentifizierung, einer Lieferungsbestätigung und eines Schutzes vor illegalem digitalem Kopieren berücksichtigt werden.
  • Als Verfahren zum Lösen des Problems einer Anwenderauthentifizierung gibt es ein Verfahren, das das auf einem öffentlichen Schlüssel basierende Verschlüsselungssystem als digitalen Verschlüsselungsalgorithmus verwendet. Im folgenden wird das auf einem öffentlichen Schlüssel basierende Verschlüsselungssystem kurz beschrieben werden.
  • Der digitale Verschlüsselungsalgorithmus enthält ein Geheimschlüssel-Verschlüsselungssystem (ein Verschlüsselungssystem mit gemeinsam genutztem Schlüssel) und ein auf einem öffentlichen Schlüssel basierendes Verschlüsselungssystem.
  • Das Geheimschlüssel-Verschlüsselungssystem ist für eine Hochgeschwindigkeitsverarbeitung geeignet, aber es verwendet denselben gemeinsam genutzten Schlüssel für einen Verschlüsselungsschlüssel und einen Entschlüsselungsschlüssel, so dass dieser gemeinsam genutzte Schlüssel nur zwischen kommunizierenden Parteien geheim gehalten werden muss.
  • Andererseits erfordert das Öffentlich-Schlüssel-Verschlüsselungssystem eine größere Menge von Berechnungen im Vergleich mit dem Geheimschlüssel-Verschlüsselungssystem, so dass es nicht für eine Hochgeschwindigkeitsverarbeitung geeignet ist, sondern es verschiedene Schlüssel für einen Verschlüsselungsschlüssel und einen Entschlüsselungsschlüssel verwendet, so dass der Verschlüsselungsschlüssel der Öffentlichkeit offenbart werden kann und eine geheime Verteilung eines Schlüssels, wie es für den gemeinsam genutzten Schlüssel des Geheimschlüssel-Verschlüsselungssystems erforderlich ist, unnötig ist.
  • Jedoch kann bei dem auf einem öffentlichen Schlüssel basierendem Verschlüsselungssystem jeder einen verschlüsselten Text erzeugen, weil der Verschlüsselungsschlüssel der Öffentlichkeit offenbart wird. Aus diesem Grund ist es dann, wenn eine verschlüsselte Nachricht empfangen wird, nötig, zu zertifizieren, wer diese verschlüsselte Nachricht gesendet hat. Dafür ist eine Senderauthentifizierung unter Verwendung der Signatur entwickelt worden.
  • Ein repräsentatives Beispiel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems, das mit einer Senderauthentifizierungsfunktion ausgestattet ist, ist das RSA-Verschlüsselungssystem. In diesem RSA- Verschlüsselungssystem wird ein Verschlüsselungsschlüssel zum Zeitpunkt einer Verschlüsselung verwendet und wird ein Entschlüsselungsschlüssel zur Zeit einer Entschlüsselung verwendet, während ein Entschlüsselungsschlüssel auch zum Zeitpunkt eines Erzeugens einer Signatur verwendet wird und ein Verschlüsselungsschlüssel zu einer Zeit eines Verifizierens dieser Signatur verwendet wird.
  • Ungeachtet dessen, welches auf einem öffentlichen Schlüssel basierende Verschlüsselungssystem genau verwendet wird, gibt es eine Notwendigkeit für eine Funktion eines Zertifizierungs(her)ausgabezentrums, das einen Signifizierer und seinen Verschlüsselungsschlüssel der Öffentlichkeit wahrheitsgemäß offenbart, damit kommunizierende Parteien einander korrekt verifizieren. Dieses Zertifikationsausgabezentrum ist erforderlich, um die folgende Anforderung zu erfüllen: "Das Zertifikationsausgabezentrum und Mitarbeiter in diesem Zentrum müssen der Öffentlichkeit eine Zertifikation ausgeben und offenbaren, die eine Beziehung zwischen einem Verschlüsselungsschlüssel und einer registrierten Person genau und wahrheitsgemäß zertifiziert." (Ein solches Zertifikationsausgabezentrum (Schlüsselmanagementzentrum) wird in der Kryptographietheorie Trust genannt).
  • Nun gibt es digitale Daten, wie beispielsweise Programme für Personalcomputer, Videodaten, Musikdaten, etc., die als kommerzielle Güter angeboten werden, aber in einem Fall der digitalen Daten werden im Allgemeinen die Daten selbst nach wiederholten Kopien nicht verschlechtert, wie beispielsweise einer Kopie von einem Original und einer Kopie von einer Kopie, so dass es schwierig wird, die illegalen Kopien auszurotten und ein ernsthafter Schaden durch die illegalen Kopien verursacht werden kann.
  • Herkömmliche bekannte Maßnahmen gegen solche illegalen Kopien enthalten (1) ein Schema zum Vorsehen eines Schutzes auf einem Datenversorgungsmedium (wie beispielsweise einer Diskette), um ein Kopieren selbst zu verhindern, und (2) ein Schema, bei welchem ein Kopieren selbst zugelassen ist, aber die Inhalte von digitalen Daten verschlüsselt sind, so dass ein Schlüssel nötig ist, um die meisten Teile von Programmen, Videodaten, Musikdaten, etc. auszuführen oder zu reproduzieren, und der Schlüssel wird nur zu denjenigen Personen verteilt, die tatsächlich den Preis gezahlt haben oder deren Absicht zum Bezahlen des Preises durch Verwenden der Netzwerke bestätigt werden kann. Bei dem letzteren Schema sollten die digitalen Dateninhalte durch Anwenden einer Hochgeschwindigkeits-Entschlüsselung verwendbar sein, so dass das Geheimschlüssel-Verschlüsselungssystem verwendet wird.
  • Das erstere Schema wird oft bei einer Spielsoftware für einen Personalcomputer verwendet, aber der Schutz kann auch ein legales Kopieren durch einen legitimierten Anwender, wie beispielsweise ein Kopieren, das zur Zeit eines Installierens in eine Festplatte erforderlich ist, oder ein Kopieren, das zu einer Zeit eines Erzeugens eines Backups erforderlich ist, beschränken, so dass es mehr Nachteile als Vorteile hat, und aus diesem Grund wird dieses Schema bei Geschäftssoftware kaum verwendet.
  • Andererseits wird vom letzteren Schema angenommen, dass es sehr aussichtsreich bzw. zukunftsträchtig und anpassbar ist, weil die digitalen Dateninhalte frei kopiert und an viele verteilt werden können, während eine Versuchsanwendung von einem Teil der digitalen Dateninhalte möglich ist, selbst wenn eine vollständige Nutzung der digitalen Dateninhalte nicht möglich ist, bis ein Schlüssel durch einen legalen Prozess, wie beispielsweise die Bezahlung des Preises, erhalten wird.
  • Die technischen Punkte, die zum Realisieren des letzteren Schemas unter Verwendung eines Schlüssels berücksichtigt werden müssen, sind ein Verfahren zum Bestätigen einer Absicht zum Bezahlen, ein Verfahren zum Verteilen eines Schlüssels und ein Verfahren zum Managen bzw. Verwalten eines Schlüssels.
  • Für eine Bestätigung der Absicht eines Anwenders, zu zahlen, ist eine Verwendung der Signaturfunktion effektiv. Für eine Verteilung eines gemeinsam genutzten Schlüssels, der zur Entschlüsselung der verschlüsselten digitalen Daten verwendet werden soll, ist ein Verfahren unter Verwendung des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems effektiv.
  • In Bezug auf ein Verfahren zum Managen eines Schlüssels ist es sinnlos, wenn ein Anwender die durch den gemeinsam genutzten Schlüssel entschlüsselten digitalen Daten kopieren kann, so dass es effektiv ist, ein Verfahren zu verwenden, bei welchem das Entschlüsseln innerhalb eines Personalcomputers ausgeführt wird, und ein Verstecken der entschlüsselten digitalen Daten wird vorgesehen, so dass sogar ein Anwender selbst die entschlüsselten digitalen Daten nicht kontaktieren kann.
  • Außerdem ist es problematisch, wenn ein Anwender den gemeinsam genutzten Schlüssel frei verteilen kann, so dass es effektiv ist, zusätzlich ein Verfahren zu verwenden, bei welchem der gemeinsam genutzte Schlüssel durch einen Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems verschlüsselt wird, und ein Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems, der zur Entschlüsselung von sowohl den digitalen Daten als auch dem gemeinsam genutzten Schlüssel verwendet werden soll, außerhalb der Reichweite von sogar einem Anwender selbst gehalten wird.
  • Jedoch selbst dann, wenn ein solches Schlüsselmverwaltungsverfahren verwendet wird, kann eine Person, die den Sessionschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems eines Anwenders erzeugte, eine Signatur für eine Absicht eines Anwenders zur Bezahlung fälschen, so dass es streng gesagt unmöglich ist, zu beurteilen, ob eine Signatur eine wahre Signatur ist, die eine Absicht eines Anwenders reflektiert, oder eine gefälschte Signatur ist. Aus diesem Grund ist herkömmlich vorausgesetzt worden, dass Personen (Schlüsselmanager), die bei der Erzeugung des Schlüssels beteiligt sind, niemals eine illegale Handlung begehen.
  • Jedoch muss es unter der Berücksichtigung der Tatsache, dass die meisten der illegalen Handlungen, die tatsächlich bis heute begannen sind, die durch diese Schlüsselmanager begangenen illegalen Handlungen sind, angenommen werden, dass es äußerst plausibel ist, dass die Schlüsselmanager in Zukunft illegale Handlungen zu begehen. Anders ausgedrückt ist es selbst dann, wenn die Schlüsselmanager tatsächlich unschuldig sind, unmöglich, einen Verdacht vollständig zu beseitigen, der auf Schlüsselmanager fällt.
  • Zusammenfassend müssen in Bezug auf einen Kauf und eine Verwendung von digitalen Daten, die auf einfache Weise kopiert werden können, ein Anwender und ein Schlüsselmanager die folgenden Bedingungen erfüllen.
    • (1) Ein Schlüssel zur Entschlüsselung der digitalen Daten (ein Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems und ein gemeinsam genutzter Schlüssel eines Geheimschlüssel-Verschlüsselungssystems) sollte keinem, einschließlich einem Anwender und einem Schlüsselmanager, bekannt (oder durch diesen erzeugt) sein.
    • (2) Es muss möglich sein, nachzuweisen, dass ein Schlüssel zur Verwendung bei einer Signatur zum Zertifizieren einer Absicht eines Anwenders zur Bezahlung (ein Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems) nicht durch irgendjemanden verwendet werden kann, außer einem Anwender.
  • Jedoch ist es bis heute unmöglich gewesen, nachzuweisen, dass nur ein Anwender einen Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems verwenden kann, der keinem, einschließlich einem Anwender, bekannt sein sollte.
  • Darüber hinaus ist es bis heute, wenn ein Geheimschlüssel verschwand oder nicht mehr nutzbar wurde, unmöglich gewesen, einen Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems wiederherzustellen (wiederzubeleben), welcher keinem, einschließlich einem Anwender, bekannt sein sollte.
  • Im Artikel „Using Secure Coprocessors" von Bennet Yee, 31.5.1994, School of Computer Science, Carnegie Mellon Universität wir ein Verfahren zum Erzeugen und Verwalten eines Geheimschlüssels eines Öffentlich-Schlüssel-Verschlüsselungssystems offenbart.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zur Erzeugung und zur Verwaltung eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems zur Verfügung zu stellen, bei dem der Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems reproduziert (wieder belebt) werden kann, ohne eine spezielle Vorrichtung zum Schreiben des Geheimschlüssels in eine persönliche tragbare Vorrichtung zu erfordern.
  • Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Erzeugen und Verwalten eines Geheimschlüssels eines Öffentlich- Schlüssel-Verschlüsselungssystems bereitgestellt, umfassend die Schritte: (a) getrenntes Eingeben, nach Anforderung einer Geheimschlüsselreproduktion aufgrund des Verlustes des Geheimschlüssels in einer manipulationsresistenten persönlichen tragbaren Vorrichtung, jedes der partiellen Geheimschlüssel zum Bilden des Geheimschlüssels aus allen Entitäten, die Interessen mit dem Benutzer der Manipulations-resistenten persönlichen tragbaren Vorrichtung teilen, in die Manipulations-resistente persönliche tragbare Vorrichtung, wobei jeder partielle Geheimschlüssel von jeder Entität geheim verwaltet wird, und die partiellen Geheimschlüssel durch Teilen des Geheimschlüssels erhalten werden; (b) Erzeugen des Geheimschlüssels innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung aus den in Schritt (a) eingegebenen partiellen Geheimschlüsseln; und (c) Speichern des in Schritt (b) erzeugten Geheimschlüssels in einem Speicherbereich in der Manipulations-resistenten persönlichen tragbaren Vorrichtung (55), aus welchem der Geheimschlüssel nicht aus der Manipulations-resistenten persönlichen tragbaren Vorrichtung ausgelesen werden kann; und (d) Verwenden des in Schritt (c) gespeicherten Geheimschlüssels zum Entschlüsselungsverarbeiten und Signierverarbeiten nur innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung.
  • Gemäß einem anderen Aspekt der vorliegenden Erfindung wird eine Manipulations-resistente persönliche tragbare Vorrichtung zum Erzeugen und Verwalten eines Geheimschlüssels eines öffentlichen Schlüsselkryptosystems bereitgestellt, umfassend: erste Mittel zum getrennten Eingeben, nach Anforderung einer Geheimschlüsselreproduktion aufgrund des Verlustes des Geheimschlüssels in einer manipulationsresistenten persönlichen tragbaren Vorrichtung, jedes der partiellen Geheimschlüssel zum Bilden des Geheimschlüssels aus allen Entitäten, die Interessen mit dem Benutzer der Manipulations-resistenten persönlichen tragbaren Vorrichtung teilen, in die Manipulations-resistente persönliche tragbare Vorrichtung, wobei jeder partielle Geheimschlüssel von jeder Entität geheim verwaltet wird, und die partiellen Geheimschlüssel durch Teilen des Geheimschlüssels erhalten werden; zweite Mittel zum Erzeugen des Geheimschlüssels innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung aus den durch die ersten Mittel eingegebenen partiellen Geheimschlüsseln; dritte Mittel zum Speichern des durch die zweiten Mittel erzeugten Geheimschlüssels in einem Speicherbereich, aus welchem der Geheimschlüssel nicht aus der Manipulations-resistenten persönlichen tragbaren Vorrichtung ausgelesen werden kann; und Vierte Mittel zum Verwenden des durch die dritten Mittel gespeicherten Schlüssels zum Entschlüsselungsverarbeiten und Signierverarbeiten nur innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung.
  • Andere Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden Beschreibung genommen in Zusammenhang mit den beigefügten Zeichnungen klar werden.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein schematisches Diagramm einer konzeptmäßigen Konfiguration eines Zertifikationsausgabesystems, das nicht gemäß der vorliegenden Erfindung ist, aber für deren Verständnis nützlich.
  • 2 ist ein Blockdiagramm einer beispielhaften Konfiguration eines Schlüssel- und Zertifikations-Erzeugungsmechanismus in dem Zertifikationsausgabesystem der 1.
  • 3 ist ein Blockdiagramm einer beispielhaften Konfiguration einer Verschlüsselungssystemvorrichtung bei dem ersten Ausführungsbeispiel der vorliegenden Erfindung.
  • 4 ist ein Ablaufdiagramm für einen Betrieb zum Ausgeben einer autorisierten Verschlüsselungssystemvorrichtung in dem Zertifikationsausgabesystem der 1.
  • 5 ist ein Blockdiagramm einer Konfiguration eines Systems bei dem zweiten Ausführungsbeispiel der vorliegenden Erfindung.
  • 6 ist ein Ablaufdiagramm für einen Betrieb zum Ausgeben einer autorisierten Verschlüsselungssystemvorrichtung bei dem System der 5.
  • 7 ist ein Diagramm einer konzeptmäßigen Konfiguration eines Systems bei dem dritten Ausführungsbeispiel der vorliegenden Erfindung.
  • 8 ist ein Ablaufdiagramm für eine Prozedur zum Reproduzieren des Geheimschlüssels in dem System der 7.
  • 9 ist ein Diagramm, das eine beispielhafte, für eine Geheimschlüssel-Reproduktion nötige Bedingung zeigt, die bei dem dritten Ausführungsbeispiel verwendet wird.
  • 10 ist ein Blockdiagramm einer beispielhaften Konfiguration einer Geheimschlüssel-Reproduktionsvorrichtung bei dem dritten Ausführungsbeispiel der vorliegenden Erfindung.
  • 11 ist ein Diagramm einer konzeptmäßigen Konfiguration eines Systems bei einer Modifikation des dritten Ausführungsbeispiels der vorliegenden Erfindung.
  • 12 ist ein Ablaufdiagramm für eine Prozedur zum Reproduzieren des Geheimschlüssels bei einer Modifikation des dritten Ausführungsbeispiels der vorliegenden Erfindung.
  • 13 ist ein Diagramm einer konzeptmäßigen Konfiguration eines vierten Systems, dass nicht gemäß der vorliegenden Erfindung ist.
  • 14 ist ein Blockdiagramm einer persönlichen tragbaren Vorrichtung bei dem vierten Ausführungsbeispiel.
  • 15 ist ein Ablaufdiagramm für eine Schlüsselerzeugungsprozedur bei dem vierten Ausführungsbeispiel.
  • 16 ist ein Ablaufdiagramm für eine Geheimschlüssel-Löschprozedur bei dem vierten Ausführungsbeispiel.
  • 17 ist ein Diagramm einer konzeptmäßigen Konfiguration eines Systems in einer Ausführungsform der vorliegenden Erfindung.
  • 18 ist ein Blockdiagramm einer persönlichen tragbaren Vorrichtung in der Ausführungsform der vorliegenden Erfindung.
  • 19 ist ein Diagramm, das eine Schlüsselerzeugungsprozedur zeigt, die in der Ausführungsform der vorliegenden Erfindung verwendet wird.
  • 20 ist ein Ablaufdiagramm für eine Prozedur für eine erneute Ausgabe von Geheimschlüssel und persönlicher tragbarer Vorrichtung in der Ausführungsform der vorliegenden Erfindung.
  • 21 ist ein Ablaufdiagramm für eine Geheimschlüssel-Aktualisierungsprozedur in der Ausführungsform der vorliegenden Erfindung.
  • DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Im Folgenden wird eine Ausführungsform eines Verfahrens und eines Systems zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems der vorliegenden Erfindung für einen beispielhaften Fall eines Verwendens des RSA-Verschlüsselungssystems beschrieben werden, welches das am meisten verwendete, auf einem öffentlichen Schlüssel basierende Verschlüsselungssystem ist, das sowohl eine Verschlüsselungsfunktion als auch eine Authentifizierungsfunktion hat. Jedoch werden zuerst vier Ausführungsbeispiele beschrieben, die nicht gemäß der vorliegenden Erfindung, aber für das Verständnis der letzteren nützlich sind.
  • Nimmt man nun Bezug auf 1 bis 4, wird das erste Ausführungsbeispiel eines Verfahrens und eines Systems zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems detailliert beschrieben werden.
  • 1 zeigt eine konzeptmäßige Konfiguration eines Zertifikationsausgabesystems 100, das bei diesem ersten Ausführungsbeispiel verwendet wird, welches einen Schlüssel- und Zertifikations-Erzeugungsmechanismus 110 und einen Schreibmechanismus 120 enthält.
  • Der Schlüssel- und Zertifikations-Erzeugungsmechanismus 110 ist durch einen Behälter ausgebildet, der physisch und elektrisch geschützt ist, so dass ein Lesen eines erzeugten Geheimschlüssels und eine Manipulation einer erzeugten Zertifikation nicht durch irgendjemanden auf irgendeine, wie auch immer geartete Weise durchgeführt werden können. Dieser Behälter ist speziell so ausgedacht, dass selbst dann, wenn es erzwungen wird, ihn zu öffnen, die innere Struktur völlig außer Betrieb gelangt, und nachdem es erzwungen ist, ihn zu öffnen, er nicht wieder zu einem ursprünglichen Zustand wiederhergestellt werden kann. Diese Art von Vorrichtung wird manipulationssichere Vorrichtung genannt, für welche ein Beispiel das Zertifikatausgabesystem ist, das von VeriSign, Inc. hergestellt wird (siehe http://www.verisign.com/products/cis.html für die Details.)
  • Der Schreibmechanismus 120 schreibt den Geheimschlüssel und die Zertifikation, die durch den Schlüssel- und Zertifikations-Erzeugungsmechanismus 110 erzeugt sind, in eine einen Geheimschlüssel speicherbare RSA-Verschlüsselungssystem-Verarbeitungsvorrichtung (die in Form einer PC-Karte, einer IC-Karte, etc. zur Verfügung gestellt sein kann und die hierin nachfolgend als Verschlüsselungssystemvorrichtung abgekürzt werden wird), die in das Zertifikations-Ausgabesystem 100 eingefügt ist.
  • Eine nicht autorisierte Verschlüsselungssystemvorrichtung 200 ist als Ganzes in das Zertifikations-Ausgabesystem 100 einzufügen, während persönliche Anwenderdaten (ID) in das Zertifikations-Ausgabesystem 100 mittels Tasten (nicht gezeigt) eingegeben werden, die an dem Zertifikations-Ausgabesystem 100 vorgesehen sind. Dann werden der durch den Schlüssel- und Zertifikations-Erzeugungsmechanismus 100 erzeugte Geheimschlüssel und die Zertifikation in diese Verschlüsselungssystemvorrichtung 200 durch den Schreibmechanismus 120 innerhalb des Zertifikations-Ausgabesystems 100 geschrieben und wird die autorisierte Verschlüsselungssystemvorrichtung 200' von dem Zertifikations-Ausgabesystem 100 zurückgebracht.
  • Hier hat die Verschlüsselungssystemvorrichtung 200 eine Struktur zum Verhindern, dass irgendjemand den darin geschriebenen Geheimschlüssel liest. Allgemein kann zugelassen sein, dass ein Anwender, der der Besitzer des Geheimschlüssels ist, den Geheimschlüssel kennt, aber die Verschlüsselungssystemvorrichtung 200 dieses Ausführungsbeispiels ist so entwickelt, dass selbst ein Besitzer dieser Vorrichtung den Wert des darin gespeicherten Geheimschlüssels nicht erfahren kann, und zwar angesichts der Tatsache, dass dann, wenn der Geheimschlüssel einmal bekannt wird, es eine Möglichkeit dafür gibt, das illegale digitale Kopieren der digitalen Daten zuzulassen. Ebenso ist die in die Verschlüsselungssystemvorrichtung 200 geschriebene Zertifikation eine signierte Zertifikation, die eine öffentliche Information ist, so dass diese Zertifikation von jedem frei gelesen werden kann, aber nicht gefälscht werden sollte. Aus diesem Grund stellt die Verschlüsselungssystemvorrichtung 200 einen Schreibschutz zum Verhindern eines Schreibens der Zertifikation außerhalb des Zertifikations-Ausgabesystems 100 zur Verfügung. Ein Beispiel für diesen Typ von manipulationsresistenter Vorrichtung ist in S. H. Weingart, "Physical Security for the μASBYSS System", Proceedings 1987 IEEE Symposium on Security and Privacy, S. 52–58, April 1987 offenbart.
  • Der Schlüssel- und Zertifikations-Erzeugungsmechanismus 110 erzeugt einen öffentlichen RSA-Schlüssel (e, n) aus den persönlichen Anwenderdaten (ID), und einen RSA-Geheimschlüssel d aus dem öffentlichen Schlüssel. Zusätzlich erzeugt der Schlüssel- und Zertifikations-Erzeugungsmechanismus 110 auch eine Zertifikation {n, e, ID} aus dem öffentlichen Schlüssel und bringt eine Signatur s (n, e, ID) an dieser Zertifikation an. Hier wird die signierte Zertifikation als C bezeichnet werden.
  • Der Schreibmechanismus 120 schreibt dann den Geheimschlüssel d und die signierte Zertifikation C in die nicht autorisierte Verschlüsselungssystemvorrichtung 200, die durch einen Anwender eingefügt ist, und wirft sie als die autorisierte Verschlüsselungssystemvorrichtung 200' aus.
  • 2 zeigt eine beispielhafte Konfiguration des Schlüssel- und Zertifikations-Erzeugungsmechanismus 110 zusammen mit einem Ablauf zum Schreiben in die Verschlüsselungssystemvorrichtung 200 im Zertifikations-Ausgabesystem 100. In 2 umfasst der Schlüssel- und Zertifikations-Erzeugungsmechanismus 110: eine Zufallszahl-Erzeugungseinheit 111, in welcher die persönlichen Daten 210 eingegeben werden; eine Primzahlpaar-Erzeugungseinheit 112, die mit der Zufallszahl-Erzeugungseinheit 111 verbunden ist; eine Erzeugungseinheit 113 für einen öffentlichen Schlüssel, die mit der Primzahlpaar-Erzeugungseinheit 212 verbunden ist; eine Speichereinheit 114 für einen öffentlichen Schlüssel, die mit der Erzeugungseinheit 113 für einen öffentlichen Schlüssel verbunden ist; eine Zertifikations-Erzeugungseinheit 115, in welcher die persönlichen Daten 210 auch eingegeben werden und die auch mit der Erzeugungseinheit 113 für einen öffentlichen Schlüssel verbunden ist; eine Zertifikations-Signiereinheit 116, die mit der Zertifikations-Erzeugungseinheit 115 verbunden ist; und eine Geheimschlüssel-Erzeugungseinheit 117, die auch mit der Erzeugungseinheit 113 für einen öffentlichen Schlüssel verbunden ist.
  • 3 zeigt eine beispielhafte Konfiguration der Verschlüsselungssystemvorrichtung 200, die umfasst: eine Vorrichtungsschnittstelle 211, eine CPU 212, einen EEPROM (einen Zertifikationsspeicherbereich) 213 und einen RSA-Verschlüsselungssystem-Prozessorchip 214, die über einen Bus 217 verbunden sind. Der RSA-Verschlüsselungssystem-Prozessorchip 217 enthält einen RSA-Verschlüsselungssystem-Prozessor 215 und eine Geheimschlüssel-Speichereinheit 216. Hier ist die Geheimschlüssel-Speichereinheit 216 ein Schreib-Register, so dass der darin geschriebene Geheimschlüssel nicht ausgelesen werden kann. Nur das Decodier-(Signier-) Verarbeitungsergebnis von dem RSA-Verschlüsselungssystem-Prozessor 215 kann aus dem RSA-Verschlüsselungssystem-Prozessorchip 214 ausgelesen werden. Ebenso ist die (signierte) Zertifikation, die in das EEPROM 213 geschrieben ist, lesbar, aber es ist Schreibschutz zum Verhindern eines Schreibens der Zertifikation außerhalb des Zertifikations-Ausgabesystems 100 vorgesehen.
  • Nun wird der Vorgang zum Ausgeben der autorisierten Verschlüsselungssystemvorrichtung, um durch einen spezifischen Anwender im Zertifikations-Ausgabesystem 100 dieses ersten Ausführungsbeispiels verwendet zu werden, gemäß dem Ablaufdiagramm der 4 wie folgt ausgeführt.
  • Zuerst gibt der Anwender die persönlichen Daten (ID) 210, die diesen Anwender eindeutig identifizieren können und die der Öffentlichkeit offenbart werden können, ein (Schritt 300). Der Schlüssel- und Zertifikations-Erzeugungsmechanimus 110 des Zertifikations-Ausgabesystems 100 empfängt dann die eingegebenen persönlichen Daten 210 (Schritt 310) und erzeugt eine Zufallszahl in der Zufallszahl-Erzeugungseinheit 111 (Schritt 311). Diese Zufallszahl wird als Keim verwendet werden, der bei der Primzahlerzeugung erforderlich ist. Diese Zufallszahl-Erzeugungseinheit 111 ist erforderlich, um die folgenden Bedingungen zu erfüllen: (1) es ist sehr schwierig, das Ergebnis der Zufallszahlenerzeugung aus den eingegebenen Daten zu raten (d.h. es ist Einweg-zufällig), und (2) die ausgegebenen Ergebnisse sind sogar für beeinflusste eingegebene Daten gleichmäßig verteilt.
  • Dann wird aus der bei der Zufallszahl-Erzeugungseinheit 111 erzeugten Zufallszahl ein Paar von zwei Primzahlen (p, q) in der Primzahlpaar-Erzeugungseinheit 112 erzeugt (Schritt 312). Die Eigenschaften, die allgemein für diese Primzahlpaar-Erzeugungseinheit 112 erforderlich sind, sind in ITU-T recommendation X.509 Annex C beschrieben.
  • Dann wird aus diesem Primzahlpaar (p, q) der öffentliche Schlüssel (e, n (= p × q)) in der Erzeugungseinheit 113 für einen öffentlichen Schlüssel erzeugt (Schritt 313). An dieser Stelle wird geprüft, ob der erzeugte öffentliche Schlüssel doppelt ausgegeben ist oder nicht, d.h. der erzeugte öffentliche Schlüssel mit irgendeinem zuvor erzeugten öffentlichen Schlüssel überlappend ist oder nicht, indem auf die Speichereinheit 114 für einen öffentlichen Schlüssel zurückgegriffen wird (Schritt 314). Falls der erzeugte öffentliche Schlüssel doppelt ausgegeben ist, kehrt die Operation zurück zu dem obigen Schritt 311, wohingegen sonst der erzeugte öffentliche Schlüssel (e, n (p, q)) in der Speichereinheit 114 für einen öffentlichen Schlüssel registriert wird (Schritt 315).
  • Als nächstes wird aus den eingegebenen persönlichen Daten (ID) 210 und dem bei der Erzeugungseinheit 113 für einen öffentlichen Schlüssel erzeugten öffentlichen Schlüssel (e, n (p, q)) die Zertifikation {n, e, ID} in der Zertifikations-Erzeugungseinheit 115 erzeugt (Schritt 316). Die Elemente, die für diese Zertifikation erforderlich sind, sind in ITU-T recommendation X.509 beschrieben.
  • Dann wird für diese bei der Zertifikations-Erzeugungseinheit 115 erzeugte Zertifikation die Signatur s(n, e, ID) des Zertifikations-Herausgebers durch Verwenden eines öffentlichen Schlüssels und des Geheimschlüssels dieses Zertifikations-Ausgabesystems 100 in der Zertifikations-Signiereinheit 116 angebracht (Schritt 317). Hier garantiert der Zertifikations-Herausgeber nur eine Verbindung zwischen dem öffentlichen Schlüssel und den persönlichen Daten, und selbst dieser Zertifikations-Herausgeber kennt den Geheimschlüssel nicht.
  • Dann wird aus dem bei der Erzeugungseinheit 113 für einen öffentlichen Schlüssel erzeugten öffentlichen Schlüssel der Geheimschlüssel d in der Geheimschlüssel-Erzeugungseinheit 117 erzeugt (Schritt 318).
  • Andererseits wird die Verschlüsselungssystemvorrichtung (wie beispielsweise eine PC-Karte, eine IC-Karte, etc.) 200 als Gesamtes in das Zertifikations-Ausgabesystem 100 eingefügt. Dann schreibt der Schreibmechanismus 120 die in der Zertifikations-Signiereinheit 116 erhaltene signierte Zertifikation C und den in der Geheimschlüssel-Erzeugungseinheit 117 erzeugten Geheimschlüssel d in die eingefügte Verschlüsselungssystemvorrichtung 200 (Schritt 319), und wird die autorisierte Verschlüsselungssystemvorrichtung 220' aus dem Zertifikations-Ausgabesystem 100 ausgeworfen (Schritt 320), so dass der Anwender diese autorisierte Verschlüsselungssystemvorrichtung 200' empfängt (Schritt 330).
  • Bei diesem ersten Ausführungsbeispiel ist der Schlüssel- und Zertifikations-Erzeugungsmechanismus 110 des Zertifikations-Ausgabesystems 100 eine abgedeckte manipulationsresistente Vorrichtung, die nicht durch irgendjemanden berührt werden kann, so dass keiner den Geheimschlüssel auslesen oder die Zertifikation fälschen kann. Zusätzlich ist der in der Verschlüsselungssystemvorrichtung 200 geschriebene Geheimschlüssel nicht lesbar. Folglich ist es möglich, nachzuweisen, dass der Anwender der einzige ist, der die Absicht zur Bezahlung ausdrückte, während es auch möglich ist, nachzuweisen, dass der Anwender die digitalen Daten nicht ohne eine Erlaubnis vom Informationslieferer kopieren kann.
  • Anders ausgedrückt, wird der Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems auf eine derartige Weise erzeugt, dass der Wert dieses Geheimschlüssels nicht irgendjemandem bekannt sein kann, einschließlich demjenigen, die bei der Schlüsselerzeugung beteiligt sind. Dann wird dieser Geheimschlüssel auf eine derartige Weise gespeichert, dass der Wert von diesem Geheimschlüssel nicht durch irgendjemanden ausgelesen und für diesen bekannt sein kann, einschließlich dem Anwender. Auf diese Weise ist der Geheimschlüssel nur innerhalb der persönlichen tragbaren Vorrichtung nutzbar, die im Besitz des Anwenders ist, so dass nur der Anwender diesen Geheimschlüssel nutzen kann, während nicht einmal dieser Anwender den Wert des Geheimschlüssels kennt.
  • Somit wird es gemäß diesem ersten Ausführungsbeispiel möglich, ein Verfahren und ein System zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems zur Verfügung zu stellen, wobei es möglich ist, nachzuweisen, dass nur ein Anwender den Geheimschlüssel nutzen kann, der niemandem, einschließlich einem Anwender, bekannt sein sollte, so dass ein illegales Kopieren von digitalen Daten verhindert werden kann und eine unfehlbare Bestätigung einer Absicht eines Anwenders zur Bezahlung durchgeführt werden kann.
  • Als Folge davon wird es in einem Fall eines Anbietens von Computerprogrammen oder digitalen Sprach/Video-Daten mit Copyrights für Verkäufe über Netzwerke im Austausch mit der Bezahlung von Gebühren selbst dann, wenn es Geldschwierigkeiten zwischen dem Copyright-Besitzer, dem Verkäufer und dem Käufer gibt, gemäß diesem ersten Ausführungsbeispiel möglich, eine Person zu identifizieren, die die illegale Handlung beging, und zwar unter einem Gesichtspunkt einer dritten Person, so dass es eine effektive Maßnahme gegen die illegale Handlung zur Verfügung stellen kann.
  • Nimmt man nun Bezug auf 5 bis 6 wird ein zweites Ausführungsbeispiel eines Verfahrens und eines Systems zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems detailliert beschrieben werden. Dieses zweite Ausführungsbeispiel betrifft einen Fall, bei welchem die Schlüsselerzeugungsfunktion und die Zertifikations-Ausgabefunktion des Zertifikations-Ausgabesystems 100 bei dem oben beschriebenen ersten Ausführungsbeispiel getrennt sind. Im folgenden wird dieses zweite Ausführungsbeispiel für einen beispielhaften Fall beschrieben werden, bei welchem ein Schlüssel zur Verwendung durch einen spezifischen Anwender erzeugt wird.
  • 5 zeig eine Konfiguration eines Systems bei diesem zweiten Ausführungsbeispiel, welche eine Zertifikations-Ausgabezentrumsvorrichtung 140, eine Schlüssel-Erzeugungsvorrichtung 130 und eine Verschlüsselungssystemvorrichtung 200 gleich denjenigen enthält, die bei dem oben beschriebenen ersten Ausführungsbeispiel verwendet sind.
  • Die Zertifikations-Ausgabezentrumsvorrichtung 140 umfasst: eine Verifizierungseinheit 141 für persönliche Daten, in welche die persönlichen Daten 210 eingegeben werden; eine Speichereinheit 142 für einen öffentlichen Schlüssel, die mit der Verifizierungseinheit 141 für persönliche Daten verbunden ist; eine Zertifikationsanforderungs-Verifizierungseinheit 143, die auch mit der Verifizierungseinheit 141 für persönliche Daten verbunden ist; eine Zertifikations-Erzeugungseinheit 144, die mit der Zertifikationsanforderungs-Verifizierungseinheit 143 verbunden ist; und eine Zertifikations-Signiereinheit 145, die mit der Zertifikations-Erzeugungseinheit 144 verbunden ist.
  • Die Schlüssel-Erzeugungsvorrichtung 130 umfasst: eine Zufallszahl-Erzeugungseinheit 131, in welche die persönlichen Daten 210 eingegeben werden; eine Primzahlpaar-Erzeugungseinheit 132, die mit der Zufallszahl-Erzeugungseinheit 131 verbunden ist; eine Erzeugungseinheit 133 für einen öffentlichen Schlüssel, die mit der Primzahlpaar-Erzeugungseinheit 132 verbunden ist; eine Speichereinheit 134 für einen öffentlichen Schlüssel, die mit der Erzeugungseinheit 133 für einen öffentlichen Schlüssel verbunden ist; eine Geheimschlüssel-Erzeugungseinheit 135, die auch mit der Erzeugungseinheit 133 für einen öffentlichen Schlüssel verbunden ist; eine Zertifikationsanforderungs-Erzeugungseinheit 136, in welche die persönlichen Daten 210 auch eingegeben werden und die mit der Erzeugungseinheit 133 für einen öffentlichen Schlüssel verbunden ist und mit der Verifizierungseinheit 141 für persönliche Daten der Zertifikations-Ausgabezentrumsvorrichtung 140 zu verbinden ist; eine Zertifikationsanforderungs-Signiereinheit 137, die mit der Geheimschlüssel-Erzeugungseinheit 135 und der Zertifikationsanforderungs-Erzeugungseinheit 136 verbunden ist und mit der Zertifikationsanforderungs-Verifizierungseinheit 143 der Zertifikations-Ausgabezentrumsvorrichtung 140 zu verbinden ist; eine Zertifikations-Verifizierungseinheit 138, die mit der Zertifikations-Signiereinheit 145 der Zertifikations-Ausgabezentrumsvorrichtung 140 zu verbinden ist; eine Geheimschlüssel-Schreibeinheit 139-1, die mit der Geheimschlüssel-Erzeugungseinheit 135 verbunden ist; und eine Zertifikations-Schreibeinheit 139-2, die mit der Zertifikations-Verifizierungseinheit 138 verbunden ist.
  • Die Verschlüsselungssystemvorrichtung 200 ist in einer Form von beispielsweise einer IC-Karte vorgesehen und enthält eine Geheimschlüssel-Speichereinheit 201 und eine Zertifikations-Speichereinheit 202.
  • Jede der Zertifikations-Ausgabezentrumsvorrichtung 140, der Schlüssel-Erzeugungsvorrichtung 130 und der Verschlüsselungssystemvorrichtung 200 ist durch eine abgedeckte manipulationsresistente Vorrichtung gleich derjenigen ausgebildet, die bei dem oben beschriebenen ersten Ausführungsbeispiel verwendet ist, so dass niemand ihr Inneres berühren kann.
  • Es ist zu beachten, dass es Fälle gibt, bei welchen es unbequem ist, wenn die Zertifikations-Ausgabezentrumsvorrichtung 140 und die Schlüssel-Erzeugungsvorrichtung 130 bei einer geographisch identischen Stelle vorgesehen sind. Beispielsweise kann die Schlüssel-Erzeugungsvorrichtung 130 durch jeden Verschlüsselungssystemvorrichtungs-Ausgabeserviceprovider gehandhabt werden, aber solange wie die identische Zertifikations-Ausgabezentrumsvorrichtung 140 verwendet wird, können die Anwender, die die Verschlüsselungssystemvorrichtungen besitzen, die durch unterschiedliche Verschlüsselungssystemvorrichtungs-Herausgabeserviceprovider ausgegeben sind, einander authentifizieren, so dass es angenehmer ist, wenn es keine Notwendigkeit zum Verwenden derselben Anzahl von Zertifikations-Ausgabezentrumsvorrichtungen 140 und Schlüssel-Erzeugungsvorrichtungen 130 gibt.
  • Aus diesem Grund wird bei diesem zweiten Ausführungsbeispiel angenommen, dass die Zertifikations-Ausgabezentrumsvorrichtung 140 und die Schlüssel-Erzeugungsvorrichtung 130 an geographisch beabstandeten Stellen angeordnet sind und über einen Kommunikationspfad (wie beispielsweise eine Telefonleitung, ISDN, LAN, etc.) verbunden sind. Hier ist es wahrscheinlicher, dass ein verfügbarer Kommunikationspfad ein fälschbarer und daher nicht unbedingt zuverlässiger Kommunikationspfad ist, so dass dieses zweite Ausführungsbeispiel eine Möglichkeit des Fälschens auf dem Kommunikationspfad berücksichtigt.
  • Nun wird der Betrieb zum Ausgeben der autorisierten Verschlüsselungssystemvorrichtung, um durch einen spezifischen Anwender in dem System dieses zweiten Ausführungsbeispiels verwendet zu werden, gemäß dem Ablaufdiagramm der 6 wie folgt ausgeführt.
  • Zuerst gibt der Anwender die persönlichen Daten (ID) 210 ein, die diesen Anwender eindeutig identifizieren können (Schritt 400). Es ist ideal, als diese persönlichen Daten physikalische Kennungsdaten zu verwenden, die den Anwender eindeutig identifizieren können, wie beispielsweise diejenigen eines Fingerabdrucks, eines Stimmenabdrucks, einer Retina, etc., aber eine Verwendung von solchen physikalischen Kennungsdaten erfordert auch eine Vorrichtung zum Erfassen von solchen physikalischen Kennungsdaten und eine Einrichtung zum Beurteilen, ob die erfassten Daten wirklich diejenigen des Anwenders sind, so dass es, außer für einige spezielle Fälle, gegenwärtig realistischer ist, ID-Daten, wie beispielsweise einen Pass, einen Personalausweis, einen Führerschein, etc., zu verwenden, welche durch eine öffentliche Organisation ausgegeben werden. Die persönlichen Daten 210, die auf diese Weise erhalten sind, werden dann bei der Zertifikations-Ausgabezentrumsvorrichtung 140 und der Schlüssel-Erzeugungsvorrichtung 130 empfangen (Schritte 410 und 420).
  • In der Schlüssel-Erzeugungsvorrichtung 130 wird eine Zufallszahl in der Zufallszahl-Erzeugungseinheit 131 erzeugt (Schritt 411). Diese Zufallszahl wird als ein Keim verwendet werden, der bei der Primzahlerzeugung erforderlich ist. Diese Zufallszahl-Erzeugungseinheit 130 ist erforderlich, um die folgenden Bedingungen zu erfüllen: (1) es ist sehr schwierig, das Ergebnis der Zufallszahl-Erzeugung aus den eingegebenen Daten zu raten (d.h. es ist Einweg-zufällig), und (2) die ausgegebenen Ergebnisse sind selbst für beeinflusste eingegebene Daten gleichmäßig verteilt.
  • Dann wird aus der bei der Zufallszahl-Erzeugungseinheit 131 erzeugten Zufallszahl ein Paar von zwei Primzahlen (p, q) bei der Primzahlpaar-Erzeugungseinheit 132 erzeugt (Schritt 412).
  • Die Eigenschaften, die allgemein für diese Primzahlpaar-Erzeugungseinheit 132 erforderlich sind, sind in der ITU-T recommendation X.509 Annex C beschrieben.
  • Dann wird aus diesem Primzahlenpaar (p, q) der öffentliche Schlüssel (e, n (p, q)) bei der Erzeugungseinheit 133 für einen öffentlichen Schlüssel erzeugt (Schritt 413). An dieser Stelle wird geprüft, ob der erzeugte öffentliche Schlüssel doppelt ausgegeben ist oder nicht, d.h. der erzeugte öffentliche Schlüssel mit irgendeinem zuvor erzeugten öffentlichen Schlüssel überlagernd ist oder nicht, indem auf die Speichereinheit 134 für einen öffentlichen Schlüssel Bezug genommen wird (Schritt 414). Wenn der erzeugte öffentliche Schlüssel doppelt ausgegeben ist, springt die Operation zurück zu dem obigen Schritt 411, wohingegen sonst der erzeugte öffentliche Schlüssel (e, n (p, q)) in die Speichereinheit 134 für einen öffentlichen Schlüssel registriert wird (Schritt 415).
  • Dann wird aus dem bei der Erzeugungseinheit 133 für einen öffentlichen Schlüssel erzeugten öffentlichen Schlüssel der Geheimschlüssel d bei der Geheimschlüssel-Erzeugungseinheit 135 erzeugt (Schritt 416).
  • Andererseits wird aus den eingegebenen persönlichen Daten (ID) 210 und dem öffentlichen Schlüssel (e, n (p, q)), der bei der Erzeugungseinheit 133 für einen öffentlichen Schlüssel erzeugt wird, die Zertifikationsanforderung zum Anfordern einer Erzeugung der Zertifikation bei der Zertifikationsanforderungs-Erzeugungseinheit 136 erzeugt, und diese Zertifikationsanforderung wird in der Zertifikationsanforderungs-Signiereinheit 137 durch Verwenden des in der Geheimschlüssel-Erzeugungseinheit 135 erzeugten Geheimschlüssels signiert (Schritt 417). Die Elemente, die für diese Zertifikationsanforderung erforderlich sind, sind in ITU-T recommendation X.509 beschrieben.
  • Hier wird die Zertifikationsanforderung signiert, weil die Zertifikationsanforderung darauf folgend zu der Zertifikations-Ausgabezentrumsvorrichtung 140 gesendet werden wird, aber es gibt eine Möglichkeit dafür, dass ihr Inhalt in der Mitte des Kommunikationspfads gefälscht wird, wenn die Zertifikationsanforderung allein gesendet wird, so dass es nötig ist, es möglich zu machen, die Fälschung zu erfassen. Die in der Zertifikationsanforderungs-Erzeugungseinheit 136 erhaltene Zertifikationsanforderung und die bei der Zertifikationsanforderungs-Signiereinheit 137 erhaltene signierte Zertifikationsanforderung werden dann über den Kommunikationspfad zu der Zertifikations-Ausgabezentrumsvorrichtung 140 gesendet (Schritt 418).
  • Wenn die Zertifikationsanforderung und die signierte Zertifikationsanforderung aus der Schlüssel-Erzeugungsvorrichtung 130 empfangen werden (Schritt 421), verifiziert die Zertifikations-Ausgabezentrumsvorrichtung 140, ob die empfangene Zertifikationsanforderung auf dem Kommunikationspfad gefälscht worden ist oder nicht, indem der in der Zertifikationsanforderung enthaltene öffentliche Schlüssel herausgenommen und die signierte Zertifikationsanforderung unter Verwendung des herausgenommenen öffentlichen Schlüssels in der Zertifikationsanforderungs-Verifizierungseinheit 143 verifiziert wird (Schritt 422). Wenn die Zertifikationsanforderung verifiziert wird, kann diese Tatsache ein Nachweis dafür sein, dass die Zertifikationsanforderung auf dem Kommunikationspfad sicher nicht gefälscht worden ist.
  • Jedoch kann durch diese Verifizierung ein Fall eines Fälschens zu einer Zeit eines Eingebens der persönlichen Daten 210 bei der Schlüssel-Erzeugungsvorrichtung 130 nicht erfasst werden, so dass die Zertifikations-Ausgabezentrumsvorrichtung 140 in der Verifizierungseinheit 141 für persönliche Daten prüft, ob die von dem Anwender direkt empfangenen persönlichen Daten und die in der Zertifikationsanforderung enthaltenen persönlichen Daten miteinander übereinstimmen oder nicht (Schritt 423). Wenn diese persönlichen Daten übereinstimmen, prüft die Zertifikations-Ausgabezentrumsvorrichtung 140, ob der öffentliche Schlüssel doppelt ausgegeben ist oder nicht, indem auf die Speichereinheit 142 für einen öffentlichen Schlüssel Bezug genommen wird (Schritt 424).
  • Wenn irgendeine der Prüfungen bei den Schritten 422, 423 und 424 fehlschlägt, wird es als ein Fall des Verifizierungsfehlschlags angesehen (Schritt 430), so dass die Operation zu dem oben beschriebenen Schritt 411 zurückspringt.
  • Wenn im Schritt 424 der öffentliche Schlüssel nicht mit irgendeinem zuvor verwendeten öffentlichen Schlüssel überlagernd ist, erzeugt die Zertifikations-Ausgabezentrumsvorrichtung 140 die Zertifikation bei der Zertifikations-Erzeugungseinheit 144 aus dieser Zertifikationsanforderung und gibt sie aus (Schritt S431). Hier garantiert der Zertifikations-Herausgeber nur eine Verbindung zwischen dem öffentlichen Schlüssel und den persönlichen Daten, und sogar dieser Zertifikations-Herausgeber kennt den Geheimschlüssel nicht. (An dieser Stelle existiert der Geheimschlüssel bei diesem zweiten Ausführungsbeispiel nur innerhalb der Geheimschlüssel-Erzeugungseinheit 135.)
  • Die Zertifikations-Ausgabezentrumsvorrichtung 140 gibt dann die erzeugte Zertifikation an die Schlüssel-Erzeugungsvorrichtung 130 zurück, aber es gibt auch eine Möglichkeit zum Fälschen auf dem Kommunikationspfad an dieser Stelle, so dass die erzeugte Zertifikation in der Zertifikations-Signiereinheit 145 durch Verwenden des Geheimschlüssels der Zertifikations-Ausgabezentrumsvorrichtung 140 signiert wird (Schritt 432) und die signierte Zertifikation und die erzeugte Zertifikation zu der Schlüssel-Erzeugungsvorrichtung 130 gesendet werden.
  • Wenn die Zertifikation und die signierte Zertifikation empfangen werden, verifiziert die Schlüssel-Erzeugungsvorrichtung 130, ob die Zertifikation auf dem Kommunikationspfad gefälscht worden ist oder nicht, in der Zertifikations-Verifizierungseinheit 138 (Schritt 433). Wenn diese Verifizierung fehlschlägt, springt die Operation zu dem oben beschriebenen Schritt 411 zurück.
  • Dann nimmt die Schlüssel-Erzeugungsvorrichtung 130 die Verschlüsselungssystemvorrichtung 200 in sich selbst auf und wird der bei der Geheimschlüssel-Erzeugungseinheit 135 erzeugte Geheimschlüssel in die Geheimschlüssel-Speichereinheit 201 der Verschlüsselungssystemvorrichtung 200 in der Geheimschlüssel-Schreibeinheit 139-1 geschrieben, während die bei der Zertifikations-Verifizierungseinheit 138 verifizierte Zertifikation in die Zertifikations-Speichereinheit 202 der Verschlüsselungssystemvorrichtung 200 in der Zertifikations-Schreibeinheit 139-2 geschrieben wird (Schritt 434). Hier sollte es beachtet werden, dass ein Geheimschlüssel aus der Schlüssel-Erzeugungsvorrichtung 130 verschwindet, wenn er in der Verschlüsselungssystemvorrichtung 200 gespeichert wird, so dass er zu einer Zeit einer Verarbeitung der nächsten Verschlüsselungssystemvorrichtung 200 nicht länger in der Schlüssel-Erzeugungsvorrichtung 130 bleibt. Auf diese Weise wird es ermöglicht, nachzuweisen, dass der Geheimschlüssel nur innerhalb der Verschlüsselungssystemvorrichtung 200 existiert.
  • Schließlich wird die autorisierte Verschlüsselungssystemvorrichtung 200' von der Schlüssel-Erzeugungsvorrichtung 130 ausgeworfen (Schritt 435), so dass der Anwender die autorisierte Verschlüsselungssystemvorrichtung 200' empfängt (Schritt 440).
  • Es ist hier zu beachten, dass die Geheimschlüssel-Speichereinheit 201 der Verschlüsselungssystemvorrichtung 200 den Geheimschlüssel so speichert, dass keiner den Geheimschlüssel von dort auslesen kann (obwohl das Verarbeitungsergebnis, das den Geheimschlüssel verwendet, lesbar ist), und der Geheimschlüssel dort hinein nur mittels der Schlüssel-Erzeugungsvorrichtung 130 geschrieben werden kann, um das Fälschen zu verhindern. Allgemein kann zugelassen werden, dass ein Anwender, der der Besitzer des Geheimschlüssels ist, den Geheimschlüssel kennt, aber die Verschlüsselungssystemvorrichtung 200 dieses zweiten Ausführungsbeispiels ist so ausgelegt, dass selbst ein Besitzer dieser Vorrichtung den Wert des darin gespeicherten Geheimschlüssels nicht erfahren kann, angesichts der Tatsache, dass dann, wenn der Geheimschlüssel einmal bekannt wird, es die Möglichkeit gibt, das illegale digitale Kopieren der digitalen Daten zuzulassen.
  • Ebenso ist die Zertifikations-Speichereinheit 202 der Verschlüsselungssystemvorrichtung 200 ausgelegt, um die Zertifikation so zu speichern, dass der darin enthaltene öffentliche Schlüssel lesbar ist, aber das Schreiben der Zertifikation durch irgendetwas anderes als die Schlüssel-Erzeugungsvorrichtung 130 verboten ist, um das Fälschen zu verhindern.
  • Es ist zu beachten, dass die Schlüssel-Erzeugungsvorrichtung 130 eine derartige Struktur hat, dass keine Änderung bezüglich des Geheimschlüssels und der Zertifikation für irgendjemanden zugelassen ist, einschließlich eines Betreibers der Schlüssel-Erzeugungsvorrichtung 130, wenn einmal die Verschlüsselungssystemvorrichtung 200 in die Schlüssel-Erzeugungsvorrichtung 130 zum Zwecke des Schreibens des Geheimschlüssels und der Zertifikation genommen ist.
  • Es ist auch zu beachten, dass der Geheimschlüssel und die Zertifikation im obigen in eine einzige Verschlüsselungssystemvorrichtung 200 geschrieben werden, aber es auch möglich ist, den Geheimschlüssel und die Zertifikation getrennt in zwei unterschiedliche Verschlüsselungssystemvorrichtungen zu schreiben.
  • Bei diesem zweiten Ausführungsbeispiel ist es möglich, nachzuweisen, dass der Anwender der einzige ist, der die Absicht zur Bezahlung ausdrückt, während es auch möglich ist, nachzuweisen, dass der Anwender die digitalen Daten nicht ohne eine Erlaubnis vom Informationslieferer kopieren kann, genau wie bei dem oben beschriebenen ersten Ausführungsbeispiel.
  • Anders ausgedrückt werden der Geheimschlüssel und der öffentliche Schlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems auf eine derartige Weise erzeugt, dass die Werte von diesen, nämlich dem öffentlichen Schlüssel und dem Geheimschlüssel, für keinen, einschließlich für diejenigen, die bei der Schlüsselerzeugung beteiligt sind, bekannt sind. Dann wird die Zertifikation aus dem öffentlichen Schlüssel und den persönlichen Daten erzeugt, und diese Zertifikation wird in der Verschlüsselungssystemvorrichtung so gespeichert, dass sie nicht durch irgendjemanden geschrieben werden kann, während dieser Geheimschlüssel auf eine derartige Weise gespeichert wird, dass der Wert dieses Geheimschlüssels nicht ausgelesen werden kann und irgendjemandem bekannt ist, einschließlich dem Anwender.
  • Somit wird es gemäß diesem zweiten Ausführungsbeispiel auch möglich, ein Verfahren und ein System zur Erzeugung und Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems zur Verfügung zu stellen, wobei es möglich ist, nachzuweisen, dass nur ein Anwender den Geheimschlüssel verwenden kann, der keinen bekannt sein sollte einschließlich einem Anwender, so dass ein illegales Kopieren von digitalen Daten verhindert werden kann und eine unfehlbare Bestätigung einer Absicht eines Anwenders zur Bezahlung durchgeführt werden kann.
  • Als Folge davon wird es in einem Fall eines Anbietens von Computerprogrammen oder digitalen Sprach/Video-Daten mit Copyrights für Verkäufe über Netzwerke im Austausch mit der Bezahlung von Gebühren selbst dann, wenn es eine Geldschwierigkeit zwischen dem Copyright-Besitzer, dem Verkäufer und dem Käufer gibt, möglich, eine Person zu identifizieren, die die illegale Handlung beging, von einem Gesichtspunkt einer dritten Person aus, und zwar gemäß diesem zweiten Ausführungsbeispiel, so dass es auch eine effektive Maßnahme gegenüber der illegalen Handlung zur Verfügung stellen kann.
  • Nimmt man nun Bezug auf 7 bis 12 wird das dritte Ausführungsbeispiel eines Verfahrens und eines Systems zur Erzeugung und zum Management eines Geheimschlüssels des auf einen öffentlichen Schlüssel basierenden Verschlüsselungssystems detailliert beschrieben werden. Dieses dritte Ausführungsbeispiel betrifft einen Fall eines Reproduzierens (Wiederbelebens) des in der Verschlüsselungssystemvorrichtung gespeicherten Geheimschlüssels, wie bei dem ersten oder zweiten Ausführungsbeispiel, die oben beschrieben sind, wenn der Geheimschlüssel verschwand oder unnutzbar wurde.
  • Bei diesem dritten Ausführungsbeispiel ist die Verschlüsselungssystemvorrichtung in Form einer persönlichen tragbaren Vorrichtung, wie beispielsweise einer PC-Karte, einer IC-Karte, etc., vorgesehen, und ein beispielhafter Fall, bei welchem der in dieser persönlichen tragbaren Vorrichtung gespeicherte Geheimschlüssel verschwunden ist, wird beschrieben werden.
  • 7 zeigt eine konzeptmäßige Konfiguration eines Systems bei diesem dritten Ausführungsbeispiel, wobei eine persönliche tragbare Vorrichtung 1, die durch ein Vorrichtungsherstellungsgerät (nicht gezeigt) hergestellt ist, zu einem Anwenderschlüsselausgabe/Wiederausgabe-Gerät 2 gegeben wird, und in diesem Anwenderschlüsselausgabe/Wiederausgabe-Gerät 2 der Geheimschlüssel des Anwenders geheim in die persönliche tragbare Vorrichtung 1 gemäß den öffentlichen Anwenderdaten 3 geschrieben wird und die Zertifikation in die persönliche tragbare Vorrichtung 1 geschrieben wird, ohne eine Möglichkeit dafür, dass sie gefälscht wird.
  • Die individuell angepasste persönliche tragbare Vorrichtung 1 wird dann einem Anwender 4 gegeben, so dass der Anwender 4 beginnen kann, einen Dienst 5 zu empfangen, indem er diese persönliche tragbare Vorrichtung 1 verwendet.
  • Nun soll angenommen sein, dass der Geheimschlüssel in der persönlichen tragbaren Vorrichtung 1 durch einen Fehler des Anwenders 4 verschwunden ist. Beispielsweise wird der Geheimschlüssel eines Anwenders in der Praxis angesichts der Sicherheit in einem flüchtigen Speicher gespeichert, so dass dann, wenn die Batterie der persönlichen tragbaren Vorrichtung 1 aufgebraucht ist, der gespeicherte Geheimschlüssel verschwinden und unnutzbar werden kann.
  • In einer solchen Situation wird herkömmlich der Geheimschlüssel völlig unbrauchbar, und die gesamte Information, die von dem Dienst bzw. Service 5 erhalten werden, der bis zu dahin empfangen ist, und alle Rechte zum Empfangen dieses Dienstes 5 in der Zukunft gehen verloren. Ebenso ist es selbst dann, wenn die persönliche tragbare Vorrichtung 1 erneut von dem Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerät 2 ausgegeben wird, unmöglich, die Beziehung zwischen der neu ausgegebenen persönlichen tragbaren Vorrichtung 1 und der zuvor verwendeten persönlichen tragbaren Vorrichtung 1 nachzuweisen. Dies ist deshalb so, weil es dann, wenn es möglich ist, die Beziehung zwischen verlorenen Geheimschlüssel und dem neu ausgegebenen Geheimschlüssel nachzuweisen, implizieren würde, dass es für eine andere Person möglich ist, den legitimierten Anwender vorzutäuschen, so dass es tatsächlich unmöglich sein muss, die Beziehung zwischen der neu ausgegebenen persönlichen tragbaren Vorrichtung 1 und der zuvor verwendeten persönlichen tragbaren Vorrichtung 1 nachzuweisen.
  • Gegensätzlich dazu kann der Geheimschlüssel bei diesem dritten Ausführungsbeispiel durch die Prozedur gemäß dem Ablaufdiagramm der 8, wie es folgt, reproduziert werden.
  • Zuerst wird eine nötige Bedingung für die Geheimschlüssel-Reproduktion im Voraus bestimmt (Schritt S1). Dann wird die persönliche tragbare Vorrichtung 1 mit dem darin gespeicherten Geheimschlüssel aus dem Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerät 2 ausgegeben (Schritt S2), während Geheimschlüssel-Teildaten 7, die durch Aufteilen des Geheimschlüssels erhalten sind, auf bestimmte Vermittler verteilt werden, welche die Eignungen der Geheimschlüssel-Reproduktion beurteilen (Schritt S3). Wenn die persönliche tragbare Vorrichtung 1 geliefert wird, kann der Anwender 4 ein Empfangen des Service bzw. Dienstes 5 beginnen (Schritt S4).
  • Wenn der Geheimschlüssel verloren wird (Schritt S5), wird die Geheimschlüssel-Reproduktionsanforderung durch Vorlegen der persönlichen tragbaren Vorrichtung 1 und durch Sammeln der Geheimschlüssel-Teildaten 7 von diesen Vermittlern durchgeführt, die beurteilten, dass die Geheimschlüssel-Reproduktion geeignet ist (Schritt S6).
  • Dann wird beurteilt, ob die nötige Bedingung für eine Geheimschlüssel-Reproduktion erfüllt ist oder nicht (Schritt S7), und wenn die nötige Bedingung erfüllt ist, wird der Anwender-Geheimschlüssel aus den gesammelten Geheimschlüssel-Teildaten 7 reproduziert (Schritt S8).
  • Andererseits kann dann, wenn die nötige Bedingung nicht erfüllt ist, wenn einige Vermittler (Organisationen) ein Vorlegen der Geheimschlüssel-Teildaten 7 aus irgendwelchen Gründen verweigerten, wie beispielsweise einer vergangenen illegalen Nutzungsaufzeichnung durch diesen Anwender 4, die erneute Ausgabe der persönlichen tragbaren Vorrichtung 1 verweigert werden (Schritt S9).
  • Bei dieser Prozedur müssen die Geheimschlüssel-Teildaten 7 die folgenden Bedingungen erfüllen.
    • (1) Alle Geheimschlüssel-Teildaten 7 sollten nur einen Teil des Geheimschlüssels enthalten, der zum Erzeugen des Geheimschlüssels verwendet werden kann, und sollten nicht den Geheimschlüssel als Ganzes enthalten.
    • (2) Zueinander unterschiedliche Geheimschlüssel-Teildaten 7 sind auf alle diejenigen (Vermittler) zu verteilen, die bei der Authentifizierung des Anwenders 4 zu einer Zeit eines ursprünglichen Herausgebens der persönlichen tragbaren Vorrichtung 1 beteiligt sind, und darauffolgend im Geheimen zu managen.
    • (3) Jeder Vermittler kann den Wert der Geheimschlüssel-Teildaten 7 erfahren, die durch diesen Vermittler gemanagt werden.
    • (4) Die Berechnung des Geheimschlüssels aus einer Anzahl von Geheimschlüssel-Teildaten 7 sollte dasselbe Maß an kryptographischer Stärke wie in einem Fall eines Ratens des Geheimschlüssels aus der offenbarten Information über den öffentlichen Schlüssel haben. (Dies entspricht der Anforderung, dass eine Verschwörung durch irgendwelche Vermittler möglich ist.)
    • (5) Wenn die zu einer Zeit eines ursprünglichen Ausgebens der persönlichen tragbaren Vorrichtung 1 im Voraus bestimmte nötige Bedingung für eine Geheimschlüssel-Reproduktion erfüllt ist, kann der Geheimschlüssel nur im Geheimen innerhalb des Anwenderschlüssel-Ausgabe/Wiederausgabe-Geräts 2 reproduziert werden, das durch eine manipulationsresistente Vorrichtung gebildet ist.
  • Nun wird eine Weise des Verteilens der Geheimschlüssel-Teildaten bei diesem dritten Ausführungsbeispiel detaillierter beschrieben werden.
  • Es ist zu beachten, dass die Geheimschlüssel-Teildaten bei diesem dritten Ausführungsbeispiel ein Teil sind, der den Geheimschlüssel bildet, und dass dann, wenn wenigstens eine vorgeschriebene Anzahl der Geheimschlüssel-Teildaten gesammelt ist, der Geheimschlüssel reproduziert werden kann.
  • Spezifischer können die Geheimschlüssel-Teildaten in die folgenden drei Typen (Zustände) klassifiziert werden.
    • (1) Ein Typ von Geheimschlüssel-Teildaten, ohne welche der Geheimschlüssel nicht reproduziert werden kann. Dieser Typ von Geheimschlüssel-Teildaten bildet die unverzichtbare Bedingung für eine Geheimschlüssel-Reproduktion.
    • (2) Ein Typ von Geheimschlüssel-Teildaten, für welche der Geheimschlüssel reproduziert werden kann, wenn k Stücke aus den gesamten j Stücken von Geheimschlüssel-Teildaten gesammelt sind, wobei k < j eine vorgeschriebene Schwelle ist. Dieser Typ von Geheimschlüssel-Teildaten bildet die Schwellenbedingung für eine Geheimschlüssel-Reproduktion.
    • (3) Ein Typ von Geheimschlüssel-Teildaten, für welche eine Reihenfolge eines Sammelns der Geheimschlüssel-Teildaten auch spezifiziert ist, so dass der Geheimschlüssel nicht reproduziert werden kann, bis nicht diese Geheimschlüssel- Teildaten in der spezifizierten Reihenfolge gesammelt sind. Dieser Typ von Geheimschlüssel-Teildaten bildet die Reihenfolgenbedingung für eine Geheimschlüssel-Reproduktion.
  • In der Praxis kann irgendeine erwünschte Kombination von diesen drei Bedingungen als die nötige Bedingung für eine Geheimschlüssel-Reproduktion verwendet werden.
  • Bezüglich der Bestimmung der Vermittler, zu welchen die Geheimschlüssel-Teildaten zu verteilen sind, ist es für die bestimmten Vermittler wichtig, jede Person oder Organisation zu beinhalten, die mit dem Anwender Interessen teilt, der die Geheimschlüssel-Reproduktion wünscht. Dies ist deshalb so, weil dann, wenn es eine interessierte Partei gibt, die ausgelassen ist, die Geheimschlüssel-Reproduktion als Verschwörung durch die anderen vom Standpunkt dieser interessierten Partei aus erscheinen würde.
  • Beispielsweise kann die nötige Bedingung für eine Geheimschlüssel-Reproduktion wie es in 9 dargestellt gebildet werden.
  • Das bedeutet, dass es natürlich erwartet wird, dass der Besitzer (Anwender) der persönlichen tragbaren Vorrichtung, in welcher der Geheimschlüssel unnutzbar wurde, die Geheimschlüssel-Reproduktion wünscht, so dass die Geheimschlüssel-Teildaten im Besitz des Anwenders die unverzichtbare Bedingung 11 für eine Geheimschlüssel-Reproduktion bilden sollten. Dies ist deshalb so, weil sonst der Anwender-Geheimschlüssel ungeachtet dieses Willens des Anwenders von anderen willentlich reproduziert werden könnte. Der Anwender wird diese Geheimschlüssel-Teildaten 7, die von ihm selbst im Besitz sind, zu dem Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerät 2 senden.
  • Als nächstes prüft der Vermittler, wie beispielsweise eine Kreditkartengesellschaft, auf ein Empfangen einer Anforderung für die Geheimschlüssel-Reproduktion von dem Anwender hin, ob es irgendeine vergangene Nutzungsaufzeichnung einer illegalen Anwendung zu einer Zeit eines Empfangens des Dienstes oder eine Verzögerung bezüglich einer Bezahlung der Gebühren durch diesen Anwender gibt, indem auf die sogenannte Schwarze Liste Bezug genommen wird. Es wird erwartet, dass dieser Typ von Vermittler die Geheimschlüssel-Reproduktion so lange billigt, wie dieser Anwender keinen problematischen Eintrag hat, so dass die Geheimschlüssel-Teildaten von diesem Typ vom Vermittler die Auftragsbedingung 12 für eine Geheimschlüssel-Reproduktion bilden sollten.
  • Als nächstes können dann, wenn die Billigungen für die Geheimschlüssel-Reproduktion durch die Dienstlieferer bzw. Serviceprovider A, B, C, ..., I die Schwellenbedingungen 13-1, 13-2, 13-3, 13-4, etc. für eine Geheimschlüssel-Reproduktion bilden, welche erfordern, dass es nötig ist, die Billigung für die Geheimschlüssel-Reproduktion von beispielsweise irgendeinem der Serviceprovider A, B, C, ..., I zu haben, die Geheimschlüssel-Teildaten von einem dieser Serviceprovider A, B, C, ..., I die Auftragsbedingung 13 für eine Geheimschlüssel-Reproduktion bilden. Der Serviceprovider, der die Geheimschlüssel-Reproduktion billigt, wird die durch diesen Serviceprovider gemanagten Geheimschlüssel-Teildaten zu dem Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerät 2 senden.
  • Ebenso können dann, wenn die Billigungen für die Geheimschlüssel-Reproduktion durch die Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerätemanager A, B, C, ..., J die Schwellenbedingungen 14-1, 14-2, 14-3, 14-4, etc. für eine Geheimschlüssel-Reproduktion bilden, welche erfordern, dass es nötig ist, die Billigung für die Geheimschlüssel-Reproduktion von irgendwelchen zweien der Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerätemanagern A, B, C, ..., J zu haben, und zwar beispielsweise, die Geheimschlüssel-Teildaten von zweien von diesen Anwenderschlüssel- Ausgabe/Wiederausgabe-Gerätemanagern A, B, C, ..., J die Auftragsbedingung 14 für eine Geheimschlüssel-Reproduktion bilden. Die Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerätemanager, die die Geheimschlüssel-Reproduktion bilden, werden die durch sie gemanagten Geheimschlüssel-Teildaten zu dem Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerät 2 senden.
  • Schließlich ist es auch nötig, eine Eintragung diesbezüglich zu machen, wer die Geheimschlüssel-Reproduktion gebilligt hat, um einen Fall zu behandeln, bei welchem irgendjemand später der Geheimschlüssel-Reproduktion widerspricht, so dass eine Liste von Personen (einschließlich einer Person, die diese Liste erzeugte), die eine Geheimschlüssel-Reproduktion billigten, die Auftragsbedingung 15 für eine Geheimschlüssel-Reproduktion bilden sollte, und diese Person, die diese Liste erzeugte, wird diese Liste zum Anwenderschlüssel-Ausgabe/Wiederausgabe-Gerät 2 senden.
  • Es ist hier zu beachten, dass es vorzuziehen ist, die Geheimschlüssel-Teildaten durch das Geheimschlüssel-Verschlüsselungssystem oder das auf einem öffentlichen Schlüssel basierende Verschlüsselungssystem zu verschlüsseln, weil es sonst eine hohe Wahrscheinlichkeit dafür gibt, dass der Geheimschlüssel des Anwenders durch Abhören bzw. Anzapfen aller Geheimschlüssel-Teildaten, die zu dem Anwender gehören, reproduziert werden könnte.
  • Wenn alle der unverzichtbaren Bedingung für eine Geheimschlüssel-Reproduktion, der Schwellenbedingung für eine Geheimschlüssel-Reproduktion und der Reihenfolgenbedingung für eine Geheimschlüssel-Reproduktion in Bezug auf die Geheimschlüssel-Teildaten, wie sie oben beschrieben sind, erfüllt sind, kann der Geheimschlüssel durch Verwenden der gesammelten Geheimschlüssel-Teildaten reproduziert werden.
  • 10 zeigt eine beispielhafte Konfiguration einer Geheimschlüssel-Reproduktionsvorrichtung 20, die innerhalb des Anwenderschlüssel-Ausgabe/Wiederausgabe-Geräts 2 vorzusehen ist. Diese Geheimschlüssel-Reproduktionsvorrichtung 20 selbst ist durch eine manipulationsresistente Vorrichtung ausgebildet und enthält eine Anwenderschlüssel-Zusammensetzungseinheit 21, eine Verifizierungseinheit 22 für einen zusammengesetzten Schlüssel, die mit der Anwenderschlüssel-Zusammensetzungseinheit 21 verbunden ist, eine Speichereinheit 23 für öffentliche Anwenderdaten, die mit der Verifizierungseinheit 22 für zusammengesetzte Schlüssel verbunden ist, und eine Geheim-ID-Speichereinheit 24 für eine persönliche tragbare Vorrichtung, die mit der Verifizierungseinheit 22 für zusammengesetzte Schlüssel verbunden ist.
  • In dieser Geheimschlüssel-Reproduktionsvorrichtung 20 wird dann, wenn die nötige Bedingung für eine Geheimschlüssel-Reproduktion erfüllt ist, der Anwender-Geheimschlüssel aus dem gesammelten Geheimschlüssel-Teildaten der erfüllten unverzichtbaren Bedingungen, der Schwellenbedingungen und der Reihenfolgenbedingungen bei der Anwenderschlüssel-Zusammensetzungseinheit 21 zusammengesetzt. Dann wird bei der Verifizierungseinheit 22 für zusammengesetzte Schlüssel geprüft, ob der zusammengesetzte Geheimschlüssel mit dem öffentlichen Schlüssel übereinstimmt, der vom Anwender verwendet worden ist, oder nicht.
  • Hier kann das Prüfen wie folgt durchgeführt werden. Eine Zufallszahl wird erzeugt und diese Zufallszahl wird durch den in der Speichereinheit 23 für öffentliche Anwenderdaten gespeicherten öffentlichen Schlüssel verschlüsselt. Dann wird die verschlüsselte Zufallszahl durch den reproduzierten Geheimschlüssel entschlüsselt, und dann, wenn das entschlüsselte Ergebnis mit der ursprünglichen Zufallszahl übereinstimmt, kann sichergestellt werden, dass der öffentliche Schlüssel und der reproduzierte Geheimschlüssel übereinstimmend sind. Durch mehrmaliges Wiederholen dieses Prüfens kann die Zuverlässigkeit auf einen praktisch ausreichenden Pegel erhöht werden. Wenn dieses Prüfen anzeigt, dass der reproduzierte Geheimschlüssel nicht mit dem öffentlichen Schlüssel übereinstimmt, ist es 100% sicher, dass entweder die Bedingung zum Billigen der Geheimschlüssel-Reproduktion tatsächlich nicht erfüllt ist oder irgendjemand die illegale Handlung begeht.
  • Zusätzlich gleicht die Verifizierungseinheit 22 für zusammengesetzte Schlüssel, um die fehlerhafte Wiederausgabe von mehr als einer Gruppe von derselben persönlichen tragbaren Vorrichtung 1 zu verhindern, mit geheimen ID der Vorrichtung, die in der Geheim-ID-Speichereinheit 24 für persönliche tragbare Vorrichtungen gespeichert ist, und mit der Geheim-ID, die aus der persönlichen tragbaren Vorrichtung 1 ausgelesen ist, ab, und wenn sie übereinstimmend sind, wird der reproduzierte Geheimschlüssel tatsächlich in die persönliche tragbare Vorrichtung 1 geschrieben.
  • Nun wird das konkrete Beispiel diesbezüglich beschrieben werden, wie die unverzichtbaren Bedingungen für eine Geheimschlüssel-Reproduktion, die Schwellenbedingungen für eine Geheimschlüssel-Reproduktion und die Reihenfolgenbedingungen für eine Geheimschlüssel-Reproduktion bei diesem dritten Ausführungsbeispiel einzustellen sind.
  • (1) Unverzichtbare Bedingungen für eine Geheimschlüssel-Reproduktion:
  • Es soll angenommen sein, dass ein Schlüssel k, der zu reproduzieren ist, ausgedrückt werden kann als: k = f(k1) O f(k2) O f(k3) O ... O f(ki) O ... O f(kn)wobei O ein Operator ist. Hier sind der Operator O und die Funktion f erforderlich, um die folgenden Bedingungen zu erfüllen:
    • (a) Das Kommutativgesetz gilt; und
    • (b) es ist ausreichend schwierig, k zu erfahren, selbst wenn alles außer ki bekannt ist.
  • Beispielsweise kann die folgende Definition des Schlüssels k diese Bedingungen erfüllen: k = αexp(k1·k2·k3·...·ki·...·kn)mod pwobei p eine Primzahl in einer Größenordnung von über 600 Bits oder so ist und α eine primitive Wurzel von p ist.
  • (2) Schwellenbedingungen für eine Geheimschlüssel-Reproduktion:
  • Wenn es für k aus n Personen genügt, die Geheimschlüssel-Reproduktion zu billigen, kann dies durch die gleichzeitigen kongruenten Gleichungen k-ter Ordnung in Bezug auf Residuen für alle n Personen wie folgt ausgedrückt werden. y ≡ x1 amod q1·q2·...·qi·...·qn y ≡ x2 amod q1·q2·...·qi·...·qn ... y ≡ xi amod q1·q2·...·qi·...·qn ... y ≡ xn amod q1·q2·...·qi·...·qn wobei jede qi eine Primzahl in einer Größenordnung von über 300 Bits oder so ist, so dass qi·q2·...·qi·...·qn in einer Größenordnung von über 600 Bits oder so ist. Ebenso gibt es keinen bestimmten Grund zum Offenbaren von a und y, so dass a und y als die persönlichen Daten aufbewahrt werden, die entweder im Besitz des Anwenders sind oder die innerhalb der Geheimschlüssel-Reproduktionsvorrichtung gespeichert sind. xi sind geheim zu verteilen. Wenn mehr als k Gruppen der kongruenten Gleichungen in den obigen gleichzeitigen kongruenten Gleichungen gesammelt sind, ist es möglich, sie durch Verwenden des chinesischen Resttheorems zu lösen.
  • (3) Auftrags- bzw. Reihenfolgen- bzw. Reihenfolgenbedingungen für eine Geheimschlüssel-Reproduktion:
  • Hier besteht der einzige Grund zum Berücksichtigen des Auftrags bzw. der Reihenfolge darin, zu sehen, ob die Geheimschlüssel-Reproduktion im Voraus für jede Person gebilligt worden ist. Daher genügt es, die Signatur der Person zu prüfen, die die Geheimschlüssel-Reproduktion billigte. Wenn die Billigung durch eine bestimmte Person vorgetäuscht bzw. gefälscht ist, auch wenn eine Person, die die Geheimschlüssel-Reproduktion billigen sollte, bevor diese bestimmte Person tatsächlich de Geheimschlüssel-Reproduktion nicht gebilligt hat, ist es möglich, an dieser Stelle ein Abfangen vorzunehmen, aber ein richtiger Wert kann zu einer Zeit eines Zusammensetzens des Geheimschlüssels innerhalb der Geheimschlüssel-Reproduktionsvorrichtung nicht zusammengesetzt werden.
  • Auf diese Weise ist es gemäß diesem dritten Ausführungsbeispiel möglich, ein Verfahren und ein System zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems zur Verfügung zu stellen, wobei der Geheimschlüssel, der niemandem, einschließlich einem Anwender, bekannt sein sollte, selbst dann reproduziert (wiederbelebt) werden kann, wenn der Geheimschlüssel verschwand, so dass es möglich ist, eine Situation zu eliminieren, in welcher der Anwender Zugriffe auf alle verschlüsselten Informationen verliert, die durch den Anwender bis dahin erlangt worden sind. Insbesondere besteht das charakteristische Merkmal dieses dritten Ausführungsbeispiels darin, dass es in Bezug auf die Sicherheit keinen Unterschied vor und nach der Geheimschlüssel-Reproduktion gibt.
  • Bis zu dieser Stelle ist das dritte Ausführungsbeispiel für einen beispielhaften Fall beschrieben worden, in dem der Geheimschlüssel von der persönlichen tragbaren Vorrichtung 1 verschwand. Jedoch kann es in der Praxis dann, wenn viele Anwender die persönlichen tragbaren Vorrichtungen für verschiedene Zwecke verwenden, viele Fälle geben, bei welchen die persönliche tragbare Vorrichtung 1 selbst zerstört wird, wenn sie fallengelassen wird oder zufällig auf sie getreten wird.
  • Wenn die persönliche tragbare Vorrichtung 1 selbst zerstört wird (d.h. wenn es unmöglich für die persönliche tragbare Vorrichtung 1 wird, zu funktionieren, wie sie ursprünglich entwickelt ist), ist es nötig, die persönliche tragbare Vorrichtung 1 selbst wieder auszugeben. Es ist zu beachten, dass dieses Verfahren auch dann effektiv ist, wenn die durch den Anwender erlangte verschlüsselte Information in dem flüchtigen Speicher innerhalb der persönlichen tragbaren Vorrichtung 1 gespeichert ist.
  • Nun wird eine Modifikation des dritten Ausführungsbeispiels für einen Fall beschrieben werden, in welchem die persönliche tragbare Vorrichtung 1, die den Geheimschlüssel speichert, zerstört wird.
  • 11 zeigt eine konzeptmäßige Konfiguration eines Systems bei diesem modifizierten dritten Ausführungsbeispiel, und 12 zeigt ein Ablaufdiagramm für die Prozedur zum Reproduzieren des Geheimschlüssels für einen Fall, in welchem die persönliche tragbare Vorrichtung 1, die den Geheimschlüssel speichert, zerstört wird, wobei Elementen und Schritten gleich den entsprechenden in 7 und 8, die oben beschrieben sind, dieselben Bezugszeichen in den Figuren zugeteilt sind.
  • Dieses modifizierte dritte Ausführungsbeispiel unterscheidet sich von dem oben beschriebenen dritten Ausführungsbeispiel darin, dass der Anwender ein Backup der persönlichen verschlüsselten Daten in einer Backup-Diskettenvorrichtung 8 gemäß der Anwenderhäufigkeit zum Verwenden der persönlichen tragbaren Vorrichtung 1 durchführt, um nicht die gesamte 0.0 mm 0.0 mey o-Information zu verlieren, die durch den Anwender erlangt ist (Schritt S10 nach dem Schritt S4 in 12), und dann, wenn die den Geheimschlüssel speichernde persönliche tragbare Vorrichtung 1 zerstört wird (Schritt S5' in 12) und die nötige Bedingung für eine Geheimschlüssel-Reproduktion erfüllt ist, wird die einen Geheimschlüssel speichernde persönliche tragbare Vorrichtung 1 wieder ausgegeben (Schritt S11 nach dem Schritt S8) und die persönlichen verschlüsselten Daten werden wiederhergestellt (Schritt S12 nach dem Schritt S11 in 12).
  • Dieses modifizierte dritte Ausführungsbeispiel unterscheidet sich auch von dem oben beschriebenen dritten Ausführungsbeispiel darin, dass die in der Geheim-ID-Speichereinheit 24 für persönliche tragbare Vorrichtungen gespeicherte Vorrichtungs-Geheim-ID anders gehandhabt wird. Das bedeutet, dass in einem Fall eines Wiederausgebens der Vorrichtung die Vorrichtungs-Geheim-ID der wiederauszugebenden Vorrichtung sich natürlich von der in der Geheim-ID-Speichereinheit 24 für persönliche tragbare Vorrichtungen gespeicherten Vorrichtungs-Geheim-ID unterscheidet, so dass der reproduzierte Geheimschlüssel nicht direkt in die wiederauszugebende Vorrichtung geschrieben werden kann, und es für die Geheim-ID-Speichereinheit 24 für persönliche tragbare Vorrichtungen nötig ist, die registrierte Vorrichtungs-Geheim-ID auf diejenige der wiederauszugebenden Vorrichtung zu aktualisieren.
  • Gemäß diesem modifizierten dritten Ausführungsbeispiel ist es möglich, ein Verfahren und ein System zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems zur Verfügung zu stellen, wobei der Geheimschlüssel, der niemandem, einschließlich einem Anwender, bekannt sein sollte, reproduziert (wiederbelebt) werden kann und die persönliche verschlüsselte Information selbst dann wiederhergestellt werden kann, wenn der Geheimschlüssel unnutzbar wurde, wenn die persönliche tragbare Vorrichtung zerstört wird, so dass es möglich ist, eine Situation zu eliminieren, in welcher der Anwender Zugriffe auf alle verschlüsselten Informationen verliert, die durch den Anwender bis dahin erlangt worden sind. Ebenso gibt es gleich wie bei dem oben beschriebenen dritten Ausführungsbeispiel keinen Unterschied vor und nach der Geheimschlüssel-Reproduktion in Bezug auf die Sicherheit.
  • Es sollte offensichtlich werden, dass dieses dritte Ausführungsbeispiel und seine Modifikation gleichermaßen auf einen Fall eines Verwendens des Geheimschlüssel-Verschlüsselungssystems anwendbar sind.
  • Nimmt man nun Bezug auf 13 bis 16, wird das vierte Ausführungsbeispiel eines Verfahrens und eines Systems zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems gemäß der vorliegenden Erfindung detailliert beschrieben werden. Bei den ersten bis dritten Ausführungsbeispielen, die oben beschrieben sind, ist eine Verwendung einer speziellen manipulationsresistenten Vorrichtung zum Schreiben des Anwender-Geheimschlüssels in die persönliche tragbare Vorrichtung erforderlich. Im Gegensatz dazu betrifft dieses vierte Ausführungsbeispiel ein Verfahren und ein System zur Erzeugung und zum Management eines Geheimschlüssels des auf einen öffentlichen Schlüssel basierenden Verschlüsselungssystems, wobei der Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems innerhalb der persönlichen tragbaren Vorrichtung erzeugt werden kann, so dass keine spezielle Vorrichtung zum Schreiben des Geheimschlüssels erforderlich ist.
  • 13 zeigt eine konzeptmäßige Konfiguration eines Systems bei diesem vierten Ausführungsbeispiel, welches eine persönliche tragbare Vorrichtung 34 enthält, die an einem Anwenderendgerät 33 verwendet wird, und einen Inhaltsserver 31, der mit dem Anwenderendgerät 33 über ein Netzwerk 32 verbunden ist.
  • Der Inhaltsserver 31 stellt einen Dienst bzw. Service zur Verfügung. Ein Anwender, der wünscht, diesen Service zu empfangen, führt die persönliche tragbare Vorrichtung 34 in das Anwenderendgerät 33 ein und betreibt dieses Anwenderendgerät 33 so, dass die erwünschten Inhalte von dem Inhaltsserver 31 über das Netzwerk 32 an das Anwenderendgerät 33 verteilt werden.
  • Die persönliche tragbare Vorrichtung 34 hat eine detaillierte Konfiguration, wie sie in 14 gezeigt ist, welche eine Schlüsselerzeugungs-Befehlseinheit 41, eine Normaltext/Verschlüsselungstext/Signatur-Eingabeeinheit 42, eine Zufallszahl-Erzeugungseinheit 43, die mit der Schlüsselerzeugungs-Befehlseinheit 41 verbunden ist, eine Verschlüsselungsschlüssel-Erzeugungsprogrammeinheit 44, die mit der Zufallszahl-Erzeugungseinheit 43 verbunden ist, eine Speichereinheit 45 für öffentliche Schlüssel, die mit der Verschlüsselungsschlüssel-Erzeugungsprogrammeinheit 44 verbunden ist, eine Verschlüsselungs-Verarbeitungseinheit 47, die mit dem der Normaltext/Verschlüsselungstext/Signatur-Eingabeeinheit 42 und der Speichereinheit 45 für öffentliche Schlüssel verbunden ist, eine Geheimschlüssel-Speichereinheit 46, die mit der Verschlüsselungsschlüssel-Erzeugungsprogrammeinheit 44 und der Verschlüsselungs-Verarbeitungseinheit 47 verbunden ist, eine Lösch- Befehlseinheit 49, die mit der Geheimschlüssel-Speichereinheit 46 verbunden ist, und eine Öffnungs-Erfassungseinheit 48, die mit der Lösch-Befehlseinheit 49 verbunden ist, umfasst.
  • Bei dieser Konfiguration der 14 sind andere Elemente als die Schlüsselerzeugungs-Befehlseinheit 41 und die Normaltext/Verschlüsselungstext/Signatur-Eingabeeinheit 42 innerhalb einer manipulationsresistenten Vorrichtung 34A, deren Inneres durch niemanden berührt werden kann enthalten. Wann immer ein Versuch zum Auslesen des Geheimschlüssels aus dem innerhalb dieser manipulationsresistenten Vorrichtung 34A gespeicherten RSA-Verschlüsselungssystems durch erzwungenes Öffnen einer Abdeckung von dieser manipulationsresistenten Vorrichtung 34A durchgeführt wird, detektiert die Öffnungs-Erfassungseinheit 48 das Öffnen der Abdeckung und es wird die Lösch-Befehlseinheit 49 aktiviert, um den in der Geheimschlüssel-Speichereinheit 46 gespeicherten Geheimschlüssel elektrisch zu löschen, so dass der Geheimschlüssel nicht ausgelesen werden kann, selbst durch einen Besitzer der persönlichen tragbaren Vorrichtung 34. Ebenso ist diese manipulationsresistente Vorrichtung 34A, um das erneute Schreiben des Geheimschlüssels zu einem anderen Schlüssel zu verhindern, entwickelt, um Halbleiterchips und Substratverdrahtungen, die innerhalb dieser manipulationsresistenten Vorrichtung 34A verwendet sind, zu zerstören, wann immer die Abdeckung geöffnet wird. Ein Beispiel für diesen Typ von manipulationsresistenter Vorrichtung ist in S. H. Weingart, "Physical Security for the μASBYSS System", Proceedings 1987 IEEE Symposium on Security and Privacy, S. 52–58, April 1987 offenbart.
  • Diese persönliche tragbare Vorrichtung 34 der 14 hat zwei Eingänge und einen Ausgang. Einer der Eingänge ist die Schlüsselerzeugungs-Befehlseinheit 41 zum Befehlen einer Erzeugung eines öffentlichen Schlüssels und eines Geheimschlüssels des RSA-Verschlüsselungssystems, um durch den Anwender verwendet zu werden, welches durch den Anwender betrieben bzw. betätigt wird, bevor der Anwender ein Empfangen des Dienstes durch Verwenden dieser persönlichen tragbaren Vorrichtung 34 beginnt.
  • Hier kann beispielsweise ein durch die Schlüsselerzeugungs-Befehlseinheit 41 eingegebener Befehl ein Keim einer in der Zufallszahl-Erzeugungseinheit 43 zu erzeugenden Zufallszahl sein. In diesem Fall ist es vorzuziehen, diesen Keim so zu erzeugen, dass derselbe Keim nahezu niemals wieder erzeugt wird. Beispielsweise ist es praktisch, die eingegebenen Zeichen der Tastatureingabe und ihre Eingabezeitintervalle zu verwenden. Aus dem eingegebenen Keim wird eine Zufallszahl in der Zufallszahl-Erzeugungseinheit 43 erzeugt, und diese Zufallszahl wird der Verschlüsselungsschlüssel-Erzeugungsprogrammiereinheit 44 übergeben.
  • Die Verschlüsselungsschlüssel-Erzeugungsprogrammiereinheit 44 erzeugt dann die Schlüssel des RSA-Verschlüsselungssystems. Von den Schlüsseln des RSA-Verschlüsselungssystems, die in der Verschlüsselungsschlüssel-Erzeugungsprogrammiereinheit 44 erzeugt werden, muss der öffentliche Schlüssel der Öffentlichkeit offenbart werden, so dass der öffentliche Schlüssel in der Speichereinheit 45 für öffentliche Schlüssel gespeichert wird, welche von außen lesbar ist. Andererseits wird der Geheimschlüssel in der Geheimschlüssel-Speichereinheit 46 gespeichert, die nicht von außen lesbar ist. Dies beendet die Vorbereitung der zu verwendenden Schlüssel innerhalb der persönlichen tragbaren Vorrichtung 34.
  • Zu einer Zeit eines Empfangens des Dienstes werden Parameter, die beim Verschlüsseln eines Normaltextes, beim Entschlüsseln eines Verschlüsselungstextes, beim Signieren oder Verifizieren einer Signatur erforderlich sind, von einem anderen der Eingänge eingegeben, die durch die Normaltext/Verschlüsselungstext/Signatur-Eingabeeinheit 42 zur Verfügung gestellt sind. Für das Verschlüsseln des eingegebenen Klartextes und die Verifizierung der Signatur wird der durch eine Kommunikationszielseite offenbarte öffentliche Schlüssel verwendet. Für das Entschlüsseln des Verschlüsselungstextes wird der in der Geheimschlüssel-Speichereinheit 46 gespeicherte Geheimschlüssel bei der Verarbeitung in der Verschlüsselungs-Verarbeitungseinheit 47 verwendet, und das entschlüsselte Ergebnis wird von der Verschlüsselungs-Verarbeitungseinheit 47 ausgegeben.
  • Der Geheimschlüssel des auf diese Weise erzeugten RSA-Verschlüsselungssystems ist so, dass jeder davon überzeugt werden kann, dass nur der Besitzer dieser persönlichen tragbaren Vorrichtung 34 diesen Geheimschlüssel verwenden kann, und dass der Wert von diesem Geheimschlüssel selbst niemandem bekannt sein, einschließlich dem Besitzer dieser persönlichen tragbaren Vorrichtung 34.
  • Anders ausgedrückt ist es gemäß diesem vierten Ausführungsbeispiel möglich, die Authentifizierungsfunktion für den Zweck eines Bestätigens eines legitimierten Anwenders zu verwenden, und selbst ein Anwender, der die digitalen Copyright-Daten kaufte, kann keine illegalen Kopien machen. Darüber hinaus kann der in der persönlichen tragbaren Vorrichtung 34 verwendete Geheimschlüssel erzeugt werden, ohne dass eine Verwendung einer speziellen Vorrichtung zum Schreiben des Geheimschlüssels in die persönliche tragbare Vorrichtung 34 erforderlich ist.
  • Es ist zu beachten, dass in der Praxis die persönliche tragbare Vorrichtung 34 auf einfache Weise in Form einer standardisierten IC-Karte oder PC-Karte (PCMCIA) zur Verfügung gestellt sein kann.
  • Bezüglich des Verfahrens zum tatsächlichen Verwenden der Inhalte, die auf der Empfangsseite entschlüsselt werden, sind diejenigen verfügbar, die in der japanischen Patentanmeldung Nr. 6-298702 (1994) und der japanischen Patentanmeldung Nr. 6-299940 (1994) offenbart sind.
  • Es ist auch zu beachten, dass die Schlüsselerzeugungs-Befehlseinheit 41 und Klartext/Verschlüsselungstext/Signatur-Eingabeeinheit 42 auf der Seite des Anwenderendgeräts 33 vorgesehen sein können, in welches die persönliche tragbare Vorrichtung 34 einzufügen ist, oder das Anwenderendgerät 33 und die persönliche tragbare Vorrichtung 34 integriert vorgesehen sein können, wenn es erwünscht ist.
  • In dieser persönlichen tragbaren Vorrichtung 34 der 14 wird die Schlüsselerzeugung durch eine Prozedur gemäß dem Ablaufdiagramm der 15 wie folgt ausgeführt.
  • Zuerst befiehlt der Anwender der persönlichen tragbaren Vorrichtung 34 den Schlüsselerzeugungsstart (Schritt S21). Auf diesem Befehl hin erzeugt die Schlüsselerzeugungs-Befehlseinheit 41 einen Keim für eine Zufallszahl (Schritt S22) und erzeugt die Zufallszahl-Erzeugungseinheit 43 eine Zufallszahl unter Verwendung dieses Keims (Schritt S23). Dann wird das Schlüsselerzeugungsprogramm bei der Verschlüsselungsschlüssel-Erzeugungsprogrammeinheit 44 aktiviert (Schritt S24), um die Schlüssel zu erzeugen.
  • Von den erzeugten Schlüsseln muss der öffentliche Schlüssel an die Kommunikationszielparteien verteilt werden, so dass der öffentliche Schlüssel von der persönlichen tragbaren Vorrichtung 34 über die Verschlüsselungs-Verarbeitungseinheit 47 ausgegeben wird (Schritt S25), während er in der Speichereinheit 45 für öffentliche Schlüssel gespeichert wird. Der ausgegebene öffentliche Schlüssel wird dann durch den Besitzer der persönlichen tragbaren Vorrichtung 34 empfangen (Schritt S26), und, wenn es nötig ist, bei der Zertifikationsausgabeorganisation registriert und zu den kommunizierenden Zielparteien verteilt, nachdem er durch die Zertifikationsausgabeorganisation bewilligt ist.
  • Andererseits wird der erzeugte Geheimschlüssel in der Geheimschlüssel-Speichereinheit 46 der persönlichen tragbaren Vorrichtung 34 gespeichert (Schritt S27) und es wird die Schlüsselerzeugung beendet.
  • Ebenso wird bei dieser persönlichen tragbaren Vorrichtung 34 der 14 das Löschen des Geheimschlüssels durch eine Prozedur gemäß dem Ablaufdiagramm der 16 wie folgt ausgeführt.
  • Hier soll angenommen sein, dass es eine Person gibt, die versucht, die persönliche tragbare Vorrichtung 34 zu attackieren, um die Geheiminformation herauszunehmen, die innerhalb der persönlichen tragbaren Vorrichtung 34 gespeichert ist, wobei diese Person der Besitzer dieser persönlichen tragbaren Vorrichtung 34 sein kann. In diesem Fall ist das erste, was diese Person erwägen könnte, irgendwie irgendeine geheime Information aus der Schnittstelle zwischen der persönlichen tragbaren Vorrichtung 34 und dem Anwenderendgerät 33 herauszunehmen. Jedoch kann keine geheime Information auf diese Weise erhalten werden, aus dem offensichtlichen Grund, dass nur Information, welche öffentlich offenbart sein kann, von der persönlichen tragbaren Vorrichtung 34 ausgegeben wird. Wenn diese Person durch dieses Ergebnis noch nicht entmutigt ist, könnte diese Person als nächstes versuchen, die persönliche tragbare Vorrichtung 34 mit Zwang zu öffnen, in einem Versuch, die geheime Information zu entnehmen.
  • Wann immer es einen Versuch zum erzwungenen Öffnen des Vorrichtungsgehäuses gibt (Schritt S31), erfasst die Öffnungs-Erfassungseinheit 48 dieses Öffnen der Vorrichtung (Schritt S32) und aktiviert die Lösch-Befehlseinheit 49 das Geheimschlüssel-Löschprogramm (Schritt S33), so das der Geheimschlüssel aus der Geheimschlüssel-Speichereinheit 46 gelöscht wird (Schritt S34).
  • Zusätzlich werden dann, wenn die persönliche tragbare Vorrichtung 34 zwangsweise geöffnet wird (Schritt S35), die Haupt-Chipelemente, die im Inneren der persönlichen tragbaren Vorrichtung 34 implementiert sind, zerstört (Schritt S36), so dass es unmöglich wird, irgendeine Information herauszunehmen.
  • Auf diese Weise ist es für irgendjemanden vollständig unmöglich, irgendeine geheime Information aus der persönlichen tragbaren Vorrichtung 34 des vierten Ausführungsbeispiels herauszunehmen.
  • Somit ist es gemäß diesem vierten Ausführungsbeispiel möglich, ein Verfahren und ein System zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems zur Verfügung zu stellen, bei dem der Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems innerhalb einer persönlichen tragbaren Vorrichtung erzeugt und gemanagt werden kann, ohne eine spezielle Vorrichtung zum Schreiben des Geheimschlüssels in eine persönliche tragbare Vorrichtung zu erfordern.
  • Durch Verwenden der persönlichen tragbaren Vorrichtung dieses vierten Ausführungsbeispiels wird es in einem Fall eines Handhabens der digitalen Daten als kommerzielle Güter über Netzwerke möglich, nachzuweisen, dass der Anwender der einzige ist, der die Absicht zur Bezahlung ausdrückte, und dass der Anwender die digitalen Daten nicht ohne eine Erlaubnis vom Informationslieferer kopieren kann.
  • Nimmt man nun Bezug auf 17 bis 21 wird das fünfte Ausführungsbeispiel eines Verfahrens und eines Systems zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems gemäß der vorliegenden Erfindung detailliert beschrieben werden. Dieses fünfte Ausführungsbeispiel betrifft einen Fall, bei welchem es auch möglich ist, den in einer persönlichen tragbaren Vorrichtung gespeicherten Geheimschlüssel zu reproduzieren (wiederzubeleben), gleich demjenigen des oben beschriebenen vierten Ausführungsbeispiels, ohne eine spezielle Vorrichtung zum Schreiben des Geheimschlüssels in eine persönliche tragbare Vorrichtung zu erfordern, wie sie bei dem oben beschriebenen dritten Ausführungsbeispiel verwendet wird, selbst dann, wenn der Geheimschlüssel verschwand oder unnutzbar wurde.
  • 17 zeigt eine konzeptmäßige Konfiguration eines Systems bei diesem fünften Ausführungsbeispiel, welches eine persönliche tragbare Vorrichtung 55 eines Anwenders 56 enthält, die an einem Anwenderendgerät 54 verwendet wird, und einen Serviceprovider 52 und einen Herausgeber 51 für persönliche tragbare Vorrichtungen, der mit dem Anwenderendgerät 54 über ein Netzwerk 53 verbunden ist.
  • Bei dieser Konfiguration der 17 führt der Anwender 56, der wünscht, den durch den Serviceprovider 52 zur Verfügung gestellten Service zu empfangen, seine eigene persönliche tragbare Vorrichtung 55 in das Anwenderendgerät 54 ein und betreibt das Anwenderendgerät 54 so, dass die erwünschten Inhalte von dem Serviceprovider 52 über das Netzwerk 53 zu dem Anwenderendgerät 54 verteilt werden.
  • Bei dieser Ausführungsform ist eine Anzahl von Parteien, die bei der Schlüsselerzeugung für die persönliche tragbare Vorrichtung 55 beteiligt sind, im allgemeinen beliebig. Im Folgenden wird ein einfachster beispielhafter Fall beschrieben werden, wie er in 17 gezeigt ist, wobei drei Parteien aus dem Serviceprovider 52, dem Anwender 56, einem Herausgeber 52 für persönliche tragbare Vorrichtungen bei der Schlüsselerzeugung beteiligt sind. Es ist jedoch zu beachten, dass es beim Ausführen dieser Ausführungsform für alle Einheiten bzw. Subjekte (Personen oder Organisationen) vorzuziehen ist, die Interessen mit dem Anwender gemeinsam nutzen bzw. teilen (oder für die erwartet wird, dass sie diese teilen), bei der Schlüsselerzeugung teilzunehmen, wenn der Anwender den Service empfängt.
  • Bei dieser Ausführungsform kann zu einer Zeit eines Ausgebens der persönlichen tragbaren Vorrichtung 55 der Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems, um in der persönlichen tragbaren Vorrichtung 55 verwendet zu werden, in einem solchen Zustand erzeugt werden, dass dieser Geheimschlüssel selbst niemandem bekannt ist, einschließlich einem Manager des Serviceproviders 52 und einem Besitzer (Anwender) der persönlichen tragbaren Vorrichtung 55, und es ist möglich, nachzuweisen, dass dieser Geheimschlüssel nur innerhalb dieser persönlichen tragbaren Vorrichtung 55 existiert. Darüber hinaus kann dieser in der persönlichen tragbaren Vorrichtung 55 gespeicherte Geheimschlüssel selbst dann reproduziert (wiederbelebt) werden, wenn die persönliche tragbare Vorrichtung 55 verloren oder zerstört wird.
  • Die persönliche tragbare Vorrichtung 55 dieses fünften Ausführungsbeispiels hat eine detaillierte Konfiguration, wie sie in 18 gezeigt ist.
  • Diese persönliche tragbare Vorrichtung 55 der 18 enthält eine Exponentenanfangswert-Eingabeeinheit 501 für öffentliche Schlüssel, eine Anfangswert-Eingabeeinheit 502 für Teil-Geheimschlüssel, eine Ausgabeanforderungs-Eingabeeinheit 503 für korrigierte Teil-Geheimschlüssel und eine Normaltext/Verschlüsselungstext/Signatur-Eingabeeinheit 504, die Eingaben in einen manipulationsresistenten Vorrichtungsabschnitt 55A dieser persönlichen tragbaren Vorrichtung 55 liefern.
  • Diese persönliche tragbare Vorrichtung 55 der 18 enthält auch eine Modulo-Ausgabeeinheit 591 für öffentliche Schlüssel, eine Exponenten-Ausgabeeinheit 592 für öffentliche Schlüssel, eine Ausgabeeinheit 593 für korrigierte Teil-Geheimschlüssel und eine Verschlüsselungsverarbeitungsergebnis-Ausgabeeinheit 594, die aus Ausgaben von dem manipulationsresistenten Vorrichtungsabschnitt 55A dieser persönlichen tragbaren Vorrichtung 55 liefern.
  • Der manipulationsresistente Vorrichtungsabschnitt 55A ist durch eine manipulationsresistente Vorrichtung ausgebildet, deren Inneres durch niemanden berührt werden kann.
  • Der manipulationsresistente Vorrichtungsabschnitt 55A enthält: einen Exponentenanfangswertspeicher 521 für öffentliche Schlüssel, der mit der Exponentenanfangswert-Eingabeeinheit 501 für öffentliche Schlüssel verbunden ist; eine Schlüsselerzeugungsparameter-Erzeugungseinheit 522, die mit dem Exponentenanfangswertspeicher 521 für öffentliche Schlüssel verbunden ist; einen Schlüsselerzeugungsparameterspeicher 523, der mit der Schlüsselerzeugungsparameter-Erzeugungseinheit 522 verbunden ist; und eine Exponentenspeichereinheit 524 für öffentliche Schlüssel, die mit dem Schlüsselerzeugungsparameterspeicher 523 und der Exponentenausgabeeinheit 592 für öffentliche Schlüssel verbunden ist.
  • Der manipulationsresistente Vorrichtungsabschnitt 55A enthält auch: eine Schlüsselerzeugungszulassungs-Beurteilungseinheit 511, die mit dem Exponentenanfangswertspeicher 521 für öffentliche Schlüssel verbunden ist; eine Primzahl-Erzeugungseinheit 512, die mit der Schlüsselerzeugungszulassungs-Beurteilungseinheit 511 und der Schlüsselerzeugungsparameter-Erzeugungseinheit 522 verbunden ist; eine Erzeugungseinheit 513 für öffentliche Schlüssel, die mit der Primzahl-Erzeugungseinheit 512 verbunden ist; und eine Modulo-Speichereinheit 514 für öffentliche Schlüssel, die mit der Erzeugungseinheit 513 für öffentliche Schlüssel und der Modulo-Ausgabeeinheit 591 für öffentliche Schlüssel verbunden ist.
  • Der manipulationsresistente Vorrichtungsabschnitt 55A enthält auch: eine Teil-Geheimschlüssel-Korrektureinheit 531, die mit der Tei-Geheimschlüssel-Anfangswerteingabeeinheit 502 verbunden ist; eine Geheimschlüssel-Zusammensetzungseinheit 532; und eine Geheimschlüssel-Speichereinheit 533, die mit der Geheimschlüssel-Zusammensetzungseinheit 532 verbunden ist.
  • Der manipulationsresistente Vorrichtungsabschnitt 55A enthält auch: eine Ausgabeanforderungs-Prüfeinheit 541 für schließliche Teil-Geheimschlüssel, die mit der Ausgabeanforderungs-Eingabeeinheit 503 für korrigierte Teil-Geheimschlüssel verbunden ist; und einen Speicher für korrigierte Teil-Geheimschlüssel, der mit der Ausgabeanforderungs-Prüfeinheit 541 für schließliche Teil-Geheimschlüssel, der Teil-Geheimschlüssel-Korrektureinheit 531, der Geheimschlüssel-Zusammensetzungseinheit 532, der Schlüsselerzeugungszulassungs-Beurteilungseinheit 511 und der Ausgabeeinheit 593 für korrigierte Teil-Geheimschlüssel verbunden ist.
  • Der manipulationsresistente Vorrichtungsabschnitt 55A enthält auch: eine Verschlüsselungs-Verarbeitungseinheit 551, die mit der Normaltext/Verschlüsselungstext/Signatur-Eingabeeinheit 504, der Modulo-Speichereinheit 514 für öffentliche Schlüssel, der Geheimschlüssel-Spechereinheit 533 und der Verschlüsselungsverarbeitungsergebnis-Ausgabeeinheit 594 verbunden ist; eine Öffnungs-Erfassungseinheit 561 und eine Lösch-Befehlseinheit 562, die mit der Öffnungs-Erfassungseinheit 561, dem Speicher 542 für korrigierte Teil-Geheimschlüssel und der Geheimschlüssel-Speichereinheit 533 verbunden ist.
  • Bei dieser Konfiguration der 18 erfasst die Öffnungs-Erfassungseinheit 561, wann immer ein Versuch zum Auslesen des Geheimschlüssels des RSA-Verschlüsselungssystems, der innerhalb des manipulationsresistenten Vorrichtungsabschnitts 55A gespeichert ist, durch erzwungenes Öffnen einer Abdeckung dieses manipulationsresistenten Vorrichtungsabschnitts 55A durchgeführt wird, das Öffnen der Abdeckung, und die Lösch-Befehlseinheit 562 wird aktiviert, um den in der Geheimschlüssel-Speichereinheit 533 gespeicherten Geheimschlüssel elektrisch zu löschen, so dass der Geheimschlüssel nicht ausgelesen werden kann, selbst durch einen Besitzer dieser persönlichen tragbaren Vorrichtung 55. Ebenso ist diese manipulationsresistente Vorrichtung 55, um das erneute Schreiben des Geheimschlüssels zu einem anderen Schlüssel zu verhindern, ausgelegt, um Halbleiterchips und Substratverbindungen, die innerhalb dieses manipulationsresistenten Vorrichtungsabschnitts 55A verwendet sind, zu zerstören, wann immer die Abdeckung geöffnet wird. Ein Beispiel für diesen Typ von manipulationsresistenter Vorrichtung ist in S. H. Weingart, "Physical Security for the μASBYSS System", Proceedings 1987 IEEE Symposium on Security and Privacy, S. 52–58, April 1987 offenbart.
  • Nun wird die bei diesem fünften Ausführungsbeispiel verwendete Schlüsselerzeugungsprozedur detailliert beschrieben werden.
  • Zuerst wird die allgemeine Prozedur zum Erzeugen des öffentlichen Schlüssels (Exponent e für öffentlichen Schlüssel, Modulo n für öffentlichen Schlüssel) und des Geheimschlüssels (Geheimschlüssel-Exponent d), die in dem RSA-Verschlüsselungssystem verwendet werden, kurz beschrieben werden.
  • Das bedeutet, dass die Schlüssel des RSA-Verschlüsselungssystems normalerweise durch die folgenden Schritte (1) bis (5) erzeugt werden.
    • (1) Erzeugen von zwei Primzahlen p und q.
    • (2) Einstellen eines Produkts aus zwei erzeugten Primzahlen p und q als Modulo n für öffentliche Schlüssel des öffentlichen Schlüssels.
    • (3) Es sei der kleinste gemeinsame Nenner von (p – 1) und (q – 1) gleich L.
    • (4) Auswählen einer positiven Ganzzahl, die kleiner als L ist und in Bezug auf L relativ prim ist, und Einstellen dieser positiven ganzen Zahl als Exponenten e für öffentliche Schlüssel des öffentlichen Schlüssels.
    • (5) Erzeugen eines Geheimschlüssel-Exponenten d des Geheimschlüssels, für welchen e·d ≡ 1 (mod L) gilt.
  • Andererseits verwendet die bei diesem fünften Ausführungsbeispiel benutzte Schlüsselerzeugungsprozedur die Tatsache, dass der Geheimschlüssel in Teil-Geheimschlüssel aufgeteilt werden kann.
  • Bei der bei diesem fünften Ausführungsbeispiel verwendeten Schlüsselerzeugungsprozedur folgen denselben Schritten (1) bis (4), wie sie oben beschrieben sind, die folgenden Schritte (5') und (5'') anstelle des obigen Schritts (5).
    • (5') Auswählen von k – 1 Stücken von positiven Ganzzahlen, von welchen jeder kleiner als L ist und in Bezug auf L relativ prim ist und Einstellen dieser positiven Ganzzahlen als Geheimparameter d1, d2, ..., dk-1, wobei k eine erforderliche Anzahl von Geheimparametern ist, d.h. eine Anzahl von Parteien, die bei der Schlüsselerzeugung beteiligt sind.
    • (5'') Erzeugen eines Geheimparameters d0, welcher folgendes erfüllt: e·d0·d1·d2·...·dk-1 ≡ 1 (mod L)und darauf folgendes Erzeugen des Geheimschlüssels d, welcher folgendes erfüllt:
      Figure 00580001
      wobei n das Modulo von öffentlichen Schlüsseln ist und x eine beliebige positive Ganzzahl kleiner als n ist.
  • Hier ist es einfacher, die aufgeteilten Geheimparameter d0, d1, d2, ..., dk-1 als Teile anzusehen, die den Geheimschlüssel d teilen. Ebenso wird selbst dann, wenn alle geteilten Geheimparameter, die andere als de sind, bekannt sind, soviel Rechenleistung, wie beim Brechen des RSA-Verschlüsselungssystems nötig ist, erforderlich sein, um di zu erhalten. Folglich wird so lange, bis alle geteilten Geheimparameter d0, d1, d2, ..., dk-1 erlangt sind, so viel Rechenleistung, wie beim Brechen des RSA-Verschlüsselungssystems nötig ist, erforderlich sein, um den Geheimschlüssel d zu erraten. Diese Eigenschaft wird vorteilhaft bei diesem fünften Ausführungsbeispiel genutzt. Es ist zu beachten, dass der gleiche Algorithmus unter Verwendung von geteilten Geheimparametern für den Geheimschlüssel des RSA-Verschlüsselungssystems auch in C. Boyd, "Some applications of multiple key Ciphers", Advances in Cryptology-EOROCRYPT '88, S. 455–457, Lecture Notes in Computer Science Vol. 330, Springer-Verlag, 1988 offenbart ist.
  • Die Prozedur zum Erzeugen des Geheimschlüssels bei diesem fünften Ausführungsbeispiel wird nun unter Bezugnahme auf 19 für einen beispielhaften Fall von k = 3 beschrieben werden, wie es in 17 gezeigt ist. In 19 stellen durchgezogene Linien Operationen unter Verwendung des Netzwerks 53 dar, während gestrichelte Linien Operationen ohne Verwendung des Netzwerks 53 darstellen.
  • Zuerst gibt der Herausgeber 51 für persönliche tragbare Vorrichtungen, der die persönliche tragbare Vorrichtung 55 ausgibt, einen Exponentenanfangswert e' für öffentliche Schlüssel und einen Teil-Geheimschlüssel d1 in die persönliche tragbare Vorrichtung 55 ein (Schritt (1) der 19).
  • An dieser Stelle beurteilt die Schlüsselerzeugungszulassungs-Beurteilungseinheit 511, ob die Schlüsselerzeugung zugelassen ist oder nicht, wie es folgt.
  • Wenn ein Wert in dem Speicher 542 für korrigierte Teil-Geheimschlüssel 0 ist, ist es das direkt nachdem die persönliche tragbare Vorrichtung 55 ausgegeben ist und der Geheimschlüssel noch nicht erzeugt worden ist. Folglich wird dann, wenn ein Wert in dem Speicher 542 für korrigierte Teil-Geheimschlüssel 0 ist, die Schlüsselerzeugungszulassungs-Beurteilungseinheit 511 auf den EIN-Zustand eingestellt, in welchem ein Übergang zu der nächsten Stufe der Schlüsselerzeugung durchgeführt werden kann.
  • Wenn der Geheimschlüssel bereits in die persönliche tragbare Vorrichtung 55 geschrieben ist, ist es unter einem Gesichtspunkt der Sicherheit erforderlich, dass der Geheimschlüssel nur dann aktualisiert werden kann, wenn die Teil-Geheimschlüssel, die beim Zusammensetzen des bereits geschriebenen Geheimschlüssels nötig sind, den Einheiten bzw. Subjekten bekannt sind, die bei der Schlüsselerzeugung beteiligt sind, um zu verhindern, dass irgendjemand sonst den Geheimschlüssel nach seinem Willen aktualisiert.
  • Folglich werden dann, wenn der Geheimschlüssel bereits erzeugt worden ist, die Anfangswerte von allen gegenwärtig gültigen Teil-Geheimschlüsseln durch die Einheiten, die bei der Schlüsselerzeugung beteiligt sind, von der Teil-Geheimschlüssel-Anfangswerteingabeeinheit 502 eingegeben, und die eingegebenen Teil-Geheimschlüssel-Anfangswerte werden bei der Teil-Geheimschlüssel-Korrektureinheit 531 so korrigiert, dass jeder eingegebene Teil-Geheimschlüssel relativ prim in Bezug auf den kleinsten gemeinsamten Nenner L von (p – 1) und (q – 1) wird (p und q sind Primzahlen), welcher in dem Schlüsselerzeugungsparameterspeicher 523 gespeichert ist. Dann wird, wenn diese korrigierten Teil-Geheimschlüssel gleich denjenigen sind, die in dem Speicher 542 für korrigierte Teil-Geheimschlüssel gespeichert sind, die Schlüsselerzeugungszulassungs-Beurteilungseinheit 511 auf den EIN-Zustand eingestellt, wohingegen die Schlüsselerzeugungszulassungs-Beurteilungseinheit 511 sonst auf den AUS-Zustand eingestellt wird, so dass der Geheimschlüssel nicht aktualisiert werden kann.
  • Wenn die Schlüsselerzeugungszulassungs-Beurteilungseinheit 511 im EIN-Zustand ist, erzeugt die Primzahl-Erzeugungseinheit 512 erneut zwei Primzahlen p und q. Dann erzeugt die Schlüsselerzeugungsparameter-Erzeugungseinheit 522 den kleinsten gemeinsamen Nenner L von (p – 1) und (q – 1). Der kleinste gemeinsame Nenner L wird in dem Schlüsselerzeugungsparameterspeicher 523 gespeichert, während eine positive Ganzzahl, die kleiner als L ist und relativ prim in Bezug auf L ist, durch sequenzielles Inkrementieren des Exponentenanfangswerts e' für öffentliche Schlüssel erhalten und als Exponent e für öffentliche Schlüssel in der Exponentenspeichereinheit 524 für öffentliche Schlüssel gespeichert wird. Dieser Exponent e für öffentliche Schlüssel ist frei lesbar, da er der Öffentlichkeit offenbart werden kann. Andererseits erzeugt die Modulo-Erzeugungseinheit 513 für öffentliche Schlüssel das Produkt aus den zwei Primzahlen p und q, die bei der Primzahl-Erzeugungseinheit 512 erzeugt sind, und speichert dieses Produkt als Modulo n für öffentliche Schlüssel in der Modulo-Speichereinheit 514 für öffentliche Schlüssel. Dieses Modulo n für öffentliche Schlüssel ist auch frei lesbar, da es der Öffentlichkeit offenbart werden kann.
  • Im Schritt (1) der 19 gibt der Herausgeber 51 für persönliche tragbare Vorrichtungen den Exponentenanfangswert e' für öffentliche Schlüssel bei der Exponentenanfangswert-Eingabeeinheit 501 für öffentliche Schlüssel ein und es wird der eingegebene Exponentenanfangswert e' für öffentliche Schlüssel in dem Exponentenanfangswertspeicher 521 für öffentliche Schlüssel gespeichert.
  • Ebenso gibt der Herausgeber 51 für persönliche tragbare Vorrichtungen einen Teil-Geheimschlüssel-Anfangswert d1', der aus einer Zufallszahl erhalten ist, in der Teil-Geheimschlüssel-Anfangswerteingabeeinheit 502 ein. Der eingegebene Teil-Geheimschlüssel-Anfangswert d1' wird dann korrigiert, um die relative Primzahl in Bezug L zu sein, welches in dem Schlüsselerzeugungsparameterspeicher 523 gespeichert ist, und zwar gemäß einer vorgeschriebenen Regel bei der Teil-Geheimschlüssel-Korrektureinheit 531, um den Teil-Geheimschlüssel d1 zu erhalten. Hier arbeitet die Teil-Geheimschlüssel-Korrektureinheit 531 so, dass immer dasselbe d1 für dieselben e, n und d1' erhalten wird. Die einfachste Art zum Realisieren dieser Korrektur besteht im Erhalten von d1 durch sequenzielles Inkrementieren von d1'. Der korrigierte Teil-Geheimschlüssel d1 wird dann in dem Speicher 542 für korrigierte Teil-Geheimschlüssel gespeichert.
  • Dann sendet der Herausgeber 51 für persönliche tragbare Vorrichtungen die persönliche tragbare Vorrichtung 55 zum Serviceprovider 52.
  • Der Serviceprovider 52 gibt gleichermaßen einen Teil-Geheimschlüssel-Anfangswert d2', der aus einer Zufallszahl erhalten ist, bei der Teil-Geheimschlüssel-Anfangswerteingabeeinheit 502 ein. Dann wird ähnlich wie in einem Fall des Herausgebers 51 für persönliche tragbare Vorrichtungen der eingegebene Teil-Geheimschlüssel-Anfangswert d2' korrigiert, um relativ prim in Bezug auf L zu sein, welches in dem Schlüsselerzeugungsparameterspeicher 523 gespeichert ist, und zwar gemäß einer vorgeschriebenen Regel bei der Teil-Geheimschlüssel-Korrektureinheit 531, um so den Teil-Geheimschlüssel d2 zu erhalten. Der korrigierte Teil-Geheimschlüssel d2 wird dann in dem Speicher 542 für korrigierte Teil-Geheimschlüssel gespeichert (Schritt (2) der 19).
  • Dann sendet der Serviceprovider 52 die persönliche tragbare Vorrichtung 55 zum Anwender 56.
  • Wenn der Anwender 56 den Schlüsselerzeugungsbefehl in die persönliche tragbare Vorrichtung 55 eingibt, wird der Teil-Geheimschlüssel d0 des Geheimschlüssels, welcher e·d0·d1· d2 ≡ 1 (mod L) aus e, d1 und d2 bei der Teil-Geheimschlüssel-Korrektureinheit 531 erzeugt, und dieser Teil-Geheimschlüssel d0 wird in dem Speicher 542 für korrigierte Teil-Geheimschlüssel gespeichert. Zusätzlich wird der Geheimschlüssel d, der folgendes erfüllt:
    Figure 00620001
    wobei n Modulo vom öffentlichen Schlüssel ist und x eine beliebige positive ganze Zahl ist, die kleiner als n ist, durch die Geheimschlüssel-Zusammensetzungseinheit 532 erhalten und in der Geheimschlüssel-Speichereinheit 533 gespeichert (Schritt (3) der 19).
  • Nach dieser Schlüsselerzeugung gibt der Anwender 56 einen Befehl zum Ausgeben des Teil-Geheimschlüssels d0 an der Ausgabeanforderungs-Eingabeeinheit 503 für korrigierte Teil-Geheimschlüssel ein, und in Reaktion darauf wird der Teil-Geheimschlüssel d0 von dem Speicher 542 für korrigierte Teil-Geheimschlüssel über die Ausgabeeinheit 539 für korrigierte Teil-Geheimschlüssel ausgegeben. Hier ist jedoch die Ausgabe des Teil-Geheimschlüssels d0 mittels der Ausgabeanforderungs-Prüfeinheit 541 für schließliche Teil-Geheimschlüssel auf nur einmal beschränkt. Der erhaltene Geheimschlüssel d in der Geheimschlüssel-Speichereinheit 533 und die korrigierten Teil-Geheimschlüssel in dem Speicher 542 für korrigierte Teil-Geheimschlüssel werden streng als geheime Information mittels der Öffnungs-Erfassungseinheit 561 und der Lösch-Befehlseinheit 562 gemanagt, wie oben beschrieben, während der Anwender 56e und n andererseits der Öffentlichkeit offenbart (Schritt (4) der 19).
  • Als nächstes wird die folgende Prüfprozedur ausgeführt, um zu prüfen, ob die obige Schlüsselerzeugung ohne irgendeine Illegalität ausgeführt worden ist.
  • Zuerst erzeugt der Anwender eine Zufallszahl r als Herausforderungscode (Schritt (5) der 19). Dann wird die erzeugte Zufallszahl r durch Verwenden des Geheimschlüssels d und von Modulo n für öffentliche Schlüssel in der persönlichen tragbaren Vorrichtung 55 signiert, um D(r) zu erhalten (Schritt (6) der 19). Ebenso erhält der Anwender D0(r) durch Verwenden des Teil-Geheimschlüssels d0 und von Modulo n für öffentliche Schlüssel (Schritt (7) der 19) und sendet diese r, D(r) und D0(r) zum Serviceprovider 52 und zu dem Herausgeber 51 für persönliche tragbare Vorrichtungen (Schritt (8) und (9) der 19). An dieser Stelle mag der Kommunikationspfad zum Senden von diesen r, D(r) und D0(r) nicht notwendigerweise der sichere Kommunikationspfad sein.
  • Der Serviceprovider 52 berechnet dann E(D(r)) durch Verwenden von r, D(r) und D0(r), welche von dem Anwender 56 zusammen mit n und e empfangen sind, die durch den Anwender 56 offenbart sind, und prüft, ob dieses E(D(r)) gleich r ist oder nicht (Schritt (10) der 19).
  • Wenn dieses E(D(r)) gleich r ist, kann der Serviceprovider 52 überzeugt sein, dass die Schlüsselerzeugung ohne irgendeine Illegalität ausgeführt worden ist. Dann berechnet der Serviceprovider 52 auf D2(D0(r)) durch Verwenden des Teil-Geheimschlüssels d2 (Schritt (10) der 19) und sendet dieses D2(D0(r)) zu dem Herausgeber 51 für persönliche tragbare Vorrichtungen (Schritt (12) der 19).
  • Zwischenzeitlich berechnet der Herausgeber 51 für persönliche tragbare Vorrichtungen auch E(D(r)) durch Verwenden von r, D(r) und D0(r), welche von dem Anwender 56 zusammen mit n und e empfangen sind, die durch den Anwender 56 offenbart sind, und prüft, ob dieses E(D(r)) gleich r ist (Schritt (11) der 19).
  • Wenn dieses E(D(r)) gleich r ist, kann der Herausgeber für persönliche tragbare Vorrichtungen überzeugt sein, dass die Schlüsselerzeugung ohne irgendeine Illegalität ausgeführt worden ist. Dann berechnet der Herausgeber 51 für persönliche tragbare Vorrichtungen auf E(D1(D2(D0(r)))) durch Verwenden des Teil-Geheimschlüssels d1 und von D2(D0(r)), welche von dem Serviceprovider 52 empfangen sind, und prüft, ob dieses E(D1(D2(D0(r)))) gleich r ist oder nicht (Schritt (13) der 19).
  • Wenn dieses E(D1(D2(D0(r)))) gleich r ist, kann der Herausgeber 51 für persönliche tragbare Vorrichtungen dieses als Beweis dafür verwenden, dass alle anderen Einheiten überzeugt sind, dass die Schlüsselerzeugung ohne irgendeine Illegalität ausgeführt worden ist. Dann berechnet der Herausgeber 51 für persönliche tragbare Vorrichtungen D1(D0(r)) und D1(r) und sendet diese D1(D0(r)) und D1(r) zu dem Serviceprovider 52 (Schritt (14) der 19).
  • Der Serviceprovider 52 berechnet dann E(D2(D1(D0(r)))) durch Verwenden von D1(D0(r)), dass von dem Herausgeber 51 für persönliche tragbare Vorrichtungen zusammen mit d2 und e empfangen ist, und prüft, ob dieses E(D2(D1(D0(r)))) gleich r ist oder nicht (Schritt (15) der 19).
  • Wenn dieses E(D2(D1(D0(r)))) gleich r ist, kann der Serviceprovider 52 dies als Beweis dafür verwenden, dass alle anderen Einheiten überzeugt sind, dass die Schlüsselerzeugung ohne irgendeine Illegalität ausgeführt worden ist. Dann berechnet der Serviceprovider 52 D2(D1(r)) und sendet dieses D2(D1(r)) zum Anwender 56 (Schritt (16) der 19).
  • Der Anwender 56 berechnet dann E(D0(D2(D1(r)))) durch Verwenden von D2(D1(r)), das von dem Serviceprovider 52 zusammen mit d0 und e empfangen ist, und prüft, ob dieses E(D0(D2(D1(r)))) gleich r ist oder nicht (Schritt (17) der 19).
  • Wenn dieses E(D0(D2(D1(r)))) gleich r ist, kann der Anwender 56 dies als Beweis dafür verwenden, dass anderen Einheiten überzeugt sind, dass die Schlüsselerzeugung ohne irgendeine Illegalität ausgeführt worden ist.
  • Nachdem diese Schlüsselerzeugungs- und Prüfprozeduren beendet sind, ist der Anwender 56 dazu bereit, den Service zu empfangen, der die Sicherheit erfordert. Hier verschlüsselt der Anwender 56 dann, wenn die persönlich tragbare Vorrichtung 55 geheime Information in Bezug auf den empfangenen Service speichert, als Vorsichtsmaßnahme gegenüber einem unerwarteten Ereignis, die geheime Information durch Verwenden des öffentlichen Schlüssels in der persönlichen tragbaren Vorrichtung 55 und macht ein Backup der verschlüsselten geheimen Information. Dieses Backup von geheimer Information kann nur innerhalb der persönlichen tragbaren Vorrichtung 55 entschlüsselt werden, so dass der Anwender 56 dieses Backup für geheime Information separat von der persönlichen tragbaren Vorrichtung 55 managt.
  • In einem Fall, in welchem die persönliche tragbare Vorrichtung 55 verloren oder gestohlen wird, wird es für den Besetzer der persönlichen tragbaren Vorrichtung 55 unmöglich, den Service zu empfangen, und es gibt sogar eine Möglichkeit für eine andere Person, diese persönliche tragbare Vorrichtung 55 illegal zu verwenden. Folglich ist es vorzuziehen, den zuvor verwendeten Geheimschlüssel aufzugeben und einen neuen Geheimschlüssel in einem solchen Fall zu verwenden. Jedoch würden dann, wenn der Geheimschlüssel einfach geändert wird, die Daten, die von dem bis dahin empfangenen Service erlangt sind, unnutzbar werden. Diesbezüglich ist es dann, wenn das Backup zu einer Zeit eines Empfangens des Service durchgeführt wird, möglich, die Menge an Daten zu minimieren, die in einem solchen Fall unnutzbar wird.
  • Nun wird die Prozedur zum Wiederausgeben der persönlichen tragbaren Vorrichtung 55 bei dieser Ausführungsform beschrieben werden, wenn die persönliche tragbare Vorrichtung 55 verloren wird. Es ist zu beachten, dass die folgende Prozedur auch auf einen Fall anwendbar ist, in welchem die persönliche tragbare Vorrichtung 55 aufgrund eines Fallenlassens, eines Darauftretens, etc. physikalisch zerstört wird.
  • Wenn die persönliche tragbare Vorrichtung 55 verloren oder zerstört wird, wird die Wiederausgabeprozedur für einen Geheimschlüssel und einen persönliche tragbare Vorrichtung, die in dem Ablaufdiagramm der 20 gezeigt ist, wie folgt ausgeführt.
  • Zuerst erzeugt der Anwender 56 eine "Anforderung zur Reproduktion von verlorenem/zerstörtem Geheimschlüssel/persönlicher tragbarer Vorrichtung" als elektronische Information. Diese elektronische Information kann auf einfache Weise durch einen Wortprozessor erzeugt werden, wenn die darin zu beschreibenden Elemente im Voraus bestimmt sind. Hierin nachfolgend wird diese "Anforderung zur Reproduktion von verlorenem/zerstörtem Geheimschlüssel/persönlicher tragbarer Vorrichtung" als Form abgekürzt werden.
  • Der Anwender 56 signiert dann Form durch Verwenden des Teil-Geheimschlüssels d0, der im Geheimen im Besitz von dem Anwender 56 ist, und Modulo n für öffentliche Schlüssel, um D0(Form) zu erhalten. Zu einem Zeitpunkt dieses Signierens ist es dann, wenn n < Form in einem binären Ausdruck ist, unmöglich, D0(Form) durch eine einzige Berechnung zu erhalten, so dass entweder eine Nachrichtenauslese durch Verwenden einer Hash-Funktion erzeugt wird und diese Nachrichtenauswahl signiert wird oder Form aufgeteilt wird und jeder aufgeteilte Teil separat signiert wird.
  • Der Anwender 56 sendet dann das erhaltene D0(Form) zusammen mit Form zum Serviceprovider 52 und zum Herausgeber 51 für persönliche tragbare Vorrichtungen (Schritt 601). Hier kann das Senden von D0(Form) und Form als eine online-Verarbeitung ausgeführt werden.
  • Als nächstes prüft der Serviceprovider 52 Form, das von dem Anwender 56 empfangen ist, um zu sehen, ob dieser Anwender 56 in der Vergangenheit unabsichtlich irgendeine illegale Handlung begangen hat, gemäß diesen vergangenen Servicenutzungsaufzeichnungen für den Anwender und beurteilt, ob die Anforderung zur Wiederausgabe der persönlichen tragbaren Vorrichtung 55 geeignet ist oder nicht. Wenn beurteilt wird, dass das erneute Ausgeben der persönlichen tragbaren Vorrichtung 55 geeignet ist, signiert der Serviceprovider 52 D0(Form), das von dem Anwender 56 empfangen ist, durch Verwenden des Teil-Geheimschlüssels d2, der im geheimen Besitz vom Serviceprovider 52 ist, und dem Modulo n für öffentliche Schlüssel, um D2(D0(Form)) zu erhalten, und sendet dieses D2(D0(Form)) zu dem Herausgeber 51 für persönliche tragbare Vorrichtungen (Schritt 603).
  • Andererseits prüft der Herausgeber 51 für persönliche tragbare Vorrichtungen Form, das von dem Anwender 56 empfangen ist, und beurteilt, ob die Anforderung zur erneuten Ausgabe der persönlichen tragbaren Vorrichtung 55 geeignet ist oder nicht. Hier kann es in einem Fall, in welchem die persönliche tragbare Vorrichtung 55 zerstört worden ist, auch nötig sein, die zerstörte persönliche tragbare Vorrichtung 55 zu dem Herausgeber 51 für persönliche tragbare Vorrichtungen gesendet zu haben. Wenn beurteilt wird, dass das erneute Ausgeben der persönlichen tragbaren Vorrichtung 55 geeignet ist, signiert der Herausgeber 55 für persönliche tragbare Vorrichtungen D0(Form), das von dem Anwender 56 empfangen ist, durch Verwenden des Teil-Geheimschlüssels d1, der im geheimen Besitz vom Herausgeber 51 für persönliche tragbare Vorrichtungen ist, und dem Modulo n für öffentliche Schlüssel, um D1(D0(Form)) zu erhalten, und sendet dieses D1(D0(Form)) zum Serviceprovider 52 (Schritt 602).
  • Dann berechnet der Serviceprovider 52 F2 = E(D2(D1(D0(Form)))) durch Verwenden des Teil-Geheimschlüssels d2, der im geheimen Besitz vom Serviceprovider 52 ist, und des öffentlichen Schlüssels (e, n) an D1(D0(Form)), das von dem Herausgeber 51 für persönliche tragbare Vorrichtungen empfangen ist (Schritt 606), und verifiziert, ob dieses F2 = E(D2(D1(D0(Form)))) gleich Form ist, das von dem Anwender 56 empfangen worden ist (Schritt 607). Wenn diese Verifizierung im Schritt 607 erfolgreich ist, wird die Geheimschlüssel-Reproduktionszulassung durch den Serviceprovider 52 ausgegeben (Schritt 611), wohingegen sonst die Geheimschlüssel-Reproduktion verweigert wird (Schritt 612).
  • Andererseits berechnet der Herausgeber 51 für persönliche tragbare Vorrichtungen F1 = E(D1(D2(D0(Form)))) durch Verwenden des Teil-Geheimschlüssels d1, der im geheimen Besitz vom Herausgeber 51 für persönliche tragbare Vorrichtungen ist, und des öffentlichen Schlüssels (e, n) über D2(D0(Form)), das von dem Serviceprovider 52 empfangen ist (Schritt 604) und verifiziert, ob dieses F1 = E(D1(D2(D0(Form)))) gleich Form ist, das von dem Anwender 56 empfangen worden ist (Schritt 605). Wenn diese Verifizierung im Schritt 605 erfolgreich ist, wird die Geheimschlüssel-Reproduktionszulassung durch den Herausgeber 51 für persönliche tragbare Vorrichtungen ausgegeben (Schritt 608), wohingegen sonst die Geheimschlüssel-Reproduktion verweigert wird (Schritt 609).
  • Wenn die Geheimschlüssel-Reproduktionszulassungen von sowohl dem Herausgeber 51 für persönliche tragbare Vorrichtungen als auch dem Serviceprovider 52 erhalten werden, wird die Geheimschlüssel-Reproduktion zugelassen (Schritt 613), und darauffolgend wird die Geheimschlüssel-Reproduktion und die Wiederausgabeprozedur für persönliche tragbare Vorrichtungen gleich wie in einem Fall eines erneuten Ausgebens des Geheimschlüssels ausgeführt (Schritt 614).
  • Es ist zu beachten, dass bei dieser Wiederausgabeprozedur für einen Geheimschlüssel und eine persönliche tragbare Vorrichtung Form, das durch den Anwender 56 erzeugt ist, nur als richtig verifiziert werden kann, wenn dieses Form durch alle drei von dem Herausgeber 51 für persönliche tragbare Vorrichtungen, durch den Serviceprovider 52 und den Anwender 56, die bei der Schlüsselerzeugung beteiligt sind, signiert ist. Aus diesem Grund kann der Geheimschlüssel selbst dann, wenn gewisse Parteien oder andere Parteien als eine gewisse Partei versuchen, Form durch eine Verschwörung zu fälschen, deren Geheimschlüssel bei dieser Ausführungsform nicht reproduziert werden.
  • Folglich erzeugen bei dieser Ausführungsform zu einem Zeitpunkt der Schlüsselerzeugung alle Einheiten, die wechselseitige Interessen teilen, die Geheimparameter, und der Schlüssel wird durch Schreiben dieser Geheimparameter in die persönliche tragbare Vorrichtung 55 erzeugt, so dass keiner den innerhalb der persönlichen tragbaren Vorrichtung 55 erzeugten Geheimschlüssel kennen kann. Zusätzlich kann der Geheimschlüssel selbst dann, wenn der Geheimschlüssel aufgrund eines Verlierens oder einer Zerstörung unnutzbar wird, reproduziert werden und es kann die persönliche tragbare Vorrichtung 55 wieder ausgegeben werden, und zwar nur dann, wenn alle Einheiten, die wechselseitige Interessen teilen, die Geheimschlüssel-Reproduktion und die Wiederausgabe einer persönlichen tragbaren Vorrichtung billigen, so dass der Anwender 56 selbst in einem solchen Fall nicht alle Daten verlieren muss, die bis dahin erlangt sind.
  • Es ist auch zu beachten, dass in einem Fall des Wiederausgebens der persönlichen tragbaren Vorrichtung 55 aufgrund des Verlustes der persönlichen tragbaren Vorrichtung 55, nachdem der ursprüngliche Geheimschlüssel reproduziert ist, dieser reproduzierte Geheimschlüssel durch einen neuen Geheimschlüssel ersetzt werden kann, der sich von dem verlorenen Geheimschlüssel unterscheidet, und zwar gemäß der Prozedur, die in dem Ablaufdiagramm der 21 gezeigt ist, wie folgt.
  • In diesem Fall gibt der Anwender 56 den ursprünglichen Teil-Geheimschlüssel d0 in die persönliche tragbare Vorrichtung 55 ein, um wieder ausgegeben zu werden, während der Herausgeber 51 für persönliche tragbare Vorrichtungen den ursprünglichen Teil-Geheimschlüssel d1 und einen neuen Teil-Geheimschlüssel d1NEU in die wiederauszugebende persönliche tragbare Vorrichtung 55 eingibt, und der Serviceprovider 52 den ursprünglichen Teil-Geheimschlüssel d2 und einen neuen Teil-Geheimschlüssel d2NEU in die wiederauszugebende persönliche tragbare Vorrichtung 55 eingibt (Schritt 700).
  • Dann wird verifiziert, ob der ursprüngliche Teil-Geheimschlüssel d1, der durch den Herausgeber 51 für persönliche tragbare Vorrichtungen eingegeben ist, gleich dem reproduzierten Teil-Geheimschlüssel d1 ist, der in der wiederauszugebenden persönlichen tragbaren Vorrichtung 55 gespeichert ist, oder nicht (Schritt 701), und es wird verifiziert, ob der ursprüngliche Teil-Geheimschlüssel d2, der durch den Serviceprovider 52 eingegeben ist, gleich dem reproduzierten Teil-Geheimschlüssel d2 ist, der in der wiederauszugebenden persönlichen tragbaren Vorrichtung 55 gespeichert ist, oder nicht (Schritt 702). Wenn eine der Verifizierungen in den Schritten 701 und 702 fehlschlägt, wird das Ausgeben des neuen Geheimschlüssels verweigert (Schritt 707).
  • Wenn beide Verifizierungen in den Schritten 701 und 702 erfolgreich sind, werden ein neuer Teil-Geheimschlüssel d0NEU und ein neuer Exponent für öffentliche Schlüssel eNEU durch Verwenden der neuen Teil-Geheimschlüssel d1NEU und d2NEU erzeugt (Schritt 703).
  • Dann wird die geheime Information CardInfo, die in der persönlichen tragbaren Vorrichtung 55 gespeichert ist, durch den neuen Geheimschlüssel als ENEU (D0(D2(D1(E(CardInfo))))) wiederverschlüsselt (Schritt 704).
  • Dann wird der neue Teil-Geheimschlüssel d0NEU zum Anwender 56 ausgegeben (Schritt 705).
  • Schließlich werden die ursprünglichen d0, d1 und d2 verworfen (Schritt 706).
  • Der Geheimschlüssel des RSA-Verschlüsselungssystems, der auf die oben beschriebene Weise erzeugt oder reproduziert wird, ist so, dass jedermann überzeugt werden kann, dass nur der Besitzer dieser persönlichen tragbaren Vorrichtung 55 diesen Geheimschlüssel verwenden kann und dass der Wert dieses Geheimschlüssel selbst niemandem ist, einschließlich dem Besitzer dieser persönlichen tragbaren Vorrichtung 55.
  • Anders ausgedrückt ist es gemäß dieser Ausführungsform möglich, die Authentifizierungsfunktion für den Zweck eines Bestätigens eines legitimierten Anwenders zu verwenden, und selbst ein Anwender, der die digitalen Copyright-Daten kaufte, kann keine illegalen Kopien machen. Darüber hinaus kann derselbe Geheimschlüssel, wie er zuvor in der persönlichen tragbaren Vorrichtung 55 verwendet wird, reproduziert werden, ohne eine Verwendung einer speziellen Vorrichtung zum Schreiben des Geheimschlüssels in die persönliche tragbare Vorrichtung 55 zu erfordern, selbst wenn die persönliche tragbare Vorrichtung 55 verloren oder durch einen Fehler zerstört wird.
  • Es ist zu beachten, dass die persönliche tragbare Vorrichtung 55 in der Praxis auf einfache Weise in einer Form einer standardisierten IC-Karte oder einer PC-Karte (PCMCIA) zur Verfügung gestellt werden kann.
  • Bezüglich des Verfahrens zum tatsächlichen Verwenden der Inhalte, die auf der Empfangsseite entschlüsselt sind, sind diejenigen verfügbar, die in der japanischen Patentanmeldung Nr. 6-298702 (1994) und der japanischen Patentanmeldung Nr. 6-299940 (1994) offenbart sind.
  • Somit ist es gemäß dieser Ausführungsform möglich, ein Verfahren und ein System zur Erzeugung und zum Management eines Geheimschlüssels des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems zur Verfügung zu stellen, wobei der Geheimschlüssel des auf einem öffentlichen Schlüssel basierenden Verschlüsselungssystems reproduziert (wiederbelebt) werden kann, ohne eine spezielle Vorrichtung zum Schreiben des Geheimschlüssels in eine persönliche tragbare Vorrichtung zu erfordern.
  • Durch Verwenden der persönlichen tragbaren Vorrichtung dieser Ausführungsform wird es in einem Fall eines Handhabens der digitalen Daten als kommerzielle Güter in Netzwerken möglich, nachzuweisen, dass der Anwender der einzige ist, der die Absicht zur Bezahlung ausdrückte, und dass der Anwender die digitalen Daten nicht ohne eine Erlaubnis vom Informationslieferer kopieren kann.
  • Es sollte angemerkt werden, dass neben den bereits oben erwähnten, viele Modifikationen und Variationen der obigen Ausführungsform gemacht werden können, ohne von den neuen und vorteilhaften Merkmalen der vorliegenden Erfindung abzuweichen, die durch die anhängenden Ansprüche definiert sind.

Claims (19)

  1. Verfahren zum Erzeugen und Verwalten eines Geheimschlüssels eines Öffentlich-Schlüssel-Verschlüsselungssystems, umfassend die Schritte: (a) getrenntes Eingeben, nach Anforderung einer Geheimschlüsselreproduktion aufgrund des Verlustes des Geheimschlüssels in einer manipulationsresistenten persönlichen tragbaren Vorrichtung (55), jedes der partiellen Geheimschlüssel zum Bilden des Geheimschlüssels aus allen Entitäten, die Interessen mit dem Benutzer (56) der Manipulations-resistenten persönlichen tragbaren Vorrichtung (55) teilen, in die Manipulations-resistente persönliche tragbare Vorrichtung (55), wobei jeder partielle Geheimschlüssel von jeder Entität geheim verwaltet wird, und die partiellen Geheimschlüssel durch Teilen des Geheimschlüssels erhalten werden; (b) Erzeugen des Geheimschlüssels innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung (55) aus den in Schritt (a) eingegebenen partiellen Geheimschlüsseln; und (c) Speichern des in Schritt (b) erzeugten Geheimschlüssels in einem Speicherbereich (533) in der Manipulations-resistenten persönlichen tragbaren Vorrichtung (55), aus welchem der Geheimschlüssel nicht aus der Manipulations- resistenten persönlichen tragbaren Vorrichtung ausgelesen werden kann; und (d) Verwenden des in Schritt (c) gespeicherten Schlüssels zum Entschlüsselungsverarbeiten und Signierverarbeiten nur innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung.
  2. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: (e) Detektieren eines Öffnens einer Abdeckung der Manipulations-resistenten persönlichen tragbaren Vorrichtung; und (f) Löschen des Geheimschlüssels aus dem Speicherbereich, wenn das Öffnen der Abdeckung der Manipulations-resistenten persönlichen tragbaren Vorrichtung in Schritt (e) detektiert wird.
  3. Verfahren nach Anspruch 2, weiterhin umfassend die Schritte: (g) Zerstören von Elementen, die innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung implementiert sind, um so die Manipulations-resistente persönliche tragbare Vorrichtung unbenutzbar zu machen, wenn das Öffnen der Abdeckung der Manipulations-resistenten persönlichen tragbaren Vorrichtung in Schritt (e) detektiert wird.
  4. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: (h) wenn eine Geheimschlüsselreproduktion aufgrund eines Verlusts des Geheimschlüssels in der Manipulations-resistenten persönlichen tragbaren Vorrichtung vom Benutzer angefordert wird, erneutes getrenntes Eingeben jedes der partiellen Geheimschlüssels aus allen Entitäten, die Interessen mit dem Benutzer teilen, in die Manipulations-resistente persönliche tragbare Vorrichtung; (i) Erzeugen des Geheimschlüssels innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung aus den partiellen Geheimschlüsseln, die erneut in Schritt (h) eingegeben worden sind; und (j) Speichern des in Schritt (i) erzeugten Geheimschlüssels erneut in den Speicherbereich.
  5. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: (k) wenn eine Geheimschlüsselreproduktion aufgrund einer Zerstörung der Manipulations-resistenten persönlichen tragbaren Vorrichtung vom Benutzer (56) angeordnet wird, getrenntes Eingeben jedes der partiellen Geheimschlüssels von allen Entitäten, die Interessen mit dem Benutzer teilen, in eine neue Manipulations-resistente persönliche tragbare Vorrichtung; (l) Erzeugen des Geheimschlüssels innerhalb der neuen Manipulations-resistenten persönlichen tragbaren Vorrichtung aus den in Schritt (k) eingegebenen partiellen Geheimschlüssel; und (m) Speichern des in Schritt (1) erzeugten Geheimschlüssels in einen Speicherbereich in der neuen Manipulations-resistenten persönlichen tragbaren Vorrichtung, aus welchem der Geheimschlüssel nicht aus der neuen Manipulations-resistenten persönlichen tragbaren Vorrichtung ausgelesen werden kann.
  6. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: (n) getrenntes Eingeben jedes der neuen partiellen Geheimschlüssel zum Zusammensetzen eines neuen Geheimschlüssels von allen Entitäten, die mit dem Benutzer Interessen teilen, in die Manipulations-resistente persönliche tragbare Vorrichtung, wobei jeder neue partielle Geheimschlüssel von jeder Entität geheim verwaltet wird; (o) Erzeugen des neuen Geheimschlüssels innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung aus den in Schritt (n) eingegebenen neuen partiellen Geheimschlüsseln; und (p) Speichern des neuen in Schritt (o) erzeugten Geheimschlüssels im Speicherbereich durch Überschreiben eines ursprünglichen Geheimschlüssels.
  7. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: Erstellen einer Sicherung (Back-up) von chiffrierter Information, die von in dem Speicherbereich gespeichertem Geheimschlüssel dechiffriert werden soll, bevor eine Geheimschlüsselreproduktion notwendig wird; und Wiederherstellen der verschlüsselten Information aus der Sicherung auf die Manipulations-resistenten persönlichen tragbaren Vorrichtung nach Reproduktion des Geheimschlüssels.
  8. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: Herstellen einer Sicherung von verschlüsselter Information, die von einem in den Speicherbereichen gespeicherten ursprünglichen Geheimschlüssel entschlüsselt werden soll, bevor eine Geheimschlüsselreproduktion und Aktualisierung notwendig wird; Wiederherstellen der verschlüsselten Information aus der Sicherung auf die Manipulations-resistente persönliche tragbare Vorrichtung, nachdem der Geheimschlüssel reproduziert ist, aber bevor der Geheimschlüssel aktualisiert wird; Entschlüsseln der verschlüsselten Information innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung durch Verwenden eines reproduzierten Geheimschlüssels, nachdem der Geheimschlüssel reproduziert worden ist, aber bevor der Geheimschlüssel aktualisiert wird; und Verschlüsseln der im Entschlüsselungsschritt entschlüsselten Information innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung unter Verwendung eines aktualisierten Geheimschlüssels, nachdem der Geheimschlüssel reproduziert und aktualisiert ist.
  9. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: (q) Erzeugen von zwei Primzahlen p und q und Einstellen eines kleinsten gemeinsamen Nenners von (p – 1) und (q – 1) auf L; (r) Einstellen eines Produktes von p und q als ein öffentlicher Schlüssel modulo n und einer positiven Ganzzahl, die kleiner als L ist und in Bezug auf L eine relative Primzahl ist, als ein öffentlicher Schlüssel Exponent e; (s) Auswählen von (k – 1) Teilen von positiven Ganzzahlen, die alle kleiner als L und relative Primzahlen in Bezug auf L sind, als partielle Geheimschlüssel d1, d2, ..., dk-1, wobei k – 1 eine Anzahl der Entitäten ist; (t) Erzeugen eines partiellen Geheimschlüssels d0 des Anwenders, welcher genügt: e·d0·d1·d2·...·dk-1 ≡ 1 (mod L)so dass der Schritt (b) den Geheimschlüssel d erzeugt, der genügt:
    Figure 00790001
    wobei x eine beliebige positive Ganzzahl kleiner n ist.
  10. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: Verteilen einer Zufallszahl an alle Entitäten; sequenzielles Signieren der Zufallszahl durch Verwenden der partiellen Geheimschlüssel aller Entitäten; und Verifizieren der sequenziell signierten Zufallszahl durch Verwenden eines öffentlichen Schlüssels an jeder Entität und Bestätigen, dass der Geheimschlüssel ohne jegliche Illegalität erzeugt wird, an jeder Entität, wenn die sequenziell signierte Zufallszahl erfolgreich verifiziert wird.
  11. Verfahren nach Anspruch 1, weiterhin umfassend die Schritte: Verteilen einer Geheimschlüsselreproduktionsanforderung an alle Entitäten; sequenzielles Signieren der Geheimschlüsselreproduktionsanforderung durch Verwenden der partiellen Geheimschlüssel aller Entitäten; und Verifizieren der sequenziell signierten Geheimschlüsselreproduktionsanforderung durch Verwenden eines öffentlichen Schlüssels an jeder Entität und Erteilen einer Erlaubnis für eine Geheimschlüsselreproduktion von jeder Entität, wenn die sequenziell signierte Geheimschlüsselreproduktionsanforderung erfolgreich verifiziert wird.
  12. Manipulations-resistente persönliche tragbare Vorrichtung (55) zum Erzeugen und Verwalten eines Geheimschlüssels eines öffentlichen Schlüsselcryptosystems, umfassend: erste Mittel zum getrennten Eingeben, nach Anforderung einer Geheimschlüsselreproduktion aufgrund des Verlustes des Geheimschlüssels in einer manipulationsresistenten persönlichen tragbaren Vorrichtung, jedes der partiellen Geheimschlüssel zum Bilden des Geheimschlüssels aus allen Entitäten, die Interessen mit dem Benutzer (56) der Manipulations-resistenten persönlichen tragbaren Vorrichtung teilen, in die Manipulations-resistente persönliche tragbare Vorrichtung, wobei jeder partielle Geheimschlüssel von jeder Entität geheim verwaltet wird, und die partiellen Geheimschlüssel durch Teilen des Geheimschlüssels erhalten werden; zweite Mittel zum Erzeugen des Geheimschlüssels innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung aus den durch die ersten Mittel eingegebenen partiellen Geheimschlüsseln; dritte Mittel zum Speichern des durch die zweiten Mittel erzeugten Geheimschlüssels in einem Speicherbereich (533), aus welchem der Geheimschlüssel nicht aus der Manipulations-resistenten persönlichen tragbaren Vorrichtung ausgelesen werden kann; und Vierte Mittel zum Verwenden des durch die dritten Mittel gespeicherten Schlüssels zum Entschlüsselungsverarbeiten und Signierverarbeiten nur innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung.
  13. Vorrichtung nach Anspruch 12, weiterhin umfassend: einen Prozessor zum Ausführen von Entschlüsselungsverarbeitung und Signierverarbeitung durch Verwenden des im Speicherbereich gespeicherten Geheimschlüssels nur innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung.
  14. Vorrichtung nach Anspruch 12, weiterhin umfassend: Öffnungsdetektionsmittel (561) zum Detektieren eines Öffnens einer Abdeckung der Manipulations-resistenten persönlichen tragbaren Vorrichtung; und Mittel (562) zum Löschen des Geheimschlüssels aus dem Speicherbereich (533), wenn das Öffnen der Abdeckung der Manipulations-resistenten persönlichen tragbaren Vorrichtung durch das Öffnungsdetektionsmittel detektiert wird.
  15. Vorrichtung nach Anspruch 14, weiterhin umfassend: Mittel zum Zerstören von Elementen, die innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung implementiert sind, um so die Manipulations-resistente persönliche tragbare Vorrichtung unbenutzbar zu machen, wenn das Öffnen der Abdeckung der Manipulations-resistenten persönlichen tragbaren Vorrichtung durch das Öffnungsdetektionsmittel detektiert wird.
  16. Vorrichtung nach Anspruch 12, wobei, wenn eine Geheimschlüsselreproduktion aufgrund eines Verlusts des Geheimschlüssels in der Manipulations-resistenten persönlichen tragbaren Vorrichtung vom Benutzer angefordert wird, das erste Mittel getrennt erneut jeden der partiellen Geheimschlüssels aus allen Entitäten, die Interessen mit dem Benutzer teilen, in die Manipulations-resistente persönliche tragbare Vorrichtung eingibt; das zweite Mittel den Geheimschlüssel innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung aus den partiellen Geheimschlüsseln, die erneut vom ersten Mittel eingegeben worden sind, erzeugt; und das dritte Mittel den vom zweiten Mittel erzeugten Geheimschlüssel erneut in den Speicherbereich speichert.
  17. Vorrichtung nach Anspruch 12, wobei das erste Mittel ebenfalls getrennt jeden der neuen partiellen Geheimschlüssel zum Zusammensetzen eines neuen Geheimschlüssels von allen Entitäten, die mit dem Benutzer Interessen teilen, in die Manipulations-resistente persönliche tragbare Vorrichtung eingibt, wobei jeder neue partielle Geheimschlüssel von jeder Entität geheim verwaltet wird; das zweite Mittel auch den neuen Geheimschlüssel innerhalb der Manipulations-resistenten persönlichen tragbaren Vorrichtung aus den vom ersten Mittel eingegebenen neuen partiellen Geheimschlüsseln erzeugt; und das dritte Mittel auch den neuen vom zweiten Mittel erzeugten Geheimschlüssel im Speicherbereich durch Überschreiben eines ursprünglichen Geheimschlüssels speichert.
  18. Vorrichtung nach Anspruch 12, weiterhin umfassend: Mittel zum Erzeugen von zwei Primzahlen p und q und Einstellen eines kleinsten gemeinsamen Nenners von (p – 1) und (q – 1) auf L; Mittel zum Einstellen eines Produktes von p und q als ein öffentlicher Schlüssel modulo n; Mittel zum Einstellen einer positiven Ganzzahl, die kleiner als L ist und in Bezug auf L eine relative Primzahl ist, als ein öffentlicher Schlüssel Exponent e; Mittel zum Auswählen von (k – 1) Teilen von positiven Ganzzahlen, die alle kleiner als L und relative Primzahlen in Bezug auf L sind, als partielle Geheimschlüssel d1, d2, ..., dk-1, wobei k – 1 eine Anzahl der Entitäten ist; Mittel zum Erzeugen eines partiellen Geheimschlüssels d0 des Anwenders, welcher genügt: e·d0·d1·d2·...·dk-1 ≡ 1 (mod L)so dass der Schritt (b) den Geheimschlüssel d erzeugt, der genügt:
    Figure 00830001
    wobei x eine beliebige positive Ganzzahl kleiner n ist.
  19. Vorrichtung nach Anspruch 18, weiterhin umfassend Mittel zum einmaligen Ausgeben des partiellen Geheimschlüssels d0 des Benutzers aus der Manipulations-resistenten persönlichen tragbaren Vorrichtung.
DE69635234T 1995-06-21 1996-06-21 Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel Expired - Lifetime DE69635234T2 (de)

Applications Claiming Priority (8)

Application Number Priority Date Filing Date Title
JP15503095 1995-06-21
JP15503095A JPH096233A (ja) 1995-06-21 1995-06-21 鍵発行方法および装置
JP15941495 1995-06-26
JP15941495A JPH096236A (ja) 1995-06-26 1995-06-26 公開鍵暗号の鍵生成・証明書発行方法及びそのシステム
JP20464295 1995-08-10
JP7204642A JPH0950236A (ja) 1995-08-10 1995-08-10 秘密鍵再現方法及びその装置
JP7294996 1996-03-27
JP8072949A JPH09261217A (ja) 1996-03-27 1996-03-27 通信装置及びその方法

Publications (2)

Publication Number Publication Date
DE69635234D1 DE69635234D1 (de) 2006-02-09
DE69635234T2 true DE69635234T2 (de) 2006-06-29

Family

ID=27465526

Family Applications (6)

Application Number Title Priority Date Filing Date
DE69635144T Expired - Lifetime DE69635144T2 (de) 1995-06-21 1996-06-21 Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE69635145T Expired - Lifetime DE69635145T2 (de) 1995-06-21 1996-06-21 Verfahren zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE69635234T Expired - Lifetime DE69635234T2 (de) 1995-06-21 1996-06-21 Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE69637998T Expired - Lifetime DE69637998D1 (de) 1995-06-21 1996-06-21 Verfahren und Vorrichtung zur Erzeugung und Verwaltung des Geheimschlüssels eines Kryptosystems mit öffentlichem Schlüssel
DE69635143T Expired - Lifetime DE69635143T2 (de) 1995-06-21 1996-06-21 Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE69634715T Expired - Lifetime DE69634715T2 (de) 1995-06-21 1996-06-21 Verfahren und Einrichtung zur Erzeugung und Verwaltung eines geheimen Schlüssels eines Kryptosystems mit öffentlichem Schlüssel

Family Applications Before (2)

Application Number Title Priority Date Filing Date
DE69635144T Expired - Lifetime DE69635144T2 (de) 1995-06-21 1996-06-21 Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE69635145T Expired - Lifetime DE69635145T2 (de) 1995-06-21 1996-06-21 Verfahren zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel

Family Applications After (3)

Application Number Title Priority Date Filing Date
DE69637998T Expired - Lifetime DE69637998D1 (de) 1995-06-21 1996-06-21 Verfahren und Vorrichtung zur Erzeugung und Verwaltung des Geheimschlüssels eines Kryptosystems mit öffentlichem Schlüssel
DE69635143T Expired - Lifetime DE69635143T2 (de) 1995-06-21 1996-06-21 Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE69634715T Expired - Lifetime DE69634715T2 (de) 1995-06-21 1996-06-21 Verfahren und Einrichtung zur Erzeugung und Verwaltung eines geheimen Schlüssels eines Kryptosystems mit öffentlichem Schlüssel

Country Status (3)

Country Link
US (1) US5768389A (de)
EP (6) EP0750410B1 (de)
DE (6) DE69635144T2 (de)

Families Citing this family (79)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7562392B1 (en) * 1999-05-19 2009-07-14 Digimarc Corporation Methods of interacting with audio and ambient music
US6381741B1 (en) 1998-05-18 2002-04-30 Liberate Technologies Secure data downloading, recovery and upgrading
DE19702049C1 (de) * 1997-01-22 1998-05-14 Ibm Zertifizierung kryptografischer Schlüssel für Chipkarten
US6085976A (en) 1998-05-22 2000-07-11 Sehr; Richard P. Travel system and methods utilizing multi-application passenger cards
US7246098B1 (en) * 1997-07-15 2007-07-17 Silverbrook Research Pty Ltd Consumable authentication protocol and system
US7743262B2 (en) * 1997-07-15 2010-06-22 Silverbrook Research Pty Ltd Integrated circuit incorporating protection from power supply attacks
US7346586B1 (en) * 1997-07-15 2008-03-18 Silverbrook Research Pty Ltd Validation protocol and system
US7249108B1 (en) * 1997-07-15 2007-07-24 Silverbrook Research Pty Ltd Validation protocol and system
EP0893751A1 (de) * 1997-07-18 1999-01-27 Irdeto B.V. Integrierte Schaltung und Verfahren zur sicheren Datenverarbeitung mittels dieser integrierten Schaltung
KR100304693B1 (ko) * 1998-07-22 2001-09-29 윤종용 모듈러연산장치및모듈러연산기능을갖는ic카드
JP4206529B2 (ja) * 1998-09-17 2009-01-14 ソニー株式会社 コンテンツ管理方法及びコンテンツ記憶システム
US6631201B1 (en) 1998-11-06 2003-10-07 Security First Corporation Relief object sensor adaptor
JP4764536B2 (ja) * 1998-11-17 2011-09-07 株式会社リコー 画像計測機器
US6473861B1 (en) * 1998-12-03 2002-10-29 Joseph Forte Magnetic optical encryption/decryption disk drive arrangement
FR2787264B1 (fr) * 1998-12-15 2001-11-02 Bull Sa Procede de creation et gestion d'au moins une cle cryptographique et systeme pour sa mise en oeuvre
US7599491B2 (en) 1999-01-11 2009-10-06 Certicom Corp. Method for strengthening the implementation of ECDSA against power analysis
US7092523B2 (en) 1999-01-11 2006-08-15 Certicom Corp. Method and apparatus for minimizing differential power attacks on processors
JP4356178B2 (ja) * 1999-03-09 2009-11-04 ソニー株式会社 再生装置
US7308413B1 (en) * 1999-05-05 2007-12-11 Tota Michael J Process for creating media content based upon submissions received on an electronic multi-media exchange
US9477665B2 (en) 1999-05-05 2016-10-25 Virtual Creative Artists, LLC Revenue-generating electronic multi-media exchange and process of operating same
WO2000077974A1 (en) 1999-06-11 2000-12-21 Liberate Technologies Hierarchical open security information delegation and acquisition
DE19935286A1 (de) * 1999-07-27 2001-02-01 Deutsche Telekom Ag Verfahren zur sicheren verteilten Generierung eines Chiffrierschlüssels
CA2317139C (en) * 1999-09-01 2006-08-08 Nippon Telegraph And Telephone Corporation Folder type time stamping system and distributed time stamping system
US6708049B1 (en) * 1999-09-28 2004-03-16 Nellcor Puritan Bennett Incorporated Sensor with signature of data relating to sensor
US6873706B1 (en) * 1999-09-29 2005-03-29 Hitachi, Ltd. Processing apparatus, program, or system of secret information
US6876991B1 (en) 1999-11-08 2005-04-05 Collaborative Decision Platforms, Llc. System, method and computer program product for a collaborative decision platform
US6473743B1 (en) * 1999-12-28 2002-10-29 Pitney Bowes Inc. Postage meter having delayed generation of cryptographic security parameters
US7180889B1 (en) 1999-12-30 2007-02-20 At&T Corp. Personal control of address assignment and greeting options for multiple BRG ports
US6826173B1 (en) 1999-12-30 2004-11-30 At&T Corp. Enhanced subscriber IP alerting
US6889321B1 (en) * 1999-12-30 2005-05-03 At&T Corp. Protected IP telephony calls using encryption
US6775267B1 (en) 1999-12-30 2004-08-10 At&T Corp Method for billing IP broadband subscribers
US6937713B1 (en) 1999-12-30 2005-08-30 At&T Corp. IP call forward profile
JP2002014872A (ja) * 2000-06-29 2002-01-18 Fujitsu Ltd 暗号制御装置
JP2002082917A (ja) * 2000-07-04 2002-03-22 Sony Computer Entertainment Inc コンテンツ配信方法、コンテンツ配信サーバ及びコンテンツ配信インフラにおけるクライアント端末
US7194759B1 (en) 2000-09-15 2007-03-20 International Business Machines Corporation Used trusted co-servers to enhance security of web interaction
US6959346B2 (en) * 2000-12-22 2005-10-25 Mosaid Technologies, Inc. Method and system for packet encryption
WO2002073877A2 (en) * 2001-03-09 2002-09-19 Pascal Brandys System and method of user and data verification
DE10140721A1 (de) * 2001-08-27 2003-03-20 Bayerische Motoren Werke Ag Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs
US7207060B2 (en) 2001-10-18 2007-04-17 Nokia Corporation Method, system and computer program product for secure ticketing in a communications device
US20030076957A1 (en) * 2001-10-18 2003-04-24 Nadarajah Asokan Method, system and computer program product for integrity-protected storage in a personal communication device
US7178041B2 (en) * 2001-10-18 2007-02-13 Nokia Corporation Method, system and computer program product for a trusted counter in an external security element for securing a personal communication device
WO2003049358A1 (en) * 2001-11-29 2003-06-12 Morgan Stanley A method and system for authenticating digital certificates
GB0208858D0 (en) * 2002-04-18 2002-05-29 Hewlett Packard Co Method and apparatus for encrypting/decrypting data
US7174465B2 (en) * 2002-06-26 2007-02-06 Lenovo Singapore Pte, Ltd Secure method for system attribute modification
EP1387238B1 (de) * 2002-07-30 2011-06-15 Fujitsu Limited Verfahren und Gerät zur Wiedergabe von Information mit einem Sicherheitsmodul
US20040117636A1 (en) * 2002-09-25 2004-06-17 David Cheng System, method and apparatus for secure two-tier backup and retrieval of authentication information
CN1717893B (zh) * 2002-10-28 2010-05-05 诺基亚有限公司 设备密钥
BRPI0315450B1 (pt) * 2002-10-31 2019-12-17 Ericsson Telefon Ab L M circuito eletrônico à prova de violação para implementação em um dispositivo, dispositivo implementado com um circuito eletrônico à prova de violação, e, método de gerenciamento de dados de segurança para um dispositivo
DE10255081A1 (de) * 2002-11-20 2004-06-17 Fetin Canoglu Verfahren und Vorrichtung zur sicheren Übertragung von Daten
CN1293497C (zh) * 2003-02-12 2007-01-03 肖志明 一种多用途智能卡发卡机及其发卡方法
US7551737B2 (en) * 2003-03-31 2009-06-23 International Business Machines Corporation Cryptographic keys using random numbers instead of random primes
KR100720726B1 (ko) * 2003-10-09 2007-05-22 삼성전자주식회사 Rsa 알고리즘을 이용한 보안유지시스템 및 그 방법
US9331990B2 (en) * 2003-12-22 2016-05-03 Assa Abloy Ab Trusted and unsupervised digital certificate generation using a security token
CN1906558A (zh) * 2003-12-30 2007-01-31 威步系统股份公司 重新获得授权码的方法
US8363835B2 (en) * 2004-07-21 2013-01-29 Sanyo Electric Co., Ltd. Method for transmission/reception of contents usage right information in encrypted form, and device thereof
JP5068176B2 (ja) 2005-01-18 2012-11-07 サーティコム コーポレーション デジタル署名と公開鍵の促進された検証
US8467535B2 (en) * 2005-01-18 2013-06-18 Certicom Corp. Accelerated verification of digital signatures and public keys
US20060195845A1 (en) * 2005-02-28 2006-08-31 Rhine Scott A System and method for scheduling executables
US7826619B2 (en) * 2005-08-23 2010-11-02 Ntt Docomo, Inc. Key-updating method, encryption processing method, key-insulated cryptosystem and terminal device
FR2895177B1 (fr) * 2005-12-20 2008-06-13 Eads Telecom Soc Par Actions S Partage d'un element secret
US7499552B2 (en) * 2006-01-11 2009-03-03 International Business Machines Corporation Cipher method and system for verifying a decryption of an encrypted user data key
US7757953B2 (en) * 2006-01-13 2010-07-20 Magtek, Inc. Secure magnetic stripe reader
US9280685B2 (en) * 2006-12-08 2016-03-08 Johnnie R. Jackson System and method for portable medical records
JP2008172617A (ja) * 2007-01-12 2008-07-24 Fujitsu Ltd 符号化装置、復号装置、符号化プログラム、復号プログラム、データ転送システム
JP5076539B2 (ja) * 2007-02-16 2012-11-21 富士通株式会社 符号化装置および符号化方法
US8044565B2 (en) * 2008-08-29 2011-10-25 Federal-Mogul Ingnition Company Composite ceramic electrode and ignition device therewith
CN101997833B (zh) * 2009-08-10 2013-06-05 北京多思科技发展有限公司 密钥存储方法与装置和数据加/解密方法与装置
US8438401B2 (en) * 2009-09-22 2013-05-07 Raytheon BBN Technologies, Corp. Device and method for securely storing data
CA2795435A1 (en) * 2010-04-15 2011-10-20 General Instrument Corporation Online secure device provisioning with updated offline identity data generation and offline device binding
US8627083B2 (en) 2010-10-06 2014-01-07 Motorala Mobility LLC Online secure device provisioning with online device binding using whitelists
US8745376B2 (en) 2011-10-14 2014-06-03 Certicom Corp. Verifying implicit certificates and digital signatures
JP5447544B2 (ja) * 2012-01-27 2014-03-19 沖電気工業株式会社 委託パラメータ情報生成装置、共有鍵合成装置、署名情報合成装置、通信装置、鍵共有被計算委託装置、署名情報生成被計算委託装置、被計算委託装置、鍵共有システム、署名情報検証システム及び通信システム
US20140379584A1 (en) * 2013-06-25 2014-12-25 FraudFree Finance, LLC Anti-fraud financial transaction method
US10089439B2 (en) 2014-10-28 2018-10-02 Stryker Sustainability Solutions, Inc. Medical device with cryptosystem and method of implementing the same
EP3309995B1 (de) * 2015-06-09 2020-02-19 Nippon Telegraph And Telephone Corporation Schlüsselaustauschverfahren, schlüsselaustauschsystem, schlüsselverteilungsvorrichtung, kommunikationsvorrichtung und programm
US9917696B2 (en) * 2015-08-04 2018-03-13 EntlT Software, LLC Secure key component and pin entry
DE102015121375A1 (de) * 2015-12-08 2017-06-08 Harting It Software Development Gmbh & Co. Kg Vorrichtung und Verfahren zur Manipulationsüberwachung eines transportablen Gegenstandes
CN108055128B (zh) * 2017-12-18 2021-11-19 数安时代科技股份有限公司 Rsa密钥的生成方法、装置、存储介质及计算机设备
US12045810B2 (en) 2021-09-23 2024-07-23 International Business Machines Corporation Trifocal key for controlling custodians of digital assets

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2168514A (en) * 1984-12-12 1986-06-18 Ibm Security module
US5001752A (en) * 1989-10-13 1991-03-19 Fischer Addison M Public/key date-time notary facility
US5315658B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5592561A (en) * 1994-04-14 1997-01-07 Moore; Lewis J. Anti-counterfeiting system

Also Published As

Publication number Publication date
EP1175036B1 (de) 2009-08-12
EP0750410A2 (de) 1996-12-27
EP1175036A3 (de) 2005-10-05
EP1253742A2 (de) 2002-10-30
DE69634715T2 (de) 2006-01-19
US5768389A (en) 1998-06-16
DE69635144D1 (de) 2005-10-06
EP0750410B1 (de) 2005-05-11
EP0750410A3 (de) 2000-03-15
EP1253741B1 (de) 2005-08-31
EP1175036A2 (de) 2002-01-23
DE69635145D1 (de) 2005-10-06
EP1253742B1 (de) 2005-08-31
EP1253744A3 (de) 2003-03-05
DE69635144T2 (de) 2006-06-22
EP1253743A2 (de) 2002-10-30
DE69635234D1 (de) 2006-02-09
EP1253744B1 (de) 2005-08-31
EP1253741A3 (de) 2003-03-05
DE69635143D1 (de) 2005-10-06
DE69637998D1 (de) 2009-09-24
EP1253744A2 (de) 2002-10-30
EP1253743B1 (de) 2005-09-28
DE69635145T2 (de) 2006-06-29
EP1253743A3 (de) 2003-03-05
DE69634715D1 (de) 2005-06-16
EP1253742A3 (de) 2003-03-05
DE69635143T2 (de) 2006-06-22
EP1253741A2 (de) 2002-10-30

Similar Documents

Publication Publication Date Title
DE69635234T2 (de) Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE60023705T2 (de) Sichere verteilung und schutz einer schlüsselinformation
DE69521413T2 (de) Verschlüsselungseinrichtung und verfahren mit möglichkeit zur gesicherten zentralen schlüsselablage
DE69534490T2 (de) Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem
Chaum et al. Wallet databases with observers
US5745573A (en) System and method for controlling access to a user secret
DE69529801T2 (de) Verfahren und System zum Schutz digitaler Informationen
DE69230429T2 (de) Sicherung/Rückgewinnung der Umgebung einer Geheimübertragungseinrichtung und Vervielfältigung in einem Kryptosystem mit öffentlichem Schlüssel
CN102959559B (zh) 用于产生证书的方法
KR102255287B1 (ko) 블록체인 상에서 일회용 비밀번호를 적용한 신원관리 시스템
CA2229206C (en) Untraceable electronic cash
US20010020228A1 (en) Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources
DE60026137T2 (de) Registrierung von kopiergeschütztem material in einem ausbuchungs-/einbuchungssystem
CA2299294A1 (en) Secure transaction system
EP3422274A1 (de) Verfahren zur konfiguration oder änderung einer konfiguration eines bezahlterminals und/oder zur zuordnung eines bezahlterminals zu einem betreiber
WO2002095637A2 (de) Verfahren zum erbringen von diensten in einem datenübertragungsnetz und zugehörige komponenten
KR20210017964A (ko) 블록체인 기반의 p2p 대출 서비스 자율보증증명 방법 및 장치
DE69605654T2 (de) Elektronisch verhandelbare dokumente
WO1998026537A1 (de) Verfahren zur elektronisch gesicherten speicherung von daten in einer datenbank
Geer et al. Split-and-delegate: Threshold cryptography for the masses
EP3180729B1 (de) Digitale identitäten mit fremdattributen
CN117056946A (zh) 交易文档确定方法、系统、电子设备及非易失性存储介质
DE10242673A1 (de) Verfahren zur Identifikation eines Benutzers
JP2000331073A (ja) 権利証明書実現方法、その装置、及びそのプログラム記録媒体

Legal Events

Date Code Title Description
8364 No opposition during term of opposition