JP2003501723A - 信用できるユーザ・インタフェースを提供するシステム - Google Patents

信用できるユーザ・インタフェースを提供するシステム

Info

Publication number
JP2003501723A
JP2003501723A JP2001500963A JP2001500963A JP2003501723A JP 2003501723 A JP2003501723 A JP 2003501723A JP 2001500963 A JP2001500963 A JP 2001500963A JP 2001500963 A JP2001500963 A JP 2001500963A JP 2003501723 A JP2003501723 A JP 2003501723A
Authority
JP
Japan
Prior art keywords
trusted
data
image
processing system
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2001500963A
Other languages
English (en)
Inventor
プラウドラー・グレイム・ジョン
バラシェフ・ボリス
リクン・チェン
チャン・デイヴィッド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HP Inc
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of JP2003501723A publication Critical patent/JP2003501723A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/009Trust
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 本発明は、信用できる動作モードで動作することができるデータ処理システムを提供し、このデータ処理システムは、少なくとも1つのアプリケーション・プロセスを実行する主処理手段と、信用できるプロセスを信用できる動作モードで実行する手段およびユーザ・フィードバック信号を生成する手段を含む信用できるコンポーネントとを備える。さらにこのシステムは、少なくとも1つのユーザ・フィードバック装置と、前記ユーザ・フィードバック信号を受け取り、その信号に基づいてユーザ・フィードバック装置を制御するユーザ・フィードバック処理手段とを含み、信用できるコンポーネントが、ユーザ・フィードバック処理手段を制御して、ユーザ・フィードバック装置に、データ処理システムが信用できる動作モードで動作しているという指示を提供させる手段を含む。

Description

【発明の詳細な説明】
【0001】
【発明が属する技術分野】
本発明は、システムにおけるユーザ・インタフェースを提供するための装置お
よび方法に関し、より具体的にはシステムが信頼できる方式で動作しているとい
う高度の信頼をユーザに提供するユーザ・インタフェースに関する。
【0002】
【従来の技術】
従来技術の量販市場のコンピューティング・プラットフォームは、Apple
Macintosh(商標)や、普及している既知のパームトップ型およびラッ
プトップ型パーソナル・コンピュータなどの周知のパーソナル・コンピュータ(
PC)およびその競合製品を含む。一般に、そのような装置の市場は、2つのカ
テゴリに分かれ、そのカテゴリは、家庭または民生ならびに企業である。家庭ま
たは民生用のコンピューティング・プラットフォームの一般的な要件は、比較的
高い処理能力、インターネット・アクセス機能、およびコンピュータ・ゲームを
処理するマルチメディア機能である。この種のコンピューティング・プラットフ
ォームの場合、Microsoft Windows(商標)95および98オ
ペレーティング・システム製品とIntelプロセッサのいわゆるWinTel
プラットフォームが市場で優位である。
【0003】 一方、事業用には、小規模事業から多国籍企業に及ぶ組織向けのきわめて多く
の独自のコンピュータ・プラットフォーム・ソリューションが入手可能である。
そのような用途の多くにおいて、サーバ・プラットフォームは、複数のクライア
ント・ステーションのための集中データ記憶機構とアプリケーション機能を提供
する。事業用の場合、他の重要な基準は、信頼性、リモート・アクセス、ネット
ワーキン機能およびセキュリティ機能である。そのようなプラットフォームの場
合、Microsoft WindowsNT4.0(商標)オペレーティング
・システム、ならびにUNIX(登録商標)、より最近ではLinuxオペレー ティング・システムが一般的である。
【0004】 Windows型オペレーティング・システムは、ユーザが、別々のウィンド
ウで別々のアプリケーションを実行することを可能にし、いわゆるWIMP(ウ
ィンドウ、アイコン、メニューおよびポインタ)インタフェースを提供し、それ
により、ユーザは、一般に、データを入力するキーボードとオプションを選択す
るマウスとを使用してアプリケーションと対話し、ダイアログボックスとドロッ
プダウン(またはプルアップ)メニューによってアプリケーションを制御する。
【0005】 「電子商取引」として知られるインターネット上で行われる商業行為の増大に
より、従来技術において、インターネットを介したコンピューティング・プラッ
トフォーム間のデータ・トランザクションを可能にすることに関心が高まった。
詳細には、現在標準的な手で署名した紙の契約書を必要とせずに、ユーザがイン
ターネット上で拘束力のある契約を結ぶことができることが重要であることが知
られている。しかしながら、電子データの詐欺および細工の可能性のために、そ
のような提案において、完全にトランスペアレントでかつ効率的な市場に必要な
広範囲の遠い未知の人との完全に自動化した取引は控えられていた。根本的な問
題は、ユーザとそのコンピュータ・プラットフォーム間と、そのような取引を行
うために対話しているコンピュータ・プラットフォーム間の信用の問題である。
【0006】 コンピュータ・プラットフォームのセキュリティと信頼性を高めるための従来
技術の手法はいくつかあった。それらは、主に、アプリケーション・レベルにお
けるセキュリティ機能の追加に依存し、すなわち、セキュリティ機能は、オペレ
ーティング・システムのカーネルに本質的に埋め込まれておらず、コンピューテ
ィング・プラットフォームの基本ハードウェアコンポーネントに組み込まれてい
ない。市場には、ユーザに固有のデータを含み、コンピュータのスマートカード
・リーダに挿入されるスマートカードを含むポータブル・コンピュータ装置が既
に現れている。現在、そのようなスマートカードは、従来のパーソナル・コンピ
ュータへの追加機構であるレベルにあり、場合によっては既知のコンピュータの
ケーシング内に一体化されることもある。そのような従来技術の手法は、コンピ
ュータ・プラットフォームのセキュリティを高めることができるが、従来技術の
手法で得られたセキュリティと信頼性のレベルは、コンピュータ・プラットフォ
ーム間に広範囲に自動化した取引を適用できるようにするには不十分だと考える
ことができる。事業によって広範囲の電子商取引で大きな額の取引を行う前に、
基礎技術の信頼性において大きな信用を必要とする。
【0007】 本出願人の係属中の国際特許出願である2000年2月15日に出願された「
Trusted Computing Platform」と題するPCT/G
B 00/00528と、2000年3月3日に出願された「Smartcar
d User Interface for Trusted Computi
ng Platform」と題するPCT/GB 00/00752は、これら
の内容全体が、参照により本明細書に組み込まれ、内蔵ハードウェアコンポーネ
ントの形の「信用できるコンポーネント」を有するコンピューティング・プラッ
トフォームを含む「信用できるコンピューティング・プラットフォーム」の概念
を開示している。そのような信用できるコンポーネントをそれぞれ備えた2つの
コンピューティング・エンティティは、高い「信用」で互いに対話することがで
きる。すなわち、第1と第2のコンピューティング・エンティティが互いに対話
する場合、その対話のセキュリティは、次のような理由で、信用できるコンポー
ネントがない場合よりも強化される。 ・コンピューティング・エンティティのユーザが、そのユーザ自身のコンピュ
ータ・エンティティの完全性およびセキュリティならびに他のユーザが所有する
コンピュータ・エンティティの完全性およびセキュリティにおいてより高い信頼
を有する。 ・各エンティティが、他のエンティティが実際に目的のエンティティであるこ
とを確信している。 ・エンティティの一方または両方が、相手をトランザクションたとえばデータ
転送トランザクションに表す場合、組み込まれている信用できるコンポーネント
のために、そのエンティティと対話する第3者のエンティティは、エンティティ
が実際にそのような相手を表しているという高い確信を持つ。 ・信用できるコンポーネントは、信用できるコンポーネントによって実施され
る検証および監視プロセスによってエンティティ自体の固有セキュリティを高め
る。 ・コンピュータ・エンティティは、その挙動の予想通りに挙動する可能性が高
い。
【0008】 係属中の米国出願に記載されているような信用できるコンポーネントの概念は
、コンピュータ・プラットフォームにおける十分な信頼をユーザに提供するのに
長い時間がかかるが、ユーザが自分の装置にさらに高い信用を必要とするとき、
たとえば文書のディジタル署名やプラットフォームからリモート・プラットフォ
ームへの資金転送などの電子取引の際にはさらに時間がかかる。
【0009】 前に示したように、文書に署名する従来の方法は、文書の画像が再現された媒
体(通常は紙)に物理的に署名を書き込むことである。この方法は、何に署名す
るかがはっきりしており、署名した画像が、署名したものの証拠になるという利
点を有する。しかしながら、これは、電子商取引の必要性を満たさない。
【0010】 最近は、従来のコンピュータ・プラットフォームと標準の暗号技術を使用して
、文書にディジタル的に署名することもできる。しかしながら、本発明者は、従
来のコンピュータ・プラットフォームでは、ディジタル署名された文書の電子的
解釈が、一般に、ユーザが目に見える文書と同じ解釈ではないことを見いだした
。したがって、ユーザは、署名するつもりだったものと違うデータに間違って署
名する可能性がある。これと反対に、ユーザは、データに作為的に署名し、後で
その署名データが、コンピュータ・プラットフォームによって表示されたものと
一致していないという詐欺として主張する可能性もある。そのような問題は、前
述のような信用プラットフォームを使用している場合でも存在する。
【0011】 従来の電子署名方法は、当業者に周知である。本質的に、ディジタル・データ
は、たとえばハッシュ機能を使用してダイジェストに圧縮される。次に、そのダ
イジェストは、秘密キー(または、単に「秘密」)で初期設定された何らかの暗
号方法を使用して暗号化される。これは、通常、PCなどのコンピュータ・プラ
ットフォーム上で行われる。1つの実施態様は、コンピュータ・プラットフォー
ムに取り付けられたスマートカード・リーダに差し込まれるユーザのスマートカ
ード上に秘密に保持された暗号キーを使用してデータに署名することである。テ
キスト文書の特定の事例において、ディジタル・データは、Microsoft
Notepad、Wordpad、Wordなどのワードプロセッサ・アプリケ
ーションによって生成されたファイルでよい。通常、署名行為は、署名者が、署
名したデータの意味の法的責任を受諾することを意味する。
【0012】 ハッシュ機能は、従来技術において周知であり、比較的多量の入力データから
比較的少ない出力データを生成することができる一方向機能を含み、入力データ
の小さい変化は、出力データでは大きな変化になる。したがって、ハッシュ機能
が適用されたデータ・ファイルは、第1のダイジェスト・データになる(ハッシ
ュ機能の出力)。修正されたデータ・ファイルにハッシュ機能が再び適用された
とき、小さい変化たとえば元のデータ・ファイルにおける1ビットのデータが、
出力を大きく変化させる。このように、数メガバイトのデータを含むデータ・フ
ァイルが、ハッシュ機能に入力され、生成ダイジェスト・データとして約128
〜160ビット長のディジタル出力が生じることがある。予約ディレクトリに記
憶されたデータ・ファイルから比較的少量のダイジェスト・データを生成するこ
とは、信用できるコンポーネントで必要とするメモリ容量と処理能力が少なくな
るため有利である。
【0013】
【発明が解決しようとする課題】
既知の署名プロセスにおいて、ユーザは、一般に、文書を、その文書がコンピ
ュータ・モニタ上で正規の倍率と解像度で描画されていると解釈する。既存の用
途において、ユーザのスマートカードは、文書を作成しかつ/または処理するた
めに使用されるアプリケーションによる文書の表現であるフォーマットにおいて
データに署名する。しかしながら、この発明の発明者は、画面を見ているときに
ユーザが理解するものと違う意味を有するデータを、ソフトウェアがスマートカ
ードに送ることがあると考える。この可能性は、人々が解釈すべき文書の電子的
表現にディジタル署名する従来方法の有効性に疑問を投げかけるのに十分である
【0014】
【課題を解決するための手段】
本発明は、信用できるユーザ・インタフェースを提供することによって、信用
できる動作している間に、より大きい信用をユーザに提供することを目的とする
【0015】 第1の態様によれば、本発明は、信用できる動作モードで動作することができ
るデータ処理システムを提供し、このデータ処理システムは、少なくとも1つの
アプリケーション・プロセスを実行する主処理手段と、信用できるプロセスを信
用できる動作モードで実行する手段およびユーザ・フィードバック信号を生成す
る手段を含む信用できるコンポーネントと、を備える。さらにこのシステムは、
少なくとも1つのユーザ・フィードバック装置と、前記ユーザ・フィードバック
信号を受け取り、その信号に基づいてユーザ・フィードバック装置を制御するユ
ーザ・フィードバック処理手段とを含み、信用できるコンポーネントが、ユーザ
・フィードバック処理手段を制御して、ユーザ・フィードバック装置に、データ
処理システムが信用できる動作モードで動作しているという指示を提供させる手
段を含む。
【0016】 好ましい実施形態において、データ処理システムは、安全な(セキュア)通信
経路を介して信用できるコンポーネントと通信する安全なユーザ入力手段を含み
、それにより、ユーザは、信用できるプロセスとセキュアに対話することができ
る。
【0017】 データ処理システムの好ましい実施形態において、主処理手段が、少なくとも
1つのアプリケーション・プロセスを実行しかつ表示される主画像を特徴づける
信号を生成する手段を含む。また、ユーザ・フィードバック処理手段が、前記信
号を受け取りかつ主画像を表示する視覚的表示装置を駆動するためのそれぞれの
表示信号を生成する表示処理手段を含みむ。データ処理システムが信用できる動
作モードで動作していることをユーザに示すために、信用できるコンポーネント
が、信用できる画像データを取得しかつ/または生成する手段と、表示処理手段
を制御してそれぞれの信用できる画像を主画像の少なくとも一部分と組み合わせ
る手段とを含む。
【0018】 好ましい実施形態において、データ処理システムは、さらに、取外し可能な安
全なトークンからデータを読み取りかつ/またはそれにデータを書き込む安全な
トークン・リーダと、信用できる画像を特徴づけるデータを含む取外し可能な安
全なトークンとを含み、信用できるコンポーネントが、安全なトークンから前記
データを受け取る手段を含む。
【0019】 本発明の他の態様および実施形態は、以下の説明、特許請求の範囲および図面
から明らになるであろう。
【0020】 次に、添付図面を参照して、本発明の実施形態を詳細に説明する。
【0021】
【発明の実施の形態】
好ましい実施形態は、本出願人の係属中の欧州特許出願第99301100.
6号に記載された「信用できるコンポーネント」の特徴のいくつかを最も都合よ
く使用する信用できるコンポーネントを利用する。この出願において、信用でき
るコンポーネントは、そのホスト・コンピュータの保全性距離(integrity metri
c)を測定し、それを保全性距離の真の値と比較し、ホスト・コンピュータの保全
性(またはそうでないもの)をユーザまたは他のホスト・コンピュータと通信す
るようにプログラムされたプロセッサを含むハードウェア装置である。その信用
できるコンポーネントと、本明細書における好ましい実施形態における信用でき
るコンポーネントとの大きな類似点は、次の通りである。 これらの信用できるコンポーネントは両方とも、暗号プロセスを使用するが、
そのような暗号プロセスに外部インタフェースを提供しないことが好ましい。 これらの信用できるコンポーネントは両方とも、改変防止機能または改変検出
機能を有し、したがって、少なくとも合法ユーザの知識なしにその操作を覆すこ
とはできない。 これらの信用できるコンポーネントは両方とも、それが常駐するホスト・コン
ピュータと物理的かつ機能的に独立した1つの物理ハードウェアコンポーネント
からなることが好ましい。
【0022】 そのような独立性は、自分自身の処理機能とメモリを有する信用できるコンポ
ーネントによって達成される。
【0023】 改変耐性(tamper-resistance)に関する技術は、セキュリティ分野の業者には
周知である。そのような技術は、改変に耐える方法(信用装置の適切なカプセル
化など)、改変を検出する方法(仕様電圧からの逸脱、X線、信用装置ケーシン
グにおける物理的完全性の損失の検出など)、改変を検出したときにデータを削
除する方法を含む。適切な技術のさらに他の考察は、http://www.c
l.cam.ac.uk/〜mgk25/tamper.htmlに見ることが
できる。改変耐久性をもつことが、本発明の最も望ましい機能であるが、これは
、本発明の通常動作に入らず、ここでの説明の範囲を超えることを理解されたい
【0024】 この説明においいて、「信用」という用語は、物理的または論理的なコンポー
ネント、動作またはプロセスと関連して使用されるとき、その挙動が、実質的に
任意の動作条件下で予測可能であり、破壊的アプリケーション・ソフト、ウィル
ス、物理的妨害などの外部因子よる干渉または破壊にきわめて耐えることを意味
する。
【0025】 本明細書で使用される「ホスト・コンピュータ」という用語は、少なくとも1
つのデータ・プロセッサ、少なくとも1つの形のデータ記憶機構、および周辺装
置、ユーザ・コンピュータ、他のコンピュータなどの外部エンティティとローカ
ルまたはインターネットを介して対話する何らかの形の通信機能を有するデータ
処理装置を指す。「ホスト・コンピュータ・システム」という用語は、ホスト・
コンピュータ自体の他に、キーボード、マウス、VDUなど、ホスト・コンピュ
ータに接続する標準の外部装置を含む。
【0026】 本明細書で使用される「文書」という用語は、ホスト・コンピュータ・システ
ムを使用して視覚化することができる任意の一組のデータを含む。一般に、文書
は、契約書などのテキスト文書になる。しかしながら、テキストの代わりに、あ
るいはその他に、図形や絵を含むことができる。一般に、文書は、単一ページま
たは複数ページを含むことができる。
【0027】 本明細書で使用される「ピクスマップ」という用語は、単色またはカラー(ま
たはグレースケール)の画像を定義するデータを含むように広義に使用される。
「ビットマップ」という用語は、白黒画像とだけ関連付けられることがあるが、
たとえばシングル・ビットは、画素が「オン」か「オフ」かにより1か0に設定
され、「ピクスマップ」は、白黒画像とカラー画像の両方に対応するより一般的
な用語であり、カラー画像は、単一画素の色相、彩度および濃さを定義するため
に最低24またはそれ以上のビットを必要とすることがある。
【0028】 後で明らなかになるように、本明細書の好ましい実施形態による信用できるコ
ンポーネントは、安全なユーザ・インタフェースを提供し、詳細には、そのホス
ト・コンピュータの表示機能のうちの少なくとも一部を制御する。また、本明細
書における信用できるコンポーネントは、本出願人による係属中の特許出願にお
ける信用できるコンポーネントによる保全性距離を取得してもしなくてもよいが
、そのような保全性距離の取得については、本明細書では検討しない。
【0029】 本質的には、好ましい実施形態により、ユーザは、ユーザのスマートカードの
秘密鍵や、暗号コプロセッサなどの他の形の安全なトークンを使用して、ホスト
・コンピュータに記憶された文書に署名することができる。署名は、画面に表示
されている文書が実際にスマートカードが署名しようとしている文書であるとい
う高い信頼をユーザに提供するという条件で、ホスト・コンピュータの信用でき
る表示プロセッサ(すなわち、信用できるコンポーネント)によって実施される
。詳細には、スマートカードは、信用できる画像データ、すなわち署名手順の間
に安全なチャネルを介してホスト・コンピュータに渡され信用できるコンポーネ
ントによって表示される「シール」を保持する。これは、部分的に、一般にユー
ザに固有でありかつ信用できるコンポーネントが署名操作を制御しているという
信頼をユーザに提供する信用できる画像の表示である。さらに、好ましい実施形
態において、ホスト・コンピュータは、信用できる表示プロセッサに直接接続さ
れた信用できる入力装置を提供し、それにより、ユーザは、ホスト・コンピュー
タの他の機能が覆すことができない方法でホスト・コンピュータと対話すること
ができる。
【0030】 より詳細には、類似の特性を有する信用できる表示プロセッサまたは装置は、
標準のホスト・コンピュータ・ソフトウェアがデータを処理することができるポ
イントを越えたビデオ処理におけるある段階でビデオ・データと関連付けられる
。これにより、信用できる表示プロセッサは、ホスト・コンピュータ・ソフトウ
ェアによる干渉または破壊なしに表示面にデータを表示することができる。こう
して、信用できる表示プロセッサは、ユーザに現在表示されているのが何の画像
かを確信することができる。これは、ユーザが署名している画像(ピクスマップ
)を明確に識別するために使用される。これの副次的効果は、信用できる表示プ
ロセッサが、表示面に、たとえば先行特許出願の保全性距離やユーザ状況メッセ
ージまたはプロンプトを含むデータをどれも高い信頼性で表示できることである
【0031】 好ましい実施形態をディジタル署名操作と関連して説明するが、信用できるユ
ーザ・インタフェースを提供する概念は、ユーザが、たとえば電子取引中に自分
のホスト・コンピュータ・システムを信用できることが必要な任意の操作にきわ
めて広く適用できることを理解されよう。
【0032】 図1は、好ましい実施形態によるホスト・コンピュータ・システムを示し、こ
こで、ホスト・コンピュータは、Windows NT(商標)オペレーティン
グ・システムの下で動作するパーソナル・コンピュータすなわちPCである。図
1によれば、ホスト・コンピュータ100は、視覚的表示装置(VDU)105
、キーボード110、マウス115およびスマートカード・リーダ120、およ
びインターネット130に接続されたローカル・エリア・ネットワーク(LAN
)125に接続されている。 この図において、スマートカード・リーダは、独
立したユニットであるが、キーボードの一部分のこともある。さらに、ホスト・
コンピュータは、キーボードに一体化された信用できる入力装置、この事例では
信用できるスイッチ135を有する。VDU、キーボード、マウス、および信用
できるスイッチは、ホスト・コンピュータの人間/コンピュータ・インターフェ
ース(HCI)と見なすことができる。より具体的には、信用できるスイッチと
表示装置は、後で説明するように、信用された制御下で動作するときに「信用で
きるユーザ・インタフェース」と見なすことができる。図1は、また、後で説明
するように本実施形態において使用するためのスマートカード122を示す。
【0033】 図2は、図1のホスト・コンピュータのハードウェア・アーキテクチャを示す
【0034】 図2によれば、ホスト・コンピュータ100は、RAM205およびROM2
10を含むメイン・メモリに接続された中央処理装置(CPU)200またはメ
イン・プロセッサを含み、これらはすべて、ホスト・コンピュータ100のマザ
ーボード215に取り付けられている。CPUは、この事例では、Pentiu
m(商標)プロセッサである。CPUは、PCI(周辺コンポーネント相互接続
)ブリッジ220を介して、ホスト・コンピュータ100の他の主コンポーネン
トに接続されたPCIバス225に接続される。バス225は、本明細書におい
て詳細に説明しない適切な制御部、アドレス部およびデータ部を含む。本明細書
の範囲を超えるPentiumプロセッサとPCIアーキテクチャの詳細に関し
ては、読者は、書籍「The Indispensable PC Hardw
are Handbook」3rd Edition, by Hans−Pe
ter Messmer, published by Addison−We
sley, ISBN 0−201−40399−4を参照されたい。当然なが
ら、本実施形態は、Pentiumプロセッサ、Windows(商標)オペレ
ーティング・システムまたはPCIバスを使用する実施態様に制限されることは
ない。
【0035】 PCIバス225に接続されたホスト・コンピュータ100の他の主コンポー
ネントには、SCSIバス235を介してハード・ディスク・ドライブ240お
よびCD−ROMドライブ245に接続されたSCSI(小型コンピュータ・シ
ステム・インタフェース)アダプタがある。また、ホスト・コンピュータ100
をLAN125に接続するために、ホスト・コンピュータ100が、ファイル・
サーバ、プリント・サーバまたは電子メール・サーバ、インターネット130な
どの他のホスト・コンピュータ(図示せず)と通信するために介するLAN(ロ
ーカル・エリア・ネットワーク)アダプタ250も備えられている。キーボード
110、マウス115およびスマートカード・リーダ120を取り付けるための
IO(入出力)装置255、および信用できる表示プロセッサ260も備えられ
ている。信用できる表示プロセッサは、後で詳細に説明するすべての標準的な表
示機能およびさらにいくつかの他のタスクを処理する。「標準的な表示機能」と
は、オペレーティング・システムまたはアプリケーション・ソフトと関連した画
像を表示するために、通常、たとえばWindows NT(商標)オペレーテ
ィング・システムの下で動作するPCなどの任意の標準的なホスト・コンピュー
タ100内にあることが期待される機能である。キーボード110は、入出力装
置255への接続および信用できる表示プロセッサ260への直接接続を有する
【0036】 すべての主コンポーネント、特に信用できる表示プロセッサ260は、また、
ホスト・コンピュータ100のマザーボード215上に一体化されることが好ま
しいが、LANアダプタ250およびSCSIアダプタ230は、差し込み式の
ものでもよい場合もある。
【0037】 図3は、信用できる表示プロセッサ260の好ましい物理アーキテクチャを示
す。好ましい実施形態によれば、信用できる表示プロセッサ260は、信用でき
るコンポーネントの特性を有する単一ハードウェアのコンポーネントであり、表
示プロセッサの標準的な表示機能と、ディジタル署名を生成しかつ信用できるユ
ーザ・インタフェースを提供する特別な非標準的な表示機能とを提供する。熟練
者は、代わりに、これらの機能を複数の別々の物理的コンポーネントに物理的に
分割できることを理解されよう。しかしながら、以下の説明からすべての機能を
1つの信用できるコンポーネントに統合することによって、最も簡潔で便利な解
決策が実現されることを理解されよう。
【0038】 図3によれば、信用できる表示プロセッサ260は、マイクロコントローラ3
00と、マイクロコントローラ300の動作を制御するために各制御プログラム
命令(すなわち、ファームウェア)を含むフラッシュ・メモリなどの不揮発性メ
モリ305を備える。代わりに、信用できる表示プロセッサ260をASICに
組み入れることができる。ASICは、通常、より高い性能と大量生産における
高いコスト効率を提供するが、一般に、開発費用が高くフレキシビリティが低い
。)表示プロセッサ260は、後で説明するように、信用できる表示プロセッサ
260をPCIバスに接続し、CPU200から画像データ(すなわち、グラフ
ィックス・プリミティブ)を受け取り、またスマートカード122から信用でき
る画像データを受け取るためのインタフェース310と、少なくとも1つのフル
画像フレームを記憶するのに十分なVRAM(ビデオRAM)を含むフレーム・
バッファ・メモリ315とを備える。(代表的なフレーム・バッファ・メモリ3
15は、最大1670万色をサポートする1280x768の画面解像度でサイ
ズが1〜2Mbytesである。)表示プロセッサ260は、ピクスマップ・デ
ータを、ビデオ・インタフェース325を介してビデオDAC320に接続する
(アナログ)VDU105を駆動するアナログ信号に変換するためのビデオDA
C(ディジタル−アナログ変換器)320と、信用できるスイッチ135から信
号を直接受け取るためのインタフェース330と、状態情報、とりわけ受け取っ
た暗号鍵を記憶し、かつマイクロコントローラ300のワーク・エリアを提供す
るための、たとえばDRAM(ダイナミックRAM)やさらに高価なSRAM(
スタティックRAM))などの揮発性メモリ335と、後でさらに詳しく説明す
るように、信用できる表示プロセッサ260に暗号識別を提供し、かつ信憑性、
完全性および機密性を提供し、再現アタックから保護し、ディジタル署名を行い
、ディジタル証明書を使用するように構成された、ハードウェア暗号アクセラレ
ータおよび/またはソフトウェアを含む暗号プロセッサ340と、を備える。表
示プロセッサ260は、さらに信用できる表示プロセッサ260の識別子IDP (たとえば、単純な文字列名)と、信用できる表示プロセッサ260の秘密鍵S DP と、VeriSign社などの信用のある第三者証明機関によって署名され
提供され、信用できる表示プロセッサ260を署名公開−秘密鍵ペアおよび機密
公開−秘密鍵ペアと結合し、信用できる表示プロセッサ260の対応する公開鍵
を含む証明書CertDPとを記憶するための、たとえばフラッシュ・メモリな
どの不揮発性メモリ345を含む。
【0039】 証明書は、一般に、CAの公開鍵ではなくそのような情報を含む。その公開鍵
は、一般に、「公開鍵基盤(PKI)」を使用することによって使用可能になる
。PKIの動作は、セキュリティの業者には周知である。
【0040】 証明書CertDPは、第三者が公開鍵のソースを信用し、公開鍵が、有効な
公開−秘密鍵ペアの一部になるように、信用できる表示プロセッサ260の公開
鍵を第三者に提供するために使用される。したがって、第三者が、信用できる表
示プロセッサ260の公開鍵の知識をあらかじめ持つ必要がなくあるいはそれを
取得する必要がない。
【0041】 信用できる表示プロセッサ260は、その識別と信用できるプロセスをホスト
・コンピュータに貸し、信用できる表示プロセッサは、改変防止、偽造防止、お
よび模造防止によってそのような特性を有する。信用できる表示プロセッサ26
0の内部で実行されるプロセスに作用できるのは、適切な認証機構で選択された
エンティティだけである。ホスト・コンピュータの正規ユーザも、ネットワーク
を介してホスト・コンピュータに接続されたどの正規ユーザや正規エンティティ
も、信用できる表示プロセッサ260の内部で実行するプロセスにアクセスした
り妨害したりすることはない。信用できる表示プロセッサ260は、「汚染のな
い」特性を有する。
【0042】 本来、信用できる表示プロセッサ260は、ホスト・コンピュータ100のマ
ザーボード上に取り付けられた後、信用できる表示プロセッサ260とのセキュ
ア通信により、その識別、秘密鍵および証明書によって初期設定される。信用で
きる表示プロセッサ260に証明書を書き込む方法は、秘密鍵をそれに書き込む
ことによってスマートカードを初期設定するために使用される方法と類似してい
る。セキュア通信は、製造中に信用できる表示プロセッサ260に書き込まれ、
信用できる表示プロセッサ260へのデータの書込みを可能にするために使用さ
れる信用のある第三者(および、ホスト・コンピュータ100のメーカ)だけが
知っている「親鍵」によってサポートされる。したがって、親鍵の知識なしに信
用できる表示プロセッサ260にデータを書き込むことはできない。
【0043】 図3から、フレーム・バッファ・メモリ315が、CPU200によってでは
なく信用できる表示プロセッサ260自体によってのみアクセス可能であること
が明らかであろう。このことは、CPU200、またはさらに重大には破壊的ア
プリケーション・プログラムまたはウィルスが、信用できる動作中にピクスマッ
プを修正することができないため、好ましい実施形態の重要な特徴である。当然
ながら、CPU200がフレーム・バッファ・メモリ315にアクセスするとき
に信用できる表示プロセッサ260が最終の制御を有するように構成されている
限り、CPU200がフレーム・バッファ・メモリ315に直接アクセスする場
合でも、同レベルのセキュリティを提供することができる。この後者の方式は、
実施がより困難であることは明らかである。
【0044】 次に、背景として、ホスト・コンピュータ100がグラフィックス・プリミテ
ィブを生成する代表的なプロセスを説明する。最初に、特定の画像を表示したい
アプリケーション・プログラムが、グラフィカルAPI(アプリケーション・プ
ログラミング・インタフェース)を介して、オペレーティング・システムに対し
て適切な呼出しを行う。APIは、一般に、画像を表示するために、アプリケー
ション・プログラムが、WindowsNT(商標)によって提供されるような
特定の基礎的な表示機能にアクセスするための標準インタフェースを提供する。
API呼出しにより、オペレーティング・システムは、それぞれのグラフィック
ス・ドライバ・ライブラリ・ルーチンを呼び出し、それにより、表示プロセッサ
この場合は信用できる表示プロセッサ260に固有のグラフィックス・プリミテ
ィブが生成される。これらのグラフィックス・プリミティブは、最終的に、CP
U200によって信用できる表示プロセッサ260に渡される。グラフィックス
・プリミティブの例は、太さz′の点xから点yまでの線で描かれ、あるいは色
a′の点w、x、yおよびzで囲まれた領域を占めることがある。
【0045】 マイクロコントローラ300の制御プログラムは、マイクロコントローラを制
御して標準的な表示機能を提供して、受け取ったグラフィックス・プリミティブ
を、具体的に次のように処理する。 CPU200からグラフィックス・プリミティブを受け取り処理して、VDU
105画面上に表示される画像の直接表現であり、また一般に、VDU105画
面上のアドレス指定可能な各画素の赤、緑および青のドットごとに濃度値を含む
ピクスマップ(pixmap)データを形成する。ピクスマップ・データをフレーム・バ
ッファ・メモリ315に記憶し、たとえば1秒に60回、周期的にフレーム・バ
ッファ・メモリ315からピクスマップ・データを読み取り、ビデオDACを使
用してデータをアナログ信号に変換し、アナログ信号をVDU105に送って画
面上に必要な画像を表示する。
【0046】 標準的表示機能とは別に、制御プログラムは、CPU200から欺かれた表示
画像データを信用できる画像データと混合して単一のピクスマップを形成する機
能を含む。制御プログラムは、また、暗号プロセッサおよび信用できるスイッチ
135との対話を管理する。
【0047】 信用できる表示プロセッサ260は、ホスト・コンピュータ100の「表示シ
ステム」全体の一部を構成し、他の部分は、一般に、アプリケーション・プログ
ラムが呼び出すことができ、グラフィックス・プロセッサの標準的表示機能にア
クセスするオペレーティング・システムの表示機能とVDU105である。換言
すると、ホスト・コンピュータ100の「表示システム」は、画像の表示と関連
するすべてのハードウェアまたは機能部分を含む。
【0048】 既に述べたように、この実施形態は、信用できる表示プロセッサ260とユー
ザのスマートカード122の間の対話に依存する。図4に、好ましい実施形態に
より使用するのに適したスマートカードの処理エンジンを示す。この処理エンジ
ンは、データのディジタル署名および他から受け取った署名の検証をサポートす
る暗号化および復号化機能を実施するプロセッサ400を含む。この実施形態に
おいて、プロセッサ400は、オペレーティング・システムが組み込まれ、規格
ISO7816−3、4、T=0、T=1およびT=14によって指定された非
同期プロトコルによって外界と通信するように構成された8ビット・マイクロコ
ントローラである。スマートカードは、また、スマートカード122の識別子I SC と、データにディジタル式に署名するために使用される秘密鍵SSCと、ス
マートカードを公開−秘密鍵ペアと結び付け、スマートカード122の対応する
公開鍵を含む信用第三者証明機関によって提供された証明書CertSC(信用
できる表示プロセッサ260の証明書CertDPと本質的に同じ)とを含む、
フラッシュ・メモリなどの不揮発性メモリ420を含む。さらに、スマートカー
ドは、後で詳しく説明するように、プロセスがユーザのスマートカードによって
安全に動作していることをユーザに示すために、信用できる表示プロセッサ26
0が図形で表すことができる「シール(seal、封印、シール)」データSEAL
を不揮発性メモリ420に含む。この実施形態において、シール・データSEA
Lは、たとえばユーザ自身の画像などの固有の識別子としてユーザによって最初
に選択され、周知の技術を使用してスマートカード122にロードされた画像ピ
クスマップの形である。プロセッサ400は、また、状態情報(受け取ったキー
など)を記憶し、プロセッサ400のワーキング・エリアを提供するRAMなど
の揮発性メモリ430と、スマートカード・リーダと通信するための電気接点な
どのインタフェース440に対するアクセス権を有する。
【0049】 シール画像は、ピクスマップとして記憶される場合に比較的大量のメモリを消
費することがある。これは、スマートカード122に画像を記憶しなければなら
ない環境のおける独特の欠点であることがあり、メモリ容量が比較的制限される
。メモリ要件は、いくつかの異なる技術によって低くすることができる。たとえ
ば、シール画像は、信用できる表示プロセッサ260が展開することができる圧
縮画像と、信用できる表示プロセッサ260によって生成される反復モザイクの
プリミティブ要素を形成するサムネイルと、信用できる表示プロセッサ260が
単一の大きい画像として表示することができるかまたは前述のようにサムネイル
画像として使用することができる1組の英数字のような必然的に圧縮された画像
とを含むことができる。これらのどの代替においても、シール・データ自体は、
暗号化された形である場合があり、信用できる表示プロセッサ260がデータを
復号化した後でなければ表示することができない。代わりに、シール・データは
、ホスト・コンピュータ100かネットワーク・サーバによって記憶されたいく
つかの可能な画像のうちの1つを識別する暗号化した索引でもよい。この場合、
索引は、安全なチャネルを通して信用できる表示プロセッサ260によって取り
出され、正確な画像を取り出し表示するために復号化される。さらに、シール・
データは、画像を生成するように適切にプログラムされた信用できる表示プロセ
ッサ260が解釈することができる命令(たとえば、PostScript(商
標)命令)を含むことができる。
【0050】 図5は、信用できる署名操作を実施する文脈におけるホスト・コンピュータ1
00と信用できる表示プロセッサ260とスマートカード122の機能の論理的
関係を示す。信用できる署名操作に関係するプロセスを分かりやすく表現するた
めに、ホスト・コンピュータ100、信用できる表示プロセッサ260またはス
マートカード122の機能に論理的に分離する他に、機能を物理的アーキテクチ
ャと別に表す。さらに、「標準表示機能」は、線x−yで信用機能と分けられて
おり、ここで、線の左側の機能は、特に信用された機能である。図において、機
能は、楕円形で表され、機能が作用する「永久」データ(署名プロセスの間の文
書画像を含む)は、四角形で示される。状態データや受け取った暗号鍵などの動
的データは、単に分かりやすくするために示されていない。楕円形と楕円形の間
および楕円形と四角形の間の矢印は、それぞれの論理通信経路を表す。
【0051】 図5により、ホスト・コンピュータ100は、文書の署名を要求するワード・
プロセッサ・プロセスなどのアプリケーション・プロセス500、文書データ5
05、オペレーティング・システム・プロセス510、アプリケーション・プロ
セス500から表示呼出しを受け取るAPI511プロセス、キーボード110
からアプリケーション・プロセス500に入力を提供するキーボード・プロセス
513、マウス115からアプリケーション・プロセス500に入力を提供する
マウス・プロセス514と、およびAPI511プロセスを介してアプリケーシ
ョン・プロセスビアから受け取った呼出しに基づいてグラフィックス・プリミテ
ィブを生成するグラフィックス・プリミティブ・プロセス515とを含む。AP
Iプロセス511、キーボード・プロセス513、マウス・プロセス514およ
びグラフィックス・プリミティブ・プロセス515は、オペレーティング・シス
テム・プロセス510の上部に構成され、オペレーティング・システム・プロセ
ス510によってアプリケーション・プロセスと通信する。
【0052】 ホスト・コンピュータ100の残りの機能は、信用できる表示プロセッサ26
0によって提供されるものである。そのような機能は、信用できる表示プロセッ
サ260のすべての動作を調整し、グラフィックス・プリミティブ・プロセスか
らグラフィックス・プリミティブを受け取り、アプリケーション・プロセス50
0から署名要求を受け取るための制御プロセス520と、制御プロセス520か
らの要求に応じて文書署名手順を表す署名付き要約を生成する要約プロセス52
2と、スマートカード122からピクスマップのディジタル署名を獲得する署名
要求プロセス523と、スマートカード122からシール・データ540を取り
出すシール・プロセス524と、要約プロセス522、署名要求プロセス523
およびシール・プロセス524によって要求されるチャレンジ/応答およびデー
タ署名タスクを実施するためにスマートカード122と対話するスマートカード
・プロセス525と、署名要求プロセス523によって要求されたときに、記憶
されたピクスマップ・データ531を読み取り、それを署名要求プロセス523
に渡す読取りピクスマップ・プロセス526と、制御プロセス520から受け取
ったグラフィックス・プリミティブとシール画像データに基づいてピクスマップ
・データ531を生成する生成ピクスマップ・プロセス527と、ピクスマップ
・データを読み取り、それをアナログ信号に変換し、その信号をVDU105に
送る画面リフレッシュ・プロセス528と、ユーザが信用できるスイッチ135
を作動させたかどうかを監視する信用できるスイッチ・プロセス529である。
スマートカード・プロセス525は、信用できる表示プロセッサの検証データI DP 、秘密鍵SDPデータ、および証明書CertDPデータ530に対するア
クセス権を有する。実際に、スマートカードと信用できる表示プロセッサは、標
準オペレーティング・システム呼出しによって互いに対話する。
【0053】 スマートカード122は、シール・データ540と、信用できる表示プロセッ
サ260と対話してチャレンジ/応答とデータ署名タスクを実施する表示プロセ
ッサ・プロセス542と、スマートカード検証データISC、スマートカード秘
密鍵データSSCおよびスマートカード証明書データCertSC543を備え
る。
【0054】 次に、図6の流れ図と関連して、図1〜図5に示した機構を使用して文書に署
名する好ましいプロセスを説明する。図6の流れ図は、図7および図8に連続し
ている。
【0055】 最初に、ステップ600で、ユーザは、アプリケーション・プロセス500を
制御して、文書にディジタル署名するための「署名要求」を出す。アプリケーシ
ョン・プロセス500は、専用のソフトウェア・プログラムとして実現されても
よく、またはMicrosoftのWordのような標準ワード処理パッケージ
への付加物、たとえばマクロでもよい。いずれの場合も、署名要求もアプリケー
ション・プロセス500もセキュアである必要はない。ユーザが署名要求を出す
とき、ユーザはまた、その文書が既に全体画面に広がっているものでない場合は
、署名する文書を指定する。たとえば、文書が、最大画面領域の一部または特定
のウィンドウ内の全体に表示されることがある。画面上の特定領域の選択は、た
とえばその領域を制限するユーザ定義された四角形を描いたり単に座標を指定し
たりするいくつかの方法で(WIMP環境を使用して)達成することができる簡
単な作業である。
【0056】 次に、ステップ602で、アプリケーション・プロセス500は、制御プロセ
ス520を呼び出して、画面に表示されている(定義領域内またはウィンドウ内
の)画像に署名し、制御プロセス520は、呼出しを受け取る。これと平行して
、図示していないが、制御プロセス520は、グラフィックス・プリミティブ・
プロセスから任意のグラフィックス・プリミティブを受け取り、それを生成ピク
スマップ・プロセス527に転送する。文書に署名するアプリケーション・プロ
セス500からの呼出しは、文書の縁の座標(a、b、c、d)を含む。この座
標の送信により、一般に、画面の表面全体、ウィンドウ全体、または画面の任意
部分の署名が可能になることに注意されたい。次に、アプリケーション・プロセ
ス500は、制御プロセス520が画像の署名を返すのを待つ。
【0057】 ステップ604で、署名要求に応じて、制御プロセス520は、要求の時間か
らプロセスが完了するまで、署名する画像を強制的に「静止状態」にする。本明
細書において、「静止状態」は、信用できる表示プロセッサ260以外が文書画
像を修正できないことを意味する。これにより、ユーザは、プロセスの間ずっと
、自分が見ているものが自分が署名しているものであることに確信をもつことが
できる。この実施形態において、制御プロセス520は、それ以上のグラフィッ
クス・プリミティブを「遅らせる」か処理しないことによって「静止状態」の表
示を達成する。いくつかの状況において、グラフィックス・プリミティブ・プロ
セス(または、その等価物)は、制御プロセス520がさらに他のグラフィック
ス・プリミティブを受け取る準備ができるまで、グラフィックス・プリミティブ
を「バッファ」することがある。他の状況では、署名される画像のグラフィック
ス・プリミティブが、単に失われることがある。文書画像が画面全体に一杯にな
る場合、画像を静止させるのは、どのグラフィックス・プリミティブも処理しな
い場合だけである。しかしながら、署名する画像が、全画面の一部分だけたとえ
ば1つのウィンドウだけを構成する場合、制御プロセス520は、受け取ったグ
ラフィックス・プリミティブが「静止状態」領域に作用するかどうかを判定し、
それを拒否する必要がある。したがって、フレーム・バッファ・メモリ315内
の静止文書画像のピクスマップは、グラフィックス・プリミティブ・プロセスか
らの命令やCPU200上で実行している他のプロセスによって変更されないま
ま残り、文書画像は静止状態である。
【0058】 文書画像が静止状態にされた後、ステップ606で、図10cと関連して後で
より詳しく説明するように、制御プロセス520は、アプリケーション・プロセ
ス500によって提供される座標(a、b、c、d)を呼出しに含む生成ピクス
マップ・プロセス527に、ピクスマップを修正して署名する文書を強調表示す
るように指示する。次に、ステップ608で、スマートカード・プロセス525
によって決定されたように、スマートカード122が、スマートカード122リ
ーダ120にまだ挿入されていない場合、制御プロセス520は、生成ピクスマ
ップ・プロセスに、ユーザに自分のスマートカード122を差し込むように要求
する図形メッセージを表示させる。このメッセージには、10秒カウントダウン
・タイマCOUNTが付いている。スマートカード122を受け取らなかった結
果として、カウントダウン・タイマが終了した(すなわち、0になった)場合、
制御プロセスは、ステップ614で署名操作を取り消し、アプリケーション・プ
ロセス500に例外信号を返す。これに応じて、アプリケーション・プロセス5
00は、ステップ616で、適切なユーザ・メッセージを表示する。スマートカ
ード122が、遅れずに差し込まれたかまたは既に存在している場合はプロセス
が継続する。
【0059】 次に、ステップ618で、制御プロセス520が、シール・プロセス524を
呼び出し、シール・プロセス524は、スマートカード・プロセス525を呼び
出して、スマートカード122からシール・データ540を回復する。任意に、
制御プロセス520は、生成ピクスマップ・プロセス527を呼び出して、シー
ル・データ540のその回復を試みていることをユーザに示す別のメッセージを
表示する。ステップ618および620で、信用できる表示プロセッサ260の
スマートカード・プロセス525とスマートカード122の表示プロセッサ・プ
ロセス542が、周知の「チャレンジ/応答」技術を使用して、相互認証を実施
し、スマートカードからのシール・データ540を制御プロセス520に渡す。
次に、図9を参照して、相互認証プロセスとシール・データ540の引き渡しの
詳細を説明する。
【0060】 図9(a)によると、スマートカード・プロセス525は、シール・データS
EAL540を返すように要求REQ1をスマートカード122に送る。表示プ
ロセッサ・プロセス542は、ナンス(nonce、臨時語、新造語)Rを生成し
、それをスマートカード・プロセス525にチャレンジとして送る。スマートカ
ード・プロセス525は、ナンスRを生成し、かつそれをナンスRと連結し
、連結R‖Rにその秘密鍵で署名して署名sSDP(R‖R)を生成し
、連結R‖R、署名sSDP(R‖R)、および証明書CertDP
、スマートカード122の表示プロセッサ・プロセス542に返す。表示プロセ
ッサ・プロセス542は、証明書CertDPから信用できる表示プロセッサ2
60の公開鍵を取り出し、これを使用し、連結R‖Rとの比較によってナン
スRと署名sSDP(R‖R)を認証し、シール要求が、信用できる表示
プロセッサ260から来たものであり、信用できる表示プロセッサ260が稼働
状態であることを実証する。
【0061】 これらのナンスは、信頼できないプロセスによる古いが本人直筆の署名のリプ
レイによって生じる欺瞞(「リプレイ攻撃」と呼ばれる)からユーザを守るため
に使用される。
【0062】 次に、スマートカード122の表示プロセッサ・プロセス542は、Rをそ
のシール・データSEAL540と連結し、連結R‖SEALにその秘密鍵s
SCを使用して署名して署名sSSC(R‖SEAL)を生成し、シール・
データSEAL540をその秘密鍵SSCを使用して暗号化して暗号化シール・
データ540sSSC(SEAL)を生成し、かつナンスR、暗号化シール・
データsSSC(SEAL)、 署名sSSC(R‖SEAL)およびスマー
トカードの証明書CertSCを信用できる表示プロセッサ260のスマートカ
ード・プロセッサ525に送る。スマートカード・プロセス525は、証明書C
ertSCからスマートカードの公開鍵を取り出し、これを使用してナンスR と署名sSSC(R‖SEAL)を検証し、暗号化シール・データ540sS SC (SEAL)からシール・データSEAL540を復号し、最終的にシール
・データSEAL540をシール・プロセス524を介して制御プロセス520
に返す。
【0063】 図7に戻り、ステップ622で、制御プロセス520は、シール・データSE
AL540を受け取ると、そのデータを生成ピクスマップ・プロセス527に転
送し、図10dと関連して後で説明するように、生成ピクスマップ・プロセス5
27に、シール画像を生成し、それを使用して署名する文書を強調表示するよう
に指示する。次に、ステップ624で、制御プロセス520は、生成ピクスマッ
プ・プロセス527に、署名操作を継続したいかどうか尋ねるメッセージをユー
ザに表示するように指示する。このメッセージには、10秒カウントダウン・タ
イマCOUNTが付いている。ステップ626で、ユーザからの応答を受け取ら
なかった結果として、カウントダウン・タイマの終了すると、制御プロセスは、
ステップ628で署名操作を取り消し、アプリケーション・プロセス500に例
外信号を返す。これに応じて、アプリケーション・プロセス500は、ステップ
629で、適切なユーザ・メッセージを表示する。ステップ630で、ユーザが
、10秒の時間制限内で信用できるスイッチ135を作動させて明確に応答した
場合は、プロセスは継続する。この代わりに、信用できるスイッチ135を使用
するか、あるいはさらに妥当なレベルの許可を提供する適切なソフトウェア・ル
ーチンを使用したりするのではなく、信頼できないチャネルを介して、継続の許
可が供給されることがある。この代わりに、単に本物のスマートカードがあるこ
とが、署名を行うのに十分な許可であってもよいことを決定することができる。
そのような代替は、セキュリティ・ポリシーの問題である。
【0064】 次に、ステップ632で、制御プロセス520は、署名要求プロセス523に
、文書画像の署名を要求するように指示し、署名要求プロセス523は、読取り
ピクスマップ・プロセス526を呼出し、署名する文書のピクスマップ・データ
のダイジェストを返すことを要求し、読取りピクスマップ・プロセス526は、
それぞれのピクスマップ・データを読み取り、ハッシュ・アルゴリズムを使用し
てピクスマップ・データのダイジェストDPIXを生成し、そのダイジェストを
署名要求プロセス523に返す。さらに、読取りピクスマップ・プロセス526
は、後でピクスマップ・データからの画像をテキスト・ベースの文書に再構成す
るために必要な情報を含む「表示フォーマット・データ」FDを生成し(文書テ
キストを再構成しなくてもよい場合があるため、FDは不可欠ではない)、また
これを署名要求プロセス523に返す。たとえば、表示フォーマット・データF
Dは、「1024×768」などの画面表面の画素数とその分布、ならびに文書
内のテキスト(文書がテキスト・ベースの場合)に使用されるフォント・タイプ
およびサイズを含むことがある(代替または追加として、この情報の少なくとも
一部分は、後で説明するように、文書「要約」に含まれてもよい)。ステップ6
34および636で、署名要求プロセス523は、次に図9(b)の流れ図を参
照して詳細に説明するように、周知のチャレンジ/応答プロセスを使用してスマ
ートカード122の表示プロセッサ・プロセス542と対話して、文書の個々の
署名を生成する。
【0065】 図9(b)によれば、スマートカード・プロセス525は、ダイジェストD IX の署名と表示フォーマット・データFDを生成して、スマートカード122
の要求REQ2を生成する。スマートカード122の表示プロセッサ・プロセス
542は、これに応じて、ナンスRを生成し、それをスマートカード・プロセ
ス525にチャレンジと一緒に送り、ダイジェストDPIXと表示フォーマット
・データFDを返す。スマートカード・プロセス525は、ダイジェストDPI を表示フォーマット・データFDおよびナンスRと連結し、連結DPIX
FD‖Rに署名して、署名sSDP(DPIX‖FD‖R)を生成する。次
に、スマートカード・プロセス525は、連結DPIX‖FD‖Rとそれぞれ
の署名sSDP(DPIX‖FD‖R)を、スマートカード122の表示プロ
セッサ・プロセス542に送る。表示プロセッサ・プロセス542は、信用でき
る表示プロセッサ公開鍵(シール・データ540の交換で既に受け取った)を使
用して、信用できる表示プロセッサ署名sSDP(DPIX‖FD‖R)とナ
ンスRを検証して、ダイジェストが現行の画像ダイジェストであることを実証
する。表示プロセッサ・プロセス542は、その秘密鍵を使用して、ピクスマッ
プのダイジェストDPIXと表示フォーマット・データFDに署名して、2つの
署名sSSC(DPIX)およびsSSC(FD)をそれぞれ生成する。次に、
スマートカードの表示プロセッサ・プロセス542は、署名付き要約sSSC
PIX)と署名付き表示フォーマット・データsSSC(FD)を、信用でき
る表示プロセッサ260のスマートカード・プロセス525に返す。スマートカ
ード・プロセス525は、次に、スマートカードの公開鍵(シール・データ54
0の交換の結果として既にある)を使用してダイジェストDPIXと表示フォー
マット・データFDを検証し、かつスマートカードの署名を検証して、スマート
カードがまだ稼働状態であることを実証する。
【0066】 図8に戻り、ステップ638で、信用できる表示プロセッサ260のスマート
カード・プロセス525は、ピクスマップPIX、スマートカードの署名付きバ
ージョンのピクスマップ・ダイジェストsSSC(DPIX)および表示フォー
マット・データsSSC(FD)を連結して、画像の個々の署名PIX‖sS (DPIX)‖sSSC(FD)を構成し、それを、署名要求プロセス523
を介して、個々の署名をアプリケーション・プロセス500に返す制御プロセス
520に返す。アプリケーション・プロセス500は、ステップ640で、個々
の署名を記憶し、ステップ642で、制御プロセス520に対するさらに他の呼
び出しに応じて署名操作を要約する。要約(サマリ)の目的は、図9(c)の流
れ図を参照して説明するように、署名を完成させることであり、また要約の例は
、以下の通りである。
【0067】
【表1】
【0068】 ステップ644で、制御プロセス520は、サマリ・プロセス522を呼び出
して、画像の数(前のサマリの例では2つ)と画像の個々の署名(例の6行目と
10行目)、信用できる表示装置を識別するラベル(例の1行目)、現行日時(
例の2行目)、およびサマリ自体の署名付きダイジェスト(例の14行目)を含
むサマリ・メッセージSUMを生成する。画像ごとに、サマリは、また、画素で
表した画像のサイズ(たとえば、画像1では560x414)、画素で表した画
面の原点からのオフセット(たとえば、画像1では187,190)および画素
で表した表示解像度(たとえば、画像1では1024x768)を含む。
【0069】 次に、サマリ・プロセス522は、ステップ646で、図9を参照して説明す
るように、サマリのダイジェストDSUMを生成し、信用できる表示プロセッサ
260のスマートカード・プロセス525を呼び出し、チャレンジ/応答プロセ
スを使用してスマートカード122と対話して、サマリ・ダイジェストDSUM の署名を生成する。
【0070】 図9(c)によれば、スマートカード・プロセス525は、スマートカード1
22がサマリのダイジェストDSUMの署名を生成する要求REQ3を生成する
。スマートカードの表示プロセッサ・プロセス542は、ナンスRを生成し、
それをチャレンジで送ってサマリのダイジェストDSUMを返す。スマートカー
ド・プロセス525は、ダイジェストDSUMをナンスRと連結し、連結D UM ‖Rに署名して署名sSDP(DSUM‖R)を作成する。次に、信用
できる表示プロセッサ260のスマートカード・プロセス525は、連結DSU ‖Rと各署名sSDP(DSUM‖R)を表示プロセッサ・プロセス54
2に送る。次に、表示プロセッサ・プロセス542は、信用できる表示プロセッ
サ公開鍵(シール・データ540の交換により既にある)を使用して、信用でき
る表示プロセッサの署名およびナンスRを検証し、サマリが現行の要約である
ことを実証する。次に、表示プロセッサ・プロセス542は、その秘密鍵を使用
してサマリのダイジェストDSUMに署名し、かつ署名付きサマリsSSC(D SUM )をスマートカード・プロセス525に送る。信用できる表示プロセッサ
260のスマートカード・プロセス525は、スマートカードの公開鍵を使用し
てダイジェストを検証しスマートカードの署名を検証して、スマートカードがま
だ稼働状態であることを実証する。
【0071】 図8に戻り、ステップ652で、スマートカード・プロセス525は、(連結
SUM‖sSSC(DSUM)を形成するために)サマリの署名付きダイジェス
トsSSC(DSUM)と連結されたサマリSUMを、サマリプロセス522を
介して、制御プロセス520に返し、制御プロセス520は、サマリSUM‖s
SC(DSUM)をアプリケーション・プロセス500に返す。アプリケーシ
ョン・プロセス500は、ステップ654でサマリを受け取る。個々の署名およ
びサマリは、契約の証拠として、記憶または他のエンティティへの伝送のために
、アプリケーション・プロセス500あるいは本発明の範囲以外の様々な方法で
ホスト・コンピュータ100上で実行される任意の他のプロセスによって使用さ
れることがある。
【0072】 最後に、ステップ656で、制御プロセス520は、表示の静止状態を解除し
て文書画像と関連したグラフィック・プリミティブの受取りと処理を再開し、か
つそれにより実際に表示の制御が、アプリケーション・プロセス500や他のア
プリケーション・ソフトに返される。この代わりに、ユーザが、一般に、ここで
はタイムアウト期間のない別のユーザ・メッセージに応じて信用できるスイッチ
135を再び作動させるまで、制御は、アプリケーション・プロセス500に渡
されないことがある。これにより、ホスト・コンピュータを標準の信用されてい
ない動作に戻す前にユーザが静止文書画像を調べるために与えられる時間が多く
なる。
【0073】 署名付き文書を検証するために、個々の署名PIX‖sSSC(DPIX)‖
sSSC(FD)と要約SUM‖(sSSC(DSUM)の両方を検証しなけれ
ばならない。そのような検証方法は、セキュリティの技術分野の業者には周知で
ある。たとえば、ピクスマップsSSC(DPIX)のダイジェストの署名は、
公に入手可能でかつ好ましくは認定機関から供給されるディジタル証明書Cer
SCに含まれるユーザの公開鍵を使用して検証される。次に、検証したダイジ
ェストは、ピクスマップからダイジェストを計算しなおすことによって得られた
値と比較され、ここで、ダイジェストは、標準的な周知でかつ明確に規定された
ハッシュ機能を使用して生成される。一致が正確な場合、その署名は、検証済み
である。要約を含む他の署名が、同じ方法で検査される。
【0074】 署名付き文書の記述を検証できるようにする好ましい方法は、ピクスマップを
画像に戻すことである。これは、ピクスマップ・データPIXをそれぞれのホス
ト・コンピュータ100のフレーム・バッファ・メモリ315にロードするアプ
リケーションすなわち実際には信用できる表示プロセッサ260を必要とする。
これにより、署名者が署名した文書を見ることができる。
【0075】 次に、図10(a)、(b)を参照して、署名された文書を強調表示する段階
を説明する。
【0076】 好ましい実施形態において、シール・データSEALは、信用できる画像のピ
クスマップを含む。たとえば、図10(a)に示したように、シール・データ5
40のピクスマップは、「スマイルマーク」1000を定義する。図10(b)
は、画面(図示せず)のウィンドウ1010に、署名する例示的な文書Doc1
の画像1005を示す。最初の強調表示ステップとして、画像を静止させた後で
かつシール・データを受け取る前に、信用できる表示プロセッサ260は、図1
0(c)に示したように、文書画像1005のまわりにフレーム1020を重ね
ることによって、署名する文書を強調表示する。また、スマートカードが122
が存在しない場合は、図10(c)にも示したように、ユーザにスマートカード
の挿入を要求するユーザ・メッセージ1030が、10秒カウントダウン・タイ
マ1035と共に表示される。次に、スマイルマーク・ピクスマップ画像が、ス
マートカード122から取り出されるとき、図10(d)に示したように、信用
できる表示プロセッサ260は、フレーム1040を、スマイル・マークの複数
のインスタンス1045またはモザイクで装飾する。さらに、図10(d)に示
したように、信用できる表示プロセッサ260は、10秒カウントダウン・タイ
マ1055の付いたさらに他のユーザ・メッセージ1050を生成し、ユーザに
署名プロセスを続けたいかどうかを尋ねる。この装飾されたフレーム1040は
、正確な静止画像領域が表示されていることをユーザに示し、かつ信用できる表
示プロセッサ260が署名プロセスを完全に制御しているという高度の確信をユ
ーザに提供し、したがって、ユーザ自身のシール画像の存在により、そのメッセ
ージが、何か他の(破壊的である可能性がある)ソフトウェア・アプリケーショ
ンまたはハードウェア装置からではなく信用できる表示プロセッサ260から来
たという確信がユーザに提供される。
【0077】 図11(e)と図11(g)は、図10(c)と図10(d)に示した「フレ
ーム」視覚効果の代替を示す。図11(e)に、静止画像領域を定義するために
、4つの単一シール画像1060が、アプリケーション・プロセス500によっ
て提供される座標を使用して静止文書画像の角に配置される。図11(f)にお
いて、静止画像は、その背景を修正して1つのシール画像を示すことによって定
義される。図11(g)において、静止画像は、その背景を修正してシール画像
のモザイクを示すことによって定義される。この説明を考慮して、熟練した読者
は、静止画像を強調表示することができる他の視覚的効果を考えることができる
ことが予想される。さらに、署名操作中に、たとえば「次にシール・データ54
0を取り出し...」、「次に文書署名を生成し...」などの状況メッセージ
を含めることが望ましい場合がある。
【0078】 信用できる表示プロセッサ260が、画面上の正確な場所にシール画像とメッ
セージを表示できる必要があることを理解されよう。シール画像とメッセージ画
像は、それらが署名プロセスの間に現われその後で消えるという点で一時的なも
のであることは明らかである。第1の画像に第2の画像を重ね合わせ、それによ
り第1の画像の一部分を隠し、次に第2の画像を除去し、第1の画像の隠された
部分を回復するための周知の標準的な表示技術がある。そのような技術は、当然
ながら、たとえば複数のウィンドウが互いに重なることがある通常のウィンドウ
環境で使用される。信用できる表示プロセッサ260は、標準表示の上にシール
画像とメッセージ画像を重ね合わせるために、そのような標準的な技術の1つま
たは複数を実施するように構成される。
【0079】 いくつかのシナリオにおいて、文書が大きすぎてVDU105画面に一度にす
べてを入れることができず、また人が容易に読むことができないことがある。こ
の実施形態を実用的なものにするために、ユーザが、文書に署名する前にその文
書をきわめてはっきりと読み取れることが不可欠であることは明らかである。し
たがって、以下に説明するように、文書を複数の画面ページに分割することがで
き、それぞれの画面ページに署名し、前のページの署名と暗号的に連鎖させるこ
とが必要である。
【0080】 最初に、アプリケーション・プロセス500は、前と同じように、第1のペー
ジの画像を表示させ、署名するために信用できる表示プロセッサ260を呼び出
す。信用できる表示プロセッサ260が、要約を要求せずに個々の署名を返すと
き、アプリケーション・プロセス500は、信用できる表示プロセッサ260に
、第2のページの画像を表示し画像に署名するように指示する。この事例におい
て、信用できる表示プロセッサ260は、アプリケーション・プロセス500に
よるそのような要求をサポートするように構成されることは明らかである。すべ
ての画像が署名され、アプリケーション・プロセス500に返された後で、アプ
リケーション・プロセス500は、要約の要求を出す。次に、要約は、たとえば
前の2ページの要約に示したように、この複数ページ文書に署名された多くの画
像を含む。
【0081】 複数ページ文書の最初のページは、単一ページと同じ方法で署名され、その結
果、別々の署名が返される。しかしながら、次の画像が署名のために提示される
とき、前の署名要求の後で要約要求を受け取ってないので、信用できる表示プロ
セッサ260は、それらの画像が複数ページ文書の一部であることを認識する。
その結果、信用できる表示プロセッサ260は、ユーザからの連続ページに署名
する許可を要求する異なるメッセージを表示する。これに応じて、複数ページ文
書に署名しているユーザは、前と同じ信頼できる許可チャネルを使用して(たと
えば、信用できるスイッチ135)、このページが、前のページと関連付けられ
ており署名されるべきであることを、信用できる表示プロセッサ260に確認す
る。信用できる表示プロセッサ260が、この複数ページの確認を受け取るとき
、前の署名したページの署名を現行ページのピクスマップと連結し、その連結の
ダイジェストを作成し、それを署名のためにスマートカードに送る。これは、現
行ピクスマップだけのダイジェストを送る代わりに行われる。このプロセスは、
次のページを前のページに暗号的に「連鎖」させ、それにより、ページを、検出
することなく並べ換えたり、また検出なしに中間ページを挿入したり削除したり
することができない。
【0082】 最初のページの有効性は、単一ページとまったく同じ方法で確認することがで
きる。後のページの有効性は、現行ピクスマップのダイジェストを、連結された
前の署名および現行ピクスマップのダイジェストと置き換えること以外、単一ペ
ージと同じ方法を使用して確認される。
【0083】 後のページを前のページに暗号的に連鎖させる多数の方法があることを理解さ
れよう。そのような方法は、この説明を考慮して、セキュリティの技術分野の業
者には明らかであろう。
【0084】 セキュリティを高めるために、複数ページ文書の各ページの画像を、従来のフ
ッタ「y分のxページ」を含むように構成することができ、ここで、「x」は、
ページの番号であり、「y」は、ページの総数である。これにより、人は、文書
を読むだけで、切り捨てられた文書を容易に発見することができる。
【0085】 この文書署名方式の大きな利点は、署名した文書に再署名または副署名を行う
ことができることである。したがって、文書の要約が監査証跡を含むことが望ま
しい。再署名と副署名には様々な種類があるが、(明らかに)電子的完全性検査
は、必ず、何か他の署名の前に行われなければならない。1つの極端な場合、新
しい署名者は、それぞれの署名付き画像を順々に見て、確認し、再署名すること
ができ、元の署名が新しい署名と有効に交換される。この方法は、たとえば、誰
か他の人がその署名者のために準備した文書に署名するユーザによって使用され
ることがある。他の極端な場合、新しい署名者は、文書をまったく見ることなく
、元の要約に署名することによって、元の署名に単に「ゴム印」を押すことがで
きる。これは、信用された従業員の仕事に副署名する管理者に役立つことがある
【0086】 再署名操作の場合、アプリケーション・プロセス500は、再署名要求を出し
、既に署名された文書(および個別の署名と要約)を信用できる表示プロセッサ
260に送る。信用できる表示プロセッサ260は、署名者の公開鍵を使用して
署名付き文書を検証し、文書(または、文書の各ページ)のピクスマップを回復
し、それぞれの検証済み画像を、それらが署名要求アプリケーションからの元の
画像であるかのように新しいユーザに正しい順序で表示する。ユーザは、たとえ
ば前述のように信用できるスイッチ135を使用して、それぞれ個々の画像の受
け入れを確認し、新しいユーザ所有のスマートカードによって前述のように画像
に署名させる。この結果、署名された文書は、新しいユーザが所有するスマート
カードによって署名されたこと以外、元の文書と同じになる。
【0087】 同様に、副署名操作の場合は、アプリケーション・プロセス500が、副署名
要求を出し、署名付き文書(および個別の署名と要約)を信用できる表示プロセ
ッサ260に送る。信用できる表示プロセッサ260は、署名付き文書を検証し
、検証した各画像を、アプリケーション・プロセス500からの元の画像である
かのように正しい順序で新しいユーザに表示する。ユーザは、個々の各画像の受
け取りを確認し、信用できる表示プロセッサ260は、新しいユーザが所有する
スマートカードを使用して元の要約に署名する。任意に、新しいユーザは、新し
いユーザによって署名された前のユーザの公開鍵の証明書を提供して、署名の後
の検証と関連した処理オーバヘッドを容易にすることができる。
【0088】 再署名と副署名の主題に関して多くの変形が可能であることは明らかであり、
これは、本説明を考慮して当業者には明らかであろう。
【0089】 文書が、署名、再署名または副署名の履歴を有することがあるため、この実施
形態は、文書要約の一部を構成する監査情報を都合良く提供する。この監査情報
によって、文書の署名履歴をたどることがきる。監査情報は、文書の前の状態に
関するデータと、文書の新しい状態を作り出すために新しいユーザが取った対応
を含む。監査情報は、ユーザから独立していなければならないため、監査情報は
、信用できる表示プロセッサ260によって署名される。監査情報は、任意の前
の要約情報を必ず含む(その要約情報の前の署名者による署名を含む)。署名付
き文書が、最初から生成された場合は、信用できる表示プロセッサ260の識別
ラベルIDPが、監査のルートとして挿入される。監査情報は、また、新しいユ
ーザがどの個別画像を見て確認したか、また文書が新しいユーザによって最初か
ら作成されたか、再署名されたか、副署名されたかの指示を含む。監査情報を含
む要約を作成するために、スマートカードには、前述の要約の内容だけのダイジ
ェストではなく、前述の要約の内容と連結された監査情報のダイジェストが送ら
れる。残りのプロセスは、前に説明したものと同じである。
【0090】 文書に署名するプロセスの強化は、ピクスマップ・データに署名する前に、信
用できる表示プロセッサ260が、無損失圧縮アルゴリズムを使用してピクスマ
ップを圧縮し、それにより個々の署名の記憶および送信と関連するオーバヘッド
を減少させることである。
【0091】 ピクスマップは、たとえばLZ−1またはLZ−2圧縮を適用するコードワー
ド・ベース・アルゴリズムの標準圧縮アルゴリズムによって圧縮することができ
る。その代わりに、OCR(光学式文字認識)と類似の技術を使用して、ピクス
マップを圧縮することができる。この場合、状況は、従来のOCRよりも低い解
像度でも入力データが完全に「走査」される点が従来のOCRと異なる。OCR
圧縮バージョンのピクスマップは、「ブロブ・マッチング(blob−matc
hing)」してピクスマップのアルファベットを作成し、各文字のピクスマッ
プをアルファベットで構成し、そのような文字を使用して、メッセージが元のピ
クスマップを表すようにメッセージを構成することによって生成することができ
る。これは、ピクスマップを新しいアルファベットとそのアルファベットで記述
されたメッセージに圧縮できることを意味する。ピクスマップ・データには明ら
かにエラーも曖昧さもないため、これは無損失の圧縮方法である。
【0092】 画像ピクスマップのサイズを小さくするもう1つの方法は、画像を純粋な白黒
画像として表現することによるものであり、画素が黒か白かを定義するためには
1つのビットを0か1に設定するだけである。他の状況において、文書画像は、
フルカラー画像として表され、この場合、各画素は、一般に、最大24ビットを
必要とすることがある。この技術は、単純な黒白のテキスト・ベースの文書に適
している場合があることは明らかである。しかしながら、これは、カラーの文書
と画像には適していない。
【0093】 OCR形のプロセスを使用して文書画像をテキスト・ベースの文書に変換して
、文書の標準ディジタル・テキスト表現を復元することはいつでも可能である。
この技術は、テキスト・マッピングが不正確な場合があるため署名には使用でき
ないが、署名付き文書の受取人が使用して、その署名付き文書を次の装置処理の
ために標準のディジタル・テキスト表現(ASCIIなど)に変換することがで
きる。好ましい実施形態において、信用できる表示プロセッサ260は、OCR
文書の回復を実行するために装備される。
【0094】 OCRを実行するために、OCRアルファベットが、標準的な方法で生成され
、次に記憶されているフォントと突き合わされ、次に標準文字セットに変換され
る。従来のOCRと同じように、曖昧な一致は、ピクスマップとして保存され、
ユーザによる変換のためにフラグが立てられることがある。(これは特に、デー
タにエラーがないため、フォントのタイプとサイズの情報が表示フォーマット・
データFDに既に供給されている場合にはありそうにない。) 極端な事例では
、復元した文書全体を、署名者が署名するつもりだった文書の表示と、人が手作
業で照合しなければならない。
【0095】 文書復元プロセスはすべて、信用できるプロセスによって行われることが好ま
しい。
【0096】 前述の好ましい実施形態は、オペレーティング・システムを含むホスト・コン
ピュータ100ソフトウェアがビデオ・データを処理することができる程度以上
に、信用できる表示プロセッサ260が、フレーム・バッファ・メモリ315に
記憶されたビデオ・データに対する直接的かつ排他的なアクセス権を有するとい
う前提に依存する。これは、信用できる表示プロセッサ260が修正を行なわな
い限りビデオ・データを修正することができないことを意味する。
【0097】 すべてのコンピュータ・アーキテクチャが、このように構成されるとは限らな
いことを理解されよう。たとえば、いくつかのコンピュータ・アーキテクチャは
、フレーム・バッファ・メモリがメイン・メモリの一部分を構成するように構成
され、したがって単一アドレス空間(SAS)表示システムが構成される。その
ようなシステムの1つの利点は、CPUと表示プロセッサが両方とも、フレーム
・バッファ・メモリにアクセスし、グラフィックス処理オーバヘッドを共有する
ことができ、それによりグラフィックス性能が改善されることである。そのよう
なSASシステムにおける本発明の実施態様は、CPUがまだメモリにアクセス
する可能性があるため、署名している間にバッファ・メモリが安全であるという
前提に依存できないことは明らかである。しかしながら、本発明の実施態様を支
援するようにそのようなSASシステムを修正することができる多数の方法があ
る。たとえば、メモリは、署名操作の間にメモリがCPUからのデータによって
更新されないように、信用できる表示プロセッサからの制御線を備えることがで
きる。メモリ装置自体は、この機能を実行するために特別な論理機構を含むよう
に修正されることが好ましい。あるいは、メモリへのアクセスは、メモリの通常
の制御経路に挿入される他の論理回路によって遮断される。したがって、そのよ
うなシステムは、フレーム・バッファ・メモリ内のビデオ・データを、信用でき
る表示プロセッサではなく信用できる表示プロセッサの許可によってのみ修正す
ることができるという修正された前提に依存する。この前提は、システムが本当
にセキュアである限り、第1の前提と同じくらいセキュア動作に有効なことは明
らかである。
【0098】 たとえば単純なグラフィックス環境における他のアーキテクチャにおいて、表
示プロセッサの機能は、オペレーティング・システム自体の一部を構成すること
があり、それにより別の表示プロセッサ・ハードウェアの要件が除去される。こ
の事例では、CPUに課されるグラフィックス・オーバヘッドが、個別の表示プ
ロセッサ・ハードウェアを備えたシステムよりも大きくなり、それによりプラッ
トフォームのグラフィック性能が制限されることは明らかである。したがって、
「信用できる表示プロセッサ」用の場所がないことは明らかである。しかしなが
ら、当業者は、フレーム・バッファ・メモリを保護しスマートカードと対話する
信用できる表示プロセッサによって提供されるのと同じ機能を、署名の際に表示
システムを(いかなる形でも)制御する適切な信用できるコンポーネントを使用
して実施できることを理解されよう。
【0099】 本発明の他の実施形態において、信用できるスイッチ135の機能をソフトウ
ェアと置き換えることができる。専用スイッチの動作を待つのではなく信用でき
るスイッチ・プロセス529が活動化されるとき(ステップ630と同じように
)、信用できるコンポーネント260は、乱数発生機能を使用してナンスを文字
列(textual string)の形で生成する。この場合、この文字列は
、信用できる表示装置に、「<文字列>を入力してアクションを確認してくださ
い」という形のメッセージで表示される。効果を確認するために、ユーザは、次
に、キーボード110を使用して所与の文字列を入力しなければならない。文字
列が毎回異なり、また他のソフトウェアは、この文字列に対するアクセス権を持
たないため(これは、信用プロセッサ300と表示装置の間だけに渡る)、悪意
のあるソフトウェアがこの確認プロセスを破壊する可能性はなくなる。
【0100】 本発明の他の実施形態において、追加または代替として、信用できる表示プロ
セッサ(または等価物)は、信用できる表示装置を駆動するインタフェースを含
む。信用できる表示は、たとえば、LCDパネル表示装置である。信用できるス
イッチが、信用できる表示プロセッサと対話する信用手段をユーザに提供するの
と同じ方法で、信用できる表示は、標準VDUを介してではなくユーザに情報を
フィード・バックするために信用手段を提供することができる。たとえば、信用
できる表示装置を使用して、署名操作に関する前述のような状況メッセージをユ
ーザに提供することができる。したがって、表示装置が、信用できる表示プロセ
ッサに直接または何らかの形の信用チャネルを介して接続されるため、標準のホ
スト・コンピュータで動作するアプリケーションは、信用できる表示装置にアク
セスできないはずである。本質的には、そのような信用できる表示装置は、前述
のいわゆる「信用インタフェース」に対する付加物である。実際に、追加または
代替として、1つの例が信用できる表示の他の形の信用フィードバック装置が含
まれない根拠はない。たとえば、音響フィードバックを提供するのに何らかの形
の信用音声装置が役立つシナリオがある。
【0101】 本発明の代替の応用例は、電子取引の際に信用インタフェースを提供すること
である。単一の例示的な実施形態において、ユーザは、リモート・コンピュータ
・システムに感知可能データを送ることを望む。ユーザは、リモート・コンピュ
ータ・システム、すなわち実際にそのユーザが使用しているホスト・コンピュー
タが、信用できることを保証することができない。リモート・コンピュータ・シ
ステムに送信している間に感知可能データが無許可の相手によって傍受されるの
を防ぐことを保証し、感知可能データを受け取るときに本物のリモート・コンピ
ュータ・システムだけがその感知可能データを読み取ることができることを保証
するために、ユーザは、本物のリモート・コンピュータ・システムの公開暗号鍵
を使用してデータを暗号化することを望む。この実施形態において、ホスト・コ
ンピュータは、前に詳細に説明したような信用できる画像を回復させ表示するた
めにユーザのスマートカードと対話する信用できるコンポーネントを組み込む。
破壊的アプリケーションではなく信用できるコンポーネントが制御していること
をユーザに指示するために、信用できる画像が、標準VDU画面やLCD表示装
置などの個別の表示装置に表示されることがある。次に、信用できるコンポーネ
ントは、それぞれの公開鍵を含むリモート・コンピュータ・システムの証明書を
回復させ認証するために、リモート・コンピュータ・システムと対話する。公開
鍵により、信用できるコンポーネントは、スマートカードからもそれ自体読み取
られることがある感知可能データを暗号化し、暗号化したデータをリモート・コ
ンピュータ・システムに送る。
【0102】 信用できるユーザ・フィードバックと信用できるユーザ入力装置を提供する信
用できるユーザ・インタフェースの概念が価値を持つ他の多数の用途、特に電子
商取引用途がある。したがって、本発明は、前述のいくつかの実施形態に制限さ
れるように解釈されるべきでなく、特許請求の範囲の言語によってのみ制限され
るべきである。
【図面の簡単な説明】
【図1】本発明の好ましい実施形態により動作するのに適したコンピュータ
・システムを示す図である。
【図2】本発明の好ましい実施形態により動作するのに適したホスト・コン
ピュータのハードウェア・アーキテクチャを示す図である。
【図3】本発明の好ましい実施形態により動作するのに適した信用できる表
示プロセッサのハードウェア・アーキテクチャを示す図である。
【図4】本発明の好ましい実施形態により動作するのに適したスマートカー
ド処理エンジンのハードウェア・アーキテクチャを示す図である。
【図5】本発明の好ましい実施形態により動作するのに適した信用できる表
示プロセッサおよびスマートカードを含むホスト・コンピュータの機能的アーキ
テクチャを示す図である。
【図6】文書の個々の署名の生成に伴うステップを示す流れ図である。
【図7】図6に連続する流れ図である。
【図8】図7に連続する流れ図である。
【図9】(a)は、スマートカードからシール画像データを回復させるため
に、信用できる表示プロセッサとスマートカードの間の一連のメッセージを示す
図、(b)は、文書画像の署名を生成するために、信用できる表示プロセッサと
スマートカードの間の一連のメッセージを示す図、(c)は、文書画像署名プロ
セスの要約の署名を生成するための信用できる表示プロセッサとスマートカード
の間の一連のメッセージを示す図である。
【図10】(a)は、例示的な信用できる画像を示す図、(b)、(c)、
(d)は、文書画像に署名する際の視覚的ステップを示す図である。
【図11】(e)、(f)、(g)は、署名する文書の画像を強調表示する
もう1つの方法を示す図である。
【符号の説明】
100 コンピュータ 105 視覚的表示装置 110 キーボード 115 マウス 120 スマートカード・リーダ 122 スマート・カード 125 ローカル・エリア・ネットワーク 130 インターネット 135 信用できるスイッチ 200 中央処理装置 205 RAM 210 ROM 215 マザーボード 220 PCIブリッジ 225 PCIバス 235 SCSIバス 240 ハード・ディスク・ドライブ 245 CD−ROM 250 LANアダプタ 255 入出力装置 260 信用できる表示プロセッサ 300 マイクロコントローラ 305 不揮発性メモリ 310 インタフェース 315 フレーム・バッファ・メモリ 320 ディジタル・アナログ変換器 325 ビデオ・インタフェース 330 インタフェース 335 揮発性メモリ 340 暗号プロセッサ 345 不揮発性メモリ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 バラシェフ・ボリス イギリス国ビーエス8 4エルティー ブ リストル、ホットウェルズ、グランバイ・ ヒル、ラットランド・ハウス 7 (72)発明者 リクン・チェン イギリス国ビーエス32 9ディーキュー ブリストル、ブラッドリー・ストーク、ハ ーベスト・クロース 1 (72)発明者 チャン・デイヴィッド アメリカ合衆国95030カリフォルニア州モ ンテ・セレーノ、メイズ・アベニュー 16112 Fターム(参考) 5B017 AA07 BA07 CA16 5E501 AA02 AC42 BA13 CA03 CB02 CB09 EA01 FA13 FA14 FA23 FA42 FB34 5J104 AA09 LA03 LA05 LA06 NA12 NA33 PA10

Claims (24)

    【特許請求の範囲】
  1. 【請求項1】信用できる動作モードで動作することができるデータ処理シス
    テムであって、 少なくとも1つのアプリケーション・プロセスを実行する主処理手段と、 信用できるプロセスを信用できる動作モードで実行する手段、およびユーザ・
    フィードバック信号を生成する手段を含む信用できるコンポーネントと、 少なくとも1つのユーザ・フィードバック装置と、 前記ユーザ・フィードバック信号を受け取り、前記信号に基づいて前記ユーザ
    ・フィードバック装置を制御するユーザ・フィードバック処理手段とを含み、 前記信用できるコンポーネントが、前記ユーザ・フィードバック処理手段を制
    御して、前記ユーザ・フィードバック装置に、前記データ処理システムが信用で
    きる動作モードで動作しているという指示を提供させる手段を含むデータ処理シ
    ステム。
  2. 【請求項2】セキュア通信経路を介して前記信用できるコンポーネントと通
    信する安全なユーザ入力手段をさらに含み、それにより、ユーザが、前記信用で
    きるプロセスとセキュアに対話することができる請求項1に記載のデータ処理シ
    ステム。
  3. 【請求項3】前記主処理手段が、少なくとも1つのアプリケーション・プロ
    セスを実行し、表示される主画像を特徴づける信号を生成する手段を含み、 前記ユーザ・フィードバック処理手段が、前記信号を受け取り、前記主画像を
    表示する視覚的表示装置を駆動するためのそれぞれの表示信号を生成する表示処
    理手段を含み、 前記信用できるコンポーネントは、前記データ処理システムが前記信用できる
    動作モードで動作していることをユーザに指示するために、信用できる画像デー
    タを取得しかつ/または生成する手段と、前記表示処理手段を制御してそれぞれ
    の信用できる画像を前記主画像の少なくとも一部分と組み合わせる手段を含む請
    求項1または請求項2に記載のデータ処理システム。
  4. 【請求項4】取外し可能な安全なトークンからデータを読み取りかつ/また
    はそこにデータを書き込むための安全なトークン・リーダと、前記信用できる画
    像を特徴づけるデータを含む取外し可能なトークンとをさらに含み、前記信用で
    きるコンポーネントが、前記データを前記安全なトークンから受け取る手段を含
    む請求項3に記載のデータ処理システム。
  5. 【請求項5】前記信用できるコンポーネントと前記安全なトークンがそれぞ
    れ、前記信用できるプロセスを実行するために他方と対話する手段を含む請求項
    3または請求項4に記載のデータ処理システム。
  6. 【請求項6】前記信用できるコンポーネントが、前記表示処理手段を制御し
    て、前記信用できる画像を前記主画像と組み合わせて、前記信用できるプロセス
    の実行と関連するように前記主画像の少なくとも一部分を強調表示する手段を含
    む請求項5に記載のデータ処理システム。
  7. 【請求項7】前記信用できるコンポーネントが、実質的に前記データ処理シ
    ステムが前記信用できるプロセスを実行している間に、前記主画像の少なくとも
    強調表示された部分の前記表示処理手段による修正を防ぐ手段を含む請求項6に
    記載のデータ処理システム。
  8. 【請求項8】前記信用できるコンポーネントが、前記安全なトークンと対話
    して前記主画像の少なくとも一部分のディジタル署名の特徴を生成することを含
    む信用できるプロセスを実行する手段を含む請求項5から7のいずれかに記載の
    データ処理システム。
  9. 【請求項9】前記信用できるコンポーネントが、前記安全なトークンの前記
    識別を検証する手段を含む請求項4から8のいずれかに記載のデータ処理システ
    ム。
  10. 【請求項10】前記安全なトークンが、前記信用できるコンポーネントの前
    記識別を検証する手段を含む請求項4から9のいずれかに記載のデータ処理シス
    テム。
  11. 【請求項11】前記信用できるコンポーネントと前記安全なトークンがそれ
    ぞれ、不揮発性メモリを含む請求項4から10のいずれかに記載のデータ処理シ
    ステム。
  12. 【請求項12】前記信用できるコンポーネントと前記安全なトークンがそれ
    ぞれ、それぞれの不揮発性メモリにそれぞれの秘密暗号鍵を保持する請求項11
    に記載のデータ処理システム。
  13. 【請求項13】前記信用できるコンポーネントと前記安全なトークンがそれ
    ぞれ、それぞれの秘密鍵により秘密/公開鍵ペアを構成する公開鍵を含むディジ
    タル証明書を含む請求項12に記載のデータ処理システム。
  14. 【請求項14】前記信用できるコンポーネントと前記安全なトークンがそれ
    ぞれ、他方から暗号化データを受け取り、かつそのそれぞれの秘密鍵を使用して
    、前記暗号化データを復号しかつ/または前記対応する公開鍵を使用して前記暗
    号化データが暗号化されたことを検証する請求項13に記載のデータ処理システ
    ム。
  15. 【請求項15】前記信用できる画像を特徴づけるデータが、前記安全なトー
    クンによって圧縮形式で記憶され、前記信用できるコンポーネントが、前記デー
    タを展開する手段を含む請求項4から14のいずれかに記載のデータ処理システ
    ム。
  16. 【請求項16】前記信用できる画像を特徴づける前記データが、前記安全な
    トークンによって暗号化された形で記憶され、前記信用できるコンポーネントが
    、前記データを復号しかつ/または前記データが対応する暗号キーを使用して暗
    号化されたことを検証する手段を含む請求項4から15のいずれかに記載のデー
    タ処理システム。
  17. 【請求項17】前記信用できる画像を特徴づける前記データが、一連の指示
    を含み、前記信用できるコンポーネントが、前記信用できる画像データを生成す
    るために前記指示を解釈する手段を含む請求項4から16のいずれかに記載のデ
    ータ処理システム。
  18. 【請求項18】前記信用できるコンポーネントが、前記表示処理手段を制御
    して、 前記信用できる画像によって特徴づけられかつ前記主画像またはその一部分を
    少なくとも部分的に囲んで配置された境界線または境界線を定義する標識と、 前記主画像またはその一部分の背景の少なくとも一部分を構成する前記信用で
    きる画像によって特徴づけられた背景パターンと、 前記主画像またはその一部分に形成された前記信用できる画像によって特徴づ
    けられた画像と、および/または、 前記主画像またはその一部分に形成された前記信用できる画像によって特徴づ
    けられたテキスト・メッセージの視覚効果のうちの1つまたは複数を生成するこ
    とによって前記主画像またはその一部分を強調表示する請求項6に記載のデータ
    処理システム。
  19. 【請求項19】表示処理手段が、フレーム・バッファ・メモリと、 前記主処理手段から受け取った前記信号に基づいて前記主画像を表す画素デー
    タを生成する画素ジェネレータと、 前記フレーム・バッファ・メモリ内の前記画素データを更新するフレーム・バ
    ッファ・リフレッシャと、 前記フレーム・バッファ・メモリから前記画素データを繰返し読み取り、前記
    視覚的表示装置を駆動するのに適した信号を生成し、前記信号を、前記画像を表
    示する前記視覚的表示装置に送るビデオ・コントローラとを含み、 前記信用できるコンポーネントが、前記他の画像を前記主画像と組み合わせる
    ために、前記信用できる画像データまたは前記信用できる画像データから得られ
    たデータを、前記フレーム・バッファ・メモリの少なくとも一部分に書き込む手
    段を含む請求項3から18のいずれかに記載のデータ処理システム。
  20. 【請求項20】前記信用できるコンポーネントと前記ユーザ・フィードバッ
    ク処理手段が、単一の特定用途向けIC内に実装されるかまたは適切にプログラ
    ムされたマイクロコントローラとして実装される請求項3から19のいずれかに
    記載のデータ処理システム。
  21. 【請求項21】前記信用できるプロセスが、複数の段階を含み、前記段階の
    うちの少なくとも1つが、前記安全なユーザ入力手段を介した前記信用できるコ
    ンポーネントとのユーザ対話によって開始される請求項2に記載のデータ処理シ
    ステム。
  22. 【請求項22】前記信用できるコンポーネントが、改竄防止機能付きである
    請求項1から21のいずれかに記載のデータ処理システム。
  23. 【請求項23】少なくとも1つのアプリケーション・プロセスを実行する主
    処理手段と、 信用できるプロセスを信用できる動作モードで実行する手段およびユーザ・フ
    ィードバック信号を生成する手段と、 少なくとも1つのユーザ・フィードバック装置と、 前記ユーザ・フィードバック信号を受け取りかつ前記ユーザ・フィードバック
    装置用を駆動する各信号を生成するユーザ・フィードバック処理手段とを含み、 前記信用できるプロセスを実行する前記手段が、前記ユーザ・フィードバック
    処理手段を制御して、前記ユーザ・フィードバック装置に、前記データ処理シス
    テムが信用できる動作モードで動作しているという指示を提供させる手段を含む
    システム。
  24. 【請求項24】前記データ処理システムにおいて信用できるユーザ・インタ
    フェースを提供する方法であって、安全なプロセスを実行し、それぞれのユーザ
    ・フィードバック信号を生成する段階と、前記ユーザ・フィードバック信号に基
    づいて、前記データ処理システムが前記安全なプロセスの下で動作していること
    を示すようにユーザ・フィードバックを提供する段階とを含む方法。
JP2001500963A 1999-05-28 2000-05-25 信用できるユーザ・インタフェースを提供するシステム Withdrawn JP2003501723A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP99304162.3 1999-05-28
EP99304162A EP1056014A1 (en) 1999-05-28 1999-05-28 System for providing a trustworthy user interface
PCT/GB2000/002005 WO2000073913A1 (en) 1999-05-28 2000-05-25 System for providing a trustworthy user interface

Publications (1)

Publication Number Publication Date
JP2003501723A true JP2003501723A (ja) 2003-01-14

Family

ID=8241417

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001500963A Withdrawn JP2003501723A (ja) 1999-05-28 2000-05-25 信用できるユーザ・インタフェースを提供するシステム

Country Status (4)

Country Link
US (2) US7302585B1 (ja)
EP (2) EP1056014A1 (ja)
JP (1) JP2003501723A (ja)
WO (1) WO2000073913A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004524780A (ja) * 2001-04-25 2004-08-12 テレフォンアクチーボラゲット エル エム エリクソン(パブル) 小型デバイスにおける暗号署名
JP2010206277A (ja) * 2009-02-27 2010-09-16 Nec Corp 通信方法及び通信システム並びにその処理プログラム
JP2015133116A (ja) * 2014-01-13 2015-07-23 モルフォ 端末上で機密データを入力する方法

Families Citing this family (136)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1055990A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Event logging in a computing platform
EP1056010A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Data integrity monitoring in trusted computing entity
EP1056014A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company System for providing a trustworthy user interface
EP1085396A1 (en) 1999-09-17 2001-03-21 Hewlett-Packard Company Operation of trusted state in computing platform
US7162035B1 (en) 2000-05-24 2007-01-09 Tracer Detection Technology Corp. Authentication method and system
US20020026584A1 (en) * 2000-06-05 2002-02-28 Janez Skubic Method for signing documents using a PC and a personal terminal device
ES2167245B1 (es) * 2000-06-23 2003-04-01 Esignus S L Firmador externo para pc.
US6976162B1 (en) 2000-06-28 2005-12-13 Intel Corporation Platform and method for establishing provable identities while maintaining privacy
US6986052B1 (en) 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition
GB0020441D0 (en) 2000-08-18 2000-10-04 Hewlett Packard Co Performance of a service on a computing platform
GB2376763B (en) 2001-06-19 2004-12-15 Hewlett Packard Co Demonstrating integrity of a compartment of a compartmented operating system
US7818808B1 (en) 2000-12-27 2010-10-19 Intel Corporation Processor mode for limiting the operation of guest software running on a virtual machine supported by a virtual machine monitor
GB2370709A (en) * 2000-12-28 2002-07-03 Nokia Mobile Phones Ltd Displaying an image and associated visual effect
GB2372595A (en) * 2001-02-23 2002-08-28 Hewlett Packard Co Method of and apparatus for ascertaining the status of a data processing environment.
GB2372594B (en) 2001-02-23 2004-10-06 Hewlett Packard Co Trusted computing environment
GB2372592B (en) 2001-02-23 2005-03-30 Hewlett Packard Co Information system
US8849716B1 (en) 2001-04-20 2014-09-30 Jpmorgan Chase Bank, N.A. System and method for preventing identity theft or misuse by restricting access
GB2376313A (en) * 2001-06-04 2002-12-11 Hewlett Packard Co Indicating to a user if they are connected to a trusted computer platform
US7689506B2 (en) 2001-06-07 2010-03-30 Jpmorgan Chase Bank, N.A. System and method for rapid updating of credit information
GB2376764B (en) 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments
GB2376765B (en) 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments with verifiable environment identities
US7266839B2 (en) * 2001-07-12 2007-09-04 J P Morgan Chase Bank System and method for providing discriminated content to network users
US7779267B2 (en) * 2001-09-04 2010-08-17 Hewlett-Packard Development Company, L.P. Method and apparatus for using a secret in a distributed computing system
US7024555B2 (en) 2001-11-01 2006-04-04 Intel Corporation Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment
GB2382419B (en) 2001-11-22 2005-12-14 Hewlett Packard Co Apparatus and method for creating a trusted environment
US7987501B2 (en) 2001-12-04 2011-07-26 Jpmorgan Chase Bank, N.A. System and method for single session sign-on
US7480806B2 (en) * 2002-02-22 2009-01-20 Intel Corporation Multi-token seal and unseal
US7631196B2 (en) 2002-02-25 2009-12-08 Intel Corporation Method and apparatus for loading a trustable operating system
US7124273B2 (en) 2002-02-25 2006-10-17 Intel Corporation Method and apparatus for translating guest physical addresses in a virtual machine environment
US7069442B2 (en) 2002-03-29 2006-06-27 Intel Corporation System and method for execution of a secured environment initialization instruction
GB2387678B (en) * 2002-04-18 2005-10-12 Hewlett Packard Co Apparatus for remote working
GB0212308D0 (en) * 2002-05-28 2002-07-10 Symbian Ltd Trusted user interface for a secure mobile wireless device
US8171567B1 (en) 2002-09-04 2012-05-01 Tracer Detection Technology Corp. Authentication method and system
US8301493B2 (en) 2002-11-05 2012-10-30 Jpmorgan Chase Bank, N.A. System and method for providing incentives to consumers to share information
DE10260135B4 (de) * 2002-12-20 2006-11-09 OCé PRINTING SYSTEMS GMBH Verfahren, Computerprogrammprodukt und Dokumentenausgabesystem zur Verarbeitung eines Dokumentendatenstroms
US7900017B2 (en) 2002-12-27 2011-03-01 Intel Corporation Mechanism for remapping post virtual machine memory pages
US8079034B2 (en) 2003-09-15 2011-12-13 Intel Corporation Optimizing processor-managed resources based on the behavior of a virtual machine monitor
US7739521B2 (en) 2003-09-18 2010-06-15 Intel Corporation Method of obscuring cryptographic computations
US7930412B2 (en) * 2003-09-30 2011-04-19 Bce Inc. System and method for secure access
US8156343B2 (en) 2003-11-26 2012-04-10 Intel Corporation Accessing private data about the state of a data processing machine from storage that is publicly accessible
US8037314B2 (en) 2003-12-22 2011-10-11 Intel Corporation Replacing blinded authentication authority
US7802085B2 (en) 2004-02-18 2010-09-21 Intel Corporation Apparatus and method for distributing private keys to an entity with minimal secret, unique information
US7620949B2 (en) 2004-03-31 2009-11-17 Intel Corporation Method and apparatus for facilitating recognition of an open event window during operation of guest software in a virtual machine environment
US8621242B2 (en) 2004-06-11 2013-12-31 Arm Limited Display of a verification image to confirm security
EP1605330A1 (en) 2004-06-11 2005-12-14 ARM Limited Secure operation indicator
JP2006050504A (ja) * 2004-08-09 2006-02-16 Canon Inc 画像処理装置およびその方法
US7707642B1 (en) * 2004-08-31 2010-04-27 Adobe Systems Incorporated Document access auditing
US7840962B2 (en) 2004-09-30 2010-11-23 Intel Corporation System and method for controlling switching between VMM and VM using enabling value of VMM timer indicator and VMM timer value having a specified time
US8146078B2 (en) 2004-10-29 2012-03-27 Intel Corporation Timer offsetting mechanism in a virtual machine environment
US8924728B2 (en) 2004-11-30 2014-12-30 Intel Corporation Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information
US7457960B2 (en) * 2004-11-30 2008-11-25 Analog Devices, Inc. Programmable processor supporting secure mode
GB2421093A (en) * 2004-12-07 2006-06-14 Symbian Software Ltd Trusted user interface
DE102004062203B4 (de) * 2004-12-23 2007-03-08 Infineon Technologies Ag Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung
US8533777B2 (en) 2004-12-29 2013-09-10 Intel Corporation Mechanism to determine trust of out-of-band management agents
WO2006069428A1 (en) * 2004-12-30 2006-07-06 Bce Inc. System and method for secure access
US7395405B2 (en) 2005-01-28 2008-07-01 Intel Corporation Method and apparatus for supporting address translation in a virtual machine environment
US7917761B2 (en) * 2005-03-21 2011-03-29 Microsoft Corporation Digitally signing an electronic document with a user-entered signature image
EP2194476B1 (en) 2005-03-22 2014-12-03 Hewlett-Packard Development Company, L.P. Method and apparatus for creating a record of a software-verification attestation
FR2888348A1 (fr) * 2005-07-05 2007-01-12 France Telecom Procede et dispositif de dematerialisation permettant de garantir l'integrite d'une image numerique, notamment signee
US7809957B2 (en) 2005-09-29 2010-10-05 Intel Corporation Trusted platform module for generating sealed data
US8112798B2 (en) * 2005-11-09 2012-02-07 Microsoft Corporation Hardware-aided software code measurement
EP1788507A3 (fr) * 2005-11-16 2010-04-07 Ingenico SA Terminal de transaction électronique pouvant fonctionner en mode sécurisé et en mode non sécurisé, ainsi que méthode adaptée au dispositif
FR2898448A1 (fr) * 2006-03-07 2007-09-14 France Telecom Authentification d'un dispositif informatique au niveau utilisateur
US8014530B2 (en) 2006-03-22 2011-09-06 Intel Corporation Method and apparatus for authenticated, recoverable key distribution with no database secrets
US7992203B2 (en) 2006-05-24 2011-08-02 Red Hat, Inc. Methods and systems for secure shared smartcard access
US8180741B2 (en) * 2006-06-06 2012-05-15 Red Hat, Inc. Methods and systems for providing data objects on a token
US8495380B2 (en) 2006-06-06 2013-07-23 Red Hat, Inc. Methods and systems for server-side key generation
US8364952B2 (en) 2006-06-06 2013-01-29 Red Hat, Inc. Methods and system for a key recovery plan
US7822209B2 (en) 2006-06-06 2010-10-26 Red Hat, Inc. Methods and systems for key recovery for a token
US8332637B2 (en) 2006-06-06 2012-12-11 Red Hat, Inc. Methods and systems for nonce generation in a token
US8098829B2 (en) 2006-06-06 2012-01-17 Red Hat, Inc. Methods and systems for secure key delivery
US8099765B2 (en) 2006-06-07 2012-01-17 Red Hat, Inc. Methods and systems for remote password reset using an authentication credential managed by a third party
US8707024B2 (en) 2006-06-07 2014-04-22 Red Hat, Inc. Methods and systems for managing identity management security domains
US8412927B2 (en) 2006-06-07 2013-04-02 Red Hat, Inc. Profile framework for token processing system
US8589695B2 (en) 2006-06-07 2013-11-19 Red Hat, Inc. Methods and systems for entropy collection for server-side key generation
US9769158B2 (en) 2006-06-07 2017-09-19 Red Hat, Inc. Guided enrollment and login for token users
GB0615015D0 (en) 2006-07-28 2006-09-06 Hewlett Packard Development Co Secure use of user secrets on a computing platform
US8806219B2 (en) 2006-08-23 2014-08-12 Red Hat, Inc. Time-based function back-off
US8787566B2 (en) 2006-08-23 2014-07-22 Red Hat, Inc. Strong encryption
US8074265B2 (en) 2006-08-31 2011-12-06 Red Hat, Inc. Methods and systems for verifying a location factor associated with a token
US8327155B2 (en) * 2006-08-31 2012-12-04 The Invention Science Fund I, Llc Screening for masquerading content
US8977844B2 (en) 2006-08-31 2015-03-10 Red Hat, Inc. Smartcard formation with authentication keys
US8640248B2 (en) * 2006-08-31 2014-01-28 The Invention Science Fund I, Llc Handling masquerading elements
US9038154B2 (en) 2006-08-31 2015-05-19 Red Hat, Inc. Token Registration
US8356342B2 (en) 2006-08-31 2013-01-15 Red Hat, Inc. Method and system for issuing a kill sequence for a token
US9747426B2 (en) * 2006-08-31 2017-08-29 Invention Science Fund I, Llc Handling masquerading elements
US8555396B2 (en) * 2006-08-31 2013-10-08 The Invention Science Fund I, Llc Authenticatable displayed content
US7913292B2 (en) 2006-10-18 2011-03-22 Microsoft Corporation Identification and visualization of trusted user interface objects
US8693690B2 (en) 2006-12-04 2014-04-08 Red Hat, Inc. Organizing an extensible table for storing cryptographic objects
US8095977B2 (en) * 2007-01-19 2012-01-10 Microsoft Corporation Secure PIN transmission
US8813243B2 (en) 2007-02-02 2014-08-19 Red Hat, Inc. Reducing a size of a security-related data object stored on a token
US8832453B2 (en) 2007-02-28 2014-09-09 Red Hat, Inc. Token recycling
US8639940B2 (en) 2007-02-28 2014-01-28 Red Hat, Inc. Methods and systems for assigning roles on a token
US8880889B1 (en) * 2007-03-02 2014-11-04 Citigroup Global Markets, Inc. Systems and methods for remote authorization of financial transactions using public key infrastructure (PKI)
US9081948B2 (en) 2007-03-13 2015-07-14 Red Hat, Inc. Configurable smartcard
US7885999B2 (en) * 2007-07-05 2011-02-08 Jesse St Marie Methods and systems for device personalization
US7949999B1 (en) * 2007-08-07 2011-05-24 Amazon Technologies, Inc. Providing support for multiple interface access to software services
TW200929974A (en) 2007-11-19 2009-07-01 Ibm System and method for performing electronic transactions
US8046586B1 (en) * 2007-12-14 2011-10-25 Nvidia Corporation Method and system for determining the compliance of encrypted and non-encrypted display outputs
US8605097B1 (en) 2007-12-14 2013-12-10 Nvidia Corporation Method and system for determining the compliance encrypted and non-encrypted display outputs
US8301894B2 (en) * 2008-01-10 2012-10-30 International Business Machines Corporation Method and apparatus for applying digital signatures to translated content
US9143329B2 (en) * 2008-01-30 2015-09-22 Adobe Systems Incorporated Content integrity and incremental security
US8793786B2 (en) * 2008-02-08 2014-07-29 Microsoft Corporation User indicator signifying a secure mode
GB2459097B (en) * 2008-04-08 2012-03-28 Advanced Risc Mach Ltd A method and apparatus for processing and displaying secure and non-secure data
US7995196B1 (en) 2008-04-23 2011-08-09 Tracer Detection Technology Corp. Authentication method and system
EP2113855A1 (de) 2008-04-28 2009-11-04 Forschungszentrum Karlsruhe GmbH Verfahren zur Verwaltung und Handhabung mehrerer Betriebssysteme in einem Computer oder Computernetzwerk
EP2166483A1 (en) * 2008-09-17 2010-03-24 Tds Todos Data System Ab Method and device for creating a digital signature
WO2010071947A1 (en) * 2008-12-24 2010-07-01 The Commonwealth Of Australia Digital video guard
US8817043B2 (en) * 2009-04-24 2014-08-26 Disney Enterprises, Inc. System and method for selective viewing of a hidden presentation within a displayed presentation
US8890892B2 (en) * 2009-04-24 2014-11-18 Pixar System and method for steganographic image display
US8312272B1 (en) * 2009-06-26 2012-11-13 Symantec Corporation Secure authentication token management
KR101072277B1 (ko) * 2009-08-31 2011-10-11 주식회사 아나스타시스 실시간 데이터 무결성 보장 장치 및 방법과 이를 이용한 블랙박스 시스템
US8490179B2 (en) 2009-10-27 2013-07-16 Hewlett-Packard Development Company, L.P. Computing platform
EP2354994A1 (en) * 2009-12-30 2011-08-10 Gemalto SA Secure signature creation application using a TPM comprising a middleware stack
GB2484717B (en) * 2010-10-21 2018-06-13 Advanced Risc Mach Ltd Security provision for a subject image displayed in a non-secure domain
US20130179768A1 (en) * 2012-01-05 2013-07-11 International Business Machines Corporation Differentiated Information Display For Certified and Uncertified Web Page Versions
US8938780B2 (en) 2012-03-27 2015-01-20 Telefonaktiebolaget L M Ericsson (Publ) Display authentication
US20140067673A1 (en) * 2012-09-05 2014-03-06 Mads Lanrok Trusted user interface and touchscreen
GB2515449A (en) * 2013-03-15 2014-12-31 Wonga Technology Ltd Method and system for User Acceptability
US20140324414A1 (en) * 2013-04-28 2014-10-30 Tencent Technology (Shenzhen) Company Limited Method and apparatus for displaying emoticon
US9811857B2 (en) * 2014-03-27 2017-11-07 Bank Of America Corporation Document calculator
US9786004B2 (en) 2014-03-27 2017-10-10 Bank Of America Corporation Obtaining missing documents from user
DE102014110859A1 (de) * 2014-07-31 2016-02-04 Bundesdruckerei Gmbh Verfahren zur Erzeugung einer digitalen Signatur
FR3026207B1 (fr) * 2014-09-22 2018-08-17 Prove & Run Terminal a affichage securise
FR3026524B1 (fr) 2014-09-25 2016-10-28 Morpho Authentification d'un dispositif electronique securise depuis un dispositif electronique non securise
CN104361302B (zh) * 2014-10-21 2017-10-17 天津三星电子有限公司 一种基于通讯设备的保护隐私信息的方法和通讯设备
US20160203456A1 (en) * 2015-01-09 2016-07-14 Toshiba Global Commerce Solutions Holdings Corporation Point-of-sale apparatus, control method, and system thereof for outputting receipt image for a camera of a personal computing device
EP3104320B1 (fr) * 2015-06-12 2018-08-15 EM Microelectronic-Marin SA Procédé de programmation de données bancaires dans un circuit intégré d'une montre
EP3424194B1 (en) * 2016-03-01 2020-12-02 Qualcomm Incorporated User interface for tee execution of a device
US10129229B1 (en) * 2016-08-15 2018-11-13 Wickr Inc. Peer validation
US10320571B2 (en) * 2016-09-23 2019-06-11 Microsoft Technology Licensing, Llc Techniques for authenticating devices using a trusted platform module device
US20210166227A1 (en) * 2019-11-28 2021-06-03 Qualcomm Incorporated Secure User Interface With Improved User Experience
CN112149132B (zh) * 2020-09-08 2021-06-25 北京工业大学 一种主动免疫的大数据可信计算平台
US11646896B1 (en) 2021-04-15 2023-05-09 National Technology & Engineering Solutions Of Sandia, Llc Systems and methods for verification and authentication of remote sensing imagery
CN113486353B (zh) * 2021-06-24 2023-08-01 邦彦技术股份有限公司 可信度量方法、系统、设备及存储介质
CN113468615B (zh) * 2021-06-24 2023-08-01 邦彦技术股份有限公司 可信度量方法、可信芯片、逻辑控制器及可信度量系统

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB204412A (en) 1922-06-30 1923-10-01 Hugh Snowie Jones Improvements in and relating to locking means for suspender clips for stockings, socks and the like
US5214702A (en) 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5005200A (en) 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5280583A (en) * 1988-05-13 1994-01-18 Hitachi, Ltd. System and method for performing interlocution at a plurality of terminals connected to communication network
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5361359A (en) 1992-08-31 1994-11-01 Trusted Information Systems, Inc. System and method for controlling the use of a computer
KR100326646B1 (ko) 1993-08-27 2002-07-31 제프리 에이. 노리스 폐루프금융거래방법및장치
TW242206B (ja) * 1993-08-27 1995-03-01 At & T Corp
US5572590A (en) 1994-04-12 1996-11-05 International Business Machines Corporation Discrimination of malicious changes to digital information using multiple signatures
US5473692A (en) * 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
ATE305682T1 (de) 1994-07-19 2005-10-15 Certco Llc Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem
EP0715241B1 (en) * 1994-10-27 2004-01-14 Mitsubishi Corporation Apparatus for data copyright management system
US5701343A (en) * 1994-12-01 1997-12-23 Nippon Telegraph & Telephone Corporation Method and system for digital information protection
JPH10510540A (ja) * 1994-12-12 1998-10-13 オメロス メディカル システムズ,インコーポレーテッド 灌注用溶液並びに疼痛、炎症及びけいれんの抑制法
DE69521977T2 (de) 1994-12-13 2002-04-04 Ibm Verfahren und System zur gesicherten Programmenverteilung
US7505945B2 (en) 1995-02-08 2009-03-17 Cryptomathic A/S Electronic negotiable documents
US5619571A (en) 1995-06-01 1997-04-08 Sandstrom; Brent B. Method for securely storing electronic records
JPH09237299A (ja) * 1996-02-29 1997-09-09 Hitachi Ltd 電子財布
US6490049B1 (en) * 1996-04-04 2002-12-03 Lexmark International, Inc. Image forming apparatus with controlled access
US6286102B1 (en) * 1996-04-30 2001-09-04 International Business Machines Corporation Selective wireless disablement for computers passing through a security checkpoint
JP3540511B2 (ja) 1996-06-18 2004-07-07 株式会社東芝 電子署名検証装置
US6121974A (en) * 1996-06-27 2000-09-19 Cirrus Logic, Inc. Priority storage system for fast memory devices
US5903732A (en) 1996-07-03 1999-05-11 Hewlett-Packard Company Trusted gateway agent for web server programs
US5953528A (en) 1996-10-30 1999-09-14 Electronic Data Systems Corporation Knowledge object registration
US5953538A (en) 1996-11-12 1999-09-14 Digital Equipment Corporation Method and apparatus providing DMA transfers between devices coupled to different host bus bridges
US6023765A (en) 1996-12-06 2000-02-08 The United States Of America As Represented By The Secretary Of Commerce Implementation of role-based access control in multi-level secure systems
US5907619A (en) 1996-12-20 1999-05-25 Intel Corporation Secure compressed imaging
US6029245A (en) 1997-03-25 2000-02-22 International Business Machines Corporation Dynamic assignment of security parameters to web pages
US5990912A (en) * 1997-06-27 1999-11-23 S3 Incorporated Virtual address access to tiled surfaces
US6018724A (en) * 1997-06-30 2000-01-25 Sun Micorsystems, Inc. Method and apparatus for authenticating on-line transaction data
US6057862A (en) 1997-07-01 2000-05-02 Memtrax Llc Computer system having a common display memory and main memory
GB9715256D0 (en) 1997-07-21 1997-09-24 Rank Xerox Ltd Token-based docement transactions
US6044158A (en) * 1997-08-01 2000-03-28 Motorola, Inc. Method and apparatus for communicating secure data over a telephone line using a cellular encryption apparatus
EP0926605A1 (en) 1997-11-19 1999-06-30 Hewlett-Packard Company Browser system
US6453416B1 (en) 1997-12-19 2002-09-17 Koninklijke Philips Electronics N.V. Secure proxy signing device and method of use
JP3594782B2 (ja) * 1997-12-25 2004-12-02 富士通株式会社 チャットシステムにおける背景画像表示制御システムおよびそのシステムでの処理をコンピュータに行わせるためのプログラムを記録した記録媒体
US6757826B1 (en) 1998-04-14 2004-06-29 Citicorp Development Center, Inc. Digital graphic signature system
US6092202A (en) * 1998-05-22 2000-07-18 N*Able Technologies, Inc. Method and system for secure transactions in a computer system
US6330670B1 (en) 1998-10-26 2001-12-11 Microsoft Corporation Digital rights management operating system
US6138239A (en) 1998-11-13 2000-10-24 N★Able Technologies, Inc. Method and system for authenticating and utilizing secure resources in a computer system
US6282535B1 (en) 1998-11-13 2001-08-28 Unisys Corporation Digital signaturing method and system for wrapping multiple files into a container for open network transport and for burning onto CD-ROM.
AUPP728398A0 (en) 1998-11-25 1998-12-17 Commonwealth Of Australia, The High assurance digital signatures
US20020059364A1 (en) * 1999-02-08 2002-05-16 Christopher M Coulthard Content certification
GB9905056D0 (en) 1999-03-05 1999-04-28 Hewlett Packard Co Computing apparatus & methods of operating computer apparatus
JP4812168B2 (ja) 1999-02-15 2011-11-09 ヒューレット・パッカード・カンパニー 信用コンピューティング・プラットフォーム
EP1030237A1 (en) 1999-02-15 2000-08-23 Hewlett-Packard Company Trusted hardware device in a computer
EP1159662B2 (en) 1999-03-05 2010-10-06 Hewlett-Packard Company Smartcard user interface for trusted computing platform
US20020012432A1 (en) 1999-03-27 2002-01-31 Microsoft Corporation Secure video card in computing device having digital rights management (DRM) system
US6671805B1 (en) 1999-06-17 2003-12-30 Ilumin Corporation System and method for document-driven processing of digitally-signed electronic documents
US6615166B1 (en) 1999-05-27 2003-09-02 Accenture Llp Prioritizing components of a network framework required for implementation of technology
EP1056014A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company System for providing a trustworthy user interface
US6959382B1 (en) 1999-08-16 2005-10-25 Accela, Inc. Digital signature service
EP1085396A1 (en) 1999-09-17 2001-03-21 Hewlett-Packard Company Operation of trusted state in computing platform
US6606744B1 (en) 1999-11-22 2003-08-12 Accenture, Llp Providing collaborative installation management in a network-based supply chain environment
US7162525B2 (en) 2001-08-07 2007-01-09 Nokia Corporation Method and system for visualizing a level of trust of network communication operations and connection of servers

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004524780A (ja) * 2001-04-25 2004-08-12 テレフォンアクチーボラゲット エル エム エリクソン(パブル) 小型デバイスにおける暗号署名
JP2010206277A (ja) * 2009-02-27 2010-09-16 Nec Corp 通信方法及び通信システム並びにその処理プログラム
JP2015133116A (ja) * 2014-01-13 2015-07-23 モルフォ 端末上で機密データを入力する方法

Also Published As

Publication number Publication date
US7904730B2 (en) 2011-03-08
EP1181645B1 (en) 2011-08-03
EP1056014A1 (en) 2000-11-29
US7302585B1 (en) 2007-11-27
US20080022128A1 (en) 2008-01-24
WO2000073913A1 (en) 2000-12-07
EP1181645A1 (en) 2002-02-27

Similar Documents

Publication Publication Date Title
JP4932108B2 (ja) 文書にデジタル署名するためのシステム
JP2003501723A (ja) 信用できるユーザ・インタフェースを提供するシステム
US7457951B1 (en) Data integrity monitoring in trusted computing entity
JP4860856B2 (ja) コンピュータ装置
EP1224518B1 (en) Trusted computing platform with biometric authentication
JP4746233B2 (ja) データの使用を制限するトラステッドコンピューティングプラットフォーム
US8666065B2 (en) Real-time data encryption
RU2327215C2 (ru) Системы и способы для защиты выходного сигнала видеоплаты
US7222240B2 (en) Token for storing installation software and drivers
CN1808973A (zh) 通用串行总线人机交互类的信息安全设备及其控制方法
JPH1011509A (ja) 電子書類セキュリティシステム、電子押印セキュリティシステムおよび電子署名セキュリティシステム
US7793097B2 (en) Extension of X.509 certificates to simultaneously support multiple cryptographic algorithms
US8584245B2 (en) Identifying a trusted computing entity
US7565543B1 (en) System and method for authenticating a web page
WO2011080273A1 (en) Secure signature creation application using a tpm comprising a middleware stack
Balacheff et al. A trusted process to digitally sign a document
JP2002236868A (ja) 電子印鑑システム及び電子印鑑プログラムを記録した記録媒体
WO2022017103A1 (zh) 一种动态加载加密引擎的方法
CN117751551A (zh) 用于安全互联网通信的系统和方法
JP2004515098A (ja) 認証方法と認証装置
Liu et al. Visually sealed and digitally signed documents
CN115151906A (zh) 利用总线加密来保护设备分离
Elfadil et al. Graphical handwritten and digital signature Integration for secure PKI
JP2000047748A (ja) Icカードシステム
JP2002244551A (ja) 公開鍵送付元証明デバイス、公開鍵送付元証明方法、公開鍵送付元証明プログラム及びコンピュータ読み取り可能な記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070423

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20090519