JP2003501723A - 信用できるユーザ・インタフェースを提供するシステム - Google Patents
信用できるユーザ・インタフェースを提供するシステムInfo
- Publication number
- JP2003501723A JP2003501723A JP2001500963A JP2001500963A JP2003501723A JP 2003501723 A JP2003501723 A JP 2003501723A JP 2001500963 A JP2001500963 A JP 2001500963A JP 2001500963 A JP2001500963 A JP 2001500963A JP 2003501723 A JP2003501723 A JP 2003501723A
- Authority
- JP
- Japan
- Prior art keywords
- trusted
- data
- image
- processing system
- data processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/84—Protecting input, output or interconnection devices output devices, e.g. displays or monitors
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C5/00—Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/009—Trust
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
本発明は、信用できる動作モードで動作することができるデータ処理システムを提供し、このデータ処理システムは、少なくとも1つのアプリケーション・プロセスを実行する主処理手段と、信用できるプロセスを信用できる動作モードで実行する手段およびユーザ・フィードバック信号を生成する手段を含む信用できるコンポーネントとを備える。さらにこのシステムは、少なくとも1つのユーザ・フィードバック装置と、前記ユーザ・フィードバック信号を受け取り、その信号に基づいてユーザ・フィードバック装置を制御するユーザ・フィードバック処理手段とを含み、信用できるコンポーネントが、ユーザ・フィードバック処理手段を制御して、ユーザ・フィードバック装置に、データ処理システムが信用できる動作モードで動作しているという指示を提供させる手段を含む。
Description
【0001】
本発明は、システムにおけるユーザ・インタフェースを提供するための装置お
よび方法に関し、より具体的にはシステムが信頼できる方式で動作しているとい
う高度の信頼をユーザに提供するユーザ・インタフェースに関する。
よび方法に関し、より具体的にはシステムが信頼できる方式で動作しているとい
う高度の信頼をユーザに提供するユーザ・インタフェースに関する。
【0002】
従来技術の量販市場のコンピューティング・プラットフォームは、Apple
Macintosh(商標)や、普及している既知のパームトップ型およびラッ
プトップ型パーソナル・コンピュータなどの周知のパーソナル・コンピュータ(
PC)およびその競合製品を含む。一般に、そのような装置の市場は、2つのカ
テゴリに分かれ、そのカテゴリは、家庭または民生ならびに企業である。家庭ま
たは民生用のコンピューティング・プラットフォームの一般的な要件は、比較的
高い処理能力、インターネット・アクセス機能、およびコンピュータ・ゲームを
処理するマルチメディア機能である。この種のコンピューティング・プラットフ
ォームの場合、Microsoft Windows(商標)95および98オ
ペレーティング・システム製品とIntelプロセッサのいわゆるWinTel
プラットフォームが市場で優位である。
Macintosh(商標)や、普及している既知のパームトップ型およびラッ
プトップ型パーソナル・コンピュータなどの周知のパーソナル・コンピュータ(
PC)およびその競合製品を含む。一般に、そのような装置の市場は、2つのカ
テゴリに分かれ、そのカテゴリは、家庭または民生ならびに企業である。家庭ま
たは民生用のコンピューティング・プラットフォームの一般的な要件は、比較的
高い処理能力、インターネット・アクセス機能、およびコンピュータ・ゲームを
処理するマルチメディア機能である。この種のコンピューティング・プラットフ
ォームの場合、Microsoft Windows(商標)95および98オ
ペレーティング・システム製品とIntelプロセッサのいわゆるWinTel
プラットフォームが市場で優位である。
【0003】
一方、事業用には、小規模事業から多国籍企業に及ぶ組織向けのきわめて多く
の独自のコンピュータ・プラットフォーム・ソリューションが入手可能である。
そのような用途の多くにおいて、サーバ・プラットフォームは、複数のクライア
ント・ステーションのための集中データ記憶機構とアプリケーション機能を提供
する。事業用の場合、他の重要な基準は、信頼性、リモート・アクセス、ネット
ワーキン機能およびセキュリティ機能である。そのようなプラットフォームの場
合、Microsoft WindowsNT4.0(商標)オペレーティング
・システム、ならびにUNIX(登録商標)、より最近ではLinuxオペレー ティング・システムが一般的である。
の独自のコンピュータ・プラットフォーム・ソリューションが入手可能である。
そのような用途の多くにおいて、サーバ・プラットフォームは、複数のクライア
ント・ステーションのための集中データ記憶機構とアプリケーション機能を提供
する。事業用の場合、他の重要な基準は、信頼性、リモート・アクセス、ネット
ワーキン機能およびセキュリティ機能である。そのようなプラットフォームの場
合、Microsoft WindowsNT4.0(商標)オペレーティング
・システム、ならびにUNIX(登録商標)、より最近ではLinuxオペレー ティング・システムが一般的である。
【0004】
Windows型オペレーティング・システムは、ユーザが、別々のウィンド
ウで別々のアプリケーションを実行することを可能にし、いわゆるWIMP(ウ
ィンドウ、アイコン、メニューおよびポインタ)インタフェースを提供し、それ
により、ユーザは、一般に、データを入力するキーボードとオプションを選択す
るマウスとを使用してアプリケーションと対話し、ダイアログボックスとドロッ
プダウン(またはプルアップ)メニューによってアプリケーションを制御する。
ウで別々のアプリケーションを実行することを可能にし、いわゆるWIMP(ウ
ィンドウ、アイコン、メニューおよびポインタ)インタフェースを提供し、それ
により、ユーザは、一般に、データを入力するキーボードとオプションを選択す
るマウスとを使用してアプリケーションと対話し、ダイアログボックスとドロッ
プダウン(またはプルアップ)メニューによってアプリケーションを制御する。
【0005】
「電子商取引」として知られるインターネット上で行われる商業行為の増大に
より、従来技術において、インターネットを介したコンピューティング・プラッ
トフォーム間のデータ・トランザクションを可能にすることに関心が高まった。
詳細には、現在標準的な手で署名した紙の契約書を必要とせずに、ユーザがイン
ターネット上で拘束力のある契約を結ぶことができることが重要であることが知
られている。しかしながら、電子データの詐欺および細工の可能性のために、そ
のような提案において、完全にトランスペアレントでかつ効率的な市場に必要な
広範囲の遠い未知の人との完全に自動化した取引は控えられていた。根本的な問
題は、ユーザとそのコンピュータ・プラットフォーム間と、そのような取引を行
うために対話しているコンピュータ・プラットフォーム間の信用の問題である。
より、従来技術において、インターネットを介したコンピューティング・プラッ
トフォーム間のデータ・トランザクションを可能にすることに関心が高まった。
詳細には、現在標準的な手で署名した紙の契約書を必要とせずに、ユーザがイン
ターネット上で拘束力のある契約を結ぶことができることが重要であることが知
られている。しかしながら、電子データの詐欺および細工の可能性のために、そ
のような提案において、完全にトランスペアレントでかつ効率的な市場に必要な
広範囲の遠い未知の人との完全に自動化した取引は控えられていた。根本的な問
題は、ユーザとそのコンピュータ・プラットフォーム間と、そのような取引を行
うために対話しているコンピュータ・プラットフォーム間の信用の問題である。
【0006】
コンピュータ・プラットフォームのセキュリティと信頼性を高めるための従来
技術の手法はいくつかあった。それらは、主に、アプリケーション・レベルにお
けるセキュリティ機能の追加に依存し、すなわち、セキュリティ機能は、オペレ
ーティング・システムのカーネルに本質的に埋め込まれておらず、コンピューテ
ィング・プラットフォームの基本ハードウェアコンポーネントに組み込まれてい
ない。市場には、ユーザに固有のデータを含み、コンピュータのスマートカード
・リーダに挿入されるスマートカードを含むポータブル・コンピュータ装置が既
に現れている。現在、そのようなスマートカードは、従来のパーソナル・コンピ
ュータへの追加機構であるレベルにあり、場合によっては既知のコンピュータの
ケーシング内に一体化されることもある。そのような従来技術の手法は、コンピ
ュータ・プラットフォームのセキュリティを高めることができるが、従来技術の
手法で得られたセキュリティと信頼性のレベルは、コンピュータ・プラットフォ
ーム間に広範囲に自動化した取引を適用できるようにするには不十分だと考える
ことができる。事業によって広範囲の電子商取引で大きな額の取引を行う前に、
基礎技術の信頼性において大きな信用を必要とする。
技術の手法はいくつかあった。それらは、主に、アプリケーション・レベルにお
けるセキュリティ機能の追加に依存し、すなわち、セキュリティ機能は、オペレ
ーティング・システムのカーネルに本質的に埋め込まれておらず、コンピューテ
ィング・プラットフォームの基本ハードウェアコンポーネントに組み込まれてい
ない。市場には、ユーザに固有のデータを含み、コンピュータのスマートカード
・リーダに挿入されるスマートカードを含むポータブル・コンピュータ装置が既
に現れている。現在、そのようなスマートカードは、従来のパーソナル・コンピ
ュータへの追加機構であるレベルにあり、場合によっては既知のコンピュータの
ケーシング内に一体化されることもある。そのような従来技術の手法は、コンピ
ュータ・プラットフォームのセキュリティを高めることができるが、従来技術の
手法で得られたセキュリティと信頼性のレベルは、コンピュータ・プラットフォ
ーム間に広範囲に自動化した取引を適用できるようにするには不十分だと考える
ことができる。事業によって広範囲の電子商取引で大きな額の取引を行う前に、
基礎技術の信頼性において大きな信用を必要とする。
【0007】
本出願人の係属中の国際特許出願である2000年2月15日に出願された「
Trusted Computing Platform」と題するPCT/G
B 00/00528と、2000年3月3日に出願された「Smartcar
d User Interface for Trusted Computi
ng Platform」と題するPCT/GB 00/00752は、これら
の内容全体が、参照により本明細書に組み込まれ、内蔵ハードウェアコンポーネ
ントの形の「信用できるコンポーネント」を有するコンピューティング・プラッ
トフォームを含む「信用できるコンピューティング・プラットフォーム」の概念
を開示している。そのような信用できるコンポーネントをそれぞれ備えた2つの
コンピューティング・エンティティは、高い「信用」で互いに対話することがで
きる。すなわち、第1と第2のコンピューティング・エンティティが互いに対話
する場合、その対話のセキュリティは、次のような理由で、信用できるコンポー
ネントがない場合よりも強化される。 ・コンピューティング・エンティティのユーザが、そのユーザ自身のコンピュ
ータ・エンティティの完全性およびセキュリティならびに他のユーザが所有する
コンピュータ・エンティティの完全性およびセキュリティにおいてより高い信頼
を有する。 ・各エンティティが、他のエンティティが実際に目的のエンティティであるこ
とを確信している。 ・エンティティの一方または両方が、相手をトランザクションたとえばデータ
転送トランザクションに表す場合、組み込まれている信用できるコンポーネント
のために、そのエンティティと対話する第3者のエンティティは、エンティティ
が実際にそのような相手を表しているという高い確信を持つ。 ・信用できるコンポーネントは、信用できるコンポーネントによって実施され
る検証および監視プロセスによってエンティティ自体の固有セキュリティを高め
る。 ・コンピュータ・エンティティは、その挙動の予想通りに挙動する可能性が高
い。
Trusted Computing Platform」と題するPCT/G
B 00/00528と、2000年3月3日に出願された「Smartcar
d User Interface for Trusted Computi
ng Platform」と題するPCT/GB 00/00752は、これら
の内容全体が、参照により本明細書に組み込まれ、内蔵ハードウェアコンポーネ
ントの形の「信用できるコンポーネント」を有するコンピューティング・プラッ
トフォームを含む「信用できるコンピューティング・プラットフォーム」の概念
を開示している。そのような信用できるコンポーネントをそれぞれ備えた2つの
コンピューティング・エンティティは、高い「信用」で互いに対話することがで
きる。すなわち、第1と第2のコンピューティング・エンティティが互いに対話
する場合、その対話のセキュリティは、次のような理由で、信用できるコンポー
ネントがない場合よりも強化される。 ・コンピューティング・エンティティのユーザが、そのユーザ自身のコンピュ
ータ・エンティティの完全性およびセキュリティならびに他のユーザが所有する
コンピュータ・エンティティの完全性およびセキュリティにおいてより高い信頼
を有する。 ・各エンティティが、他のエンティティが実際に目的のエンティティであるこ
とを確信している。 ・エンティティの一方または両方が、相手をトランザクションたとえばデータ
転送トランザクションに表す場合、組み込まれている信用できるコンポーネント
のために、そのエンティティと対話する第3者のエンティティは、エンティティ
が実際にそのような相手を表しているという高い確信を持つ。 ・信用できるコンポーネントは、信用できるコンポーネントによって実施され
る検証および監視プロセスによってエンティティ自体の固有セキュリティを高め
る。 ・コンピュータ・エンティティは、その挙動の予想通りに挙動する可能性が高
い。
【0008】
係属中の米国出願に記載されているような信用できるコンポーネントの概念は
、コンピュータ・プラットフォームにおける十分な信頼をユーザに提供するのに
長い時間がかかるが、ユーザが自分の装置にさらに高い信用を必要とするとき、
たとえば文書のディジタル署名やプラットフォームからリモート・プラットフォ
ームへの資金転送などの電子取引の際にはさらに時間がかかる。
、コンピュータ・プラットフォームにおける十分な信頼をユーザに提供するのに
長い時間がかかるが、ユーザが自分の装置にさらに高い信用を必要とするとき、
たとえば文書のディジタル署名やプラットフォームからリモート・プラットフォ
ームへの資金転送などの電子取引の際にはさらに時間がかかる。
【0009】
前に示したように、文書に署名する従来の方法は、文書の画像が再現された媒
体(通常は紙)に物理的に署名を書き込むことである。この方法は、何に署名す
るかがはっきりしており、署名した画像が、署名したものの証拠になるという利
点を有する。しかしながら、これは、電子商取引の必要性を満たさない。
体(通常は紙)に物理的に署名を書き込むことである。この方法は、何に署名す
るかがはっきりしており、署名した画像が、署名したものの証拠になるという利
点を有する。しかしながら、これは、電子商取引の必要性を満たさない。
【0010】
最近は、従来のコンピュータ・プラットフォームと標準の暗号技術を使用して
、文書にディジタル的に署名することもできる。しかしながら、本発明者は、従
来のコンピュータ・プラットフォームでは、ディジタル署名された文書の電子的
解釈が、一般に、ユーザが目に見える文書と同じ解釈ではないことを見いだした
。したがって、ユーザは、署名するつもりだったものと違うデータに間違って署
名する可能性がある。これと反対に、ユーザは、データに作為的に署名し、後で
その署名データが、コンピュータ・プラットフォームによって表示されたものと
一致していないという詐欺として主張する可能性もある。そのような問題は、前
述のような信用プラットフォームを使用している場合でも存在する。
、文書にディジタル的に署名することもできる。しかしながら、本発明者は、従
来のコンピュータ・プラットフォームでは、ディジタル署名された文書の電子的
解釈が、一般に、ユーザが目に見える文書と同じ解釈ではないことを見いだした
。したがって、ユーザは、署名するつもりだったものと違うデータに間違って署
名する可能性がある。これと反対に、ユーザは、データに作為的に署名し、後で
その署名データが、コンピュータ・プラットフォームによって表示されたものと
一致していないという詐欺として主張する可能性もある。そのような問題は、前
述のような信用プラットフォームを使用している場合でも存在する。
【0011】
従来の電子署名方法は、当業者に周知である。本質的に、ディジタル・データ
は、たとえばハッシュ機能を使用してダイジェストに圧縮される。次に、そのダ
イジェストは、秘密キー(または、単に「秘密」)で初期設定された何らかの暗
号方法を使用して暗号化される。これは、通常、PCなどのコンピュータ・プラ
ットフォーム上で行われる。1つの実施態様は、コンピュータ・プラットフォー
ムに取り付けられたスマートカード・リーダに差し込まれるユーザのスマートカ
ード上に秘密に保持された暗号キーを使用してデータに署名することである。テ
キスト文書の特定の事例において、ディジタル・データは、Microsoft
Notepad、Wordpad、Wordなどのワードプロセッサ・アプリケ
ーションによって生成されたファイルでよい。通常、署名行為は、署名者が、署
名したデータの意味の法的責任を受諾することを意味する。
は、たとえばハッシュ機能を使用してダイジェストに圧縮される。次に、そのダ
イジェストは、秘密キー(または、単に「秘密」)で初期設定された何らかの暗
号方法を使用して暗号化される。これは、通常、PCなどのコンピュータ・プラ
ットフォーム上で行われる。1つの実施態様は、コンピュータ・プラットフォー
ムに取り付けられたスマートカード・リーダに差し込まれるユーザのスマートカ
ード上に秘密に保持された暗号キーを使用してデータに署名することである。テ
キスト文書の特定の事例において、ディジタル・データは、Microsoft
Notepad、Wordpad、Wordなどのワードプロセッサ・アプリケ
ーションによって生成されたファイルでよい。通常、署名行為は、署名者が、署
名したデータの意味の法的責任を受諾することを意味する。
【0012】
ハッシュ機能は、従来技術において周知であり、比較的多量の入力データから
比較的少ない出力データを生成することができる一方向機能を含み、入力データ
の小さい変化は、出力データでは大きな変化になる。したがって、ハッシュ機能
が適用されたデータ・ファイルは、第1のダイジェスト・データになる(ハッシ
ュ機能の出力)。修正されたデータ・ファイルにハッシュ機能が再び適用された
とき、小さい変化たとえば元のデータ・ファイルにおける1ビットのデータが、
出力を大きく変化させる。このように、数メガバイトのデータを含むデータ・フ
ァイルが、ハッシュ機能に入力され、生成ダイジェスト・データとして約128
〜160ビット長のディジタル出力が生じることがある。予約ディレクトリに記
憶されたデータ・ファイルから比較的少量のダイジェスト・データを生成するこ
とは、信用できるコンポーネントで必要とするメモリ容量と処理能力が少なくな
るため有利である。
比較的少ない出力データを生成することができる一方向機能を含み、入力データ
の小さい変化は、出力データでは大きな変化になる。したがって、ハッシュ機能
が適用されたデータ・ファイルは、第1のダイジェスト・データになる(ハッシ
ュ機能の出力)。修正されたデータ・ファイルにハッシュ機能が再び適用された
とき、小さい変化たとえば元のデータ・ファイルにおける1ビットのデータが、
出力を大きく変化させる。このように、数メガバイトのデータを含むデータ・フ
ァイルが、ハッシュ機能に入力され、生成ダイジェスト・データとして約128
〜160ビット長のディジタル出力が生じることがある。予約ディレクトリに記
憶されたデータ・ファイルから比較的少量のダイジェスト・データを生成するこ
とは、信用できるコンポーネントで必要とするメモリ容量と処理能力が少なくな
るため有利である。
【0013】
既知の署名プロセスにおいて、ユーザは、一般に、文書を、その文書がコンピ
ュータ・モニタ上で正規の倍率と解像度で描画されていると解釈する。既存の用
途において、ユーザのスマートカードは、文書を作成しかつ/または処理するた
めに使用されるアプリケーションによる文書の表現であるフォーマットにおいて
データに署名する。しかしながら、この発明の発明者は、画面を見ているときに
ユーザが理解するものと違う意味を有するデータを、ソフトウェアがスマートカ
ードに送ることがあると考える。この可能性は、人々が解釈すべき文書の電子的
表現にディジタル署名する従来方法の有効性に疑問を投げかけるのに十分である
。
ュータ・モニタ上で正規の倍率と解像度で描画されていると解釈する。既存の用
途において、ユーザのスマートカードは、文書を作成しかつ/または処理するた
めに使用されるアプリケーションによる文書の表現であるフォーマットにおいて
データに署名する。しかしながら、この発明の発明者は、画面を見ているときに
ユーザが理解するものと違う意味を有するデータを、ソフトウェアがスマートカ
ードに送ることがあると考える。この可能性は、人々が解釈すべき文書の電子的
表現にディジタル署名する従来方法の有効性に疑問を投げかけるのに十分である
。
【0014】
本発明は、信用できるユーザ・インタフェースを提供することによって、信用
できる動作している間に、より大きい信用をユーザに提供することを目的とする
。
できる動作している間に、より大きい信用をユーザに提供することを目的とする
。
【0015】
第1の態様によれば、本発明は、信用できる動作モードで動作することができ
るデータ処理システムを提供し、このデータ処理システムは、少なくとも1つの
アプリケーション・プロセスを実行する主処理手段と、信用できるプロセスを信
用できる動作モードで実行する手段およびユーザ・フィードバック信号を生成す
る手段を含む信用できるコンポーネントと、を備える。さらにこのシステムは、
少なくとも1つのユーザ・フィードバック装置と、前記ユーザ・フィードバック
信号を受け取り、その信号に基づいてユーザ・フィードバック装置を制御するユ
ーザ・フィードバック処理手段とを含み、信用できるコンポーネントが、ユーザ
・フィードバック処理手段を制御して、ユーザ・フィードバック装置に、データ
処理システムが信用できる動作モードで動作しているという指示を提供させる手
段を含む。
るデータ処理システムを提供し、このデータ処理システムは、少なくとも1つの
アプリケーション・プロセスを実行する主処理手段と、信用できるプロセスを信
用できる動作モードで実行する手段およびユーザ・フィードバック信号を生成す
る手段を含む信用できるコンポーネントと、を備える。さらにこのシステムは、
少なくとも1つのユーザ・フィードバック装置と、前記ユーザ・フィードバック
信号を受け取り、その信号に基づいてユーザ・フィードバック装置を制御するユ
ーザ・フィードバック処理手段とを含み、信用できるコンポーネントが、ユーザ
・フィードバック処理手段を制御して、ユーザ・フィードバック装置に、データ
処理システムが信用できる動作モードで動作しているという指示を提供させる手
段を含む。
【0016】
好ましい実施形態において、データ処理システムは、安全な(セキュア)通信
経路を介して信用できるコンポーネントと通信する安全なユーザ入力手段を含み
、それにより、ユーザは、信用できるプロセスとセキュアに対話することができ
る。
経路を介して信用できるコンポーネントと通信する安全なユーザ入力手段を含み
、それにより、ユーザは、信用できるプロセスとセキュアに対話することができ
る。
【0017】
データ処理システムの好ましい実施形態において、主処理手段が、少なくとも
1つのアプリケーション・プロセスを実行しかつ表示される主画像を特徴づける
信号を生成する手段を含む。また、ユーザ・フィードバック処理手段が、前記信
号を受け取りかつ主画像を表示する視覚的表示装置を駆動するためのそれぞれの
表示信号を生成する表示処理手段を含みむ。データ処理システムが信用できる動
作モードで動作していることをユーザに示すために、信用できるコンポーネント
が、信用できる画像データを取得しかつ/または生成する手段と、表示処理手段
を制御してそれぞれの信用できる画像を主画像の少なくとも一部分と組み合わせ
る手段とを含む。
1つのアプリケーション・プロセスを実行しかつ表示される主画像を特徴づける
信号を生成する手段を含む。また、ユーザ・フィードバック処理手段が、前記信
号を受け取りかつ主画像を表示する視覚的表示装置を駆動するためのそれぞれの
表示信号を生成する表示処理手段を含みむ。データ処理システムが信用できる動
作モードで動作していることをユーザに示すために、信用できるコンポーネント
が、信用できる画像データを取得しかつ/または生成する手段と、表示処理手段
を制御してそれぞれの信用できる画像を主画像の少なくとも一部分と組み合わせ
る手段とを含む。
【0018】
好ましい実施形態において、データ処理システムは、さらに、取外し可能な安
全なトークンからデータを読み取りかつ/またはそれにデータを書き込む安全な
トークン・リーダと、信用できる画像を特徴づけるデータを含む取外し可能な安
全なトークンとを含み、信用できるコンポーネントが、安全なトークンから前記
データを受け取る手段を含む。
全なトークンからデータを読み取りかつ/またはそれにデータを書き込む安全な
トークン・リーダと、信用できる画像を特徴づけるデータを含む取外し可能な安
全なトークンとを含み、信用できるコンポーネントが、安全なトークンから前記
データを受け取る手段を含む。
【0019】
本発明の他の態様および実施形態は、以下の説明、特許請求の範囲および図面
から明らになるであろう。
から明らになるであろう。
【0020】
次に、添付図面を参照して、本発明の実施形態を詳細に説明する。
【0021】
好ましい実施形態は、本出願人の係属中の欧州特許出願第99301100.
6号に記載された「信用できるコンポーネント」の特徴のいくつかを最も都合よ
く使用する信用できるコンポーネントを利用する。この出願において、信用でき
るコンポーネントは、そのホスト・コンピュータの保全性距離(integrity metri
c)を測定し、それを保全性距離の真の値と比較し、ホスト・コンピュータの保全
性(またはそうでないもの)をユーザまたは他のホスト・コンピュータと通信す
るようにプログラムされたプロセッサを含むハードウェア装置である。その信用
できるコンポーネントと、本明細書における好ましい実施形態における信用でき
るコンポーネントとの大きな類似点は、次の通りである。 これらの信用できるコンポーネントは両方とも、暗号プロセスを使用するが、
そのような暗号プロセスに外部インタフェースを提供しないことが好ましい。 これらの信用できるコンポーネントは両方とも、改変防止機能または改変検出
機能を有し、したがって、少なくとも合法ユーザの知識なしにその操作を覆すこ
とはできない。 これらの信用できるコンポーネントは両方とも、それが常駐するホスト・コン
ピュータと物理的かつ機能的に独立した1つの物理ハードウェアコンポーネント
からなることが好ましい。
6号に記載された「信用できるコンポーネント」の特徴のいくつかを最も都合よ
く使用する信用できるコンポーネントを利用する。この出願において、信用でき
るコンポーネントは、そのホスト・コンピュータの保全性距離(integrity metri
c)を測定し、それを保全性距離の真の値と比較し、ホスト・コンピュータの保全
性(またはそうでないもの)をユーザまたは他のホスト・コンピュータと通信す
るようにプログラムされたプロセッサを含むハードウェア装置である。その信用
できるコンポーネントと、本明細書における好ましい実施形態における信用でき
るコンポーネントとの大きな類似点は、次の通りである。 これらの信用できるコンポーネントは両方とも、暗号プロセスを使用するが、
そのような暗号プロセスに外部インタフェースを提供しないことが好ましい。 これらの信用できるコンポーネントは両方とも、改変防止機能または改変検出
機能を有し、したがって、少なくとも合法ユーザの知識なしにその操作を覆すこ
とはできない。 これらの信用できるコンポーネントは両方とも、それが常駐するホスト・コン
ピュータと物理的かつ機能的に独立した1つの物理ハードウェアコンポーネント
からなることが好ましい。
【0022】
そのような独立性は、自分自身の処理機能とメモリを有する信用できるコンポ
ーネントによって達成される。
ーネントによって達成される。
【0023】
改変耐性(tamper-resistance)に関する技術は、セキュリティ分野の業者には
周知である。そのような技術は、改変に耐える方法(信用装置の適切なカプセル
化など)、改変を検出する方法(仕様電圧からの逸脱、X線、信用装置ケーシン
グにおける物理的完全性の損失の検出など)、改変を検出したときにデータを削
除する方法を含む。適切な技術のさらに他の考察は、http://www.c
l.cam.ac.uk/〜mgk25/tamper.htmlに見ることが
できる。改変耐久性をもつことが、本発明の最も望ましい機能であるが、これは
、本発明の通常動作に入らず、ここでの説明の範囲を超えることを理解されたい
。
周知である。そのような技術は、改変に耐える方法(信用装置の適切なカプセル
化など)、改変を検出する方法(仕様電圧からの逸脱、X線、信用装置ケーシン
グにおける物理的完全性の損失の検出など)、改変を検出したときにデータを削
除する方法を含む。適切な技術のさらに他の考察は、http://www.c
l.cam.ac.uk/〜mgk25/tamper.htmlに見ることが
できる。改変耐久性をもつことが、本発明の最も望ましい機能であるが、これは
、本発明の通常動作に入らず、ここでの説明の範囲を超えることを理解されたい
。
【0024】
この説明においいて、「信用」という用語は、物理的または論理的なコンポー
ネント、動作またはプロセスと関連して使用されるとき、その挙動が、実質的に
任意の動作条件下で予測可能であり、破壊的アプリケーション・ソフト、ウィル
ス、物理的妨害などの外部因子よる干渉または破壊にきわめて耐えることを意味
する。
ネント、動作またはプロセスと関連して使用されるとき、その挙動が、実質的に
任意の動作条件下で予測可能であり、破壊的アプリケーション・ソフト、ウィル
ス、物理的妨害などの外部因子よる干渉または破壊にきわめて耐えることを意味
する。
【0025】
本明細書で使用される「ホスト・コンピュータ」という用語は、少なくとも1
つのデータ・プロセッサ、少なくとも1つの形のデータ記憶機構、および周辺装
置、ユーザ・コンピュータ、他のコンピュータなどの外部エンティティとローカ
ルまたはインターネットを介して対話する何らかの形の通信機能を有するデータ
処理装置を指す。「ホスト・コンピュータ・システム」という用語は、ホスト・
コンピュータ自体の他に、キーボード、マウス、VDUなど、ホスト・コンピュ
ータに接続する標準の外部装置を含む。
つのデータ・プロセッサ、少なくとも1つの形のデータ記憶機構、および周辺装
置、ユーザ・コンピュータ、他のコンピュータなどの外部エンティティとローカ
ルまたはインターネットを介して対話する何らかの形の通信機能を有するデータ
処理装置を指す。「ホスト・コンピュータ・システム」という用語は、ホスト・
コンピュータ自体の他に、キーボード、マウス、VDUなど、ホスト・コンピュ
ータに接続する標準の外部装置を含む。
【0026】
本明細書で使用される「文書」という用語は、ホスト・コンピュータ・システ
ムを使用して視覚化することができる任意の一組のデータを含む。一般に、文書
は、契約書などのテキスト文書になる。しかしながら、テキストの代わりに、あ
るいはその他に、図形や絵を含むことができる。一般に、文書は、単一ページま
たは複数ページを含むことができる。
ムを使用して視覚化することができる任意の一組のデータを含む。一般に、文書
は、契約書などのテキスト文書になる。しかしながら、テキストの代わりに、あ
るいはその他に、図形や絵を含むことができる。一般に、文書は、単一ページま
たは複数ページを含むことができる。
【0027】
本明細書で使用される「ピクスマップ」という用語は、単色またはカラー(ま
たはグレースケール)の画像を定義するデータを含むように広義に使用される。
「ビットマップ」という用語は、白黒画像とだけ関連付けられることがあるが、
たとえばシングル・ビットは、画素が「オン」か「オフ」かにより1か0に設定
され、「ピクスマップ」は、白黒画像とカラー画像の両方に対応するより一般的
な用語であり、カラー画像は、単一画素の色相、彩度および濃さを定義するため
に最低24またはそれ以上のビットを必要とすることがある。
たはグレースケール)の画像を定義するデータを含むように広義に使用される。
「ビットマップ」という用語は、白黒画像とだけ関連付けられることがあるが、
たとえばシングル・ビットは、画素が「オン」か「オフ」かにより1か0に設定
され、「ピクスマップ」は、白黒画像とカラー画像の両方に対応するより一般的
な用語であり、カラー画像は、単一画素の色相、彩度および濃さを定義するため
に最低24またはそれ以上のビットを必要とすることがある。
【0028】
後で明らなかになるように、本明細書の好ましい実施形態による信用できるコ
ンポーネントは、安全なユーザ・インタフェースを提供し、詳細には、そのホス
ト・コンピュータの表示機能のうちの少なくとも一部を制御する。また、本明細
書における信用できるコンポーネントは、本出願人による係属中の特許出願にお
ける信用できるコンポーネントによる保全性距離を取得してもしなくてもよいが
、そのような保全性距離の取得については、本明細書では検討しない。
ンポーネントは、安全なユーザ・インタフェースを提供し、詳細には、そのホス
ト・コンピュータの表示機能のうちの少なくとも一部を制御する。また、本明細
書における信用できるコンポーネントは、本出願人による係属中の特許出願にお
ける信用できるコンポーネントによる保全性距離を取得してもしなくてもよいが
、そのような保全性距離の取得については、本明細書では検討しない。
【0029】
本質的には、好ましい実施形態により、ユーザは、ユーザのスマートカードの
秘密鍵や、暗号コプロセッサなどの他の形の安全なトークンを使用して、ホスト
・コンピュータに記憶された文書に署名することができる。署名は、画面に表示
されている文書が実際にスマートカードが署名しようとしている文書であるとい
う高い信頼をユーザに提供するという条件で、ホスト・コンピュータの信用でき
る表示プロセッサ(すなわち、信用できるコンポーネント)によって実施される
。詳細には、スマートカードは、信用できる画像データ、すなわち署名手順の間
に安全なチャネルを介してホスト・コンピュータに渡され信用できるコンポーネ
ントによって表示される「シール」を保持する。これは、部分的に、一般にユー
ザに固有でありかつ信用できるコンポーネントが署名操作を制御しているという
信頼をユーザに提供する信用できる画像の表示である。さらに、好ましい実施形
態において、ホスト・コンピュータは、信用できる表示プロセッサに直接接続さ
れた信用できる入力装置を提供し、それにより、ユーザは、ホスト・コンピュー
タの他の機能が覆すことができない方法でホスト・コンピュータと対話すること
ができる。
秘密鍵や、暗号コプロセッサなどの他の形の安全なトークンを使用して、ホスト
・コンピュータに記憶された文書に署名することができる。署名は、画面に表示
されている文書が実際にスマートカードが署名しようとしている文書であるとい
う高い信頼をユーザに提供するという条件で、ホスト・コンピュータの信用でき
る表示プロセッサ(すなわち、信用できるコンポーネント)によって実施される
。詳細には、スマートカードは、信用できる画像データ、すなわち署名手順の間
に安全なチャネルを介してホスト・コンピュータに渡され信用できるコンポーネ
ントによって表示される「シール」を保持する。これは、部分的に、一般にユー
ザに固有でありかつ信用できるコンポーネントが署名操作を制御しているという
信頼をユーザに提供する信用できる画像の表示である。さらに、好ましい実施形
態において、ホスト・コンピュータは、信用できる表示プロセッサに直接接続さ
れた信用できる入力装置を提供し、それにより、ユーザは、ホスト・コンピュー
タの他の機能が覆すことができない方法でホスト・コンピュータと対話すること
ができる。
【0030】
より詳細には、類似の特性を有する信用できる表示プロセッサまたは装置は、
標準のホスト・コンピュータ・ソフトウェアがデータを処理することができるポ
イントを越えたビデオ処理におけるある段階でビデオ・データと関連付けられる
。これにより、信用できる表示プロセッサは、ホスト・コンピュータ・ソフトウ
ェアによる干渉または破壊なしに表示面にデータを表示することができる。こう
して、信用できる表示プロセッサは、ユーザに現在表示されているのが何の画像
かを確信することができる。これは、ユーザが署名している画像(ピクスマップ
)を明確に識別するために使用される。これの副次的効果は、信用できる表示プ
ロセッサが、表示面に、たとえば先行特許出願の保全性距離やユーザ状況メッセ
ージまたはプロンプトを含むデータをどれも高い信頼性で表示できることである
。
標準のホスト・コンピュータ・ソフトウェアがデータを処理することができるポ
イントを越えたビデオ処理におけるある段階でビデオ・データと関連付けられる
。これにより、信用できる表示プロセッサは、ホスト・コンピュータ・ソフトウ
ェアによる干渉または破壊なしに表示面にデータを表示することができる。こう
して、信用できる表示プロセッサは、ユーザに現在表示されているのが何の画像
かを確信することができる。これは、ユーザが署名している画像(ピクスマップ
)を明確に識別するために使用される。これの副次的効果は、信用できる表示プ
ロセッサが、表示面に、たとえば先行特許出願の保全性距離やユーザ状況メッセ
ージまたはプロンプトを含むデータをどれも高い信頼性で表示できることである
。
【0031】
好ましい実施形態をディジタル署名操作と関連して説明するが、信用できるユ
ーザ・インタフェースを提供する概念は、ユーザが、たとえば電子取引中に自分
のホスト・コンピュータ・システムを信用できることが必要な任意の操作にきわ
めて広く適用できることを理解されよう。
ーザ・インタフェースを提供する概念は、ユーザが、たとえば電子取引中に自分
のホスト・コンピュータ・システムを信用できることが必要な任意の操作にきわ
めて広く適用できることを理解されよう。
【0032】
図1は、好ましい実施形態によるホスト・コンピュータ・システムを示し、こ
こで、ホスト・コンピュータは、Windows NT(商標)オペレーティン
グ・システムの下で動作するパーソナル・コンピュータすなわちPCである。図
1によれば、ホスト・コンピュータ100は、視覚的表示装置(VDU)105
、キーボード110、マウス115およびスマートカード・リーダ120、およ
びインターネット130に接続されたローカル・エリア・ネットワーク(LAN
)125に接続されている。 この図において、スマートカード・リーダは、独
立したユニットであるが、キーボードの一部分のこともある。さらに、ホスト・
コンピュータは、キーボードに一体化された信用できる入力装置、この事例では
信用できるスイッチ135を有する。VDU、キーボード、マウス、および信用
できるスイッチは、ホスト・コンピュータの人間/コンピュータ・インターフェ
ース(HCI)と見なすことができる。より具体的には、信用できるスイッチと
表示装置は、後で説明するように、信用された制御下で動作するときに「信用で
きるユーザ・インタフェース」と見なすことができる。図1は、また、後で説明
するように本実施形態において使用するためのスマートカード122を示す。
こで、ホスト・コンピュータは、Windows NT(商標)オペレーティン
グ・システムの下で動作するパーソナル・コンピュータすなわちPCである。図
1によれば、ホスト・コンピュータ100は、視覚的表示装置(VDU)105
、キーボード110、マウス115およびスマートカード・リーダ120、およ
びインターネット130に接続されたローカル・エリア・ネットワーク(LAN
)125に接続されている。 この図において、スマートカード・リーダは、独
立したユニットであるが、キーボードの一部分のこともある。さらに、ホスト・
コンピュータは、キーボードに一体化された信用できる入力装置、この事例では
信用できるスイッチ135を有する。VDU、キーボード、マウス、および信用
できるスイッチは、ホスト・コンピュータの人間/コンピュータ・インターフェ
ース(HCI)と見なすことができる。より具体的には、信用できるスイッチと
表示装置は、後で説明するように、信用された制御下で動作するときに「信用で
きるユーザ・インタフェース」と見なすことができる。図1は、また、後で説明
するように本実施形態において使用するためのスマートカード122を示す。
【0033】
図2は、図1のホスト・コンピュータのハードウェア・アーキテクチャを示す
。
。
【0034】
図2によれば、ホスト・コンピュータ100は、RAM205およびROM2
10を含むメイン・メモリに接続された中央処理装置(CPU)200またはメ
イン・プロセッサを含み、これらはすべて、ホスト・コンピュータ100のマザ
ーボード215に取り付けられている。CPUは、この事例では、Pentiu
m(商標)プロセッサである。CPUは、PCI(周辺コンポーネント相互接続
)ブリッジ220を介して、ホスト・コンピュータ100の他の主コンポーネン
トに接続されたPCIバス225に接続される。バス225は、本明細書におい
て詳細に説明しない適切な制御部、アドレス部およびデータ部を含む。本明細書
の範囲を超えるPentiumプロセッサとPCIアーキテクチャの詳細に関し
ては、読者は、書籍「The Indispensable PC Hardw
are Handbook」3rd Edition, by Hans−Pe
ter Messmer, published by Addison−We
sley, ISBN 0−201−40399−4を参照されたい。当然なが
ら、本実施形態は、Pentiumプロセッサ、Windows(商標)オペレ
ーティング・システムまたはPCIバスを使用する実施態様に制限されることは
ない。
10を含むメイン・メモリに接続された中央処理装置(CPU)200またはメ
イン・プロセッサを含み、これらはすべて、ホスト・コンピュータ100のマザ
ーボード215に取り付けられている。CPUは、この事例では、Pentiu
m(商標)プロセッサである。CPUは、PCI(周辺コンポーネント相互接続
)ブリッジ220を介して、ホスト・コンピュータ100の他の主コンポーネン
トに接続されたPCIバス225に接続される。バス225は、本明細書におい
て詳細に説明しない適切な制御部、アドレス部およびデータ部を含む。本明細書
の範囲を超えるPentiumプロセッサとPCIアーキテクチャの詳細に関し
ては、読者は、書籍「The Indispensable PC Hardw
are Handbook」3rd Edition, by Hans−Pe
ter Messmer, published by Addison−We
sley, ISBN 0−201−40399−4を参照されたい。当然なが
ら、本実施形態は、Pentiumプロセッサ、Windows(商標)オペレ
ーティング・システムまたはPCIバスを使用する実施態様に制限されることは
ない。
【0035】
PCIバス225に接続されたホスト・コンピュータ100の他の主コンポー
ネントには、SCSIバス235を介してハード・ディスク・ドライブ240お
よびCD−ROMドライブ245に接続されたSCSI(小型コンピュータ・シ
ステム・インタフェース)アダプタがある。また、ホスト・コンピュータ100
をLAN125に接続するために、ホスト・コンピュータ100が、ファイル・
サーバ、プリント・サーバまたは電子メール・サーバ、インターネット130な
どの他のホスト・コンピュータ(図示せず)と通信するために介するLAN(ロ
ーカル・エリア・ネットワーク)アダプタ250も備えられている。キーボード
110、マウス115およびスマートカード・リーダ120を取り付けるための
IO(入出力)装置255、および信用できる表示プロセッサ260も備えられ
ている。信用できる表示プロセッサは、後で詳細に説明するすべての標準的な表
示機能およびさらにいくつかの他のタスクを処理する。「標準的な表示機能」と
は、オペレーティング・システムまたはアプリケーション・ソフトと関連した画
像を表示するために、通常、たとえばWindows NT(商標)オペレーテ
ィング・システムの下で動作するPCなどの任意の標準的なホスト・コンピュー
タ100内にあることが期待される機能である。キーボード110は、入出力装
置255への接続および信用できる表示プロセッサ260への直接接続を有する
。
ネントには、SCSIバス235を介してハード・ディスク・ドライブ240お
よびCD−ROMドライブ245に接続されたSCSI(小型コンピュータ・シ
ステム・インタフェース)アダプタがある。また、ホスト・コンピュータ100
をLAN125に接続するために、ホスト・コンピュータ100が、ファイル・
サーバ、プリント・サーバまたは電子メール・サーバ、インターネット130な
どの他のホスト・コンピュータ(図示せず)と通信するために介するLAN(ロ
ーカル・エリア・ネットワーク)アダプタ250も備えられている。キーボード
110、マウス115およびスマートカード・リーダ120を取り付けるための
IO(入出力)装置255、および信用できる表示プロセッサ260も備えられ
ている。信用できる表示プロセッサは、後で詳細に説明するすべての標準的な表
示機能およびさらにいくつかの他のタスクを処理する。「標準的な表示機能」と
は、オペレーティング・システムまたはアプリケーション・ソフトと関連した画
像を表示するために、通常、たとえばWindows NT(商標)オペレーテ
ィング・システムの下で動作するPCなどの任意の標準的なホスト・コンピュー
タ100内にあることが期待される機能である。キーボード110は、入出力装
置255への接続および信用できる表示プロセッサ260への直接接続を有する
。
【0036】
すべての主コンポーネント、特に信用できる表示プロセッサ260は、また、
ホスト・コンピュータ100のマザーボード215上に一体化されることが好ま
しいが、LANアダプタ250およびSCSIアダプタ230は、差し込み式の
ものでもよい場合もある。
ホスト・コンピュータ100のマザーボード215上に一体化されることが好ま
しいが、LANアダプタ250およびSCSIアダプタ230は、差し込み式の
ものでもよい場合もある。
【0037】
図3は、信用できる表示プロセッサ260の好ましい物理アーキテクチャを示
す。好ましい実施形態によれば、信用できる表示プロセッサ260は、信用でき
るコンポーネントの特性を有する単一ハードウェアのコンポーネントであり、表
示プロセッサの標準的な表示機能と、ディジタル署名を生成しかつ信用できるユ
ーザ・インタフェースを提供する特別な非標準的な表示機能とを提供する。熟練
者は、代わりに、これらの機能を複数の別々の物理的コンポーネントに物理的に
分割できることを理解されよう。しかしながら、以下の説明からすべての機能を
1つの信用できるコンポーネントに統合することによって、最も簡潔で便利な解
決策が実現されることを理解されよう。
す。好ましい実施形態によれば、信用できる表示プロセッサ260は、信用でき
るコンポーネントの特性を有する単一ハードウェアのコンポーネントであり、表
示プロセッサの標準的な表示機能と、ディジタル署名を生成しかつ信用できるユ
ーザ・インタフェースを提供する特別な非標準的な表示機能とを提供する。熟練
者は、代わりに、これらの機能を複数の別々の物理的コンポーネントに物理的に
分割できることを理解されよう。しかしながら、以下の説明からすべての機能を
1つの信用できるコンポーネントに統合することによって、最も簡潔で便利な解
決策が実現されることを理解されよう。
【0038】
図3によれば、信用できる表示プロセッサ260は、マイクロコントローラ3
00と、マイクロコントローラ300の動作を制御するために各制御プログラム
命令(すなわち、ファームウェア)を含むフラッシュ・メモリなどの不揮発性メ
モリ305を備える。代わりに、信用できる表示プロセッサ260をASICに
組み入れることができる。ASICは、通常、より高い性能と大量生産における
高いコスト効率を提供するが、一般に、開発費用が高くフレキシビリティが低い
。)表示プロセッサ260は、後で説明するように、信用できる表示プロセッサ
260をPCIバスに接続し、CPU200から画像データ(すなわち、グラフ
ィックス・プリミティブ)を受け取り、またスマートカード122から信用でき
る画像データを受け取るためのインタフェース310と、少なくとも1つのフル
画像フレームを記憶するのに十分なVRAM(ビデオRAM)を含むフレーム・
バッファ・メモリ315とを備える。(代表的なフレーム・バッファ・メモリ3
15は、最大1670万色をサポートする1280x768の画面解像度でサイ
ズが1〜2Mbytesである。)表示プロセッサ260は、ピクスマップ・デ
ータを、ビデオ・インタフェース325を介してビデオDAC320に接続する
(アナログ)VDU105を駆動するアナログ信号に変換するためのビデオDA
C(ディジタル−アナログ変換器)320と、信用できるスイッチ135から信
号を直接受け取るためのインタフェース330と、状態情報、とりわけ受け取っ
た暗号鍵を記憶し、かつマイクロコントローラ300のワーク・エリアを提供す
るための、たとえばDRAM(ダイナミックRAM)やさらに高価なSRAM(
スタティックRAM))などの揮発性メモリ335と、後でさらに詳しく説明す
るように、信用できる表示プロセッサ260に暗号識別を提供し、かつ信憑性、
完全性および機密性を提供し、再現アタックから保護し、ディジタル署名を行い
、ディジタル証明書を使用するように構成された、ハードウェア暗号アクセラレ
ータおよび/またはソフトウェアを含む暗号プロセッサ340と、を備える。表
示プロセッサ260は、さらに信用できる表示プロセッサ260の識別子IDP (たとえば、単純な文字列名)と、信用できる表示プロセッサ260の秘密鍵S DP と、VeriSign社などの信用のある第三者証明機関によって署名され
提供され、信用できる表示プロセッサ260を署名公開−秘密鍵ペアおよび機密
公開−秘密鍵ペアと結合し、信用できる表示プロセッサ260の対応する公開鍵
を含む証明書CertDPとを記憶するための、たとえばフラッシュ・メモリな
どの不揮発性メモリ345を含む。
00と、マイクロコントローラ300の動作を制御するために各制御プログラム
命令(すなわち、ファームウェア)を含むフラッシュ・メモリなどの不揮発性メ
モリ305を備える。代わりに、信用できる表示プロセッサ260をASICに
組み入れることができる。ASICは、通常、より高い性能と大量生産における
高いコスト効率を提供するが、一般に、開発費用が高くフレキシビリティが低い
。)表示プロセッサ260は、後で説明するように、信用できる表示プロセッサ
260をPCIバスに接続し、CPU200から画像データ(すなわち、グラフ
ィックス・プリミティブ)を受け取り、またスマートカード122から信用でき
る画像データを受け取るためのインタフェース310と、少なくとも1つのフル
画像フレームを記憶するのに十分なVRAM(ビデオRAM)を含むフレーム・
バッファ・メモリ315とを備える。(代表的なフレーム・バッファ・メモリ3
15は、最大1670万色をサポートする1280x768の画面解像度でサイ
ズが1〜2Mbytesである。)表示プロセッサ260は、ピクスマップ・デ
ータを、ビデオ・インタフェース325を介してビデオDAC320に接続する
(アナログ)VDU105を駆動するアナログ信号に変換するためのビデオDA
C(ディジタル−アナログ変換器)320と、信用できるスイッチ135から信
号を直接受け取るためのインタフェース330と、状態情報、とりわけ受け取っ
た暗号鍵を記憶し、かつマイクロコントローラ300のワーク・エリアを提供す
るための、たとえばDRAM(ダイナミックRAM)やさらに高価なSRAM(
スタティックRAM))などの揮発性メモリ335と、後でさらに詳しく説明す
るように、信用できる表示プロセッサ260に暗号識別を提供し、かつ信憑性、
完全性および機密性を提供し、再現アタックから保護し、ディジタル署名を行い
、ディジタル証明書を使用するように構成された、ハードウェア暗号アクセラレ
ータおよび/またはソフトウェアを含む暗号プロセッサ340と、を備える。表
示プロセッサ260は、さらに信用できる表示プロセッサ260の識別子IDP (たとえば、単純な文字列名)と、信用できる表示プロセッサ260の秘密鍵S DP と、VeriSign社などの信用のある第三者証明機関によって署名され
提供され、信用できる表示プロセッサ260を署名公開−秘密鍵ペアおよび機密
公開−秘密鍵ペアと結合し、信用できる表示プロセッサ260の対応する公開鍵
を含む証明書CertDPとを記憶するための、たとえばフラッシュ・メモリな
どの不揮発性メモリ345を含む。
【0039】
証明書は、一般に、CAの公開鍵ではなくそのような情報を含む。その公開鍵
は、一般に、「公開鍵基盤(PKI)」を使用することによって使用可能になる
。PKIの動作は、セキュリティの業者には周知である。
は、一般に、「公開鍵基盤(PKI)」を使用することによって使用可能になる
。PKIの動作は、セキュリティの業者には周知である。
【0040】
証明書CertDPは、第三者が公開鍵のソースを信用し、公開鍵が、有効な
公開−秘密鍵ペアの一部になるように、信用できる表示プロセッサ260の公開
鍵を第三者に提供するために使用される。したがって、第三者が、信用できる表
示プロセッサ260の公開鍵の知識をあらかじめ持つ必要がなくあるいはそれを
取得する必要がない。
公開−秘密鍵ペアの一部になるように、信用できる表示プロセッサ260の公開
鍵を第三者に提供するために使用される。したがって、第三者が、信用できる表
示プロセッサ260の公開鍵の知識をあらかじめ持つ必要がなくあるいはそれを
取得する必要がない。
【0041】
信用できる表示プロセッサ260は、その識別と信用できるプロセスをホスト
・コンピュータに貸し、信用できる表示プロセッサは、改変防止、偽造防止、お
よび模造防止によってそのような特性を有する。信用できる表示プロセッサ26
0の内部で実行されるプロセスに作用できるのは、適切な認証機構で選択された
エンティティだけである。ホスト・コンピュータの正規ユーザも、ネットワーク
を介してホスト・コンピュータに接続されたどの正規ユーザや正規エンティティ
も、信用できる表示プロセッサ260の内部で実行するプロセスにアクセスした
り妨害したりすることはない。信用できる表示プロセッサ260は、「汚染のな
い」特性を有する。
・コンピュータに貸し、信用できる表示プロセッサは、改変防止、偽造防止、お
よび模造防止によってそのような特性を有する。信用できる表示プロセッサ26
0の内部で実行されるプロセスに作用できるのは、適切な認証機構で選択された
エンティティだけである。ホスト・コンピュータの正規ユーザも、ネットワーク
を介してホスト・コンピュータに接続されたどの正規ユーザや正規エンティティ
も、信用できる表示プロセッサ260の内部で実行するプロセスにアクセスした
り妨害したりすることはない。信用できる表示プロセッサ260は、「汚染のな
い」特性を有する。
【0042】
本来、信用できる表示プロセッサ260は、ホスト・コンピュータ100のマ
ザーボード上に取り付けられた後、信用できる表示プロセッサ260とのセキュ
ア通信により、その識別、秘密鍵および証明書によって初期設定される。信用で
きる表示プロセッサ260に証明書を書き込む方法は、秘密鍵をそれに書き込む
ことによってスマートカードを初期設定するために使用される方法と類似してい
る。セキュア通信は、製造中に信用できる表示プロセッサ260に書き込まれ、
信用できる表示プロセッサ260へのデータの書込みを可能にするために使用さ
れる信用のある第三者(および、ホスト・コンピュータ100のメーカ)だけが
知っている「親鍵」によってサポートされる。したがって、親鍵の知識なしに信
用できる表示プロセッサ260にデータを書き込むことはできない。
ザーボード上に取り付けられた後、信用できる表示プロセッサ260とのセキュ
ア通信により、その識別、秘密鍵および証明書によって初期設定される。信用で
きる表示プロセッサ260に証明書を書き込む方法は、秘密鍵をそれに書き込む
ことによってスマートカードを初期設定するために使用される方法と類似してい
る。セキュア通信は、製造中に信用できる表示プロセッサ260に書き込まれ、
信用できる表示プロセッサ260へのデータの書込みを可能にするために使用さ
れる信用のある第三者(および、ホスト・コンピュータ100のメーカ)だけが
知っている「親鍵」によってサポートされる。したがって、親鍵の知識なしに信
用できる表示プロセッサ260にデータを書き込むことはできない。
【0043】
図3から、フレーム・バッファ・メモリ315が、CPU200によってでは
なく信用できる表示プロセッサ260自体によってのみアクセス可能であること
が明らかであろう。このことは、CPU200、またはさらに重大には破壊的ア
プリケーション・プログラムまたはウィルスが、信用できる動作中にピクスマッ
プを修正することができないため、好ましい実施形態の重要な特徴である。当然
ながら、CPU200がフレーム・バッファ・メモリ315にアクセスするとき
に信用できる表示プロセッサ260が最終の制御を有するように構成されている
限り、CPU200がフレーム・バッファ・メモリ315に直接アクセスする場
合でも、同レベルのセキュリティを提供することができる。この後者の方式は、
実施がより困難であることは明らかである。
なく信用できる表示プロセッサ260自体によってのみアクセス可能であること
が明らかであろう。このことは、CPU200、またはさらに重大には破壊的ア
プリケーション・プログラムまたはウィルスが、信用できる動作中にピクスマッ
プを修正することができないため、好ましい実施形態の重要な特徴である。当然
ながら、CPU200がフレーム・バッファ・メモリ315にアクセスするとき
に信用できる表示プロセッサ260が最終の制御を有するように構成されている
限り、CPU200がフレーム・バッファ・メモリ315に直接アクセスする場
合でも、同レベルのセキュリティを提供することができる。この後者の方式は、
実施がより困難であることは明らかである。
【0044】
次に、背景として、ホスト・コンピュータ100がグラフィックス・プリミテ
ィブを生成する代表的なプロセスを説明する。最初に、特定の画像を表示したい
アプリケーション・プログラムが、グラフィカルAPI(アプリケーション・プ
ログラミング・インタフェース)を介して、オペレーティング・システムに対し
て適切な呼出しを行う。APIは、一般に、画像を表示するために、アプリケー
ション・プログラムが、WindowsNT(商標)によって提供されるような
特定の基礎的な表示機能にアクセスするための標準インタフェースを提供する。
API呼出しにより、オペレーティング・システムは、それぞれのグラフィック
ス・ドライバ・ライブラリ・ルーチンを呼び出し、それにより、表示プロセッサ
この場合は信用できる表示プロセッサ260に固有のグラフィックス・プリミテ
ィブが生成される。これらのグラフィックス・プリミティブは、最終的に、CP
U200によって信用できる表示プロセッサ260に渡される。グラフィックス
・プリミティブの例は、太さz′の点xから点yまでの線で描かれ、あるいは色
a′の点w、x、yおよびzで囲まれた領域を占めることがある。
ィブを生成する代表的なプロセスを説明する。最初に、特定の画像を表示したい
アプリケーション・プログラムが、グラフィカルAPI(アプリケーション・プ
ログラミング・インタフェース)を介して、オペレーティング・システムに対し
て適切な呼出しを行う。APIは、一般に、画像を表示するために、アプリケー
ション・プログラムが、WindowsNT(商標)によって提供されるような
特定の基礎的な表示機能にアクセスするための標準インタフェースを提供する。
API呼出しにより、オペレーティング・システムは、それぞれのグラフィック
ス・ドライバ・ライブラリ・ルーチンを呼び出し、それにより、表示プロセッサ
この場合は信用できる表示プロセッサ260に固有のグラフィックス・プリミテ
ィブが生成される。これらのグラフィックス・プリミティブは、最終的に、CP
U200によって信用できる表示プロセッサ260に渡される。グラフィックス
・プリミティブの例は、太さz′の点xから点yまでの線で描かれ、あるいは色
a′の点w、x、yおよびzで囲まれた領域を占めることがある。
【0045】
マイクロコントローラ300の制御プログラムは、マイクロコントローラを制
御して標準的な表示機能を提供して、受け取ったグラフィックス・プリミティブ
を、具体的に次のように処理する。 CPU200からグラフィックス・プリミティブを受け取り処理して、VDU
105画面上に表示される画像の直接表現であり、また一般に、VDU105画
面上のアドレス指定可能な各画素の赤、緑および青のドットごとに濃度値を含む
ピクスマップ(pixmap)データを形成する。ピクスマップ・データをフレーム・バ
ッファ・メモリ315に記憶し、たとえば1秒に60回、周期的にフレーム・バ
ッファ・メモリ315からピクスマップ・データを読み取り、ビデオDACを使
用してデータをアナログ信号に変換し、アナログ信号をVDU105に送って画
面上に必要な画像を表示する。
御して標準的な表示機能を提供して、受け取ったグラフィックス・プリミティブ
を、具体的に次のように処理する。 CPU200からグラフィックス・プリミティブを受け取り処理して、VDU
105画面上に表示される画像の直接表現であり、また一般に、VDU105画
面上のアドレス指定可能な各画素の赤、緑および青のドットごとに濃度値を含む
ピクスマップ(pixmap)データを形成する。ピクスマップ・データをフレーム・バ
ッファ・メモリ315に記憶し、たとえば1秒に60回、周期的にフレーム・バ
ッファ・メモリ315からピクスマップ・データを読み取り、ビデオDACを使
用してデータをアナログ信号に変換し、アナログ信号をVDU105に送って画
面上に必要な画像を表示する。
【0046】
標準的表示機能とは別に、制御プログラムは、CPU200から欺かれた表示
画像データを信用できる画像データと混合して単一のピクスマップを形成する機
能を含む。制御プログラムは、また、暗号プロセッサおよび信用できるスイッチ
135との対話を管理する。
画像データを信用できる画像データと混合して単一のピクスマップを形成する機
能を含む。制御プログラムは、また、暗号プロセッサおよび信用できるスイッチ
135との対話を管理する。
【0047】
信用できる表示プロセッサ260は、ホスト・コンピュータ100の「表示シ
ステム」全体の一部を構成し、他の部分は、一般に、アプリケーション・プログ
ラムが呼び出すことができ、グラフィックス・プロセッサの標準的表示機能にア
クセスするオペレーティング・システムの表示機能とVDU105である。換言
すると、ホスト・コンピュータ100の「表示システム」は、画像の表示と関連
するすべてのハードウェアまたは機能部分を含む。
ステム」全体の一部を構成し、他の部分は、一般に、アプリケーション・プログ
ラムが呼び出すことができ、グラフィックス・プロセッサの標準的表示機能にア
クセスするオペレーティング・システムの表示機能とVDU105である。換言
すると、ホスト・コンピュータ100の「表示システム」は、画像の表示と関連
するすべてのハードウェアまたは機能部分を含む。
【0048】
既に述べたように、この実施形態は、信用できる表示プロセッサ260とユー
ザのスマートカード122の間の対話に依存する。図4に、好ましい実施形態に
より使用するのに適したスマートカードの処理エンジンを示す。この処理エンジ
ンは、データのディジタル署名および他から受け取った署名の検証をサポートす
る暗号化および復号化機能を実施するプロセッサ400を含む。この実施形態に
おいて、プロセッサ400は、オペレーティング・システムが組み込まれ、規格
ISO7816−3、4、T=0、T=1およびT=14によって指定された非
同期プロトコルによって外界と通信するように構成された8ビット・マイクロコ
ントローラである。スマートカードは、また、スマートカード122の識別子I SC と、データにディジタル式に署名するために使用される秘密鍵SSCと、ス
マートカードを公開−秘密鍵ペアと結び付け、スマートカード122の対応する
公開鍵を含む信用第三者証明機関によって提供された証明書CertSC(信用
できる表示プロセッサ260の証明書CertDPと本質的に同じ)とを含む、
フラッシュ・メモリなどの不揮発性メモリ420を含む。さらに、スマートカー
ドは、後で詳しく説明するように、プロセスがユーザのスマートカードによって
安全に動作していることをユーザに示すために、信用できる表示プロセッサ26
0が図形で表すことができる「シール(seal、封印、シール)」データSEAL
を不揮発性メモリ420に含む。この実施形態において、シール・データSEA
Lは、たとえばユーザ自身の画像などの固有の識別子としてユーザによって最初
に選択され、周知の技術を使用してスマートカード122にロードされた画像ピ
クスマップの形である。プロセッサ400は、また、状態情報(受け取ったキー
など)を記憶し、プロセッサ400のワーキング・エリアを提供するRAMなど
の揮発性メモリ430と、スマートカード・リーダと通信するための電気接点な
どのインタフェース440に対するアクセス権を有する。
ザのスマートカード122の間の対話に依存する。図4に、好ましい実施形態に
より使用するのに適したスマートカードの処理エンジンを示す。この処理エンジ
ンは、データのディジタル署名および他から受け取った署名の検証をサポートす
る暗号化および復号化機能を実施するプロセッサ400を含む。この実施形態に
おいて、プロセッサ400は、オペレーティング・システムが組み込まれ、規格
ISO7816−3、4、T=0、T=1およびT=14によって指定された非
同期プロトコルによって外界と通信するように構成された8ビット・マイクロコ
ントローラである。スマートカードは、また、スマートカード122の識別子I SC と、データにディジタル式に署名するために使用される秘密鍵SSCと、ス
マートカードを公開−秘密鍵ペアと結び付け、スマートカード122の対応する
公開鍵を含む信用第三者証明機関によって提供された証明書CertSC(信用
できる表示プロセッサ260の証明書CertDPと本質的に同じ)とを含む、
フラッシュ・メモリなどの不揮発性メモリ420を含む。さらに、スマートカー
ドは、後で詳しく説明するように、プロセスがユーザのスマートカードによって
安全に動作していることをユーザに示すために、信用できる表示プロセッサ26
0が図形で表すことができる「シール(seal、封印、シール)」データSEAL
を不揮発性メモリ420に含む。この実施形態において、シール・データSEA
Lは、たとえばユーザ自身の画像などの固有の識別子としてユーザによって最初
に選択され、周知の技術を使用してスマートカード122にロードされた画像ピ
クスマップの形である。プロセッサ400は、また、状態情報(受け取ったキー
など)を記憶し、プロセッサ400のワーキング・エリアを提供するRAMなど
の揮発性メモリ430と、スマートカード・リーダと通信するための電気接点な
どのインタフェース440に対するアクセス権を有する。
【0049】
シール画像は、ピクスマップとして記憶される場合に比較的大量のメモリを消
費することがある。これは、スマートカード122に画像を記憶しなければなら
ない環境のおける独特の欠点であることがあり、メモリ容量が比較的制限される
。メモリ要件は、いくつかの異なる技術によって低くすることができる。たとえ
ば、シール画像は、信用できる表示プロセッサ260が展開することができる圧
縮画像と、信用できる表示プロセッサ260によって生成される反復モザイクの
プリミティブ要素を形成するサムネイルと、信用できる表示プロセッサ260が
単一の大きい画像として表示することができるかまたは前述のようにサムネイル
画像として使用することができる1組の英数字のような必然的に圧縮された画像
とを含むことができる。これらのどの代替においても、シール・データ自体は、
暗号化された形である場合があり、信用できる表示プロセッサ260がデータを
復号化した後でなければ表示することができない。代わりに、シール・データは
、ホスト・コンピュータ100かネットワーク・サーバによって記憶されたいく
つかの可能な画像のうちの1つを識別する暗号化した索引でもよい。この場合、
索引は、安全なチャネルを通して信用できる表示プロセッサ260によって取り
出され、正確な画像を取り出し表示するために復号化される。さらに、シール・
データは、画像を生成するように適切にプログラムされた信用できる表示プロセ
ッサ260が解釈することができる命令(たとえば、PostScript(商
標)命令)を含むことができる。
費することがある。これは、スマートカード122に画像を記憶しなければなら
ない環境のおける独特の欠点であることがあり、メモリ容量が比較的制限される
。メモリ要件は、いくつかの異なる技術によって低くすることができる。たとえ
ば、シール画像は、信用できる表示プロセッサ260が展開することができる圧
縮画像と、信用できる表示プロセッサ260によって生成される反復モザイクの
プリミティブ要素を形成するサムネイルと、信用できる表示プロセッサ260が
単一の大きい画像として表示することができるかまたは前述のようにサムネイル
画像として使用することができる1組の英数字のような必然的に圧縮された画像
とを含むことができる。これらのどの代替においても、シール・データ自体は、
暗号化された形である場合があり、信用できる表示プロセッサ260がデータを
復号化した後でなければ表示することができない。代わりに、シール・データは
、ホスト・コンピュータ100かネットワーク・サーバによって記憶されたいく
つかの可能な画像のうちの1つを識別する暗号化した索引でもよい。この場合、
索引は、安全なチャネルを通して信用できる表示プロセッサ260によって取り
出され、正確な画像を取り出し表示するために復号化される。さらに、シール・
データは、画像を生成するように適切にプログラムされた信用できる表示プロセ
ッサ260が解釈することができる命令(たとえば、PostScript(商
標)命令)を含むことができる。
【0050】
図5は、信用できる署名操作を実施する文脈におけるホスト・コンピュータ1
00と信用できる表示プロセッサ260とスマートカード122の機能の論理的
関係を示す。信用できる署名操作に関係するプロセスを分かりやすく表現するた
めに、ホスト・コンピュータ100、信用できる表示プロセッサ260またはス
マートカード122の機能に論理的に分離する他に、機能を物理的アーキテクチ
ャと別に表す。さらに、「標準表示機能」は、線x−yで信用機能と分けられて
おり、ここで、線の左側の機能は、特に信用された機能である。図において、機
能は、楕円形で表され、機能が作用する「永久」データ(署名プロセスの間の文
書画像を含む)は、四角形で示される。状態データや受け取った暗号鍵などの動
的データは、単に分かりやすくするために示されていない。楕円形と楕円形の間
および楕円形と四角形の間の矢印は、それぞれの論理通信経路を表す。
00と信用できる表示プロセッサ260とスマートカード122の機能の論理的
関係を示す。信用できる署名操作に関係するプロセスを分かりやすく表現するた
めに、ホスト・コンピュータ100、信用できる表示プロセッサ260またはス
マートカード122の機能に論理的に分離する他に、機能を物理的アーキテクチ
ャと別に表す。さらに、「標準表示機能」は、線x−yで信用機能と分けられて
おり、ここで、線の左側の機能は、特に信用された機能である。図において、機
能は、楕円形で表され、機能が作用する「永久」データ(署名プロセスの間の文
書画像を含む)は、四角形で示される。状態データや受け取った暗号鍵などの動
的データは、単に分かりやすくするために示されていない。楕円形と楕円形の間
および楕円形と四角形の間の矢印は、それぞれの論理通信経路を表す。
【0051】
図5により、ホスト・コンピュータ100は、文書の署名を要求するワード・
プロセッサ・プロセスなどのアプリケーション・プロセス500、文書データ5
05、オペレーティング・システム・プロセス510、アプリケーション・プロ
セス500から表示呼出しを受け取るAPI511プロセス、キーボード110
からアプリケーション・プロセス500に入力を提供するキーボード・プロセス
513、マウス115からアプリケーション・プロセス500に入力を提供する
マウス・プロセス514と、およびAPI511プロセスを介してアプリケーシ
ョン・プロセスビアから受け取った呼出しに基づいてグラフィックス・プリミテ
ィブを生成するグラフィックス・プリミティブ・プロセス515とを含む。AP
Iプロセス511、キーボード・プロセス513、マウス・プロセス514およ
びグラフィックス・プリミティブ・プロセス515は、オペレーティング・シス
テム・プロセス510の上部に構成され、オペレーティング・システム・プロセ
ス510によってアプリケーション・プロセスと通信する。
プロセッサ・プロセスなどのアプリケーション・プロセス500、文書データ5
05、オペレーティング・システム・プロセス510、アプリケーション・プロ
セス500から表示呼出しを受け取るAPI511プロセス、キーボード110
からアプリケーション・プロセス500に入力を提供するキーボード・プロセス
513、マウス115からアプリケーション・プロセス500に入力を提供する
マウス・プロセス514と、およびAPI511プロセスを介してアプリケーシ
ョン・プロセスビアから受け取った呼出しに基づいてグラフィックス・プリミテ
ィブを生成するグラフィックス・プリミティブ・プロセス515とを含む。AP
Iプロセス511、キーボード・プロセス513、マウス・プロセス514およ
びグラフィックス・プリミティブ・プロセス515は、オペレーティング・シス
テム・プロセス510の上部に構成され、オペレーティング・システム・プロセ
ス510によってアプリケーション・プロセスと通信する。
【0052】
ホスト・コンピュータ100の残りの機能は、信用できる表示プロセッサ26
0によって提供されるものである。そのような機能は、信用できる表示プロセッ
サ260のすべての動作を調整し、グラフィックス・プリミティブ・プロセスか
らグラフィックス・プリミティブを受け取り、アプリケーション・プロセス50
0から署名要求を受け取るための制御プロセス520と、制御プロセス520か
らの要求に応じて文書署名手順を表す署名付き要約を生成する要約プロセス52
2と、スマートカード122からピクスマップのディジタル署名を獲得する署名
要求プロセス523と、スマートカード122からシール・データ540を取り
出すシール・プロセス524と、要約プロセス522、署名要求プロセス523
およびシール・プロセス524によって要求されるチャレンジ/応答およびデー
タ署名タスクを実施するためにスマートカード122と対話するスマートカード
・プロセス525と、署名要求プロセス523によって要求されたときに、記憶
されたピクスマップ・データ531を読み取り、それを署名要求プロセス523
に渡す読取りピクスマップ・プロセス526と、制御プロセス520から受け取
ったグラフィックス・プリミティブとシール画像データに基づいてピクスマップ
・データ531を生成する生成ピクスマップ・プロセス527と、ピクスマップ
・データを読み取り、それをアナログ信号に変換し、その信号をVDU105に
送る画面リフレッシュ・プロセス528と、ユーザが信用できるスイッチ135
を作動させたかどうかを監視する信用できるスイッチ・プロセス529である。
スマートカード・プロセス525は、信用できる表示プロセッサの検証データI DP 、秘密鍵SDPデータ、および証明書CertDPデータ530に対するア
クセス権を有する。実際に、スマートカードと信用できる表示プロセッサは、標
準オペレーティング・システム呼出しによって互いに対話する。
0によって提供されるものである。そのような機能は、信用できる表示プロセッ
サ260のすべての動作を調整し、グラフィックス・プリミティブ・プロセスか
らグラフィックス・プリミティブを受け取り、アプリケーション・プロセス50
0から署名要求を受け取るための制御プロセス520と、制御プロセス520か
らの要求に応じて文書署名手順を表す署名付き要約を生成する要約プロセス52
2と、スマートカード122からピクスマップのディジタル署名を獲得する署名
要求プロセス523と、スマートカード122からシール・データ540を取り
出すシール・プロセス524と、要約プロセス522、署名要求プロセス523
およびシール・プロセス524によって要求されるチャレンジ/応答およびデー
タ署名タスクを実施するためにスマートカード122と対話するスマートカード
・プロセス525と、署名要求プロセス523によって要求されたときに、記憶
されたピクスマップ・データ531を読み取り、それを署名要求プロセス523
に渡す読取りピクスマップ・プロセス526と、制御プロセス520から受け取
ったグラフィックス・プリミティブとシール画像データに基づいてピクスマップ
・データ531を生成する生成ピクスマップ・プロセス527と、ピクスマップ
・データを読み取り、それをアナログ信号に変換し、その信号をVDU105に
送る画面リフレッシュ・プロセス528と、ユーザが信用できるスイッチ135
を作動させたかどうかを監視する信用できるスイッチ・プロセス529である。
スマートカード・プロセス525は、信用できる表示プロセッサの検証データI DP 、秘密鍵SDPデータ、および証明書CertDPデータ530に対するア
クセス権を有する。実際に、スマートカードと信用できる表示プロセッサは、標
準オペレーティング・システム呼出しによって互いに対話する。
【0053】
スマートカード122は、シール・データ540と、信用できる表示プロセッ
サ260と対話してチャレンジ/応答とデータ署名タスクを実施する表示プロセ
ッサ・プロセス542と、スマートカード検証データISC、スマートカード秘
密鍵データSSCおよびスマートカード証明書データCertSC543を備え
る。
サ260と対話してチャレンジ/応答とデータ署名タスクを実施する表示プロセ
ッサ・プロセス542と、スマートカード検証データISC、スマートカード秘
密鍵データSSCおよびスマートカード証明書データCertSC543を備え
る。
【0054】
次に、図6の流れ図と関連して、図1〜図5に示した機構を使用して文書に署
名する好ましいプロセスを説明する。図6の流れ図は、図7および図8に連続し
ている。
名する好ましいプロセスを説明する。図6の流れ図は、図7および図8に連続し
ている。
【0055】
最初に、ステップ600で、ユーザは、アプリケーション・プロセス500を
制御して、文書にディジタル署名するための「署名要求」を出す。アプリケーシ
ョン・プロセス500は、専用のソフトウェア・プログラムとして実現されても
よく、またはMicrosoftのWordのような標準ワード処理パッケージ
への付加物、たとえばマクロでもよい。いずれの場合も、署名要求もアプリケー
ション・プロセス500もセキュアである必要はない。ユーザが署名要求を出す
とき、ユーザはまた、その文書が既に全体画面に広がっているものでない場合は
、署名する文書を指定する。たとえば、文書が、最大画面領域の一部または特定
のウィンドウ内の全体に表示されることがある。画面上の特定領域の選択は、た
とえばその領域を制限するユーザ定義された四角形を描いたり単に座標を指定し
たりするいくつかの方法で(WIMP環境を使用して)達成することができる簡
単な作業である。
制御して、文書にディジタル署名するための「署名要求」を出す。アプリケーシ
ョン・プロセス500は、専用のソフトウェア・プログラムとして実現されても
よく、またはMicrosoftのWordのような標準ワード処理パッケージ
への付加物、たとえばマクロでもよい。いずれの場合も、署名要求もアプリケー
ション・プロセス500もセキュアである必要はない。ユーザが署名要求を出す
とき、ユーザはまた、その文書が既に全体画面に広がっているものでない場合は
、署名する文書を指定する。たとえば、文書が、最大画面領域の一部または特定
のウィンドウ内の全体に表示されることがある。画面上の特定領域の選択は、た
とえばその領域を制限するユーザ定義された四角形を描いたり単に座標を指定し
たりするいくつかの方法で(WIMP環境を使用して)達成することができる簡
単な作業である。
【0056】
次に、ステップ602で、アプリケーション・プロセス500は、制御プロセ
ス520を呼び出して、画面に表示されている(定義領域内またはウィンドウ内
の)画像に署名し、制御プロセス520は、呼出しを受け取る。これと平行して
、図示していないが、制御プロセス520は、グラフィックス・プリミティブ・
プロセスから任意のグラフィックス・プリミティブを受け取り、それを生成ピク
スマップ・プロセス527に転送する。文書に署名するアプリケーション・プロ
セス500からの呼出しは、文書の縁の座標(a、b、c、d)を含む。この座
標の送信により、一般に、画面の表面全体、ウィンドウ全体、または画面の任意
部分の署名が可能になることに注意されたい。次に、アプリケーション・プロセ
ス500は、制御プロセス520が画像の署名を返すのを待つ。
ス520を呼び出して、画面に表示されている(定義領域内またはウィンドウ内
の)画像に署名し、制御プロセス520は、呼出しを受け取る。これと平行して
、図示していないが、制御プロセス520は、グラフィックス・プリミティブ・
プロセスから任意のグラフィックス・プリミティブを受け取り、それを生成ピク
スマップ・プロセス527に転送する。文書に署名するアプリケーション・プロ
セス500からの呼出しは、文書の縁の座標(a、b、c、d)を含む。この座
標の送信により、一般に、画面の表面全体、ウィンドウ全体、または画面の任意
部分の署名が可能になることに注意されたい。次に、アプリケーション・プロセ
ス500は、制御プロセス520が画像の署名を返すのを待つ。
【0057】
ステップ604で、署名要求に応じて、制御プロセス520は、要求の時間か
らプロセスが完了するまで、署名する画像を強制的に「静止状態」にする。本明
細書において、「静止状態」は、信用できる表示プロセッサ260以外が文書画
像を修正できないことを意味する。これにより、ユーザは、プロセスの間ずっと
、自分が見ているものが自分が署名しているものであることに確信をもつことが
できる。この実施形態において、制御プロセス520は、それ以上のグラフィッ
クス・プリミティブを「遅らせる」か処理しないことによって「静止状態」の表
示を達成する。いくつかの状況において、グラフィックス・プリミティブ・プロ
セス(または、その等価物)は、制御プロセス520がさらに他のグラフィック
ス・プリミティブを受け取る準備ができるまで、グラフィックス・プリミティブ
を「バッファ」することがある。他の状況では、署名される画像のグラフィック
ス・プリミティブが、単に失われることがある。文書画像が画面全体に一杯にな
る場合、画像を静止させるのは、どのグラフィックス・プリミティブも処理しな
い場合だけである。しかしながら、署名する画像が、全画面の一部分だけたとえ
ば1つのウィンドウだけを構成する場合、制御プロセス520は、受け取ったグ
ラフィックス・プリミティブが「静止状態」領域に作用するかどうかを判定し、
それを拒否する必要がある。したがって、フレーム・バッファ・メモリ315内
の静止文書画像のピクスマップは、グラフィックス・プリミティブ・プロセスか
らの命令やCPU200上で実行している他のプロセスによって変更されないま
ま残り、文書画像は静止状態である。
らプロセスが完了するまで、署名する画像を強制的に「静止状態」にする。本明
細書において、「静止状態」は、信用できる表示プロセッサ260以外が文書画
像を修正できないことを意味する。これにより、ユーザは、プロセスの間ずっと
、自分が見ているものが自分が署名しているものであることに確信をもつことが
できる。この実施形態において、制御プロセス520は、それ以上のグラフィッ
クス・プリミティブを「遅らせる」か処理しないことによって「静止状態」の表
示を達成する。いくつかの状況において、グラフィックス・プリミティブ・プロ
セス(または、その等価物)は、制御プロセス520がさらに他のグラフィック
ス・プリミティブを受け取る準備ができるまで、グラフィックス・プリミティブ
を「バッファ」することがある。他の状況では、署名される画像のグラフィック
ス・プリミティブが、単に失われることがある。文書画像が画面全体に一杯にな
る場合、画像を静止させるのは、どのグラフィックス・プリミティブも処理しな
い場合だけである。しかしながら、署名する画像が、全画面の一部分だけたとえ
ば1つのウィンドウだけを構成する場合、制御プロセス520は、受け取ったグ
ラフィックス・プリミティブが「静止状態」領域に作用するかどうかを判定し、
それを拒否する必要がある。したがって、フレーム・バッファ・メモリ315内
の静止文書画像のピクスマップは、グラフィックス・プリミティブ・プロセスか
らの命令やCPU200上で実行している他のプロセスによって変更されないま
ま残り、文書画像は静止状態である。
【0058】
文書画像が静止状態にされた後、ステップ606で、図10cと関連して後で
より詳しく説明するように、制御プロセス520は、アプリケーション・プロセ
ス500によって提供される座標(a、b、c、d)を呼出しに含む生成ピクス
マップ・プロセス527に、ピクスマップを修正して署名する文書を強調表示す
るように指示する。次に、ステップ608で、スマートカード・プロセス525
によって決定されたように、スマートカード122が、スマートカード122リ
ーダ120にまだ挿入されていない場合、制御プロセス520は、生成ピクスマ
ップ・プロセスに、ユーザに自分のスマートカード122を差し込むように要求
する図形メッセージを表示させる。このメッセージには、10秒カウントダウン
・タイマCOUNTが付いている。スマートカード122を受け取らなかった結
果として、カウントダウン・タイマが終了した(すなわち、0になった)場合、
制御プロセスは、ステップ614で署名操作を取り消し、アプリケーション・プ
ロセス500に例外信号を返す。これに応じて、アプリケーション・プロセス5
00は、ステップ616で、適切なユーザ・メッセージを表示する。スマートカ
ード122が、遅れずに差し込まれたかまたは既に存在している場合はプロセス
が継続する。
より詳しく説明するように、制御プロセス520は、アプリケーション・プロセ
ス500によって提供される座標(a、b、c、d)を呼出しに含む生成ピクス
マップ・プロセス527に、ピクスマップを修正して署名する文書を強調表示す
るように指示する。次に、ステップ608で、スマートカード・プロセス525
によって決定されたように、スマートカード122が、スマートカード122リ
ーダ120にまだ挿入されていない場合、制御プロセス520は、生成ピクスマ
ップ・プロセスに、ユーザに自分のスマートカード122を差し込むように要求
する図形メッセージを表示させる。このメッセージには、10秒カウントダウン
・タイマCOUNTが付いている。スマートカード122を受け取らなかった結
果として、カウントダウン・タイマが終了した(すなわち、0になった)場合、
制御プロセスは、ステップ614で署名操作を取り消し、アプリケーション・プ
ロセス500に例外信号を返す。これに応じて、アプリケーション・プロセス5
00は、ステップ616で、適切なユーザ・メッセージを表示する。スマートカ
ード122が、遅れずに差し込まれたかまたは既に存在している場合はプロセス
が継続する。
【0059】
次に、ステップ618で、制御プロセス520が、シール・プロセス524を
呼び出し、シール・プロセス524は、スマートカード・プロセス525を呼び
出して、スマートカード122からシール・データ540を回復する。任意に、
制御プロセス520は、生成ピクスマップ・プロセス527を呼び出して、シー
ル・データ540のその回復を試みていることをユーザに示す別のメッセージを
表示する。ステップ618および620で、信用できる表示プロセッサ260の
スマートカード・プロセス525とスマートカード122の表示プロセッサ・プ
ロセス542が、周知の「チャレンジ/応答」技術を使用して、相互認証を実施
し、スマートカードからのシール・データ540を制御プロセス520に渡す。
次に、図9を参照して、相互認証プロセスとシール・データ540の引き渡しの
詳細を説明する。
呼び出し、シール・プロセス524は、スマートカード・プロセス525を呼び
出して、スマートカード122からシール・データ540を回復する。任意に、
制御プロセス520は、生成ピクスマップ・プロセス527を呼び出して、シー
ル・データ540のその回復を試みていることをユーザに示す別のメッセージを
表示する。ステップ618および620で、信用できる表示プロセッサ260の
スマートカード・プロセス525とスマートカード122の表示プロセッサ・プ
ロセス542が、周知の「チャレンジ/応答」技術を使用して、相互認証を実施
し、スマートカードからのシール・データ540を制御プロセス520に渡す。
次に、図9を参照して、相互認証プロセスとシール・データ540の引き渡しの
詳細を説明する。
【0060】
図9(a)によると、スマートカード・プロセス525は、シール・データS
EAL540を返すように要求REQ1をスマートカード122に送る。表示プ
ロセッサ・プロセス542は、ナンス(nonce、臨時語、新造語)R1を生成し
、それをスマートカード・プロセス525にチャレンジとして送る。スマートカ
ード・プロセス525は、ナンスR2を生成し、かつそれをナンスR1と連結し
、連結R1‖R2にその秘密鍵で署名して署名sSDP(R1‖R2)を生成し
、連結R1‖R2、署名sSDP(R1‖R2)、および証明書CertDPを
、スマートカード122の表示プロセッサ・プロセス542に返す。表示プロセ
ッサ・プロセス542は、証明書CertDPから信用できる表示プロセッサ2
60の公開鍵を取り出し、これを使用し、連結R1‖R2との比較によってナン
スR1と署名sSDP(R1‖R2)を認証し、シール要求が、信用できる表示
プロセッサ260から来たものであり、信用できる表示プロセッサ260が稼働
状態であることを実証する。
EAL540を返すように要求REQ1をスマートカード122に送る。表示プ
ロセッサ・プロセス542は、ナンス(nonce、臨時語、新造語)R1を生成し
、それをスマートカード・プロセス525にチャレンジとして送る。スマートカ
ード・プロセス525は、ナンスR2を生成し、かつそれをナンスR1と連結し
、連結R1‖R2にその秘密鍵で署名して署名sSDP(R1‖R2)を生成し
、連結R1‖R2、署名sSDP(R1‖R2)、および証明書CertDPを
、スマートカード122の表示プロセッサ・プロセス542に返す。表示プロセ
ッサ・プロセス542は、証明書CertDPから信用できる表示プロセッサ2
60の公開鍵を取り出し、これを使用し、連結R1‖R2との比較によってナン
スR1と署名sSDP(R1‖R2)を認証し、シール要求が、信用できる表示
プロセッサ260から来たものであり、信用できる表示プロセッサ260が稼働
状態であることを実証する。
【0061】
これらのナンスは、信頼できないプロセスによる古いが本人直筆の署名のリプ
レイによって生じる欺瞞(「リプレイ攻撃」と呼ばれる)からユーザを守るため
に使用される。
レイによって生じる欺瞞(「リプレイ攻撃」と呼ばれる)からユーザを守るため
に使用される。
【0062】
次に、スマートカード122の表示プロセッサ・プロセス542は、R2をそ
のシール・データSEAL540と連結し、連結R2‖SEALにその秘密鍵s
SSCを使用して署名して署名sSSC(R2‖SEAL)を生成し、シール・
データSEAL540をその秘密鍵SSCを使用して暗号化して暗号化シール・
データ540sSSC(SEAL)を生成し、かつナンスR2、暗号化シール・
データsSSC(SEAL)、 署名sSSC(R2‖SEAL)およびスマー
トカードの証明書CertSCを信用できる表示プロセッサ260のスマートカ
ード・プロセッサ525に送る。スマートカード・プロセス525は、証明書C
ertSCからスマートカードの公開鍵を取り出し、これを使用してナンスR2 と署名sSSC(R2‖SEAL)を検証し、暗号化シール・データ540sS SC (SEAL)からシール・データSEAL540を復号し、最終的にシール
・データSEAL540をシール・プロセス524を介して制御プロセス520
に返す。
のシール・データSEAL540と連結し、連結R2‖SEALにその秘密鍵s
SSCを使用して署名して署名sSSC(R2‖SEAL)を生成し、シール・
データSEAL540をその秘密鍵SSCを使用して暗号化して暗号化シール・
データ540sSSC(SEAL)を生成し、かつナンスR2、暗号化シール・
データsSSC(SEAL)、 署名sSSC(R2‖SEAL)およびスマー
トカードの証明書CertSCを信用できる表示プロセッサ260のスマートカ
ード・プロセッサ525に送る。スマートカード・プロセス525は、証明書C
ertSCからスマートカードの公開鍵を取り出し、これを使用してナンスR2 と署名sSSC(R2‖SEAL)を検証し、暗号化シール・データ540sS SC (SEAL)からシール・データSEAL540を復号し、最終的にシール
・データSEAL540をシール・プロセス524を介して制御プロセス520
に返す。
【0063】
図7に戻り、ステップ622で、制御プロセス520は、シール・データSE
AL540を受け取ると、そのデータを生成ピクスマップ・プロセス527に転
送し、図10dと関連して後で説明するように、生成ピクスマップ・プロセス5
27に、シール画像を生成し、それを使用して署名する文書を強調表示するよう
に指示する。次に、ステップ624で、制御プロセス520は、生成ピクスマッ
プ・プロセス527に、署名操作を継続したいかどうか尋ねるメッセージをユー
ザに表示するように指示する。このメッセージには、10秒カウントダウン・タ
イマCOUNTが付いている。ステップ626で、ユーザからの応答を受け取ら
なかった結果として、カウントダウン・タイマの終了すると、制御プロセスは、
ステップ628で署名操作を取り消し、アプリケーション・プロセス500に例
外信号を返す。これに応じて、アプリケーション・プロセス500は、ステップ
629で、適切なユーザ・メッセージを表示する。ステップ630で、ユーザが
、10秒の時間制限内で信用できるスイッチ135を作動させて明確に応答した
場合は、プロセスは継続する。この代わりに、信用できるスイッチ135を使用
するか、あるいはさらに妥当なレベルの許可を提供する適切なソフトウェア・ル
ーチンを使用したりするのではなく、信頼できないチャネルを介して、継続の許
可が供給されることがある。この代わりに、単に本物のスマートカードがあるこ
とが、署名を行うのに十分な許可であってもよいことを決定することができる。
そのような代替は、セキュリティ・ポリシーの問題である。
AL540を受け取ると、そのデータを生成ピクスマップ・プロセス527に転
送し、図10dと関連して後で説明するように、生成ピクスマップ・プロセス5
27に、シール画像を生成し、それを使用して署名する文書を強調表示するよう
に指示する。次に、ステップ624で、制御プロセス520は、生成ピクスマッ
プ・プロセス527に、署名操作を継続したいかどうか尋ねるメッセージをユー
ザに表示するように指示する。このメッセージには、10秒カウントダウン・タ
イマCOUNTが付いている。ステップ626で、ユーザからの応答を受け取ら
なかった結果として、カウントダウン・タイマの終了すると、制御プロセスは、
ステップ628で署名操作を取り消し、アプリケーション・プロセス500に例
外信号を返す。これに応じて、アプリケーション・プロセス500は、ステップ
629で、適切なユーザ・メッセージを表示する。ステップ630で、ユーザが
、10秒の時間制限内で信用できるスイッチ135を作動させて明確に応答した
場合は、プロセスは継続する。この代わりに、信用できるスイッチ135を使用
するか、あるいはさらに妥当なレベルの許可を提供する適切なソフトウェア・ル
ーチンを使用したりするのではなく、信頼できないチャネルを介して、継続の許
可が供給されることがある。この代わりに、単に本物のスマートカードがあるこ
とが、署名を行うのに十分な許可であってもよいことを決定することができる。
そのような代替は、セキュリティ・ポリシーの問題である。
【0064】
次に、ステップ632で、制御プロセス520は、署名要求プロセス523に
、文書画像の署名を要求するように指示し、署名要求プロセス523は、読取り
ピクスマップ・プロセス526を呼出し、署名する文書のピクスマップ・データ
のダイジェストを返すことを要求し、読取りピクスマップ・プロセス526は、
それぞれのピクスマップ・データを読み取り、ハッシュ・アルゴリズムを使用し
てピクスマップ・データのダイジェストDPIXを生成し、そのダイジェストを
署名要求プロセス523に返す。さらに、読取りピクスマップ・プロセス526
は、後でピクスマップ・データからの画像をテキスト・ベースの文書に再構成す
るために必要な情報を含む「表示フォーマット・データ」FDを生成し(文書テ
キストを再構成しなくてもよい場合があるため、FDは不可欠ではない)、また
これを署名要求プロセス523に返す。たとえば、表示フォーマット・データF
Dは、「1024×768」などの画面表面の画素数とその分布、ならびに文書
内のテキスト(文書がテキスト・ベースの場合)に使用されるフォント・タイプ
およびサイズを含むことがある(代替または追加として、この情報の少なくとも
一部分は、後で説明するように、文書「要約」に含まれてもよい)。ステップ6
34および636で、署名要求プロセス523は、次に図9(b)の流れ図を参
照して詳細に説明するように、周知のチャレンジ/応答プロセスを使用してスマ
ートカード122の表示プロセッサ・プロセス542と対話して、文書の個々の
署名を生成する。
、文書画像の署名を要求するように指示し、署名要求プロセス523は、読取り
ピクスマップ・プロセス526を呼出し、署名する文書のピクスマップ・データ
のダイジェストを返すことを要求し、読取りピクスマップ・プロセス526は、
それぞれのピクスマップ・データを読み取り、ハッシュ・アルゴリズムを使用し
てピクスマップ・データのダイジェストDPIXを生成し、そのダイジェストを
署名要求プロセス523に返す。さらに、読取りピクスマップ・プロセス526
は、後でピクスマップ・データからの画像をテキスト・ベースの文書に再構成す
るために必要な情報を含む「表示フォーマット・データ」FDを生成し(文書テ
キストを再構成しなくてもよい場合があるため、FDは不可欠ではない)、また
これを署名要求プロセス523に返す。たとえば、表示フォーマット・データF
Dは、「1024×768」などの画面表面の画素数とその分布、ならびに文書
内のテキスト(文書がテキスト・ベースの場合)に使用されるフォント・タイプ
およびサイズを含むことがある(代替または追加として、この情報の少なくとも
一部分は、後で説明するように、文書「要約」に含まれてもよい)。ステップ6
34および636で、署名要求プロセス523は、次に図9(b)の流れ図を参
照して詳細に説明するように、周知のチャレンジ/応答プロセスを使用してスマ
ートカード122の表示プロセッサ・プロセス542と対話して、文書の個々の
署名を生成する。
【0065】
図9(b)によれば、スマートカード・プロセス525は、ダイジェストDP IX
の署名と表示フォーマット・データFDを生成して、スマートカード122
の要求REQ2を生成する。スマートカード122の表示プロセッサ・プロセス
542は、これに応じて、ナンスR3を生成し、それをスマートカード・プロセ
ス525にチャレンジと一緒に送り、ダイジェストDPIXと表示フォーマット
・データFDを返す。スマートカード・プロセス525は、ダイジェストDPI X を表示フォーマット・データFDおよびナンスR3と連結し、連結DPIX‖
FD‖R3に署名して、署名sSDP(DPIX‖FD‖R3)を生成する。次
に、スマートカード・プロセス525は、連結DPIX‖FD‖R3とそれぞれ
の署名sSDP(DPIX‖FD‖R3)を、スマートカード122の表示プロ
セッサ・プロセス542に送る。表示プロセッサ・プロセス542は、信用でき
る表示プロセッサ公開鍵(シール・データ540の交換で既に受け取った)を使
用して、信用できる表示プロセッサ署名sSDP(DPIX‖FD‖R3)とナ
ンスR3を検証して、ダイジェストが現行の画像ダイジェストであることを実証
する。表示プロセッサ・プロセス542は、その秘密鍵を使用して、ピクスマッ
プのダイジェストDPIXと表示フォーマット・データFDに署名して、2つの
署名sSSC(DPIX)およびsSSC(FD)をそれぞれ生成する。次に、
スマートカードの表示プロセッサ・プロセス542は、署名付き要約sSSC(
DPIX)と署名付き表示フォーマット・データsSSC(FD)を、信用でき
る表示プロセッサ260のスマートカード・プロセス525に返す。スマートカ
ード・プロセス525は、次に、スマートカードの公開鍵(シール・データ54
0の交換の結果として既にある)を使用してダイジェストDPIXと表示フォー
マット・データFDを検証し、かつスマートカードの署名を検証して、スマート
カードがまだ稼働状態であることを実証する。
の要求REQ2を生成する。スマートカード122の表示プロセッサ・プロセス
542は、これに応じて、ナンスR3を生成し、それをスマートカード・プロセ
ス525にチャレンジと一緒に送り、ダイジェストDPIXと表示フォーマット
・データFDを返す。スマートカード・プロセス525は、ダイジェストDPI X を表示フォーマット・データFDおよびナンスR3と連結し、連結DPIX‖
FD‖R3に署名して、署名sSDP(DPIX‖FD‖R3)を生成する。次
に、スマートカード・プロセス525は、連結DPIX‖FD‖R3とそれぞれ
の署名sSDP(DPIX‖FD‖R3)を、スマートカード122の表示プロ
セッサ・プロセス542に送る。表示プロセッサ・プロセス542は、信用でき
る表示プロセッサ公開鍵(シール・データ540の交換で既に受け取った)を使
用して、信用できる表示プロセッサ署名sSDP(DPIX‖FD‖R3)とナ
ンスR3を検証して、ダイジェストが現行の画像ダイジェストであることを実証
する。表示プロセッサ・プロセス542は、その秘密鍵を使用して、ピクスマッ
プのダイジェストDPIXと表示フォーマット・データFDに署名して、2つの
署名sSSC(DPIX)およびsSSC(FD)をそれぞれ生成する。次に、
スマートカードの表示プロセッサ・プロセス542は、署名付き要約sSSC(
DPIX)と署名付き表示フォーマット・データsSSC(FD)を、信用でき
る表示プロセッサ260のスマートカード・プロセス525に返す。スマートカ
ード・プロセス525は、次に、スマートカードの公開鍵(シール・データ54
0の交換の結果として既にある)を使用してダイジェストDPIXと表示フォー
マット・データFDを検証し、かつスマートカードの署名を検証して、スマート
カードがまだ稼働状態であることを実証する。
【0066】
図8に戻り、ステップ638で、信用できる表示プロセッサ260のスマート
カード・プロセス525は、ピクスマップPIX、スマートカードの署名付きバ
ージョンのピクスマップ・ダイジェストsSSC(DPIX)および表示フォー
マット・データsSSC(FD)を連結して、画像の個々の署名PIX‖sSS C (DPIX)‖sSSC(FD)を構成し、それを、署名要求プロセス523
を介して、個々の署名をアプリケーション・プロセス500に返す制御プロセス
520に返す。アプリケーション・プロセス500は、ステップ640で、個々
の署名を記憶し、ステップ642で、制御プロセス520に対するさらに他の呼
び出しに応じて署名操作を要約する。要約(サマリ)の目的は、図9(c)の流
れ図を参照して説明するように、署名を完成させることであり、また要約の例は
、以下の通りである。
カード・プロセス525は、ピクスマップPIX、スマートカードの署名付きバ
ージョンのピクスマップ・ダイジェストsSSC(DPIX)および表示フォー
マット・データsSSC(FD)を連結して、画像の個々の署名PIX‖sSS C (DPIX)‖sSSC(FD)を構成し、それを、署名要求プロセス523
を介して、個々の署名をアプリケーション・プロセス500に返す制御プロセス
520に返す。アプリケーション・プロセス500は、ステップ640で、個々
の署名を記憶し、ステップ642で、制御プロセス520に対するさらに他の呼
び出しに応じて署名操作を要約する。要約(サマリ)の目的は、図9(c)の流
れ図を参照して説明するように、署名を完成させることであり、また要約の例は
、以下の通りである。
【0067】
【表1】
【0068】
ステップ644で、制御プロセス520は、サマリ・プロセス522を呼び出
して、画像の数(前のサマリの例では2つ)と画像の個々の署名(例の6行目と
10行目)、信用できる表示装置を識別するラベル(例の1行目)、現行日時(
例の2行目)、およびサマリ自体の署名付きダイジェスト(例の14行目)を含
むサマリ・メッセージSUMを生成する。画像ごとに、サマリは、また、画素で
表した画像のサイズ(たとえば、画像1では560x414)、画素で表した画
面の原点からのオフセット(たとえば、画像1では187,190)および画素
で表した表示解像度(たとえば、画像1では1024x768)を含む。
して、画像の数(前のサマリの例では2つ)と画像の個々の署名(例の6行目と
10行目)、信用できる表示装置を識別するラベル(例の1行目)、現行日時(
例の2行目)、およびサマリ自体の署名付きダイジェスト(例の14行目)を含
むサマリ・メッセージSUMを生成する。画像ごとに、サマリは、また、画素で
表した画像のサイズ(たとえば、画像1では560x414)、画素で表した画
面の原点からのオフセット(たとえば、画像1では187,190)および画素
で表した表示解像度(たとえば、画像1では1024x768)を含む。
【0069】
次に、サマリ・プロセス522は、ステップ646で、図9を参照して説明す
るように、サマリのダイジェストDSUMを生成し、信用できる表示プロセッサ
260のスマートカード・プロセス525を呼び出し、チャレンジ/応答プロセ
スを使用してスマートカード122と対話して、サマリ・ダイジェストDSUM の署名を生成する。
るように、サマリのダイジェストDSUMを生成し、信用できる表示プロセッサ
260のスマートカード・プロセス525を呼び出し、チャレンジ/応答プロセ
スを使用してスマートカード122と対話して、サマリ・ダイジェストDSUM の署名を生成する。
【0070】
図9(c)によれば、スマートカード・プロセス525は、スマートカード1
22がサマリのダイジェストDSUMの署名を生成する要求REQ3を生成する
。スマートカードの表示プロセッサ・プロセス542は、ナンスR4を生成し、
それをチャレンジで送ってサマリのダイジェストDSUMを返す。スマートカー
ド・プロセス525は、ダイジェストDSUMをナンスR4と連結し、連結DS UM ‖R4に署名して署名sSDP(DSUM‖R4)を作成する。次に、信用
できる表示プロセッサ260のスマートカード・プロセス525は、連結DSU M ‖R4と各署名sSDP(DSUM‖R4)を表示プロセッサ・プロセス54
2に送る。次に、表示プロセッサ・プロセス542は、信用できる表示プロセッ
サ公開鍵(シール・データ540の交換により既にある)を使用して、信用でき
る表示プロセッサの署名およびナンスR4を検証し、サマリが現行の要約である
ことを実証する。次に、表示プロセッサ・プロセス542は、その秘密鍵を使用
してサマリのダイジェストDSUMに署名し、かつ署名付きサマリsSSC(D SUM )をスマートカード・プロセス525に送る。信用できる表示プロセッサ
260のスマートカード・プロセス525は、スマートカードの公開鍵を使用し
てダイジェストを検証しスマートカードの署名を検証して、スマートカードがま
だ稼働状態であることを実証する。
22がサマリのダイジェストDSUMの署名を生成する要求REQ3を生成する
。スマートカードの表示プロセッサ・プロセス542は、ナンスR4を生成し、
それをチャレンジで送ってサマリのダイジェストDSUMを返す。スマートカー
ド・プロセス525は、ダイジェストDSUMをナンスR4と連結し、連結DS UM ‖R4に署名して署名sSDP(DSUM‖R4)を作成する。次に、信用
できる表示プロセッサ260のスマートカード・プロセス525は、連結DSU M ‖R4と各署名sSDP(DSUM‖R4)を表示プロセッサ・プロセス54
2に送る。次に、表示プロセッサ・プロセス542は、信用できる表示プロセッ
サ公開鍵(シール・データ540の交換により既にある)を使用して、信用でき
る表示プロセッサの署名およびナンスR4を検証し、サマリが現行の要約である
ことを実証する。次に、表示プロセッサ・プロセス542は、その秘密鍵を使用
してサマリのダイジェストDSUMに署名し、かつ署名付きサマリsSSC(D SUM )をスマートカード・プロセス525に送る。信用できる表示プロセッサ
260のスマートカード・プロセス525は、スマートカードの公開鍵を使用し
てダイジェストを検証しスマートカードの署名を検証して、スマートカードがま
だ稼働状態であることを実証する。
【0071】
図8に戻り、ステップ652で、スマートカード・プロセス525は、(連結
SUM‖sSSC(DSUM)を形成するために)サマリの署名付きダイジェス
トsSSC(DSUM)と連結されたサマリSUMを、サマリプロセス522を
介して、制御プロセス520に返し、制御プロセス520は、サマリSUM‖s
SSC(DSUM)をアプリケーション・プロセス500に返す。アプリケーシ
ョン・プロセス500は、ステップ654でサマリを受け取る。個々の署名およ
びサマリは、契約の証拠として、記憶または他のエンティティへの伝送のために
、アプリケーション・プロセス500あるいは本発明の範囲以外の様々な方法で
ホスト・コンピュータ100上で実行される任意の他のプロセスによって使用さ
れることがある。
SUM‖sSSC(DSUM)を形成するために)サマリの署名付きダイジェス
トsSSC(DSUM)と連結されたサマリSUMを、サマリプロセス522を
介して、制御プロセス520に返し、制御プロセス520は、サマリSUM‖s
SSC(DSUM)をアプリケーション・プロセス500に返す。アプリケーシ
ョン・プロセス500は、ステップ654でサマリを受け取る。個々の署名およ
びサマリは、契約の証拠として、記憶または他のエンティティへの伝送のために
、アプリケーション・プロセス500あるいは本発明の範囲以外の様々な方法で
ホスト・コンピュータ100上で実行される任意の他のプロセスによって使用さ
れることがある。
【0072】
最後に、ステップ656で、制御プロセス520は、表示の静止状態を解除し
て文書画像と関連したグラフィック・プリミティブの受取りと処理を再開し、か
つそれにより実際に表示の制御が、アプリケーション・プロセス500や他のア
プリケーション・ソフトに返される。この代わりに、ユーザが、一般に、ここで
はタイムアウト期間のない別のユーザ・メッセージに応じて信用できるスイッチ
135を再び作動させるまで、制御は、アプリケーション・プロセス500に渡
されないことがある。これにより、ホスト・コンピュータを標準の信用されてい
ない動作に戻す前にユーザが静止文書画像を調べるために与えられる時間が多く
なる。
て文書画像と関連したグラフィック・プリミティブの受取りと処理を再開し、か
つそれにより実際に表示の制御が、アプリケーション・プロセス500や他のア
プリケーション・ソフトに返される。この代わりに、ユーザが、一般に、ここで
はタイムアウト期間のない別のユーザ・メッセージに応じて信用できるスイッチ
135を再び作動させるまで、制御は、アプリケーション・プロセス500に渡
されないことがある。これにより、ホスト・コンピュータを標準の信用されてい
ない動作に戻す前にユーザが静止文書画像を調べるために与えられる時間が多く
なる。
【0073】
署名付き文書を検証するために、個々の署名PIX‖sSSC(DPIX)‖
sSSC(FD)と要約SUM‖(sSSC(DSUM)の両方を検証しなけれ
ばならない。そのような検証方法は、セキュリティの技術分野の業者には周知で
ある。たとえば、ピクスマップsSSC(DPIX)のダイジェストの署名は、
公に入手可能でかつ好ましくは認定機関から供給されるディジタル証明書Cer
tSCに含まれるユーザの公開鍵を使用して検証される。次に、検証したダイジ
ェストは、ピクスマップからダイジェストを計算しなおすことによって得られた
値と比較され、ここで、ダイジェストは、標準的な周知でかつ明確に規定された
ハッシュ機能を使用して生成される。一致が正確な場合、その署名は、検証済み
である。要約を含む他の署名が、同じ方法で検査される。
sSSC(FD)と要約SUM‖(sSSC(DSUM)の両方を検証しなけれ
ばならない。そのような検証方法は、セキュリティの技術分野の業者には周知で
ある。たとえば、ピクスマップsSSC(DPIX)のダイジェストの署名は、
公に入手可能でかつ好ましくは認定機関から供給されるディジタル証明書Cer
tSCに含まれるユーザの公開鍵を使用して検証される。次に、検証したダイジ
ェストは、ピクスマップからダイジェストを計算しなおすことによって得られた
値と比較され、ここで、ダイジェストは、標準的な周知でかつ明確に規定された
ハッシュ機能を使用して生成される。一致が正確な場合、その署名は、検証済み
である。要約を含む他の署名が、同じ方法で検査される。
【0074】
署名付き文書の記述を検証できるようにする好ましい方法は、ピクスマップを
画像に戻すことである。これは、ピクスマップ・データPIXをそれぞれのホス
ト・コンピュータ100のフレーム・バッファ・メモリ315にロードするアプ
リケーションすなわち実際には信用できる表示プロセッサ260を必要とする。
これにより、署名者が署名した文書を見ることができる。
画像に戻すことである。これは、ピクスマップ・データPIXをそれぞれのホス
ト・コンピュータ100のフレーム・バッファ・メモリ315にロードするアプ
リケーションすなわち実際には信用できる表示プロセッサ260を必要とする。
これにより、署名者が署名した文書を見ることができる。
【0075】
次に、図10(a)、(b)を参照して、署名された文書を強調表示する段階
を説明する。
を説明する。
【0076】
好ましい実施形態において、シール・データSEALは、信用できる画像のピ
クスマップを含む。たとえば、図10(a)に示したように、シール・データ5
40のピクスマップは、「スマイルマーク」1000を定義する。図10(b)
は、画面(図示せず)のウィンドウ1010に、署名する例示的な文書Doc1
の画像1005を示す。最初の強調表示ステップとして、画像を静止させた後で
かつシール・データを受け取る前に、信用できる表示プロセッサ260は、図1
0(c)に示したように、文書画像1005のまわりにフレーム1020を重ね
ることによって、署名する文書を強調表示する。また、スマートカードが122
が存在しない場合は、図10(c)にも示したように、ユーザにスマートカード
の挿入を要求するユーザ・メッセージ1030が、10秒カウントダウン・タイ
マ1035と共に表示される。次に、スマイルマーク・ピクスマップ画像が、ス
マートカード122から取り出されるとき、図10(d)に示したように、信用
できる表示プロセッサ260は、フレーム1040を、スマイル・マークの複数
のインスタンス1045またはモザイクで装飾する。さらに、図10(d)に示
したように、信用できる表示プロセッサ260は、10秒カウントダウン・タイ
マ1055の付いたさらに他のユーザ・メッセージ1050を生成し、ユーザに
署名プロセスを続けたいかどうかを尋ねる。この装飾されたフレーム1040は
、正確な静止画像領域が表示されていることをユーザに示し、かつ信用できる表
示プロセッサ260が署名プロセスを完全に制御しているという高度の確信をユ
ーザに提供し、したがって、ユーザ自身のシール画像の存在により、そのメッセ
ージが、何か他の(破壊的である可能性がある)ソフトウェア・アプリケーショ
ンまたはハードウェア装置からではなく信用できる表示プロセッサ260から来
たという確信がユーザに提供される。
クスマップを含む。たとえば、図10(a)に示したように、シール・データ5
40のピクスマップは、「スマイルマーク」1000を定義する。図10(b)
は、画面(図示せず)のウィンドウ1010に、署名する例示的な文書Doc1
の画像1005を示す。最初の強調表示ステップとして、画像を静止させた後で
かつシール・データを受け取る前に、信用できる表示プロセッサ260は、図1
0(c)に示したように、文書画像1005のまわりにフレーム1020を重ね
ることによって、署名する文書を強調表示する。また、スマートカードが122
が存在しない場合は、図10(c)にも示したように、ユーザにスマートカード
の挿入を要求するユーザ・メッセージ1030が、10秒カウントダウン・タイ
マ1035と共に表示される。次に、スマイルマーク・ピクスマップ画像が、ス
マートカード122から取り出されるとき、図10(d)に示したように、信用
できる表示プロセッサ260は、フレーム1040を、スマイル・マークの複数
のインスタンス1045またはモザイクで装飾する。さらに、図10(d)に示
したように、信用できる表示プロセッサ260は、10秒カウントダウン・タイ
マ1055の付いたさらに他のユーザ・メッセージ1050を生成し、ユーザに
署名プロセスを続けたいかどうかを尋ねる。この装飾されたフレーム1040は
、正確な静止画像領域が表示されていることをユーザに示し、かつ信用できる表
示プロセッサ260が署名プロセスを完全に制御しているという高度の確信をユ
ーザに提供し、したがって、ユーザ自身のシール画像の存在により、そのメッセ
ージが、何か他の(破壊的である可能性がある)ソフトウェア・アプリケーショ
ンまたはハードウェア装置からではなく信用できる表示プロセッサ260から来
たという確信がユーザに提供される。
【0077】
図11(e)と図11(g)は、図10(c)と図10(d)に示した「フレ
ーム」視覚効果の代替を示す。図11(e)に、静止画像領域を定義するために
、4つの単一シール画像1060が、アプリケーション・プロセス500によっ
て提供される座標を使用して静止文書画像の角に配置される。図11(f)にお
いて、静止画像は、その背景を修正して1つのシール画像を示すことによって定
義される。図11(g)において、静止画像は、その背景を修正してシール画像
のモザイクを示すことによって定義される。この説明を考慮して、熟練した読者
は、静止画像を強調表示することができる他の視覚的効果を考えることができる
ことが予想される。さらに、署名操作中に、たとえば「次にシール・データ54
0を取り出し...」、「次に文書署名を生成し...」などの状況メッセージ
を含めることが望ましい場合がある。
ーム」視覚効果の代替を示す。図11(e)に、静止画像領域を定義するために
、4つの単一シール画像1060が、アプリケーション・プロセス500によっ
て提供される座標を使用して静止文書画像の角に配置される。図11(f)にお
いて、静止画像は、その背景を修正して1つのシール画像を示すことによって定
義される。図11(g)において、静止画像は、その背景を修正してシール画像
のモザイクを示すことによって定義される。この説明を考慮して、熟練した読者
は、静止画像を強調表示することができる他の視覚的効果を考えることができる
ことが予想される。さらに、署名操作中に、たとえば「次にシール・データ54
0を取り出し...」、「次に文書署名を生成し...」などの状況メッセージ
を含めることが望ましい場合がある。
【0078】
信用できる表示プロセッサ260が、画面上の正確な場所にシール画像とメッ
セージを表示できる必要があることを理解されよう。シール画像とメッセージ画
像は、それらが署名プロセスの間に現われその後で消えるという点で一時的なも
のであることは明らかである。第1の画像に第2の画像を重ね合わせ、それによ
り第1の画像の一部分を隠し、次に第2の画像を除去し、第1の画像の隠された
部分を回復するための周知の標準的な表示技術がある。そのような技術は、当然
ながら、たとえば複数のウィンドウが互いに重なることがある通常のウィンドウ
環境で使用される。信用できる表示プロセッサ260は、標準表示の上にシール
画像とメッセージ画像を重ね合わせるために、そのような標準的な技術の1つま
たは複数を実施するように構成される。
セージを表示できる必要があることを理解されよう。シール画像とメッセージ画
像は、それらが署名プロセスの間に現われその後で消えるという点で一時的なも
のであることは明らかである。第1の画像に第2の画像を重ね合わせ、それによ
り第1の画像の一部分を隠し、次に第2の画像を除去し、第1の画像の隠された
部分を回復するための周知の標準的な表示技術がある。そのような技術は、当然
ながら、たとえば複数のウィンドウが互いに重なることがある通常のウィンドウ
環境で使用される。信用できる表示プロセッサ260は、標準表示の上にシール
画像とメッセージ画像を重ね合わせるために、そのような標準的な技術の1つま
たは複数を実施するように構成される。
【0079】
いくつかのシナリオにおいて、文書が大きすぎてVDU105画面に一度にす
べてを入れることができず、また人が容易に読むことができないことがある。こ
の実施形態を実用的なものにするために、ユーザが、文書に署名する前にその文
書をきわめてはっきりと読み取れることが不可欠であることは明らかである。し
たがって、以下に説明するように、文書を複数の画面ページに分割することがで
き、それぞれの画面ページに署名し、前のページの署名と暗号的に連鎖させるこ
とが必要である。
べてを入れることができず、また人が容易に読むことができないことがある。こ
の実施形態を実用的なものにするために、ユーザが、文書に署名する前にその文
書をきわめてはっきりと読み取れることが不可欠であることは明らかである。し
たがって、以下に説明するように、文書を複数の画面ページに分割することがで
き、それぞれの画面ページに署名し、前のページの署名と暗号的に連鎖させるこ
とが必要である。
【0080】
最初に、アプリケーション・プロセス500は、前と同じように、第1のペー
ジの画像を表示させ、署名するために信用できる表示プロセッサ260を呼び出
す。信用できる表示プロセッサ260が、要約を要求せずに個々の署名を返すと
き、アプリケーション・プロセス500は、信用できる表示プロセッサ260に
、第2のページの画像を表示し画像に署名するように指示する。この事例におい
て、信用できる表示プロセッサ260は、アプリケーション・プロセス500に
よるそのような要求をサポートするように構成されることは明らかである。すべ
ての画像が署名され、アプリケーション・プロセス500に返された後で、アプ
リケーション・プロセス500は、要約の要求を出す。次に、要約は、たとえば
前の2ページの要約に示したように、この複数ページ文書に署名された多くの画
像を含む。
ジの画像を表示させ、署名するために信用できる表示プロセッサ260を呼び出
す。信用できる表示プロセッサ260が、要約を要求せずに個々の署名を返すと
き、アプリケーション・プロセス500は、信用できる表示プロセッサ260に
、第2のページの画像を表示し画像に署名するように指示する。この事例におい
て、信用できる表示プロセッサ260は、アプリケーション・プロセス500に
よるそのような要求をサポートするように構成されることは明らかである。すべ
ての画像が署名され、アプリケーション・プロセス500に返された後で、アプ
リケーション・プロセス500は、要約の要求を出す。次に、要約は、たとえば
前の2ページの要約に示したように、この複数ページ文書に署名された多くの画
像を含む。
【0081】
複数ページ文書の最初のページは、単一ページと同じ方法で署名され、その結
果、別々の署名が返される。しかしながら、次の画像が署名のために提示される
とき、前の署名要求の後で要約要求を受け取ってないので、信用できる表示プロ
セッサ260は、それらの画像が複数ページ文書の一部であることを認識する。
その結果、信用できる表示プロセッサ260は、ユーザからの連続ページに署名
する許可を要求する異なるメッセージを表示する。これに応じて、複数ページ文
書に署名しているユーザは、前と同じ信頼できる許可チャネルを使用して(たと
えば、信用できるスイッチ135)、このページが、前のページと関連付けられ
ており署名されるべきであることを、信用できる表示プロセッサ260に確認す
る。信用できる表示プロセッサ260が、この複数ページの確認を受け取るとき
、前の署名したページの署名を現行ページのピクスマップと連結し、その連結の
ダイジェストを作成し、それを署名のためにスマートカードに送る。これは、現
行ピクスマップだけのダイジェストを送る代わりに行われる。このプロセスは、
次のページを前のページに暗号的に「連鎖」させ、それにより、ページを、検出
することなく並べ換えたり、また検出なしに中間ページを挿入したり削除したり
することができない。
果、別々の署名が返される。しかしながら、次の画像が署名のために提示される
とき、前の署名要求の後で要約要求を受け取ってないので、信用できる表示プロ
セッサ260は、それらの画像が複数ページ文書の一部であることを認識する。
その結果、信用できる表示プロセッサ260は、ユーザからの連続ページに署名
する許可を要求する異なるメッセージを表示する。これに応じて、複数ページ文
書に署名しているユーザは、前と同じ信頼できる許可チャネルを使用して(たと
えば、信用できるスイッチ135)、このページが、前のページと関連付けられ
ており署名されるべきであることを、信用できる表示プロセッサ260に確認す
る。信用できる表示プロセッサ260が、この複数ページの確認を受け取るとき
、前の署名したページの署名を現行ページのピクスマップと連結し、その連結の
ダイジェストを作成し、それを署名のためにスマートカードに送る。これは、現
行ピクスマップだけのダイジェストを送る代わりに行われる。このプロセスは、
次のページを前のページに暗号的に「連鎖」させ、それにより、ページを、検出
することなく並べ換えたり、また検出なしに中間ページを挿入したり削除したり
することができない。
【0082】
最初のページの有効性は、単一ページとまったく同じ方法で確認することがで
きる。後のページの有効性は、現行ピクスマップのダイジェストを、連結された
前の署名および現行ピクスマップのダイジェストと置き換えること以外、単一ペ
ージと同じ方法を使用して確認される。
きる。後のページの有効性は、現行ピクスマップのダイジェストを、連結された
前の署名および現行ピクスマップのダイジェストと置き換えること以外、単一ペ
ージと同じ方法を使用して確認される。
【0083】
後のページを前のページに暗号的に連鎖させる多数の方法があることを理解さ
れよう。そのような方法は、この説明を考慮して、セキュリティの技術分野の業
者には明らかであろう。
れよう。そのような方法は、この説明を考慮して、セキュリティの技術分野の業
者には明らかであろう。
【0084】
セキュリティを高めるために、複数ページ文書の各ページの画像を、従来のフ
ッタ「y分のxページ」を含むように構成することができ、ここで、「x」は、
ページの番号であり、「y」は、ページの総数である。これにより、人は、文書
を読むだけで、切り捨てられた文書を容易に発見することができる。
ッタ「y分のxページ」を含むように構成することができ、ここで、「x」は、
ページの番号であり、「y」は、ページの総数である。これにより、人は、文書
を読むだけで、切り捨てられた文書を容易に発見することができる。
【0085】
この文書署名方式の大きな利点は、署名した文書に再署名または副署名を行う
ことができることである。したがって、文書の要約が監査証跡を含むことが望ま
しい。再署名と副署名には様々な種類があるが、(明らかに)電子的完全性検査
は、必ず、何か他の署名の前に行われなければならない。1つの極端な場合、新
しい署名者は、それぞれの署名付き画像を順々に見て、確認し、再署名すること
ができ、元の署名が新しい署名と有効に交換される。この方法は、たとえば、誰
か他の人がその署名者のために準備した文書に署名するユーザによって使用され
ることがある。他の極端な場合、新しい署名者は、文書をまったく見ることなく
、元の要約に署名することによって、元の署名に単に「ゴム印」を押すことがで
きる。これは、信用された従業員の仕事に副署名する管理者に役立つことがある
。
ことができることである。したがって、文書の要約が監査証跡を含むことが望ま
しい。再署名と副署名には様々な種類があるが、(明らかに)電子的完全性検査
は、必ず、何か他の署名の前に行われなければならない。1つの極端な場合、新
しい署名者は、それぞれの署名付き画像を順々に見て、確認し、再署名すること
ができ、元の署名が新しい署名と有効に交換される。この方法は、たとえば、誰
か他の人がその署名者のために準備した文書に署名するユーザによって使用され
ることがある。他の極端な場合、新しい署名者は、文書をまったく見ることなく
、元の要約に署名することによって、元の署名に単に「ゴム印」を押すことがで
きる。これは、信用された従業員の仕事に副署名する管理者に役立つことがある
。
【0086】
再署名操作の場合、アプリケーション・プロセス500は、再署名要求を出し
、既に署名された文書(および個別の署名と要約)を信用できる表示プロセッサ
260に送る。信用できる表示プロセッサ260は、署名者の公開鍵を使用して
署名付き文書を検証し、文書(または、文書の各ページ)のピクスマップを回復
し、それぞれの検証済み画像を、それらが署名要求アプリケーションからの元の
画像であるかのように新しいユーザに正しい順序で表示する。ユーザは、たとえ
ば前述のように信用できるスイッチ135を使用して、それぞれ個々の画像の受
け入れを確認し、新しいユーザ所有のスマートカードによって前述のように画像
に署名させる。この結果、署名された文書は、新しいユーザが所有するスマート
カードによって署名されたこと以外、元の文書と同じになる。
、既に署名された文書(および個別の署名と要約)を信用できる表示プロセッサ
260に送る。信用できる表示プロセッサ260は、署名者の公開鍵を使用して
署名付き文書を検証し、文書(または、文書の各ページ)のピクスマップを回復
し、それぞれの検証済み画像を、それらが署名要求アプリケーションからの元の
画像であるかのように新しいユーザに正しい順序で表示する。ユーザは、たとえ
ば前述のように信用できるスイッチ135を使用して、それぞれ個々の画像の受
け入れを確認し、新しいユーザ所有のスマートカードによって前述のように画像
に署名させる。この結果、署名された文書は、新しいユーザが所有するスマート
カードによって署名されたこと以外、元の文書と同じになる。
【0087】
同様に、副署名操作の場合は、アプリケーション・プロセス500が、副署名
要求を出し、署名付き文書(および個別の署名と要約)を信用できる表示プロセ
ッサ260に送る。信用できる表示プロセッサ260は、署名付き文書を検証し
、検証した各画像を、アプリケーション・プロセス500からの元の画像である
かのように正しい順序で新しいユーザに表示する。ユーザは、個々の各画像の受
け取りを確認し、信用できる表示プロセッサ260は、新しいユーザが所有する
スマートカードを使用して元の要約に署名する。任意に、新しいユーザは、新し
いユーザによって署名された前のユーザの公開鍵の証明書を提供して、署名の後
の検証と関連した処理オーバヘッドを容易にすることができる。
要求を出し、署名付き文書(および個別の署名と要約)を信用できる表示プロセ
ッサ260に送る。信用できる表示プロセッサ260は、署名付き文書を検証し
、検証した各画像を、アプリケーション・プロセス500からの元の画像である
かのように正しい順序で新しいユーザに表示する。ユーザは、個々の各画像の受
け取りを確認し、信用できる表示プロセッサ260は、新しいユーザが所有する
スマートカードを使用して元の要約に署名する。任意に、新しいユーザは、新し
いユーザによって署名された前のユーザの公開鍵の証明書を提供して、署名の後
の検証と関連した処理オーバヘッドを容易にすることができる。
【0088】
再署名と副署名の主題に関して多くの変形が可能であることは明らかであり、
これは、本説明を考慮して当業者には明らかであろう。
これは、本説明を考慮して当業者には明らかであろう。
【0089】
文書が、署名、再署名または副署名の履歴を有することがあるため、この実施
形態は、文書要約の一部を構成する監査情報を都合良く提供する。この監査情報
によって、文書の署名履歴をたどることがきる。監査情報は、文書の前の状態に
関するデータと、文書の新しい状態を作り出すために新しいユーザが取った対応
を含む。監査情報は、ユーザから独立していなければならないため、監査情報は
、信用できる表示プロセッサ260によって署名される。監査情報は、任意の前
の要約情報を必ず含む(その要約情報の前の署名者による署名を含む)。署名付
き文書が、最初から生成された場合は、信用できる表示プロセッサ260の識別
ラベルIDPが、監査のルートとして挿入される。監査情報は、また、新しいユ
ーザがどの個別画像を見て確認したか、また文書が新しいユーザによって最初か
ら作成されたか、再署名されたか、副署名されたかの指示を含む。監査情報を含
む要約を作成するために、スマートカードには、前述の要約の内容だけのダイジ
ェストではなく、前述の要約の内容と連結された監査情報のダイジェストが送ら
れる。残りのプロセスは、前に説明したものと同じである。
形態は、文書要約の一部を構成する監査情報を都合良く提供する。この監査情報
によって、文書の署名履歴をたどることがきる。監査情報は、文書の前の状態に
関するデータと、文書の新しい状態を作り出すために新しいユーザが取った対応
を含む。監査情報は、ユーザから独立していなければならないため、監査情報は
、信用できる表示プロセッサ260によって署名される。監査情報は、任意の前
の要約情報を必ず含む(その要約情報の前の署名者による署名を含む)。署名付
き文書が、最初から生成された場合は、信用できる表示プロセッサ260の識別
ラベルIDPが、監査のルートとして挿入される。監査情報は、また、新しいユ
ーザがどの個別画像を見て確認したか、また文書が新しいユーザによって最初か
ら作成されたか、再署名されたか、副署名されたかの指示を含む。監査情報を含
む要約を作成するために、スマートカードには、前述の要約の内容だけのダイジ
ェストではなく、前述の要約の内容と連結された監査情報のダイジェストが送ら
れる。残りのプロセスは、前に説明したものと同じである。
【0090】
文書に署名するプロセスの強化は、ピクスマップ・データに署名する前に、信
用できる表示プロセッサ260が、無損失圧縮アルゴリズムを使用してピクスマ
ップを圧縮し、それにより個々の署名の記憶および送信と関連するオーバヘッド
を減少させることである。
用できる表示プロセッサ260が、無損失圧縮アルゴリズムを使用してピクスマ
ップを圧縮し、それにより個々の署名の記憶および送信と関連するオーバヘッド
を減少させることである。
【0091】
ピクスマップは、たとえばLZ−1またはLZ−2圧縮を適用するコードワー
ド・ベース・アルゴリズムの標準圧縮アルゴリズムによって圧縮することができ
る。その代わりに、OCR(光学式文字認識)と類似の技術を使用して、ピクス
マップを圧縮することができる。この場合、状況は、従来のOCRよりも低い解
像度でも入力データが完全に「走査」される点が従来のOCRと異なる。OCR
圧縮バージョンのピクスマップは、「ブロブ・マッチング(blob−matc
hing)」してピクスマップのアルファベットを作成し、各文字のピクスマッ
プをアルファベットで構成し、そのような文字を使用して、メッセージが元のピ
クスマップを表すようにメッセージを構成することによって生成することができ
る。これは、ピクスマップを新しいアルファベットとそのアルファベットで記述
されたメッセージに圧縮できることを意味する。ピクスマップ・データには明ら
かにエラーも曖昧さもないため、これは無損失の圧縮方法である。
ド・ベース・アルゴリズムの標準圧縮アルゴリズムによって圧縮することができ
る。その代わりに、OCR(光学式文字認識)と類似の技術を使用して、ピクス
マップを圧縮することができる。この場合、状況は、従来のOCRよりも低い解
像度でも入力データが完全に「走査」される点が従来のOCRと異なる。OCR
圧縮バージョンのピクスマップは、「ブロブ・マッチング(blob−matc
hing)」してピクスマップのアルファベットを作成し、各文字のピクスマッ
プをアルファベットで構成し、そのような文字を使用して、メッセージが元のピ
クスマップを表すようにメッセージを構成することによって生成することができ
る。これは、ピクスマップを新しいアルファベットとそのアルファベットで記述
されたメッセージに圧縮できることを意味する。ピクスマップ・データには明ら
かにエラーも曖昧さもないため、これは無損失の圧縮方法である。
【0092】
画像ピクスマップのサイズを小さくするもう1つの方法は、画像を純粋な白黒
画像として表現することによるものであり、画素が黒か白かを定義するためには
1つのビットを0か1に設定するだけである。他の状況において、文書画像は、
フルカラー画像として表され、この場合、各画素は、一般に、最大24ビットを
必要とすることがある。この技術は、単純な黒白のテキスト・ベースの文書に適
している場合があることは明らかである。しかしながら、これは、カラーの文書
と画像には適していない。
画像として表現することによるものであり、画素が黒か白かを定義するためには
1つのビットを0か1に設定するだけである。他の状況において、文書画像は、
フルカラー画像として表され、この場合、各画素は、一般に、最大24ビットを
必要とすることがある。この技術は、単純な黒白のテキスト・ベースの文書に適
している場合があることは明らかである。しかしながら、これは、カラーの文書
と画像には適していない。
【0093】
OCR形のプロセスを使用して文書画像をテキスト・ベースの文書に変換して
、文書の標準ディジタル・テキスト表現を復元することはいつでも可能である。
この技術は、テキスト・マッピングが不正確な場合があるため署名には使用でき
ないが、署名付き文書の受取人が使用して、その署名付き文書を次の装置処理の
ために標準のディジタル・テキスト表現(ASCIIなど)に変換することがで
きる。好ましい実施形態において、信用できる表示プロセッサ260は、OCR
文書の回復を実行するために装備される。
、文書の標準ディジタル・テキスト表現を復元することはいつでも可能である。
この技術は、テキスト・マッピングが不正確な場合があるため署名には使用でき
ないが、署名付き文書の受取人が使用して、その署名付き文書を次の装置処理の
ために標準のディジタル・テキスト表現(ASCIIなど)に変換することがで
きる。好ましい実施形態において、信用できる表示プロセッサ260は、OCR
文書の回復を実行するために装備される。
【0094】
OCRを実行するために、OCRアルファベットが、標準的な方法で生成され
、次に記憶されているフォントと突き合わされ、次に標準文字セットに変換され
る。従来のOCRと同じように、曖昧な一致は、ピクスマップとして保存され、
ユーザによる変換のためにフラグが立てられることがある。(これは特に、デー
タにエラーがないため、フォントのタイプとサイズの情報が表示フォーマット・
データFDに既に供給されている場合にはありそうにない。) 極端な事例では
、復元した文書全体を、署名者が署名するつもりだった文書の表示と、人が手作
業で照合しなければならない。
、次に記憶されているフォントと突き合わされ、次に標準文字セットに変換され
る。従来のOCRと同じように、曖昧な一致は、ピクスマップとして保存され、
ユーザによる変換のためにフラグが立てられることがある。(これは特に、デー
タにエラーがないため、フォントのタイプとサイズの情報が表示フォーマット・
データFDに既に供給されている場合にはありそうにない。) 極端な事例では
、復元した文書全体を、署名者が署名するつもりだった文書の表示と、人が手作
業で照合しなければならない。
【0095】
文書復元プロセスはすべて、信用できるプロセスによって行われることが好ま
しい。
しい。
【0096】
前述の好ましい実施形態は、オペレーティング・システムを含むホスト・コン
ピュータ100ソフトウェアがビデオ・データを処理することができる程度以上
に、信用できる表示プロセッサ260が、フレーム・バッファ・メモリ315に
記憶されたビデオ・データに対する直接的かつ排他的なアクセス権を有するとい
う前提に依存する。これは、信用できる表示プロセッサ260が修正を行なわな
い限りビデオ・データを修正することができないことを意味する。
ピュータ100ソフトウェアがビデオ・データを処理することができる程度以上
に、信用できる表示プロセッサ260が、フレーム・バッファ・メモリ315に
記憶されたビデオ・データに対する直接的かつ排他的なアクセス権を有するとい
う前提に依存する。これは、信用できる表示プロセッサ260が修正を行なわな
い限りビデオ・データを修正することができないことを意味する。
【0097】
すべてのコンピュータ・アーキテクチャが、このように構成されるとは限らな
いことを理解されよう。たとえば、いくつかのコンピュータ・アーキテクチャは
、フレーム・バッファ・メモリがメイン・メモリの一部分を構成するように構成
され、したがって単一アドレス空間(SAS)表示システムが構成される。その
ようなシステムの1つの利点は、CPUと表示プロセッサが両方とも、フレーム
・バッファ・メモリにアクセスし、グラフィックス処理オーバヘッドを共有する
ことができ、それによりグラフィックス性能が改善されることである。そのよう
なSASシステムにおける本発明の実施態様は、CPUがまだメモリにアクセス
する可能性があるため、署名している間にバッファ・メモリが安全であるという
前提に依存できないことは明らかである。しかしながら、本発明の実施態様を支
援するようにそのようなSASシステムを修正することができる多数の方法があ
る。たとえば、メモリは、署名操作の間にメモリがCPUからのデータによって
更新されないように、信用できる表示プロセッサからの制御線を備えることがで
きる。メモリ装置自体は、この機能を実行するために特別な論理機構を含むよう
に修正されることが好ましい。あるいは、メモリへのアクセスは、メモリの通常
の制御経路に挿入される他の論理回路によって遮断される。したがって、そのよ
うなシステムは、フレーム・バッファ・メモリ内のビデオ・データを、信用でき
る表示プロセッサではなく信用できる表示プロセッサの許可によってのみ修正す
ることができるという修正された前提に依存する。この前提は、システムが本当
にセキュアである限り、第1の前提と同じくらいセキュア動作に有効なことは明
らかである。
いことを理解されよう。たとえば、いくつかのコンピュータ・アーキテクチャは
、フレーム・バッファ・メモリがメイン・メモリの一部分を構成するように構成
され、したがって単一アドレス空間(SAS)表示システムが構成される。その
ようなシステムの1つの利点は、CPUと表示プロセッサが両方とも、フレーム
・バッファ・メモリにアクセスし、グラフィックス処理オーバヘッドを共有する
ことができ、それによりグラフィックス性能が改善されることである。そのよう
なSASシステムにおける本発明の実施態様は、CPUがまだメモリにアクセス
する可能性があるため、署名している間にバッファ・メモリが安全であるという
前提に依存できないことは明らかである。しかしながら、本発明の実施態様を支
援するようにそのようなSASシステムを修正することができる多数の方法があ
る。たとえば、メモリは、署名操作の間にメモリがCPUからのデータによって
更新されないように、信用できる表示プロセッサからの制御線を備えることがで
きる。メモリ装置自体は、この機能を実行するために特別な論理機構を含むよう
に修正されることが好ましい。あるいは、メモリへのアクセスは、メモリの通常
の制御経路に挿入される他の論理回路によって遮断される。したがって、そのよ
うなシステムは、フレーム・バッファ・メモリ内のビデオ・データを、信用でき
る表示プロセッサではなく信用できる表示プロセッサの許可によってのみ修正す
ることができるという修正された前提に依存する。この前提は、システムが本当
にセキュアである限り、第1の前提と同じくらいセキュア動作に有効なことは明
らかである。
【0098】
たとえば単純なグラフィックス環境における他のアーキテクチャにおいて、表
示プロセッサの機能は、オペレーティング・システム自体の一部を構成すること
があり、それにより別の表示プロセッサ・ハードウェアの要件が除去される。こ
の事例では、CPUに課されるグラフィックス・オーバヘッドが、個別の表示プ
ロセッサ・ハードウェアを備えたシステムよりも大きくなり、それによりプラッ
トフォームのグラフィック性能が制限されることは明らかである。したがって、
「信用できる表示プロセッサ」用の場所がないことは明らかである。しかしなが
ら、当業者は、フレーム・バッファ・メモリを保護しスマートカードと対話する
信用できる表示プロセッサによって提供されるのと同じ機能を、署名の際に表示
システムを(いかなる形でも)制御する適切な信用できるコンポーネントを使用
して実施できることを理解されよう。
示プロセッサの機能は、オペレーティング・システム自体の一部を構成すること
があり、それにより別の表示プロセッサ・ハードウェアの要件が除去される。こ
の事例では、CPUに課されるグラフィックス・オーバヘッドが、個別の表示プ
ロセッサ・ハードウェアを備えたシステムよりも大きくなり、それによりプラッ
トフォームのグラフィック性能が制限されることは明らかである。したがって、
「信用できる表示プロセッサ」用の場所がないことは明らかである。しかしなが
ら、当業者は、フレーム・バッファ・メモリを保護しスマートカードと対話する
信用できる表示プロセッサによって提供されるのと同じ機能を、署名の際に表示
システムを(いかなる形でも)制御する適切な信用できるコンポーネントを使用
して実施できることを理解されよう。
【0099】
本発明の他の実施形態において、信用できるスイッチ135の機能をソフトウ
ェアと置き換えることができる。専用スイッチの動作を待つのではなく信用でき
るスイッチ・プロセス529が活動化されるとき(ステップ630と同じように
)、信用できるコンポーネント260は、乱数発生機能を使用してナンスを文字
列(textual string)の形で生成する。この場合、この文字列は
、信用できる表示装置に、「<文字列>を入力してアクションを確認してくださ
い」という形のメッセージで表示される。効果を確認するために、ユーザは、次
に、キーボード110を使用して所与の文字列を入力しなければならない。文字
列が毎回異なり、また他のソフトウェアは、この文字列に対するアクセス権を持
たないため(これは、信用プロセッサ300と表示装置の間だけに渡る)、悪意
のあるソフトウェアがこの確認プロセスを破壊する可能性はなくなる。
ェアと置き換えることができる。専用スイッチの動作を待つのではなく信用でき
るスイッチ・プロセス529が活動化されるとき(ステップ630と同じように
)、信用できるコンポーネント260は、乱数発生機能を使用してナンスを文字
列(textual string)の形で生成する。この場合、この文字列は
、信用できる表示装置に、「<文字列>を入力してアクションを確認してくださ
い」という形のメッセージで表示される。効果を確認するために、ユーザは、次
に、キーボード110を使用して所与の文字列を入力しなければならない。文字
列が毎回異なり、また他のソフトウェアは、この文字列に対するアクセス権を持
たないため(これは、信用プロセッサ300と表示装置の間だけに渡る)、悪意
のあるソフトウェアがこの確認プロセスを破壊する可能性はなくなる。
【0100】
本発明の他の実施形態において、追加または代替として、信用できる表示プロ
セッサ(または等価物)は、信用できる表示装置を駆動するインタフェースを含
む。信用できる表示は、たとえば、LCDパネル表示装置である。信用できるス
イッチが、信用できる表示プロセッサと対話する信用手段をユーザに提供するの
と同じ方法で、信用できる表示は、標準VDUを介してではなくユーザに情報を
フィード・バックするために信用手段を提供することができる。たとえば、信用
できる表示装置を使用して、署名操作に関する前述のような状況メッセージをユ
ーザに提供することができる。したがって、表示装置が、信用できる表示プロセ
ッサに直接または何らかの形の信用チャネルを介して接続されるため、標準のホ
スト・コンピュータで動作するアプリケーションは、信用できる表示装置にアク
セスできないはずである。本質的には、そのような信用できる表示装置は、前述
のいわゆる「信用インタフェース」に対する付加物である。実際に、追加または
代替として、1つの例が信用できる表示の他の形の信用フィードバック装置が含
まれない根拠はない。たとえば、音響フィードバックを提供するのに何らかの形
の信用音声装置が役立つシナリオがある。
セッサ(または等価物)は、信用できる表示装置を駆動するインタフェースを含
む。信用できる表示は、たとえば、LCDパネル表示装置である。信用できるス
イッチが、信用できる表示プロセッサと対話する信用手段をユーザに提供するの
と同じ方法で、信用できる表示は、標準VDUを介してではなくユーザに情報を
フィード・バックするために信用手段を提供することができる。たとえば、信用
できる表示装置を使用して、署名操作に関する前述のような状況メッセージをユ
ーザに提供することができる。したがって、表示装置が、信用できる表示プロセ
ッサに直接または何らかの形の信用チャネルを介して接続されるため、標準のホ
スト・コンピュータで動作するアプリケーションは、信用できる表示装置にアク
セスできないはずである。本質的には、そのような信用できる表示装置は、前述
のいわゆる「信用インタフェース」に対する付加物である。実際に、追加または
代替として、1つの例が信用できる表示の他の形の信用フィードバック装置が含
まれない根拠はない。たとえば、音響フィードバックを提供するのに何らかの形
の信用音声装置が役立つシナリオがある。
【0101】
本発明の代替の応用例は、電子取引の際に信用インタフェースを提供すること
である。単一の例示的な実施形態において、ユーザは、リモート・コンピュータ
・システムに感知可能データを送ることを望む。ユーザは、リモート・コンピュ
ータ・システム、すなわち実際にそのユーザが使用しているホスト・コンピュー
タが、信用できることを保証することができない。リモート・コンピュータ・シ
ステムに送信している間に感知可能データが無許可の相手によって傍受されるの
を防ぐことを保証し、感知可能データを受け取るときに本物のリモート・コンピ
ュータ・システムだけがその感知可能データを読み取ることができることを保証
するために、ユーザは、本物のリモート・コンピュータ・システムの公開暗号鍵
を使用してデータを暗号化することを望む。この実施形態において、ホスト・コ
ンピュータは、前に詳細に説明したような信用できる画像を回復させ表示するた
めにユーザのスマートカードと対話する信用できるコンポーネントを組み込む。
破壊的アプリケーションではなく信用できるコンポーネントが制御していること
をユーザに指示するために、信用できる画像が、標準VDU画面やLCD表示装
置などの個別の表示装置に表示されることがある。次に、信用できるコンポーネ
ントは、それぞれの公開鍵を含むリモート・コンピュータ・システムの証明書を
回復させ認証するために、リモート・コンピュータ・システムと対話する。公開
鍵により、信用できるコンポーネントは、スマートカードからもそれ自体読み取
られることがある感知可能データを暗号化し、暗号化したデータをリモート・コ
ンピュータ・システムに送る。
である。単一の例示的な実施形態において、ユーザは、リモート・コンピュータ
・システムに感知可能データを送ることを望む。ユーザは、リモート・コンピュ
ータ・システム、すなわち実際にそのユーザが使用しているホスト・コンピュー
タが、信用できることを保証することができない。リモート・コンピュータ・シ
ステムに送信している間に感知可能データが無許可の相手によって傍受されるの
を防ぐことを保証し、感知可能データを受け取るときに本物のリモート・コンピ
ュータ・システムだけがその感知可能データを読み取ることができることを保証
するために、ユーザは、本物のリモート・コンピュータ・システムの公開暗号鍵
を使用してデータを暗号化することを望む。この実施形態において、ホスト・コ
ンピュータは、前に詳細に説明したような信用できる画像を回復させ表示するた
めにユーザのスマートカードと対話する信用できるコンポーネントを組み込む。
破壊的アプリケーションではなく信用できるコンポーネントが制御していること
をユーザに指示するために、信用できる画像が、標準VDU画面やLCD表示装
置などの個別の表示装置に表示されることがある。次に、信用できるコンポーネ
ントは、それぞれの公開鍵を含むリモート・コンピュータ・システムの証明書を
回復させ認証するために、リモート・コンピュータ・システムと対話する。公開
鍵により、信用できるコンポーネントは、スマートカードからもそれ自体読み取
られることがある感知可能データを暗号化し、暗号化したデータをリモート・コ
ンピュータ・システムに送る。
【0102】
信用できるユーザ・フィードバックと信用できるユーザ入力装置を提供する信
用できるユーザ・インタフェースの概念が価値を持つ他の多数の用途、特に電子
商取引用途がある。したがって、本発明は、前述のいくつかの実施形態に制限さ
れるように解釈されるべきでなく、特許請求の範囲の言語によってのみ制限され
るべきである。
用できるユーザ・インタフェースの概念が価値を持つ他の多数の用途、特に電子
商取引用途がある。したがって、本発明は、前述のいくつかの実施形態に制限さ
れるように解釈されるべきでなく、特許請求の範囲の言語によってのみ制限され
るべきである。
【図1】本発明の好ましい実施形態により動作するのに適したコンピュータ
・システムを示す図である。
・システムを示す図である。
【図2】本発明の好ましい実施形態により動作するのに適したホスト・コン
ピュータのハードウェア・アーキテクチャを示す図である。
ピュータのハードウェア・アーキテクチャを示す図である。
【図3】本発明の好ましい実施形態により動作するのに適した信用できる表
示プロセッサのハードウェア・アーキテクチャを示す図である。
示プロセッサのハードウェア・アーキテクチャを示す図である。
【図4】本発明の好ましい実施形態により動作するのに適したスマートカー
ド処理エンジンのハードウェア・アーキテクチャを示す図である。
ド処理エンジンのハードウェア・アーキテクチャを示す図である。
【図5】本発明の好ましい実施形態により動作するのに適した信用できる表
示プロセッサおよびスマートカードを含むホスト・コンピュータの機能的アーキ
テクチャを示す図である。
示プロセッサおよびスマートカードを含むホスト・コンピュータの機能的アーキ
テクチャを示す図である。
【図6】文書の個々の署名の生成に伴うステップを示す流れ図である。
【図7】図6に連続する流れ図である。
【図8】図7に連続する流れ図である。
【図9】(a)は、スマートカードからシール画像データを回復させるため
に、信用できる表示プロセッサとスマートカードの間の一連のメッセージを示す
図、(b)は、文書画像の署名を生成するために、信用できる表示プロセッサと
スマートカードの間の一連のメッセージを示す図、(c)は、文書画像署名プロ
セスの要約の署名を生成するための信用できる表示プロセッサとスマートカード
の間の一連のメッセージを示す図である。
に、信用できる表示プロセッサとスマートカードの間の一連のメッセージを示す
図、(b)は、文書画像の署名を生成するために、信用できる表示プロセッサと
スマートカードの間の一連のメッセージを示す図、(c)は、文書画像署名プロ
セスの要約の署名を生成するための信用できる表示プロセッサとスマートカード
の間の一連のメッセージを示す図である。
【図10】(a)は、例示的な信用できる画像を示す図、(b)、(c)、
(d)は、文書画像に署名する際の視覚的ステップを示す図である。
(d)は、文書画像に署名する際の視覚的ステップを示す図である。
【図11】(e)、(f)、(g)は、署名する文書の画像を強調表示する
もう1つの方法を示す図である。
もう1つの方法を示す図である。
100 コンピュータ
105 視覚的表示装置
110 キーボード
115 マウス
120 スマートカード・リーダ
122 スマート・カード
125 ローカル・エリア・ネットワーク
130 インターネット
135 信用できるスイッチ
200 中央処理装置
205 RAM
210 ROM
215 マザーボード
220 PCIブリッジ
225 PCIバス
235 SCSIバス
240 ハード・ディスク・ドライブ
245 CD−ROM
250 LANアダプタ
255 入出力装置
260 信用できる表示プロセッサ
300 マイクロコントローラ
305 不揮発性メモリ
310 インタフェース
315 フレーム・バッファ・メモリ
320 ディジタル・アナログ変換器
325 ビデオ・インタフェース
330 インタフェース
335 揮発性メモリ
340 暗号プロセッサ
345 不揮発性メモリ
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 バラシェフ・ボリス
イギリス国ビーエス8 4エルティー ブ
リストル、ホットウェルズ、グランバイ・
ヒル、ラットランド・ハウス 7
(72)発明者 リクン・チェン
イギリス国ビーエス32 9ディーキュー
ブリストル、ブラッドリー・ストーク、ハ
ーベスト・クロース 1
(72)発明者 チャン・デイヴィッド
アメリカ合衆国95030カリフォルニア州モ
ンテ・セレーノ、メイズ・アベニュー
16112
Fターム(参考) 5B017 AA07 BA07 CA16
5E501 AA02 AC42 BA13 CA03 CB02
CB09 EA01 FA13 FA14 FA23
FA42 FB34
5J104 AA09 LA03 LA05 LA06 NA12
NA33 PA10
Claims (24)
- 【請求項1】信用できる動作モードで動作することができるデータ処理シス
テムであって、 少なくとも1つのアプリケーション・プロセスを実行する主処理手段と、 信用できるプロセスを信用できる動作モードで実行する手段、およびユーザ・
フィードバック信号を生成する手段を含む信用できるコンポーネントと、 少なくとも1つのユーザ・フィードバック装置と、 前記ユーザ・フィードバック信号を受け取り、前記信号に基づいて前記ユーザ
・フィードバック装置を制御するユーザ・フィードバック処理手段とを含み、 前記信用できるコンポーネントが、前記ユーザ・フィードバック処理手段を制
御して、前記ユーザ・フィードバック装置に、前記データ処理システムが信用で
きる動作モードで動作しているという指示を提供させる手段を含むデータ処理シ
ステム。 - 【請求項2】セキュア通信経路を介して前記信用できるコンポーネントと通
信する安全なユーザ入力手段をさらに含み、それにより、ユーザが、前記信用で
きるプロセスとセキュアに対話することができる請求項1に記載のデータ処理シ
ステム。 - 【請求項3】前記主処理手段が、少なくとも1つのアプリケーション・プロ
セスを実行し、表示される主画像を特徴づける信号を生成する手段を含み、 前記ユーザ・フィードバック処理手段が、前記信号を受け取り、前記主画像を
表示する視覚的表示装置を駆動するためのそれぞれの表示信号を生成する表示処
理手段を含み、 前記信用できるコンポーネントは、前記データ処理システムが前記信用できる
動作モードで動作していることをユーザに指示するために、信用できる画像デー
タを取得しかつ/または生成する手段と、前記表示処理手段を制御してそれぞれ
の信用できる画像を前記主画像の少なくとも一部分と組み合わせる手段を含む請
求項1または請求項2に記載のデータ処理システム。 - 【請求項4】取外し可能な安全なトークンからデータを読み取りかつ/また
はそこにデータを書き込むための安全なトークン・リーダと、前記信用できる画
像を特徴づけるデータを含む取外し可能なトークンとをさらに含み、前記信用で
きるコンポーネントが、前記データを前記安全なトークンから受け取る手段を含
む請求項3に記載のデータ処理システム。 - 【請求項5】前記信用できるコンポーネントと前記安全なトークンがそれぞ
れ、前記信用できるプロセスを実行するために他方と対話する手段を含む請求項
3または請求項4に記載のデータ処理システム。 - 【請求項6】前記信用できるコンポーネントが、前記表示処理手段を制御し
て、前記信用できる画像を前記主画像と組み合わせて、前記信用できるプロセス
の実行と関連するように前記主画像の少なくとも一部分を強調表示する手段を含
む請求項5に記載のデータ処理システム。 - 【請求項7】前記信用できるコンポーネントが、実質的に前記データ処理シ
ステムが前記信用できるプロセスを実行している間に、前記主画像の少なくとも
強調表示された部分の前記表示処理手段による修正を防ぐ手段を含む請求項6に
記載のデータ処理システム。 - 【請求項8】前記信用できるコンポーネントが、前記安全なトークンと対話
して前記主画像の少なくとも一部分のディジタル署名の特徴を生成することを含
む信用できるプロセスを実行する手段を含む請求項5から7のいずれかに記載の
データ処理システム。 - 【請求項9】前記信用できるコンポーネントが、前記安全なトークンの前記
識別を検証する手段を含む請求項4から8のいずれかに記載のデータ処理システ
ム。 - 【請求項10】前記安全なトークンが、前記信用できるコンポーネントの前
記識別を検証する手段を含む請求項4から9のいずれかに記載のデータ処理シス
テム。 - 【請求項11】前記信用できるコンポーネントと前記安全なトークンがそれ
ぞれ、不揮発性メモリを含む請求項4から10のいずれかに記載のデータ処理シ
ステム。 - 【請求項12】前記信用できるコンポーネントと前記安全なトークンがそれ
ぞれ、それぞれの不揮発性メモリにそれぞれの秘密暗号鍵を保持する請求項11
に記載のデータ処理システム。 - 【請求項13】前記信用できるコンポーネントと前記安全なトークンがそれ
ぞれ、それぞれの秘密鍵により秘密/公開鍵ペアを構成する公開鍵を含むディジ
タル証明書を含む請求項12に記載のデータ処理システム。 - 【請求項14】前記信用できるコンポーネントと前記安全なトークンがそれ
ぞれ、他方から暗号化データを受け取り、かつそのそれぞれの秘密鍵を使用して
、前記暗号化データを復号しかつ/または前記対応する公開鍵を使用して前記暗
号化データが暗号化されたことを検証する請求項13に記載のデータ処理システ
ム。 - 【請求項15】前記信用できる画像を特徴づけるデータが、前記安全なトー
クンによって圧縮形式で記憶され、前記信用できるコンポーネントが、前記デー
タを展開する手段を含む請求項4から14のいずれかに記載のデータ処理システ
ム。 - 【請求項16】前記信用できる画像を特徴づける前記データが、前記安全な
トークンによって暗号化された形で記憶され、前記信用できるコンポーネントが
、前記データを復号しかつ/または前記データが対応する暗号キーを使用して暗
号化されたことを検証する手段を含む請求項4から15のいずれかに記載のデー
タ処理システム。 - 【請求項17】前記信用できる画像を特徴づける前記データが、一連の指示
を含み、前記信用できるコンポーネントが、前記信用できる画像データを生成す
るために前記指示を解釈する手段を含む請求項4から16のいずれかに記載のデ
ータ処理システム。 - 【請求項18】前記信用できるコンポーネントが、前記表示処理手段を制御
して、 前記信用できる画像によって特徴づけられかつ前記主画像またはその一部分を
少なくとも部分的に囲んで配置された境界線または境界線を定義する標識と、 前記主画像またはその一部分の背景の少なくとも一部分を構成する前記信用で
きる画像によって特徴づけられた背景パターンと、 前記主画像またはその一部分に形成された前記信用できる画像によって特徴づ
けられた画像と、および/または、 前記主画像またはその一部分に形成された前記信用できる画像によって特徴づ
けられたテキスト・メッセージの視覚効果のうちの1つまたは複数を生成するこ
とによって前記主画像またはその一部分を強調表示する請求項6に記載のデータ
処理システム。 - 【請求項19】表示処理手段が、フレーム・バッファ・メモリと、 前記主処理手段から受け取った前記信号に基づいて前記主画像を表す画素デー
タを生成する画素ジェネレータと、 前記フレーム・バッファ・メモリ内の前記画素データを更新するフレーム・バ
ッファ・リフレッシャと、 前記フレーム・バッファ・メモリから前記画素データを繰返し読み取り、前記
視覚的表示装置を駆動するのに適した信号を生成し、前記信号を、前記画像を表
示する前記視覚的表示装置に送るビデオ・コントローラとを含み、 前記信用できるコンポーネントが、前記他の画像を前記主画像と組み合わせる
ために、前記信用できる画像データまたは前記信用できる画像データから得られ
たデータを、前記フレーム・バッファ・メモリの少なくとも一部分に書き込む手
段を含む請求項3から18のいずれかに記載のデータ処理システム。 - 【請求項20】前記信用できるコンポーネントと前記ユーザ・フィードバッ
ク処理手段が、単一の特定用途向けIC内に実装されるかまたは適切にプログラ
ムされたマイクロコントローラとして実装される請求項3から19のいずれかに
記載のデータ処理システム。 - 【請求項21】前記信用できるプロセスが、複数の段階を含み、前記段階の
うちの少なくとも1つが、前記安全なユーザ入力手段を介した前記信用できるコ
ンポーネントとのユーザ対話によって開始される請求項2に記載のデータ処理シ
ステム。 - 【請求項22】前記信用できるコンポーネントが、改竄防止機能付きである
請求項1から21のいずれかに記載のデータ処理システム。 - 【請求項23】少なくとも1つのアプリケーション・プロセスを実行する主
処理手段と、 信用できるプロセスを信用できる動作モードで実行する手段およびユーザ・フ
ィードバック信号を生成する手段と、 少なくとも1つのユーザ・フィードバック装置と、 前記ユーザ・フィードバック信号を受け取りかつ前記ユーザ・フィードバック
装置用を駆動する各信号を生成するユーザ・フィードバック処理手段とを含み、 前記信用できるプロセスを実行する前記手段が、前記ユーザ・フィードバック
処理手段を制御して、前記ユーザ・フィードバック装置に、前記データ処理シス
テムが信用できる動作モードで動作しているという指示を提供させる手段を含む
システム。 - 【請求項24】前記データ処理システムにおいて信用できるユーザ・インタ
フェースを提供する方法であって、安全なプロセスを実行し、それぞれのユーザ
・フィードバック信号を生成する段階と、前記ユーザ・フィードバック信号に基
づいて、前記データ処理システムが前記安全なプロセスの下で動作していること
を示すようにユーザ・フィードバックを提供する段階とを含む方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP99304162.3 | 1999-05-28 | ||
EP99304162A EP1056014A1 (en) | 1999-05-28 | 1999-05-28 | System for providing a trustworthy user interface |
PCT/GB2000/002005 WO2000073913A1 (en) | 1999-05-28 | 2000-05-25 | System for providing a trustworthy user interface |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2003501723A true JP2003501723A (ja) | 2003-01-14 |
Family
ID=8241417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001500963A Withdrawn JP2003501723A (ja) | 1999-05-28 | 2000-05-25 | 信用できるユーザ・インタフェースを提供するシステム |
Country Status (4)
Country | Link |
---|---|
US (2) | US7302585B1 (ja) |
EP (2) | EP1056014A1 (ja) |
JP (1) | JP2003501723A (ja) |
WO (1) | WO2000073913A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004524780A (ja) * | 2001-04-25 | 2004-08-12 | テレフォンアクチーボラゲット エル エム エリクソン(パブル) | 小型デバイスにおける暗号署名 |
JP2010206277A (ja) * | 2009-02-27 | 2010-09-16 | Nec Corp | 通信方法及び通信システム並びにその処理プログラム |
JP2015133116A (ja) * | 2014-01-13 | 2015-07-23 | モルフォ | 端末上で機密データを入力する方法 |
Families Citing this family (136)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1055990A1 (en) | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | Event logging in a computing platform |
EP1056010A1 (en) | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | Data integrity monitoring in trusted computing entity |
EP1056014A1 (en) | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | System for providing a trustworthy user interface |
EP1085396A1 (en) | 1999-09-17 | 2001-03-21 | Hewlett-Packard Company | Operation of trusted state in computing platform |
US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
US20020026584A1 (en) * | 2000-06-05 | 2002-02-28 | Janez Skubic | Method for signing documents using a PC and a personal terminal device |
ES2167245B1 (es) * | 2000-06-23 | 2003-04-01 | Esignus S L | Firmador externo para pc. |
US6976162B1 (en) | 2000-06-28 | 2005-12-13 | Intel Corporation | Platform and method for establishing provable identities while maintaining privacy |
US6986052B1 (en) | 2000-06-30 | 2006-01-10 | Intel Corporation | Method and apparatus for secure execution using a secure memory partition |
GB0020441D0 (en) | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Performance of a service on a computing platform |
GB2376763B (en) | 2001-06-19 | 2004-12-15 | Hewlett Packard Co | Demonstrating integrity of a compartment of a compartmented operating system |
US7818808B1 (en) | 2000-12-27 | 2010-10-19 | Intel Corporation | Processor mode for limiting the operation of guest software running on a virtual machine supported by a virtual machine monitor |
GB2370709A (en) * | 2000-12-28 | 2002-07-03 | Nokia Mobile Phones Ltd | Displaying an image and associated visual effect |
GB2372595A (en) * | 2001-02-23 | 2002-08-28 | Hewlett Packard Co | Method of and apparatus for ascertaining the status of a data processing environment. |
GB2372594B (en) | 2001-02-23 | 2004-10-06 | Hewlett Packard Co | Trusted computing environment |
GB2372592B (en) | 2001-02-23 | 2005-03-30 | Hewlett Packard Co | Information system |
US8849716B1 (en) | 2001-04-20 | 2014-09-30 | Jpmorgan Chase Bank, N.A. | System and method for preventing identity theft or misuse by restricting access |
GB2376313A (en) * | 2001-06-04 | 2002-12-11 | Hewlett Packard Co | Indicating to a user if they are connected to a trusted computer platform |
US7689506B2 (en) | 2001-06-07 | 2010-03-30 | Jpmorgan Chase Bank, N.A. | System and method for rapid updating of credit information |
GB2376764B (en) | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments |
GB2376765B (en) | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments with verifiable environment identities |
US7266839B2 (en) * | 2001-07-12 | 2007-09-04 | J P Morgan Chase Bank | System and method for providing discriminated content to network users |
US7779267B2 (en) * | 2001-09-04 | 2010-08-17 | Hewlett-Packard Development Company, L.P. | Method and apparatus for using a secret in a distributed computing system |
US7024555B2 (en) | 2001-11-01 | 2006-04-04 | Intel Corporation | Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment |
GB2382419B (en) | 2001-11-22 | 2005-12-14 | Hewlett Packard Co | Apparatus and method for creating a trusted environment |
US7987501B2 (en) | 2001-12-04 | 2011-07-26 | Jpmorgan Chase Bank, N.A. | System and method for single session sign-on |
US7480806B2 (en) * | 2002-02-22 | 2009-01-20 | Intel Corporation | Multi-token seal and unseal |
US7631196B2 (en) | 2002-02-25 | 2009-12-08 | Intel Corporation | Method and apparatus for loading a trustable operating system |
US7124273B2 (en) | 2002-02-25 | 2006-10-17 | Intel Corporation | Method and apparatus for translating guest physical addresses in a virtual machine environment |
US7069442B2 (en) | 2002-03-29 | 2006-06-27 | Intel Corporation | System and method for execution of a secured environment initialization instruction |
GB2387678B (en) * | 2002-04-18 | 2005-10-12 | Hewlett Packard Co | Apparatus for remote working |
GB0212308D0 (en) * | 2002-05-28 | 2002-07-10 | Symbian Ltd | Trusted user interface for a secure mobile wireless device |
US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
US8301493B2 (en) | 2002-11-05 | 2012-10-30 | Jpmorgan Chase Bank, N.A. | System and method for providing incentives to consumers to share information |
DE10260135B4 (de) * | 2002-12-20 | 2006-11-09 | OCé PRINTING SYSTEMS GMBH | Verfahren, Computerprogrammprodukt und Dokumentenausgabesystem zur Verarbeitung eines Dokumentendatenstroms |
US7900017B2 (en) | 2002-12-27 | 2011-03-01 | Intel Corporation | Mechanism for remapping post virtual machine memory pages |
US8079034B2 (en) | 2003-09-15 | 2011-12-13 | Intel Corporation | Optimizing processor-managed resources based on the behavior of a virtual machine monitor |
US7739521B2 (en) | 2003-09-18 | 2010-06-15 | Intel Corporation | Method of obscuring cryptographic computations |
US7930412B2 (en) * | 2003-09-30 | 2011-04-19 | Bce Inc. | System and method for secure access |
US8156343B2 (en) | 2003-11-26 | 2012-04-10 | Intel Corporation | Accessing private data about the state of a data processing machine from storage that is publicly accessible |
US8037314B2 (en) | 2003-12-22 | 2011-10-11 | Intel Corporation | Replacing blinded authentication authority |
US7802085B2 (en) | 2004-02-18 | 2010-09-21 | Intel Corporation | Apparatus and method for distributing private keys to an entity with minimal secret, unique information |
US7620949B2 (en) | 2004-03-31 | 2009-11-17 | Intel Corporation | Method and apparatus for facilitating recognition of an open event window during operation of guest software in a virtual machine environment |
US8621242B2 (en) | 2004-06-11 | 2013-12-31 | Arm Limited | Display of a verification image to confirm security |
EP1605330A1 (en) | 2004-06-11 | 2005-12-14 | ARM Limited | Secure operation indicator |
JP2006050504A (ja) * | 2004-08-09 | 2006-02-16 | Canon Inc | 画像処理装置およびその方法 |
US7707642B1 (en) * | 2004-08-31 | 2010-04-27 | Adobe Systems Incorporated | Document access auditing |
US7840962B2 (en) | 2004-09-30 | 2010-11-23 | Intel Corporation | System and method for controlling switching between VMM and VM using enabling value of VMM timer indicator and VMM timer value having a specified time |
US8146078B2 (en) | 2004-10-29 | 2012-03-27 | Intel Corporation | Timer offsetting mechanism in a virtual machine environment |
US8924728B2 (en) | 2004-11-30 | 2014-12-30 | Intel Corporation | Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information |
US7457960B2 (en) * | 2004-11-30 | 2008-11-25 | Analog Devices, Inc. | Programmable processor supporting secure mode |
GB2421093A (en) * | 2004-12-07 | 2006-06-14 | Symbian Software Ltd | Trusted user interface |
DE102004062203B4 (de) * | 2004-12-23 | 2007-03-08 | Infineon Technologies Ag | Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung |
US8533777B2 (en) | 2004-12-29 | 2013-09-10 | Intel Corporation | Mechanism to determine trust of out-of-band management agents |
WO2006069428A1 (en) * | 2004-12-30 | 2006-07-06 | Bce Inc. | System and method for secure access |
US7395405B2 (en) | 2005-01-28 | 2008-07-01 | Intel Corporation | Method and apparatus for supporting address translation in a virtual machine environment |
US7917761B2 (en) * | 2005-03-21 | 2011-03-29 | Microsoft Corporation | Digitally signing an electronic document with a user-entered signature image |
EP2194476B1 (en) | 2005-03-22 | 2014-12-03 | Hewlett-Packard Development Company, L.P. | Method and apparatus for creating a record of a software-verification attestation |
FR2888348A1 (fr) * | 2005-07-05 | 2007-01-12 | France Telecom | Procede et dispositif de dematerialisation permettant de garantir l'integrite d'une image numerique, notamment signee |
US7809957B2 (en) | 2005-09-29 | 2010-10-05 | Intel Corporation | Trusted platform module for generating sealed data |
US8112798B2 (en) * | 2005-11-09 | 2012-02-07 | Microsoft Corporation | Hardware-aided software code measurement |
EP1788507A3 (fr) * | 2005-11-16 | 2010-04-07 | Ingenico SA | Terminal de transaction électronique pouvant fonctionner en mode sécurisé et en mode non sécurisé, ainsi que méthode adaptée au dispositif |
FR2898448A1 (fr) * | 2006-03-07 | 2007-09-14 | France Telecom | Authentification d'un dispositif informatique au niveau utilisateur |
US8014530B2 (en) | 2006-03-22 | 2011-09-06 | Intel Corporation | Method and apparatus for authenticated, recoverable key distribution with no database secrets |
US7992203B2 (en) | 2006-05-24 | 2011-08-02 | Red Hat, Inc. | Methods and systems for secure shared smartcard access |
US8180741B2 (en) * | 2006-06-06 | 2012-05-15 | Red Hat, Inc. | Methods and systems for providing data objects on a token |
US8495380B2 (en) | 2006-06-06 | 2013-07-23 | Red Hat, Inc. | Methods and systems for server-side key generation |
US8364952B2 (en) | 2006-06-06 | 2013-01-29 | Red Hat, Inc. | Methods and system for a key recovery plan |
US7822209B2 (en) | 2006-06-06 | 2010-10-26 | Red Hat, Inc. | Methods and systems for key recovery for a token |
US8332637B2 (en) | 2006-06-06 | 2012-12-11 | Red Hat, Inc. | Methods and systems for nonce generation in a token |
US8098829B2 (en) | 2006-06-06 | 2012-01-17 | Red Hat, Inc. | Methods and systems for secure key delivery |
US8099765B2 (en) | 2006-06-07 | 2012-01-17 | Red Hat, Inc. | Methods and systems for remote password reset using an authentication credential managed by a third party |
US8707024B2 (en) | 2006-06-07 | 2014-04-22 | Red Hat, Inc. | Methods and systems for managing identity management security domains |
US8412927B2 (en) | 2006-06-07 | 2013-04-02 | Red Hat, Inc. | Profile framework for token processing system |
US8589695B2 (en) | 2006-06-07 | 2013-11-19 | Red Hat, Inc. | Methods and systems for entropy collection for server-side key generation |
US9769158B2 (en) | 2006-06-07 | 2017-09-19 | Red Hat, Inc. | Guided enrollment and login for token users |
GB0615015D0 (en) | 2006-07-28 | 2006-09-06 | Hewlett Packard Development Co | Secure use of user secrets on a computing platform |
US8806219B2 (en) | 2006-08-23 | 2014-08-12 | Red Hat, Inc. | Time-based function back-off |
US8787566B2 (en) | 2006-08-23 | 2014-07-22 | Red Hat, Inc. | Strong encryption |
US8074265B2 (en) | 2006-08-31 | 2011-12-06 | Red Hat, Inc. | Methods and systems for verifying a location factor associated with a token |
US8327155B2 (en) * | 2006-08-31 | 2012-12-04 | The Invention Science Fund I, Llc | Screening for masquerading content |
US8977844B2 (en) | 2006-08-31 | 2015-03-10 | Red Hat, Inc. | Smartcard formation with authentication keys |
US8640248B2 (en) * | 2006-08-31 | 2014-01-28 | The Invention Science Fund I, Llc | Handling masquerading elements |
US9038154B2 (en) | 2006-08-31 | 2015-05-19 | Red Hat, Inc. | Token Registration |
US8356342B2 (en) | 2006-08-31 | 2013-01-15 | Red Hat, Inc. | Method and system for issuing a kill sequence for a token |
US9747426B2 (en) * | 2006-08-31 | 2017-08-29 | Invention Science Fund I, Llc | Handling masquerading elements |
US8555396B2 (en) * | 2006-08-31 | 2013-10-08 | The Invention Science Fund I, Llc | Authenticatable displayed content |
US7913292B2 (en) | 2006-10-18 | 2011-03-22 | Microsoft Corporation | Identification and visualization of trusted user interface objects |
US8693690B2 (en) | 2006-12-04 | 2014-04-08 | Red Hat, Inc. | Organizing an extensible table for storing cryptographic objects |
US8095977B2 (en) * | 2007-01-19 | 2012-01-10 | Microsoft Corporation | Secure PIN transmission |
US8813243B2 (en) | 2007-02-02 | 2014-08-19 | Red Hat, Inc. | Reducing a size of a security-related data object stored on a token |
US8832453B2 (en) | 2007-02-28 | 2014-09-09 | Red Hat, Inc. | Token recycling |
US8639940B2 (en) | 2007-02-28 | 2014-01-28 | Red Hat, Inc. | Methods and systems for assigning roles on a token |
US8880889B1 (en) * | 2007-03-02 | 2014-11-04 | Citigroup Global Markets, Inc. | Systems and methods for remote authorization of financial transactions using public key infrastructure (PKI) |
US9081948B2 (en) | 2007-03-13 | 2015-07-14 | Red Hat, Inc. | Configurable smartcard |
US7885999B2 (en) * | 2007-07-05 | 2011-02-08 | Jesse St Marie | Methods and systems for device personalization |
US7949999B1 (en) * | 2007-08-07 | 2011-05-24 | Amazon Technologies, Inc. | Providing support for multiple interface access to software services |
TW200929974A (en) | 2007-11-19 | 2009-07-01 | Ibm | System and method for performing electronic transactions |
US8046586B1 (en) * | 2007-12-14 | 2011-10-25 | Nvidia Corporation | Method and system for determining the compliance of encrypted and non-encrypted display outputs |
US8605097B1 (en) | 2007-12-14 | 2013-12-10 | Nvidia Corporation | Method and system for determining the compliance encrypted and non-encrypted display outputs |
US8301894B2 (en) * | 2008-01-10 | 2012-10-30 | International Business Machines Corporation | Method and apparatus for applying digital signatures to translated content |
US9143329B2 (en) * | 2008-01-30 | 2015-09-22 | Adobe Systems Incorporated | Content integrity and incremental security |
US8793786B2 (en) * | 2008-02-08 | 2014-07-29 | Microsoft Corporation | User indicator signifying a secure mode |
GB2459097B (en) * | 2008-04-08 | 2012-03-28 | Advanced Risc Mach Ltd | A method and apparatus for processing and displaying secure and non-secure data |
US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
EP2113855A1 (de) | 2008-04-28 | 2009-11-04 | Forschungszentrum Karlsruhe GmbH | Verfahren zur Verwaltung und Handhabung mehrerer Betriebssysteme in einem Computer oder Computernetzwerk |
EP2166483A1 (en) * | 2008-09-17 | 2010-03-24 | Tds Todos Data System Ab | Method and device for creating a digital signature |
WO2010071947A1 (en) * | 2008-12-24 | 2010-07-01 | The Commonwealth Of Australia | Digital video guard |
US8817043B2 (en) * | 2009-04-24 | 2014-08-26 | Disney Enterprises, Inc. | System and method for selective viewing of a hidden presentation within a displayed presentation |
US8890892B2 (en) * | 2009-04-24 | 2014-11-18 | Pixar | System and method for steganographic image display |
US8312272B1 (en) * | 2009-06-26 | 2012-11-13 | Symantec Corporation | Secure authentication token management |
KR101072277B1 (ko) * | 2009-08-31 | 2011-10-11 | 주식회사 아나스타시스 | 실시간 데이터 무결성 보장 장치 및 방법과 이를 이용한 블랙박스 시스템 |
US8490179B2 (en) | 2009-10-27 | 2013-07-16 | Hewlett-Packard Development Company, L.P. | Computing platform |
EP2354994A1 (en) * | 2009-12-30 | 2011-08-10 | Gemalto SA | Secure signature creation application using a TPM comprising a middleware stack |
GB2484717B (en) * | 2010-10-21 | 2018-06-13 | Advanced Risc Mach Ltd | Security provision for a subject image displayed in a non-secure domain |
US20130179768A1 (en) * | 2012-01-05 | 2013-07-11 | International Business Machines Corporation | Differentiated Information Display For Certified and Uncertified Web Page Versions |
US8938780B2 (en) | 2012-03-27 | 2015-01-20 | Telefonaktiebolaget L M Ericsson (Publ) | Display authentication |
US20140067673A1 (en) * | 2012-09-05 | 2014-03-06 | Mads Lanrok | Trusted user interface and touchscreen |
GB2515449A (en) * | 2013-03-15 | 2014-12-31 | Wonga Technology Ltd | Method and system for User Acceptability |
US20140324414A1 (en) * | 2013-04-28 | 2014-10-30 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for displaying emoticon |
US9811857B2 (en) * | 2014-03-27 | 2017-11-07 | Bank Of America Corporation | Document calculator |
US9786004B2 (en) | 2014-03-27 | 2017-10-10 | Bank Of America Corporation | Obtaining missing documents from user |
DE102014110859A1 (de) * | 2014-07-31 | 2016-02-04 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung einer digitalen Signatur |
FR3026207B1 (fr) * | 2014-09-22 | 2018-08-17 | Prove & Run | Terminal a affichage securise |
FR3026524B1 (fr) | 2014-09-25 | 2016-10-28 | Morpho | Authentification d'un dispositif electronique securise depuis un dispositif electronique non securise |
CN104361302B (zh) * | 2014-10-21 | 2017-10-17 | 天津三星电子有限公司 | 一种基于通讯设备的保护隐私信息的方法和通讯设备 |
US20160203456A1 (en) * | 2015-01-09 | 2016-07-14 | Toshiba Global Commerce Solutions Holdings Corporation | Point-of-sale apparatus, control method, and system thereof for outputting receipt image for a camera of a personal computing device |
EP3104320B1 (fr) * | 2015-06-12 | 2018-08-15 | EM Microelectronic-Marin SA | Procédé de programmation de données bancaires dans un circuit intégré d'une montre |
EP3424194B1 (en) * | 2016-03-01 | 2020-12-02 | Qualcomm Incorporated | User interface for tee execution of a device |
US10129229B1 (en) * | 2016-08-15 | 2018-11-13 | Wickr Inc. | Peer validation |
US10320571B2 (en) * | 2016-09-23 | 2019-06-11 | Microsoft Technology Licensing, Llc | Techniques for authenticating devices using a trusted platform module device |
US20210166227A1 (en) * | 2019-11-28 | 2021-06-03 | Qualcomm Incorporated | Secure User Interface With Improved User Experience |
CN112149132B (zh) * | 2020-09-08 | 2021-06-25 | 北京工业大学 | 一种主动免疫的大数据可信计算平台 |
US11646896B1 (en) | 2021-04-15 | 2023-05-09 | National Technology & Engineering Solutions Of Sandia, Llc | Systems and methods for verification and authentication of remote sensing imagery |
CN113486353B (zh) * | 2021-06-24 | 2023-08-01 | 邦彦技术股份有限公司 | 可信度量方法、系统、设备及存储介质 |
CN113468615B (zh) * | 2021-06-24 | 2023-08-01 | 邦彦技术股份有限公司 | 可信度量方法、可信芯片、逻辑控制器及可信度量系统 |
Family Cites Families (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB204412A (en) | 1922-06-30 | 1923-10-01 | Hugh Snowie Jones | Improvements in and relating to locking means for suspender clips for stockings, socks and the like |
US5214702A (en) | 1988-02-12 | 1993-05-25 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
US5005200A (en) | 1988-02-12 | 1991-04-02 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
US5280583A (en) * | 1988-05-13 | 1994-01-18 | Hitachi, Ltd. | System and method for performing interlocution at a plurality of terminals connected to communication network |
US5596718A (en) * | 1992-07-10 | 1997-01-21 | Secure Computing Corporation | Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor |
US5361359A (en) | 1992-08-31 | 1994-11-01 | Trusted Information Systems, Inc. | System and method for controlling the use of a computer |
KR100326646B1 (ko) | 1993-08-27 | 2002-07-31 | 제프리 에이. 노리스 | 폐루프금융거래방법및장치 |
TW242206B (ja) * | 1993-08-27 | 1995-03-01 | At & T Corp | |
US5572590A (en) | 1994-04-12 | 1996-11-05 | International Business Machines Corporation | Discrimination of malicious changes to digital information using multiple signatures |
US5473692A (en) * | 1994-09-07 | 1995-12-05 | Intel Corporation | Roving software license for a hardware agent |
ATE305682T1 (de) | 1994-07-19 | 2005-10-15 | Certco Llc | Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem |
EP0715241B1 (en) * | 1994-10-27 | 2004-01-14 | Mitsubishi Corporation | Apparatus for data copyright management system |
US5701343A (en) * | 1994-12-01 | 1997-12-23 | Nippon Telegraph & Telephone Corporation | Method and system for digital information protection |
JPH10510540A (ja) * | 1994-12-12 | 1998-10-13 | オメロス メディカル システムズ,インコーポレーテッド | 灌注用溶液並びに疼痛、炎症及びけいれんの抑制法 |
DE69521977T2 (de) | 1994-12-13 | 2002-04-04 | Ibm | Verfahren und System zur gesicherten Programmenverteilung |
US7505945B2 (en) | 1995-02-08 | 2009-03-17 | Cryptomathic A/S | Electronic negotiable documents |
US5619571A (en) | 1995-06-01 | 1997-04-08 | Sandstrom; Brent B. | Method for securely storing electronic records |
JPH09237299A (ja) * | 1996-02-29 | 1997-09-09 | Hitachi Ltd | 電子財布 |
US6490049B1 (en) * | 1996-04-04 | 2002-12-03 | Lexmark International, Inc. | Image forming apparatus with controlled access |
US6286102B1 (en) * | 1996-04-30 | 2001-09-04 | International Business Machines Corporation | Selective wireless disablement for computers passing through a security checkpoint |
JP3540511B2 (ja) | 1996-06-18 | 2004-07-07 | 株式会社東芝 | 電子署名検証装置 |
US6121974A (en) * | 1996-06-27 | 2000-09-19 | Cirrus Logic, Inc. | Priority storage system for fast memory devices |
US5903732A (en) | 1996-07-03 | 1999-05-11 | Hewlett-Packard Company | Trusted gateway agent for web server programs |
US5953528A (en) | 1996-10-30 | 1999-09-14 | Electronic Data Systems Corporation | Knowledge object registration |
US5953538A (en) | 1996-11-12 | 1999-09-14 | Digital Equipment Corporation | Method and apparatus providing DMA transfers between devices coupled to different host bus bridges |
US6023765A (en) | 1996-12-06 | 2000-02-08 | The United States Of America As Represented By The Secretary Of Commerce | Implementation of role-based access control in multi-level secure systems |
US5907619A (en) | 1996-12-20 | 1999-05-25 | Intel Corporation | Secure compressed imaging |
US6029245A (en) | 1997-03-25 | 2000-02-22 | International Business Machines Corporation | Dynamic assignment of security parameters to web pages |
US5990912A (en) * | 1997-06-27 | 1999-11-23 | S3 Incorporated | Virtual address access to tiled surfaces |
US6018724A (en) * | 1997-06-30 | 2000-01-25 | Sun Micorsystems, Inc. | Method and apparatus for authenticating on-line transaction data |
US6057862A (en) | 1997-07-01 | 2000-05-02 | Memtrax Llc | Computer system having a common display memory and main memory |
GB9715256D0 (en) | 1997-07-21 | 1997-09-24 | Rank Xerox Ltd | Token-based docement transactions |
US6044158A (en) * | 1997-08-01 | 2000-03-28 | Motorola, Inc. | Method and apparatus for communicating secure data over a telephone line using a cellular encryption apparatus |
EP0926605A1 (en) | 1997-11-19 | 1999-06-30 | Hewlett-Packard Company | Browser system |
US6453416B1 (en) | 1997-12-19 | 2002-09-17 | Koninklijke Philips Electronics N.V. | Secure proxy signing device and method of use |
JP3594782B2 (ja) * | 1997-12-25 | 2004-12-02 | 富士通株式会社 | チャットシステムにおける背景画像表示制御システムおよびそのシステムでの処理をコンピュータに行わせるためのプログラムを記録した記録媒体 |
US6757826B1 (en) | 1998-04-14 | 2004-06-29 | Citicorp Development Center, Inc. | Digital graphic signature system |
US6092202A (en) * | 1998-05-22 | 2000-07-18 | N*Able Technologies, Inc. | Method and system for secure transactions in a computer system |
US6330670B1 (en) | 1998-10-26 | 2001-12-11 | Microsoft Corporation | Digital rights management operating system |
US6138239A (en) | 1998-11-13 | 2000-10-24 | N★Able Technologies, Inc. | Method and system for authenticating and utilizing secure resources in a computer system |
US6282535B1 (en) | 1998-11-13 | 2001-08-28 | Unisys Corporation | Digital signaturing method and system for wrapping multiple files into a container for open network transport and for burning onto CD-ROM. |
AUPP728398A0 (en) | 1998-11-25 | 1998-12-17 | Commonwealth Of Australia, The | High assurance digital signatures |
US20020059364A1 (en) * | 1999-02-08 | 2002-05-16 | Christopher M Coulthard | Content certification |
GB9905056D0 (en) | 1999-03-05 | 1999-04-28 | Hewlett Packard Co | Computing apparatus & methods of operating computer apparatus |
JP4812168B2 (ja) | 1999-02-15 | 2011-11-09 | ヒューレット・パッカード・カンパニー | 信用コンピューティング・プラットフォーム |
EP1030237A1 (en) | 1999-02-15 | 2000-08-23 | Hewlett-Packard Company | Trusted hardware device in a computer |
EP1159662B2 (en) | 1999-03-05 | 2010-10-06 | Hewlett-Packard Company | Smartcard user interface for trusted computing platform |
US20020012432A1 (en) | 1999-03-27 | 2002-01-31 | Microsoft Corporation | Secure video card in computing device having digital rights management (DRM) system |
US6671805B1 (en) | 1999-06-17 | 2003-12-30 | Ilumin Corporation | System and method for document-driven processing of digitally-signed electronic documents |
US6615166B1 (en) | 1999-05-27 | 2003-09-02 | Accenture Llp | Prioritizing components of a network framework required for implementation of technology |
EP1056014A1 (en) | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | System for providing a trustworthy user interface |
US6959382B1 (en) | 1999-08-16 | 2005-10-25 | Accela, Inc. | Digital signature service |
EP1085396A1 (en) | 1999-09-17 | 2001-03-21 | Hewlett-Packard Company | Operation of trusted state in computing platform |
US6606744B1 (en) | 1999-11-22 | 2003-08-12 | Accenture, Llp | Providing collaborative installation management in a network-based supply chain environment |
US7162525B2 (en) | 2001-08-07 | 2007-01-09 | Nokia Corporation | Method and system for visualizing a level of trust of network communication operations and connection of servers |
-
1999
- 1999-05-28 EP EP99304162A patent/EP1056014A1/en not_active Withdrawn
-
2000
- 2000-05-25 EP EP00935332A patent/EP1181645B1/en not_active Expired - Lifetime
- 2000-05-25 US US09/979,905 patent/US7302585B1/en not_active Expired - Fee Related
- 2000-05-25 JP JP2001500963A patent/JP2003501723A/ja not_active Withdrawn
- 2000-05-25 WO PCT/GB2000/002005 patent/WO2000073913A1/en active Application Filing
-
2007
- 2007-09-25 US US11/861,127 patent/US7904730B2/en not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004524780A (ja) * | 2001-04-25 | 2004-08-12 | テレフォンアクチーボラゲット エル エム エリクソン(パブル) | 小型デバイスにおける暗号署名 |
JP2010206277A (ja) * | 2009-02-27 | 2010-09-16 | Nec Corp | 通信方法及び通信システム並びにその処理プログラム |
JP2015133116A (ja) * | 2014-01-13 | 2015-07-23 | モルフォ | 端末上で機密データを入力する方法 |
Also Published As
Publication number | Publication date |
---|---|
US7904730B2 (en) | 2011-03-08 |
EP1181645B1 (en) | 2011-08-03 |
EP1056014A1 (en) | 2000-11-29 |
US7302585B1 (en) | 2007-11-27 |
US20080022128A1 (en) | 2008-01-24 |
WO2000073913A1 (en) | 2000-12-07 |
EP1181645A1 (en) | 2002-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4932108B2 (ja) | 文書にデジタル署名するためのシステム | |
JP2003501723A (ja) | 信用できるユーザ・インタフェースを提供するシステム | |
US7457951B1 (en) | Data integrity monitoring in trusted computing entity | |
JP4860856B2 (ja) | コンピュータ装置 | |
EP1224518B1 (en) | Trusted computing platform with biometric authentication | |
JP4746233B2 (ja) | データの使用を制限するトラステッドコンピューティングプラットフォーム | |
US8666065B2 (en) | Real-time data encryption | |
RU2327215C2 (ru) | Системы и способы для защиты выходного сигнала видеоплаты | |
US7222240B2 (en) | Token for storing installation software and drivers | |
CN1808973A (zh) | 通用串行总线人机交互类的信息安全设备及其控制方法 | |
JPH1011509A (ja) | 電子書類セキュリティシステム、電子押印セキュリティシステムおよび電子署名セキュリティシステム | |
US7793097B2 (en) | Extension of X.509 certificates to simultaneously support multiple cryptographic algorithms | |
US8584245B2 (en) | Identifying a trusted computing entity | |
US7565543B1 (en) | System and method for authenticating a web page | |
WO2011080273A1 (en) | Secure signature creation application using a tpm comprising a middleware stack | |
Balacheff et al. | A trusted process to digitally sign a document | |
JP2002236868A (ja) | 電子印鑑システム及び電子印鑑プログラムを記録した記録媒体 | |
WO2022017103A1 (zh) | 一种动态加载加密引擎的方法 | |
CN117751551A (zh) | 用于安全互联网通信的系统和方法 | |
JP2004515098A (ja) | 認証方法と認証装置 | |
Liu et al. | Visually sealed and digitally signed documents | |
CN115151906A (zh) | 利用总线加密来保护设备分离 | |
Elfadil et al. | Graphical handwritten and digital signature Integration for secure PKI | |
JP2000047748A (ja) | Icカードシステム | |
JP2002244551A (ja) | 公開鍵送付元証明デバイス、公開鍵送付元証明方法、公開鍵送付元証明プログラム及びコンピュータ読み取り可能な記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070423 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090519 |