JP2005286448A - 電子署名方法 - Google Patents
電子署名方法 Download PDFInfo
- Publication number
- JP2005286448A JP2005286448A JP2004094119A JP2004094119A JP2005286448A JP 2005286448 A JP2005286448 A JP 2005286448A JP 2004094119 A JP2004094119 A JP 2004094119A JP 2004094119 A JP2004094119 A JP 2004094119A JP 2005286448 A JP2005286448 A JP 2005286448A
- Authority
- JP
- Japan
- Prior art keywords
- electronic signature
- information
- digital data
- information processing
- written
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 センタ・サーバ発行型の電子署名の安全性、信頼性および利便性を向上することを可能にした電子署名方法を提供する。
【解決手段】 クライアント側の情報処理装置40は、電子署名対象ディジタルデータ50に対して電子署名を実施するにあたり、電子署名を実施する前にあらかじめ電子署名対象のディジタルデータ50に追加して書き込む情報31a、31bを電子署名発行機関20から受け取り、その情報31a、31bを電子署名対象のディジタルデータ50に書き込んだ上でダイジェスト値54を電子署名発行機関20に送信し、電子署名発行機関20は当該ダイジェスト値と認証情報32を含む電子署名トークン36を生成してクライアントに返信する。そして、クライアント側で当該電子署名トークン36を電子署名対象ディジタルデータ50に埋め込んで電子署名を実施する。
【選択図】 図2
【解決手段】 クライアント側の情報処理装置40は、電子署名対象ディジタルデータ50に対して電子署名を実施するにあたり、電子署名を実施する前にあらかじめ電子署名対象のディジタルデータ50に追加して書き込む情報31a、31bを電子署名発行機関20から受け取り、その情報31a、31bを電子署名対象のディジタルデータ50に書き込んだ上でダイジェスト値54を電子署名発行機関20に送信し、電子署名発行機関20は当該ダイジェスト値と認証情報32を含む電子署名トークン36を生成してクライアントに返信する。そして、クライアント側で当該電子署名トークン36を電子署名対象ディジタルデータ50に埋め込んで電子署名を実施する。
【選択図】 図2
Description
本発明は、ディジタルデータに関する生成者、当該データの真正性、またはその存在時点などを証明するための電子署名方法に関し、具体的には、電子署名により高い信頼性と安全性を与え、さらにより利便性を向上せしめることができるように工夫した電子署名方法に関するものである。
ディジタルデータに関する生成者、あるいは、当該データの真正性を証明するために実施される電子署名や、電子署名の一種であって、当該ディジタルデータの存在時点を証明するために第3者である時刻認証機関が発行する、自身が所有する正確かつ公正な基準時計に由来する時刻情報を含むディジタルタイムスタンプが実用化されている。
上記のディジタルタイムスタンプ(以後タイムスタンプ)においては、タイムスタンプを要求するクライアント側の情報処理装置の内部時計が示す時刻では、正確性と公正性が検証できないため、前述のような第3者である時刻認証機関にタイムスタンプの発行を依頼することになる。
このとき、タイムスタンプ対象のディジタルデータを情報処理装置の画面上で可視化したり、あるいは、当該ディジタルデータを可視化して印刷したりする場合に、可視化されたディジタルデータ上にタイムスタンプに含まれている時刻認証機関の正確かつ公正な基準時計に由来する時刻情報を可視化して表示したいという要望があり、これを実現するための手段として本出願人は特許文献1を提案している。
特願2004−052679号公報
特許文献1は、タイムスタンプ対象のディジタルデータを可視化する際にタイムスタンプに含まれる時刻情報もあわせて可視化して表示することを実現するための方法を提案している。しかしながら、特許文献1に関する思想をさらに発展せしめると、タイムスタンプにおける当該タイムスタンプに含まれる時刻情報をタイムスタンプ対象ディジタルデータに可視化して表示することだけに限らず、第3者である電子署名発行機関が管理発行する何らかの情報を、可視化だけではなく電子署名対象のディジタルデータに追加して書き加えた後のデータを電子署名の対象とし、情報追加後のデータに対する電子署名を実施することでより信頼性の高い電子署名システムが構築できるものと考えられる。
例えば、クライアントが情報処理装置を使って電子署名対象のディジタルデータを生成し、電子署名の発行を第3者である電子署名発行機関に依頼する時点までは、まったくクライアント側では予測することのできない電子署名発行機関が管理運営する電子署名の受理番号や発行番号、または、印影や電子透かしなどの画像情報、あるいは、電子署名の発行処理を行う電子署名発行機関側の情報処理装置の認識番号または処理担当者の氏名やIDなどが、情報処理装置の画面上においての可視、不可視を問わず、電子署名対象のディジタルデータに電子署名とは別に追加されて書き込まれた後に電子署名を実施することで、より堅牢な電子署名となる。この場合、受理番号や発行番号などは順位と連続性を持つ可変情報と考えられる。
当然、第3者である電子署名機関が正確かつ公正な基準時計を保有し、その基準時計に由来した時刻情報を追加して書き込む情報とした電子署名すなわちタイムスタンプも同様な方法でより信頼性を高めることができる。
従って本発明の技術的課題は、ディジタルデータに関する生成者、当該データの真正性、またはその存在時点などを証明するための電子署名を実施するにあたって、電子署名に対して第3者である電子署名発行機関が管理発行する情報を記録し、さらに、電子署名対象のディジタルデータのデータ領域に当該情報を書き加えることによって、電子署名により高い信頼性と安全性を与えることができると共に、電子署名発行機関が管理する情報をあらかじめ電子署名対象のディジタルデータに書き込んでおくことで、より利便性を向上せしめることを可能にした電子署名方法を提供することである。
上記の技術的課題を解決するために、本発明の請求項1に記載の電子署名方法では、クライアントは、電子署名対象のディジタルデータに電子署名を実施するにあたり、電子署名発行機関に対して電子署名の発行を依頼し、電子署名発行機関は電子署名対象のディジタルデータに対する電子署名の実施に先立って、たとえばネットワーク経由で当該クライアントの情報処理装置に電子署名発行機関が生成する追加して書き込む情報を送信し、クライアントの情報処理装置と電子署名生成ソフトウエアは電子署名対象ディジタルデータに当該追加して書き込む情報を書き込んだ上で、当該追加して書き込む情報を書き込んだ電子署名対象のディジタルデータに対して電子署名を実施することを特徴としている。
また、本発明の請求項2に記載の電子署名方法では、電子署名の発行を要求するクライアントは、ネットワーク接続手段と、各種ディジタルデータを生成あるいは開くための各種アプリケーションソフトウエアと、電子署名生成ソフトウエアと、を有する情報処理装置を所有し、また、電子署名発行機関はネットワーク接続手段と、情報処理装置からなり、当該情報処理装置は追加して書き込む情報を生成する書き込み情報生成手段と、認証情報を生成する認証情報生成手段および暗号化手段からなる電子署名発行手段とを有し、クライアントが電子署名対象ディジタルデータに電子署名を実施する場合、最初にネットワーク経由で電子署名の発行要求を電子署名発行機関の情報処理装置に送信する。
当該電子署名発行要求を受信した電子署名発行機関の情報処理装置は、前記書き込み情報生成手段を用いて生成したクライアントが所有する情報処理装置上で開いている電子署名対象ディジタルデータに追加して書き込む情報を少なくともひとつ送信し、当該電子署名対象のディジタルデータに追加して書き込む情報を受信したクライアントの情報処理装置は、受信した追加して埋め込む情報の数だけ電子署名対象のディジタルデータの複製を生成して、当該複製ディジタルデータそれぞれに前記追加して書き込む情報を追加して書き込んだ新たなディジタルデータ群を生成する。
次に、クライアントの情報処理装置と電子署名生成ソフトウエアは新たなディジタルデータ群それぞれに電子署名を埋め込むための、または追加するための領域を生成して、新たなディジタルデータから電子署名を埋め込むため、または追加するための領域を除いた所定のデータ領域に関するダイジェスト値群をネットワーク経由で電子署名発行機関の情報処理装置に送信する。
当該ダイジェスト値群を受信した電子署名発行機関の情報処理装置は、少なくとも受信したダイジェスト値と、前記認証情報生成手段を用いて生成した認証情報と、からなる電子署名情報を秘密鍵などの前記暗号手段で暗号化して電子署名トークンをダイジェスト値に相当する数だけ生成してクライアントの情報処理装置に返信する。
そして、電子署名トークンを受信したクライアントの情報処理装置と電子署名生成ソフトウエアは、複製ディジタルデータそれぞれに生成した電子署名の埋め込み、または追加領域に対応する電子署名トークンを埋め込むことによって電子署名処理を完了することを特徴としている。
また、本発明の請求項3に記載の電子署名方法では、電子署名発行機関がクライアントに対して複数の前記追加して書き込む情報を返信した場合、クライアントの情報処理装置と電子署名生成ソフトウエアは、電子署名対象のディジタルデータの複数を返信されてきた追加して書き込む情報分だけ生成し、それぞれの複製ディジタルデータに追加して書き込む情報を書き込んだ異なるディジタルデータを作成し、当該ディジタルデータそれぞれに電子署名を埋め込むための、または追加するための領域を生成したうえでディジタルデータから電子署名を埋め込むため、または追加するための領域を除いた所定のデータ領域に関するダイジェスト値を複製ディジタルデータそれぞれについて計算し、当該ダイジェスト値群と対応する追加して書き込む情報をネットワーク経由で電子署名発行機関の情報処理装置に送信する。
次に、上記ダイジェスト値と対応する追加して書き込む情報を受信した電子署名発行機関は、受信した追加して書き込む情報を読み出して認証可能な追加して書き込む情報に対応するダイジェスト値にのみ、少なくとも受信したダイジェスト値と、前記認証情報生成手段を用いて生成する認証情報と、からなる電子署名情報を秘密鍵などの前記暗号化手段で暗号化した電子署名トークンをクライアントの情報処理装置に返信する。このとき、電子署名トークンと一緒に、電子署名情報に含まれるダイジェスト値または追加して書き込む情報をクライアントの情報処理装置が読み出し可能な情報形態に加工した情報、或いは当該電子署名トークンを復号するための公開鍵のうち、少なくともひとつを添付して返信する。
次いで、クライアントの情報処理装置は、受信した電子署名トークンに添付されている、あるいは電子署名トークンを添付されている公開鍵で復号することによって得られるダイジェスト値、または、追加して書き込む情報と一致する情報が追加して書き込まれているディジタルデータを、記憶装置から読み出して、当該電子署名トークンを対応するディジタルデータの電子署名埋め込み領域に埋め込み、他の複数のディジタルデータ群を削除して電子署名処理を完了することを特徴としている。
また、本発明の請求項4に記載の電子署名方法では、前記追加して書き込む情報自体が、認証情報生成手段を用いて生成した認証情報であることを特徴としている。すなわち、当該追加して書き込む情報が電子署名情報に含まれる認証情報として暗号化された電子署名トークンに含まれている状況について述べている。
さらに、本発明の請求項5に記載の電子署名方法では、追加して書き込む情報は電子署名発行機関が生成するテキスト、画像、映像、音声情報などの各種形態のデータや、データをコード化して読取装置により読み出し可能なバーコードなどのデータが符号化された図記号、あるいは電子署名発行機関が保有する時計に由来する時刻情報であることを特徴としている。
また、本発明の請求項6に記載の電子署名方法では、前記電子署名対象ディジタルデータに追加して書き込む情報は、電子署名処理の受領番号や電子署名の発行番号、または電子署名発行機関が保有する基準時計の時刻情報などの数的連続性を持つ可視情報であって、前述のようにクライアントの情報処理装置が電子署名の発行要求を電子署名発行機関に送信すると、電子署名発行機関の現時点における数値、たとえば基準時計の示す現在時刻あるいは現時点で交付可能な受理番号や発行番号などを基準値としてクライアントの情報処理装置に返信する。
当該クライアントの情報処理装置は、電子署名対象のディジタルデータの複製を複数生成して、追加して書き込む情報の基準値および基準値に任意の数値を加えた、異なる情報をそれぞれの複製ディジタルデータに書き込んだうえで、各複製ディジタルデータに電子署名を埋め込む、または追加する領域を生成した後、当該電子署名を埋め込むか、または追加する領域を除いたデータ領域に関するダイジェスト値を複製のディジタルデータそれぞれについて計算し、その結果を電子署名発行機関に送信する。このとき、それぞれのディジタルデータに追加して書き込んだ、異なる情報を事後読み出し可能な情報形態に加工して当該ディジタルデータと対応させたうえで情報処理装置に内蔵、または接続されている記憶装置に保存する。
次に、上記電子署名発行機関は、前記複数のダイジェスト値の受信を開始すると、受信開始した時点で交付可能な前記可変情報を記録し、受信したダイジェスト値群のそれぞれのダイジェスト値と、前記認証情報生成手段を用いて生成した認証情報と、からなる電子署名情報を作成し、当該電子署名情報を前記暗号化手段、たとえば秘密鍵で暗号化した複数の電子署名トークンを生成し、前記受信開始した時点で交付可能な可変情報をクライアント側で読み出し可能な情報形態に加工して添付してクライアントに返信する。
そして、当該クライアントの情報処理装置は、受信した電子署名トークンに添付されている読み出し可能な可変情報と一致する情報が追加して書き込まれているディジタルデータを前記記憶装置から読み出して、当該電子署名トークンを電子署名埋め込み領域に埋め込み、他の電子署名トークンおよび複製のディジタルデータ群を削除することで電子署名処理を完了することを特徴としている。
また、本発明の請求項7に記載の電子署名方法では、前記電子署名対象ディジタルデータに追加して書き込む情報は、電子署名処理の受領番号や電子署名の発行番号、または電子署名発行機関が保有する基準時計の時刻情報などの数的連続性を持つ可変情報であって、前述のようにクライアントの情報処理装置が電子署名の発行要求を電子署名発行機関に送信すると、電子署名発行機関は当該可変情報の現時点における数値、たとえば基準時計の示す現在時刻あるいは現時点で交付可能な受理番号や発行番号などを基準値としてクライアントの情報処理装置に返信する。
次に、上記クライアントの情報処理装置は、電子署名対象のディジタルデータの複製を複数生成して、追加して書き込む情報の基準値および基準値に任意の数値を加えた、異なる情報をそれぞれの複製ディジタルデータに書き込んだうえで、各複製ディジタルデータに電子署名を埋め込む、または追加する領域を生成した後、当該電子署名を埋め込む、または追加する領域を除いたデータ領域に関するダイジェスト値を複製のディジタルデータそれぞれについて計算し、その結果であるそれぞれのダイジェスト値にそれぞれのディジタルデータに追加して書き込んだ、異なる情報を電子署名発行機関が読み出し可能な情報形態に加工して当該ダイジェスト値と対応させて添付して、電子署名発行機関に送信する。そして、複数の複製のディジタルデータ群を情報処理装置に内蔵または接続した記憶装置に保存する。このとき、それぞれのディジタルデータに追加して書き込んだ、異なる情報を事後読み出し可能な情報形態に加工して対応するディジタルデータと一緒に保存することも考えられた。
次に、上記電子署名発行機関は、前記複数のダイジェスト値と当該ダイジェスト値に対応した読み出し可能な、追加して書き込まれている情報の受信を開始すると、受信開始した時点で交付可能な前記可変情報を記録し、当該交付可能な可変情報と一致する情報に対応するダイジェスト値にのみ、当該ダイジェスト値と、前記認証情報生成手段を用いて生成した認証情報と、からなる電子署名情報を作成し、当該電子署名情報を前記暗号化手段、たとえば秘密鍵で暗号化した複数の電子署名トークンを生成してクライアントに返信する。このとき、電子署名情報に含まれるダイジェスト値または前記交付可能な可変情報をクライアントの情報処理装置が読み出し可能な情報形態に加工した情報、あるいは当該電子署名トークンを復号するための公開鍵のうち、少なくともひとつを添付して返信する。
そして、上記クライアントの情報処理装置は、受信した電子署名トークンに添付されている、あるいは、電子署名トークンを添付されている公開鍵で復号することによって得られるダイジェスト値、または、可変情報と一致する情報が追加して書き込まれているディジタルデータを、前記記憶装置から読み出して、当該電子署名トークンを対応するディジタルデータの電子署名埋め込み領域に埋め込み、他の複製のディジタルデータ群を削除して電子署名処理を完了することを特徴としている。
また、本発明の請求項8および9に記載の電子署名方法では、電子署名発行機関が発行する電子署名に認証情報として含む情報自体が前記追加して書き込む数的連続性を持つ可変情報である、すなわち、電子署名に可変情報として、受理番号や発行番号、あるいは電子署名発行機関が保有する基準時計の示す時刻情報であることを特徴としている。
以上述べた次第で、本発明に係る電子署名方法によれば、クライアントが電子署名発行機関に各種ディジタルデータへの電子署名の発行を要求して実施する場合、電子署名対象のディジタルデータ自体に電子署名を実施するのではなく、当該電子署名対象のディジタルデータ上へ電子署名発行機関が生成し発行した追加して書き込む情報、たとえば認証印影データを書き込んだ上で、電子署名を実施することにより、さらに電子署名および電子署名対象のディジタルデータ内容の堅牢性と信頼性が高まる。
また、前記追加して書き込む情報として映像または音声からなるコマーシャルメッセージなどを加えることにより、ディジタルデータに対する電子署名の利便性がより高まる可能性も秘めている。
一方、追加して書き込む可変情報が電子署名発行機関の管理運営する数的に連続性を持った情報である場合に発生する問題、たとえば発行番号を例にすると、発行する電子署名の発行番号は、最初にクライアントから送信されてきた電子署名発行要求を受信した時点では、そのとき交付可能な発行番号となるとは限らない。すなわち、複数のクライアントからの電子署名発行要求が短時間のうちに集中すると、可変情報の基準値を受信した後の各クライアントの処理やネットワーク通信状況などに由来する時間的ゆらぎで、どのクライアントからのダイジェスト値を最初に受信するか予想することが困難であり、発行番号を電子署名発行要求順に決めることができなくなる。
しかし、本発明ではこのような問題点を前記請求項5以降の各発明により解決することができる。
以下、図面を用いて本発明を実施例にそって具体的に説明する。図1は本発明のシステム図であって、図中、10はインターネットなどのネットワークで、電子署名発行機関20とクライアントの情報処理装置40間の情報を伝達する。21は電子署名発行機関20の情報処理装置であって、30はネットワーク接続装置である。
また、図2は電子署名発行機関20とクライアントの情報処理装置30のブロック図である。電子署名発行機関20の情報処理装置21は、制御演算部22と追加書き込み情報生成ソフトウエア23と暗号化ソフトウエア24,および記憶部25で構成されており、クライアントの情報処理装置40は、制御演算部41、ディジタルデータを生成または開示するためのアプリケーションソフトウエア42、電子署名生成ソフトウエア43と、ネットワーク接続部44、および記憶部45で構成されている。
図3から図5は本発明の第1実施例であって、図3(A)のようにクライアントは情報処理装置40上でアプリケーションソフトウエア42を起動して電子署名対象のディジタルデータ50を生成、または聞いたうえで、電子署名生成ソフトウエア43を起動すると、情報処理装置40と電子署名生成ソフトウエア43は、ネットワーク10を介して電子署名発行機関20の情報処理装置21に電子署名発行要求45を送信する。なお、すでに生成作業が完了しているディジタルデータに電子署名を実施する場合は、電子署名生成ソフトウエア43を起動した後に、アプリケーションソフトウエア42を起動して電子署名対象のディジタルデータ50を開いてもよい。
電子署名発行要求45を受信した情報処理装置21は、図3(B)のようにネットワーク10を介して追加して書き込む情報31a、31bを送信する。本実施例においては、電子署名発行機関20で現時点で発行可能な発行番号の印影情報と当該発行番号や電子署名発行機関のコード番号などを、電子署名対象のディジタルデータ50上にバーコード化して表示するための情報を返信する場合について述べている。このとき、電子署名発行機関20が発行可能な発行番号と、その番号がひとつ繰り上がった発行番号のふたつの書き込み情報を送信する。なお、本実施例ではふたつの書き込み情報31a、31bを送信しているが、場合によってはひとつでもよく、また、より多くの情報を送る必要が発生する場合もある。
ネットワーク10には伝送時間にゆらぎがあり、また、電子署名対象のディジタルデータ50のデータサイズやクライアントの情報処理装置40の性能などにより、複数のクライアントから短時間の間に電子署名発行の要求があると、それぞれの処理時間を予想することは不可能であり、電子署名発行要求を受け付けた順番と実際に電子署名を発行する順番すなわち書き込み情報に記録される発行番号が一致するとは限らず、前述のように複数の書き込み情報を返信することで以下に述べるように発行順番を厳密に反映することが可能となる。
次に図3(C)のようにクライアントの情報処理装置40と電子署名生成ソフトウエア43は、受信した書き込み情報31とおなじ数だけ電子署名対象のディジタルデータ50の複製を生成し、前記書き込み情報を書き込む。本実施例においては、書き込み情報31aと31bが返信されてきたので、複製のディジタルデータをふたつ生成し、書き込み情報31aと31bを書き込んだディジタルデータ51aと51bを生成する。
そして、図4(D)のように、クライアントの情報処理装置40と電子署名生成ソフトウエア43は、ディジタルデータ51aと51bのそれぞれに電子署名書き込み領域53aおよび53bを生成してディジタルデータ52aおよび52bを生成し、図4(E)のごとくディジタルデータ52aおよび52bから当該電子署名書き込み領域53a、53bを除いたディジタルデータ領域に関するそれぞれのダイジェスト値を計算して、それぞれのダイジェスト値54aおよび54bに書き込み情報31aと31bを添付して、電子署名発行機関20の情報処理装置21に送信する。
上記のダイジェスト値54a、54bと書き込み情報31a、31bを受信した電子署名発行機関20の情報処理装置21は、図4(F)のごとく、受信した書き込み情報31aと31bを読み出し、当該ダイジェスト値54a、54bと書き込み情報31a、31bを受信した時点で発行可能な書き込み情報と比較する。そして、図4(F)から図5(H)のごとく、発行可能な書き込み情報(本実施例では31b)に対応するダイジェスト値54bにのみ、少なくとも当該ダイジェスト値54bと、電子署名発行機関20の認証情報32とからなる電子署名情報33を、電子署名認証機関20が所有する秘密鍵35で暗号化した電子署名トークン36を生成し、書き込み情報31bを添付してクライアントの情報処理装置40に送信する。このとき書き込み情報31bの代わりに、クライアントの情報処理装置40が読み出し可能な情報形態に加工した、ダイジェスト値、あるいは、電子署名トークン36を復号するための公開鍵を添付してもよい。
そして図5(J)のごとく、電子署名トークン36と書き込み情報31bを受信したクライアントの情報処理装置40と電子署名生成ソフトウエア43は、書き込み情報31bを読み出して、同じ書き込み情報が書き込まれている複製のディジタルデータ52bの電子署名埋め込み領域53bに前記電子署名トークン36を書き込み、ディジタルデータ55を生成して保存し、他の複製のディジタルデータ(本実施例では52a)を削除することで電子署名処理を完了する。
図6に示したステップS1からステップS18は、上述した本発明の第1の実施例の処理手順を説明したフローチャートである。
次に、本発明の第2の実施例について説明する。図7から図10は、本発明の第2の実施例の概念図である。クライアントは電子署名対象ディジタルデータ50を情報処理装置40上で開いた後、電子署名生成ソフトウエア43を起動すると、図7(A)のごとくネットワーク10を介して電子署名発行機関20の情報処理装置21に接続し、電子署名発行要求45を送信する。
電子署名発行要求45を受信した電子署名発行機関20の情報処理装置21は、図7(B)のごとく電子署名に含む認証情報である現在発行可能である発行番号の基準値と、発行番号を可視化して表示する印影情報からなる書き込み情報C31cをクライアントに返信する。本実施例における印影は電子署名対象のディジタルデータ50に発行番号を記録すると、当該発行番号をディジタルデータ50の印影内に可視化して表示する仕組みを有している。また、本実施例においては、認証情報である発行番号の基準値は「01245」としている。
書き込み情報C31cを受信したクライアントの情報処理装置40と電子署名生成ソフトウエア43は、図7(C)のごとく電子署名対象のディジタルデータ50の複製を適当な数だけ生成し(本実施例では4個)、書き込み情報C31cに記録されている発行番号を基準値として1ずつ増やした発行番号を複製のディジタルデータに書き込む。すなわち、異なる発行番号が書き込まれ、異なる発行番号を可視化して表示しているディジタルデータ51cから51fが生成される。
なお、ディジタルデータ51cには発行番号の基準値である発行番号「01245」が、以下、ディジタルデータ51dには発行番号「01246」、ディジタルデータ51eには発行番号「01247」、ディジタルデータ51fには発行番号「01248」が書き込まれている。そして、図8(D)のごとくそれぞれのディジタルデータ51cから51fに、電子署名埋め込み領域53cから53fを生成して、ディジタルデータ52cから52fを作成する。
次に、クライアントの情報処理装置40と電子署名生成ソフトウエア43は、図8(E)のごとくディジタルデータ52cから52fそれぞれについて、電子署名埋め込み領域を除いたデータ領域に関するダイジェスト値54cから54fを計算し、ネットワーク10を介して電子署名発行機関20の情報処理装置21に送信する。
以上のようにダイジェスト値54cから54fを受信した電子署名発行機関20の情報処理装置21は、次に、図9(F)のごとく受信したすべてのダイジェスト値54cから54fと、現時点で発行可能な認証情報である発行番号32とで電子署名情報33cから33fを作成した後、電子署名発行機関20が所有する秘密鍵35でそれぞれの電子署名情報33cから33fを暗号化して、電子署名トークン36cから36fを生成し、図9(G)のごとくクライアントの情報処理装置40に返信する。このとき、電子署名トークン36cから36fを復号するための公開鍵37を添付して返信する。なお、本実施例においては、認証情報である発行番号は「1247」である。
次に、複数の電子署名トークン36cから36fを受信したクライアントの情報処理装置40と電子署名生成ソフトウエア43は、図10(H)のごとく電子署名トークン36cから36fと一緒に返信されてきた公開鍵37を使って、それぞれの電子署名トークン36cから36fを復号し、それぞれの電子署名トークン36cから36fに含まれている認証情報である発行番号32を読み出し、また、それぞれの電子署名トークン36cから36fに含まれているダイジェスト値54cから54fを読み出す。
そして、図10(J)のごとく、電子署名トークン36cから36fに含まれている認証情報である発行番号と同じ発行番号を書き込んだ複製のディジタルデータに対して、当該ディジタルデータのダイジェスト値と一致するダイジェスト値を含む電子署名トークンを当該ディジタルデータに生成してある電子署名埋め込み領域に書き込み、他の電子署名トークンと複製のディジタルデータを削除して電子署名を実施する。本事例においては、認証情報である発行番号は「01247」であり、同じ発行番号を書き込んだディジタルデータは52eであるため、電子署名トークン36eを53eに書き込んで電子署名実施済みのディジタルデータ55を生成し、他の電子署名トークン36e、36d、36fと、複製のディジタルデータ52c、52d、52fを削除する。
以上の手順で、クライアントが希望するディジタルデータに対して、電子署名発行機関20が発行する可変情報である発行番号を認証情報として含む電子署名が実施される。
なお、図11に示したステップS19からステップS37は、上述した本発明の第2の実施例の処理手順を説明したフローチャートである。
10 ネットワーク
20 電子署名発行機関
21 電子署名発行機関の情報処理装置
22 電子署名発行機関の情報処理装置の制御演算部
23 追加書き込み情報生成ソフトウエア
24 暗号化ソフトウエア
25 記憶部
30 電子署名発行機関のネットワーク接続部
31a、31b 追加して書き込む情報
32 認証情報
33 電子署名情報
35 秘密鍵
36 電子署名トークン
40 クライアントの情報処理装置
41 クライアントの情報処理装置の制御演算部
42 アプリケーションソフトウエア
43 電子署名生成ソフトウエア
45 記憶部
50 電子署名対象のディジタルデータ
51 電子署名対象のディジタルデータの複製
52 電子署名埋め込み領域を生成した電子署名対象のディジタルデータの複製
53 電子署名埋め込み領域
54 ダイジェスト値
55 電子署名が実施されたディジタルデータ
20 電子署名発行機関
21 電子署名発行機関の情報処理装置
22 電子署名発行機関の情報処理装置の制御演算部
23 追加書き込み情報生成ソフトウエア
24 暗号化ソフトウエア
25 記憶部
30 電子署名発行機関のネットワーク接続部
31a、31b 追加して書き込む情報
32 認証情報
33 電子署名情報
35 秘密鍵
36 電子署名トークン
40 クライアントの情報処理装置
41 クライアントの情報処理装置の制御演算部
42 アプリケーションソフトウエア
43 電子署名生成ソフトウエア
45 記憶部
50 電子署名対象のディジタルデータ
51 電子署名対象のディジタルデータの複製
52 電子署名埋め込み領域を生成した電子署名対象のディジタルデータの複製
53 電子署名埋め込み領域
54 ダイジェスト値
55 電子署名が実施されたディジタルデータ
Claims (9)
- 電子署名発行機関が発行する電子署名をディジタルデータに対して実施する電子署名方法であって、
電子署名対象のディジタルデータに対する電子署名の実施に先立って、当該電子署名対象のディジタルデータに電子署名発行機関が生成した追加して書き込む情報を書き込み、当該追加して書き込む情報を書き込んだ電子署名対象のディジタルデータに対して、電子署名を実施することを特徴とする電子署名方法。 - 電子署名対象のディジタルデータに対して電子署名を実施するにあたり、電子署名を要求するクライアントが所有する情報処理装置は、各種ディジタルデータの生成または表示を可能とするアプリケーションソフトウエアと、電子署名生成ソフトウエアと、ネットワーク接続手段とを有し、
また、電子署名発行機関は、ネットワーク接続手段と、情報処理装置とを有し、当該情報処理装置は、追加して書き込む情報を生成する書き込み情報生成手段と、認証情報を生成する認証情報生成手段と、暗号化手段からなる電子署名発行手段とを有しており、
前記クライアントの情報処理装置上で電子署名対象のディジタルデータに電子署名を実施するために電子署名生成ソフトウエアを起動し実行すると、クライアントの情報処理装置および電子署名生成ソフトウエアはネットワーク経由で電子署名発行機関の情報処理装置に接続した後に電子署名発行要求を送信し、
前記電子署名発行機関の情報処理装置は、前記書き込み情報生成手段を用いて、少なくともひとつのクライアントの電子署名対象のディジタルデータに追加して書き込む情報を生成して返信すると共に、
電子署名対象のディジタルデータに追加して書き込む情報を受信したクライアントの情報処理装置および電子署名生成ソフトウエアは、電子署名対象ディジタルデータの複製を少なくともひとつ生成し、当該複製ディジタルデータに前記追加して書き込む情報を追加して書き込み、電子署名の埋め込み領域あるいは追加領域を生成したのち、当該ディジタルデータの電子署名の埋め込み領域あるいは追加領域を除いた所定のデータ領域に関する複製ディジタルデータに対応した少なくともひとつのダイジェスト値を計算し、前記ネットワーク接続手段でネットワークを介して電子署名発行機関の情報処理装置に接続し、当該少なくともひとつのダイジェスト値を電子署名発行機関の情報処理装置に送信し、
当該ダイジェスト値を受信した電子署名発行機関の情報処理装置は、当該ダイジェスト値と前記認証情報生成手段を用いて生成した認証情報からなる電子署名情報を、前記暗号化手段で暗号化した少なくともひとつの電子署名トークンを発行して返信し、当該電子署名トークンを受信したクライアントの情報処理装置と電子署名生成ソフトウエアは、前記電子署名対象のディジタルデータの複製ディジタルデータに生成した電子署名埋め込み領域あるいは追加領域に埋め込んで電子署名を実施することを特徴とする請求項1に記載の電子署名方法。 - 前記電子署名発行機関が返信するクライアントの電子署名対象のディジタルデータに追加して書き込む情報が複数である場合、クライアントの情報処理装置および電子署名生成ソフトウエアは電子署名対象のディジタルデータの複製を、追加して書き込む情報の数だけ生成し、当該複数の複製ディジタルデータそれぞれに対応して前記追加して書き込む情報を追加して書き込み、電子署名の埋め込み領域あるいは追加領域を生成したのち、当該ディジタルデータの電子署名埋め込み領域あるいは追加領域を除いた所定のデータ領域に関する複製ディジタルデータに対応した複数のダイジェスト値を計算し、前記クライアントの情報処理装置に内蔵、または接続された記憶装置に当該複製ディジタルデータに対応するダイジェスト値を関連付けて保存し、前記ネットワーク接続手段でネットワークを介して電子署名発行機関の情報処理装置に接続し、当該複数のダイジェスト値それぞれに対応する追加して書き込まれた情報を電子署名発行機関が読み出し可能な情報形態に加工および添付して電子署名発行機関の情報処理装置に送信する一方、
当該複数ダイジェスト値および読み出し可能な当該ダイジェスト値に対応する追加して書き込まれた情報を受信した電子署名発行機関の情報処理装置は、当該追加して書き込まれた情報を読み出したうえで、当該ダイジェスト値と前記認証情報生成手段を用いて生成した認証情報からなる電子署名情報を、前記暗号化手段で暗号化した少なくともひとつの電子署名トークンを発行し、当該電子署名トークンにクライアントの情報処理装置で読み出し可能な情報形態に加工した当該電子署名トークンに含まれるダイジェスト値または追加して書き込んである情報、或いは当該電子署名トークンを復号するための公開鍵のうち、少なくともひとつを添付して、ネットワーク経由でクライアントの情報処理装置に返信し、
前記クライアントの情報処理装置は、返信されてきた電子署名トークンに添付されているダイジェスト値または追加して書き込んである情報を読み出すか、添付されている公開鍵で当該電子署名トークンを復号してダイジェスト値または追加して書き込んである情報を読み出して、前記情報処理装置に内蔵または接続されている記憶装置に保存してある前記複製データ群のうち、ダイジェスト値、または追加して書き込まれている情報のいずれかが一致する複製のディジタルデータの電子署名埋め込み領域に当該電子署名トークンを埋め込んで電子署名を実施した後保存して、残りの複製のディジタルデータは削除することを特徴とする請求項1または2に記載の電子署名方法。 - 前記書き込み情報生成手段を用いて生成する追加して書き込む情報は、電子署名に含まれる前記認証生成手段を用いて生成する認証情報であることを特徴とする請求項1,2または3に記載の電子署名方法。
- 前記書き込み情報生成手段を用いて生成する追加して書き込む情報は、前記書き込み情報生成手段を用いて生成するテキスト、画像、映像、音声情報、または、情報を符号化した図記号、あるいは、電子署名発行機関が保有する時計に由来する時刻情報であることを特徴とする請求項1,2,3または4に記載の電子署名方法。
- 前記電子署名対象のディジタルデータに追加して書き込む情報は、前記書き込み情報生成手段を用いて生成する数的連続性を持つ可変情報であり、クライアントの情報処理数値および電子署名生成ソフトウエアが送信した電子署名発行要求を受信した電子署名発行機関の情報処理装置は、前記連続性を持つ可変情報の基準値を返信し、当該基準値を受信したクライアントの情報処理装置および電子署名生成ソフトウエアは、電子署名対象のディジタルデータの複製を複数生成し、生成した複製データそれぞれに当該基準値を基準に任意の数だけ変化させた情報を追加して書き込んだ後に、当該情報処理装置に内蔵あるいは接続されている記憶装置に、追加して書き込んである情報を読み出し可能な情報形態で保存し、複数データそれぞれについて電子署名の埋め込み領域あるいは追加領域を生成し、複製データそれぞれについて電子署名の埋め込み領域あるいは追加領域を除いた所定のデータ領域に関するダイジェスト値を計算して、複製データそれぞれについての複数のダイジェスト値を電子署名発行機関の情報処理装置に送信する一方、
前記電子署名発行機関の情報処理装置は、当該複数のダイジェスト値の受信を開始した時点での追加して書き込む数的連続性を持つ可変情報の値を記録し、それぞれのダイジェスト値全てに対して、少なくともそれぞれのダイジェスト値と、前記認証情報生成手段を用いて生成する認証情報と、からなる電子署名情報を前記暗号化手段で暗号化した、複数のダイジェスト値それぞれに関する複数の電子署名トークン群を生成すると共に、当該電子署名トークンに含まれる追加して書き込む数的連続性を持つ可変情報をクライアントの情報処理装置が読み出し可能な情報形態に加工して、当該複数の電子署名トークン群に添付して前記クライアントの情報処理装置にネットワーク経由で返信し、
前記クライアントの情報処理装置は、受信した複数の電子署名トークン群に添付されて返信されてきた追加して書き込む数的連続性を持つ可変情報を読み出し、前記クライアントの情報処理装置に内蔵あるいは接続されている記憶装置に保存されている複数の追加して書き込む可変情報が書き込まれた複数のディジタルデータのうち、前記読み出した追加して書き込む数的連続性を持つ可変情報と一致する追加して書き込む情報が書き込まれているディジタルデータを読み出して、電子署名埋め込み領域に当該電子署名トークンを埋め込んで電子署名処理を実施した後保存し、その他の追加して書き込む情報が記録されている残りの複製のディジタルデータと、残りの受信した電子署名トークンは削除することを特徴とする請求項1又は2に記載の電子署名方法。 - 前記電子署名対象のディジタルデータに追加して書き込む情報は、前記書き込み情報生成手段を用いて生成する数的連続性を持つ可変情報であり、クライアントの情報処理装置および電子署名生成ソフトウエアが送信した電子署名発行要求を受信した電子署名発行機関の情報処理装置は前記連続性を持つ可変情報の基準値を返信し、当該基準値を受信したクライアントの情報処理装置および電子署名生成ソフトウエアは、電子署名対象のディジタルデータの複製を複数生成して、生成した複製データそれぞれに当該基準値を基準に任意の数だけ変化させた情報を追加して書き込んだ後に、当該情報処理装置に内蔵あるいは接続されている記憶装置に、追加して書き込んである情報を読み出し可能な情報形態で保存し、それぞれの複製データの電子署名の埋め込み領域あるいは追加領域を除いた所定のデータ領域に関するダイジェスト値を複製データそれぞれについて計算し、前記追加して書き込んである情報それぞれを電子署名発行機関が読み出し可能な情報形態に加工した上で、対応するダイジェスト値それぞれに添付して電子署名発行機関の情報処理装置に送信する一方、
前記電子署名発行機関の情報処理装置は、当該複数のダイジェスト値の受信を開始した時点での追加して書き込む数的連続性を持つ可変情報の値を記録し、それぞれのダイジェスト値に添付されている前記読み出し可能な追加して書き込んである情報を読み出して、前記記憶したダイジェスト値の受信を開始した時点での追加して書き込む数的連続性を持つ可変情報と一致する情報が添付されているダイジェスト値にのみ、少なくとも当該ダイジェスト値と、前記ダイジェスト値の受信を開始した時点での追加して書き込む数的連続性を持つ可変情報と、前記認証情報生成手段を用いて生成した認証情報と、からなる電子署名情報を前記暗号化手段で暗号化した電子署名トークンを生成発行し、当該電子署名トークンにクライアントの情報処理装置で読み出し可能な情報形態に加工した当該電子署名トークンに含まれるダイジェスト値または前記ダイジェスト値の受信を開始した時点での追加して書き込む数的連続性を持つ可変情報、あるいは当該電子署名トークンを復号するための公開鍵のうち、少なくともひとつを添付して、ネットワーク経由でクライアントの情報処理装置に返信すると共に、
前記クライアントの情報処理装置は、返信されてきた電子署名トークンに添付されているダイジェスト値または追加して書き込む数的連続性を持つ可変情報を読み出すか、添付されている公開鍵で当該電子署名トークンを復号してダイジェスト値または追加して書き込む数的連続性を持つ可変情報を読み出して、前記情報処理装置に内蔵または接続されている記憶装置に保存してある前記複製データ群のうち、ダイジェスト値、又は追加して書き込まれている情報のいずれかが一致する複製のディジタルデータの電子署名埋め込み領域に当該電子署名トークンを埋め込んで電子署名を実施した後保存して、残りの複製のディジタルデータは削除することを特徴とする請求項1または2に記載の電子署名方法。 - 前記追加して書き込む数的連続性を持つ可変情報は、電子署名に含まれる前記認証情報生成手段を用いて生成した認証情報であることを特徴とする請求項1,2,3,6または7に記載の電子署名方法。
- 前記追加して書き込む数的連続性を持つ可変情報は、電子署名発行機関が保存する時計に由来する時刻情報であることを特徴とする1,2,3,6,7または8に記載の電子署名方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004094119A JP4351942B2 (ja) | 2004-03-29 | 2004-03-29 | 電子署名方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004094119A JP4351942B2 (ja) | 2004-03-29 | 2004-03-29 | 電子署名方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005286448A true JP2005286448A (ja) | 2005-10-13 |
| JP4351942B2 JP4351942B2 (ja) | 2009-10-28 |
Family
ID=35184400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004094119A Expired - Fee Related JP4351942B2 (ja) | 2004-03-29 | 2004-03-29 | 電子署名方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4351942B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160090556A (ko) * | 2015-01-22 | 2016-08-01 | 국방과학연구소 | 오프라인 토큰의 안전성을 보장할 수 있는 온라인/오프라인 전자서명 방법 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103220145B (zh) * | 2013-04-03 | 2015-06-17 | 天地融科技股份有限公司 | 电子签名令牌响应操作请求的方法、系统及电子签名令牌 |
-
2004
- 2004-03-29 JP JP2004094119A patent/JP4351942B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160090556A (ko) * | 2015-01-22 | 2016-08-01 | 국방과학연구소 | 오프라인 토큰의 안전성을 보장할 수 있는 온라인/오프라인 전자서명 방법 |
| KR101677138B1 (ko) * | 2015-01-22 | 2016-11-17 | 국방과학연구소 | 오프라인 토큰의 안전성을 보장할 수 있는 온라인/오프라인 전자서명 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4351942B2 (ja) | 2009-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3278721B2 (ja) | 数値文書にタイムスタンプを確実に押す方法 | |
| US7266698B2 (en) | Time stamping system for electronic documents and program medium for the same | |
| JP3788056B2 (ja) | 電子スチルカメラ | |
| WO2005029292A1 (en) | Server-based digital signature | |
| JP4563577B2 (ja) | トランジエント鍵ディジタルスタンプ方法およびシステム | |
| JP2000066590A (ja) | データ保管システム、データ保管方法、保管データ存在証明方法、プログラム記録媒体 | |
| JP4901272B2 (ja) | 情報生成処理プログラム、情報生成装置及び情報生成方法 | |
| EP1282263B1 (en) | Method and system for securely timestamping digital data | |
| JP4351942B2 (ja) | 電子署名方法 | |
| CN114841701B (zh) | 基于nft的数字艺术品防盗可信交易方法及装置 | |
| JP2005341253A (ja) | 内容証明システムおよび方法 | |
| JP2006094536A (ja) | 電子スチルカメラ | |
| JP2001147984A (ja) | 電子投票方式、及び方法 | |
| JP2000076360A (ja) | 文書管理方法および装置並びに文書管理プログラムを格納した記憶媒体 | |
| Cheung et al. | A commutative encrypted protocol for the privacy protection of watermarks in digital contents | |
| JP4613018B2 (ja) | ディジタルタイムスタンプ方法 | |
| JP4647918B2 (ja) | タイムスタンプ方法 | |
| JP2007058382A (ja) | 印刷装置、検証装置、検証システム、印刷方法及び検証方法 | |
| JP3638910B2 (ja) | 電子署名装置、電子署名方法、電子署名プログラムおよび電子署名プログラムを記録した記録媒体 | |
| JP2006253896A (ja) | 文書出力装置及び文書検証装置 | |
| JP2001147899A (ja) | コンテンツ配布システム | |
| JP2000331077A (ja) | 電子印鑑システムおよび印影・押印の本人証明方法 | |
| JP4028257B2 (ja) | 電子情報の時刻認証システム及びプログラム | |
| JP4226447B2 (ja) | 電子署名内容の検証方法 | |
| JPH0827812B2 (ja) | 電子取引方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070126 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080901 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081007 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090630 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090727 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120731 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4351942 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120731 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130731 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |