JP2005303951A - 複合電子署名の実施方法 - Google Patents

複合電子署名の実施方法 Download PDF

Info

Publication number
JP2005303951A
JP2005303951A JP2004121291A JP2004121291A JP2005303951A JP 2005303951 A JP2005303951 A JP 2005303951A JP 2004121291 A JP2004121291 A JP 2004121291A JP 2004121291 A JP2004121291 A JP 2004121291A JP 2005303951 A JP2005303951 A JP 2005303951A
Authority
JP
Japan
Prior art keywords
electronic signature
digital data
signature
digital
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004121291A
Other languages
English (en)
Inventor
Masato Suzuki
真人 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Amano Corp
Original Assignee
Amano Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Amano Corp filed Critical Amano Corp
Priority to JP2004121291A priority Critical patent/JP2005303951A/ja
Publication of JP2005303951A publication Critical patent/JP2005303951A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 タイムスタンプなど、第3者機関が発行する電子署名の実施と同時に、クライアント側で自己発行する電子署名も同時に実施することによって、より安全性、信頼性の高い複合電子署名の実施方法を提供する。
【解決手段】 自己発行可能な電子署名と、外部機関が実施する公的な認証情報に関する電子署名を複合して実行し、自己発行した電子署名を含むオリジナルデータのダイジェスト値を、外部機関が発行する電子署名に記録する。
【選択図】 図2

Description

本発明は、ディジタルデータの生成または発行元、存在時点、ディジタルデータ自体の不変性および真正性などを証明するために実施される電子署名の実施方法に関する。
ディジタルデータに関する生成者、当該データの真正性を証明するために実施される電子署名や、電子署名の一種であって当該ディジタルデータの存在時点を証明するために第3者である時刻認証機関が発行する、自身が所有する正確かつ公正な基準時計に由来する時刻情報を含むディジタルタイムスタンプが実用化されている。
ディジタルタイムスタンプ(以後タイムスタンプと記す)においては、タイムスタンプを要求するクライアント側の情報処理装置の内部時計が示す時刻では、正確性と公正性が検証できないため、前述のような第3者である時刻認証機関にタイムスタンプの発行を依頼することになる。このようなタイムスタンプの実施と検証を容易に実施できるシステムとして出願人は特許文献1を提案している。
特許文献1に記載のシステムは、タイムスタンプの実施を第3者である外部機関に依頼するというセンタ・サーバ型のタイムスタンプシステムに関する提案であって、クライアントがタイムスタンプ対象のディジタルデータに対してタイムスタンプ処理を実行すると、タイムスタンプ押印システムは、当該タイムスタンプ対象のディジタルデータのダイジェスト値を計算して、前記外部機関にネットワーク経由で当該ダイジェスト値とクライアント端末のIDを送信する。
当該ダイジェスト値とクライアント端末のIDを受信した外部機関は、まず、当該ダイジェスト値を受信した時刻情報と当該ダイジェスト値とクライアント端末のIDからなる原タイムスタンプ情報を作成する。つぎに、原タイムスタンプ情報を第1の暗号化手段である第1の秘密鍵で暗号化して、第1の電子署名を生成する。この第1の電子署名は一般に公開し誰でも入手可能な第1の復号手段である第1の公開鍵で復号可能とする。また、原タイムスタンプ情報を第2の暗号化手段である第2の秘密鍵で暗号化して、第2の電子署名を生成する。この第2の電子署名を復号する手段は一般には公開せず、外部機関のみが所有している。
そして、外部機関は原タイムスタンプ情報の生データと、第1の電子署名と、第2の電子署名からなる電子署名トークンを作成してクライアントに返信し、当該電子署名トークンを受信したクライアント端末とタイムスタンプ押印システムは、タイムスタンプ対象のディジタルデータに当該電子署名トークンを埋め込むか、または追加して書き込むことでタイムスタンプ処理を実施する。
タイムスタンプの真正性とタイムスタンプ対象のディジタルデータの不変性、または非改ざん性を検証するためには、ふたつの方法があり、ひとつは検証者は当該タイムスタンプが実施されたディジタルデータの情報処理装置上で開き、検証ソフトウエアを起動すると、当該情報処理装置および検証ソフトウエアは、まず、当該ディジタルデータから電子署名トークンを抽出し、あらかじめ入手しておいた第1の復号手段である第1の公開鍵を使って電子署名トークン内の第1の電子署名を復号して原スタンプ情報を得て、復号した原スタンプ情報と電子署名トークンに含まれている原スタンプ情報を比較し、両者が一致しなかった場合は電子署名トークンが改変されたことになるので、当該タイムスタンプを否認する。
一致した場合は、当該情報処理装置と検証ソフトウエアは当該ディジタルデータから電子署名トークンを除いた領域に関するダイジェスト値を計算して、当該ダイジェスト値と原タイムスタンプ情報に記録されているダイジェスト値を比較する。両者が一致しなかった場合は、当該ディジタルデータはタイムスタンプ実施後に何らかの手段によって改変されていることになるので、当該タイムスタンプを否認する。一致した場合は当該タイムスタンプを認証する。以上の検証をオフラインでの検証として提案している。
また、もうひとつの検証方法として、検証者は当該タイムスタンプが実施されたディジタルデータを情報処理装置上で開き、検証ソフトウエアを起動すると、当該情報処理装置および検証ソフトウエアは、まず、当該ディジタルデータから電子署名トークンを抽出し、電子署名トークン自体を前記外部機関に送信する。当該電子署名トークンを受信した外部機関は、当該機関が保有している第2の電子署名を復号するための第2の復号手段を使って、前述のオフライン検証と同様に、復号した原スタンプ情報と電子署名トークンに含まれている原スタンプ情報を比較し、比較した結果が一致するか否かをクライアントに返信する。前記比較結果が一致した場合は前述と同様のダイジェスト値の比較をする。原スタンプ情報の比較またはダイジェスト値の比較いずれかが一致しない場合は、タイムスタンプを否認する。以上の検証をオンラインでの検証として提案している。
特開2003−244139号公報
上述した特許文献1に記載のシステムでは、ディジタルデータに関して真正性、不変性、存在時点を証明するために、クライアントの情報端末のIDとタイムスタンプ対象ディジタルデータのダイジェスト値、および、外部機関の保有する時計による時刻情報をタイムスタンプ内に含んでいる。そして、タイムスタンプのオフライン、オンラインの検証のためにふたつの暗号化手段と、それぞれに対応する復号手段を用いている。
しかしながら、タイムスタンプを実施する時点で、後にタイムスタンプを検証し当該タイムスタンプが実施されたディジタルデータの真正性を検証する手段として、ディジタルデータの製作者や発信者、当該ディジタルデータを生成した情報処理装置の位置情報、あるいは、そのほかの何らかの情報を原情報とする電子署名情報をタイムスタンプに含めたいという要望がある。そして、そられの原情報の多くは、第3者機関が管理する情報ではなく、クライアントの情報処理装置や、クライアントの所有するなんらかのアイテム、たとえば、個人認証カードや、電子印鑑などに記憶されている情報である。
そこで本発明の技術的課題は、タイムスタンプなど、第3者機関が発行する電子署名の実施と同時に、クライアント側で自己発行する電子署名も同時に実施することによって、より安全性、信頼性の高い複合電子署名の実施方法を提供することである。
上記の技術的課題を解決するために本発明で講じた手段は次のとおりである。
本発明の請求項1に係る複合電子署名の実施方法では、クライアントがディジタルデータに対して電子署名を実施するにあたり、まず、クライアントの情報処理装置にインストールされている自己発行可能な第1の電子署名と、外部機関に発行を依頼する第2の電子署名の少なくともふたつの電子署名を連続して実施し、後から実施される電子署名は最初の電子署名が実施されるまえのディジタルデータと最初の電子署名が実施された後のディジタルデータのそれぞれに対して実施されることを特徴としている。
つぎに、本発明の請求項2に係る複合電子署名の実施方法において、クライアントの情報処理装置は、ディジタルデータを作成したり、開示するための各種アプリケーションソフトウエアがインストールされていて、ネットワークに接続可能であり、内蔵または外部接続可能な記憶装置を有し、かつ、電子署名生成ソフトウエアがインストールされている。そして、当該電子署名生成ソフトウエアは、電子署名対象のディジタルデータに電子署名を埋め込むために、当該ディジタルデータ内や当該ディジタルデータに追加することで電子署名の埋め込み領域を生成する手段と、当該電子署名対象ディジタルデータの任意の領域に関するダイジェスト値を計算する手段と、当該電子署名生成ソフトウエアが生成する電子署名に含む認証情報を生成する第1の認証情報生成手段と、少なくともダイジェスト値と第1の認証情報からなる第1の電子署名情報を暗号化するための第1の暗号化手段を持っている。また、電子署名発行機関はネットワーク接続手段と、内蔵または外部接続可能な記憶手段と、電子署名発行手段を持つ情報処理装置を有している。そして、前記電子署名発行手段は、発行する電子署名に含む第2の認証情報を生成する第2の認証情報生成手段と、少なくともクライアントから送られてきたダイジェスト値と前記第2の認証情報からなる第2の電子署名情報を暗号化するための第2の暗号化手段を持っている。
また、クライアントは、電子署名対象のディジタルデータに電子署名を実施する際、電子署名対象ディジタルデータを生成するか、または、開いた状態で、前記電子署名生成ソフトウエアを起動するか、あるいは、電子署名生成ソフトウエアを起動した後に、電子署名対象ディジタルデータを呼び出すことで電子署名の実施が開始される。
まず、クライアントの情報処理装置と電子署名生成ソフトウエアは、電子署名対象のディジタルデータに、前記電子署名埋め込み領域生成手段を用いて、当該ディジタルデータのデータ領域内または、当該ディジタルデータに追加して、少なくとも2箇所の電子署名埋め込み領域を生成し、前記ダイジェスト値計算手段を用いて当該電子署名対象ディジタルデータから、生成した少なくともふたつの電子署名埋め込み領域を除いたデータ領域に関する第1のダイジェスト値を計算する。そして、前記第1の認証情報生成手段を用いて生成した第1の認証情報と前記第1のダイジェスト値からなる第1の電子署名情報を、前記第1の暗号化手段によって暗号化して第1の電子署名トークンを作成して、前記少なくともふたつの電子署名埋め込み領域のいずれかに書き込むことにより第1の電子署名済みディジタルデータを作成する。
つぎに、前記ダイジェスト値計算手段を用いて、前記第1の電子署名済みディジタルデータから、第1の電子署名トークンが埋め込まれていない電子署名埋め込み領域を除いた領域に関するダイジェスト値すなわち第2のダイジェスト値を計算する。そして、ネットワーク経由で電子署名発行機関に当該第2のダイジェスト値、あるいは第1のダイジェスト値と第2のダイジェスト値を送信する。
また、電子署名発行機関は、ネットワーク経由でクライアントから受信した第2のダイジェスト値、あるいは第1のダイジェスト値と第2のダイジェスト値と、電子署名発行機関の持つ第2の認証情報生成手段で生成した第2の認証情報からなる第2の電子署名情報を、第2の暗号化手段で暗号化して、第2の電子署名トークンを生成して、クライアントにネットワーク経由で返信する。
そして、第2の電子署名トークンを受信したクライアントの情報処理装置と電子署名生成ソフトウエアは、第2の電子署名トークンを、第1の電子署名トークンが書き込まれていない電子署名埋め込み領域に書き込むことにより第2の電子署名実施済みディジタルデータを作成して、少なくともふたつの電子署名を電子署名対象ディジタルデータに実施することを特徴としている。
次に本発明の請求項3に係る複合電子署名の実施方法において、クライアントの情報処理装置にインストールされている電子署名生成ソフトウエアは、前記第1の暗号化手段である第1の秘密鍵と、当該第1の秘密鍵で暗号化した情報を復号することができる第1の公開鍵と、第2の暗号化手段である第2の秘密鍵で暗号化した情報を復号することができる第2の公開鍵、すなわち、第1の秘密鍵、第1の公開鍵、第2の公開鍵の3つの鍵を持っており、また、電子署名発行機関の電子署名発行手段は、第1の暗号化手段である第1の秘密鍵と、当該第1の秘密鍵で暗号化した情報を復号することができる第1の公開鍵と、第2の暗号化手段である第2の秘密鍵と、当該第2の秘密鍵で暗号化した情報を復号することができる第2の公開鍵、すなわち、第1の秘密鍵、第2の秘密鍵、第1の公開鍵、第2の公開鍵の4の鍵を持っていることを特徴としている。
そして、本発明の請求項4に係る複合電子署名の実施方法において、電子署名発行機関の第2の認証情報生成手段が生成する認証情報は、当該電子署名発行機関が所有する基準時計に由来する時刻情報であることを特徴としている。
以上述べたように、本発明に係る複合電子署名の実施方法によれば、クライアント側で自己発行可能な電子署名、すなわち公に共有する情報以外の情報(たとえば、データ作成者、承認者、発信者などの個人や事業者、あるいは、使用した情報処理装置のIDなど)を証明するための電子署名は、クライアント側で自己発行し、その電子署名情報も含めるように第3者の外部機関である電子署名発行機関が公に共有する情報(たとえば、時刻情報や位置情報、電子署名の受理番号や発行番号)を証明するための電子署名とを合わせて実施することで複数の情報を複合化した電子署名を実施することが実現できる。
また、クライアントには暗号化手段をひとつ、復号手段をふたつ与え、電子署名発行機関は暗号化手段をふたつ、復号手段をふたつ持ち、処理能力の高い電子署名発行機関側のみが所有する第2の暗号化手段を複雑で堅牢なものにすることによって、第1の暗号化手段で作成されたクライアント側で自己発行する第1の電子署名の信頼性と安全性を高めることが可能となる。
以下に図面を使って本発明を具体的に説明する。図1は本発明を実施するに必要なシステムを示すシステム図である。図中、20は電子署名発行機関であり、21は電子署名発行機関が所有する情報処理装置である。また、30はネットワーク接続装置である。40はクライアントの情報処理装置であり、ネットワーク10を介して電子署名発行機関20の情報処理装置21と接続可能であり、互いに情報を授受することができる。
図2は図1に関するブロック図であって、22は前記電子署名発行機関20を構成する情報処理装置21の制御演算部であり、電子署名発行ソフトウエア23により電子署名の発行処理を制御している。また、24は情報処理装置21に内蔵された記憶装置などの記憶部であって、図示した実施例では情報処理装置21に内蔵されている構成をとっているが、当然情報処理装置21に外部接続する記憶装置などであってもかまわない。
41はクライアントの情報処理装置40を構成する制御演算部であって、各種ディジタルデータを生成したり、開示したりするためのアプリケーションソフトウエア42と、電子署名処理を実行するための電子署名生成ソフトウエア43を制御している。44はネットワーク接続部、45は記憶装置などの記憶部であり、図示した実施例では情報処理装置40に内蔵されている構成をとっているが、当然これらも情報処理装置40に外部接続する機器であってもかまわない。
図3から図5は本発明の第1の実施例を示している。まず、図3の(A)から(C)のごとく、クライアントは自身の情報処理装置40で電子署名対象のディジタルデータ50を開いたのち、電子署名生成ソフトウエア43を起動する。情報処理装置40と電子署名生成ソフトウエア43は、電子署名対象ディジタルデータ50のデータ領域内にふたつの電子署名埋め込み領域51と52を生成してディジタルデータ50aを作成する。そして、ディジタルデータ50aから電子署名領域51と52を除いた領域に関する第1のダイジェスト値55を計算する。つぎに、第1の認証情報56を生成し、当該認証情報56と第1のダイジェスト値55からなる第1の電子署名情報57を作成し、当該第1の電子署名情報57を第1の秘密鍵25で暗号化することにより、第1の電子署名トークン53を作成する。
つぎに図4の(D)から(F)のごとく、情報処理装置40と電子署名生成ソフトウエア43は、第1の電子署名トークン53を、ディジタルデータ50aの第1の電子署名埋め込み領域51に埋め込んでディジタルデータ50bを作成した後、当該ディジタルデータ50bから第2の電子署名埋め込み領域52のみを除いたデータ領域に関する第2のダイジェスト値58を計算する。すなわち、この時点で、電子署名対象ディジタルデータ50のオリジナルデータ領域に関する第1のダイジェスト値55と、クライアント側で自己発行した第1の電子署名トークン53を埋め込んだ後の、オリジナルデータ領域と第1の電子署名トークン53を合わせたデータ領域に関する第2のダイジェスト値58の、ふたつのダイジェスト値が得られたことになる。
そして、クライアントの情報処理装置40と電子署名生成ソフトウエアは、ネットワーク10を介して電子署名発行機関20の情報処理21に接続して、前記第1のダイジェスト値55と第2のダイジェスト値58を送信する。電子署名発行機関20の情報処理装置21は、受信した第1のダイジェスト値55と第2のダイジェスト値58を受信すると、第2の認証情報61を生成して、当該第2の認証情報61と第1のダイジェスト値55と第2のダイジェスト値58からなる第2の電子署名情報62を、第2の秘密鍵26で暗号化して第2の電子署名トークン63を作成する。
続いて図5の(G)から(H)のごとく、電子署名発行機関20は第2の電子署名トークン63をクライアントの情報処理装置40に返信し、当該第2の電子署名トークン63を受信した情報処理装置40と電子署名生成ソフトウエア43は、ディジタルデータ50bの第2の電子署名埋め込み領域52に第2の電子署名トークン63を書き込むことにより、電子署名実施済みのディジタルデータ60が完成する。図6に示したステップS1〜S13は、上記本発明の第1の実施例の処理手順を説明したフローチャートである。
以上の電子署名方法によって、自己発行可能な認証情報に関する電子署名と、より公的な認証情報に対するより高セキュリティの電子署名を複合して実施することができ、たとえ、第2の電子署名よりセキュリティ階層的に低位に存在する第1の電子署名が解読されて破られ、電子署名内容が改ざんされたとしても、第2の電子署名にはオリジナルデータ領域に関する第1のダイジェスト値55と、第1の電子署名も含んだデータ領域に関する第2のダイジェスト値58の両方の情報を保有しているため、第2の電子署名の検証により、第1の電子署名内容が改ざんされた事実を検出することができる。
次に本発明の第2の実施例について説明する。図7は、電子署名発行機関20の情報処理装置21にインストールされている電子署名発行ソフトウエア23の機能を概念化した概念図であって、当該ソフトウエア23は各種ディジタルデータを暗号化するための第1の秘密鍵25と、第1の秘密鍵25で暗号化した情報を復号するための第1の公開鍵27、および、第2の秘密鍵26と第2の公開鍵28の、計4つの暗号化と復号のための鍵を持っている。また、29は電子署名発行機関20が発行する電子署名に含む第2の認証情報61を生成あるいは供給するための第2認証情報生成ソフトウエアである。
同様に図8は、クライアントの情報処理装置40にインストールされている電子署名生成ソフトウエア43の機能を概念化した概念図であって、当該ソフトウエア23は各種ディジタルデータを暗号化するための第1の秘密鍵25と、第1の秘密鍵25で暗号化した情報を復号するための第1の公開鍵27、および、第2の公開鍵28を持っている。しかし、クライアント側では第2の秘密鍵26は持たない。また、44はクライアントが自己発行する電子署名に含む第1の認証情報56を生成あるいは供給するための第1の認証情報生成ソフトウエアであり、45はディジタルデータの任意の領域に関するダイジェスト値を計算するための、ダイジェスト値計算ソフトウエアである。このように、第3者機関である電子署名発行機関20はふたつの暗号化手段とそれに対応するふたつの復号手段を持ち、また、クライアントは電子署名発行機関の暗号化手段に対応するふたつの復号手段を同様に持つが、暗号化手段に関しては、電子署名発行機関20ふたつの暗号化手段のうちのひとつしか持たないことを特徴としている。
図9〜図12は本発明の第2の実施例を具体的に説明するものであり、まず、図9(A)から(C)のごとく、クライアントは自身の情報処理装置40で電子署名対象のディジタルデータ70を開いたのち、電子署名生成ソフトウエア43を起動する。情報処理装置40と電子署名生成ソフトウエア43は電子署名対象ディジタルデータ70のデータ領域内に四つの電子署名埋め込み領域71、72、73、74を生成してディジタルデータ70aを作成する。そして、ディジタルデータ70aから電子署名領域71、72、73、74を除いた領域に関する第1のダイジェスト値75を計算する。つぎに、第1の認証情報76を生成し、当該認証情報76と第1のダイジェスト値75からなる第1の電子署名情報77を作成し、当該第1の電子署名情報77を第1の秘密鍵25で暗号化することにより、第1の電子署名トークン78を作成する。
つぎに図10の(D)から(F)のごとく、情報処理装置40と電子署名生成ソフトウエア43は、第1の電子署名トークン78を、ディジタルデータ70aの第1の電子署名埋め込み領域71に埋め込んでディジタルデータ70bを作成した後、当該ディジタルデータ70bから電子署名埋め込み領域72、73、74を除いたデータ領域に関する第2のダイジェスト値79を計算する。すなわち、この時点で、電子署名対象ディジタルデータ70のオリジナルデータ領域に関する第1のダイジェスト値75と、クライアント側で自己発行した第1の電子署名トークン78を埋め込んだ後の、オリジナルデータ領域と第1の電子署名トークン78を合わせたデータ領域に関する第2のダイジェスト値79の、ふたつのダイジェスト値が得られたことになる。
そして、クライアントの情報処理装置40と電子署名生成ソフトウエア43は、ネットワーク10を介して電子署名発行機関20の情報処理装置21に接続して、前記第1のダイジェスト値75と第2のダイジェスト値79および、クライアント側で自己発行した電子署名トークン78を送信する。電子署名発行機関20の情報処理装置21は、受信した第1のダイジェスト値75と第2のダイジェスト値79を受信すると、第2の認証情報81を生成して、当該第2の認証情報81と第1のダイジェスト値75と第2のダイジェスト値79からなる第2の電子署名情報82を、第2の秘密鍵26で暗号化して第2の電子署名トークン83を作成する。
次に、図11の(G)、(H)のごとく、電子署名発行機関20の情報処理装置21は、受信した第1の電子署名トークン78を第1の公開鍵27で復号した後、前記第2認証情報生成ソフトウエア29で電子署名発行機関20が生成した第2の電子署名情報82を加えて第3の電子署名情報84を生成し、再度第1の秘密鍵25で暗号化することにより第3の電子署名トークン85を作成する。このとき、第3の電子署名情報84にクライアントから送られた第2のダイジェスト値79と、認証情報以外のなんらかの情報を書き込むための情報書き込み領域87を加えることも考えられる。第3の電子署名トークン85の情報書き込み領域87は、電子署名発行機関とクライアント双方が公開鍵、秘密鍵を所有しているため、どちらにおいても復号して情報の書き換えと再暗号化が可能となっている。
また、生成した第3の電子署名情報84を今度は第2の秘密鍵26で暗号化することにより、第4の電子署名トークン86を作成する。第4の電子署名トークン86を生成した第2の秘密鍵26に相対する第2の公開鍵28は、電子署名発行機関20とクライアントの双方が所有しているため、両者でその内容が検証可能であるが、第2の秘密鍵26は電子署名発行機関20のみが所有しているので、情報書き込み領域87を設けた場合、電子署名発行機関20のみが書き換え可能で、クライアントは書き換えることができない。しかし、両者ともに第3と第4の電子署名トークン85、86は復号が可能であり、電子署名に記録されている認証情報と、認証情報の対象であるディジタルデータは検証ができ、情報書き込み領域87を除いて両者の内容は一致する。もし一致しない場合は、クライアント側で電子署名内容を改変したことになり、この場合は電子署名を否認する。
そして、図12(J)、(K)のごとく、電子署名発行機関20は新たに作成した3つの電子署名トークン83、85、86をクライアントの情報処理装置40に返信する。電子署名トークンを受信したクライアントの情報処理装置40と電子署名生成ソフトウエアは3つの電子署名をディジタルデータに生成した電子署名埋め込み領域にそれぞれ埋め込むことにより、電子署名実施済みディジタルデータ90を作成して、電子署名処理を完了する。尚、図13に示したステップS14〜S28は、上述した第2の実施例の処理手順を説明したフローチャートである。
以上のように、クライアント側で発行した電子署名を包み込んで電子署名発行機関の電子署名が実施され、かつ、電子署名内にクライアントと電子署名発行機関双方で書き換え自在な情報書き込み領域を設けることが可能となり、本電子署名の利便性が高まると同時に応用先が広がる。
本発明に係る復号電子署名の実施方法を実現するため必要な基本的なシステムを示したシステム図である。 システムのブロック図である。 本発明の第1の実施例の概念図である。 同じく本発明の第1の実施例の概念図である。 同じく本発明の第1の実施例の概念図である。 本発明の第1の実施例のフローチャートである。 電子署名発行機関の電子署名発行ソフトウエアの機能概念図である。 クライアントの電子署名生成ソフトウエアの機能概念図である。 本発明の第2の実施例の概念図である。 同じく本発明の第2の実施例の概念図である。 同じく本発明の第2の実施例の概念図である。 同じく本発明の第2の実施例の概念図である。 本発明の第2の実施例のフローチャートである。
符号の説明
10…ネットワーク
20…電子署名発行機関
21…電子署名発行機関の情報処理装置
22…制御演算部
23…電子署名発行ソフトウエア
24…記憶部
25…第1の秘密鍵
26…第2の秘密鍵
27…第1の公開鍵
28…第2の公開鍵
29…第2認証情報生成ソフトウエア
30…電子署名発行機関のネットワーク接続装置
40…クライアントの情報処理装置
41…制御演算部
42…アプリケーションソフトウエア
43…電子署名生成ソフトウエア
44…ネットワーク接続部
45…記憶部
50…第1の実施例における電子署名対象のディジタルデータ
51…第1の電子署名埋め込み領域
52…第2の電子署名埋め込み領域
53…第1の電子署名トークン
55…第1ダイジェスト値
56…第1の認証情報
57…第1の電子署名情報
58…第2のダイジェスト値
60…電子署名が実施されたディジタルデータ
61…第2の認証情報
62…第2の電子署名情報
63…第2の電子署名トークン
70…第2の実施例における電子署名対象ディジタルデータ
71…電子署名埋め込み領域
72…電子署名埋め込み領域
73…電子署名埋め込み領域
74…電子署名埋め込み領域
75…第1のダイジェスト値
76…第1の認証情報
77…第1の電子署名情報
78…第1の電子署名トークン
81…第2の認証情報
82…第2の電子署名情報
83…第2の電子署名トークン
84…第3の電子署名情報
85…第3の電子署名トークン
86…第4の電子署名トークン
87…情報書き込み領域
90…電子署名が実施されたディジタルデータ

Claims (4)

  1. ディジタルデータに関する生成者や発行元、存在時点、ディジタルデータ自体の不変性および真正性などを証明する目的で実施される電子署名の実施方法であって、
    クライアントの電子署名対象のディジタルデータに対して、クライアントの情報処理装置と電子署名生成手段により生成する第1の電子署名と、第3者機関である電子署名発行機関が発行する第2の電子署名の少なくともふたつの電子署名を連続して実施し、後から実施する電子署名は、電子署名対象のディジタルデータに最初の電子署名を実施する前のディジタルデータと、最初の電子署名を実施した後のディジタルデータそれぞれに対して実施されることを特徴とする複合電子署名の実施方法。
  2. ディジタルデータに電子署名の実施を要求する前記クライアントの情報処理装置は、ディジタルデータを生成または開くためのアプリケーションソフトウエアと、ネットワーク接続手段と、内蔵、または外部接続可能な記憶手段と、電子署名を実施するための電子署名生成ソフトウエアと、を有し、
    当該電子署名生成ソフトウエアは、電子署名埋め込み領域を電子署名対象ディジタルデータの中、または、追加して生成する電子署名埋め込み領域生成手段と、電子署名対象のディジタルデータの任意の領域に関するダイジェスト値を計算するダイジェスト値計算手段と、電子署名に含む認証情報を生成する第1の認証情報生成手段と、少なくとも前記ダイジェスト値の計算手段で算出した電子署名対象ディジタルデータの任意の領域に関するダイジェスト値と前記電子署名に含む第1の認証情報の生成手段で生成した第1の認証情報とからなる第1の電子署名情報を暗号化するための第1の暗号化手段と、を有し、
    また、前記電子署名発行機関は、情報処理装置を有し、当該情報処理装置は、ネットワーク接続手段と、内蔵、または、外部接続可能な記憶手段と、電子署名発行手段と、を有し、
    当該電子署名発行手段は、第2の認証情報生成手段と、少なくともクライアントから送られてきたダイジェスト値と当該第2の認証情報生成手段で生成した第2の認証情報とからなる第2の電子署名情報を暗号化するための第2の暗号化手段と、を有し、
    クライアントが電子署名対象のディジタルデータを生成または開いた状態で前記電子署名生成ソフトウエアを起動するか、または、電子署名生成ソフトウエアを起動した後、電子署名対象のディジタルデータを呼び出すことにより、電子署名対象ディジタルデータに対する電子署名処理を実行すると、前記クライアントの情報処理装置と当該電子署名生成ソフトウエアは、電子署名対象ディジタルデータに前記電子署名埋め込み領域生成手段を用いて、電子署名対象ディジタルデータの中、または追加して、少なくとも2箇所の電子署名埋め込み領域を生成し、前記ダイジェスト値計算手段を用いて当該電子署名対象ディジタルデータから、前記少なくとも2箇所の電子署名埋め込み領域を除いた領域に関する第1のダイジェスト値を計算し、少なくとも当該第1のダイジェスト値と前記第1の認証情報生成手段で生成した認証情報からなる第1の電子署名情報を前記第1の暗号化手段を用いて暗号化した第1の電子署名トークンを作成して、前記生成した少なくとも2箇所の電子署名埋め込み領域のいずれかに書き込むことによって自己発行した電子署名を施した第1の電子署名済みディジタルデータを生成し、
    前記ダイジェスト値計算手段を用いて、当該第1の電子署名済みディジタルデータから、前記少なくとも2箇所の電子署名埋め込み領域のうち、前記第1の電子署名トークンが書き込まれている電子署名埋め込み領域以外の電子署名埋め込み領域を除いた領域に関する第2のダイジェスト値を計算し、前記クライアントの情報処理装置が有するネットワーク接続手段を用いて前記電子署名発行機関の情報処理装置に接続して前記第2のダイジェスト値、あるいは第1のダイジェスト値と第2のダイジェスト値のふたつのダイジェスト値を送信すると共に、
    前記電子署名発行機関の情報処理装置の電子署名発行手段は、前記第2の認証情報生成手段を用いて生成した第2の認証情報と、前記クライアントから受信した第2のダイジェスト値、あるいは第1のダイジェスト値と第2のダイジェスト値の二つのダイジェスト値からなる第2の電子署名情報を、前記第2の暗号化手段を用いて暗号化した第2の電子署名トークンを作成してクライアントの情報処理装置にネットワーク経由で返信し、
    当該第2の電子署名トークンを受信したクライアントの情報処理装置と電子署名生成ソフトウエアは、前記第1の電子署名済みディジタルデータ内に生成、または追加された電子署名埋め込み領域のうち、第1の電子署名トークンが書き込まれていない電子署名埋め込み領域に当該第2の電子署名トークンを書き込むことにより、第2の電子署名済みディジタルデータを生成して、電子署名対象ディジタルデータに電子署名を実施することを特徴とする請求項1に記載の複合電子署名の実施方法。
  3. 前記クライアントの電子署名生成ソフトウエアは、第1の暗号化手段である第1の秘密鍵と第1の暗号化手段で暗号化された情報を復号するための第1の公開鍵、および、第2の暗号化手段で暗号化された情報を復号するための第2の公開鍵を有し、
    前記電子署名発行機関の電子署名発行手段は、第1の暗号化手段である第1の秘密鍵と第1の公開鍵、および、第2の暗号化手段である第2の秘密鍵と第2の公開鍵を有することを特徴とする請求項1または2に記載の複合電子署名の実施方法。
  4. 前記第2の認証情報生成手段が生成する認証情報は、前記電子署名発行機関が所有する基準時計に由来する時刻情報であることを特徴とする請求項1、2または3に記載の複合電子署名の実施方法。
JP2004121291A 2004-04-16 2004-04-16 複合電子署名の実施方法 Pending JP2005303951A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004121291A JP2005303951A (ja) 2004-04-16 2004-04-16 複合電子署名の実施方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004121291A JP2005303951A (ja) 2004-04-16 2004-04-16 複合電子署名の実施方法

Publications (1)

Publication Number Publication Date
JP2005303951A true JP2005303951A (ja) 2005-10-27

Family

ID=35334912

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004121291A Pending JP2005303951A (ja) 2004-04-16 2004-04-16 複合電子署名の実施方法

Country Status (1)

Country Link
JP (1) JP2005303951A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007281713A (ja) * 2006-04-04 2007-10-25 Shachihata Inc 情報生成処理プログラム、情報生成装置及び情報生成方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007281713A (ja) * 2006-04-04 2007-10-25 Shachihata Inc 情報生成処理プログラム、情報生成装置及び情報生成方法

Similar Documents

Publication Publication Date Title
ES2881289T3 (es) Método para gestionar una identidad de confianza
CN113014392B (zh) 基于区块链的数字证书管理方法及系统、设备、存储介质
US7353393B2 (en) Authentication receipt
US8756416B2 (en) Checking revocation status of a biometric reference template
EP1599965B1 (en) Long-term secure digital signatures
EP1636664B1 (en) Proof of execution using random function
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
JP2002537685A (ja) オンボードシステムによって生成される公開鍵の使用を検証する方法
JP2010148098A (ja) トランジエント鍵ディジタルスタンプ方法およびシステム
JP2006211349A (ja) ファイルの暗号化・複合化プログラム、プログラム格納媒体
JP2003244139A (ja) 電子文書に対するタイムスタンプ押印システム、及び、そのプログラム媒体
JP2002092220A (ja) 数値文書にタイムスタンプを確実に押す方法。
CN113824564B (zh) 一种基于区块链的线上签约方法及系统
US8631235B2 (en) System and method for storing data using a virtual worm file system
JPH10135943A (ja) 携帯可能情報記憶媒体及びそれを用いた認証方法、認証システム
JP2000235340A (ja) 時刻認証装置
CN100437422C (zh) 软件使用权加密保护的系统和方法
CN112950356B (zh) 基于数字身份的个人贷款处理方法及系统、设备、介质
JP2013157777A (ja) 情報処理システム及び情報処理方法
JP2022061275A (ja) ライセンス管理方法、ライセンス管理装置、及びプログラム
JP2005303951A (ja) 複合電子署名の実施方法
JP3793024B2 (ja) 時刻公証方法
JP4613018B2 (ja) ディジタルタイムスタンプ方法
JP4351942B2 (ja) 電子署名方法
CN115664852B (zh) 一种基于区块链技术的数据管理方法与系统