JP2010239294A - Electronic signature system, electronic signature generating apparatus, electronic signature verifying apparatus, and, program - Google Patents
Electronic signature system, electronic signature generating apparatus, electronic signature verifying apparatus, and, program Download PDFInfo
- Publication number
- JP2010239294A JP2010239294A JP2009083297A JP2009083297A JP2010239294A JP 2010239294 A JP2010239294 A JP 2010239294A JP 2009083297 A JP2009083297 A JP 2009083297A JP 2009083297 A JP2009083297 A JP 2009083297A JP 2010239294 A JP2010239294 A JP 2010239294A
- Authority
- JP
- Japan
- Prior art keywords
- biometric information
- signature
- information
- signer
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、電子署名システム、電子署名生成装置、電子署名検証装置、および、プログラムに関する。 The present invention relates to an electronic signature system, an electronic signature generation device, an electronic signature verification device, and a program.
現在、電子データに対する署名者の特定および非改ざん性を検証する方法として、秘密鍵と公開鍵の2つの暗号鍵を用いる公開鍵暗号方式を利用した電子署名方式が最も一般的となっている。 At present, as a method for verifying the signer's identification and non-falsification property with respect to electronic data, an electronic signature method using a public key encryption method using two encryption keys, a secret key and a public key, is the most common.
公開鍵暗号方式を用いた電子署名では、電子署名に使用する秘密鍵を有するのが署名者本人であることを、検証する側が検証できる仕組みが必要となる。ここで、現在、最も一般的となっているのがPKI(Public Key Infrastructure)である。この方式では、CA(Certificate Authority)と呼ばれる認証機関が、秘密鍵・公開鍵ペアの所有者を証明する「公開鍵証明書」を発行する。検証者は、その公開鍵証明書を検証することで、その公開鍵の所有者が署名者本人であることを認識できる。 In an electronic signature using a public key cryptosystem, a mechanism is required that allows the verifier to verify that the signer himself has the private key used for the electronic signature. Here, PKI (Public Key Infrastructure) is currently the most common. In this method, a certificate authority called CA (Certificate Authority) issues a “public key certificate” that proves the owner of a private key / public key pair. The verifier can recognize that the owner of the public key is the signer himself / herself by verifying the public key certificate.
しかし、この公開鍵暗号方式およびPKIには以下の問題が存在する。
・ 公開鍵のペアを作成し、秘密鍵をユーザ自身が安全に管理する必要がある。ユーザは秘密鍵を保存している端末でのみ作業する必要があり、秘密鍵を持ち歩く場合は盗難・漏洩のリスクがある。
・ 秘密鍵を入手すれば、本人以外でも署名が可能である。すなわち、この秘密鍵は電子データであるため、他者へ譲渡・貸出される危険もあり、正当な所有者以外が署名する可能性がある。
・PKI方式では、発行した証明書について、有効期間の設定や、失効情報リスト(CRL)の発行などが必要であり運用管理が煩雑である。
However, this public key cryptosystem and PKI have the following problems.
・ A public key pair must be created and the private key must be managed securely by the user. The user needs to work only on the terminal storing the secret key, and there is a risk of theft and leakage when carrying the secret key.
・ If you obtain a private key, anyone other than you can sign it. That is, since this secret key is electronic data, there is a risk that it will be transferred or rented to others, and there is a possibility that a person other than the proper owner may sign.
In the PKI method, it is necessary to set a valid period and issue a revocation information list (CRL) for issued certificates, which makes operation management complicated.
また、物理世界では、署名するために本人が直接サインするか印鑑を押すなど、特別な動作をするため、“署名する”という行為に対する実感を得ることができる。しかし、電子署名は論理世界のため、キーボードやマウスなどによる操作では、文書作成など他の作業と同様の操作なので、“署名する”という行為に対する実感を得づらいという課題が存在する。 Also, in the physical world, since the person performs a special operation such as directly signing or pressing a seal for signing, it is possible to obtain a feeling of “signing”. However, since an electronic signature is a logical world, an operation using a keyboard or a mouse is the same operation as other work such as document creation, and thus there is a problem that it is difficult to obtain an actual feeling for the act of “signing”.
さらに、電子署名では、署名者が誰か、署名された文書が署名後に改ざんされていないか、については確認することが可能であるが、いつ署名されたか、については保証されない。この“いつ”を保証する仕組みとしてタイムスタンプ用の署名を付与する方法があるが、その場合、電子署名とタイムスタンプ用の署名の2回を行う必要がある。 Furthermore, with an electronic signature, it is possible to check who is the signer and whether the signed document has not been tampered with after signature, but there is no guarantee as to when it was signed. As a mechanism for guaranteeing this “when”, there is a method of giving a signature for a time stamp. In this case, it is necessary to perform a digital signature and a signature for a time stamp twice.
上記の課題を解決するために、本発明は、現在、電子データへの署名方法として主流となっている公開鍵暗号方式を用いず、指紋などのバイオメトリクス情報を利用した電子署名方法により、署名者、時刻の特定およびデータの非改ざん性を確認可能とする。 In order to solve the above problems, the present invention does not use a public key cryptosystem that is currently the mainstream as a method for signing electronic data, but uses a digital signature method that utilizes biometric information such as a fingerprint. Identification of the person, time and non-falsification of the data.
すなわち、本発明による電子署名システムは、バイオメトリクス情報読取手段によって読み取られた署名者のバイオメトリクス情報と前記署名者の識別情報とを対応付けて蓄積するバイオメトリクス情報蓄積手段と、バイオメトリクス情報読取手段によって読み取られた署名者のバイオメトリクス情報を暗号化した第1の暗号化バイオメトリクス情報と、電子署名生成の対象となる電子データのハッシュ値と、前記署名者の識別情報とを端末から受信すると、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する署名生成用認証手段と、前記署名生成用認証手段において一致すると、生成したタイムスタンプ情報と、予め記憶された秘密情報と、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報を暗号化した第2の暗号化バイオメトリクス情報と、前記タイムスタンプ情報とを前記端末に返信する署名生成手段と、前記端末に返信した署名値、第2の暗号化バイオメトリクス情報、タイムスタンプ情報と、電子署名検証の対象となる電子データのハッシュ値と、署名者の識別情報とを端末から受信すると、前記第2の暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する署名検証用認証手段と、前記署名検証用認証手段において一致すると、前記受信したタイムスタンプ情報と、前記予め記憶された秘密情報と、前記第2の暗号化バイオメトリクス情報を復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記受信した署名値とが一致するか否かを前記端末に返信する署名検証手段と、を備えることを特徴とする。 That is, the electronic signature system according to the present invention includes biometric information storage means for storing the biometric information of the signer read by the biometric information reading means and the identification information of the signer in association with each other, and biometric information reading The first encrypted biometric information obtained by encrypting the biometric information of the signer read by the means, the hash value of the electronic data for which the electronic signature is generated, and the identification information of the signer are received from the terminal. Then, whether the biometric information obtained by decrypting the first encrypted biometric information matches the biometric information stored in the biometric information storage unit corresponding to the received signer identification information. The signature generation authentication means to be judged matches the signature generation authentication means Then, a signature key is generated using the generated time stamp information, secret information stored in advance, and biometric information obtained by decrypting the first encrypted biometric information, and the signature key is used to generate the signature key. The signature value generated for the hash value, the second encrypted biometric information obtained by encrypting the biometric information obtained by decrypting the first encrypted biometric information, and the time stamp information are returned to the terminal. The signature generation means, the signature value returned to the terminal, the second encrypted biometric information, the time stamp information, the hash value of the electronic data to be verified by the electronic signature, and the identification information of the signer Corresponding to the biometric information obtained by decrypting the second encrypted biometric information and the received signer identification information. If the biometric information stored in the biometric information storage means matches with the signature verification authentication means and the signature verification authentication means matches, the received time stamp information and the pre-stored A signature key generated using the signature information and the biometric information obtained by decrypting the second encrypted biometric information, and the signature value generated for the hash value using the signature key; Signature verification means for returning to the terminal whether or not the received signature value matches.
また、本発明による電子署名生成装置は、バイオメトリクス情報読取手段によって読み取られた署名者のバイオメトリクス情報と前記署名者の識別情報とを対応付けて蓄積するバイオメトリクス情報蓄積手段と、バイオメトリクス情報読取手段によって読み取られた署名者のバイオメトリクス情報を暗号化した第1の暗号化バイオメトリクス情報と、電子署名生成の対象となる電子データのハッシュ値と、前記署名者の識別情報とを端末から受信すると、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する認証手段と、前記認証手段において一致すると、生成したタイムスタンプ情報と、予め記憶された秘密情報と、前記復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記復号したバイオメトリクス情報を暗号化した第2の暗号化バイオメトリクス情報と、前記タイムスタンプ情報とを前記端末に返信する署名生成手段と、を備えることを特徴とする。 The electronic signature generation apparatus according to the present invention includes biometric information storage means for storing the biometric information of the signer read by the biometric information reading means and the identification information of the signer in association with each other, and biometric information The first encrypted biometric information obtained by encrypting the signer's biometric information read by the reading means, the hash value of the electronic data for which the electronic signature is to be generated, and the identification information of the signer are received from the terminal. When received, the biometric information obtained by decrypting the first encrypted biometric information matches the biometric information stored in the biometric information storage means corresponding to the received signer identification information. If the authentication means for determining whether the authentication means matches, the generated time A signature key generated using the signature information, the secret information stored in advance, and the decrypted biometric information, the signature value generated for the hash value using the signature key, and the decrypted biometric Signature generating means for returning the second encrypted biometric information obtained by encrypting the metrics information and the time stamp information to the terminal is provided.
また、本発明による電子署名検証装置は、バイオメトリクス情報読取手段によって読み取られた署名者のバイオメトリクス情報と前記署名者の識別情報とを対応付けて蓄積するバイオメトリクス情報蓄積手段と、署名値と、暗号化バイオメトリクス情報と、タイムスタンプ情報と、ハッシュ値と、署名者の識別情報とを端末から受信すると、前記暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する認証手段と、前記認証手段において一致すると、前記タイムスタンプ情報と、予め記憶された秘密情報と、前記復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記受信した署名値とが一致するか否かを前記端末に返信する署名検証手段と、を備えることを特徴とする。 The electronic signature verification apparatus according to the present invention comprises biometric information storage means for storing the signer's biometric information read by the biometric information reading means and the signer's identification information in association with each other, and a signature value. Receiving the encrypted biometric information, the time stamp information, the hash value, and the signer identification information from the terminal, the biometric information obtained by decrypting the encrypted biometric information, and the received signer identification Authentication means for determining whether or not the biometric information stored in the biometric information storage means corresponding to the information matches, and if the authentication means matches, the time stamp information and prestored secret information; Generating a signature key using the decrypted biometric information and using the signature key A signature value generated for the hash value, and wherein whether the signature value thus received matches that and a signature verification unit to reply to the terminal.
本発明は、バイオメトリクス情報を署名用鍵として用いて電子署名を行う機能を有する。本発明により、以下のように課題が解決される。
・ バイオメトリクス情報を署名用鍵として使用しているため、ユーザ側で鍵の生成・管理(特に秘密鍵の管理)をする必要がない。
・ バイオメトリクス情報を署名用鍵として使用しているため、署名および検証時に公開鍵証明書などの電子データを所有している必要がない。
・ バイオメトリクス情報を署名用鍵として使用しているため、本人以外は署名データを生成できない。
・ バイオメトリクス情報を署名用鍵として使用しているため、証明書の発行が不要であり、有効期限の設定や失効情報リスト(CRL)の発行など、運用面での煩雑な管理が不要となる。
・ バイオメトリクス情報を署名用鍵として使用しているため、バイオメトリクス情報を読み取るという行為が発生し、個人の情報を用いている実感が強く、実際に自ら”署名する”という行為に対する実感を得やすい。
・また、バイオメトリクス情報から署名用鍵を生成する際に、時刻情報を含めることで、 1回の署名で、署名者と時刻および非改ざんを証明することができる。
The present invention has a function of performing an electronic signature using biometric information as a signature key. The present invention solves the problem as follows.
-Since biometrics information is used as a signature key, it is not necessary for the user to generate / manage keys (especially secret key management).
-Since biometric information is used as a signature key, it is not necessary to have electronic data such as a public key certificate at the time of signature and verification.
-Since biometric information is used as a signature key, signature data cannot be generated by anyone other than the principal.
・ Since biometrics information is used as a signature key, it is not necessary to issue a certificate, and complicated operational management such as setting a validity period and issuing a revocation information list (CRL) is not required. .
・ Because biometrics information is used as a signature key, there is an act of reading biometrics information, and there is a strong feeling of using personal information. Cheap.
・ Also, when signing key is generated from biometric information, by including time information, it is possible to prove the signer, time and non-falsification with a single signature.
以下、本発明の実施の形態について、詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail.
<実施例の構成>
本発明は、署名者のバイオメトリクス情報を読み取り、電子署名の生成を依頼する署名者端末10と、電子署名の検証を依頼する検証者端末20、およびバイオメトリクス情報の管理および署名・検証を行う署名検証システム30の3つで構成される。
<Configuration of Example>
The present invention reads a signer's biometric information, requests a
署名者端末10は以下の機能を有する。
・ 署名者のバイオメトリクス情報を取得する機能
・ 署名生成に必要な情報を署名検証システム30へ送付する機能
The
-Function to obtain signer's biometric information-Function to send information necessary for signature generation to
検証者端末20は以下の機能を有する。
・ 署名検証に必要な情報を署名検証システム30へ送付する機能
The
A function for sending information necessary for signature verification to the
署名検証システム30は、署名を行う署名サブシステム31、検証を行う検証サブシステム32、バイオメトリクス情報を格納するバイオメトリクス情報蓄積手段33で構成される。
The
署名サブシステム31は以下の機能を有する。
・ 受信したバイオメトリクス情報から署名者の認証を行う機能
・ 受信したバイオメトリクス情報から鍵を生成する機能
・ 電子データへの署名を生成する機能
The
-Function to authenticate signer from received biometric information-Function to generate key from received biometric information-Function to generate signature for electronic data
検証サブシステム32は以下の機能を有する。
・ 受信したバイオメトリクス情報から署名者の認証を行う機能
・ 受信したバイオメトリクス情報から鍵を生成する機能
・ 電子データの署名を検証する機能
The
・ Function to authenticate signer from received biometric information ・ Function to generate key from received biometric information ・ Function to verify signature of electronic data
なお、署名検証システム30には、署名時用の秘密鍵、検証時用の公開鍵・秘密鍵ペア、署名検証システム30の秘密情報(乱数など)、および署名者のバイオメトリクス情報があらかじめ登録・格納されている。また、署名者端末10には、署名検証システム30の署名時用公開鍵があらかじめ登録・格納されている。
In the
<実施例の動作>
次に、図2〜図5を参照して本発明の実施例の動作について詳細に説明する。
<Operation of Example>
Next, the operation of the embodiment of the present invention will be described in detail with reference to FIGS.
図2は、署名および検証における情報の流れを表わす。
まず、事前にユーザは署名検証システム30へ自らのバイオメトリクス情報を登録する。なお、バイオメトリクス情報としては指紋や虹彩などが可能である。ここで、署名検証システム30への登録では、バイオメトリクス情報と共に、ユーザの情報(名前、所属などの付加情報)も登録してよい。署名検証システム30では、登録された情報をバイオメトリクス情報蓄積手段33に保存すると共に、ユーザと登録した情報とが一意に結びつくように、ユニークなID(以下、ユーザID)を発行する。
FIG. 2 represents the information flow in signature and verification.
First, the user registers his / her biometric information in the
つづいて、図3を参照して、署名データ生成の動作について説明する。 Next, the signature data generation operation will be described with reference to FIG.
ユーザは署名対象となる電子データ(以下、署名対象データ)を選択する。つづいて、ユーザは自らの指紋情報を、バイオメトリクス情報読取手段11を通して入力する(S101)。署名者端末10では、読取ったバイオメトリクス情報を署名検証システム30の署名時用公開鍵を用いて暗号化する(以下、暗号化バイオメトリクス情報1)(S102)。
The user selects electronic data to be signed (hereinafter referred to as signature target data). Subsequently, the user inputs his / her fingerprint information through the biometric information reading means 11 (S101). The
つづいて、署名者端末10では、署名対象データに対し、ハッシュ関数を用いてハッシュ値(以下、ハッシュデータ)を得る(S103)。
Subsequently, the
暗号化バイオメトリクス情報1およびハッシュデータを得ると、署名者端末10はユーザから署名者情報を得る。署名者情報としては、署名検証システム30にあるバイオメトリクス情報蓄積手段33の情報と署名者情報を一意に結びつけるために発行されたユーザIDを登録する。そのほかに、署名者の名称や所属などの付加情報を入力しても良い。
When the encrypted biometric information 1 and the hash data are obtained, the
署名者情報入力後、署名者端末10はユーザからバイオメトリクス情報を登録した署名検証システム30の情報(以下、署名検証システム情報)を得る(S104)。署名検証システム情報は図5の署名検証システム情報欄に示すとおり、電子データのハッシュアルゴリズム、署名方法、署名検証システム名称、検証依頼先、署名検証システム情報のハッシュ値などを含む。署名検証システム情報は、あらかじめ署名者端末10に登録され、ユーザは複数の署名検証システム情報から、該当する署名検証システム30を選択することで、署名者端末10が署名検証システム30の情報を得る方法が可能である。
After inputting the signer information, the
署名検証システム情報を入力すると、署名者端末10は署名検証システム30の署名サブシステム31へ暗号化バイオメトリクス情報1、ハッシュデータ、署名者情報を送信する(S105)。
When the signature verification system information is input, the
署名サブシステム31は、暗号化バイオメトリクス情報1、ハッシュデータ、署名者情報を受信すると、まず、署名検証システム30の署名時用秘密鍵を用いて暗号化バイオメトリクス情報1を復号する(S106)。つづいて、署名者情報からユーザIDを取得し、該当するバイオメトリクス情報をバイオメトリクス情報蓄積手段33から取得する(S107)。そして、復号したバイオメトリクス情報とバイオメトリクス情報蓄積手段33から取得したバイオメトリクス情報を用いて、署名者本人であるか認証を行う(S108)。認証の結果、署名者本人でないと判断された場合は、処理を終了する。
Upon receiving the encrypted biometric information 1, hash data, and signer information, the
認証の結果、署名者本人であると判断された場合、署名サブシステム31はタイムスタンプ情報および署名検証システム30の秘密情報(以下、署名検証システム秘密情報)を取得する(S109)。つづいて、取得したタイムスタンプ情報、署名検証システム秘密情報、および、復号したバイオメトリクス情報から、署名鍵を生成する(S110)。署名鍵の生成方法としては、前記3つの情報を結合した情報をそのまま使用する方法や、ハッシュ関数(MD5、SHA-1)などを用いて加工した情報を使用する方法などが可能である。
If it is determined as a result of the authentication that the user is the signer, the
署名鍵を生成後、署名鍵を用いてハッシュデータに対し署名を行い、署名値を得る(S111)。署名方法としては、ハッシュベース メッセージ認証コード (HMAC-SHA-512) などを用いる方法などが可能である。署名値を生成すると、署名サブシステム31は、復号したバイオメトリクス情報を、署名検証システム30の検証時用公開鍵を用いて暗号化する(以下、暗号化バイオメトリクス情報2)(S112)。そして、暗号化バイオメトリクス情報2、タイムスタンプ情報および署名値を署名者端末10へ返信する(S113)。
After generating the signature key, the hash data is signed using the signature key to obtain a signature value (S111). As a signature method, a method using a hash-based message authentication code (HMAC-SHA-512) or the like is possible. When the signature value is generated, the
最後に、署名者端末10は、署名値、タイムスタンプ情報、暗号化バイオメトリクス情報2、署名者情報、署名検証システム情報を結合し、改ざん防止のためハッシュ関数を用いてハッシュ値を計算し、署名データ(図5参照)を生成する。
Finally, the
次に、図4を参照して、署名データ検証の動作について説明する。 Next, the signature data verification operation will be described with reference to FIG.
検証者端末20では、まず、署名データ(図5参照)について改ざんされていないことを確認するため、署名値、タイムスタンプ情報、暗号化バイオメトリクス情報2、署名者情報、署名検証システム情報を結合した部分(図5の(b))に対し、署名データのハッシュアルゴリズムを用いてハッシュ値を取得し、署名データに記載されているハッシュ値と突合せを行う(S201)。一致している場合、改ざんされていないと判断して、次の作業を行う。一致しない場合、改ざんされたと判断し、作業を終了する。
The
つづいて、取得した署名検証システム情報が改ざんされていないかを確認するため、署名検証システム情報のハッシュ値以外の部分(図5の(a))に対し、署名検証システム情報のハッシュアルゴリズムを用いてハッシュ値を取得し(S202)、署名検証システム情報に記載されているハッシュ値と突合せを行う(S203)。一致している場合、改ざんされていないと判断して、次の作業を行う。一致しない場合、改ざんされたと判断し、作業を終了する。 Subsequently, in order to check whether the acquired signature verification system information has been tampered with, the hash algorithm of the signature verification system information is used for the portion other than the hash value of the signature verification system information ((a) in FIG. 5). The hash value is acquired (S202) and matched with the hash value described in the signature verification system information (S203). If they match, it is determined that the file has not been tampered with and the next operation is performed. If they do not match, it is determined that they have been tampered with, and the operation is terminated.
次に、検証者端末20は、署名データから署名値、タイムスタンプ情報、暗号化バイオメトリスク情報2、署名者情報を取得する(S204〜207)。さらに、電子データに対して、署名検証システム情報に記載された電子データのハッシュアルゴリズムを用いてハッシュ値(ハッシュデータ)を得る(S208)。そして、署名検証システム情報から検証を依頼するための検証依頼先の情報を取得し、検証依頼先に署名値、タイムスタンプ情報、暗号化バイオメトリクス情報2、ハッシュデータ、署名者情報を検証サブシステム32へ送付する(S209)。
Next, the
検証サブシステム32では、署名値、タイムスタンプ情報、暗号化バイオメトリクス情報2、ハッシュデータ、署名者情報を受信すると、まず、署名検証システム30の検証時用秘密鍵を用いて暗号化バイオメトリクス情報2を復号する(S210)。つづいて、署名者情報からユーザIDを取得し、該当するバイオメトリクス情報をバイオメトリクス情報蓄積手段33から取得する(S211)。そして、復号したバイオメトリクス情報とバイオメトリクス情報蓄積手段33から取得したバイオメトリクス情報を用いて、署名者本人であるか認証を行う(S212)。認証の結果、署名者本人でないと判断された場合は、処理を終了する。
When the
認証の結果、署名者本人であると判断された場合、署名検証システム30は署名検証システム秘密情報を取得する(S213)。つづいて、タイムスタンプ情報、署名検証システム秘密情報、および、復号したバイオメトリクス情報から、署名鍵を生成する(S214)。さらに、署名鍵を用いてハッシュデータに対し署名を行い、署名値を得る(S215)。ここで得た署名値と送付されてきた署名値を突合せ(S216)、一致している場合、改ざんされていないと判断して、検証成功と検証者端末20へ返答を行う(S217)。一致しない場合、改ざんされたと判断し、検証失敗と検証者端末20へ返答を行う(S218)。この返答では、署名検証システム30側から署名者の追加情報を付与することで、検証者端末20側へ署名者に関する情報を知らせる方法も可能である。
As a result of authentication, when it is determined that the user is the signer, the
本発明は、電子データの改ざん検知や、作成者の証明、および署名時の時刻特定を行う必要がある分野に適用できる。 The present invention can be applied to fields in which it is necessary to detect falsification of electronic data, to authenticate the creator, and to specify the time of signature.
10・・・署名者端末、11・・・バイオメトリクス情報読取手段、20・・・検証者端末、30・・・署名検証システム、31・・・署名サブシステム、32・・・検証サブシステム、33・・・バイオメトリクス情報蓄積手段
DESCRIPTION OF
Claims (8)
バイオメトリクス情報読取手段によって読み取られた署名者のバイオメトリクス情報を暗号化した第1の暗号化バイオメトリクス情報と、電子署名生成の対象となる電子データのハッシュ値と、前記署名者の識別情報とを端末から受信すると、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する署名生成用認証手段と、
前記署名生成用認証手段において一致すると、生成したタイムスタンプ情報と、予め記憶された秘密情報と、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報を暗号化した第2の暗号化バイオメトリクス情報と、前記タイムスタンプ情報とを前記端末に返信する署名生成手段と、
前記端末に返信した署名値、第2の暗号化バイオメトリクス情報、タイムスタンプ情報と、電子署名検証の対象となる電子データのハッシュ値と、署名者の識別情報とを端末から受信すると、前記第2の暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する署名検証用認証手段と、
前記署名検証用認証手段において一致すると、前記受信したタイムスタンプ情報と、前記予め記憶された秘密情報と、前記第2の暗号化バイオメトリクス情報を復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記受信した署名値とが一致するか否かを前記端末に返信する署名検証手段と、
を備えることを特徴とする電子署名システム。 Biometric information storage means for storing the biometric information of the signer read by the biometric information reading means and the identification information of the signer in association with each other;
First encrypted biometric information obtained by encrypting the biometric information of the signer read by the biometric information reading means, a hash value of electronic data for which an electronic signature is generated, and identification information of the signer Is received from the terminal, the biometric information obtained by decrypting the first encrypted biometric information matches the biometric information stored in the biometric information storage means corresponding to the received signer identification information. A signature generation authentication means for determining whether or not to perform;
When the authentication means for signature generation matches, a signature key is generated using the generated time stamp information, prestored secret information, and biometric information obtained by decrypting the first encrypted biometric information, A signature value generated for the hash value using the signature key; second encrypted biometric information obtained by encrypting biometric information obtained by decrypting the first encrypted biometric information; and the time stamp Signature generating means for returning information to the terminal;
When receiving from the terminal the signature value, the second encrypted biometric information, the time stamp information, the hash value of the electronic data subject to electronic signature verification, and the signer identification information, the signature value returned to the terminal is received. Signature verification for determining whether biometric information obtained by decrypting the encrypted biometric information of 2 matches biometric information stored in the biometric information storage means corresponding to the received signer identification information. Authentication means,
When the authentication means for signature verification matches, a signature key is generated using the received time stamp information, the previously stored secret information, and biometric information obtained by decrypting the second encrypted biometric information And signature verification means for returning to the terminal whether the signature value generated for the hash value using the signature key matches the received signature value;
An electronic signature system comprising:
前記第1の暗号化バイオメトリクス情報の復号は、前記第1の公開鍵に対応する第1の秘密鍵を用いて行われ、
前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報の暗号化は、第2の公開鍵を用いて行われ、
前記第2の暗号化バイオメトリクス情報の復号は、前記第2の公開鍵に対応する秘密鍵を用いて行われることを特徴とする請求項1に記載の電子署名システム。 The first encrypted biometric information is encrypted using a first public key;
The decryption of the first encrypted biometric information is performed using a first secret key corresponding to the first public key,
Encryption of biometric information obtained by decrypting the first encrypted biometric information is performed using a second public key,
The electronic signature system according to claim 1, wherein the decryption of the second encrypted biometric information is performed using a secret key corresponding to the second public key.
バイオメトリクス情報読取手段によって読み取られた署名者のバイオメトリクス情報を暗号化した第1の暗号化バイオメトリクス情報と、電子署名生成の対象となる電子データのハッシュ値と、前記署名者の識別情報とを端末から受信すると、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する認証手段と、
前記認証手段において一致すると、生成したタイムスタンプ情報と、予め記憶された秘密情報と、前記復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記復号したバイオメトリクス情報を暗号化した第2の暗号化バイオメトリクス情報と、前記タイムスタンプ情報とを前記端末に返信する署名生成手段と、
を備えることを特徴とする電子署名生成装置。 Biometric information storage means for storing the biometric information of the signer read by the biometric information reading means and the identification information of the signer in association with each other;
First encrypted biometric information obtained by encrypting the biometric information of the signer read by the biometric information reading means, a hash value of electronic data for which an electronic signature is generated, and identification information of the signer Is received from the terminal, the biometric information obtained by decrypting the first encrypted biometric information matches the biometric information stored in the biometric information storage means corresponding to the received signer identification information. Authentication means for determining whether or not to do;
If the authentication means agrees, a signature key is generated using the generated time stamp information, pre-stored secret information, and the decrypted biometric information, and the signature key is used for the hash value. Signature generating means for returning the generated signature value, the second encrypted biometric information obtained by encrypting the decrypted biometric information, and the time stamp information to the terminal;
An electronic signature generation apparatus comprising:
前記第1の暗号化バイオメトリクス情報の復号は、前記第1の公開鍵に対応する第1の秘密鍵を用いて行われ、
前記復号したバイオメトリクス情報の暗号化は、第2の公開鍵を用いて行われることを特徴とする請求項3に記載の電子署名生成装置。 The first encrypted biometric information is encrypted using a first public key;
The decryption of the first encrypted biometric information is performed using a first secret key corresponding to the first public key,
4. The electronic signature generation apparatus according to claim 3, wherein the decryption of the decrypted biometric information is performed using a second public key.
署名値と、暗号化バイオメトリクス情報と、タイムスタンプ情報と、ハッシュ値と、署名者の識別情報とを端末から受信すると、前記暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する認証手段と、
前記認証手段において一致すると、前記タイムスタンプ情報と、予め記憶された秘密情報と、前記復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記受信した署名値とが一致するか否かを前記端末に返信する署名検証手段と、
を備えることを特徴とする電子署名検証装置。 Biometric information storage means for storing the biometric information of the signer read by the biometric information reading means and the identification information of the signer in association with each other;
When a signature value, encrypted biometric information, time stamp information, hash value, and signer identification information are received from the terminal, biometric information obtained by decrypting the encrypted biometric information, and the received signature Authentication means for determining whether or not the biometric information stored in the biometric information storage means corresponding to the identification information of the person matches,
When the authentication means agrees, a signature key is generated using the time stamp information, pre-stored secret information, and the decrypted biometric information, and generated for the hash value using the signature key Signature verification means for returning to the terminal whether or not the received signature value matches the received signature value;
An electronic signature verification apparatus comprising:
前記暗号化バイオメトリクス情報の復号は、前記公開鍵に対応する秘密鍵を用いて行われることを特徴とする請求項5に記載の電子署名検証装置。 The encrypted biometric information is encrypted using a public key,
The electronic signature verification apparatus according to claim 5, wherein the decryption of the encrypted biometric information is performed using a secret key corresponding to the public key.
バイオメトリクス情報読取手段によって読み取られた署名者のバイオメトリクス情報を暗号化した第1の暗号化バイオメトリクス情報と、電子署名生成の対象となる電子データのハッシュ値と、前記署名者の識別情報とを端末から受信すると、前記第1の暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する認証手段、
前記認証手段において一致すると、生成したタイムスタンプ情報と、予め記憶された秘密情報と、前記復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記復号したバイオメトリクス情報を暗号化した第2の暗号化バイオメトリクス情報と、前記タイムスタンプ情報とを前記端末に返信する署名生成手段、
として機能させるためのプログラム。 A computer of an electronic signature generation apparatus comprising biometric information storage means for storing biometric information of a signer read by biometric information reading means and the identification information of the signer in association with each other.
First encrypted biometric information obtained by encrypting the biometric information of the signer read by the biometric information reading means, a hash value of electronic data for which an electronic signature is generated, and identification information of the signer Is received from the terminal, the biometric information obtained by decrypting the first encrypted biometric information matches the biometric information stored in the biometric information storage means corresponding to the received signer identification information. Authentication means for determining whether to
If the authentication means agrees, a signature key is generated using the generated time stamp information, pre-stored secret information, and the decrypted biometric information, and the signature key is used for the hash value. Signature generating means for returning the generated signature value, the second encrypted biometric information obtained by encrypting the decrypted biometric information, and the time stamp information to the terminal;
Program to function as.
署名値と、暗号化バイオメトリクス情報と、タイムスタンプ情報と、ハッシュ値と、署名者の識別情報とを端末から受信すると、前記暗号化バイオメトリクス情報を復号したバイオメトリクス情報と、前記受信した署名者の識別情報に対応する前記バイオメトリクス情報蓄積手段に蓄積されたバイオメトリクス情報とが一致するか否か判定する認証手段、
前記認証手段において一致すると、前記タイムスタンプ情報と、予め記憶された秘密情報と、前記復号したバイオメトリクス情報とを用いて署名鍵を生成し、該署名鍵を用いて前記ハッシュ値に対して生成した署名値と、前記受信した署名値とが一致するか否かを前記端末に返信する署名検証手段、
として機能させるためのプログラム。 A computer of an electronic signature verification device comprising biometric information storage means for storing the biometric information of the signer read by the biometric information reading means and the identification information of the signer in association with each other.
When a signature value, encrypted biometric information, time stamp information, hash value, and signer identification information are received from the terminal, biometric information obtained by decrypting the encrypted biometric information, and the received signature Authentication means for determining whether or not the biometric information stored in the biometric information storage means corresponding to the identification information of the person matches.
When the authentication means agrees, a signature key is generated using the time stamp information, pre-stored secret information, and the decrypted biometric information, and generated for the hash value using the signature key Signature verification means for returning to the terminal whether or not the received signature value matches the received signature value;
Program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009083297A JP2010239294A (en) | 2009-03-30 | 2009-03-30 | Electronic signature system, electronic signature generating apparatus, electronic signature verifying apparatus, and, program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009083297A JP2010239294A (en) | 2009-03-30 | 2009-03-30 | Electronic signature system, electronic signature generating apparatus, electronic signature verifying apparatus, and, program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010239294A true JP2010239294A (en) | 2010-10-21 |
Family
ID=43093269
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009083297A Pending JP2010239294A (en) | 2009-03-30 | 2009-03-30 | Electronic signature system, electronic signature generating apparatus, electronic signature verifying apparatus, and, program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010239294A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013123142A (en) * | 2011-12-12 | 2013-06-20 | Hitachi Ltd | Biometric signature system |
-
2009
- 2009-03-30 JP JP2009083297A patent/JP2010239294A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013123142A (en) * | 2011-12-12 | 2013-06-20 | Hitachi Ltd | Biometric signature system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109067801B (en) | Identity authentication method, identity authentication device and computer readable medium | |
JP7297360B2 (en) | Key management method, device, system, computer equipment and computer program | |
JP4490477B2 (en) | Token offer | |
JP4619119B2 (en) | Method for secure registration and backup of personal identification to an electronic device | |
KR102177848B1 (en) | Method and system for verifying an access request | |
WO2007094165A1 (en) | Id system and program, and id method | |
KR101897715B1 (en) | System for non-password secure biometric digital signagure | |
CN109495268B (en) | Two-dimensional code authentication method and device and computer readable storage medium | |
KR20120053929A (en) | The agent system for digital signature using sign private key with double encryption and method thereof features to store in web storage | |
JP2014174560A (en) | Information processing device, server and control method therefor, and program and storage medium | |
WO2021111824A1 (en) | Electronic signature system and tamper-proof device | |
CN106209730B (en) | Method and device for managing application identifier | |
JP4823704B2 (en) | Authentication system, authentication information delegation method and security device in the same system | |
JP7400444B2 (en) | Public key certificate generation method for IoT key management system, secure device, IoT device, device management device, and secure element | |
JP2004236254A (en) | Electronic data storage system and its method | |
CN112364335A (en) | Identification identity authentication method and device, electronic equipment and storage medium | |
JP2008234143A (en) | Subject limited mail opening system using biometrics, method therefor, and program therefor | |
CN115242471B (en) | Information transmission method, information transmission device, electronic equipment and computer readable storage medium | |
KR101616795B1 (en) | Method for manage private key file of public key infrastructure and system thereof | |
JP5393594B2 (en) | Efficient mutual authentication method, program, and apparatus | |
KR101933090B1 (en) | System and method for providing electronic signature service | |
JP4554264B2 (en) | Digital signature processing method and program therefor | |
JP2010239294A (en) | Electronic signature system, electronic signature generating apparatus, electronic signature verifying apparatus, and, program | |
JP2007258789A (en) | System, method, and program for authenticating agent | |
WO2023199619A1 (en) | Remote signature system and anti-tamper device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100723 |