JP2011097424A - 電子署名システム及び電子署名方法 - Google Patents
電子署名システム及び電子署名方法 Download PDFInfo
- Publication number
- JP2011097424A JP2011097424A JP2009250512A JP2009250512A JP2011097424A JP 2011097424 A JP2011097424 A JP 2011097424A JP 2009250512 A JP2009250512 A JP 2009250512A JP 2009250512 A JP2009250512 A JP 2009250512A JP 2011097424 A JP2011097424 A JP 2011097424A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- certificate
- counter
- verification
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【解決手段】署名鍵と検証鍵とを有する署名端末が、電子署名を生成した回数を示す署名カウンタを記憶し、署名カウンタと検証鍵とが含まれる証明書取得要求を認証局装置に送信して証明書を受信し、定められた平文と、署名鍵と、証明書とに基づいて電子署名を生成し、証明局装置が、証明書を生成した回数を示す証明書発行カウンタを記憶し、署名端末から送信された証明書取得要求を受信し、署名カウンタが示す値と証明書発行カウンタが示す値とが一致すると判定すると証明書を生成して署名端末に送信し、一致しないと判定すると証明書を生成せず、検証端末は、電子署名と検証鍵との入力を受け付け、検証鍵に基づいて電子署名の検証を行なう。
【選択図】図1
Description
<第1の実施形態>
図1は、本発明の第1の実施形態による電子署名システム1の構成を示すブロック図である。本実施形態による電子署名システム1は、定められた署名鍵と検証鍵とが記憶されている署名端末10と、署名端末10の検証鍵に対応する証明書を生成する認証局装置20と、署名端末10の署名鍵に基づいて生成された電子署名の検証を行なう検証端末30とを備えている。
署名カウンタ記憶部11には、署名鍵skに基づいて電子署名を生成した回数を示す署名カウンタCs1が記憶される。署名カウンタ記憶部11には、例えば署名カウンタCs1の初期値として0が記憶され、後述する電子署名部13によって電子署名が生成されると、電子署名部13によって1ずつインクリメントされ、更新されて記憶される。また、署名カウンタ記憶部11は、署名端末10が備える定められた耐タンパ領域に構成される。耐タンパ領域には、例えば、PCなどのマザーボードに直付けされたセキュリティチップであるTPM(Trusted Platform Module)が適用できる。この場合、TPMが備えるカウンタの機能を、署名カウンタCs1として適用するようにしても良い。ここで、署名端末10が複数の署名鍵skを保持する場合には、署名カウンタ記憶部11には、署名鍵sk毎に、対応する署名カウンタCs1が記憶される。
電子署名部13は、上述の図2において符号(4)に示した電子署名生成処理により、定められた平文Mと、署名鍵skと、証明書certと、署名カウンタCs1と、ユーザを識別するユーザIDとに基づいて電子署名σを生成する。また、電子署名部13は、署名カウンタ記憶部11に記憶された署名カウンタをインクリメントし、記憶させる。また、電子署名部13は、ICカードリーダライタの機能を備えており、生成した電子署名σと、ユーザIDと、平文Mと、署名カウンタCs1と、検証鍵vkとが含まれる検証情報を、定められたIC(Integrated Circuit)カードに記憶させるようにしても良い。
証明書発行カウンタ記憶部21には、電子署名システム1による電子署名を行なう署名端末10に対応する検証鍵毎に、検証鍵と、ユーザIDと、証明書発行カウンタと、署名鍵の有効期間と、失効フラグとが対応付けられて記憶される。図3は、証明書発行カウンタ記憶部21に記憶される情報のデータ例を示す図である。検証鍵は、署名端末10により生成され、送信されて登録された検証鍵である。ユーザIDは、電子署名システム1による電子署名を行なうユーザを識別する識別情報である。証明書発行カウンタは、証明書発行部23によって証明書が生成された回数を示す情報である。証明書発行カウンタは、例えば初期値として0が記憶され、後述する証明書発行部23によって対応する検証鍵に基づく証明書が生成されると、証明書発行部23によって1ずつインクリメントされ、更新されて記憶される。署名鍵の有効期間は、対応する署名鍵を利用することが可能である期間を示す情報である。署名鍵の有効期間には、例えば署名鍵の有効期間の始期を示す日時と、署名鍵の有効期間の終期を示す日時との情報が含まれる。失効フラグは、有効期間内である署名鍵であっても、鍵漏洩等の理由により検証鍵が失効されている場合に、その検証鍵が失効していることを示す情報である。失効フラグは、例えば従来のPKIベースの電子署名におけるCRLに対応する情報である。すなわち、署名鍵の有効期間内には「有効」を示す失効フラグが対応付けられるが、署名鍵の有効期間内であっても、鍵の漏洩などにより失効した鍵に対応する検証鍵には「無効」を示す失効フラグが対応付けられる。
鍵記憶部24には、署名端末10から認証局装置20に送信された検証鍵が記憶される。
検証情報入力部31は、ユーザIDと、平文Mと、電子署名σと、署名カウンタCs1と、検証鍵vkとが含まれる検証情報の入力を受け付ける。ここで、検証情報入力部31は、例えばICカードリーダなどの機能を備えており、ICカードに記憶されている検証情報を読み込むことにより入力を受け付けるようにしても良い。
まず、署名端末10は、上述の電子署名処理を動作させて、署名鍵skと検証鍵vkとを生成する(ステップS1)。また、署名端末10は、例えばユーザからの入力に応じて、予め定められたユーザID(例えば、「User1」)と、パスワードとを用いて認証局装置20にログインし、ステップS1において生成した検証鍵vkを認証局装置20に送信する。認証局装置20は、署名端末10から送信された検証鍵を受信すると、受信した検証鍵を鍵記憶部24に記憶させて登録する(ステップS2)。また、認証局装置20の証明書発行カウンタ記憶部21には、検証鍵に対応する初期値が記憶される。署名端末10の証明書取得部12は、署名カウンタ記憶部11に記憶されている署名カウンタCs1を読み出し、読み出した署名カウンタCs1と、検証鍵vkとが含まれる証明書取得要求を生成し、認証局装置20に送信する(ステップS3)。
そして、検証端末30の検証情報入力部31は、ユーザのICカードに記憶されたユーザID、平文M、電子署名σ、署名カウンタCs1、検証鍵vkを読み出すことにより検証情報の入力を受け付ける(ステップS11)。そして、検証部32は、検証処理によって電子署名σを検証鍵vkにより検証する(ステップS12)。ここで、検証部32が、電子署名σと検証鍵vkとに基づいた検証に失敗すれば(ステップS12:NO)、検証失敗として処理を終了する。一方、電子署名σと検証鍵vkとに基づいた検証に成功すれば(ステップS12:YES)、検証成功として検証結果を出力する(ステップS13)。
次に、本発明の第2の実施形態について説明する。本実施形態における電子署名システム1は、第1の実施形態と同様であるので、図1を参照して特に第1の実施形態と異なる点について説明する。
本実施形態における署名端末10の証明書取得部12は、署名カウンタが示す第1の書名カウンタ値に基づいて第1の証明書を取得し、第1の証明書に基づいて電子署名部13によって第1の電子署名が生成された後、第1の電子署名が生成されたことに応じて増加された署名カウンタが示す第2の署名カウンタ値に基づいて第2の証明書を取得する。
署名端末10の電子署名部13は、第1の証明書に基づく第1の電子署名(本署名)と、第2の証明書に基づく第2の電子署名(空署名)とを生成する。ここで、本書名とは、ユーザが本来署名を行ないたい平文に対して行なった電子署名である。これに対し、空署名とは、対応する本書名の有効性を確認する目的で用いられる電子署名である。ここで、空署名において署名を行なう対象である平文には、任意の情報を用いて良く、特に限定された情報を用いなくても良い。
検証端末30の検証部32は、第2の署名カウンタ値が、第1の署名カウンタ値以下である場合に検証を失敗させ、第2の署名カウンタ値が、第1の署名カウンタ値を超える場合に検証を成功させる。
図において、ステップS20からステップS25までの処理は、第1の実施形態において説明したステップS1からステップS10までの処理と同様である。ここで、図6においては、第1の実施形態におけるステップS4からステップS6までの判定処理、およびステップS8におけるCc1のインクリメント処理を省略して示しているが、同様の処理を行う。
また、本実施形態における署名端末10の署名カウンタ記憶部11と電子署名部13との機能は、耐タンパ性のあるICカードなどに記憶させ、動作させるようにしても良い。
10 署名端末
11 署名カウンタ記憶部
12 証明書取得部
13 電子署名部
20 認証局装置
21 証明書発行カウンタ記憶部
22 カウンタ判定部
23 証明書発行部
24 鍵記憶部
30 検証端末
31 検証情報入力部
32 検証部
Claims (6)
- 定められた署名鍵と、当該署名鍵に対応する検証鍵とが記憶されている署名端末と、前記検証鍵に対応する証明書を生成する認証局装置と、前記署名鍵に基づいて生成された電子署名の検証を行なう検証端末とを備えた電子署名システムであって、
前記署名端末は、
前記電子署名を生成した回数を示す署名カウンタが記憶される署名カウンタ記憶部と、
前記署名カウンタと前記検証鍵とが含まれる証明書取得要求を前記認証局装置に送信し、送信した当該証明書取得要求に応じて当該認証局装置から送信される証明書を受信する証明書取得部と、
定められた平文と、前記署名鍵と、前記証明書とに基づいて電子署名を生成する電子署名部と、を備え、
前記証明局装置は、
前記検証鍵に対応する前記証明書を生成した回数を示す証明書発行カウンタが記憶される証明書発行カウンタ記憶部と、
前記署名端末から送信される前記証明書取得要求を受信すると、当該証明書取得要求に含まれる前記署名カウンタが示す値と、前記証明書発行カウンタ記憶部に記憶された前記証明書発行カウンタが示す値とが一致するか否かを判定するカウンタ判定部と、
前記カウンタ判定部によって、前記署名カウンタが示す値と、前記証明書発行カウンタが示す値とが一致すると判定されると、前記検証鍵が含まれる証明書を生成して前記署名端末に送信し、前記署名カウンタが示す値と、前記証明書発行カウンタが示す値とが一致しないと判定されると、前記証明書を生成しない証明書発行部と、を備え、
前記検証端末は、
前記電子署名と、前記検証鍵との入力を受け付ける検証情報入力部と、
前記検証情報入力部に入力された前記検証鍵に基づいて前記電子署名の検証を行なう検証部と、を備える
ことを特徴とする電子署名システム。 - 前記署名端末の、
前記証明書取得部は、前記署名カウンタが示す第1の署名カウンタ値に基づいて第1の証明書を取得し、当該第1の証明書に基づいて前記電子署名部によって第1の電子署名が生成された後、当該第1の電子署名が生成されたことに応じて増加された前記署名カウンタが示す第2の署名カウンタ値に基づいて第2の証明書を取得し、
前記電子署名部は、前記第1の証明書に基づく第1の電子署名と、前記第2の証明書に基づく第2の電子署名とを生成し、
前記検証端末の、
前記検証情報入力部は、前記第1の電子署名と、前記第2の電子署名と、前記第1の署名カウンタ値を示す前記署名カウンタと、前記第2の署名カウンタ値を示す前記署名カウンタと、前記検証鍵との入力を受け付け、
前記検証部は、前記第2の署名カウンタ値が、前記第1の署名カウンタ値以下である場合に前記検証を失敗させる
ことを特徴とする請求項1に記載の電子署名システム。 - 前記証明局装置の、
前記証明書発行カウンタ記憶部には、前記署名鍵を利用して署名を行なうことが可能である署名鍵の有効期限と、当該検証鍵が失効していることを示す失効フラグとが記憶され、
前記証明書発行部は、前記署名鍵の有効期限と前記失効フラグとに基づいて、前記証明書を生成するか否かを判定する
ことを特徴とする請求項1または請求項2に記載の電子署名システム。 - 前記署名端末の、
前記署名カウンタ記憶部は、定められた耐タンパ領域に構成される
ことを特徴とする請求項1から請求項3までのいずれか1項に記載の電子署名システム。 - 前記電子署名システムは、複数の前記署名端末を備え、
前記証明局装置の前記証明書発行カウンタ記憶部には、前記複数の前記署名端末に対応する検証鍵毎に前記証明書発行カウンタが記憶されている
ことを特徴とする請求項1から請求項4までのいずれか1項に記載の電子署名システム。 - 定められた署名鍵と、当該署名鍵に対応する検証鍵とが記憶され、前記署名鍵に基づいて電子署名を生成した回数を示す署名カウンタが記憶される署名カウンタ記憶部を備える署名端末と、前記検証鍵に対応する証明書を生成した回数を示す証明書発行カウンタが記憶される証明書発行カウンタ記憶部を備える認証局装置と、前記電子署名の検証を行なう検証端末とを備えた電子署名システムの電子署名方法であって、
前記署名端末が、
前記署名カウンタと前記検証鍵とが含まれる証明書取得要求を前記認証局装置に送信し、送信した当該証明書取得要求に応じて当該認証局装置から送信される証明書を受信するステップと、
定められた平文と、前記署名鍵と、前記証明書とに基づいて電子署名を生成するステップと、
前記証明局装置が、
前記署名端末から送信される前記証明書取得要求を受信すると、当該証明書取得要求に含まれる前記署名カウンタが示す値と、前記証明書発行カウンタ記憶部に記憶された前記証明書発行カウンタが示す値とが一致するか否かを判定するステップと、
前記署名カウンタが示す値と、前記証明書発行カウンタが示す値とが一致すると判定すると、前記検証鍵が含まれる証明書を生成して前記署名端末に送信し、前記署名カウンタが示す値と、前記証明書発行カウンタが示す値とが一致しないと判定すると、前記証明書を生成しないステップと、
前記検証端末が、
前記電子署名と、前記検証鍵との入力を受け付けるステップと、
前記検証情報入力部に入力された前記検証鍵に基づいて前記電子署名の検証を行なうステップと、を備える
ことを特徴とする電子署名方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009250512A JP5371698B2 (ja) | 2009-10-30 | 2009-10-30 | 電子署名システム及び電子署名方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009250512A JP5371698B2 (ja) | 2009-10-30 | 2009-10-30 | 電子署名システム及び電子署名方法 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2011097424A true JP2011097424A (ja) | 2011-05-12 |
JP2011097424A5 JP2011097424A5 (ja) | 2013-09-12 |
JP5371698B2 JP5371698B2 (ja) | 2013-12-18 |
Family
ID=44113854
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009250512A Active JP5371698B2 (ja) | 2009-10-30 | 2009-10-30 | 電子署名システム及び電子署名方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5371698B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220021544A1 (en) * | 2020-07-15 | 2022-01-20 | Micron Technology, Inc. | Secure Serial Peripheral Interface (SPI) Flash |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003150863A (ja) * | 2001-11-13 | 2003-05-23 | Hitachi Ltd | 電子証明書の料金課金システム |
JP2004164287A (ja) * | 2002-11-13 | 2004-06-10 | Matsushita Electric Ind Co Ltd | 情報記録システム |
JP2005252318A (ja) * | 2004-03-01 | 2005-09-15 | Hitachi Ltd | 電子証明書有効性確認システムおよびその方法 |
JP2006203660A (ja) * | 2005-01-21 | 2006-08-03 | Toshiba Corp | デジタル署名情報生成装置、デジタル署名情報生成方法及びプログラム |
WO2008147086A1 (en) * | 2007-05-28 | 2008-12-04 | Samsung Electronics Co., Ltd. | Apparatus and method of verifying online certificate for offline device |
-
2009
- 2009-10-30 JP JP2009250512A patent/JP5371698B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003150863A (ja) * | 2001-11-13 | 2003-05-23 | Hitachi Ltd | 電子証明書の料金課金システム |
JP2004164287A (ja) * | 2002-11-13 | 2004-06-10 | Matsushita Electric Ind Co Ltd | 情報記録システム |
JP2005252318A (ja) * | 2004-03-01 | 2005-09-15 | Hitachi Ltd | 電子証明書有効性確認システムおよびその方法 |
JP2006203660A (ja) * | 2005-01-21 | 2006-08-03 | Toshiba Corp | デジタル署名情報生成装置、デジタル署名情報生成方法及びプログラム |
WO2008147086A1 (en) * | 2007-05-28 | 2008-12-04 | Samsung Electronics Co., Ltd. | Apparatus and method of verifying online certificate for offline device |
Non-Patent Citations (3)
Title |
---|
JPN7013003074; 大山 千尋,松尾 真一郎,道坂 修: '"電子署名の危殆化対策および長期署名方式の適用について"' コンピュータセキュリティシンポジウム2008(CSS2008)論文集 CD-ROM セッションD3 PKI, 20081008, 社団法人情報処理学会 * |
JPN7013003075; Chiriho Ohyama, Toshihiko Matsuo: '"On the Security of CL-PKE Schemes Based on Gentry's IBE"' 2009年暗号と情報セキュリティシンポジウム (SCIS2009) 2B1 公開鍵暗号(1),2B1-4, 20090120, p.1-6, 2009年暗号と情報セキュリティシンポジウム事務局 * |
JPN7013003076; Chihiro Ohyama, Toshihiko Matsuo: '"How to Realize Off-Line Verification on Certificate-Based Signature"' 2010年暗号と情報セキュリティシンポジウム (SCIS2010) 1A2 署名(1),1A2-3, 20100119, p.1-6, 2010年暗号と情報セキュリティシンポジウム実行委 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220021544A1 (en) * | 2020-07-15 | 2022-01-20 | Micron Technology, Inc. | Secure Serial Peripheral Interface (SPI) Flash |
Also Published As
Publication number | Publication date |
---|---|
JP5371698B2 (ja) | 2013-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10833873B2 (en) | Credential-based authorization | |
US7689828B2 (en) | System and method for implementing digital signature using one time private keys | |
CN112165382B (zh) | 软件授权方法、装置、授权服务端及终端设备 | |
JP4470071B2 (ja) | カード発行システム、カード発行サーバ、カード発行方法およびプログラム | |
US20220094542A1 (en) | Methods and devices for public key management using a blockchain | |
US20230006840A1 (en) | Methods and devices for automated digital certificate verification | |
US20110231662A1 (en) | Certificate validation method and validation server | |
JP2006340178A (ja) | 属性証明書検証方法及び装置 | |
JP5785875B2 (ja) | 公開鍵証明書の検証方法、検証サーバ、中継サーバおよびプログラム | |
US20190296918A1 (en) | Method and system for issuing proof-equipped certificates for certificate authority | |
JP5115424B2 (ja) | 時刻証明装置、時刻証明方法、及びプログラム | |
JP6866803B2 (ja) | 認証システムおよび認証方法 | |
CN109257381A (zh) | 一种密钥管理方法、系统及电子设备 | |
JP2009003501A (ja) | ワンタイムパスワード認証システム | |
JP2008005090A (ja) | 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法 | |
JP5371698B2 (ja) | 電子署名システム及び電子署名方法 | |
EP2916509B1 (en) | Network authentication method for secure user identity verification | |
CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
KR100760028B1 (ko) | 전자서명 인증서의 장기검증방법 및 시스템 | |
JP4541740B2 (ja) | 認証用鍵の更新システム、および認証用鍵の更新方法 | |
CN114128213B (zh) | 用于验证公钥的可靠性的装置、方法以及其程序 | |
JP5793593B2 (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 | |
JP2014505419A (ja) | トレースデバイスおよびトレース方法 | |
JP4166668B2 (ja) | デジタル署名長期検証システム及びデジタル署名長期検証装置並びにそのコンピュータプログラム | |
EP3544255A1 (en) | Method and system for issuing proof-equipped certificates for certificate authority |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120220 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20130515 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130730 |
|
TRDD | Decision of grant or rejection written | ||
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130816 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130820 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130917 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5371698 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |