JP2018139369A - 情報処理装置、情報処理方法、デバイス、暗号鍵の更新方法、システム及びプログラム - Google Patents
情報処理装置、情報処理方法、デバイス、暗号鍵の更新方法、システム及びプログラム Download PDFInfo
- Publication number
- JP2018139369A JP2018139369A JP2017033643A JP2017033643A JP2018139369A JP 2018139369 A JP2018139369 A JP 2018139369A JP 2017033643 A JP2017033643 A JP 2017033643A JP 2017033643 A JP2017033643 A JP 2017033643A JP 2018139369 A JP2018139369 A JP 2018139369A
- Authority
- JP
- Japan
- Prior art keywords
- encryption key
- information
- key
- encryption
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
【課題】より広汎な暗号鍵の危殆化要因に対応して暗号鍵を更新させることができる情報処理装置を提供する。【解決手段】情報処理装置は、暗号鍵の危殆化情報を取得する取得部と、前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、を備える。【選択図】図3
Description
本発明は、情報処理装置、情報処理方法、デバイス、暗号鍵の更新方法、システム及びプログラムに関する。
ネットワークを介した情報通信におけるセキュリティ向上のため、暗号鍵を用いた暗号化、認証等が広く行われている。暗号の安全性は、解読に膨大な時間と費用を要することを前提として保証されているが、様々な要因により暗号が危殆化することがある。これに対する対応策として暗号鍵の更新に関する様々な技術が提案されている。
特許文献1には、電子証明書を自動的に更新することができる無線LAN(Local Area Network)端末が開示されている。当該無線LAN端末は、あらかじめ設定された更新期限に至っているか否かを判断する。更新期限に至っている場合には、当該無線LAN端末は、証明局に新たな有効期限の電子証明書の発行を要求して、電子証明書を更新する。
特許文献2には、クライアントからコンピュータにアクセスする際にユーザID及びパスワードを暗号化して送信するための暗号化に用いられる暗号鍵の更新方法が開示されている。暗号鍵にはあらかじめ設定された寿命が設けられており、寿命の終期に近づくと、新たな暗号鍵が発行されて自動更新機能によりクライアントに自動的に配送される。
特許文献3には、カード端末、POS(Point Of Sales)端末、サーバ装置からなるカード処理システムが開示されている。不正取得による媒体情報の漏洩を防止するため、カード端末で同一のカード情報が規定回数読み取られたとき、POS端末は、サーバ装置に暗号鍵の交換を要求する。
しかしながら、特許文献1、2に記載された技術のように、更新期限に基づいて暗号鍵を更新する手法では、暗号鍵の危殆化要因が新たに生じた場合に対応が不十分となる場合がある。
また、特許文献3に記載された技術のように、カードの読み取り回数等の端末側で生じた要因に基づいて鍵を更新する手法では、危殆化の要因によっては対応が不十分となる場合がある。
本発明は、上述の課題に鑑みてなされたものであって、より広汎な暗号鍵の危殆化要因に対応して暗号鍵を更新させることができる情報処理装置を提供することを目的とする。
本発明の一観点によれば、暗号鍵の危殆化情報を取得する取得部と、前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、を備えることを特徴とする情報処理装置が提供される。
本発明の他の観点によれば、暗号鍵の危殆化情報を取得するステップと、前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定するステップと、前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信するステップと、を備えることを特徴とする情報処理方法が提供される。
本発明の更に他の観点によれば、コンピュータに、暗号鍵の危殆化情報を取得するステップと、前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定するステップと、前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信するステップと、を実行させることを特徴とするプログラムが提供される。
本発明の更に他の観点によれば、情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信する受信部と、前記更新用暗号鍵を用いて、暗号鍵を更新する更新部と、を備えることを特徴とするデバイスが提供される。
本発明の更に他の観点によれば、情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信するステップと、前記更新用暗号鍵を用いて、暗号鍵を更新するステップと、を備えることを特徴とする暗号鍵の更新方法が提供される。
本発明の更に他の観点によれば、コンピュータに、情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信するステップと、前記更新用暗号鍵を用いて、暗号鍵を更新するステップと、を実行させることを特徴とするプログラムが提供される。
本発明の更に他の観点によれば、情報処理装置とデバイスとを備えるシステムであって、前記情報処理装置は、暗号鍵の危殆化情報を取得する取得部と、前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、を備え、前記デバイスは、前記情報処理装置から送信された前記更新用暗号鍵を受信する受信部と、前記更新用暗号鍵を用いて、暗号鍵を更新する更新部と、を備えることを特徴とするシステムが提供される。
本発明によれば、より広汎な暗号鍵の危殆化要因に対応して暗号鍵を更新させることができる情報処理装置を提供することができる。
以下、図面を参照して、本発明の例示的な実施形態を説明する。図面において同様の機能を有する部分には同一の符号を付し、その説明を省略又は簡略化することがある。
[第1実施形態]
図1Aは、第1実施形態に係る暗号鍵管理システムの全体構成を示す概略図である。暗号鍵管理システム100は、鍵管理サーバ300とデバイス400とを含む。鍵管理サーバ300とデバイス400とは、第1のネットワークを介して通信可能に接続される。また、鍵管理サーバ300は、第2のネットワークを介して、危殆化情報収集サーバ200とも通信可能に接続される。なお、図1Aには、危殆化情報収集サーバ200、鍵管理サーバ300及びデバイス400が1つずつ図示されているが、これらの個数は特に限定されるものではなく、複数個であってもよい。なお、暗号鍵管理システム100は、単にシステムと呼ばれることもある。
図1Aは、第1実施形態に係る暗号鍵管理システムの全体構成を示す概略図である。暗号鍵管理システム100は、鍵管理サーバ300とデバイス400とを含む。鍵管理サーバ300とデバイス400とは、第1のネットワークを介して通信可能に接続される。また、鍵管理サーバ300は、第2のネットワークを介して、危殆化情報収集サーバ200とも通信可能に接続される。なお、図1Aには、危殆化情報収集サーバ200、鍵管理サーバ300及びデバイス400が1つずつ図示されているが、これらの個数は特に限定されるものではなく、複数個であってもよい。なお、暗号鍵管理システム100は、単にシステムと呼ばれることもある。
危殆化情報収集サーバ200は、暗号鍵の危殆化に関する情報である危殆化情報を定期的に収集して蓄積するサーバである。危殆化情報収集サーバ200は、一例として、危殆化情報を推奨暗号リストの形で蓄積する。鍵管理サーバ300からの要求に応じて、又は定期的に、危殆化情報収集サーバ200は、鍵管理サーバ300に危殆化情報を送信する。ここで、危殆化情報収集サーバ200は、例えば、国内外の情報セキュリティ機関が発表した情報、国内外の情報セキュリティカンファレンスで発表された情報等を危殆化情報として収集する。より具体的には、危殆化情報は、暗号鍵の暗号アルゴリズムの危殆化を考慮して設定された暗号アルゴリズムに関する情報を含み得る。
鍵管理サーバ300は、デバイス400に暗号鍵を配布するサーバであり、暗号鍵の管理のため、配布した暗号鍵に関する鍵情報を記憶する。鍵管理サーバ300は、危殆化情報収集サーバ200から危殆化情報を受信することにより取得する。鍵管理サーバ300は、取得された危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する。その後、鍵管理サーバ300は、特定された暗号鍵が配布されたデバイス400に対して、特定された暗号鍵を更新させるための更新用暗号鍵を送信する。本実施形態において用いられ得る暗号鍵は、例えば、共通鍵暗号方式における共通鍵、公開鍵暗号方式における公開鍵、秘密鍵の組が挙げられる。また、本明細書において、暗号鍵には、ハッシュアルゴリズム等のように不可逆なものも含むものとする。なお、鍵管理サーバ300は情報処理装置と呼ばれることもある。
デバイス400は、鍵管理サーバ300から配布された暗号鍵を用いて他の装置と通信を行うデバイスである。暗号鍵管理システム100に含まれるデバイス400が複数である場合、各デバイス400には異なる暗号鍵が配布され得る。デバイス400は、例えば、インターネットに接続されるコンピュータ、携帯電話等であり得る。また、デバイス400がIoT(Internet of Things)環境で用いられる機器である場合、デバイス400は、インターネットに接続可能なモノ(IoTデバイス)、エッジサーバ等であり得る。
図1Bは、第1実施形態に係る暗号鍵管理システムの別の構成例を示す概略図である。図1Bに示されるように、危殆化情報収集サーバ200、鍵管理サーバ300及びデバイス400は、ネットワークを介して相互に通信可能に接続されていてもよい。また、更に別の例としては、鍵管理サーバ300とデバイス400は、ネットワークを介さずに直接接続される構成であってもよい。なお、各装置の通信接続方法は有線であってもよく、無線であってもよい。
図2は、第1実施形態に係る危殆化情報収集サーバ200、鍵管理サーバ300及びデバイス400のハードウェア構成例を示すブロック図である。危殆化情報収集サーバ200、鍵管理サーバ300及びデバイス400はいずれも同様のハードウェア構成であるため、以下の図2に関する説明では、主として鍵管理サーバ300のハードウェア構成について説明する。
鍵管理サーバ300は、CPU(Central Processing Unit)201、RAM(Random Access Memory)202、ROM(Read Only Memory)203、記憶媒体204、入力装置205、表示装置206及びネットワークインターフェース207を備える。
CPU201は、ROM203、記憶媒体204等に記憶されたプログラムに従って所定の動作を行うとともに、鍵管理サーバ300の各部を制御する機能をも有する。RAM202は、一時的なCPU201の動作に必要なメモリ領域を提供する。ROM203は、不揮発性メモリから構成され、鍵管理サーバ300の動作に用いられるプログラム等の必要な情報を記憶する。記憶媒体204は、ハードディスクなどの大容量記憶装置である。入力装置205は、キーボード、マウス、タッチパネル等であって、鍵管理サーバ300を操作するために用いられる。表示装置206は、液晶表示装置等から構成され、情報の表示に用いられる。ネットワークインターフェース207は、イーサネット(登録商標)等の規格に基づく有線通信インターフェース、あるいは、Wi−Fi(登録商標)等の規格に基づく無線通信インターフェースであり、他の装置との通信を行うためのモジュールである。
なお、図2に示されている危殆化情報収集サーバ200、鍵管理サーバ300及びデバイス400の構成は例示であり、これら以外の装置が追加されていてもよく、一部の装置が設けられていなくてもよい。例えば、デバイス400がIoT環境で用いられる装置であり、ユーザインタフェースが不要な場合には、入力装置205、表示装置206等が省略されていてもよい。
図3は、第1実施形態に係る危殆化情報収集サーバ200、鍵管理サーバ300及びデバイス400を構成する装置の機能ブロック図である。危殆化情報収集サーバ200は、危殆化情報記憶部211及び危殆化情報送信部212を備える。鍵管理サーバ300は、危殆化情報受信部311、鍵情報記憶部312、暗号鍵特定部313、暗号鍵生成部314及び暗号鍵送信部315を備える。デバイス400は、暗号鍵受信部411、暗号鍵記憶部412及び暗号鍵更新部413を備える。
危殆化情報記憶部211は、例えば、危殆化情報収集サーバ200に設けられた記憶媒体204と、プログラムに基づいて記憶媒体204を制御する危殆化情報収集サーバ200のCPU201とにより構成される。危殆化情報送信部212は、例えば、危殆化情報収集サーバ200に設けられたネットワークインターフェース207と、プログラムに基づいてネットワークインターフェース207を制御する危殆化情報収集サーバ200のCPU201とにより構成される。
危殆化情報受信部311は、例えば、鍵管理サーバ300に設けられたネットワークインターフェース207と、プログラムに基づいてネットワークインターフェース207を制御する鍵管理サーバ300のCPU201とにより構成される。鍵情報記憶部312は、例えば、鍵管理サーバ300に設けられた記憶媒体204と、プログラムに基づいて記憶媒体204を制御する鍵管理サーバ300のCPU201とにより構成される。暗号鍵特定部313及び暗号鍵生成部314は、プログラムに基づいて動作する鍵管理サーバ300のCPU201により構成される。暗号鍵送信部315は、例えば、鍵管理サーバ300に設けられたネットワークインターフェース207と、プログラムに基づいてネットワークインターフェース207を制御する鍵管理サーバ300のCPU201とにより構成される。
暗号鍵受信部411は、例えば、デバイス400に設けられたネットワークインターフェース207と、プログラムに基づいてネットワークインターフェース207を制御するデバイス400のCPU201とにより構成される。暗号鍵記憶部412は、例えば、デバイス400に設けられた記憶媒体204と、プログラムに基づいて記憶媒体204を制御するデバイス400のCPU201とにより構成される。暗号鍵更新部413は、プログラムに基づいて動作するデバイス400のCPU201により構成される。
危殆化情報受信部311は、取得部と呼ばれることもある。暗号鍵送信部315は、単に送信部と呼ばれることもある。暗号鍵受信部411は、単に受信部と呼ばれることもある。暗号鍵更新部413は、単に更新部と呼ばれることもある。
図4は、第1実施形態に係る危殆化情報収集サーバ200、鍵管理サーバ300及びデバイス400の動作を示すシーケンス図である。ステップS1は、初回の暗号鍵の発行動作を示す。ステップS1において、鍵管理サーバ300は暗号鍵をデバイス400に送信する。その後のステップS2及びステップS3は、ステップS1においてデバイス400に発行された暗号鍵が危殆化した場合にその暗号鍵を更新するための更新用暗号鍵の発行動作を示す。ステップS2において、鍵管理サーバ300は、危殆化情報収集サーバ200から暗号鍵の危殆化情報を取得する。ステップS3において、鍵管理サーバ300は更新用暗号鍵をデバイス400に送信する。
以下、図5から図10を参照しつつ、各装置の動作を詳細に説明する。図5は、第1実施形態に係る危殆化情報収集サーバ200の動作を示すフローチャートである。図6は、第1実施形態に係る推奨暗号リストの例を示す表である。図7は、第1実施形態に係る鍵管理サーバ300における初回の暗号鍵の発行動作を示すフローチャートである。図8は、第1実施形態に係る鍵情報の例を示す表である。図9は、第1実施形態に係る鍵管理サーバ300における更新用暗号鍵の発行動作を示すフローチャートである。図10は、第1実施形態に係るデバイス400における暗号鍵の更新動作を示すフローチャートである。
まず、図5及び図6を参照して危殆化情報収集サーバ200の動作を説明する。ステップS11において、危殆化情報収集サーバ200は、危殆化情報の収集を行う。この危殆化情報の収集は、情報セキュリティ機関の発表内容、情報セキュリティカンファレンスでの発表内容等のうちの暗号鍵の危殆化に関する情報をウォッチングして、随時、又は定期的に収集することにより行われる。また、この収集作業は、危殆化情報収集サーバ200の管理者が入力装置205を用いて手動で入力するものであってもよいが、危殆化情報収集サーバ200が所定の情報源から必要な情報を自動的にダウンロードして収集するものであってもよい。
ステップS12において、収集された危殆化情報に基づいて、危殆化情報記憶部211に記憶されている推奨暗号リストを更新する必要があるか否かの判断が行われる。ここで、図6を参照しつつ推奨暗号リストの例を説明する。推奨暗号リストは、現時点において十分な安全性が保証されているため、使用が推奨されている暗号について、暗号化方式、暗号アルゴリズムの種類及び推奨される鍵長の範囲を示すものである。例えば項番1は、共通鍵暗号方式のAアルゴリズムにおいては、鍵長が128bit以上であるものが推奨されていることを示している。収集された危殆化情報が推奨暗号リストの更新を要するものである場合(ステップS12においてYES)には、処理はステップS13に移行する。例えば、収集された危殆化情報が、「鍵長が1024bitのDアルゴリズムが解読された」という発表である場合には、推奨暗号リストの項番4の暗号について更新が必要であると判断される。この判断は、危殆化情報収集サーバ200の管理者が行ってもよいが、収集した危殆化情報の形式が危殆化情報収集サーバ200に可読なものである場合には、危殆化情報収集サーバ200が危殆化情報を認識して自動的に行うものであってもよい。収集された危殆化情報が推奨暗号リストの更新を要しないものである場合(ステップS12においてNO)には、危殆化情報収集サーバ200は処理を終了する。
なお、推奨暗号リストには、上述の項目以外の項目が含まれていてもよく、一部が省略されていてもよい。また、図6では理解を容易にするため表形式で図示しているが、他の形式で情報が記憶されていてもよい。
ステップS13において、危殆化情報記憶部211は、推奨暗号リストのうち、ステップS12における判断において更新を要すると判断された部分が更新された推奨暗号リストを記憶する。例えば、上述の「鍵長が1024bitのDアルゴリズムが解読された」という危殆化情報が収集された場合の更新方法の例としては、項番4を削除する更新方法が挙げられる。あるいは、推奨鍵長を1024bitよりも十分に大きいもの、例えば「2048bit以上」にする、更新方法も例示される。この更新作業も、危殆化情報収集サーバ200の管理者が行ってもよく、所定のアルゴリズムにより危殆化情報収集サーバ200が自動で行うものであってもよい。
ステップS14において、危殆化情報収集サーバ200の危殆化情報送信部212は、危殆化情報記憶部211に記憶されている更新された推奨暗号リストを危殆化情報として鍵管理サーバ300に送信する。この動作は、図4のステップS2に対応する。なお、S14の推奨暗号リストの送信は、上述のように推奨暗号リストの更新に応じて行ってもよいが、鍵管理サーバ300の求めに応じたタイミングで行ってもよく、定期的に行ってもよい。
なお、本実施形態では、危殆化情報収集サーバ200は、鍵管理サーバ300での危殆化情報の処理に適するように推奨暗号リストの形で危殆化情報を記憶しているが、これに限定されるものではない。すなわち、危殆化情報収集サーバ200は、暗号鍵の危殆化に関する情報を鍵管理サーバ300に送信する機能を有していればよい。また、危殆化情報収集サーバ200で行われる処理の一部が、他の装置、例えば鍵管理サーバ300で行われてもよい。
次に、図7、図8及び図9を参照して鍵管理サーバ300の動作を説明する。まず、図7を参照して初回の暗号鍵の発行動作を説明する。ステップS21において、暗号鍵生成部314は、デバイス400に配布するための暗号鍵を生成する。ステップS22において、鍵管理サーバ300のCPU201は、配布した暗号鍵の管理のため、生成した暗号鍵と配布先に関する鍵情報を鍵情報記憶部312に記憶させる。なお、ステップS21において生成される暗号鍵は、暗号鍵の安全性を確保するため、後述する推奨暗号リストに含まれる暗号アルゴリズムにより生成されることが望ましい。
ここで、図8を参照して鍵情報記憶部312に記憶されている鍵情報の例を説明する。鍵情報は、鍵管理サーバ300が配布した暗号鍵に関する情報であり、暗号鍵の配布先、暗号アルゴリズム、鍵長及び利用用途を示すものである。例えば、項番1を参照すると、Xデバイスには、鍵長128bitのAアルゴリズムにより生成された暗号鍵が、データ暗号化用に配布されていることがわかる。また、項番2を参照すると、Xデバイスには、更に鍵長2048bitのCアルゴリズムにより生成された暗号鍵が、電子証明及び認証用に配布されていることがわかる。また、項番3を参照すると、Xデバイスとは別のYデバイスに、鍵長128bitのBアルゴリズムにより生成された暗号鍵が、データ暗号化用に配布されていることがわかる。
なお、鍵情報には、上述の項目以外の項目が含まれていてもよく、一部が省略されていてもよい。また、図8では理解を容易にするため表形式で図示しているが、他の形式で情報が記憶されていてもよい。
ステップS23において、暗号鍵送信部315は、生成した暗号鍵をデバイス400に送信する。この動作は、図4のステップS1に対応する。デバイス400は、他の装置との通信の際に、受信した暗号鍵を用いて、データの暗号化、電子署名、認証等を行うことができる。
次に、図9を参照して更新用暗号鍵の発行動作を説明する。ステップS31において、危殆化情報受信部311は、危殆化情報収集サーバ200から、更新された推奨暗号リストを危殆化情報として受信することにより、推奨暗号リストを取得する。この動作は、図4のステップS2及び図7のステップS23に対応する。
ステップS32において、暗号鍵特定部313は、推奨暗号リストと鍵情報とを比較して更新すべき暗号鍵を特定する。ここで、推奨暗号リストが図6に示すものであり、鍵情報が図8に示すものである場合における暗号鍵の特定の具体例を説明する。図8の項番1の暗号鍵は、鍵長が128bitのAアルゴリズムであるところ、この暗号鍵は、図6の項番1の128bit以上の鍵長を有するAアルゴリズムに含まれるので、図8の項番1の暗号鍵は、安全な暗号鍵であると判断される。図8の項番2の暗号鍵は、鍵長が2048bitのCアルゴリズムであるところ、この暗号鍵は、図6の項番3の2048bit以上の鍵長を有するCアルゴリズムに含まれるので、図8の項番2の暗号鍵も、安全な暗号鍵であると判断される。図8の項番3の暗号鍵は、鍵長が128bitのBアルゴリズムであるところ、この暗号鍵は、図6の項番2の256bit以上の鍵長を有するCアルゴリズムには含まれないので、図8の項番3の暗号鍵は、危殆化のおそれがある暗号鍵であると判断される。以上のように、暗号鍵特定部313は、Yデバイスに配布された鍵長128bitのBアルゴリズムによる暗号鍵が推奨暗号リストに含まれないことから、これを更新すべき暗号鍵として特定する。
上述の例のように更新すべき暗号鍵が存在する場合(ステップS33においてYES)、処理はステップS34に移行する。更新すべき暗号鍵が存在しない場合(ステップS33においてNO)、処理は終了する。
ステップS34において、暗号鍵生成部314は、更新すべき暗号鍵よりも安全性の高いアルゴリズムを用いて、デバイス400に配布するための更新用暗号鍵を生成する。更新すべき暗号鍵よりも安全性の高いアルゴリズムの一例としては、更新すべき暗号鍵の鍵長を長くしたものが挙げられる。鍵長が長ければ長いほど暗号の解読が困難になるため、鍵長を長くすることで安全性が向上する。また、更に別の例としては、暗号アルゴリズムの種類をより安全性が高いものに変更してもよい。なお、本ステップで生成される更新用暗号鍵は、危殆化のおそれがないことが保証されている、推奨暗号リストに含まれる暗号アルゴリズムにより生成されることが望ましい。
ステップS35において、更新を鍵情報に反映するため、更新用暗号鍵に関する鍵情報を鍵情報記憶部312に記憶させる。この鍵情報の記憶は、更新用暗号鍵についての鍵情報を新たに登録して、更新される鍵についての鍵情報を削除するものであってもよく、更新により変化する項目を修正して上書き記憶するというものであってもよい。
ステップS36において、暗号鍵送信部315は、生成した更新用暗号鍵を更新用暗号鍵の配布先であるデバイス400(上述の例ではYデバイス)に送信する。この動作は、図4のステップS3に対応する。デバイス400は、この更新用暗号鍵を用いて暗号鍵の更新を行うことができる。
なお、ステップS36における更新用暗号鍵の送信において、更新用暗号鍵自体を盗聴されるおそれを低減するため、更新用暗号鍵は、暗号化された状態で送信されることが望ましい。この暗号化には既にデバイス400に配布済みの更新すべき暗号鍵そのものを用いることも可能であるが、更新すべき暗号鍵は危殆化のおそれがあり、盗聴、なりすまし等が行われ得る。そのようなセキュリティリスクを低減するため、更新用暗号鍵の暗号化には、更新すべき暗号鍵のアルゴリズムとは異なるアルゴリズムが用いられることがより望ましい。そのようなアルゴリズムの例としては、SSL(Secure Sockets Layer)、TLS(Transport Layer Security)等が挙げられる。あるいは、より安全な通信経路を別途用意しておき、初回の暗号鍵の発行時とは異なる通信経路で更新用暗号鍵を送信してもよい。
次に、図10を参照してデバイス400の動作を説明する。ステップS41において、暗号鍵受信部411は、鍵管理サーバ300から、更新用暗号鍵を受信する。受信した更新用暗号鍵は暗号鍵記憶部412に記憶される。この動作は、図4のステップS3及び図9のステップS36に対応する。
ステップS42において、暗号鍵更新部413は、他の装置との通信の際に用いられる暗号鍵のうち更新すべき暗号鍵を暗号鍵記憶部412に記憶された更新用暗号鍵に更新する。これにより、デバイス400は、他の装置との通信の際に、更新された暗号鍵を用いて、より安全にデータの暗号化、電子署名、認証等を行うことができる。なお、CPU201を暗号鍵更新部413として機能させる暗号鍵更新用プログラムは、更新時に鍵管理サーバ300から提供されてもよいが、あらかじめ鍵管理サーバ300から提供され、デバイス400の記憶媒体204等に記憶されていることが望ましい。この場合には、更新用暗号鍵の取得後にスムーズに暗号鍵の更新を行うことができる。
本実施形態によれば、鍵管理サーバ300が、危殆化情報を取得し、これに基づいて更新すべき暗号鍵を特定し、更新用暗号鍵を更新すべき暗号鍵が配布されたデバイス400に送信することにより、デバイス400は、暗号鍵を更新することができる。このような暗号鍵の更新手法を用いることによる効果について説明する。
暗号が危殆化する要因には様々なものがあるが、その具体例としては、計算機の計算能力の向上、計算機の計算モデルの変化、攻撃手法の進歩等が挙げられる。計算機の計算能力の向上の例としては、計算機のCPUの性能向上、分散コンピューティングの技術進歩等が挙げられる。計算機の計算モデルの変化の例としては、量子コンピュータを用いた新たな暗号解読装置の開発等が挙げられる。攻撃手法の進歩の例としては、暗号解読に特化した新たなハードウェアの開発、暗号アルゴリズムの解読方法の発見等が挙げられる。これらの危殆化の要因には、時間の経過に従って徐々に危殆化が進行するという特徴だけでなく、突然危殆化が進行することもあるという特徴がある。
例えば、標準暗号として用いられていたDES(Data Encryption Standard)が、線形解読法等の新たな解読手法を用いた解読実験が行われ、危殆化が進行して他の暗号に置き換えられたという事例がある。また、ハッシュアルゴリズムであるSHA(Secure Hash Algorithm)−0、SHA−1のように有効な攻撃方法が発見されたことにより危殆化した例もある。このように、暗号鍵を有効期限に基づいて更新する手法だけでは、解読方法の発見等の突然の危殆化に対応できない場合がある。特に、有効期限が10年等の長期に設定される場合もあり、このような場合には突然の危殆化への対応はより困難となり得る。また、このような突然の危殆化要因は、暗号鍵の配布を受けるデバイス側では適時に把握できない場合もある。特にデバイスがIoTデバイスである場合のように、デバイスの機能が限定されている場合には、デバイスが危殆化要因を把握する手段自体を有していないこともある。
これに対し、本実施形態では、鍵管理サーバ300が暗号鍵の危殆化情報を取得し、危殆化情報に基づいて更新すべき暗号鍵を特定するので、突然危殆化が進行した場合にも、デバイス400に更新を行わせることができる。この更新の際にデバイス400は自ら危殆化情報を取得して判断する必要はない。したがって、デバイス400がIoTデバイスである等の理由でデバイス400の機能が限られていたとしても適時に暗号鍵の更新を行うことができる。したがって、本実施形態によれば、より広汎な暗号鍵の危殆化要因に対して暗号鍵を更新させることが可能となる。
[第2実施形態]
上述の実施形態において説明したシステム及び装置は以下のようにも構成することができる。図11は、本発明の第2実施形態に係る情報処理装置500の機能ブロック図である。情報処理装置500は、暗号鍵の危殆化情報を取得する取得部501を備える。更に、情報処理装置500は、危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部502を備える。更に、情報処理装置500は、特定された暗号鍵が配布されたデバイスに対して、特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部503を備える。
上述の実施形態において説明したシステム及び装置は以下のようにも構成することができる。図11は、本発明の第2実施形態に係る情報処理装置500の機能ブロック図である。情報処理装置500は、暗号鍵の危殆化情報を取得する取得部501を備える。更に、情報処理装置500は、危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部502を備える。更に、情報処理装置500は、特定された暗号鍵が配布されたデバイスに対して、特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部503を備える。
本実施形態によれば、より広汎な暗号鍵の危殆化要因に対応して暗号鍵を更新させることができる情報処理装置を提供することができる。
[第3実施形態]
図12は、本発明の第3実施形態に係るデバイス600の機能ブロック図である。デバイス600は、情報処理装置500が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて情報処理装置500が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、情報処理装置500から受信する受信部601を備える。更に、デバイス600は、更新用暗号鍵を用いて、暗号鍵を更新する更新部602を備える。
図12は、本発明の第3実施形態に係るデバイス600の機能ブロック図である。デバイス600は、情報処理装置500が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて情報処理装置500が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、情報処理装置500から受信する受信部601を備える。更に、デバイス600は、更新用暗号鍵を用いて、暗号鍵を更新する更新部602を備える。
本実施形態によれば、より広汎な暗号鍵の危殆化要因に対応して暗号鍵を更新することができるデバイスを提供することができる。
[第4実施形態]
図13は、本発明の第4実施形態に係るシステム700の機能ブロック図である。システム700は、情報処理装置500とデバイス600とを備える。暗号鍵の危殆化情報を取得する取得部501を備える。更に、情報処理装置500は、危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部502を備える。更に、情報処理装置500は、特定された暗号鍵が配布されたデバイスに対して、特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部503を備える。デバイス600は、情報処理装置500が配布した暗号鍵のうちから更新すべき暗号鍵として情報処理装置500が特定した暗号鍵の更新用暗号鍵を、情報処理装置500から受信する受信部601を備える。更に、デバイス600は、更新用暗号鍵を用いて、暗号鍵を更新する更新部602を備える。
図13は、本発明の第4実施形態に係るシステム700の機能ブロック図である。システム700は、情報処理装置500とデバイス600とを備える。暗号鍵の危殆化情報を取得する取得部501を備える。更に、情報処理装置500は、危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部502を備える。更に、情報処理装置500は、特定された暗号鍵が配布されたデバイスに対して、特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部503を備える。デバイス600は、情報処理装置500が配布した暗号鍵のうちから更新すべき暗号鍵として情報処理装置500が特定した暗号鍵の更新用暗号鍵を、情報処理装置500から受信する受信部601を備える。更に、デバイス600は、更新用暗号鍵を用いて、暗号鍵を更新する更新部602を備える。
本実施形態によれば、より広汎な暗号鍵の危殆化要因に対応して暗号鍵を更新することができるシステムを提供することができる。
[変形実施形態]
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。
上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラムを記憶媒体に記録させ、記憶媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記憶媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記憶媒体だけでなく、そのプログラム自体も各実施形態に含まれる。
該記憶媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD(Compact Disk)−ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記憶媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS(Operating System)上で動作して処理を実行するものも各実施形態の範疇に含まれる。
なお、上述の実施形態は、いずれも本発明を実施するにあたっての具体化の例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその技術思想、又はその主要な特徴から逸脱することなく、様々な形で実施することができる。
上述の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
暗号鍵の危殆化情報を取得する取得部と、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、
を備えることを特徴とする情報処理装置。
暗号鍵の危殆化情報を取得する取得部と、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、
を備えることを特徴とする情報処理装置。
(付記2)
前記危殆化情報は、暗号鍵の暗号アルゴリズムの危殆化を考慮して設定された暗号アルゴリズムに関する情報を含むことを特徴とする付記1に記載の情報処理装置。
前記危殆化情報は、暗号鍵の暗号アルゴリズムの危殆化を考慮して設定された暗号アルゴリズムに関する情報を含むことを特徴とする付記1に記載の情報処理装置。
(付記3)
前記暗号鍵特定部は、前記デバイスに配布された暗号鍵のうち、前記暗号アルゴリズムに関する情報に含まれない暗号鍵を更新すべき暗号鍵として特定することを特徴とする付記2に記載の情報処理装置。
前記暗号鍵特定部は、前記デバイスに配布された暗号鍵のうち、前記暗号アルゴリズムに関する情報に含まれない暗号鍵を更新すべき暗号鍵として特定することを特徴とする付記2に記載の情報処理装置。
(付記4)
前記暗号アルゴリズムに関する情報は、暗号鍵の暗号アルゴリズムの種類及び暗号鍵の鍵長の少なくとも1つに関する情報を含むことを特徴とする付記2又は3に記載の情報処理装置。
前記暗号アルゴリズムに関する情報は、暗号鍵の暗号アルゴリズムの種類及び暗号鍵の鍵長の少なくとも1つに関する情報を含むことを特徴とする付記2又は3に記載の情報処理装置。
(付記5)
前記デバイスに配布された暗号鍵に関する鍵情報を記憶する鍵情報記憶部を更に備えることを特徴とする付記1乃至4のいずれか1項に記載の情報処理装置。
前記デバイスに配布された暗号鍵に関する鍵情報を記憶する鍵情報記憶部を更に備えることを特徴とする付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
前記鍵情報記憶部は、前記更新用暗号鍵に関する鍵情報を更に記憶することを特徴とする付記5に記載の情報処理装置。
前記鍵情報記憶部は、前記更新用暗号鍵に関する鍵情報を更に記憶することを特徴とする付記5に記載の情報処理装置。
(付記7)
前記更新用暗号鍵は、前記更新すべき暗号鍵よりも安全性の高いアルゴリズムにより生成された暗号鍵であることを特徴とする付記1乃至6のいずれか1項に記載の情報処理装置。
前記更新用暗号鍵は、前記更新すべき暗号鍵よりも安全性の高いアルゴリズムにより生成された暗号鍵であることを特徴とする付記1乃至6のいずれか1項に記載の情報処理装置。
(付記8)
前記更新用暗号鍵の鍵長は、前記更新すべき暗号鍵の鍵長よりも長いことを特徴とする付記1乃至7のいずれか1項に記載の情報処理装置。
前記更新用暗号鍵の鍵長は、前記更新すべき暗号鍵の鍵長よりも長いことを特徴とする付記1乃至7のいずれか1項に記載の情報処理装置。
(付記9)
前記更新用暗号鍵は、前記更新すべき暗号鍵のアルゴリズムとは異なるアルゴリズムにより暗号化された状態で前記特定された暗号鍵が配布されたデバイスに送信されることを特徴とする付記1乃至8のいずれか1項に記載の情報処理装置。
前記更新用暗号鍵は、前記更新すべき暗号鍵のアルゴリズムとは異なるアルゴリズムにより暗号化された状態で前記特定された暗号鍵が配布されたデバイスに送信されることを特徴とする付記1乃至8のいずれか1項に記載の情報処理装置。
(付記10)
前記更新用暗号鍵は、前記更新すべき暗号鍵が発行された際の通信経路とは異なる通信経路により前記特定された暗号鍵が配布されたデバイスに送信されることを特徴とする付記1乃至9のいずれか1項に記載の情報処理装置。
前記更新用暗号鍵は、前記更新すべき暗号鍵が発行された際の通信経路とは異なる通信経路により前記特定された暗号鍵が配布されたデバイスに送信されることを特徴とする付記1乃至9のいずれか1項に記載の情報処理装置。
(付記11)
暗号鍵の危殆化情報を取得するステップと、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定するステップと、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信するステップと、
を備えることを特徴とする情報処理方法。
暗号鍵の危殆化情報を取得するステップと、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定するステップと、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信するステップと、
を備えることを特徴とする情報処理方法。
(付記12)
コンピュータに、
暗号鍵の危殆化情報を取得するステップと、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定するステップと、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信するステップと、
を実行させることを特徴とするプログラム。
コンピュータに、
暗号鍵の危殆化情報を取得するステップと、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定するステップと、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信するステップと、
を実行させることを特徴とするプログラム。
(付記13)
情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信する受信部と、
前記更新用暗号鍵を用いて、暗号鍵を更新する更新部と、
を備えることを特徴とするデバイス。
情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信する受信部と、
前記更新用暗号鍵を用いて、暗号鍵を更新する更新部と、
を備えることを特徴とするデバイス。
(付記14)
情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信するステップと、
前記更新用暗号鍵を用いて、暗号鍵を更新するステップと、
を備えることを特徴とする暗号鍵の更新方法。
情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信するステップと、
前記更新用暗号鍵を用いて、暗号鍵を更新するステップと、
を備えることを特徴とする暗号鍵の更新方法。
(付記15)
コンピュータに、
情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信するステップと、
前記更新用暗号鍵を用いて、暗号鍵を更新するステップと、
を実行させることを特徴とするプログラム。
コンピュータに、
情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信するステップと、
前記更新用暗号鍵を用いて、暗号鍵を更新するステップと、
を実行させることを特徴とするプログラム。
(付記16)
情報処理装置とデバイスとを備えるシステムであって、
前記情報処理装置は、
暗号鍵の危殆化情報を取得する取得部と、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、
を備え、
前記デバイスは、
前記情報処理装置から送信された前記更新用暗号鍵を受信する受信部と、
前記更新用暗号鍵を用いて、暗号鍵を更新する更新部と、
を備えることを特徴とするシステム。
情報処理装置とデバイスとを備えるシステムであって、
前記情報処理装置は、
暗号鍵の危殆化情報を取得する取得部と、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、
を備え、
前記デバイスは、
前記情報処理装置から送信された前記更新用暗号鍵を受信する受信部と、
前記更新用暗号鍵を用いて、暗号鍵を更新する更新部と、
を備えることを特徴とするシステム。
100 暗号鍵管理システム
200 危殆化情報収集サーバ
201 CPU
202 RAM
203 ROM
204 記憶媒体
205 入力装置
206 表示装置
207 ネットワークインターフェース
211 危殆化情報記憶部
212 危殆化情報送信部
300 鍵管理サーバ
311 危殆化情報受信部
312 鍵情報記憶部
313、502 暗号鍵特定部
314 暗号鍵生成部
315 暗号鍵送信部
400、600 デバイス
411 暗号鍵受信部
412 暗号鍵記憶部
413 暗号鍵更新部
500 情報処理装置
501 取得部
503 送信部
601 受信部
602 更新部
700 システム
200 危殆化情報収集サーバ
201 CPU
202 RAM
203 ROM
204 記憶媒体
205 入力装置
206 表示装置
207 ネットワークインターフェース
211 危殆化情報記憶部
212 危殆化情報送信部
300 鍵管理サーバ
311 危殆化情報受信部
312 鍵情報記憶部
313、502 暗号鍵特定部
314 暗号鍵生成部
315 暗号鍵送信部
400、600 デバイス
411 暗号鍵受信部
412 暗号鍵記憶部
413 暗号鍵更新部
500 情報処理装置
501 取得部
503 送信部
601 受信部
602 更新部
700 システム
Claims (16)
- 暗号鍵の危殆化情報を取得する取得部と、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、
を備えることを特徴とする情報処理装置。 - 前記危殆化情報は、暗号鍵の暗号アルゴリズムの危殆化を考慮して設定された暗号アルゴリズムに関する情報を含むことを特徴とする請求項1に記載の情報処理装置。
- 前記暗号鍵特定部は、前記デバイスに配布された暗号鍵のうち、前記暗号アルゴリズムに関する情報に含まれない暗号鍵を更新すべき暗号鍵として特定することを特徴とする請求項2に記載の情報処理装置。
- 前記暗号アルゴリズムに関する情報は、暗号鍵の暗号アルゴリズムの種類及び暗号鍵の鍵長の少なくとも1つに関する情報を含むことを特徴とする請求項2又は3に記載の情報処理装置。
- 前記デバイスに配布された暗号鍵に関する鍵情報を記憶する鍵情報記憶部を更に備えることを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。
- 前記鍵情報記憶部は、前記更新用暗号鍵に関する鍵情報を更に記憶することを特徴とする請求項5に記載の情報処理装置。
- 前記更新用暗号鍵は、前記更新すべき暗号鍵よりも安全性の高いアルゴリズムにより生成された暗号鍵であることを特徴とする請求項1乃至6のいずれか1項に記載の情報処理装置。
- 前記更新用暗号鍵の鍵長は、前記更新すべき暗号鍵の鍵長よりも長いことを特徴とする請求項1乃至7のいずれか1項に記載の情報処理装置。
- 前記更新用暗号鍵は、前記更新すべき暗号鍵のアルゴリズムとは異なるアルゴリズムにより暗号化された状態で前記特定された暗号鍵が配布されたデバイスに送信されることを特徴とする請求項1乃至8のいずれか1項に記載の情報処理装置。
- 前記更新用暗号鍵は、前記更新すべき暗号鍵が発行された際の通信経路とは異なる通信経路により前記特定された暗号鍵が配布されたデバイスに送信されることを特徴とする請求項1乃至9のいずれか1項に記載の情報処理装置。
- 暗号鍵の危殆化情報を取得するステップと、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定するステップと、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信するステップと、
を備えることを特徴とする情報処理方法。 - コンピュータに、
暗号鍵の危殆化情報を取得するステップと、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定するステップと、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信するステップと、
を実行させることを特徴とするプログラム。 - 情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信する受信部と、
前記更新用暗号鍵を用いて、暗号鍵を更新する更新部と、
を備えることを特徴とするデバイス。 - 情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信するステップと、
前記更新用暗号鍵を用いて、暗号鍵を更新するステップと、
を備えることを特徴とする暗号鍵の更新方法。 - コンピュータに、
情報処理装置が配布した暗号鍵のうちから暗号鍵の危殆化情報に基づいて前記情報処理装置が更新すべき暗号鍵として特定した暗号鍵の更新用暗号鍵を、前記情報処理装置から受信するステップと、
前記更新用暗号鍵を用いて、暗号鍵を更新するステップと、
を実行させることを特徴とするプログラム。 - 情報処理装置とデバイスとを備えるシステムであって、
前記情報処理装置は、
暗号鍵の危殆化情報を取得する取得部と、
前記危殆化情報に基づいて、デバイスに配布された暗号鍵のうちの更新すべき暗号鍵を特定する暗号鍵特定部と、
前記特定された暗号鍵が配布されたデバイスに対して、前記特定された暗号鍵を更新させるための更新用暗号鍵を送信する送信部と、
を備え、
前記デバイスは、
前記情報処理装置から送信された前記更新用暗号鍵を受信する受信部と、
前記更新用暗号鍵を用いて、暗号鍵を更新する更新部と、
を備えることを特徴とするシステム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017033643A JP6519601B2 (ja) | 2017-02-24 | 2017-02-24 | 情報処理装置、情報処理方法、デバイス、暗号鍵の更新方法、システム及びプログラム |
| PCT/JP2018/006474 WO2018155561A1 (ja) | 2017-02-24 | 2018-02-22 | 情報処理装置、情報処理方法、デバイス、暗号鍵の更新方法、システム及び記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017033643A JP6519601B2 (ja) | 2017-02-24 | 2017-02-24 | 情報処理装置、情報処理方法、デバイス、暗号鍵の更新方法、システム及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018139369A true JP2018139369A (ja) | 2018-09-06 |
| JP6519601B2 JP6519601B2 (ja) | 2019-05-29 |
Family
ID=63252923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017033643A Active JP6519601B2 (ja) | 2017-02-24 | 2017-02-24 | 情報処理装置、情報処理方法、デバイス、暗号鍵の更新方法、システム及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6519601B2 (ja) |
| WO (1) | WO2018155561A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113541941A (zh) * | 2021-07-02 | 2021-10-22 | 珠海格力电器股份有限公司 | 一种密钥处理方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002261746A (ja) * | 2000-12-28 | 2002-09-13 | Sony Corp | 配信方法及び配信システム |
| US20060253398A1 (en) * | 2005-04-25 | 2006-11-09 | Samsung Electronics Co., Ltd. | Method and apparatus for managing digital content |
| JP2008109519A (ja) * | 2006-10-26 | 2008-05-08 | Hitachi Ltd | 署名鍵の検証方法、電子署名方法、電子署名の検証方法及び情報処理装置 |
| JP2009089045A (ja) * | 2007-09-28 | 2009-04-23 | Toshiba Solutions Corp | 暗号モジュール選定装置およびプログラム |
| JP2010087741A (ja) * | 2008-09-30 | 2010-04-15 | Ntt Data Corp | ストレージサービスシステム及びファイル保護プログラム |
| JP2014116870A (ja) * | 2012-12-12 | 2014-06-26 | Hitachi Ltd | 鍵配送システム |
| JP2016528841A (ja) * | 2013-08-30 | 2016-09-15 | シマンテック コーポレーションSymantec Corporation | 危殆化されている秘密鍵を識別するためのシステム及び方法 |
-
2017
- 2017-02-24 JP JP2017033643A patent/JP6519601B2/ja active Active
-
2018
- 2018-02-22 WO PCT/JP2018/006474 patent/WO2018155561A1/ja active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002261746A (ja) * | 2000-12-28 | 2002-09-13 | Sony Corp | 配信方法及び配信システム |
| US20060253398A1 (en) * | 2005-04-25 | 2006-11-09 | Samsung Electronics Co., Ltd. | Method and apparatus for managing digital content |
| JP2008109519A (ja) * | 2006-10-26 | 2008-05-08 | Hitachi Ltd | 署名鍵の検証方法、電子署名方法、電子署名の検証方法及び情報処理装置 |
| JP2009089045A (ja) * | 2007-09-28 | 2009-04-23 | Toshiba Solutions Corp | 暗号モジュール選定装置およびプログラム |
| JP2010087741A (ja) * | 2008-09-30 | 2010-04-15 | Ntt Data Corp | ストレージサービスシステム及びファイル保護プログラム |
| JP2014116870A (ja) * | 2012-12-12 | 2014-06-26 | Hitachi Ltd | 鍵配送システム |
| JP2016528841A (ja) * | 2013-08-30 | 2016-09-15 | シマンテック コーポレーションSymantec Corporation | 危殆化されている秘密鍵を識別するためのシステム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6519601B2 (ja) | 2019-05-29 |
| WO2018155561A1 (ja) | 2018-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10326745B2 (en) | Systems and methods for Smartkey information management | |
| EP3453135B1 (en) | System and method for encryption and decryption based on quantum key distribution | |
| JP4976646B2 (ja) | ピアツーピアコラボレーションシステムにおいて連絡先認証を管理、表示するための方法及び装置 | |
| CN1939028B (zh) | 从多个设备存取网络存储器上的保护数据 | |
| US8233627B2 (en) | Method and system for managing a key for encryption or decryption of data | |
| JP5024999B2 (ja) | 暗号管理装置、暗号管理方法、暗号管理プログラム | |
| CN101510888B (zh) | 一种SaaS应用下提高数据安全性的方法、装置及系统 | |
| US20200059470A1 (en) | Industrial internet encryption system | |
| JP4597784B2 (ja) | データ処理装置 | |
| JP2020505849A (ja) | デジタル証明書管理方法及び装置 | |
| EP3782062B1 (en) | Password reset for multi-domain environment | |
| CN114586314A (zh) | 基于私钥管理的区块链事务控制 | |
| WO2021098152A1 (zh) | 基于区块链的数据处理方法、装置及计算机设备 | |
| KR20210060745A (ko) | 블록체인 기반의 전자계약 서비스 시스템 | |
| JP5012574B2 (ja) | 共通鍵自動共有システム及び共通鍵自動共有方法 | |
| US9825920B1 (en) | Systems and methods for multi-function and multi-purpose cryptography | |
| US20190305940A1 (en) | Group shareable credentials | |
| CN111010283B (zh) | 用于生成信息的方法和装置 | |
| WO2018155561A1 (ja) | 情報処理装置、情報処理方法、デバイス、暗号鍵の更新方法、システム及び記録媒体 | |
| JP4328748B2 (ja) | 鍵更新方法、鍵隔離型暗号システム及び端末装置 | |
| CN114189388A (zh) | 一种联盟链密钥管理系统及方法 | |
| Malik et al. | Cloud computing security improvement using Diffie Hellman and AES | |
| JP2002335237A (ja) | 鍵管理装置および鍵管理方法 | |
| JP2013236185A (ja) | 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法 | |
| JP2013223171A (ja) | 公開鍵認証基盤統制システム、認証局サーバ、利用者端末、公開鍵認証基盤統制方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180615 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180719 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180914 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181004 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190326 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190408 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6519601 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |