JP4496266B1 - 暗号化プログラム運用管理システムおよびプログラム - Google Patents

暗号化プログラム運用管理システムおよびプログラム Download PDF

Info

Publication number
JP4496266B1
JP4496266B1 JP2008330847A JP2008330847A JP4496266B1 JP 4496266 B1 JP4496266 B1 JP 4496266B1 JP 2008330847 A JP2008330847 A JP 2008330847A JP 2008330847 A JP2008330847 A JP 2008330847A JP 4496266 B1 JP4496266 B1 JP 4496266B1
Authority
JP
Japan
Prior art keywords
encryption
encryption key
program
hard disk
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008330847A
Other languages
English (en)
Other versions
JP2010154297A (ja
Inventor
淳 武田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2008330847A priority Critical patent/JP4496266B1/ja
Priority to US12/610,139 priority patent/US20100169672A1/en
Application granted granted Critical
Publication of JP4496266B1 publication Critical patent/JP4496266B1/ja
Publication of JP2010154297A publication Critical patent/JP2010154297A/ja
Priority to US13/096,726 priority patent/US8352751B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Abstract

【課題】暗号化プログラムをオフラインインストール形式によって配布する場合におけるセキュリティ強度を向上させることを実現する。
【解決手段】暗号鍵テーブル作成モジュール121は、複数の暗号鍵を作成し、暗号化した複数の暗号鍵とこれらを識別するための平文のインデックスとを対応づけて保持する暗号鍵テーブル201を作成する。インストールパッケージ作成モジュール122は、暗号鍵テーブル201と、インストーラ124およびハードディスク暗号ソフトウェア125とを含んでなるインストールパッケージを作成する。インストーラ124の暗号鍵選択モジュール1241は、インストール実行時、暗号鍵テーブル201内から1つの暗号鍵を選択し、暗号化した当該暗号鍵とそのインデックス(平文)とを含む暗号鍵ファイル202を作成して、インストール先のコンピュータのHDD21に格納する。
【選択図】 図2

Description

この発明は、例えば、社員が業務に使用するコンピュータから重要データが漏洩することを防ぐためにハードディスク暗号ソフトウェアを配布してインストールさせる場合などにおける暗号鍵の管理技術に関する。
近年、オフィスにおける業務の多くがデスクトップタイプやノートブックタイプ等のパーソナルコンピュータを使って行われている。ノートブックタイプのパーソナルコンピュータはバッテリ駆動が可能であるため、外出時に携行して、移動中や外出先でも作業が行えるなど利便性が高い。
一方で、盗難等によるデータ漏洩が問題視されている。このため、ハードディスク上のデータを暗号化するハードディスク暗号ソフトウェアが普及し始めている。ハードディスク暗号ソフトウェアは、暗号鍵を使って、ハードディスクへの書き込み時にデータを暗号化し、また、ハードディスクからの読み出し時に暗号化されたデータを復号するデータの暗号化を実行するプログラムである。そして、このハードディスク暗号ソフトウェアを社員に配布して各々のコンピュータにインストールさせる場合、オンラインインストール形式およびオフラインインストール形式のいずれかの形式で行われる。
オンラインインストール形式では、社員(クライアント)側で暗号鍵を任意に設定して当該暗号鍵を管理者側の運用管理サーバに通知し、オフラインインストール形式は、ハードディスク暗号ソフトウェアをインストールするためのインストールパッケージの作成時に管理者側で1つの暗号鍵が設定され、当該暗号鍵がトップダウン式にクライアントに配布される。
つまり、オンラインインストール形式では、クライアントから通知される暗号鍵を管理者は管理し、オフラインインストール形式では、クライアントへ配布するインストールパッケージの作成時に自らが設定した暗号鍵を管理者は管理することになる。管理者によって管理される暗号鍵は、例えばクライアントのコンピュータが起動できない状態に陥った場合に、ハードディスク上の暗号化データを吸い上げて復号するためのいわゆるリカバリ処理に利用される。そして、この暗号鍵の管理手法については、これまでも種々の提案がなされている(例えば特許文献1等参照)。
特開2006−319861号公報
ところで、オンラインインストール形式では、各クライアントが任意に暗号鍵を設定するためセキュリティは強化されるが、ネットワーク環境や運用管理サーバを必要とするなど規模が大きくなり、ある程度の高コスト化は避けられないという欠点がある。
一方、オフラインインストール形式では、インストールパッケージを作成する管理者のコンピュータおよびこのインストールパッケージを使ってハードディスク暗号ソフトウェアをインストールする各クライアントのコンピュータはそれぞれスタンドアロン環境でよいため低コストで済むが、同一のインストールパッケージを使ってハードディスク暗号ソフトウェアをインストールしたクライアントの暗号鍵はすべて同一となるためセキュリティの強度を低下させるという欠点がある。
この発明は、このような事情を考慮してなされたものであり、暗号化プログラムをオフラインインストール形式によって配布する場合におけるセキュリティ強度を向上させることを実現した暗号化プログラム運用管理システムおよびプログラムを提供することを目的とする。
前述した目的を達成するために、この発明は、複数の暗号鍵を作成し、この複数の暗号鍵のそれぞれを識別するための平文の複数のインデックス情報と暗号化した前記複数の暗号鍵とを対応づけて保持する暗号鍵テーブルを作成する暗号鍵テーブル作成手段と、暗号化を行う暗号化プログラムと、前記暗号鍵テーブル作成手段によって作成された暗号鍵テーブルと、前記暗号化プログラムをコンピュータに組み込むためのインストールプログラムとを含む配布用のインストールパッケージを作成するインストールパッケージ作成手段と、を具備し、前記インストールプログラムは、前記インストールパッケージを使った暗号化プログラムの組み込み時、前記インストールパッケージに含まれる暗号鍵テーブルに保持された複数の暗号鍵の中から組み込み対象の暗号化プログラムに適用させる暗号鍵を1つ選択し、暗号化した前記選択した暗号鍵と当該選択した暗号鍵と対応づけられて前記暗号鍵テーブルに保持された、当該選択した暗号鍵を前記複数の暗号鍵の中から特定するための平文のインデックス情報とを一対に保持する暗号鍵ファイルを作成して格納する動作を、前記インストールパッケージを使って暗号化プログラムを組み込むコンピュータに行わせるように構成される、ことを特徴とする。
この発明によれば、暗号化プログラムをオフラインインストール形式によって配布する場合におけるセキュリティ強度を向上させることが実現される。
以下、図面を参照して、この発明の実施形態を説明する。
図1は、本発明の一実施形態に係る暗号化プログラム運用管理システムに供されるパーソナルコンピュータのシステム構成を示す図である。本実施形態の暗号化プログラム運用管理システムは、例えば、オフィス等において、データ漏洩を防止するために、社員に配給するパーソナルコンピュータに搭載されるHDD(hard disk drive)上のデータを暗号化するためのものであり、管理者用の1台のパーソナルコンピュータと、社員(クライアント)用の複数台のパーソナルコンピュータとによって構築される。
ここでは、管理者用のパーソナルコンピュータとクライアント用のパーソナルコンピュータとの双方について、図1に示すシステム構成を持った同一種のノートタイプ・パーソナルコンピュータが使用されているものと想定する。また、ここでは、HDD上のデータを暗号化するためのシステムを例に説明するが、本発明の手法はこれに限定されず、暗号化のために暗号鍵を用いるシステムであればいずれにおいても適用可能である。
本コンピュータは、図1に示すように、CPU11、ノースブリッジ12、主メモリ13、表示コントローラ14、ビデオメモリ(VRAM)14A、LCD(Liquid Crystal Display)15、サウスブリッジ16、サウンドコントローラ17、スピーカ18、BIOS−ROM19、LANコントローラ20、HDD(hard disk drive)21、ODD(optical disc drive)22、無線LANコントローラ23、USBコントローラ24、エンベデッドコントローラ/キーボードコントローラ(EC/KBC)25、キーボード(KB)26、ポインティングデバイス27等を備えている。
CPU11は、本コンピュータの動作を制御するプロセッサであり、HDD21やODD22から主メモリ13にロードされる、オペレーティングシステム(OS)や、このOS配下で動作する各種アプリケーションプログラムを実行する。また、CPU11は、BIOS−ROM19に格納されたBIOS(Basic Input/Output System)も実行する。BIOSは、ハードウェア制御のためのプログラムである。
ノースブリッジ12は、CPU11のローカルバスとサウスブリッジ16との間を接続するブリッジデバイスである。ノースブリッジ12には、主メモリ13をアクセス制御するメモリコントローラも内蔵されている。また、ノースブリッジ12は、表示コントローラ14との通信を実行する機能も有している。
表示コントローラ14は、本コンピュータのディスプレイモニタとして使用されるLCD15を制御するデバイスである。この表示コントローラ14によって表示信号が生成されてLCD15に送られる。
サウスブリッジ16は、PCI(Peripheral Component Interconnect)バス上およびLPC(Low Pin Count)バス上の各デバイスを制御する。また、サウスブリッジ16は、HDD21およびODD22を制御するためのIDE(Integrated Drive Electronics)コントローラおよびBIOS−ROM19をアクセス制御するメモリコントローラが内蔵されている。さらに、サウスブリッジ16は、サウンドコントローラ17およびLANコントローラ20との通信を実行する機能も有している。
サウンドコントローラ17は音源デバイスであり、再生対象のオーディオデータをスピーカ18に出力する。
LANコントローラ20は、例えばEthernet(登録商標)規格の有線通信を実行する有線通信デバイスであり、無線LANコントローラ23は、例えばIEEE 802.11規格の無線通信を実行する無線通信デバイスである。また、USBコントローラ24は、例えばUSB2.0規格のケーブルを介して外部接続されるUSB機器を制御する。
EC/KBC25は、電力管理を行うためのエンベデッドコントローラと、キーボード(KB)26およびポインティングデバイス27を制御するためのキーボードコントローラとが集積された1チップマイクロコンピュータである。このEC/KBC25は、ユーザの操作に応じて本コンピュータをパワーオン/パワーオフする機能を有している。
以上のような構成をもつコンピュータを使って、暗号化プログラム運用管理システムを構築する場合、まず、管理者が、図2に示す記録メディアM1を使って、運用管理ソフトウェア120を自身のコンピュータにインストールする。記録メディアM1は、例えばCD(compact disc)やDVD(digital versatile disc)であり、インストーラ110と運用管理ソフトウェア120とが格納されている。インストーラ110は、運用管理ソフトウェア120をインストールするためのプログラムであり、管理者は、自身のコンピュータのODD22に記録メディアM1をセットし、このインストーラ110を実行することによって運用管理ソフトウェア120をインストールする。
運用管理ソフトウェア120は、暗号鍵テーブル作成モジュール121、インストールパッケージ作成モジュール122、リカバリモジュール123、インストーラ124およびハードディスク暗号ソフトウェア125を有している。この内、ハードディスク暗号ソフトウェア125が、クライアント用の各コンピュータにインストールされてHDD上のデータの暗号化を実行するプログラムであり、管理者は、このハードディスク暗号ソフトウェア125を各クライアントに配布するためのインストールパッケージを運用管理ソフトウェア120を使って作成する。なお、ここでは、図2に示すように、インストールパッケージを記録メディアM2として作成する例を説明するが、管理者用のコンピュータとクライアントコンピュータとが通信可能な環境下にあった場合には、このインストールパッケージを配信用の1ファイルとして作成しても良い。
運用管理ソフトウェア120によるインストールパッケージ(記録メディアM2)の作成時、まず、暗号鍵テーブル作成モジュール121が、例えばシステム時刻をパラメータとして入力して乱数を発生させる等によって複数の暗号鍵を作成する。暗号鍵テーブル作成モジュール121は、この作成した複数の暗号鍵を、例えば管理者とクライアントとの間で共有される共通鍵を使って暗号化し、各暗号鍵を識別するための平文のインデックス情報と暗号化した暗号鍵とを対応づけて保持する暗号鍵テーブル201を作成する。つまり、管理者によって暗号鍵が作成され、これをクライアンドが使用する点で、本暗号化プログラム運用管理システムは、クライアントのコンピュータにハードディスク暗号ソフトウェア125をインストールする方法として、オフラインインストール形式が採用されていると言える。
暗号鍵テーブル201が作成されると、続いて、インストールパッケージ作成モジュール122が、暗号鍵テーブル201と、上記インストーラ124およびハードディスク暗号ソフトウェア125とを含んでなるインストールパッケージを作成する。ここでは、インストールパッケージ作成モジュール122は、ODD22にセットされた記録メディアM2に、暗号鍵テーブル201、インストーラ124およびハードディスク暗号ソフトウェア125を書き込む処理を実行する。
このように作成されるインストールパッケージ(記録メディアM2)を、管理者は、各クライアントに配布(回覧)する。そして、このインストールパッケージの配布を受けた各クライアントは、自身のコンピュータのODD22に当該記録メディアM2をセットして、インストーラ124を実行する。
インストーラ124は、ハードディスク暗号ソフトウェア125をインストールするためのプログラムであり、暗号鍵選択モジュール1241を有している。暗号鍵選択モジュール1241は、ハードディスク暗号ソフトウェア125のインストール時、暗号鍵テーブル201に保持された複数の暗号鍵の中から任意に1つの暗号鍵を選択する。暗号鍵選択モジュール1241は、この選択した暗号鍵を、例えば管理者とクライアントとの間で共有される共有鍵で一旦復号した後、例えばクライアントが独自に作成した暗号鍵で再暗号化する。そして、暗号鍵選択モジュール1241は、この再暗号化した暗号鍵と当該暗号鍵のインデックス情報(平文)とを含む暗号鍵ファイル202を作成して、インストール先のコンピュータのHDD21に格納する。インストーラ124によってインストールされたハードディスク暗号ソフトウェア125は、この暗号鍵ファイル202に含まれる暗号鍵を(例えばクライアントが独自に作成した暗号鍵で復号した上で)使ってHDD21上のデータの暗号化を実行する。
図3は、インストーラ124によるハードディスク暗号ソフトウェア125のインストール処理後におけるクライアントのコンピュータのHDD21の概要を示す図である。図3に示すように、ハードディスク暗号ソフトウェア125がインストールされていると共に、当該ハードディスク暗号ソフトウェア125がデータの暗号化に用いる暗号鍵202A2を含む暗号鍵ファイル202が格納されている。そして、この暗号鍵ファイル202には、暗号鍵202A2を識別するためのインデックス情報202A1が、平文の状態で含まれている。
図4は、以上のように各クライアントのコンピュータにインストールされるハードディスク暗号ソフトウェア125が実行する、HDD21上のデータの暗号化の動作原理を示す概念図である。
ハードディスク暗号ソフトウェア125は、インストーラ124によって作成された暗号鍵ファイル202に暗文の状態で含まれる暗号鍵202A2を読み出し、これを例えばクライアントが独自に作成した暗号鍵を使って復号する。そして、この復号した暗号鍵202A2を使って、各種アプリケーションがHDD21に対して書き込もうとするデータを暗号化した上でHDD21に対して書き込む処理と、各種アプリケーションがHDD21から読み出そうとするデータをHDD21から読み出して復号した上で引き渡す処理とを実行する。
前述したように、本暗号化プログラム運用管理システムは、クライアントのコンピュータにハードディスク暗号ソフトウェア125をインストールする方法として、オフラインインストール形式を採用している。つまり、管理者側で予め作成された暗号鍵を各クライアントが使用するわけである。しかしながら、配布されたインストールパッケージを使ってハードディスク暗号ソフトウェア125をインストールするクライアントそれぞれにおいて、インストーラ124が、複数の暗号鍵の中からいずれかの暗号鍵を選択するようになっているので、同一のインストールパッケージを使ってハードディスク暗号ソフトウェア125をインストールしたクライアント間でも暗号鍵が異なることになるため、セキュリティの強度を向上させることを実現する。
次に、あるクライアントのコンピュータが、例えばオペレーティングシステムが起動できない等の障害を発生した場合を考える。この障害に対処するため、HDD21上のデータを読み出す場合、暗号化されたデータを復号するための暗号鍵が必要となる。また、この暗号鍵は、リカバリ対象のHDD21上では、例えば各クライアントが独自に作成した暗号鍵によって当然に暗号化が施されている。
通常のオフラインインストール形式であれば、各インストールパッケージ毎に1つの暗号鍵が作成されるのみであるので、その唯一の暗号鍵を取得すれば良い。一方、前述したように、本暗号化プログラム運用管理システムでは、セキュリティの強度を向上させるため、各インストールパッケージ毎に複数の暗号鍵を作成し、クライアント毎にそれらの中からいずれかの暗号鍵が任意に選択されるので、いずれの暗号鍵を使用しているのかを何らかの方法で特定する必要がある。
そのために、暗号鍵テーブル作成モジュール121は、平文のインデックス情報と暗文の暗号鍵とを対応づけて保持する暗号鍵テーブル201を作成し、また、インストーラ124も、同じく平文のインデックス情報と暗文の暗号鍵とを一対に保持する暗号鍵ファイル202を作成する。つまり、リカバリ対象のHDD21には、ハードディスク暗号ソフトウェア125が使用する暗号鍵を認識するためのインデックス情報が平文の状態で格納されている。
そこで、管理者のコンピュータにインストールされた運用管理ソフトウェア120のリカバリモジュール123は、図5に示すように、リカバリ対象のHDD21に格納された暗号鍵ファイル202から平文のインデックス情報を取得し、このインデックス情報に対応づけられた暗号鍵をインストールパッケージ内の暗号鍵テーブルから取得する。この暗号鍵は暗号化されているので、リカバリモジュール123は、例えば管理者とクライアントとの間で共有されている共有鍵を使って復号し、この復号した暗号鍵を使って、HDD21上に存在する暗号化された各種データの復号を実行する。
このように、同一のインストールパッケージを使ってハードディスク暗号ソフトウェア125をインストールしたクライアント間で暗号鍵を異ならせることによってセキュリティの強度を向上させることと並行して、本暗号化プログラム運用管理システムでは、複数の暗号鍵それぞれを識別するためのインデックス情報を平文で暗号化された暗号鍵と対応づけて保持させておく仕組みを備えることにより、管理者によるリカバリ処理も問題無く行えるようにしている。
図6は、管理者側のコンピュータ上で動作する運用管理ソフトウェア120のインストールパッケージ作成時における動作手順を示すフローチャートである。
まず、暗号鍵テーブル作成モジュール121が、複数の暗号鍵を作成すると共に、この複数の暗号鍵の暗号化を行い、この複数の暗号鍵のそれぞれを認識するための平文の複数のインデックス情報と暗号化した複数の暗号鍵とを対応づけて保持する暗号鍵テーブル201を作成する(ステップA1)。
次に、インストールパッケージ作成モジュール122が、暗号鍵テーブル作成モジュール121によって作成された暗号鍵テーブル201と、インストーラ124およびハードディスク暗号ソフトウェア125とを含むインストールパッケージ(記録メディアM2)を作成する(ステップA2)。
また、図7は、クライアント側のコンピュータにハードディスク暗号ソフトウェア125をインストールする場合におけるインストーラ124の動作手順を示すフローチャートである。
まず、暗号鍵選択モジュール1241が、インストールパッケージ内の暗号鍵テーブル201に含まれる複数の鍵の中から任意の暗号鍵を選択し(ステップB1)、この選択した暗号鍵(暗文)と当該暗号鍵を識別するためのインデックス情報(平文)とを含んでなる暗号鍵ファイル202を作成して、インストール先のコンピュータのHDD21に格納する(ステップB2)。
そして、インストーラ124は、この暗号鍵ファイル202に含まれる暗号鍵を使ってHDD21上のデータを暗号化するハードディスク暗号ソフトウェア125を、インストール先のコンピュータのHDD21に格納する(ステップB3)。
また、図8は、何らかの障害を発生させたクライアントのコンピュータのHDD21に格納されたデータを読み出すリカバリ処理を、管理者側のコンピュータを使って実行する場合における運用管理ソフトウェア120の動作手順を示すフローチャートである。
リカバリモジュール123は、リカバリ対象のHDD21に格納された暗号鍵ファイル202から平文のインデックス情報を読み出す(ステップC1)。続いて、リカバリモジュール123は、このインデックス情報と対応づけられている暗号鍵を、インストールパッケージ内の暗号鍵テーブル201から読み出す(ステップC2)。そして、リカバリモジュール123は、この読み出した暗号鍵を使って、リカバリ対象のHDD21から各種データの読み出しを実行する(ステップC3)。
以上のように、本実施形態の暗号化プログラム運用管理システムによれば、暗号化プログラムをオフラインインストール形式によって配布する場合におけるセキュリティ強度を向上させることが実現される。
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に構成要素を適宜組み合わせてもよい。
本発明の一実施形態に係る暗号化プログラム運用管理システムに供されるパーソナルコンピュータのシステム構成を示す図 同実施形態の暗号化プログラム運用管理システムによるインストールパッケージの作成を説明するための概念図 同実施形態の暗号化プログラム運用管理システムにおけるハードディスク暗号ソフトウェアのインストール状態を説明するための概念図 同実施形態の暗号化プログラム運用管理システムにおけるハードディスク暗号化処理の動作原理を説明するための概念図 同実施形態の暗号化プログラム運用管理システムにおけるハードディスクのリカバリ処理の動作原理を説明するための概念図 同実施形態の暗号化プログラム運用管理システムにおける、管理者側のコンピュータ上で動作する運用管理ソフトウェアのインストールパッケージ作成時における動作手順を示すフローチャート 同実施形態の暗号化プログラム運用管理システムにおける、クライアント側のコンピュータにハードディスク暗号ソフトウェアをインストールする場合におけるインストーラの動作手順を示すフローチャート 同実施形態の暗号化プログラム運用管理システムにおける、クライアントのハードディスクに対するリカバリ処理を管理者側のコンピュータを使って実行する場合における運用管理ソフトウェアの動作手順を示すフローチャート
符号の説明
11…CPU、12…ノースブリッジ、13…主メモリ、14…表示コントローラ、14A…ビデオメモリ、15…LCD、16…サウスブリッジ、17…サウンドコントローラ、18…スピーカ、19…BIOS−ROM、20…LANコントローラ、21…HDD、22…ODD、23…LANコントローラ、24…USBコントローラ、25…エンベデッド/キーボードコントローラ(EC/KBC)、26…キーボード(KB)、27…ポインティングデバイス、110…インストーラ、120…運用管理ソフトウェア、121…暗号鍵テーブル作成モジュール、122…インストールパッケージ作成モジュール、123…リカバリモジュール、124…インストーラ、125…ハードディスク暗号ソフトウェア、201…暗号鍵テーブル、202…暗号鍵ファイル、1241…暗号鍵選択モジュール。

Claims (6)

  1. 複数の暗号鍵を作成し、この複数の暗号鍵のそれぞれを識別するための平文の複数のインデックス情報と暗号化した前記複数の暗号鍵とを対応づけて保持する暗号鍵テーブルを作成する暗号鍵テーブル作成手段と、
    暗号化を行う暗号化プログラムと、前記暗号鍵テーブル作成手段によって作成された暗号鍵テーブルと、前記暗号化プログラムをコンピュータに組み込むためのインストールプログラムとを含む配布用のインストールパッケージを作成するインストールパッケージ作成手段と、
    を具備し、
    前記インストールプログラムは、
    前記インストールパッケージを使った暗号化プログラムの組み込み時、前記インストールパッケージに含まれる暗号鍵テーブルに保持された複数の暗号鍵の中から組み込み対象の暗号化プログラムに適用させる暗号鍵を1つ選択し、暗号化した前記選択した暗号鍵と当該選択した暗号鍵と対応づけられて前記暗号鍵テーブルに保持された、当該選択した暗号鍵を前記複数の暗号鍵の中から特定するための平文のインデックス情報とを一対に保持する暗号鍵ファイルを作成して格納する動作を、前記インストールパッケージを使って暗号化プログラムを組み込むコンピュータに行わせるように構成される、
    ことを特徴とする暗号化プログラム運用管理システム。
  2. 前記暗号化プログラムは、ハードディスクへの書き込み時、対象データを暗号化してハードディスクに書き込むと共に、ハードディスクからの読み出し時、暗号化された対象データをハードディスクから読み出して復号するように、組み込み先のコンピュータを動作させるハードディスク暗号化プログラムであることを特徴とする請求項1記載の暗号化プログラム運用管理システム。
  3. 前記インストールパッケージを使って暗号化プログラムを組み込んだ一般ユーザ用のコンピュータが障害を発生させた場合に、当該一般ユーザ用のコンピュータによって書き込みが行われたハードディスク上の暗号化データを、前記インストールパッケージに対するアクセスを実行可能なドライブを有する管理者用のコンピュータによって読み出して復号するリカバリ手段をさらに具備し、
    前記リカバリ手段は、
    前記ハードディスク上に格納された前記暗号鍵ファイルに含まれる平文のインデックス情報を読み出し、このインデックス情報に基づき、前記一般ユーザ用のコンピュータに組み込まれた暗号化プログラムが適用する暗号鍵を前記ドライブにセットされた前記インストールパッケージに含まれる暗号鍵テーブルから取得す
    とを特徴とする請求項記載の暗号化プログラム運用管理システム。
  4. 一般ユーザ用のコンピュータに配布されて組み込まれる、暗号化を行う暗号化プログラムを管理するための管理者用のコンピュータを、
    複数の暗号鍵を作成し、この複数の暗号鍵のそれぞれを識別するための平文の複数のインデックス情報と暗号化した前記複数の暗号鍵とを対応づけて保持する暗号鍵テーブルを作成する暗号鍵テーブル作成手段、
    暗号化を行う暗号化プログラムと、前記暗号鍵テーブル作成手段によって作成された暗号鍵テーブルと、前記暗号化プログラムをコンピュータに組み込むためのインストールプログラムとを含む配布用のインストールパッケージを作成するインストールパッケージ作成手段、
    として機能させるプログラムであって、
    前記インストールプログラムは、
    前記インストールパッケージを使った暗号化プログラムの組み込み時、前記インストールパッケージに含まれる暗号鍵テーブルに保持された複数の暗号鍵の中から組み込み対象の暗号化プログラムに適用させる暗号鍵を1つ選択し、暗号化した前記選択した暗号鍵と当該選択した暗号鍵と対応づけられて前記暗号鍵テーブルに保持された、当該選択した暗号鍵を前記複数の暗号鍵の中から特定するための平文のインデックス情報とを一対に保持する暗号鍵ファイルを作成して格納する動作を、前記インストールパッケージを使って暗号化プログラムを組み込むコンピュータに行わせるように構成される、
    ことを特徴とするプログラム。
  5. 前記暗号化プログラムは、ハードディスクへの書き込み時、対象データを暗号化してハードディスクに書き込むと共に、ハードディスクからの読み出し時、暗号化された対象データをハードディスクから読み出して復号するように、組み込み先のコンピュータを動作させるハードディスク暗号化プログラムであることを特徴とする請求項4記載のプログラム。
  6. 前記管理者用のコンピュータは、前記インストールパッケージに対するアクセスを実行可能なドライブを有し、
    前記管理者用のコンピュータを、
    前記インストールパッケージを使って暗号化プログラムを組み込んだクライアントのコンピュータが障害を発生させた場合に、当該クライアントのコンピュータによって書き込みが行われたハードディスク上の暗号化データを読み出して復号するリカバリ手段としてさらに機能させ、
    前記リカバリ手段は、
    前記ハードディスク上に格納された前記暗号鍵情報に含まれる平文のインデックス情報を読み出し、このインデックス情報に基づき、前記一般ユーザ用のコンピュータに組み込まれた暗号化プログラムが適用する暗号鍵を前記ドライブにセットされた前記インストールパッケージに含まれる暗号鍵テーブルから取得す
    とを特徴とする請求項記載のプログラム。
JP2008330847A 2008-12-25 2008-12-25 暗号化プログラム運用管理システムおよびプログラム Active JP4496266B1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2008330847A JP4496266B1 (ja) 2008-12-25 2008-12-25 暗号化プログラム運用管理システムおよびプログラム
US12/610,139 US20100169672A1 (en) 2008-12-25 2009-10-30 Encryption program operation management system and program
US13/096,726 US8352751B2 (en) 2008-12-25 2011-04-28 Encryption program operation management system and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008330847A JP4496266B1 (ja) 2008-12-25 2008-12-25 暗号化プログラム運用管理システムおよびプログラム

Publications (2)

Publication Number Publication Date
JP4496266B1 true JP4496266B1 (ja) 2010-07-07
JP2010154297A JP2010154297A (ja) 2010-07-08

Family

ID=42286359

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008330847A Active JP4496266B1 (ja) 2008-12-25 2008-12-25 暗号化プログラム運用管理システムおよびプログラム

Country Status (2)

Country Link
US (2) US20100169672A1 (ja)
JP (1) JP4496266B1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101901160B (zh) 2010-08-11 2015-06-03 中兴通讯股份有限公司 版本升级软件包的打包方法及装置
CN102034041A (zh) * 2010-12-07 2011-04-27 华为终端有限公司 一种验证绑定数据卡和移动主机的方法、装置及系统
JP2014048635A (ja) * 2012-09-04 2014-03-17 Hitachi Solutions Ltd ハードディスク暗号化プログラムおよびハードディスク暗号化システム
US8930698B2 (en) * 2012-12-27 2015-01-06 Dropbox, Inc. Encrypting globally unique identifiers at communication boundaries
US10019603B2 (en) * 2014-04-16 2018-07-10 Synopsys, Inc. Secured memory system and method therefor
WO2015157842A1 (en) * 2014-04-16 2015-10-22 Elliptic Technologies Inc. Secured memory system and method therefor
US20160292447A1 (en) * 2015-04-06 2016-10-06 Lawlitt Life Solutions, LLC Multi-layered encryption
US9448785B1 (en) * 2015-11-06 2016-09-20 AO Kaspersky Lab System and method updating full disk encryption software
US10614254B2 (en) 2017-12-12 2020-04-07 John Almeida Virus immune computer system and method
US10642970B2 (en) * 2017-12-12 2020-05-05 John Almeida Virus immune computer system and method
US10592697B1 (en) 2017-12-12 2020-03-17 John Almeida Virus immune computer system and method
CN109992936B (zh) * 2017-12-31 2021-06-08 中国移动通信集团河北有限公司 基于数据水印的数据溯源方法、装置、设备及介质
US10892895B2 (en) * 2018-09-10 2021-01-12 Atense, Inc. Storing and using multipurpose secret data
US10614232B2 (en) * 2018-09-10 2020-04-07 John Almeida Storing and using multipurpose secret data
US11087324B2 (en) * 2019-06-20 2021-08-10 Bank Of America Corporation Pre-authorized secure resource allocation system
CN110502900B (zh) * 2019-08-26 2022-07-05 Oppo广东移动通信有限公司 一种检测方法、终端、服务器及计算机存储介质
WO2024044522A1 (en) * 2022-08-24 2024-02-29 Arthur Hustad Method and system for providing control over storage of and access to user data

Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09319573A (ja) * 1996-05-28 1997-12-12 Nec Corp 流通プログラムの課金システム、課金方法、および流通プログラムを課金するプログラムを記憶するコンピュータ読み出し可能な媒体
JPH1127253A (ja) * 1997-07-07 1999-01-29 Hitachi Ltd 鍵回復システム、鍵回復装置、鍵回復プログラムを記憶した記憶媒体、および鍵回復方法
JPH11308213A (ja) * 1998-04-20 1999-11-05 Hitachi Ltd 暗号データ回復方法および装置
JP2000115551A (ja) * 1998-09-30 2000-04-21 Fuji Photo Film Co Ltd 暗号化方法、復号化方法、暗号化装置、復号化装置及び記録媒体
JP2000358022A (ja) * 1999-06-15 2000-12-26 Mitsubishi Electric Corp 暗号通信システム、暗号鍵決定方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2001036518A (ja) * 1999-07-19 2001-02-09 Ntt Software Corp 暗号通信装置
JP2002290396A (ja) * 2001-03-23 2002-10-04 Toshiba Corp 暗号鍵更新システムおよび暗号鍵更新方法
JP2002314527A (ja) * 2001-04-18 2002-10-25 Pumpkin House:Kk 暗号システムおよびその制御方法,暗号システムにおいて用いられる鍵管理サーバおよびクライアント,ならびにこれらの制御方法
WO2002087146A1 (fr) * 2001-04-18 2002-10-31 Pumpkin House Incorporated Systeme de chiffrement et procede de commande dudit systeme
JP2003143131A (ja) * 2001-11-06 2003-05-16 Toshiba Corp 電子情報管理装置、携帯情報端末装置、管理サーバ装置及びプログラム
JP2005260286A (ja) * 2004-03-09 2005-09-22 Fujitsu Ltd 無線通信システム
WO2005099168A1 (ja) * 2004-03-30 2005-10-20 Matsushita Electric Industrial Co., Ltd. 暗号化方式のアップデートシステム
JP2006229279A (ja) * 2005-02-15 2006-08-31 Hitachi Software Eng Co Ltd 機密データ送受信方法およびシステム
JP2006319861A (ja) * 2005-05-16 2006-11-24 Matsushita Electric Ind Co Ltd 鍵情報配布方法、装置、プログラム、及び媒体
JP2007280198A (ja) * 2006-04-10 2007-10-25 Brother Ind Ltd インストーラパッケージ
JP2008165486A (ja) * 2006-12-28 2008-07-17 Canon It Solutions Inc コンテンツ流通システムおよび制御プログラム及び記憶媒体
JP2008278469A (ja) * 2007-03-09 2008-11-13 Quantum Corp 記憶されたデータのための暗号鍵の管理

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7228437B2 (en) * 1998-08-13 2007-06-05 International Business Machines Corporation Method and system for securing local database file of local content stored on end-user system
US7093128B2 (en) * 2000-04-06 2006-08-15 Sony Corporation Information recording/reproducing apparatus and method
JPWO2006040806A1 (ja) * 2004-10-08 2008-08-07 ソフトバンクBb株式会社 暗号鍵配信システム
FR2894417A1 (fr) * 2005-12-07 2007-06-08 France Telecom Recouvrement de cles de dechiffrement perimees

Patent Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09319573A (ja) * 1996-05-28 1997-12-12 Nec Corp 流通プログラムの課金システム、課金方法、および流通プログラムを課金するプログラムを記憶するコンピュータ読み出し可能な媒体
JPH1127253A (ja) * 1997-07-07 1999-01-29 Hitachi Ltd 鍵回復システム、鍵回復装置、鍵回復プログラムを記憶した記憶媒体、および鍵回復方法
JPH11308213A (ja) * 1998-04-20 1999-11-05 Hitachi Ltd 暗号データ回復方法および装置
JP2000115551A (ja) * 1998-09-30 2000-04-21 Fuji Photo Film Co Ltd 暗号化方法、復号化方法、暗号化装置、復号化装置及び記録媒体
JP2000358022A (ja) * 1999-06-15 2000-12-26 Mitsubishi Electric Corp 暗号通信システム、暗号鍵決定方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2001036518A (ja) * 1999-07-19 2001-02-09 Ntt Software Corp 暗号通信装置
JP2002290396A (ja) * 2001-03-23 2002-10-04 Toshiba Corp 暗号鍵更新システムおよび暗号鍵更新方法
JP2002314527A (ja) * 2001-04-18 2002-10-25 Pumpkin House:Kk 暗号システムおよびその制御方法,暗号システムにおいて用いられる鍵管理サーバおよびクライアント,ならびにこれらの制御方法
WO2002087146A1 (fr) * 2001-04-18 2002-10-31 Pumpkin House Incorporated Systeme de chiffrement et procede de commande dudit systeme
JP2003143131A (ja) * 2001-11-06 2003-05-16 Toshiba Corp 電子情報管理装置、携帯情報端末装置、管理サーバ装置及びプログラム
JP2005260286A (ja) * 2004-03-09 2005-09-22 Fujitsu Ltd 無線通信システム
WO2005099168A1 (ja) * 2004-03-30 2005-10-20 Matsushita Electric Industrial Co., Ltd. 暗号化方式のアップデートシステム
JP2006229279A (ja) * 2005-02-15 2006-08-31 Hitachi Software Eng Co Ltd 機密データ送受信方法およびシステム
JP2006319861A (ja) * 2005-05-16 2006-11-24 Matsushita Electric Ind Co Ltd 鍵情報配布方法、装置、プログラム、及び媒体
JP2007280198A (ja) * 2006-04-10 2007-10-25 Brother Ind Ltd インストーラパッケージ
JP2008165486A (ja) * 2006-12-28 2008-07-17 Canon It Solutions Inc コンテンツ流通システムおよび制御プログラム及び記憶媒体
JP2008278469A (ja) * 2007-03-09 2008-11-13 Quantum Corp 記憶されたデータのための暗号鍵の管理

Also Published As

Publication number Publication date
US20100169672A1 (en) 2010-07-01
JP2010154297A (ja) 2010-07-08
US20110219241A1 (en) 2011-09-08
US8352751B2 (en) 2013-01-08

Similar Documents

Publication Publication Date Title
JP4496266B1 (ja) 暗号化プログラム運用管理システムおよびプログラム
JP7384914B2 (ja) 二重暗号化秘密パーツのサブセットを使用して秘密のアセンブリを可能にする二重暗号化秘密パーツ
KR101760617B1 (ko) 컴퓨터 프로그램, 비밀관리방법 및 시스템
JP4648687B2 (ja) データストレージシステムにおける暗号化変換の方法と装置
US8615666B2 (en) Preventing unauthorized access to information on an information processing apparatus
US20070014416A1 (en) System and method for protecting against dictionary attacks on password-protected TPM keys
JP5134894B2 (ja) ストレージ装置及び暗号鍵変更方法
TWI394419B (zh) 使用邏輯分割以管理加密內容之系統及方法
JP2006268851A (ja) データ記憶装置内のデータ転写
US20090245522A1 (en) Memory device
US8656159B1 (en) Versioning of modifiable encrypted documents
US20110246784A1 (en) Systems and methods for disk encryption with two keys
US10148669B2 (en) Out-of-band encryption key management system
JP5511925B2 (ja) アクセス権付き暗号化装置、アクセス権付き暗号システム、アクセス権付き暗号化方法およびアクセス権付き暗号化プログラム
JP5532516B2 (ja) ストレージ装置、及び、暗号鍵の変更方法
JP2009175880A (ja) 情報処理装置及びプログラム
JP2008269179A (ja) 計算機システム及び管理端末と記憶装置並びに暗号管理方法
JP2013255161A (ja) 暗号鍵更新システム及び鍵更新プログラム
JP4867935B2 (ja) 暗号化データ記憶装置、暗号化データ管理方法、データ暗号化装置、及び暗号化データ管理制御プログラム
JP5631164B2 (ja) マルチクラスタ分散処理制御システム、代表クライアント端末、マルチクラスタ分散処理制御方法
WO2011090081A1 (ja) 情報処理装置、プログラムおよび当該プログラムを記録した記録媒体
CN101763485A (zh) 数据保护方法
JP5983939B2 (ja) 情報処理装置および情報処理プログラム
KR20220133138A (ko) 패스워드 백업 방법 및 그 장치
JP2011248124A (ja) データ暗号化装置およびその制御方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100316

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100412

R151 Written notification of patent or utility model registration

Ref document number: 4496266

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140416

Year of fee payment: 4

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

Free format text: JAPANESE INTERMEDIATE CODE: R313121

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350