JP6773000B2 - 情報処理装置、改ざん検出方法 - Google Patents

情報処理装置、改ざん検出方法 Download PDF

Info

Publication number
JP6773000B2
JP6773000B2 JP2017207098A JP2017207098A JP6773000B2 JP 6773000 B2 JP6773000 B2 JP 6773000B2 JP 2017207098 A JP2017207098 A JP 2017207098A JP 2017207098 A JP2017207098 A JP 2017207098A JP 6773000 B2 JP6773000 B2 JP 6773000B2
Authority
JP
Japan
Prior art keywords
unit
storage unit
electronic signature
decryption key
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017207098A
Other languages
English (en)
Other versions
JP2019080229A (ja
Inventor
昌人 塩瀬
昌人 塩瀬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyocera Document Solutions Inc
Original Assignee
Kyocera Document Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyocera Document Solutions Inc filed Critical Kyocera Document Solutions Inc
Priority to JP2017207098A priority Critical patent/JP6773000B2/ja
Priority to CN201811080214.9A priority patent/CN109711164B/zh
Priority to US16/143,197 priority patent/US10896258B2/en
Publication of JP2019080229A publication Critical patent/JP2019080229A/ja
Application granted granted Critical
Publication of JP6773000B2 publication Critical patent/JP6773000B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Description

本発明は、情報処理装置、及び情報処理装置で実行される改ざん検出方法に関する。
改ざんの不存在が確認されたプログラムのみを用いて自装置を起動するセキュアブートを実行可能な情報処理装置が知られている。この種の情報処理装置では、当該情報処理装置の起動中にメモリーに展開される2次ブートローダ、及びOSなどの検出対象プログラムに対して電子署名が付加されている。また、前記情報処理装置には、前記電子署名の復号化に用いられる復号鍵を記憶するROMなどの記憶部が設けられている。前記情報処理装置では、当該情報処理装置の起動中に前記電子署名及び前記復号鍵が用いられて前記検出対象プログラムにおける改ざんが検出される。
また、前記情報処理装置では、前記復号鍵が自装置に交換可能に接続されるTPM(トラステッドプラットフォームモジュール)(特許文献1参照)などの他の記憶部に記憶されることがある。
特開2016−53753号公報
ところで、前記記憶部を備える前記情報処理装置に前記記憶部に記憶されている前記復号鍵とは異なる他の復号鍵を記憶する前記他の記憶部を増設して、当該情報処理装置に前記他の復号鍵を用いて前記検出対象プログラムにおける改ざんを検出させることが考えられる。しかしながら、従来、前記情報処理装置に前記他の復号鍵を用いて前記検出対象プログラムにおける改ざんを検出させるためには、当該情報処理装置において起動中に実行されるプログラム各々の内容を変更する必要がある。
本発明の目的は、起動中に実行されるプログラム各々の内容を変更することなく、増設される記憶部に記憶されている他の復号鍵を用いてプログラムの改ざんを検出可能な情報処理装置及び改ざん検出方法を提供することにある。
本発明の一の局面に係る情報処理装置は、第1記憶部と、接続部と、判定処理部と、検出処理部と、を備える。前記第1記憶部は、自装置の起動中にメモリーに展開される検出対象プログラムに付加された第1電子署名及び第2電子署名のうち、前記第1電子署名の復号化に用いられる第1復号鍵を記憶する。前記接続部は、前記第2電子署名の復号化に用いられ前記第1復号鍵とは異なる第2復号鍵を記憶する第2記憶部が接続される。前記判定処理部は、前記接続部に前記第2記憶部が接続されているか否かを判定する。前記検出処理部は、前記判定処理部により前記接続部に前記第2記憶部が接続されていないと判定された場合は、前記第1復号鍵により前記第1電子署名が復号化された第1復号化データを用いて前記検出対象プログラムにおける改ざんを検出し、前記判定処理部により前記接続部に前記第2記憶部が接続されていると判定された場合は、前記第2復号鍵により前記第2電子署名が復号化された第2復号化データを用いて前記検出対象プログラムにおける改ざんを検出する。
本発明の他の局面に係る改ざん検出方法は、自装置の起動中にメモリーに展開される検出対象プログラムに付加された第1電子署名及び第2電子署名のうち、前記第1電子署名の復号化に用いられる第1復号鍵を記憶する第1記憶部と、前記第2電子署名の復号化に用いられ前記第1復号鍵とは異なる第2復号鍵を記憶する第2記憶部が接続される接続部と、を備える情報処理装置で実行され、前記接続部に前記第2記憶部が接続されているか否かを判定することと、前記接続部に前記第2記憶部が接続されていないと判定された場合は、前記第1復号鍵により前記第1電子署名が復号化された第1復号化データを用いて前記検出対象プログラムにおける改ざんを検出し、前記接続部に前記第2記憶部が接続されていると判定された場合は、前記第2復号鍵により前記第2電子署名が復号化された第2復号化データを用いて前記検出対象プログラムにおける改ざんを検出することと、を含む。
本発明によれば、起動中に実行されるプログラム各々の内容を変更することなく、増設される記憶部に記憶されている他の復号鍵を用いてプログラムの改ざんを検出可能な情報処理装置及び改ざん検出方法が実現される。
図1は、本発明の実施形態に係る画像形成装置の構成を示す図である。 図2は、本発明の実施形態に係る画像形成装置のシステム構成を示すブロック図である。 図3は、本発明の実施形態に係る画像形成装置の制御部の構成を示すブロック図である。 図4は、本発明の実施形態に係る画像形成装置で実行される第1起動処理の一例を示すフローチャートである。 図5は、本発明の実施形態に係る画像形成装置で実行される第2起動処理の一例を示すフローチャートである。
以下、添付図面を参照しながら、本発明の実施形態について説明し、本発明の理解に供する。なお、以下の実施形態は、本発明を具体化した一例であって、本発明の技術的範囲を限定するものではない。
[画像形成装置10の概略構成]
まず、図1〜図3を参照しつつ、本発明の実施形態に係る画像形成装置10の概略構成について説明する。ここで、図1は画像形成装置10の構成を示す断面模式図である。
画像形成装置10は、画像データに基づいて画像を形成するプリント機能と共に、スキャン機能、ファクシミリ機能、及びコピー機能などの複数の機能を有する複合機である。ここに、画像形成装置10が、本発明における情報処理装置の一例である。なお、本発明は、スキャナー、プリンター、ファクシミリ装置、コピー機、パーソナルコンピューター、ノートパソコン、スマートフォン、及びタブレット端末などの情報処理装置に適用可能である。
図1及び図2に示されるように、画像形成装置10は、ADF(自動原稿搬送装置)1、画像読取部2、画像形成部3、給紙部4、制御部5、操作表示部6、記憶部7、接続部8、及び記憶部9を備える。
ADF1は、画像読取部2によって読み取られる原稿を搬送する。具体的に、ADF1は、原稿セット部、複数の搬送ローラー、原稿押さえ、及び排紙部を備える。ADF1は、前記原稿セット部に載置された原稿を、画像読取部2による画像データの読み取り位置を経由して、前記排紙部へ搬送する。
画像読取部2は、原稿から画像データを読み取る。具体的に、画像読取部2は、原稿台、光源、複数のミラー、光学レンズ、及びCCDを備える。画像読取部2は、前記原稿台に載置された原稿、及びADF1によって搬送される原稿から画像データを読み取る。
画像形成部3は、画像データに基づいて、電子写真方式で画像を形成する。具体的に、画像形成部3は、感光体ドラム、帯電装置、光走査装置、現像装置、転写ローラー、クリーニング装置、定着ローラー、加圧ローラー、及び排紙トレイを備える。画像形成部3は、画像読取部2で読み取られた画像データ、又は外部のパーソナルコンピューター等の情報処理装置から入力された画像データに基づいて、画像を形成する。なお、画像形成部3は、インクジェット方式などの他の画像形成方式で画像を形成してもよい。
給紙部4は、画像形成部3にシートを供給する。具体的に、給紙部4は、給紙カセット、及び複数の搬送ローラーを備える。画像形成装置10では、給紙部4から供給されるシートに画像が形成されて、画像形成後のシートが前記排紙トレイに排出される。
制御部5は、画像形成装置10の各構成を統括的に制御する。例えば、制御部5はASICである。図3に示されるように、制御部5は、CPU51、ROM52、RAM53、OTP(ワンタイムプログラマブル)ROM54、及び入出力部55を備える。制御部5において、CPU51、RAM53、OTPROM54、及び入出力部55は、バス50(図3参照)を介して相互に通信可能に接続されている。
CPU51は、各種の演算処理を実行するプロセッサーである。
ROM52は、不揮発性の記憶装置である。ROM52には、CPU51に各種の処理を実行させるための制御プログラムが記憶されている。CPU51は、ROM52に記憶されている前記制御プログラムを実行することにより、画像形成装置10を統括的に制御する。
図3に示されるように、ROM52には、1次ブートローダ521が記憶されている。1次ブートローダ521は、画像形成装置10の起動中に、記憶部7に記憶されている2次ブートローダ71(図2参照)をRAM53に展開するためのプログラムである。
RAM53は、揮発性の記憶装置である。CPU51は、RAM53を、自身が実行する各種の処理の一時記憶メモリー(作業領域)として使用する。
OTPROM54は、専用の書込み装置を用いてデータを書き込むことが可能であって、書き込まれたデータを消去することができない不揮発性の記憶装置である。なお、制御部5は、OTPROM54に替えて、EEPROMなどのデータの書込み及び消去が可能な不揮発性の記憶装置を備えていてもよい。また、制御部5は、OTPROM54を備えていなくてもよい。
入出力部55は、制御部5の外部の構成との間でデータの転送処理を実行するインターフェイスである。
操作表示部6は、ユーザーの操作に応じて制御部5に各種の情報を入力し、制御部5からの制御指示に応じて各種の情報を出力する。具体的に、操作表示部6は、液晶ディスプレーなどの表示部、及び操作キー又はタッチパネルなどの操作部を備える。
記憶部7は、不揮発性の記憶装置である。例えば、記憶部7はNVRAMである。
図2に示されるように、記憶部7には、2次ブートローダ71、及びOS(オペレーティングシステム)74が記憶されている。2次ブートローダ71は、画像形成装置10の起動中に、記憶部7に記憶されているOS74をRAM53に展開するためのプログラムである。2次ブートローダ71は、画像形成装置10の起動中にRAM53に展開されて実行される。OS74は、画像形成装置10を起動するためのプログラムである。OS74は、画像形成装置10の起動中にRAM53に展開されて実行される。ここに、2次ブートローダ71、及びOS74が、本発明における検出対象プログラムの一例である。また、RAM53が、本発明におけるメモリーの一例である。
なお、2次ブートローダ71は、OS74をRAM53に展開するための他のプログラム、又はOS74をRAM53に展開するための他のプログラム群の一部をRAM53に展開するためのプログラムであってもよい。
画像形成装置10では、改ざんの不存在が確認されたプログラムのみを用いて自装置を起動するセキュアブートが実行される。具体的に、記憶部7には、図2に示されるように、第1電子署名72、及び第1電子署名75が記憶されている。また、制御部5のROM52には、図3に示されるように、第1復号鍵522が記憶されている。画像形成装置10では、自装置の起動中に第1電子署名72、第1電子署名75、及び第1復号鍵522が用いられて、2次ブートローダ71、及びOS74における改ざんが検出される。ここに、ROM52が、本発明における第1記憶部の一例である。
第1電子署名72は、2次ブートローダ71における改ざんの検出に用いられる、2次ブートローダ71に付加された電子署名である。例えば、第1電子署名72は、予め定められたハッシュ関数を用いて2次ブートローダ71のハッシュ値を取得し、取得されたハッシュ値を暗号化することによって生成される。
第1電子署名75は、OS74における改ざんの検出に用いられる、OS74に付加された電子署名である。例えば、第1電子署名75は、前記ハッシュ関数を用いてOS74のハッシュ値を取得し、取得されたハッシュ値を暗号化することによって生成される。
第1復号鍵522は、第1電子署名72、及び第1電子署名75の復号化に用いられるデータである。例えば、第1復号鍵522は、公開鍵暗号方式における秘密鍵である。この場合、第1電子署名72、及び第1電子署名75の暗号化に用いられた暗号鍵は、第1復号鍵522に対応する公開鍵である。
なお、第1復号鍵522は、公開鍵暗号方式における公開鍵であってもよい。この場合、第1電子署名72、及び第1電子署名75の暗号化に用いられた暗号鍵は、第1復号鍵522に対応する秘密鍵である。また、第1復号鍵522は、共通鍵暗号方式における鍵であってもよい。この場合、第1電子署名72、及び第1電子署名75の暗号化に用いられた暗号鍵は、第1復号鍵522である。
ところで、制御部5が分解されて、ROM52に記憶されている第1復号鍵522の内容が分解行為者に知られることが考えられる。第1復号鍵522の内容が分解行為者に知られた場合、第1電子署名72、及び第1電子署名75が偽造されて、改ざんされた2次ブートローダ71、及びOS74が画像形成装置10の起動中に実行されるおそれがある。
これに対し、画像形成装置10に第1復号鍵522とは異なる第2復号鍵91(図2参照)を記憶する記憶部9(図2参照)を増設して、画像形成装置10に第2復号鍵91を用いて2次ブートローダ71、及びOS74における改ざんを検出させることが考えられる。しかしながら、従来、画像形成装置10に第2復号鍵91を用いて2次ブートローダ71、及びOS74における改ざんを検出させるためには、画像形成装置10において起動中に実行されるプログラム各々の内容を変更する必要がある。
これに対し、本発明の実施形態に係る画像形成装置10では、以下に説明するように、起動中に実行されるプログラム各々の内容を変更することなく、増設される記憶部9に記憶されている第2復号鍵91を用いてプログラムの改ざんを検出することが可能である。
接続部8は、記憶部9が接続されるコネクターである。
記憶部9は、第1復号鍵522とは異なる第2復号鍵91を記憶する。ここに、記憶部9が、本発明における第2記憶部の一例である。
ここで、記憶部7には、図2に示されるように、第2電子署名73、及び第2電子署名76が記憶されている。
第2電子署名73は、2次ブートローダ71における改ざんの検出に用いられる、2次ブートローダ71に付加された第1電子署名72とは異なる電子署名である。例えば、第2電子署名73は、前記ハッシュ関数を用いて2次ブートローダ71のハッシュ値を取得し、取得されたハッシュ値を暗号化することによって生成される。
第2電子署名76は、OS74における改ざんの検出に用いられる、OS74に付加された第1電子署名75とは異なる電子署名である。例えば、第2電子署名76は、前記ハッシュ関数を用いてOS74のハッシュ値を取得し、取得されたハッシュ値を暗号化することによって生成される。
第2復号鍵91は、第2電子署名73、及び第2電子署名76の復号化に用いられるデータである。例えば、第2復号鍵91は、公開鍵暗号方式における秘密鍵である。この場合、第2電子署名73、及び第2電子署名76の暗号化に用いられた暗号鍵は、第2復号鍵91に対応する公開鍵である。
なお、第2復号鍵91は、公開鍵暗号方式における公開鍵であってもよい。この場合、第2電子署名73、及び第2電子署名76の暗号化に用いられた暗号鍵は、第2復号鍵91に対応する秘密鍵である。また、第2復号鍵91は、共通鍵暗号方式における鍵であってもよい。この場合、第2電子署名73、及び第2電子署名76の暗号化に用いられた暗号鍵は、第2復号鍵91である。
例えば、記憶部9では、予め定められた発動条件を充足する場合に、第2復号鍵91が読み出し不能となる。例えば、前記発動条件は、記憶部9の外装の一部又は全部が取り外されたこと、前記外装の一部又は全部が変形又は破損したこと、前記外装に所定の値以上の圧力が加えられたこと、前記外装の内側に外気が混入したことなどである。例えば、記憶部9では、前記発動条件を充足する場合に、記憶部9が自己破壊を起こして第2復号鍵91を読み出すことができなくなる。なお、記憶部9において、第2復号鍵91が空気との接触により記憶内容が消去する記憶素子に記憶されていてもよい。また、記憶部9において、前記発動条件を充足する場合に、第2復号鍵91の読み出しが禁止されてもよい。
例えば、画像形成装置10では、記憶部9にTPM(トラステッドプラットフォームモジュール)が用いられている。なお、TPMとは、TCG(トラステッドコンピューティンググループ)において標準化された、耐タンパー性を有するセキュリティーチップである。TPMは、鍵の生成及び記憶、データの暗号化及び復号化、並びにハッシュ値の生成などの処理を実行することが可能である。
なお、記憶部9は、前記発動条件を充足する場合に、第2復号鍵91が読み出し不能とならないものであってもよい。
また、画像形成装置10は、記憶部9を備えていなくてもよい。即ち、画像形成装置10において、接続部8に記憶部9が接続されていなくてもよい。
また、制御部5は、図2に示されるように、第1判定処理部511、第1検出処理部512、第1報知処理部513、第2判定処理部514、第2検出処理部515、及び第2報知処理部516を含む。具体的に、制御部5は、CPU51を用いてROM52に記憶されている1次ブートローダ521を実行する。これにより、制御部5は、第1判定処理部511、第1検出処理部512、及び第1報知処理部513として機能する。また、制御部5は、CPU51を用いて記憶部7に記憶されている2次ブートローダ71を実行する。これにより、制御部5は、第2判定処理部514、第2検出処理部515、及び第2報知処理部516として機能する。ここに、第1判定処理部511、及び第2判定処理部514が、本発明における判定処理部の一例である。また、第1検出処理部512、及び第2検出処理部515が、本発明における検出処理部の一例である。また、第1報知処理部513、及び第2報知処理部516が、本発明における報知処理部の一例である。
第1判定処理部511は、接続部8に記憶部9が接続されているか否かを判定する。
例えば、画像形成装置10では、接続部8に記憶部9が接続されていることを示す接続情報が予め制御部5のOTPROM54に記憶されている。具体的に、前記接続情報は、接続部8に記憶部9が接続される際に、前記専用の書込み装置が用いられてOTPROM54に記憶される。なお、画像形成装置10において接続部8に記憶部9が接続されていない場合は、OTPROM54に前記接続情報は記憶されていない。ここに、OTPROM54が、本発明における第3記憶部の一例である。
例えば、第1判定処理部511は、OTPROM54における前記接続情報の有無に基づいて、接続部8に記憶部9が接続されているか否かを判定する。
なお、第1判定処理部511は、記憶部9との間でデータ通信を実行して、当該データ通信の成否に基づいて、接続部8に記憶部9が接続されているか否かを判定してもよい。
第1検出処理部512は、第1判定処理部511によって接続部8に記憶部9が接続されていないと判定された場合に、第1復号鍵522により第1電子署名72が復号化された第1復号化データ(本発明における第1復号化データの一例)を用いて、2次ブートローダ71における改ざんを検出する。
具体的に、第1検出処理部512は、前記ハッシュ関数を用いて、記憶部7から読み出されてRAM53に展開された2次ブートローダ71のハッシュ値を取得する。そして、第1検出処理部512は、取得されたハッシュ値と前記第1復号化データとが一致する場合に、2次ブートローダ71において改ざんが存在しないと判断する。一方、第1検出処理部512は、取得されたハッシュ値と前記第1復号化データとが一致しない場合に、2次ブートローダ71において改ざんが存在すると判断する。
また、第1検出処理部512は、第1判定処理部511によって接続部8に記憶部9が接続されていると判定された場合に、第2復号鍵91により第2電子署名73が復号化された第2復号化データ(本発明における第2復号化データの一例)を用いて、2次ブートローダ71における改ざんを検出する。
具体的に、第1検出処理部512は、前記ハッシュ関数を用いて、記憶部7から読み出されてRAM53に展開された2次ブートローダ71のハッシュ値を取得する。そして、第1検出処理部512は、取得されたハッシュ値と前記第2復号化データとが一致する場合に、2次ブートローダ71において改ざんが存在しないと判断する。一方、第1検出処理部512は、取得されたハッシュ値と前記第2復号化データとが一致しない場合に、2次ブートローダ71において改ざんが存在すると判断する。
第1報知処理部513は、第1検出処理部512によって2次ブートローダ71における改ざんが検出された場合に、その旨を報知する。
例えば、第1報知処理部513は、2次ブートローダ71において改ざんが検出された旨を示すメッセージを操作表示部6に表示させる。なお、第1報知処理部513は、2次ブートローダ71において改ざんが検出された旨を示す警告音を鳴動させてもよい。
第2判定処理部514は、第1判定処理部511と同様に、接続部8に記憶部9が接続されているか否かを判定する。
第2検出処理部515は、第2判定処理部514によって接続部8に記憶部9が接続されていないと判定された場合に、第1復号鍵522により第1電子署名75が復号化された第3復号化データ(本発明における第1復号化データの一例)を用いて、OS74における改ざんを検出する。
具体的に、第2検出処理部515は、前記ハッシュ関数を用いて、記憶部7から読み出されてRAM53に展開されたOS74のハッシュ値を取得する。そして、第2検出処理部515は、取得されたハッシュ値と前記第3復号化データとが一致する場合に、OS74において改ざんが存在しないと判断する。一方、第2検出処理部515は、取得されたハッシュ値と前記第3復号化データとが一致しない場合に、OS74において改ざんが存在すると判断する。
また、第2検出処理部515は、第2判定処理部514によって接続部8に記憶部9が接続されていると判定された場合に、第2復号鍵91により第2電子署名76が復号化された第4復号化データ(本発明における第2復号化データの一例)を用いて、OS74における改ざんを検出する。
具体的に、第2検出処理部515は、前記ハッシュ関数を用いて、記憶部7から読み出されてRAM53に展開されたOS74のハッシュ値を取得する。そして、第2検出処理部515は、取得されたハッシュ値と前記第4復号化データとが一致する場合に、OS74において改ざんが存在しないと判断する。一方、第2検出処理部515は、取得されたハッシュ値と前記第4復号化データとが一致しない場合に、OS74において改ざんが存在すると判断する。
第2報知処理部516は、第2検出処理部515によってOS74における改ざんが検出された場合に、その旨を報知する。
例えば、第2報知処理部516は、OS74において改ざんが検出された旨を示すメッセージを操作表示部6に表示させる。なお、第2報知処理部516は、OS74において改ざんが検出された旨を示す警告音を鳴動させてもよい。
[第1起動処理]
以下、図4を参照しつつ、画像形成装置10において制御部5により実行される第1起動処理の手順の一例について説明する。ここで、ステップS11、S12・・・は、制御部5により実行される処理手順(ステップ)の番号を表している。なお、制御部5は、画像形成装置10の電源が投入された場合、及び画像形成装置10の再起動を指示するユーザー操作が行われた場合に、前記第1起動処理を実行する。
<ステップS11>
まず、ステップS11において、制御部5は、2次ブートローダ71、第1電子署名72、及び第2電子署名73を記憶部7から読み出してRAM53に展開する。
<ステップS12>
ステップS12において、制御部5は、接続部8に記憶部9が接続されているか否かを判定する。ここで、ステップS12の処理は、制御部5の第1判定処理部511により実行される。
例えば、制御部5は、OTPROM54に前記接続情報が存在する場合に、接続部8に記憶部9が接続されていると判定する。これにより、記憶部9との間におけるデータ通信の成否に基づいて接続部8における記憶部9の接続の有無を判定する構成と比較して、接続部8に接続された記憶部9が当該接続部8から取り外されることを抑制可能である。また、前記接続情報を記憶する記憶部にOTPROM54を用いることで、前記接続情報が消去されることを防止可能である。
ここで、制御部5は、接続部8に記憶部9が接続されていると判定すると(S12のYes側)、処理をステップS13に移行させる。また、接続部8に記憶部9が接続されていないと判定すると(S12のNo側)、制御部5は、処理をステップS121に移行させる。
<ステップS121>
ステップS121において、制御部5は、前記第1復号化データを取得する。具体的に、制御部5は、第1復号鍵522を用いて第1電子署名72を復号化することで、前記第1復号化データを取得する。
<ステップS13>
ステップS13において、制御部5は、前記第2復号化データを取得する。具体的に、制御部5は、記憶部9に第2復号鍵91を用いた第2電子署名73の復号化処理を実行させて、記憶部9に前記第2復号化データを出力させる。なお、制御部5は、記憶部9から第2復号鍵91を読み出して、読み出された第2復号鍵91を用いて第2電子署名73を復号化することで、前記第2復号化データを取得してもよい。
<ステップS14>
ステップS14において、制御部5は、ステップS121で取得された前記第1復号化データ、又はステップS13で取得された前記第2復号化データを用いて、2次ブートローダ71における改ざんを検出する第1検出処理を実行する。ここで、ステップS121、ステップS13、及びステップS14の処理は、制御部5の第1検出処理部512により実行される。
具体的に、制御部5は、前記ハッシュ関数を用いて、ステップS11でRAM53に展開された2次ブートローダ71のハッシュ値を取得する。そして、制御部5は、取得されたハッシュ値と前記第1復号化データ又は前記第2復号化データとが一致する場合に、2次ブートローダ71において改ざんが存在しないと判断する。一方、制御部5は、取得されたハッシュ値と前記第1復号化データ又は前記第2復号化データとが一致しない場合に、2次ブートローダ71において改ざんが存在すると判断する。
<ステップS15>
ステップS15において、制御部5は、ステップS14で実行された前記第1検出処理において2次ブートローダ71における改ざんが検出されたか否かを判断する。
ここで、制御部5は、前記第1検出処理において2次ブートローダ71における改ざんが検出されたと判断すると(S15のYes側)、処理をステップS151に移行させる。また、前記第1検出処理において2次ブートローダ71における改ざんが検出されていなければ(S15のNo側)、制御部5は、処理をステップS16に移行させる。
<ステップS151>
ステップS151において、制御部5は、2次ブートローダ71において改ざんが検出された旨を報知する。例えば、制御部5は、2次ブートローダ71において改ざんが検出された旨を示すメッセージを操作表示部6に表示させる。ここで、ステップS151の処理は、制御部5の第1報知処理部513により実行される。
<ステップS16>
ステップS16において、制御部5は、ステップS11でRAM53に展開された2次ブートローダ71を実行する。
[第2起動処理]
以下、図5を参照しつつ、画像形成装置10において制御部5により実行される第2起動処理の手順の一例について説明する。なお、制御部5は、前記第1起動処理のステップS16の処理が実行された場合に、前記第2起動処理を実行する。
<ステップS21>
まず、ステップS21において、制御部5は、OS74、第1電子署名75、及び第2電子署名76を記憶部7から読み出してRAM53に展開する。
<ステップS22>
ステップS22において、制御部5は、前記第1起動処理のステップS12と同様に、接続部8に記憶部9が接続されているか否かを判定する。ここで、ステップS22の処理は、制御部5の第2判定処理部514により実行される。
ここで、制御部5は、接続部8に記憶部9が接続されていると判定すると(S22のYes側)、処理をステップS23に移行させる。また、接続部8に記憶部9が接続されていないと判定すると(S22のNo側)、制御部5は、処理をステップS221に移行させる。
<ステップS221>
ステップS221において、制御部5は、前記第3復号化データを取得する。具体的に、制御部5は、第1復号鍵522を用いて第1電子署名75を復号化することで、前記第3復号化データを取得する。
<ステップS23>
ステップS23において、制御部5は、前記第4復号化データを取得する。具体的に、制御部5は、記憶部9に第2復号鍵91を用いた第2電子署名76の復号化処理を実行させて、記憶部9に前記第4復号化データを出力させる。なお、制御部5は、記憶部9から第2復号鍵91を読み出して、読み出された第2復号鍵91を用いて第2電子署名76を復号化することで、前記第4復号化データを取得してもよい。
<ステップS24>
ステップS24において、制御部5は、ステップS221で取得された前記第3復号化データ、又はステップS23で取得された前記第4復号化データを用いて、OS74における改ざんを検出する第2検出処理を実行する。ここで、ステップS221、ステップS23、及びステップS24の処理は、制御部5の第2検出処理部515により実行される。
具体的に、制御部5は、前記ハッシュ関数を用いて、ステップS21でRAM53に展開されたOS74のハッシュ値を取得する。そして、制御部5は、取得されたハッシュ値と前記第3復号化データ又は前記第4復号化データとが一致する場合に、OS74において改ざんが存在しないと判断する。一方、制御部5は、取得されたハッシュ値と前記第3復号化データ又は前記第4復号化データとが一致しない場合に、OS74において改ざんが存在すると判断する。
<ステップS25>
ステップS25において、制御部5は、ステップS24で実行された前記第2検出処理においてOS74における改ざんが検出されたか否かを判断する。
ここで、制御部5は、前記第2検出処理においてOS74における改ざんが検出されたと判断すると(S25のYes側)、処理をステップS251に移行させる。また、前記第2検出処理においてOS74における改ざんが検出されていなければ(S25のNo側)、制御部5は、処理をステップS26に移行させる。
<ステップS251>
ステップS251において、制御部5は、OS74において改ざんが検出された旨を報知する。例えば、制御部5は、OS74において改ざんが検出された旨を示すメッセージを操作表示部6に表示させる。ここで、ステップS251の処理は、制御部5の第2報知処理部516により実行される。
<ステップS26>
ステップS26において、制御部5は、ステップS21でRAM53に展開されたOS74を実行する。
このように、画像形成装置10では、接続部8に記憶部9が接続されていると判定された場合は、第1復号鍵522により第1電子署名72が復号化された前記第1復号化データが用いられて2次ブートローダ71における改ざんが検出され、接続部8に記憶部9が接続されていないと判定された場合は、第2復号鍵91により第2電子署名73が復号化された前記第2復号化データが用いられて2次ブートローダ71における改ざんが検出される。
また、画像形成装置10では、接続部8に記憶部9が接続されていると判定された場合は、第1復号鍵522により第1電子署名75が復号化された前記第3復号化データが用いられてOS74における改ざんが検出され、接続部8に記憶部9が接続されていないと判定された場合は、第2復号鍵91により第2電子署名76が復号化された前記第4復号化データが用いられてOS74における改ざんが検出される。
これにより、画像形成装置10では、起動中に実行される1次ブートローダ521、及び2次ブートローダ71のようなプログラム各々の内容を変更することなく、増設される記憶部9に記憶されている第2復号鍵91を用いて当該プログラムの改ざんを検出することが可能である。
また、画像形成装置10では、前記発動条件を充足する場合に、記憶部9において第2復号鍵91が読み出し不能となる。これにより、第2復号鍵91の機密性が向上するため、第2電子署名73及び第2電子署名76の偽造、並びに2次ブートローダ71及びOS74の改ざんが抑制される。
1 ADF
2 画像読取部
3 画像形成部
4 給紙部
5 制御部
6 操作表示部
7 記憶部
8 接続部
9 記憶部
10 画像形成装置
51 CPU
52 ROM
53 RAM
54 OTPROM
71 2次ブートローダ
72 第1電子署名
73 第2電子署名
74 OS
75 第1電子署名
76 第2電子署名
91 第2復号鍵
511 第1判定処理部
512 第1検出処理部
513 第1報知処理部
514 第2判定処理部
515 第2検出処理部
516 第2報知処理部
521 1次ブートローダ
522 第1復号鍵

Claims (6)

  1. 自装置の起動中にメモリーに展開される検出対象プログラムに付加された第1電子署名及び第2電子署名のうち、前記第1電子署名の復号化に用いられる第1復号鍵を記憶する第1記憶部と、
    前記第2電子署名の復号化に用いられ前記第1復号鍵とは異なる第2復号鍵を記憶する第2記憶部が接続される接続部と、
    前記接続部に前記第2記憶部が接続されているか否かを判定する判定処理部と、
    前記判定処理部により前記接続部に前記第2記憶部が接続されていないと判定された場合は、前記第1復号鍵により前記第1電子署名が復号化された第1復号化データを用いて前記検出対象プログラムにおける改ざんを検出し、前記判定処理部により前記接続部に前記第2記憶部が接続されていると判定された場合は、前記第2復号鍵により前記第2電子署名が復号化された第2復号化データを用いて前記検出対象プログラムにおける改ざんを検出する検出処理部と、
    を備える情報処理装置。
  2. 前記接続部に接続され、予め定められた発動条件を充足する場合に前記第2復号鍵が読み出し不能となる前記第2記憶部を備える、
    請求項1に記載の情報処理装置。
  3. 前記接続部に前記第2記憶部が接続されていることを示す接続情報を記憶する第3記憶部を備え、
    前記判定処理部は、前記第3記憶部における前記接続情報の有無に基づいて、前記接続部に前記第2記憶部が接続されているか否かを判定する、
    請求項1又は2に記載の情報処理装置。
  4. 前記第3記憶部は、ワンタイムプログラマブルROMである、
    請求項3に記載の情報処理装置。
  5. 前記検出処理部によって前記検出対象プログラムにおける改ざんが検出された場合にその旨を報知する報知処理部を備える、
    請求項1〜4のいずれかに記載の情報処理装置。
  6. 自装置の起動中にメモリーに展開される検出対象プログラムに付加された第1電子署名及び第2電子署名のうち、前記第1電子署名の復号化に用いられる第1復号鍵を記憶する第1記憶部と、前記第2電子署名の復号化に用いられ前記第1復号鍵とは異なる第2復号鍵を記憶する第2記憶部が接続される接続部と、を備える情報処理装置で実行される改ざん検出方法であって、
    前記接続部に前記第2記憶部が接続されているか否かを判定することと、
    前記接続部に前記第2記憶部が接続されていないと判定された場合は、前記第1復号鍵により前記第1電子署名が復号化された第1復号化データを用いて前記検出対象プログラムにおける改ざんを検出し、前記接続部に前記第2記憶部が接続されていると判定された場合は、前記第2復号鍵により前記第2電子署名が復号化された第2復号化データを用いて前記検出対象プログラムにおける改ざんを検出することと、
    を含む改ざん検出方法。
JP2017207098A 2017-10-26 2017-10-26 情報処理装置、改ざん検出方法 Active JP6773000B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017207098A JP6773000B2 (ja) 2017-10-26 2017-10-26 情報処理装置、改ざん検出方法
CN201811080214.9A CN109711164B (zh) 2017-10-26 2018-09-17 信息处理装置和篡改检测方法
US16/143,197 US10896258B2 (en) 2017-10-26 2018-09-26 Information processing apparatus capable of detecting falsification in programs, and falsification detecting method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017207098A JP6773000B2 (ja) 2017-10-26 2017-10-26 情報処理装置、改ざん検出方法

Publications (2)

Publication Number Publication Date
JP2019080229A JP2019080229A (ja) 2019-05-23
JP6773000B2 true JP6773000B2 (ja) 2020-10-21

Family

ID=66244838

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017207098A Active JP6773000B2 (ja) 2017-10-26 2017-10-26 情報処理装置、改ざん検出方法

Country Status (3)

Country Link
US (1) US10896258B2 (ja)
JP (1) JP6773000B2 (ja)
CN (1) CN109711164B (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013142948A1 (en) * 2012-03-30 2013-10-03 Irdeto Canada Corporation Method and system for preventing and detecting security threats
JP6773000B2 (ja) * 2017-10-26 2020-10-21 京セラドキュメントソリューションズ株式会社 情報処理装置、改ざん検出方法
CN111651185B (zh) * 2020-05-30 2022-11-11 展讯通信(上海)有限公司 一种软件升级方法及装置

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4370725B2 (ja) * 1997-12-04 2009-11-25 ヤマハ株式会社 電子情報処理方法及び装置
JP2002072872A (ja) * 2000-08-29 2002-03-12 Ntt Comware Corp データセキュリティ装置、データセキュリティ方法及びその記録媒体
KR20030064070A (ko) * 2002-01-25 2003-07-31 삼성전자주식회사 컴퓨터시스템 및 그 제어방법
JP4335707B2 (ja) * 2004-02-06 2009-09-30 Necエレクトロニクス株式会社 プログラム改竄検出装置、及びプログラム改竄検出プログラムおよびプログラム改竄検出方法
JP2007299053A (ja) * 2006-04-27 2007-11-15 Fujitsu Fip Corp アクセス制御方法およびアクセス制御プログラム
JP2008035019A (ja) * 2006-07-27 2008-02-14 Kikuya Inc 電子署名装置
JP4912921B2 (ja) * 2007-02-27 2012-04-11 富士通セミコンダクター株式会社 セキュアプロセッサシステム、セキュアプロセッサ及びセキュアプロセッサシステムの制御方法
JP4994903B2 (ja) * 2007-03-16 2012-08-08 株式会社リコー 暗号鍵復旧方法、情報処理装置及び暗号鍵復旧プログラム
JP4941144B2 (ja) * 2007-07-17 2012-05-30 株式会社明電舎 通信制御装置
JP2010087702A (ja) * 2008-09-30 2010-04-15 Ricoh Co Ltd 撮像装置、撮像方法、制御プログラム及び記録媒体
CN101883096B (zh) * 2010-06-07 2014-07-02 天地融科技股份有限公司 电子签名工具之间安全传递数据的方法、装置及系统
JP2012008641A (ja) * 2010-06-22 2012-01-12 Toshiba Tec Corp セキュリティデバイス及び情報処理装置
JP5408113B2 (ja) * 2010-11-24 2014-02-05 富士通株式会社 電子画像データ検証プログラム、電子画像データ検証方法及び電子画像データ検証装置
KR20120092222A (ko) * 2011-02-11 2012-08-21 삼성전자주식회사 보안 부팅 방법 및 보안 부트 이미지 생성 방법
WO2012124270A1 (ja) * 2011-03-15 2012-09-20 パナソニック株式会社 改ざん監視システム、管理装置、保護制御モジュール及び検知モジュール
JP5659926B2 (ja) * 2011-04-05 2015-01-28 日本電気株式会社 コンピュータシステムおよびオペレーティングシステム起動方法
CN102752111A (zh) * 2011-04-20 2012-10-24 中国移动通信集团黑龙江有限公司 一种工单系统的电子签名防篡改的方法以及系统
WO2013161974A1 (ja) * 2012-04-24 2013-10-31 大日本印刷株式会社 改竄検知が可能なアプリケーションプログラムの配布実行方法
JP2015036847A (ja) * 2013-08-12 2015-02-23 株式会社東芝 半導体装置
EP2854066B1 (en) * 2013-08-21 2018-02-28 Nxp B.V. System and method for firmware integrity verification using multiple keys and OTP memory
CN104008342B (zh) * 2014-06-06 2017-12-15 山东超越数控电子股份有限公司 一种通过bios和内核实现安全可信认证的方法
JP6362483B2 (ja) 2014-09-02 2018-07-25 キヤノン株式会社 情報処理装置、情報処理方法及びプログラム
US9325506B2 (en) * 2014-09-23 2016-04-26 Red Hat, Inc. Cryptographically enforcing strict separation of environments
DE102015001801A1 (de) * 2015-02-16 2016-08-18 IAD Gesellschaft für Informatik, Automatisierung und Datenverarbeitung mbH Autonom bootendes System mit einer Verschlüsselung des gesamten Datenspeichers und Verfahren hierfür
US20180091315A1 (en) * 2016-09-27 2018-03-29 Qualcomm Incorporated Revocation and updating of compromised root of trust (rot)
US10747882B2 (en) * 2017-03-23 2020-08-18 Dell Products, L.P. System and method for secure boot of an information handling system using verification signature and including verifying applications
JP6773000B2 (ja) * 2017-10-26 2020-10-21 京セラドキュメントソリューションズ株式会社 情報処理装置、改ざん検出方法

Also Published As

Publication number Publication date
CN109711164B (zh) 2023-05-02
US10896258B2 (en) 2021-01-19
CN109711164A (zh) 2019-05-03
US20190130111A1 (en) 2019-05-02
JP2019080229A (ja) 2019-05-23

Similar Documents

Publication Publication Date Title
US9927768B2 (en) Crum chip and image forming device for communicating mutually, and method thereof
US9224011B2 (en) Embedded system, information processing unit, and image forming apparatus
US20080313453A1 (en) Boot Validation in Imaging Devices
US11010153B2 (en) Information processing apparatus that detects falsification of a program, method of controlling the same, and storage medium
JP6773000B2 (ja) 情報処理装置、改ざん検出方法
US10776494B2 (en) Method for verifying forgery and falsification of executable file in image forming apparatus and image forming apparatus using same
CN112114842A (zh) 信息处理装置及其控制方法和储存介质
JP2013012964A (ja) 電子機器
US20170242742A1 (en) Data processing device, control method for data processing device, and storage medium
JP5000346B2 (ja) 画像処理装置,画像処理方法,プログラム,および記録媒体
KR102467636B1 (ko) 정보 처리장치, 정보 처리장치의 제어방법, 및 기억매체
US11822928B2 (en) Information processing apparatus, method of controlling same, storage medium, and image forming apparatus
US9330244B2 (en) Controller and method of storage apparatus
JP2010141501A (ja) 電子機器
JP2007257555A (ja) 画像形成装置
US11816233B2 (en) Information processing apparatus
US20220121536A1 (en) Information processing apparatus
JP5582651B2 (ja) 画像形成装置
JP5576921B2 (ja) 機器
JP2010146500A (ja) 電子機器
JP2019102876A (ja) 画像処理装置、画像出力方法
JP2006025254A (ja) 画像形成装置
JP6376111B2 (ja) 情報処理装置、情報処理方法
JP5980771B2 (ja) 画像処理システム及びログ記録方法
JP2007259300A (ja) 画像形成装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190924

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200824

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200901

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200914

R150 Certificate of patent or registration of utility model

Ref document number: 6773000

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150