WO2006115252A1

WO2006115252A1 - 情報セキュリティ装置

Info

Publication number: WO2006115252A1
Application number: PCT/JP2006/308588
Authority: WO
Inventors: Natsume Matsuzaki; Toshihisa Nakano; Shinichi Marui
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-04-25
Filing date: 2006-04-24
Publication date: 2006-11-02
Also published as: US7958353B2; EP1879322A1; CN101167300B; JP4801055B2; CN101167300A; US20090132821A1; JPWO2006115252A1

Abstract

　新たな暗号方式の導入に伴って、新たな暗号方式に対応するデバイス鍵を、各機器に安全かつ簡易に配布する技術に対する要望がある。　この要望に対応するコンテンツ再生装置１００は、書き換え可能なＦＰＧＡ１２２を備えており、コンテンツ再生装置１００は、新たな暗号方式に適したデバイス鍵を生成する鍵生成回路の構成を示す鍵生成回路プログラムを取得する。取得した鍵生成回路プログラムに従って、ＦＰＧＡ１２２を書き換えて鍵生成回路を構築し、構築した鍵生成回路により、新たな暗号方式に適したデバイス鍵を生成する。

Description

情報セキュリティ装置

技術分野

[0001] 本発明は、新たな機器固有の鍵情報を安全かつ簡易に取得する技術に関する。

背景技術

[0002] 映像及び音声力なるデジタルコンテンツを記録媒体に記録して販売したり、ネットワークを介して配信する際に、改竄や盗聴と！/ヽつた不正なコンテンツの利用を防止するために、暗号ィ匕技術が用いられることが一般的になって、る。

例えば、 CPPM (Content Protection for Prerecorded Media)規格によると、コンテンツの提供側は、コンテンツを暗号化して暗号化コンテンツを生成し、暗号ィ匕コンテンツを記録媒体に記録して配布し、再生機器側では、各再生機器の保持するデバイス鍵を用いて暗号ィ匕コンテンツを復号して再生する。デバイス鍵は、各再生機器に固有の鍵である。

[0003] 一方で、暗号化に用いられる暗号方式が解読された場合や、新たな暗号方式が開発された場合に、暗号方式を変更したいという要望がある。暗号方式を変更する技術としては、特許文献 1に、アプリケーション及びデータの種類に応じて暗号方式を変更する技術が開示されてヽる。

暗号方式の変更に当たって、暗号処理に用いる鍵も変更する必要がある。鍵の変更に関する従来技術としては、特許文献 3に、各端末機器が、予め複数の鍵を記憶しておき、全ての機器力同一のルールに従って、使用する鍵を変更するシステムが開示されている。

特許文献 1 :特開平 10— 320191号公報

特許文献 2：特開 2002— 50956号公報

特許文献 3：特開 2002— 290396号公報

発明の開示

発明が解決しょうとする課題

[0004] し力しながら、暗号方式の解読など、後発的理由により暗号方式を変更する場合には、予め、新たな暗号方式に適した鍵を用意しておくことができない場合もあり、暗号方式の変更にあたり、各再生機器に、新たな暗号方式に適した鍵を配布する必要がある。

特に、上述したように、各再生機器が個別のデバイス鍵を用いる場合、各再生機器に、個別のデバイス鍵を、安全かつ簡易に配布することができる技術が要望されている。

[0005] この要望を満たすベぐ本発明は、各機器固有のデバイス鍵を、安全かつ簡易に配布することができる情報セキュリティシステム、情報セキュリティ装置、鍵取得方法、鍵取得プログラム及び集積回路を提供することを目的とする。

課題を解決するための手段

[0006] 上記の課題を解決するために、本発明は、デバイス鍵を用いて、安全又は確実に情報を取り扱う情報セキュリティ装置であって、書き換え可能な論理回路と、所定の処理を実行する実行回路を定める回路形成情報を取得し、取得した回路形成情報に従って、前記論理回路を書き換えて、前記実行回路を構築する構築手段と、自装置に固有の固有秘密鍵を記憶している鍵記憶手段と、自装置に固有の前記デバィス鍵を、前記固有秘密鍵を用いて生成する鍵生成回路を定める鍵回路形成情報を取得する取得手段と、有効に取得された前記鍵回路形成情報を、前記回路形成情報として、前記構築手段に出力する出力手段と、前記デバイス鍵を生成するように、構築された前記鍵生成回路を制御する制御手段とを備えることを特徴とする。

[0007] また、本発明は、デバイス鍵を用いて、安全又は確実に情報を取り扱う情報セキユリティ装置とサーバ装置カゝら構成される鍵配布システムであって、前記情報セキュリティ装置は、書き換え可能な論理回路と、所定の処理を実行する実行回路を定める回路形成情報を取得し、取得した回路形成情報に従って、前記論理回路を書き換えて、前記実行回路を構築する構築手段と、自装置に固有の固有秘密鍵を記憶している鍵記憶手段と、自装置に固有の前記デバイス鍵を、前記固有秘密鍵を用いて生成する鍵生成回路を定める鍵回路形成情報を取得する取得手段と、有効に取得された前記鍵回路形成情報を、前記回路形成情報として、前記構築手段に出力する出力手段と、前記デバイス鍵を生成するように、構築された前記鍵生成回路を制御する制御手段とを備え、前記サーバ装置は、前記鍵回路形成情報を記憶している記憶手段と、前記鍵回路形成情報を、出力する出力手段とを備えることを特徴とする。

[0008] なお、上記の「論理回路」には、後述する実施の形態 1の FPGA122が対応する。「構築手段」には、構築機構 123が対応する。「鍵記憶手段」には、マスタ個別鍵格納部 102が対応する。「取得手段」には、プログラム取得部 106、 FPGA122、主記憶部 107、正当性チェック部 112及び鍵回路記憶部 119が対応する。「出力手段」には、選択部 114が対応する。「制御手段」には、制御部 116が対応する。「固有秘密鍵」には、「マスタ個別鍵」が対応する。

発明の効果

[0009] この構成によると、前記構築手段により、構築された鍵生成回路は、前記固有秘密鍵を用いて、自装置に固有の前記デバイス鍵を生成する。デバイス鍵自体を授受することがないので、本発明の情報セキュリティ装置は、前記デバイス鍵を安全に取得することができるという優れた効果を奏する。

また、前記情報セキュリティ装置内に構築された前記鍵生成回路が、自機に固有のデバイス鍵を生成するので、前記サーバ装置は、前記情報セキュリティ装置及び同等の機器に、同一の鍵回路形成情報を配布するだけで、各機器に、容易に、機器固有のデバイス鍵を取得せしめることができる。

[0010] また、上記の情報セキュリティ装置において、前記取得手段は、自装置が前記情報を取り扱う現情報処理方法と対応する前記鍵回路形成情報を取得し、前記鍵回路形成情報に従って構築される鍵生成回路は、前記現情報処理方法の性質に適した前記デバイス鍵を生成することを特徴とする。

この構成〖こよると、前記鍵生成回路の生成する前記デバイス鍵は、前記現情報処理方法の性質に適しているため、当該情報セキュリティ装置は、前記デバイス鍵を用いて、前記情報を適切に取り扱うことができる。

[0011] ここで、前記取得手段は、ネットワークを介して接続される外部機器から、前記鍵回路形成情報を取得することを特徴とする情報セキュリティ装置でもよい。

上記の外部機器とは、各種の情報処理方式の安全性に関する情報管理する機関の有するサーバ機器であると考えられ、実施の形態 1の暗号方式管理サーバが対応する。

このような機関は、各種の情報処理方式の安全性に関する最新の情報を保持しているので、この機関の有するサーバ機器は、現時点で最も適切な前記鍵回路形成情報を保持している。従って、上記の構成によると、前記取得手段は、取得の時点にお

V、て、最も適切な鍵回路形成情報を取得することができる。

[0012] また、前記取得手段は、前記外部機器へ、自装置が前記情報を取り扱う現情報処理方法を通知する通知部と、前記外部機器から、通知した現情報処理方法と対応する前記鍵回路形成情報を受信する受信部とを含むことを特徴とする。

この構成によると、前記通知部は、当該情報セキュリティ装置が前記情報を取り扱う前記現情報処理方法を前記外部機器に通知するため、確実に、前記現情報処理方法に対応する前記鍵回路形成情報を取得することができる。

[0013] 前記外部機器は、前記鍵回路形成情報を暗号化して、暗号化鍵回路形成情報を生成し、生成した暗号化鍵回路形成情報を送信し、前記情報セキュリティ装置において、前記取得手段は、前記暗号化鍵回路形成情報を、前記外部機器から受信する受信部と、受信した前記暗号化鍵回路形成情報を復号して前記鍵回路形成情報を生成する生成部とを含むことを特徴とする。

[0014] 前記鍵回路形成情報には、前記デバイス鍵の推測容易にするパラメータ、製作者のノウハウなど、秘密にすべき情報を含んでいる場合がある。この構成によると、前記受信部は、前記外部機器から、暗号化鍵回路形成情報を受信するので、前記外部機器との間の通信において、前記鍵回路形成情報を盗聴されないという優れた効果を有する。

また、前記鍵記憶手段は、耐タンパ一性を有し、前記固有秘密鍵を安全に記憶して、る構成であっても良、。

[0015] この構成によると、外部の機器により、前記固有秘密鍵を読み取られる危険性がな

V、ので、前記デバイス鍵を第三者に知られる危険性を抑制することができる。

また、本発明の前記情報セキュリティ装置において、前記取得手段は、さらに、前記鍵回路形成情報にデジタル署名を施して生成された署名情報を取得し、前記情報セキュリティ装置は、さらに、前記署名情報と、取得された前記鍵回路形成情報とを用いて、前記鍵回路形成情報の正当性を検証する検証手段を備え、前記出力手段は、前記検証が成功した場合に、前記鍵回路形成情報が有効に取得されたと決定し、前記鍵回路形成情報を出力する構成であっても良い。

[0016] 上記の「検証手段」には、後述の実施の形態 1の正当性チェック部 112、主記憶部 107、 FPGA112力対応する。

この構成によると、本発明の情報セキュリティ装置は、前記取得手段の取得した前記鍵回路形成情報が正当である場合にのみ前記デバイス鍵を生成することができる。このようにすることで、悪意の第三者により配布された不当な鍵回路形成情報を排除することができる。

[0017] また、前記情報セキュリティ装置は、さらに、前記検証手段の構成を示す検証回路形成情報を記憶している検証情報記憶手段を備え、前記出力手段は、さらに、前記検証情報記憶手段から、前記検証回路形成情報を読み出し、読み出した検証回路形成情報を前記回路形成情報として、前記構築手段へ出力することを特徴とする。上記の構成によると、前記構築手段は、前記検証回路形成情報に従って、前記論理回路を書き換えて、前記検証手段を構築する。従って、当該情報セキュリティ装置は、前記論理回路を有効活用することで、前記検証手段の機能を有する回路を備える必要がなぐ回路規模を小さくすることができる。

[0018] また、ここで、前記現情報処理方法とは、前記情報を暗号化又は復号化する暗号方式である構成であっても良!、。

この構成によると、本発明の情報セキュリティ装置は、前記情報に暗号処理を施すことにより、第三者への情報の漏洩を防ぎ、前記情報を安全に取り扱うことができる。また、ここで、前記現情報処理方法とは、前記情報の正当性を示す署名の生成又は検証手順を含む署名方式であるとしてもょヽ。

[0019] この構成〖こよると、本発明の情報セキュリティ装置は、前記情報に署名を施し、又は、前記情報に施された署名を検証することにより、確実に前記情報の授受を行うことができる。

また、ここで、前記現情報処理方法とは、前記情報の授受を行う外部機器の正当性を認証する機器認証方式であるとしてもょ、。 [0020] この構成〖こよると、本発明の情報セキュリティ装置は、前記機器認証方式に従って

、正当な機器であることが認証された機器との間においてのみ、前記情報の授受を行うので、前記情報を安全に取り扱うことができる。

また、ここで、前記現情報処理方法とは、前記情報の改竄の有無を検証するために一方向関数を用いて生成されるメッセージ認証コードの、生成又は検証手順を含むメッセージコード認証方式であるとしてもよ、。

[0021] 前記情報セキュリティ装置は、メッセージ認証コード認証方式に従って、前記情報に付されたメッセージ認証コードを検証することで、改竄の有無を検証し、前記情報を確実に取得することができる。また、前記情報を出力する再に、前記情報から生成したメッセージ認証コードを付すことで、前記情報を取得する機器は、伝送途中における前記情報の改竄を検出することができる。

[0022] 前記現情報処理方法とは、前記情報の授受を行う機器との間で同一の鍵を共有する鍵共有方法であるとしてもょ、。

この構成〖こよると、前記情報セキュリティ装置は、鍵共有方式に従って、前記機器との間で同一の鍵を共有し、共有した鍵を用いて、前記情報の授受を安全に行うことができる。

[0023] 前記鍵回路形成情報は、所定の情報処理方法と対応しており、前記鍵回路形成情報に従って構築される鍵生成回路は、前記所定の情報処理方法の性質に適した前記デバイス鍵を生成し、前記情報セキュリティ装置は、さらに、自装置が前記情報を取り扱う現情報処理方法と、前記所定の情報処理方法とがー致するか否かを判断する組合せ確認手段を備え、前記出力手段は、前記組合せ確認手段により、両者が一致すると判断される場合に、前記鍵回路形成情報が有効に取得されたと決定し、前記鍵回路形成情報を出力することを特徴とする構成であっても良い。

[0024] 上記の「組合せ確認手段」は、実施の形態 1の組合せチェック部 118が対応する。

この構成によると、前記取得手段が前記現情報処理方法に対応した前記鍵回路形成情報を取得した場合に、前記デバイス鍵が生成される。従って、本発明の情報セキユリティ装置は、確実に、前記現情報処理方法の性質に適したデバイス鍵を取得することができる。図面の簡単な説明

[図 1]実施の形態 1の情報セキュリティシステムの構成を示す構成図である。

[図 2]DVD400a及び 400bに記録されて!、る情報を示す。

[図 3]暗号方式管理サーバ 600の機能的構成を示すブロック図である。

[図 4]情報記憶部 610に記憶されている無効暗号方式一覧 621及び送信用鍵テーブル 626の詳細を示す。

[図 5]情報記憶部 610に記憶されて、る暗号回路ファイル 631、鍵回路ファイル 651 及び検証鍵ファイル 671の構成を示す。

[図 6]署名生成部 603の保持する署名鍵テーブル 691の詳細を示す。

[図 7]新たな暗号方式の導入において、暗号方式管理サーバ 600が、コンテンツ再生装置 100に送信する情報群の一例を示す。

[図 8]コンテンツ再生装置 100の構成を示すブロック図である。

[図 9]マスタ個別鍵格納部 102及びデバイス鍵格納部 103に記憶されている情報を示す。

[図 10]主記憶部 107に記憶されている情報の一例を示す。

[図 11]利用可能方式表 166の構成及び新たな暗号方式導入後の利用可能方式表 1 66bを示す。

[図 12]新たな暗号方式の導入の前後における、暗号回路記憶部 117の記憶して、る情報の具体例を示す。

[図 13]新たな暗号方式の導入の前後における、鍵回路記憶部 119の記憶している情報の具体例を示す。

[図 14]鍵回路形成プログラムに従って、可変回路 108内に構築された鍵生成回路を機能的に示したブロック図である。

[図 15]鍵生成プログラム「KgenA」に従って構築された鍵生成回路の動作の一例を示すフローチャートである。

[図 16]暗号ィ匕プログラムに従って、可変回路 108内に構築された暗号処理回路を機能的に示したブロック図である。

[図 17]復号プログラムに従って、可変回路 108内に構築された復号処理回路を機能的に示したブロック図である。

[図 18]正当性チェック部 112の保持するチェック情報表 201の詳細を示す。

[図 19]メモリカード 500の機能的構成を示すブロック図である。

[図 20]コンテンツ再生装置の動作を示すフローチャートである。

[図 21]DES暗号方式の解読に伴う AES暗号方式の導入に力かるコンテンツ再生装置 100及び暗号方式管理サーバ 600の動作を示すフローチャートである。

[図 22]DES暗号方式の解読に伴う AES暗号方式の導入に力かるコンテンツ再生装置 100及び暗号方式管理サーバ 600の動作を示すフローチャートである。図 21から続く。

[図 23]DES暗号方式の解読に伴う AES暗号方式の導入に力かるコンテンツ再生装置 100及び暗号方式管理サーバ 600の動作を示すフローチャートである。図 21から続く。

[図 24]DES暗号方式の解読に伴う AES暗号方式の導入に力かるコンテンツ再生装置 100及び暗号方式管理サーバ 600の動作を示すフローチャートである。図 21から続く。

[図 25]コンテンツ再生装置 100による、取得したコンテンツが再生可能である力否かの検証動作を示すフローチャートである。

[図 26]署名データの検証に係る動作を示すフローチャートである。

[図 27]コンテンツの再生動作を示すフローチャートである。

[図 28]メモリカードへのコンテンツの出力動作を示すフローチャートである。

[図 29]メモリカードへのコンテンツの出力動作を示すフローチャートである。図 28力続く。

[図 30]メモリカードへのコンテンツの出力動作を示すフローチャートである。図 28力続く。

[図 31]署名記憶部 220の記憶している情報の一例を示す。

符号の説明

1 情報セキュリティシステム

100 コンテンツ再生装置 400a DVD

400b DVD

500 メモリカード

600 暗号方式管理サーバ

700 コンテンツサーバ

800 ポータブノレプレーヤー

発明を実施するための最良の形態

[0027] 1.実施の形態 1

以下に、本発明の実施の形態 1に係る情報セキュリティシステム 1について、図面を用いて説明する。

1.1 情報セキュリティシステム 1の概要

情報セキュリティシステム 1は、図 1に示すように、コンテンツ再生装置 100、暗号方式管理サーバ 600、コンテンツサーバ 700及びポータブルプレーヤー 800から構成される。

[0028] コンテンツサーバ 700、暗号方式管理サーバ 600及びコンテンツ再生装置 100は、インターネット 20に接続されて、る。

コンテンツサーバ 700は、映画を初めとしたコンテンツを提供する装置であって、コンテンッを暗号ィ匕して生成した暗号ィ匕コンテンツと、前記暗号ィ匕コンテンツ力正当な配布元により生成されたことを示す署名とを、インターネット 20又は DVDなどの記録メディアを介して、コンテンツ再生装置 100に提供する。

[0029] コンテンツ再生装置 100は、インターネット 20又は DVDを介して、コンテンツサーノ 700から、暗号ィ匕コンテンツと署名とを取得し、取得した署名を検証し、正当な配布者により配布されたコンテンツであることを認証し、暗号ィ匕コンテンツを復号、再生する。また、コンテンツ再生装置 100は、メモリカードを装着可能であって、利用者の操作に従って、暗号ィ匕コンテンツの生成に用いられたコンテンツ鍵を暗号ィ匕して生成した暗号ィ匕コンテンツ鍵と暗号ィ匕コンテンツとをメモリカードに書き込む。

[0030] ここで、前記コンテンツ再生装置 100が、製造された時点で、コンテンツの暗号化に用いられている暗号方式を示す方式識別子を、方式識別子「IDA」、署名検証に利用される暗号方式を示す方式識別子を、方式識別子「IDB」とする。一例として、本明細書では、方式識別子「IDA」の示す暗号方式は、 DES (Data Encryption St andard)暗号方式あり、方式識別子「IDB」の示す暗号方式は、 RSA (Rivest Sha mir Adleman)暗号方式であるとする。

[0031] コンテンツ再生装置 100は、書き換え可能な回路を備えており、署名検証の際には、 RSA暗号方式に従った復号処理を行う復号処理回路を、前記回路上に構築し、コンテンッの復号の際には、 DES暗号方式従う復号を行う復号処理回路を構築し、暗号ィ匕コンテンツ鍵の生成の際には、 DES暗号方式による暗号ィ匕処理を行う暗号処理回路を構築する。

[0032] 暗号方式管理サーバ 600は、コンテンツ再生装置 100が、上記の署名検証、コンテンッの復号などに用いる暗号方式の安全性を管理する。暗号方式管理サーバ 60 0は、 DES暗号方式、又は、 RSA暗号方式が解読された場合に、解読された暗号方式に代えて、コンテンツ再生装置 100が使用する暗号方式に関する情報を記憶している。何れか一方の暗号方式が解読されると、解読された暗号方式に代替する新たな暗号方式に係る情報を、解読されていない他方の暗号方式に従って暗号化して、コンテンッ再生装置 100へ送信する。

[0033] コンテンツサーバ 700と、暗号方式管理サーバ 600は、同一又は関連のある機関によって管理されており、暗号方式の変更に係る情報及び新たな暗号方式の鍵に関する情報を共有している。何れかの暗号方式が解読されると、コンテンツサーバ 700 は、解読された暗号方式に代わって、上記の新たな暗号方式を用いて、コンテンツの暗号化又は署名生成を行う。

[0034] コンテンツ再生装置 100は、解読されていない他方の暗号方式により、上記の新たな暗号方式に係る情報を安全に取得し、新たな暗号方式を導入する。

1. 2 DVD400a及び 400b

DVD400a及び 400bは、可搬型の光ディスク媒体である。

DVD400a及び 400bは、同一のコンテンツ「ConA」を配布するために製造されたものであるが、 DVD400aは、コンテンツ再生装置 100の製造時に発売されていたものであり、 DES暗号方式により暗号化されたコンテンツを記憶している。 DVD400b は、その後、 DES暗号方式が解読された後に、発売されたものであり、 DES暗号方式に代替する暗号方式により暗号ィ匕されたコンテンツを記憶している。 DES暗号方式に代替する暗号方式としては、一例として AES (Advanced Encryption Stan dard)暗号方式を用いる。

[0035] 図 2は、 DVD400aおよび 400bに記録されている情報を示している。図 2に示すように、 DVD400aには、コンテンツファイル 401とコンテンツ鍵情報 404と署名フアイル 411とが記録されている。

コンテンツファイル 401は、方式識別子 402「IDA」と暗号化コンテンツ 403「EncA (ConA, KconA)」とを含む。以下、本明細書において、方式識別子「ID ο；」の示す暗号方式により（ α = A, Β, C" ')、暗号鍵「|8」を用いて、平文「γ」を暗号化して生成された暗号文を、 Enc α ( γ , β )と記載する。

[0036] 方式識別子 402は、暗号化コンテンツ 403の生成に用いられた暗号方式を示している。ここでは、 DES暗号方式を示している。

暗号化コンテンツ 403は、コンテンツ鍵「KconA」を用いて、コンテンツ「ConA」に、方式識別子「IDA」の示す DES暗号方式に従う暗号ィ匕アルゴリズムを施して生成された暗号文である。コンテンツ鍵「KconA」は、 56ビット長の暗号鍵である。

[0037] コンテンツ鍵情報 404「CKinf A」は、メディアキーブロック、メディア IDを含んで!/ヽる。メディアキーブロックは、 DVD400aにアクセスすることができる正当な再生機器のみに、暗号ィ匕コンテンツを復号するコンテンツ復号鍵を付与するための情報である。 DES暗号方式を初めとする共通鍵暗号方式の場合、コンテンツ復号鍵は、コンテンッ鍵と同一であるが、 RS A暗号などの公開鍵暗号をコンテンッの暗号化に用いる場合は、コンテンツ復号鍵とコンテンツ鍵とは異なる。

[0038] メディア IDは、 DVD400aに固有の識別子である。正当な再生機器は、その再生機器に固有のデバイス鍵とメディア IDを用いて、メディアキーブロックから、コンテンツ鍵「KconA」を生成することができる。

異なるデバイス鍵のいずれを用いても、メディアキーブロックから、同一の鍵を生成可能にする技術については、公知であるのでここでは説明を省略する。

[0039] 署名ファイル 411は、サーノ 10412「001八」、方式識別子413「108」及び署名データ 414を含む。サーバ ID412は、署名データ 414「SignA」を作成した機器を識別する識別子である。具体的に、「001A」は、コンテンツ「ConA」の配布元であるコンテンッサーバ 700を示す。方式識別子 413は、署名データ 414の生成に用いられた暗号方式を示しており、ここでは、 RSA暗号方式を示している。署名データ 414は、コンテンツファイル 401及びコンテンツ鍵情報 404を結合した結合物をハッシュ関数に代入して 160ビット長のダイジェストデータを生成し、署名鍵「Ksig— Ba」を用いて、方式識別子 413の示す RSA暗号方式による暗号ィ匕アルゴリズムを前記ダイジエストデータに施して生成されたものである。署名鍵「Ksig— Ba」は、方式識別子 413の示す RSA暗号方式に対応する 128ビット長の鍵であって、サーノ ID412と対応するコンテンツサーノ 700に固有の鍵である。

[0040] ノ、ッシュ関数には、一例として、 SHA- 1を用いる。この署名生成方法は、一例であって、他の方法を用いても良い。

図 2 (b)に示すよう〖こ、 DVD400bは、コンテンツファイル 421、コンテンツ鍵情報 42 4及び署名ファイル 431を記憶している。

コンテンツファイル 421は、方式識別子 422「IDC」、暗号化コンテンツ 423「EncC (ConA, KconC)」を含んでいる。方式識別子 422は、暗号化コンテンツ 423の生成に用いられた AES暗号方式を示す。暗号化コンテンツ 423は、コンテンツ鍵「Kcon C」を用いて、 AES暗号方式に従う暗号化アルゴリズムを、コンテンツ「ConA」に施して生成されたものである。コンテンツ鍵「KconC」は、 128ビット長の暗号鍵である。

[0041] コンテンツ鍵情報 424は、メディアキーブロックと、メディア IDとを含んでおり、正当な再生機器に、コンテンツ鍵「KconC」を付与するデータである。

署名ファイル 431は、サーバ ID432と方式識別子 433と署名データ 434とを含んでいる。サーノ ID432は、コンテンツ「ConA」の配布元であるコンテンツサーバ 700を示す識別子である。方式識別子 433は、署名データ 434の生成に用いられた RS A 暗号方式を示す。署名データ 434「SignA，」は、コンテンツファイル 421とコンテンツ鍵情報 424を結合した結合物をハッシュ関数に代入してダイジェストデータを生成し、サーノ ID432の示すコンテンツサーバ 700の署名鍵「Ksig— Ba」を用いて、 RSA 暗号方式に従う暗号ィ匕アルゴリズムを、生成したダイジェストデータに施して生成されたものである。

1. 3 暗号方式管理サーバ 600

暗号方式管理サーバ 600は、 DES暗号方式が解読された場合には、 DES暗号方式に代わる AES暗号方式の導入を、コンテンツ再生装置 100に指示し、解読されていない RSA暗号方式により、導入に係る情報を暗号化して送信する。また、同時に、送信した情報が、正当な暗号方式管理サーバ 600により送信されたことを示す署名データを、 RS A暗号方式を用いて生成し、送信する。

[0042] また、逆に、 RSA暗号方式が解読された場合には、暗号方式管理サーバ 600は、 RSA暗号方式に代わる楕円曲線暗号方式の導入を、コンテンツ再生装置 100に指示し、解読されていない DES暗号方式により、導入に係る情報を暗号化して送信する。また、同時に、送信した情報が、正当な暗号方式管理サーバ 600により送信されたことを示す署名データを、 DES暗号方式を用いて生成し、送信する。

[0043] 暗号方式管理サーバ 600は、図 3に示すように、送受信部 601、署名生成部 603、制御部 607、情報記憶部 610、入力部 613及び表示部 612から構成される。

暗号方式管理サーバ 600は、具体的には、マイクロプロセッサ、 RAM、 ROMを含んで構成されるコンピュータシステムであって、前記 RAM、 ROMにはコンピュータプログラムが記憶されている。マイクロプロセッサが前記コンピュータプログラムに従って動作することによって、暗号方式管理サーバ 600は、その機能の一部を達成する。

[0044] 以下に、暗号方式管理サーバ 600の各構成要素について説明する。

(1)情報記憶部 610

情報記憶部 610は、ハードディスクを含んで構成され、一例として、図 3に示すように、無効暗号方式一覧 621、送信用鍵テーブル 626、暗号回路ファイル 631、 641 ·

• ·、鍵回路ファイル 651、 661 · · '及び検証鍵ファイル 671 · · ·を記憶している。

[0045] (1 a)無効暗号方式一覧 621

無効暗号方式一覧 621は、図 4 (a)に示すように、複数の暗号方式情報 622、 623

• · ·から構成される。各暗号方式情報は、解読されている暗号方式と対応しており、方式識別子と暗号回路ファイル名と鍵回路ファイル名と検証鍵ファイル名とを含んでいる。 [0046] 方式識別子は、解読された暗号方式を示す識別子である。暗号回路ファイル名は、解読された暗号方式に代わる新たな暗号方式を導入するためのプログラムを含むファイルの名称である。鍵回路ファイル名は、解読された暗号回路に代わる新たな暗号方式に適したデバイス鍵を生成するためのプログラムを含むファイルの名称である。検証鍵ファイル名は、前記新たな暗号方式を用いて生成される署名データを検証するための検証鍵を含むファイルの名称である。暗号回路ファイル、鍵回路ファイル及び検証鍵ファイルについては、後述する。

[0047] 例えば、暗号方式情報 622は、方式識別子「IDA」、暗号回路ファイル名「C」、鍵回路ファイル名「KC」及び検証鍵ファイル名「VeriC」を含んでいる。方式識別子「ID A」は、 DES暗号方式を示している。暗号回路ファイル名「C」は、暗号回路ファイル 6 31の名称であり、鍵回路ファイル名「KC」は、鍵回路ファイル 651の名称であり、検証鍵ファイル名 rVeriCjは、検証鍵ファイル 671の名称である。

[0048] (1 b)送信用鍵テーブル 626

送信用鍵テーブル 626は、図 4 (b)に示すように、複数の送信用鍵情報 627、 628 、 629から構成され、各送信用鍵情報は、方式識別子、暗号鍵、復号鍵、復号鍵情報を含む。各送信用鍵情報は、何れかの暗号方式と対応している。

方式識別子は、対応する暗号方式を示しており、暗号鍵は、方式識別子の示す暗号方式に従う暗号ィ匕演算に適したビット長の鍵である。復号鍵は、方式識別子の示す暗号方式に従って、暗号鍵を用いて、生成された暗号文を復号するための鍵である。なお、方式識別子の示す暗号方式が、共通鍵暗号方式に属する場合、暗号鍵と復号鍵とは同一である。復号鍵情報は、メディアキーブロックを含んで構成され、正当なコンテンツ再生装置のみに、復号鍵を付与するための情報である。

[0049] (1 c)暗号回路ファイル 631

暗号回路ファイル 631、 641 · · ·は、鍵回路フアイノレ 651、 661 · · ·とそれぞれ対応している。また、検証鍵ファイル 671 · · ·と、それぞれ対応している。

図 5 (a)は、暗号回路ファイル 631の詳細を示す。他の暗号回路ファイルの構成も同様であるので、説明を省略する。

[0050] 暗号回路ファイル 631「C」は、方式識別子 632「IDC」、暗号回路プログラム 633「 EncC」及び復号回路プログラム 634を含み、鍵回路ファイル 651及び検証鍵フアイル 671と対応する。

方式識別子 632「IDC」は、 DES暗号方式及び RSA暗号方式とは異なる他の暗号方式を示す識別子であって、ここでは、 AES暗号方式を示す。暗号回路プログラム 6 33及び復号回路プログラム 634は、ハードウェア記述言語をコンパイルして生成された複数の機械語形式の命令から構成される。これらの機械語形式は、コンテンツ再生装置 100を構成する可変回路 108内の構築機構 123 (後述する）により、実行される形式である。ここで、ハードウェア記述言語には、一例として VHDL (VHSIC Har dware Description Language) 用い。

[0051] 暗号回路プログラム 633「EncC」は、コンテンツ再生装置 100の備える可変回路 1 08内に、方式識別子 632の示す AES暗号方式に従う暗号ィ匕処理を行う暗号処理回路の構成を含んでいる。

復号回路プログラム 634は、コンテンツ再生装置 100の備える可変回路 108内に、方式識別子 632の示す AES暗号方式に従う復号処理を行う復号処理回路の構成を含む。

[0052] (1 d)鍵回路ファイル 651

鍵回路ファイル 651「KC」は、図 5 (b)に示すように、方式識別子 652「IDC」及び鍵生成回路プログラム 653「KgenC」を含んで!/、る。

方式識別子 652は、鍵回路ファイル 651と対応する暗号回路ファイル 631に含まれる方式識別子 632と同一である。

[0053] 鍵生成回路プログラム 635は、ハードウェア記述言語をコンパイルして生成された複数の機械語形式の命令から構成される。これらの機械語形式は、コンテンツ再生装置の可変回路 108内の構築機構 123 (後述する）により、実行される形式である。鍵生成回路プログラム 635「KgenC」は、コンテンツ再生装置 100の備える可変回路 108内に、方式識別子 632の示す暗号方式に適した鍵長のデバイス鍵を生成する鍵生成回路の構成を含んで、る。

[0054] (1— e)検証鍵ファイル 671

検証鍵ファイル 671「VeriC」は、図 5 (c)に示すように、方式識別子 672「IDC」、検証鍵情報 673及び 674を含む。

方式識別子 672「IDC」は、暗号回路ファイル 631及び鍵回路ファイル 651に含まれる方式識別子と同様に AES暗号方式を示す。

[0055] 検証鍵情報 673は、サーノ ID「001A」と検証鍵「Kve— Ca」とを含む。サーバ ID「 001A」は、コンテンツサーバ 700を示す識別情報である。検証鍵「Kve— Ca」は、 A ES暗号方式に適した 128ビット長の鍵であって、コンテンツサーバ 700に固有の署名鍵「Ksig— Ca」と対応する。なお、 AES暗号方式は、共通鍵暗号方式であるので、署名鍵「Ksig— Ca」と検証鍵「Kve— Ca」は同一である。

[0056] 検証鍵情報 674は、サーノ ID「001B」と検証鍵「Kve— Cb」とを含む。サーバ ID「 001B」は、暗号方式管理サーバ 600を示す識別情報である。検証鍵「Kve— Cb」は、 AES暗号方式に適した 128ビット長の鍵であって、コンテンツサーバ 700に固有の署名鍵「Ksig_Cb」と対応する。

(2)送受信部 601

送受信部 601は、インターネット 20を介して接続された外部の機器と、制御部 607 との間で、各種の情報の送受信を行う。

(3)署名生成部 603

署名生成部 603は、図 6に示す署名鍵テーブル 691を記憶している。署名鍵テーブル 691は、複数の署名鍵情報 692、 693、 694· · 'から構成される。

[0057] 各署名鍵情報は、何れかの暗号方式と対応しており、方式識別子と署名鍵と検証鍵とを含む。方式識別子は、対応する暗号方式を示す。署名鍵は、方式識別子の示す暗号方式に適した鍵長の鍵である。検証鍵は、方式識別子の示す暗号方式に適した鍵長の鍵であって、署名鍵と対応する。署名鍵と検証鍵は、いずれも、暗号方式管理サーバ 600に固有の鍵データである。なお、方式識別子の示す暗号方式が、共通鍵暗号方式である場合、署名鍵と検証鍵とは同一である。

[0058] 一例として、署名鍵情報 693は、方式識別子「IDB」と署名鍵「Ksig— Bb」と検証鍵「Kve— Bb」とを含む。方式識別子「IDB」は、 RSA暗号方式を示しており、署名鍵「 Ksig— Bb」は、 128ビット長の鍵である。検証鍵「Kve— Bb」は、 128ビット長の鍵であって、署名鍵を用いて生成された暗号文を復号する鍵である。 [0059] 署名生成部 603は、制御部 607から、暗号回路ファイルと鍵回路ファイルと検証鍵ファイルと復号鍵情報と方式識別子とを受け取り、署名生成を指示される。

署名生成を指示されると、署名生成部 603は、受け取った暗号回路ファイルと鍵回路ファイルと検証鍵ファイルと復号鍵情報とを結合した結合物をハッシュ関数に代入してダイジェストデータを生成する。

[0060] 次に、署名生成部 603は、記憶している署名鍵テーブル 691内で、受け取った方式識別子を含む署名鍵情報を選択し、選択した署名鍵情報に含まれる署名鍵を読み出す。読み出した署名鍵を用いて、生成したダイジェストデータに、受け取った方式識別子の示す暗号方式による暗号ィ匕アルゴリズムを施して暗号ィ匕ダイジェストデータを生成する。生成した暗号ィ匕ダイジェストデータを署名データとして制御部 607へ出力する。

(4)制御部 607

コンテンツ再生装置 100の備える暗号方式が解読された場合、制御部 607は、入力部 613を介して、解読された暗号方式を示す方式識別子と、解読された暗号方式に代わる新たな暗号方式に関する情報の配布指示の入力を受け取る。解読された暗号方式を示す方式識別子と、新たな暗号方式に係る情報の配布指示を受けると、受け取った方式識別子を、一時的に記憶する。次に、受け取った方式識別子の示す暗号方式が解読されたこと警告する警告通知を、送受信部 601を介して、コンテンツ再生装置 100に送信する。

[0061] 次に、制御部 607は、コンテンツ再生装置 100から、暗号方式の導入の要求を示す導入要求を受信する。また、操作者による、暗号回路ファイルなどの暗号ィ匕に用いる暗号方式を示す方式識別子、署名生成に用いる暗号方式を示す方式識別子の入力を受け付ける。

暗号化用の方式識別子及び署名生成用の方式識別子の入力を受け付けると、制御部 607は、一時的に記憶した方式識別子を含む暗号方式情報を、無効暗号方式一覧 621から読み出し、読み出した暗号方式情報に含まれるファイル名と対応する、暗号回路ファイルと鍵回路ファイルと検証鍵ファイルとを読み出す。

[0062] 読み出した暗号回路ファイルと鍵回路ファイルと検証鍵ファイルと復号鍵情報と、制御部 607は、入力された署名生成用の方式識別子を署名生成部 603に出力し、署名生成を指示する。署名生成部 603から、署名データを受け取ると、受け取った署名データ、暗号方式管理サーバ 600自身を示すサーバ識別子「0001B」、入力された署名生成用の方式識別子を含む署名ファイルを生成する。

[0063] 次に、制御部 607は、入力された暗号化用の方式識別子と対応する暗号鍵と復号鍵情報とを、送信用鍵テーブル 626から読み出す。読み出した暗号鍵を用いて、入力された暗号ィ匕用の方式識別子の示す暗号方式による暗号ィ匕アルゴリズムを、読み出した暗号回路ファイルと鍵回路ファイルと検証鍵ファイルとに施して、暗号化暗号回路ファイルと暗号ィ匕鍵回路ファイルと暗号ィ匕検証鍵ファイルとを生成する。

[0064] 次に、制御部 607は、送受信部 601を介して、コンテンツ再生装置 100へ、暗号ィ匕暗号回路ファイル、暗号ィ匕鍵回路ファイル、暗号化検証鍵ファイル、復号鍵情報と署名ファイル、暗号化暗号回路ファイルなどの生成に用いた暗号方式を示す方式識別子を送信する。

図 7は、ここで制御部 607が、送信する情報群の一例を示している。これは、 DES 暗号方式が解読された場合に、送信する情報群である。暗号方式管理サーバ 600 の操作者は、この場合、まず、方式識別子「IDA」と暗号方式導入の指示を入力し、続いて、暗号化用の暗号方式を示す方式識別子「IDB」、署名生成用の暗号方式を示す方式識別子「IDB」を入力する。

[0065] 図 7に示すように、この場合、制御部 607は、暗号化暗号回路ファイル 681「EncB ( C, KencB)」、暗号化鍵回路ファイル 682「EncB (KC, KencB)」、暗号化検証鍵ファイル 683「EncB (VeriC, KencB)」、方式識別子 684「IDB」、復号鍵情報 685「 KinfBj及び署名ファイル 686を送信する。

[0066] 暗号化暗号回路ファイル 681「EncB (C, KencB)」、暗号化鍵回路ファイル 682「 EncB (KC, KencB)」、喑号化検証鍵ファィル683 ¾1^：6 (^^1：， KencB)」は、それぞれ、暗号回路ファイル 631「C」、鍵回路ファイル 651「KC」、検証鍵ファイル 6 71「VeriC」に、暗号鍵「KencB」を用いて、 RSA暗号方式に従う暗号化ァルゴリズムを施して生成されたものである。

[0067] 方式識別子 684は、操作者によって入力された暗号ィ匕用の方式識別子「IDB」であつて、暗号ィ匕暗号回路ファイル 681等の生成に用いられた RSA暗号方式を示す。復号鍵情報685「1¾1^8」は、暗号化暗号回路ファイル 681などに用いられた RSA暗号方式と対応する送信用鍵情報 626から読み出されたものである。

署名ファイル 686は、方式識別子 687「IDB」、サーノ ID688「001B」及び署名データ 689を含んでいる。方式識別子 687「IDB」は、操作者によって入力された方式識別子「IDB」であって、署名データ 689の生成に用いられた RSA暗号方式を示す

[0068] 署名データ 689は、暗号回路ファイル 631「C」、鍵回路ファイル 651「KC」、検証鍵ファイル 671「VeriC」及び復号鍵情報「KinfB」を結合した結合物をハッシュ関数に代入して生成されたダイジェストデータに、暗号方式管理サーバ 600に固有の署名鍵「Ksig— Bb」を用いて、 RS A暗号方式に従う暗号アルゴリズムを施して生成されたものである。

[0069] なお、ここでは、コンテンツ再生装置 100が 2つの暗号方式を備えており、その一方が解読された場合を前提としているので、各ファイルの暗号ィ匕にも署名生成にも同一の暗号方式を用いているが、コンテンツ再生装置 100が、多数の暗号方式を備えている場合は、暗号化と署名生成に、異なる暗号方式を用いてもよい。

(5)入力部 613及び表示部 612

入力部 613は、各種のキーを備え、操作者による各種の指示及び情報の入力を受け付け、受け付けた情報及び指示を制御部 607へ出力する。

[0070] 表示部 612は、インジケータランプ、ディスプレイを備え、制御部 607の制御に従つて、各種の画面の表示、ランプの点灯などを行う。

1. 4 コンテンツ再生装置 100

コンテンツ再生装置 100は、製造時において、 DES暗号方式と RSA暗号方式とを備えており、 DES暗号方式により暗号ィ匕されたコンテンツ及び RSA暗号方式を用いて生成された署名データを取得し、取得した署名データを検証する。検証が成功すれば、取得した暗号ィ匕コンテンツを復号して再生する。また、 DES暗号方式によって暗号ィ匕されたコンテンツを、メモリカード 500に書き込む。

[0071] DES暗号方式が解読されると、コンテンツ再生装置 100は、 DES暗号方式に代わる AES暗号方式を導入する。 AES暗号方式導入後に、 DES暗号方式によって暗号化されたコンテンツを取得した場合、暗号ィ匕コンテンツを復号して再生することはできる力メモリカード 500に出力することはできない。

逆に、 RSA暗号方式が解読されると、コンテンツ再生装置 100は、 RSA暗号方式に代わる楕円曲線暗号方式を導入する。楕円曲線暗号方式を導入した後に、 RSA 暗号方式を用いて生成された署名データと共に暗号ィ匕コンテンツを取得した場合、この暗号ィ匕コンテンツの再生をすることはできる力メモリカード 500に出力することはできない。

[0072] 図 8は、コンテンツ再生装置 100の機能的構成を示すブロック図である。図 8に示すように、コンテンツ再生装置 100は、コンテンツ取得部 101、マスタ個別鍵格納部 10 2、デバイス鍵格納部 103、入出力部 104、プログラム取得部 106、主記憶部 107、可変回路 108、再生処理部 109、正当性チェック部 112、選択部 113、選択部 114、制御部 116、暗号回路記憶部 117、組合せチェック部 118、鍵回路記憶部 119及び入力部 121から構成される。

[0073] コンテンツ再生装置 100は、具体的には、マイクロプロセッサ、 RAM、 ROMを含んで構成されるコンピュータシステムであって、前記 RAM、 ROMにはコンピュータプログラムが記憶されている。マイクロプロセッサが前記コンピュータプログラムに従って動作することによって、コンテンツ再生装置 100は、その機能の一部を達成する。以下に、各構成要素について説明する。

( 1 )マスタ個別鍵格納部 102

マスタ個別鍵格納部 102は、 ROM力も構成される。マスタ個別鍵格納部 102は、耐タンパ一性を有し、外部機器によるアクセスを受け付けな!/ヽ。

[0074] マスタ個別鍵格納部 102は、図 9 (a)に示すように、マスタ個別鍵 126及び共通秘密鍵 127を記憶している。マスタ個別鍵 126及び共通秘密鍵 127は、当該コンテンッ再生装置 100の製造時に記録されたものである。

マスタ個別鍵 126は、 1024ビット長のデータであって、コンテンツ再生装置 100に固有である。共通秘密鍵 127は、 1024ビット長のデータであって、コンテンツサーバ 700により配布されるコンテンツを再生することができる正当な再生機器に共通のデータである。

(2)デバイス鍵格納部 103

デバイス鍵格納部 103は、フラッシュメモリなどの書込及び消去可能な記録素子から構成され、一例として、図 9 (b)に示すようにデバイス鍵 128「DevA」を記憶している。

[0075] デバイス鍵 128「DevA」は、コンテンツ再生装置 100に固有の鍵データである。デバイス鍵 128「DevA」は、 DES暗号方式と対応する 56ビット長の鍵データであって、鍵生成回路プログラム 143に従って、可変回路 108内に構築された鍵生成回路によつて生成されたものである。

(3)主記憶部 107

主記憶部 107は、制御部 116、正当性チェック部 112及び可変回路 108により、ァクセスされる。

[0076] 図 10は、主記憶部 107の記憶している情報の一例を示している。図 10に示すように、主記憶部 107は、可変回路情報 161及び利用可能暗号方式表 166を記憶している。

可変回路情報 161は、可変回路 108の現在の状態を示す情報であって、動作可能方式識別子 162と動作フラグ 163と鍵識別子 164とを含んでいる。

[0077] 動作可能方式識別子 162は、現在、可変回路 108内に構築されている回路と対応する暗号方式を示す方式識別子である。動作フラグ 163は、可変回路 108内に構築されている回路が、暗号処理回路、復号処理回路及び鍵生成回路の何れであるかを示すフラグであって、「0」は、暗号処理回路、「1」は、復号処理回路、「2」は、鍵生成回路を示す。鍵識別子 164は、デバイス鍵格納部 103が現在記憶しているデバィス鍵と対応する暗号方式を示す。

[0078] 一例として、図 10では、可変回路情報 161は、動作可能方式識別子 162「IDA」、動作フラグ 163「1」及び鍵識別子 164「IDA」を含んでいる。これは、可変回路 108 上に、方式識別子「IDA」の示す DES暗号方式による暗号ィ匕処理を行う暗号処理回路が構築されていることを示しており、デバイス鍵格納部 103は、 DES暗号方式に適した 56ビット長のデバイス鍵「DevA」を格納していることを示す。以下、具体的な説明は省略する力制御部 116及び正当性チェック部 112は、選択部 113及び 114に対して、可変回路 108にプログラムの出力を指示するたびに、動作可能方式識別子 162及び動作フラグ 163が、現在の可変回路 108の状態を示すように、動作可能方式識別子 162及び動作フラグ 163を書き換える。また、制御部 116は、可変回路 10 8内に構築された鍵生成回路に、デバイス鍵の生成を指示するたびに、鍵識別子 16 4が鍵生成回路によって生成されるデバイス鍵と対応するように、鍵識別子 164を書き換える。

[0079] 利用可能暗号方式表 166は、コンテンツ再生装置 100の備える暗号方式を示す表であって、図 11 (a)にその詳細を示す。図 11 (a)に示すように、利用可能暗号方式表 166は、複数の利用可能情報 171、 172から構成される。各利用可能情報は、方式識別子と利用フラグとを含む。

方式識別子は、コンテンツ再生装置 100が備える暗号方式を示す。利用フラグは、方式識別子の示す暗号方式に従う暗号化及び復号の処理が可能力否かを示している。利用フラグ「1」は、暗号ィ匕及び復号ィ匕の処理を行うことができることを示している。利用フラグ「0」は、復号の処理を行うことはできるが暗号ィ匕の処理を行うことはできないことを示す。

[0080] 図 11 (a)は、コンテンツ再生装置 100の製造時における、利用可能暗号方式表 16 6である。

利用可能情報 171は、方式識別子「IDA」及び利用フラグ「1」を含んでおり、これは、コンテンツ再生装置 100力方式識別子「IDA」の示す DES暗号方式による暗号化処理及び復号処理を行うことができることを示している。

[0081] 利用可能情報 172は、方式識別子「IDB」、利用フラグ「1」を含んでおり、これは、コンテンッ再生装置 100が、方式識別子「IDB」の示す RS A暗号方式による暗号ィ匕処理及び復号処理を行うことができることを示してヽる。

図 11 (b)は、 DES暗号方式が解読され、 DES暗号方式に代わる AES暗号方式が導入された後の利用可能暗号方式表 166bを示す。利用可能暗号方式表 166bは、利用可能暗号方式表 166の利用可能情報 171に代えて利用可能情報 171bを含み、さらに、新たに導入された AES暗号方式と対応する利用可能情報 173を含んでいる。

[0082] 利用可能情報 171bは、方式識別子「IDA」及び利用フラグ「0」を含んでおり、これは、コンテンツ再生装置 100が、方式識別子「IDA」の示す DES暗号方式による復号処理を行うことができる力暗号ィ匕処理はできな、ことを示して、る。

利用可能情報 173は、方式識別子「IDC」及び利用フラグ「1」を含んでおり、これは、コンテンツ再生装置 100力方式識別子「IDC」の示す AES暗号方式による暗号化処理及び復号処理を行うことができることを示している。

[0083] また、主記憶部 107は、制御部 116、正当性チェック部 112及び可変回路 108による各種の処理中に、各種の情報を一時的に記憶する。

(4)暗号回路記憶部 117

暗号回路記憶部 117は、フラッシュメモリなど、書き込み及び消去可能な不揮発性メモリから構成される。図 12は、暗号回路記憶部 117の記憶している情報の一例を示している。図 12 (a)は、コンテンツ再生装置 100の製造当初の暗号回路記憶部 11 7を示しており、図 12 (b)は、 DES暗号方式が解読され、 DES暗号方式に代わる AE S暗号方式を導入した後の暗号回路記憶部 117を示して、る。図 12 (a)と (b)とで、同一の情報には同一の参照符号を付している。

[0084] 図 12 (a)に示すように、暗号回路記憶部 117は、暗号回路ファイル 131「A」及び暗号回路ファイル 136「B」を記憶している。各暗号ファイルは、それぞれ、 DES暗号方式及び RSA暗号方式と対応している。また、各暗号回路ファイルは、鍵回路記憶部 119に記憶されて、る鍵回路ファイルと対応する。

各暗号回路ファイルは、図 5を用いて説明した暗号回路ファイル 631「C」と同様に、対応する暗号方式を示す方式識別子、対応する暗号方式による暗号化の処理を行う暗号処理回路構成を示す暗号回路プログラム、及び、対応する暗号方式による復号処理を行う復号処理回路の構成を示す復号回路プログラムを含んでいる。

[0085] 具体的には、暗号回路ファイル 131「A」は、 DES暗号方式を示す方式識別子 132 「IDA」、 DES暗号方式に従う暗号処理回路の構成を示す暗号回路プログラム 133「 EncAj、 DES暗号方式に従う復号処理回路の構成を示す復号回路プログラム 134 「DecA」を含む。暗号回路ファイル 136「B」は、 RSA暗号方式を示す方式識別子 137「IDB」と RS A暗号方式に従う暗号処理回路の構成を示す暗号回路プログラム 138「EncB」、 RS A暗号方式に従う復号処理回路の構成を示す復号回路プログラム 139「DecB」を含む。

[0086] 図 12 (b)に示すように、 AES暗号方式を導入した後の暗号回路記憶部 117は、暗号回路ファイル 131b、 136、 181を記憶している。

暗号回路ファイル 131b「A」は、暗号回路ファイル 131「A」から、暗号回路プログラム 133「EncA」を削除したものである。

暗号回路ファイル 181「C」は、 AES暗号方式と対応しており、暗号方式管理サーノ 600の記憶している暗号回路ファイル 631「C」と同一である。

(5)鍵回路記憶部 119

鍵回路記憶部 119は、フラッシュメモリなど、書き込み及び消去可能な不揮発性メモリから構成される。図 13は、鍵回路記憶部 119の記憶している情報の一例を示している。図 13 (a)は、コンテンツ再生装置 100の製造当初の鍵回路記憶部 119を示しており、図 13 (b)は、 DES暗号方式が解読され、 DES暗号方式に代わる AES喑号方式を導入した後の鍵回路記憶部 119を示している。図 13 (a)と (b)とで、同一の情報には同一の参照符号を付している。

[0087] 図 13 (a)に示すように、鍵回路記憶部 119は、鍵回路ファイル 141「KA」及び鍵回路ファイル 146「KB」を記憶している。各鍵回路ファイルは、それぞれ、 DES暗号方式及び RSA暗号方式と対応している。各鍵回路ファイルは、対応する暗号方式を示す方式識別子と、対応する暗号方式に適したデバイス鍵を生成する鍵生成回路の構成を示す鍵生成回路プログラムを含む。

[0088] 具体的には、鍵回路ファイル 141「KA」は、 DES暗号方式を示す方式識別子 142 「IDA」と、 DES暗号方式に適する 56ビット長のデバイス鍵を生成する鍵生成回路の構成を示す鍵生成回路プログラム 143「KgenA」とを含む。

鍵回路ファイル 146「KB」は、 RSA暗号方式を示す方式識別子 147「IDB」と、 RS A暗号方式に適する 128ビット長のデバイス鍵を生成する鍵生成回路の構成を示す鍵生成回路プログラム 148「KgenB」とを含む。 [0089] 図 13 (b)に示すように、 AES暗号方式を導入した後、鍵回路記憶部 119は、鍵回路ファイル 141、 146及び 186を記憶している。鍵回路ファイル 186「KC」は、 AES 暗号方式と対応しており、暗号方式管理サーバ 600の記憶している鍵回路ファイル 6 51と同一である。

(6)選択部 113及び 114

選択部 113は、制御部 116又は正当性チェック部 112の指示に従って、暗号回路記憶部 117に記憶されている暗号回路ファイルから、方式識別子と暗号回路プログラム又は方式識別子と復号回路プログラムとを読み出し一時的に記憶する。

[0090] 次に、制御部 116又は正当性チェック部 112から、読み出したプログラムの出力を指示される。指示を受けると、読み出した暗号回路プログラム又は復号回路プロダラムを可変回路 108内の構築機構 123及びコンフイダ ROM124 (詳細後述）に出力する。

選択部 114は、制御部 116の指示に従って、鍵回路記憶部 119に記憶されている暗号回路ファイルから、方式識別子と鍵生成回路プログラムとを読み出し、一時的に feす。。

[0091] 次に、選択部 114は、制御部 116から、読み出したプログラムの出力を指示される。

出力を指示されると、読み出した鍵生成回路プログラムを、可変回路 108内の構築機構 123及びコンフイダ ROM124を出力する。

(7)組合せチヱック部 118

組合せチェック部 118は、制御部 116から、選択部 113の読み出した暗号回路プログラム又は復号回路プログラムと、選択部 114の読み出した鍵生成回路プログラムとが対応して!/、ることの確認を指示する対応確認指示を受ける。対応確認指示を受けると、組合せチェック部 118は、選択部 113の保持している方式識別子と、選択部 11 4の保持している方式識別子とを比較する。両者が一致する場合は、選択部 113の読み出したプログラムと選択部 114の読み出したプログラムとが対応していることを示す OK信号を、制御部 116へ出力する。

[0092] 両者が一致しない場合、選択部 113の読み出したプログラムと選択部 114の読み出したプログラムとが対応して、な、ことを示す NG信号を制御部 116へ出力する。 (8)可変回路 108

可変回路 108は、耐タンパ一性を有するハードウェアであって、外部から可変回路内 108内のデータ等を読み取ろうとすると、前記データが消失する。なお、耐タンパ一性を実現する方法は任意であって、この方法に限定されるものではな、。

[0093] 可変回路 108は、 FPGA122とコンフィグ ROM124と構築機構 123とから構成される。コンフィグ ROM124は、 EEPROMから構成されており、暗号回路記憶部 117及び鍵回路記憶部 119に記憶されているプログラムのうちの何れかひとつを記憶している。

FPGA122は、複数の CLB (Configuration Logic Block)とこれらの間を結線する結線リソース力構成される。

[0094] 構築機構 123は、コンテンツ再生装置 100に電源が ONになると、コンフイダ ROM 124に記憶されているプログラムに従って、 FPGA122をコンフィギュレーションする。また、選択部 113及び 114から出力される鍵回路生成プログラム、暗号回路プログラム及び復号回路プログラムに従って、 FPGA122上に、鍵生成回路、暗号処理回路及び復号処理回路を構築する。具体的には、 FPGA122を構成する複数の CLB (Configuration Logic Block)上に任意の論理関数回路を生成し、各 CLB間に存在する結線リソースによって、論理回路間を結線することにより、上述した鍵生成回路、暗号処理回路又は復号処理回路を構築する。

[0095] 構築された鍵生成回路、暗号処理回路又は復号処理回路は、制御部 116及び正当性チェック部 112の指示に従って、暗号化、復号、鍵生成を行う。以下に、可変回路による暗号化、復号、鍵生成について説明する。

(8— a)鍵生成

図 14は、可変回路 108内に構築された鍵生成回路 151を機能的に示している。鍵生成回路 151は、制御部 116からデバイス鍵の生成を指示される。デバイス鍵の生成を指示されると、マスタ個別鍵格納部 102からマスタ個別鍵 126と共通秘密鍵 127 とを読み出し、読み出したマスタ個別鍵 126と共通秘密鍵 127とを基にデバイス鍵 1 28を生成する。

[0096] 鍵生成回路 151が、鍵生成回路プログラム「KgenA」に従って構築された場合、鍵生成回路 151は、 DES暗号方式に適した 56ビット長のデバイス鍵「DevA」を生成する。

また、鍵生成回路 151が、鍵生成回路プログラム「KgenB」に従って構築された場合、鍵生成回路 151は、 RSA暗号方式に適した 128ビット長のデバイス鍵「DevB」を生成する。

[0097] また、鍵生成回路 151が、鍵生成回路プログラム「KgenC」に従って構築された場合、鍵生成回路 151は、 AES暗号方式に適した 128ビット長のデバイス鍵「DevC」を生成する。

図 15は、鍵生成回路プログラム「KgenA」に従って構築された鍵生成回路 151によるデバイス鍵の生成処理の一例を示すフローチャートである。以下に、鍵生成回路 151による鍵生成処理につ!、て、図 15を用いて説明する。

[0098] 制御部 116から、デバイス鍵の生成を指示されると、鍵生成回路 151は、マスタ個別鍵格納部 102から、マスタ個別鍵 126を読み出す (ステップ S101)。読み出したマスタ個別鍵の先頭から 151ビット目〜156ビット目までを抽出する（ステップ S102)。抽出したビット列を第 1抽出部分と呼ぶ。

次に、鍵生成回路 151は、マスタ個別鍵格納部 102から、共通秘密鍵 127を読み出す (ステップ S103)。共通秘密鍵 127の末尾の 56ビット（以下第 2抽出部分と呼ぶ )を抽出し (ステップ S 106)、第 2抽出部分を暗号鍵として、第 1抽出部分に DES暗号方式による暗号ィ匕アルゴリズムを施して暗号文を生成する (ステップ S107)。生成した暗号文をデバイス鍵「DevA」として、デバイス鍵格納部 103に書き込む (ステップ S108)。

[0099] 以上、説明した鍵生成方法は、一例であって、 DES暗号方式に適した 56ビット長のデバイス鍵が生成できる方法であればょ、。

また、他の鍵生成回路プログラムによって構築された鍵生成回路が、デバイス鍵を生成する方法も任意であって、対応する暗号方式に適した鍵長のデバイス鍵が生成できる方法であればよい。ただし、第三者に鍵生成により、鍵生成の手順を推測されにくい方法の方が望ましい。

[0100] (8— b)喑号ィ匕図 16は、可変回路 108上に構築される暗号処理回路 152の機能的構成を示している。暗号処理回路 152は、鍵処理部 153と暗号ィ匕部 154とを含む。

鍵処理部 153は、制御部 116からカード鍵情報を受け取る。カード鍵情報は、当該コンテンツ再生装置 100に装着されて、るメモリカード (後述する）の保持して!/、るものであって、メディアキーブロック、カード IDを含む。

[0101] 鍵処理部 153は、カード鍵情報を受け取ると、デバイス鍵格納部 103から、デバイス鍵 128を読み出し、読み出したデバイス鍵 128を基に、カード情報に含まれるメディァキーブロックからメモリカードに固有のカード固有鍵を生成する。生成したカード固有鍵を、暗号ィ匕部 154へ出力する。メモリカードが備えている暗号方式が、 DES 暗号方式などの共通鍵暗号方式であれば、ここで生成されるカード固有鍵は、メモリカード自身の記憶しているカード固有鍵と同一であるし、公開鍵暗号方式の場合は、メモリカード自身の記憶して、るカード固有鍵と対応する鍵である。

[0102] 暗号ィ匕部 154は、鍵処理部 153からカード暗号鍵を受け取る。また、制御部 116からコンテンツ鍵を受け取り、暗号化を指示される。

コンテンツ鍵の暗号ィ匕を指示されると、暗号ィ匕部 154は、受け取ったカード固有鍵を用いて、コンテンツ鍵を暗号化して暗号化コンテンツを生成し、生成した暗号化コンテンッ鍵を入出力部 104へ出力する。

[0103] 暗号ィ匕回路 152が、暗号回路プログラム「EncA」に従って構築された場合、鍵処理部 153は、 56ビット長のカード固有鍵を生成し、暗号ィ匕部 154は、 DES暗号方式に従う暗号ィ匕アルゴリズムを施して暗号ィ匕コンテンツ鍵を生成する。

暗号処理回路 152が、暗号回路プログラム「EncB」に従って構築された場合、鍵処理部 153は、 128ビット長のカード固有鍵を生成し、暗号ィ匕部 154は、 RSA暗号方式に従う暗号ィ匕アルゴリズムを施して暗号ィ匕コンテンツ鍵を生成する。

[0104] 暗号処理回路 152が、暗号回路プログラム「EncC」に従って構築された場合、鍵処理部 153は、 128ビット長のカード固有鍵を生成し、暗号ィ匕部 154は、 AES暗号方式による暗号ィ匕アルゴリズムを施して、暗号ィ匕コンテンツ鍵を生成する。

(8— c)復号

図 17は、可変回路 108内に構築された復号処理回路 156を機能的に示している。復号処理回路 156は、鍵処理部 157と復号部 158とを含む。

[0105] 鍵処理部 157は、制御部 116からコンテンツ鍵情報とコンテンツ鍵の抽出の指示を受け取る。また、復号鍵情報と復号鍵の抽出の指示とを受け取る。

コンテンツ鍵若しくは復号鍵の抽出の指示を受けると、鍵処理部 157は、デバイス鍵格納部 103からデバイス鍵を読み出し、読み出したデバイス鍵を基に、コンテンツ鍵情報又は復号鍵情報から、コンテンツ鍵又は復号鍵を抽出する。抽出したコンテンッ鍵又は復号鍵を復号部 158及び主記憶部 107へ出力する。

[0106] 復号部 158は、制御部 116又は正当性チェック部から暗号文と暗号文の復号指示とを受け取り、受け取った暗号文に復号アルゴリズムを施して復号文を生成し、生成した復号文を出力する。

具体的に復号部 158が制御部 116から受け取る暗号文は、暗号化コンテンツ、暗号化暗号回路ファイル、暗号ィ匕鍵回路ファイル及び暗号ィ匕検証鍵ファイルである。

[0107] 暗号ィ匕コンテンツを受け取った場合、復号部 158は、鍵処理部 157からコンテンツ鍵を取得し、取得したコンテンツ鍵を用いて、 B音号ィ匕コンテンツを復号し、コンテンツを生成する。制御部 116の指示により、生成したコンテンツを再生処理部 109へ出力する。

暗号ィ匕暗号回路ファイル、暗号ィ匕鍵回路ファイル及び暗号ィ匕検証鍵ファイルを受け取った場合（図 17中では、これら 3つのファイルを総称して暗号ィ匕ファイルと記載している）、復号部 158は、鍵処理部 157から復号鍵を取得し、取得した復号鍵を用いて、暗号ィ匕暗号回路ファイル、暗号ィ匕鍵回路ファイル及び暗号ィ匕検証鍵ファイルを復号して暗号回路ファイル、鍵回路ファイル及び検証鍵ファイルを生成し、生成した暗号回路ファイル、鍵回路ファイル及び検証鍵ファイル（図 17中では、これら 3つを総称してファイルと記載している）を主記憶部 107に書き込む。

[0108] また、具体的に、復号部 158が正当性チェック部 112から受け取る暗号文は、 DV D400a又は 400bから読み出された署名データ、若しくは、暗号ィ匕プログラムと共に暗号方式管理サーバ 600から受信した署名データである。この場合、復号部 158は、正当性チェック部 112から、署名データと共に検証鍵を取得する。署名データと検証鍵とを受け取ると、取得した検証鍵を用いて、署名データに復号アルゴリズムを施して、復号ダイジェストデータを生成する。生成した復号ダイジェストデータを主記憶部 107へ出力する。

[0109] 復号部 158が復号回路プログラム「DecA」に従って構築された場合、復号部 158 は、署名データに、 DES暗号方式による復号アルゴリズムを施して復号ダイジェストデータを生成する。

また、復号部 158が復号回路プログラム「DecB」に従って構築された場合、復号部 158は、署名データに、 RSA暗号方式による復号アルゴリズムを施して復号ダイジェストデータを生成する。

[0110] また、復号部 158が復号回路プログラム「DecC」に従って構築された場合、復号部 158は、署名データに、 AES暗号方式による復号アルゴリズムを施して復号ダイジェストデータを生成する。

(8)コンテンツ取得部 101

コンテンツ取得部 101は、 DVDを装着可能であって、制御部 116の制御に従って、 DVDに記憶されている情報を読み出し、読み出した情報を可変回路 108又は主記憶部 107に出力する。

[0111] また、コンテンツ取得部 101は、 DVDに記録されている情報と同様の情報を、インターネット 20に接続されたコンテンツサーバ 700から、受信することもできる。

(9)プログラム取得部 106

プログラム取得部 106は、制御部 116の制御に従って、インターネット 20を介して接続された暗号方式管理サーバ 600との間で、情報及び指示の送受信を行う。

(10)正当性チェック部 112

正当性チェック部 112は、図 18に示すチェック情報表 201を保持している。チェック情報表 201は、複数のチェック情報カゝら構成され、各チェック情報は、コンテンツ再生装置 100の備える暗号方式と対応しており、方式識別子、サーバ、検証鍵を含む

[0112] 検証鍵は、方式識別子の示す暗号方式に適したビット長の鍵であって、サーバ ID の示す機器に固有の署名鍵と対応している。例えば、チェック情報 203は、方式識別子「IDB」、サーノ ID「001B」及び検証鍵「Kve Bb」を含んでいる。検証鍵「Kve BbJは、方式識別子「IDB」の示す RSA暗号方式に対応する 128ビット長の鍵であつて、サーノ ID「001B」の示す暗号方式管理サーノ 600に固有の署名鍵「Ksig— Bb 」と対応している。

[0113] 正当性チェック部 112は、制御部 116から、 DVD400a又は 400b力も読み出されたコンテンツファイルとコンテンツ鍵情報と署名ファイルとを受け取り署名検証を指示される。

また、正当性チェック部 112は、暗号方式の導入 (詳細は後述する）の途中において、制御部 116から暗号回路ファイル「C」、鍵回路ファイル「KC」、検証鍵ファイル「 VeriC」、復号鍵情報「KinfB」及び一例として図 7に示す構成の署名ファイルを受け取り、署名検証を指示される。

[0114] (10— a)コンテンツファイルの正当性チェック

コンテンツファイルとコンテンツ鍵情報と署名ファイルとを受け取り署名検証を指示されると、正当性チェック部 112は、受け取った署名ファイルに含まれる方式識別子を抽出する。

次に、正当性チェック部 112は、チェック情報表 201において、抽出した方式識別子と同一の方式識別子を含むチェック情報を検索する。該当するチェック情報が検出できなかった場合、署名検証失敗を示す検証失敗通知を制御部 116へ出力する

[0115] 該当するチェック情報を検出すると、正当性チェック部 112は、次に、選択部 113に抽出した方式識別子を出力して復号回路プログラムの読み出し及び出力を指示する復号処理回路 156が構築されると、正当性チェック部 112は、検出したチェック情報に含まれる検証鍵を読み出し、署名ファイルに含まれる署名データと読み出した検証鍵を可変回路 108に構築された復号処理回路 156内の復号部 158へ出力し、復号を指示する。

[0116] 続いて、復号部 158により復号ダイジェストデータが生成されると、正当性チェック部 112は、制御部 116から受け取ったコンテンツファイルとコンテンツ鍵情報を結合した結合物を、ノ、ッシュ関数に代入してダイジェストデータを生成する。生成したダイジェストデータと、復号ダイジェストデータとを比較し、両者が一致すれば、署名検証が成功であることを示す検証成功通知を制御部 116へ出力する。

[0117] 両者が一致しない場合、正当性チェック部 112は、署名検証が失敗であることを示す検証失敗通知を、制御部 116へ出力する。

(10— b)暗号方式導入用のファイルの正当性チェック

暗号回路ファイル、鍵回路ファイル、検証鍵ファイル、復号鍵情報及び署名フアイルを受け取った場合も、正当性チェック部 112は、（10— a)の場合と同様の手順で、受け取った書名ファイルに含まれる署名データの検証を行う。この場合は、暗号回路ファイル、鍵回路ファイル、検証鍵ファイル、復号鍵情報を結合した結合物をハッシュ関数に代入して、ダイジェストデータを生成する。

[0118] 署名検証が成功であった場合、正当性チェック部 112は、さらに、制御部 116から暗号回路ファイル、鍵回路ファイルの書き込みを指示される。書き込みの指示を受けると、正当性チェック部 112は、暗号回路ファイル、鍵回路ファイルをそれぞれ、暗号回路記憶部 117及び鍵回路記憶部 119へ書き込む。

続いて、正当性チェック部 112は、制御部 116からチェック情報表 201の更新を指示される。チェック情報表 201の更新を指示されると、正当性チェック部 112は、検証鍵ファイルを基に、新たなチェック情報を生成し、生成したチェック情報を、チェック情報表 201に追加する。

(11)制御部 116

図 8において、具体的な配線は、省略している力制御部 116は、コンテンツ再生装置 100を構成する各構成要素と接続されており、それぞれの動作を制御する。

[0119] 制御部 116は、プログラム取得部 106を介して、暗号方式管理サーバ 600から、暗号方式が解読されたことを通知する警告通知を受信すると、解読された暗号方式に代わる新たな暗号方式の導入を行う。

また、制御部 116は、コンテンツ取得部 101を介して、 DVD400a又は 400bの装着を検出する。 DVD400a又は 400bの装着を検出すると、装着された DVDに記録されている暗号ィ匕コンテンツを再生可能力否かの検証を行う。

[0120] また、制御部 116は、入力部 121から、利用者による各種の操作を示す操作指示情報を受け取り、受け取った操作指示情報に応じて、コンテンツの再生、コンテンツのメモリカードへのコピーを行う。

以下に、上記の暗号方式の導入、再生可能か否かの検証、コンテンツの再生及びコンテンツのメモリカードへのコピーについて説明する。

[0121] 以下の説明では、 DVD400aが装着された場合について記載する力 DVD400b が装着された場合も同様の処理を行う。

(暗号方式の導入）

暗号方式管理サーバ 600から受信する警告通知には、解読された暗号方式を示す方式識別子が含まれている。ここで、 DES暗号方式を示す方式識別子「IDA」が含まれている場合を例に説明するが、他の方式識別子が含まれている場合も、同様の処理を行う。

[0122] 制御部 116は、利用可能暗号方式表 166において、方式識別子「IDA」を含む利用可能情報 171を検出する。利用可能情報に含まれる利用フラグを読み出し、読み出した利用フラグが「0」であれば、既に、 DES暗号方式に代替する暗号方式の導入が終了しているので、以降の処理を中止する。

読み出した利用フラグが「1」の場合、制御部 116は、プログラム取得部 106を介して、暗号方式の導入を要求する導入要求を、暗号方式管理サーバ 600へ送信する。

[0123] 次に、制御部 116は、プログラム取得部 106を介して、図 7に示す暗号ィ匕暗号回路ファイル 681、暗号ィ匕鍵回路ファイル 682暗号ィ匕検証鍵ファイル 683、方式識別子 6 84、復号鍵情報 685及び署名ファイル 686を受信する。これらを受信すると、選択部 113に方式識別子 684の示す RSA暗号方式に対応する復号回路プログラムの読み出しを指示し、方式識別子 684の示す RSA暗号方式に対応する鍵生成回路プログラムの読み出しを指示し、組合せチェック部 118に双方の読み出したプログラムの対応確認指示を出力する。

[0124] 組合せチェック部 118から OK信号を受け取ると、制御部 116は、選択部 114に読み出した鍵生成回路プログラムの出力を指示する。次に、可変回路 108内に構築された鍵生成回路 151にデバイス鍵の生成を指示する。

鍵生成回路 151によりデバイス鍵「DevB」が生成されると、制御部 116は、次に、選択部 113に読み出した復号回路プログラムの出力を指示する。

[0125] なお、主記憶部 107に記憶されている可変回路情報 161が、現在、デバイス鍵格納部 103に記憶されているデバイス鍵力 SA暗号方式と対応しており、現在、可変回路 108内に、 RSA暗号方式に従う復号処理回路が構築されていることを示していれば、上記のプログラムの読み出しの指示、デバイス鍵の生成及び、復号処理回路の構築は省略する。

[0126] 次に、制御部 116は、復号処理回路 156内の鍵処理部 157へ、復号鍵情報 685を出力する。また、復号部 158へ暗号化暗号回路ファイル 681「EncB (C, KencB)」、暗号化鍵回路ファイル 682「EncB (KC, KencB)」、暗号化検証鍵ファイル 683「En cB (VeriC, KencB)」を出力し復号を指示する。

復号が終了し、主記憶部 107へ、暗号回路ファイル「C」、鍵回路ファイル「KC」、検証鍵ファイル「VeriC」が書き込まれると、制御部 116は、暗号回路ファイル「C」、鍵回路ファイル「KC」、検証鍵ファイル rVeriCj受信した復号鍵情報 685及び署名ファィルを正当性チェック部 112へ出力し署名検証を指示する。

[0127] 署名検証が成功であれば、制御部 116は、正当性チェック部 112へ、暗号回路ファィル「C」、鍵回路ファイル「KC」の書き込みを指示する。署名検証が失敗であれば、プログラム取得部 106を介して、再度、導入要求を暗号方式管理サーバ 600へ送信する。

次に、制御部 116は、正当性チェック部 112へ、チェック情報表の 201の更新を指示する。次に、暗号回路ファイル「C」に含まれる方式識別子「IDC」と利用フラグ「1」とを含む利用可能情報を生成し、生成した利用可能情報を利用可能暗号方式表 16 6に追カ卩する。

[0128] 次に、制御部 116は、暗号回路記憶部 117において、方式識別子「IDA」を含む暗号回路ファイル 131を検出し、検出した暗号回路ファイル 131から暗号回路プロダラム 133を削除する。続いて、制御部 116は、主記憶部 107の記憶している利用可能暗号方式表 166において、方式識別子「IDA」を含む利用可能情報 171を選択し、選択した利用可能情報 171に含まれる利用フラグを「0」に書き換える。

[0129] (再生可能か否かの検証）コンテンツ取得部 101を介して、 DVD400aの装着を検出すると、制御部 116は、コンテンツ取得部 101を介して、装着されている DVD400aから、コンテンツファイル 401、コンテンツ鍵情報 404、署名ファイル 411とを読み出す。次に、コンテンツファィル 401に含まれる方式識別子 402「IDA」を抽出し、主記憶部 107の記憶してヽる利用可能暗号方式表 166内で、抽出した方式識別子と一致する方式識別子を含む利用可能情報検索する。このとき、該当する利用可能情報が検出できなければ、再生できないと判断する。

[0130] 該当する利用可能情報 171を検出すると、制御部 116は、次に、正当性チェック部 112に、読み出したコンテンツファイル 401、コンテンツ鍵情報 404及び署名ファイル 411を出力し、署名ファイル 411に含まれる署名データ 414の検証を指示する。正当性チェック部 112による署名データ 414の検証が成功であれば、制御部 116 は、コンテンツを再生可能であると判断する。署名データの検証が失敗であれば、制御部 116は、コンテンツの再生ができないと判断する。

[0131] ここでは、 DVD400aが装着された場合について、説明したが、 DVD400b力装着された場合も同様の手順で検証を行う。従って、解読された DES暗号方式に代わる AES暗号方式を導入するまでは、当該コンテンツ再生装置 100は、 DVD400bに記録されているコンテンツを再生できない。また、 AES暗号方式を導入した後でも、 DV D400aのコンテンツを再生することができる。

(コンテンツの再生）

上記の検証により、再生可能であると判断した後、再生を示す操作指示情報を入力部 121から受け取ると、制御部 116は、コンテンツファイル 401に含まれる方式識別子 402「IDA」を抽出する。次に、制御部 116は、選択部 113及び 114、組合せチエック部 118及び可変回路 108を制御して、方式識別子 402「IDA」と対応するデバイス鍵「DevA」を生成させ、復号処理回路 156を構築させる。デバイス鍵の生成、及び、復号処理回路 156の構築の制御については、上記の（暗号方式の導入）において、説明した手順と同一であるので、ここでは、説明を省略する。

[0132] 次に、制御部 116は、構築された復号処理回路 156内の鍵処理部 157に、読み出したコンテンツ鍵情報 404を出力し、復号部 158に暗号ィ匕コンテンツ 403を出力して、暗号ィ匕コンテンツ 403の復号を指示する。

復号部 158により、コンテンツが生成されると、制御部 116は、再生処理部 109へコンテンッの再生を指示する。

(メモリカードへのコンテンツの出力）

上記の検証により、再生可能であると判断した後、コンテンツのコピーを示す操作指示情報を入力部 121から受け取ると、制御部 116は、コンテンツファイル 401に含まれる方式識別子 402 riDAj及び署名ファイル 411に含まれる方式識別子 413「ID B」を抽出する。次に、主記憶部 107から利用可能暗号方式表 166を読み出し、読み出した利用可能暗号方式表 166内で、方式識別子「IDA」、方式識別子「IDB」を含む利用可能情報を、それぞれ検索する。

[0133] 何れか一方でも検出できなければ、制御部 116は、コピーできない旨を示すエラー画面を生成し、再生処理部 109を介して、モニタ 15にエラー画面を表示する。

該当する利用可能情報 171、 172が検出された場合、制御部 116は、検出した利用可能情報 171及び 172それぞれに含まれる利用フラグを読み出す。読み出した利用フラグのうち、何れか一方でも「0」であれば、装着されている DVDに記録されているコンテンツをコピーすることができなヽ旨を通知するエラー画面を生成して、モニタ 15に表示する。

[0134] 読み出した利用フラグのうち、両方ともが「1」であれば、制御部 116は、コンテンツファイル 401から方式識別子 402「IDA」を抽出し、抽出した方式識別子「IDA」を、入出力部 104を介して、メモリカード 500へ出力し、出力した方式識別子「IDA」の示す暗号方式を備えてヽるか否かを問ヽ合わせる。

次に、制御部 116は、入出力部 104を介してメモリカード 500から、応答信号を受け取る。受け取った応答信号が方式識別子「IDA」の示す暗号方式を備えて!/ヽな!、ことを示す「0」であれば、要求されたコピーはできなヽ旨を通知するエラー画面を生成して、モニタ 15に表示する。

[0135] 受け取った応答信号が、方式識別子「IDA」の示す暗号方式を備えて!/ヽることを示す「1」であれば、次に、制御部 116は、選択部 113及び 114、組合せチェック部 118 、可変回路 108を制御して、コンテンツファイル 401から読み出した方式識別子「ID A」と対応するデバイス鍵 ¾^八」を生成させ、可変回路 108上に、方式識別子「ID Ajに従った復号処理を行う復号処理回路を構築させる。デバイス鍵の生成、及び、復号処理回路 156の構築の制御については、上記の（暗号方式の導入）において、説明した手順と同一であるので、ここでは、説明を省略する。

[0136] 次に、制御部 116は、構築された復号処理回路 156内の鍵処理部 157に、読み出したコンテンツ鍵情報 404を出力し、コンテンツ鍵の生成を指示する。

鍵処理部 157によりコンテンツ鍵「KconA」が生成されると、次に、制御部 116は、選択部 113に、方式識別子 402「IDA」と対応する暗号回路プログラムの読み出しと出力を指示する。

[0137] 可変回路 108内に暗号処理回路 152が構築されると、制御部 116は、入出力部 10 4を介して、メモリカード 500にカード鍵情報の出力を指示し、メモリカード 500から力ード鍵情報を取得する。

次に、制御部 116は、取得したカード鍵情報を、暗号処理回路 152内の鍵処理部 153へ出力し、コンテンッ鍵「KconA」を暗号化部 154へ出力してコンテンッ鍵「Kc onA」の暗号ィ匕を指示する。

[0138] 暗号化部 154により暗号化コンテンツ鍵「EncA(KconA, MkeyA)」が生成されると、制御部 116は、コンテンツファイル 401から暗号化コンテンツ 403「EncA(ConA , KconA)」を抽出し、抽出した暗号化コンテンツ 403「EncA(ConA, KconA)」と暗号化コンテンツ鍵「EncA(KconA, MkeyA)」とを、入出力部 104を介して、メモリカード 500に出力する。

(12)入出力部 104

入出力部 104は、メモリカード 500を装着可能であって、制御部 116の制御の下で、各種の情報の入出力を行う。

(13)入力部 121及び再生処理部 109

入力部 121は、再生ボタン、選択ボタン、決定ボタンなど各種のボタンを備え、利用者による上記ボタンの操作を受け付け、受け付けた操作を示す操作指示情報を、制御部 116へ出力する。

[0139] 再生処理部 109は、モニタ 15と接続されており、制御部 116の指示に従って、可変回路 109から受け取ったコンテンツから、画面及び音声を生成して、モニタ 15に出力する。

また、制御部 116の指示により、エラー画面を初めとして各種の画面をモニタ 15に表示させる。

1. 5 メモリカード 500

メモリカード 500は、図 19に示すように、入出力部 502、制御部 507、暗号部 508、復号部 509及び情報記憶部 510から構成される。

[0140] 以下に、各構成要素について説明する

(1)情報記憶部 510

情報記憶部 510は、フラッシュメモリを含んで構成され、その内部は、セキュア領域 520と一般領域 512とに分かれてヽる。

セキュア領域 520は、正当な機器以外の機器がアクセスすることができない領域であって、一例として、方式識別子 521「IDA」、カード鍵情報 522及びカード固有鍵 5 23「MkeyA」を記憶して!/、る。

[0141] 方式識別子 521「IDA」は、当該メモリカード 500の備える暗号方式を示しており、ここでは、 DES暗号方式を示す。

カード鍵情報 522は、既に述べたとおり、メディアキーブロック、メディア IDを含む。メディア IDは、メモリカード 500に固有の識別子である。メディアキーブロックは、メモリカード 500にアクセスを許可される正当な機器にのみ、カード固有鍵「MkeyA」を付与するデータである。なお、メモリカードが公開鍵暗号方式に対応している場合、正当な機器がカード鍵情報から生成するカード固有鍵と、メモリカード自身が記憶して、るカード固有鍵とは同一ではな!/、。

[0142] カード固有鍵 523「MkeyA」は、メモリカード 500に固有の鍵であって、ここでは、方式識別子 521の示す暗号方式と対応する 56ビット長の鍵である。

一般領域 512は、外部機器が自由にアクセスできる領域であって、一例として、コンテンッファイル 513を記憶している。コンテンツファイル 513は、暗号化コンテンツ 51 4「EncA(ConA, KconA)」と、暗号化コンテンツ鍵 515「EncA (KconA, MkeyA )」とを含む。 [0143] 暗号化コンテンツ 514は、 DVD400aに記録されている暗号化コンテンツ 403と同一である。暗号化コンテンツ鍵 515は、カード固有鍵「MkeyA」を用いて、コンテンツ鍵「KconA」に、 DES暗号方式に従う暗号化アルゴリズムを施して、生成されたものである。

(2)入出力部 502

入出力部 502は、外部機器と接続可能なインタフェースを備え、外部機器と制御部 507との間で各種の情報の授受を行う。

[0144] 外部機器とは、コンテンツ再生装置 100及びポータブルプレーヤー 800である。

(3)暗号部 508及び復号部 509

暗号部 508は、制御部 507から暗号鍵と平文とを受け取り暗号ィ匕を指示される。暗号化を指示されると、暗号鍵を用いて、平文に DES暗号方式に基づく暗号ィ匕ァルゴリズムを施して、暗号文を生成し、生成した暗号文を制御部 507へ出力する。

[0145] 復号部 509は、制御部 507から復号鍵と暗号文とを受け取り復号を指示される。復号を指示されると、復号鍵を用いて、暗号文に DES暗号方式に基づく復号アルゴリズムを施して、復号文を生成し、生成した復号文を制御部 507へ出力する。

(4)制御部 507

制御部 507は、メモリカード 500を構成する各構成要素を制御する。

(コンテンツファイルの書き込み）

メモリカード 500がコンテンツ再生装置 100に装着されている状態で、制御部 507 は、入出力部 502を介して、コンテンツ再生装置 100から、方式識別子を受け取り、受け取った方式識別子の示す暗号方式を備えている力否かの問い合わせを受ける。問合せを受けると、受信した方式識別子と、セキュア領域 520に記憶されている方式識別子 521とを比較し、一致すれば、受け取った方式識別子の示す暗号方式により暗号化された暗号文を復号可能であることを示す応答信号「1」を生成する。

[0146] 両者が一致しなければ、制御部 507は、受け取った方式識別子の示す暗号方式により暗号化された暗号文を復号できな!ヽこと示す応答信号「0」を生成する。

次に、制御部 507は、生成した応答信号を、入出力部 502を介して、コンテンツ再生装置 100へ出力する。次に、制御部 507は、コンテンツ再生装置 100からの要求に従って、カード鍵情報 522を、コンテンツ再生装置 100へ出力する。続いて、コンテンツ再生装置 100から、暗号化コンテンツと暗号化コンテンツ鍵とを受け取り、受け取った暗号化コンテンツと B音号ィ匕コンテンツ鍵とを含むコンテンツフアイノレを生成し、生成したコンテンツフアイルを一般領域に書き込む。

(コンテンツの再生）

メモリカード 500力ポータブルプレーヤー 800に装着されている状態で、ポータブルプレーヤー 800力ら、コンテンツの再生を要求されると、制御部 507は、カード固有鍵 523と暗号化コンテンツ鍵 515を復号部 509へ出力し、暗号化コンテンツ鍵 51 5の復号を指示する。

[0147] 復号部 509からコンテンツ鍵を受け取ると、制御部 507は、受け取ったコンテンツ鍵と暗号ィ匕コンテンツ 514とを復号部 509に出力し、復号を指示する。続いて、復号部 509により生成されたコンテンツをポータブルプレーヤーに出力する。

1. 6 ポータブノレプレーヤー

ポータブルプレーヤ一は、映像および音声からなるコンテンツの再生専用機器であつて、メモリカード 500に記録されているコンテンツを読み出し、再生する機器である

1. 7 情報セキュリティシステム 1の動作

以下に、情報セキュリティシステム 1を構成する各機器の動作について説明する。 (1)コンテンツ再生装置 100の動作

図 20は、コンテンツ再生装置 100の電源投入後の動作の一部を示すフローチヤ一トである。以下に、図 20を用いて、コンテンツ再生装置 100の動作について説明する

[0148] 電源が ONになった後、プログラム取得部 106を介して、暗号方式管理サーバ 600 から、コンテンツ再生装置 100の備える暗号方式のうちの!/、ずれかの暗号方式が解読されたことを示す警告通知を受信すると (ステップ S 121の YES)、コンテンツ再生装置 100は、解読された暗号方式に代替する暗号方式の導入を行う（ステップ S122

) o [0149] また、コンテンツ取得部 101を介して、新たに DVDが装着されたことを検出すると（ステップ S123の YES)、コンテンツ再生装置 100は、装着された DVDに記録されているコンテンツを、当該コンテンツ再生装置 100が再生可能である力否かを検証する (ステップ S 124)。

警告通知の受信も、 DVDの装着も検出されない場合 (ステップ S121の NO、ステツプ S 123の NO)、そのまま待機する。

[0150] ステップ S124における検証の結果、再生可能であると判断された場合 (ステップ S

126の YES)、利用者の操作に従って (ステップ S 128)、コンテンツの再生 (ステップ

S131)、メモリカード 500へのコンテンツの出力を行う（ステップ S132)。

検証の結果、再生可能でないと判断される場合 (ステップ S126の NO)、モニタ 15 に、装着されて、る DVDに記録されて!、るコンテンツの再生ができな!/、ことを通知するエラー画面を表示する (ステップ S 127)。

[0151] ステップ S122、 127、 131及び 132の処理力 S終了すると、ステップ S121へ戻る。

(2)暗号方式の導入

以下に、図 21〜図 24は、解読された暗号方式に代替する暗号方式の導入に関する、コンテンツ再生装置 100及び暗号方式管理サーバ 600の動作を示すフローチヤートである。これは、図 20ステップ S122の詳細である。

[0152] ここでは、一例として、コンテンツ再生装置 100の備える暗号方式のうち、 DES暗号方式が解読され、 AES暗号方式を導入する場合について説明する。

暗号方式管理サーバ 600の制御部 607は、入力部 613を介して、操作者による方式識別子「IDA」及び新たな暗号方式の配布指示の入力を受け付ける (ステップ S1 41)。配布指示の入力を受け付けると、制御部 607は、入力された方式識別子「IDA 」を含む警告通知を生成し、送受信部 601を介して、生成した警告通知を、コンテンッ再生装置 100へ送信する (ステップ S142)。また、入力部 613を介して、暗号方式の導入に関する各種のファイルの暗号ィ匕用の暗号方式を示す方式識別子「IDB」と、署名データの生成用の暗号方式を示す方式識別子「IDB」の入力を受け付ける (ステツプ S 143)。

[0153] コンテンツ再生装置 100の制御部 116は、プログラム取得部 106を介して、暗号方式管理サーバ 600から、警告通知を受信する。警告通知を受信すると、受信した警告通知に含まれる方式識別子「IDA」を基に、主記憶部 107に記憶されている利用可能暗号方式表 166から利用可能情報 171を検出し、検出した利用可能情報 171 に含まれる利用フラグを読み出す (ステップ S 146)。読み出した利用フラグが「0」であれば (ステップ S147の NO)、 DES暗号方式に代替する暗号方式の導入は、既に終了しているので、暗号方式の導入処理を終了し、図 20に戻る。

[0154] 読み出した利用フラグが「1」であれば (ステップ S147の YES)、制御部 116は、 D ES暗号方式に代わる暗号方式の導入を要求する導入要求を、プログラム取得部 10 6を介して、暗号方式管理サーバ 600に送信する (ステップ S 148)。

暗号方式管理サーバ 600の制御部 607は、送受信部 601を介して、コンテンツ再生装置 100から、導入要求を受信する。導入要求を受信すると、無効暗号方式一覧 621から、方式識別子「IDA」を含む暗号方式情報 622を読み出す (ステップ S 151) 。読み出した暗号方式情報 622に含まれる暗号回路ファイル名「C」と鍵回路ファイル名「KC」と検証鍵ファイル名「VeriC」とを基に、情報記憶部 610から、暗号回路ファィル 631「C」と鍵回路ファイル 651「KC」と検証鍵ファイル 671「VeriC」とを読み出す (ステップ S 152)。

[0155] 続いて、制御部 607は、暗号ィ匕用の暗号方式を示す方式識別子「IDB」を基に、送信用鍵テーブル 626から、方式識別子「IDB」を含む送信用鍵情報 628を選択し、選択した送信用鍵情報 628に含まれる暗号鍵「KencB」及び復号鍵情報「Kinf B」を読み出す (ステップ S 153)。

制御部 607は、署名生成用の暗号方式を示す方式識別子「IDB」と、読み出した暗号回路ファイル 631「C」と鍵回路ファイル 651「KC」と検証鍵ファイル 671「VeriC」と復号鍵情報「KinfB」とを署名生成部 603へ出力し、署名データの生成を指示する。

[0156] 署名生成部 603は、受け取った暗号回路ファイル 631「C」と鍵回路ファイル 651「 KCJと検証鍵ファイル 671「VeriC」と復号鍵情報「KinfB」とを結合してハッシュ関数に代入し、ダイジェストデータを生成する（ステップ S 156)。

署名鍵テーブル 691から、受け取った方式識別子「IDB」を含む署名鍵情報 693を選択し、選択した署名鍵情報 693に含まれる署名鍵「Ksig— Bb」を読み出す (ステツプ S157)。読み出した署名鍵「Ksig_Bb」を用いて、生成したダイジェストデータに方式識別 riDBjの示す RSA暗号方式による暗号ィ匕アルゴリズムを施して、署名データを生成する (ステップ S158)。生成した署名データを制御部 607へ出力する。

[0157] 制御部 607は、当該暗号方式管理サーバ 600を示すサーバ ID「001B」と署名生成用の暗号方式を示す方式識別子「IDB」と署名データとを含む署名ファイルを生成する（ステップ S 161)。

次に、制御部 607は、読み出した暗号鍵「KencB」を用いて、読み出した暗号回路ファイル 631「C」と鍵回路ファイル 651「KC」と検証鍵ファイル 671「VeriC」とに、喑号化方式識別子「IDB」の示す RSA暗号方式に従う暗号ィ匕アルゴリズムを施して暗号ィ匕し、暗号化暗号回路ファイル「EncB (C, KencB)」、暗号化鍵回路ファイル「En cB (KC, KencB)」及び暗号化検証鍵ファイル「EncB (VeriC, KencB)」を生成する（ステップ SI 62)。

[0158] 次に、生成した暗号ィ匕暗号回路ファイル「EncB (C, KencB)」、暗号ィ匕鍵回路ファィル「EncB (KC, KencB)」及び暗号化検証鍵ファイル「EncB (VeriC, KencB)」、これらのファイルの暗号ィ匕に用いた暗号方式を示す方式識別子「IDB」、復号鍵情報「KinfB」及び署名ファイルを、送受信部 601を介して、コンテンツ再生装置 100へ送信する (ステップ S 163)。

[0159] コンテンツ再生装置 100の制御部 116は、プログラム取得部 106を介して、暗号ィ匕暗号回路ファイル 681「EncB (C, KencB)」、暗号化鍵回路ファイル 682「EncB (K C, KencB)」及び暗号化検証鍵ファイル 683「EncB (VeriC, KencB)」、方式識別子 684 riDBj、復号鍵情報 685「KinfB」及び署名ファイル 686を受信する（ステップ S163)。

[0160] これらを受信すると、制御部 116は、選択部 114に、受信した方式識別子 684「ID B」を出力し、鍵生成回路プログラムの読み出しを指示する。選択部 114は、受け取つた方式識別子「IDB」を含む鍵回路ファイル 146「KB」を選択し、選択した鍵回路ファイル 146「KB」力方式識別子 147 riDBjと鍵生成回路プログラム 148「KgenB 」を読み出す (ステップ S 166)。

[0161] また、制御部 116は、受信した方式識別子 684「IDB」を、選択部 113に出力し、復号回路プログラムの読み出しを指示する。選択部 113は、受け取った方式識別子「I DBJを含む暗号回路ファイル 136「B」を選択し、選択した暗号回路ファイル 136「B」から、方式識別子 137「IDB」及び復号回路ファイル 139「DecB」を読み出す (ステツプ S167)。

[0162] 組合せチェック部 118は、選択部 113及び 114の読み出した方式識別子を比較し、両者が一致しない場合 (ステップ S169の NO)、制御部 116へ NG信号を制御部 1 16へ出力し、ステップ S166に戻る。両者が一致する場合 (ステップ S169の YES)、制御部 116へ OK信号を出力する。

OK信号を受け取ると制御部 116は、選択部 114へ、読み出したプログラムの出力を指示する。出力の指示を受けると、選択部 114は、読み出した鍵生成回路プロダラム 148「KgenB」を、可変回路 108に出力し、可変回路 108内の構築機構 123は、鍵生成回路プログラム 148「KgenB」に従って、 FPGA122上に、鍵生成回路 151を構築する (ステップ S171)。

[0163] 鍵生成回路 151が構築されると、制御部 116は、鍵生成回路 151へ、デバイス鍵の生成を指示する。

鍵生成回路 151は、制御部 116の指示により、 RSA暗号方式に対応する 128ビット長のデバイス鍵「DevB」を生成し、生成したデバイス鍵「DevB」をデバイス鍵格納部 103に書き込む (ステップ S 172)。

[0164] デバイス鍵「DevB」の生成が終了すると、制御部 116は、選択部 113に、読み出したプログラムの出力を指示する。

出力の指示を受けると、選択部 113は、読み出した復号回路プログラム 139「DecB 」を可変回路 108へ出力する。可変回路 108内の構築機構 123は、選択部 113から出力された復号回路プログラム 139「DecB」に従って、 FPGA122上に、復号処理回路 156を構築する（ステップ S173)。なお、既に、デバイス「DevB」がデバイス鍵格納部 103に記憶されている場合は、ステップ S166、 169〜172の処理を省略する。さらに、可変回路 108内に、既に方式識別子「IDB」の示す暗号方式に対応する復号処理回路が構築されて、る場合は、ステップ S 166〜ステップ S 173を省略する。

[0165] 次に、制御部 116は、復号処理回路 156内の鍵処理部 157へ、受信した鍵情報 6 85「KinfB」を出力し、復号部 158へ、受信した暗号化暗号回路ファイル 681「EncB (C, KencB)」、暗号化鍵回路ファイル 682「EncB (KC, KencB)」及び暗号化検証鍵ファイル 683「EncB (VeriC, KencB)」を出力し、これらの復号を指示する。

[0166] 鍵処理部 157は、デバイス鍵格納部 103からデバイス鍵「DevB」を読み出し、デバイス鍵「DevB」及び鍵情報「KinfB」を基に、復号鍵「KdecB」を生成して、復号部 1 58へ出力する (ステップ S174)。

復号部 158は、鍵処理部 157から復号鍵 (16じ8」を取得し、取得した復号鍵「Kd ecB」を用いて、制御部 116から受け取った暗号化暗号回路ファイル「EncB (C, Ke ncB)」、暗号化鍵回路ファイル「EncB (KC, KencB)」及び暗号化検証鍵ファイル「 EncB (VeriC, KencB)」に、 RSA暗号方式に従う復号アルゴリズムを施して、暗号回路ファイル「C」、鍵回路ファイル「KC」、検証鍵ファイル rVeriCjを生成する (ステップ S 176)。生成したこれらのファイルを主記憶部 107へ書き込む (ステップ S 177)

[0167] 暗号回路ファイル「C」、鍵回路ファイル「KC」、検証鍵ファイル「VeriC」が主記憶部 107に書き込まれると、制御部 116は、正当性チェック部 112に、受信した署名フアイルに含まれる署名データの検証を指示する。

正当性チェック部 112は、制御部 116の指示に従って署名データの検証を行う（ステツプ S 178)。

[0168] 正当性チヱック部 112による署名検証が失敗であれば (ステップ S181の NO)、制御部 116は、ステップ S148に戻り、プログラム取得部 106を介して、再度、導入要求を暗号方式管理サーバ 600へ送信する。

署名検証が成功であれば (ステップ S181の YES)、制御部 116は、正当性チェック部 112へ、暗号回路ファイル「C」、鍵回路ファイル「KC」の書き込みを指示する。

[0169] 正当性チェック部 112は、暗号回路ファイル「C」を暗号回路記憶部 117に書き込み、鍵回路ファイル「KC」を鍵回路記憶部 119に書き込む (ステップ S 182)。

次に、制御部 116は、正当性チェック部 112へ、チェック情報表 201の更新を指示する。

チェック情報表 201の更新を指示されると、正当性チェック部 112は、検証鍵フアイル「VeriC」を基に、方式識別子「IDC」、サーノ 10「001八」及び検証鍵「1^^—じ&」を含むチェック情報と、方式識別子「IDC」、サーバ ID「001B」及び検証鍵「Kve— C b」を含むチェック情報とを新たに生成し (ステップ S183)、生成した 2つのチェック情報を、チヱック情報表 201に追加する (ステップ S 184)。

[0170] 次に、制御部 116は、暗号回路ファイル「C」に含まれる方式識別子「IDC」と利用フラグ「1」とを含む利用可能情報を生成し、生成した利用可能情報を利用可能暗号方式表 166に追加する（ステップ S 186)。

次に、暗号回路記憶部 117において、方式識別子「IDA」を含む暗号回路ファイル 131「A」を検出し、検出した暗号回路ファイル 131「A」から暗号回路プログラム 133 「Enc A」を削除する（ステップ S 188)。

[0171] 次に、制御部 116は、主記憶部 107の記憶している利用可能暗号方式表 166において、方式識別子「IDA」を含む利用可能情報 171を選択し、選択した利用可能情報 171に含まれる利用フラグを「0」に書き換える (ステップ S 189)。

(3)再生可能か否力の検証

コンテンツ取得部 101を介して、 DVD400a又は 400bの装着を検出すると、制御部 116は、装着された DVDに記録されて、るコンテンツを当該コンテンッ再生装置 1 00が、再生できるカゝ否かを検証する。

[0172] 図 25は、コンテンツ再生装置 100による、この検証の動作を示すフローチャートである。図 25では、より一般化して、装着されている DVDが DVD400a又は 400bの何れであるかは区別せずに記載している。

以下に図 25を用いて、装着された DVDに記録されているコンテンツを再生可能か否かの検証について説明する。なお、これは、図 20ステップ S 124の詳細である。

[0173] 制御部 116は、コンテンツ取得部 101を介して、装着されている DVDから、コンテンッファイル、コンテンツ鍵情報及び署名ファイルを読み出す (ステップ S201)。次に、コンテンツファイルに含まれる方式識別子を抽出し (ステップ S202)、主記憶部 107 の記憶している利用可能暗号方式表 166内で、抽出した方式識別子と一致する方式識別子を含む利用可能情報を検索する (ステップ S204)。このとき、該当する利用可能情報が検出できなければ (ステップ S206の NO)、再生不可能であると判断する (ステップ S211)。

[0174] 該当する利用可能情報 171を検出すると (ステップ S206の YES)、制御部 116は、次に、正当性チェック部 112に、読み出したコンテンツファイル、コンテンツ鍵情報及び署名ファイルを出力し、署名ファイルに含まれる署名データの検証を指示する。正当性チェック部 112は、署名ファイルに含まれる方式識別子の示す暗号方式を用いて署名データの検証を行う（ステップ S207)。署名データの検証動作については、後述する。

[0175] 署名データの検証が成功であれば (ステップ S 208)、制御部 116は、コンテンツを再生可能であると判断する (ステップ S 209)。署名データの検証が失敗であれば、制御部 116は、コンテンツの再生ができな、と判断する（ステップ S211)。

(4)署名データの検証

正当性チェック部 112は、制御部 116から、各種の情報と、その情報を基に生成された署名データを含む署名ファイルとを受け取り、署名データの検証を指示される。正当性チェック部 112は、制御部 116からの指示を受けると、選択部 113及び可変回路 108を制御して、署名データの検証を行う。

[0176] 図 26は、署名データの検証動作を示すフローチャートである。以下に、図 26を用いて、署名データの検証動作について説明する。これは、図 23ステップ S178及び図 25のステップ S207の詳細である。

なお、ここでは、より一般ィ匕して、署名ファイルと共に受け取る各種の情報をチェック対象データと記載している力正当性チェック部 112が、制御部 116から受け取る各種の情報と、署名ファイルの組合せとしては、具体的には、 DVDカゝら読み出された、コンテンツファイル及びコンテンツ鍵情報と署名ファイルとの組合せ、新たに導入する暗号方式に関する暗号回路ファイル、鍵回路ファイル、検証鍵ファイル及び復号鍵情報と鍵ファイルとの組み合わせがある。

[0177] 正当性チェック部 112は、署名ファイルに含まれるサーバ IDと方式識別子とを読み出す (ステップ S221)。次に、自身の記憶しているチェック情報表 201の中で、読み出した方式識別子とサーバ IDとを含むチェック情報を検索する (ステップ S222)。該当するチェック情報が検出されなければ (ステップ S224の NO)、署名データの検証が失敗であることを示す検証失敗通知を制御部 116へ出力する (ステップ S236)。

[0178] 該当するチェック情報を検出すると (ステップ S224の YES)、正当性チェック部 112 は、読み出した方式識別子を選択部 113へ出力し、復号回路プログラムの読み出し及び出力を指示する。

選択部 113は、正当性チェック部 112の指示に従って、受け取った方式識別子と対応する復号回路プログラムを読み出し (ステップ S226)、読み出した復号回路プログラムを可変回路 108へ出力する。

[0179] 可変回路 108の構築機構 123は、受け取った復号回路プログラムに従って、 FPG

A122を書き換えて復号処理回路 156を構築する (ステップ S227)。

復号処理回路 156が構築されると、正当性チェック部 112は、検出したチェック情報に含まれる検証鍵を読み出し (ステップ S228)、署名ファイルに含まれる署名データと読み出した検証鍵とを、構築された復号処理回路 156内の復号部 158へ出力し

、復号を指示する。

[0180] 復号部 158は、正当性チェック部 112からの指示に従って、検証鍵を用いて、署名データを復号して復号ダイジェストデータを生成する (ステップ S 229)。復号部 158 は、生成した復号ダイジェストデータを、正当性チェック部 112へ出力する。

正当性チェック部 112は、チェック対象データを結合した結合物を、ノ、ッシュ関数に代入してダイジェストデータを生成する (ステップ S231)。生成したダイジェストデータと、復号部 158から出力された復号ダイジェストデータとを比較し (ステップ S232)、両者が一致すれば (ステップ S234の YES)、署名検証が成功であることを示す検証成功通知を制御部 116へ出力する (ステップ S237)。

[0181] 両者が一致しない場合 (ステップ S234の NO)、署名検証が失敗であることを示す検証失敗通知を、制御部 116へ出力する (ステップ S236)。

(5)コンテンツの再生

図 27は、コンテンツ生成装置によるコンテンツの再生動作を示すフローチャートである。ここでは、コンテンツ再生装置 100に DVD400aが装着されている場合を示す 1S DVD400bの場合も同様の動作を行う。

[0182] 以下に、コンテンツの再生動作について、図 27を用いて説明する。なお、これは、図 20のステップ S 131の詳細である。

入力部 121から、コンテンツの再生を示す操作指示情報を受け取ると、制御部 116 は、読み出したコンテンツファイル 401に含まれる方式識別子 402「IDA」を抽出する (ステップ S241)。次に、制御部 116は、選択部 113及び 114、組合せチェック部 11 8及び可変回路 108を制御して、方式識別子「IDA」と対応するデバイス鍵「DevA」を生成させ、復号処理回路 156を構築させる (ステップ S242)。デバイス鍵の生成及び復号処理回路の構築の手順は、図 22のステップ S166〜ステップ S173と同様であるので、ここでは、詳細な説明は省略する。

[0183] 次に、構築された復号処理回路 156内の鍵処理部 157に、読み出したコンテンツ鍵情報 404を出力し、復号部 158に暗号ィ匕コンテンツ 403を出力して、暗号化コンテンッ 403の復号を指示する。

鍵処理部 157は、コンテンツ鍵情報 404を受け取ると、デバイス鍵格納部 103から、デバイス鍵 128「DevA」を読み出し、読み出したデバイス鍵 128「DevA」とコンテンッ鍵情報 404とを基に、コンテンツ鍵「KconA」を生成する（ステップ S243)。

[0184] 復号部 158は、鍵処理部 157からコンテンッ鍵じ011八」を取得し、取得したコンテンッ鍵「KconA」を用いて、暗号化コンテンツ 403を復号し、コンテンツ「ConA」を生成する (ステップ S244)。復号部 158は、制御部 116の指示により、生成したコンテンッを再生処理部 109へ出力する。

再生処理部 109は、コンテンツ「ConA」を受け取ると、受け取ったコンテンツを、モ -タ 15に再生する（ステップ S246)。

(6)メモリカードへのコンテンツの出力

図 28〜図 30は、コンテンツ再生装置 100による、メモリカード 500へのコンテンツの出力の動作を示すフローチャートである。以下に、図 28〜30を用いて、コンテンツ出力の動作について説明する。これは、図 20のステップ S132の詳細である。ここでは、コンテンツ再生装置 100に DVD400aと、方式識別子「IDA」を保持するメモリカード 500とが装着されている場合を例に説明する力 DVD400bが装着されている場合、他の方式識別子を保持しているメモリカードが装着される場合も同様の動作を行

5o [0185] 利用者により、コンテンツのコピーを指示されると、制御部 116は、コンテンツフアイル 401に含まれる方式識別子 402「IDA」及び署名ファイル 411に含まれる方式識別子 413「IDB」を抽出する (ステップ S261)。次に、主記憶部 107から利用可能暗号方式表 166を読み出し (ステップ S262)、読み出した暗号方式表 166内で、方式識別子「IDA」、方式識別子「IDB」を含む利用可能情報を、それぞれ検索する (ステップ S 263)。

[0186] 何れか一方でも検出できなければ (ステップ S264の NO)、

ヽ旨を示すエラー画面を生成し、再生処理部 109を介して、モニタ 15にエラー画面を表示する（ステップ S 265)。

該当する利用可能情報 171、 172が検出された場合 (ステップ S264の YES)、検出した利用可能情報 171及び 172をそれぞれに含まれる利用フラグを読み出す (ステツプ S266)。読み出した利用フラグのうち、何れか一方でも「0」であれば (ステップ S268の NO)、装着されている DVDに記録されているコンテンツをコピーすることができな、旨を通知するエラー画面を表示する (ステップ S265)。

[0187] 読み出した利用フラグのうち、両方ともが「1」であれば (ステップ S268の YES)、コンテンッファイル 401から方式識別子 402「IDA」を抽出し (ステップ S269)、抽出した方式識別子 402「IDA」を、入出力部 104を介して、メモリカード 500へ出力し、出力した方式識別子「IDA」の示す暗号方式を備えて!/ヽるカゝ否かを問、合わせる (ステップ S271)。

[0188] メモリカード 500の制御部 507は、入出力部 502を介してコンテンツ再生装置 100 から、方式識別子「IDA」を受け取り、受け取った方式識別子「IDA」の示す暗号方式を備えて、るか否かの問、合わせを受ける。

問合せを受けると、制御部 507は、セキュア領域 520に記憶されている方式識別子 521を読み出す (ステップ S272)。読み出した方式識別子 521と受信した方式識別子「IDA」とを比較し (ステップ S273)、両者が一致すれば (ステップ S274の YES)、受け取った方式識別子の示す暗号方式により暗号化された暗号文を復号可能であることを示す応答信号「1」を生成する (ステップ S276)。

[0189] 両者が一致しな、場合 (ステップ S274の NO)、受け取った方式識別子の示す暗号方式により暗号化された暗号文を復号できない示す応答信号「0」を生成する (ステップ S277)。続いて、制御部 507は、生成した応答信号を、入出力部 502を介して、コンテンツ再生装置 100へ出力する（ステップ S279)。

コンテンツ再生装置 100の制御部 116は、入出力部 104を介してメモリカード 500 から、応答信号を受け取る。受け取った応答信号が「0」であれば (ステップ S281の「 0」）、要求されたコピーはできない旨を通知するエラー画面を生成して、モニタ 15に表示する（ステップ S 282)。

[0190] 受け取った応答信号が「1」であれば (ステップ S281の「1」）、次に、制御部 116は、選択部 113及び 114、組合せチェック部 118、可変回路 108を制御して、コンテンッファイル 401から読み出した方式識別子 402「IDA」と対応するデバイス鍵「DevA 」を生成させ、可変回路 108上に、方式識別子「IDA」に従った復号処理を行う復号処理回路を構築させる（ステップ S286)。ステップ S287の詳細は、図 22のステップ S 166〜ステップ S173と同様であって、図 22中の、方式識別子「IDB」を「IDA」と読み替え、鍵回路ファイル「1¾」を」と読み替え、鍵生成回路プログラムを「Kgen BJを「KgenA」と読み替え、復号回路プログラム「DecB」を「DecA」と読み替えればよい。

[0191] 次に、制御部 116は、構築された復号処理回路 156内の鍵処理部 157に、読み出したコンテンツ鍵情報 404を出力し、コンテンツ鍵の生成を指示する。

鍵処理部 157は、コンテンツ鍵情報 404とデバイス鍵「DevA」とを基に、コンテンツ鍵「KconA」を生成する（ステップ S 287)。

次に、制御部 116は、選択部 113に、方式識別子 402「IDA」と対応する暗号回路プログラムの読み出しと出力とを指示する。

[0192] 選択部 113は、制御部 116からの指示により、方式識別子「IDA」と対応する暗号回路プログラム 133「EncA」を、暗号回路記憶部 117から読み出し (ステップ S289) 、読み出した暗号回路プログラム 133「EncA」を可変回路 108に出力する。

可変回路 108内の構築機構 123は、暗号回路プログラム 133「EncA」に従って、暗号処理回路 152を構築する (ステップ S 291 )。

[0193] 暗号処理回路 152が構築されると、制御部 116は、入出力部 104を介して、メモリカード 500にカード鍵情報の出力を指示する (ステップ S293)。

メモリカード 500の制御部 507は、入出力部 502を介して、コンテンツ再生装置 10 0から、カード鍵情報の出力を指示されると、セキュア領域 520から、カード鍵情報 52 2を読み出す (ステップ S294)。読み出したカード鍵情報 522を、入出力部 502を介して、コンテンツ再生装置 100へ出力する（ステップ S296)。

[0194] コンテンツ再生装置 100の制御部 116は、入出力部 104を介してメモリカード 500 から、カード鍵情報を取得し、取得したカード鍵情報を、暗号処理回路 152内の鍵処理部 153へ出力し、コンテンッ鍵「KconA」を暗号化部 154へ出力して暗号化を指示する。

鍵処理部 153は、デバイス鍵格納部 103からデバイス鍵「DevA」を読み出し、読み出したデバイス鍵「DevA」とカード鍵情報とを基に、カード固有鍵「MkeyA」を生成する（ステップ S297)。暗号化部 154は、鍵処理部 153から、カード固有鍵「MkeyA 」を取得し、取得したカード固有鍵「MkeyA」を用いて、コンテンツ鍵「KconA」を暗号ィ匕し、暗号化コンテンツ鍵「EncA(KconA, MkeyA)」を生成する（ステップ S298

) o

[0195] 暗号化部 154により暗号化コンテンツ鍵「EncA(KconA, MkeyA)」が生成されると、制御部 116は、コンテンツファイル 401から暗号化コンテンツ 403「EncA(ConA , KconA)」を抽出し (ステップ S301)、抽出した暗号化コンテンツ 403「EncA (Con A, KconA)」と暗号化コンテンツ鍵「EncA(KconA, MkeyA)」とを、入出力部 10 4を介して、メモリカード 500に出力する (ステップ S302)。

[0196] メモリカード 500の制御部 507は、コンテンツ再生装置 100から、暗号化コンテンツ「EncA(ConA, KconA)」と暗号化コンテンツ鍵「EncA(KconA, MkeyA)」とを受け取り、受け取った暗号化コンテンツ「EncA(ConA, KconA)」と暗号化コンテンッ鍵「EncA (KconA, MkeyA)」とを含むコンテンツファイルを生成し、生成したコンテンッファイルを一般領域 512に書き込む (ステップ S303)。

2. その他の変形例

以上、本発明について、上記の実施の形態 1に基づいて説明してきた力これに限定されるものではなぐ以下のような場合も本発明に含まれる。 [0197] (1)実施の形態 1では、説明を容易にするために、コンテンツ再生装置 100は、製造当初、 DES暗号方式と、 RSA暗号方式とを備えるとして説明してきた力 3以上の多数の暗号方式を備えて、るとしても良、。

この場合、暗号方式管理サーバ 600は、何れかの暗号方式が解読されると、解読されてない暗号方式の中の何れかを選択し、選択した暗号方式により、解読された暗号方式に代替する暗号方式に対応する暗号回路ファイル、鍵回路ファイル、検証鍵フアイルを暗号ィ匕して、コンテンッ再生装置 100へ送信する。

[0198] また、暗号ィ匕に用いる暗号方式とは異なる暗号方式を用いて署名データを生成しても良い。

さらに、実施の形態 1では、コンテンツ再生装置 100の備える暗号方式の用途は、コンテンツなどの暗号化'復号と、署名データの検証であるとして説明してきた力これに限定されるものではなぐ鍵共有、機器認証など、様々な用途に用いても良い。

[0199] (2)変形例（1)の場合、暗号方式管理サーバ 600が、暗号化及び署名データの生成に用いる暗号方式を選択する方法としては、一例として、各暗号方式の暗号強度を記憶しており、解読されていない暗号方式の中で、暗号強度の最も強いものを選択する方法が考えられる。また、より新しい暗号方式を選択しても良い。

また、コンテンツ再生装置 100が、暗号化及び署名データの生成に用いる暗号方式を選択し、選択した暗号方式を示す方式識別子を、暗号方式管理サーバ 600〖こ通知しても良い。

[0200] この場合、コンテンツ再生装置 100が、暗号方式を選択する方法は、一例として、暗号方式を導入した日時を記憶しており、導入日が新しい暗号方式を選択する方法が考えられる。また、コンテンツ再生装置 100の利用者による暗号方式の選択を受け付けるとしても良い。

(3)実施の形態 1では、暗号方式管理サーバ 600から暗号ィ匕鍵回路ファイルなどを送信する際に、解読されてヽなヽ暗号方式を用いて署名データを含む署名ファイルを生成している力この署名生成の方法は一例であって、これに限定されるものではない。

[0201] また、実施の形態 1では、新たな暗号方式の導入に当たって、この新たな暗号方式が署名検証に用いられる可能性を考慮し、暗号方式管理サーバ 600は、新たな暗号方式に対応する検証鍵を含む検証鍵ファイルを送信して、るが、検証鍵ファイルの送信は必須ではなぐ新たな暗号方式を署名検証に利用しない場合は、検証鍵ファィルの送信は不要である。

[0202] また、新たに導入する暗号方式が公開鍵暗号方式である場合、検証鍵は、各サーバの公開鍵であるので、暗号ィ匕せずに、送信しても良い。

(4)実施の形態 1では、署名データの検証において、可変回路 108内に復号処理回路を構築して、署名データの検証処理の一部分を、復号処理回路が担う構成になつていたが、署名検証の一連の処理を行う検証回路を可変回路 108内に構築し、署名データの検証を実行する構成であっても良い。この場合、暗号方式の導入の処理にぉ、て、検証鍵ファイルの授受を行う必要はな、。

(5) 実施の形態 1は、暗号化及び復号を行う暗号方式に着目した例であって、署名生成及び検証に利用されて、る暗号方式が解読された場合にも、新たな暗号方式を導入する。その際には、新たな暗号方式が署名生成及び検証に用いられることを考慮して、検証鍵ファイルを暗号方式管理サーバ 600から取得する。

[0203] しかし、上記の変形例 (4)の場合、暗号化及び復号に用いられる暗号方式の変更とは別に、署名方式の変更を行ってもよい。以下、署名方法とは、署名データを生成する一連の手順及び署名データを検証する一連の手順を指す。

具体的には、この場合、コンテンツ再生装置 100は、正当性チェック部 112に変わつて、署名記憶部 220を備えており、署名記憶部 220は、図 31に示すように、チエツク情報表 221と複数の署名方式ファイル 223、 224· · ·を記憶している。チェック情報表 221は、実施の形態 1において説明したチェック情報表 201と同様の構成であるが、各チェック情報は、何れかの署名方式と対応しており、方式識別子に代わって、対応する署名方式を示す署名方式識別子を含んで!/ヽる。

[0204] 各署名ファイルは、何れかの署名方式と対応しており、対応する署名方式を示す署名方式識別子と、検証回路プログラムとを含む。検証回路プログラムは、署名方式識別子の示す署名方式により生成された署名データを検証する機能を有する検証回路の構成を示している。暗号方式管理サーバ 600は、署名方式に係る安全性についても管理しており、何れかの署名方法が解読され、容易に署名の改ざんが可能な状態になった場合、その署名方式に代わる新たな署名方式に係る署名ファイル rsicj、検証鍵ファイルを保持している。署名ファイル「SiC」は、署名方式識別子「SIDC」と検証回路プログラム「

SveC」とを含み、検証鍵ファイルは、図 5 (c)に示す検証鍵ファイル 671と同様であるが方式識別子 672に代えて、署名方式識別子「SIDC」を含む。ここでは、署名方式識別子「SIDA」の示す署名方式が解読されたとする。

[0205] 新たな署名方式を導入する際には、コンテンツ再生装置 100は、新たな署名方式と対応する署名方式ファイル「SiC」と、検証鍵ファイルと、署名方式識別子「SIDB」と対応する署名方式により、検証鍵ファイル及び署名ファイル「SiC」に署名を施して生成された署名データと、署名データの生成に用ヽた署名方法を示す署名方式識別子「SIDB」とを受信する。

[0206] 制御部 116は、受信した署名方式識別子「SIDB」と同一の署名方式識別子と対応する検証回路プログラム 237を読み出し、可変回路 108に出力する。

可変回路 108内に、署名方式「SIDB」と対応する検証回路が構築されると、受信した署名方式ファイル「SiC」と、検証鍵ファイルと、署名データとを検証回路に出力して署名検証を指示する。

[0207] 検証が成功であれば、受信した署名ファイルを署名記憶部 220に書き込み、受信した検証鍵ファイル力も新たなチェック情報を生成し、生成したチェック情報を、チェック情報表 221に追加する。

なお、送受信する情報に秘匿すべき情報が含まれている場合、これらの情報を暗号ィ匕して送受信してもよい。

(6)また、署名方式に代わって MAC (Message Authentication Code)生成 '検証方式を導入する構成であっても良い。この場合も、変形例（5)の場合と同様に、 M AC検証を行う回路の構成を示す MAC検証回路プログラムを複数記憶しており、各 MAC検証プログラムは、それぞれ異なる MAC生成'検証方式と対応している。

[0208] MAC生成に用いられる一方向関数が、解析されて逆演算の方法が発見されるなどの理由により、何れかの MAC生成 ·検証方式力利用できなくなると、新たな MA C生成'検証方式と対応する MAC検証プログラムを取得する。取得の際には、新たな MAC検証プログラムと共に、有効な MAC ·生成検証方式によって生成された MA C情報を受信し、受信した MAC情報により、受信した新たな MAC検証プログラムに改ざんがな!ヽことを確認する。

[0209] (7)署名方式、 MAC生成'検証方式のみならず、鍵共有の方式、機器認証の方式についても同様に、新たな鍵共有方式と対応する共有鍵生成回路の構成を定める鍵共有プログラム、新たな機器認証方式と対応する認証回路プログラムを取得しても良い。

鍵共有方式の場合、コンテンツ再生装置 100は、それぞれ異なる鍵共有方式と対応する鍵共有回路プログラムを記憶している。各鍵共有回路プログラムは、可変回路 108内の構築機構によって、解読される形式のプログラムであり、対応する鍵共有方式に従う手順で、外部機器との間で鍵共有を実行する鍵共有回路の構成を示す。

[0210] 暗号方式管理サーバ 600と同様に、鍵共有方式を管理するサーバ機器は、新たな鍵共有方式と対応する鍵共有回路プログラムを保持して!/ヽる。

新たな鍵共有方式と対応する鍵共有回路プログラムを取得する際には、まず、予め記憶している鍵共有回路プログラムの何れかに従って、鍵共有回路を構築し、構築した鍵共有回路により、サーバ機器との間で共有鍵を生成する。

[0211] サーバ機器は、前記新たな鍵共有方式と対応する鍵共有回路プログラムを、生成した共有鍵を用いて暗号ィ匕して暗号ィ匕鍵共有回路プログラムを生成して、コンテンツ再生装置 100に送信する。

コンテンツ再生装置 100は、暗号ィ匕鍵共有プログラムを受信し、これを生成した共有鍵を用いて復号し、新たな鍵共有方式と対応する鍵共有回路プログラムを取得する。

[0212] 機器認証方式についても、同様に、予め、それぞれ異なる機器認証方式と対応する複数の機器認証回路プログラムを保持しており、そのうちの何れかに従って、機器認証回路を構築する。構築した機器認証回路により、外部のサーバ機器と機器認証を行い、認証が成功すると、サーバ機器から、新たな機器認証方式と対応する機器認証回路プログラムを受信する。 (8)実施の形態 1の可変回路 108は、一例として書換え可能な FPGA122と構築機構 123とコンフイダ ROM124から構成され、選択部 113及び 114は、読み出した暗号回路プログラムなど構築機構 123に及びコンフイダ ROM 124に出力するとしてきたが、この構成に限るものではない。

[0213] 可変回路 108は、 FPGAと構築機構のみ力構成され、 FPGAに付属するコンフィグ ROMが、暗号回路記憶部 117及び鍵回路記憶部 119を構成しても良ヽ。

この構成の場合、コンテンツ再生装置 100の電源が OFFになると、可変回路上に構築された回路は消失する。次に電源の供給が開始されると、先ず、制御部 116は、主記憶部 107の記憶している可変回路情報 161を読み出し、読み出した可変回路情報 161を基に、選択部 113、 114及び構築機構 123に、電源が OFFになる直前に、可変回路 108内に構築されていた回路を再構築させる。

(9)実施の形態 1では、コンテンツ再生装置 100及び暗号方式管理サーバ 600は、インターネット 20に接続されており、インターネット 20を介して、暗号化暗号回路ファィルなどの授受を行っている力この方法に限定するものではない。

[0214] 暗号方式管理サーバ 600は、正当なコンテンツ再生機器全てに同一の暗号回路フアイル、鍵回路ファイル及び署名回路ファイルを送付するので、放送波のような、一方向通信によって、これらのファイルを送付しても良い。

(10)実施の形態 1では、暗号方式管理サーバ 600の操作者による指示をトリガとして、コンテンツ導入の一連の動作を開始している力これに限定されるものではない

[0215] 例えば、コンテンツ再生装置 100が、定期的に、自身の備える暗号方式を示す方式識別子を送信し、暗号方式管理サーバ 600に、自身の備える暗号方式が解読されて、る力否かを問、合わせるとしてもよ、。問合せを受けた暗号方式管理サーバ 6 00は、受信した方式識別子と一致する方式識別子を含む、暗号方式情報が無効暗号方式一覧 621内に存在すると、その暗号方式を含む警告通知をコンテンツ再生装置 100に送信する。

[0216] また、実施の形態 1では、装着された DVDのコンテンツファイルに含まれる方式識別子と対応する暗号方式を備えていなければ、コンテンツ再生装置 100は、単に、再生を行わないとしている力このときに、暗号方式管理サーバ 600に上記の問合せを行っても良い。

また、実施の形態 1及び上記の各変形例では、コンテンツ再生装置 100の備える何れかの暗号方式が解読された場合に、新たな暗号方式を導入している力暗号方式が解読されていない場合であっても、例えば、新たに優れた暗号方式が開発された場合などにその新たな暗号方式を導入しても良い。

(11)上記の実施の形態 1では、解読された暗号方式と対応する暗号回路プログラムのみ削除し、復号回路プログラム及び鍵回路ファイルを残している。このようにすることで、過去に配布されたコンテンツの再生を可能にし、コンテンツを購入した利用者の不利益とならな、ようにして、る。

[0217] しかし、解読された暗号方式と対応する暗号回路ファイル及び鍵回路ファイルを全て削除し、解読された暗号方式によって暗号化されたコンテンツ及び解読された暗号方式によって生成された署名データの付されたコンテンツの再生を一切認めない構成であっても良い。この場合、チェック情報表 201において、解読された暗号方式と対応するチック情報も削除する。

(12)実施の形態 1及び上記の変形例では、可変回路 108は、 FPGAにより構成されるとして説明してきた力これに限定されるものではなぐその他の、書換え可能な回路であっても良い。これらの書換え可能な回路は、回路規模、内部の論理回路の構造などによって、 PLD (Programmable Logic Device)、 PLA (Programmable

Array Logic)、 CPLD (Complex Programmable Logic Device)、リコンフィギユアラブル LSI、ダイナミック ·リコンフィギュアラブル LSIなどと呼ばれる。

(13)実施の形態 1では、それぞれ異なるデバイス鍵を有する正当な再生機器全てが正常にコンテンッを取得させ、不正な機器にはコンテンッを取得させな!/ヽ方法として

、メディアキーブロックを用いる例を採用した力この方法に限るものではない。

[0218] 一例として、ツリー構造を利用して各機器に複数の鍵データを含むデバイス鍵を割り当て、正当な機器は、デバイス鍵に含まれる何れかの鍵によりコンテンツを取得することができる技術が考えられる。

(14)上記の実施の形態で、コンテンツ再生装置 100は、予め各暗号方式と対応する暗号回路ファイルと鍵回路ファイルを記憶している力コンテンツの復号などの暗号処理を行う際に、必要な鍵回路ファイルを受信する構成であっても良い。

[0219] 例えば、 DVD400aに記憶されてヽる暗号ィ匕コンテンツ 403を復号する場合、制御部 116は、コンテンツファイル 401から方式識別子 402を読み出し、読み出した方式識別子 402を、プログラム取得部 106を介して、暗号方式管理サーバ 600へ送信し、鍵回路ファイルの送信を要求する。

暗号方式管理サーバ 600は、各暗号方式と対応する鍵回路ファイルを記憶して!/、る。制御部 607は、コンテンツ再生装置 100から方式識別子を受信し、鍵回路フアイルの送信を要求されると、受信した方式識別子の示す暗号方式と対応する鍵回路フアイルを読み出し、読み出した鍵回路ファイルを送信する。

[0220] コンテンツ再生装置 100の制御部 116は、暗号方式管理サーバ 600から鍵回路フアイルを受信し、受信した鍵回路ファイルに含まれる鍵回路生成プログラムを可変回路 108へ出力する。

以後、実施の形態 1の場合と同様にしてデバイス鍵の生成、復号処理回路の構築及び暗号化コンテンツ 403の復号を行う。

(15)実施の形態 1で、コンテンツ再生装置 100は、秘密通信によりコンテンツを安全に取得し、再生する機器であって、秘密通信に用いる新たな暗号方式の導入に伴つて新たなデバイス鍵を取得する。

[0221] しかし、本発明は、この例に限定されるものでなぐコンテンツ再生装置 100は、自装置に固有の鍵を用いて、情報を安全又は確実に取り扱う情報セキュリティ装置であつて、安全又は確実に情報を取り扱う情報処理方法を新たに導入する際に、新たな情報処理方法に対応する鍵を取得する。ここで、前述の秘匿すべき鍵を用いる情報処理方法とは、秘密通信に使われる暗号方式の他に、署名方式、機器認証方式、鍵共有方式、 MAC生成 ·検証方式などが考えられる。

[0222] (15— 1)以下、コンテンツ再生装置 100が、所定の署名方式に従って署名データの生成及び検証を行う機器である場合にっ、て説明する。

コンテンツ再生装置 100は、暗号回路記憶部 117に代えて (若しくは暗号回路記憶部 117に加えて）、署名回路記憶部を備え、署名回路記憶部は、署名回路ファイルを記憶している。

[0223] 署名回路ファイルは、何れかの署名方式と対応しており、対応する署名方式を示す署名方式識別子と、構築機構 123により解読 '実行可能な形式の署名生成回路プログラムと署名検証回路プログラムとを含む。署名生成回路プログラムは、対応する署名方式に従って、署名データを生成する署名生成回路の構成を示す。署名検証回路プログラムは、対応する署名方式に従って、署名データの検証を行う署名検証回路の構成を示す。

[0224] 鍵回路記憶部 119は、前記署名回路記憶部に記憶されている署名回路ファイルと対応する署名鍵回路ファイルを記憶している。署名鍵回路ファイルは、対応する署名方式を示す署名方式識別子と、署名データの生成及び検証に用いる署名鍵及び検証鍵を生成する署名鍵生成回路の構成を示す署名鍵回路プログラムとを含む。署名データの生成又は検証にあたり、制御部 116は、選択部 113、 114、組合せチエック部 118可変回路 108を制御して、所望の署名方式に対応した署名鍵及び検証鍵を生成させ、署名生成回路又は署名検証回路を構築させる。鍵の生成及び回路の構築の手順は、実施の形態 1におけるデバイス鍵の生成及び復号処理回路の構築の手順 (例えば、図 22のステップ S166〜173に示される）と同様である。

[0225] 新たな署名方式を導入する際に、制御部 116は、プログラム取得部 106を介して、新たな署名方式と対応する署名ファイルを取得し、これと合わせて、新たな署名方式に適した署名鍵及び検証鍵を生成する署名鍵生成回路の構成を示す署名鍵回路プログラムを含む署名鍵ファイルを取得する。

制御部 116は、取得した署名回路ファイルを署名回路記憶部に書き込み、取得した署名鍵ファイルを鍵回路記憶部 119に書き込む。

[0226] 以後、新たな署名検証方式により署名データの生成又は検証を行う場合、制御部 116の制御の下、選択部 114は、取得された署名鍵ファイルに含まれる署名鍵回路プログラムを読み出して、可変回路 108へ出力し、可変回路 108の構築機構 123は、選択部 114から出力された署名鍵回路プログラムに従って署名鍵生成回路を構築し、構築された署名鍵生成回路は、新たな署名方式の性質に適した署名鍵及び検証鍵を生成する。 [0227] (15— 2)コンテンツ再生装置 100が、所定の機器認証方式、鍵共有方式、 MAC 生成 ·検証方式に従って、機器認証、鍵共有、 MAC生成 ·検証を行う機器である場合についても同様であって、コンテンツ再生装置 100は、それぞれの情報処理方法に従う処理を実行する実行回路の構成を示す実行回路プログラムを含むファイルと、各実行回路プログラムと対応する鍵回路生成プログラムを含む鍵回路ファイルを記 '1思して V、る。

[0228] 新たな情報処理方式を導入する際には、制御部 116は、プログラム取得部 106を介して、新たな情報処理方式と対応する実行回路プログラムを含むファイルと共に、新たな情報処理方式に適した鍵を生成する鍵生成回路の構成を示す鍵生成回路プログラムを含んだ鍵回路ファイルを取得する。取得した鍵回路ファイルを鍵回路記憶部 119に書き込む。

[0229] 以後、新たな情報処理方法による処理を行う場合、制御部 116の制御の下、選択部 114は、取得された鍵回路ファイルに含まれる鍵生成回路プログラムを可変回路 1 08に出力し、構築機構 123は、出力された鍵生成回路プログラムに従って鍵生成回路を構築し、構築された鍵生成回路は、新たな情報処理方法に適した鍵を生成する

(16)上記の各装置を構成する構成要素の一部又は全部は、 1個のシステム LSI (La rge Scale Integration:大規模集積回路）から構成されているとしてもよい。システム L SIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSIであり、具体的には、マイクロプロセッサ、 ROM, RAMなどを含んで構成されるコンピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前記マイク口プロセッサ力前記コンピュータプログラムに従って動作することにより、システム LS Iは、その機能を達成する。

[0230] また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセッサで実現してもよい。 LSI製造後に、プログラムすることが可能な FPGAや LSI内部の回路セルの接続や設定を再構成可能なリコンフィギユラブル'プロセッサを利用しても良い。

更には、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然その技術を用いて機能ブロックの集積ィ匕を行ってもよい。バイオ技術の適応などが可能性として有り得る。

(17)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能な I Cカード又は単体のモジュール力構成されて、るとしてもよ、。前記 ICカード又は前記モジュールは、マイクロプロセッサ、 ROM, RAM,などから構成されるコンビュータシステムである。前記 ICカード又は前記モジュールは、上記の超多機能 LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記 ICカード又は前記モジュールは、その機能を達成する。この ICカード又はこのモジュールは、耐タンパ一性を有するとしてもよ!/、。

(18)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力もなるデジタル信号であるとしてもよい。

[0231] また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD— RO M、 MO、 DVD, DVD-ROM, DVD -RAM, BD (Blu— ray Disc)、半導体メモリなど、〖こ記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。

[0232] また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。

[0233] また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい

(19)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよ!/、。産業上の利用可能性

本発明は、秘密通信、署名、機器認証を初めとする暗号技術を利用した各種の処理を、各機器に固有の鍵を用いて行う電気機器を製造、販売する産業、これらの電気機器により取り扱われる情報を生産、販売する産業、また、これらの機器の取り扱う情報を使用して、各種のサービスを提供する産業において、経営的、反復'継続的に利用することができる。

Claims

請求の範囲

[1] デバイス鍵を用いて、安全又は確実に情報を取り扱う情報セキュリティ装置であつて、

書き換え可能な論理回路と、

所定の処理を実行する実行回路を定める回路形成情報を取得し、取得した回路形成情報に従って、前記論理回路を書き換えて、前記実行回路を構築する構築手段と自装置に固有の固有秘密鍵を記憶している鍵記憶手段と、

自装置に固有の前記デバイス鍵を、前記固有秘密鍵を用、て生成する鍵生成回路を定める鍵回路形成情報を取得する取得手段と、

有効に取得された前記鍵回路形成情報を、前記回路形成情報として、前記構築手段に出力する出力手段と、

前記デバイス鍵を生成するように、構築された前記鍵生成回路を制御する制御手段と

を備えることを特徴とする情報セキュリティ装置。

[2] 前記取得手段は、自装置が前記情報を取り扱う現情報処理方法と対応する前記鍵回路形成情報を取得し、

前記鍵回路形成情報に従って構築される鍵生成回路は、前記現情報処理方法の性質に適した前記デバイス鍵を生成する

ことを特徴とする請求項 1に記載の情報セキュリティ装置。

[3] 前記取得手段は、ネットワークを介して接続される外部機器から、前記鍵回路形成情報を取得する

ことを特徴とする請求項 2に記載の情報セキュリティ装置。

[4] 前記取得手段は、

前記外部機器へ、自装置が前記情報を取り扱う現情報処理方法を通知する通知部と、

前記外部機器から、通知した現情報処理方法と対応する前記鍵回路形成情報を受信する受信部とを含むことを特徴とする請求項 3に記載の情報セキュリティ装置。

[5] 前記外部機器は、前記鍵回路形成情報を暗号化して、暗号化鍵回路形成情報を生成し、生成した暗号化鍵回路形成情報を送信し、

前記取得手段は、

前記暗号化鍵回路形成情報を、前記外部機器から受信する受信部と、受信した前記暗号化鍵回路形成情報を復号して前記鍵回路形成情報を生成する生成部とを含む

ことを特徴とする請求項 3に記載の情報セキュリティ装置。

[6] 前記鍵記憶手段は、耐タンパ一性を有し、前記固有秘密鍵を安全に記憶してヽることを特徴とする請求項 2に記載の情報セキュリティ装置。

[7] 前記取得手段は、さらに、

前記鍵回路形成情報にデジタル署名を施して生成された署名情報を取得し、前記情報セキュリティ装置は、さらに、

前記署名情報と、取得された前記鍵回路形成情報とを用いて、前記鍵回路形成情報の正当性を検証する検証手段を備え、

前記出力手段は、前記検証が成功した場合に、前記鍵回路形成情報が有効に取得されたと決定し、前記鍵回路形成情報を出力する

[8] 前記情報セキュリティ装置は、

さらに、前記検証手段の構成を示す検証回路形成情報を記憶している検証情報記憶手段を備え、

前記出力手段は、さらに、

前記検証情報記憶手段から、前記検証回路形成情報を読み出し、読み出した検証回路形成情報を前記回路形成情報として、前記構築手段へ出力する

ことを特徴とする請求項 7に記載の情報セキュリティ装置。

[9] 前記現情報処理方法とは、前記情報を暗号化又は復号化する暗号方式であることを特徴とする請求項 2に記載の情報セキュリティ装置。

[10] 前記現情報処理方法とは、前記情報の正当性を示す署名の生成又は検証手順を含む署名方式である

[11] 前記現情報処理方法とは、前記情報の授受を行う外部機器の正当性を認証する機器認証方式である

[12] 前記現情報処理方法とは、前記情報の改竄の有無を検証するために一方向関数を用いて生成されるメッセージ認証コードの、生成又は検証手順を含むメッセージコード認証方式である

[13] 前記現情報処理方法とは、前記情報の授受を行う機器との間で同一の鍵を共有する鍵共有方法である

[14] 前記鍵回路形成情報は、所定の情報処理方法と対応しており、前記鍵回路形成情報に従って構築される鍵生成回路は、前記所定の情報処理方法の性質に適した前記デバイス鍵を生成し、

前記情報セキュリティ装置は、さらに、

自装置が前記情報を取り扱う現情報処理方法と、前記所定の情報処理方法とがー致するか否かを判断する組合せ確認手段を備え、

前記出力手段は、前記組合せ確認手段により、両者が一致すると判断される場合に、前記鍵回路形成情報が有効に取得されたと決定し、前記鍵回路形成情報を出力する

[15] 前記論理回路は、 Field Programable Gate Arrayから構成される

[16] 前記論理回路は、ダイナミツクリコンフィギュアラブル LSIから構成される

[17] デバイス鍵を用いて、安全又は確実に情報を取り扱う情報セキュリティ装置とサーバ装置力構成される鍵配布システムであって、前記情報セキュリティ装置は、

書き換え可能な論理回路と、

前記デバイス鍵を生成するように、構築された前記鍵生成回路を制御する制御手段とを備え、

前記サーバ装置は、

前記鍵回路形成情報を記憶して!/ヽる記憶手段と、

前記鍵回路形成情報を、出力する出力手段とを備える

ことを特徴とする鍵配布システム。

デバイス鍵を用いて、安全又は確実に情報を取り扱う情報セキュリティ装置において用いられる鍵取得方法であって、

前記情報セキュリティ装置は、

書き換え可能な論理回路と、

所定の処理を実行する実行回路を定める回路形成情報を取得し、取得した回路形成情報に従って、前記論理回路を書き換えて、前記実行回路を構築する構築手段と自装置に固有の固有秘密鍵を記憶している鍵記憶手段とを備え、

前記鍵取得方法は、

自装置に固有の前記デバイス鍵を、前記固有秘密鍵を用、て生成する鍵生成回路を定める鍵回路形成情報を取得する取得ステップと、

有効に取得された前記鍵回路形成情報を、前記回路形成情報として、前記構築手段に出力する出力ステップと、

前記デバイス鍵を生成するように、構築された前記鍵生成回路を制御する制御ステップと

を含むことを特徴とする鍵取得方法。

[19] デバイス鍵を用いて、安全又は確実に情報を取り扱う情報セキュリティ装置において用いられる鍵取得プログラムであって、

前記情報セキュリティ装置は、

書き換え可能な論理回路と、

前記鍵取得プログラムは、

を含むことを特徴とする鍵取得プログラム。

[20] 前記鍵取得プログラムは、

コンピュータ読み取り可能な記録媒体に記録されている

ことを特徴とする請求項 19に記載の鍵取得プログラム。

[21] デバイス鍵を用いて、安全又は確実に情報を取り扱う情報セキュリティ装置に搭載される集積回路であって、

書き換え可能な論理回路と、

所定の処理を実行する実行回路を定める回路形成情報を取得し、取得した回路形成情報に従って、前記論理回路を書き換えて、前記実行回路を構築する構築手段と自装置に固有の固有秘密鍵を記憶している鍵記憶手段と、自装置に固有の前記デバイス鍵を、前記固有秘密鍵を用、て生成する鍵生成回路を定める鍵回路形成情報を取得する取得手段と、

を備えることを特徴とする集積回路。