WO2007125877A1

WO2007125877A1 - 通信装置、及び通信システム

Info

Publication number: WO2007125877A1
Application number: PCT/JP2007/058768
Authority: WO
Inventors: Yuichi Futa; Motoji Ohmori; Shingo Hasegawa; Shuji Isobe; Hiroki Shizuya
Original assignee: Panasonic Corporation
Priority date: 2006-04-28
Filing date: 2007-04-23
Publication date: 2007-11-08
Also published as: CN101433014A; JPWO2007125877A1; US20090100264A1

Abstract

　なりすまし攻撃に対しても安全性である通信装置を提供する。　通信相手の外部装置と共有した鍵を用いて通信対象データの秘密通信を行う通信装置は、第三者に知られることなく前記外部装置との間で安全性証明のなされた暗号方式を用いて共有すべき共有鍵を生成し、前記外部装置との間で共有され、前記共有鍵に依存する鍵依存関数を用いた認証を行うことにより、前記外部装置が正当であるか否かを判断し、前記外部装置が正当であると判断される場合に、通信対象データの秘密通信の際に、前記通信対象データの正当性検証のために前記通信対象データを用い前記共有鍵に依存する前記鍵依存関数と同一の関数を用いて検証用データを生成する。

Description

明細書

通信装置、及び通信システム

技術分野

[0001] 本発明は、情報セキュリティ技術としての暗号技術、特に共有鍵を用いて正当な通信相手と秘密通信を行う技術に関する。

背景技術

[0002] 近年、家庭用電化製品、携帯電話機などの間でネットワークを介した通信を行う機会が増加している。例えば、 AV (Audio Visual)機器ではコンテンツの著作権保護のために機器同士で、また、携帯電話機では通信内容の漏洩を防ぐために携帯電話機と通信相手である装置とで、認証鍵共有を行った後に、共有した鍵を用いて暗号ィ匕した通信を行うことがある。ここで、認証鍵共有とは、機器同士などで、通信相手の機器が正しく作られた機器であるかを、相互認証により確認し、それと同時に鍵を共有するものである（以下、共有する鍵を共有鍵という。；)。

[0003] 例えば、 AV機器同士を IEEE 1394で接続したときに使用される、 DTCP (Digital

Transmission Content Protection)と呼ばれる著作権保護規格で規定されている認証鍵共有方法がある（非特許文献 1参照)。この方法は、認証方式に楕円 DS A署名を用いたチャレンジ 'レスポンス認証を使用し、鍵共有方式に楕円 DH鍵共有を使用している。チャレンジ 'レスポンス認証、楕円 DSA署名及び楕円 DH鍵共有については、非特許文献 2が詳しい。

[0004] 上記に示す DTCPの認証鍵共有方法では、安全性の問題、すなわち、実効性のある攻撃方法の存在については特に指摘されていない。しかし、未知の攻撃方法を含めた全ての攻撃方法に対する安全性の証明はなされて!/、な!/、。

ここで、「安全性の証明」とは、暗号方式の安全性が経験的なものではなぐ数学的に証明できることである。例えば、公開鍵暗号においては、秘密鍵を持たないユーザが暗号文の解読を行う場合、数学的に求解困難であると考えられている問題 (例えば、素因数分解問題や楕円離散対数問題)を解く必要があることを証明する。この証明ができる場合、暗号文の解読が、求解困難であると考えられている問題よりも難しいことが示せたこととなる。したがって、このような証明ができる場合には、公開鍵暗号について安全性証明があることになる。

[0005] 安全性証明ができな!/、と経験的に「たぶん解読困難と思われる」と!、うレベルまでしか暗号方式の安全が保証できないので、その暗号方式を使用することに不安が残つてしまう。そのため、ユーザは、従来の認証鍵共有方法を安心して使用することはできない。

そこで、安全性証明された鍵配送方式である鍵カプセル化メカニズム (Key Enca psulation Mechanisms,以降では KEMと呼ぶ。）を用いた認証鍵共有方式が提案されている（特許文献 1参照)。この技術により鍵漏洩がなされないので、ユーザは、安心して認証鍵の共有ができる。

特許文献 1：国際公開第 WO05Z039100号

非特許文献 1 : DTCP Specificationの White paper < URL： http： //www. dtcp. com/ ata/ spec, htmレ

非特許文献 2 :岡本龍明、山本博資、 "現代暗号"、産業図書 (1997年）

発明の開示

発明が解決しょうとする課題

[0006] し力しながら、 KEMを用いた認証鍵共有方法では共有鍵の漏洩に対する安全性については証明している力なりすまし攻撃に対する安全性については証明できていない。なりすまし攻撃とは、攻撃者が通信相手のユーザ (機器）になりすまして、正当なユーザ (機器)との間で、正当なユーザ (機器)の情報を漏洩させたり、相手の通信をさせな、ように遮ろうとしたりする攻撃である。

[0007] そのため、データを送信する送信元の装置は、正当な装置であるようになりすました不正な装置に対して、データを送信する可能性があるので、システム全体としての安全性に問題が残る。

なぜなら、例えば、仮に共有鍵の漏洩に対する安全性が保証されており、また、共有鍵によって暗号ィ匕されたデータ 1つ 1つ力も共有鍵を推測することは困難であっても、暗号化されたデータを大量に収集すると共有鍵の推測が容易になることがあるからである。 [0008] したがって、認証鍵共有では、なりすまし攻撃に対して安全であることが望ましい。さらに、この場合、共有鍵の漏洩に対してのみならず、なりすまし攻撃に対する防衛策につ、ても安全性証明があることが望ま、。

そこで、本発明は、なりすまし攻撃に対しても安全性証明ができる通信装置、通信システムを提供することを目的とする。

課題を解決するための手段

[0009] 上記目的を達成するために、本発明は、通信相手の外部装置と共有した鍵を用いて通信対象データの秘密通信を行う通信装置であって、第三者に知られることなく前記外部装置との間で安全性証明のなされた暗号方式を用いて共有すべき共有鍵を生成する鍵生成手段と、前記外部装置との間で共有され、前記共有鍵に依存する鍵依存関数を用いた認証を行うことにより、前記外部装置が正当である力否かを判断する判断手段と、前記判断手段にて前記外部装置が正当であると判断される場合に、通信対象データの秘密通信の際に、前記通信対象データの正当性検証のために前記通信対象データを用い前記共有鍵に依存する前記鍵依存関数と同一の関数を用いて検証用データを生成するデータ生成手段とを備えることを特徴とする。

発明の効果

[0010] 上記に示した構成によると、通信装置は、共有鍵と鍵依存関数とを用いて認証を行い、さらに、同一の共有鍵と鍵依存関数を用いて検証用データを生成しているので、なりすまし攻撃を防ぐことができる。以下にその理由を示す。

通信装置は、認証時になりすまし攻撃を受けている場合には、その認証により不正な外部装置であると判断することができるので、以降において通信対象データを送信しないことにより、なりすまし攻撃を防ぐことができる。

[0011] また、認証後に通信装置がなりすまし攻撃により不正な装置から通信対象データを受信する場合において、通信装置は、不正な装置から通信対象データを受信してしまうが、通信相手が不正な装置であることが分かれば、受信した通信対象データを破棄すればよい。この場合において、通信対象データの正当性検証のために、不正な装置から検証データをも送信される。しカゝしながら、不正な装置は、共有鍵及びこれに依存する鍵依存関数を有してヽな、ので、正当な検証データを送信することができない。仮に、通信装置が不正な装置力も検証データを受信したとしても、受信した検証データは通信装置が有する共有鍵に依存する鍵依存関数により生成されていないため通信装置自身が生成した検証データとは異なることとなり、通信対象データが不正、つまり、通信対象データを送信した装置が不正であると判断することができる。これにより、通信装置は、通信対象データを送信した装置が不正であると判断した場合には受信した通信対象データを破棄することにより、なりすまし攻撃を防ぐことができる。

[0012] さらには、通信装置は、安全性証明のなされた暗号方式により共有すべき共有鍵を生成するので、漏洩に対して安全である。これにより、通信装置は、漏洩に対して安全である共有鍵を用いて外部装置の認証及び秘密通信を行うので、これら処理に対する安全性も保証される。

以下、簡単になりすまし攻撃に対する安全性の証明を行う。

[0013] 認証時において、通信装置が、外部装置が正当であると確認するためには、外部装置にて正しい検証用データが生成される必要があり、そのためには通信装置と外部装置との間で同一の共有鍵を共有する必要がある。しかしながら、共有鍵は安全性証明がなされた暗号方式を用いて生成されるので、漏洩される、つまり、不正な装置が共有鍵を取得することができる確率が非常に小さぐ無視できる程度となることを数学的に証明できる。そのため、不正な装置が正しい検証用データを生成することができないことも数学的に証明できる。したがって、通信装置は、なりすまし攻撃に対しても安全性が証明できる。

[0014] ここで、前記鍵生成手段は、前記第 1の鍵データを生成し、前記第 1の鍵データを秘密に前記外部装置へ送信し及び前記外部装置にて生成された第 2の鍵データを秘密に受信することにより前記外部装置との間で前記第 1の鍵データ及び前記第 2 の鍵データを共有し、共有した前記第 1の鍵データと前記第 2の鍵データとを用いて前記共有鍵を生成するとしてもよい。

[0015] この構成〖こよると、通信装置は、秘密に共有した第 1の鍵データ及び第 2の鍵データを用いて共有鍵を生成するので、共有鍵が外部に漏洩されることはな、。

ここで、前記認証は、チャレンジレスポンス認証であり、前記判断手段は、前記外部装置力前記第 1の鍵データをチャレンジデータとし、前記チャレンジデータと前記共有鍵とに前記関数を施して生成されたレスポンスデータを受け取り、前記チヤレンジレスポンス認証を行うとしてもよりヽ。

[0016] この構成〖こよると、通信装置は、チャレンジレスポンス認証時にチャレンジデータを改めて送信する必要がな、ので、通信量を削減することができる。

ここで、前記鍵生成手段は、前記第 1鍵データと前記第 2鍵データとの排他的論理和演算により共有鍵データを算出し、算出した共有鍵データ力前記共有鍵を生成するとしてちょい。

[0017] この構成によると、通信装置は、第 1鍵データと第 2鍵データとの排他的論理和演算により共有鍵データを算出しているので、共有鍵データ力も第 1鍵データと第 2鍵データを導出することを困難にすることができる。

ここで、前記鍵生成手段は、前記共有鍵データの一部を前記共有鍵とするとしてもよい。

[0018] この構成によると、通信装置は、共有鍵を、共有鍵データの一部とすることにより生成することができる。

ここで、前記鍵生成手段は、前記共有鍵データそのものを前記共有鍵とするとしてちょい。

この構成〖こよると、通信装置は、共有鍵を、共有鍵データと同一にしているので、改めて共有鍵を生成する必要がない。そのため、通信装置における処理量を削減することができる。

[0019] ここで、前記鍵生成手段は、前記第 1鍵データと前記第 2鍵データとに前記鍵依存関数を施して共有鍵データを生成し、生成した共有鍵データから前記共有鍵を生成するとしてちょい。

この構成によると、通信装置は、第 1鍵データと第 2鍵データとに関数を施して共有鍵データへと変換して、るので、第 1鍵データ及び第 2鍵データの漏洩を防ぐことができる。

[0020] ここで、前記鍵依存関数は、前記共有鍵に依存する一方向性関数であるとしてもよい。この構成によると、通信装置は、一方向性関数を用いて共有鍵データを生成している。これにより、生成された共有鍵データ力第 1鍵データ及び第 2鍵データを生成するのは困難であるので、第 1鍵データ及び第 2鍵データの漏洩に対する安全性を高めることができる。

[0021] ここで、前記共有鍵は、前記判断手段による認証及び前記検証用データの生成に用いる検証用共有鍵であり、前記鍵生成手段は、さらに、前記共有鍵データから前記外部装置との間で共有され、通信対象データの暗号化及び復号に用いる暗号用共有鍵を生成し、前記通信装置は、さらに、前記暗号用共有鍵を用いて前記通信対象データを暗号化して、暗号化データを生成し、生成した前記暗号化データを前記検証用データとともに前記外部装置へ送信する送信手段を備えるとしてもよい。

[0022] この構成によると、通信装置は、外部装置と共有すべき暗号用共有鍵を用いて通信対象データを暗号ィ匕して暗号ィ匕データを生成し、生成した暗号化データを外部装置へ送信するので、通信対象データが漏洩されることはな、。

ここで、前記共有鍵は検証用共有鍵であり、前記鍵生成手段は、さらに、前記共有鍵データから前記外部装置との間で共有すべき暗号用共有鍵を生成し、前記通信装置は、さらに、前記外部装置から前記暗号用共有鍵にて通信対象データが暗号化された暗号化データを受信する受信手段を備え、前記データ生成手段は、前記受信手段にて受信した暗号ィ匕データを復号して復号データを取得し、取得した復号データを通信対象データとして前記検証用データを生成するとしてもよい。

[0023] この構成によると、通信装置は、外部装置と共有すべき暗号用共有鍵を用いて復号された復号データ力検証データを生成するので、外部装置との間で正当な暗号用共有鍵及び正当な検証用共有鍵を共有しな!ヽ限り、正当な復号データ及び正当な検証用データを取得することができない。つまり、正当な通信装置のみが、復号データ及び検証データを取得することができる。

[0024] ここで、前記鍵生成手段は、前記鍵配送として鍵カプセル化メカニズムを用いて前記共有鍵を生成するとしてもよヽ。

この構成〖こよると、通信装置は、外部装置との間で鍵カプセル化メカニズムを用いて共有鍵を生成するので、共有鍵が漏洩されることはな、。また、鍵カプセル化メカニズムを用いることにより、鍵漏洩に対して安全であるので、認証時において、なりすまし攻撃に対する安全性が証明される。

図面の簡単な説明

[0025] [図 1]暗号通信システム 1の概要を示す図である。

[図 2]暗号通信装置 A10の構成を示すブロック図である。

[図 3]暗号通信装置 B20の構成を示すブロック図である。

[図 4]暗号通信システム 1の動作を示す流れ図である。図 5へ続く。

[図 5]暗号通信システム 1の動作を示す流れ図である。図 4から続き、図 6へ続く。

[図 6]暗号通信システム 1の動作を示す流れ図である。図 5から続き、図 7へ続く。

[図 7]暗号通信システム 1の動作を示す流れ図である。図 6から続く。

符号の説明

[0026] 1 暗号通信システム

10 暗号通信装置 A

20 暗号通信装置 B

30 通信路

101、 201 入出力部

102、 202 送受信部

103、 203 公開鍵格納部

104、 204 秘密鍵格納部

105、 205 KEM暗号文生成部

106、 206 KEM暗号文復号化部

107、 207 共有鍵生成部

108、 208 共有鍵格納部

109、 209 チャレンジデータ生成部

110、 210 レスポンスデータ生成部

111、 211 レスポンスデータ検証部

112、 212 MAC生成部

113、 213 共通鍵暗号化部 114、 214 共通鍵復号化部

115、 215 DEM暗号文生成部

116、 216 DEM暗号文復号化部

発明を実施するための最良の形態

[0027] 1.第 1の実施の形態

本発明にかかる第 1の実施の形態としての暗号通信システム 1について説明する。暗号通信システム 1は、図 1に示すように、暗号通信装置 A10と暗号通信装置 B20 とから構成され、暗号通信装置 A10と暗号通信装置 B20とは、通信路 30を介して通信を行う。

[0028] 暗号通信装置 A10及び暗号通信装置 B20は、鍵の漏洩及びなりすまし攻撃を防止して、通信相手と共有鍵を用いた暗号通信を行う。

暗号通信装置 A10及び暗号通信装置 B20における暗号通信は、大きく分けて、 3 つのフェーズ動作からなる。

1つ目のフェーズは、 KEMを用いて暗号通信装置 A10と暗号通信装置 B20とが相互認証及び鍵配送を行ヽ、互、の装置にて鍵を共有するフェーズである。

[0029] 2つ目のフェーズは、共有した鍵を用いてチャレンジ 'レスポンス認証を行うことにより、暗号通信装置 A10と暗号通信装置 B20のそれぞれが、お互いの送信相手がなりすまし攻撃を行って、な、ことを確認するフェーズである。

3つ目のフェーズは、共有した鍵を用いて暗号通信装置 A10と暗号通信装置 B20 との間で通信路 30を介して暗号したデータの送受信を行うフェーズである。

[0030] ここで、データとは、例えば、テキストデータ、音楽データ、画像データ、映画コンテンッデータである。

1. 1 準備

ここでは、本実施の形態に用いる鍵配送方式の 1つである鍵カプセル化メカニズム (Key Encapsulation Mechanisms、以降では「KEM」と呼ぶ。）について説明する。

[0031] 鍵カプセル化メカニズムは、簡単に説明すると、公開鍵暗号を用いて送信装置と受信装置の間で共有鍵を配送するアルゴリズムである。先ず、送信側が、公開鍵暗号化アルゴリズム Eに受信者の公開鍵 pkを入力して暗号文 Cと共有鍵 Kを生成し、暗号文 Cを受信側に伝送する。そして、受信側が、公開鍵復号アルゴリズム Dに、秘密鍵 skと暗号文 Cを入力して送信側と同じ共有鍵 Κを求める。なお、本明細書では、暗号文 Cを「鍵データ Kの KEM暗号文」等とも呼ぶ。

[0032] 鍵カプセル化メカニズムの目的は、鍵カプセル化メカニズムで共有鍵 Kを送信装置と受信装置で共有することにより、その後、送信装置から受信装置へ通信される通信内容データを、共有鍵 Kを用いて共通鍵暗号で暗号ィ匕することにある。ここで、送信装置を持つ送信者から受信装置を持つ受信者に一方的に情報の送信が行われていながら、送信者が作為的に共有鍵を作成できず、送信者による不正が抑制されて V、る点が従来の鍵配送方式にな、特徴である。

[0033] このような鍵カプセル化メカニズムとして、 PSEC—KEMと呼ばれるアルゴリズムが開示されている。

なお、 PSEC—KEMアルゴリズムの詳細については、著者 Tatsuaki Okamoto による Generic conversions for constructing IND—し CA2 public— key encryption in the random oracle model'，に記載されているので説を省力する。以下に、 PSEC—KEMアルゴリズムについて簡単に説明する。

[0034] (1) PSEC—KEMのシステムパラメータ

PSEC—KEMは、以下のシステムパラメータを持つ。

•楕円曲線: E

•楕円曲線 E上の位数 nの点： P

'ハッシュ関数: G、 H

なお、楕円曲線、位数及びハッシュ関数については、非特許文献 2に詳細が記述されているので、ここでは説明を省略する。

[0035] なお、ノ、ッシュ関数 G、 Hは送信側および受信側の両方で共有して、る。

(2) PSEC— KEMの公開鍵と秘密鍵

•ランダムに Znの要素 Xを選び、 W=x* Pを生成する。

ここで、 Znは、 {0, 1, . . . , n— 1 }からなる集合であり、 x * Pは、楕円曲線 E上の点 Pを X回加算することにより得られる楕円曲線上の点を表す。なお、楕円曲線上の点の加算方法にっ、ては、非特許文献 2に記述されて、る。

[0036] ·公開鍵 pkを (E, P, W, n)とし、秘密鍵 skを xとする。

(3) PSEC— KEMの暗号化

暗号化時には、以下に述べる公開鍵暗号ィ匕アルゴリズム KemEに公開鍵 pkを入力して共有鍵 Kと暗号文 Cを出力する。

以下に公開鍵暗号ィ匕アルゴリズム KemEについて説明する。

[0037] ·Ζηの要素 sをランダムに生成する。

•R=a * P, Q = a *Wを生成する。

[0038] -v=s xor H (R | | Q)を生成する。ここで、 xorは排他的論理和演算を表す。

•共有鍵 Kと暗号文 C= (R, V)を出力する。

•送信側の装置は、暗号文 Cを通信の相手先 (受信側の装置)へ送信する。

(4) PSEC— KEMの復号化

受信側の装置は、送信側の装置から暗号文 Cを受け取り、以下に述べる公開鍵復号アルゴリズム KemDに暗号文 C= (R, v)と秘密鍵 skを入力して共有鍵 Kを出力する。

[0039] 以下に公開鍵復号アルゴリズム KemDにつ、て説明する。

•Q = x *Rを生成する。ここで、上述したように Xは秘密鍵 skである。

•s' =v xor H (R I I Q)を生成する。ここで、 vと Rは暗号文 C力も得られる。 •G (s，）を生成し、 G (s，）を G (s，）=a， | | K，と分割する。ここで、分割の仕方は暗号ィ匕側と同様である。

[0040] -R=a' * Pが成立するかどうかチェックする。成立すれば K，を共有鍵 Kとして出力する。

この PSEC—KEMアルゴリズムを、送信装置と受信装置の間で暗号化通信を行う暗号システムに応用した場合、まず、送信装置は、通信先受信装置の公開鍵 pkを取得し、取得した公開鍵 pkを前述の公開鍵暗号ィ匕アルゴリズム KemEに入力して共有鍵 Kと暗号文 Cを導出して、暗号文 Cを受信装置へ送信する。そして、受信装置は、送信装置から暗号文 Cを受信し、受信した暗号文じと自身が有する秘密鍵 skを前述の公開鍵復号アルゴリズム KemDに入力して、送信装置が導出したものと等しい共有鍵 Kを導出する。

[0041] 以下に、このことを詳細に説明する。

今、 PSEC—KEMアルゴリズムは、ハッシュ関数 Hの入力を（a* P | | a*W)としており、公開鍵暗号化アルゴリズム KemEで、ランダムに生成した要素 sに H (a* P | I a *W)の値を作用させて Vを生成する。そして、公開鍵復号アルゴリズム KemDでは、暗号文 Cに含まれる R=a*P力秘密鍵 sk( = x)を用いて Q = x*R=x* (a* P)=a* (x*P)=a*Wを求めることができるので、 v xor H(a*P | | a*W)を計算することにより、公開鍵暗号ィ匕アルゴリズム KemEにお、て生成されたランダムな要素 sを求めることができる。ここで、 V xor H(a*P I | a*W)は、公開鍵暗号化アルゴリズム KemEカ^から Vを計算する演算の逆演算である。従って、公開鍵暗号化アルゴリズム KemEと公開鍵復号アルゴリズム KemDは、ハッシュ関数 Gに同じ s の値を入力することができ、同じ共有鍵 Kを導出することができる。この結果、秘密鍵 skを有する受信装置は、送信装置が導出したものと同じ共有鍵 Kを導出できることになる。

[0042] 一方で、秘密鍵 skを知らな、他の受信装置は、たとえ公開鍵 pkを取得して暗号文 Cを受信したとしても、秘密鍵 sk( = x)を知らないので R=a*Pから Q = a*W(= (a x) *P)を計算できず、送信装置が導出したものと同じ共有鍵 Kを導出できない。なぜならば、秘密鍵 skを知らない他の受信装置は、公開鍵 pkし力利用できないので、上記 Qの計算には秘密鍵 sk(=x)の代わりに公開鍵 pkに含まれる W=x*Pを利用することになるが、一般に、 a*Pと W=x*P力ら、 Q = a*W(=(ax) *P)を求めることは、楕円曲線上の Diffie— Hellman問題と呼ばれ、 aや xの値を知らない限り計算困難だからである。なお、これについては、著者 Neal Koblitzによる" Algebraic Aspects of cryptography algorithms and Computation in Mathe matics Vol. 3, pp. 132— 133, Springer -Verlag, 1998. )に記載されているので、ここでの説明は省略する。 [0043] すなわち、 PSEC—KEMアルゴリズムは、秘密鍵を用いずに a * Pから a * Wを計算することが困難な Diffie—Hellman問題を用いて、最終的に共有鍵 Kを導出することにより、秘密鍵を知らなければその共有鍵 Kを導出できな、ようにして、る。

よって、以上により、送信装置と受信装置とは、共有鍵 Kを秘密に共有することができ、この後、秘密鍵暗号を用いて、送信装置から受信装置へ通信される通信内容データを、共有鍵 Kを用いて共通鍵暗号で暗号ィ匕することができる。

[0044] 上記の PSEC— KEMアルゴリズムは、先に述べた楕円曲線上の Diffie— Hellma n問題が困難であれば、秘密鍵を知らない受信装置は共有鍵 Kを得ることができないことが証明されている。このような証明を方式の安全性を証明していることから、「安全性証明」と呼ぶ。 PSEC—KEMの他の KEMアルゴリズム、例えば RSA—KEMや N TRU-KEM (特開 2004 - 201292号公報及び特開 2004 - 201293号公報参照 )なども同様の困難な数学上の問題を根拠として安全性証明されている。

[0045] なお、 RSA— KEMの詳細については、著者 Victor Shoupにより" A proposal for an I¾0 standard for public key encryption (version 2. 1) に記載されて、るので説明を省略する。

また、 NTRU— KEMの詳細については、特開 2004— 201292号公報及び特開 2 004— 201293号公報に記載されているので説明を省略する。

[0046] 上記にて説明した KEMを用いて、 2台の暗号通信装置の双方から KEM暗号文を送りあうこともある。この場合、一方の暗号通信装置 Aから他の暗号通信装置 Bに KE M暗号文を送ることで共有される共有鍵 (KAと呼ぶ)と、暗号通信装置 Bから暗号通信装置 Aに KEM暗号文を送ることで共有される共有鍵 (KBと呼ぶ）との両方を用いて共有鍵 Kを作ることで、より安全な鍵共有ができる。

[0047] 暗号通信システム 1では、このような双方力 KEM暗号部を送りあう構成で鍵共有を行う。

以下に、暗号通信システム 1を攻勢する暗号通信装置 A10、 B20、及びこれらの動作について説明する。

1. 2 暗号通信装置 A10の構成

暗号通信装置 A10は、図 2に示すように、入出力部 101、送受信部 102、公開鍵格納部 103、秘密鍵格納部 104、 KEM暗号文生成部 105、 KEM暗号文復号化部 106、共有鍵生成部 107、共有鍵格納部 108、チャレンジデータ生成部 109、レスポンスデータ生成部 110、レスポンスデータ検証部 111、 MAC (改ざん検出符号、 Me ssage Authentication Code)生成部 112、共通鍵暗号化部 113、共通鍵復号化部 114、 DEM (Data Encapsulation Mechanism)暗号文生成部 115、及び DEM暗号文復号化部 116から構成されて、る。

[0048] (1)公開鍵格納部 103

公開鍵格納部 103は、暗号通信装置 B20の公開鍵 KPBを格納している。なお、公開鍵 KPBは、秘密鍵 KSBと共に暗号通信装置 B20に対応付けて、予め与えられている。また、暗号通信装置 A10では、公開鍵 KPBは予め外部から与えられて格納されている力、あるいは、暗号通信装置 B20から送信され、通信路 30を介して予め受信されて格納されてヽるものとする。

[0049] (2)秘密鍵格納部 104

秘密鍵格納部 104は、暗号通信装置 A 10の秘密鍵 KS Aを格納してヽる。なお、秘密鍵 KSAは、公開鍵 KPAと共に暗号通信装置 A10に対応付けて、予め与えられている。

(3) KEM暗号文生成部 105

KEM暗号文生成部 105は、公開鍵 KPBと、鍵カプセル化メカニズム（KEM)の公開鍵暗号化アルゴリズム KemEとを用いて、鍵データ KA及び鍵データ KAに対する KEM暗号文 KEMAを生成する。鍵データ KA及び KEM暗号文 KEMAの生成方法については、上記にて示す PSEC— KEMの暗号化と同様の方法であるので、説明は省略する。

[0050] KEM暗号文生成部 105は、生成した KEM暗号文 KEMAを送受信部 102を介して暗号通信装置 B20へ送信する。

KEM暗号文生成部 105は、生成した鍵データ KAを共有鍵生成部 107へ出力する。

(4) KEM暗号文復号化部 106

KEM暗号文復号化部 106は、暗号通信装置 B20から送受信部 102を介して、 KE Mにおける公開鍵暗号化アルゴリズム KemEにより鍵データ KBが暗号化された暗号文である KEM暗号文 KEMBを受信する。

[0051] KEM暗号文復号化部 106は、公開鍵暗号ィ匕アルゴリズム KemEに対応する公開鍵復号アルゴリズム KemDに対して、秘密鍵 KSA及び KEM暗号文 KEMBを入力値として与えて、受信した KEM暗号文 KEMBを復号ィ匕して、鍵データ KBを生成する。鍵データ KBの復号化方法については、上記にて示す PSEC— KEMの復号化と同様の方法であるので、説明は省略する。

[0052] KEM暗号文復号化部 106は、生成した鍵データ KBを共有鍵生成部 107へ出力する。

(5)共有鍵生成部 107

共有鍵生成部 107は、 KEM暗号文生成部 105から鍵データ KAを、 KEM暗号文復号ィ匕部 106から鍵データ KBを、それぞれ受け取る。

[0053] 共有鍵生成部 107は、受け取った鍵データ KAと KBを用いて、共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを生成し、生成した共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを共有鍵格納部 108に格納する。

以下に共通鍵暗号用共有鍵 KS及び MAC用共有鍵 KHの生成の具体例を以下に示す。

共有鍵生成部 107は、鍵データ KAと KBとの排他的論理和 (xor)を取り、共有鍵データ Kを生成する。共有鍵生成部 107は、生成した共有鍵データ Kの一部を共通鍵暗号用共有鍵 KSとし、それ以外の部分を MAC用共有鍵 KHとする。つまり、共有鍵生成部 107は、生成した共有鍵データ Kに対して、 K=KS I I KHを満たすように共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを取得すればよい。ここで、 I I は連結を示す。また、共有データ Kから共通鍵暗号用共有鍵 KSと MAC用共有鍵 K Hとを取得するための区切り位置は、暗号通信装置 B20側と揃って、れば任意の位置でよい。

[0054] なお、共有鍵データ Kの生成方法は、鍵データ KAと KBの両方の情報が含まれるものであればよい。例えば、鍵データ KAと KBのビットまたはノイト連結したデータ K ，のハッシュ関数値を共有鍵データ Kとしてもよ、。 (6)共有鍵格納部 108

共有鍵格納部 108は、共有鍵生成部 107で生成した共通鍵暗号用共有鍵 KSと M AC用共有鍵 KHとを格納するための領域を有して、る。

[0055] (7)チャレンジデータ生成部 109

チャレンジデータ生成部 109は、乱数であるチャレンジデータ nAを生成し、生成したチャレンジデータ nAを、送受信部 102を介して暗号通信装置 B20へ送信する。チャレンジデータ生成部 109は、生成したチャレンジデータ nAを一時的に記憶する。

[0056] (8)レスポンスデータ生成部 110

レスポンスデータ生成部 110は、暗号通信装置 B20から送受信部 102を介して、チャレンジデータ nBと、チャレンジデータ生成部 109にて送信したチャレンジデータ nA に対するレスポンスデータ rBを受け取る、または、チャレンジデータ nBのみ受け取る

[0057] (チャレンジデータ nBとレスポンスデータ rBとを受け取った場合）

レスポンスデータ生成部 110は、暗号通信装置 B20からチャレンジデータ nBとレスポンスデータ rBとを受け取ると、受け取ったチャレンジデータ nBを一時的に記憶するレスポンスデータ生成部 110は、レスポンスデータ rBと、レスポンスデータの検証を指示する旨の検証指示とをレスポンスデータ検証部 111へ出力する。

[0058] レスポンスデータ生成部 110は、レスポンスデータ検証部 111からレスポンスデータの生成を指示する旨のレスポンスデータ生成指示を受け取ると、改ざん検出符号 (M essage Authentication Code, MAC)の生成を指示する旨の MAC生成指示と、一時的に記憶しているチャレンジデータ nBとを MAC生成部 112へ出力する。

[0059] レスポンスデータ生成部 110は、 MAC生成部 112から MAC値 HnBを受け取ると、受け取った MAC値 HnBをレスポンスデータ rAとして、送受信部 102を介して暗号通信装置 B20へ送信する。

なお、 MAC値 HnBについては、 MAC生成部 112の説明の箇所で後述する。 (チャレンジデータ nBのみ受け取った場合）レスポンスデータ生成部 110は、暗号通信装置 B20からチャレンジデータ nBを受け取ると、 MAC生成指示と、受け取ったチャレンジデータ nBとを MAC生成部 112 へ出力する。

[0060] レスポンスデータ生成部 110は、 MAC生成部 112から MAC値 HnBを受け取ると、受け取った MAC値 HnBをレスポンスデータ rAとして、チャレンジデータ生成部 10 9にて生成したチャレンジデータ nAとともに、送受信部 102を介して暗号通信装置 B 20へ送信する。

(9)レスポンスデータ検証部 111

レスポンスデータ検証部 111は、レスポンスデータ生成部 110から検証指示と、レスポンスデータ rBとを受け取ると、チャレンジデータ生成部 109にて一時的に記憶されて、るチャレンジデータ nAを取得する。

[0061] レスポンスデータ検証部 111は、 MAC生成指示と、取得したチャレンジデータ nA とを MAC生成部 112へ出力する。

レスポンスデータ検証部 111は、 MAC生成部 112から MAC値 HnAを受け取ると、 MAC値 HnAとレスポンスデータ rBとが一致するか否かを判断する。

一致すると判断する場合には、レスポンスデータ生成部 110は、レスポンスデータ生成指示をレスポンスデータ生成部 110へ出力する。

[0062] 一致しないと判断する場合には、レスポンスデータ生成部 110は、暗号通信に係る処理全体を中止する。

レスポンスデータ検証部 111は、暗号通信装置 B20から送受信部 102を介して、レスポンスデータ rBを受け取ると、チャレンジデータ生成部 109にて一時的に記憶されているチャレンジデータ nAを取得し、上記と同様の動作を行い、レスポンスデータ rB の検証を行う。

[0063] (10) MAC生成部 112

MAC生成部 112は、鍵付ハッシュ関数 Hashを予め記憶している。鍵付ハッシュ関数とは、鍵とデータとが入力として与えられ、鍵に依存する一方向性関数である。本実施の形態で用いる鍵付ハッシュ関数 Hashは、 MAC用共有鍵 KHを用い、且つ M AC用共有鍵 KHに依存する関数である。鍵付ハッシュ関数の詳細については、非特許文献 2の 189〜195ページに記載されているので説明を省略する。

[0064] MAC生成部 112は、 MAC対象データに対して、共有鍵格納部 108に格納している MAC用共有鍵 KHを使用して、所定のビット長 t (tは 1以上)力もなる改ざん検出符号の値 (MAC値)を生成 (算出)する。

ここで、 MAC対象データ DMに対する MAC値を、 HDM = Hash (KH, DM)とする。また、 Hash (KH, DM)は、 MAC用共有鍵 KHを用いて鍵付ハッシュ関数 Hash で計算したデータ DMのハッシュ値を意味する。

[0065] MAC生成部 112は、レスポンスデータ生成部 110から MAC生成指示と、チヤレンジデータ nBとを受け取ると、共有鍵格納部 108に格納してヽる MAC用共有鍵 KH を取得する。 MAC生成部 112は、予め記憶している鍵付ハッシュ関数 Hashと、取得した KHとを用いて、チャレンジデータ nBに対する MAC値 HnB (= Hash (KH, n B) )を算出し、算出した MAC値 HnBをレスポンスデータ生成部 110へ出力する。

[0066] MAC生成部 112は、レスポンスデータ検証部 111から MAC生成指示と、チヤレンジデータ nAとを受け取ると、共有鍵格納部 108に格納している MAC用共有鍵 KH を取得する。 MAC生成部 112は、予め記憶している鍵付ハッシュ関数 Hashと、取得した KHとを用いて、チャレンジデータ nAに対する MAC値 HnA (=Hash (KH, nA) )を算出し、算出した MAC値 HnAをレスポンスデータ検証部 111へ出力する。

[0067] MAC生成部 112は、 MAC生成指示と、共通鍵暗号により暗号化し暗号通信装置 B20へ送信するデータ（以下、暗号ィ匕対象データという。）DAとを、 DEM暗号文生成部 115から受け取ると、共有鍵格納部 108に格納してヽる MAC用共有鍵 KHを取得する。 MAC生成部 112は、予め記憶している鍵付ハッシュ関数 Hashと、取得した KHとを用いて、暗号化対象データ DAに対する MAC値 HDA( = Hash (KH, D A) )を算出し、算出した MAC値 HDAを DEM暗号文生成部 115へ出力する。

[0068] MAC生成部 112は、 MAC生成指示と、 DEM暗号文復号化部 116から復号化データ DB'とを受け取ると、共有鍵格納部 108に格納している MAC用共有鍵 KHを取得する。 MAC生成部 112は、予め記憶している鍵付ハッシュ関数 Hashと、取得した KHとを用いて、復号化データ DB'に対する MAC値 HDB' ( = Hash (KH, DB' ) ) を算出し、算出した M AC値 HDB，を DEM暗号文生成部 115へ出力する。 [0069] 復号化データ DB'については、共通鍵復号化部 114の説明の箇所で後述する。なお、 Hash (KH, DM)は、 Hash (KH, DM) =SHA1 (KH | | DM)としてもよい。ここで、 SHAl (x)は、 xの SHA1ハッシュ関数値であり、 | |は連結を示す。

(11)共通鍵暗号化部 113

共通鍵暗号化部 113は、暗号化対象データ DAと、暗号化を指示する旨の暗号ィ匕指示とを、 DEM暗号文生成部 115から受け取ると、共有鍵格納部 108に格納している共通鍵暗号用共有鍵 KSを取得する。

[0070] 共通鍵暗号ィ匕部 113は、取得した共通鍵暗号用共有鍵 KSと、共通鍵暗号ァルゴリズムとを用いて、暗号ィ匕対象データ DAを暗号ィ匕して、暗号化対象データ DAに対する喑号化データEDA(=Enc (KS, DA) )を生成する。ここで、 Enc (KS, DA)は、鍵 KSを用いてデータ DAを共通鍵暗号で暗号ィ匕した暗号文を意味する。共通鍵暗号は例えば DES暗号や AES暗号である。共通鍵暗号の詳細については、非特許文献 2の 79〜105ページに記載されているので説明を省略する。

[0071] 共通鍵暗号化部 113は、生成した暗号化データ Enc (KS, DA)を DEM暗号文生成部 115へ出力する。

(12)共通鍵復号化部 114

共通鍵復号化部 114は、暗号化対象データ DBを共通鍵暗号用共有鍵 KSで暗号化した暗号ィ匕データ EDB (=Enc (KS, DB) )と、暗号化データの復号化を指示する旨の復号指示とを、 DEM暗号文復号化部 116から受け取ると、共有鍵格納部 10 8に格納して、る共通鍵暗号用共有鍵 KSを取得する。

[0072] 共通鍵復号ィ匕部 114は、取得した共通鍵暗号用共有鍵 KSと、共通鍵復号化アルゴリズムとを用いて、暗号ィ匕データ Enc (KS, DB)を復号ィ匕して、復号化データ DB，を生成する。

共通鍵復号ィ匕部 114は、生成した復号化データ DB'を DEM暗号文復号化部 116 へ出力する。

[0073] (13) DEM暗号文生成部 115

DEM暗号文生成部 115は、外部から入出力部 101を介して、暗号化対象データ DAを受け取ると、暗号化指示と、受け取った暗号ィ匕対象データ DAとを、共通鍵暗号ィ匕部 113へ出力する。

DEM暗号文生成部 115は、 MAC指示と、受け取った暗号化対象データ DAとを MAC生成部 112へ出力する。

[0074] DEM暗号文生成部 115は、喑号化データEDA(=Enc (KS, DA) )を共通鍵喑号化部 113から受け取り、 MACfgHDA ( = Hash (KH, DA) )を MAC生成部 112 力受け取ると、これらを連結して、 DEM暗号文 DEMA(=Enc (KS, DA) | | H DA)を生成する。

DEM暗号文生成部 115は、生成した DEM暗号文 DEMAを、送受信部 102を介して暗号通信装置 B20へ送信する。

[0075] ( 14) DEM暗号文復号化部 116

DEM暗号文復号化部 116は、暗号通信装置 B20から送受信部 102を介して、 DE M暗号文 DEMB ( = EDB | | HDB)を受け取る。ここで、 EDBは暗号化対象データ DBを暗号通信装置 B20が有する共通鍵暗号用共有鍵 KSにて暗号化した暗号化データ（Enc (KS, DB) )であり、 HDBは暗号化対象データ DBに対する MAC値 (H ash (KH, DB) )である。

[0076] DEM暗号文復号化部 116は、受け取った DEM暗号文 DEMB ( = EDB I | HD B)を暗号化データ EDBと MAC値 HDBとに分離する。

ここで、分解の一例を示す。 DEM暗号文 DEMBのビット長を uとすると、上述したように、 MAC値 HDBのビット長は tであるので、 u>tであることが分かる。 DEM暗号文復号化部 116は、 u— tビット長力なるデータを DEM暗号文 DEMBの先頭力抽出し、抽出したデータを暗号化データ EDBとし、残り tビット長からなるデータを MAC 値 HDBとする。

[0077] DEM暗号文復号化部 116は、復号指示と、暗号化データ EDB ( = Enc (KS, DB ) )とを共通鍵復号ィ匕部 114へ出力する。

DEM暗号文復号ィ匕部 116は、復号ィ匕データ DB'を共通鍵復号ィ匕部 114から受け取ると、 MAC指示と復号化データ DB'とを MAC生成部 112へ出力する。

DEM暗号文復号化部 116は、 MAC値 HDB' ( = Hash(KH、 DB' ) )を受け取ると、 DEM暗号文 DEMB力分離した HDBとを比較し、一致するか否かを判断する。 [0078] 一致すると判断する場合には、 DEM暗号文復号化部 116は、復号化データ DB' 、つまり暗号化対象データ DBを、入出力部 101を介して外部へ出力する。

一致しないと判断する場合には、 DEM暗号文復号化部 116は、暗号通信に係る処理全体を中止する。

(15)入出力部 101

入出力部 101は、外部から暗号ィ匕対象データ DAを受け付け、受け付けた暗号ィ匕対象データ DAを DEM暗号文生成部 115へ出力する。

[0079] 入出力部 101は、 DEM暗号文復号ィ匕部 116から復号ィ匕データ DB'を受け取ると、受け取った復号ィ匕データ DB'を外部へ出力する。

(16)送受信部 102

送受信部 102は、 KEM暗号文 KEMAを KEM暗号文生成部 105から受け取ると、受け取った KEM暗号文 KEMAを、通信路 30を介して暗号通信装置 B20へ送信する。

[0080] 送受信部 102は、暗号通信装置 B20から通信路 30を介して、 KEM暗号文 KEM Bを受け取ると、受け取った KEM暗号文 KEMBを KEM暗号文復号化部 106へ出力する。

送受信部 102は、チャレンジデータ nAをチャレンジデータ生成部 109から受け取ると、受け取ったチャレンジデータ nAを、通信路 30を介して暗号通信装置 B20へ送信する。

[0081] 送受信部 102は、レスポンスデータ rAをレスポンスデータ生成部 110から受け取ると、受け取ったレスポンスデータ rAを、通信路 30を介して暗号通信装置 B20へ送信する。

送受信部 102は、暗号通信装置 B20から通信路 30を介して、チャレンジデータ nB とレスポンスデータ rBとを、若しくはチャレンジデータ nBのみを受け取ると、受け取つたチャレンジデータ nB及びレスポンスデータ rBを、若しくはチャレンジデータ nBを、レスポンスデータ生成部 110へ出力する。

[0082] 送受信部 102は、暗号通信装置 B20から通信路 30を介して、レスポンスデータ rB を受け取ると、受け取ったレスポンスデータ rBをレスポンスデータ検証部 111へ出力する。

送受信部 102は、 DEM喑号文DEMAをDEM喑号文生成部115から受け取ると、受け取った DEM暗号文 DEMAを、通信路 30を介して暗号通信装置 B20へ送信する。

[0083] 送受信部 102は、暗号通信装置 B20から通信路 30を介して、 DEM暗号文 DEM Bを受け取ると、受け取った DEM暗号文 DEMBを DEM暗号文復号化部 116へ出力する。

1. 3 暗号通信装置 B20の構成

暗号通信装置 B20は、図 3に示すように、入出力部 201、送受信部 202、公開鍵格納部 203、秘密鍵格納部 204、 KEM暗号文生成部 205、 KEM暗号文復号化部 20 6、共有鍵生成部 207、共有鍵格納部 208、チャレンジデータ生成部 209、レスポンスデータ生成部 210、レスポンスデータ検証部 211、 MAC生成部 212、共通鍵暗号化部 213、共通鍵復号化部 214、 DEM暗号文生成部 215、及び DEM暗号文復号化部 216から構成されている。

[0084] (1)公開鍵格納部 203

公開鍵格納部 203は、暗号通信装置 A10の公開鍵 KPAを格納して、る。なお、公開鍵 KPAは、秘密鍵 KSAと共に暗号通信装置 A10に対応付けて、予め与えられている。また、暗号通信装置 B20では、公開鍵 KPAは予め外部から与えられて格納されている力、あるいは、暗号通信装置 A10から送信され、通信路 30を介して予め受信されて格納されてヽるものとする。

[0085] (2)秘密鍵格納部 204

秘密鍵格納部 204は、暗号通信装置 B20の秘密鍵 KSBを格納してヽる。なお、秘密鍵 KSBは、公開鍵 KPBと共に暗号通信装置 B20に対応付けて、予め与えられている。

(3) KEM暗号文生成部 205

KEM暗号文生成部 205は、公開鍵 KPAと、鍵カプセル化メカニズム（KEM)の公開鍵暗号化アルゴリズム KemEとを用いて、鍵データ KB及び鍵データ KBに対する KEM暗号文 KEMBを生成する。鍵データ KB及び KEM暗号文 KEMBの生成方法については、上記にて示す PSEC— KEMの暗号化と同様の方法であるので、説明は省略する。

[0086] KEM暗号文生成部 205は、生成した KEM暗号文 KEMBを送受信部 202を介して暗号通信装置 A10へ送信する。

KEM暗号文生成部 205は、生成した鍵データ KBを共有鍵生成部 207へ出力する。

(4) KEM暗号文復号化部 206

KEM暗号文復号化部 206は、暗号通信装置 A10から送受信部 202を介して、 K EM暗号文 KEMAを受信する。

[0087] KEM暗号文復号化部 206は、公開鍵暗号ィ匕アルゴリズム KemEに対応する公開鍵復号アルゴリズム KemDに対して、秘密鍵 KSB及び KEM暗号文 KEMAを入力値として与えて、受信した KEM暗号文 KEMAを復号ィ匕して、鍵データ KAを生成する。鍵データ KAの復号化方法については、上記にて示す PSEC— KEMの復号化と同様の方法であるので、説明は省略する。

[0088] KEM暗号文復号化部 206は、生成した鍵データ KAを共有鍵生成部 207へ出力する。

(5)共有鍵生成部 207

共有鍵生成部 207は、 KEM暗号文生成部 205から鍵データ KBを、 KEM暗号文復号ィ匕部 206から鍵データ KAを、それぞれ受け取る。

[0089] 共有鍵生成部 207は、受け取った鍵データ KAと KBを用いて、共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを生成し、生成した共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを共有鍵格納部 208に格納する。

共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとの生成には、共有鍵生成部 107 における生成方法と同一の方法が用いられる。

[0090] (6)共有鍵格納部 208

共有鍵格納部 208は、共有鍵生成部 207で生成した共通鍵暗号用共有鍵 KSと M AC用共有鍵 KHとを格納するための領域を有して、る。

(7)チャレンジデータ生成部 209 チャレンジデータ生成部 209は、乱数であるチャレンジデータ nBを生成し、生成したチャレンジデータ nBを、送受信部 202を介して暗号通信装置 B20へ送信する。

[0091] チャレンジデータ生成部 209は、生成したチャレンジデータ nBを一時的に記憶する。

(8)レスポンスデータ生成部 210

レスポンスデータ生成部 210は、暗号通信装置 A10から送受信部 202を介して、チャレンジデータ nAと、チャレンジデータ生成部 209にて送信したチャレンジデータ nBに対するレスポンスデータ r Aを受け取る、または、チャレンジデータ nAのみ受け取る。

[0092] (チャレンジデータ nAとレスポンスデータ rAとを受け取った場合）

レスポンスデータ生成部 210は、暗号通信装置 A10からチャレンジデータ nAとレスポンスデータ rAとを受け取ると、受け取ったチャレンジデータ nAを一時的に記憶する。

レスポンスデータ生成部 210は、レスポンスデータ rAと、レスポンスデータの検証を指示する旨の検証指示とをレスポンスデータ検証部 211へ出力する。

[0093] レスポンスデータ生成部 210は、レスポンスデータ検証部 211からレスポンスデータの生成を指示する旨のレスポンスデータ生成指示を受け取ると、 MAC生成指示と、一時的に記憶しているチャレンジデータ nAとを MAC生成部 212へ出力する。レスポンスデータ生成部 210は、 MAC生成部 212から MAC値 HnAを受け取ると、受け取った MAC値 HnAをレスポンスデータ rBとして、送受信部 202を介して暗号通信装置 A10へ送信する。

[0094] なお、 MAC値 HnAについては、 MAC生成部 212の説明の箇所で後述する。

(チャレンジデータ nAのみ受け取った場合）

レスポンスデータ生成部 210は、暗号通信装置 A10からチャレンジデータ nAを受け取ると、 MAC生成指示と、受け取ったチャレンジデータ nAとを MAC生成部 212 へ出力する。

[0095] レスポンスデータ生成部 210は、 MAC生成部 112から MAC値 HnAを受け取ると、受け取った MAC値 HnAをレスポンスデータ rBとして、チャレンジデータ生成部 20 9にて生成したチャレンジデータ nBとともに、送受信部 202を介して暗号通信装置 B 20へ送信する。

(9)レスポンスデータ検証部 211

レスポンスデータ検証部 211は、レスポンスデータ生成部 210から検証指示と、レスポンスデータ rAとを受け取ると、チャレンジデータ生成部 209にて一時的に記憶されて、るチャレンジデータ nBを取得する。

[0096] レスポンスデータ検証部 211は、 MAC生成指示と、取得したチャレンジデータ nB とを MAC生成部 212へ出力する。

レスポンスデータ検証部 211は、 MAC生成部 212から MAC値 HnBを受け取ると、 MAC値 HnBとレスポンスデータ rAとが一致するか否かを判断する。

一致すると判断する場合には、レスポンスデータ生成部 210は、レスポンスデータ生成指示をレスポンスデータ生成部 210へ出力する。

[0097] 一致しないと判断する場合には、レスポンスデータ生成部 210は、暗号通信に係る処理全体を中止する。

レスポンスデータ検証部 211は、暗号通信装置 A10から送受信部 202を介して、レスポンスデータ rAを受け取ると、チャレンジデータ生成部 209にて一時的に記憶されているチャレンジデータ nBを取得し、上記と同様の動作を行い、レスポンスデータ rA の検証を行う。

[0098] (10) MAC生成部 212

MAC生成部 212は、鍵付ハッシュ関数 Hashを予め記憶している。

MAC生成部 112は、 MAC対象データ DMに対して、共有鍵格納部 208に格納している MAC用共有鍵 KHを使用して、所定のビット長 t (tは 1以上）からなる MAC値 HDMを生成（算出）する。なお、 MAC生成部 212にて生成される MAC値のビット長は、暗号通信装置 A20の MAC生成部 112にて生成される MAC値のビット長と同一である。

[0099] MAC生成部 212は、レスポンスデータ生成部 210から MAC生成指示と、チヤレンジデータ nAとを受け取ると、共有鍵格納部 208に格納している MAC用共有鍵 KH を取得する。 MAC生成部 212は、予め記憶している鍵付ハッシュ関数 Hashと、取得した KHとを用いて、チャレンジデータ nAに対する MAC値 HnA (=Hash (KH, ηΑ) )を算出し、算出した MAC値 ΗηΑをレスポンスデータ生成部 210へ出力する。

[0100] MAC生成部 212は、レスポンスデータ検証部 211から MAC生成指示と、チヤレンジデータ nBとを受け取ると、共有鍵格納部 208に格納している MAC用共有鍵 KH を取得する。 MAC生成部 212は、予め記憶している鍵付ハッシュ関数 Hashと、取得した MAC用共有鍵 KHとを用いて、チャレンジデータ nBに対する MAC値 HnB ( =Hash (KH, nB) )を算出し、算出した MAC値 HnBをレスポンスデータ検証部 21 1へ出力する。

[0101] MAC生成部 212は、 MAC生成指示と、暗号通信装置 A10へ暗号化し送信するデータである暗号ィ匕対象データ DBとを、 DEM暗号文生成部 215から受け取ると、共有鍵格納部 208に格納してヽる MAC用共有鍵 KHを取得する。 MAC生成部 21 2は、予め記憶している鍵付ハッシュ関数 Hashと、取得した MAC用共有鍵 KHとを用いて、暗号化対象データ DBに対する MAC値 HDB ( = Hash(KH, DB) )を算出し、算出した MAC値 HDBを DEM暗号文生成部 215へ出力する。

[0102] MAC生成部 212は、 MAC生成指示と、 DEM暗号文復号化部 216から復号化データ DA，とを受け取ると、共有鍵格納部 208に格納している MAC用共有鍵 KHを取得する。 MAC生成部 212は、予め記憶している鍵付ハッシュ関数 Hashと、取得した MAC用共有鍵 KHとを用いて、復号化データ DA，に対する MAC値 HDA， ( = Has h (KH, DA' ) )を算出し、算出した MAC値 HDA，を DEM暗号文生成部 215へ出力する。

[0103] 復号ィ匕データ DA，については、共通鍵復号ィ匕部 214の説明の箇所で後述する。

(11)共通鍵暗号化部 213

共通鍵暗号ィ匕部 213は、暗号化対象データ DBと、暗号化を指示する旨の暗号ィ匕指示とを、 DEM暗号文生成部 215から受け取ると、共有鍵格納部 208に格納している共通鍵暗号用共有鍵 KSを取得する。

[0104] 共通鍵暗号ィ匕部 213は、取得した共通鍵暗号用共有鍵 KSと、共通鍵暗号ァルゴリズムとを用いて、暗号ィ匕対象データ DBを暗号ィ匕して、暗号化対象データ DBに対する喑号化データEDB (=Enc (KS, DB) )を生成する。ここで、 Enc (KS, DB)は、鍵 KSを用いてデータ DBを共通鍵暗号で暗号ィ匕した暗号文を意味する。共通鍵暗号は例えば DES暗号や AES暗号である。共通鍵暗号については、非特許文献 2 の 79〜105ページに記載されている。

[0105] 共通鍵暗号化部 213は、生成した暗号化データ Enc (KS, DB)を DEM暗号文生成部 215へ出力する。

(12)共通鍵復号ィ匕部 214

共通鍵復号化部 214は、暗号化対象データ DAを共通鍵暗号用共有鍵 KSで暗号化した暗号ィ匕データ EDA (=Enc (KS, DA) )と、暗号化データの復号化を指示する旨の復号指示とを、 DEM暗号文復号ィ匕部 216から受け取ると、共有鍵格納部 20 8に格納して、る共通鍵暗号用共有鍵 KSを取得する。

[0106] 共通鍵復号ィ匕部 214は、取得した共通鍵暗号用共有鍵 KSと、共通鍵復号化アルゴリズムとを用いて、暗号ィ匕データ Enc (KS, DA)を復号ィ匕して、復号ィ匕データ DA，を生成する。

共通鍵復号ィ匕部 214は、生成した復号ィ匕データ DA，を DEM暗号文復号化部 21 6へ出力する。

[0107] (13) DEM暗号文生成部 215

DEM暗号文生成部 215は、外部力も入出力部 201を介して、暗号化対象データ DBを受け取ると、暗号化指示と、受け取った暗号ィ匕対象データ DBとを、共通鍵暗号ィ匕部 213へ出力する。

DEM暗号文生成部 215は、 MAC指示と、受け取った暗号化対象データ DBとを MAC生成部 212へ出力する。

[0108] DEM暗号文生成部 215は、暗号化データ EDB (=Enc (KS, DB) )を共通鍵喑号ィ匕部 213から受け取り、 MACfgHDB ( = Hash (KH, DB) )を MAC生成部 212 力受け取ると、これらを連結して、 DEM暗号文 DEMB ( = Enc (KS, DB) | | H DB)を生成する。

DEM暗号文生成部 215は、生成した DEM暗号文 DEMBを、送受信部 202を介して暗号通信装置 A10へ送信する。

[0109] (14) DEM暗号文復号化部 216 DEM暗号文復号化部 216は、暗号通信装置 A10から送受信部 202を介して、 D EM暗号文 DEMA( = EDA | | HDA)を受け取る。ここで、 EDAは暗号化対象データ DAを暗号通信装置 A10が有する共通鍵暗号用共有鍵 KSにて暗号化された暗号化データ（Enc (KS, DA) )であり、 HDAは暗号化対象データ DAに対する MA C値（Hash (KH, DA) )である。

[0110] DEM暗号文復号化部 216は、受け取った DEM暗号文 DEMA ( = EDA I | HD A)を暗号化データ EDAと MAC値 HDAとに分離する。なお、 DEM暗号文復号ィ匕部 216は、上記にて示す DEM暗号文復号ィ匕部 116の分解の方法と同一の方法で DEM暗号文 DEMAの分解を行う。

DEM暗号文復号化部 216は、復号指示と、喑号化データEDA(=Enc (KS, DA ) )とを共通鍵復号ィ匕部 214へ出力する。

[0111] DEM暗号文復号化部 216は、復号ィ匕データ DA'を共通鍵復号ィ匕部 214から受け取ると、 MAC指示と復号ィ匕データ DA'とを MAC生成部 212へ出力する。

DEM暗号文復号化部 216は、 MAC値 HDA' ( = Hash (KH、 DB' ) )を受け取ると、 DEM暗号文 DEMAから分離した HDAとを比較し、一致するか否かを判断する

[0112] 一致すると判断する場合には、 DEM暗号文復号化部 216は、復号化データ DA' 、つまり暗号化対象データ DAを、入出力部 201を介して外部へ出力する。

一致しないと判断する場合には、 DEM暗号文復号化部 216は、暗号通信に係る処理全体を中止する。

(15)入出力部 201

入出力部 201は、外部から暗号ィ匕対象データ DBを受け付け、受け付けた暗号ィ匕対象データ DBを DEM暗号文生成部 215へ出力する。

[0113] 入出力部 201は、 DEM暗号文復号ィ匕部 216から復号ィ匕データ DA'を受け取ると、受け取った復号ィ匕データ DA'を外部へ出力する。

(16)送受信部 202

送受信部 202は、 KEM暗号文 KEMBを KEM暗号文生成部 205から受け取ると、受け取った KEM暗号文 KEMAを、通信路 30を介して暗号通信装置 A10へ送信する。

[0114] 送受信部 202は、暗号通信装置 A10から通信路 30を介して、 KEM暗号文 KEM Aを受け取ると、受け取った KEM暗号文 KEMAを KEM暗号文復号化部 206へ出力する。

送受信部 202は、チャレンジデータ nBをチャレンジデータ生成部 209から受け取ると、受け取ったチャレンジデータ nBを、通信路 30を介して暗号通信装置 A10へ送信する。

[0115] 送受信部 202は、レスポンスデータ rBをレスポンスデータ生成部 210から受け取ると、受け取ったレスポンスデータ rBを、通信路 30を介して暗号通信装置 A10へ送信する。

送受信部 202は、暗号通信装置 A10から通信路 30を介して、チャレンジデータ nA とレスポンスデータ rAとを、若しくはチャレンジデータ nAのみを受け取ると、受け取つたチャレンジデータ nA及びレスポンスデータ rAを、若しくはチャレンジデータ nAを、レスポンスデータ生成部 210へ出力する。

[0116] 送受信部 202は、暗号通信装置 A10から通信路 30を介して、レスポンスデータ rA を受け取ると、受け取ったレスポンスデータ rAをレスポンスデータ検証部 211へ出力する。

送受信部 202は、 DEM暗号文 DEMBを DEM暗号文生成部 215から受け取ると、受け取った DEM暗号文 DEMBを、通信路 30を介して暗号通信装置 A10へ送信する。

[0117] 送受信部 202は、暗号通信装置 A10から通信路 30を介して、 DEM暗号文 DEM Aを受け取ると、受け取つた DEM暗号文 DEMAを DEM暗号文復号化部 216へ出力する。

1. 4 暗号通信システム 1の動作

(1)動作概要

暗号通信システム 1の動作は、大きく分けて、暗号通信装置 A10と暗号通信装置 B 20が鍵を共有する鍵共有フェーズ、共有した鍵を使用して相互で認証するチヤレンジ ·レスポンス認証フェーズ、共有した鍵を使用してデータを送受信するデータ暗号通信フェーズからなる。

[0118] 鍵共有フェーズでは、 KEMを用いて暗号通信装置 A10と暗号通信装置 B20とが相互認証及び鍵配送を行！ヽ、互、の装置にて鍵を共有する。

チャレンジ 'レスポンス認証フェーズでは、共有した鍵を用いてチャレンジ 'レスポンス認証を行うことにより、暗号通信装置 A10と暗号通信装置 B20のそれぞれ力お互 V、の送信相手がなりすまし攻撃を行って、な、ことを確認する。

[0119] データ暗号通信フェーズでは、共有した鍵を用いて暗号通信装置 A10と暗号通信装置 B20との間で通信路 30を介して暗号したデータの送受信を行う。

ここで、データとは、例えば、テキストデータ、音楽データ、画像データ、映画コンテンッデータである。

(2)動作

以下、暗号通信システム 1の動作について、図 4から図 7にて示す流れ図を用いて説明する。

[0120] 暗号通信装置 A10の KEM暗号文生成部 105は、公開鍵 KPBと、 KEMの公開鍵暗号化アルゴリズム KemEとを用いて、鍵データ KA及び鍵データ KAに対する KE

M暗号文 KEMAを生成する（ステップ S 5)。

KEM暗号文生成部 105は、生成した KEM暗号文 KEMAを暗号通信装置 B20 へ送信する (ステップ S 10)。

[0121] 暗号通信装置 B20の KEM暗号文復号化部 206は、暗号通信装置 A10から送受信部 202を介して、 KEM暗号文 KEMAを受信する（ステップ S15)。

KEM暗号文復号化部 206は、公開鍵暗号ィ匕アルゴリズム KemEに対応する公開鍵復号アルゴリズム KemD、及び秘密鍵 KSBを用いて、受信した KEM暗号文 KE

MAを復号ィ匕して、鍵データ KAを生成する（ステップ S20)。

[0122] 暗号通信装置 B20の KEM暗号文生成部 205は、公開鍵 KPAと、 KEMの公開鍵暗号化アルゴリズム KemEとを用いて、鍵データ KB及び鍵データ KBに対する KE

M暗号文 KEMBを生成する（ステップ S25)。

KEM暗号文生成部 205は、生成した KEM暗号文 KEMBを暗号通信装置 A10 へ送信する (ステップ S 30)。 [0123] 暗号通信装置 B20の共有鍵生成部 207は、 KEM暗号文生成部 205にて生成された鍵データ KBと、 KEM暗号文復号ィ匕部 206にて生成された鍵データ KAとを用いて、共有鍵 K (=KA xor KB)を生成する（ステップ S35)。

共有鍵生成部 207は、生成した共有鍵 Kから共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを生成し (K=KS I I KH)、生成した共通鍵暗号用共有鍵 KSと MA C用共有鍵 KHとを共有鍵格納部 208に格納する（ステップ S40)。

[0124] 暗号通信装置 A10の KEM暗号文復号化部 106は、暗号通信装置 B20から送受信部 102を介して、 KEM暗号文 KEMBを受信する（ステップ S45)。

KEM暗号文復号化部 106は、公開鍵復号アルゴリズム KemD、及び秘密鍵 KSA を用いて、受信した KEM暗号文 KEMBを復号ィ匕して、鍵データ KBを生成する（ステツプ S 50)。

[0125] 暗号通信装置 A10の共有鍵生成部 107は、 KEM暗号文生成部 105にて生成された鍵データ KAと、 KEM暗号文復号ィ匕部 106にて生成された鍵データ KBとを用いて、共有鍵 K (=KA xor KB)を生成する（ステップ S55)。

共有鍵生成部 107は、生成した共有鍵 Kを用いて、共通鍵暗号用共有鍵 KSと M AC用共有鍵 KHとを生成し (K=KS I I KH)、生成した共通鍵暗号用共有鍵 KS と MAC用共有鍵 KHとを共有鍵格納部 108に格納する (ステップ S60)。

[0126] 暗号通信装置 A10のチャレンジデータ生成部 109は、チャレンジデータ nAを生成し (ステップ S65)、生成したチャレンジデータ nAを暗号通信装置 B20へ送信する (ステツプ S 70)。

暗号通信装置 B20のレスポンスデータ生成部 210は、暗号通信装置 A10からチヤレンジデータ nAを受け取る（ステップ S75)。

[0127] 暗号通信装置 B20の MAC生成部 212は、共有鍵格納部 208に格納している MA C用共有鍵 KHと、予め記憶している鍵付ハッシュ関数 Hashとを用いて、チャレンジデータ nAに対する MAC値 HnA(=Hash (KH, nA) )を算出し、算出した MAC値 HnAをレスポンスデータ rBとする（ステップ S80)。

暗号通信装置 B20のチャレンジデータ生成部 209は、チャレンジデータ nBを生成する（ステップ S 85)。 [0128] チャレンジデータ生成部 209はチャレンジデータ nBを、レスポンスデータ生成部 21 0はレスポンスデータ rBを、それぞれ暗号通信装置 A10へ送信する（ステップ S90)。暗号通信装置 A10のレスポンスデータ生成部 110は、暗号通信装置 B20からチヤレンジデータ nBとレスポンスデータ rBとを受け取る（ステップ S95)。

[0129] レスポンスデータ生成部 110は、レスポンスデータ rBと検証指示とをレスポンスデータ検証部 111へ出力する。レスポンスデータ検証部 111は、レスポンスデータ生成部 110から検証指示とレスポンスデータ rBとを受け取ると、チャレンジデータ生成部 10 9にて一時的に記憶されて、るチャレンジデータ nAを取得する。レスポンスデータ検証部 111は、 MAC生成指示と、取得したチャレンジデータ nAとを MAC生成部 112 へ出力する。 MAC生成部 112は、共有鍵格納部 108に格納している MAC用共有鍵 KHと、鍵付ハッシュ関数 Hashとを用いて、チャレンジデータ nAに対する MAC値 HnAを算出し、算出した MAC値 HnAをレスポンスデータ検証部 111へ出力する。レスポンスデータ検証部 111は、 MAC生成部 112から MAC値 HnAを受け取ると、 MAC値 HnAとレスポンスデータ rBとが一致するか否かを判断する（ステップ S 100)

[0130] 一致しないと判断する場合には (ステップ S100における「NG」）、暗号通信に係る処理は中止される。

一致すると判断する場合には (ステップ S100における「OK」）、レスポンスデータ生成部 110は、レスポンスデータ生成指示をレスポンスデータ生成部 110へ出力する。レスポンスデータ生成部 110は、レスポンスデータ検証部 111からレスポンスデータ生成指示を受け取ると、 MAC生成指示と、一時的に記憶しているチャレンジデータ nBとを MAC生成部 112へ出力する。 MAC生成部 112は、レスポンスデータ検証部 111から MAC生成指示と、チャレンジデータ nBとを受け取ると、共有鍵格納部 208 に格納している MAC用共有鍵 KHと、鍵付ハッシュ関数 Hashとを用いて、チヤレンジデータ nBに対する MAC値 HnB (=Hash (KH, nB) )を算出し、算出した MAC 値 HnBをレスポンスデータ rAとする（ステップ S 105)。

[0131] レスポンスデータ生成部 110は、レスポンスデータ rAを暗号通信装置 B20へ送信する（ステップ S 110)。暗号通信装置 B20のレスポンスデータ検証部 211は、暗号通信装置 A10からレスポンスデータ rAを受け取る（ステップ S 115)。

レスポンスデータ検証部 211は、チャレンジデータ生成部 209にて一時的に記憶されているチャレンジデータ nBを取得する。レスポンスデータ検証部 211は、 MAC生成指示と、取得したチャレンジデータ nBとを MAC生成部 212へ出力する。 MAC生成部 212は、レスポンスデータ検証部 211から MAC生成指示と、チャレンジデータ n Bとを受け取ると、共有鍵格納部 208に格納している MAC用共有鍵 KHと、鍵付ハツシュ関数 Hashとを用いて、チャレンジデータ nBに対する MAC値 HnBを算出し、算出した MAC値 HnBをレスポンスデータ検証部 211へ出力する。レスポンスデータ検証部 211は、 MAC生成部 212から MAC値 HnBを受け取ると、 MAC値 HnBとレスポンスデータ rAとが一致するカゝ否かを判断する（ステップ S 120)。

[0132] 一致しないと判断する場合には (ステップ S120における「NG」）、暗号通信に係る処理は中止される。

一致すると判断する場合には (ステップ S120における「OK」）、暗号通信に係る処理は続行される。

暗号通信装置 A10の DEM暗号文生成部 115は、外部力も入出力部 101を介して、暗号ィ匕対象データ DAを受け取る（ステップ S 125)。

[0133] 暗号通信装置 A10の共通鍵暗号ィ匕部 113は、共有鍵格納部 108に格納している共通鍵暗号用共有鍵 KSと、共通鍵暗号アルゴリズムとを用いて、 DEM暗号文生成部 115が受け取った暗号ィ匕対象データ DAを暗号ィ匕して、暗号化対象データ DAに対する暗号化データ EDA(=Enc (KS, DA) )を生成する（ステップ S 130)。

暗号通信装置 A10の MAC生成部 112は、共有鍵格納部 108に格納してヽる MA C用共有鍵 KHと鍵付ハッシュ関数 Hashとを用いて、 DEM暗号文生成部 115が受け取った暗号化対象データ DAに対する MAC値 HDA ( = Hash(KH, DA) )を算出する (ステップ S 135)。

[0134] DEM暗号文生成部 115は、共通鍵暗号化部 113にて生成された暗号化データ E DAと、 MAC生成部 112にて算出された MAC値 HDAとを連結して、 DEM暗号文 DEMA(=Enc (KS, DA) | | HDA)を生成する（ステップ S 140)。 DEM暗号文生成部 115は、生成した DEM暗号文 DEMAを、暗号通信装置 B20 へ送信する（ステップ S 145)。

[0135] 暗号通信装置 B20の DEM暗号文復号化部 216は、暗号通信装置 A10から DEM 暗号文 DEMAを受け取る（ステップ S 150)。

DEM暗号文復号化部 216は、受け取った DEM暗号文 DEMAを暗号化データ E DAと MAC値 HDAとに分離する（ステップ S155)。

暗号通信装置 B20の共通鍵復号化部 214は、共有鍵格納部 208に格納している共通鍵暗号用共有鍵 KSと、共通鍵復号化アルゴリズムとを用いて、 DEM暗号文復号ィ匕部 216が取得した暗号ィ匕データ EDAを復号ィ匕して、復号ィ匕データ DA，を生成する（ステップ S 160)。

[0136] 暗号通信装置 B20の MAC生成部 212は、共有鍵格納部 208に格納している MA C用共有鍵 KHと、鍵付ハッシュ関数 Hashとを用いて、共通鍵復号ィ匕部 214にて生成された復号化データ DA'に対する MAC値 HDA' ( = Hash (KH, DA' ) )を算出する（ステップ S 165)。

DEM暗号文復号化部 216は、 MAC生成部 212にて算出された MAC値 HDA， ( = Hash (KH、 DB' ) )と、 DEM暗号文 DEMAから分離した HDAとを比較し、一致する力否かを判断する (ステップ S 170)。

[0137] 一致しないと判断する場合には (ステップ S170における「NG」）、暗号通信に係る処理は中止される。

一致すると判断する場合には (ステップ S170における「OK」）、 DEM暗号文復号化部 216は、復号ィ匕データ DA'、つまり暗号ィ匕対象データ DAを、入出力部 201を介して外部へ出力する (ステップ S175)。

[0138] 暗号通信装置 B20の DEM暗号文生成部 215は、外部から入出力部 201を介して、暗号ィ匕対象データ DBを受け取る (ステップ S 180)。

暗号通信装置 B20の共通鍵暗号化部 213は、共有鍵格納部 208に格納している共通鍵暗号用共有鍵 KSと、共通鍵暗号アルゴリズムとを用いて、 DEM暗号文生成部 215が受け取った暗号ィ匕対象データ DBを暗号ィ匕して、暗号化対象データ DBに対する暗号化データ EDB (=Enc (KS, DA) )を生成する（ステップ S 185)。 [0139] 暗号通信装置 B20の MAC生成部 212は、共有鍵格納部 208に格納している MA C用共有鍵 KHと、鍵付ハッシュ関数 Hashとを用いて、 DEM暗号文生成部 215が受け取った暗号化対象データ DBに対する MAC値 HDB ( = Hash(KH, DB) )を算出する (ステップ S 190)。

DEM暗号文生成部 215は、共通鍵暗号ィ匕部 213にて生成された暗号ィ匕データ E DBと、 MAC生成部 212にて算出された MAC値 HDBとを連結して、 DEM暗号文 DEMB (=Enc (KS, DB) | | HDB)を生成する（ステップ SI 95)。

[0140] DEM暗号文生成部 215は、生成した DEM暗号文 DEMBを暗号通信装置 A10 へ送信する（ステップ S 200)。

暗号通信装置 A10の DEM暗号文復号化部 116は、暗号通信装置 B20から DEM 暗号文 DEMBを受け取る（ステップ S205)。

DEM暗号文復号化部 116は、受け取った DEM暗号文 DEMB ( = EDB | | HD B)を暗号化データ EDBと MAC値 HDBとに分離する（ステップ S210)。

[0141] 暗号通信装置 A10の共通鍵復号ィ匕部 114は、共有鍵格納部 108に格納している共通鍵暗号用共有鍵 KSと共通鍵復号化アルゴリズムとを用いて、 DEM暗号文復号化部 116が取得した暗号ィ匕データ EDBを復号ィ匕して、復号化データ DB'を生成する（ステップ S 215)。

暗号通信装置 A10の MAC生成部 112は、共有鍵格納部 108に格納してヽる MA C用共有鍵 KHと、鍵付ハッシュ関数 Hashとを用いて、共通鍵復号化部 114にて生成された復号化データ DB'に対する MAC値 HDB' ( = Hash (KH, DB' ) )を算出する（ステップ S 220)。

[0142] DEM暗号文復号化部 116は、 MAC生成部 112にて算出された MAC値 HDB'と、 DEM暗号文 DEMB力も分離した HDBとを比較し、一致する力否かを判断する (ステツプ S225)。

一致しないと判断する場合には (ステップ S225における「NG」）、暗号通信に係る処理は中止される。

[0143] 一致すると判断する場合には (ステップ S230における「OK」）、 DEM暗号文復号化部 116は、復号化データ DB'、つまり暗号化対象データ DBを、入出力部 101を介して外部へ出力する (ステップ S230)。

ここで、鍵共有フェーズはステップ S5からステップ S60までの処理に、チャレンジ' レスポンス認証フェーズはステップ S65からステップ S 120までの処理に、データ暗号通信フェーズはステップ S 125からステップ S230までの処理に、それぞれ相当する。

[0144] 1. 5 第 1の実施の形態の効果

第 1の実施の形態では、鍵カプセル化メカニズム (KEM)と、 DEM暗号文を送信する処理に、 MAC用共有鍵を用いたチャレンジ 'レスポンス認証を実行する処理を追加することで、共有鍵の漏洩の困難性だけでなぐなりすまし攻撃に対する安全性を保証できる。

[0145] 以下に、それを詳細に説明する。

鍵カプセル化メカニズムで共有した鍵を用いて、データに対して、暗号化した暗号化データとそのデータに対する鍵付ハッシュ関数値を送信するような方式であれば、データ暗号化方法として、困難な数学上の問題を根拠にして共有鍵の漏洩や暗号文データに対する平文データの漏洩に関する安全性証明を可能であることが保証されている。

[0146] なお、これについては、著者 Victor Shoupにより" A proposal for an ISO standard for public key encryption (version 2. 丄) 'に己載されているので、ここでの説明は省略する。

本方式は、同様に、鍵カプセル化メカニズムで共有した鍵を用いて、データに対して、暗号ィ匕した暗号ィ匕データとそのデータに対する鍵付ハッシュ値を送信して、るため、同様の安全性が保証できる。

[0147] また、暗号通信装置 A10にお!/、て、正し!/、秘密鍵 KSAを保持して!/、なければ、 K EM暗号文 KEMBを復号化して鍵データ KBを取得できな!/ヽため、暗号通信装置 B 20と共有した共通鍵暗号用共有鍵 KS及び MAC用共有鍵 KHを得られなゝ。そのため、ステップ S215にて暗号データ EDBの復号化ができない。また、暗号通信装置 B20も同様に、正しい秘密鍵 KSBを保持していなければ、 KEM暗号文 KEMAを復号ィ匕して鍵データ KAを取得できな、ため、暗号通信装置 A10と共有した共通鍵暗号用共有鍵 KS及び MAC用共有鍵 KHを得られない。そのため、ステップ S 160〖こて暗号化データ EDAの復号化ができない。鍵データ KAまたは、鍵データ KBを正しく取得するためには、正しい秘密鍵 KSAまたは、 KSBが必要である。

[0148] したがって、両方の機器から KEM暗号文 KEMB、 KEMAを送りあうことにより、双方向の認証が実現できて、る。

さらに、第 1の実施の形態では、 MAC用共有鍵 KHを用いたチャレンジ 'レスポンス認証を実行している。正しい暗号通信装置であると判定されるためには、正しいレスポンスデータを送信する必要がある。第 1の実施の形態では、レスポンスデータを生成するために、 DEM暗号文生成部で使用する MAC生成部を使用する。 DEM暗号文生成部で使用する MAC生成部では、 MAC用共有鍵 KHを知らない限り、正しいレスポンスデータを生成できる確率は非常に低、。

[0149] したがって、正し!/、レスポンスデータを生成できる場合、すなわち、認証を通過してなりすまし攻撃が可能である場合、攻撃者は MAC用共有鍵 KHを知っていることになる。しかし、 MAC用共有鍵 KHに限らず、 KEMを用いて生成した各共有鍵の漏洩は困難 (共有鍵の漏洩に対して安全)であることが証明可能であるため、なりすまし攻撃が困難であることが証明可能となる。

[0150] 以上より、鍵漏洩や平文漏洩の安全性だけでなぐなりすまし攻撃に対する安全性を保証できる認証鍵共有を実現でき、その価値は大きい。

1. 6 暗号通信システム 1の変形例

上記実施の形態では、暗号通信システム 1は 2台の暗号通信装置力構成されるとしたが、これに限定されない。

[0151] 本発明における暗号通信システムは、 1台のコンピュータ装置内において、耐タンパ性を有する領域 Aと他の領域 Bとにお、てデータを送受信 (入出力）する際に暗号通信を行う 2つのプログラム力もなるとしてもよい。これら 2つのプログラムは、コンビュータ装置によって実行され、実行された 2つのプログラム間で、本発明の暗号通信が行われる。

ここで、暗号通信を行う 2つのプログラムをプログラム A及び Bとし、プログラム Aは領域 Aに存在し、プログラム Bは領域 Bに存在するものとする。

[0152] プログラム A及びプログラム Bのそれぞれは、入出力ステップ、送受信部ステップ、 KEM暗号文生成ステップ、 KEM暗号文復号化ステップ、共有鍵生成ステップ、チャレンジデータ生成ステップ、レスポンスデータ生成ステップ、レスポンスデータ検証ステップ、 MAC生成ステップ、共通鍵暗号化ステップ、共有鍵復号化ステップ、 DE M暗号文生成ステップ、及び DEM暗号文復号化ステップを含んでヽる。

[0153] また、領域 A及び Bは、上記にて示す暗号通信装置と同様に、通信相手の公開鍵を格納している公開鍵格納部、自身の秘密鍵を格納している秘密鍵格納部、及び共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを格納する領域を有してヽる共有鍵格納部を有している。ここで、領域 Aにおける各格納部の内容は、領域 Aが耐タンパ性を有して、るので外部へは漏洩されな、ようになって、るが、領域 Bにおける各格納部の内容についても外部へは漏洩されない仕組み (例えば、耐タンパ性）になっているものとする。

[0154] 各ステップが上記の実施の形態にて示す各構成要素と同様の動作を行うことで、上記と同様に、鍵共有フェーズ、チャレンジ 'レスポンス認証フェーズ及びデータ暗号通信フェーズが実現されるので、各ステップの動作についての説明は省略する。なお、ここでは、本発明を 2つのプログラム間における暗号通信に適用した力これに限定されない。

[0155] 本発明は、暗号通信装置とプログラムとの間における暗号通信に適用してもよい。

具体的には、暗号通信装置を DVD装置とし、プログラムが DVDに記録されているとした場合における暗号通信に適用してもよい。なお、プログラムは、 DVD装置内における実行手段にて実行され、 DVD装置に具備された構成要素 (例えば、暗号通信装置 A10と同様の構成要素）と、実行されたプログラム間で、本発明の暗号通信が行われる。

[0156] 1. 7 その他の変形例

上記に説明した実施の形態は、本発明の実施の一例であり、本発明はこの実施の形態に何ら限定されるものではなぐその旨を逸脱しな、範囲にぉ、て種々なる態様で実施し得るものである。例えば、以下のような場合も本発明に含まれる。

(1)上記の実施の形態において、暗号通信装置 A10及び暗号通信装置 B20のそれぞれからデータを送受信したが、これに限定されない。 [0157] 1の暗号通信装置 (例えば、暗号通信装置 A10)のみがデータを送信し、他の暗号通信装置 (例えば、暗号通信装置 B20)のみがデータを受信としてもよ!、。

(2)上記の実施の形態にぉ、て、鍵共有フェーズとチャレンジ 'レスポンス認証フエ一ズの間や、チャレンジ 'レスポンス認証フェーズとデータ暗号通信フェーズの間には、その他の何らかの処理、例えば、機器の機能 (音楽視聴機能、映画視聴機能や放送受信機能など）の確認処理が途中に含まれてもよい。また、各フェーズの内部の処理ステップの順番は、上記で示したものに限らな、。

[0158] (3)上記の実施の形態にぉ、て、チャレンジ 'レスポンス認証フェーズでは、各暗号通信装置は、ランダムに生成したチャレンジデータを通信相手の装置へ送信してヽるが、これに限定されない。

各暗号通信装置は、通信相手からの KEM暗号文から求められる鍵データ（暗号通信装置 A10であれば鍵データ KB、暗号通信装置 B20であれば鍵データ KA)をチャレンジデータとしてもよ、。

[0159] そうすることで、チャレンジデータを送信する処理を削減できる。この時、相手先では、自身が生成した鍵データとチャレンジデータとして送信された鍵データとがー致するか否かを確認することでチャレンジ ·レスポンス認証フェーズと同様の認証が行える。

例えば、暗号通信装置 A10は、暗号通信装置 B20からチャレンジデータ rB (=Ha sh (KH, KA) )を受け取ると、自身が生成した KAに対する MAC値を算出し、算出した MAC値とチャレンジデータ rBとが一致する力否かを判断することにより、通信相手の認証を行う。

[0160] また、暗号通信装置 B20は、暗号通信装置 A10からチャレンジデータ rA (=Hash

(KH, KB) )を受け取ると、自身が生成した KBに対する MAC値を算出し、算出した MAC値とチャレンジデータ rAとが一致する力否かを判断することにより、通信相手の認証を行う。

(4)上記実施の形態において、各暗号通信装置の共有鍵生成部は、共有鍵 Kを生成し、生成した共有鍵 Kの一部を共通鍵暗号用共有鍵 KSとし、それ以外の部分を MAC用共有鍵 KHとした力これに限定されない。 [0161] 各暗号通信装置の共有鍵生成部は、生成した共有鍵 Kそのものを、共通鍵暗号用共有鍵 KS及び MAC用共有鍵 KHとしてもよい。つまり、 K=KS=KHである。

(5)上記の実施の形態において、各暗号通信装置の共有鍵生成部は、共有鍵 Kを生成する際に鍵 KAと鍵 KBの排他的論理和を用いて生成した力これに限定されない。

共有鍵生成部は、 MAC生成部で使用しているハッシュ関数 Hashを使用して、共有鍵 Kを生成してもよい。

[0162] 例えば、各暗号通信装置の共有鍵生成部は、 Hash(KA, KB)を共有鍵 Kとしてもよいし、 Hash (KB, KA)を共有鍵 Kとしてもよい。

また、ノ、ッシュ関数 Hashを上記実施の形態にて示す SHA1とする場合、各暗号通信装置の共有鍵生成部は、 SHA1 (KA I I KB)を共有鍵 Kとしてもよいし、 SHA1 (KB I I KA)を共有鍵 Kとしてもよい。

[0163] これにより、共有鍵生成における安全性が向上する。

(6)上記の実施の形態において、各暗号通信装置は、通信相手の公開鍵を予め、公開鍵格納部に格納してヽるが、これに限定されなヽ。

暗号通信装置は、証明書センタが発行した公開鍵証明書 (公開鍵に対する証明書センタの署名と、公開鍵そのものとを含む）を、通信相手に送信するとしてもよい。例えば、暗号通信装置 A10は通信相手である暗号通信装置 B20から公開鍵 KPBに対する公開鍵証明書を受け取り、暗号通信装置 B20は通信相手である暗号通信装置 A10から公開鍵 KPAに対する公開鍵証明書を受け取る。

[0164] その場合、通信相手である暗号通信装置は、証明書センタの公開鍵を有しており、鍵共有フェーズの前に、互いの公開鍵証明書を証明書センタの公開鍵を用いて検証し、正しい証明書と判定したときに公開鍵格納部に、公開鍵証明書に含まれる公開鍵を格納する。

また、各暗号通信装置は、公開鍵証明書を証明書センタ力受け取るとしてもよい

(7)上記の実施の形態において、チャレンジ 'レスポンス認証を行う際に、鍵付ハツシュ値を計算する方法を用いたが、これに限定されない。 [0165] 例えば、チャレンジデータを MAC用共有鍵 KHで暗号化して生成したレスポンスデータをやりとりするとしてもよ、。

この場合における検証は、レスポンスデータの暗号ィ匕を解、た結果と送信元が保持して、るチャレンジデータとを比較してもよ、し、送信元が保持して、るチャレンジデータを同様の方法で暗号ィ匕した結果とレスポンスデータとを比較してもよい。

[0166] また、認証方法もチャレンジ ·レスポンスに限定されるものではない。 KEMにより共有した鍵データが認証結果に影響するような認証方法であれば、どのようなものでも構わない。

また、チャレンジ 'レスポンス認証においても、上記実施の形態にて示す認証方法に限定されない。上記にて示す方法とは異なる方法によるチャレンジ ·レスポンス認証であってもよい。

[0167] 以下、その一例について説明する。なお、ここでは、暗号通信装置 A10が暗号通信装置 B20を認証する場合について、図 5にて示すステップ S65から S100までの変更点を中心に説明する。

暗号通信装置 A10はステップ S65を実行後、生成したチャレンジデータ nAを暗号通信装置 A10が有する MAC用共有鍵 KHにて暗号化して暗号化データ Enc (KH , nA)を生成する。

[0168] 暗号通信装置 A10は、ステップ S70において、生成した暗号化データ Enc (KH, n A)を暗号化通信装置 B20へ送信する。

暗号通信装置 B20は、ステップ S75にて、暗号化データ Enc (KH, nA)を受信する。

暗号通信装置 B20は、ステップ S80にて、受信した暗号化データ Enc (KH, nA) を自身が有する MAC用共有鍵 KHにて復号し、復号データ nA'を生成し、生成した復号データ nA'をレスポンスデータ rB (=ηΑ' )とする。

[0169] 暗号通信装置 Β20は、ステップ S85、 S 90を実行する。

暗号ィ匕通信装置 A10は、ステップ S95の実行後、受け取ったレスポンスデータと、自身が記憶して、るチャレンジデータ nAを比較して暗号通信装置 B20の正当性を判断する。なお、ステップ S85において、暗号通信装置 B20は、生成したチャレンジデータ nB を暗号通信装置 B20が有する MAC用共有鍵 KHにて暗号化して暗号化データ Enc (KH, nB)を生成してもよい。このとき、暗号通信装置 A10は、ステップ S105にて、受信した暗号ィ匕データ Enc (KH, nB)を自身が有する MAC用共有鍵 KHにて復号し、復号データ nB'を生成し、生成した復号データ nB'をレスポンスデータ rA (=nB ' )とする。

[0170] (8)上記の実施の形態において、双方向でチャレンジ 'レスポンス認証を行っているが、これに限定されない。

片方向のチャレンジ 'レスポンス認証であってもよい。その場合においても、被認証者のなりすまし攻撃に対する安全性証明が可能である。

なお、この場合には、 MAC用共有鍵 KHを作成する必要はなぐ鍵データ KAや鍵データ KBを直接用いて認証を行うとしてもよい。つまり、片方向の認証であるので、 KEM暗号文の受信先が正 U、秘密鍵を持ってヽれば、鍵データ KA若しくは鍵データ KBを取得できるので、取得した鍵データを用いて認証を行えばよ!、。

[0171] この場合、例えば、鍵データ KAを共有した場合に、暗号通信装置 B20から暗号通信装置 A10へ片方向認証を行うことにより、簡易な相互認証を行うこともできる。すなわち、鍵データを共有できていることから、暗号通信装置 B20は正当な秘密鍵 KSB を持っていることが確認できるので、暗号通信装置 B20が正当なものであることが確認できる。その後、チャレンジ 'レスポンス認証によって、暗号通信装置 A10が鍵データ KAを共有して!/、る装置であるか否かが確認されるので、暗号通信装置 A10の正当性を確認できる。

[0172] また、 MAC用共有鍵 KHを生成した上で、これを用いて片方向の認証を行ってもよいし、上記の場合でも暗号通信装置 A10から暗号通信装置 B20への片方向認証を行ってもょ、ことは言うまでもな、。

(9)上記の実施の形態において、暗号通信装置 B20は IC機能付のメモリカードであるとしてもよ、。

[0173] IC機能付のメモリカードの構成は、暗号通信装置 B20と同様の構成要素で実現できるので、ここでの説明は省略する。なお、本発明において、 IC機能付のメモリカードは、暗号通信装置の概念に含めるものとする。つまり、本発明は、 2つの IC機能付のメモリカード間における暗号通信に適用してもよいし、上記にて示す暗号通信装置 A10と IC機能付のメモリカード間における暗号通信に適用してもょ、。

[0174] (10)上記の実施の形態において、共有鍵生成部 107及び 207は、共有鍵データ Kに対して K=KS I I KHを満たすように共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを取得するとした力これに限定されない。

共有鍵生成部 107及び 207は、共有鍵データ Kに対して K=KH | | KSを満たすように共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとを取得してもよヽ。

[0175] 例えば、共有鍵データ Kに対して別々の変換を施して得られる 2つの値をそれぞれ共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHとしてもよヽ。

つまり、共通鍵暗号用共有鍵 KSと MAC用共有鍵 KHのそれぞれは、共有鍵データ Kに依存して決まる値であればょ、。

(11)上記実施の形態において、暗号通信装置 B20は、レスポンスデータ rBとチヤレンジデータ nBとを一緒に、暗号通信装置 A10へ送信した力これに限定されない

[0176] レスポンスデータ rBとチャレンジデータ nBとを別々のタイミングで暗号通信装置 A1 0へ送信してもよい。この場合、暗号通信装置 A10は、レスポンスデータ rBとチヤレンジデータ nBとを別々のタイミングで受信してもよ！/、。

(12)上記の各装置は、具体的には、マイクロプロセッサ、 ROM、 RAM、ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAMまたはハードディスクユニットには、コンピュータプロダラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムにしたがつて動作することにより、各装置は、その機能を達成する。ここでコンピュータプロダラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

[0177] (13)上記の各装置を構成する構成要素の一部または全部は、 1個のシステム LSI

(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSI であり、具体的には、マイクロプロセッサ、 ROM、 RAMなどを含んで構成されるコンピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムにしたがって動作することにより、システム LSIは、その機能を達成する。

[0178] また、上記の各装置を構成する構成要素の各部は、個別に 1チップィ匕されていても良!、し、一部又は全てを含むように 1チップィ匕されてもょ、。

また、ここでは、システム LSIとした力集積度の違いにより、 IC、 LSI,スーパー LS I、ウルトラ LSIと呼称されることもある。また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセッサで実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field Programmable Gate Array)や、 LSI内部の回路セルの接続や設定を再構成可能なリコンフィギユラブル'プロセッサーを利用しても良い。

[0179] さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行ってもよい。バイオ技術の適用等が可能性としてありえる。

(14)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能な ICカードまたは単体のモジュール力も構成されて、るとしてもよ、。前記 ICカードまたは前記モジュールは、マイクロプロセッサ、 ROM, RAMなどから構成されるコンピュータシステムである。前記 ICカードまたは前記モジュールは、上記の超多機能 L SIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記 ICカードまたは前記モジュールは、その機能を達成する。この ICカードまたはこのモジュールは、耐タンパ性を有するとしてもよ!/、。

[0180] (15)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力なるディジタル信号であるとしてもよい。

(16)また、本発明は、前記コンピュータプログラムまたは前記ディジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 C D—ROMゝ MO、 DVDゝ DVD— ROMゝ DVD— RAMゝ BD (Blu—ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記ディジタル信号であるとしてもょヽ。

[0181] (17)また、本発明は、前記コンピュータプログラムまたは前記ディジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

(18)また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであつて、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

[0182] ( 19)また、前記プログラムまたは前記ディジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記ディジタル信号を前記ネットヮ一ク等を経由して移送すること〖こより、独立した他のコンピュータシステムにより実施するとしてちょい。

(20)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよ!/、。

[0183] 1. 8 まとめ

(1)本発明は、第 1の暗号通信装置と第 2の暗号通信装置を備え、前記第 1の暗号通信装置と前記第 2の暗号通信装置との間で鍵配送を行い、共有した鍵を用いて前記第 1の暗号通信装置から前記第 2の暗号通信装置へコンテンツデータを送信する暗号通信システムであって、前記第 1の暗号通信装置は、前記コンテンツデータの入力を受け付ける入力部と、前記第 2の暗号通信装置へデータを送信し、前記第 2の暗号通信装置からデータ受信する第 1の送受信部と、第 1の鍵と第 1の鍵を暗号化した第 1の鍵暗号文を生成する第 1の鍵暗号文生成部と、第 2の鍵暗号文を復号化して第 1の復号化鍵を生成する第 1の鍵暗号文復号化部と、前記第 1の鍵と前記第 1の復号化鍵に基づき第 1の共有鍵を生成する第 1の共有鍵生成部と、前記第 1の共有鍵を格納する第 1の共有鍵格納部と、第 1のチャレンジデータを生成する第 1のチヤレンジデータ生成部と、第 2のチャレンジデータに対する第 1のレスポンスデータを生成する第 1のレスポンスデータ生成部と、第 2のレスポンスデータを検証する第 1のレスポンスデータ検証部と、前記コンテンツデータを暗号ィ匕して暗号ィ匕コンテンツデータを生成するデータ暗号文生成部とを備え、前記第 2の暗号通信装置は、復号化コンテンッデータを出力する出力部と、前記第 1の暗号通信装置へデータを送信し、前記第 1の暗号通信装置からデータ受信する第 2の送受信部と、第 2の鍵と第 2の鍵を暗号化した前記第 2の鍵暗号文を生成する第 2の鍵暗号文生成部と、前記第 1の鍵暗号文を復号化して第 2の復号化鍵を生成する第 2の鍵暗号文復号化部と、前記第 2の鍵と前記第 2の復号化鍵に基づき第 2の共有鍵を生成する第 2の共有鍵生成部と、前記第 2の共有鍵を格納する第 2の共有鍵格納部と、前記第 2のチャレンジデータを生成する第 2のチャレンジデータ生成部と、前記第 1のチャレンジデータに対する前記第 2のレスポンスデータを生成する第 2のレスポンスデータ生成部と、前記第 1のレスポンスデータを検証する第 2のレスポンスデータ検証部と、前記暗号化コンテンツデータを復号ィヒして前記復号ィヒコンテンツデータを生成するデータ暗号文復号ィ匕部とを備え、前記第 1のレスポンスデータ生成部は、前記第 1の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、レスポンスデータ用鍵付ハッシュ関数を使用して生成して前記第 1のレスポンスデータとし、前記第 1のレスポンスデータ検証部は、前記第 1の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、前記レスポンスデータ用鍵付ハッシュ関数を使用して生成して前記第 2のレスポンスデータの検証に用い、前記データ暗号文生成部は、前記暗号化コンテンツデータを前記第 1の共有鍵の全部または一部を鍵とした鍵付ハッシュ値、データ暗号文用鍵付ハッシュ関数を使用して生成し、前記第 2のレスポンスデータ生成部は、前記第 2の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、レスポンスデータ用鍵付ハッシュ関数を使用して生成して前記第 2のレスポンスデータとし、前記第 2のレスポンスデータ検証部は、前記第 2の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、前記レスポンスデータ用鍵付ハッシュ関数を使用して生成して前記第 1のレスポンスデータの検証に用い、前記データ暗号文復号化部は、前記第 2の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、前記データ暗号文用鍵付ハッシュ関数を使用して生成することを特徴とする。

(2)上記（1)にお、て、前記レスポンスデータ用鍵付ハッシュ関数と前記データ暗号文用鍵付ハッシュ関数は、同一であるとしてもよい。 (3)上記（1)において、前記第 1の鍵暗号文及び前記第 2の鍵暗号文は、鍵カプセル化メカニズムを用いて生成するとしてもよ、。

(4)上記（1)から（3)の何れかにおいて、前記第 1の共有鍵生成部は、前記第 1の鍵と前記第 1の復号化鍵の排他的論理和を前記第 1の共有鍵として出力し、前記第 2の共有鍵生成部は、前記第 2の鍵と前記第 2の復号化鍵の排他的論理和を前記第 2の共有鍵として出力するとしてもよ、。

[0185] (5)上記（1)から（3)の何れかにおいて、前記第 1の共有鍵生成部は、前記第 1の鍵と前記第 1の復号ィ匕鍵をビット連結したものに対して、共有鍵を生成するハッシュ関数である共有鍵生成ハッシュ関数を用いて計算したハッシュ値を前記第 1の共有鍵として出力し、前記第 2の共有鍵生成部は、前記第 2の会議と前記第 2の復号化鍵をビット連結したものに対して、前記共有鍵生成ハッシュ関数を用いて計算したハツシュ値を前記第 2の共有鍵として出力するとしてもよい。

[0186] (6)上記（5)にお、て、前記レスポンスデータ用鍵付ハッシュ関数と前記データ暗号文用鍵付ハッシュ関数は、前記共有鍵生成ハッシュ関数に基づいているとしてもよい。

(7)上記（1)から（6)の何れかにおいて、前記第 1の暗号通信装置は、第 1のチヤレンジデータ生成部を備えず、前記第 1のチャレンジデータを前記第 1の鍵とし、前記第 2の暗号通信装置は、第 2のチャレンジデータ生成部を備えず、前記第 2のチヤレンジデータを前記第 2の鍵とするとしてもよ、。

[0187] (8)また、本発明は、コンテンツ送信装置とコンテンツ受信装置を備え、前記コンテンッ送信装置と前記コンテンツ受信装置との間で鍵配送を行ヽ、共有した鍵を用いて暗号ィ匕通信を行う暗号通信システムにおけるコンテンツ送信装置であって、前記コンテンッデータの入力を受け付ける入力部と、前記コンテンツ受信装置へデータを送信し、前記コンテンツ受信装置力データを受信する送受信部と、第 1の鍵と第 1の鍵を暗号化した第 1の鍵暗号文を生成する第 1の鍵暗号文生成部と、前記コンテンッ受信装置力送信される第 2の鍵暗号文を復号ィ匕して第 1の復号ィ匕鍵を生成する第 1の鍵暗号文復号化部と、前記第 1の鍵と前記第 1の復号化鍵に基づき第 1の共有鍵を生成する共有鍵生成部と、前記第 1の共有鍵を格納する共有鍵格納部と、第 1 のチャレンジデータを生成するチャレンジデータ生成部と、前記コンテンツ受信装置力送信された第 2のチャレンジデータに対する第 1のレスポンスデータを生成するレスポンスデータ生成部と、前記コンテンツ受信装置力送信される第 2のレスポンスデータを検証するレスポンスデータ検証部と、前記コンテンツデータを暗号化して暗号化コンテンツデータを生成するデータ暗号文生成部とを備え、前記レスポンスデータ生成部は、前記第 1の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、レスポンスデータ用鍵付ハッシュ関数を使用して生成して前記第 1のレスポンスデータとし、前記レスポンスデータ検証部は、前記第 1の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、前記レスポンスデータ用鍵付ハッシュ関数を使用して生成して前記第 2のレスポンスデータの検証に用い、前記データ暗号文生成部は、前記第 1の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、データ暗号文用鍵付ハッシュ関数を使用して生成することを特徴とする。

[0188] (9)上記（8)において、前記第 1の鍵暗号文及び前記第 2の鍵暗号文は、鍵カプセル化メカニズムを用いて生成するとしてもよ、。

(10)上記（9)において、前記レスポンスデータ用鍵付ハッシュ関数と前記データ暗号文用鍵付ハッシュ関数とは、前記共有鍵生成ハッシュ関数に基づいているとしてもよい。

[0189] (11)また、本発明は、コンテンツ送信装置とコンテンツ受信装置を備え、前記コンテンッ送信装置と前記コンテンツ受信装置との間で鍵配送を行ヽ、共有した鍵を用 Vヽて暗号ィ匕通信を行う暗号通信システムにおけるコンテンツ受信装置であって、復号ィ匕コンテンツデータを出力する出力部と、前記コンテンツ送信装置へデータを送信し、前記コンテンツ送信装置力データ受信する送受信部と、第 2の鍵と第 2の鍵を暗号化した第 2の鍵暗号文を生成する第 2の鍵暗号文生成部と、前記コンテンツ送信装置力送信される第 1の鍵暗号文を復号ィ匕して第 2の復号ィ匕鍵を生成する第 2 の鍵暗号文復号化部と、前記第 2の鍵と前記第 2の復号化鍵に基づき第 2の共有鍵を生成する共有鍵生成部と、前記第 2の共有鍵を格納する共有鍵格納部と、第 2のチャレンジデータを生成するチャレンジデータ生成部と、前記コンテンツ送信装置から送信される第 1のチャレンジデータに対する前記第 2のレスポンスデータを生成するレスポンスデータ生成部と、前記コンテンツ送信装置から送信される前記第 1のレスポンスデータを検証するレスポンスデータ検証部と、前記コンテンツ送信装置から送信される暗号ィ匕コンテンツデータを復号ィ匕して前記復号ィ匕コンテンツデータを生成するデータ暗号文復号化部とを備え、前記レスポンスデータ生成部は、前記第 2の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、レスポンスデータ用鍵付ハツシュ関数を使用して生成して前記第 2のレスポンスデータとし、前記レスポンスデータ検証部は、前記第 2の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、前記レスポンスデータ用鍵付ハッシュ関数を使用して生成して前記第 1のレスポンスデータの検証に用い、前記データ暗号文復号化部は、前記第 2の共有鍵の全部または一部を鍵とした鍵付ハッシュ値を、データ暗号文用鍵付ハッシュ関数を使用して生成することを特徴とする。

[0190] (12)上記（11)において、前記第 1の鍵暗号文及び前記第 2の鍵暗号文は、鍵力プセル化メカニズムを用いて生成するとしてもよ、。

(13)上記（11)、（12)の何れかにおいて、前記レスポンスデータ用鍵付ハッシュ関数と前記データ暗号文用鍵付ハッシュ関数は、前記共有鍵生成ハッシュ関数に基づいているとしてもよい。

[0191] (14)これらの構成によると、鍵カプセル化メカニズムを使用した鍵共有の後に、共有した鍵を用いたチャレンジ 'レスポンス認証を追加することにより、なりすまし攻撃の安全性を保証できるため、その価値は大きい。

産業上の利用可能性

[0192] 本発明を構成する各装置、各方法及びコンピュータプログラムは、情報を安全かつ確実に扱う必要があるあらゆる産業において、経営的に、また継続的及び反復的に使用することができる。

また、本発明を構成する各装置、各方法及び各コンピュータプログラムは、電器機器製造産業において、経営的に、また継続的及び反復的に、製造し、販売することができる。

Claims

請求の範囲

[1] 通信相手の外部装置と共有した鍵を用いて通信対象データの秘密通信を行う通信装置であって、

第三者に知られることなく前記外部装置との間で安全性証明のなされた暗号方式を用いて共有すべき共有鍵を生成する鍵生成手段と、

前記外部装置との間で共有され、前記共有鍵に依存する鍵依存関数を用いた認証を行うことにより、前記外部装置が正当であるか否かを判断する判断手段と、前記判断手段にて前記外部装置が正当であると判断される場合に、通信対象データの秘密通信の際に、前記通信対象データの正当性検証のために前記通信対象データを用い前記共有鍵に依存する前記鍵依存関数と同一の関数を用いて検証用データを生成するデータ生成手段と

を備えることを特徴とする通信装置。

[2] 前記鍵生成手段は、

前記第 1の鍵データを生成し、前記第 1の鍵データを秘密に前記外部装置へ送信し及び前記外部装置にて生成された第 2の鍵データを秘密に受信することにより前記外部装置との間で前記第 1の鍵データ及び前記第 2の鍵データを共有し、共有した前記第 1の鍵データと前記第 2の鍵データとを用いて前記共有鍵を生成することを特徴とする請求項 1に記載の通信装置。

[3] 前記認証は、チャレンジレスポンス認証であり、

前記判断手段は、

前記外部装置から前記第 1の鍵データをチャレンジデータとし、前記チャレンジデータと前記共有鍵とに前記関数を施して生成されたレスポンスデータを受け取り、前記チャレンジレスポンス認証を行う

ことを特徴とする請求項 2に記載の通信装置。

[4] 前記鍵生成手段は、

前記第 1鍵データと前記第 2鍵データとの排他的論理和演算により共有鍵データを算出し、算出した共有鍵データから前記共有鍵を生成する

ことを特徴とする請求項 2に記載の通信装置。

[5] 前記鍵生成手段は、

前記共有鍵データの一部を前記共有鍵とする

ことを特徴とする請求項 4に記載の通信装置。

[6] 前記鍵生成手段は、

前記共有鍵データそのものを前記共有鍵とする

ことを特徴とする請求項 4に記載の通信装置。

[7] 前記鍵生成手段は、

前記第 1鍵データと前記第 2鍵データとに前記鍵依存関数を施して共有鍵データを生成し、生成した共有鍵データから前記共有鍵を生成する

ことを特徴とする請求項 2に記載の通信装置。

[8] 前記鍵依存関数は、前記共有鍵に依存する一方向性関数

であることを特徴とする請求項 1に記載の通信装置。

[9] 前記共有鍵は、前記判断手段による認証及び前記検証用データの生成に用いる検証用共有鍵であり、

前記鍵生成手段は、さらに、

前記共有鍵データから前記外部装置との間で共有され、通信対象データの暗号化及び復号に用いる暗号用共有鍵を生成し、

前記通信装置は、さらに、

前記暗号用共有鍵を用いて前記通信対象データを暗号化して、暗号化データを生成し、生成した前記暗号化データを前記検証用データとともに前記外部装置へ送信する送信手段を備える

ことを特徴とする請求項 1に記載の通信装置。

[10] 前記共有鍵は検証用共有鍵であり、

前記鍵生成手段は、さらに、

前記共有鍵データから前記外部装置との間で共有すべき暗号用共有鍵を生成し、前記通信装置は、さらに、

前記外部装置から前記暗号用共有鍵にて通信対象データが暗号化された暗号ィ匕データを受信する受信手段を備え、前記データ生成手段は、前記受信手段にて受信した暗号化データを復号して復号データを取得し、取得した復号データを通信対象データとして前記検証用データを生成する

ことを特徴とする請求項 1に記載の通信装置。

[11] 前記鍵生成手段は、

前記鍵配送として鍵カプセル化メカニズムを用いて前記共有鍵を生成することを特徴とする請求項 1に記載の通信装置。

[12] 実行が開始されたプログラムを通信相手とし、前記プログラムと共有した鍵を用いて通信対象データの秘密通信を行う通信装置であって、

前記プログラムとの間で共有され、前記共有鍵に依存する鍵依存関数を用いた認証を行うことにより、前記プログラムが正当であるか否かを判断する判断手段と、前記判断手段にて前記プログラムが正当であると判断される場合に、通信対象データの秘密通信の際に、前前記通信対象データの正当性検証のために前記通信対象データを用い前記共有鍵に依存する前記鍵依存関数と同一の関数を用いた検証用データを生成するデータ生成手段と

を備えることを特徴とする通信装置。

[13] コンピュータ装置に実行させ、コンピュータ装置を通信相手とし、前記コンピュータ装置と共有した鍵を用いて通信対象データの秘密通信を行うプログラムであって、第三者に知られることなく前記コンピュータ装置との間で安全性証明のなされた暗号方式を用いて共有すべき共有鍵を生成する鍵生成ステップと、

前記コンピュータ装置との間で共有され、前記共有鍵に依存する鍵依存関数を用いた認証を行うことにより、前記コンピュータ装置が正当である力否かを判断する判断ステップと、

前記判断ステップにて前記コンピュータ装置が正当であると判断される場合に、通信対象データの秘密通信の際に、前前記通信対象データの正当性検証のために前記通信対象データを用い前記共有鍵に依存する前記鍵依存関数と同一の関数を用 V、て検証用データを生成するデータ生成ステップと

を含むことを特徴とするプログラム。

[14] 第 1の領域に格納され、第 2の領域に存在する第 2プログラムを通信相手とし、前記第 2プログラムと共有した鍵を用いて通信対象データの秘密通信を行う第 1プロダラムであって、

前記第 1プログラム及び前記第 2プログラムは、コンピュータ装置にて実行され、前記第 1プログラムは、

第三者に知られることなく前記第 2プログラムとの間で安全性証明のなされた暗号方式を用いて共有すべき共有鍵を生成する鍵生成ステップと、

前記第 2プログラムとの間で共有され、前記共有鍵に依存する鍵依存関数を用いた認証を行うことにより、前記第 2プログラムが正当である力否かを判断する判断ステップと、

前記判断ステップにて前記第 2プログラムが正当であると判断される場合に、通信対象データの秘密通信の際に、前前記通信対象データの正当性検証のために前記通信対象データを用い前記共有鍵に依存する前記鍵依存関数と同一の関数を用いて検証用データを生成するデータ生成ステップと

を含むことを特徴とする第 1プログラム。

[15] 第 1及び第 2の通信装置間で共有した鍵を用いて通信対象データの秘密通信を行う通信システムであって、

前記第 1の通信装置は、

第三者に知られることなく前記第 2の通信装置との間で安全性証明のなされた暗号方式を用いて共有すべき第 1の共有鍵を生成する第 1の鍵生成手段と、

前記第 2の通信装置との間で共有され、前記共有鍵に依存する鍵依存関数を用いた認証を行うことにより、前記第 2の通信装置が正当である力否かを判断する第 1の判断手段と、

前記第 1の判断手段にて前記第 2の通信装置が正当であると判断される場合に、通信対象データの秘密通信の際に、前記通信対象データの正当性検証のために前記通信対象データを用い前記第 1の共有鍵に依存する前記鍵依存関数と同一の関数を用いた第 1の検証用データを生成する第 1のデータ生成手段とを備え、前記第 2の通信装置は、前記第 1の通信装置が認証に用いるデータを送信することを特徴とする通信システム。

[16] 前記第 2の通信装置は、さらに、

第三者に知られることなく前記第 1の通信装置との間で安全性証明のなされた暗号方式を用いて共有すべき第 2の共有鍵を生成する第 2の鍵生成手段と、

前記鍵依存関数を用いた認証を行うことにより、前記第 1の通信装置が正当であるか否かを判断する第 2の判断手段と、

前記第 2の判断手段にて前記第 1の通信装置が正当であると判断される場合に、通信対象データの秘密通信の際に、前記通信対象データの正当性検証のために前記通信対象データを用い前記第 2の共有鍵に依存する前記鍵依存関数と同一の関数を用いて第 2の検証用データを生成する第 2のデータ生成手段とを備え、前記第 1の通信装置は、前記第 2の通信装置が認証に用いるデータを送信することを特徴とする請求項 14に記載の暗号通信システム。

[17] 通信相手の外部装置と共有した鍵を用いて通信対象データの秘密通信を行う通信装置で用いられる通信方法であって、

第三者に知られることなく前記外部装置との間で安全性証明のなされた暗号方式を用いて共有すべき共有鍵を生成する鍵生成ステップと、

前記外部装置との間で共有され、前記共有鍵に依存する鍵依存関数を用いた認証を行うことにより、前記外部装置が正当である力否かを判断する判断ステップと、前記判断手段にて前記外部装置が正当であると判断される場合に、通信対象データの秘密通信の際に、前記通信対象データの正当性検証のために前記通信対象データを用い前記共有鍵に依存する前記鍵依存関数と同一の関数を用いて検証用データを生成するデータ生成ステップと

を含むことを特徴とする通信方法。

[18] 通信相手の外部装置と共有した鍵を用いて通信対象データの秘密通信を行う通信装置で用いられる通信プログラムであって、

を含むことを特徴とする通信プログラム。

[19] 前記通信プログラムは、コンピュータ読み取り可能な記録媒体に記録されていることを特徴とする請求項 17に記載の通信プログラム。

[20] 通信相手の外部装置と共有した鍵を用いて通信対象データの秘密通信を行う通信装置の集積回路であって、

を備えることを特徴とする集積回路。