WO2012011254A1

WO2012011254A1 - 情報処理装置、コントローラ、鍵発行局、無効化リスト有効性判定方法および鍵発行方法

Info

Publication number: WO2012011254A1
Application number: PCT/JP2011/004025
Authority: WO
Inventors: 山本　雅哉; 山口　高弘
Original assignee: パナソニック株式会社
Priority date: 2010-07-23
Filing date: 2011-07-14
Publication date: 2012-01-26
Also published as: JPWO2012011254A1; EP2597588A1; JP5815525B2; US20120023329A1; US9054880B2; TW201212611A; EP2597588B1; EP2597588A4; TWI491236B; CN102549595B; CN102549595A

Abstract

　メモリカード３０は、鍵発行局により発行された鍵情報と、前記鍵情報が生成された時点において発行されている最新の無効化リストのバージョンを示し、前記鍵情報と関連付けられた情報であるバージョン情報とを記憶している記憶部３０２と、バージョンが付加されている無効化リストを受け付ける無効化リスト受付部３０４と、無効化リスト受付部３０４が受け付けた無効化リストのバージョンと前記バージョン情報とを比較するバージョン検証部３０８とを備え、無効化リストのバージョンがバージョン情報より古い場合に、無効化リスト書込部３０９の処理を抑制する。

Description

情報処理装置、コントローラ、鍵発行局、無効化リスト有効性判定方法および鍵発行方法

　本発明は、無効化リストを用いて処理を行う情報処理装置に関する。

　メモリカードに格納されているコンテンツをホスト（再生装置）が再生するシステムでは、メモリカードとホストとの間で暗号通信が行われる。近年、メモリカードとホストとの間の暗号通信にＰＫＩ（Ｐｕｂｌｉｃ　Ｋｅｙ　Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ）と呼ばれる方式を用いることが検討されている。

　ＰＫＩでは、メモリカードとホストとが共に秘密鍵および公開鍵証明書を保持している。公開鍵証明書は、証明書ＩＤおよび公開鍵を含み、正当な鍵発行局によるデジタル署名が付与されている。

　メモリカードとホストとは、素因数分解の複雑性を基盤とした鍵交換方式であるＤｉｆｉｅｅ－Ｈｅｌｍａｎ方式や、楕円曲線上の離散対数問題を基盤とした鍵交換方式であるＥＣ－ＤＨ（Ｅｌｉｐｔｉｃ　Ｃｕｒｖｅ　Ｄｉｆｉｅｅ－Ｈｅｌｍａｎ）方式などを用いて相互認証を行い、セッション鍵を共有し合う。そして共有したセッション鍵を用いて暗号通信を行う。

　ところで、製造メーカの不注意や悪意の攻撃者による情報の漏洩などにより、秘密にすべき秘密鍵が漏洩してしまう場合が考えられる。このような場合に暗号通信を停止するために、ＰＫＩでは無効化リストを用いる。

　無効化リストは、秘密鍵が漏洩した装置の証明書ＩＤが記載されたリストである。無効化リストを用いることで、通信相手の証明書ＩＤが無効化リストに記載されていると判断する場合には、暗号通信を停止することができる。

日本国特開２００５－３５２５２２号公報

　無効化リストは、秘密鍵が漏洩した装置が新たに追加されると新たなバージョンに更新されていくが、メモリカードに無効化リスト格納する処理は、カードメーカに委ねられている。

　カードメーカが誤って古いバージョンの無効化リストを格納したり、さらには、ユーザの購買意欲を高めるため、故意に古いバージョンの無効化リストを格納したりする場合も予想される。

　メモリカードに古いバージョンの無効化リストが格納されると不正な装置がコンテンツを利用できる可能性が高くなり、不正アクセスを遮断することができない。

　そこで、本発明は上記の問題点に鑑みなされたものであって、カードメーカがメモリカードに古いバージョンの無効化リストを格納するのを抑制することができる情報処理装置、コントローラ、鍵発行局、無効化リスト有効性判定方法および鍵発行方法を提供することを目的とする。

　上記の目的を達成するために、本発明は、鍵情報を用いて認証および鍵交換処理を行う情報処理装置であって、鍵発行局により発行された前記鍵情報と、前記鍵情報が生成された時点において発行されている最新の無効化リストのバージョンを示し、前記鍵情報と関連付けられた情報であるバージョン情報とを記憶している記憶部と、バージョンが付加されている無効化リストを受け付ける無効化リスト受付部と、前記無効化リスト受付部が受け付けた前記無効化リストのバージョンと前記バージョン情報とを比較する比較部と、前記無効化リストのバージョンが、前記バージョン情報より古い場合に、所定の処理を抑制する制御部とを備えることを特徴とする。

　上記の構成によると、前記情報処理装置において、古いバージョンの無効化リストを用いた処理が行われることを防止することができる。

　また、仮にメーカが古いバージョンの無効化リストを情報処理装置に埋め込んだとすると、この情報処理装置は制御部により所定の処理が抑制される。したがって正常に動作しない情報処理装置が製造されることになる。そこで、上記の構成を有することにより、メーカは正常に動作しない情報処理装置が製造されるのを防止するために、新しい無効化リストを情報処理装置に埋め込むことが期待される。

メモリカード製造システム１の構成を示す図である。鍵発行局１０の構成を示すブロック図である。無効化リスト１２０のデータ構成を示す図である。鍵情報１３０のデータ構成を示す図である。メモリカード製造装置２０およびメモリカード３０の構成を示すブロック図である。メモリカード３０による書込処理の動作を示すフローチャートである。メモリカード３０ａの構成を示すブロック図である。コンテンツ再生システム２の構成を示す図である。メモリカード４０の構成を示すブロック図である。再生装置５０の構成を示すブロック図である。メモリカード４０および再生装置５０による認証鍵交換処理およびコンテンツ送受信処理の動作を示すフローチャートである。メモリカード４０および再生装置５０による認証鍵交換処理およびコンテンツ送受信処理の動作を示すフローチャートである。メモリカード４０および再生装置５０による認証鍵交換処理およびコンテンツ送受信処理の動作を示すフローチャートである。メモリカード４０および再生装置５０によるバージョン検証処理の動作を示すフローチャートである。メモリカード４０ａの構成を示すブロック図である。

　ここでは、本発明に係る実施の形態について、図面を参照しながら説明する。
１．実施の形態１
　本発明に係る第一の実施の形態であるメモリカード製造システム１について説明する。
＜構成＞
　メモリカード製造システム１は、コントローラおよびフラッシュメモリから構成されるメモリカードを製造するシステムである。メモリカード製造システム１は、図１に示すように、鍵発行局１０、メモリカード製造装置２０および本発明に係る情報処理装置としてのメモリカード３０から構成される。

　鍵発行局１０は、メモリカードに埋め込むための鍵情報および無効化リストの生成、管理、配布を行う装置である。

　メモリカード製造装置２０は、メモリカード製造業者の装置である。メモリカード製造業者は、メモリカード３０を組み立てて出荷する業者であり、コントローラ製造業者からコントローラを購入し、フラッシュメモリ製造業者からフラッシュメモリを購入して、メモリカード３０を組み立てる。そして、メモリカード製造業者は、メモリカード製造装置２０を用いて、組み立てたメモリカード３０のコントローラに鍵発行局１０から取得した鍵情報および無効化リストを送信する。
（１）鍵発行局１０
　鍵発行局１０は、図２に示すように、ルート秘密鍵保持部１０１、新規登録受付部１０２、バージョン管理部１０３、無効化リスト管理部１０４、無効化リスト生成部１０５、鍵ペア生成部１０６、証明書ＩＤ管理部１０７、証明書生成部１０８、署名付与部１０９、鍵情報生成部１１０、鍵情報送信部１１１、および無効化リスト送信部１１２から構成される。

　鍵発行局１０は、具体的には、プロセッサ、ハードディスク、ＲＯＭ、ＲＡＭなどのハードウェアを備えたコンピュータシステムである。ＲＯＭにはコンピュータプログラムが記録されており、プロセッサがＲＡＭを用いてコンピュータプログラムを実行することにより、鍵発行局１０はその機能を達成する。

　ルート秘密鍵保持部１０１は、本システムの安全性の根拠となるルート秘密鍵を保持している。ルート秘密鍵の漏洩は本システム全体が毀損されることを意味するため、ルート秘密鍵は極めて厳重に管理する必要がある。ルート秘密鍵は後述するルート公開鍵と鍵ペアを構成する。

　新規登録受付部１０２は、秘密鍵が暴露されたことにより、新たに無効化リストに加えるべき公開鍵証明書の証明書ＩＤ（以下、「無効証明書ＩＤ」と記載する。）の入力を受け付ける。具体的に、新規登録受付部１０２は、マウス、キーボード等の入力装置とアプリケーションプログラムとから構成され、オペレータがキーボード等を操作することにより、無効証明書ＩＤを入力する。

　バージョン管理部１０３は、既に発行済みである最新の無効化リストのバージョン番号を管理する。すなわち、バージョン管理部１０３は、既に発行済みである最新の無効化リストのバージョン番号である「最低バージョン情報」を内部に記憶しておき、無効化リスト生成部１０５で新たに無効化リストが生成される都度、記憶している「最低バージョン情報」を「１」ずつインクリメントする。

　無効化リスト管理部１０４は、新規登録受付部１０２が受け付けた無効証明書ＩＤを蓄積する。

　無効化リスト生成部１０５は、無効化リスト管理部１０４に蓄積されている無効証明書ＩＤから、無効化リストを生成する。

　ここで、無効化リスト生成部１０５が生成する無効化リストのデータ構成を図３に示す。同図に示すように、無効化リスト１２０は、バージョン１２１、登録数１２２、リスト１２３およびデジタル署名１２４から構成される。

　バージョン１２１は、当該無効化リスト１２０のバージョンを示す。無効化リスト生成部１０５は、バージョン管理部１０３が管理している「最低バージョン情報」に「１」を加算して、バージョン１２１とする。

　登録数１２２は、リスト１２３に記載されている無効証明書ＩＤの数を示す。無効化リスト生成部１０５は、無効化リスト管理部１０４に蓄積されている無効証明書ＩＤの数を、登録数１２２とする。

　リスト１２３は、ｎ個の無効化証明書ＩＤを含む。無効化リスト生成部１０５は、無効化リスト管理部１０４に蓄積されているすべての無効化証明書ＩＤを含むリスト１２３を生成する。

　デジタル署名１２４は、バージョン１２１、登録数１２２およびリスト１２３に対して生成されたデジタル署名である。無効化リスト生成部１０５は、ルート秘密鍵保持部１０１に保持されているルート秘密鍵を署名生成鍵として用い、バージョン１２１、登録数１２２およびリスト１２３を結合したデータに対し所定の署名生成アルゴリズムを施して、デジタル署名１２４を生成する。

　無効化リスト生成部１０５は、バージョン１２１、登録数１２２、リスト１２３およびデジタル署名１２４から無効化リスト１２０を生成し、生成した無効化リスト１２０を、無効化リスト送信部１１２へ出力する。また、無効化リスト生成部１０５は、無効化リスト１２０を生成すると、その旨をバージョン管理部１０３へ通知する。

　鍵ペア生成部１０６は、メモリカード３０に付与する公開鍵および秘密鍵からなる鍵ペアを生成する。鍵ペア生成部１０６は、生成した公開鍵を、証明書生成部１０８へ出力し、生成した秘密鍵を、鍵情報生成部１１０へ出力する。

　証明書ＩＤ管理部１０７は、鍵発行局１０が発行する公開鍵証明書の証明書ＩＤを管理する。既に使用済みの証明書ＩＤについては誤って再利用しないように注意する必要がある。一例として、証明書ＩＤ管理部１０７は、鍵発行局１０が公開鍵証明書を発行する毎に「１」ずつカウンタを増加させ、常に新しい番号の証明書ＩＤを生成するとしてもよい。

　証明書生成部１０８は、公開鍵証明書の一部である証明書データを生成する。証明書生成部１０８は、証明書ＩＤ管理部１０７から指示される証明書ＩＤと、鍵ペア生成部１０６により生成された公開鍵とからなる証明書データを生成する。証明書生成部１０８は、生成した証明書データを、署名付与部１０９へ出力する。

　署名付与部１０９は、ルート秘密鍵保持部１０１に保持されているルート秘密鍵を署名生成鍵として用い、証明書生成部１０８から受け取った証明書データに対し所定の署名生成アルゴリズムを施し、デジタル署名を生成する。署名付与部１０９は、証明書データにデジタル署名を付与して公開鍵証明書を生成し、生成した公開鍵証明書を、鍵情報生成部１１０へ出力する。

　鍵情報生成部１１０は、メモリカード製造装置２０に送付する鍵情報を生成する。

　ここで、鍵情報生成部１１０が生成する鍵情報のデータ構成を図４に示す。同図に示すように、鍵情報１３０は、秘密鍵１３１、公開鍵証明書１３２、最低バージョン情報１３３およびデジタル署名１３４から構成される。公開鍵証明書１３２は、証明書ＩＤ１３５、公開鍵１３６およびデジタル署名１３７から構成される。

　秘密鍵１３１は、鍵情報生成部１１０が鍵ペア生成部１０６から受け取った秘密鍵である。公開鍵証明書１３２は、鍵情報生成部１１０が署名付与部１０９から受け取った公開鍵証明書である。鍵情報生成部１１０は、バージョン管理部１０３で管理している「最低バージョン情報」を読み出して、最低バージョン情報１３３とする。さらに、鍵情報生成部１１０は、ルート秘密鍵保持部１０１に保持されているルート秘密鍵を署名生成鍵として用い、秘密鍵１３１、公開鍵証明書１３２および最低バージョン情報１３３を結合したデータに対して所定の署名生成アルゴリズムを施し、デジタル署名１３４を生成する。

　鍵情報生成部１１０は、秘密鍵１３１、公開鍵証明書１３２、最低バージョン情報１３３およびデジタル署名１３４から鍵情報１３０を生成し、生成した鍵情報１３０を、鍵情報送信部１１１へ出力する。

　鍵情報送信部１１１は、メモリカード製造装置２０から要求を受けると、鍵情報１３０をメモリカード製造装置２０へ送信する。

　無効化リスト送信部１１２は、メモリカード製造装置２０から要求を受けると、無効化リスト１２０を、メモリカード製造装置２０へ送信する。
（２）メモリカード製造装置２０
　図５に示すように、メモリカード製造装置２０は、無効化リスト送信部２０１と鍵情報送信部２０２とから構成される。

　無効化リスト送信部２０１は、鍵発行局１０から無効化リスト１２０を取得し、取得した無効化リスト１２０を、メモリカード３０のコントローラ３０１に送信する。

　鍵情報送信部２０２は、鍵発行局１０から鍵情報１３０を取得し、取得した鍵情報１３０を、メモリカード３０のコントローラ３０１に送信する。
（３）メモリカード３０
　図５に示すように、メモリカード３０は、コントローラ３０１と記憶部３０２とから構成される。

　コントローラ３０１は、メモリカード製造業者がコントローラ製造業者から取得したＬＳＩデバイスであり、内部処理はセキュアに守られて、外部から情報を読み出すことができない。

　記憶部３０２は、メモリカード製造業者がフラッシュ製造業者から取得したフラッシュメモリである。記憶部３０２へのデータの書き込み、および、記憶部３０２からのデータの読み出しは、コントローラ３０１を介して行われる。

　コントローラ３０１は、ルート公開鍵保持部３０３、無効化リスト受付部３０４、鍵情報受付部３０５、署名検証部３０６、鍵情報書込部３０７、バージョン検証部３０８および無効化リスト書込部３０９から構成される。

　ルート公開鍵保持部３０３は、鍵発行局１０が保持しているルート秘密鍵と鍵ペアを成すルート公開鍵を保持している。ルート公開鍵は、鍵発行局１０によって生成されたデジタル署名の検証に用いられる。なお、一例として、ルート公開鍵保持部３０３は、コントローラ３０１内部にハードロジックで構成してもよい。

　無効化リスト受付部３０４は、メモリカード製造装置２０の無効化リスト送信部２０１から無効化リスト１２０を受け取る。無効化リスト受付部３０４は、受け取った無効化リスト１２０を、署名検証部３０６に出力する。

　鍵情報受付部３０５は、メモリカード製造装置２０の鍵情報送信部２０２から鍵情報１３０を受け取る。鍵情報受付部３０５は、受け取った鍵情報１３０を、署名検証部３０６に出力する。

　署名検証部３０６は、ルート公開鍵保持部３０３が保持しているルート公開鍵を用いて、無効化リスト１２０に含まれるデジタル署名１２４、鍵情報１３０に含まれるデジタル署名１３４、公開鍵証明書１３２に含まれるデジタル署名１３７のそれぞれに対して、所定の署名検証アルゴリズムを施して、署名検証を行う。

　鍵情報書込部３０７は、鍵情報１３０に含まれるデジタル署名１３４および公開鍵証明書１３２に含まれるデジタル署名１３７の署名検証に成功した場合に、鍵情報１３０を、記憶部３０２に書き込む。

　バージョン検証部３０８は、署名検証部３０６から無効化リスト１２０を受け取り、受け取った無効化リスト１２０からバージョン１２１を読み出す。また、バージョン検証部３０８は、記憶部３０２に記憶されている鍵情報１３０から最低バージョン情報１３３を読み出す。

　バージョン検証部３０８は、バージョン１２１が、最低バージョン情報１３３よりも古いか否か判断する。無効化リスト１２０のバージョン１２１が、最低バージョン情報１３３よりも古い場合には、バージョン検証部３０８は、古い無効化リストが不正に書き込まれようとしていると判断し、無効化リスト１２０を無効化リスト書込部３０９へ出力せずに破棄する。無効化リスト１２０のバージョン１２１が、最低バージョン情報１３３と同一かまたは新しい場合、バージョン検証部３０８は、無効化リスト１２０を無効化リスト書込部３０９へ出力する。

　無効化リスト書込部３０９は、バージョン検証部３０８から無効化リスト１２０を受け取ると、受け取った無効化リスト１２０を記憶部３０２へ書き込む。
＜動作＞
　ここでは、図６を用いて、コントローラ３０１による鍵情報および無効化リストの書き込み処理の動作について説明する。

　無効化リスト受付部３０４は、無効化リストを受け付ける（ステップＳ１）。鍵情報受付部３０５は、鍵情報を受け付ける（ステップＳ２）。

　署名検証部３０６は、ルート公開鍵保持部３０３に保持されているルート公開鍵を用いて、鍵情報のデジタル署名を検証する（ステップＳ３）。署名検証に失敗した場合（ステップＳ４でＮＯ）、コントローラ３０１は処理を終了する。

　署名検証に成功した場合（ステップＳ４でＹＥＳ）、署名検証部３０６は、鍵情報から公開鍵証明書を抽出し（ステップＳ５）、ルート公開鍵を用いて、公開鍵証明書のデジタル署名を検証する（ステップＳ６）。署名検証に失敗した場合（ステップＳ７でＮＯ）、コントローラ３０１は処理を終了する。

　署名検証に成功した場合（ステップＳ７でＹＥＳ）、鍵情報書込部３０７は、記憶部３０２に鍵情報を書き込む（ステップＳ８）。

　続いて、署名検証部３０６は、ルート公開鍵を用いて、ステップＳ１で受け取った無効化リストのデジタル署名を検証する（ステップＳ９）。署名検証に失敗した場合（ステップＳ１０でＮＯ）、コントローラ３０１は処理を終了する。　

　署名検証に成功した場合（ステップＳ１０でＹＥＳ）、バージョン検証部３０８は、記憶部３０２に記憶されている鍵情報から「最低バージョン情報」を抽出する（ステップＳ１１）。さらに、バージョン検証部３０８は、無効化リストから「バージョン」を読み出す。バージョン検証部３０８は、無効化リストのバージョンが、最低バージョン情報より古いか否かを判断するバージョン検証処理を行う（ステップＳ１２）。

　無効化リストのバージョンが最低バージョン情報より古い場合（ステップＳ１３でＹＥＳ）、コントローラ３０１は、処理を終了する。無効化リストの場ジョンが最低バージョン情報と同一若しくは新しい場合（ステップＳ１３でＮＯ）、無効化リスト書込部３０９は、記憶部３０２に無効化リストを書き込む（ステップＳ１４）。
＜変形例＞
　ここでは、実施の形態１で説明したメモリカード３０の変形例として、メモリカード３０ａについて説明する。

　図７は、メモリカード３０ａの構成を示すブロック図である。ここでは、図５に記載したメモリカード３０と同一の機能を有する構成要素については、図５と同一の符号を付して、説明を省略する。

　変形例に係るメモリカード３０ａのコントローラ３０１ａは、コントローラ３０１の構成要素に加え、コントローラ固有鍵保持部３１１および暗号化部３１２を備えている。

　コントローラ固有鍵保持部３１１は、コントローラ３０１ａに固有の情報であるコントローラ固有鍵を保持している。コントローラ固有鍵は、例えば、コントローラ３０１ａの製造後に、電子回路の一部を電気的に焼き切って、個体別に異なる番号を刻むｅＦＵＳＥといった技術を用いて書き込まれている。

　コントローラ３０１ａの署名検証部３０６は、鍵情報に含まれるデジタル署名の検証に成功すると、鍵情報を暗号化部３１２へ出力する。暗号化部３１２は、鍵情報に含まれる秘密鍵を、コントローラ固有鍵保持部３１１に保持されているコントローラ固有鍵で暗号化し、暗号化秘密鍵を生成する。そして、鍵情報書込部３０７は、記憶部３０２に、暗号化秘密鍵、公開鍵証明書、最低バージョン情報およびデジタル署名からなる鍵情報を書き込む。

　すなわち、変形例に係るコントローラ３０１ａは、暗号化秘密鍵を記憶部３０２に書き込む。ここで、暗号化に用いる鍵は、コントローラ３０１ａに固有の鍵であるから、記憶部３０２に格納されている暗号化秘密鍵をコントローラ３０１ａ以外の他のコントローラで復号することはできない。よって、コントローラ３０１ａを用いると、秘密鍵の安全性をより高めることができる。
２．実施の形態２
　本発明に係る第二の実施の形態であるコンテンツ再生システム２について説明する。
＜構成＞
　コンテンツ再生システム２は、図８に示すように、本発明に係る情報処理装置としてのメモリカード４０と本発明に係る情報処理装置としての再生装置５０とから構成される。

　メモリカード４０には、デジタルコンテンツが記録されている。再生装置５０は、メモリカード４０からデジタルコンテンツを読み出して再生する装置である。

　メモリカード４０および再生装置５０は、共に、実施の形態１で説明した鍵発行局１０が発行したＰＫＩの鍵ペアおよび無効化リストを保持している。メモリカード４０および再生装置５０は、鍵ペアおよび無効化リストを用いて相互認証を行った後に、暗号通信によりコンテンツを送受信する。
（１）メモリカード４０
　図９に示すように、メモリカード４０は、コントローラ４０１と記憶部４０２とから構成される。

　コントローラ４０１は、ＬＳＩデバイスであり、内部処理はセキュアに守られて、外部から情報を読み出すことができない。記憶部４０２は、フラッシュメモリである。記憶部４０２へのデータの書き込み、および、記憶部４０２からのデータの読み出しは、コントローラ４０１を介して行われる。

　記憶部４０２には、秘密鍵４１１、公開鍵証明書４１２、最低バージョン情報４１３およびデジタル署名４１４から構成される鍵情報４１０と、無効化リスト４１５と、コンテンツ鍵４１６と、暗号化コンテンツ４１７とが格納されている。公開鍵証明書４１２のデータ構成は、図４の公開鍵証明書１３２と同様であり、無効化リスト４１５のデータ構成は、図３の無効化リスト１２０と同様である。秘密鍵４１１と、公開鍵証明書４１２に含まれる公開鍵とが、ＰＫＩの鍵ペアを構成する。暗号化コンテンツ４１７は、コンテンツ鍵４１６を暗号鍵として用い、平文コンテンツに所定の暗号化アルゴリズムを施して生成された暗号化データである。

　コントローラ４０１は、ルート公開鍵保持部４２１、バージョン検証部４２２、認証鍵交換部４２３、無効化リスト更新部４２６、無効化判定部４２７、コンテンツ鍵送信部４２８および暗号化コンテンツ送信部４２９から構成される。認証鍵交換部４２３は、認証部４２４およびセッション鍵生成部４２５を含む。

　ルート公開鍵保持部４２１は、鍵発行局１０が保持しているルート秘密鍵と鍵ペアを成すルート公開鍵を保持している。ルート公開鍵は、鍵発行局１０によって生成されたデジタル署名の検証に用いられる。なお、一例として、ルート公開鍵保持部４２１は、コントローラ４０１内部にハードロジックで構成してもよい。

　バージョン検証部４２２は、公開鍵証明書４１２に含まれる最低バージョン情報と無効化リスト４１５に含まれるバージョンとを比較し、無効化リスト４１５の正当性を確認する。具体的に、バージョン検証部４２２は、無効化リストのバージョンが、最低バージョン情報よりも古い場合には、何らかの攻撃や不正が行われたと判断し、再生装置５０との間での暗号通信の確立を中止する。なお、バージョン検証部４２２によるバージョン検証処理は、再生装置５０との通信の都度行ってもよいし、通信の都度行うのではなく、初期時点や無効化リスト更新時点に行うことも可能である。

　認証部４２４は、ルート公開鍵保持部４２１が保持するルート公開鍵を用いて、再生装置５０から受信した公開鍵証明書に含まれるデジタル署名を検証する。

　なお、署名生成および署名検証のアルゴリズムは、素因数分解の困難性を根拠とするＤＳＡ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｔｕｒｅ　Ａｌｇｏｒｉｔｈｍ）や、楕円曲線上での離散対数問題を根拠とするＥＣ－ＤＳＡ（Ｅｌｉｐｔｉｃ　Ｃｕｒｖｅ　Ｄｉｇｉｔａｌ　Ｓｉｇｎａｔｕｒｅ　Ａｌｇｏｒｉｔｈｍ）などがある。これらのアルゴリズムを用いてもよいし、他のアルゴリズムを用いてもよい。実施の形態２では、一例として、１６０ビットの鍵長を持つＥＣ－ＤＳＡを用いる。

　検証の結果、再生装置５０の公開鍵証明書に含まれるデジタル署名が正しくないと判定された場合には、再生装置５０は不正な装置であると見なし、再生装置５０との間での暗号通信の確立を中止する。

　また、認証部４２４は、再生装置５０との間でチャレンジ－レスポンス認証を行う。チャレンジ‐レスポンス認証についての詳細は後述する。チャレンジ－レスポンス認証が失敗した場合には、再生装置５０は不正な装置であるか、通信経路において何らかの攻撃があったものと見なし、再生装置５０との間での暗号通信の確立を中止する。

　セッション鍵生成部４２５は、認証部４２４によるチャレンジ－レスポンス認証において生成した情報および再生装置５０から受信した情報などを用いて、再生装置５０と共有するセッション鍵を生成する。セッション鍵の具体的な生成方法については後述する。

　無効化リスト更新部４２６は、再生装置５０との間で自機が保持している無効化リストを相互に送受信する。無効化リスト更新部４２６は、無効化リスト４１５を送信するときは、セッション鍵生成部４２５により生成されたセッション鍵で暗号化した後に送信する。また、再生装置５０から受信する無効化リストはセッション鍵で暗号化されているので、無効化リスト更新部４２６は、セッション鍵で復号する。

　ここでは、暗号化アルゴリズムとしてＡＥＳ（Ａｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）を用いることとする。しかし、ここで用いる暗号化アルゴリズムはＡＥＳに限るものではなく、十分な鍵長がある共通鍵暗号方式であれば、他のアルゴリズムでもよい。また、暗号化ではなくＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）など、無効化リストを古いバージョンに置換する攻撃（「ロールバック攻撃」と言う。）を防止できる方法でれば、他の方法を用いてもよい。

　さらに、無効化リスト更新部４２６は、無効化リストの全体を送受信してもよいし、最初に無効化リストに含まれる「バージョン」のみを送受信し、その後、必要に応じて無効化リストの全体を送信または受信するとしてもよい。この場合、無効化リスト更新部４２６は、バージョンを送信する際には、セッション鍵を用いて暗号化して送信し、残りの無効化リストのデータを送信する際には、暗号化せずに平文のまま送信するとしてもよい。これにより、データサイズの大きな無効化リストの全体を暗号化する処理を省略することができる。

　無効化リスト更新部４２６は、自機が保持する無効化リスト４１５のバージョンと、再生装置５０が保持する無効化リストのバージョンとを比較する。そして、再生装置５０が保持する無効化リストの方が新しいと判定した場合には、無効化リスト更新部４２６は、記憶部４０２に記憶されている無効化リスト４１５を、再生装置５０から受信した無効化リストで更新する。

　なお、無効化リスト更新部４２６は、記憶部４０２の無効化リストを更新する前に、再生装置５０から受信した無効化リストに含まれるデジタル署名を、ルート公開鍵を用いて検証してもよい。そして、署名検証に成功した場合にのみ、記憶部４０２の無効化リスト４１５を更新し、署名検証に失敗した場合には、無効化リスト４１５を更新せず、受信した無効化リストは不正であると見なして破棄するとしてもよい。

　無効化判定部４２７は、再生装置５０から受信した公開鍵証明書に含まれる証明書ＩＤが、記憶部４０２に記憶されている無効化リストに含まれるか否かを判定する。再生装置５０の証明書ＩＤが無効化リストに含まれる場合、再生装置５０は不正な装置であるため、コントローラ４０１は、暗号通信の確立やコンテンツの送信を拒絶する。

　コンテンツ鍵送信部４２８は、認証部４２４による相互認証処理および無効化判定部４２７による無効化判定処理が正常に終了した場合に、記憶部４０２からコンテンツ鍵４１６を読み出す。そして、コンテンツ鍵送信部４２８は、コンテンツ鍵４１６をセッション鍵で暗号化して暗号化コンテンツ鍵を生成し、暗号化コンテンツ鍵を再生装置５０へ送信する。なお、ここでは、暗号化アルゴリズムの一例としてＡＥＳを用いることとする。

　暗号化コンテンツ送信部４２９は、記憶部４０２から暗号化コンテンツ４１７を読み出し、暗号化コンテンツ４１７を再生装置５０へ送信する。
（２）再生装置５０
　図１０に示すように、再生装置５０は、記憶部５０２、ルート公開鍵保持部５２１、バージョン検証部５２２、認証鍵交換部５２３、無効化リスト更新部５２６、無効化判定部５２７、コンテンツ鍵受信部５２８、暗号化コンテンツ受信部５２９、復号部５３０、復号部５３１、および再生部５３２から構成される。

　認証鍵交換部５２３は、認証部５２４およびセッション鍵生成部５２５を含む。

　再生装置５０は、具体的には、プロセッサ、ハードディスク、ＲＯＭ、ＲＡＭなどを備えるコンピュータシステムである。ＲＯＭにはコンピュータプログラムが記録されており、プロセッサがＲＡＭを用いてコンピュータプログラムを実行することにより、再生装置５０はその機能を達成する。

　記憶部５０２は、秘密鍵５１１、公開鍵証明書５１２、最低バージョン情報５１３およびデジタル署名５１４から構成される鍵情報５１０と、無効化リスト５１５とを格納している。公開鍵証明書５１２のデータ構成は、図４の公開鍵証明書１３２と同様であり、無効化リスト５１５のデータ構成は、図３の無効化リスト１２０と同様である。秘密鍵５１１と、公開鍵証明書５１２に含まれる公開鍵とが、ＰＫＩの鍵ペアを構成する。

　ルート公開鍵保持部５２１は、鍵発行局１０が保持しているルート秘密鍵と鍵ペアを成すルート公開鍵を保持している。ルート公開鍵は、鍵発行局１０によって生成されたデジタル署名の検証に用いられる。

　バージョン検証部５２２は、公開鍵証明書５１２に含まれる最低バージョン情報と無効化リスト５１５に含まれるバージョンとを比較し、無効化リスト５１５の正当性を確認する。具体的に、バージョン検証部５２２は、無効化リストのバージョンが、最低バージョン情報よりも古い場合には、何らかの攻撃や不正が行われたと判断し、メモリカード４０との間での暗号通信の確立を中止する。なお、バージョン検証部５２２によるバージョン検証処理は、メモリカード４０との通信の都度行ってもよいし、通信の都度行うのではなく、初期時点や無効化リスト更新時点に行うことも可能である。

　認証部５２４は、ルート公開鍵保持部５２１が保持するルート公開鍵を用いて、メモリカード４０から受信した公開鍵証明書に含まれるデジタル署名を検証する。ここでは、署名生成および署名検証のアルゴリズムとして、ＥＣ－ＤＳＡを用いる。

　署名検証の結果、メモリカード４０の公開鍵証明書に含まれるデジタル署名が正しくないと判定された場合には、メモリカード４０は不正な装置であると見なし、メモリカード４０との間での暗号通信の確立を中止する。

　また、認証部５２４は、メモリカード４０との間でチャレンジ‐レスポンス認証を行う。チャレンジ‐レスポンス認証についての詳細は後述する。チャレンジ‐レスポンス認証が失敗した場合には、メモリカード４０は不正な装置であるか、通信経路において何らかの攻撃があったものと見なし、メモリカード４０との間での暗号通信の確立を中止する。

　セッション鍵生成部５２５は、認証部５２４によるチャレンジ‐レスポンス認証において生成した情報およびメモリカード４０から受信した情報などを用いて、メモリカード４０と共有するセッション鍵を生成する。セッション鍵の具体的な生成方法については後述する。

　無効化リスト更新部５２６は、メモリカード４０との間で自機が保持している無効化リストを相互に送受信する。無効化リスト更新部５２６は、無効化リスト５１５を送信するときは、セッション鍵生成部５２５により生成されたセッション鍵で暗号化した後に送信する。また、メモリカード４０から受信する無効化リストはセッション鍵で暗号化されているので、無効化リスト更新部５２６は、セッション鍵で復号する。ここでは、暗号化アルゴリズムとしてＡＥＳを用いることとする。

　さらに、無効化リスト更新部５２６は、無効化リストの全体を送受信してもよいし、最初に無効化リストに含まれる「バージョン」のみを送受信し、その後、必要に応じて無効化リストの全体を送信または受信するとしてもよい。この場合、無効化リスト更新部５２６は、メモリカード４０の無効化リスト更新部４２６と同様に、バージョンを送信する際には、セッション鍵を用いて暗号化して送信し、残りの無効化リストのデータを送信する際には、暗号化せずに平文のまま送信するとしてもよい。

　無効化リスト更新部５２６は、自機が保持する無効化リスト５１５のバージョンと、メモリカード４０が保持する無効化リストのバージョンとを比較する。そして、メモリカード４０が保持する無効化リストの方が新しいと判定した場合には、無効化リスト更新部５２６は、記憶部５０２に記憶されている無効化リスト５１５を、メモリカード４０から受信した無効化リストで更新する。

　なお、無効化リスト更新部５２６は、記憶部５０２の無効化リストを更新する前に、メモリカード４０から受信した無効化リストに含まれるデジタル署名を、ルート公開鍵を用いて検証してもよい。そして、署名検証に成功した場合にのみ、記憶部５０２の無効化リスト５１５を更新し、署名検証に失敗した場合には、無効化リスト５１５を更新せず、受信した無効化リストは不正であると見なして破棄するとしてもよい。

　無効化判定部５２７は、メモリカード４０から受信した公開鍵証明書に含まれる証明書ＩＤが、記憶部５０２に記憶されている無効化リストに含まれるか否かを判定する。メモリカード４０の証明書ＩＤが無効化リストに含まれる場合、メモリカード４０は不正な装置であるため、再生装置５０は、暗号通信の確立や暗号化コンテンツの復号処理を中止する。

　コンテンツ鍵受信部５２８は、メモリカード４０から暗号化コンテンツ鍵を受信する。暗号化コンテンツ鍵は、コンテンツ鍵４１６がセッション鍵により暗号化されたデータである。

　暗号化コンテンツ受信部５２９は、メモリカード４０から暗号化コンテンツを受信する。暗号化コンテンツは、コンテンツがコンテンツ鍵により暗号化されたデータである。

　復号部５３０は、認証部５２４による相互認証処理および無効化判定部５２７による無効化判定処理が正常に終了した場合に、コンテンツ鍵受信部５２８が受信した暗号化コンテンツ鍵をセッション鍵を用いて復号し、コンテンツ鍵を生成する。ここでは、暗号化アルゴリズムとしてＡＥＳを用いることとする。

　復号部５３１は、復号部５３０からコンテンツ鍵を受け取り、暗号化コンテンツ受信部５２９から暗号化コンテンツを受け取る。復号部５３１は、暗号化コンテンツをコンテンツ鍵を用いて復号し、コンテンツを生成する。

　再生部５３２は、復号部５３１により復号されたコンテンツにデコード処理等して、図示していない外部のディスプレイに出力する。
＜動作＞
　ここでは、図１１～図１４のフローチャートを用いて、コンテンツ再生システム２の動作について説明する。

　再生装置５０の認証部５２４は、１６０ビットのランダム値Ｈｎ（Ｈｏｓｔ　ｎｏｎｃｅ）を生成する（ステップＳ１０１）。なお、実施の形態２では、鍵長１６０ビットのＥＣ－ＤＳＡを前提としているため、１６０ビットのランダム値を生成するが、他のアルゴリズムを用いる場合、ここで生成されるランダム値は１６０ビットではないことは言うまでもない。

　認証部５２４は、ステップＳ１０１で生成した１６０ビットのランダム値に記憶部５０２が保持している公開鍵証明書５１２を付加する。これを、チャレンジデータとしてメモリカード４０に送信する（ステップＳ１０２）。なお、図１１では、公開鍵証明書５１２を「Ｈｃｅｒｔ（Ｈｏｓｔ　Ｃｅｒｔｉｆｉｃａｔｅ）」と記載している。また、「｜｜」は連結を意味する記号である。

　メモリカード４０は、再生装置５０からチャレンジデータを受信すると、バージョン検証部４２２によるバージョン検証処理を行う（ステップＳ１０３）。バージョン検証処理の詳細については後述する。

　バージョン検証処理で無効化リストが不正であると判定されると（ステップＳ１０４でＮＯ）、メモリカード４０は処理を停止する。バージョン検証処理で無効化リストが正当であると判定されると（ステップＳ１０４でＹＥＳ）、ステップＳ１０５へ進む。

　認証部４２４は、ルート公開鍵を用いて、ステップＳ１０２で受信したチャレンジデータに含まれる公開鍵証明書Ｈｃｅｒｔの検証処理を行う（ステップＳ１０５）。公開鍵証明書Ｈｃｅｒｔの検証処理に失敗すると（ステップＳ１０６でＮＯ）、メモリカード４０は処理を停止する。公開鍵証明書Ｈｃｅｒｔの検証処理に成功すると（ステップＳ１０６でＹＥＳ）、認証部４２４は、１６０ビットのランダム値Ｍｎ（Ｍｅｄｉａ　ｎｏｎｃｅ）を生成する（ステップＳ１０７）。

　認証部４２４は、ステップＳ１０７で生成した１６０ビットのランダム値Ｈｎに対し、記憶部４０２が保持している公開鍵証明書４１２を付加する。これを、チャレンジデータとして、再生装置５０へ送信する（ステップＳ１０８）。なお、図１１では、公開鍵証明書４１２を「Ｍｃｅｒｔ（Ｍｅｄｉａ　Ｃｅｒｔｉｆｉｃａｔｅ）」と記載している。

　再生装置５０は、メモリカード４０からチャレンジデータを受信すると、バージョン検証部５２２によるバージョン検証処理を行う（ステップＳ１０９）。バージョン検証処理の詳細については後述する。

　バージョン検証処理で無効化リストが不正であると判定されると（ステップＳ１１０でＮＯ）、再生装置５０は処理を停止する。バージョン検証処理で無効化リストが正当であると判定されると（ステップＳ１１０でＹＥＳ）、ステップＳ１１７へ進む。

　メモリカード４０の認証部４２４は、ステップＳ１０８でチャレンジデータを送信した後、１６０ビットのランダム値Ｍｋ（Ｍｅｄｉａ　Ｋｅｙ）を生成する（ステップＳ１１３）。なお、ＥＣ－ＤＨ以外の他のアルゴリズムを用いる場合には、ステップＳ１１３で生成するランダム値は、１６０ビットとは限らない。

　認証部４２４は、ステップＳ１１３で生成したランダム値Ｍｋに対して、本システムにおいて予め定められている楕円暗号のパラメータであるベースポイントＧを用いて、Ｍｖ＝Ｍｋ・Ｇを計算する（ステップＳ１１４）。

　さらに、認証部４２４は、ステップＳ１０２で受信したチャレンジデータに含まれるＨｎと、ステップＳ１１４で算出したＭｖとを連結したデータであるＨｎ｜｜Ｍｖに対して、記憶部４０２に記憶されている秘密鍵（Ｍｐｒｉｖ）４１１を用いてデジタル署名（Ｓｉｇｎ（Ｍｐｒｉｖ，Ｈｎ｜｜Ｍｖ））を生成する（ステップＳ１１５）。

　認証部４２４は、ステップＳ１１４で算出したＭｖと、ステップＳ１１５で生成したデジタル署名Ｓｉｇｎ（Ｍｐｒｉｖ，Ｈｎ｜｜Ｍｖ）とを連結したデータをレスポンスデータとして、再生装置５０へ送信する（ステップＳ１１６）。

　再生装置５０は、メモリカード４０からレスポンスデータを受信する。認証部５２４は、受信したレスポンスデータに含まれるデジタル署名Ｓｉｇｎ（Ｍｐｒｉｖ，Ｈｎ｜｜Ｍｖ）の検証を行う（ステップＳ１１７）。具体的に、認証部５２４は、受信したレスポンスデータからＭｖを抽出し、ステップＳ１０１で生成したＨｎとＭｖとを連結したデータに、メモリカード４０の公開鍵証明書Ｍｃｅｒｔに含まれる公開鍵を用いて、デジタル署名を検証する。

　デジタル署名の検証に失敗すると（ステップＳ１１８でＮＯ）、再生装置５０は、処理を停止する。デジタル署名の検証に成功すると（ステップＳ１１８でＹＥＳ）、認証部５２４は、１６０ビットのランダム値Ｈｋ（Ｈｏｓｔ　Ｋｅｙ）を生成する（ステップＳ１１９）。

　認証部５２４は、ステップＳ１１９で生成したランダム値Ｈｋに対して、本システムにおいて予め定められている楕円暗号のパラメータであるベースポイントＧを用いて、Ｈｖ＝Ｈｋ・Ｇを計算する（ステップＳ１２０）。

　さらに、認証部５２４は、ステップＳ１０８で受信したチャレンジデータにう含まれるＭｎと、ステップＳ１２０で算出したＨｖとを連結したデータであるＭｎ｜｜Ｈｖに対して、記憶部５０２に記憶されている秘密鍵（Ｈｐｒｉｖ）５１１を用いてデジタル署名（Ｓｉｇｎ（Ｈｐｒｉｖ，Ｍｎ｜｜Ｈｖ））を生成する（ステップＳ１２１）。

　認証部５２４は、ステップＳ１２０で算出したＨｖと、ステップＳ１２１で生成したデジタル署名Ｓｉｇｎ（Ｈｐｒｉｖ，Ｍｎ｜｜Ｈｖ）とを連結したデータをレスポンスデータとして、メモリカード４０へ送信する（ステップＳ１２２）。

　メモリカード４０は、再生装置５０からレスポンスデータを受信する。認証部４２４は、受信したレスポンスデータに含まれるデジタル署名Ｓｉｇｎ（Ｈｐｒｉｖ，Ｍｎ｜｜Ｈｖ）の検証を行う（ステップＳ１２３）。具体的に、認証部４２４は、受信したレスポンスデータからＨｖを抽出し、ステップＳ１０８で生成したＭｎとＨｖとを連結したデータに、再生装置５０の公開鍵証明書Ｈｃｅｒｔに含まれる公開鍵を用いて、デジタル署名を検証する。

　デジタル署名の検証に失敗すると（ステップＳ１２４でＮＯ）、メモリカード４０は、処理を停止する。デジタル署名の検証に成功すると（ステップＳ１２４でＹＥＳ）、セッション鍵生成部４２５は、ステップＳ１１３で生成したランダム値Ｍｋと、ステップＳ１１２で受信したレスポンスデータに含まれるＨｖとから、Ｂｋ＝Ｍｋ・Ｈｖを計算して、セッション鍵Ｂｋ（Ｂｕｓ　Ｋｅｙ）を生成する（ステップＳ１２５）。

　再生装置５０のセッション鍵生成部５２５も同様に、ステップＳ１１９で生成したランダム値Ｈｋと、ステップＳ１１６で受信したレスポンスデータに含まれるＭｖとから、Ｂｋ＝Ｈｋ・Ｍｖを計算して、セッション鍵Ｂｋを生成する（ステップＳ１２６）。

　続いて、メモリカード４０の無効化リスト更新部４２６は、記憶部４０２に記憶されている無効化リスト４１５（Ｍｃｒｌ）を、ステップＳ１２５で生成したセッション鍵Ｂｋで暗号化し、暗号化無効化リストＥｎｃ（Ｂｋ，Ｍｃｒｌ）を生成する（ステップＳ１２７）。そして、無効化リスト更新部４２６は、暗号化無効化リストＥｎｃ（Ｂｋ，Ｍｃｒｌ）を再生装置５０へ送信する（ステップＳ１２８）。

　一方、再生装置５０の無効化リスト更新部５２６も同様に、記憶部５０２に記憶されている無効化リスト５１５（Ｈｃｒｌ）を、ステップＳ１２６で生成したセッション鍵Ｂｋで暗号化し、暗号化無効化リストＥｎｃ（Ｂｋ，Ｈｃｒｌ）を生成する（ステップＳ１２９）。そして、無効化リスト更新部５２６は、暗号化無効化リストＥｎｃ（Ｂｋ，Ｈｃｒｌ）をメモリカード４０へ送信する（ステップＳ１３０）。

　無効化リスト更新部５２６は、ステップＳ１２８で受信したＥｎｃ（Ｂｋ，Ｍｃｒｌ）を、セッション鍵Ｂｋを用いて復号する（ステップＳ１３１）。

　無効化リスト更新部４２６は、ステップＳ１３０で受信したＥｎｃ（Ｂｋ，Ｈｃｒｌ）を、セッション鍵Ｂｋを用いて復号する（ステップＳ１３２）。

　続いて、無効化リスト更新部４２６は、ＭｃｒｌのバージョンとＨｃｒｌのバージョンとを比較する（ステップＳ１３３）。

　Ｍｃｒｌのバージョンが、Ｈｃｒｌのバージョンより新しい場合、更新する必要がないので（ステップＳ１３４でＮＯ）、ステップＳ１４３へ進む。

　Ｈｃｒｌのバージョンが、Ｍｃｒｌのバージョンより新しい場合、更新する必要があるが（ステップＳ１３４でＹＥＳ）、更新処理に先立ち、無効化リスト更新部４２６は、ルート公開鍵を用いてＨｃｒｌに含まれるデジタル署名を検証する（ステップＳ１３５）。署名検証に失敗すると（ステップＳ１３６でＮＯ）、更新処理は行わず、ステップＳ１４３へ進む。署名検証に成功すると（ステップＳ１３６でＹＥＳ）、無効化リスト更新部４２６は、記憶部４０２に記憶されている無効化リストＭｃｒｌを、再生装置５０から受信した無効化リストＨｃｒｌで更新する（ステップＳ１３７）。

　一方で、再生装置５０の無効化リスト更新部５２６も同様に、ＭｃｒｌのバージョンとＨｃｒｌのバージョンとを比較する（ステップＳ１３８）。

　Ｈｃｒｌのバージョンが、Ｍｃｒｌのバージョンより新しい場合、更新する必要がないので（ステップＳ１３９でＮＯ）、ステップＳ１４８へ進む。

　Ｍｃｒｌのバージョンが、Ｈｃｒｌのバージョンより新しい場合、更新する必要があるが（ステップＳ１３９でＹＥＳ）、更新処理に先立ち、無効化リスト更新部５２６は、ルート公開鍵を用いてＭｃｒｌに含まれるデジタル署名を検証する（ステップＳ１４０）。署名検証に失敗すると（ステップＳ１４１でＮＯ）、更新処理は行わず、ステップＳ１４８へ進む。署名検証に成功すると（ステップＳ１４１でＹＥＳ）、無効化リスト更新部５２６は、記憶部５０２に記憶されている無効化リストＨｃｒｌを、メモリカード４０から受信した無効化リストＭｃｒｌで更新する（ステップＳ１４２）。

　次に、メモリカード４０の無効化判定部４２７は、記憶部４０２に記憶されている無効化リストを用いて、再生装置５０の公開鍵証明書Ｈｃｅｒｔの有効性を確認する（ステップＳ１４３）。具体的に、無効化判定部４２７は、無効化リストにＨｃｅｒｔの証明書ＩＤが記録されているか否か判断する。

　無効化リストにＨｃｅｒｔの証明書ＩＤが記録されている場合（ステップＳ１４４でＮＯ）、再生装置５０は不正な装置であると見なし、メモリカード４０は処理を停止する。

　無効化リストにＨｃｅｒｔの証明書ＩＤが記録されていない場合（ステップＳ１４４でＹＥＳ）、コンテンツ鍵送信部４２８は、記憶部４０２からコンテンツ鍵を読み出す（ステップＳ１４５）。コンテンツ送信部４２８は、読み出したコンテンツ鍵を、ステップＳ１２５で生成したセッション鍵Ｂｋを用いて暗号化し、暗号化コンテンツ鍵Ｅｎｃ（Ｂｋ，Ｋｃ）を生成する（ステップＳ１４６）。続いて、暗号化コンテンツ送信部４２９は、記憶部４０２から暗号化コンテンツを読み出す（ステップＳ１４７）。

　コンテンツ鍵送信部４２８は、暗号化コンテンツ鍵Ｅｎｃ（Ｂｋ，Ｋｃ）を、再生装置５０へ送信し、暗号化コンテンツ送信部４２９は、暗号化コンテンツＥｎｃ（Ｋｃ，Ｃｏｎｔ）を、再生装置５０へ送信する（ステップＳ１４８）。
再生装置５０のコンテンツ鍵受信部５２８は、暗号化コンテンツ鍵Ｅｎｃ（Ｂｋ，Ｋｃ）を受信し、暗号化コンテンツ受信部５２９は、暗号化コンテンツＥｎｃ（Ｋｃ，Ｃｏｎｔ）を受信する。

　次に、再生装置５０の無効化判定部５２７は、記憶部５０２に記憶されている無効化リストを用いて、メモリカード４０の公開鍵証明書Ｍｃｅｒｔの有効性を確認する（ステップＳ１４９）。具体的に、無効化判定部５２７は、無効化リストにＭｃｅｒｔの証明書ＩＤが記録されているか否か判断する。

　無効化リストにＭｃｅｒｔの証明書ＩＤが記録されている場合（ステップＳ１５０でＮＯ）、メモリカード４０は不正な装置であると見なし、再生装置５０は処理を停止する。

　無効化リストにＭｃｅｒｔの証明書ＩＤが記録されていない場合（ステップＳ１５０でＹＥＳ）、復号部５３０は、暗号化コンテンツ鍵を、ステップＳ１２６で生成したセッション鍵Ｂｋを用いて復号し、コンテンツ鍵を生成する（ステップＳ１５１）。続いて、復号部５３１は、暗号化コンテンツを、ステップＳ１５１で生成したコンテンツ鍵を用いて復号し、コンテンツを生成する（ステップＳ１５２）。そして、再生部５３２は、コンテンツを再生する（ステップＳ１５３）。

　最後に、図１４を用いて、図１１のステップＳ１０３およびステップＳ１０９のバージョン検証処理の詳細について説明する。

　図１４に示す処理は、メモリカード４０のバージョン検証部４２２および再生装置５０のバージョン検証部５２２により実行される。バージョン検証部４２２および５２２共に同様の処理を行うので、ここでは、便宜上符号を省略して説明する。

　バージョン検証部は、記憶部に記憶されている鍵情報を読み出し、鍵情報に含まれるデジタル署名を検証する（ステップＳ２０１）。署名検証に失敗すると（ステップＳ２０２でＮＯ）、ステップＳ２０６へ進む。署名検証に成功すると（ステップＳ２０２でＹＥＳ）、バージョン検証部は、記憶部に記憶されている無効化リストから「バージョン」を読み出す（ステップＳ２０３）。さらに、バージョン検証部は、鍵情報から「最低バージョン情報」を読み出す（ステップＳ２０２）。

　そして、無効化リストのバージョンが最低バージョン情報よりも古いか否か判断する。無効化リストのバージョンが最低バージョン情報よりも古い場合（ステップＳ２０５でＹＥＳ）、バージョン検証部は、無効化リストが不正であると判断する（ステップＳ２０６）。無効化リストのバージョンが最低バージョン情報と同じか若しくは新しい場合（ステップＳ２０５でＮＯ）、バージョン検証部は、無効化リストが正当であると判断する（ステップＳ２０７）。

　バージョン検証部は、無効化リストのバージョンと最低バージョン情報とを比較することにより、無効化リストの正当性を検証するが、最低バージョン情報自体が不正に改ざんされていると、バージョン検証処理の実効性が失われる。そこで、バージョン検証部は、無効化リストのバージョンと最低バージョン情報とを比較する前に、鍵情報のデジタル署名を検証することにより、最低バージョン情報が、鍵発行局により、鍵情報に関連付けられて生成されていることを検証することとする。
＜変形例＞
　ここでは、実施の形態２で説明したメモリカード４０の変形例として、メモリカード４０ａについて説明する。

　図１５は、メモリカード４０ａの構成を示すブロック図である。ここでは、図９に記載したメモリカード４０と同一の機能を有する構成要素については、図９と同一の符号を付して、説明を省略する。

　変形例に係るメモリカード４０ａのコントローラ４０１ａは、コントローラ４０１の構成要素に加え、コントローラ固有鍵保持部４３１および復号部４３２を備えている。コントローラ固有鍵保持部４３１は、コントローラ４０１ａに固有の情報であるコントローラ固有鍵を保持している。コントローラ固有鍵は、例えば、コントローラ４０１ａの製造後に、電子回路の一部を電気的に焼ききって、個体別に異なる番号を刻むｅＦＵＳＥといった技術を用いて書き込まれている。

　変形例に係る鍵情報４１０ａは、秘密鍵がコントローラ固有鍵で暗号された暗号化秘密鍵４１１ａを含む。

　復号部４３２はコントローラ鍵を用いて暗号化秘密鍵を復号し、復号した秘密鍵を認証部４２４に出力する。

　すなわち、変形例に係るメモリカード４０ａは、記憶部４０２に暗号化秘密鍵を保持しており、認証部４２４にて秘密鍵を用いる場合には、復号部４３２にて復号処理を行う。平文の秘密鍵がコントローラ４０１ａの外部に出力されることが無いので、コントローラ４０１ａを用いると、秘密鍵の安全性をより高めることができる。
＜その他の変形例＞
（１）実施の形態１および実施の形態２では、最低バージョン情報として、無効化リストの「バージョン」を用いているが、本発明はこれに限定されない。最低バージョン情報として、既に発行されている最新の無効化リストの発行日、最新の無効化リストに登録されている証明書ＩＤの数、最新の無効化リストのサイズなどを用いてもよい。
（２）実施の形態１および実施の形態２では、ルート公開鍵は、コントローラ内に保持されているが、この構成は必須ではない。ルート公開鍵は、メモリカード製造業者によって記憶部（フラッシュメモリ）に書き込まれ、記憶部内で保持する構成でもよい。
（３）上記の実施の形態１では、図６で説明したように、ステップＳ８で記憶部３０２に鍵情報１３０を書き込んだ後に、ステップＳ１２で無効化リスト１２０のバージョン検証処理を行っていた。しかし、本発明はこれに限定されない。コントローラ３０１は、記憶部３０２に鍵情報１３０を書き込む前に、無効化リスト１２０のバージョン検証処理を行うとしてもよい。そして、バージョン検証処理の結果、無効化リスト１２０のバージョンが最低バージョン情報よりも古いと判定された場合には、無効化リスト１２０を無効化リスト書込部３０９へ出力せずに破棄すると共に、鍵情報１３０についても鍵情報書込部３０７へ出力せずに破棄するように構成してもよい。
（４）実施の形態２では、メモリカードと通信するホスト装置は、コンテンツデータを再生する再生装置であった。しかし、メモリカードと通信するホスト装置は再生装置に限定されない。メモリカードの記憶部にコンテンツデータを記録する記録装置でもよい。
（５）実施の形態２におけるバージョン検証処理では、バージョン検証部により、無効化リストのバージョンが最低バージョン情報よりも古いと判断された場合でも、セッション鍵生成部によりセッション鍵を生成し、無効化リスト更新部により無効化リスト更新処理を実行してもよい。これは、バージョン逆行を目的とした攻撃を受ける危険性があるためセキュリティの観点からは推奨できないが、記憶部に記憶されている無効化リストが何らかの原因で破損した場合の回復策としては有効である。
（６）実施の形態２では、メモリカード４０と再生装置５０とが相互に無効化リストを送受信する処理において、各装置は自機が保持する無効化リストをセッション鍵を用いて暗号化した後に送信していた。しかし、この構成は、本発明において必須ではない。図３に示すように、無効化リストには鍵発行局によるデジタル署名が付与されている。そのため、デジタル署名を検証することにより無効化リストの改ざんを検出することができるので、改ざん防止という観点からは、無効化リストを暗号化せずに送受信してもよい。
（７）実施の形態２では、図１１～図１４のフローチャートに記載したチャレンジ－レスポンス認証に先立ち、メモリカード４０および再生装置５０が、それぞれ、自機が保持する無効化リストのデジタル署名を検証する処理を行ってもよい。

　無効化リストのデジタル署名を検証する無効化リスト検証部は、記憶部に記憶されている無効化リストに含まれるデジタル署名を、ルート公開鍵を用いて検証する。署名検証に失敗した場合には、自機に何らかの不正や攻撃があったものと見なして相手方装置との暗号通信の確立を中止するとしてもよい。
（８）実施の形態２では、図１１～図１４のフローチャートに記載した無効判定処理（ステップＳ１４３およびステップＳ１４９）に先立ち、自機が保持する無効化リストのデジタル署名を検証する処理を行ってもよい。署名検証に成功した場合のみ、ステップＳ１４３およびステップＳ１４９の処理を実行し、署名検証に失敗した場合には、正当な無効化リストを入手するまで、コンテンツの送受信処理を停止するなどの制御を行ってもよい。
（９）図１１～図１４を用いて説明したチャレンジ－レスポンス認証は一例である。メモリカードおよび再生装置で送受信する一つのメッセージを複数に分割して、メモリカードおよび再生装置の通信回数を増やしてもよい。また、処理の順序についても、図１１～図１４で示した具体例に限るものではなく、処理の順序を変更してもよい。
（１０）上記の実施の形態２では、メモリカード４０のバージョン検証部４２２は、自機の記憶部４０２に記憶されている無効化リストのバージョンと、自機の鍵情報に含まれる最低バージョン情報とを比較することにより、バージョン検証処理を行った。本発明は、これに限定されず、バージョン検証部４２２は、再生装置５０から受信した無効化リストのバージョンと、自機の鍵情報４１０に含まれる最低バージョン情報４１３とを比較することにより、バージョン検証処理を行ってもよい。

　再生装置５０のバージョン検証部５２２も同様に、メモリカード４０から受信した無効化リストのバージョンと、自機の鍵情報５１０に含まれる最低バージョン情報５１３とを比較することにより、バージョン検証処理を行ってもよい。
（１１）上記の実施の形態および上記の変形例を適宜組み合わせてもよい。
＜補足＞
　以下、更に本発明の一実施形態としての情報処理装置の構成およびその変形例と効果について説明する。
（ａ）本発明の一実施形態に係る情報処理装置は、鍵情報を用いて認証および鍵交換処理を行う情報処理装置であって、鍵発行局により発行された前記鍵情報と、前記鍵情報が生成された時点において発行されている最新の無効化リストのバージョンを示し、前記鍵情報と関連付けられた情報であるバージョン情報とを記憶している記憶部と、外部から、バージョンが付加されている無効化リストを受け付ける無効化リスト受付部と、前記無効化リスト受付部が受け付けた前記無効化リストのバージョンと前記バージョン情報とを比較する比較部と、前記無効化リストのバージョンが、前記バージョン情報より古い場合に、所定の処理を抑制する制御部とを備えることを特徴とする。

　なお、＜補足＞に記載されている「鍵情報」は、上記の実施形態１および実施形態２においては、秘密鍵と公開鍵とから成る「鍵ペア」として記載されている。

　また、仮にメーカが古いバージョンの無効化リストを情報処理装置に埋め込んだとすると、この情報処理装置は制御部により所定の処理が抑制される。したがって正常に動作しない情報処理装置が製造されることになる。そこで、上記の構成を有することにより、メーカは正常に動作しない情報処理装置が製造されるのを防止するために、新しい無効化リストを情報処理装置に埋め込むことが期待される。
（ｂ）前記情報処理装置において、前記記憶部は、前記鍵情報と前記バージョン情報との関連付けを検証するための検証用情報を記憶しており、前記情報処理装置は、前記検証用情報を用いて、前記バージョン情報が前記鍵情報と関連するか否かを判定する検証部を備え、前記比較部は、前記検証部により前記バージョン情報が前記鍵情報に関連することが判定された後に、前記無効化リスト受付部が受け付けた前記無効化リストのバージョンと前記バージョン情報とを比較することを特徴とする。

　ここで、前記バージョン情報自体が不正に改ざんされていると、比較部および制御部による処理の実効性が失われる。

　そこで、前記情報処理装置は、比較部の処理に先立ち、前記検証用情報を用いて、バージョン情報が鍵発行局により発行された鍵情報と関連付けられているか否かを検証するので、比較部および制御部による処理の実効性を担保することができる。なお、検証用情報の具体例としては、鍵情報とバージョン情報とを連結したデータに対して、鍵発行局の秘密鍵により生成されたデジタル署名を用いることができる。
（ｃ）前記情報処理装置は、前記無効化リスト受付部が受け付けた前記無効化リストを前記記憶部に書き込む無効化リスト書込部と、前記記憶部に記憶されている前記無効化リストを用いて、他の装置が無効化されているか否かを判定する無効化判定部とを備え、前記制御部は、前記無効化リストのバージョンが、前記バージョン情報より古い場合に、前記無効化リスト書込部による前記無効化リストの書き込みを抑制することを特徴とする。

　この構成によると、情報処理装置のメーカが、誤ってまたは故意に情報処理装置に古いバージョンの無効化リストを格納するのを抑制することができる。さらに、古いバージョンの無効化リストを用いて無効化判定処理が行われることを抑制することができる。
（ｄ）前記情報処理装置は、固有鍵を保持する固有鍵保持部と、前記鍵発行局から発行された前記鍵情報のうちの少なくとも一部を、前記固有鍵保持部に保持された前記固有鍵で暗号化する暗号化部と、暗号化された前記鍵情報を前記記憶部に書き込む鍵情報書込部とを備えることを特徴とする。

　この構成によると、暗号化されている前記鍵情報の一部を他の情報処理装置を用いては復号することができないので、鍵情報の安全性を高めることができる。
（ｅ）前記情報処理装置は、前記鍵情報を用いて他の装置との間で認証および鍵交換を行う認証鍵交換部を備え、前記記憶部は、前記無効化リストを記憶しており、前記無効化リスト受付部は、前記記憶部から前記無効化リストを読み出し、前記制御部は、前記無効化リスト受付部が前記記憶部から読み出した前記無効化リストのバージョンが前記バージョン情報より古い場合に、前記認証鍵交換部による認証および鍵交換を抑制することを特徴とする。

　すなわち、前記情報処理装置が古いバージョンの無効化リストを記憶している場合には、認証および鍵交換を抑制する。

　前記情報処理装置が他の装置と通信を行う前に認証および鍵交換を行う場合、認証および鍵交換が抑制されれば、前記情報処理装置の通信機能は失われることになる。そこで、上記の構成を備えることにより、情報処理装置のメーカは、新しい無効化リストを情報処理装置に埋め込むことが期待される。
（ｆ）前記情報処理装置において、前記認証鍵交換部は、認証および鍵交換の結果、前記他の装置との間でセッション鍵を共有し、前記情報処理装置は、さらに、生成された前記セッション鍵を用いて前記他の装置との間で暗号通信を行い、前記他の装置から前記他の装置が保持している無効化リストを取得し、前記記憶部に記憶されている無効化リストのバージョンが、前記他の装置から取得した無効化リストのバージョンよりも古い場合には、取得した前記無効化リストで、前記記憶部に記憶されている無効化リストを更新する無効化リスト更新部を備えることを特徴とする。

　この構成によると、無効化リストのバージョンが前記バージョン情報と同一か若しくは前記バージョン情報より新しい場合、前記情報処理装置は、他の装置との間で無効化リスト更新処理を行う。このように、情報処理装置は、他の装置との間で無効化リスト更新処理を行うことで、より新しい無効化リストを保持することができる。
（ｇ）前記情報処理装置において、前記他の装置から取得した前記無効化リストにはデジタル署名が付与されており、前記無効化リスト更新部は、前記デジタル署名が前記鍵発行局により発行されたものであるか否かを検証し、検証に成功した場合に、取得した前記無効化リストで、前記記憶部に記憶されている前記無効化リストを更新し、検証に失敗した場合は、前記記憶部に記憶されている前記無効化リストの更新を行わないことを特徴とする。

　この構成により、不正な無効化リストにより記憶部の無効化リストが更新されることを抑制することができる。
（ｈ）前記情報処理装置において、前記記憶部に記憶されている前記鍵情報のうちの少なくとも一部は、当該情報処理装置に固有の固有鍵で暗号化されており、前記情報処理装置は、前記固有鍵を保持する固有鍵保持部と、暗号化されている前記鍵情報の一部を、前記固有鍵を用いて復号し、復号された鍵情報を、前記認証鍵交換部へ出力する復号部とを備えることを特徴とする。

　この構成によると、暗号化されていない鍵情報が情報処理装置の外部へ出力されることがないので、鍵情報の安全性を高めることができる。

　本発明は、ＳＤメモリカードなどのメモリカードを製造および販売する産業において、メモリカードに古い無効化リストを書き込む不正行為を抑制する仕組みとして利用することができる。

１　　メモリカード製造システム
２　　コンテンツ再生システム
１０　　鍵発行局
２０　　メモリカード製造装置
３０、３０ａ、４０、４０ａ　　メモリカード
５０　　　再生装置
１０１　　ルート秘密鍵保持部
１０２　　新規登録受付部
１０３　　バージョン管理部
１０４　　無効化リスト管理部
１０５　　無効化リスト生成部
１０６　　鍵ペア生成部
１０７　　証明書ＩＤ管理部
１０８　　証明書生成部
１０９　　署名付与部
１１０　　鍵情報生成部
１１１　　鍵情報送信部
１１２　　無効化リスト送信部
２０１　　無効化リスト送信部
２０２　　鍵情報送信部
３０１、３０１ａ　　コントローラ
３０２　　記憶部
３０３　　ルート公開鍵保持部
３０４　　無効化リスト受付部
３０５　　鍵情報受付部
３０６　　署名検証部
３０７　　鍵情報書込部
３０８　　バージョン検証部
３０９　　無効化リスト書込部
３１１　　コントローラ固有鍵保持部
３１２　　暗号化部
４０１、４０１ａ　　コントローラ
４０２　　記憶部
４２１　　ルート公開鍵保持部
４２２　　バージョン検証部
４２３　　認証鍵交換部
４２４　　認証部
４２５　　セッション鍵生成部
４２６　　無効化リスト更新部
４２７　　無効化判定部
４２８　　コンテンツ鍵送信部
４２９　　暗号化コンテンツ送信部
４３１　　コントローラ固有鍵保持部
４３２　　復号部
５０２　　記憶部
５２１　　ルート公開鍵保持部
５２２　　バージョン検証部
５２３　　認証鍵交換部
５２４　　認証部
５２５　　セッション鍵生成部
５２６　　無効化リスト更新部
５２７　　無効化判定部
５２８　　コンテンツ鍵受信部
５２９　　暗号化コンテンツ受信部
５３０　　復号部
５３１　　復号部
５３２　　再生部

Claims

　鍵情報を用いて認証および鍵交換処理を行う情報処理装置であって、
　鍵発行局により発行された前記鍵情報と、前記鍵情報が生成された時点において発行されている最新の無効化リストのバージョンを示し、前記鍵情報と関連付けられた情報であるバージョン情報とを記憶している記憶部と、
　バージョンが付加されている無効化リストを受け付ける無効化リスト受付部と、
　前記無効化リスト受付部が受け付けた前記無効化リストのバージョンと前記バージョン情報とを比較する比較部と、
　前記無効化リストのバージョンが、前記バージョン情報より古い場合に、所定の処理を抑制する制御部と
　を備えることを特徴とする情報処理装置。
　前記記憶部は、前記鍵情報と前記バージョン情報との関連付けを検証するための検証用情報を記憶しており、
　前記情報処理装置は、
　前記検証用情報を用いて、前記バージョン情報が前記鍵情報と関連するか否かを判定する検証部を備え、
　前記比較部は、前記検証部により前記バージョン情報が前記鍵情報に関連することが判定された後に、前記無効化リスト受付部が受け付けた前記無効化リストのバージョンと前記バージョン情報とを比較する
　ことを特徴とする請求項１に記載の情報処理装置。
　前記情報処理装置は、
　前記無効化リスト受付部が受け付けた前記無効化リストを前記記憶部に書き込む無効化リスト書込部と、
　前記記憶部に記憶されている前記無効化リストを用いて、他の装置が無効化されているか否かを判定する無効化判定部とを備え、
　前記制御部は、前記無効化リストのバージョンが、前記バージョン情報より古い場合に、前記無効化リスト書込部による前記無効化リストの書き込みを抑制する
　ことを特徴とする請求項２に記載の情報処理装置。
　前記情報処理装置は、
　固有鍵を保持する固有鍵保持部と、
　前記鍵発行局から発行された前記鍵情報のうちの少なくとも一部を、前記固有鍵保持部に保持された前記固有鍵で暗号化する暗号化部と、
　暗号化された前記鍵情報を前記記憶部に書き込む鍵情報書込部とを備える
　ことを特徴とする請求項３に記載の情報処理装置。
　前記情報処理装置は、
　前記鍵情報を用いて他の装置との間で認証および鍵交換を行う認証鍵交換部を備え、
　前記記憶部は、前記無効化リストを記憶しており、
　前記無効化リスト受付部は、前記記憶部から前記無効化リストを読み出し、
　前記制御部は、前記無効化リスト受付部が前記記憶部から読み出した前記無効化リストのバージョンが前記バージョン情報より古い場合に、前記認証鍵交換部による認証および鍵交換を抑制する
　ことを特徴とする請求項１に記載の情報処理装置。
　前記認証鍵交換部は、認証および鍵交換の結果、前記他の装置との間でセッション鍵を共有し、
　前記情報処理装置は、さらに、
　生成された前記セッション鍵を用いて前記他の装置との間で暗号通信を行い、前記他の装置から前記他の装置が保持している無効化リストを取得し、前記記憶部に記憶されている無効化リストのバージョンが、前記他の装置から取得した無効化リストのバージョンよりも古い場合には、取得した前記無効化リストで、前記記憶部に記憶されている無効化リストを更新する無効化リスト更新部を備える
　ことを特徴とする請求項５に記載の情報処理装置。
　前記他の装置から取得した前記無効化リストにはデジタル署名が付与されており、
　前記無効化リスト更新部は、前記デジタル署名が前記鍵発行局により発行されたものであるか否かを検証し、検証に成功した場合に、取得した前記無効化リストで、前記記憶部に記憶されている前記無効化リストを更新し、検証に失敗した場合は、前記記憶部に記憶されている前記無効化リストの更新を行わない
　ことを特徴とする請求項６に記載の情報処理装置。
　前記記憶部に記憶されている前記鍵情報のうちの少なくとも一部は、当該情報処理装置に固有の固有鍵で暗号化されており、
　前記情報処理装置は、
　前記固有鍵を保持する固有鍵保持部と、
　暗号化されている前記鍵情報の一部を、前記固有鍵を用いて復号し、復号された鍵情報を、前記認証鍵交換部へ出力する復号部とを備える
　ことを特徴とする請求項５に記載の情報処理装置。
　請求項１に記載の情報処理装置は、フラッシュメモリおよびコントローラから構成されるメモリカードであって、
　前記記憶部は、フラッシュメモリで構成され、
　前記無効化リスト受付部、前記比較部および前記制御部は、前記コントローラ上に集積されている
　ことを特徴とする情報処理装置。
　メモリカードに組み込まれるコントローラであって、
　鍵発行局により発行された鍵情報と、前記鍵情報が生成された時点において発行されている最新の無効化リストのバージョンを示し、前記鍵情報と関連付けられた情報であるバージョン情報とを受け付ける鍵情報受付部と、
　バージョンが付加されている無効化リストを受け付ける無効化リスト受付部と、
　前記無効化リスト受付部が受け付けた前記無効化リストのバージョンと前記バージョン情報とを比較する比較部と、
　前記無効化リストのバージョンが、前記バージョン情報より古い場合に、所定の処理を抑制する制御部と
　を備えることを特徴とするコントローラ。
　情報処理装置に埋め込まれる鍵情報と、前記鍵情報が生成された時点において発行されている最新の無効化リストのバージョンを示し、前記鍵情報と関連付けられた情報であるバージョン情報とを生成する生成部と、
　生成された前記鍵情報と前記バージョン情報とを外部へ出力する出力部と
　を備えることを特徴とする鍵発行局。
　鍵情報を用いて認証および鍵交換処理を行う情報処理装置で用いられる無効化リスト有効性判定方法であって、
　前記情報処理装置は、
　鍵発行局により発行された前記鍵情報と、前記鍵情報が生成された時点において発行されている最新の無効化リストのバージョンを示し、前記鍵情報と関連付けられた情報であるバージョン情報とを記憶している記憶部を備え、
　前記無効化リスト有効性判定方法は、
　バージョンが付加されている無効化リストを受け付ける無効化リスト受付ステップと、
　前記無効化リスト受付ステップが受け付けた前記無効化リストのバージョンと前記バージョン情報とを比較する比較ステップと、
　前記無効化リストのバージョンが、前記バージョン情報より古い場合に、所定の処理を抑制する抑制ステップと
　を含むことを特徴とする無効化リスト有効性判定方法。
　鍵発行局で用いられる鍵発行方法であって、
　情報処理装置に埋め込まれる鍵情報と、前記鍵情報が生成された時点において発行されている最新の無効化リストのバージョンを示し、前記鍵情報と関連付けられた情報であるバージョン情報とを生成する生成ステップと、
　生成された前記鍵情報と前記バージョン情報とを外部へ出力する出力ステップと
　を含むことを特徴とする鍵発行方法。