WO2013088939A1 - 識別情報生成装置及び識別情報生成方法 - Google Patents

Abstract

完全な個体識別性が保証された識別情報を生成することができる識別情報生成装置を提供する。本発明の識別情報生成装置は、物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、ｒビット（ｒは２以上の整数）の第１の識別情報から、ｋビット（ｋは１以上の整数）の暗号化鍵及び（ｒ－ｍ）ビット（ｍは１以上の整数）の第２の識別情報を分離する情報分離部と、第２の識別情報とｘ台の装置を識別可能なｍビットの第３の識別情報を連接し、第４の識別情報を出力する情報連接部と、暗号化鍵を用いて第４の識別情報に所定の処理を施し、ｒビットの第５の識別情報を生成する暗号化部とを備える。

Description

識別情報生成装置及び識別情報生成方法

　本発明は、個体を識別することができる識別情報を生成する識別情報生成装置及び識別情報生成方法に関する。

　近年、モバイル機器やＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）カードなどの機器において、偽造や情報漏洩などを防ぐためのセキュリティが重要になってきている。このとき、個々の機器にＩＤ（Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ　Ｄａｔａ。識別情報）を付与し、そのＩＤを機器認証や暗号化などのセキュリティ処理で利用することが多い。このようなセキュリティ処理により、ある機器のセキュリティが破られても、その影響が他機器へ連鎖することを防止する等の効果を得ることができる。
　通常、個体によって異なるＩＤを生成する機構は、安全性の観点から、ソフトウェアではなくハードウェアによって実現される。ハードウェアとしては、例えばＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　ＩＣ）等の半導体素子が用いられる。この場合、個々の半導体素子ごとに製造マスクを変えることは、現実的ではない。そのため、ＩＤの値（以降、ＩＤの数値自体を意味するときは、「ＩＤ値」という。）は、半導体素子の論理回路等に埋め込まれるのではなく、不揮発メモリ（ＮＶＲＡＭ。Ｎｏｎ−Ｖｏｌａｔｉｌｅ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）に書き込まれたり、半導体素子上のヒューズを切ることによって設定されたりする。
　一方、半導体素子に対する、物理的攻撃やサイドチャネル攻撃等の手法は年々進歩しており、ＮＶＲＡＭやヒューズなどの手法で設定されたＩＤが解読されたり改竄されたりする危険性が高まっている。
　このような危険に対応するために、物理的複製不可能関数（以降、「ＰＵＦ（Ｐｈｙｓｉｃａｌ　Ｕｎｃｌｏｎａｂｌｅ　Ｆｕｎｃｔｉｏｎ）という。）と呼ばれる、改竄が困難な、すなわち、耐タンパ性に優れたＩＤ生成機構が用いられることがある。ＰＵＦ回路は、ＰＵＦの機構を実現する回路であり、例えばＬＳＩの製造ばらつきで生じる回路の速度差など、ＬＳＩの個体ごとに異なる物理的特性又は電気的特性（以降、単に「物理的特性」という。）を測定した結果を、ＩＤ値として出力する。
　一般に、完全に同一の物理的特性を備えた装置を複製することは不可能である。従って、個体ごとの物理的特性の差を利用するＰＵＦ回路は、「複製不能性」を備える。また、個体ごとの物理的特性値を正確に予測することも不可能である。従って、ＰＵＦ回路が出力するＩＤ値は、値の予測が不可能な「予測不能性」を備える。
　典型的なＰＵＦとして、リングオッシレータの発振周波数、回路の遅延時間差、電源投入直後のメモリの初期値などの物理的特性の個体間の違いをＩＤ値として利用する手法が、特開２０１１−１２３９０９（以降、「特許文献１」という。）やＧ．Ｅｄｗａｒｄ　Ｓｕｈ，Ｓ．Ｄｅｖａｄａｓ，″Ｐｈｙｓｉｃａｌ　Ｕｎｃｌｏｎａｂｌｅ　Ｆｕｎｃｔｉｏｎｓ　ｆｏｒ　Ｄｅｖｉｃｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ａｎｄ　Ｓｅｃｒｅｔ　Ｋｅｙ　Ｇｅｎｅｒａｔｉｏｎ，″ＤＡＣ　２００７，ｐｐ．９−１４（以降、「非特許文献１」という。）、Ｓ．Ｅｉｒｏａ，Ｉ．Ｂａｔｕｒｏｎｅ，″Ｈａｒｄｗａｒｅ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｂａｓｅｄｏｎ　ＰＵＦｓ　ａｎｄ　ＳＨＡ−３　２ｎｄ　ｒｏｕｎｄ　ｃａｎｄｉｄａｔｅｓ，″ＩＣＭ　２０１０，ｐｐ．３１９−３２２（以降、「非特許文献２」という。）、Ｍ．Ｙｕ，Ｓ．Ｄｅｖａｄａｓ，″Ｓｅｃｕｒｅ　ａｎｄ　Ｒｏｂｕｓｔ　Ｅｒｒｏｒ　Ｃｏｒｒｅｃｔｉｏｎ　ｆｏｒ　Ｐｈｙｓｉｃａｌ　Ｕｎｃｌｏｎａｂｌｅ　Ｆｕｎｃｔｉｏｎｓ，″ＩＥＥＥ　Ｄｅｓｉｇｎ　ａｎｄ　Ｔｅｓｔ　ｏｆ　Ｃｏｍｐｕｔｅｒｓ，Ｖｏｌ．２７，Ｎｏ．１，ｐｐ．４８−６５．（以降、「非特許文献３」という。）に開示されている。
　ＰＵＦへの入力はチャレンジ（Ｃｈａｌｌｅｎｇｅ）と呼ばれ、チャレンジに対するＰＵＦが返す出力はレスポンス（Ｒｅｓｐｏｎｓｅ）と呼ばれる。ＰＵＦの利用目的から、同じチャレンジに対して返るレスポンスには、同じ個体については常に同じ値となり、違う個体同士では必ず異なる値になることが求められる。
　以降、「同じチャレンジに対して常に同じレスポンスが得られること」を「同一応答性」といい、同じチャレンジに対して、違う個体同士では必ず異なるレスポンスが得られること」を、「個体識別性」という。
　ところが、現実のＰＵＦにおいては、同じ個体に同じチャレンジを投入しても、チャレンジの投入ごとに異なる値が返るという現象が発生することがある。すなわち、現実のＰＵＦは、必ずしも同一応答性を備えない。そこで、エラー訂正を行うことにより、同じチャレンジに対して同じレスポンスが得られるように対策する方法が非特許文献３に開示されている。
　ＬＳＩ製造時に不揮発メモリやヒューズにＩＤ値を設定する方法と異なり、ＬＳＩの製造ばらつきを利用するＰＵＦにおいては、ＬＳＩの製造が完了しないとＰＵＦが生成するＩＤ値が判明しない。しかも、ＰＵＦが特定のＩＤ値を生成できるように、製造を制御することもできない。
　このため、個々のＬＳＩに組み込まれたＰＵＦが、過去に製造した全てのＬＳＩとは異なるＩＤ値を生成するかどうかを、ＬＳＩの製造後にテストしなければならない。ところが、このテストは、過去に製造した、同じＰＵＦが組み込まれた同じ種類のＬＳＩの全てを対象にしなければならないため、テストには時間を要する。もし同じＩＤ値を生成するＰＵＦが発見された場合は、そのＰＵＦが組み込まれたＬＳＩは出荷することができないため、廃棄しなければならない。そのため、ＰＵＦが組み込まれたＬＳＩでは、歩留まりが悪化する。そして、長いテスト時間や歩留まりの悪化は、コストアップの原因となる。また、ＬＳＩが製造後のテストを通過したとしても、ＰＵＦが物理的特性や電気的特性を利用していることから、依然として課題は残る。すなわち、出荷後のＬＳＩの利用時において、温度等の動作条件の変化により、あるＰＵＦが他のＬＳＩのＰＵＦと同じＩＤ値を生成する可能性、すなわち、個体識別性が確保できない可能性がある。

　以上のように、ＰＵＦの出力値の個体識別性を向上させるように、設計や製造手法を改善する技術が開示されている。しかし、それらの技術は、ＰＵＦの出力値が個体識別性を備える確率を向上させるだけであって、ＰＵＦの出力値が完全な個体識別性、すなわち、常に同じチャレンジに対して、他の個体のＰＵＦとは異なるレスポンスを行うことを保証できるまでには至らない。重要情報を扱うクリティカルな用途に使う場合や、大量生産するデバイスに搭載する場合は、完全な個体識別性の保証が必要である。
　このように、ＰＵＦ等の識別情報生成装置には、完全な個体識別性の保証が求められる。さらに、識別情報生成装置の個体識別性は、製造出荷後の経年変化や環境変化のもとでも保証されなければならない。
（発明の目的）
　本発明は上記のような技術的課題に鑑みて行われたもので、完全な個体識別性が保証された識別情報を生成することができる識別情報生成装置及び識別情報生成方法を提供することを目的とする。

　本発明の識別情報生成装置は、物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、ｒビット（ｒは２以上の整数）の第１の識別情報から、ｋビット（ｋは１以上の整数）の暗号化鍵及び（ｒ−ｍ）ビット（ｍは１以上の整数）の第２の識別情報を分離する情報分離部と、第２の識別情報とｘ台の装置を識別可能なｍビットの第３の識別情報を連接し、第４の識別情報を出力する情報連接部と、暗号化鍵を用いて第４の識別情報に所定の処理を施し、ｒビットの第５の識別情報を生成する暗号化部とを備えることを特徴とする。
　本発明の識別情報生成方法は、物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、ｒビットの第１の識別情報から、ｋビットの暗号化鍵及び（ｒ−ｍ）ビットの第２の識別情報を分離し、第２の識別情報とｘ台の装置を識別可能なｍビットの第３の識別情報を連接して第４の識別情報を出力し、暗号化鍵を用いて第４の識別情報に所定の処理を施し、ｒビットの第５の識別情報を生成することを特徴とする。

　本発明によれば、個体識別性を備える識別情報生成装置及び識別情報生成方法を得ることができる。

　図１は、本発明の第１の実施の形態の識別情報生成装置の構成を示すブロック図である。
　図２は、第１の実施の形態の識別情報生成装置の変形例の構成を示すブロック図である。
　図３は、第１の実施の形態の識別情報生成装置の第２の変形例の構成を示すブロック図である。
　図４は、本発明の第２の実施の形態の、改竄検出機能が付加された識別情報生成装置の構成を示すブロック図である。

（第１の実施形態）
　図１を参照して、本発明の第１の実施形態について説明する。本実施形態の識別情報生成装置１００は、ＰＵＦ部１０１、エラー訂正部１０２、情報分離部１０３、識別情報記憶部１０４、情報連接部１０５、暗号化部１０６を備える。
　ＰＵＦ部１０１は、外部からのチャレンジに対して、レスポンスとして、ＰＵＦ部１０１の所定の物理的特性に基づくｒビット（ｒは２以上の整数）のＰＵＦ出力値を出力する。ＰＵＦ部１０１には、例えば特許文献１や非特許文献１乃至３に開示されているＰＵＦ回路を使用することができる。あるいは、それら以外のＰＵＦ回路を用いてもよい。
　上述のように、ＰＵＦ部１０１には同一応答性が求められる。そのため、ＰＵＦ出力値には、エラー訂正部１０２によるエラー訂正が施される。エラー訂正部１０２によるエラー訂正は、例えば非特許文献３に開示されている技術を適用することができる。以降、エラー訂正部１０２によるエラー訂正が施された後の、すなわち、同一応答性が保証されたＰＵＦ出力値を、第１の識別情報という。
　情報分離部１０３は、第１の識別情報を、ｋビット値（ｋは１以上の整数）の暗号化鍵と、（ｒ−ｋ）ビットの第２の識別情報の二つに分離する。なお、第２の識別情報を生成するために、ｒ＞ｋであることが必要である。
　ｋビットの暗号化鍵の分離方法は、ｒビットの第１の識別情報中の任意のｋビットを選択するものであればよく、上位ビットからｋビット、下位ビットからｋビットのように、特定の選択方法には限定されない。
　識別情報記憶部１０４は、識別情報生成装置１００のＩＤ値（識別情報）の記憶部であり、識別情報生成装置１００に固有のｋビットの第３の識別情報を出力する。識別情報記憶部１０４は、不揮発メモリもしくはヒューズなどで構成される。識別情報記憶部１０４は、識別情報生成装置１００の個体識別性を確保するために備えられる。
　なお、第３の識別情報のビット数は、識別情報生成装置１００の最終の出力である、後述の第５の識別情報を適用して識別される対象の装置の台数をｘとするとき、ｘ台の装置の各々に固有の第３の識別情報を割り当てる必要があることから、
　２＾ｋ≧ｘ
であることが必要である。
　情報連接部１０５は、（ｒ−ｋ）ビットの第２の識別情報とｋビットの第３の識別情報を連接し、ｒビットの第４の識別情報を生成する。
　ここでの「連接」とは、２つの情報を単純に組み合わせ、各々の情報のビット数の合計のビット数の値を生成することを意味する。２つの情報の組み合わせ方は、２つの情報をそれぞれ上位ビット、下位ビットとして結合するといった、最も単純な方法には限定されない。例えば、各情報のビットの上位、下位の順序を複雑に入れ替えた後、上位ビットと下位ビットとして結合してもよい。あるいは、２つの情報を単純に上位ビットと下位ビットとして結合した後、ビットの順序を入れ替えてもよい。
　暗号化部１０６は、ｒビットの第４の識別情報を、ｋビットの暗号化鍵で暗号化し、ｒビットの第５の識別情報を識別情報生成装置１００のレスポンスとして出力する。
　次に、本実施形態の識別情報生成装置１００としての最終の出力である第５の識別情報が、複製不能性、同一応答性、個体識別性、及び予測不能性が確保されたものとなる原理を説明する。
　本実施形態の識別情報生成装置１００は、ＰＵＦ部１０１を備える。従って、識別情報生成装置１００は、複製不能性を備えるための必要条件は満たされる。
　さらにＰＵＦ部１０１の出力値にエラー訂正を施すエラー訂正部１０２を備える。識別情報記憶部１０４も固定の第３の識別情報を記憶する。以上により、識別情報生成装置１００としての同一応答性を保証するための必要条件は満たされる。
　また、識別情報記憶部１０４が、識別情報生成装置１００に固有の第３の識別情報を記憶することによって、個体識別性を保証するための必要条件も満たされる。
　ただし、第３の識別情報は、識別情報記憶部１０４を解析することによって、第三者にも取得可能である。そのため、第３の識別情報をそのまま使用するのではなく、何らかの処理により第３の識別情報を改変することによって、予測不能性を確保する。
　予測不能性を確保するための処理には、同時に個体識別性を確保することも必要であるため、異なる値が同一値に対応付けられることがない性質、すなわち、「衝突可能性」がないことも求められる。そのため、予測不能性を確保するための処理方法として、暗号化が用いられる。具体的には、第３の識別情報を内部に含ませた第４の識別情報に暗号化を施す。
　上記の暗号化に使用する暗号化鍵には、第１の識別情報の一部を用いる。暗号化鍵に第１の識別情報が用いられるため、鍵の秘匿性が確保される。
　また、第１の識別情報の暗号化鍵以外の部分、すなわち、第２の識別情報は第３の識別情報と連接され、平文として使用される。第１の識別情報に含まれている第２の識別情報と第３の識別情報とが連接された情報（第４の識別情報）が平文として用いられるため、第５の識別情報の個体識別性が保証される。
　ところで、上記の暗号化鍵は、ＰＵＦ出力値から生成された第１の識別情報の一部を使用するため、必ずしも識別情報生成装置ごとに異なるとは限らない。
　識別情報生成装置１００の暗号化鍵が他の識別情報生成装置のものと同じである場合、第３の識別情報が他の識別情報生成装置のものと異なるため、第５の識別情報は必ず他の識別情報生成装置のものとは異なる。なぜなら、暗号化鍵が同じである場合、暗号の性質から、平文と暗号文が一対一写像となるからである。
　次に、暗号化鍵が他の識別情報生成装置のものと異なる場合、ある一定の確率ｐで、他の識別情報生成装置の暗号文と同じ暗号文になる。例えば、ＡＥＳ−１２８を使用した場合、暗号化鍵、平文のビット数がそれぞれ１２８ビットであるから、入力空間の広さ、すなわち、暗号化鍵と平文の組み合わせによって表現可能な情報の個数は２＾２５６である。暗号文のビット数は１２８ビットであるから、出力空間の広さ（暗号文によって表現可能な情報の個数）は２＾１２８である。つまり、同じ平文を異なる暗号化鍵で暗号化したときに、同じ暗号文が生成される暗号化鍵と平文の組み合わせのパターンは２＾１２８通りある。従って、確率ｐは、暗号化鍵の選定によるが、暗号化方式としてＡＥＳ−１２８を使用した場合、確率ｐ＝２＾１２８分の１（＝３×１０＾（−３９））で、暗号文が同じになる。しかし、この確率ｐは極めて小さいため、通常の用途では、実質的に０とみなすことができる。従って、本識別情報生成装置１００の出力である第５の識別情報は、実質的に、完全な個体識別性を備えるということができる。
　暗号化方式として、複数のブロックを対象としたブロック暗号化を用いる場合には、さらに、暗号文全体が完全に一致する確率を小さくすることができる。
　まず、最初のブロックの暗号文が異なっていれば、当然、暗号文全体は他の識別情報生成装置のものと異なるものになるため、問題はない。
　最初のブロックの暗号文が同じであれば、次のブロックの暗号文もまたある一定の確率ｐで他の識別情報生成装置のものと同じになる。しかし、２つのブロックの暗号文が両方とも同じである確率はｐ＾２であり、通常の暗号化を用いたとしても、極めて小さい値になる。
　一般に、情報をＬ個（ｌは１以上の整数）のブロックに分割してブロック暗号化を行った場合には、暗号文全体が完全に一致する確率Ｐは極めて小さくなる。具体的には、ｒビットの第４の識別情報を、ｒ＝ｂＬ（ｂは１以上の整数）を満たすｂビットのブロックに分割し、ブロック暗号化を行う。この場合、確率Ｐは、例えば、暗号化方式としてＡＥＳ−１２８を使用した場合は、Ｐ＝ｐ＾ｎ＝（２＾１２８）＾ｎ分の１となり、事実上０とみなすことができる。
　図２は、本実施形態に必須の構成のみを備える、識別情報生成装置１１０の構成を示すブロック図である。識別情報生成装置１１０は、識別情報生成装置１００の１つの変形例であり、ＰＵＦ部１０１、エラー訂正部１０２、及び識別情報記憶部１０４を内部に備えずに、第１の識別情報、第３の識別情報を外部から入力する。このように、識別情報生成装置１００の場合は内部で生成される第１の識別情報、第３の識別情報を、識別情報生成装置１１０は外部から入力する。そして、識別情報生成装置１１０は、第１の識別情報の分離、第２の識別情報と第３の識別情報との連接、第４の識別情報の暗号化を内部で処理する。
　従って、識別情報生成装置１１０も、同一応答性、個体識別性、及び予測不能性を備える。ただし、識別情報生成装置１１０は、識別情報生成装置１００とは異なり、複製不能性は備えない。
　なお、図２の識別情報生成装置１１０では、第２の識別情報及び暗号化鍵のビット数が満たすべき条件も緩和されている。すなわち、ｒビットの第１の識別情報から、ｋビットの暗号化鍵及び（ｒ−ｍ）ビット（ｍは１以上の整数）の第２の識別情報を、ビット単位で分離する。
　ここで、ｒ＞ｋ＋（ｒ−ｍ）でもよい。つまり、第１の識別情報の中に、第２の識別情報、暗号化鍵のいずれとしても分離されないビットが含まれてもよい。
　第１の識別情報の中の同じビットが第２の識別情報、暗号化鍵の両方に含まれると、平分と暗号化鍵からなる入力空間が狭くなる。そのため、第１の識別情報の中の同じビットが、第２の識別情報、暗号化鍵の両方に含まれることがないことが望ましい。
　また、第３の識別情報のビット数ｍは、識別情報生成装置１００の最終の出力である、後述の第５の識別情報を適用して識別される対象の装置の台数をｘとするとき、ｘ台の装置の各々に固有の第３の識別情報を割り当てる必要があることから、
　２＾ｍ≧ｘ
であることが必要である。
　ｍビットの第３の識別情報は、（ｒ−ｍ）ビットの第２の識別情報と連接され、ｒビットの第４の識別情報となる。
　以上のように、本実施形態の識別情報生成装置１００は、予測不能性を備えるＰＵＦ出力値に誤り訂正を施すことにより同一応答性を確保する。そして、ＰＵＦ出力値の一部を暗号化鍵として、装置に固有の、すなわち、個体識別性を備える識別情報を暗号化する。従って、識別情報生成装置１００は、予測不能性、同一応答性及び個体識別性を備える。また、識別情報生成装置１００は、ＰＵＦ部を備えることにより、複製不能性も備える。
　以下に、本実施形態の特徴点を整理して示す。本実施形態の重要な特徴の一つとして、個体の物理的特性を利用してＰＵＦ出力値を生成する一般的なＰＵＦと、個体に固有の第３の識別情報を併用する点が挙げられる。第３の識別情報は、最終的に生成される第５の識別情報が個体ごとに異なることを製造出荷時に保証することを目的として使用される。ＰＵＦ出力値は、出力の複製不可能性を保証することを目的として使用される。
　本実施形態の他の重要な特徴として、暗号化を用いる点と、暗号化鍵として第１の識別情報を使用する点が挙げられる。ハッシュ関数でなく暗号化を使用することにより、平文と暗号文のビット数は同じでしかもそれらは任意の値を取ることができる。そのため、暗号化部に投入する第４の識別情報のビット幅を広げれば、異なる識別情報生成装置が生成した識別情報が同じになること、すなわち、衝突を防止することができる。また、第１の識別情報を暗号化鍵として使うことにより、万一第３の識別情報が第三者に読み取られた場合でも、出力の複製不可能性は損なわれない。
　なお、暗号化部１０５で行われる処理は、暗号化における平文に該当する第４の識別情報を、暗号化鍵を用いて暗号化する処理である。同様の処理は、「乱数化」、「かく乱」等と呼ばれることがあり、必ずしも「暗号化」という名称で呼ばれるものである必要はない。
　また、図３は、図１の識別情報生成装置１００よりもさらに安全性を高めた識別情報生成装置１２０のブロック図である。識別情報生成装置１２０は、識別情報記憶部１０４に加え、固定情報記憶部１０７を備える点で、識別情報生成装置１００と異なる。固定情報記憶部１０７は、個々の識別情報生成装置には依らない固定の第１の固定情報を記憶する。第１の固定情報は、耐タンパ性を確保するために、例えば論理回路中に埋め込まれる。そして、第１の固定情報は、情報連接部１０５によって、第２の識別情報、第３の識別情報と連接され、暗号化部１０６で暗号化される。
（第２の実施の形態）
　本発明の識別情報生成装置は、識別情報の改竄検出機能を備えることができる。図４は、第２の実施の形態の識別情報生成装置の構成を示すブロック図である。本実施の形態の識別情報生成装置２００は、図２に示した第２の実施の形態の識別情報生成装置１２０に対する改竄の有無を検出する機能が付加されたものである。
　識別情報生成装置２００は、図２の識別情報生成装置１２０の構成に加え、第２の固定情報記憶部２０１、選択部２０２、検査値記憶部２０３、比較部２０４を備える。
　第２の固定情報記憶部２０１は、後述のように、改竄検出時にチャレンジとして与えられる第２の固定情報を記憶する。
　選択部２０２は、外部からのチャレンジ、又は第２の固定情報記憶部２０１からの固定のチャレンジの一方を、モード設定信号（図示なし）に従って選択する。外部からのチャレンジは、識別情報生成装置として識別情報を生成する、通常動作モード時のチャレンジである。第２の固定情報記憶部２０１からのチャレンジは、改竄検出モード用のチャレンジである。
　検査値記憶部２０３は、改竄検出モード時に使用される検査値を記憶する。
　比較部２０４は、検査値記憶部２０３からの検査値と、暗号化部１０６からの第５の識別情報を比較する。
　以下に、識別情報の改竄検出機能の動作について説明する。まず、識別情報生成装置２００が運用される前、すなわち、識別情報生成装置２００の出荷前の検査時等に、検査値記憶部２０３に検査値が設定される。そのために、モード設定信号で改竄検出モードを指定し、選択部２０２に、第２の固定情報記憶部２０１からの改竄検出モードる。
　出荷後の識別情報生成装置２００運用時にも、実際の運用を開始する前に、モード設定信号で一旦、改竄検出モードが指定される。このとき、選択部２０２は、第２の固定情報記憶部２０１からの改竄検出モード用の固定のチャレンジを選択する。そして、このときのレスポンスと検査値記憶部２０３に記録されている検査値とが、比較部２０４で比較される。
　識別情報記憶部１０４の記憶値である第３の識別情報、又は検査値記憶部２０３に記録されている検査値のいずれか一方でも改竄された場合、比較値２０２への２つの入力は一致しないので、改竄があったことを検出することができる。
　改竄検出モードで改竄の有無を検査した後は、モード設定信号で通常動作モードが指定され、選択部２０２は外部からのチャレンジを選択する。そして、その後は、識別情報生成装置２００は通常の識別情報生成動作を行う。
　上述のように、本実施の形態の識別情報生成装置２００には、識別情報生成装置１１０が備える効果に加え、改竄が行われたことを検出できるという効果がある。
　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記に応じて限定されるものではない。本願発明の構成や詳細には、当業者が理解し得る様々な変更をすることができる。また、以上の実施形態は各々他の実施形態と組み合わせることができる。例えば、図４の第３の実施の形態において、第１の固定情報記憶部１０７を省いたり、あるいは、第２の固定情報記憶部２０１、選択部２０２、ＰＵＦ部１０１、エラー訂正部１０２を外部に備える等の変更も可能である。
　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
　この出願は、２０１１年１２月１３日に出願された日本出願特願２０１１−２７２４４７を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１００、１１０、１２０、２００　識別情報生成装置
　１０１　ＰＵＦ部
　１００、１１０、１２０、２００　識別情報生成装置
　１０１　ＰＵＦ部
　１０２　エラー訂正部
　１０３　情報分離部
　１０４　識別情報記憶部
　１０５　情報連接部
　１０６　暗号化部
　１０７　第１の固定情報記憶部
　２０１　第２の固定情報記憶部
　２０２　選択部
　２０３　検査値記憶部
　２０４　比較部

Claims (8)

1. 　物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、ｒビット（ｒは２以上の整数）の第１の識別情報から、ｋビット（ｋは１以上の整数）の暗号化鍵及び（ｒ−ｍ）ビット（ｍは１以上の整数）の第２の識別情報を分離する情報分離部と、
   　前記第２の識別情報とｘ台の装置を識別可能なｍビットの第３の識別情報を連接し、第４の識別情報を出力する情報連接部と、
   　前記暗号化鍵を用いて前記第４の識別情報に所定の処理を施し、ｒビットの第５の識別情報を生成する暗号化部と
   を備えることを特徴とする識別情報生成装置。
2. 　２＾ｍ≧ｘ、かつ、
   　ｍ＝ｋ、かつ、
   　ｒ≧２ｍ
   であることを特徴とする請求項１に記載の識別情報生成装置。
3. 　前記第３の識別情報を記憶する識別情報記憶部を備える
   ことを特徴とする請求項１又は２に記載の識別情報生成装置。
4. 　物理的複製が不可能で前記応答要求に対して所定の物理的特性情報を出力する特性情報生成部と、前記物理的特性情報に所定の演算を施し、前記第１の識別情報を出力する特性情報処理部を含む前記識別情報出力部を備える
   ことを特徴とする請求項１乃至３のいずれかに記載の識別情報生成装置。
5. 　第２の固定情報を記憶する第２の固定情報記憶部と、
   　前記応答要求として、外部からの外部チャレンジ入力又は前記第２の固定情報を選択する選択部と、
   　前記第２の固定情報を前記応答要求としたときの前記第５の識別情報を検査値として記憶する検査値記憶部と、
   　前記外部チャレンジ入力を前記応答要求としたときの前記第５の識別情報と、前記検査値とを比較する比較部
   を備えることを特徴とする請求項４記載の識別情報生成装置。
6. 　前記情報連接部は、前記第２の識別情報、ｍビットの前記第３の識別情報に代えてｎビット（ｎは１以上の整数）の前記第３の識別情報、及び（ｋ−ｎ）ビットの第１の固定情報を連接し、前記第４の識別情報を出力する
   ことを特徴とする請求項１乃至５のいずれかに記載の識別情報生成装置。
7. 　前記第１の固定情報を記憶する第１の固定情報記憶部を備える
   ことを特徴とする請求項６に記載の識別情報生成装置。
8. 　物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、ｒビットの第１の識別情報から、ｋビットの暗号化鍵及び（ｒ−ｍ）ビットの第２の識別情報を分離し、
   　前記第２の識別情報とｘ台の装置を識別可能なｍビットの第３の識別情報を連接して第４の識別情報を出力し、
   　前記暗号化鍵を用いて前記第４の識別情報に所定の処理を施し、ｒビットの第５の識別情報を生成する
   ことを特徴とする識別情報生成方法。

Images