WO2020022353A1

WO2020022353A1 - 秘密情報を管理するための機器、方法及びそのためのプログラム

Info

Publication number: WO2020022353A1
Application number: PCT/JP2019/028919
Authority: WO
Inventors: 利英原
Original assignee: 株式会社ＡｎｄＧｏ
Priority date: 2018-07-23
Filing date: 2019-07-23
Publication date: 2020-01-30
Also published as: JP2021177581A

Abstract

秘密情報を管理するための機器において携帯端末との通信を用いて安全性を確保する。機器１００は、秘密情報Ｓを生成する（Ｓ３０１）。次に、機器１００は、秘密情報Ｓを暗号化するための暗号化キーＰを生成する（Ｓ３０２）。そして、機器１００は暗号化キーＰを用いて秘密情報Ｓを暗号化して暗号化秘密情報Ｃを算出する（Ｓ３０３）。暗号化秘密情報Ｃは、機器１００において不揮発性メモリに記憶される（Ｓ３０４）。次いで、機器１００は、準備段階で確立したセキュアな通信路を用いて、暗号化キーＰを携帯端末１１０に送信する（Ｓ３０５）。携帯端末１１０は、受信した暗号化キーＰを不揮発性メモリに記憶する（Ｓ３０６）。最後に、機器１００において、秘密情報Ｓが揮発性メモリから消去され（Ｓ３０７）、暗号化キーＰについても消去される（Ｓ３０８）。

Description

秘密情報を管理するための機器、方法及びそのためのプログラム

　本発明は、秘密情報を管理するための機器、方法及びそのためのプログラムに関し、より詳細には、携帯端末との通信を用いて秘密情報を管理するための機器、方法及びそのためのプログラムに関する。

　暗号通貨の急速な拡がりとともに、暗号通貨を安全に保管するための機器として「ハードウェアウォレット」と呼ばれるものが使用されている。ハードウェアウォレットには、暗号通貨を他者に送金するためのトランザクションに対する署名に必要な秘密鍵が格納されており、ブロックチェーンネットワークにアクセス可能なＰＣ等の機器に一時的に接続される。送金時の限られた間以外はコンピュータネットワークから遮断することによって、意図せず暗号通貨が他者に送金されるおそれを抑制している。

　ハードウェアウォレットの一例としてＬＥＤＧＥＲ　ＮＡＮＯ　Ｓ（登録商標）が挙げられる。この製品は、ＰＣにＵＳＢ接続して使用するハードウェアウォレットであり、ＰＣに最初に接続した初期設定時にＰＩＮコードを設定し、このＰＩＮコードを入力して秘密鍵へのアクセスを許容する。

　具体的には、この製品では、複数の秘密鍵が２５６ビットのシードと呼ばれる秘密情報を用いて階層的に生成可能な方式を採用しており、シードから各秘密鍵及びそれに関連づけられたアドレスを再現可能である。したがって、電源を入れるとシードからこれまでに使用した１又は複数のアドレスのための１又は複数の秘密鍵が再現され、ＰＩＮコードを用いて当該１又は複数の秘密鍵が利用可能となる。ここで、シードは「セキュアエレメント」と呼ばれる耐タンパー性のある安全性の高いチップに格納されている。

　このように、シードが極めて重要な役割を果たすため、初期設定時にはＰＩＮコードの設定に加えてシードの復元のための２４個のリカバリーフレーズが表示され、これらを記録することが要求される。機器を紛失したような場合には、リカバリーフレーズによって新たな機器にシードを復元し、シードからこれまでに使用した１又は複数のアドレスのための１又は複数の秘密鍵を再現することができる。紛失した機器にはシードが記憶されているが、セキュアエレメント内のシードはＰＩＮコードがなければアクセス不可能に記憶されている。

　このように安全性に配慮されたハードウェアウォレットは存在するものの、いずれもＰＣに接続して用いるものであり、安全性に配慮しつつ、現在多くの人が持ち歩くスマートフォンを活用したハードウェアウォレットは例を見ない。

　本発明は、このような問題点に鑑みてなされたものであり、シードなどの秘密情報を管理するための機器において、スマートフォン等の携帯端末との通信を用いて安全性を確保することにある。

　上記及び下記の説明では、シードを例に一部説明を行うが、シード以外の秘密情報、たとえば秘密鍵自体を管理の対象とすることも可能である。

　このような目的を達成するために、本発明の第１の態様は、携帯端末と機器との間の交換鍵の交換によって確立された通信路を用いて秘密情報を管理するための方法であって、コンピュータネットワークから遮断された前記機器が、前記秘密情報を生成するステップと、前記秘密情報を暗号化するための暗号化キーを用いて前記秘密情報を暗号化して、暗号化秘密情報を生成するステップと、前記秘密情報及び前記暗号化キーを前記機器から消去するステップと、前記暗号化秘密情報を前記機器に記憶するステップと、前記暗号化キーを、前記機器から消去する前に、前記交換によって前記携帯端末から受信した公開鍵又はこれを用いて生成される鍵により暗号化した後に前記携帯端末に送信するステップとを含むことを特徴とする。

　また、本発明の第２の態様は、第１の態様において、前記機器は、前記各ステップを実行する間、ＰＣに接続されないことを特徴とする。

　また、本発明の第３の態様は、第１又は第２の態様において、前記暗号化キーを前記携帯端末から受信するステップと、前記暗号化キーを用いて前記暗号化秘密情報を復号するステップと、前記暗号化キーを前記機器から消去するステップとを含むことを特徴とする。

　また、本発明の第４の態様は、第３の態様において、前記復号は、前記機器に対するユーザーによる入力が行われた後に実行することを特徴とする。

　また、本発明の第５の態様は、第１から第４のいずれかの態様において、前記秘密情報を前記機器から消去する前に前記秘密情報又はこれに１対１に対応する情報を前記機器に挿入された部品に出力するステップをさらに含むことを特徴とする。

　また、本発明の第６の態様は、第１から第５のいずれかの態様において、前記秘密情報はシードであり、前記シードを前記機器から消去する前に前記シードに基づく親秘密鍵に対応する親公開鍵を生成して前記携帯端末に送信するステップをさらに含むことを特徴とする。

　また、本発明の第７の態様は、第１から第６のいずれかの態様において、前記機器は、電池を内蔵していることを特徴とする。

　また、本発明の第８の態様は、第１から第７のいずれかの態様において、前記携帯端末はスマートフォンであることを特徴とする。

　また、本発明の第９の態様は、機器に、携帯端末と前記機器との間の交換鍵の交換によって確立された通信路を用いて秘密情報を管理するための方法を実行させるためのプログラムであって、前記方法は、コンピュータネットワークから遮断された前記機器が、前記秘密情報を生成するステップと、前記秘密情報を暗号化するための暗号化キーを用いて前記秘密情報を暗号化して、暗号化秘密情報を生成するステップと、前記秘密情報及び前記暗号化キーを前記機器から消去するステップと、前記暗号化秘密情報を前記機器に記憶するステップと、前記暗号化キーを、前記機器から消去する前に、前記交換によって前記携帯端末から受信した公開鍵又はこれを用いて生成される鍵により暗号化した後に前記携帯端末に送信するステップとを含むことを特徴とする。

また、本発明の第１０の態様は、携帯端末との間の交換鍵の交換によって確立された通信路を用いて秘密情報を管理するための、コンピュータネットワークから遮断された機器であって、前記秘密情報を生成し、前記秘密情報を暗号化するための暗号化キーを用いて前記秘密情報を暗号化して、暗号化秘密情報を生成し、前記秘密情報及び前記暗号化キーを前記機器から消去し、前記暗号化秘密情報を前記機器に記憶し、前記暗号化キーを前記機器から消去する前に、前記交換によって前記携帯端末から受信した公開鍵又はこれを用いて生成される鍵により暗号化した後に前記携帯端末に送信することを特徴とする。

　本発明の一態様によれば、携帯端末との間の交換鍵の交換によって確立された通信路を用いて秘密情報を管理するための機器において、当該機器で生成した秘密情報を暗号化キーによって暗号化して暗号化秘密情報として記憶するとともに、当該暗号化キーは当該機器から消去して当該携帯端末に記憶し、当該携帯端末への送信の際には当該携帯端末から受信した公開鍵又はこれを用いて生成される鍵による暗号化を行うことによって、当該機器と当該計端端末との紐づけを行い、両者が揃わなければ秘密情報にアクセスできない多要素認証とすることによって、秘密情報の管理における安全性を高めている。

本発明の第１の実施形態にかかる機器を示す図である。本発明の第１の実施形態にかかる機器の内部構造を示す図である。本発明の第１の実施形態にかかる初期化段階の流れ図である。本発明の第１の実施形態にかかるアンロック段階の流れ図である。本発明の第２の実施形態にかかる送金処理の流れ図である。本発明の第２の実施形態にかかる送金のための入力画面を示す図である。

　以下、図面を参照して本発明の実施形態を詳細に説明する。

　（第１の実施形態）　
　図１に本発明の第１の実施形態にかかる機器を示す。機器１００は、スマートフォン等の携帯端末１１０との通信を用いて、秘密情報へのアクセスを可能にする新たな方式を採用するものである。

　機器１００は、一例として、その筐体の上面に表示画面１０１、ボタン等の入力部１０２及び入出力端子１０３を有することができる。入出力端子１０３には、後述するシードの復元のための部品１２０を挿入可能である。

　図２に本発明の第１の実施形態にかかる機器の内部構造を示す。機器１００は、マイクロコントローラ２１０と、無線通信モジュール２２０とを備え、必要に応じて電池２３０を更に備える。機器１００は更に、入力部１０２と入出力端子１０３とを備えることができる。図２では、各要素は、マイクロコントローラ２１０に接続されるが、簡単のため、配線は図示していない。筐体は、例えば電池２３０を内蔵する場合、縦６ｃｍ、横１０ｃｍ、厚さ１ｃｍとすることができる。

　マイクロコントローラ２１０は、プロセッサ２１１を有し、加えて不揮発性メモリ２１２－１及び揮発性メモリ２１２－２を有する。不揮発性メモリ２１２－１は、マイクロコントローラ２１０に対して外付けのメモリとしてもよい。マイクロコントローラ２１０は、セキュアエレメントとすることができるが、本発明により実現される安全性の下では高価なチップを用いることは必ずしも必要ではない。

　図２においては、マイクロコントローラを単位として示しているが、本実施形態にかかる機器１００に求められる構成要素としては、プロセッサ等の処理部と、メモリ等の記憶装置又は記憶媒体を含む記憶部と、通信インターフェース等の通信部とが挙げられ、必要に応じて、電源を供給するための電源部と、外部からの入力を受け入れ、外部への出力を行うための入力部、出力部又は入出力部とを備えることがある。

　マイクロコントローラ２１０の不揮発性メモリ２１２－１又は機器１００の記憶部には、マイクロコントローラ２１０のプロセッサ２１１又は機器１００の処理部において実行して、機器１００に以下で説明する各処理を行わせるためのプログラムが記憶されている。当該プログラムは１又は複数のプログラムを含むことがあり、また、コンピュータ読み取り可能な記憶媒体に記録して非一過性のプログラムプロダクトとすることができる。

　以下では、機器１００が、携帯端末１１０との通信を用いることで、秘密情報を安全に管理する技術について、これらのデバイス間にセキュアな通信路を確立するための準備段階、これらのデバイスを紐づけるための初期化段階、そして、秘密情報をアクセス可能にするアンロック段階の順に説明する。

　準備段階及び初期化段階の開始又は準備段階を行わない場合の初期化段階の開始は、機器１００及び携帯端末１１０の電源が共にＯＮであり、携帯端末１１０が機器１００と無線通信又は有線通信によって通信可能となった後に自動的に開始してもよいし、通信可能となった後に機器１００又は携帯端末１１０に対するユーザーの入力に応じて開始してもよい。また、アンロック段階の開始は、初期化の完了後に携帯端末１１０が機器１００と無線通信又は有線通信によって通信可能となった後に自動的に開始してもよいし、通信可能となった後に機器１００又は携帯端末１１０に対するユーザーの入力に応じて開始してもよい。

　準備段階　
　まず、携帯端末１１０には、以下で必要となる処理を行うためのプログラムが記憶されているものとする。具体的には、スマートフォン、タブレットなどのためのアプリケーションをインストールすることで、所要の処理を実行可能とすることができる。また、携帯端末１１０は、必要となるデータを記憶するための不揮発性メモリを有している。そして、機器１００は携帯端末１１０と無線又は有線で通信可能とする。

　機器１００は、第１の秘密鍵ＨＷ_ｐｒｉｖ及び第１の秘密鍵ＨＷ_ｐｒｉｖに対応する第１の公開鍵ＨＷ_ｐｕｂを生成する。また、携帯端末１１０は、第２の秘密鍵ＳＰ_ｐｒｉｖ及び第２の秘密鍵ＳＰ_ｐｒｉｖに対応する第２の公開鍵ＳＰ_ｐｕｂを生成する。機器１００は、第１の公開鍵ＨＷ_ｐｕｂを携帯端末１１０に送信し、携帯端末１１０は、第２の公開鍵ＳＰ_ｐｕｂを機器１００に送信する。

　これにより、機器１００は、第２の公開鍵ＳＰ_ｐｕｂ又はこれを用いてＤＨ鍵交換により生成される鍵により暗号化して携帯端末１１０に情報を送信し、携帯端末１１０において第２の秘密鍵ＳＰ_ｐｒｉｖ又はこれを用いてＤＨ鍵交換により生成される鍵によって復号することができる。同様に、携帯端末１１０は、第１の公開鍵ＨＷ_ｐｕｂ又はこれを用いてＤＨ鍵交換により生成される鍵により暗号化して機器１００に情報を送信し、機器１００において第１の秘密鍵ＨＷ_ｐｒｉｖ又はこれを用いてＤＨ鍵交換により生成される鍵によって復号することができる。この公開鍵の交換によって、これらのデバイス間にセキュアな通信路が確立される。交換した公開鍵に基づいてさらに鍵を生成する場合、必ずしもＤＨ鍵交換に限定するものではない。

　機器１００は、公開鍵の交換を行った携帯端末１１０以外の装置とは通信不能でコンピュータネットワークから遮断することができ、少なくとも以後の初期化段階及びアンロック段階の処理が実行される間はコンピュータネットワークから遮断することができる。機器１１０のコンピュータネットワークからの遮断は、上述のとおりＰＣに接続されないことを含み、機器１１０は、ＰＣに接続不可としてもよい。ＰＣは、一般にインターネットなどのコンピュータネットワークと接続可能であることが多く、ＰＣに接続されないことによって、機器１００における秘密情報の管理の安全性が向上する。当然、機器１００は、ＰＣ以外の機器とすることが好ましい。

　公開鍵の交換及びＤＨ鍵交換は、中韓者攻撃に弱いという弱点を有するものの、機器１００と携帯端末１１０との間の通信を有線であったり、Ｂｌｕｅｔｏｏｔｈ（登録商標）規格、ＮＦＣ規格等の近距離無線通信とすることで第三者が入り込むおそれを大幅に低減することが可能である。

　以下で説明する初期化段階及びアンロック段階において、必ずしも明示的に説明しないが、送信されるデータは必要に応じて交換された公開鍵又はこれを用いて生成される鍵を用いて暗号化され、それを受信した機器１００又は携帯端末１１０において対応する鍵によって復号される。

　初期化段階　
　図３を参照して、本実施形態にかかる初期化段階の流れを説明する。まず、機器１００は、秘密情報Ｓを生成する（Ｓ３０１）。秘密情報Ｓは、任意の乱数又は疑似乱数とすることができる。次に、機器１００は、秘密情報Ｓを暗号化するための暗号化キーＰを生成する（Ｓ３０２）。暗号化キーＰは、任意の乱数又は疑似乱数とすることができ、秘密情報Ｓを暗号化するための暗号方式は、任意の方式を採用すればよい。

　そして、暗号化キーＰを用いて秘密情報Ｓを暗号化して暗号化秘密情報Ｃを算出する（Ｓ３０３）。定式化すれば、Ｅｎｃ（ｘ，ｙ）をｙを用いてｘを暗号化する暗号化関数として、これはＣ：＝Ｅｎｃ（Ｓ，Ｐ）と表記することができる。暗号化秘密情報Ｃは、機器１００において、フラッシュメモリへの書き込み等によって不揮発性メモリに記憶される（Ｓ３０４）。

　次いで、機器１００は、必要に応じて準備段階で確立したセキュアな通信路を用いて、すなわち、公開鍵の交換によって携帯端末１１０から受信した公開鍵ＳＰ_ｐｕｂ又はこれを用いて生成される鍵により暗号化した後に、暗号化キーＰを携帯端末１１０に送信する（Ｓ３０５）。携帯端末１１０は、受信した暗号化キーＰをフラッシュメモリへの書き込み等によって不揮発性メモリに記憶する（Ｓ３０６）。

　最後に、機器１００において、秘密情報ＳがＲＡＭ等の揮発性メモリから消去され（Ｓ３０７）、暗号化キーＰについても消去される（Ｓ３０８）。

　ここでは、一定の順序で各処理を説明したが、機器１００において暗号化秘密情報Ｃを記憶し、携帯端末１１０において暗号化キーＰを記憶して機器１００と携帯端末１１０とを紐づけることができれば、各処理の順序は可変である。

　このように機器１００には暗号化秘密情報Ｃが記憶されているのみで秘密情報Ｓ自体は記憶されていないことから、機器１００を紛失したり機器１００が不正アクセスを受けても秘密情報Ｓへのアクセスは出来ない。また、携帯端末１１０には暗号化キーＰが記憶されているのみで秘密情報Ｓも暗号化秘密情報Ｃも記憶されていないため、携帯端末１１０を紛失したり携帯端末１１０が不正アクセスを受けても同様に秘密情報Ｓへのアクセスは出来ない。

　さらに、機器１００は電池２３０を内蔵することがあり、この場合、ＰＣにＵＳＢ接続されるような小型の機器よりも大型であって携帯に適していないため、自宅等の所定の空間に据え置かれる傾向にあり、紛失のおそれが低減する。また、携帯端末１１０はスマートフォンとすることができ、この場合、多くの人が常に携帯しているため、機器１００と同時に盗難等の被害に遭うおそれは極めて低い。

　暗号化キーＰについて、機器１００において生成して携帯端末１１０に送信するものとして説明をしたが、携帯端末１１０において暗号化キーＰを生成して機器１００に送信し、機器１００において暗号化キーＰを用いた秘密情報Ｓの暗号化が終わった後に暗号化キーＰを機器１００から消去するようにすることもできる。この場合、機器１００から携帯端末１１０への暗号化キーＰの送信は必ずしも必要ではない。

　ここで説明した初期化のプロセスでは、必ずしもユーザーからの入力を排除するものではないが、初期化の開始後、ユーザーに対してＰＩＮコードの設定等の入力を要求することなく、自動的に機器１００及び携帯端末１１０の設定を完了可能である。このことは、ユーザーに対してＰＩＮコード等の入力した情報を記録又は記憶しておく負担を課さないことが可能であることを意味する。

　アンロック段階　
　初期化段階によって、機器１００に暗号化秘密情報Ｃ、携帯端末１１０に暗号化キーＰが記憶されている。図４に示すように、まず携帯端末１１０において、暗号化キーＰをＲＡＭ等の揮発性メモリに読み込んで展開する（Ｓ４０１）。携帯端末１１０は、これを必要に応じて準備段階で確立したセキュアな通信路を用いて、すなわち、公開鍵の交換によって機器１００から受信した公開鍵ＨＷ_ｐｕｂ又はこれを用いて生成される鍵により暗号化した後に、機器１００に送信する（Ｓ４０２）。

　機器１００では、暗号化秘密情報Ｃをメモリに展開し（Ｓ４０３）、秘密鍵ＨＷ_ｐｒｉｖ又はこれを用いて生成される鍵により復号した暗号化キーＰを用いて秘密情報Ｓを復号する（Ｓ４０４）。定式化すれば、Ｄｅｃ（ｘ，ｙ）をｘをｙを用いて復号化する復号化関数として、これはＳ：＝Ｄｅｃ（Ｃ，Ｐ）と表記することができる。

　機器１００では、暗号化キーＰを揮発性メモリから消去してもよく（Ｓ４０５）、また図示はしないが、暗号化秘密情報Ｃを同様に揮発性メモリから消去してもよい。携帯端末１１０では、図示はしないが、暗号化キーＰを揮発性メモリから消去してもよい。

　このようにして、機器１００では、所要のデータ処理のために秘密情報Ｓを一時的に使用可能となる。所要のデータ処理が完了したら、機器１００は、秘密情報Ｓを消去すべきである。

　上述の説明では、機器１００は、暗号化キーＰを受信したことに応じて、自動的に秘密情報Ｓの復号を行うことを例として考えているところ、復号前に、機器１００に対するユーザーによる入力により、ユーザーの意思確認をするようにしてもよい。このようにすることで、秘密情報Ｓへのアクセスの安全性を一層高めることができる。ユーザーからの入力は、たとえば表示画面１０１をタッチパネルとして、表示画面１０１に表示される確認メッセージに対する反応としてのユーザーによる表示画面１０１の接触又は押下とすることが可能である。また、ユーザー入力は、機器１００の入力部１０２により受け取ることも可能である。

　なお、「××のみに基づいて」、「××のみに応じて」、「××のみの場合」というように「のみ」との記載がなければ、本明細書においては、付加的な情報も考慮し得ることが想定されていることに留意されたい。また、一例として、「ａの場合にｂする」という記載は、明示した場合を除き、「ａの場合に常にｂする」ことを必ずしも意味しないことに留意されたい。

　また、念のため、なんらかの方法、プログラム、端末、装置、サーバ又はシステム（以下「方法等」）において、本明細書で記述された動作と異なる動作を行う側面があるとしても、本発明の各態様は、本明細書で記述された動作のいずれかと同一の動作を対象とするものであり、本明細書で記述された動作と異なる動作が存在することは、当該方法等を本発明の各態様の範囲外とするものではないことを付言する。

　（第２の実施形態）　
　第１の実施形態では、秘密情報Ｓについて説明したが、秘密情報Ｓがシードである場合について、本実施形態においてさらに詳説する。

　シードＳとは、そこから複数の秘密鍵を階層的に生成可能な情報であり、各秘密鍵に対応する公開鍵は、親秘密鍵である１階層目の秘密鍵に対応する公開鍵を親公開鍵Ｓ’として、これに基づいて生成可能とすることができる。暗号通貨の送受金においては、各公開鍵に関連づけられたアドレスが用いられ、親公開鍵Ｓ’が分かれば、シードＳに関連づけられた複数のアドレスの特定を決定的に行うことができる。一例として、ＢＩＰ３２と呼ばれる規格を採用することが考えられる。ここで、公開鍵に関連づけられたアドレスは、公開鍵自体とすることが含まれる。

　初期化段階において、図３では暗号化キーＰを機器１００から携帯端末１１０に送信しているところ、本実施形態においては、シードＳを消去する前に、機器１００において所定のアルゴリズムに基づいてシードＳから親公開鍵Ｓ’を生成し、親公開鍵Ｓ’についても携帯端末１１０に送信しておくものとする。

　次に、図５を参照して、本実施形態にかかる送金処理の流れを説明する。大きくは、携帯端末１１０においてトランザクションデータＴを生成して、トランザクションデータＴのハッシュ値Ｈを機器１００に送信し、機器１００からシードＳを用いた電子署名Ｈ’を携帯端末１１０が受信して、ブロックチェーンネットワークに署名済みトランザクションデータＴ’をブロードキャストする。

　まず、携帯端末１１０に対して、送金先アドレス及び送金量が入力される（Ｓ５０１）。図６に、携帯端末１１０にインストールされたアプリケーションにおける入力画面の一例を示す。入力画面６００には、送金先アドレスの入力欄６０１と金額の入力欄６０２があり、メモ欄６０３を設けることもできる。送金先アドレスは、ＱＲコード（登録商標）を撮影して入力可能としてもよく、送金額は、仮想通貨又は暗号通貨の種類を選択して入力可能としてもよい。

　ここで、送金先アドレスは、携帯端末１１０に記憶された秘密鍵に対応する公開鍵に関連づけられたアドレスとすることができる。こうすることで、機器１００は持ち歩くことなく、必要な額の仮想通貨又は暗号通貨を携帯端末１１０から送金することができる。この際、機器１００から携帯端末１１０に送金可能な金額には一定の制約を課すことが好ましい。

　携帯端末１１０は、親公開鍵Ｓ’を用いて、シードＳに関連づけられた複数のアドレスを出力とするトランザクションデータのうちの当該送金量の送金に利用可能な１又は複数のＵＴＸＯを特定する（Ｓ５０２）。特定された１又は複数のＵＴＸＯのインデックスの集合をＩと表記する。ここで「インデックス」は、各ＵＴＸＯに記載されている公開鍵が親公開鍵Ｓ’からどのような経路で生成されたかを表す。

　送金先アドレスは入力されており、集合Ｉによって送金元となるアドレス又はＵＴＸＯが特定されることから、携帯端末１１０は、送金のためのトランザクションデータＴを生成する（Ｓ５０３）。トランザクションデータＴには、各送金元アドレスの公開鍵を含めることができる。

　携帯端末１１０は、トランザクションデータＴのハッシュ値Ｈを生成し（Ｓ５０４）、生成したハッシュ値Ｈとインデックスの集合Ｉを、必要に応じてセキュアな通信路を用いて、機器１００に送信する（Ｓ５０５）。機器１００は、予めアンロックを終えてシードＳを復号しておくか、ハッシュ値Ｈを受信したことに応じてアンロックを開始してシードＳを復号してもよい。ＵＴＸＯの特定からハッシュ値Ｈの送信までの処理は、たとえば図６において「送金する」のボタン６０４がタップされたことに応じて実行されるようにしてもよい。セキュアな通信路を用いる場合、送信するハッシュ値Ｈ及びインデックスの集合Ｉの少なくとも一方を公開鍵の交換によって機器１００から受信した公開鍵ＨＷ_ｐｕｂ又はこれを用いて生成される鍵により暗号化する際に乱数、疑似乱数その他のナンスを加えてから暗号化すれば、元データを特定するための攻撃に対する耐性が向上する。

　機器１００では、シードＳと集合Ｉから各インデックスにおける秘密鍵を算出して（Ｓ５０６）、ハッシュ値Ｈに対する電子署名Ｈ’を生成する（Ｓ５０７）。生成された電子署名Ｈ’は、携帯端末１１０に送信される（Ｓ５０８）。

　携帯端末１１０は、ハッシュ値Ｈを送信する代わりにトランザクションデータＴを送信して、機器１００においてハッシュ値Ｈの生成を行うことも考えられる。また、携帯端末１１０は、インデックスの集合Ｉを送信する代わりに１又は複数のＵＴＸＯに記載された１又は複数の公開鍵を送信して、機器１００においてシードＳを用いて当該１又は複数の公開鍵に対応する１又は複数の秘密鍵を算出することも考えられる。

　電子署名Ｈ’を受信した携帯端末１１０は、電子署名Ｈ’をトランザクションデータＴに付加した電子署名済みトランザクションデータＴ’を生成し、これをブロックチェーンネットワークにブロードキャストする（Ｓ５０９）。

　上述の説明では、機器１００は、ハッシュ値Ｈ及びインデックスの集合Ｉを受信したことに応じて、自動的に各インデックスの秘密鍵を生成することを例として考えているところ、各インデックスの秘密鍵の生成前に、第１の実施形態における秘密情報Ｓの復号前の意思確認と同様に、ユーザーの意思確認を行ってもよい。また、各インデックスの秘密鍵の生成前ではなく、各秘密鍵による電子署名Ｈ’の前又は電子署名Ｈ’の携帯端末１１０への送信前にユーザーの意思確認を行ってもよい。

　（第３の実施形態）　
　図１に示した部品１２０は、第１の実施形態において説明した初期化段階において、秘密情報Ｓを機器１００から消去する前に記憶しておくために用いる。部品１２０を入出力端子１０３に挿入したことに応じて自動的に秘密情報Ｓが部品１２０に出力されて、部品１２０に記憶されるようにしてもよく、また、挿入後にユーザーが機器１００に対する入力を行うことに応じて記憶されるようにしてもよい。また、記憶する情報としては、秘密情報Ｓ自体としてもよく、または所定の対応づけによりこれと１対１に対応する情報としてもよい。

　１００　機器
　１０１　表示部
　１０２　入力部
　１０３　入出力端子
　１１０　携帯端末
　１２０　部品
　２１０　マイクロコントローラ
　２１１　プロセッサ
　２１２－１　不揮発性メモリ
　２１２－２　揮発性メモリ
　２２０　無線通信モジュール
　２３０　電池
　６００　入力画面
　６０１　送金先アドレス入力欄
　６０２　送金額入力欄
　６０３　メモ入力欄
　６０４　送金ボタン

Claims

　携帯端末と機器との間の交換鍵の交換によって確立された通信路を用いて秘密情報を管理するための方法であって、コンピュータネットワークから遮断された前記機器が、
　前記秘密情報を生成するステップと、
　前記秘密情報を暗号化するための暗号化キーを用いて前記秘密情報を暗号化して、暗号化秘密情報を生成するステップと、
　前記秘密情報及び前記暗号化キーを前記機器から消去するステップと、
　前記暗号化秘密情報を前記機器に記憶するステップと、
　前記暗号化キーを、前記機器から消去する前に、前記交換によって前記携帯端末から受信した公開鍵又はこれを用いて生成される鍵により暗号化した後に前記携帯端末に送信するステップと
を含むことを特徴とする方法。
　前記機器は、前記各ステップが実行される間、ＰＣに接続されないことを特徴とする請求項１に記載の方法。
　前記機器は、電池を内蔵し、ＰＣに接続不可であることを特徴とする請求項２に記載の方法。
　前記携帯端末は、スマートフォンであることを特徴とする請求項２又は３に記載の方法。
　前記暗号化キーを前記携帯端末から受信するステップと、
　前記暗号化キーを用いて前記暗号化秘密情報を復号するステップと、
　前記暗号化キーを前記機器から消去するステップと
を含むことを特徴とする請求項１から４のいずれかに記載の方法。
　前記復号は、前記機器に対するユーザーによる入力が行われた後に実行することを特徴とする請求項５に記載の方法。
　前記暗号化キーは、前記交換によって前記機器から受信した公開鍵又はこれを用いて生成される鍵により暗号化されており、
　前記計端端末から受信した暗号化された前記暗号化キーを前記機器の秘密鍵又はこれを用いて生成される鍵により復号するステップをさらに含むことを特徴とする請求項５又は６に記載の方法。
　前記秘密情報はシードであり、
　前記シードを前記機器から消去する前に前記シードに基づく親秘密鍵に対応する親公開鍵を生成して前記携帯端末に送信するステップをさらに含むことを特徴とする請求項１から７のいずれかに記載の方法。
　機器に、携帯端末と前記機器との間の交換鍵の交換によって確立された通信路を用いて秘密情報を管理するための方法を実行させるためのプログラムであって、前記方法は、コンピュータネットワークから遮断された前記機器が、
　前記秘密情報を生成するステップと、
　前記秘密情報を暗号化するための暗号化キーを用いて前記秘密情報を暗号化して、暗号化秘密情報を生成するステップと、
　前記秘密情報及び前記暗号化キーを前記機器から消去するステップと、
　前記暗号化秘密情報を前記機器に記憶するステップと、
　前記暗号化キーを前記機器から消去する前に、前記交換によって前記携帯端末から受信した公開鍵又はこれを用いて生成される鍵により暗号化した後に前記携帯端末に送信するステップとを含むことを特徴とするプログラム。
　携帯端末との交換鍵の交換によって確立された通信路を用いて秘密情報を管理するための、コンピュータネットワークから遮断された機器であって、
　前記秘密情報を生成し、
　前記秘密情報を暗号化するための暗号化キーを用いて前記秘密情報を暗号化して、暗号化秘密情報を生成し、
　前記秘密情報及び前記暗号化キーを前記機器から消去し、
　前記暗号化秘密情報を前記機器に記憶し、
　前記暗号化キーを前記機器から消去する前に、前記交換によって前記携帯端末から受信した公開鍵又はこれを用いて生成される鍵により暗号化した後に前記携帯端末に送信することを特徴とする機器。