WO2021181736A1

WO2021181736A1 - 機密データ管理装置、プログラム及び記録媒体

Info

Publication number: WO2021181736A1
Application number: PCT/JP2020/037347
Authority: WO
Inventors: ボースティグハンセン; エミルモーリア; キリルジョージェフ; トーマスワン; ユシャオワン
Original assignee: 株式会社ソリトンシステムズ
Priority date: 2020-03-13
Filing date: 2020-09-30
Publication date: 2021-09-16
Also published as: US20220311605A1; EP3902197A4; JP7037705B2; EP3902197A1; CN115280716A; US11924337B2; JPWO2021181736A1

Abstract

本発明の一態様は、所定のデータ長の機密データ保護コードを生成する機密データ保護コード生成部と、前記機密データ保護コードを入力とする鍵導出関数を用いて共通鍵を生成する共通鍵生成部と、前記共通鍵を用いて機密データを暗号化する機密データ暗号化部と、機密データアクセス支援端末から提供された公開鍵を用いて前記機密データ保護コードを暗号化する機密データ保護コード暗号化部と、前記機密データの暗号化後に前記共通鍵及び前記機密データを削除し、前記機密データ保護コードの暗号化後に前記機密データ保護コードを削除する削除部と、を備える。

Description

機密データ管理装置、プログラム及び記録媒体

　本発明は、機密データ管理装置、プログラム及び記録媒体に関する。

　従来、共通鍵暗号及び公開鍵暗号の両方の暗号技術を用いてファイルを暗号化するシステムに関する技術が開示されている（特許文献１参照）。当該システムは、共通鍵を用いてファイルを暗号化し、当該共通鍵を、ユーザや管理人の公開鍵によって暗号化する。暗号化された共通鍵は、暗号化されたファイルと共に保存される。

　システムは、ユーザからファイルの読出し要求を受信し、適切な秘密鍵が使用された場合に当該暗号化された共通鍵を復号し、得られた共通鍵を用いて暗号化されたファイルを復号して、ユーザに返信する。

　また、記憶媒体に暗号化データを保存するユーザ側データ処理装置と、その暗号化データが復号不能となる非常時に復旧作業を行う復旧処理装置とが、分担・協業してデータを復旧する技術が開示されている（特許文献２）。

　復旧処理装置は、公開鍵と個人鍵のペアを作成して公開鍵のみをユーザ側装置に渡す。ユーザ側装置は、データを暗号化するための暗号鍵を作成し、公開鍵でその暗号鍵を暗号化して記憶媒体の所定箇所に書き込む。非常時になると、ユーザ側装置は、暗号化された暗号鍵を記憶媒体から取り出して復旧処理装置に渡す。復旧処理装置は、個人鍵によって復号化した暗号鍵をユーザ側装置に送り返す。その結果、ユーザ側装置は、データの復旧が可能になる。

　また、第１のデバイスに格納されたコンテンツを保護するためのコンテンツ保護鍵を、第２のデバイスで管理された秘密鍵／公開鍵対の公開鍵で暗号化することで、当該第２のデバイスで認証可能なユーザだけがその秘密鍵を用いて暗号化コンテンツ保護鍵を復号し、得られたコンテンツ保護鍵で第１のデバイスに格納されたコンテンツを復号、利用できるようにする技術が開示されている（特許文献３）。

　また、第１及び第２のシステムとの間で、マスター鍵を用いて暗号化したメッセージを双方向通信する技術が開示されている（特許文献４参照）。

　第１のシステムは、一対の第１の公開鍵及び第１の秘密鍵と、一対の第２の公開鍵及び第２の秘密鍵とを生成する。第２のシステムは、一対の第３の公開鍵及び第３の秘密鍵と、一対の第４の公開鍵及び第４の秘密鍵とを生成する。但し、第２及び第４の公開鍵は、第１及び第２のシステムの間で共有される機密情報に基づいて生成される。

　第１及び第２のシステムは、互いに自身の２つの公開鍵を交換する。第１のシステムは、第１及び第２の秘密鍵と、第３及び第４の公開鍵と、に基づいてマスター鍵を生成する。第２のシステムは、第１及び第２の公開鍵と、第３及び第４の秘密鍵と、に基づいてマスター鍵を生成する。第１及び第２でそれぞれ生成されるマスター鍵は、同じものである。このため、第１及び第２のシステムは、公開鍵を交換することでマスター鍵を共有して、この共有鍵を用いてメッセージを交換する。

米国特許第６２４９８６６号公報特開２００７－１３４８４号公報米国特許出願公開２００７／０３０００８０号明細書特許第４７０１２３８号公報

　本発明は、従来技術の問題を解決するために提案されたものである。

　本発明の第１態様である機密データ管理装置は、所定のデータ長の機密データ保護コードを生成する機密データ保護コード生成部と、前記機密データ保護コードを入力とする鍵導出関数を用いて共通鍵を生成する共通鍵生成部と、前記共通鍵を用いて機密データを暗号化する機密データ暗号化部と、機密データアクセス支援端末から提供された公開鍵を用いて前記機密データ保護コードを暗号化する機密データ保護コード暗号化部と、前記機密データの暗号化後に前記共通鍵及び前記機密データを削除し、前記機密データ保護コードの暗号化後に前記機密データ保護コードを削除する削除部と、を備える。

　本発明の第２態様である機密データ管理装置は、所定のデータ長の機密データ保護コードを生成する機密データ保護コード生成部と、前記機密データ保護コードを入力とする鍵導出関数を用いて第１の共通鍵を生成する第１の共通鍵生成部と、前記第１の共通鍵を用いて機密データを暗号化する機密データ暗号化部と、機密データアクセス支援端末と事前に交換された所定の情報を用いて第２の共通鍵を生成する第２の共通鍵生成部と、前記第２の共通鍵を用いて前記機密データ保護コードを暗号化する機密データ保護コード暗号化部と、前記機密データの暗号化後に前記第１の共通鍵及び前記機密データを削除し、前記機密データ保護コードの暗号化後に前記第２の共通鍵及び前記機密データ保護コードを削除する削除部と、を備える。

　本発明の第３態様であるプログラムは、コンピュータを前記機密データ管理装置の各部として機能させるためのプログラムである。

　本発明の第４態様である記録媒体は、前記プログラムが記録された記録媒体である。

　本発明は、機密データの安全性を向上させることができる。

図１は、第１実施形態の一例である機密データ管理システムを示す概要図である。図２は、機密データアクセス支援端末及び機密データ管理装置として使用されるコンピュータの一例を示すブロック図である。図３は、第１実施形態における機密データの初期暗号化ルーチンを示すフローチャートである。図４は、第１実施形態におけるステップＳ１３の詳細な処理である機密データの暗号化サブルーチンを示すフローチャートである。図５は、第１実施形態における機密データの暗号化後に、機密データアクセス支援端末及び機密データ管理装置のそれぞれにおいて保存されたデータを示す概念図である。図６は、第１実施形態における機密データの復号ルーチンを示すフローチャートである。図７は、複数の機密データアクセス支援端末及び機密データ管理装置のそれぞれにおいて保存されたデータを示す概念図である。図８は、第２実施形態における機密データの暗号化サブルーチンを示すフローチャートである。図９は、第２実施形態における機密データの暗号化後に、機密データアクセス支援端末及び機密データ管理装置のそれぞれにおいて保存されたデータを示す概念図である。図１０は、第２実施形態における機密データの復号ルーチンを示すフローチャートである。図１１は、第３実施形態における機密データの初期暗号化ルーチンを示すフローチャートである。図１２は、第３実施形態における機密データの暗号化サブルーチンを示すフローチャートである。図１３は、第３実施形態における機密データの暗号化後に、機密データアクセス支援端末及び機密データ管理装置のそれぞれにおいて保存されたデータを示す概念図である。図１４は、第３実施形態における機密データの復号ルーチンを示すフローチャートである。

　以下、本発明の実施形態について、添付図面を参照しながら、詳細に説明する。ここでは、すべてではないが、複数の実施形態が示されている。本発明の実施形態は、他にも多くの様々な形態で具現化される。すなわち本発明の実施形態は本明細書に記載された実施形態に限定されると解釈すべきではない。これらの実施形態は、明細書の記載要件を満たすように提供される。なお、図面全体において、同じ数字は、同じ要素・ステップを指す。本発明の各実施形態は、例えば、次のようなケースに適用可能であるが、その他のケースにも適用可能である。

　第１のケースは、ＰＣ（すなわち、コンピューティングデバイス）のログイン時に、機密データ（例えばＰＣのパスワードまたはＰＣのパスワードが暗号化された変形データなど）を一時的に利用可能にするケースである。これにより、例えばスマートフォンを利用したパスワード不要のログイン処理が実現される。

　第２のケースは、複数のパスワードを保存するパスワードデータベースを管理するためのマスターパスワードを一時的に利用可能にするケースである。なお、マスターパスワードは、暗号化されたパスワードデータベース全体を復号する場合、またはパスワードデータベースから読み出された個々の暗号化されたパスワードを復号する場合などに、利用される。

　第３のケースは、スマートフォンを用いて、秘密の小部屋への出入りを一時的に許可する入退室管理システムのケースである。第４のケースは、スマートフォンを用いて、自動車の操作を一時的（乗車中）に可能にするエンジンキーのケースである。

［第１実施形態］
　図１は、第１実施形態の一例である機密データ管理システム１を示す概要図である。機密データ管理システム１は、機密データアクセス支援端末Ｂと、機密データ管理装置Ａと、を備えている。機密データアクセス支援端末Ｂ及び機密データ管理装置Ａとしては、例えばコンピュータが使用される。

　図２は、本実施形態において機密データアクセス支援端末Ｂ及び機密データ管理装置Ａとして使用されるコンピュータ１００の一例を示すブロック図である。

　コンピュータ１００は、例えば、ユーザの操作情報やその他の情報が入力される入力部１０１、暗号化処理などを行うＣＰＵ１０２、データの記憶／読出しを行う記憶部１０３、データのワークエリアであるＲＡＭ１０４、ＣＰＵ１０２の制御プログラムなどが記憶されたＲＯＭ１０５、ユーザインターフェースやＣＰＵ１０２の処理結果などを表示する表示部１０６、ネットワークを介して外部機器とデータ通信を行う通信部１０７を有する。

　通信部１０７は、有線、無線、Ｐ２Ｐ、その他の既存のネットワーク通信技術を用いてデータ通信が可能である。なお、通信部１０７が提供する機能は、後述するように、２次元バーコード画像（イメージデータ）を表示するディスプレイと、当該２次元バーコード画像を撮影するカメラによっても体現可能である。さらに、通信部１０７は、テキストを表示するディスプレイと、ユーザが当該テキストを認識して直接入力するためのキーボードによっても体現可能である。

　コンピュータ１００は、図２に示した形態に限定されるものではなく、ハードウェア、ソフトウェア、又はそれらの両方を備えた形態でもよい。入力部１０１は、先述したテキストデータを入力するためのキーボードやイメージデータを入力するためのカメラ、操作パネルなどであってもよい。また、コンピュータ１００は、図２では互いに独立した入力部１０１及び表示部１０６を備えているが、それらの代わりに、入力部１０１と表示部１０６の機能が一体になったタッチパネルを備えてもよい。

　また、コンピュータ１００は、デスクトップ型、ラップトップ（ノートブック）型、タブレット型のいずれであってもよいし、いわゆるスマートフォンであってもよい。すなわち、コンピュータ１００は、後述する図３及び図４などのそれぞれのフローチャートの各ステップを実行可能であれば、どのような形態であっても適用可能である。

　機密データアクセス支援端末Ｂは、例えば、携帯可能であり、持ち運びの容易な大きさのコンピュータ１００であって、例えばいわゆるスマートフォンが好ましい。機密データ管理装置Ａは、機密データその他の様々なデータを取り扱うコンピュータ１００である。

[暗号化処理（機密データＳＤの暗号化）]
　つぎに、機密データ管理装置Ａに保存されている機密データＳＤの最初の暗号化処理について説明する。暗号化処理の際には、機密データアクセス支援端末Ｂと機密データ管理装置Ａとの間でデータの送受信が行われる。

　データの送受信の形態は、一方のコンピュータ１００からデータが出力され、他方のコンピュータ１００へ当該データが入力されるのであれば、特に限定されるものではない。データの送受信の形態は、例えば次のような（１）～（３）のケースが該当する。

（１）一方のコンピュータ１００の表示部１０６に２次元バーコード画像又はテキスト画像が表示され、他方のコンピュータ１００の入力部１０１（例えばカメラ）がその画像を撮影し、ＣＰＵ１０２がその画像を復号又はテキスト認識するケース
（２）ネットワーク通信（有線又は無線）を経由して、一方のコンピュータ１００の通信部１０７がデータを送信し、他方のコンピュータ１００の通信部１０７が当該データを受信するケース
（３）一方のコンピュータ１００の表示部１０６にテキスト画像が表示され、当該画像として描画されたテキストデータをユーザが認識し他方のコンピュータ１００の入力部１０１（例えばキーボード）を操作することによって、他方のコンピュータ１００の入力部１０１に当該テキストデータが入力されるケース

　図３は、第１実施形態における機密データＳＤの初期暗号化ルーチンを示すフローチャートである。機密データ管理装置Ａ又は機密データアクセス支援端末Ｂに初期暗号化開始の操作が行われた後に、初期暗号化ルーチンが実行される。
　なお、以下、「暗号鍵」又は単なる「鍵」という用語は、暗号化アルゴリズムの機能出力を決定するデジタル情報の一片を示す。つまり、暗号鍵又は鍵は、平文から暗号文への変換、又はその逆の変換方法を決定する。

　ステップＳ１では、機密データアクセス支援端末Ｂは、秘密鍵ＰｒｉＫ_Ｂ及びそれに対応する公開鍵ＰｕｂＫ_Ｂを生成する。
　ステップＳ２では、機密データアクセス支援端末Ｂは、公開鍵ＰｕｂＫ_Ｂを機密データ管理装置Ａへ送信する。

　ステップＳ１１では、機密データ管理装置Ａは、機密データアクセス支援端末Ｂから送信された公開鍵ＰｕｂＫ_Ｂを受信して保存する。
　ステップＳ１２では、機密データ管理装置Ａは、例えばパスワードなどの機密データＳＤを準備する。なお、機密データＳＤは、外部装置から送信されたものでもよいし、予め機密データ管理装置Ａ内に保存されていたものでもよい。

　ステップＳ１３では、機密データ管理装置Ａは、機密データＳＤを暗号化する。なお、ステップＳ１３の詳細は後述する。

　ステップＳ１４では、機密データ管理装置Ａは、機密データＳＤを削除する。これにより、機密データ管理装置Ａには、機密データＳＤは存在しておらず、暗号化された機密データＳＤのみが記憶される。

　図４は、図３におけるステップＳ１３の詳細な処理である機密データＳＤの暗号化サブルーチンを示すフローチャートである。
　ステップＳ２１では、機密データ管理装置Ａは、機密データ保護コードＳＤＰＣを生成する。なお、機密データ保護コードＳＤＰＣは、ランダムに生成され、ユーザによるタイプ入力が可能な程度の短い文字列として構成される秘密データである。機密データ保護コードＳＤＰＣは、例えば、２５６バイト又はそれ以下の文字列であればよい。なお、機密データ保護コードＳＤＰＣは、１６バイトの文字列が最も好ましいが、それ以下の例えばキャッシュカードの暗証番号の慣習に従い、４バイトの文字列の場合もある。

　ステップＳ２２では、機密データ管理装置Ａは、予め定義された鍵導出関数を用いて、機密データ保護コードＳＤＰＣを入力とした共通鍵ＳｙｍＫを生成する。ここで鍵導出関数とは、短いデータ長の秘密の値を入力として、暗号化ハッシュ関数などの疑似乱数関数を用いて、長いデータ長の暗号化鍵を導出する関数をいう。共通鍵ＳｙｍＫの長さは、暗号化された機密データＳＤの安全性が十分に担保される程度の長さ、例えば、２５６ビットである。

　ステップＳ２３では、機密データ管理装置Ａは、共通鍵ＳｙｍＫを用いて機密データＳＤを暗号化して、暗号化機密データＳｙｍＫ［ＳＤ］を生成する。暗号化機密データＳｙｍＫ［ＳＤ］は、機密データ管理装置Ａの内部に保存される。
　ステップＳ２４では、機密データ管理装置Ａは、共通鍵ＳｙｍＫを削除する。

　ステップＳ２５では、機密データ管理装置Ａは、機密データアクセス支援端末Ｂから受信した公開鍵ＰｕｂＫ_Ｂを用いて、ステップＳ２１で生成された機密データ保護コードＳＤＰＣを暗号化して、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］を生成する。なお、公開鍵ＰｕｂＫ_Ｂは、機密データアクセス支援端末Ｂから直接受信したものに限らず、機密データ管理装置Ａが、機密データアクセス支援端末Ｂが登録した公開鍵データベースを検索した結果として入手したものでもよい。

　なお、公開鍵暗号方式の１つである楕円曲線暗号（Ｅｌｌｉｐｔｉｃ　Ｃｕｒｖｅ　Ｉｎｔｅｇｒａｔｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｃｈｅｍｅ：ＥＣＩＥＳ）は、よく知られているＲＳＡ暗号よりも、短い鍵の長さで同程度の暗号化強度を得ることができる。一般に楕円曲線暗号では、２２４ビット以上の鍵長が推奨される。そこで本実施形態では、２２４ビットの鍵を持つ楕円曲線暗号（以下、ＥＣＩＥＳ２２４という）を使用する。

　いま、機密データ保護コードＳＤＰＣが１６バイトであると仮定すると、機密データ保護コード楕円曲線暗号を用いた場合、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の長さは、１００８ビット（１２６バイト）となり、これはＢａｓｅ６４変換の１６８文字に相当する。これに対し、同程度の暗号化強度を有するＲＳＡ暗号であるＲＳＡ２０４８を使用した場合、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の長さは、２０４８ビット、すなわち楕円曲線暗号を用いた場合と比較して約２倍の長さになってしまう。

　ステップＳ２６では、機密データ管理装置Ａは、ステップＳ２１で生成された機密データ保護コードＳＤＰＣを削除する。

　図５は、図３及び図４で示した機密データＳＤの暗号化後に、機密データアクセス支援端末Ｂ及び機密データ管理装置Ａのそれぞれにおいて保存されたデータを示す概念図である。

　機密データＳＤの暗号化後、機密データアクセス支援端末Ｂには、秘密鍵ＰｒｉＫ_Ｂが保存される。一方、機密データ管理装置Ａには、公開鍵ＰｕｂＫ_Ｂ、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］、及び暗号化機密データＳｙｍＫ［ＳＤ］が保存される。

　すなわち、機密データ管理装置Ａでは、機密データ保護コードＳＤＰＣは、そのままの状態では保存されていない。このため、第三者は、正当な復号処理を行わずに機密データＳＤにアクセスすることができない。

[復号処理（機密データＳＤの復号と利用）]
　つぎに、暗号化された機密データＳＤの復号処理について説明する。復号処理の際にも、機密データアクセス支援端末Ｂと機密データ管理装置Ａとの間でデータの送受信が行われる。

　機密データ管理装置Ａは、最初に、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］を機密データアクセス支援端末Ｂへ送信し、その後、機密データアクセス支援端末Ｂから返信される機密データ保護コードＳＤＰＣを用いて共通鍵ＳｙｍＫを再生成する。機密データ管理装置Ａは、当該共通鍵ＳｙｍＫと用いて暗号化機密データＳｙｍＫ［ＳＤ］を復号して、機密データＳＤを得る。具体的には、機密データアクセス支援端末Ｂ及び機密データ管理装置Ａでは、次の処理が行われる。

　図６は、第１実施形態における機密データＳＤの復号ルーチンを示すフローチャートである。機密データ管理装置Ａ又は機密データアクセス支援端末Ｂに復号開始の操作が行われた後に、復号ルーチンが実行される。
　ステップＳ３１では、機密データアクセス支援端末Ｂは、機密データ管理装置Ａから送信された暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］を受信する。暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］は、後述するステップＳ４１において、機密データ管理装置Ａから送信される。

　ステップＳ３２では、機密データアクセス支援端末Ｂは、ユーザの認証を行う。認証が成功した後は、ユーザは、第１実施形態だけでなく他の実施形態においても、機密データアクセス支援端末Ｂを自由に操作することができる。

　ステップＳ３３では、機密データアクセス支援端末Ｂは、保存されている秘密鍵ＰｒｉＫ_Ｂを用いて、機密データ管理装置Ａから送信された暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］を復号して、機密データ保護コードＳＤＰＣを得る。

　ステップＳ３４では、機密データアクセス支援端末Ｂは、ステップＳ３３で得られた機密データ保護コードＳＤＰＣを機密データ管理装置Ａへ送信する。

　一方、ステップＳ４１では、機密データ管理装置Ａは、内部に保存されている暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］を読み出して、それを機密データアクセス支援端末Ｂへ送信する。その後、機密データアクセス支援端末Ｂは、上述したステップＳ３１～Ｓ３４の処理を実行して、機密データ保護コードＳＤＰＣを機密データ管理装置Ａへ送信する。

　ステップＳ４２では、機密データ管理装置Ａは、機密データアクセス支援端末Ｂから機密データ保護コードＳＤＰＣを受信する。
　ステップＳ４３では、機密データ管理装置Ａは、ステップＳ４２で受信された機密データ保護コードＳＤＰＣを入力とし、図４のステップＳ２２で用いた鍵導出関数を用いて共通鍵ＳｙｍＫを再生成する。

　ステップＳ４４では、機密データ管理装置Ａは、内部に保存されている暗号化機密データＳｙｍＫ［ＳＤ］を読み出して、ステップＳ４３で再生成された共通鍵ＳｙｍＫを用いて復号処理を行い、機密データＳＤを得る。これにより、図３のステップＳ１２で用意された機密データＳＤが完全に復元される。

　ステップＳ４５及びステップＳ４６では、機密データ管理装置Ａは、機密データＳＤを利用し、そして、後述するステップＳ４７及びステップＳ４８の処理の終了を確認後、当該機密データＳＤを削除する。

　ステップＳ４７では、機密データ管理装置Ａは、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］及び暗号化機密データＳｙｍＫ［ＳＤ］を削除する。
　ステップＳ４８では、機密データ管理装置Ａは、図４のサブルーチンを実行して、再び機密データＳＤを暗号化する。

　以上のように、本実施形態では、暗号化された機密データＳＤを復元するために、以下に示すプロセス（１）～（３）が必要になる。
プロセス１：機密データ保護コードＳＤＰＣの復元
プロセス２：機密データ保護コードＳＤＰＣを用いた共通鍵ＳｙｍＫの再生成
プロセス３：再生成された共通鍵ＳｙｍＫを用いた復号処理（機密データＳＤの復元）

　機密データ管理装置Ａは、機密データアクセス支援端末Ｂから提供される公開鍵ＰｕｂＫ_Ｂを用いて機密データ保護コードＳＤＰＣを暗号化できるが、それを復元することができない。つまり、機密データ管理装置Ａは、自身が保存するデータ（図５）だけでは、プロセス１を実行することができず、その結果、機密データＳＤを復元できない。また、機密データ管理装置Ａ内のすべてのデータが外部に漏洩しても、漏洩したデータだけでは機密データＳＤを復元することができないので、機密データＳＤの安全性が担保される。

　そこで、機密データ管理装置Ａは、機密データアクセス支援端末Ｂにプロセス１を実行させて、機密データアクセス支援端末Ｂから機密データ保護コードＳＤＰＣを受信することで初めて、プロセス２及び３を実行して、機密データＳＤを復元することができる。この結果、単一のコンピュータ１００がプロセス１～３をすべて行う場合に比べて、機密データＳＤが外部に漏洩するリスクを抑制することができる。

　ここまでは、機密データ管理装置Ａは、１つの機密データアクセス支援端末Ｂを使用して機密データＳＤを暗号化したが、この実施形態に限定されるものではない。例えば、機密データ管理装置Ａは、複数の機密データアクセス支援端末Ｂを使用して機密データＳＤを暗号化してもよい。

　この場合、機密データ管理装置Ａは、最初に機密データＳＤの複製を生成して、機密データアクセス支援端末Ｂの個数と同じ数の機密データＳＤを用意する。つぎに、機密データ管理装置Ａは、機密データアクセス支援端末Ｂ毎に、図３から図４の各ルーチンを実施して、各々の機密データＳＤを暗号化する。この結果、次のデータが得られる。

　図７は、複数の機密データアクセス支援端末Ｂ１、Ｂ２、・・・によって各々の機密データＳＤが暗号化された場合に、複数の機密データアクセス支援端末Ｂ１、Ｂ２、・・・及び機密データ管理装置Ａのそれぞれにおいて保存されたデータを示す概念図である。

　複数の機密データアクセス支援端末Ｂ１、Ｂ２、・・・は、それぞれが固有の秘密鍵ＰｒｉＫ_Ｂ１、ＰｒｉＫ_Ｂ２、・・・と、それらの各々に対応する公開鍵ＰｕｂＫ_Ｂ１、ＰｕｂＫ_Ｂ２、・・・を生成する。そして公開鍵ＰｕｂＫ_Ｂ１、ＰｕｂＫ_Ｂ２、・・・は、機密データ管理装置Ａに送信される。

　機密データ管理装置Ａは、受信した公開鍵ＰｕｂＫ_Ｂ１、ＰｕｂＫ_Ｂ２、・・・を用いて、それぞれに対応した暗号化機密データ保護コードＰｕｂＫ_Ｂ１［ＳＤＰＣ］、ＰｕｂＫ_Ｂ２［ＳＤＰＣ］、・・・及び、暗号化機密データＳｙｍＫ_１［ＳＤ］、ＳｙｍＫ_２［ＳＤ］、・・・を生成する。

　この結果、図７に示すように、機密データ管理装置Ａには、機密データアクセス支援端末Ｂ毎に、データ群（公開鍵ＰｕｂＫ_Ｂ、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］、暗号化機密データＳｙｍＫ［ＳＤ］）が保存される。複数の機密データアクセス支援端末Ｂは、万一いずれかを紛失した場合に予備の機密データアクセス支援端末Ｂとして用いられる他、そのうちの少なくとも１つを、機密データ管理システム１（図１）を管理する管理者に預けてもよい。この場合、管理者に預けられた機密データアクセス支援端末Ｂは、緊急時に使用される「管理端末」となる。

　ユーザは、例えば自身が保有し日常的に使用する機密データアクセス支援端末Ｂを紛失した場合、通常は、上述したプロセス１を実行できないため、機密データＳＤを復元できない。しかし、予め複数の機密データアクセス支援端末Ｂを準備しておくことで、自身が保有する他の機密データアクセス支援端末Ｂが残っていれば、それを用いてプロセス１を実行することができ、機密データＳＤを復元して利用することができる。

　さらにユーザは、そのうちの１つを管理端末として管理者に預けることで、手元に予備の機密データアクセス支援端末Ｂがなかったとしても、当該管理者を通じてプロセス１を実行することができる。その具体的な方法については後述する。

　なお、後述する第２及び第３実施形態においても同様に、機密データ管理装置Ａは、複数の機密データアクセス支援端末Ｂを使用することができる。この場合も、機密データ管理装置Ａには、機密データアクセス支援端末Ｂ毎に、データ群（暗号化された機密データ保護コードＳＤＰＣ、暗号化機密データＳｙｍＫ［ＳＤ］など）が保存される。

　ところで本実施形態では、機密データ管理装置Ａにおける共通鍵ＳｙｍＫの生成時（例えば図４のステップＳ２２）において、機密データ保護コードＳＤＰＣは、以下に示すように、鍵導出関数（ＫｅｙＤｅｆＦｕｎｃ（））の入力値として使用される。
ＫｅｙＤｅｆＦｕｎｃ（ＳＤＰＣ）→ＳｙｍＫ

　当該入力値は、オリジナルの機密データ保護コードＳＤＰＣそのものではなく、オリジナルの機密データ保護コードＳＤＰＣと、機密データ管理装置Ａにおいて別途生成、保存された固有データ（例えばＰＩＮ（Ｐｅｒｓｏｎａｌ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ　Ｎｕｍｂｅｒ））と、を連結したものであってもよい。その場合、以下のような変形例が考えられる。
ＫｅｙＤｅｆＦｕｎｃ（ＳＤＰＣ＋ＰＩＮ）→　ＳｙｍＫ

　この時、ＰＩＮは、機密データアクセス支援端末Ｂには認識されない。このため、機密データアクセス支援端末Ｂが管理端末として管理者に預けられ、仮に管理者が鍵導出関数の具体的な内容を知っていたとしても、管理者は、機密データ保護コードＳＤＰＣ単体だけでは共通鍵ＳｙｍＫを生成できない。よって、この変形例は、緊急時に管理端末を使用する場合に、対管理者も含めた機密データの安全性を向上させるのに、特に有効である。この変形例は、すべての実施形態に適用可能である。

［第２実施形態］
　つぎに、第２の実施形態について説明する。なお、上述した実施形態と同一の部位については同一の符号を付し、重複する説明は省略する。

　第１実施形態の復号処理において、機密データ保護コードＳＤＰＣのデータ長は、その定義上短い。これに対し、通常のＥＣＩＥＳ２２４またはＲＳＡ２０４８を用いた場合、公開鍵ＰｕｂＫ_Ｂを使用して生成された暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］のデータ長は、それぞれ１００８ビットまたは２０４８ビット（Ｂａｓｅ６４変換の１６８文字または３４４文字に相当）となるが、これは暗号化された機密データＳＤの復号処理の際に手動で入力するには長すぎる。

　そこで、第２実施形態では、当該復号処理の際の機密データアクセス支援端末Ｂへの入力データが手動で入力するのに十分な程度に短いものになるよう、機密データＳＤの暗号化処理の段階で、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の大部分である部分データを予め機密データアクセス支援端末Ｂへ送信しておくことにする。これにより、当該復号処理において、機密データアクセス支援端末Ｂへ入力すべきデータ長が短くなることから、データ通信だけでなく手動操作でも容易に当該復号処理を実施することができる。

　図８は、第２実施形態における機密データＳＤの暗号化サブルーチンを示すフローチャートである。すなわち、第２実施形態では、機密データ管理装置Ａは、図４に示すサブルーチンの代わりに、図８に示すサブルーチンを実行する。なお、図８のサブルーチンは、図４のサブルーチンとほぼ同様に構成されているが、図４のステップＳ２５とステップＳ２６との間にステップＳ２５－１を追加し、さらにステップＳ５０を追加したものである。

　ステップＳ２５－１では、機密データ管理装置Ａは、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の大部分である部分データを機密データアクセス支援端末Ｂへ送信し、その後、送信済みの部分データを暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］から削除する。これにより、機密データ管理装置Ａには、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］のうち、当該部分データが削除された後のデータ（以下、残りデータという）が保存される。当該残りデータは、例えば２５６バイト以下であればよい。なお、残りデータは、１６バイトが最も好ましい。

　ステップＳ５０では、機密データアクセス支援端末Ｂは、機密データ管理装置Ａから送信された暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の部分データを受信して保存する。

　図９は、図３及び図８で示した機密データＳＤの暗号化後に、機密データアクセス支援端末Ｂ及び機密データ管理装置Ａのそれぞれにおいて保存されたデータを示す概念図である。
　機密データＳＤの暗号化後、機密データアクセス支援端末Ｂには、秘密鍵ＰｒｉＫ_Ｂに加えて、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の部分データが保存される。一方、機密データ管理装置Ａには、公開鍵ＰｕｂＫ_Ｂ、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータ、及び暗号化機密データＳｙｍＫ［ＳＤ］が保存される。

　図１０は、第２実施形態における機密データＳＤの復号ルーチンを示すフローチャートである。第２実施形態では、機密データアクセス支援端末Ｂは、図６のステップＳ３１～Ｓ３４の代わりに、図１０のステップＳ３１－１～Ｓ３４を実行する。ここで、図１０のステップＳ３１－１～Ｓ３４は、図６のステップＳ３１～Ｓ３４とほぼ同様に構成されているが、図６のステップＳ３１の代わりに、図１０のステップＳ３１－１，Ｓ３１－２を追加したものである。

　機密データ管理装置Ａは、図６のステップＳ４１～Ｓ４８ルーチンの代わりに、図１０のステップＳ４１－１～Ｓ４８－１を実行する。図１０のステップＳ４１－１～Ｓ４８－１は、図６のステップＳ４１～Ｓ４８とほぼ同様に構成されているが、図６のステップＳ４１，Ｓ４８の代わりに、図１０のステップＳ４１－１，Ｓ４８－１をそれぞれ追加したものである。

　ステップＳ３１－１では、機密データアクセス支援端末Ｂは、機密データ管理装置Ａから送信された暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータを受信　する。当該残りデータは、詳しくは後述するステップＳ４１－１において、機密データ管理装置Ａから送信されたものである。

　ステップＳ３１－２では、機密データアクセス支援端末Ｂは、自身が保存する暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の部分データと、機密データ管理装置Ａから送信された残りデータと、を結合することで、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］を再構築する。

　その後、機密データアクセス支援端末Ｂは、第１実施形態と同様に、ユーザ認証（ステップＳ３２）の後、秘密鍵ＰｒｉＫ_Ｂを用いて暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］を復号する（ステップＳ３３）。その結果、機密データ保護コードＳＤＰＣが生成される。そして、機密データアクセス支援端末Ｂは、機密データ保護コードＳＤＰＣを機密データ管理装置Ａへ送信する（ステップＳ３４）。

　一方、機密データ管理装置Ａは、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］のうち、送信済みの部分データが欠落した残りデータを用いて次の処理を実行する。

　ステップＳ４１－１では、機密データ管理装置Ａは、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータを機密データアクセス支援端末Ｂへ送信する。その後、機密データアクセス支援端末Ｂは、上述した図１０のステップＳ３１－１～Ｓ３４を実行して、機密データ保護コードＳＤＰＣを機密データ管理装置Ａへ送信する。

　そして、機密データ管理装置Ａは、機密データアクセス支援端末Ｂから送信された機密データ保護コードＳＤＰＣを受信すると（ステップＳ４２）、第１実施形態と同様の処理（ステップＳ４４～ステップＳ４７）を実行した後、再び機密データＳＤを暗号化する（ステップＳ４８－１）。
　ステップＳ４８－１では、機密データ管理装置Ａは、上述した図８のサブルーチンを実行する。

　以上のように、第２実施形態の機密データ管理装置Ａは、機密データＳＤの暗号化処理の段階で、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の大部分である部分データを予め機密データアクセス支援端末Ｂに送信する。

　そして、機密データ管理装置Ａは、機密データＳＤの復号処理の段階では、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータを機密データアクセス支援端末Ｂへ送信する。このデータの送信は、暗号化機密データ保護コードＰｕｂＫ_Ｂの大部分である部分データを送信した後の残りデータが対象となるため、手動操作でも容易に実現することができる。

　このように、ユーザは、例えば機密データＳＤにアクセスしたいもののネットワークが利用できない緊急の場合であっても、機密データ管理装置Ａの表示部１０６に暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータが表示されたならば、その残りデータを機密データアクセス支援端末Ｂの入力部１０１を通じて手動操作で直接入力し、機密データ保護コードＳＤＰＣを取得することで、機密データＳＤを利用することができる。

　また、第２実施形態は、もう１つの機密データアクセス支援端末Ｂを管理端末として追加した場合でも適用可能である。暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータと機密データ保護コードＳＤＰＣのいずれのデータ長も、上述したように、手動操作で入力できるほど短い。よって、機密データＳＤの復号処理において、管理端末（機密データアクセス支援端末Ｂ）と機密データ管理装置Ａとの双方向のデータの送受信は、例えば、次のように行われる。

　最初に、ユーザは、機密データ管理装置Ａの表示部１０６に表示された暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータを、管理者に口頭で通知する。そして、管理者は、手動操作によって、ユーザから聞いた暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータを管理端末に入力し、機密データ保護コードＳＤＰＣを取得する。

　つぎに、管理者は、取得した機密データ保護コードＳＤＰＣを、ユーザに口頭で通知する。最後に、ユーザは、手動操作によって、管理者から聞いた機密データ保護コードＳＤＰＣを機密データ管理装置Ａに入力する。

　さらに、機密データ管理装置Ａは、例えば管理端末に対しては、図８のステップＳ２５－１において、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の部分データではなく、その全部を送信してもよい。この場合、機密データ管理装置Ａは、機密データＳＤの復号処理の段階において、管理端末に対して、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータを送信する必要がない（図１０のステップＳ４１－１が不要）。
一方、管理端末は、図１０のステップＳ３１－１，Ｓ３１－２を省略して、ユーザ認証後に、直ちに、機密データ保護コードＳＤＰＣを得ることが可能になる。

　このような場合、ユーザが、自身が保有し日常的に使用する機密データアクセス支援端末Ｂを紛失したとしても、管理端末を預けた管理者に対して電話などで連絡することができれば、当該管理者から機密データ保護コードＳＤＰＣを直接聞き出すことで、機密データＳＤへのアクセスが可能になる。具体的には、次の通りである。

　管理者は、機密データアクセス支援端末Ｂを紛失したユーザからの連絡を受けた場合、最初に、ユーザの正当性（ユーザが機密データアクセス支援端末Ｂの正当な所有者であるか）を確認する。正当性の確認方法は特に限定されず、例えば口頭による本人確認でもよい。管理者は、ユーザの正当性を確認した後、つぎに、自身に預けられた管理端末を用いて機密データ保護コードＳＤＰＣを得て、最後に、当該機密データ保護コードＳＤＰＣをユーザに口頭で伝える。この結果、ユーザは、管理者から伝えられた機密データ保護コードＳＤＰＣを機密データ管理装置Ａに手動操作で入力すれば、機密データＳＤを復元して利用することができる。

［第３実施形態］
　つぎに、第３の実施形態について説明する。なお、上述した実施形態と同一の部位については同一の符号を付し、重複する説明は省略する。第３実施形態では、楕円曲線ディフィー・ヘルマン（Ｅｌｌｉｐｔｉｃ　ｃｕｒｖｅ　Ｄｉｆｆｉｅ－Ｈｅｌｌｍａｎ：ＥＣＤＨ）鍵共有が使用される。ＥＣＤＨ鍵共有は、楕円曲線を使ったディフィー・ヘルマン（Ｄｉｆｆｉｅ－Ｈｅｌｌｍａｎ：ＤＨ）鍵共有である。

　以下、簡単のため、楕円曲線を使わない一般的なＤＨ鍵共有について説明する。
　ＤＨ鍵共有では、お互いに予備知識のない２人の当事者（例えば、アリスとボブ）が、安全でないチャネルを介して、共通鍵を共有することができる。この共通鍵は、後続の通信を暗号化するために使用される。ＤＨ鍵共有の具体例を以下に示す。

１．アリスが、２つの素数ｇとｐを選び、それらが何であるかをボブに伝える。
２．ボブは、秘密の数ａを選ぶが、誰にも公開しない。
　　ボブは、Ａ（＝ｇ^ａ　ｍｏｄ　ｐ）を計算し、その計算結果Ａをアリスに送信する。
３．アリスは、秘密の数ｂを選ぶが、誰にも公開しない。
　アリスは　Ｂ（＝ｇ^ｂ　ｍｏｄ　ｐ）を計算し，その計算結果Ｂをボブに送信する。
４．ボブは、計算結果Ｂを用いて、Ｂ^ａ　ｍｏｄ　ｐを計算する。
５．アリスは、計算結果Ａを用いて、Ａ^ｂ　ｍｏｄ　ｐを計算する。

　ステップ４の計算結果とステップ５の計算結果は、同じ値になり、当該当事者で共有される共通鍵となる。その理由は、次の２つの式が成立するからである。
（ｇ^ａ　ｍｏｄ　ｐ）^ｂ　ｍｏｄ　ｐ　＝　ｇ^ａｂ　ｍｏｄ　ｐ
（ｇ^ｂ　ｍｏｄ　ｐ）^ａ　ｍｏｄ　ｐ　＝　ｇ^ｂａ　ｍｏｄ　ｐ

　さて、本実施形態では、機密データアクセス支援端末Ｂ及び機密データ管理装置Ａは、ＥＣＤＨ鍵交換における所定の楕円曲線（例えば、楕円曲線を定義する式、基点Ｇ、その位数ｎなどのパラメータ）を予め共有する。機密データアクセス支援端末Ｂ及び機密データ管理装置Ａは、共有された楕円曲線に基づいて、それぞれが秘密鍵ＰｒｉＫ及びそれに対応する公開鍵ＰｕｂＫを生成する。

　図１１は、第３実施形態における機密データＳＤの初期暗号化ルーチンを示すフローチャートである。第３実施形態では、機密データアクセス支援端末Ｂは、図３のステップＳ１～Ｓ２の代わりに図１１のステップＳ６１～Ｓ６３を実行する。また、機密データ管理装置Ａは、図３のステップＳ１１～Ｓ１４の代わりに図１１のステップＳ７１～Ｓ７６を実行する。

　ステップＳ６１では、機密データアクセス支援端末Ｂは、機密データ管理装置Ａと共有された楕円曲線に基づいて、秘密鍵ＰｒｉＫ_Ｂ及びそれに対応する公開鍵ＰｕｂＫ_Ｂを生成する。ここで、秘密鍵ＰｒｉＫ_Ｂは、［１，ｎ－１］の中からランダムに選択された整数である。公開鍵ＰｕｂＫ_Ｂは、次の式に基づいて生成される。
　　　ＰｕｂＫ_Ｂ＝ＰｒｉＫ_Ｂ・Ｇ

　ステップＳ６２では、機密データアクセス支援端末Ｂは、機密データ管理装置Ａと公開鍵ＰｕｂＫを交換する。なお、ステップＳ６２は、詳しくは後述するステップＳ７２と同時に行われる。具体的には、機密データアクセス支援端末Ｂは、ステップＳ６１で生成された公開鍵ＰｕｂＫ_Ｂを機密データ管理装置Ａへ送信し、機密データ管理装置Ａから公開鍵ＰｕｂＫ_Ａを受信する。ここで公開鍵ＰｕｂＫ_Ａは、詳しくは後述するステップＳ７１で生成されたものである。

　すなわち、上述したステップＳ６１及びＳ６２においては、機密データアクセス支援端末Ｂは、選択した秘密鍵ＰｒｉＫ_Ｂ（上述の例でアリスが選んだ秘密の数ａに相当）と、予め機密データ管理装置Ａと共有した基点Ｇ（上述の例でアリスが選んだ素数 g に相当）から公開鍵ＰｕｂＫ_Ｂを計算し、機密データ管理装置Ａとの間で、互いの公開鍵ＰｕｂＫを交換（送受信）する。

　ステップＳ６３では、機密データアクセス支援端末Ｂは、機密データ保護コードＳＤＰＣを暗号化するための共通鍵ＳｙｍＫ_ｃを、次の式に基づいて生成する。
　　　ＳｙｍＫ_ｃ＝ＰｒｉＫ_Ｂ・ＰｕｂＫ_Ａ
　但し、共通鍵ＳｙｍＫ_ｃは、機密データアクセス支援端末Ｂの秘密鍵ＰｒｉＫ_Ｂと、後述する機密データ管理装置Ａの公開鍵ＰｕｂＫ_Ａとの関係から、以下の条件を満たす。
　　　ＳｙｍＫ_ｃ＝ＰｒｉＫ_Ｂ・ＰｕｂＫ_Ａ
　　　　　　　＝ＰｒｉＫ_Ａ・ＰｒｉＫ_Ｂ・Ｇ

　ステップＳ７１では、機密データ管理装置Ａは、機密データアクセス支援端末Ｂと共有された楕円曲線に基づいて、秘密鍵ＰｒｉＫ_Ａ及びそれに対応する公開鍵ＰｕｂＫ_Ａを生成する。ここで、秘密鍵ＰｒｉＫ_Ａは、［１，ｎ－１］の中からランダムに選択された整数である。公開鍵ＰｕｂＫ_Ａは、次の式に基づいて生成される。
　　　ＰｕｂＫ_Ａ＝ＰｒｉＫ_Ａ・Ｇ

　ステップＳ７２では、機密データ管理装置Ａは、機密データアクセス支援端末Ｂと公開鍵ＰｕｂＫを交換する。具体的には、機密データ管理装置Ａは、ステップＳ７１で生成された公開鍵ＰｕｂＫ_Ａを機密データアクセス支援端末Ｂへ送信し、機密データアクセス支援端末Ｂから公開鍵ＰｕｂＫ_Ｂを受信する。

　ステップＳ７３では、機密データ管理装置Ａは、機密データ保護コードＳＤＰＣを暗号化するための共通鍵ＳｙｍＫ_ｃを、次の式に基づいて生成する。
　　　ＳｙｍＫ_ｃ＝ＰｒｉＫ_Ａ・ＰｕｂＫ_Ｂ
　但し、共通鍵ＳｙｍＫ_ｃは、機密データ管理装置Ａの秘密鍵ＰｒｉＫ_Ａと、先述した機密データアクセス支援端末Ｂの公開鍵ＰｕｂＫ_Ｂとの関係から、以下の条件を満たす。
　　　ＳｙｍＫ_ｃ＝ＰｒｉＫ_Ａ・ＰｕｂＫ_Ｂ
　　　　　　　＝ＰｒｉＫ_Ａ・ＰｒｉＫ_Ｂ・Ｇ
　ステップＳ６３及びステップＳ７３の結果、機密データアクセス支援端末Ｂ及び機密データ管理装置Ａは、それぞれが同一の共通鍵ＳｙｍＫ_ｃを得る。

　ステップＳ７４では、機密データ管理装置Ａは、例えばパスワードなどの機密データＳＤを準備する。なお、機密データＳＤは、外部装置から送信されたものでもよいし、予め機密データ管理装置Ａ内に保存されていたものでもよい。

　ステップＳ７５では、機密データ管理装置Ａは、機密データＳＤを暗号化する。なお、ステップＳ７５の詳細は後述する。

　ステップＳ７６では、機密データ管理装置Ａは、機密データＳＤを削除する。これにより、機密データ管理装置Ａには、機密データＳＤは存在しておらず、暗号化された機密データＳＤのみが記憶されている。

　図１２は、第３実施形態における機密データＳＤの暗号化サブルーチンを示すフローチャートである。
ステップＳ７５において、機密データ管理装置Ａは、図４のサブルーチンの代わりに、図１２のサブルーチンを実行する。なお、図１２のサブルーチンは、図４のサブルーチンとほぼ同様に構成されているが、図４のステップＳ２５の代わりに、図１２のステップＳ２５－２を追加したものである。

　ステップＳ２５－２では、機密データ管理装置Ａは、図１１のステップＳ７３で生成された共通鍵ＳｙｍＫ_ｃを用いて、ステップＳ２１で生成された機密データ保護コードＳＤＰＣを暗号化して、暗号化機密データ保護コードＳｙｍＫ_ｃ［ＳＤＰＣ］を生成する。そして、機密データ管理装置Ａは、ステップＳ２１で生成された機密データ保護コードＳＤＰＣを削除する（ステップＳ２６）。

　図１３は、図１１及び図１２で示した機密データＳＤの暗号化後に、機密データアクセス支援端末Ｂ及び機密データ管理装置Ａのそれぞれにおいて保存されたデータを示す概念図である。

　機密データＳＤの暗号化後、機密データアクセス支援端末Ｂには、機密データ管理装置Ａの公開鍵ＰｕｂＫ_Ａ、自身の秘密鍵ＰｒｉＫ_Ｂ、及び共通鍵ＳｙｍＫ_ｃが保存される。一方、機密データ管理装置Ａには、機密データアクセス支援端末Ｂの公開鍵ＰｕｂＫ_Ｂ、自身の秘密鍵ＰｒｉＫ_Ａ、共通鍵ＳｙｍＫ_ｃ、暗号化機密データ保護コードＳｙｍＫ_ｃ［ＳＤＰＣ］、及び暗号化機密データＳｙｍＫ［ＳＤ］が保存される。

　図１４は、第３実施形態における機密データＳＤの復号ルーチンを示すフローチャートである。図１４のステップＳ３１－３～Ｓ３４は、図６のステップＳ３１～Ｓ３４とほぼ同様に構成されているが、図６のステップＳ３１，Ｓ３３の代わりに、図１４のステップＳ３１－３，Ｓ３３－１をそれぞれ追加したものである。

　図１４のステップＳ４１－２～Ｓ４８－２は、図６のステップＳ４１～Ｓ４８とほぼ同様に構成されているが、図６のステップＳ４１，Ｓ４７，Ｓ４８の代わりに、図１４のステップＳ４１－２，Ｓ４７－１，Ｓ４８－２をそれぞれ追加し、さらに、図６のステップＳ４４の後に図１４のステップＳ４４－１を追加したものである。

　ステップＳ３１－３では、機密データアクセス支援端末Ｂは、機密データ管理装置Ａから送信された暗号化機密データ保護コードＳｙｍＫ_ｃ［ＳＤＰＣ］を受信する。暗号化機密データ保護コードＳｙｍＫ_ｃ［ＳＤＰＣ］は、後述するステップＳ４１－２において、機密データ管理装置Ａから送信されるものである。
　ステップＳ３２では、機密データアクセス支援端末Ｂは、ユーザの認証を行う。

　ステップＳ３３－１では、機密データアクセス支援端末Ｂは、図１１のステップＳ６３で生成された共通鍵ＳｙｍＫ_ｃを用いて、機密データ管理装置Ａから送信された暗号化機密データ保護コードＳｙｍＫ_ｃ［ＳＤＰＣ］を復号して、機密データ保護コードＳＤＰＣを得る。

　一方、ステップＳ４１－２では、機密データ管理装置Ａは、内部に保存されている暗号化機密データ保護コードＳｙｍＫ_ｃ［ＳＤＰＣ］を読み出して、それを機密データアクセス支援端末Ｂへ送信する。その後、機密データアクセス支援端末Ｂは、上述したステップＳ３１－３～Ｓ３４の処理を実行して、機密データ保護コードＳＤＰＣを機密データ管理装置Ａへ送信する。

　そして、機密データ管理装置Ａは、機密データアクセス支援端末Ｂから送信された機密データ保護コードＳＤＰＣを受信すると（図１４のステップＳ４２）、第１実施形態と同様にステップＳ４３～Ｓ４４を実行する。

　ステップＳ４４－１では、機密データ管理装置Ａは、暗号化機密データＳｙｍＫ［ＳＤ］の復号が成功したか（機密データＳＤが復元されたか）否かを判定する。復号が成功した場合は、機密データ管理装置Ａは、機密データＳＤが利用し、そして、後述するステップＳ４７－１及びステップＳ４８－２の処理の終了を確認後、当該機密データＳＤを削除する（ステップＳ４５～Ｓ４６）。復号が成功しなかった場合は、本ルーチンが終了する。

　ステップＳ４７－１では、機密データ管理装置Ａは、暗号化機密データ保護コードＳｙｍＫ_Ｃ［ＳＤＰＣ］及び暗号化機密データＳｙｍＫ［ＳＤ］を削除する。
　ステップＳ４８－２では、機密データ管理装置Ａは、図１２のサブルーチンを実行して、再び機密データＳＤを暗号化する。

　以上のように、第３実施形態では、機密データアクセス支援端末Ｂ及び機密データ管理装置Ａは、互いに共有された楕円曲線に基づく公開鍵ＰｕｂＫを交換して、それぞれが機密データ保護コードＳＤＰＣの暗号化・復号のための共通鍵ＳｙｍＫ_Ｃを生成する。このため、次の効果が得られる。

　機密データアクセス支援端末Ｂ及び機密データ管理装置Ａは、それぞれが生成した共通鍵ＳｙｍＫ_Ｃを用いて、それぞれの内部において、機密データ保護コードＳＤＰＣの暗号化及び復号を行うことが可能になる。

　すなわち、本実施形態では、機密データ保護コードＳＤＰＣを暗号化及び復号するための共通鍵ＳｙｍＫ_Ｃが機密データ管理装置Ａ内に保存されていることから、暗号化機密データ保護コードＳｙｍＫ_Ｃ［ＳＤＰＣ］は、理論上は、機密データアクセス支援端末Ｂが存在しなくとも、機密データ管理装置Ａだけで復号可能である。

　しかし、本実施形態では、いわゆる「チャレンジ＆レスポンス」認証を実現するために、機密データ管理装置Ａと機密データアクセス支援端末Ｂの間で、次の（ａ）～（ｃ）の処理が実施される。

（ａ）機密データ管理装置Ａは、機密データアクセス支援端末Ｂへ、暗号化機密データ保護コードＳｙｍＫ_Ｃ［ＳＤＰＣ］を送信する。
（ｂ）機密データアクセス支援端末Ｂは、暗号化機密データ保護コードＳｙｍＫ_Ｃ［ＳＤＰＣ］を復号して得られた機密データ保護コードＳＤＰＣを、機密データ管理装置Ａに返信する。
（ｃ）機密データ管理装置Ａは、機密データアクセス支援端末Ｂから返信された機密データ保護コードＳＤＰＣを用いて共通鍵ＳｙｍＫを再生成の上、暗号化機密データＳｙｍＫ［ＳＤ］を復号して、機密データＳＤを得る。

　この結果、正規の機密データアクセス支援端末Ｂを所有するユーザのみが、正しい機密データ保護コードＳＤＰＣを機密データ管理装置Ａへ返信し、機密データ管理装置Ａに暗号化機密データＳｙｍＫ［ＳＤ］を復号させ、機密データＳＤを得ることに成功する。したがって、最終的には、第３実施形態では、上述した他の実施形態と同じ効果が得られる。

　ところで、暗号化機密データ保護コードＳｙｍＫ_Ｃ［ＳＤＰＣ］のデータ長は、機密データ保護コードＳＤＰＣのデータ長と同様、手動で入力するのに十分な程度に短い。このため、機密データアクセス支援端末Ｂが管理端末の場合、機密データＳＤの復号において、緊急時には、上述した実施形態と同様、機密データ管理装置Ａと管理端末との間の送受信を手動操作で行うことが可能である。

　さらに、本実施形態では、機密データＳＤの暗号化の段階（図１２）において、機密データ管理装置Ａから機密データアクセス支援端末Ｂへのデータ送信は不要である。

　これに対して、第２実施形態の場合、その機密データＳＤの復号において、緊急時に暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の残りデータを手動で入力できるようにするためには、機密データＳＤの暗号化の段階（図８）において送信される、暗号化機密データ保護コードＰｕｂＫ_Ｂ［ＳＤＰＣ］の部分データのデータ長を十分に長くする必要がある。しかし、その場合、当該部分データを手動で入力するのは甚だ困難になる。この点において、本実施形態は、上述した第２実施形態よりも優れている。

Ａ　機密データ管理装置
Ｂ　機密データアクセス支援端末
１００　コンピュータ
１０１　入力部
１０２　ＣＰＵ
１０６　表示部
１０７　通信部

Claims

　所定のデータ長の機密データ保護コードを生成する機密データ保護コード生成部と、
　前記機密データ保護コードを入力とする鍵導出関数を用いて、共通鍵を生成する共通鍵生成部と、
　前記共通鍵を用いて、機密データを暗号化する機密データ暗号化部と、
　機密データアクセス支援端末から提供された公開鍵を用いて、前記機密データ保護コードを暗号化する機密データ保護コード暗号化部と、
　前記機密データの暗号化後に前記共通鍵及び前記機密データを削除し、前記機密データ保護コードの暗号化後に前記機密データ保護コードを削除する削除部と、
　を備えた機密データ管理装置。
　復号開始の操作が行われた後に、前記機密データアクセス支援端末へ前記暗号化された機密データ保護コードを送信する送信部と、
　前記機密データアクセス支援端末から、前記暗号化された機密データ保護コードから復号された機密データ保護コードを受信する受信部と、
　前記暗号化された機密データを復号する機密データ復号部と、を更に備え、
　前記共通鍵生成部は、前記受信部により受信された前記機密データ保護コードを入力とする前記鍵導出関数を用いて、前記機密データ復号部で使用される共通鍵を生成し、
　前記機密データ復号部は、前記共通鍵生成部により生成された前記共通鍵を用いて、前記暗号化された機密データを復号する
　請求項１に記載の機密データ管理装置。
　前記共通鍵生成部は、前記機密データ保護コードと自身が保有する固有情報と、を組み合わせた情報を入力とする前記鍵導出関数を用いて、前記共通鍵を生成する
　請求項２に記載の機密データ管理装置。
　前記送信部は、前記機密データアクセス支援端末へ、前記機密データ保護コードの暗号化の後に、前記暗号化された機密データ保護コードの一部を送信し、前記復号開始の操作が行われた後に、前記暗号化された機密データ保護コードの残りを送信し、
前記受信部は、前記機密データアクセス支援端末から、前記暗号化された機密データ保護コードの前記一部及び前記残りから復号された機密データ保護コードを受信する
　請求項２又は請求項３に記載の機密データ管理装置。
　前記送信部は、前記機密データアクセス支援端末へ、前記機密データ保護コードの暗号化の後に、前記暗号化された機密データ保護コードの全部を送信し、
　前記受信部は、前記復号開始の操作が行われた後に、前記機密データアクセス支援端末から、前記暗号化された機密データ保護コードの前記全部から復号された機密データ保護コードを受信する、
　請求項２又は請求項３に記載の機密データ管理装置。
　前記機密データ保護コード生成部は、前記機密データ復号部により復号された機密データがユーザにアクセスされた後に、新たに機密データ保護コードを生成し、
　前記共通鍵生成部は、前記新たに生成された機密データ保護コード、又は前記新たに生成された機密データ保護コードと前記自身が保有する固有情報とを組み合わせた情報を入力とする前記鍵導出関数を用いて、新たな共通鍵を生成し、
　前記機密データ暗号化部は、前記新たな共通鍵を用いて、前記復号された機密データを再び暗号化し、
　前記機密データ保護コード暗号化部は、前記公開鍵を用いて、前記新たに生成された機密データ保護コードを再び暗号化し、
　前記削除部は、前記機密データの再暗号化後に前記新たな共通鍵及び前記機密データを削除し、前記新たな機密データ保護コードの再暗号化後に前記新たな機密データ保護コードを削除する
　請求項２から請求項５のいずれか１項に記載の機密データ管理装置
　所定のデータ長の機密データ保護コードを生成する機密データ保護コード生成部と、
　前記機密データ保護コードを入力とする鍵導出関数を用いて、第１の共通鍵を生成する第１の共通鍵生成部と、
　前記第１の共通鍵を用いて、機密データを暗号化する機密データ暗号化部と、
　機密データアクセス支援端末と事前に交換された所定の情報を用いて、第２の共通鍵を生成する第２の共通鍵生成部と、
　前記第２の共通鍵を用いて、前記機密データ保護コードを暗号化する機密データ保護コード暗号化部と、
　前記機密データの暗号化後に前記第１の共通鍵及び前記機密データを削除し、前記機密データ保護コードの暗号化後に前記機密データ保護コードを削除する削除部と、
　を備えた機密データ管理装置。
　復号開始の操作が行われた後に、前記機密データアクセス支援端末へ前記暗号化された機密データ保護コードを送信する送信部と、
　前記機密データアクセス支援端末から、前記暗号化された機密データ保護コードから復号された機密データ保護コードを受信する受信部と、
　前記暗号化された機密データを復号する機密データ復号部と、を更に備え、
　前記第１の共通鍵生成部は、前記受信部により受信された前記機密データ保護コードを入力とする前記鍵導出関数を用いて、前記機密データ復号部で使用される第１の共通鍵を生成し、
　前記機密データ復号部は、前記第１の共通鍵生成部により生成された前記第１の共通鍵を用いて、前記暗号化された機密データを復号する
　請求項７に記載の機密データ管理装置。
　前記第１の共通鍵生成部は、前記機密データ保護コードと自身が保有する固有情報と、を組み合わせた情報を入力とする前記鍵導出関数を用いて、前記第１の共通鍵を生成する
　請求項８に記載の機密データ管理装置。
前記機密データ復号部による前記暗号化された機密データの復号の成功あるいは失敗を判定する判定部を更に有し、
前記機密データ保護コード生成部は、前記判定部による判定が成功の場合、前記機密データ復号部により復号された機密データがユーザにアクセスされた後に、新たに機密データ保護コードを生成し、
　前記第１の共通鍵生成部は、前記新たに生成された機密データ保護コード、又は前記新たに生成された機密データ保護コードと前記自身が保有する固有情報とを組み合わせた情報を入力とする前記鍵導出関数を用いて、新たな第１の共通鍵を生成し、
　前記機密データ暗号化部は、前記新たな第１の共通鍵を用いて、前記復号された機密データを再び暗号化し、
　前記機密データ保護コード暗号化部は、前記第２の共通鍵を用いて、前記新たに生成された機密データ保護コードを再び暗号化し、
　前記削除部は、前記機密データの再暗号化後に前記新たな第１の共通鍵及び前記機密データを削除し、前記新たな機密データ保護コードの再暗号化後に前記新たな機密データ保護コードを削除する
　請求項７から請求項９のいずれか１項に記載の機密データ管理装置。
　前記機密データアクセス支援端末が複数設けられている
請求項１から請求項１０のいずれか１項に記載の機密データ管理装置。
　コンピュータを請求項１から請求項１１のいずれか１項に記載の機密データ管理装置の各部として機能させるためのプログラム。
請求項１２に記載のプログラムが記録された記録媒体。