WO2023243212A1

WO2023243212A1 - 情報処理装置

Info

Publication number: WO2023243212A1
Application number: PCT/JP2023/015322
Authority: WO
Inventors: 恒太井手口; 克哉山内; 幹雄片岡; 康広藤井; 伸義森田
Original assignee: 日立Astemo株式会社
Priority date: 2022-06-14
Filing date: 2023-04-17
Publication date: 2023-12-21
Also published as: JP2023182388A

Abstract

プログラムの演算処理を行う演算部と、第一制御プログラムと、第一制御プログラムの署名検証を実行する第一起動プログラムと、を記憶する記憶部と、を有し、第一起動プログラムは、複数の署名検証方式を実行可能であり、該複数の署名検証方式から第一制御プログラムの署名種類に対応した署名検証方式を判定し、署名検証方式にて署名検証を実行した結果を取得する処理を実行することを特徴とする。

Description

情報処理装置

　本発明は情報処理装置に関し、特にセキュアブート時に制御プログラムの署名検証を行う情報処理装置に関する。

　自動車、家電、医療機器等に搭載される組み込みシステムでは、攻撃者によって、不正にソフトウェアやファームウェアが書き換えられた場合、甚大な被害に繋がることが懸念されている。このような脅威への対策として、ＥＣＵ起動時に、改ざんされていないプログラムのみを起動できるセキュアブート技術が検討されている。

　セキュアブートの一手法として、特許文献１では、クライアント装置の起動時に、サーバー装置から得られる情報に基づいて実行対象プログラムの正当性を検証してから、そのプログラムを実行する技術が開示されている。

特開２０１１－００３０２０号公報

　通常、セキュアブート時に使用されるプログラム検証用の暗号アルゴリズムはＥＣＵ毎に固定されている。従って、将来的に量子計算機の技術進展等によって暗号解読技術が進化して暗号アルゴリズムが危殆化してしまうと、セキュアブートそのものが脆弱となり、セキュリティ上非常に大きな問題となる。

　特許文献１の技術によれば、通常ブート用プログラムと暗号化ＯＳでは異なる暗号アルゴリズムを用いており、その時点で高速な暗号アルゴリズムを選択すればよいことが示唆されていることから、複数の検証方式を備えているといえるが、起動用の通常ブート用プログラムは１つであり、やはりこれが危殆化するとセキュリティ上大きな問題となる。

　本発明は、以上の問題に鑑みなされたものであり、セキュアブート用の暗号アルゴリズムが危殆化した場合に、別の暗号アルゴリズムに移行可能な情報処理装置を提供することを目的とする。

　本発明に係る情報処理装置の一例は、プログラムの演算処理を行う演算部と、第一制御プログラムと、第一制御プログラムの署名検証を実行する第一起動プログラムと、を記憶する記憶部と、を有し、第一起動プログラムは、複数の署名検証方式を実行可能であり、該複数の署名検証方式から第一制御プログラムの署名種類に対応した署名検証方式を判定し、該署名検証方式にて署名検証を実行した結果を取得する処理を実行する。

　本発明によれば、セキュアブート用の暗号アルゴリズムが危殆化した場合に、別の暗号アルゴリズムに容易に移行することにより、セキュリティ上の安全性を担保することが可能になる。
　本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。

本発明の一実施例に係る情報処理装置のハードウェア構成を示す図。ブートローダプログラム及び制御プログラムが格納されたＲＯＭの機能構成を示すブロック図。シングルバンク構成時の実施例に係るブートローダプログラムの処理フローを示す図。シングルバンク構成時の実施例に係るプログラム更新の処理フローを示す図。ダブルバンク構成時の実施例１に係るブートローダプログラムの処理フローを示す図。ダブルバンク構成時の実施例１に係るプログラム更新の処理フローを示す図。ダブルバンク構成時の実施例２に係るブートローダプログラムの処理フローを示す図。ダブルバンク構成時の実施例２に係るプログラム更新の処理フローを示す図。ダブルバンク構成時の実施例３に係るブートローダプログラムの処理フローを示す図。ダブルバンク構成時の実施例３に係るプログラム更新の処理フローを示す図。ダブルバンク構成時の実施例４に係るブートローダプログラムの処理フローを示す図。

　以下、本発明の実施形態について、実施例を用い、図面を参照しながら詳細に説明する。

　まず、本発明に係る情報処理装置１のハードウェア構成を説明する。情報処理装置１は、データの読み出しが可能な記憶装置であるＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１２、データの書き込みと読み出しの両方が可能であるＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１３、データを基に車両制御に必要なパラメータの演算を行うＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１、及び演算結果を通信用のプロトコルに変換して送信を行う通信モジュール１０を保有している。

　また、情報処理装置１は、たとえば車両に搭載され、車両を制御する装置である。ただし、情報処理装置１は車両に搭載されないものであってもよく、車両以外の対象を制御する装置であってもよい。

　情報処理装置１は、通信路２を介して更新プログラム管理サーバ３及びプログラム検証実行モジュール４と接続されている。通信路２は、物理的には複数の通信バスを含んでもよく、各通信バスの規格はすべて同一でもよいし異なっていてもよい。これら通信バスの規格はＣＡＮ（登録商標）、ＬＩＮ（登録商標）、ＦｌｅｘＲａｙ（登録商標）、イーサネット（登録商標）などである。

　更新プログラム管理サーバ３は、情報処理装置１からの要求に応じて、または制御プログラムの更新の必要性が生じた場合に、情報処理装置１に更新プログラムを送信する。プログラム検証実行モジュール４は、情報処理装置１内のブートローダプログラムからの要求に応じて、制御プログラムの署名検証を行い、その結果を情報処理装置１に送信する。プログラム検証実行モジュールは、例えば暗号処理および鍵管理デバイスが備えるべき特性を定義した、国際規格などの認定を取得しているデバイスであるＨＳＭ（ハードウェア暗号モジュール）により構成される。

　情報処理装置１は通信路２を通過したデータを受信する。すると、受信に応じて、受信データがＲＡＭ１３に展開される。そして、書き込まれたＲＡＭ１３のデータとＲＯＭ１２の読み出しデータを基に、ＣＰＵ１１が演算を行う。また、情報処理装置１には予めプログラムが組み込まれており、ＣＰＵ１１が当該プログラムを実行することによって以下の実施の形態で説明する処理を実行することが可能になる。

　図２は、本発明の実施例に係るＲＯＭ１２に格納されたプログラムの機能構成を示した機能ブロック図である。図２（ａ）はプログラム格納領域が１つのシングルバンク構成であり、図２（ｂ）はプログラム格納領域が２つのダブルバンク構成である。

　図２（ａ）に示すように、シングルバンク構成のＲＯＭ１２は、制御プログラム１２１及びブートローダプログラム１２２を有する。制御プログラム１２１は、情報処理装置１に搭載された機能を発揮させるためのプログラムであり、例えばＯＳ（Ｏｐｅｒａｔｉｏｎ　Ｓｙｓｔｅｍ）であるが、これに限定されない。ブートローダプログラム１２２は、情報処理装置１の起動時に制御プログラム１２１の署名検証を行い、制御プログラム１２１が改ざんされていないかどうか判定するセキュアブート処理を実行するためのプログラムである。

　シングルバンク構成のＲＯＭ１２に格納される制御プログラム１２１は、プログラム受信機能１２１ａ、プログラム展開機能１２１ｂ、及びリセット機能１２１ｃを有する。プログラム受信機能１２１ａによって更新プログラム管理サーバ３から更新プログラムを受信する。プログラム展開機能１２１ｂによって受信したプログラムをバンク０内に展開する。リセット機能１２１ｃによって、更新プログラムを受信・展開した後、プログラムを実行可能な状態にする。

　ブートローダプログラム１２２は、署名方式確認機能１２２ａ、署名検証機能１２２ｂ、プログラム制御機能１２２ｃ、及び暗号アルゴリズム記憶機能１２２ｄを有する。署名方式確認機能１２２ａによって、制御プログラム１２１の署名方式を確認できる。署名検証機能１２２ｂによって、制御プログラム１２１の署名検証を行うことができる。プログラム制御機能１２２ｃによって制御プログラム１２１の実行及び削除を行う。暗号アルゴリズム記憶機能１２２ｄによって、複数の暗号アルゴリズムを記憶することができる。

　なお、暗号アルゴリズムとしてはＡＥＳやトリプルＤＥＳなどの共通鍵暗号方式、ＲＳＡや楕円曲線暗号などの公開鍵暗号公式などいずれの手法であっても良い。また、本明細書においては署名検証を例として説明するが、ＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）検証に対しても本発明は好適に適用できる。

　図２（ｂ）は、ダブルバンク構成のＲＯＭ１２のプログラム構成を示している。ダブルバンク構成のＲＯＭ１２がシングルバンク構成のＲＯＭ１２と異なる点は、プログラムを格納する領域としてバンク０及びバンク１の２領域を有する点と、バンク切替・リセット機能１２１ｄを有する点である。バンク切替・リセット機能１２１ｄによって、バンク０とバンク１のどちらに格納されている制御プログラム１２１を実行するかを切り替える。シングルバンク構成とダブルバンク構成との処理や効果の違いの詳細については後述する。

〈シングルバンク構成時の実施例〉
　図３及び図４は、図２（ａ）に示すシングルバンク構成のＲＯＭ１２を採用した場合に行われる処理を説明するフローチャートである。なお、以下の説明では、ダブルバンク構成時も含めて、処理開始時にはバンク０に制御プログラムとして署名方式Ａのプログラム１が格納されていることを前提とする。

　まず、情報処理装置１を起動させた際に実行されるセキュアブート処理を示す図３について説明する。ステップＳ３０１において、ＣＰＵ１１からの指令によってバンク０のブートローダプログラム１２２を起動する。そして、ステップＳ３０２において、署名方式確認機能１２２ａによってプログラム１の署名方式を確認する。この署名方式の確認方法については既知の技術を採用可能であるため、説明を省略する。そして、ステップＳ３０３において、署名検証機能１２２ｂによって署名方式Ａをプログラム１に適用し、署名検証を行う。なお、この署名検証処理については、図１に示すプログラム検証実行モジュール４により実行されてその結果を受け取る方式でもよいし、ブートローダプログラム１２２自体が実行する方式でもよい。

　そして、ステップＳ３０４において、署名検証機能１２２ｂによって署名検証が成功したか判定される。署名検証が失敗した場合にはプログラム１が改ざんされた可能性があるとして処理を終了する。署名検証が成功した場合には、ステップＳ３０５において、プログラム制御機能１２２ｃによってプログラム１の実行を開始する。

　上記のように、本実施例においてはブートローダプログラム１２２に暗号アルゴリズム記憶機能１２２ｄを付与することによって、セキュアブート時に必要な暗号アルゴリズムを複数用意することが可能になる。したがって、ある暗号アルゴリズムが危殆化した場合には、機器自体を交換することなく、容易に別の暗号アルゴリズムに移行することが可能になる。

　図４は、プログラム１に更新の必要性が生じた場合の更新処理を示すフローチャートである。プログラムに更新の必要性が生じた場合とは、例えばプログラムに機能を追加する場合、バグを修正するパッチを充てる場合、プログラムに脆弱性が発見された場合等である。

　まず、ステップＳ４０１において、ブートローダプログラム１２２のプログラム制御機能１２２ｃによってプログラム１の読み込みを停止し、バンク０を書き換え可能な状態にする。そして、ステップＳ４０２において、プログラム受信機能１２１ａによって更新プログラム管理サーバ３から更新用のプログラム２を受信し、プログラム展開機能１２１ｂによってバンク０上に展開する。なお、プログラム２の署名方式については署名方式Ａの他、暗号アルゴリズム記憶機能１２２ｄによって記憶されたその他の署名方式を採用できる。また、プログラム受信については、例えばＯＴＡ（Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）方式で受信できる。

　ステップＳ４０３において、再びブートローダプログラム１２２を起動させ、対応する署名方式で署名検証を行う。ステップＳ４０４において、検証が成功したか否か判定し、検証が失敗すれば処理を終了する。検証が成功した場合には、ステップＳ４０５において、リセット機能１２１ｃによってバンク０をリセットして実行可能な状態にする。そして、ステップＳ４０６において、再びブートローダプログラム１２２を起動し、署名検証が通った場合にプログラム制御機能１２２ｃによってプログラム２の実行を開始する。

　上記のように、プログラム更新時においても、複数の暗号アルゴリズムを適用可能であることにより、例えば署名方式Ａが危殆化し、かつプログラム更新の必要性が生じた場合に、別の危殆化していない署名方式を適用し、セキュリティ上の安全性を確保することができる。

〈ダブルバンク構成時の実施例１〉
　続いて、図５から図１１を用いて、図２（ｂ）に示すダブルバンク構成のＲＯＭ１２を採用した場合の処理について説明する。図５は、ダブルバンク構成のＲＯＭ１２を有する情報処理装置１を起動させた際に実行されるセキュアブート処理を示すフローチャートである。

　この時の処理については、ステップＳ３０１からステップＳ３０５まではシングルバンク構成時の処理と同一であるため、説明を省略する。ダブルバンク構成を採用した場合には、ステップＳ５０１及びＳ５０２が追加される。

　ステップＳ３０５においてプログラム１の実行が開始された後、ステップＳ５０１において、バンク０のプログラム制御機能１２２ｃによって、バンク１のバッファ（プログラムが展開される領域）にプログラムデータがあるか否か判定される。そして、プログラムデータがある場合には、ステップＳ５０２において、当該プログラムデータが削除される。なお、この削除処理は実行されなくてもよい。

　次に、プログラム１に更新の必要性が生じた場合の更新処理について図６を用いて説明する。なお、本実施例においては、ブートローダプログラム１２２は書換不可であり、制御プログラム１２１は、他方のバンクの制御プログラム１２１またはブートローダプログラム１２２の実行時にのみ書換可能である。

　まず、ステップＳ６０１において、バンク０のプログラム受信機能１２１ａによって更新プログラム管理サーバ３から更新用のプログラム２を受信する。ステップＳ６０２において、プログラム展開機能１２１ｂによってプログラム２をバンク１のバッファ上に展開する。なお、本実施例においても、プログラム２の署名方式については署名方式Ａの他、暗号アルゴリズム記憶機能１２２ｄによって記憶されたその他の署名方式を採用できる。

　ステップＳ６０３において、再びブートローダプログラム１２２を起動させ、対応する署名方式で署名検証を行う。ステップＳ６０４において、検証が成功したか否か判定し、検証が失敗すれば処理を終了する。検証が成功した場合には、ステップＳ６０５及びＳ６０６において、バンク切替・リセット機能１２１ｄによって動作領域をバンク０からバンク１に切り替える切り替え命令を発行し、さらにバンク１をリセットして実行可能な状態にする。そして、ステップＳ６０７において、プログラム制御機能１２２ｃによってプログラム２の実行を開始する。

　本実施例においても、シングルバンク構成時と同様に、プログラム更新時においても、複数の暗号アルゴリズムを適用可能であることにより、例えば署名方式Ａが危殆化し、かつプログラム更新の必要性が生じた場合に、別の危殆化していない署名方式を適用し、セキュリティ上の安全性を確保することができる。

　さらに、ダブルバンク構成を採用することにより、更新プログラム受信時に採用するＯＴＡの仕組みを頑強にすることが可能になり、また、バンク０のデータをそのまま残しておくことにより、動作領域をバンク１からバンク０に戻すロールバック処理を行うことが可能になる。さらに、更新用のプログラム２をプログラム１と同じものにしておくことで、冗長性も確保することが可能になる。

〈ダブルバンク構成時の実施例２〉
　次に、実施例２に係るダブルバンク構成のＲＯＭ１２を有する情報処理装置１が実行する処理について図７及び図８を用いて説明する。なお、実施例１においては、処理開始時にはバンク１にはプログラムデータがあってもなくてもどちらでもよいと説明したが、以下の実施例においては、処理開始時には、バンク０には署名方式Ａのプログラム１が格納されており、バンク１には署名方式Ａとは異なる署名方式Ｂを有しかつプログラム１と同じ内容のプログラムが格納されていることを前提とする。

　図７は、実施例２に係るダブルバンク構成のＲＯＭ１２を有する情報処理装置１を起動させた際に実行されるセキュアブート処理を示すフローチャートである。図７に示すように、本実施例においては、図５で示した、実施例１に係るセキュアブート処理からステップＳ５０１とＳ５０２が削除された処理となっている。すなわち、本実施例においてはシングルバンク構成のＲＯＭを有する情報処理装置１が行うセキュアブート処理と同一の処理を実行する。前述のようにバンク１に格納されているプログラムはプログラム１と同じ内容でかつ異なる署名方式Ｂを有するものであるが、これにより、例えばプログラム１の署名方式Ａが危殆化し、かつ署名方式Ｂが危殆化していない場合に、すぐに動作領域をバンク０からバンク１に切り替えて、セキュリティ上の安全性を確保することが可能になる。

　次に、バンク０に格納されたプログラム１の更新処理について図８を用いて説明する。

　本実施例においては、まず図６に示すステップＳ６０１からＳ６０７までは実施例１で実行される処理と同一である。

　本実施例においては実施例１に加えてステップＳ８０１からＳ８０５が追加される。図６においてバンク１のプログラム２に係る処理が開始された後、ステップＳ８０１において、バンク１の制御プログラム１２１のプログラム受信機能１２１ａによって新たに更新用のプログラム３を受信する。このプログラム３は、バンク１に格納されていたプログラム２と同一の内容かつ異なる署名方式を有するものである。

　ステップＳ８０２において、プログラム展開機能１２１ｂによってバンク０にプログラム３を展開する。ステップＳ８０３において、署名検証機能１２２ｂによってプログラム３の署名検証を行う。上述の通り、この署名はプログラム２の署名方式Ｂとは異なる署名方式である。

　ステップＳ８０４において、署名の検証が成功したか否か判定し、署名検証が失敗した場合には処理を終了する。署名検証が成功した場合には、ステップＳ８０５に移行する。ここで、実施例１においては、更新したプログラムの署名検証が成功した場合には動作領域のバンクを切り替えていたが、本実施例においてはステップＳ８０５に示すようにバンクを切り替えず、バンク１のプログラム２の実行を継続する。上述の通り、プログラム３はプログラム２と同一の内容かつ異なる署名方式であるため、例えばプログラム２の署名方式が危殆化し、かつプログラム３の署名方式が危殆化していない場合に、動作領域をバンク１からバンク０に切り替えることで、プログラム２と同一の処理を行いつつセキュリティ上の安全性を確保することが可能になる。

〈ダブルバンクの実施例３〉
　次に、実施例３に係るダブルバンク構成のＲＯＭ１２を有する情報処理装置１が実行する処理について図９及び図１０を用いて説明する。

　図９は、実施例３に係るダブルバンク構成のＲＯＭ１２を有する情報処理装置１を起動させた際に実行されるセキュアブート処理を示すフローチャートである。図９に示すように、本実施例においては、図７で示した、実施例２に係るセキュアブート処理に加えてステップＳ９０１及びＳ９０２が追加されている。

　本実施例においては、ステップＳ３０５においてプログラム１の実行を開始した後、ブートローダプログラム１２２の署名方式確認機能１２２ａによってさらにバンク０のプログラム１の署名方式Ａの世代とバンク１に格納されているプログラムの署名方式Ｂの世代を検証する。

　ここで、署名方式の世代について説明する。上述のように、セキュアブートに用いられる暗号としては例えばＲＳＡ暗号や楕円曲線暗号が用いられることが多い。しかしながら、これらの暗号は量子計算機が実現すると容易に解読されることが判明している。そのため、量子計算機を用いても容易に解読できない耐量子計算機暗号の実用化が進められている（例えば格子暗号）。この場合において、格子暗号の世代はＲＳＡ暗号及び楕円曲線暗号の世代より新しいといえる。このように、ある世代Ａの暗号を解読可能な技術が実現した場合に、次の世代Ｂにおいて、当該技術を用いても容易に解読できない暗号が実現したとき、世代Ｂは世代Ａより新しい、と定義される。換言すると、古い世代の署名方式は、新しい世代の署名方式に比べて危殆化しやすい、あるいはすでに危殆化している。

　したがって、ステップＳ９０１においてバンク１のプログラム２の署名方式Ｂの世代を確認し、その世代が署名方式Ａよりも古い世代であれば、すでに危殆化している可能性が高く、セキュリティ上の脆弱性が生じている。したがって、署名方式Ｂの世代が署名方式Ａの世代よりも古い場合には、ステップＳ９０２に移行し、プログラム２を削除する。

　次に、本実施例におけるプログラム更新処理について図１０を用いて説明する。本実施例におけるプログラムの更新処理は、署名方式の世代を考慮することによる処理であるステップＳ１００１からＳ１００７が追加されている。以下ではこれらの追加した処理について説明する。

　ステップＳ６０２でバンク１にプログラムを展開した後、ステップＳ１００１においてバンク０の署名方式確認機能１２２ａによって署名方式Ｂの世代を確認する。署名方式Ｂの世代がプログラム１の署名方式Ａよりも古い場合には、ステップＳ１００４において上述と同様の理由によりプログラム２を削除し、処理を終了する。

　署名方式Ｂの世代が署名方式Ａの世代よりも新しい世代かあるいは同じ世代の場合には、ステップＳ１００２～Ｓ１００３において署名検証機能１２２ｂによりプログラム２の署名検証を実行する。その後のステップＳ６０５からＳ８０２までは実施例２と同様である。

　ステップＳ８０２においてバンク０に再びプログラム３を展開した後、ステップＳ１００５においてプログラム３の署名方式Ｃの世代を、プログラム２の署名方式Ｂの世代と比較する。そして、署名方式Ｃの世代が署名方式Ｂの世代より古い場合には、ステップＳ１００７においてプログラム３を削除し、ステップＳ８０５においてプログラム２の実行を継続する。

　署名方式Ｃの世代が署名方式Ｂの世代より新しい世代かあるいは同じ世代の場合には、ステップＳ１００６において、バンク０のブートローダプログラム１２２の署名検証機能１２２ｂによって署名方式Ｃでプログラム３の署名検証を行う。

　ステップＳ８０４において、署名検証が失敗した場合には、処理を終了する。署名検証が成功した場合には、ステップＳ８０５に移行し、バンク１のプログラム２の実行を継続する。

　以上のように、本実施例によれば、署名方式の世代も考慮してプログラム更新を行う。これにより、すでに危殆化した署名方式を有するプログラムを実行してしまう危険性を排除することが可能になる。

〈ダブルバンクの実施例４〉
　最後に、実施例４に係るダブルバンク構成のＲＯＭ１２を有する情報処理装置１が実行する処理について図１１を用いて説明する。本実施例においては、プログラムを更新する処理は実施例２または３と同様であるが、情報処理装置１を起動する際のセキュアブート処理が異なる。

　図１１は、実施例３に係るダブルバンク構成のＲＯＭ１２を有する情報処理装置１を起動させた際に実行されるセキュアブート処理を示すフローチャートである。図１１に示すように、本実施例においては、図７で示した、実施例２に係るセキュアブート処理に加えてステップＳ１１０１が追加されている。

　本実施例においては、バンク０のブートローダ起動後、プログラム制御機能１２２ｃによって、バンク０に格納されたプログラム１のバージョンと、バンク１に格納されたプログラムのバージョンとを比較する。そして、バンク０に格納されたプログラム１のバージョンが、バンク１に格納されたプログラムのバージョンより古い場合にはその後の処理を行わず、バンク０に格納されたプログラム１のバージョンが、バンク１に格納されたプログラムのバージョンより新しいか同じバージョンの場合にのみステップＳ３０２に移行してバンク０に格納されたプログラム１の署名検証を行う。その後の処理は上記の実施例と同様である。

　本実施例によれば、バージョンが古く、例えば脆弱性に問題がある制御プログラムを実行することを防止できる。

　以上で説明した本発明の実施例によれば、以下の作用効果を奏する。
（１）本発明の一実施例に係る情報処理装置は、プログラムの演算処理を行う演算部と、第一制御プログラムと、第一制御プログラムの署名検証を実行する第一起動プログラムと、を記憶する記憶部と、を有し、第一起動プログラムは、複数の署名検証方式を実行可能であり、該複数の署名検証方式から第一制御プログラムの署名種類に対応した署名検証方式を判定し、署名検証方式にて署名検証を実行した結果を取得する処理を実行する。
　上記構成により、セキュアブート用の暗号アルゴリズムが危殆化した場合に、別の暗号アルゴリズムに容易に移行することにより、セキュリティ上の安全性を担保することが可能になる。

（２）記憶部は、第一制御プログラムと、第一起動プログラムと、を記憶する第一記憶領域と、第一制御プログラムと異なる種類の署名種類を有する第二制御プログラムと、複数の署名検証方式を実行可能であり、該複数の署名検証方式から第二制御プログラムの署名種類に対応した署名検証方式にて署名検証を実行する第二起動プログラムと、を記憶する第二記憶領域と、を有する。これにより、更新プログラム受信時に採用するＯＴＡの仕組みを頑強にすることが可能になり、また、バンク０のデータをそのまま残しておくことにより、動作領域をバンク１からバンク０に戻すロールバック処理を行うことが可能になる。さらに、更新用のプログラム２をプログラム１と同じものにしておくことで、冗長性も確保することが可能になる。

（３）署名検証は、第一起動プログラムによって実行される。これにより、署名検証を行うＨＳＭ等の機器を追加することなく、簡便に署名検証を実行できる。

（４）第二制御プログラムが第二記憶領域に格納された後、実行する記憶領域が第一記憶領域から第二記憶領域に切り替えられ、第一記憶領域は、第二制御プログラムと同一の制御プログラムであって第二制御プログラムの署名とは異なる種類の署名を有する第三制御プログラムを格納する。これにより、第二制御プログラムと第三制御プログラムとの冗長性を確保することが可能になる。

（５）第一制御プログラムの署名および第二制御プログラムの署名の優先度を比較し、優先度の低い署名を有する方の制御プログラムを削除する。これにより、制御プログラム同士の世代やバージョンを比較し、世代やバージョンが古く、危殆化した署名方式を有する、もしくは脆弱化したプログラムを実行してセキュリティ上の脆弱性が生じる恐れを防止できる。

（６）第二制御プログラムを受信する場合、第一制御プログラムの署名の第一優先度および第二制御プログラムの署名の第二優先度を比較し、第一優先度の方が第二優先度よりも低いときまたは第一優先度と第二優先度が同じときにのみ第二制御プログラムを第二記憶領域に格納する。これにより、（５）と同様に、危殆化した署名方式を有するプログラムを実行してセキュリティ上の脆弱性が生じる恐れを防止できる。

（７）第二制御プログラムを受信する場合、第一制御プログラムの第一ソフトウェアバージョン情報および第二制御プログラムの第二ソフトウェアバージョン情報を比較し、第一ソフトウェアバージョン情報の方が第二ソフトウェアバージョン情報より古いときにのみ第二制御プログラムを第二記憶領域に格納する。これにより、（５）と同様に、脆弱化したプログラムを実行してセキュリティ上の脆弱性が生じる恐れを防止できる。

（８）第一起動プログラムと第二起動プログラムは、書換不可であり、第一制御プログラムは、第二起動プログラムもしくは第二制御プログラムの実行時のみ書換可能であり、第二制御プログラムは、第一起動プログラムもしくは第一制御プログラムの実行時のみ書換可能である。これにより、書換時以外には動作領域ではないバンクにアクセスすることができないため、データの誤書込みをする危険性を排除できる。

（９）第三制御プログラムを受信する場合、第二制御プログラムの署名検証方式の第二優先度および第三制御プログラムの署名検証方式の第三優先度を比較し、第二優先度の方が低いときもしくは第二優先度と第三優先度が同じときにのみ第三制御プログラムを第一記憶領域に格納する。これにより、（５）と同様の効果を奏する。

（１０）制御プログラムの削除は、第一起動プログラムが第二制御プログラムを削除し、第二起動プログラムが第一制御プログラムを削除する。これにより、メモリ容量を削減することが可能になる。

　なお、本発明は、上記の実施例に限定されるものではなく、様々な変形が可能である。例えば、上記の実施例は、本発明を分かりやすく説明するために詳細に説明したものであり、本発明は、必ずしも説明した全ての構成を備える態様に限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能である。また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、削除したり、他の構成を追加・置換したりすることが可能である。

１　情報処理装置、１１　ＣＰＵ（演算部）、１２　ＲＯＭ（記憶部）、１２１　制御プログラム、１２２　ブートローダプログラム（起動プログラム）

Claims

　プログラムの演算処理を行う演算部と、
　第一制御プログラムと、前記第一制御プログラムの署名検証を実行する第一起動プログラムと、を記憶する記憶部と、を有し、
　前記第一起動プログラムは、複数の署名検証方式を実行可能であり、該複数の署名検証方式から前記第一制御プログラムの署名種類に対応した署名検証方式を判定し、前記署名検証方式にて署名検証を実行した結果を取得する処理を実行する、
ことを特徴とする情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記記憶部は、
　　前記第一制御プログラムと、前記第一起動プログラムと、を記憶する第一記憶領域と、
　　前記第一制御プログラムと異なる種類の署名種類を有する第二制御プログラムと、複数の署名検証方式を実行可能であり、該複数の署名検証方式から前記第二制御プログラムの前記署名種類に対応した署名検証方式にて署名検証を実行する第二起動プログラムと、を記憶する第二記憶領域と、を有する、
ことを特徴とする情報処理装置。
　請求項１に記載の情報処理装置であって、
　前記署名検証は、前記第一起動プログラムによって実行される、
ことを特徴とする情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記第二制御プログラムが前記第二記憶領域に格納された後、実行する記憶領域が前記第一記憶領域から前記第二記憶領域に切り替えられ、
　前記第一記憶領域は、前記第二制御プログラムと同一の制御プログラムであって前記第二制御プログラムの署名とは異なる種類の署名を有する第三制御プログラムを格納する、ことを特徴とする情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記第一制御プログラムの署名および前記第二制御プログラムの署名の優先度を比較し、優先度の低い署名を有する方の制御プログラムを削除する、
ことを特徴とする情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記第二制御プログラムを受信する場合、前記第一制御プログラムの署名の第一優先度および前記第二制御プログラムの署名の第二優先度を比較し、前記第一優先度の方が前記第二優先度よりも低いときまたは前記第一優先度と第二優先度が同じときにのみ前記第二制御プログラムを前記第二記憶領域に格納する、
ことを特徴とする情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記第二制御プログラムを受信する場合、前記第一制御プログラムの第一ソフトウェアバージョン情報および前記第二制御プログラムの第二ソフトウェアバージョン情報を比較し、前記第一ソフトウェアバージョン情報の方が前記第二ソフトウェアバージョン情報より古いときにのみ前記第二制御プログラムを前記第二記憶領域に格納する、
ことを特徴とする情報処理装置。
　請求項２に記載の情報処理装置であって、
　前記第一起動プログラムと前記第二起動プログラムは、書換不可であり、
　前記第一制御プログラムは、前記第二起動プログラムもしくは前記第二制御プログラムの実行時のみ書換可能であり、
　前記第二制御プログラムは、前記第一起動プログラムもしくは前記第一制御プログラムの実行時のみ書換可能である、
ことを特徴とする情報処理装置。
　請求項５に記載の情報処理装置であって、
　前記第三制御プログラムを受信する場合、前記第二制御プログラムの署名検証方式の第二優先度および前記第三制御プログラムの署名検証方式の第三優先度を比較し、前記第二優先度の方が低いときもしくは前記第二優先度と前記第三優先度が同じときにのみ前記第三制御プログラムを前記第一記憶領域に格納する、
ことを特徴とする情報処理装置。
　請求項５に記載の情報処理装置であって、
　前記制御プログラムの削除は、
　前記第一起動プログラムが第二制御プログラムを削除し、
　前記第二起動プログラムが第一制御プログラムを削除する、
ことを特徴とする情報処理装置。