WO2024080091A1

WO2024080091A1 - 通信方法、第１機器、第２機器、及び、プログラム

Info

Publication number: WO2024080091A1
Application number: PCT/JP2023/034112
Authority: WO
Inventors: 康高橋; 三朗豊永; 勇二海上; 兼次郎池; 直央西田
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2022-10-14
Filing date: 2023-09-20
Publication date: 2024-04-18

Abstract

通信方法では、第１機器（端末装置（３００））が、第１暗号化方式の証明書であって、第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を第２機器（端末装置（４００））に送信し、第１機器が、証明書の送信に対する第２機器からの応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを受信した場合、第１機器は、受信したメッセージに含まれるＮｏｎｃｅ及び確認フラグに基づいて生成した署名を第２機器に送信し、第１機器が、証明書の送信に対する第２機器からの応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを受信した場合、第１機器は、受信したメッセージに含まれるＮｏｎｃｅに基づいて生成した署名を第２機器に送信する。

Description

通信方法、第１機器、第２機器、及び、プログラム

　本開示は、通信方法、第１機器、第２機器、及び、プログラムに関する。

　特許文献１には、企業システム内のアプリが使用する暗号システムが、いわゆる古典暗号化方式と、ＰＱＣ（Post Quantum Cryptography）方式とを組み合わせたハイブリッド方式へ移行する方法について開示されている。

国際公開第２０２０／０８７１５２号

　本開示は、より適切に、ハイブリッド方式を適用するための通信方法などを提供する。

　本開示の一態様に係る通信方法は、第１機器と第２機器との間における通信方法であって、前記第１機器が、第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を前記第２機器に送信し、前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅ及び前記確認フラグに基づいて生成した署名を前記第２機器に送信し、前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅに基づいて生成した署名を前記第２機器に送信する。

　本開示の別の一態様に係る通信方法は、第１機器と第２機器との間における通信方法であって、前記第２機器が、前記第１機器からの第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信し、前記第２機器が、前記異なる暗号化方式に対応する場合に、前記第２機器は、受信した前記証明書に対する応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを前記第１機器に送信し、前記第２機器が、前記異なる暗号化方式に対応しない場合に、前記第２機器は、受信した前記証明書に対する応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを前記第１機器に送信し、前記第２機器が、前記第１機器から、送信した前記メッセージに含まれる前記Ｎｏｎｃｅと、前記Ｎｏｎｃｅ及び前記確認フラグとのいずれかに基づいて生成された署名を受信する。

　本開示のさらに別の一態様に係る通信方法は、第１機器と第２機器との間における通信方法であって、前記第１機器が、第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を前記第２機器に送信し、前記第２機器が前記異なる暗号化方式に対応する場合に、前記第２機器は、受信した前記証明書に対する応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを前記第１機器に送信し、前記第２機器が前記異なる暗号化方式に対応しない場合に、前記第２機器は、受信した前記証明書に対する応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを前記第１機器に送信し、前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅ及び前記確認フラグに基づいて生成した署名を前記第２機器に送信し、前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅに基づいて生成した署名を前記第２機器に送信する。

　本開示の一態様に係る第１機器は、第２機器と通信可能な第１機器であって、第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を生成する証明書生成部と、署名生成部と、を備え、前記署名生成部は、生成した前記証明書を前記第２機器に送信した場合に前記第２機器からの応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを受信した場合、受信した前記メッセージに含まれる前記Ｎｏｎｃｅ及び前記確認フラグに基づいて署名を生成し、生成した前記証明書を前記第２機器に送信した場合に前記第２機器からの応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを受信した場合、受信した前記メッセージに含まれる前記Ｎｏｎｃｅに基づいて署名を生成する。

　本開示の一態様に係る第２機器は、第１機器と通信可能な第２機器であって、メッセージ生成部であって、前記第１機器からの第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信した場合に、前記第２機器が前記異なる暗号化方式に対応していれば、受信した前記証明書に対する応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを生成し、前記第２機器が前記異なる暗号化方式に対応していなければ、受信した前記証明書に対する応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを生成する、メッセージ生成部と、前記第２機器が、前記第１機器から、送信した前記メッセージに含まれる前記Ｎｏｎｃｅと、前記Ｎｏｎｃｅ及び前記確認フラグとのいずれかに基づいて生成された署名を受信する通信部と、を備える。

　本開示の一態様に係るプログラムは、第１機器と第２機器との間における通信方法をコンピュータに実行させるためのプログラムであって、前記通信方法では、前記第１機器が、第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を前記第２機器に送信し、前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅ及び前記確認フラグに基づいて生成した署名を前記第２機器に送信し、前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅに基づいて生成した署名を前記第２機器に送信する。

　本開示の別の一態様に係るプログラムは、第１機器と第２機器との間における通信方法をコンピュータに実行させるためのプログラムであって、前記通信方法では、前記第２機器が、前記第１機器からの第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信し、前記第２機器が、前記異なる暗号化方式に対応する場合に、前記第２機器は、受信した前記証明書に対する応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを前記第１機器に送信し、前記第２機器が、前記異なる暗号化方式に対応しない場合に、前記第２機器は、受信した前記証明書に対する応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを前記第１機器に送信し、前記第２機器が、前記第１機器から、送信した前記メッセージに含まれる前記Ｎｏｎｃｅと、前記Ｎｏｎｃｅ及び前記確認フラグとのいずれかに基づいて生成された署名を受信する。

　なお、これらの全般的または具体的な態様は、装置、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよく、装置、集積回路、コンピュータプログラム及び非一時的な記録媒体の任意な組み合わせで実現されてもよい。

　本開示における通信方法などは、より適切に、ハイブリッド方式を適用することが可能となる。

図１は、実施の形態に係る通信システムの概要を説明するための図である。図２は、実施の形態の別例に係る通信システムの概要を説明するための図である。図３は、実施の形態に係る証明書発行装置の機能構成の一例を示すブロック図である。図４は、実施の形態に係る共通鍵発行装置の機能構成の一例を示すブロック図である。図５は、実施の形態に係る共通鍵発行装置の機能構成の別の一例を示すブロック図である。図６は、実施の形態に係る端末装置の機能構成の一例を示すブロック図である。図７は、実施の形態に係る端末装置の機能構成の別の一例を示すブロック図である。図８は、実施の形態に係る端末装置の機能構成の一例を示すブロック図である。図９は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１０は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１１は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１２は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１３は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１４は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１５は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１６は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１７は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１８は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図１９は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図２０は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図２１は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図２２は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。図２３は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図２４は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図２５は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図２６は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図２７は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図２８は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図２９は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３０は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３１は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３２は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３３は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３４は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３５は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３６は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３７は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３８は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図３９は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４０は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４１は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４２は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４３は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４４は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４５は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４６は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４７は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４８は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図４９は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図５０は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図５１は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図５２は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。図５３は、実施の形態の変形例に係る通信システムの動作の一例を説明するシーケンス図である。図５４は、実施の形態の変形例に係る通信システムの動作の一例を説明するシーケンス図である。図５５は、実施の形態の変形例に係る通信システムの動作の一例を説明するシーケンス図である。図５６は、実施の形態の変形例に係る通信システムの動作の一例を説明するシーケンス図である。

　（本開示の基礎となった知見）
　近年量子計算機の開発が盛んに行われており、その一方で、量子計算機の大規模化により現在使用されている暗号方式（以下、古典暗号化方式、又は、単に、古典方式）は、理論上危殆化することが知られている。このような事情に鑑みて、大規模な量子計算機の計算性能に耐えうる新しい暗号方式（以下、ＰＱＣ（Post Quantum Cryptography）方式）が提案され、古典方式からの移行の準備が進められている。しかしながら、ＰＱＣ方式は、まだ歴史が浅く、安全性に対する評価が十分に行われているとはいえない。言い換えると、ＰＱＣ方式をそのまま用いた場合に、暗号化の安全性が担保されていない。そのため、安全性に対する評価が十分に行われるまでの移行期の間は、古典方式とＰＱＣ方式とを併用した方式（以下、ハイブリッド方式）を用いるのがよいと考えられている。古典方式としては、ＲＳＡ又はＥＣ－ＤＳＡ（Elliptic Curve - Digital Signature Algorithm）等が用いられる。

　ところで、ハイブリッド方式は、安全性を長期間保つためには有効だが、通信機器側での対応を必要とする。つまり、ハイブリッド方式に非対応の従来機器との通信では、この方式を利用できない（下位互換性がない）。そのため、通信時に相手側の機器がハイブリッド対応しているかを互いに確認することが必要となる。

　本開示では、通信を行う一方の機器（第２機器）が、他方の機器（第１機器）を認証し、鍵交換を行う通信を例に、より適切にハイブリッド方式を適用するための通信方法について説明する。この通信方法の概略は以下の通りである。

　まず、第１機器が送信する古典証明書に、第２機器側のハイブリッド対応状況を確認するためのnon-criticalな拡張領域を確認フラグとして追加する。第２機器側は、ハイブリッド対応していればフラグを読み取り、Ｎｏｎｃｅとともに確認フラグを返す。そして、第１機器側は、受け取ったＮｏｎｃｅと確認フラグとの両方を用いて署名を生成する。このようにすることで、例えば、第２機器側からＮｏｎｃｅとともに確認フラグを返す際に通信が傍受されて第１機器側に改ざんされたＮｏｎｃｅのみが送信されたとしても、第１機器からさらに送信される署名に確認フラグが含まれていないことから、第２機器側において、送信に用いたＮｏｎｃｅ及び確認フラグと整合しないという点で、改ざんがあったことを検知できる。つまり、安全にハイブリッド対応状況を確認できるという観点で、より適切に、ハイブリッド方式を適用することが可能となる。

　（本開示の概要）
　本開示の概要は、以下のとおりである。

　本開示の第１態様に係る通信方法は、第１機器と第２機器との間における通信方法であって、第１機器が、第１暗号化方式の証明書であって、第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を第２機器に送信し、第１機器が、証明書の送信に対する第２機器からの応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを受信した場合、第１機器は、受信したメッセージに含まれるＮｏｎｃｅ及び確認フラグに基づいて生成した署名を第２機器に送信し、第１機器が、証明書の送信に対する第２機器からの応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを受信した場合、第１機器は、受信したメッセージに含まれるＮｏｎｃｅに基づいて生成した署名を第２機器に送信する。

　このような通信方法によれば、第２機器からの応答として送信されたメッセージと、第１機器からその後に受信された署名とを用いれば、メッセージに改ざんがあったか否かを検知することができる。つまり、メッセージに改ざんがあったか否かを検知するための情報を、第２機器が得ることができる。よって、安全にハイブリッド対応状況を確認できるという観点で、より適切に、ハイブリッド方式を適用することが可能となる。

　また、本開示の第２態様に係る通信方法は、第１機器が、証明書の送信に対して第２機器が応答として送信したメッセージと、メッセージの受信に対して第１機器から第２機器に送信された署名とが整合しないことに基づいて、第２機器が生成した検知フラグであって、メッセージに対する改ざんがあったことを示す検知フラグを受信した場合、第１機器と第２機器との間の通信セッションを異なる暗号化方式で継続する、第１態様に記載の通信方法である。

　これによれば、メッセージに対する改ざんがあったことを示す検知フラグを受信したことに基づいて、第１機器と第２機器との間の通信セッションを異なる暗号化方式で継続することができる。

　また、本開示の第３態様に係る通信方法は、第１機器が、証明書の送信に対して第２機器が応答として送信したメッセージと、メッセージの受信に対して第１機器から第２機器に送信された署名とが整合しないことに基づいて、第２機器が生成した検知フラグであって、メッセージに対する改ざんがあったことを示す検知フラグを受信した場合、第１機器と第２機器との間の通信セッションを終了する、第１態様に記載の通信方法である。

　これによれば、メッセージに対する改ざんがあったことを示す検知フラグを受信したことに基づいて、第１機器と第２機器との間の通信セッションを終了することができる。

　また、本開示の第４態様に係る通信方法は、第１暗号化方式は、ＲＳＡ方式又はＥＣ－ＤＳＡ方式であり、異なる暗号化方式は、ＰＱＣ方式である、第１～第３態様のいずれか１態様に記載の通信方法である。

　これによれば、より適切に、ＲＳＡ方式又はＥＣ－ＤＳＡ方式と、ＰＱＣ方式とを併用するハイブリッド方式を適用することが可能となる。

　また、本開示の第５態様に係る通信方法は、第１機器と第２機器との間における通信方法であって、第２機器が、第１機器からの第１暗号化方式の証明書であって、第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信し、第２機器が、異なる暗号化方式に対応する場合に、第２機器は、受信した証明書に対する応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを第１機器に送信し、第２機器が、異なる暗号化方式に対応しない場合に、第２機器は、受信した証明書に対する応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを第１機器に送信し、第２機器が、第１機器から、送信したメッセージに含まれるＮｏｎｃｅと、Ｎｏｎｃｅ及び確認フラグとのいずれかに基づいて生成された署名を受信する。

　これによれば、第２機器からの応答として送信されたメッセージと、第１機器からその後に受信された署名とを用いれば、メッセージに改ざんがあったか否かを検知することができる。つまり、メッセージに改ざんがあったか否かを検知するための情報を、第２機器が得ることができる。よって、安全にハイブリッド対応状況を確認できるという観点で、より適切に、ハイブリッド方式を適用することが可能となる。

　また、本開示の第６態様に係る通信方法は、第１機器と第２機器との間における通信方法であって、第１機器が、第１暗号化方式の証明書であって、第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を第２機器に送信し、第２機器が異なる暗号化方式に対応する場合に、第２機器は、受信した証明書に対する応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを第１機器に送信し、第２機器が異なる暗号化方式に対応しない場合に、第２機器は、受信した証明書に対する応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを第１機器に送信し、第１機器が、証明書の送信に対する第２機器からの応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを受信した場合、第１機器は、受信したメッセージに含まれるＮｏｎｃｅ及び確認フラグに基づいて生成した署名を第２機器に送信し、第１機器が、証明書の送信に対する第２機器からの応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを受信した場合、第１機器は、受信したメッセージに含まれるＮｏｎｃｅに基づいて生成した署名を第２機器に送信する。

　また、本開示の第７態様に係る第１機器は、第２機器と通信可能な第１機器であって、第１暗号化方式の証明書であって、第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を生成する証明書生成部と、署名生成部と、を備え、署名生成部は、生成した証明書を第２機器に送信した場合に第２機器からの応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを受信した場合、受信したメッセージに含まれるＮｏｎｃｅ及び確認フラグに基づいて署名を生成し、生成した証明書を第２機器に送信した場合に第２機器からの応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを受信した場合、受信したメッセージに含まれるＮｏｎｃｅに基づいて署名を生成する。

　これによれば、上記に記載の通信方法と同様の効果を奏する。

　また、本開示の第８態様に係る第２機器は、第１機器と通信可能な第２機器であって、メッセージ生成部であって、第１機器からの第１暗号化方式の証明書であって、第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信した場合に、第２機器が異なる暗号化方式に対応していれば、受信した証明書に対する応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを生成し、第２機器が異なる暗号化方式に対応していなければ、受信した証明書に対する応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを生成する、メッセージ生成部と、第２機器が、第１機器から、送信したメッセージに含まれるＮｏｎｃｅと、Ｎｏｎｃｅ及び確認フラグとのいずれかに基づいて生成された署名を受信する通信部と、を備える。

　また、本開示の第９態様に係るプログラムは、第１機器と第２機器との間における通信方法をコンピュータに実行させるためのプログラムであって、通信方法では、第１機器が、第１暗号化方式の証明書であって、第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を第２機器に送信し、第１機器が、証明書の送信に対する第２機器からの応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを受信した場合、第１機器は、受信したメッセージに含まれるＮｏｎｃｅ及び確認フラグに基づいて生成した署名を第２機器に送信し、第１機器が、証明書の送信に対する第２機器からの応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを受信した場合、第１機器は、受信したメッセージに含まれるＮｏｎｃｅに基づいて生成した署名を第２機器に送信する。

　これによれば、コンピュータを用いることで、上記に記載の通信方法と同様の効果を奏する。

　また、本開示の第１０態様に係るプログラムは、第１機器と第２機器との間における通信方法をコンピュータに実行させるためのプログラムであって、通信方法では、第２機器が、第１機器からの第１暗号化方式の証明書であって、第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信し、第２機器が、異なる暗号化方式に対応する場合に、第２機器は、受信した証明書に対する応答として、Ｎｏｎｃｅと確認フラグとを含むメッセージを第１機器に送信し、第２機器が、異なる暗号化方式に対応しない場合に、第２機器は、受信した証明書に対する応答として、Ｎｏｎｃｅを含み、かつ、確認フラグを含まないメッセージを第１機器に送信し、第２機器が、第１機器から、送信したメッセージに含まれるＮｏｎｃｅと、Ｎｏｎｃｅ及び確認フラグとのいずれかに基づいて生成された署名を受信する。

　以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。

　なお、発明者は、当業者が本開示を十分に理解するために添付図面及び以下の説明を提供するのであって、これらによって請求の範囲に記載の主題を限定することを意図するものではない。

　（実施の形態）
　［構成］
　図１は、実施の形態に係る通信システムの概要を説明するための図である。図１では、通信に係る機器として、第１機器に対応する端末装置３００及び第２機器に対応する端末装置４００が示されている。

　証明書発行装置１００は、ユーザが使用する電子署名証明書を生成し、端末装置３００及び４００へ証明書を送信する。証明書発行装置１００は、例えば、証明書発行機関に属するサーバ装置等によって実現される。

　共通鍵発行装置２００は、ユーザが使用する端末装置３００及び４００ごとに異なる共通鍵を生成し、端末装置３００及び４００に共通鍵を埋め込む。共通鍵発行装置２００は、例えば、端末装置３００及び４００を製造する端末装置製造企業などによって運用される。共通鍵発行装置２００は、上記に加えて、ユーザが使用する端末装置３００及び４００ごとに共通のテストメッセージ、及び、フラグを生成し、端末装置３００及び４００にテストメッセージ、及び、フラグを埋め込んでもよい。

　端末装置３００は、端末装置同士（端末装置４００との間）での通信、乱数生成処理、署名生成処理、セッション鍵生成処理などを行う。端末装置３００は、上記に加えて、鍵生成を行ってもよい。

　端末装置４００は、端末装置同士（端末装置３００との間）での通信、乱数生成処理、署名検証処理、セッション鍵生成処理などを行う。

　なお、図２は、実施の形態の別例に係る通信システムの概要を説明するための図である。この例では、共通鍵発行装置２００が、端末装置３００及び４００に個別に接続可能なように、それぞれのユーザによって管理及び運用されている。

　図３は、実施の形態に係る証明書発行装置の機能構成の一例を示すブロック図である。証明書発行装置１００は、プロセッサ及びメモリと、当該メモリに格納された所定のプログラムとによって実現される。証明書発行装置１００は、ユーザが使用する電子署名証明書を生成し、端末装置３００及び４００へ証明書を送信する。証明書発行装置１００は、機能構成として、乱数生成部１０１、フラグ生成部１０２、鍵生成部１０３、署名生成部１０４、証明書生成部１０５、及び、通信部１０６を有する。

　乱数生成部１０１は、乱数生成処理を実施し、鍵生成部１０３に生成した乱数Ａを通知し、署名生成部１０４に生成した乱数Ｂを通知する。ただし、乱数Ａと乱数Ｂとは異なっていてもよい。乱数は一様乱数でなくてもよい。

　フラグ生成部１０２は、証明書が複数のアルゴリズム（アルゴリズムとは、すなわち、暗号化方式を意味している）に対応していることを示すフラグの生成処理を実施し、署名生成部１０４と証明書生成部１０５とに通知する。ただし、フラグの形式はバイナリでも整数値でも、その他でもよい。フラグは、規定されているものでも、その他でもよい。フラグは、証明書が対応しているアルゴリズムの種類や数に応じて複数種類存在してもよい。

　鍵生成部１０３は、秘密鍵Ａと公開鍵Ｂと秘密鍵Ｃと公開鍵Ｄとの生成処理を実施し、署名生成部１０４に秘密鍵Ａと公開鍵Ｄとを通知し、証明書生成部１０５に公開鍵Ｄを通知し、通信部１０６に公開鍵Ｂと秘密鍵Ｃとを通知する。公開鍵Ｂは、端末装置４００へ通知され、秘密鍵Ｃは、端末装置３００へ通知される。ただし、鍵生成部１０３は、秘密鍵と公開鍵とをいくつ作成してもよく、共通鍵を作成してもよい。

　署名生成部１０４は、公開鍵Ｄとフラグ生成部１０２から通知されたフラグを含む平文に対して秘密鍵Ａによる署名処理を実施し、証明書生成部１０５に生成した署名を通知する。ただし、署名はいくつ生成してもよく、いくつの平文に対して、いくつの秘密鍵を使用して生成するかを限定しない。平文には、端末装置３００から通知された公開鍵または共通鍵が含まれていてもよい。

　証明書生成部１０５は、フラグ生成部１０２から通知されたフラグ、署名生成部１０４から通知された署名、鍵生成部１０３から通知された公開鍵Ｄを含む証明書を作成し、通信部１０６へ通知し、端末装置３００へ通知する。

　図４は、実施の形態に係る共通鍵発行装置の機能構成の一例を示すブロック図である。共通鍵発行装置２００は、プロセッサ及びメモリと、当該メモリに格納された所定のプログラムとによって実現される。共通鍵発行装置２００は、ユーザが使用する端末装置３００及び４００ごとに異なる共通鍵を生成し、各端末装置３００及び４００に共通鍵を埋め込む。共通鍵発行装置２００は、機能構成として、乱数生成部２０１、共通鍵生成部２０２、及び、通信部２０３を有する。

　乱数生成部２０１は、乱数生成処理を実施し、共通鍵生成部２０２に生成した乱数を通知する。ただし、乱数は複数生成してもよく、一様乱数でなくてもよい。

　共通鍵生成部２０２は、共通鍵生成処理を実施し、通信部２０３に生成した共通鍵を通知する。ただし、共通鍵は複数生成してもよい。なお、図２に示すように、実施の形態の別例では、共通鍵発行装置２００は、各ユーザの端末装置３００及び４００に付属していてもよい。

　図５は、実施の形態に係る共通鍵発行装置の機能構成の別の一例を示すブロック図である。共通鍵発行装置２００ａは、ユーザが使用する端末装置３００及び４００に共通のテストメッセージ、フラグを生成し、端末装置３００及び４００にテストメッセージ、フラグを埋め込んでもよい、これは、例えば、図１に示す構成の場合に適用される。この例における共通鍵発行装置２００ａは、機能構成として、乱数生成部２０１ａ、フラグ生成部２０２ａ、テストメッセージ生成部２０３ａ、共通鍵生成部２０４ａ、及び、通信部２０５ａを有する。

　乱数生成部２０１ａは、乱数生成処理を実施し、フラグ生成部２０２ａに生成した乱数Ａを通知し、テストメッセージ生成部２０３ａに生成した乱数Ｂを通知し、共通鍵生成部２０４ａに生成した乱数Ｃを通知する。ただし、乱数Ａと乱数Ｂと乱数Ｃとは異なっていてもよい。乱数は一様乱数でなくてもよい。

　フラグ生成部２０２ａは、証明書が複数のアルゴリズムに対応していることを示すフラグの生成処理を実施し、通信部２０５ａへ通知する。ただし、フラグの形式はバイナリでも整数値でも何でもよい。フラグは規定されているものでもそうでなくてもよい。フラグは証明書が対応しているアルゴリズムの種類や数に応じて複数種類存在してもよい。

　テストメッセージ生成部２０３ａは、テストメッセージ生成処理を実施し、通信部２０５ａへ通知する。ただし、フラグの形式はバイナリでも整数値でも何でもよい。テストメッセージは規定されているものでもそうでなくてもよい。テストメッセージは用途に応じて複数種類存在してもよい。

　共通鍵生成部２０４ａは、共通鍵生成処理を実施し、通信部２０５ａに生成した共通鍵を通知する。ただし、共通鍵は複数生成してもよい。

　図６は、実施の形態に係る端末装置の機能構成の一例を示すブロック図である。端末装置３００は、プロセッサ及びメモリと、当該メモリに格納された所定のプログラムとによって実現される。端末装置３００は、端末装置同士での通信、乱数生成処理、署名生成処理、セッション鍵生成処理などを行う。端末装置３００は、機能構成として、乱数生成部３０１、署名生成部３０２、セッション鍵生成部３０３、セッション鍵確認部３０４、証明書格納部３０５、及び、通信部３０６を有する。

　乱数生成部３０１は、署名生成処理を実施し、署名生成部３０２に生成した乱数を通知する。ただし、乱数は複数生成してもよく、一様乱数でなくてもよい。

　署名生成部３０２は、フラグとＮｏｎｃｅとを含む平文に対して鍵生成部１０３から通知された秘密鍵Ｃによる署名処理を実施し、通信部３０６に生成した署名を通知し、端末装置４００へ通知する。ただし、署名はいくつ生成してもよく、いくつの平文に対して、いくつの秘密鍵を使用して生成するかに特に限定はない。平文には、フラグとＮｏｎｃｅとが含まれていなくてもよく、鍵生成部１０３から通知された秘密鍵Ｃによる署名でなくてもよい。

　セッション鍵生成部３０３は、鍵交換のためのセッション鍵生成処理を実施し、通信部３０６に通知し、端末装置４００に通知する。ただし、セッション鍵は複数生成してもよく、セッション鍵とともに暗号化したテストメッセージを通知してもよい。

　セッション鍵確認部３０４は、セッション鍵生成部３０３から通知されたセッション鍵の確認処理を実施し、通信部３０６に確認結果を通知する。ただし、セッション鍵は複数確認してもよく、セッション鍵生成部３０３から通知されたセッション鍵以外を確認してもよい。

　証明書格納部３０５は、証明書生成部１０５から通知された証明書を保存する。また、必要に応じて通信部３０６へ証明書を通知し、端末装置４００へ証明書を通知する。

　図７は、実施の形態に係る端末装置の機能構成の別の一例を示すブロック図である。端末装置３００ａは、鍵生成を行ってもよい。この例における端末装置３００ａは、機能構成として、乱数生成部３０１ａ、署名生成部３０２ａ、セッション鍵生成部３０３ａ、セッション鍵確認部３０４ａ、証明書格納部３０５ａ、鍵生成部３０６ａ、及び、通信部３０７ａを有する。乱数生成部３０１ａ、署名生成部３０２ａ、セッション鍵生成部３０３ａ、セッション鍵確認部３０４ａ、証明書格納部３０５ａ、及び、通信部３０７ａの機能は、乱数生成部３０１、署名生成部３０２、セッション鍵生成部３０３、セッション鍵確認部３０４、証明書格納部３０５、及び、通信部３０６とそれぞれ同様であるので説明を省略する。

　鍵生成部３０６ａは、秘密鍵Ｃと公開鍵Ｄの生成処理を実施し、通信部３０７ａへ通知し、証明書発行装置１００へ通知する。ただし、鍵生成部３０６ａは、秘密鍵と公開鍵をいくつ作成してもよく、共通鍵を作成してもよい。

　図８は、実施の形態に係る端末装置の機能構成の一例を示すブロック図である。端末装置４００は、プロセッサ及びメモリと、当該メモリに格納された所定のプログラムとによって実現される。端末装置４００は、端末装置同士での通信、乱数生成処理、署名検証処理、セッション鍵生成処理などを行う。端末装置４００は、機能構成として、乱数生成部４０１、Ｎｏｎｃｅフラグ生成部４０２、セッション鍵生成部４０３、署名検証部４０４、証明書検証部４０５、証明書読取部４０６、及び、通信部４０７を有する。

　乱数生成部４０１は、乱数生成処理を実施し、Ｎｏｎｃｅフラグ生成部４０２に生成した乱数Ａを通知し、セッション鍵生成部４０３に生成した乱数Ｂを通知する。ただし、乱数Ａと乱数Ｂは異なっていてもよい。乱数は一様乱数でなくてもよい。

　Ｎｏｎｃｅフラグ生成部４０２は、署名に利用するＮｏｎｃｅと攻撃検知通知の為のフラグの生成処理を行う。Ｎｏｎｃｅは、通信部４０７へ通知し、端末装置３００へ通知する。フラグは、セッション鍵生成部４０３に通知する。ただし、Ｎｏｎｃｅフラグ生成部４０２は、必ずしもＮｏｎｃｅとフラグとの両方を生成する必要はなく、片方のみでもよい。また、生成するＮｏｎｃｅやフラグは、複数種類あってもよく、複数個生成してもよい。

　署名検証部４０４は、証明書検証部４０５から通知された署名の検証処理を行い、証明書検証部４０５に検証結果を通知する。ただし、署名検証部４０４は、いくつ署名を検証してもよい。

　証明書検証部４０５は、証明書読取部４０６から通知された証明書とその検証方法に応じて、検証に必要な証明書の署名部分を抽出し、署名検証部４０４へ通知する。ただし、証明書検証部４０５はいくつ証明書を検証してもよい。

　証明書読取部４０６は、証明書格納部３０５から通知された証明書を解析し、フラグの有無、署名の数と種類、公開鍵の数と種類などを読み取る。さらに、読み取った情報に応じて、証明書を検証する方法（例えば検証する署名の順番など）を決定し、決定した方法と証明書を証明書検証部へ通知する。

　［動作］
　次に、実施の形態に係る通信システムの動作の動作について説明する。図９～図２２は、実施の形態に係る通信システムの動作の一例を説明するシーケンス図である。また、図２３～図５２は、実施の形態に係る通信システムの動作における画面表示の一例を示す図である。

　通信システムの動作が開始されると、まず、証明書発行装置１００は、証明書発行機関用第一アルゴリズム公開鍵と秘密鍵とを作成する（Ｓ１０１）。具体的には、鍵生成部１０３がこれらの公開鍵と秘密鍵とを作成する。また、証明書発行装置１００は、証明書発行機関用第二アルゴリズム公開鍵と秘密鍵とを作成する（Ｓ１０２）。具体的には、鍵生成部１０３がこれらの公開鍵と秘密鍵とを作成する。

　ここで、端末装置４００は、証明書発行機関用公開鍵リクエストを証明書発行装置１００に送信する。例えば、端末装置４００において、図２３に示すような鍵生成の設定の画面表示がされ、図２４に示すように「公開鍵」を選択することで証明書発行機関用公開鍵リクエストが送信される。証明書発行装置１００では、端末装置４００がハイブリッド方式に対応しているか否かを判定する（Ｓ１０３）。例えば、端末装置４００において、図２６に示すようなハイブリッド方式に対応しているか否かの入力の画面表示がされ、図２７に示すように「対応」を選択する。そして、図２８に示すハイブリッド証明書の発行の有無を選択する画面に遷移し、図２９に示すように「はい」を選択することでハイブリッド方式に対応していることが通信システムに入力される。

　端末装置４００がハイブリッド方式に対応していると判定されると（Ｓ１０３で「対応」）、証明書発行装置１００は、証明書発行機関用第一アルゴリズム公開鍵、及び、証明書発行機関用第二アルゴリズム公開鍵を端末装置４００へと送信する。

　図２８に示す画面において、図２９に示すように「はい」を選択した後に、例えば、図３０に示すように、第一アルゴリズムをいくつかの選択肢の中から選択する画面に遷移する。まず、第一アルゴリズムとして、例えば、図３１に示すように、いくつかの選択肢の中から「アルゴリズムＡ」を選択したとする。次に、図３２に示すように、第二アルゴリズムをいくつかの選択肢の中から選択する画面に遷移する。例えば、図３３に示すように、いくつかの選択肢の中から「アルゴリズムＥ」を選択したとすると、「アルゴリズムＡ」の証明書発行機関用第一アルゴリズム公開鍵、及び、「アルゴリズムＥ」の証明書発行機関用第二アルゴリズム公開鍵が作成され、図３４に示す画面が表示される。

　一方で、端末装置４００がハイブリッド方式に対応していないと判定されると（Ｓ１０３で「非対応」）、証明書発行装置１００は、証明書発行機関用第一アルゴリズム公開鍵のみを端末装置４００へと送信する。

　例えば、図２８に示す画面において、図３５に示すように「いいえ」を選択した後に、図３６に示すように、第一アルゴリズムをいくつかの選択肢の中から選択する画面に遷移する。第一アルゴリズムとして、例えば、図３７に示すように、いくつかの選択肢の中から「アルゴリズムＡ」を選択したとすると、「アルゴリズムＡ」の証明書発行機関用第一アルゴリズム公開鍵が作成され、図３４に示す画面が表示される。

　また、例えば、図２６に示す画面において、図３８に示すように「非対応」を選択した場合も、図３６に示す画面に遷移し、図３７に示す画面に遷移し、図３４に示す画面に遷移する。

　図１０のＮ１に進み、端末装置３００は、証明書と秘密鍵とのリクエストを証明書発行装置１００へと送信する。例えば、端末装置３００において、図２３に示すような鍵生成の設定の画面表示がされ、図２５に示すように「証明書と秘密鍵」を選択することで証明書と秘密鍵とのリクエストが送信される。証明書発行装置１００では、端末装置３００がハイブリッド方式に対応しているか否かを判定する（Ｓ２０１）。例えば、端末装置３００において、図２６に示すようなハイブリッド方式に対応しているか否かの入力の画面表示がされ、図２７に示すように「対応」を選択する。そして、図２８に示すハイブリッド証明書の発行の有無を選択する画面に遷移し、図２９に示すように「はい」を選択することでハイブリッド方式に対応していることが通信システムに入力される。以降、図３０～図３８の画面を端末装置４００と同様に遷移するものであるため、説明を省略する。

　端末装置３００がハイブリッド方式に対応していると判定されると（Ｓ２０１で「対応」）、証明書発行装置１００は、証明書用第一アルゴリズム公開鍵と秘密鍵とを作成する（Ｓ２０２）。また、証明書発行装置１００は、証明書用第二アルゴリズム公開鍵と秘密鍵とを作成する（Ｓ２０３）。また、証明書発行装置１００は、第一アルゴリズム証明書を作成する（Ｓ２０４）。また、証明書発行装置１００は、第二アルゴリズム証明書を作成する（Ｓ２０５）。そして、証明書発行装置１００は、第一アルゴリズム証明書と対応する秘密鍵、及び、第二アルゴリズム証明書と対応する秘密鍵を端末装置３００に送信する。一方で、端末装置３００がハイブリッド方式に対応していないと判定されると（Ｓ２０１で「非対応」）、図１３のＮ２に進む。図１３については後述する。

　ここで、図１１及び図１２は、上記の動作の別例を示している。より具体的には、上記の処理の一部を共通鍵発行装置２００が行う。なお、この別例に係る動作においても、端末装置４００及び端末装置３００によって、図２３～図３８に示す画面表示と、それに対する操作の受け付けが行われてもよい。例えば、図１１は、図９に対して、共通鍵発行装置２００が証明書発行機関用公開鍵リクエストを証明書発行装置１００に送信する。なお、ステップＳ３０１及びステップＳ３０２は、それぞれ、ステップＳ１０１及びステップＳ１０２と同様であるので、説明を省略する。そして、証明書発行装置１００は、ステップＳ１０３と同様に、端末装置４００がハイブリッド方式に対応しているか否かを判定する（Ｓ３０３）。端末装置４００がハイブリッド方式に対応していると判定されると（Ｓ３０３で「対応」）、証明書発行装置１００は、証明書発行機関用第一アルゴリズム公開鍵、及び、証明書発行機関用第二アルゴリズム公開鍵を、共通鍵発行装置２００経由で端末装置４００へと送信する。一方で、端末装置４００がハイブリッド方式に対応していないと判定されると（Ｓ３０３で「非対応」）、証明書発行装置１００は、証明書発行機関用第一アルゴリズム公開鍵のみを共通鍵発行装置２００経由で端末装置４００へと送信する。

　図１２のＮ３に進み、ここでは、共通鍵発行装置２００が証明書と秘密鍵とのリクエストを証明書発行装置１００へと送信する。証明書発行装置１００は、ステップＳ２０１と同様に、端末装置３００がハイブリッド方式に対応しているか否かを判定する（Ｓ４０１）。ステップＳ４０２～ステップＳ４０５は、それぞれ、ステップＳ２０２～ステップＳ２０５と同様であるので、説明を省略する。端末装置３００がハイブリッド方式に対応していると判定されると（Ｓ４０１で「対応」）、証明書発行装置１００は、ステップＳ４０２～ステップＳ４０５を実行した後、第一アルゴリズム証明書と対応する秘密鍵、及び、第二アルゴリズム証明書と対応する秘密鍵を、共通鍵発行装置２００経由で端末装置３００に送信する。端末装置３００がハイブリッド方式に対応していないと判定されると（Ｓ４０１で「非対応」）、図１３のＮ２に進む。

　図１３に示すように、図１０のＳ２０１で「非対応」、又は、図１２のＳ４０１で「非対応」となった場合、証明書発行装置１００は、証明書用第一アルゴリズム公開鍵と秘密鍵とを作成する（Ｓ５０１）。そして、証明書発行装置１００は、第一アルゴリズム証明書を作成し（Ｓ５０２）、第一アルゴリズム証明書と対応する秘密鍵とを端末装置３００に送信する。その後、処理が終了される。

　なお、図４に示す構成の場合、図１４に示すように、共通鍵発行装置２００は、共通鍵を作成し（Ｓ６０１）、端末装置４００へと送信する。その後、処理が終了される。

　また、図５に示す構成の場合、図１５に示すように、共通鍵発行装置２００は、フラグを作成し（Ｓ７０１）、テストメッセージを作成し（Ｓ７０２）、共通鍵を作成する（Ｓ７０３）。そして、共通鍵発行装置２００は、フラグを端末装置３００及び４００に送信する。また、共通鍵発行装置２００は、テストメッセージを端末装置３００及び４００に送信する。そして、共通鍵発行装置２００は、共通鍵を端末装置４００へと送信する。その後、処理が終了される。

　次に、図１６に示すように、端末装置３００と端末装置４００との間でハイブリッド方式での通信が行えるか否かを確認するための事前通信が行われる。まず、端末装置３００は、第一アルゴリズム証明書を端末装置４００へと送信する。このとき、第一アルゴリズム証明書には、non-criticalな拡張領域にハイブリッド通信、すなわち、古典方式（第１暗号化方式）と、ＰＱＣ方式（第２暗号化方式）とを併せた暗号化方式に対応することを示す確認フラグを含めている。より正確には、この通信方法では、第一アルゴリズム証明書の発行の際に、non-criticalな拡張領域に確認フラグが含まれるような第一アルゴリズム証明書を発行させる。

　端末装置４００では、第一アルゴリズム証明書を受信すると、Ｎｏｎｃｅを作成する（Ｓ８０１）。ここで、端末装置４００は、端末装置４００がハイブリッド方式に対応していれば、Ｎｏｎｃｅと確認フラグとを生成し、端末装置４００がハイブリッド方式に対応していなければ、Ｎｏｎｃｅのみを生成する。そのため、フラグ（確認フラグ）があるか否かの判定（Ｓ８０２）において、フラグがないと判定されると（Ｓ８０２で「無い」）、端末装置４００は、ハイブリッド方式に対応していないこととなる。この場合、図１９のＮ４に進む。図１９については後述する。例えば、端末装置４００には、図４０に示すフラグの有無の確認画面が表示されて、フラグがないことを確認することができる。そして、図４３に示す画面に遷移して終了する。

　一方で、フラグがあると判定されると（Ｓ８０２で「ある」）、端末装置４００は、ハイブリッド方式に対応していることとなる。例えば、端末装置４００には、図３９に示すフラグの有無の確認画面が表示されて、フラグがあることを確認することができる。そして、図４３に示す画面に遷移して終了する。端末装置４００は証明書への応答として、Ｎｏｎｃｅと確認フラグと、又は、Ｎｏｎｃｅのみを端末装置３００へと送信する。Ｎｏｎｃｅは、例えば１２８ｂｉｔの乱数である。

　端末装置３００は、フラグがあるか否かを判定し（Ｓ８０３）、フラグがないと判定されると（Ｓ８０３で「無い」）、端末装置４００は、ハイブリッド方式に対応していないこととなる。この場合、図２０のＮ５に進む。図２０については後述する。例えば、端末装置３００には、図４２に示すフラグの有無の確認画面が表示されて、フラグがないことを確認することができる。そして、図４３に示す画面に遷移して終了する。

　一方で、フラグがあると判定されると（Ｓ８０３で「ある」）、端末装置４００は、ハイブリッド方式に対応していることとなる。例えば、端末装置３００には、図４１に示すフラグの有無の確認画面が表示されて、フラグがあることを確認することができる。そして、図４３に示す画面に遷移して終了する。端末装置３００は、第一アルゴリズム署名を作成する（Ｓ８０４）。具体的には、端末装置３００は、Ｎｏｎｃｅと確認フラグとセッション鍵とを結合した値に、ＥＣ－ＤＳＡ方式などの古典暗号化方式で署名することで、第一アルゴリズム署名を生成する。

　端末装置３００は、生成した第一アルゴリズム署名を端末装置４００に送信する。端末装置４００は、第一アルゴリズム証明書を検証する（Ｓ８０５）。その際、秘密鍵に対応する公開鍵を抽出する。次に、端末装置４００は、第一アルゴリズム署名を検証する（Ｓ８０６）。検証には抽出した公開鍵を用いる。

　図１７のＮ６に進み、端末装置４００はセッション鍵を作成する（Ｓ９０１）。具体的には、端末装置４００は、端末装置３００から受信した公開鍵と端末装置４００が生成した秘密鍵とから１２８ビットの共通の鍵を生成する。端末装置４００は、セッション鍵により、端末装置３００及び４００間での通信に用いる共通鍵と、テストメッセージを暗号化する（Ｓ９０２）。具体的には、端末装置４００は、生成した１２８ビットの鍵で共通鍵とテストメッセージとをＡＥＳ方式で暗号化して送信する。

　端末装置４００は、暗号化したテストメッセージを端末装置３００に送信する。端末装置３００は、セッション鍵の作成を行う（Ｓ９０３）。具体的には、端末装置３００は、さらに、セッション鍵によって共通鍵とテストメッセージの復号を行う（Ｓ９０４）。その後、端末装置３００は、受信した、暗号化された共通鍵を復号してテストメッセージを検証する。

　そして、端末装置３００は、第二アルゴリズム証明書を端末装置４００へと送信する。端末装置４００では、Ｎｏｎｃｅの作成を行い（Ｓ９０５）、作成したＮｏｎｃｅを端末装置３００へと送信する。端末装置３００では、第二アルゴリズム署名を作成し（Ｓ９０６）作成した第二アルゴリズム署名を端末装置４００へと送信する。

　図１８のＮ７に進み、端末装置４００は、第二アルゴリズム証明書を検証する（Ｓ１００１）。また、端末装置４００は、第二アルゴリズム署名を検証する（Ｓ１００２）。その後、端末装置４００は、セッション鍵を作成し（Ｓ１００３）、作成したセッション鍵により共通鍵を暗号化する（Ｓ１００４）。端末装置４００は、暗号化した共通鍵を端末装置３００に送信する。端末装置３００では、セッション鍵の作成を行い（Ｓ１００５）、セッション鍵により暗号化した共通鍵を復号する（Ｓ１００６）。このようにして、ハイブリッド方式での通信が確立される（対応確認の事前通信処理を終了する）。

　ここで、図１９のＮ４以降の動作を説明する。Ｓ８０２で「無い」となった後に、端末装置４００は、Ｎｏｎｃｅを端末装置３００に送信する。端末装置３００は、端末装置４００がハイブリッド方式に対応していないため、第一アルゴリズムでの通信を行うように動作する。まず、端末装置３００は、第一アルゴリズム署名を作成する（Ｓ１１０１）。端末装置３００は、作成した第一アルゴリズム署名を端末装置４００に送信する。

　そして、端末装置４００では、第一アルゴリズム証明書を検証し（Ｓ１１０２）、第一アルゴリズム署名を検証し（Ｓ１１０３）、セッション鍵を作成する（Ｓ１１０４）。そして、端末装置４００は、作成したセッション鍵により、共通鍵を暗号化する（Ｓ１１０５）。端末装置４００は、暗号化した共通鍵を端末装置３００に送信する。端末装置３００では、セッション鍵の作成を行い（Ｓ１１０６）、セッション鍵により暗号化した共通鍵を復号する（Ｓ１１０７）。このようにして、第一アルゴリズム（すなわち古典方式）での通信が確立される（対応確認の事前通信処理を終了する）。

　また、図２０のＮ５以降の動作を説明する。Ｓ８０３で「無い」となった後に、端末装置３００は、第一アルゴリズム署名を作成する（Ｓ１２０１）。端末装置３００は、作成した第一アルゴリズム署名を端末装置４００に送信する。端末装置４００では、第一アルゴリズム証明書を検証し（Ｓ１２０２）、第一アルゴリズム署名を検証する（Ｓ１２０３）。例えば、図４４に示す第一アルゴリズム署名の検証の画面が表示される。このとき、検証ＮＧとなれば（Ｓ１２０３で「検証ＮＧ」）、図２１のＮ８に進む。図２１については後述する。

　第一アルゴリズム署名の検証がＯＫとなれば（Ｓ１２０３で「検証ＯＫ」）、セッション鍵の作成に進む（Ｓ１２０４）。例えば、図４５に示す、検証結果が「ＯＫ」であることを示す画面が表示され、図４６に示す、検証が終了したことを示す画面に遷移する。そして、端末装置４００は、作成したセッション鍵により、共通鍵を暗号化する（Ｓ１２０５）。端末装置４００は、暗号化した共通鍵を端末装置３００に送信する。端末装置３００では、セッション鍵の作成を行い（Ｓ１２０６）、セッション鍵により暗号化した共通鍵を復号する（Ｓ１２０７）。このようにして、第一アルゴリズム（すなわち古典方式）での通信が確立される（対応確認の事前通信処理を終了する）。

　次に、図２１のＮ８以降の動作を説明する。第一アルゴリズム署名の検証がＮＧとなれば（Ｓ１２０３で「検証ＮＧ」）、端末装置４００は、通信を継続するか終了するかを判定する（Ｓ１３０１）。例えば、図４７に示す、検証結果が「ＮＧ」であることを示す画面が表示され、図４８に示す、通信を継続するか終了するかを選択する画面に遷移する。端末装置４００が、通信を終了すると判定した場合（Ｓ１３０１で「通信終了」）、通信を終了して、全ての処理が終了する。例えば、図５１に示すように、「終了」を選択すると、図５２に示す、通信が終了したことを示す画面に遷移する。一方、端末装置４００が、通信を継続すると判定した場合（Ｓ１３０１で「通信継続」）、端末装置４００は、セッション鍵を作成する（Ｓ１３０２）。例えば、図４９に示すように、「通信継続」を選択すると、図５０に示す、通信を継続することを示す画面に遷移する。そして、端末装置４００は、作成したセッション鍵により、検知フラグを暗号化する（Ｓ１３０３）。検知フラグは、メッセージに対する改ざんがあったことを示すフラグである。つまり、攻撃者によって、古典方式での通信にさせられている可能性があるため、通信を継続するのであれば、ＰＱＣ方式で継続することが望ましい。そのため、以降では、ＰＱＣ方式に相当する第二アルゴリズムでの通信に切り替わるようになっている。

　端末装置４００は、暗号化した検知フラグを端末装置３００に送信する。そして、端末装置４００は、セッション鍵の作成を行い（Ｓ１３０４）、セッション鍵により暗号化した検知フラグを復号する（Ｓ１３０５）。このようにして、端末装置３００では、検知フラグを受信することで改ざんがあったことを検知する。その後、端末装置３００は、第二アルゴリズム証明書を端末装置４００に送信する。端末装置４００は、Ｎｏｎｃｅを作成し（Ｓ１３０６）、作成したＮｏｎｃｅを端末装置３００へと送信する。

　図２２のＮ９に進み、端末装置３００は、第二アルゴリズム署名を作成し（Ｓ１４０１）作成した第二アルゴリズム署名を端末装置４００へと送信する。端末装置４００は、第二アルゴリズム証明書を検証する（Ｓ１４０２）。また、端末装置４００は、第二アルゴリズム署名を検証する（Ｓ１４０３）。その後、端末装置４００は、セッション鍵を作成し（Ｓ１４０４）、作成したセッション鍵により共通鍵を暗号化する（Ｓ１４０５）。端末装置４００は、暗号化した共通鍵を端末装置３００に送信する。端末装置３００では、セッション鍵の作成を行い（Ｓ１４０６）、セッション鍵により暗号化した共通鍵を復号する（Ｓ１４０７）。このようにして、ＰＱＣ方式での通信が確立される（対応確認の事前通信処理を終了する）。

　［変形例］
　以下説明する変形例では、上記実施の形態における図１６、図１７、図１９及び図２０に対応する図５３～図５６を説明に用いる。説明では、上記実施の形態と比較して異なる点を中心に述べ、上記実施の形態と比較して一致する点の説明を省略する。図５３～図５６は、実施の形態の変形例に係る通信システムの動作の一例を説明するシーケンス図である。

　上記実施の形態では、図３０～図３３、図３６～図３７に示すように、第一アルゴリズム及び第二アルゴリズムをいくつかの選択肢の中から選択して利用することを説明した。端末装置３００及び端末装置４００の間で、どのアルゴリズムを選択したかを合わせる必要があるが、その際、通信システムに選択されたアルゴリズムが同じであるかを確認する機能が付されてもよい。そこで、変形例に係る通信システムでは、図１６～図２０において説明した動作に加えて、アルゴリズムが同じであるかを確認するステップ（Ｓ８００、Ｓ９００、Ｓ１１００及びＳ１２００）が追加されている。

　図５３は、図１６に対応しており、図１６に示す通信システムの動作に加えて、アルゴリズムが同じであるかを確認するステップ（Ｓ８００）が追加されている。ここでは、端末装置３００が生成した第一アルゴリズム署名を端末装置４００に送信した後に、端末装置４００で第一アルゴリズムが同じであるかを確認する（Ｓ８００）。また、端末装置３００において、これから第一アルゴリズムとして使用を予定しているアルゴリズムと、端末装置４００において第一アルゴリズムとして選択されたアルゴリズムとが同じであるかを確認してもよい。

　図５４は、図１７に対応しており、図１７に示す通信システムの動作に加えて、アルゴリズムが同じであるかを確認するステップ（Ｓ９００）が追加されている。ここでは、端末装置３００が生成した第二アルゴリズム署名を端末装置４００に送信した後に、端末装置４００で第二アルゴリズムが同じであるかを確認する（Ｓ９００）。また、端末装置３００において、これから第二アルゴリズムとして使用を予定しているアルゴリズムと、端末装置４００において第二アルゴリズムとして選択されたアルゴリズムとが同じであるかを確認してもよい。

　図５５は、図１９に対応しており、図１９に示す通信システムの動作に加えて、アルゴリズムが同じであるかを確認するステップ（Ｓ１１００）が追加されている。ここでは、端末装置３００が生成した第一アルゴリズム署名を端末装置４００に送信した後に、端末装置４００で第一アルゴリズムが同じであるかを確認する（Ｓ１１００）。また、端末装置３００において、これから第一アルゴリズムとして使用を予定しているアルゴリズムと、端末装置４００において第一アルゴリズムとして選択されたアルゴリズムとが同じであるかを確認してもよい。

　図５６は、図２０に対応しており、図２０に示す通信システムの動作に加えて、アルゴリズムが同じであるかを確認するステップ（Ｓ１２００）が追加されている。ここでは、端末装置３００が生成した第一アルゴリズム署名を端末装置４００に送信した後に、端末装置４００で第一アルゴリズムが同じであるかを確認する（Ｓ１２００）。また、端末装置３００において、これから第一アルゴリズムとして使用を予定しているアルゴリズムと、端末装置４００において第一アルゴリズムとして選択されたアルゴリズムとが同じであるかを確認してもよい。

　（その他の実施の形態）
　上記実施の形態において、ステップＳ８０２で「ある」に進んだ際、端末装置３００と端末装置４００とがそれぞれ第二アルゴリズムに対応していることとなる。例えば、ＰＱＣ方式の安全性に対する評価が十分に行われた以降など、ＰＱＣ方式を単独で利用しても差し支えない状況においては、端末装置３００と端末装置４００とがそれぞれ第二アルゴリズムに対応しているとわかった場合（ステップＳ８０２で「ある」）、第一アルゴリズムによる通信のための処理を行わずに、第二アルゴリズムによる通信のための処理（ステップＳ９０４以降の第二アルゴリズム証明書送付からの処理）のみを行ってもよい。

　また、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。

　また、各構成要素は、回路（または集積回路）でもよい。これらの回路は、全体として１つの回路を構成してもよいし、それぞれ別々の回路でもよい。また、これらの回路は、それぞれ、汎用的な回路でもよいし、専用の回路でもよい。

　また、本開示の全般的または具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよい。また、システム、装置、方法、集積回路、コンピュータプログラム及びコンピュータ読み取り可能な非一時的な記録媒体の任意な組み合わせで実現されてもよい。

　例えば、本開示は、通信に係る各種装置（コンピュータまたはＤＳＰ）が実行する通信方法として実現されてもよいし、上記通信方法をコンピュータまたはＤＳＰに実行させるためのプログラムとして実現されてもよい。

　また、上記実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、上記実施の形態において説明された通信システムの動作における複数の処理の順序は、変更されてもよいし、複数の処理は、並行して実行されてもよい。

　その他、各実施の形態に対して当業者が思いつく各種変形を施して得られる形態、または、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。

　本開示は、ハイブリッド方式を適用する際の通信方法などとして有用である。

　　１００　証明書発行装置
　　１０１、２０１、２０１ａ、３０１、３０１ａ、４０１　乱数生成部
　　１０２、２０２ａ　フラグ生成部
　　１０３、３０６ａ　鍵生成部
　　１０４、３０２、３０２ａ　署名生成部
　　１０５　証明書生成部
　　１０６、２０３、２０５ａ、３０６、３０７ａ、４０７　通信部
　　２００、２００ａ　共通鍵発行装置
　　２０２、２０４ａ　共通鍵生成部
　　２０３ａ　テストメッセージ生成部
　　３００、３００ａ、４００　端末装置
　　３０３、３０３ａ　セッション鍵生成部
　　３０４、３０４ａ　セッション鍵確認部
　　３０５、３０５ａ　証明書格納部
　　４０２　Ｎｏｎｃｅフラグ生成部
　　４０３　セッション鍵生成部
　　４０４　署名検証部
　　４０５　証明書検証部
　　４０６　証明書読取部

Claims

　第１機器と第２機器との間における通信方法であって、
　前記第１機器が、第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を前記第２機器に送信し、
　前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅ及び前記確認フラグに基づいて生成した署名を前記第２機器に送信し、
　前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅに基づいて生成した署名を前記第２機器に送信する
　通信方法。
　前記第１機器が、前記証明書の送信に対して前記第２機器が応答として送信した前記メッセージと、前記メッセージの受信に対して前記第１機器から前記第２機器に送信された前記署名とが整合しないことに基づいて、前記第２機器が生成した検知フラグであって、前記メッセージに対する改ざんがあったことを示す検知フラグを受信した場合、前記第１機器と前記第２機器との間の通信セッションを前記異なる暗号化方式で継続する
　請求項１に記載の通信方法。
　前記第１機器が、前記証明書の送信に対して前記第２機器が応答として送信した前記メッセージと、前記メッセージの受信に対して前記第１機器から前記第２機器に送信された前記署名とが整合しないことに基づいて、前記第２機器が生成した検知フラグであって、前記メッセージに対する改ざんがあったことを示す検知フラグを受信した場合、前記第１機器と前記第２機器との間の通信セッションを終了する
　請求項１に記載の通信方法。
　前記第１暗号化方式は、ＲＳＡ方式又はＥＣ－ＤＳＡ方式であり、
　前記異なる暗号化方式は、ＰＱＣ方式である
　請求項１～３のいずれか１項に記載の通信方法。
　第１機器と第２機器との間における通信方法であって、
　前記第２機器が、前記第１機器からの第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信し、
　前記第２機器が、前記異なる暗号化方式に対応する場合に、前記第２機器は、受信した前記証明書に対する応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを前記第１機器に送信し、
　前記第２機器が、前記異なる暗号化方式に対応しない場合に、前記第２機器は、受信した前記証明書に対する応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを前記第１機器に送信し、
　前記第２機器が、前記第１機器から、送信した前記メッセージに含まれる前記Ｎｏｎｃｅと、前記Ｎｏｎｃｅ及び前記確認フラグとのいずれかに基づいて生成された署名を受信する
　通信方法。
　第１機器と第２機器との間における通信方法であって、
　前記第１機器が、第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を前記第２機器に送信し、
　前記第２機器が前記異なる暗号化方式に対応する場合に、前記第２機器は、受信した前記証明書に対する応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを前記第１機器に送信し、
　前記第２機器が前記異なる暗号化方式に対応しない場合に、前記第２機器は、受信した前記証明書に対する応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを前記第１機器に送信し、
　前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅ及び前記確認フラグに基づいて生成した署名を前記第２機器に送信し、
　前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅに基づいて生成した署名を前記第２機器に送信する
　通信方法。
　第２機器と通信可能な第１機器であって、
　第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を生成する証明書生成部と、
　署名生成部と、を備え、
　前記署名生成部は、
　　生成した前記証明書を前記第２機器に送信した場合に前記第２機器からの応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを受信した場合、受信した前記メッセージに含まれる前記Ｎｏｎｃｅ及び前記確認フラグに基づいて署名を生成し、
　　生成した前記証明書を前記第２機器に送信した場合に前記第２機器からの応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを受信した場合、受信した前記メッセージに含まれる前記Ｎｏｎｃｅに基づいて署名を生成する
　第１機器。
　第１機器と通信可能な第２機器であって、
　メッセージ生成部であって、
　前記第１機器からの第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信した場合に、
　前記第２機器が前記異なる暗号化方式に対応していれば、受信した前記証明書に対する応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを生成し、
　前記第２機器が前記異なる暗号化方式に対応していなければ、受信した前記証明書に対する応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを生成する、メッセージ生成部と、
　前記第２機器が、前記第１機器から、送信した前記メッセージに含まれる前記Ｎｏｎｃｅと、前記Ｎｏｎｃｅ及び前記確認フラグとのいずれかに基づいて生成された署名を受信する通信部と、を備える
　第２機器。
　第１機器と第２機器との間における通信方法をコンピュータに実行させるためのプログラムであって、
　前記通信方法では、
　前記第１機器が、第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を前記第２機器に送信し、
　前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅ及び前記確認フラグに基づいて生成した署名を前記第２機器に送信し、
　前記第１機器が、前記証明書の送信に対する前記第２機器からの応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを受信した場合、前記第１機器は、受信した前記メッセージに含まれる前記Ｎｏｎｃｅに基づいて生成した署名を前記第２機器に送信する
　プログラム。
　第１機器と第２機器との間における通信方法をコンピュータに実行させるためのプログラムであって、
　前記通信方法では、
　前記第２機器が、前記第１機器からの第１暗号化方式の証明書であって、前記第１暗号化方式とは異なる暗号化方式に対応することを示す確認フラグを含む証明書を受信し、
　前記第２機器が、前記異なる暗号化方式に対応する場合に、前記第２機器は、受信した前記証明書に対する応答として、Ｎｏｎｃｅと前記確認フラグとを含むメッセージを前記第１機器に送信し、
　前記第２機器が、前記異なる暗号化方式に対応しない場合に、前記第２機器は、受信した前記証明書に対する応答として、前記Ｎｏｎｃｅを含み、かつ、前記確認フラグを含まないメッセージを前記第１機器に送信し、
　前記第２機器が、前記第１機器から、送信した前記メッセージに含まれる前記Ｎｏｎｃｅと、前記Ｎｏｎｃｅ及び前記確認フラグとのいずれかに基づいて生成された署名を受信する
　プログラム。