[go: up one dir, main page]

JP2020022057A - 暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システム - Google Patents

暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システム Download PDF

Info

Publication number
JP2020022057A
JP2020022057A JP2018144062A JP2018144062A JP2020022057A JP 2020022057 A JP2020022057 A JP 2020022057A JP 2018144062 A JP2018144062 A JP 2018144062A JP 2018144062 A JP2018144062 A JP 2018144062A JP 2020022057 A JP2020022057 A JP 2020022057A
Authority
JP
Japan
Prior art keywords
data
digital signature
unit
hash value
encrypted data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018144062A
Other languages
English (en)
Inventor
坂田 洋
Hiroshi Sakata
洋 坂田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Electronic Devices and Storage Corp
Original Assignee
Toshiba Corp
Toshiba Electronic Devices and Storage Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Electronic Devices and Storage Corp filed Critical Toshiba Corp
Priority to JP2018144062A priority Critical patent/JP2020022057A/ja
Priority to CN201910114600.3A priority patent/CN110784302A/zh
Priority to US16/287,139 priority patent/US20200228346A1/en
Publication of JP2020022057A publication Critical patent/JP2020022057A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/26Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】平文データに対するデジタル署名の生成において、平文データが露出することを防止する。【解決手段】一つの実施形態によれば、暗号化データ生成装置は、第1のハッシュ値生成部と、暗号化部と、送信部と、を備える。第1のハッシュ値生成部は、平文データから、所定のハッシュ関数によって第1のハッシュ値を生成する。暗号化部は、平文データを暗号化して、暗号化データを生成する。送信部は、第1のハッシュ値と、暗号化データとを外部装置に送信する。【選択図】図1

Description

本実施形態は、暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システムに関する。
従来から、平文データをハッシュ関数に入力することで得られたハッシュ値から、デジタル署名を生成する技術が知られている。
しかしながら、平文データを生成する装置と、デジタル署名を生成する装置とが異なる場合がある。このような場合に、平文データが露出することを防止するために、装置間での平文データの受け渡しを回避することについてのニーズがあった。
特許4575251号公報 特許6167990号公報 特許3854804号公報
一つの実施形態は、平文データに対するデジタル署名の生成において、平文データが露出することを防止することを目的とする。
一つの実施形態によれば、暗号化データ生成装置は、第1のハッシュ値生成部と、暗号化部と、送信部と、を備える。第1のハッシュ値生成部は、平文データから、所定のハッシュ関数によって第1のハッシュ値を生成する。暗号化部は、平文データを暗号化して、暗号化データを生成する。送信部は、第1のハッシュ値と、暗号化データとを外部装置に送信する。
図1は、実施形態にかかるデジタル署名付きデータ生成システムの全体構成の一例を示す図である。 図2は、実施形態にかかる暗号化データ生成処理の流れの一例を示すフローチャートである。 図3は、実施形態にかかる署名付きデータ生成処理の流れの一例を示すフローチャートである。 図4は、実施形態にかかるデジタル署名生成処理の流れの一例を示すフローチャートである。
以下に添付図面を参照して、実施形態にかかる暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システムを詳細に説明する。なお、この実施形態により本発明が限定されるものではない。
図1は、実施形態にかかるデジタル署名付きデータ生成システムSの全体構成の一例を示す図である。本実施形態のデジタル署名付きデータ生成システムS(以下、署名付きデータ生成システムSという)は、PC(Personal Computer)1と、署名付きデータ生成サーバ2と、署名生成サーバ3とを備える。また、署名付きデータ生成サーバ2と、署名生成サーバ3とを総称して署名付きデータ生成部200ともいう。また、本実施形態において、単に「署名」という場合、デジタル署名(電子署名)を指すものとする。
PC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とは、CPUなどの制御装置と、ROM(Read Only Memory)やRAMなどの記憶装置と、HDD、フラッシュメモリなどの外部記憶装置と、をそれぞれ備えており、通常のコンピュータを利用したハードウェア構成となっている。また、PC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とは、LAN(Local Area Network)などのネットワークを介して接続している。
PC1は、第1のハッシュ値生成部11と、暗号化部12と、第1の結合部13と、第1の送信部14と、記憶部15とを備える。PC1は、本実施形態における暗号化データ生成装置の一例である。また、PC1は、署名付きデータ生成システムSにおける暗号化データ生成部ともいう。
記憶部15は、平文ファームウェア41と、暗号化鍵5とを記憶する。記憶部15は、例えばHDDやフラッシュメモリ等の記憶装置である。
平文ファームウェア41は、ハードディスク装置用のファームウェアであり、暗号化されていない状態であるものとする。平文ファームウェア41は、本実施形態における平文データの一例である。
暗号化鍵5は、共通鍵方式の暗号鍵であり、予め定められたものとする。
第1のハッシュ値生成部11は、平文ファームウェア41から、所定のハッシュ関数によって第1のハッシュ値6を生成する。具体的には、第1のハッシュ値生成部11は、平文ファームウェア41を所定のハッシュ関数に入力して、第1のハッシュ値6を算出(生成)する。本実施形態においては、所定のハッシュ関数は、例えばSHA−256とするが、これに限定されるものではない。
暗号化部12は、暗号化鍵5により共通鍵方式で平文ファームウェア41を暗号化して、暗号化ファームウェア42を生成する。暗号化ファームウェア42は、本実施形態における暗号化データの一例である。
本実施形態においては、平文ファームウェア41は共通鍵方式で暗号化されるため、暗号化鍵5は、後述の署名付きデータ生成サーバ2から出力された署名付き暗号化ファームウェア43の復号にも用いられる。暗号化鍵5は、署名付き暗号化ファームウェア43のダウンロード先であるハードディスク装置に予め保存されても良いし、署名付き暗号化ファームウェア43とは別の手段で、ハードディスク装置に送信されても良い。また、暗号化鍵5は、ハードディスク装置のユーザによって手動でハードディスク装置に登録されるものとしても良い。
また、第1の結合部13は、暗号化ファームウェア42に、メタデータ9を結合する。以下、暗号化ファームウェア42と、メタデータ9とを結合したデータを、結合データ40という。メタデータ9は、暗号化ファームウェア42に関する情報を含むデータであり、一例として、暗号化ファームウェア42を特定可能な識別情報、およびデジタル署名の有無を示す情報を含む。第1の結合部13がメタデータ9を結合する時点では、暗号化ファームウェア42にデジタル署名は付加されていないため、メタデータ9には、デジタル署名が付加されていないことを示す情報が含まれる。メタデータ9は、予め記憶部15に保存されているものとしても良いし、第1の結合部13が生成するものとしても良い。
また、第1の結合部13は、暗号化ファームウェア42のデータ長が所定のデータ長であるか否かを判断し、暗号化ファームウェア42のデータ長が所定のデータ長ではないと判断した場合に、所定のデータ長との差異を埋めるパディングデータを暗号化ファームウェア42に追加(結合)する。例えば、所定のデータ長は、ハードディスクの1セクタのサイズ(例えば、512バイト)の倍数とする。第1の結合部13は、暗号化ファームウェア42のデータ長が512バイトの倍数ではない場合に、パディングデータ(例えば“0”)を追加して、暗号化ファームウェア42とパディングデータとデータ長の合計を512バイトの倍数にする。また、第1の結合部13は、メタデータ9に対しても、所定のデータ長との差異を埋めるパディングデータを追加しても良い。
第1の送信部14は、第1のハッシュ値6と、暗号化ファームウェア42とを署名付きデータ生成サーバ2に送信する。より詳細には、第1の送信部14は、パディングデータを追加済みの暗号化ファームウェア42とメタデータ9とを含む結合データ40と、第1のハッシュ値6と、を署名付きデータ生成サーバ2に送信する。
署名付きデータ生成サーバ2は、第1の取得部21と、第2の送信部22と、第2の取得部23と、第2の結合部24と、第1の出力部25と、を含む。署名付きデータ生成サーバ2は、本実施形態におけるデジタル署名付きデータ生成装置および外部装置の一例である。
第1の取得部21は、PC1から、暗号化ファームウェア42と、第1のハッシュ値6と、を取得する。より詳細には、第1の取得部21は、暗号化ファームウェア42とメタデータ9とを含む結合データ40と、第1のハッシュ値6とを取得する。
第2の送信部22は、第1の取得部21によって取得された第1のハッシュ値6を、署名生成サーバ3に送信する。
第2の取得部23は、署名生成サーバ3によって生成されたデジタル署名8を取得する。デジタル署名8は、平文ファームウェア41に対するデジタル署名である。デジタル署名の生成の手法の詳細については後述する。第1の取得部21と第2の取得部23とを特に区別しない場合には、単に取得部という。
第2の結合部24は、デジタル署名8と、暗号化ファームウェア42と、メタデータ9を結合して、署名付き暗号化ファームウェア43を生成する。
本実施形態の署名付き暗号化ファームウェア43は、メタデータ9と、デジタル署名8と、暗号化ファームウェア42と、を含む。署名付き暗号化ファームウェア43は、本実施形態におけるデジタル署名付き暗号化データの一例である。
また、第2の結合部24は、メタデータ9を暗号化ファームウェア42に結合する前に、メタデータ9の内容を更新する。例えば、第2の結合部24は、暗号化ファームウェア42がデジタル署名8を有していることを示す情報、および、署名付き暗号化ファームウェア43における、デジタル署名8と、暗号化ファームウェア42とを識別する情報(例えば、署名付き暗号化ファームウェア43におけるデジタル署名8と暗号化ファームウェア42の記載範囲を示す情報)をメタデータ9に追加する。
第1の出力部25は、第2の結合部24によって生成された署名付き暗号化ファームウェア43を出力する。出力された署名付き暗号化ファームウェア43は、例えば、インターネット等のネットワークを介してハードディスク装置にダウンロードされる。また、署名付き暗号化ファームウェア43の出力の手法はこれに限定されるものではなく、第1の出力部25は、署名付き暗号化ファームウェア43を、記憶媒体に保存(出力)しても良い。
署名生成サーバ3は、鍵生成部31と、第3の取得部32と、デジタル署名生成部33と、第3の送信部34と、第2の出力部35と、記憶部36とを備える。署名生成サーバ3は、本実施形態におけるデジタル署名生成装置の一例である。
鍵生成部31は、一対の秘密鍵71と公開鍵72とを生成し、記憶部36に保存する。
第3の取得部32は、署名付きデータ生成サーバ2から第1のハッシュ値6を取得する。
デジタル署名生成部33は、第2のハッシュ値生成部331を備える。第2のハッシュ値生成部331は、第1のハッシュ値6から、所定のハッシュ関数によって第2のハッシュ値を生成する。より詳細には、第2のハッシュ値生成部331は、第1のハッシュ値6を所定のハッシュ関数に入力して、第2のハッシュ値を算出(生成)する。第2のハッシュ値生成部331が用いるハッシュ関数は、PC1の第1のハッシュ値生成部11によって用いられるハッシュ関数と同一でも良いし、異なるものでも良い。なお、第2のハッシュ値生成部331をデジタル署名生成部33とは別個の構成としても良い。
また、デジタル署名生成部33は、記憶部36に保存された秘密鍵71により第2のハッシュ値を暗号化して、平文ファームウェア41に対するデジタル署名8を生成する。デジタル署名生成部33は、例えば、RSASSA−PKCS1−v1_5等の公知の暗号化のアルゴリズムによってデジタル署名8を生成する。
第3の送信部34は、デジタル署名生成部33によって生成されたデジタル署名8を、署名付きデータ生成サーバ2に送信する。
第2の出力部35は、デジタル署名生成部33で第2のハッシュ値を暗号化するために使用された秘密鍵71と対になる公開鍵72を、出力する。例えば、第2の出力部35は、インターネット等のネットワークを介して公開鍵72をハードディスク装置に送信する。公開鍵72の出力の手法は、これに限定されるものではなく、例えば、第2の出力部35は、公開鍵72を記憶媒体に保存(出力)しても良いし、インターネット等のネットワーク上に公開鍵72を公開しても良い。あるいは、第2の出力部35によって出力された公開鍵72は、出荷前のハードディスク装置に予め保存されても良い。
記憶部36は、鍵生成部31によって生成された秘密鍵71と公開鍵72とを記憶する。記憶部36は、例えば、回路の難読化または物理解析対策が施された耐タンパ性を有する記憶装置である。耐タンパの手法は、公知の技術を採用可能である。
次に、以上のように構成された本実施形態のPC1による暗号化データ生成処理について説明する。
図2は、本実施形態にかかる暗号化データ生成処理の流れの一例を示すフローチャートである。
第1のハッシュ値生成部11は、記憶部15に記憶された平文ファームウェア41を所定のハッシュ関数に入力して演算して、平文ファームウェア41から、第1のハッシュ値6を生成する(S1)。
次に、暗号化部12は、記憶部15に記憶された暗号化鍵5によって、平文ファームウェア41を暗号化する(S2)。
そして、第1の結合部13は、暗号化ファームウェア42のデータ長が512バイトの倍数であるか否かを判断し、暗号化ファームウェア42のデータ長が512バイトの倍数ではない場合、“0”等のパディングデータを暗号化ファームウェア42に追加する(S3)。
次に、第1の結合部13は、パディングデータを追加した暗号化ファームウェア42に、メタデータ9を結合して、結合データ40を生成する(S4)。また、暗号化ファームウェア42のデータ長が512バイトの倍数である場合は、第1の結合部13は、暗号化ファームウェア42にパディングデータを追加しなくとも良い。この場合、第1の結合部13は、パディングデータを追加していない暗号化ファームウェア42に、メタデータ9を結合する。
第1の送信部14は、署名付きデータ生成サーバ2に対して、結合データ40と第1のハッシュ値6とを対応付けて送信する(S5)。
次に、以上のように構成された本実施形態の署名付きデータ生成サーバ2によるデジタル署名付きデータ生成処理について説明する。
図3は、本実施形態にかかる署名付きデータ生成処理の流れの一例を示すフローチャートである。
第1の取得部21は、暗号化ファームウェア42とメタデータ9とを含む結合データ40と、第1のハッシュ値6とを取得する(S11)。
次に、第2の送信部22は、第1の取得部21によって取得された第1のハッシュ値6を、署名生成サーバ3に送信する(S12)。
そして、第2の取得部23は、S12で送信した第1のハッシュ値6に基づいて生成されたデジタル署名8を、署名生成サーバ3から取得する(S13)。
次に、第2の結合部24は、第1の取得部21によって取得されたメタデータ9を変更する(S14)。例えば、第2の結合部24は、暗号化ファームウェア42がデジタル署名8を有していることと、署名付き暗号化ファームウェア43におけるデジタル署名8と暗号化ファームウェア42の記載範囲を示す情報と、をメタデータ9に追加する。
次に、第2の結合部24は、暗号化ファームウェア42に、デジタル署名8と、変更されたメタデータ9とを結合して、署名付き暗号化ファームウェア43を生成する(S15)。
そして、第1の出力部25は、署名付き暗号化ファームウェア43を出力する(S16)。出力された署名付き暗号化ファームウェア43は、例えば、インターネット等のネットワークを介してハードディスク装置にダウンロードされる。
次に、以上のように構成された本実施形態の署名生成サーバ3によるデジタル署名生成処理について説明する。
図4は、本実施形態にかかるデジタル署名生成処理の流れの一例を示すフローチャートである。このフローチャートの処理が開始される前に、鍵生成部31が秘密鍵71と公開鍵72とを生成し、記憶部36に保存しているものとする。
第3の取得部32は、署名付きデータ生成サーバ2から第1のハッシュ値6を取得する(S21)。
第2のハッシュ値生成部331は、取得された第1のハッシュ値6を所定のハッシュ関数に入力して演算して、第1のハッシュ値6から第2のハッシュ値を生成する(S22)。
デジタル署名生成部33は、第2のハッシュ値生成部331によって生成された第2のハッシュ値を、記憶部36に保存された秘密鍵71によって暗号化して、平文ファームウェア41に対するデジタル署名8を生成する(S23)。
第3の送信部34は、デジタル署名生成部33によって生成されたデジタル署名8を、署名付きデータ生成サーバ2に送信する(S24)。
そして、第2の出力部35は、S23でデジタル署名生成部33によって第2のハッシュ値を暗号化するために使用された秘密鍵71と対になる公開鍵72を、出力する(S25)。例えば、第2の出力部35は、インターネット等のネットワークを介して、公開鍵72を、署名付き暗号化ファームウェア43がダウンロードされたハードディスク装置に送信する。
署名付き暗号化ファームウェア43がダウンロードされたハードディスク装置は、公開鍵72により署名付き暗号化ファームウェア43に含まれるデジタル署名8を復号して、第2のハッシュ値を算出する。また、当該ハードディスク装置は、暗号化鍵5によって署名付き暗号化ファームウェア43に含まれる暗号化ファームウェア42を復号する。当該ハードディスク装置は、暗号化ファームウェア42が復号されたことで得られた平文ファームウェア41を、第1の結合部13が使用した所定のハッシュ関数に入力して第1のハッシュ値6を算出する。さらに、当該ハードディスク装置は、第1のハッシュ値6を第2のハッシュ値生成部331が使用した所定のハッシュ関数に入力して第2のハッシュ値を算出する。
当該ハードディスク装置は、暗号化ファームウェア42から算出された第2のハッシュ値と、デジタル署名8から算出された第2のハッシュ値とを比較し、2つの第2のハッシュ値が同一であれば、平文ファームウェア41が改竄されていないと判断する。また、当該ハードディスク装置は、2つの第2のハッシュ値が同一でない場合は、平文ファームウェア41が改竄された可能性があると判断する。このような平文ファームウェア41の改竄の有無の判断の処理は、例えば、ハードディスク装置のブート処理の際に、ブート処理プログラムによって実行される。
このように、本実施形態のPC1は、平文ファームウェア41から生成した第1のハッシュ値6と、平文ファームウェア41を暗号化することによって生成した暗号化ファームウェア42と、を署名付きデータ生成サーバ2に送信する。このため、本実施形態のPC1によれば、装置間での平文ファームウェア41の受け渡しを回避することで、平文ファームウェア41が露出することを防止し、安全性に関するリスクを低減することができる。
例えば、従来技術においては、署名生成サーバが平文ファームウェアに対するデジタル署名を生成するために、第1のハッシュ値ではなく、平文ファームウェアを入力値として使用していた。このため、署名生成サーバがPCまたは署名付きデータ生成サーバから平文ファームウェアを取得する際に、平文ファームウェアの受け渡しが行われる場合があった。
また、従来技術においては、PCと署名付きデータ生成サーバとの間でのデータの受け渡しには暗号化されたデータを用いていても、デジタル署名の生成のために暗号化データを複合した後に、平文ファームウェアが露出する場合があった。一例として、従来技術では、署名付きデータ生成サーバは、PCから送信された暗号化ファームウェアを、暗号化鍵によって復号化して平文ファームウェアにした上で、当該平文ファームウェアを署名生成サーバに送信していた。このため、署名付きデータ生成サーバと署名生成サーバとの間の伝送の際に、平文ファームウェアがネットワーク上に露出するおそれがあった。
これに対して、本実施形態によれば、PC1は、平文ファームウェア41や暗号化鍵5ではなく、暗号化ファームウェア42と第1のハッシュ値6とを署名付きデータ生成サーバ2に送信するため、署名付きデータ生成サーバ2または署名生成サーバ3との伝送の際に平文ファームウェア41が露出することを防止することができる。
また、本実施形態の平文データは、ハードディスク装置用の平文ファームウェア41である。ハードディスク装置用では、ブート処理の際にデジタル署名8によって平文ファームウェア41の安全性を確認する処理が行われるため、生成された平文ファームウェア41に対するデジタル署名8が求められる。また、このような平文ファームウェア41を生成する装置(例えばPC1)と、デジタル署名8およびデジタル署名付きデータを生成する装置(例えば署名生成サーバ3、署名付きデータ生成サーバ2)とは、異なる装置が用いられることが一般的である。本実施形態のPC1によれば、ハードディスク装置用の平文ファームウェア41を暗号化した暗号化ファームウェア42と第1のハッシュ値6とを送信するため、平文ファームウェア41に対するデジタル署名8を提供する際に、ハードディスク装置用の平文ファームウェア41が露出することを防止することができる。
また、本実施形態のPC1は、共通鍵方式で平文ファームウェア41を暗号化する。共通鍵方式の方が、公開鍵方式よりも暗号鍵のデータ長(桁数)を短くすることが可能であるため、本実施形態のPC1によれば、暗号化ファームウェア42を復号するハードディスク装置のデータ容量を圧迫すること防止することができる。
また、本実施形態のPC1は、暗号化ファームウェア42のデータ長が所定のデータであるか否かを判断し、暗号化ファームウェア42のデータ長が所定のデータ長ではないと判断した場合に、所定のデータ長との差異を埋めるパディングデータを暗号化ファームウェア42に追加し、暗号化ファームウェア42に関する情報を含むメタデータ9と、パディングデータを追加済みの暗号化ファームウェア42とを結合した結合データ40を、署名付きデータ生成サーバ2に送信する。このため、本実施形態のPC1によれば、暗号化ファームウェア42がダウンロードされたハードディスク装置において、所定のデータ長単位で効率的に暗号化ファームウェア42を読み取ることができる。
また、本実施形態の署名生成サーバ3は、平文ファームウェア41から生成された第1のハッシュ値6から所定のハッシュ関数によって第2のハッシュ値を生成し、第2のハッシュ値から平文ファームウェア41に対するデジタル署名8を生成する。このため、本実施形態の署名付きデータ生成サーバ2によれば、平文ファームウェア41を直接使用せずに、平文ファームウェア41に対するデジタル署名8を生成することができる。このため、本実施形態の署名付きデータ生成サーバ2によれば、デジタル署名8を生成する際に平文ファームウェア41が露出することを防止することができる。
また、本実施形態の署名付きデータ生成サーバ2は、一対の秘密鍵71と公開鍵72とを生成し、秘密鍵71により第2のハッシュ値を暗号化して、デジタル署名8を生成する。また、署名付きデータ生成サーバ2は、公開鍵72を出力する。このため、本実施形態によれば、デジタル署名8を生成する署名付きデータ生成サーバ2内で秘密鍵71と公開鍵72とを生成しているため、秘密鍵71が露出することを防止し、安全性に関するリスクをさらに低減することができる。
また、本実施形態の署名付きデータ生成サーバ2は、平文ファームウェア41に対するデジタル署名8と、暗号化した暗号化ファームウェア42とを取得し、デジタル署名8と暗号化ファームウェア42とを結合して、署名付き暗号化ファームウェア43を生成する。このため、本実施形態の署名付きデータ生成サーバ2によれば、暗号化ファームウェア42を復号することなく、署名付き暗号化ファームウェア43を生成するため、平文ファームウェア41が露出することを防止することができる。
また、本実施形態のデジタル署名付きデータ生成システムSは、PC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とを備える。PC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とは、それぞれ上述の構成を備えるため、本実施形態のデジタル署名付きデータ生成システムSによれば、平文ファームウェア41が露出することを防止し、安全性に関するリスクを低減することができる。
なお、本実施形態では、平文データの一例として平文ファームウェア41を挙げて説明をしたが、本実施形態のデジタル署名の生成の手法は、他の平文データに対しても適用することができる。
なお、本実施形態では、鍵生成部31が秘密鍵71と公開鍵72とを予め生成し、記憶部36に保存するものとしたが、デジタル署名生成部33がデジタル署名8を生成するタイミングで、鍵生成部31が秘密鍵71と公開鍵72とを生成するものとしても良い。
また、鍵生成部31は、一対の秘密鍵71と公開鍵72を、1つのペアだけではなく、複数ペア生成しても良い。当該構成を採用する場合、記憶部36は、対となる秘密鍵71と公開鍵72とをペアごとに対応付けて記憶する。
また、PC1の暗号化部12は、共通鍵方式ではなく、公開鍵方式で平文ファームウェア41を暗号化しても良い。
また、本実施形態のメタデータ9、結合データ40、暗号化ファームウェア42に含まれる情報は一例であり、これに限定されるものではない。また、結合データ40および暗号化ファームウェア42は、メタデータ9またはパディングデータを含まない構成としても良い。また、デジタル署名8は、暗号化された第2のハッシュ値だけではなく、デジタル署名8の発行者や、平文ファームウェア41の作成者に関する情報等を含むものであっても良い。
また、本実施形態においては、第1の結合部13は、暗号化ファームウェア42のデータ長が512バイトの倍数である場合は、暗号化ファームウェア42にパディングデータを追加しなくとも良いとしたが、暗号化ファームウェア42のデータ長が512バイトの倍数である場合は、512バイト分のパディングデータを追加しても良い。第1の結合部13は、メタデータ9に対しても同様に、データ長が512バイトの倍数である場合は、512バイト分のパディングデータを追加しても良い。
また、署名付きデータ生成サーバ2と署名生成サーバ3の機能を1つのサーバが有するものとしても良い。また、本実施形態では、公開鍵72は署名生成サーバ3が出力するものとしたが、署名付きデータ生成サーバ2が署名付き暗号化ファームウェア43と共に出力するものとしても良い。
(変形例1)
上述の実施形態では、PC1は、メタデータ9と暗号化ファームウェア42とを含む結合データ40と、第1のハッシュ値6とを、署名付きデータ生成サーバ2に送信していたが、メタデータ9に第1のハッシュ値6が含まれるものとしても良い。例えば、第1の結合部13は、第1のハッシュ値生成部11によって生成された第1のハッシュ値6を含むメタデータ9を生成し、当該メタデータ9と暗号化ファームウェア42と結合して、結合データ40を生成する。当該構成を採用する場合、結合データ40内に第1のハッシュ値6が含まれるため、第1の送信部14は、結合データ40と第1のハッシュ値6分けて署名付きデータ生成サーバ2に送信しなくともよく、送信処理を効率化することができる。
(変形例2)
また、署名付きデータ生成サーバ2の第2の結合部24は、結合データ40に含まれるメタデータ9またはパディングデータの一部または全てを、デジタル署名8に置換して、署名付き暗号化ファームウェア43を生成しても良い。
本変形例では、メタデータ9は、暗号化ファームウェア42の本文と、パディングデータとを識別可能な情報(例えば、パディングデータ追加済みの暗号化ファームウェア42における暗号化ファームウェア42の本文とディングデータの記載範囲を示す情報)を含むものとする。例えば、第2の結合部24は、メタデータ9に含まれる情報に基づいて、パディングデータ追加済みの暗号化ファームウェア42から削除可能なパディングデータと、メタデータ9内の削除可能なデータとを特定し、当該削除可能なデータをデジタル署名8に置換する。
本変形例の署名付きデータ生成サーバ2によれば、単にデジタル署名8と、暗号化ファームウェア42と、メタデータ9を結合するのではなく、メタデータ9またはパディングデータの一部または全てをデジタル署名8に置換することで、署名付き暗号化ファームウェア43のデータ量を削減することができる。
本実施形態のPC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とで実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
また、本実施形態のPC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とで実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成しても良い。また、本実施形態のPC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とで実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成しても良い。また、本実施形態PC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とで実行されるプログラムを、ROM等に予め組み込んで提供するように構成してもよい。
本実施形態のPC1と、署名付きデータ生成サーバ2と、署名生成サーバ3とで実行されるプログラムは、上述した各部(第1のハッシュ値生成部、暗号化部、第1の結合部、第1の送信部、第1の取得部、第2の送信部、第2の取得部、第2の結合部、第1の出力部、鍵生成部、第3の取得部、デジタル署名生成部、第2のハッシュ値生成部、第3の送信部、第2の出力部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU(プロセッサ)が上記記憶媒体からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、第1のハッシュ値生成部、暗号化部、第1の結合部、第1の送信部、第1の取得部、第2の送信部、第2の取得部、第2の結合部、第1の出力部、鍵生成部、第3の取得部、デジタル署名生成部、第2のハッシュ値生成部、第3の送信部、第2の出力部が主記憶装置上に生成されるようになっている。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
1 PC、2 署名付きデータ生成サーバ、3 署名生成サーバ、5 暗号化鍵、6 第1のハッシュ値、8 デジタル署名、9 メタデータ、11 第1のハッシュ値生成部、12 暗号化部、13 第1の結合部、14 第1の送信部、15 記憶部、21 第1の取得部、22 第2の送信部、23 第2の取得部、24 第2の結合部、25 第1の出力部、31 鍵生成部、32 第3の取得部、33 デジタル署名生成部、34 第3の送信部、35 第2の出力部、36 記憶部、40 結合データ、41 平文ファームウェア、42 暗号化ファームウェア、43 署名付き暗号化ファームウェア、71 秘密鍵、72 公開鍵、331 第2のハッシュ値生成部、S 署名付きデータ生成システム。

Claims (10)

  1. 平文データから、所定のハッシュ関数によって第1のハッシュ値を生成する第1のハッシュ値生成部と、
    前記平文データを暗号化して、暗号化データを生成する暗号化部と、
    前記第1のハッシュ値と、前記暗号化データとを外部装置に送信する送信部と、
    を備える暗号化データ生成装置。
  2. 前記平文データは、ハードディスク装置用のファームウェアである、
    請求項1に記載の暗号化データ生成装置。
  3. 前記暗号化部は、共通鍵方式で前記平文データを暗号化する、
    請求項1または2に記載の暗号化データ生成装置。
  4. 前記暗号化データのデータ長が所定のデータであるか否かを判断し、前記暗号化データのデータ長が所定のデータ長ではないと判断した場合に、前記所定のデータ長との差異を埋めるパディングデータを前記暗号化データに追加し、前記暗号化データに関する情報を含むメタデータと、前記パディングデータを追加済みの前記暗号化データとを結合した結合データを生成する第1の結合部、をさらに備え、
    前記送信部は、さらに、前記結合データを前記外部装置に送信する、
    請求項1から3のいずれか1項に記載の暗号化データ生成装置。
  5. 前記メタデータはさらに、前記第1のハッシュ値を含む、
    請求項4に記載の暗号化データ生成装置。
  6. 平文データから生成された第1のハッシュ値から、所定のハッシュ関数によって第2のハッシュ値を生成する第2のハッシュ値生成部と、
    前記第2のハッシュ値から、前記平文データに対するデジタル署名を生成するデジタル署名生成部と、
    を備えるデジタル署名生成装置。
  7. 一対の秘密鍵と公開鍵とを生成する鍵生成部と、
    前記公開鍵を出力する出力部と、をさらに備え、
    前記デジタル署名生成部は、前記秘密鍵により、前記第2のハッシュ値を暗号化して、前記デジタル署名を生成する、
    請求項6に記載のデジタル署名生成装置。
  8. 平文データに対するデジタル署名と、前記平文データを暗号化した暗号化データとを取得する取得部と、
    前記デジタル署名と、前記暗号化データとを結合して、デジタル署名付き暗号化データを生成する第2の結合部と、
    を備えるデジタル署名付きデータ生成装置。
  9. 前記暗号化データは、前記暗号化データの本文と、前記本文のデータ長と所定のデータ長との差異を埋めるパディングデータとを含み、
    前記取得部は、前記暗号化データに関する情報を含むメタデータと、前記暗号化データと、が結合された結合データを取得し、
    前記第2の結合部は、前記結合データに含まれる前記メタデータまたは前記パディングデータの一部または全てを、前記デジタル署名に置換して、前記デジタル署名付き暗号化データを生成する、
    請求項8に記載のデジタル署名付きデータ生成装置。
  10. 暗号化データ生成装置と、デジタル署名付きデータ生成装置と、デジタル署名生成装置とを備え、
    前記暗号化データ生成装置は、
    平文データから、所定のハッシュ関数によって第1のハッシュ値を生成する第1のハッシュ値生成部と、
    前記平文データを暗号化して、暗号化データを生成する暗号化部と、
    前記第1のハッシュ値と、前記暗号化データとを前記デジタル署名付きデータ生成装置に送信する第1の送信部と、
    を備え、
    前記デジタル署名付きデータ生成装置は、
    前記暗号化データ生成装置から前記第1のハッシュ値と、前記暗号化データとを取得する第1の取得部と、
    前記第1のハッシュ値を前記デジタル署名生成装置に送信する第2の送信部と、
    前記デジタル署名生成装置から前記平文データに対するデジタル署名を取得する第2の取得部と、
    前記デジタル署名と、前記暗号化データとを結合して、デジタル署名付き暗号化データを生成する第2の結合部と、
    を備え、
    前記デジタル署名生成装置は、
    前記デジタル署名付きデータ生成装置から前記第1のハッシュ値を取得する第3の取得部と、
    前記第1のハッシュ値から、所定のハッシュ関数によって第2のハッシュ値を生成する第2のハッシュ値生成部と、
    前記第2のハッシュ値から、前記平文データに対する前記デジタル署名を生成するデジタル署名生成部と、
    生成された前記デジタル署名を前記デジタル署名付きデータ生成装置に送信する第3の送信部と、を備える、
    デジタル署名付きデータ生成システム。
JP2018144062A 2018-07-31 2018-07-31 暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システム Pending JP2020022057A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018144062A JP2020022057A (ja) 2018-07-31 2018-07-31 暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システム
CN201910114600.3A CN110784302A (zh) 2018-07-31 2019-02-14 加密数据生成装置、数字签名生成装置、带数字签名的数据生成装置和系统
US16/287,139 US20200228346A1 (en) 2018-07-31 2019-02-27 Encrypted data generation device, digital signature generation device, digital signature-attached data generation device, and digital signature-attached data generation system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018144062A JP2020022057A (ja) 2018-07-31 2018-07-31 暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システム

Publications (1)

Publication Number Publication Date
JP2020022057A true JP2020022057A (ja) 2020-02-06

Family

ID=69382980

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018144062A Pending JP2020022057A (ja) 2018-07-31 2018-07-31 暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システム

Country Status (3)

Country Link
US (1) US20200228346A1 (ja)
JP (1) JP2020022057A (ja)
CN (1) CN110784302A (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11232210B2 (en) * 2019-03-26 2022-01-25 Western Digital Technologies, Inc. Secure firmware booting
US11115395B2 (en) * 2019-07-23 2021-09-07 Harris Global Communications, Inc. Cross-domain information transfer system and associated methods
CN111818106B (zh) * 2020-09-14 2020-12-11 飞天诚信科技股份有限公司 一种数据传输的方法及设备
CN112398878B (zh) * 2021-01-21 2021-04-16 北京电信易通信息技术股份有限公司 一种基于编码的流数据传输防泄密方法及系统
TWI763294B (zh) * 2021-02-03 2022-05-01 宜鼎國際股份有限公司 可數位簽章的資料儲存裝置、數位簽章系統及數位簽章方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0950465A (ja) * 1995-08-04 1997-02-18 Hitachi Ltd 電子ショッピング方法、電子ショッピングシステムおよび文書認証方法
JP2005122710A (ja) * 1998-08-13 2005-05-12 Internatl Business Mach Corp <Ibm> エンドユーザの電子コンテンツ使用を追跡するシステム
JP2010020750A (ja) * 2008-07-10 2010-01-28 Toshiba Corp ファームウェア更新方法及びハードディスクドライブ

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BRPI0517026A (pt) * 2004-10-25 2008-09-30 Rick L Orsini método e sistema analisador de dados seguros
JP5136012B2 (ja) * 2007-11-16 2013-02-06 富士通株式会社 データ送付方法
WO2014166519A1 (en) * 2013-04-08 2014-10-16 Bonsignore Antonio Salvatore Piero Vittorio A qualified electronic signature system, method and mobile processing terminal for qualified electronic signature
JP6167990B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 署名検証システム、検証装置、及び署名検証方法
CN104506515A (zh) * 2014-12-17 2015-04-08 北京极科极客科技有限公司 一种固件的保护方法和保护装置
CN107888577B (zh) * 2017-10-31 2021-03-19 美智光电科技股份有限公司 门锁固件的升级方法、门锁、服务器、系统及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0950465A (ja) * 1995-08-04 1997-02-18 Hitachi Ltd 電子ショッピング方法、電子ショッピングシステムおよび文書認証方法
US6269445B1 (en) * 1995-08-04 2001-07-31 Hitachi, Ltd. Electronic shopping method, electronic shopping system and document authenticating method relating thereto
JP2005122710A (ja) * 1998-08-13 2005-05-12 Internatl Business Mach Corp <Ibm> エンドユーザの電子コンテンツ使用を追跡するシステム
JP2010020750A (ja) * 2008-07-10 2010-01-28 Toshiba Corp ファームウェア更新方法及びハードディスクドライブ

Also Published As

Publication number Publication date
CN110784302A (zh) 2020-02-11
US20200228346A1 (en) 2020-07-16

Similar Documents

Publication Publication Date Title
US11876897B2 (en) Right holder terminal, permission information management method, and permission information management program
JP2020022057A (ja) 暗号化データ生成装置、デジタル署名生成装置、デジタル署名付きデータ生成装置、およびデジタル署名付きデータ生成システム
US8464043B2 (en) Information security device and information security system
US8108674B2 (en) Transmitting/receiving system and method, transmitting apparatus and method, receiving apparatus and method, and program used therewith
US8548169B2 (en) Communication apparatus, key server, and data
JP6178142B2 (ja) 生成装置、方法およびプログラム
CN108710500A (zh) 资源发布方法、更新方法和装置
CN111656345B (zh) 启用容器文件中加密的软件模块
JP6059347B2 (ja) 復号装置、復号能力提供装置、それらの方法、およびプログラム
CN109754226B (zh) 数据管理方法、设备和存储介质
US20160294551A1 (en) Data processing system, encryption apparatus, decryption apparatus, and computer readable medium
US10216953B2 (en) Control method of image communication apparatus for preventing the disclosure of address book data to an apparatus to which the address book data is to be exported
JP2010124071A (ja) 通信装置、通信方法及びプログラム
JP6797337B2 (ja) メッセージ認証装置、メッセージ認証方法及びメッセージ認証プログラム
US20240048377A1 (en) Ciphertext conversion system, conversion key generation method, and non-transitory computer readable medium
JP2018180408A (ja) 暗号処理方法、暗号処理システム、暗号化装置、復号装置、プログラム
JP2004356973A (ja) 情報送信装置及び方法、情報受信装置及び方法、並びに情報提供システム
JP2014192612A (ja) 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
JP5945525B2 (ja) 鍵交換システム、鍵交換装置、その方法、及びプログラム
JP2006311383A (ja) データ管理方法、データ管理システムおよびデータ管理装置
US20210184844A1 (en) Communication terminal, server apparatus, and program
JP6441390B2 (ja) 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
JP6949276B2 (ja) 再暗号化装置、再暗号化方法、再暗号化プログラム及び暗号システム
JP6441160B2 (ja) 秘匿化装置、復号装置、秘匿化方法および復号方法
JP6631989B2 (ja) 暗号化装置、制御方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200903

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210519

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210819

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220201