WO1990009009A1

WO1990009009A1 - Data carrier and data communication apparatus using the same

Info

Publication number: WO1990009009A1
Application number: PCT/JP1990/000078
Authority: WO
Inventors: Nobuya Takagi; Mamoru Ito; Toshio Tsuji
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 1989-01-24
Filing date: 1990-01-24
Publication date: 1990-08-09
Also published as: KR910700505A; EP0422230A1; EP0422230A4; US5227613A; KR930005572B1

Description

· 明細書

発明の名称

データ担体、およびそれを用いたデータ通信装置

技術分野

本発明は暗号通信に用いることができる I C カード等のデータ担体等、およびそれを用いたデータ通信装置に関するものである。

背景技術

秘密鍵暗号方式において暗号通信を行うためには、まず通信を行う両者が鍵を共有する必要がある。従来、鍵の共有は、例えば第 1 1 図に示すような方式で行われてきた。第 1 1 図において、 4 1 はメッセージの送信者（以下、単に送信者と記す）が使用する暗号器、 4 2 はメッセージの受信者（以下、単に受信者と記す）が使用する復号器であり、暗号器 4 1 は、 ¾数生成手段 4 3 と、第 1 の暗号化手段 4 4 と、第 2 の暗号化手段 4 5 とを備え、復号器 4 2 は、第 1 の復号化手段 4 6 と、第 2 の復号化,手段 4 7 とを備えている。

このように構成された従来の鍵共有方式について、その動作を以下に説明する。安全性の面からメッセージの平文（以下、単に平文と記す） mを暗号化するための鍵は頻繁に換える必要があるため、乱数生成手段 4 3 が生成する乱数を用いる。以下、これをセッション鍵と記す。送信者は、暗号器 4 1 が有する乱数生成手段 4 3 の出力 r l ( セッション鍵とも云う〉を受信者と共有するために受信者に送信するわけであるが、 r l を生データのまま送信すると、暗号器 4 1 と復号器 4 2 の閬の通信線上で盗聴される危険性があるため、 r 1 を第 1 の暗号化手段 4 4 で暗号化して送る。この r 1 を暗号化する際に用いる鍵をマスタ鍵 k m と呼び、送信者と受信者が予め共有している鍵である。マスタ鍵はセッション鍵を暗号化して送る時のみ使用され、通常長期間固定である。受信者の復号器 4 2 は第 1 の復号化手段 4 6 を用いて、暗号化された乱数をマスタ鍵 k m により複号化して r l を復元する。これにより、送信者と受信者はセッション鍵 r l を共有できたことになるため、それ以降、第

2 の暗号化手段 4 5 と第 2 の復号化手段 4 7 を用いて、セッション鍵 r 1 により、平文 mの暗号通信を行うことができる。セッション鍵を換える場合は、乱数生成手段 4 3 によって新しく乱数 r 2 (図示せず）を生成し、前述した手順と全く同様に、マスタ鍵 k m による暗号通信により r 2 を共有してセッシヨン鍵とする。

今、二人の通信者 A と B が暗号通信を行う場合を考える。通信者 A と通信者 B はマスタ鍵 k mを用いてセッション鍵 r 1 を暗号化して送るものとする。ここで、もし別の通信者 C もマスタ鍵 k mを有していたとすると、通信者 C はセッション鍵 r 1 を解読することができるため、通信者 A， B 間で交換される全ての暗文を解読できることになる。したがって、マスタ鍵 k m は通信者 A と通信者 B のみが知る鍵とし、例えば通信者 Aが通信者 C と暗号通信を行う場合は、 k m とは別のマスタ鍵を用いる必要がある。すなわち、通信者 Aは暗号通信を行う相手の数だけマスタ鍵を保有している必要がある。

このような従来の方式では、通信相手が少数である場合は問題ないが、不特定多数の加入者を持つネットワークでは通信相手が膨大な数となり、鍵管理が大きな問題となる。これを解決する手段としては、鍵管理を行うセンタを設け、暗号通信を行うに先立ち、センタが両者に共通のセッション鍵を配送（または転送）する方法が一般的であるが、鍵共有を行う度にセンタが介在しなければならないという欠点がある。一方、他の解決策として、鍵管理の面で優れている公開鍵暗号方式を用いる方法もあるが、公開鍵暗号方式は秘密鍵暗号方式に比べて、はるかに大きな処理時間を要する。このように従来の暗号通信の方法では、鍵管理の点に関して大きな問題点があった。

本発明はこのような課題に鑑み、内部データが物理的に安全であり、かつ演算能力を有するという特徵に基づき、鍵共有を安全，容易かつ高速に実現し得るデータ担体、およびそれを用いたデータ通信装置を提供することを目的とするものである。発明の開示

そしてこの目的を達成するために本発明のデータ担体は、外部から指定されるデータに変更することが不可能..な第 1 のデータを保持する手段と、この第 1 のデータを秘密鍵により暗号化する第 1 の暗号化手段と、外部から入力される暗文を前記第 1 のデータにより復号化する第 1 の複号化手段と、外部から入力される暗号化された第 2 のデータを第 2 の秘密鍵により複号化する第 2 の復号化手段と、外部から入力される、又は内部に格納されている平文を前記第 2 の複号化手段の出力により暗号化する第 2 の暗号化手段とを備える構成としたものである。 - - 本発明の構成の特徴は、第 1 の秘密鍵および第 2 の秘密鍵が物理的に安全な I C カード内メモリに格納されている点と、復号化鍵には自分の I C カードが自動的に生成した第 1 のデータを用い、暗号化鍵には相手から送られて来た第 2 のデータをもとに生成した鍵を用いる点である。この構成により上記目的が達成される理由は次のように説明される。

まず、第 1 の秘密鍵および第 2 の秘密鍵は物理的に安全な I C カード内メモリに格納されているため、 I C カードの所持者といえども、これらの秘密鍵を読み取ることは不可能である。したがって、これらの秘密鍵が格納されている I C カードを用いることなしに、第 1 の暗号化手段の出力および外部から入力される暗号化された第 2 のデータから第 1 のデータおよび第 2 のデータを復元することはできない。よって、外部から入力される暗文および第 2 の暗号化手段から出力される暗文を解読するこ ά はできない。

また、第 2 の秘密鍵が全ての I C カードに共通であるとすると悪意を持つ者が暗号化された第 2 のデータを盗聴し、それを自分の I C カードに入力することにより、自分の I C カード内に第 2 のデータを復元することが可能である。しかし、その I C カードがこの第 2 のデータを用いて実行できる機能は暗号化のみであり、復号化機能はない。一方、この I C カードが複号化を行う時の鍵は自分の I C カードにより自動的に生成された第 1 のデータである。すなわち、悪意を持つ第 3 者が自分の I C カードを用いて、復号化鍵の設定と、その鍵を用いた復号化を同時に行うことはできない。以上のことから、本発明の I C カードの構成により、第 1 のデータを生成した I C カード、すなわち受信者の I C カードのみ暗文の複号化が可能となり暗号通信は安全となる。また本発明の I C カードを用いれば、秘密鍵のリストあるいはセンタのどちらも不要であるため、容易に鍵の共有が実現できる。さらに秘密鍵暗号のみで構成できることから高速処理が可能となる

図面の簡単な説明

第 1 図は本発明の I C カードを用いたシステムのシステム構成図、第 2 図は本発明の一実施例による鍵共有機能付き I C カードを示すプロック図、第 3 図および第 1 0 図は安全でない鍵共有方式を構成する I C カードのブロック図、第 4 図，第 5 図，第 6 図，第 8 図および第 9 図は本発明の他の実施例による鍵共有機能付き I C カードを示すブロック図、第 7 図は本発明の一実施例による乱数生成手段を示すブロック図、第 1 1 図は従来の鍵共有方式を示すシステム構成図である。

発明を実施するための最良の形態

第 1 図は本発明のデータ担体の一例として用いた I C カードが用いられるデータ通信装置の一例を示した構成図である。第 1 図において、 1 は第 1 の端末、 2 は第 2 の端末、 3 は暗号装置 4 を内蔵している第 1 の I C カード、 5 は復号装置 6 を内蔵している第 2 の I C カードである。また、第 1 の端末 1 は入力装置 7 と送信装置 8 を有し、第 2 の端末 2 は出力装置 9 と受信装置 1 0 を有している。

このシステムで暗号通信を行う場合の手順を以下に示す。まず暗号通信を開始するに当って、送信者は第 1 の端末 1 に第 1 の I C カード 3 を揷入し、受信者は第 2 の端末 2 に第 2 の I C カード 5 を挿入する。その後、送信者は入力装置 7 を用いて平文 mを入力する。平文 mは第 1 の I C カード 3 に入力され、暗号装置 4 により暗文 c に変換され出力される。第 1 の端末 1 は送信装置 8 を用いて、この暗文 c を第 2 の端末 2 に送信する。 —方、受信者は受信装置 1 0 を甩いて前記暗文 c を受信する。暗文 c は第 2 の I C カード 5 に入力され、復号装置 6 により平文 mに復号化され出力される。第 2 の端末 2 は出力装置 9 を用いて、復元された平文 mを出力する。このように、暗号器および復号器として I C カードを用いて暗号通信を行うシステムを考える。実際に暗号通信を行う際には、前述したようにセッシヨン鍵の共有が必要となる。これに関しては、第 2 図以降に示ざれる I C カードの詳細な図面を参照しながら説明を行う。尚、第 2 図以降の図面に関しては、第 1 の端末 1 および第 2 の端末 2 の図示を省略している。

第 2 図は本発明の一実施例による I C カードのブ口ック図である。第 2 図において、 1 1 は第 1 の I C カード、 1 2 は第 2 の I C カードである。第 1 の I C カード 1 1 は第 1 の復号化手段 1 3 ，第 2 の暗号化手段 1 4 を有している。また第 2 の I C カード 1 2 は乱数生成手段 1 5 ，第 1 の復号化手段 1 3 と対をなす第 1 の暗号化手段 1 6 ，第 2 の暗号化手段 1 4 と対をなす第 2 の復号化手段 1 7 を有している。

以下、第 2 図に従い、本実施例について説明を行う。第 2 の I C カード 1 2 は鍵を共有するため、乱数生成手段 1 5 が出力した乱数 ·Γ 1 を第 1 の暗号化手段 1 6 を用いてマス鍵 k m により暗号化して第 1 の I C カード 1 1 に送る。第 1 の I C カード 1 1 は、第 1 の復号化手段 1 3 を甩いて、暗号化された乱数をマスタ鍵 k m により復号ィ匕して r l を復元する。これにより、第 1 の I C カード 1 1 と第 2 の I C カード 1 2 は乱数 r l を共有できたことになるため、これをセッション鍵として、第 2 の暗号化手段 1 4および第 2 の複号化手段 1 7 により平文 m l の暗号通信を行うことができる。ここで、マスタ鍵 k m は全ての I C カードに共通の値である。

第 2 図に示した鍵共有方式が安全である理由は以下のように説明される。まず、マスタ鍵 k mは物理的に安全な I C カード内メモリに格納されているため、 I C カードの所持者といえども、マスタ鍵 k mを読み取ることはできない。したがって、たとえ第 1 の暗号化手段 1 6 の出力を通信線上で盗聴したとしても、マスタ鍵 k mが格納されている I C カードを用いることなしに第 1 の暗号化手段 1 6 の出力から乱数 r 1 を復元することはで，きない。よって、第 2 の暗号化手段 1 4 から出力される暗文を解読することはできない。

次に、このシステムに属する 3 人の通信者 A， B , C がおり、 A と B の間で交換される暗文を C が解読しょうとしている場合を考える。 C もこのシステムに属する通信者であるため、第 1 の I C カード 1 1 または第 2 の I C カード 1 2 を所持している。まず、 C が第 1 の I C カード 1 1 を所持しているものとする。 A と B の間で交換される第 1 の暗号化手段 1 6 の出力を C が盗聴し、それを自分の I C カードに入力すれば、第 1 の復号化手段 1 3 とマスタ鍵 k mにより、自分の I C カード内に乱数 r l を復元することは可能である。しかし、その I C カードが乱数 r 1 を用いて実行できる機能は第 2 の暗号化手段 1 4 による暗号化のみであり、復号化機能はない。一方、 Cが第 2 の複号化手段 1 7 を有する第 2 の I C カード 1 2 を所持していたとしても、その I C カードが復号化を行う時の鍵は、その I C カードにより自動的に生成された乱数である。すなわち、 Cが自分の I C カードを用いて、復号化鍵の任意な設定と、その鍵を用いた複号化処理を同時に行うことはできない。

この特徵は、第 3図に示した非安全な鍵共有方式と比較することによって、より明確になる。第 3 図において、 1 0 1 は第 1 の I C カード、 1 0 2 は第 2 の I Cカードである。第 1 の I C カード 1 0 1 は乱数生成手段 1 0 3，第 1の暗号化手段 1 0 4，第 2の暗号化手段 1 0 5 を有している。第 2 の I C カード 1 0 2 は第 1 の暗号化手段 1 0 4 と対をなす第 1 の復号化手段 1 0 6 , 第 2 の暗号化手段 1 0 5 と対をなす第 2 の復号化手段 1 0 7 を有している。第 2図の実施例と異なる点は、平文 m l を送信する第 1 の I C カード 1 0 1 が乱数 r l を生成し、第 2 の I C カード 1 0 2 に送ることである。換言すれば、第 2の I C カード 1 0 2 は相手から送られて来た乱数 r 1 を鍵として復号化処理を行うことになる。このような方式では、第 2 の I C カード 1 0 2 を有する第 3者が第 1 の暗号化手段 1 0 4 の出力と第 2 の暗号化手段 1 0 5の出力のペアを盗聴し、それらを自分の I C カードに入力することによって、自分の I C カード内で r 1 を復元し、それにより平文 m l に対する暗文を解読できることになってしまう。このように第 3 図に示した方式では、安全な鍵共有が実現できない。

以上のことから、第 2 図に示す I C カードの構成により、乱数を生成した I C カード、すなわち受信者の第 2 の I C カード » 1 2 のみ暗文の復号化が可能となり、暗号通信が安全であるこ . とがわかる。また第 2 図に示す I C カードを用いれば、秘密鍵のリス卜あるいはセンタどちらも不要であるため、容易に鍵の共有が実現できる。さらに秘密鍵暗号のみで構成できることから高速処理が可能となる。

第 2 図は単方向通信の場合を示しているが、双方向通信を行う場合は第 4 図に示すような構成にすればよい。第 4 図において、 2 1 は第 1 の I C カード、 2 2 は第 2 の I C カードであり、 1 3 〜 1 7 は第 2 図と同じもので、その構成も第 2 図と全く同じである。第 2 図の実施例と逆方向の通信を行うために、この他の構成要素として第 1 の I C カード 2 1 は、第 2 の乱数生成手段 2 3 ，第 3 の暗号化手段 2 4 ，第 4 の複号化手段 2 5 を有している。また第 2 の I C カード 2 2 は、第 3 の暗号化手段 2 4 と対をなす第 3 の複号化手段 2 6 , 第 4 の複号化手段 2 5 と対をなす第 4 の暗号化手段 2 7 を有している。 2 3 〜 2 7 で構成される部分は 1 3 〜 1 7 で構成される部分の対称形を成している。すなわち、第 2 の I C カード 2 2 が第 1 の I C カード 2 1 に平文 m 2 を送信する場合は、第 1 の I C カード 2 1 が第 2 の乱数生成手段 2 3 を用いて乱数 r 2 を生成し、それを第 3 の暗号化手段 2 4 により暗号化して送る。第 2 の I C カード 2 2 は第 3 の復号化手段 2 6 を用いて暗号化された r 2 を複号化し r 2 を得る。以降、第 1 の I C カード 2 1 と第 2 の I C カード 2 2 は r 2 をセッション鍵として、第 4 の暗号化手段 2 7 および第 4 の復号化手段 2 5 により平文 m 2 の暗号通信を行う。

ここで、乱数 r 2 を暗号化して送る際の鍵として、乱数 r 1 を暗号化する際に用いた鍵と同じマスタ鍵 k mを使用し、。さらに第 1 の暗号化手段 1 6 と第 3 の暗号化手段 2 4 に同じ演算を施すものを用い（これらと対をなす復号化手段 1 3 ， 2 6 についても同様）、第 2 の暗号化手段 1 4 と第 4 の暗号化手段 2 7 にも同じ演算を施すものを用いる（これらと対をなす複号化手段 1 7 , 2 5 についても同様）ことにより、第 1 の I C カード 2 1 と第 2 の I C カード 2 2 は、第 1 の乱数生成手段 1 5 および第 2 の乱数生成手段 2 3 を除いて全く同じ構成となる。すなわち、このシステムに属する通信者はこのような同じ構成の Γ C 力一ドを各々 1 枚ずつ所持することにより、このシステムに属す任意の通信者と双方向の暗号通信ができることとなる。この場合、第 1 ，第 2 の乱数生成手段 1 5 ， 2 3 は各 I C カードで異なる乱数系列を出力する方が望ましいが、これに関しては後に詳しく述べる。

各 I C カードは、乱数を復元するための復号化手段（ 1 3 または 2 6 ) とメッセージを復元するための復号化手段（ 2 5 または 1 7 ) を共に備えているが、第 2 図の実施例と同様に、自分の I C カードを用いて復号化鍵の任意設定とその鍵を用いた複号化処理を同時に行うことができないため、他人宛の暗文の解読は不可能であり、暗号通信の安全性は確保される。

第 5 図は、本発明の I C カードの他の実施例を示すブロック図である。第 5 図において、 3 1 は第 1 の I C カード、 3 2 は第 2 の I C カードである。第 1 の I C カード 3 1 は、第 1 の排他的論理和演算手段 3 3 ，第 1 の暗号化手段 3 4 , 第 2 の乱数生成手段 3 5 , 第 2 の排他的論理和演算手段 3 6 , 第 2 の復号ィヒ手段 3 7 を有している。また、第 2 の I C カード 3 2 は、第 1 の乱数生成手段 3 8 , 第 3 の排他的論理和演算手段 3 9 , 第 1 の暗号化手段 3 4 と対をなす第 1 の複号化手段 4 0 ，第 4 の排他的論理和演算手段 4 1 ，第 2 の複号化手段 3 7 と対をなす第 2 の暗号化手段 4 2 を有している。ここで、第 1 の暗号化手段 3 4 と第 2 の暗号化手段 4 2 とは同じ演算を施すものである ( これらと対をなす複号化手段 4 0 ， 3 7 についても同様）。本実施例は第 4図の実施例と同様、双方向通信を行う場合を示しており、第 1 の I C カード 3 1 と第 2 の I C カード 3 2 は乱数生成手段 3 8 ， 3 5 を除いて全く同じ構成をしている。

以下、第 5 図に従い、本実施例の動作について説明する。まず、第 1 の I C カード 3 1 が第 2 の I C カード 3 2 に平文 m l を送信する場合について説明する。第 2 の I C カード 3 2 は第 1 の乱数生成手段 3 8 が生成した乱数 r l を第 1 の I C カード 3 1 に送る。第 1 の I C カード 3 1 と第 2 の I C カード 3 2 は、それぞれ第 1 の排他的論理和演算手段 3 3 と第 3 の排他的論理和演算手段 3 9 を用いて、乱数 r l とマスタ鍵 k m との排他的論理和演算を行い、セッション鍵 k s i を得る。マスタ鍵 k mは全ての I C カードに共通である。以降、第 1 の I C カード 3 1 と第 2 の I C カード 3 2 は、両者に共通のセッション鍵 k s 1 を用いて平文 m l の暗号通信を行う。第 2 の I C カード 3 2 が第 1 の I C カード 3 1 に対して平文 m 2 を送る場合も、第 1 の I C カード 3 1 が第 2 の乱数生成手段 3 5 を用いて乱数 r 2 を生成することにより全く同様に行うことができる。

本実施例の安全性も、第 2 図および第 4 図の実施例と同様に、自分の I C カードを用いて復号化鍵の任意設定と、その鍵を用いた復号化処理を同時に行うことができないことにより保証される。

しかしこれまでに述べた実施例では、システムに属する通信者が全て同じ構成のカードを所持しているため、他人になりすますことが可能である。これを防ぐため、相手を認証する機能を付加した I C カードの一例を第 6 図に示す。第 6 図において、 5 1 は第 1 の I C カード、 5 2 は第 2 の I C カードである。第 1 の I C カード 5 1 は、第 1 の排他的論理和演算手段 5 3 , 第 1 の暗号化手段 5 4，第 2 の乱数生成手段 5 5 ，第 2 の鍵生成手段 5 6 ，第 2 の排他的論理和演算手段 5 7 ，第 2 の復号化手段 5 8 を有している。また第 2 の I C カード 5 2 は第 1 の乱数生成手段 5 9 ，第 1 の鍵生成手段 6 0 ，第 3 の排他的論理和演算手段 6 1 ，第 1 の暗号化手段 5 4 と対をなす第 1 の復号化手段 6 2 ，第 4 の排他的論理和演算手段 6 3 ，第 2 の復号化手段 5 8 と対をなす第 2 の暗号化手段 6 4 を有している。ここで、第 1 の暗号化手段 5 4 と第 2 の暗号化手段 6 4 とは同じ演算を施すものである（これらと対をなす複号化手段 6 2 ， 5 8 についても同様）。また、第 1 の鍵生成手段 6 0 と第 2 の鍵生成手段 5 6 も同じ演算を施すものである。本実施例も第 4図および第 5 図の実施例と同様、双方向通信を行う場合を示しているが、第 1 の I 'C カード 5 1 と第 2 の I C カード 5 2 はカードごとに異なるカード識別情報（ I D a , I D b ) と秘密鍵（K a， K b ) をそれぞれに有している。

以下、第 6 図に従い、本実施例についての動作を説明する。まず、第 1 の I C カード 5 1 が第 2 の I C カード 5 2 に平文 m l を送信する場合について説明する。第 2 の I C カード 5 2 は第 1 の乱数生成手段 5 9 が生成した乱数 r 1 を第 1 の I C カード 5 1 に送る。一方、第 1 の I C カード 5 1 は自分のカード識別情報 I D a を第 2 の I C カード 5 2 に送る。第 2 の I C カード 5 2 は、第 1 の鍵生成手段 6 0 を用いて、送られて来た相手のカード識別情報 I D a とマスタ鍵 k mをパラメータとして演算を行う。ここで、全ての I C カードのカード識別情報と秘密鍵の関係は、

秘密鍵 = F ( カード識別情報， k m )

F ：鍵生成手段の関数

k m ：全ての I C カードに共通なマスタ鍵を満：こすよう、発行時に各 I C カードに設定されている。したがって上記演算の結果は、

k a = F ( I D a , k m )

となり、第 2 の I C カード 5 2 内に第 1 の I C カード 5 1 の秘密鍵が生成される。次に、第 1 の I C カード 5 1 と第 2 の I C カード 5 2 は、それぞれ第 1 の排他的論理和演算手段 5 3 と第 3 の排他的論理和演算手段 6 1 を用いて、乱数 r 1 と秘密鍵 k a との排他的論理和演算を行い、セッション鍵 k s 1 を得る。以降、第 1 の I C カード 5 1 と第 2 の I C カード 5 2 は、両者に共通のセッション鍵 k s 1 を用いて平文 m l の暗号通信を行う。第 2 の I C カード 5 2 が第 1 の I C カード 5 1 に対して平文 m 2 を送る場合も、第 1 の I C カード 5 1 が第 2 の乱数生成手段 5 5 を用いて乱数 r 2 を生成し、第 2 の I C カード 5 2 が自分のカード識別情報 I D b を第 2 の I C カード 5 1 に送ることにより全く同様に行うことができる。

本実施例の安全性も、これまでの実施例と同様に、自分の I C カードを用いて復号化鍵の任意設定と、その鍵を用いた復号化処理を同時に行うことができないことにより保証される。さらに本実施例では、例えば秘密鍵 k a を持っているのは第 1 の I C カード 5 1 だけであるため、悪意を有する第 3 者が第 1 の I C カード 5 1 の所有者になりすまし、第 2 の I C カード 5 2 に I D a を送ったとしても、意味をなすメッセージを暗号化して送ることはできない。したがって、適当なプ σ トコルにより「なりすまし丄による不 £は容易に見破ることができる。

これまで述べてきた実施例の安全性は乱数生成手段の構造に依存するところが大きい。すなわち、自分の I C カードが生成する乱数を操作する、又は、その乱数系列を予測することができれば、悪意を有する者が自分の I C カードを使って、盗聴した暗文を解読できる可能性がある。例えば、乱数生成手段が外部からの入力をパラメータとするような構成であれば、自分の I C カード内に所望の乱数を生成させることができる。また、全ての I C カードで乱数系列が共通であると、ある I C カードの乱数系列を調べることにより、自分の I C カード内部で自動的に生成される乱数を予測できることになる。このような観点に基づき、外部から操作することが不可能で、かつ I C カードごとに異なる乱数系列を生成する安全な乱数生成手段を第 7 図に示す。

第 7 図は乱数生成手段のブロック図であり、 7 2 は電気的に書換え可能な不揮発性メモリ、 7 3 は加算器、 7 4 は暗号化手段である。不揮発性メモリ 7 2 は、例えば 6 4 ビッ卜のデータを格納する。加算器 7 3 は不揮発性メモリ 7 2 に格納されている 6 4 ビットデータに 1 を加算し、オーバーフローした分は切り捨てて 6 4 ビッ卜データを生成する。この 6 4 ビットデータは暗号化手段 7 4 の入力になると同時に、加算器 7 3 による次回の演算の入力とするためにフィ一ドパックされ、不揮発性メモリ 7 2 に格納される。暗号化手段 7 4 は、各 I C カードに固有の鍵により加算器 7 3 が出力した 6 4 ビットデータを暗号化し出力する。各 I C カードに固有の鍵としては、例えば第 6 図の実施例で示レた秘密鍵 k a , k b などを用いることができる 0

ここで、加算器 7 3 の出力が長い周期を持つものであれば、暗号化手段 7 4 が出力する値は十分のランダムな値となる。また、外部からの入力を一切使用していないため、 I C カードの所持者といえども、この乱数生成手段の出力を操作することはできない。さらに、暗号化手段 7 4 の鍵が各 I C カードに固有の値であるため、全ての I C カードの乱数生成手段が同じ構成を有していたとしても、出力される乱数系列は I C カードごとに異なるものとなる。

第 8 図は本発明の他の実施例による I C カードのブロック図である。第 8 図において、 2 1 1 は第 1 の I C カード、 2 1 2 は第 2 の I C カードであり、共通鍵等を共有するために、第 1 の I C カード 2 1 1 は、第 1 の乱数生成手段 2 1 3 ，第 1 の暗号化手段 2 1 4 ，第 2 の復号化手段 2 1 5 を有し、第 2 の I C カード 2 1 2 は、第 2 の乱数生成手段 2 1 6 , 第 1 の暗号化手段 2 1 4 と対をなす第 1 の復号化手段 2 1 7 ，第 2 の復号化手段 2 1 5 と対をなす第 2 の暗号化手段 2 1 8 を有している。また、第 1 の I C カード 2 1 1 からメッセージの送信を行うため、第 1 の I C カード 2 1 1 は、第 3 の暗号化手段 2 1 9 ，第 1 のレジスタ 2 2 0 ，第 1 の排他的論理和演算手段 2 2 1 を有している。また第 2 の I C カード 2 1 2 は、第 3 の暗号化手段 2 1 9 と対をなす第 3 の復号化手段 2 2 2 , 第 2 のレジスタ 2 2 3 ，第 2 の排他的論理和演算手段 2 2 4 を有している。 'さらに、第 2 の I C カード 2 1 2 からメッセージの送信を行うため第 1 の I C カード 2 1 1 は、第 4 の復号化手段 2 2 5 , 第 3 のレジスタ 2 2 6 ，第 3 の排他的論理和演算手段 2 2 7 とを有している。また第 2 の I C カード 2 1 2 は、第 4 の復号化手段 2 2 5 と対をなす第 4 の暗号化手段 2 2 8 ，第 4 のレジスタ 2 2 9 , 第 4 の排他的論理和演算手段 2 3 0 を有している。

以下、第 8 図に従い、本実施例の動作について説明を行う。まず、第 1 の I C カード 2 1 1 は、第 1 の乱数生成手段 2 1 3 が出力した第 1 の乱数 r 1 を第 1 の暗号化手段 2 1 4 を用いてマスタ鍵 k m により暗号化して第 2 の I C カード 2 1 2 に送る。第 2 の I C カード 2 1 2 は、第 1 の復号化手段 2 1 7 を用いて、暗号化された乱数をマスタ鍵 k mにより復号化して第 1 の乱数 r l を復元する。また、第 2 の I C カード 2 1 2 は、第 2 の乱数生成手段 2 1 6 が出力した第 2 の乱数 r 2 を第 2 の暗号化手段 2 1 8 を用いてマスタ鍵 k mにより暗号化して第 1 の I C カード 2 1 1 に送る。第 1 の I C カード 2 1 1 は、第 2 の複号化手段 2 1 5 を用いて、暗号化された乱数をマスタ鍵 k m により複号化して第 2 の乱数 r 2 を復元する。ここまでの処理により、第 1 の I C カード 2 1 1 と第 2 の I C カード 2 1 2 は 2 つの共通な秘密の乱数 r 1 ， r 2 を共有できたことになる。次に、共有された r 1 ， r 2 を用いて、第 1 の I C カード 2 1 1 から第 2 の I C カード 2 1 2 にメッセージを送信する場合の方法について説明を行う。以下の説明において、 + 記号は排他的論理和演算を意味するものとする。まず暗号通信の開始時、初期状態として、第 1 ，第 2 のレジスタ 2 2 0 , 2 2 3 に第 1 の乱数 r l を格納する。第 1 の I C カード 2 1 1 は、送信する平文のメッセージを暗号化の単位ごとに分割する。こうして得られた複数のブロックを m l , m 2 , m 3 とする。第 3 の暗号化手段 2 1 9 は第 2 の乱数 r 2 を鍵として先頭プロック m l に暗号化処理を施し、その結果 c l = E 3 r 2 ( m l ) を第 1 の排他的論理和演算手段 2 2 1 に出力する。ここで E 3 は、第 3 の暗号化手段 2 1 9 の暗号関数を示す。第 1 の排他的論理和演算手段 2 2 1 は、暗号化手段 2 1 9 からの前記入力 c 1 と第 1 のレジスタ 2 2 0 内のデータ（初期値 r l ) の排他的論理和を計算し、その結果 c l + r l を第 2 の I C カード 2 1 2 に送信する。

—方、第 2 の I C カード 2 1 2 は以下のようにして、受信データ（暗文）じ 1 + 1" 1 から平文 111 1 を復元する。第 2 の 1 じカード 2 1 2 は、第 2 の排他的倫理和渲算手段 2 2 4 を用いて、送られてきた前記データ c 1 + r 1 と第 2 のレジスタ 2 2 3 内のデータ（初期値 r l ) との排他的論理和を計算し、その結果 ( c l + r l ) + 1： 1 = 0 1 を第 3 の復号化手段 2 2 2 に出カする。復号化手段 2 2 2 は、第 2 の乱数 r 2 を鍵として、送られてきた前記データ e l = E 3 r 2 ( m l ) に復号化処理を施し、その結果 m l を復元する。その後、第 1 の I C カード 2 1 1 は、初期値 r 1 に換えて、平文 m l を第 1 のレジスタ 2 2 ひに格納し、一方、第 2 の I C カード 2 1 2 は、初期値 r 1 に換えて、復元した平文 m l を第 2 のレジスタ 2 2 3 に格納する。したがって、第 1 の I C カード 2 1 1 と第 2 の I C カード 2 1 2 が r 1 および r 2 を共有しており、かつ、通信中のデータが偶発的あるいは意図的な変更を受けない限り、第 1 のレジスタ 2 2 0 と第 2 のレジスタ 2 2 3 には常に同じ値が格納されることになる。以上のような、先頭ブロック m 1 に対する処理を m 2 , m 3 に対しても同様に繰り返すことにより、全平文を復元することができる。

第 2 の I C カード 2 1 2 から平文 m 4， m 5 , m 6 を送信する場合も、第 4 の複号化手段 2 2 5 ，第 3 のレジスタ 2 2 6 , 第 3 の排他的論理和演算手段 2 2 7 ，第 4 の暗号化手段 2 2 8，第 4 のレジスタ 2 2 9 ，第 4 の排他的論理和演算手段 2 3 0 を用いて同様に暗号通信を行うことができる。この場合の各要所のデータ値を下記表 1 に示す。尚、表 1 中の +記号は排他的論理和演算を示す。

S娘図 8歉^$ i ¾¾二 9 ί〕 1 I，

寸 LO CD E E s τΗ

Cvl

X ' .

TH 寸

1

復文元 ε o 00

6 ε

+ + +

1

LO CD

ε ε e

]in

CM

<M

寸

TH

W ω C 1

X ' .

！

O TH 寸 LO

ゝ

e 6

Θ .

Q

CD

6 e S 本実施例が安全である理由は以下のように説明される。まず、マスタ鍵 k mは物理的に安全は I C カード内メモリに格納されているため、 I C カードの所持者といえども、マスタ鍵 k m を読み取ることはできない。したがって、たとえ第 1 の暗号化手段 2 1 4 の出力および第 2 の暗号化手段 2 1 8 の出力を通信線上で盗聴したとしても、マスタ鍵 k mが格納されている I C カードを用いることなしに第 1 の乱数 r 1 および第 2 の乱数 r 2 を復元することはできない。よって、暗文の解読は不可能である。

次に、このシステムに属する 3 人の通信者 A ， B ，じがおり、 A と B の間で交換される暗文を C が解読しょうとしている場合を考える。 c もこのシステムに属する通信者であるため、第 1 の I C カード 2 1 1 または第 2 の I C カード 2 1 2 を所持している。まず、 C が第 2 の I C カード 2 1 2 を所持しており、第 1 の I C カード 2 1 1 からの暗文の解読を企てているものとする。この場合、第 1 の I C カード 2 1 1 から送られて来る暗文（すなわち、第 1 の排他的論理和演算手段 2 2 1 の出力）を C が盗聴し、自分の I C カードに入力しても、その時の第 3 の復号化手段 2 2 2 の複号化鍵は第 2 の乱数 r 2 ではなく、その I C カードが内部で自動的に生成した乱数であるため、盗聴した暗文を正しく復号化することはできない。

次に、 C が第 1 の I C カード 2 1 1 を所持しており、第 2 の I C カード 2 1 2 からの暗文の解読を企てているものとする。この場合、 A と B の間で交換される第 2 の暗号化手段 2 1 8 の出力（すなわち、暗号化された第 2 の乱数）を C が盗聴し、それを自分の I C カードに入力することにより、第 2 の復合化手段 2 1 5 とマスタ鍵 k mにより、自分の I C カード内に第 2 の乱数 r 2 ，すなわち第 4 の複号化手段 2 2 5 の複号化鍵を生成することは可能である。しかし、この時、その I C カードは第 1 の乱数生成手段 2 1 3 により内部で自動的に乱数を生成し ( この乱数を r 3 とする）、これを第 3 のレジスタ 2 2 6 の初期値とするため、 C の I C カードが第 2 の I C カード 2 1 2 からの暗文を正しく復号化することはできない。この様子を下記表 2 に示す。表 2 から、まず r l ≠ r 3 であるために、 m l が正しく復号ィ匕されないことがわかる。正しく複号化されない m 1 が第 3 のレジスタ 2 2 6 にフィードパックされるため、続く m 2 も正しく復号化されない。このように、 r l ≠ r 3 の影響が後続する全てのデータに影響を及ぼすこととなり、第 2 の I C カード 2 1 2 から出力される暗文の解読は一切不可能となる。

(以下余白）

υι CJl en 表 2 第 8 図において、レジスタの初期値が異なる場合第 2 の I C カード 2 1 2 第 1 の I C カード 2 1 1

平文第 4 のレジスタ送受信データ第 3 のレジスタ復元文 m 4 r 1 E 4 r 2 ( m 4 ) + r 1 ≠ r 1 ≠ 4 m o m 4 E 4 r 2 ( m 5 ) + m 4 ≠ m 4 ≠ m 5 m D m 5 E 4 r 2 ( m 6 ) + m 5 ≠ m 5 ≠ m 6

本発明の特徵は、第 9 図に示した非安全な暗号通信方式と比較することによって、より明確になる。第 9 図は非安全な暗号通信を行う I C カードのブ口ック図を示すものであり、 2 8 1 は第 1 の I C カード、 2 8 2 は第 2 の I C カードである。全ての構成要素および 2 1 3 〜 2 2 4 の構成は第 8 図と全く同じであるが、 2 2 5 〜 2 3 0 に関し、第 2 の I C カード 2 1 2 がフィードパック機能を有し、第 1 の I C カード 2 1 1 がフィードフォヮード機能を有する点が第 8 図の場合と逆になつている 0

このような構成において、第 1 の I C カード 2 8 1 を持つ第 3者じが、第 2 の I C カード 2 8 2 から出力される暗文の解読を企てる場合を考える。前述したように、 C は第 2 の暗号化手段 2 1 8 の出力を盗聴し、それを自分の I C カードに入力することによって、第 2 の乱数 r 2 を生成することができる。これと同時に、 C の I C カードは第 1 の乱数 r 1 と異なる乱数 r 3 を自動的に生成する。 r 2 を複号化鍵とし、 r 3 を第 3 のレジスタ 2 2 6 の初期値として、第 2 の I C カード 2 8 2 からの暗文の解読を試みた場合の各要所のデータ値を下記表 3 に示す。表 3 からわかるように、先頭プロックこそ解読不可能であるが、受信側がフィードパック機能を有しないために、その影響はそれ以降に及ばず、第 2 ブロック以降の解読が可能となってしまう。このように第 9図に示した方式では、安全な暗号通信が実現できない。表 3 第 9図において、レジスタの初期値が異なる場合第 2 の I C カード 2 8 2 第 1 の I C カード 2 8 1

平文第 4 のレジスタ送受信データ第 3 のレジスタ復元文 m 4 r 1 c 4 = E 4 r 2 ( m 4 + r 1 ) ≠ r 1 ≠ m 4 m o c 4 c 5 = E 4 r 2 ( m 5 + c 4 ) c 4 m 5 m り c 5 c 6 = E 4 r 2 ( m 6 + c 5 ) c 5 m 6

以上の'ことからわかるように、第 8 図に示す I C カードの構成により、第 1 の乱数 r 1 および第 2 の乱数 r 2 を共に有することができる I C カード、すなわち暗号通信を行う当事者の I C カードのみ暗文の複号化が可能となり、暗号通信は安全なものとなる。また第 8 図に示す I C カードを用いれば、秘密鍵のリストあるいはセンタのどちらも不要であるため、容易に鍵の共有が実現できる。さらに秘密鍵暗号のみで構成できることから高速処理が可能となる。

また、第 1 の暗号化手段 2 1 4 と第 2 の暗号化手段 2 1 8 に同じ演算を施すものを用い（これらと対をなす復号化手段 2 1 7 , 2 1 5 に関しても同様）、さらに第 3 の暗号化手段 2 1 9 と第 4の暗号化手段 2 2 8 にも同じ演算を施すものを用いる（これらと対をなす複号化手段 2 2 2 , 2 2 5 に関しても同様）ことにより、第 1 の I C カード 2 1 1 と第 2 の I C カード 2 1 2 とは、第 1 の乱数生成手段 2 1 3 および第 2 の乱数生成手段 2 1 6 を除いて全く同じ構成となる。すなわち、このシステムに属する通信者はこのような同じ構成の I C カードを各々 1 枚ずつ所持することにより、このシステムに属する任意の通信者と双方向の暗号通信ができることとなる。この場合、乱数生成手段 2 1 3 , 2 1 6 は各 I C カードで異なる乱数系列を出力することが望ましい。

第 1 0 図は、本発明の他の実施例による暗号化処理機能付き I C カードのブロック図である。第 1 0図において、 2 5 1 は第 1 の I C カード、 2 5 2 は第 2 の I C カードであり、鍵およびレジスタの初期値を共有するために第 1 の I C カード 2 5 1 は、第 1 の乱数生成手段 2 5 3 , 第 5 の排他的論理和演算手段 2 5 4 , 第 6 の排他的論理和演算手段 2 5 5 を有し、第 2 の I C カード 2 5 2 は、第 2 の乱数生成手段 2 5 6 , 第 7 の排他的論理和演算手段 2 5 7 ，第 8 の排他的論理和演算手段 2 5 8 とを有している。尚、メッセージの暗号通信を行うための構成要素 2 1 9 〜 2 3 0 およびその構成に関しては、第 8 図の実施例と全く同じである。

以下、第 1 0 図に従い、本実施例の動作について説明を行う。鍵およびレジスタの初斯値を共有するために、第 1 の I C カード 2 5 1 は第 1 の乱数生成手段 2 5 3 が生成した第 1 の乱数 r 1 を第 2 の I C カード 2 5 2 に送る。第 1 の I C カード 2 5 1 と第 2 の I C カード 2 5 2 は、それぞれ第 5 の排他的論理和演算手段 2 5 4 と第 7 の排他的論理和演算手段 2 5 7 を用いて、乱数 r 1 とマスタ鍵 k m との排他的論理和演算を行い、共通键 k s を得ることができる。同様に、第 2 の乱数生成手段 2 5 6 および第 6 の排他的論理和演算手段 2 5 5 , 第 8 の排他的論理和演算手段 2 5 8 を用いて、レジスタ 2 2 0， 2 2 3 , 2 2 6 , 2 2 9 に共通の初期値 I を得ることができる。この後の暗号通信の方法および本実施例の安全性については第 8 図の実施例と全く同じであるため、説明は省略する。

産業上の利用可能性

以上のように本発明によれば、秘密鍵を物理的に安全な I c カード内に格納するとともに、復号化鍵を受信者の Γ C カードが自動的に出力した乱数から生成し、暗号化鍵を受信者から送られて来た乱数から生成することにより、暗号通信のための鍵共有を安全，容易かっ高逨に実現することができる。また本発明は、秘密鍵暗号を用いた従来の鍵共有方式に比べ、秘密鍵のリストあるいは鍵配送（または転送：) センタのどちらをも必要とすることなく鍵の共有ができるという、実用上極めて有用な特徵を有する、秘密鍵暗号のみで実現できること力、ら、公開鍵暗号を用いた従来の暗号通信の方法に比べ、暗号化および復号化に要する処理速の面ではる力、に優つている。

さらに、各 I C 力一ドに固有な力ード識別情報と秘密鍵を除さヽ 1 つのシステム内で使用される全ての I C カードを同じ構成とすることにより用面では、そのシステムに属する任意の通信者と双方向通信ができることとなり、一方、製造面では、

I C 力ードの量産が可能となり、その実用上の効果は極めて大なるものである o

Claims

• 請求の範囲

1 . 外部から指定されるデータへの変更が不可能な内部データを保持する手段と、この内部データを秘密鍵により暗号化し、外部へ出力する暗号化手段と、外部から入力される暗

5 文を前記内部データにより復号化する復号化手段とを備えたデータ担体。

2 . 外部から入力される暗号化されたデータを秘密鍵により復号化する復号化手段と、外部から入力される、又は内部に格納されている平文を前記復号化手段の出力により喑号化0 し、外部へ出力する暗号化手段とを備えたデータ担体。

3 . 第 1 の端末とこの第 1 の端末と交信を行う第 2 の端末とを備え、前記第 1 の端末は、入力装置と、この入力装置から入力されたデータを暗号化する暗号装置と、この暗号装置で暗号化されたデータを前記第 2 の端末に向けて送信する5 送信装置とを有し、前記第 2 の端末は前記送信装置から送信されたデータを受信する受信装置と、この受信装置で受信されたデータを復号する復号装置とを有し、前記暗号装置を、第 1 の端末に装着された第 1 のデータ担体内、前記復号装置を、第 2 の端末に装着された第 2 のデータ担体内0 にそれぞれ設けるとともに、前記復号装置は外部から指定されるデータへの変更が不可能な内部データを保持する手段と、この内部データを秘密鍵により暗号化し、前記第 1 のデータ担体の暗号装置に出力する第 1 の暗号化手段と、前記第 1 のデータ担体の暗号装置から入力される暗文を前記 5 内部データにより復号化する第 2 の復号化手段とを有し、 • 前記暗号装置は、前記第 1 の暗号化手段から入力される暗号化されたデータを秘密鍵により復号化する第 1 の復号化手段と、外部から入力される、又は内部に格納されている平文を前記第 1 の複号化手段の出力により暗号化し、前記復号装置の第 2 の複号化手段に出力する第 2 の暗号化手段とを有する構成としたデータ通信装置。

4 . 外部から指定されるデータへの変更が可能な内部データを保持する手段と、この内部データに秘密のパラメータを用いて演算を施す演算手段と、外部から入力される暗文を前記演算手段の出力により復号化する複号化手段とを備えたデータ担体。

5 . 請求の範囲第 4 項において、演算手段が、外部から入力される通信相手の識別情報に前記秘密のパラメータを用いて演算を施す鍵生成手段と、この鍵生成手段の出力に前記内部データを用いて演算を施す演算手段とを有することを特徵とするデータ担体。

6 . 外部から入力されるデータに秘密のパラメータを用いて演算を施す演算手段と、外部から入力される、又は内部に格納されている平文を前記演算手段の出力により暗号化する暗号化手段とを備えたデータ担体。

7 . 第 1 の端末と、この第 1 の端末と交信を行う第 2 の端末とを備え、前記第 1 の端末は、入力装置と、この入力装置から入力されたデータを暗号化する暗号装置と、この暗号装置で暗号化されたデータを前記第 2 の端末に向けて送信する送信装置とを有し、前記第 2 の端末は前記送信装置から送信されたデータを受信する受信装置と、この受信装置で受信されたデータを復号する復号装置とを有し、前記暗号装置を、第 1 の端末に装着された第 1 のデータ担体内、前記復号装置を、第 2 の端末に装着された第 2 のデーダ担体内に設けるとともに、前記復号装置は外部から指定されるデータへの変更が不可能な内部データを保持する手段と、この内部データに秘密のパラメータを用いて演算を施す第 1 の演算手段と、前記第 1 のデータ担体の暗号装置から入力される暗文を前記第 1 の演算手段の出力により復号化する第 1 の復号化手段とを有し、前記暗号装置は、前記復号装置から入力される内部デー夕に秘密のノヽ。ラメータを用いて演算を施す第 2 の演算手段と、外部から入力される、又は内部に格納されている平文を前記第 2 の演算手段の出力により暗号化し、前記復号装置の第 1 の復号化手段に出力する第 1 の暗号化手段とを有する構成としたデータ通信装外部から指定するデータへの変更が不可能な内部データを保持する手段と、この内部データを秘密鍵により暗号化し、外部に出力する暗号化手段と、外部から入力される暗文とレジスタに格納されているデータとの排他的論理和演算を行う排他的論理和演算手段と、この排他的論理和演算手段の出力を複号化する復号化手段とを備え、暗号通信の開始時、前記レジスタに前記内部データ、あるいはそれと同じものが格納され、かつ、前記復号化手段による復号化処理が終了した後、前記複号化手段の出力が前記レジスタ • に格納される構成としたデータ担体。

9 . 外部から入力される暗号化されたデータを秘密鍵により復号化する復号化手段と、外部から入力される、又は内部に格納されている平文を暗号化する暗号化手段と、この暗号化手段の出力とレジスタとの排他的論理和演算を行う排他的論理和演算手段とを備え、暗号通信の開始時、前記レジスタに前記複号化手段の出力が格納され、かつ、前記排他的論理和演算手段による演算処理が終了した後、前記平文が前記レジスタに格納される構成とした亍'、 -タ扭体。

10 . 外部から指定されるデータへの変更が不可能な内部データを保持する手段と、この内部データに秘密パラメータを用いて演算を施す演算手段と、外部から入力される暗文とレジスタに格納されているデータとの排他的論理和演算を行う排他的論理和演算手段と、この排他的論理和演算手段の出力を復号化する複号化手段とを備え、暗号通信の開始時、前記レジスタに前記演算手段の出力が格納され、か、前記複号化手段による複号化処理が終了..した後、前記複号化手段の出力が前記レジスタに格納される構成としたデータ担体。

1 1 . 請求の範囲第 1 0 項において演算手段が排他的論理和演算手段であるデータ担体。

12 . 外部から入力されるデータに秘密パラメータを用いて演算を施す演算手段と、外部から入力される、又は内部に格納されている平文を暗号化する暗号化手段と、この暗号化手段の出力とレジスタとの排他的論理和演算を行う排他的論 • 理和演算手段とを備え、暗号通信の開始時、前記レジスダに前記演算手段の出力が格納され、かつ、前記排他的論理和演算手段による演算処理が終了した後、前記平文が前記レジスタに格納される構成としたデータ担体。

5 13 . 請求の範囲第 1 2 項において演算手段が排他的論理和演算手段であるデータ担体。

0

5

0

5