知財求人 - 知財ポータルサイト「IP Force」
特許7530294暗号化された鍵と、鍵を暗号化するために使用される暗号鍵とを、鍵コンポーネントに分割し、鍵コンポーネントのサブセットを備えたアセンブリが、暗号化された鍵を解読できるようにすること
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-30
(45)【発行日】2024-08-07
(54)【発明の名称】暗号化された鍵と、鍵を暗号化するために使用される暗号鍵とを、鍵コンポーネントに分割し、鍵コンポーネントのサブセットを備えたアセンブリが、暗号化された鍵を解読できるようにすること
(51)【国際特許分類】
H04L 9/08 20060101AFI20240731BHJP
【FI】
H04L9/08 A
【請求項の数】
25
(21)【出願番号】P 2020549049
(86)(22)【出願日】2019-03-15
(65)【公表番号】
(43)【公表日】2021-08-12
(86)【国際出願番号】 US2019022607
(87)【国際公開番号】W WO2019178559
(87)【国際公開日】2019-09-19
【審査請求日】2022-03-15
(31)【優先権主張番号】62/643,655
(32)【優先日】2018-03-15
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】62/643,653
(32)【優先日】2018-03-15
(33)【優先権主張国・地域又は機関】US
【前置審査】
(73)【特許権者】
【識別番号】521151175
【氏名又は名称】ティーゼロ・アイピー,エルエルシー
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100162846
【弁理士】
【氏名又は名称】大牧 綾子
(74)【代理人】
【識別番号】100195408
【弁理士】
【氏名又は名称】武藤 陽子
(72)【発明者】
【氏名】ブラック,トロン
(72)【発明者】
【氏名】ベッカー,デニー
(72)【発明者】
【氏名】パーキンス,タイラー
(72)【発明者】
【氏名】ウェイト,ジョエル
(72)【発明者】
【氏名】エンペイ,ジェシー
【審査官】中里 裕正
(56)【参考文献】
【文献】特開平11-134259(JP,A)
【文献】特開2009-103774(JP,A)
【文献】特開2011-010170(JP,A)
【文献】特開2014-060614(JP,A)
【文献】国際公開第2009/020078(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
少なくとも1つのプロセッサと、前記少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリとを備え、
鍵を暗号化するために、少なくとも1つの暗号鍵を生成する必要がある場合、前記少なくとも1つのプロセッサは、
前記少なくとも1つの暗号鍵を生成すること、
前記少なくとも1つの暗号鍵を使用して前記鍵を暗号化して、暗号化された鍵を生成すること、
前記暗号化された鍵を、第1の鍵コンポーネントの第1のセットに分割することであって、前記第1の鍵コンポーネントの前記第1のセットの少なくとも第1のサブセットを使用して、前記暗号化された鍵を再構築でき、前記第1の鍵コンポーネントの前記第1のセットは、第1の複数のユーザのデバイスへ提供されるように構成される、分割すること、
前記少なくとも1つの暗号鍵を、第2の鍵コンポーネントの少なくとも第2のセットに分割することであって、前記第2の鍵コンポーネントの前記第2のセットの少なくとも第2のサブセットは、前記少なくとも1つの暗号鍵を再構築するために使用でき、前記第2の鍵コンポーネントの前記少なくとも前記第2のセットは、第2の複数のユーザのデバイスへ提供されるように構成され、前記第1の複数のユーザのデバイスと前記第2の複数のユーザのデバイスとは、相互に排他的である、分割すること、および
前記少なくとも1つのメモリから前記鍵を消去すること
を行うように構成される、システム。
【請求項2】
前記少なくとも1つのプロセッサは、前記暗号化された鍵を前記第1の鍵コンポーネントの前記第1のセットに分割し、前記少なくとも1つの暗号鍵を、前記第2の鍵コンポーネントの前記少なくとも第2のセットに分割する前に、前記暗号化された鍵と、前記少なくとも1つの暗号鍵とをともに結合するように構成される、請求項1に記載のシステム。
【請求項3】
前記第2の鍵コンポーネントの前記少なくとも前記第2のセットは、鍵コンポーネントの単一のセットのみを含み、前記第2の複数のユーザのデバイスは、ユーザのデバイスの単一のセットのみを含み、
第2の鍵コンポーネントの前記少なくとも前記第2のセットは、ユーザのデバイスの前記単一のセットに提供されるように構成される、請求項1に記載のシステム。
【請求項4】
前記第2の鍵コンポーネントの前記少なくとも前記第2のセットは、鍵コンポーネントの複数のセットを含み、前記第2の複数のユーザのデバイスは、ユーザのデバイスの複数のセットを含み、
鍵コンポーネントの前記複数のセットの鍵コンポーネントの各セットは、ユーザのデバイスの前記複数のセットの対応するユーザのデバイスのセットに提供されるように構成される、請求項1に記載のシステム。
【請求項5】
前記少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースをさらに備え、前記少なくとも1つのネットワークインターフェースは、前記少なくとも1つのネットワークインターフェースに、前記第1の鍵コンポーネントの第1のセットを、前記第1の複数のユーザのデバイスのための第1の外部コンピューティングデバイスへ通信させること、および
前記少なくとも1つのネットワークインターフェースに、前記第2の鍵コンポーネントの前記少なくとも第2のセットを、前記第2の複数のユーザのデバイスのための第2の外部コンピューティングデバイスへ通信させること
を行うように構成される、請求項1に記載のシステム。
【請求項6】
前記第1の鍵コンポーネントの前記第1のセットと、前記第2の鍵コンポーネントの前記少なくとも前記第2のセットとのうちの少なくとも1つは、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、WiFi、もしくは近距離無線通信(NFC)送信によって、ユーザのデバイスに通信される、請求項5に記載のシステム。
【請求項7】
前記鍵を生成する必要がある場合、前記少なくとも1つのプロセッサは、前記少なくとも1つの暗号鍵を使用して前記鍵を暗号化する前に、前記鍵を生成して、前記暗号化された鍵を生成するように構成される、請求項1に記載のシステム。
【請求項8】
前記少なくとも1つのプロセッサは、少なくとも1つの排他的論理和(XOR)演算を、前記鍵と、前記少なくとも1つの暗号鍵とに適用するように構成されることによって、前記鍵を暗号化するように構成される、請求項1に記載のシステム。
【請求項9】
前記少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、前記暗号化された鍵と、前記少なくとも1つの暗号鍵とを、鍵コンポーネントの前記少なくとも1つのセットに分割するように構成される、請求項1に記載のシステム。
【請求項10】
少なくとも1つのプロセッサと、前記少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリと、
前記少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースとを備え、
前記少なくとも1つのプロセッサは、
秘密鍵を生成すること、
少なくとも1つの暗号鍵を生成すること、
少なくとも1つの排他的論理和(XOR)演算を、前記秘密鍵と、前記少なくとも1つの暗号鍵とに適用し、前記少なくとも1つの暗号鍵を使用して前記秘密鍵を暗号化し、暗号化された秘密鍵を生成すること、
前記暗号化された秘密鍵を、第1の鍵コンポーネントの第1のセットに分割することであって、前記第1の鍵コンポーネントの前記第1のセットの少なくとも第1のサブセットを使用して、前記暗号化された秘密鍵を再構築でき、前記第1の鍵コンポーネントの前記第1のセットは、第1の複数のユーザのデバイスに提供されるように構成される、分割すること、
前記少なくとも1つの暗号鍵を、第2の鍵コンポーネントの少なくとも第2のセットに分割することであって、前記第2の鍵コンポーネントの前記第2のセットの少なくとも第2のサブセットを使用して、前記少なくとも1つの暗号鍵を再構築でき、前記第2の鍵コンポーネントの前記少なくとも前記第2のセットは、第2の複数のユーザのデバイスに提供されるように構成され、前記第1の複数のユーザのデバイスと前記第2の複数のユーザのデバイスとは、相互に排他的である、分割すること、
および
前記少なくとも1つのメモリから前記少なくとも1つの暗号鍵を消去すること
を行うように構成される、システム。
【請求項11】
前記少なくとも1つのプロセッサは、前記暗号化された秘密鍵を前記第1の鍵コンポーネントの前記第1のセットに分割し、前記少なくとも1つの暗号鍵を前記第2の鍵コンポーネントの前記少なくとも第2のセットに分割する前に、前記暗号化された秘密鍵と、前記少なくとも1つの暗号鍵とをともに結合するように構成される、請求項10に記載のシステム。
【請求項12】
前記少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、前記暗号化された秘密鍵と、前記少なくとも1つの暗号鍵とを、鍵コンポーネントの前記少なくとも1つのセットに分割するように構成される、請求項10に記載のシステム。
【請求項13】
少なくとも1つのプロセッサと、前記少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリとを備え、
暗号化された鍵として暗号化される少なくとも1つの暗号鍵を使用する必要がある場合、前記少なくとも
1つのプロセッサは、
前記暗号化された鍵を再構築するために使用できる第1の鍵コンポーネントの第1のセットの第1のサブセットを、ユーザのデバイスの第1のサブセットから受け取ること、
前記暗号化された鍵を、解読された鍵に解読するために使用される少なくとも1つの暗号鍵を再構築するために使用できる第2の鍵コンポーネントの少なくとも第2のセットの鍵コンポーネントの少なくとも第2のサブセットを、ユーザのデバイスの少なくとも第2のサブセットから受け取ることであって、ユーザのデバイスの前記第1のサブセットとユーザのデバイスの前記第2のサブセットとは、相互に排他的である、受け取ること、
ユーザのデバイスの前記第1のサブセットから、前記第1の鍵コンポーネントの前記第1のセットの前記第1のサブセットが受け取られた場合、前記暗号化された鍵を再構築すること、
前記第2の鍵コンポーネントの前記少なくとも第2のセットの前記少なくとも前記第2のサブセットが、ユーザのデバイスの前記少なくとも前記第2のサブセットから受け取られた場合、前記少なくとも1つの暗号鍵を再構築すること
および
前記暗号化された鍵と、前記少なくとも1つの暗号鍵との両方が再構築された場合、前記暗号化された鍵を、前記少なくとも1つの暗号鍵を使用して前記解読された鍵に解読すること
を行うように構成される、システム。
【請求項14】
前記少なくとも1つのプロセッサは、鍵コンポーネントの単一のセットを受け取るように構成されることによって、少なくとも部分的に、ユーザのデバイスの少なくともサブセットから、鍵コンポーネントの前記少なくとも1つのセットを受け取ること、
鍵コンポーネントの前記単一のセットから、前記暗号化された鍵と前記少なくとも1つの暗号鍵との両方を含む結合文字列を再構築すること、および
前記暗号化された鍵を、前記少なくとも1つの暗号鍵を使用して前記解読された鍵に解読するために使用される前記結合文字列から、前記暗号化された鍵と、前記少なくとも1つの暗号鍵とを抽出すること
を行うように構成される、請求項13に記載のシステム。
【請求項15】
前記第2の鍵コンポーネントの前記少なくとも前記第2のセットは、鍵コンポーネントの単一のセットのみを含み、ユーザのデバイスの前記少なくとも前記第2のサブセットは、ユーザのデバイスの単一のサブセットのみを含み、
前記第2の鍵コンポーネントの前記少なくとも前記第2のセットは、ユーザのデバイスの前記単一のサブセットから受け取られるように構成される、請求項13に記載のシステム。
【請求項16】
前記第2の鍵コンポーネントの前記少なくとも前記第2のセットは、鍵コンポーネントの複数のセットを含み、ユーザのデバイスの前記少なくとも前記第2のサブセットは、ユーザのデバイスの複数のサブセットを含み、
鍵コンポーネントの前記複数のセットの鍵コンポーネントの各セットは、ユーザのデバイスの前記複数のサブセットの、対応するユーザのデバイスのサブセットから受け取られるように構成される、請求項13に記載のシステム。
【請求項17】
前記少なくとも1つのプロセッサは、少なくとも1つの排他的論理和(XOR)演算を、前記暗号化された鍵と、前記少なくとも1つの暗号鍵とに適用するように構成されることによって、前記暗号化された鍵を解読するように構成される、請求項13に記載のシステム。
【請求項18】
前記少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースをさらに備え、前記鍵を使用する必要がある場合、前記少なくとも1つのプロセッサは、
前記少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザのデバイスに通知するようにさらに構成される、請求項13に記載のシステム。
【請求項19】
鍵コンポーネントを求める前記要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、WiFi、もしくは近距離無線通信(NFC)送信によって、ユーザのデバイスに通知される、請求項18に記載のシステム。
【請求項20】
ユーザのデバイスの第1のサブセットは、ユーザのデバイスの第2のサブセットと同じユーザのデバイスのサブセットである、請求項13に記載のシステム。
【請求項21】
前記少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、前記暗号化された鍵と、前記少なくとも1つの暗号鍵とを再構築するように構成される、請求項13に記載のシステム。
【請求項22】
少なくとも1つのプロセッサと、前記少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリと、
前記少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースとを備え、
少なくとも1つの秘密鍵を使用する必要がある場合、前記少なくとも1つのプロセッサは、
前記少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザのデバイスに通知すること、
前記暗号化された秘密鍵を再構築するために使用できる鍵コンポーネントの第1のセットの第1のサブセットを、ユーザのデバイスの第1のサブセットから受け取ること、
前記暗号化された秘密鍵を、解読された鍵に解読するために使用される少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの第2のセットの少なくとも第2のサブセットを、ユーザのデバイスの少なくとも第2のサブセットから受け取ることであって、ユーザのデバイスの前記第1のサブセットとユーザのデバイスの前記第2のサブセットとは、相互に排他的である、受け取ること、
ユーザのデバイスの前記第1のサブセットから、第1の鍵コンポーネントの前記第1のセットの前記第1のサブセットが受け取られた場合、前記暗号化された秘密鍵を再構築すること、
前記第2のセットの鍵コンポーネントの前記少なくとも前記第2のサブセットが、ユーザのデバイスの前記少なくとも前記第2のサブセットから受け取られた場合、前記少なくとも1つの暗号鍵を再構築すること、
前記暗号化された秘密鍵と、前記少なくとも1つの暗号鍵との両方が再構築された場合、少なくとも1つの排他的論理和(XOR)演算を、前記暗号化された秘密鍵と、前記少なくとも1つの暗号鍵とに適用し、前記少なくとも1つの暗号鍵を使用して、前記暗号化された秘密鍵を解読すること、および
使用後、前記秘密鍵を前記少なくとも1つのメモリから消去すること
を行うように構成される、システム。
【請求項23】
前記少なくとも1つのプロセッサは、鍵コンポーネントの単一のセットを受け取るように構成されることによって、少なくとも部分的に、ユーザのデバイスの少なくともサブセットから、鍵コンポーネントの前記少なくとも1つのセットを受け取ること、
鍵コンポーネントの前記単一のセットから、前記暗号化された秘密鍵と、前記少なくとも1つの暗号鍵との両方を含む結合文字列を再構築すること、および
前記暗号化された秘密鍵を、前記少なくとも1つの暗号鍵を使用して前記秘密鍵に解読するために使用される前記結合文字列から、前記暗号化された秘密鍵と、前記少なくとも1つの暗号鍵とを抽出すること
を行うように構成される、請求項22に記載のシステム。
【請求項24】
鍵コンポーネントを求める前記要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、WiFi、もしくは近距離無線通信(NFC)送信によって、ユーザのデバイスに通知される、請求項22に記載のシステム。
【請求項25】
前記少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、前記暗号化された秘密鍵と、前記少なくとも1つの暗号鍵とを再構築するように構成される、請求項22に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
[0001]本出願は、各々が参照により本明細書に組み込まれる以下の仮特許出願の優先権を主張する。
[0001]本出願は、各々が参照により本明細書に組み込まれる以下の仮特許出願の優先権を主張する。
【0002】
[0002]2018年3月15日に出願され、「KEY SPLITTING INTO PLURALITY OF KEY COMPONENTS WITHIN SECURE ENVIRONMENT ALLOWING ASSEMBLY WITH SUBSET OF PLURALITY OF KEY COMPONETS」(複数の鍵コンポーネントのサブセットを備えたアセンブリが可能な安全な環境内での複数の鍵コンポーネントへの鍵分割)と題された米国仮特許出願第62/643,653号。
【0003】
[0003]2018年3月15日に出願され、「SPLITTING ENCRYPTED KEY AND ENCRYPTION KEY USED TO ENCRYPT KEY INTO KEY COMPONENTS ALLOWING ASSEMBLY WITH SUBSET OF KEY COMPONENTS TO DECRYPT ENCRYPTED KEY」(暗号化された鍵と、鍵を暗号化するために使用される暗号鍵とを、鍵コンポーネントに分割し、鍵コンポーネントのサブセットを備えたアセンブリが、暗号化された鍵を解読できるようにすること)と題された米国仮特許出願第62/643,655号。
【背景技術】
【0004】
[0004]データを安全に格納および送信するために、暗号化を使用することができる。鍵は、データの暗号化と解読、またはトランザクションの署名のために使用することができる。
【発明の概要】
【課題を解決するための手段】
【0005】
[0005]例示的なシステムは、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリとを含み、鍵を暗号化するために、少なくとも1つの暗号鍵を生成する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つの暗号鍵を生成すること、少なくとも1つの暗号鍵を使用して鍵を暗号化して、暗号化された鍵を生成すること、暗号化された鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割することであって、鍵コンポーネントの少なくとも1つのセットの、鍵コンポーネントの少なくともサブセットを使用して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築できる、分割すること、および少なくとも1つのメモリから鍵を消去することを行うように構成される。
【0006】
[0006]例示的なシステムは、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリと、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースとを含み、少なくとも1つのプロセッサは、秘密鍵を生成すること、少なくとも1つの暗号鍵を生成すること、少なくとも1つの排他的論理和(XOR)演算を、秘密鍵と、少なくとも1つの暗号鍵とに適用し、暗号鍵を使用して秘密鍵を暗号化し、暗号化された秘密鍵を生成すること、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割することであって、鍵コンポーネントの少なくとも1つのセットの、鍵コンポーネントの少なくともサブセットを使用して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築できる、分割すること、および少なくとも1つのメモリから鍵を消去することを行うように構成される。
【0007】
[0007]例示的なシステムは、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリとを含み、暗号化された鍵として暗号化される暗号鍵を使用する必要がある場合、少なくとも1つのプロセッサは、暗号化された鍵と、暗号化された鍵から鍵を解読するために使用される少なくとも1つの暗号鍵とを再構築するために使用できる、鍵コンポーネントの少なくとも1つのセットを、ユーザの少なくともサブセットから受け取ること、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットが、ユーザの少なくともサブセットから受け取られた場合、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築すること、および暗号化された鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、暗号化された鍵を、少なくとも1つの暗号鍵を使用して鍵に解読することを行うように構成される。
【0008】
[0008]例示的なシステムは、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリと、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースとを含み、秘密鍵を使用する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザに通知すること、暗号化された秘密鍵と、暗号化された秘密鍵から秘密鍵を解読するために使用される少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットを、ユーザの少なくともサブセットから受け取ること、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットが、ユーザの少なくともサブセットから受け取られた場合、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを再構築すること、暗号化された秘密鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、少なくとも1つの排他的論理和(XOR)演算を、暗号化された秘密鍵と、少なくとも1つの暗号鍵とに適用し、少なくとも1つの暗号鍵を使用して、暗号化された秘密鍵を解読すること、および使用後、秘密鍵を少なくとも1つのメモリから消去することを行うように構成される。
【0009】
[0009]図面は例示的な実施形態のみを描写しており、したがって範囲を限定するものと見なされるべきではないと理解して、例示的な実施形態は、添付の図面の使用を通じてさらに具体的かつ詳細に説明される。
【図面の簡単な説明】
【0010】
【図1】[0010]鍵を安全に生成、分割、および/または再構築するための例示的なシステムのブロック図である。
【図4】[0013]鍵を安全に生成し、複数の鍵コンポーネントに分割するための例示的な方法のフロー図である。
【図5】[0014]鍵コンポーネントのサブセットから鍵を安全に再構築するための例示的な方法のフロー図である。
【図6】[0015]少なくとも1つの暗号鍵を安全に生成し、少なくとも1つの暗号鍵を使用して鍵を暗号化された鍵に暗号化し、暗号化された鍵と、少なくとも1つの暗号鍵とを、複数の鍵コンポーネントに分割するための例示的な方法のフロー図である。
【図7】[0016]暗号化された鍵と、少なくとも1つの暗号鍵との両方を、鍵コンポーネントのサブセットから安全に再構築し、暗号化された鍵と、少なくとも1つの暗号鍵との両方が再構築された場合に、少なくとも1つの暗号鍵を使用して、暗号化された鍵を安全に解読するための例示的な方法のフロー図である。
【図8】[0017]本開示のいくつかの実施形態を利用する場合があるコンピュータシステムの例を例示する図である。
【発明を実施するための形態】
【0011】
[0018]一般的な慣行に従って、説明される様々な特徴は、一定の縮尺で描かれておらず、例示的な実施形態に関連する特定の特徴を強調するように描かれている。
[0019]以下の詳細な説明では、本明細書の一部を形成し、特定の例示的な実施形態を例として示す添付図面を参照する。しかしながら、他の実施形態が利用されてもよく、論理的、機械的、および電気的な変更が行われてもよいことを理解されたい。さらに、図面および明細書に提示される方法は、個々のステップを実行する場合がある順序を限定するものとして解釈されるべきではない。したがって、以下の詳細な説明は、限定的な意味で解釈されるべきではない。
[0019]以下の詳細な説明では、本明細書の一部を形成し、特定の例示的な実施形態を例として示す添付図面を参照する。しかしながら、他の実施形態が利用されてもよく、論理的、機械的、および電気的な変更が行われてもよいことを理解されたい。さらに、図面および明細書に提示される方法は、個々のステップを実行する場合がある順序を限定するものとして解釈されるべきではない。したがって、以下の詳細な説明は、限定的な意味で解釈されるべきではない。
【0012】
[0020]暗号鍵を含む鍵を使用して、データを暗号化および解読するのみならず、トランザクションに署名することができる。鍵は、秘密鍵、公開鍵、暗号鍵、署名鍵、および他の暗号鍵のみならず、パスワードおよびシークレットを含むことができる(がこれらに限定されない)。例では、鍵は文字列として具体化してもよい。いくつかの構成では、1つまたは複数のAdvanced Encryption Standard(AES)鍵を使用してもよい。AES鍵を使用して、データを対称的に暗号化および/または解読してもよい。たとえば、異なるブロックチェーンアドレス、アカウント、および/またはウォレットのうちの1つまたは複数の秘密鍵を暗号化および解読するために、同じ鍵を使用して暗号化および解読を行うことができるので、これは「対称的な」暗号化/解読と呼ばれる。
【0013】
[0021]いくつかの構成では、秘密鍵および公開鍵を含む鍵ペアを使用してもよい。例では、公開鍵を使用してデータを暗号化でき、これは、暗号化のために使用された公開鍵に対応する秘密鍵を使用してのみ解読できる。例では、公開鍵を使用して(たとえば、カスタマウォレットに)トランザクションアドレスを生成してもよく、対応する秘密鍵のみを使用して、トランザクションアドレスから、資金を費やすトランザクションに署名できる。同じ鍵が暗号化および解読(または、トランザクションの署名)のために使用されないため、これは「非対称な」暗号化/解読と呼ぶ場合がある。一般に、秘密鍵(場合によっては公開鍵)を安全に保つことが望まれる。しかしながら、鍵を安全に保つことと、必要に応じてアクセスできるようにすることとの間には、しばしばトレードオフがある。
【0014】
[0022]場合によっては、単一の人に限定された鍵へのアクセスを有することは望ましくない。さらに、鍵を使用するのに複数の人が必要とされることが望ましい場合もある。例では、これは、鍵が使用されるときに組織の複数の取締役、役員、パートナ、および/または従業員が参加する必要がある場合に役立つことができる。鍵は複数のパーツに分割でき、パーツのサブセットを使用して鍵を再構築できる。例では、鍵のコンポーネントの生成は、特定の鍵を再構築するために特定の数のコンポーネントが必要になるように構成できる。たとえば、特定の鍵は、N個の鍵コンポーネントのうちのM個が特定の鍵を再構築するために必要とされるように、N個の鍵コンポーネントに分割してもよい。例では、N個の鍵コンポーネントを様々なユーザに配布できる。例では、鍵コンポーネントは、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知(プッシュ確認通知など)のうちの少なくとも1つを使用して、または通知のポーリング(または、プル)によって、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザのデバイスに電子的に配布できる。例では、鍵コンポーネントは、画面に表示され、書き留められるか、さもなければ、(Quick Response(QR)コード、バーコードなどへの)印刷を通じて物理的に配布されるか、USB鍵/メモリスティック(または他のソリッドステートドライブ)、または光ディスクまたは磁気ディスクに保存できる。例では、鍵は、多項式補間(polynominal interpolation)またはシャミア秘密共有(Shamir secret sharing)のうちの少なくとも1つによって、鍵コンポーネントのセットに分割される。
【0015】
[0023]1つの構成では、(鍵自体とともに)少なくとも1つの暗号鍵を使用して、鍵を、暗号化された鍵に暗号化し、暗号化された鍵と、少なくとも1つの暗号鍵との両方をコンポーネントに分割することにより、セキュリティおよび柔軟性のある追加層を追加することができ、これによって、再構築されるためには、両方とも、鍵コンポーネントのサブセットが必要となる。暗号化された鍵と、少なくとも1つの暗号鍵との両方のための鍵コンポーネントは、グループの人々に提供される。鍵と暗号鍵とのための鍵コンポーネントを、同じグループの人々に提供できるが、グループの人々は相互に排他的であること、または単に重複することもできる。暗号化された鍵と、少なくとも1つの暗号鍵との両方を分割することは、鍵と暗号鍵とを悪意を持って再構築するために、異なるパーツホルダ(part holder)間の共謀(collusion)が必要であることを意味する。例では、複数のコンポーネントを、同じ人またはエンティティに提供できる。例では、各コンポーネントを、異なる人またはエンティティに提供できる。
【0016】
[0024]したがって、本システムおよび方法は、鍵のコンポーネントを保持するために、複数の個人/エンティティを必要とするシステムを改良し、アクションを実行するためにいくつかのコンポーネントが必要とされる。具体的には、本システムおよび方法は、暗号化された鍵および/または暗号鍵を不正な目的で再構築するためには、N個のうちM個の鍵コンポーネントが必要とされることにより、少なくともM人のパーツホルダ間の共謀が必要とされることから、必要に応じて、暗号化された鍵を作成し、および/または、暗号化された鍵をアクセス可能にしながら、悪意のある攻撃の可能性を最小限に抑えるように、異なる鍵/鍵コンポーネントを安全に生成および配布することによって、そのようなシステムを改良する。
【0017】
[0025]さらに、本システムおよび方法のいくつかの構成は、暗号化された鍵のコンポーネントが、パーツホルダに配布される前に暗号化されるため、従来の鍵分割よりも安全である。したがって、暗号化された鍵の鍵コンポーネントが傍受された場合でも、暗号鍵も、暗号鍵コンポーネントに基づいて再構築される場合にのみ、暗号化された鍵は、再構築することができる。つまり、暗号鍵および分割を使用した暗号の追加レイヤにより、暗号化された鍵と暗号鍵との両方から、十分なコンポーネントのパーツを取得せずに、悪意のある行為者が、アセット暗号鍵を再構築する可能性を低減させる。
【0018】
[0026]図1は、鍵を安全に生成、分割、および/または再構築するための例示的なシステム100のブロック図である。システム100は、コンピューティングデバイス102と、複数のオプションのコンピューティングデバイス104(オプションのコンピューティングデバイス104-1からオプションのコンピューティングデバイス104-Aなど)とを含む。コンピューティングデバイス102とコンピューティングデバイス104との各々は、モバイル電話、タブレットコンピュータ、モバイルメディアデバイス、モバイルゲームデバイス、ラップトップコンピュータ、車両ベースのコンピュータなどのモバイルコンピューティングデバイス、または、専用端末、公衆端末、キオスク、サーバ、またはデスクトップコンピュータなどの非モバイルデバイスのいずれかとして実施することができる。各コンピューティングデバイス104は、少なくとも1つのネットワーク106(ネットワーク106-1からネットワーク106-Aなど)を使用してコンピューティングデバイス102に通信可能に結合される。例では、少なくとも1つのネットワーク106は、少なくとも1つの有線ネットワークおよび/または少なくとも1つのワイヤレスネットワークを含む。例では、有線およびワイヤレスのネットワークの任意の組合せを使用して、コンピューティングデバイス104をコンピューティングデバイス102に結合する。例では、少なくとも1つのネットワーク106は、少なくとも1つのローカルエリアネットワーク(LAN)、少なくとも1つの広域ネットワーク(WAN)、またはインターネットのうちの少なくとも1つを含む。例では、ローカルエリアネットワーク、広域ネットワーク、またはインターネットの任意の組合せが、コンピューティングデバイス104をコンピューティングデバイス102に結合するための少なくとも1つのネットワーク106として使用される。例では、コンピューティングデバイス102とコンピューティングデバイス104との各々は、少なくとも1つのメモリ、少なくとも1つのプロセッサ、少なくとも1つのオプションのネットワークインターフェース、少なくとも1つのオプションのディスプレイデバイス、少なくとも1つのオプションの入力デバイス、および少なくとも1つの電源を含む。
【0019】
[0027]図2および図3は、例示的なコンピューティングデバイスのブロック図である。図2は、鍵を安全に生成、分割、および/または再構築するためにシステム100で使用される例示的なコンピューティングデバイス102のブロック図である。コンピューティングデバイス102は、少なくとも1つのメモリ202、少なくとも1つのプロセッサ204、オプションの少なくとも1つのネットワークインターフェース206、オプションの鍵生成モジュール208、オプションの鍵分割モジュール210、オプションの鍵再構築モジュール212、オプションのディスプレイデバイス214、オプションの入力デバイス216、およびオプションの電源218を含む。図3は、鍵を安全に生成、分割、および/または再構築するためにシステム100で使用される例示的なコンピューティングデバイス104のブロック図である。コンピューティングデバイス104は、少なくとも1つのメモリ302、少なくとも1つのプロセッサ304、オプションの少なくとも1つのネットワークインターフェース306、オプションのコンポーネント受取モジュール308、オプションの認証モジュール310、オプションのコンポーネント通信モジュール312、オプションのディスプレイデバイス314、オプションの入力デバイス316、およびオプションの電源318を含む。
【0020】
[0028]例では、少なくとも1つのメモリ202および/または少なくとも1つのメモリ302は、情報を格納するために使用される任意のデバイス、メカニズム、または実装されたデータ構造であることができる。例では、少なくとも1つのメモリ202および/または少なくとも1つのメモリ302は、任意のタイプの揮発性メモリ、不揮発性メモリ、および/または動的メモリであるか、またはそれらを含むことができる。たとえば、少なくとも1つのメモリ202および/または少なくとも1つのメモリ302は、ランダムアクセスメモリ、メモリ記憶デバイス、光学メモリデバイス、磁気媒体、フロッピーディスク、磁気テープ、ハードドライブ、消去可能なプログラム可能な読取専用メモリ(EPROM)、電気的に消去可能なプログラム可能な読取専用メモリ(EEPROM)、光学媒体(コンパクトディスク、DVD、ブルーレイディスクなど)、および/または同様のものとすることができる。いくつかの実施形態によれば、少なくとも1つのメモリ202および/または少なくとも1つのメモリ302は、1つまたは複数のディスクドライブ、フラッシュドライブ、1つまたは複数のデータベース、1つまたは複数のテーブル、1つまたは複数のファイル、ローカルキャッシュメモリ、プロセッサキャッシュメモリ、リレーショナルデータベース、フラットデータベース、および/または同様のものを含むことができる。さらに、当業者は、少なくとも1つのメモリ202および/または少なくとも1つのメモリ302として使用できる、情報を格納するための多くの追加のデバイスおよび技法を理解するであろう。少なくとも1つのメモリ202および/または少なくとも1つのメモリ302は、少なくとも1つのプロセッサ204および/または少なくとも1つのプロセッサ304上で、1つまたは複数のアプリケーションまたはモジュールを実行するための命令を格納するために使用してもよい。たとえば、少なくとも1つのメモリ202を、1つまたは複数の例で使用して、オプションの鍵生成モジュール208、オプションの鍵分割モジュール210、およびオプションの鍵再構築モジュール212の機能を実行するために必要な命令のすべてまたはいくつかを収容することができる。同様に、少なくとも1つのメモリ302を、1つまたは複数の例で使用して、オプションのコンポーネント受取モジュール308、オプションの認証モジュール310、およびオプションのコンポーネント通信モジュール312の機能を実行するために必要な命令のすべてまたはいくつかを収容することができる。
【0021】
[0029]少なくとも1つのプロセッサ204および/または少なくとも1つのプロセッサ304は、汎用プロセッサ(GPP)または特殊目的(フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、または他の集積回路または回路構成など)、または任意のプログラマブルロジックデバイスなどの任意の既知のプロセッサとすることができる。例では、少なくとも1つの鍵生成モジュール208、鍵分割モジュール210、および/または鍵再構築モジュール212のいずれかが、少なくとも1つのプロセッサ204と、少なくとも1つのメモリ202とによって実施される。例では、少なくとも1つのコンポーネント受取モジュール308、認証モジュール310、および/またはコンポーネント通信モジュール312のいずれかが、少なくとも1つのプロセッサ304と、少なくとも1つのメモリ302とによって実施される。
【0022】
[0030]例では、少なくとも1つのオプションのネットワークインターフェース206および/または少なくとも1つのオプションのネットワークインターフェース206は、ネットワーク(システム100の少なくとも1つのネットワークのうちの1つなど)と通信するための少なくとも1つのオプションのアンテナを含むかまたはそれに結合される。例では、少なくとも1つのオプションのネットワークインターフェース306は、ネットワーク(システム100の少なくとも1つのネットワーク106のうちの1つなど)と通信するための少なくとも1つのオプションのアンテナを含むかまたはそれに結合される。例では、少なくとも1つのオプションのネットワークインターフェース206および/または少なくとも1つのオプションのネットワークインターフェース206は、イーサネットインターフェース、セルラ無線アクセス技術(RAT)無線、Wi-Fi無線、Bluetooth無線、または近距離無線通信(NFC)無線のうちの少なくとも1つを含む。例では、少なくとも1つのオプションのネットワークインターフェース206および/または少なくとも1つのオプションのネットワークインターフェース206は、ローカルエリアネットワーク(LAN)または広域ネットワーク(WAN)を使用して、リモートサーバと十分な速度のセルラデータ接続(モバイルインターネット)を確立するように構成されたセルラ無線アクセス技術無線を含む。例では、セルラ無線アクセス技術は、パーソナル通信サービス(PCS)、特殊モバイル無線(SMR)サービス、拡張特殊モバイル無線(ESMR)サービス、アドバンストワイヤレスサービス(AWS)、符号分割多元接続(CDMA)、グローバル移動体通信システム(GSM)サービス、広帯域符号分割多元接続(W-CDMA)、ユニバーサルモバイルテレコミュニケーションシステム(UMTS)、ワールドワイドインタオペラビリティフォーマイクロ波アクセス(WiMAX)、第3世代パートナシップ計画(3GPP)ロングタームエボリューション(LTE)、高速パケットアクセス(HSPA)、第3世代(3G)、第4世代(4G)、第5世代(5G)などのうちの少なくとも1つ、または他の適切な通信サービスあるいはそれらの組合せを含む。例では、少なくとも1つのオプションのネットワークインターフェース206および/または少なくとも1つのオプションのネットワークインターフェース206は、広域ネットワークではなく、リモートサーバと通信するワイヤレスローカルエリアネットワークと通信するように構成されたWi-Fi(IEEE802.11)無線を含む。例では、少なくとも1つのオプションのネットワークインターフェース206および/または少なくとも1つのオプションのネットワークインターフェース206は、パッシブ近距離無線通信(NFC)タグ、アクティブ近距離無線通信(NFC)タグ、パッシブ無線周波数識別(RFID)タグ、アクティブ無線周波数識別(RFID)タグ、近接カード、または他のパーソナルエリアネットワークデバイスなどの近接通信に限定される近距離無線通信デバイスを含む。例では、同じ少なくとも1つのオプションのネットワークインターフェース206および/または少なくとも1つのオプションのネットワークインターフェース206もまた、ネットワーク(NFC支払い端末など)への外部ゲートウェイデバイスとの通信にも使用される。
【0023】
[0031]例では、オプションの少なくとも1つのディスプレイデバイス214および/またはオプションの少なくとも1つのディスプレイデバイス314は、発光ダイオード(LED)、液晶ディスプレイ(LCD)、発光ダイオード(LED)ディスプレイ、有機発光ダイオード(OLED)ディスプレイ、電子インクディスプレイ、電界放出ディスプレイ(FED)、表面伝導電子放出ディスプレイ(SED)、またはプラズマディスプレイのうちの少なくとも1つを含む。例では、オプションの少なくとも1つの入力デバイス216は、タッチスクリーン(容量性および抵抗性タッチスクリーンを含む)、タッチパッド、容量性ボタン、機械式ボタン、スイッチ、ダイヤル、キーボード、マウス、カメラ、生体認証センサ/スキャナなどのうちの少なくとも1つを含む。例では、オプションの少なくとも1つのディスプレイデバイス214および/またはオプションの少なくとも1つのディスプレイデバイス314およびオプションの少なくとも1つの入力デバイス216は、コンピューティングデバイス102とのユーザインタラクションのためにヒューマンマシンインターフェース(HMI)に結合される。
【0024】
[0032]例では、少なくとも1つのオプションの電源218は、ネットワークノード102の様々なコンポーネントに電力を供給するために使用される。例では、少なくとも1つのオプションの電源318は、ネットワークノード104の様々なコンポーネントに電力を供給するために使用される。
【0025】
[0033]コンピューティングデバイス102の少なくとも1つのプロセッサ204は、少なくとも1つの鍵を安全に生成するように構成される。例では、これは、鍵生成モジュール208において実施される。コンピューティングデバイス102の少なくとも1つのプロセッサ204は、少なくとも1つの鍵をランダムに安全に生成するように構成してもよい。例では、コンピューティングデバイス102の少なくとも1つのプロセッサ204は、鍵ジェネレータを実施して、少なくとも1つの鍵を安全に生成することができる。例では、鍵ジェネレータは、線形フィードバックシフトレジスタ(LFSR)、ソリティア暗号(Solitaire cipher)、および/またはポンティフェックス暗号(Pontifex cipher)のうちの少なくとも1つを含む。例では、コンピューティングデバイス102の少なくとも1つのプロセッサ204は、多くの疑似ランダム特性を有するシーケンスを生成することによって、少なくとも1つの鍵を生成するように構成される。例では、鍵を使用して、データを暗号化および/または解読できる。少なくとも1つの鍵の安全な生成を可能にするために、少なくとも1つのプロセッサ204は、ユーザがコンピューティングデバイス102にログインしていないことを最初に確認することによって、少なくとも1つの鍵を生成するように構成してもよい。少なくとも1つの鍵の安全な生成を可能にするために、少なくとも1つのプロセッサ204は、コンピューティングデバイス102が仮想マシンとして実施されていないことをチェックするように構成してもよい。少なくとも1つの鍵の安全な生成を可能にするために、少なくとも1つのプロセッサ204は、システムへのユーザログインをブロックするように構成してもよい。
【0026】
[0034]少なくとも1つのプロセッサ204は、鍵を鍵コンポーネントのセットに分割するようにさらに構成され、鍵コンポーネントの少なくとも1つのサブセットを使用して鍵を再構築することができる。例では、これは、鍵分割モジュール210において実施される。例では、鍵の鍵コンポーネントのセットへの分割は設定可能であり、鍵を再構築するために特定の量の鍵コンポーネントが必要になる場合がある。たとえば、特定の鍵は、N個のうちのM個の鍵コンポーネントが特定の鍵を再構築するために必要とされるように、N個の鍵コンポーネントに分割する場合がある。例では、鍵コンポーネントが、様々なユーザに配布される。例では、鍵コンポーネントは、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、またはプッシュ確認通知などのうちの少なくとも1つなどによって、少なくとも1つのネットワークインターフェース206を使用して、ユーザデバイスに電子的に配布できる。例では、鍵は、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、鍵コンポーネントのセットに分割される。例では、鍵コンポーネントは、ユーザに提供される媒体に、表示、印刷、または他の方法で固定することができ、次に、それらの対応するコンピューティングデバイス104に鍵コンポーネントを入力することができる。
【0027】
[0035]例では、鍵とともに少なくとも1つの暗号鍵を使用して、鍵自体を、暗号化された鍵に暗号化し、暗号化された鍵自体と、少なくとも1つの暗号鍵との両方を分割することにより、セキュリティおよび柔軟性のある追加層を追加することができ、これによって、再構築されるためには、両方とも、鍵コンポーネントのサブセットが必要となる。例では、少なくとも1つのプロセッサ204は、少なくとも1つの排他的論理和(XOR)演算を、鍵および少なくとも1つの暗号鍵に適用することによって、鍵を暗号化するように構成される。例では、暗号化された鍵は、各ビット位置に1を含むように構成され、ここでは、鍵と、少なくとも1つの暗号鍵との両方の対応するビット位置におけるビットは異なり、暗号化された鍵は、各ビット位置にゼロを含むように構成され、ここでは、鍵と、少なくとも1つの暗号鍵との両方の対応するビット位置のビットは同じである。少なくとも1つの暗号鍵が、複数の暗号鍵を含む例では、少なくとも1つのプロセッサ204は、鍵と、複数の暗号鍵の第1の鍵との間に第1の排他的論理和(XOR)を適用し、次に、第1のXORの結果と、複数の暗号鍵の第2の鍵との間に第2の排他的論理和(XOR)を適用し、複数の暗号鍵のすべてが使用されるまで行われるように構成される。例では、鍵自体および暗号鍵が分割されて様々なユーザに提供される前に、鍵自体を暗号化するために、少なくとも1つのプロセッサ204によって、1つの暗号鍵のみが使用される。例では、鍵自体および複数の暗号鍵が分割されて様々なユーザに提供される前に、鍵自体を暗号化するために、少なくとも1つのプロセッサ204によって、複数の暗号鍵が使用される。例では、暗号化された鍵自体と、少なくとも1つの暗号鍵との両方の鍵コンポーネントが、グループの人々に提供される。少なくとも1つの暗号鍵と、暗号化された鍵との鍵コンポーネントを、同じグループの人々に提供することもできるが、2つのグループの人々が、相互に排他的である場合や、単に重複している場合もある。
【0028】
[0036]例では、少なくとも1つのプロセッサ204は、暗号化された鍵と、少なくとも1つの暗号鍵とを、複数のユーザに提供できる鍵コンポーネントの少なくとも1つのセットに分割する前に、暗号化された鍵と、少なくとも1つの暗号鍵とをともに結合するように構成される。たとえば、少なくとも1つのプロセッサ204は、暗号化された鍵と、少なくとも1つの暗号鍵とをともに文字列に連結し、次に、その文字列を、複数のユーザに提供できる鍵コンポーネントの少なくとも1つのセットに分割するように構成できる。例では、少なくとも1つのプロセッサ204は、暗号化された鍵と、鍵コンポーネントの少なくとも1つのセットとを、複数のユーザに提供できる別々の鍵コンポーネントのセットに分割するように構成できる。たとえば、少なくとも1つのプロセッサ204は、暗号化された鍵を、第1の複数のユーザに提供できる第1の鍵コンポーネントのセットに分割するように構成でき、ここでは、第1の鍵コンポーネントの少なくとも第1のサブセットを使用して、暗号化された鍵を再構築できる。同様に、少なくとも1つのプロセッサ204は、少なくとも1つの暗号鍵のうちの各暗号鍵を、少なくとも第2の複数のユーザに提供できる少なくとも第2の鍵コンポーネントに分割するように構成することができ、ここでは、少なくとも第2の鍵コンポーネントの少なくとも第2のサブセットを使用して、少なくとも1つの暗号鍵を再構築することができる。
【0029】
[0037]例では、ユーザのコンピューティングデバイス104の少なくとも1つのプロセッサ304は、コンピューティングデバイス102によって生成された鍵コンポーネントを受け取るように構成され、鍵コンポーネントを少なくとも1つのメモリ302に格納するように構成される。例示的な実施形態では、これは、コンポーネント受取モジュール308において実施される。例では、コンピューティングデバイス104の少なくとも1つのプロセッサ304は、(コンピューティングデバイス102から電子的に受け取られるなど)少なくとも1つのネットワークインターフェース306を介して少なくとも1つの鍵コンポーネントを安全に受け取るように構成される。例では、鍵コンポーネントは、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、またはプッシュ確認通知のうちの少なくとも1つなどによって、少なくとも1つのネットワークインターフェース306を使用して、コンピューティングデバイス104において電子的に受け取ることができる。例では、コンピューティングデバイスの少なくとも1つのプロセッサ304は、(ユーザによってシステム106にマニュアルで入力されるなど)少なくとも1つの入力デバイス316を介して少なくとも1つの鍵コンポーネントを受け取るように構成される。例では、鍵コンポーネントは、タッチスクリーン、キーボード、マウス、またはメディアリーダなどによって、入力デバイス316を使用して、コンピューティングデバイス104にマニュアルで入力することができる。少なくとも1つの鍵コンポーネントの安全な受取を可能にするために、少なくとも1つのプロセッサ304は、ユーザがコンピューティングデバイス104にログインしていないことを確認した後でのみ、少なくとも1つの鍵コンポーネントを受け取り、コンピューティングデバイス104が仮想マシンとして実施されていないことをチェックし、コンピューティングデバイス104への他のユーザログインをブロックするように構成してもよい。
【0030】
[0038]例では、コンピューティングデバイス102の少なくとも1つのプロセッサ204は、鍵コンポーネントのセットから鍵を再構築するようにさらに構成され、鍵コンポーネントの少なくとも1つのサブセットを使用して、鍵を再構築することができる。例では、これは、鍵再構築モジュール212において実施される。例では、少なくとも1つのプロセッサ204は、複数のユーザが鍵コンポーネントを提供して鍵を再構築できるようにするための要求を、複数のコンピューティングデバイス104に送るように構成される。例では、この要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、またはプッシュ確認通知のうちの少なくとも1つなどによって、少なくとも1つのネットワークインターフェース206を使用して、コンピューティングデバイス102から電子的に送信することができる。
【0031】
[0039]例では、少なくとも1つのプロセッサ204は、複数のユーザから、鍵コンポーネントの少なくとも1つのサブセットを受け取るように構成され、鍵コンポーネントのセットのサブセットを使用して鍵を再構築することができる。例では、少なくとも1つのプロセッサ204は、鍵コンポーネントのセットのサブセットが、複数のユーザから受け取られた場合、鍵を安全に再構築するように構成される。例では、鍵コンポーネントのサブセットの少なくともいくつかは、(たとえば、コンピューティングデバイス104などのユーザデバイスから電子的に受け取られるように)少なくとも1つのネットワークインターフェース206を介して複数のユーザから受け取られる。例では、鍵コンポーネントのサブセットの少なくともいくつかは、(ユーザによってシステム104にマニュアルで入力されるように)少なくとも1つの入力デバイス216を介して複数のユーザから受け取られる。
【0032】
[0040]例では、ユーザ用のコンピューティングデバイス104の少なくとも1つのプロセッサ304は、ユーザが鍵コンポーネントを提供して、鍵を再構築できるようにするための要求を、コンピューティングデバイス102から受け取るように構成される。例では、この要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、またはプッシュ確認通知のうちの少なくとも1つなどによって、少なくとも1つのネットワークインターフェース306を使用してコンピューティングデバイス104において電子的に受け取ることができる。例では、少なくとも1つのプロセッサ304は、ユーザが鍵コンポーネントを提供して、鍵を再構築できるようにするための要求を、ディスプレイデバイス314に対して表示させるように構成される。例では、少なくとも1つのプロセッサ304は、ディスプレイデバイス314を介してユーザ入力を受け取るように構成される。例では、ユーザ入力は、(プッシュ確認通知の使用など)要求を確認または拒否する応答であり、システムは、少なくとも1つのメモリ302から鍵コンポーネントにアクセスし、ユーザがこの要求を確認することに応じて、コンピューティングデバイス102に通信できるか、または、ユーザがこの要求を拒否することに応じて、コンピューティングデバイス102にメッセージを返すことができる。例では、ユーザ入力は、実際の鍵コンポーネント自体(入力デバイス316を使用した鍵コンポーネントのマニュアル入力など)であり、次に、コンピューティングデバイス102へ通信することができる。
【0033】
[0041]例では、様々なユーザに分割された鍵によってセキュリティのある追加層が提供され、これは、鍵自体を変更することなく、鍵サブセットのいくつかまたはすべてが失われたり、構成されたりするなどの状況に役立つことができる。例では、鍵サブセットが失われる、危険に曝されるなどの場合、または(役員、他の従業員、または取締役が辞任するか、その地位を変更した場合のように)鍵サブセットを有するグループの個人を変更する必要がある場合、個人に提供される新しい鍵コンポーネントのセットを生成することは、理にかなうことができる。このような場合、十分な量の鍵コンポーネントが、少なくとも1つのプロセッサ204で受け取られ、少なくとも1つのプロセッサ204は、鍵自体または暗号化された鍵、および暗号化された鍵を鍵自体に解読するために必要な任意の暗号鍵を再生成するように構成され、少なくとも1つのプロセッサ204は、任意の必要な暗号鍵を使用して、暗号化された鍵を解読し、鍵を取得するように構成される。1つまたは複数の新しい暗号鍵を生成して、鍵の暗号化に使用できる。鍵と、1つまたは複数の新しい暗号鍵とは、上述したようにコンポーネントと、必要に応じて1つまたは複数のグループの人々に提供されるコンポーネントに分割できる。
【0034】
[0042]例では、鍵コンポーネントの少なくとも1つのセットは、鍵コンポーネントの単一のセットを含み、少なくとも1つのプロセッサ204は、暗号化された鍵と、少なくとも1つの暗号鍵との両方を含む結合文字列を、単一の鍵コンポーネントのセットから再構築し、少なくとも1つの暗号鍵を使用して、暗号化された鍵を鍵に安全に解読するために使用される結合文字列から、暗号化された鍵と少なくとも1つの暗号鍵を抽出するように構成されることによって、少なくとも部分的に、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するように構成される。例では、少なくとも1つのプロセッサ204は、暗号化された鍵を再構築するために使用できる鍵コンポーネントの第1のセットの第1のサブセットを、ユーザの第1のサブセットから受け取り、暗号化された鍵から鍵を安全に解読するために使用される少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの鍵コンポーネントの少なくとも第2のサブセットを、ユーザの少なくとも第2のサブセットから受け取るように構成されることによって、少なくとも部分的に、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのサブセットを、ユーザの少なくとも1つのサブセットから受け取るように構成される。これらの例のいくつかでは、少なくとも1つのプロセッサ204は、第1の鍵コンポーネントの第1のサブセットが、ユーザの第1のサブセットから受け取られた場合、暗号化された鍵を安全に再構築し、少なくとも第2の鍵コンポーネントの鍵コンポーネントの少なくとも第2のサブセットが、ユーザの少なくとも第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を安全に再構築するように構成されることによって、少なくとも部分的に、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するように構成される。例では、少なくとも1つのプロセッサ204は、少なくとも1つの排他的論理和(XOR)演算を、暗号化された秘密鍵と、少なくとも1つの暗号鍵とに安全に適用することにより、少なくとも部分的に、少なくとも1つの暗号鍵を使用して、暗号化された鍵を解読するように構成される。例では、少なくとも1つのプロセッサは、使用後に少なくとも1つのメモリから秘密鍵を安全に消去するように構成される。
【0035】
[0043]図4は、(非対称な暗号法で使用される秘密鍵などの)鍵を安全に生成および分割するための例示的な方法400のフロー図である。例示的な方法400は、オプションのブロック402で始まり、オプションで、システムへのユーザログインをブロックする。例では、システムへのユーザログインのブロックは、少なくとも部分的に、セキュアシェル(SSH)ログイン、および/または、システムへの他の任意のアクセスをブロックすることで発生する。例示的な方法400は、オプションのブロック404に進み、オプションで、システムにログインしているユーザがいないことを確認する。例示的な方法400は、オプションのブロック406に進み、オプションで、システムが仮想マシンとして実施されていないことをチェックする。例示的な方法400は、ブロック408に進み、(非対称な暗号法で使用される秘密鍵などの)鍵を安全に生成する。例示的な方法400は、ブロック410に進み、鍵を鍵コンポーネントのセットに分割し、鍵コンポーネントの少なくとも1つのサブセットを使用して、鍵を再構築することができる。例示的な方法400は、ブロック412に進み、メモリから鍵を安全に消去する。例では、DoDメモリワイプを使用して、メモリからの鍵から鍵を安全に消去する。例示的な方法400は、オプションのブロック414に進み、オプションで、鍵コンポーネントのセットをリモートデバイス414へ通信する。例では、鍵コンポーネントのセットは、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、またはプッシュ確認通知のうちの少なくとも1つでユーザに通信される。
【0036】
[0044]図5は、鍵コンポーネントのサブセットから鍵(非対称な暗号法で使用される秘密鍵など)を安全に再構築するための例示的な方法500のフロー図である。例示的な方法500は、オプションのブロック502で始まり、オプションで、鍵コンポーネントを求める要求をユーザデバイスへ通信する。例示的な方法500は、オプションのブロック504に進み、オプションで、システムへのユーザログインをブロックする。例示的な方法500は、オプションのブロック506に進み、オプションで、システムにログインしているユーザがいないことを確認する。例示的な方法500は、オプションのブロック508に進み、オプションで、システムが仮想マシンとして実施されていないことをチェックする。例示的な方法500は、ブロック510に進み、複数のユーザから鍵コンポーネントのセットのサブセットを受け取り、鍵コンポーネントのセットのサブセットを使用して、鍵を再構築することができる。例示的な方法500は、ブロック512に進み、鍵コンポーネントのサブセットが複数のユーザから受け取られた場合、鍵を安全に再構築する。例示的な方法500は、オプションのブロック514に進み、オプションで、使用後にメモリから鍵を安全に消去する。
【0037】
[0045]図6は、少なくとも1つの暗号鍵を安全に生成し、少なくとも1つの暗号鍵を使用して、鍵(秘密鍵、公開鍵、暗号鍵、署名鍵、または別の暗号鍵、またはパスワードまたはシークレットなど)を暗号化された鍵に暗号化し、暗号化された鍵と、少なくとも1つの暗号鍵とを、複数の鍵コンポーネントに分割するための例示的な方法600のフロー図である。例示的な方法600は、オプションのブロック602で始まり、オプションで、システムへのユーザログインをブロックする。例示的な方法600は、オプションのブロック604に進み、オプションで、システムにログインしているユーザがいないことを確認する。例示的な方法600は、オプションのブロック606に進み、オプションで、システムが仮想マシンとして実施されていないことをチェックする。例示的な方法600は、オプションのブロック608に進み、オプションで、安全に鍵(秘密鍵、公開鍵、暗号鍵、署名鍵、または別の暗号鍵、またはパスワードまたは秘密など)を生成する。
【0038】
[0046]例示的な方法600は、ブロック610に進み、少なくとも1つの暗号鍵を安全に生成する。例示的な方法600は、ブロック612に進み、少なくとも1つの暗号鍵を使用して鍵を暗号化し、暗号化された鍵を生成する。例では、鍵は、少なくとも1つの排他的論理和(XOR)演算を、鍵と、少なくとも1つの暗号鍵とに適用することによって暗号化される。例では、暗号化された鍵は、各ビット位置に1を含むように構成され、ここでは、鍵と、少なくとも1つの暗号鍵との両方における対応するビット位置におけるビットは異なり、暗号化された鍵は、各ビット位置にゼロを含むように構成され、ここでは、鍵と、少なくとも1つの暗号鍵との両方における対応するビット位置におけるビットは同じである。少なくとも1つの暗号鍵が複数の暗号鍵を含む例では、第1の排他的論理和(XOR)を、鍵と、複数の暗号鍵の第1の鍵との間に適用することができ、次に、第2の排他的論理和(XOR)を、第1のXORの結果と、複数の暗号鍵の第2の鍵との間に適応することができ、等が、複数の暗号鍵のすべてが使用されるまで可能である。
【0039】
[0047]例示的な方法600は、ブロック614に進み、暗号化された鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割し、ここでは、鍵コンポーネントの少なくとも1つのセットの、少なくとも鍵コンポーネントのサブセットは、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる。例では、暗号化された鍵と、少なくとも1つの暗号鍵とは、暗号化された鍵と、少なくとも1つの暗号鍵とを、複数のユーザに提供できる鍵コンポーネントの少なくとも1つのセットに分割する前に、ともに結合される。たとえば、暗号化された鍵と、少なくとも1つの暗号鍵とは、複数のユーザに提供することができる鍵コンポーネントの少なくとも1つのセットに分割される文字列へともに連結することができる。例では、暗号化された鍵と、鍵コンポーネントの少なくとも1つのセットとは、複数のユーザに提供できる別々の鍵コンポーネントのセットに分割することができる。たとえば、暗号化された鍵は、第1の複数のユーザに提供できる鍵コンポーネントの第1のセットに分割でき、ここでは、第1の鍵コンポーネントの少なくとも第1のサブセットを使用して、暗号化された鍵を再構築できる。同様に、少なくとも1つの暗号鍵の暗号化された各鍵は、少なくとも第2の複数のユーザに提供できる少なくとも第2の鍵コンポーネントに分割でき、ここでは、少なくとも第2の鍵コンポーネントの、少なくとも第2のサブセットを使用して、少なくとも1つの暗号鍵を再構築できる。
【0040】
[0048]例示的な方法600は、ブロック616に進み、鍵、少なくとも1つの暗号鍵、および/または暗号化された鍵をメモリから安全に消去する。例では、例示的な方法600は、オプションのブロック618に進み、オプションで、鍵コンポーネントのセットをリモートデバイスへ通信する。例では、鍵コンポーネントのセットは、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザに安全に通信される。
【0041】
[0049]図7は、鍵コンポーネントのサブセットから、暗号化された鍵と、少なくとも1つの暗号鍵との両方を安全に再構築し、暗号化された鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、少なくとも1つの暗号鍵を使用して、暗号化された鍵を安全に解読するための例示的な方法700のフロー図である。例示的な方法700は、ブロック702で始まり、オプションで、鍵コンポーネントを求める要求を、ユーザデバイスへ通信する。例示的な実施形態では、鍵コンポーネントを求める要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザに安全に通信される。
【0042】
[0050]例示的な方法700は、オプションのブロック704に進み、オプションで、システムへのユーザログインをブロックする。例示的な方法700は、オプションのブロック706に進み、オプションで、システムにログインしているユーザがいないことを確認する。例示的な方法700は、オプションのブロック708に進み、オプションで、システムが仮想マシンとして実施されていないことをチェックする。例示的な方法700は、オプションのブロック710に進み、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのサブセットを、ユーザの少なくとも1つのサブセットから受け取る。例示的な方法700は、ブロック712に進み、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる、鍵コンポーネントの少なくとも1つのセットが、ユーザの少なくとも1つのサブセットから受け取られた場合、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築する。例では、鍵コンポーネントの少なくとも1つのセットは、鍵コンポーネントの単一のセットを含み、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築することは、鍵コンポーネントの単一のセットから、暗号化された鍵と、少なくとも1つの暗号鍵との両方を含む結合文字列を再構築すること、および暗号化された鍵を、少なくとも1つの暗号鍵を使用して鍵に安全に解読するために使用される結合文字列から、暗号化された鍵と、少なくとも1つの暗号鍵とを抽出することを含む。
【0043】
[0051]例では、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのサブセットを、ユーザの少なくとも1つのサブセットから受け取ることは、暗号化された鍵を再構築するために使用できる鍵コンポーネントの第1のセットの第1のサブセットを、ユーザの第1のサブセットから受け取ることと、暗号化された鍵から鍵を安全に解読するために使用される少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの、鍵コンポーネントの少なくとも第2のサブセットを、ユーザの少なくとも第2のセットから受け取ることとを含む。これらの例のいくつかでは、暗号化された鍵と、少なくとも1つの暗号鍵とを安全に再構築することは、第1の鍵コンポーネントの第1のサブセットが、ユーザの第1のサブセットから受け取られると、暗号化された鍵を安全に再構築すること、および少なくとも第2の鍵コンポーネントの鍵コンポーネントの少なくとも第2のサブセットが、ユーザの少なくとも第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を安全に再構築することを含む。例示的な方法700は、ブロック716に進み、オプションで、使用後に、鍵、暗号化された鍵、および/または少なくとも1つの暗号鍵を安全に消去する。
【0044】
[0052]ここで紹介する技法は、専用ハードウェア(回路構成など)として、ソフトウェアおよび/またはファームウェアで適切にプログラムされたプログラム可能な回路構成として、または専用およびプログラム可能な回路構成の組合せとして実施することができる。したがって、実施形態は、コンピュータ(または他の電子デバイス)をプログラムしてプロセスを実行するために使用する場合がある命令が格納された機械可読媒体を含むことができる。機械可読媒体には、たとえば、フロッピーディスケット、光ディスク、コンパクトディスク読取専用メモリ(CD-ROM)、光磁気ディスク、読取専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、消去可能なプログラム可能な読取専用メモリ(EPROM)、電気的に消去可能なプログラム可能な読取専用メモリ(EEPROM)、磁気カードまたは光カード、フラッシュメモリ、または電子命令の格納に適した他のタイプの媒体/機械読取可能な媒体を含むことができる。
【0045】
[0053]コンピュータシステムの概要
[0054]本開示の実施形態は、上述した様々なステップおよび動作を含む。これらの様々なステップおよび動作は、ハードウェアコンポーネントによって実行してもよいか、または命令でプログラムされた汎用または専用プロセッサに、ステップを実行させるために使用してもよい、機械実行可能な命令で具体化してもよい。あるいは、これらのステップは、ハードウェア、ソフトウェア、および/またはファームウェアの組合せによって実行してもよい。したがって、図8は、本開示の実施形態を利用する場合があるコンピュータシステム800の例である。本例によれば、コンピュータシステム800は、相互接続802、少なくとも1つのプロセッサ804、少なくとも1つの通信ポート806、少なくとも1つのメインメモリ808、少なくとも1つのリムーバブル記憶媒体810、少なくとも1つの読取専用メモリ812、および少なくとも1つの大容量記憶デバイス814を含む。
[0054]本開示の実施形態は、上述した様々なステップおよび動作を含む。これらの様々なステップおよび動作は、ハードウェアコンポーネントによって実行してもよいか、または命令でプログラムされた汎用または専用プロセッサに、ステップを実行させるために使用してもよい、機械実行可能な命令で具体化してもよい。あるいは、これらのステップは、ハードウェア、ソフトウェア、および/またはファームウェアの組合せによって実行してもよい。したがって、図8は、本開示の実施形態を利用する場合があるコンピュータシステム800の例である。本例によれば、コンピュータシステム800は、相互接続802、少なくとも1つのプロセッサ804、少なくとも1つの通信ポート806、少なくとも1つのメインメモリ808、少なくとも1つのリムーバブル記憶媒体810、少なくとも1つの読取専用メモリ812、および少なくとも1つの大容量記憶デバイス814を含む。
【0046】
[0055]少なくとも1つのプロセッサ804は、任意の既知のプロセッサとすることができる。少なくとも1つの通信ポート806は、たとえば、モデムベースのダイヤルアップ接続で使用するためのRS-232ポート、10/100イーサネットポート、または銅もしくはファイバを使用するギガビットポートのいずれかとすることができるか、またはそれらを含むことができる。少なくとも1つの通信ポート806の性質は、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、またはコンピュータシステム800が接続する任意のネットワークなどのネットワークに応じて選択してもよい。少なくとも1つのメインメモリ808は、ランダムアクセスメモリ(RAM)、または当技術分野で一般に知られている他の任意の動的記憶デバイスとすることができる。少なくとも1つの読取専用メモリ812は、少なくとも1つのプロセッサ804のための命令などの静的情報を記憶するためのプログラム可能な読取専用メモリ(PROM)チップなどの任意の静的記憶デバイスとすることができる。
【0047】
[0056]少なくとも1つの大容量記憶デバイス814を使用して、情報および命令を格納することができる。たとえば、ハードディスク(磁気ディスクドライブ、または、シリアル/パラレルATAまたはSCSIインターフェースを使用するソリッドステートドライブなど)、光ディスク、独立したディスクの冗長アレイ(RAID)などのディスクのアレイ、または他の任意の大容量記憶デバイスを使用してもよい。相互接続802は、1つまたは複数のバス、ブリッジ、コントローラ、アダプタ、および/またはポイントツーポイント接続とすることができるか、それらを含むことができる。相互接続802は、少なくとも1つのプロセッサ804を他のメモリ、ストレージ、および通信ブロックに通信可能に結合する。相互接続802は、使用される記憶デバイスに応じて、PCI/PCI-XまたはSCSIベースのシステムバスとすることができる。少なくとも1つのリムーバブルな記憶媒体810は、あらゆる種類の外部ハードドライブ、フロッピードライブ、コンパクトディスク読取専用メモリ(CD-ROM)、コンパクトディスクリライタブル(CD-RW)、デジタルビデオディスク読取専用メモリ(DVD-ROM)、ブルーレイディスク読取専用メモリ(BD-ROM)、ブルーレイディスクレコーダブル(BD-R)、ブルーレイディスクレコーダブルイレーサブル(BD-RE)とすることができる。
【0048】
[0057]上述したコンポーネントは、いくつかのタイプの可能性を例示することを意図している。前述した例は例示的な実施形態にすぎず、本開示を限定すべきではない。本明細書に記載されている実施形態、構造、方法などは、下記および上記のものを含み、様々な手法でともに結合することができる。
【0049】
[0058]用語
[0059]本出願を通して使用される用語、略語、および語句の簡単な定義を以下に示す。
[0060]「接続された」、「結合された」、および「通信可能に結合された」という用語および関連する用語は、動作的な意味で使用され、必ずしも直接的な物理的な接続または結合に限定されない。したがって、たとえば、2つのデバイスを、直接的に、または1つもしくは複数の中間媒体またはデバイスを介して結合してもよい。別の例として、互いに物理的な接続を共有せずに、デバイス間で情報を受け渡すことができるようにデバイスを結合してもよい。本明細書で提供される開示に基づいて、当業者は、接続または結合が前述した定義に従って存在する様々な手法を理解するであろう。
[0059]本出願を通して使用される用語、略語、および語句の簡単な定義を以下に示す。
[0060]「接続された」、「結合された」、および「通信可能に結合された」という用語および関連する用語は、動作的な意味で使用され、必ずしも直接的な物理的な接続または結合に限定されない。したがって、たとえば、2つのデバイスを、直接的に、または1つもしくは複数の中間媒体またはデバイスを介して結合してもよい。別の例として、互いに物理的な接続を共有せずに、デバイス間で情報を受け渡すことができるようにデバイスを結合してもよい。本明細書で提供される開示に基づいて、当業者は、接続または結合が前述した定義に従って存在する様々な手法を理解するであろう。
【0050】
[0061]「~に基づいて」という語句は、特に明示的に指定されていない限り、「~のみに基づいて」を意味しない。言い換えると、「~に基づいて」という語句は、「~のみに基づいて」と「少なくとも~に基づいて」との両方を説明する。さらに、「および/または」という用語は、「および」または「または」を意味する。たとえば、「Aおよび/またはB」は、「A」、「B」、または「AおよびB」を意味することができる。さらに、「A、B、および/またはC」は、「Aのみ」、「Bのみ」、「Cのみ」、「AとB」、「AとC」、「BとC」、または「A、B、およびC」を意味することができる。
【0051】
[0062]「例示的な実施形態において」、「例である実施形態において」、「いくつかの実施形態において」、「いくつかの実施形態に従って」、「示された実施形態において」、「他の実施形態において」、「実施形態」、「例において」、「例」、「いくつかの例において」、「いくつかの例」などの語句は、一般に、語句に続く特定の特徴、構造、または特性が、本開示の少なくとも1つの実施形態に含まれ、本開示の1つよりも多くの実施形態に含まれる場合があることを意味する。さらに、そのような語句は、必ずしも同じ実施形態または異なる実施形態を指すとは限らない。
【0052】
[0063]コンポーネントまたは特徴が、含まれ「てもよい」、「ることができる」、「ることができる」、「る可能性がある」、または特性を有「してもよい」、「すことができる」、「すことができる」、「す可能性がある」と明細書が述べているのであれば、特定のコンポーネントまたは特徴が含まれる必要も、または特性を有する必要もない。
【0053】
[0064]「応答性がある」という用語は、完全にまたは部分的に応答性があることを含む。
[0065]「モジュール」という用語は、ソフトウェア、ハードウェア、またはファームウェア(またはそれらの任意の組合せ)コンポーネントを広く指す。モジュールは通常、指定された入力を使用して有用なデータまたは他の出力を生成できる機能コンポーネントである。モジュールは自己完結型である場合とそうでない場合とがある。アプリケーションプログラム(「アプリケーション」とも呼ばれる)は、1つまたは複数のモジュールを含むことができるか、または、モジュールは、1つまたは複数のアプリケーションプログラムを含むことができる。
[0065]「モジュール」という用語は、ソフトウェア、ハードウェア、またはファームウェア(またはそれらの任意の組合せ)コンポーネントを広く指す。モジュールは通常、指定された入力を使用して有用なデータまたは他の出力を生成できる機能コンポーネントである。モジュールは自己完結型である場合とそうでない場合とがある。アプリケーションプログラム(「アプリケーション」とも呼ばれる)は、1つまたは複数のモジュールを含むことができるか、または、モジュールは、1つまたは複数のアプリケーションプログラムを含むことができる。
【0054】
[0066]「ネットワーク」という用語は、一般に、情報を交換することができる相互接続されたデバイスのグループを指す。ネットワークは、ローカルエリアネットワーク(LAN)上の数台のパーソナルコンピュータと同じくらいわずかな大きさである場合もあれば、コンピュータの世界的なネットワークであるインターネットと同じくらい大きい場合もある。本明細書で使用される場合、「ネットワーク」は、あるエンティティから別のエンティティに情報を送信できる任意のネットワークを包含することが意図されている。いくつかの場合では、ネットワークを、様々なネットワーク間の通信を容易にするように動作可能なゲートウェイを介して相互接続された多数のネットワーク、さらには1つまたは複数の境界ネットワーク、音声ネットワーク、ブロードバンドネットワーク、金融ネットワーク、サービスプロバイダネットワーク、インターネットサービスプロバイダ(ISP)ネットワーク、および/または、公衆交換電話網(PSTN)などの複数の異種ネットワークで構成する場合がある。
【0055】
[0067]また、例示のために、本開示の様々な実施形態が、本明細書では、コンピュータプログラム、物理コンポーネント、および最新のコンピュータネットワーク内の論理相互作用の文脈で説明された。重要なことに、これらの実施形態は、最新のコンピュータネットワークおよびプログラムに関して本開示の様々な実施形態を説明するが、本明細書で説明する方法および装置は、当業者が理解するように、他のシステム、デバイス、およびネットワークに等しく適用可能である。したがって、本開示の実施形態の例示された用途は、限定することは意味されておらず、例である。本開示の実施形態が適用可能な他のシステム、デバイス、およびネットワークは、たとえば、他のタイプの通信およびコンピュータデバイスおよびシステムを含む。より具体的には、実施形態は、通信システム、サービス、ならびにセル電話ネットワークおよび互換性のあるデバイスなどのデバイスに適用可能である。さらに、実施形態は、パーソナルコンピュータから、大規模なネットワークメインフレームおよびサーバまでのすべてのレベルのコンピューティングに適用可能である。
【0056】
[0068]結論として、本開示は、鍵を安全に分割、配布、および/または再構築するための新規のシステム、方法、および構成を提供する。本開示の1つまたは複数の実施形態の詳細な説明が上記で与えられたが、本開示の精神と異なることなく、様々な代替、修正、および均等物が当業者には明らかであろう。たとえば、上述した実施形態は特定の特徴に言及しているが、本開示の範囲は、特徴の異なる組合せを有する実施形態、および記載された特徴のすべてを含む訳ではない実施形態も含む。したがって、本開示の範囲は、そのすべての均等物とともに、特許請求の範囲内に含まれるすべてのそのような代替、修正、および変形を包含することが意図されている。したがって、上記の説明は限定として解釈されるべきではない。
【0057】
例示的な実施形態
[0069]例1は、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリとを備え、鍵を暗号化するために、少なくとも1つの暗号鍵を生成する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つの暗号鍵を生成すること、少なくとも1つの暗号鍵を使用して鍵を暗号化して、暗号化された鍵を生成すること、暗号化された鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割することであって、鍵コンポーネントの少なくとも1つのセットの、鍵コンポーネントの少なくともサブセットを使用して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築できる、分割すること、および少なくとも1つのメモリから鍵を消去することを行うように構成される、システムを含む。
[0069]例1は、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリとを備え、鍵を暗号化するために、少なくとも1つの暗号鍵を生成する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つの暗号鍵を生成すること、少なくとも1つの暗号鍵を使用して鍵を暗号化して、暗号化された鍵を生成すること、暗号化された鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割することであって、鍵コンポーネントの少なくとも1つのセットの、鍵コンポーネントの少なくともサブセットを使用して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築できる、分割すること、および少なくとも1つのメモリから鍵を消去することを行うように構成される、システムを含む。
【0058】
[0070]例2は、例1のシステムを含み、少なくとも1つのプロセッサは、暗号化された鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割する前に、暗号化された鍵と、少なくとも1つの暗号鍵とをともに結合するように構成される。
【0059】
[0071]例3は、例1~例2のいずれかのシステムを含み、少なくとも1つのプロセッサは、暗号化された鍵を、第1の鍵コンポーネントの第1のセットに分割することであって、第1の鍵コンポーネントの少なくとも第1のサブセットは、暗号化された鍵を再構築するために使用され、鍵コンポーネントの第1のセットは、第1の複数のユーザへ提供されるように構成される、分割すること、および少なくとも1つの暗号鍵を、少なくとも第2の鍵コンポーネントの少なくとも第2のセットに分割することであって、少なくとも第2の鍵コンポーネントの少なくとも第2のサブセットは、少なくとも1つの暗号鍵を再構築するために使用でき、鍵コンポーネントの少なくとも第2のセットは、少なくとも第2の複数のユーザへ提供されるように構成される、分割することを行うように構成されることによって、少なくとも部分的に、暗号化された鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割するように構成される。
【0060】
[0072]例4は、例3のシステムを含み、少なくとも第2の鍵コンポーネントの少なくとも第2のセットは、鍵コンポーネントの単一のセットのみを含み、少なくとも第2の複数のユーザは、ユーザの単一のセットのみを含み、鍵コンポーネントの少なくとも第2のセットは、ユーザの単一のセットに提供されるように構成される。
【0061】
[0073]例5は、例3~例4のいずれかのシステムを含み、少なくとも第2の鍵コンポーネントの少なくとも第2のセットは、鍵コンポーネントの複数のセットを含み、少なくとも第2の複数のユーザは、ユーザの複数のセットを含み、鍵コンポーネントの複数のセットの鍵コンポーネントの各セットは、ユーザの複数のセットの対応するユーザのセットに提供されるように構成される。
【0062】
[0074]例6は、例1~例5のいずれかのシステムを含み、鍵を生成する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つの暗号鍵を使用して鍵を暗号化する前に、鍵を生成して、暗号化された鍵を生成するように構成される。
【0063】
[0075]例7は、例1~例6のいずれかのシステムを含み、少なくとも1つのプロセッサは、少なくとも1つの排他的論理和(XOR)演算を、鍵と、少なくとも1つの暗号鍵とに適用するように構成されることによって、鍵を暗号化するように構成される。
【0064】
[0076]例8は、例1~例7のいずれかのシステムを含み、暗号化された鍵は、各ビット位置に1を含むように構成され、鍵と、少なくとも1つの暗号鍵との両方における対応するビット位置のビットは異なり、暗号化された鍵は、各ビット位置にゼロを含むように構成され、鍵と、少なくとも1つの暗号鍵との両方における対応するビット位置のビットは、同じである。
【0065】
[0077]例9は、例1~例8のいずれかのシステムを含み、鍵を生成する必要がある場合、鍵を生成する前に、少なくとも1つのプロセッサは、システムへのユーザログインをブロックすること、システムにログインしているユーザがいないことを確認すること、およびシステムが仮想マシンとして実施されていないことをチェックすることを行うように構成される。
【0066】
[0078]例10は、例9のシステムを含み、少なくとも1つのプロセッサは、システムへのセキュアシェル(SSH)ログインをブロックするように構成されることによって、少なくとも部分的に、システムへのユーザログインをブロックするように構成される。
【0067】
[0079]例11は、例1~例10のいずれかのシステムを含み、少なくとも1つのプロセッサは、DoDメモリワイプを使用して、少なくとも1つのメモリから鍵を消去するように構成される。
【0068】
[0080]例12は、例1~例11のいずれかのシステムを含み、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースをさらに備え、少なくとも1つのネットワークインターフェースは、暗号化された通信を使用して、ユーザの第1のサブセットから、鍵コンポーネントの第1のセットの第3のサブセットを受け取ること、および暗号化された通信を使用して、ユーザの第2のサブセットから、鍵コンポーネントの少なくとも第2のセットの第4のサブセットを受け取ることを行うように構成される。
【0069】
[0081]例13は、例1~例12のいずれかのシステムを含み、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースをさらに備える。
【0070】
[0082]例14は、例13のシステムを含み、鍵が生成される必要がある場合、少なくとも1つのプロセッサはさらに、少なくとも1つのネットワークインターフェースに、鍵コンポーネントの第1のセットを、第1の複数のユーザのためのコンピューティングデバイスへ通信させること、および少なくとも1つのネットワークインターフェースに、鍵コンポーネントの少なくとも第2のセットを、第2の複数のユーザのためのコンピューティングデバイスへ通信させることを行うように構成される。
【0071】
[0083]例15は、例14のシステムを含み、鍵コンポーネントの第1のセットと、鍵コンポーネントの少なくとも第2のセットとのうちの少なくとも1つは、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザに通信される。
【0072】
[0084]例16は、例13~例15のいずれかのシステムを含み、鍵を使用する必要がある場合、少なくとも1つのプロセッサは、暗号化された鍵の再構築に使用できるユーザの第1のサブセットから、鍵コンポーネントの第1のセットの第3のサブセットを受け取った場合、暗号化された鍵を再構築すること、少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの第4のサブセットが、ユーザの第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を再構築すること、および暗号化された鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、暗号化された鍵を、少なくとも1つの暗号鍵を使用して、鍵に解読することを行うように構成される。
【0073】
[0085]例17は、例16のシステムを含み、第1の複数のユーザは、第2の複数のユーザと同じ複数のユーザである。
[0086]例18は、例13~例17のいずれかのシステムを含み、鍵を使用する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザに通知すること、暗号化された鍵の再構築に使用できる鍵コンポーネントの第1のセットの第3のサブセットを、ユーザの第1のサブセットから受け取った場合、暗号化された鍵を再構築すること、少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの第4のサブセットが、ユーザの第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を再構築すること、および暗号化された鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、暗号化された鍵を、少なくとも1つの暗号鍵を使用して解読することを行うように構成される。
[0086]例18は、例13~例17のいずれかのシステムを含み、鍵を使用する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザに通知すること、暗号化された鍵の再構築に使用できる鍵コンポーネントの第1のセットの第3のサブセットを、ユーザの第1のサブセットから受け取った場合、暗号化された鍵を再構築すること、少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの第4のサブセットが、ユーザの第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を再構築すること、および暗号化された鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、暗号化された鍵を、少なくとも1つの暗号鍵を使用して解読することを行うように構成される。
【0074】
[0087]例19は、例18のシステムを含み、鍵コンポーネントを求める要求は、暗号化された通信を使用してユーザに通知され、鍵コンポーネントの第1のセットの第3のサブセットは、暗号化された通信を使用して、ユーザの第1のサブセットから受け取られ、鍵コンポーネントの少なくとも第2のセットの第4のサブセットは、暗号化された通信を使用して、ユーザの第2のサブセットから受け取られる。
【0075】
[0088]例20は、例18~例19のいずれかのシステムを含み、鍵コンポーネントを求める要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザに通知される。
【0076】
[0089]例21は、例18~例20のいずれかのシステムを含み、第1の複数のユーザは、第2の複数のユーザと同じ複数のユーザであり、ユーザの第1のサブセットは、ユーザの第2のサブセットと同じユーザのサブセットである。
【0077】
[0090]例22は、例1~例21のいずれかのシステムを含み、少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、暗号化された鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割するように構成される。
【0078】
[0091]例23は、例1~例22のいずれかのシステムを含み、少なくとも1つの暗号鍵と、鍵とのうちの少なくとも1つは、非対称な暗号法で使用される秘密鍵である。
[0092]例24は、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリと、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースとを備え、少なくとも1つのプロセッサは、秘密鍵を生成すること、少なくとも1つの暗号鍵を生成すること、少なくとも1つの排他的論理和(XOR)演算を、秘密鍵と、少なくとも1つの暗号鍵とに適用し、暗号鍵を使用して秘密鍵を暗号化し、暗号化された秘密鍵を生成すること、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割することであって、鍵コンポーネントの少なくとも1つのセットの、鍵コンポーネントの少なくともサブセットを使用して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築できる、分割すること、および少なくとも1つのメモリから鍵を消去することを行うように構成される、システムを含む。
[0092]例24は、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリと、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースとを備え、少なくとも1つのプロセッサは、秘密鍵を生成すること、少なくとも1つの暗号鍵を生成すること、少なくとも1つの排他的論理和(XOR)演算を、秘密鍵と、少なくとも1つの暗号鍵とに適用し、暗号鍵を使用して秘密鍵を暗号化し、暗号化された秘密鍵を生成すること、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割することであって、鍵コンポーネントの少なくとも1つのセットの、鍵コンポーネントの少なくともサブセットを使用して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築できる、分割すること、および少なくとも1つのメモリから鍵を消去することを行うように構成される、システムを含む。
【0079】
[0093]例25は、例24のシステムを含み、少なくとも1つのプロセッサは、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割する前に、暗号化された秘密鍵と、少なくとも1つの暗号鍵とをともに結合するように構成される。
【0080】
[0094]例26は、例1~例25のいずれかのシステムを含み、暗号化された秘密鍵を、第1の鍵コンポーネントの第1のセットに分割することであって、第1の鍵コンポーネントの少なくとも第1のサブセットを使用して、暗号化された秘密鍵を再構築でき、鍵コンポーネントの第1のセットは、第1の複数のユーザに提供されるように構成される、分割すること、および少なくとも1つの暗号鍵を、少なくとも第2の鍵コンポーネントの少なくとも第2のセットに分割することであって、少なくとも第2の鍵コンポーネントの少なくとも第2のサブセットを使用して、少なくとも1つの暗号鍵を再構築でき、鍵コンポーネントの少なくとも第2のセットは、少なくとも第2の複数のユーザに提供されるように構成される、分割することを行うように構成されることによって、少なくとも部分的に、暗号化された鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割するように構成される。
【0081】
[0095]例27は、例24~例26のいずれかのシステムを含み、少なくとも1つのプロセッサはさらに、少なくとも1つのネットワークインターフェースに、鍵コンポーネントの第1のセットを、第1の複数のユーザのためのコンピューティングデバイスへ通信させること、および少なくとも1つのネットワークインターフェースに、鍵コンポーネントの少なくとも第2のセットを、第2の複数のユーザのためのコンピューティングデバイスへ通信させることを行うように構成される。
【0082】
[0096]例28は、例27のシステムを含み、鍵コンポーネントの第1のセットと、鍵コンポーネントの少なくとも第2のセットとのうちの少なくとも1つは、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザに通信される。
【0083】
[0097]例29は、例24~例28のいずれかのシステムを含み、秘密鍵を使用する必要がある場合、少なくとも1つのプロセッサは、暗号化された秘密鍵の再構築に使用できる鍵コンポーネントの第1のセットの第3のサブセットが、ユーザの第1のサブセットから受け取られた場合、暗号化された秘密鍵を再構築すること、少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの第4のサブセットが、ユーザの第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を再構築すること、および暗号化された秘密鍵と、暗号鍵との両方が再構築された場合、少なくとも1つの排他的論理和(XOR)演算を、暗号化された秘密鍵と、少なくとも1つの暗号鍵とに適用し、少なくとも1つの暗号鍵を使用して、暗号化された秘密鍵を解読することを行うように構成される。
【0084】
[0098]例30は、例24~例29のいずれかのシステムを含み、秘密鍵を使用する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザに通知すること、暗号化された秘密鍵の再構築に使用できる鍵コンポーネントの第1のセットの第3のサブセットが、ユーザの第1のサブセットから受け取られた場合、暗号化された秘密鍵を再構築すること、少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの第4のサブセットが、ユーザの第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を再構築すること、および暗号化された秘密鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、少なくとも1つの暗号鍵を使用して、暗号化された秘密鍵を解読することを行うように構成される。
【0085】
[0099]例31は、例30のシステムを含み、鍵コンポーネントを求める要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザに通知される。
【0086】
[0100]例32は、例24~例31のいずれかのシステムを含み、少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを、鍵コンポーネントの少なくとも1つのセットに分割するように構成される。
【0087】
[0101]例33は、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリとを備え、暗号化された鍵として暗号化される暗号鍵を使用する必要がある場合、少なくとも1つのプロセッサは、暗号化された鍵と、暗号化された鍵から鍵を解読するために使用される少なくとも1つの暗号鍵とを再構築するために使用できる、鍵コンポーネントの少なくとも1つのセットを、ユーザの少なくともサブセットから受け取ること、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットが、ユーザの少なくともサブセットから受け取られた場合、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築すること、および暗号化された鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、暗号化された鍵を、少なくとも1つの暗号鍵を使用して鍵に解読することを行うように構成される、システムを含む。
【0088】
[0102]例34は、例33のシステムを含み、少なくとも1つのプロセッサは、鍵コンポーネントの単一のセットを受け取るように構成されることによって、少なくとも部分的に、ユーザの少なくともサブセットから、鍵コンポーネントの少なくとも1つのセットを受け取ること、鍵コンポーネントの単一のセットから、暗号化された鍵と少なくとも1つの暗号鍵との両方を含む結合文字列を再構築すること、および暗号化された鍵を、少なくとも1つの暗号鍵を使用して鍵に解読するために使用される結合文字列から、暗号化された鍵と、少なくとも1つの暗号鍵とを抽出することを行うように構成される。
【0089】
[0103]例35は、例33~例34のいずれかのシステムを含み、少なくとも1つのプロセッサは、暗号化された鍵を再構築するために使用できる鍵コンポーネントの第1のセットの第1のサブセットを、ユーザの第1のサブセットから受け取ること、および暗号化された鍵から鍵を解読するために使用される少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの鍵コンポーネントの少なくとも第2のサブセットを、ユーザの少なくとも第2のサブセットから受け取ることを行うように構成されることによって、少なくとも部分的に、暗号化された鍵から鍵を解読するために使用される暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットを、ユーザの少なくともサブセットから受け取ること、ならびにユーザの第1のサブセットから、第1の鍵コンポーネントの第1のサブセットが受け取られた場合、暗号化された鍵を再構築すること、および少なくとも第2の鍵コンポーネントの鍵コンポーネントの少なくとも第2のサブセットが、ユーザの少なくとも第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を再構築することを行うように構成されることによって、少なくとも部分的に、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築することを行うように構成される。
【0090】
[0104]例36は、例33~例35のいずれかのシステムを含み、少なくとも第2の鍵コンポーネントの鍵コンポーネントの少なくとも第2のセットは、鍵コンポーネントの単一のセットのみを含み、ユーザの少なくとも第2のサブセットは、ユーザの単一のサブセットのみを含み、鍵コンポーネントの少なくとも第2のセットは、ユーザの単一のサブセットから受け取られるように構成される。
【0091】
[0105]例37は、例33~例36のいずれかのシステムを含み、少なくとも第2の鍵コンポーネントの鍵コンポーネントの少なくとも第2のセットは、鍵コンポーネントの複数のセットを含み、ユーザの少なくとも第2のサブセットは、ユーザの複数のサブセットを含み、鍵コンポーネントの複数のセットの鍵コンポーネントの各セットは、ユーザの複数のサブセットの、対応するユーザのサブセットから受け取られるように構成される。
【0092】
[0106]例38は、例33~例37のいずれかのシステムを含み、少なくとも1つのプロセッサは、少なくとも1つの排他的論理和(XOR)演算を、暗号化された鍵と、少なくとも1つの暗号鍵とに適用するように構成されることによって、暗号化された鍵を解読するように構成される。
【0093】
[0107]例39は、例33~例38のいずれかのシステムを含み、鍵は、各ビット位置に1を含むように構成され、暗号化された鍵と、少なくとも1つの暗号鍵との両方における対応するビット位置におけるビットは異なり、鍵は、各ビット位置にゼロを含むように構成され、暗号化された鍵と、少なくとも1つの暗号鍵との両方における対応するビット位置におけるビットは同じである。
【0094】
[0108]例40は、例33~例39のいずれかのシステムを含み、鍵を使用する必要がある場合、少なくとも1つのプロセッサはさらに、使用後、少なくとも1つのメモリから鍵を消去するように構成される。
【0095】
[0109]例41は、例40のシステムを含み、少なくとも1つのプロセッサは、DoDメモリワイプを使用して、使用後、少なくとも1つのメモリから鍵を消去するように構成される。
【0096】
[0110]例42は、例33~例41のいずれかのシステムを含み、鍵を生成する必要がある場合、鍵を再構築する前に、少なくとも1つのプロセッサは、システムへのユーザログインをブロックすること、システムにログインしているユーザがいないことを確認すること、およびシステムが仮想マシンとして実施されていないことをチェックすることを行うように構成される。
【0097】
[0111]例43は、例42のシステムを含み、少なくとも1つのプロセッサは、システムへのセキュアシェル(SSH)ログインをブロックするように構成されることによって、少なくとも部分的に、システムへのユーザログインをブロックするように構成される。
【0098】
[0112]例44は、例33~例43のいずれかのシステムを含み、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースをさらに備える。
【0099】
[0113]例45は、例44のシステムを含み、鍵を使用する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザに通信するようにさらに構成される。
【0100】
[0114]例46は、例45のシステムを含み、鍵コンポーネントを求める要求は、暗号化された通信を使用してユーザに通知され、第1の鍵コンポーネントの第1のサブセットは、暗号化された通信を使用してユーザの第1のサブセットから受け取られ、少なくとも第2の鍵コンポーネントの鍵コンポーネントの少なくとも第2のサブセットは、暗号化された通信を使用して、ユーザの少なくとも第2のサブセットから受け取られる。
【0101】
[0115]例47は、例45~例46のいずれかのシステムを含み、鍵コンポーネントを求める要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザに通知される。
【0102】
[0116]例48は、例33~例47のいずれかのシステムを含み、ユーザの第1のサブセットは、ユーザの第2の複数のサブセットと同じユーザのサブセットである。
[0117]例49は、例33~例48のいずれかのシステムを含み、少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するように構成される。
[0117]例49は、例33~例48のいずれかのシステムを含み、少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するように構成される。
【0103】
[0118]例50は、例33~例49のいずれかのシステムを含み、鍵と、少なくとも1つの暗号鍵とのうちの少なくとも1つは、非対称な暗号法で使用される秘密鍵である。
[0119]例51は、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリと、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースとを備え、秘密鍵を使用する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザに通知すること、暗号化された秘密鍵と、暗号化された秘密鍵から秘密鍵を解読するために使用される少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットを、ユーザの少なくともサブセットから受け取ること、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットが、ユーザの少なくともサブセットから受け取られた場合、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを再構築すること、暗号化された秘密鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、少なくとも1つの排他的論理和(XOR)演算を、暗号化された秘密鍵と、少なくとも1つの暗号鍵とに適用し、少なくとも1つの暗号鍵を使用して、暗号化された秘密鍵を解読すること、および使用後、秘密鍵を少なくとも1つのメモリから消去することを行うように構成される、システムを含む。
[0119]例51は、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信可能に結合された少なくとも1つのメモリと、少なくとも1つのプロセッサに通信可能に結合され、外部コンピューティングデバイスと通信するように構成された少なくとも1つのネットワークインターフェースとを備え、秘密鍵を使用する必要がある場合、少なくとも1つのプロセッサは、少なくとも1つのネットワークインターフェースを使用して、鍵コンポーネントを求める要求をユーザに通知すること、暗号化された秘密鍵と、暗号化された秘密鍵から秘密鍵を解読するために使用される少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットを、ユーザの少なくともサブセットから受け取ること、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットが、ユーザの少なくともサブセットから受け取られた場合、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを再構築すること、暗号化された秘密鍵と、少なくとも1つの暗号鍵との両方が再構築された場合、少なくとも1つの排他的論理和(XOR)演算を、暗号化された秘密鍵と、少なくとも1つの暗号鍵とに適用し、少なくとも1つの暗号鍵を使用して、暗号化された秘密鍵を解読すること、および使用後、秘密鍵を少なくとも1つのメモリから消去することを行うように構成される、システムを含む。
【0104】
[0120]例52は、例51のシステムを含み、少なくとも1つのプロセッサは、鍵コンポーネントの単一のセットを受け取るように構成されることによって、少なくとも部分的に、ユーザの少なくともサブセットから、鍵コンポーネントの少なくとも1つのセットを受け取ること、鍵コンポーネントの単一のセットから、暗号化された秘密鍵と、少なくとも1つの暗号鍵との両方を含む結合文字列を再構築すること、および暗号化された秘密鍵を、少なくとも1つの暗号鍵を使用して秘密鍵に解読するために使用される結合文字列から、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを抽出することを行うように構成される。
【0105】
[0121]例53は、例51~例52のいずれかのシステムを含み、少なくとも1つのプロセッサは、暗号化された秘密鍵を再構築するために使用できる鍵コンポーネントの第1のセットの第1のサブセットを、ユーザの第1のサブセットから受け取ること、および暗号化された鍵から鍵を解読するために使用される少なくとも1つの暗号鍵を再構築するために使用できる鍵コンポーネントの少なくとも第2のセットの鍵コンポーネントの少なくとも第2のサブセットを、ユーザの少なくとも第2のサブセットから受け取ることを行うように構成されることによって、少なくとも部分的に、暗号化された秘密鍵から秘密鍵を解読するために使用される暗号化された秘密鍵と、少なくとも1つの暗号鍵とを再構築するために使用できる鍵コンポーネントの少なくとも1つのセットを、ユーザの少なくともサブセットから受け取ること、ならびにユーザの第1のサブセットから、第1の鍵コンポーネントの第1のサブセットが受け取られた場合、暗号化された秘密鍵を再構築すること、および少なくとも第2の鍵コンポーネントの鍵コンポーネントの少なくとも第2のサブセットが、ユーザの少なくとも第2のサブセットから受け取られた場合、少なくとも1つの暗号鍵を再構築することを行うように構成されることによって、少なくとも部分的に、暗号化された秘密鍵と、少なくとも1つの暗号鍵とを再構築することを行うように構成される。
【0106】
[0122]例54は、例53のシステムを含み、鍵コンポーネントを求める要求は、暗号化された通信を使用してユーザに通知され、第1の鍵コンポーネントの第1のサブセットは、暗号化された通信を使用してユーザの第1のサブセットから受け取られ、少なくとも第2の鍵コンポーネントの鍵コンポーネントの少なくとも第2のサブセットは、暗号化された通信を使用して、ユーザの少なくとも第2のサブセットから受け取られる。
【0107】
[0123]例55は、例51~例54のいずれかのシステムを含み、鍵コンポーネントを求める要求は、電子メール、ショートメッセージサービス(SMS)、マルチメディアメッセージングサービス(MMS)、インスタントメッセージング、プッシュ通知、プッシュ確認通知、通知のポーリング、通知のプルのうちの少なくとも1つで、またはBluetooth、Wi-Fi、もしくは近距離無線通信(NFC)送信によって、ユーザに通知される。
【0108】
[0124]例56は、例51~例55のいずれかのシステムを含み、少なくとも1つのプロセッサは、多項式補間またはシャミア秘密共有のうちの少なくとも1つを介して、暗号化された鍵と、少なくとも1つの暗号鍵とを再構築するように構成される。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】