知財求人 - 知財ポータルサイト「IP Force」
特許7561470マルチシグ検証用の公開鍵は維持したまま各自が秘密鍵として利用する断片を秘密裏にリフレッシュする技術
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-09-26
(45)【発行日】2024-10-04
(54)【発明の名称】マルチシグ検証用の公開鍵は維持したまま各自が秘密鍵として利用する断片を秘密裏にリフレッシュする技術
(51)【国際特許分類】
H04L 9/32 20060101AFI20240927BHJP
【FI】
H04L9/32 200B
【請求項の数】
16
(21)【出願番号】P 2024122954
(22)【出願日】2024-07-30
【審査請求日】2024-07-30
【早期審査対象出願】
(73)【特許権者】
【識別番号】523002910
【氏名又は名称】株式会社BLOCKSMITH&Co.
(74)【代理人】
【識別番号】100095407
【弁理士】
【氏名又は名称】木村 満
(74)【代理人】
【識別番号】100110135
【弁理士】
【氏名又は名称】石井 裕一郎
(74)【代理人】
【識別番号】100132883
【弁理士】
【氏名又は名称】森川 泰司
(74)【代理人】
【識別番号】100148633
【弁理士】
【氏名又は名称】桜田 圭
(74)【代理人】
【識別番号】100148149
【弁理士】
【氏名又は名称】渡邉 幸男
(74)【代理人】
【識別番号】100180312
【弁理士】
【氏名又は名称】早川 牧子
(72)【発明者】
【氏名】佐藤 賢
(72)【発明者】
【氏名】劉 斌
(72)【発明者】
【氏名】井上 克彦
【審査官】平井 誠
(56)【参考文献】
【文献】特開平08-251157(JP,A)
【文献】特開2021-128261(JP,A)
【文献】米国特許第9489522(US,B1)
【文献】米国特許出願公開第2017/0104588(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/00-40
G06F21/00-88
(57)【特許請求の範囲】
【請求項1】
ユーザ断片を秘密裏に保持するユーザ端末と、サーバ断片を秘密裏に保持する署名サーバと、が、メッセージに対する署名を協働して生成する署名システムであって、前記署名は、当該ユーザ断片と当該サーバ断片の積である秘密鍵によって、前記ユーザ端末と前記署名サーバのいずれも当該秘密鍵を知得しないまま、生成される署名システムにおいて、前記ユーザ端末と前記署名サーバとは、リフレッシュ処理であって、
前記ユーザ端末が、当該ユーザ断片から、新たなユーザ断片を秘密裏に生成し、
前記署名サーバが、当該サーバ断片から、新たなサーバ断片を秘密裏に生成する
リフレッシュ処理において、
当該新たなユーザ断片と当該新たなサーバ断片の積は、当該ユーザ断片と当該サーバ断片の積に等しい
リフレッシュ処理を、協働して実行する
ことを特徴とする署名システム。
【請求項2】
前記リフレッシュ処理において、前記ユーザ端末と前記署名サーバとは、前記ユーザ端末と前記署名サーバが共有する一時的な乱数を生成し、
前記ユーザ端末にて、前記共有された乱数とその逆数の一方を当該ユーザ断片に乗じることにより、前記新たなユーザ断片を生成し、
前記署名サーバにて、前記共有された乱数とその逆数の他方を当該サーバ断片に乗じることにより、前記新たなサーバ断片を生成する
ことを特徴とする請求項1に記載の署名システム。
【請求項3】
前記一時的な乱数は、Diffie-Hellman法により生成されて共有されることを特徴とする請求項2に記載の署名システム。
【請求項4】
前記署名は、DKLs18プロトコルにより実行されることを特徴とする請求項1に記載の署名システム。
【請求項5】
請求項1に記載の署名システムにおいて、(1) 前記ユーザ端末と前記署名サーバとが、バックアップ処理であって、
前記ユーザ断片と前記サーバ断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、ユーザバックアップ断片を生成し、
前記署名サーバにて、サーババックアップ断片を生成し、
前記ユーザ端末が、当該ユーザバックアップ断片をバックアップサーバに保管して、前記ユーザ端末から消去し、
前記署名サーバが、当該サーババックアップ断片を保持する
バックアップ処理を、協働して実行し、
(2) 前記ユーザ端末から当該ユーザ断片が失われた場合、
前記ユーザ端末が、前記バックアップサーバから当該ユーザバックアップ断片を取得し、
前記ユーザ端末と前記署名サーバとが、前記ユーザバックアップ断片と前記サーババックアップ断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、新たなユーザ断片を生成し、
前記署名サーバにて、新たなサーバ断片を生成し、
前記ユーザ端末は、当該新たなユーザ断片を保持し、
前記署名サーバは、当該サーバ断片にかえて、当該新たなサーバ断片を保持し、
前記ユーザ端末と前記署名サーバとは、当該新たなユーザ断片と当該新たなサーバ断片に対して、前記バックアップ処理を協働して再度実行する
ことを特徴とする署名システム。
【請求項6】
前記ユーザバックアップ断片は、前記ユーザ端末により暗号化されてから、前記バックアップサーバに保管されることを特徴とする請求項5に記載の署名システム。
【請求項7】
前記暗号化されたユーザバックアップ断片は、前記ユーザ端末を使用するユーザの生体認証もしくはソーシャルログインが成功することを条件として、復号されることを特徴とする請求項6に記載の署名システム。
【請求項8】
前記ユーザ端末から当該ユーザバックアップ断片が失われ、もしくは、前記署名サーバから当該サーババックアップ断片が失われ、もしくは、
前記バックアップサーバから当該ユーザバックアップ断片が失われた
場合、前記バックアップ処理が再度実行される
ことを特徴とする請求項5に記載の署名システム。
【請求項9】
請求項5から8のいずれか1項に記載の署名システムにおいて、(3) 前記ユーザ端末と前記署名サーバとが、予備処理であって、
当該ユーザ断片と当該サーバ断片に対して、前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、ユーザ予備断片を生成し、
前記署名サーバにて、サーバ予備断片を生成し、
前記ユーザ端末は、当該ユーザ予備断片を、前記バックアップサーバに保管して前記ユーザ端末から消去し、
前記署名サーバは、当該サーバ予備断片を、前記ユーザ端末に保管して前記署名サーバから消去する
予備処理を、協働してさらに実行し、
(4) 前記署名サーバから当該サーバ断片が失われた場合、
前記ユーザ端末が、前記バックアップサーバから当該ユーザ予備断片を取得し、
前記署名サーバが、前記ユーザ端末から当該サーバ予備断片を取得し、
前記ユーザ端末と前記署名サーバとが、当該ユーザ予備断片と当該サーバ予備断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、新たなユーザ断片を生成し、
前記署名サーバにて、新たなサーバ断片を生成し、
前記ユーザ端末は、当該ユーザ断片にかえて、当該新たなユーザ断片を保持し、
前記署名サーバは、当該新たなサーバ断片を保持し、
前記ユーザ端末と前記署名サーバとは、当該新たなユーザ断片と当該新たなサーバ断片に対して、前記バックアップ処理及び前記予備処理を協働して再度実行する
ことを特徴とする署名システム。
【請求項10】
前記サーバ予備断片は、前記署名サーバにより暗号化されてから、前記ユーザ端末に保管され、前記暗号化されたサーバ予備断片は、前記ユーザ端末から取得されてから、前記署名サーバにより復号される
ことを特徴とする請求項9に記載の署名システム。
【請求項11】
前記ユーザ端末から当該サーバ予備断片が失われ、もしくは、前記バックアップサーバから当該ユーザ予備断片が失われた
場合、前記予備処理が再度実行される
ことを特徴とする請求項9に記載の署名システム。
【請求項12】
請求項1に記載の署名システムにおけるユーザ端末。
【請求項13】
請求項1に記載の署名システムにおける署名サーバ。
【請求項14】
ユーザ断片を秘密裏に保持するユーザ端末と、サーバ断片を秘密裏に保持する署名サーバと、が、メッセージに対する署名を協働して生成する署名システムであって、前記署名は、当該ユーザ断片と当該サーバ断片の積である秘密鍵によって、前記ユーザ端末と前記署名サーバのいずれも当該秘密鍵を知得しないまま、生成される署名システムにおいて、前記ユーザ端末と前記署名サーバとは、リフレッシュ処理であって、
前記ユーザ端末が、当該ユーザ断片から、新たなユーザ断片を秘密裏に生成する工程と、
前記署名サーバが、当該サーバ断片から、新たなサーバ断片を秘密裏に生成する工程と、
を備え、
当該新たなユーザ断片と当該新たなサーバ断片の積は、当該ユーザ断片と当該サーバ断片の積に等しい
リフレッシュ処理を、協働して実行する
ことを特徴とする方法。
【請求項15】
コンピュータを、請求項1に記載の署名システムにおけるユーザ端末として機能させるためのユーザプログラム。
【請求項16】
コンピュータを、請求項1に記載の署名システムにおける署名サーバとして機能させるためのサーバプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、マルチシグ検証用の公開鍵は維持したまま、各自が秘密鍵として利用する断片を、秘密裏にリフレッシュする技術に関する。
【背景技術】
【0002】
暗号資産のトランザクションを承認するため等に利用されるマルチシグ技術では、複数の者が協働し、各自が秘密裏に所有する断片を秘密鍵として利用して、電子署名をする。
【0003】
非特許文献1は、二者によるマルチシグを実現する技術を開示している。この技術では、各自が各々有する断片の積をマスター秘密鍵とする電子署名を、各自が有する断片を他者から秘匿したまま、二者が協働して生成する。
【0004】
電子署名の検証には、マスター秘密鍵に対応付けられるマスター公開鍵が用いられるが、マスター公開鍵を生成する際においても、電子署名の検証をする際においても、各自が秘密裏に所有する断片は、他者からは秘匿されたままで、処理がなされる。
【先行技術文献】
【非特許文献】
【0005】
【文献】J. Doerner, Y. Kondi, E. Lee and A. Shelat, "Secure Two-party Threshold ECDSA from ECDSA Assumptions", 2018 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, 2018, pp. 980-997, https://doi.org/10.1109/SP.2018.00036. https://ieeexplore.ieee.org/document/8418649, 2018年, (2023年3月6日にダウンロード)
【発明の概要】
【発明が解決しようとする課題】
【0006】
マルチシグにおいては、セキュリティポリシー等の観点から、各自が秘密鍵として利用する断片を積極的にリフレッシュしたいことがある。さらに、リフレッシュの前後で、マスター公開鍵は変化させずに同じものを維持したいことも多い。
【0007】
本発明は、上記の課題を解決するもので、マルチシグ検証用の公開鍵は維持したまま、各自が秘密鍵として利用する断片を、秘密裏にリフレッシュする技術を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明に係る署名システムは、
ユーザ断片を秘密裏に保持するユーザ端末と、サーバ断片を秘密裏に保持する署名サーバと、が、メッセージに対する署名を協働して生成する署名システムであって、前記署名は、当該ユーザ断片と当該サーバ断片の積である秘密鍵によって、前記ユーザ端末と前記署名サーバのいずれも当該秘密鍵を知得しないまま、生成される署名システムにおいて、
前記ユーザ端末と前記署名サーバとが、リフレッシュ処理であって、
前記ユーザ端末が、当該ユーザ断片から、新たなユーザ断片を秘密裏に生成し、
前記署名サーバが、当該サーバ断片から、新たなサーバ断片を秘密裏に生成する
リフレッシュ処理において、
当該新たなユーザ断片と当該新たなサーバ断片の積は、当該ユーザ断片と当該サーバ断片の積に等しい
リフレッシュ処理を、協働して実行する
ように構成する。
ユーザ断片を秘密裏に保持するユーザ端末と、サーバ断片を秘密裏に保持する署名サーバと、が、メッセージに対する署名を協働して生成する署名システムであって、前記署名は、当該ユーザ断片と当該サーバ断片の積である秘密鍵によって、前記ユーザ端末と前記署名サーバのいずれも当該秘密鍵を知得しないまま、生成される署名システムにおいて、
前記ユーザ端末と前記署名サーバとが、リフレッシュ処理であって、
前記ユーザ端末が、当該ユーザ断片から、新たなユーザ断片を秘密裏に生成し、
前記署名サーバが、当該サーバ断片から、新たなサーバ断片を秘密裏に生成する
リフレッシュ処理において、
当該新たなユーザ断片と当該新たなサーバ断片の積は、当該ユーザ断片と当該サーバ断片の積に等しい
リフレッシュ処理を、協働して実行する
ように構成する。
【発明の効果】
【0009】
本発明によれば、マルチシグ検証用の公開鍵は維持したまま、各自が秘密鍵として利用する断片を、秘密裏にリフレッシュする技術を提供することができる。
【0010】
本発明を応用することにより、各自が有する秘密鍵は秘匿したまま、マルチシグにおいて等価な役割を果たす断片を、他の機器にバックアップすることが可能となる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施形態に係る署名システムの構成を示す説明図である。
【図2】本発明の実施形態に係る署名システムにおいて実行されるリフレッシュ処理の制御の流れを示すフローチャートである。
【図3】本発明の実施形態に係る署名システムにおいて実行されるバックアップ処理の制御の流れを示すフローチャートである。
【図4】本発明の実施形態に係る署名システムにおいて実行されるリストア処理の制御の流れを示すフローチャートである。
【図5】本発明の実施形態に係る署名システムにおいて実行される予備処理の制御の流れを示すフローチャートである。
【図6】本発明の実施形態に係る署名システムにおいて実行される修復処理の制御の流れを示すフローチャートである。
【図7】本発明の実施形態に係る署名システムにおいて秘密情報が分散されて保持・保管される様子を示す説明図である。
【発明を実施するための形態】
【0012】
以下に、本発明の実施形態を説明する。なお、本実施形態は、説明のためのものであり、本発明の範囲を制限するものではない。したがって、当業者であれば、本実施形態の各要素もしくは全要素を、これと均等なものに置換した実施形態を採用することが可能である。また、各実施例にて説明する要素は、用途に応じて適宜省略することも可能である。このように、本発明の原理にしたがって構成された実施形態は、いずれも本発明の範囲に含まれる。
【0013】
(署名システム)
図1は、本発明の実施形態に係る署名システムの構成を示す説明図である。以下、本図を参照して説明する。
図1は、本発明の実施形態に係る署名システムの構成を示す説明図である。以下、本図を参照して説明する。
【0014】
本実施形態に係る署名システム11は、インターネット等のコンピュータ通信網12を介して、ユーザ端末13aと、署名サーバ14と、を備える。また、署名システム11は、付加的な要素として、バックアップサーバ15や、公開鍵サーバ16を備えることもできる。また、ユーザがユーザ端末13aを紛失等した場合には、当該ユーザが使用する他のユーザ端末13bをユーザ端末13aのかわりの構成要素として使用することもできる。以下、ユーザが使用するユーザ端末13a, 13bを総称して、適宜「ユーザ端末13」と呼ぶこととする。
【0015】
さらに、ユーザ端末13自体の紛失や故障に備えて、クラウドサーバ17に種々の情報を保存することもできる。クラウドサーバ17に対する当該種々の情報の保存ならびに取得には、ユーザ端末13を介した生体認証やソーシャルログインを必要とするように構成しておくことで、ユーザ端末13aの紛失や故障が生じた場合でも、新たなユーザ端末13bへ、当該種々の情報を戻すことができる。
【0016】
また、クラウドサーバ17から取得した種々の情報をユーザ端末13にて利用した後は、直ちに、当該種々の情報をユーザ端末13から消去することで、ユーザ端末13からの当該種々の情報の流出を抑制することができる。
【0017】
署名システム11を構成するユーザ端末13、署名サーバ14、バックアップサーバ15、公開鍵サーバ16は、典型的には、プログラムをコンピュータが実行することによって実現される。当該コンピュータは、各種の出力装置や入力装置に接続され、これらの機器と情報を送受する。
【0018】
各コンピュータにて実行されるプログラムは、当該コンピュータが通信可能に接続されたウェブサーバ等により配布、販売することができるほか、CD-ROM(Compact Disk Read Only Memory)やフラッシュメモリ、EEPROM(Electrically Erasable Programmable ROM)などの非一時的(non-transitory)な情報記録媒体に記録した上で、当該情報記録媒体を配布、販売等することも可能である。
【0019】
プログラムは、コンピュータが有するハードディスク、ソリッドステートドライブ、フラッシュメモリ、EEPROM等などの非一時的な情報記録媒体にインストールされる。すると、当該コンピュータにより、本実施形態におけるユーザ端末やサーバが実現されることになる。
【0020】
一般的には、コンピュータのCPU(Central Processing Unit)は、コンピュータのOS(Operating System)による管理の下、情報記録媒体からRAM(Random Access Memory)へプログラムを読み出してから、当該プログラムに含まれるコードを解釈、実行する。ただし、CPUがアクセス可能なメモリ空間内に情報記録媒体をマッピングできるようなアーキテクチャでは、RAMへの明示的なプログラムのロードは不要なこともある。なお、プログラムの実行の過程で必要とされる各種情報は、RAM内に一時的(temporary)に記録しておくことができる。
【0021】
なお、汎用のコンピュータにより本実施形態の情報処理装置を実現するのではなく、専用の電子回路を用いて本実施形態の情報処理装置を構成することも可能である。この態様では、プログラムを電子回路の配線図やタイミングチャート等を生成するための素材として利用することもできる。このような態様では、プログラムに定められる仕様を満たすような電子回路がFPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)により構成され、当該電子回路は、当該プログラムに定められた機能を果たす専用機器として機能して、本実施形態の情報処理装置を実現する。
【0022】
典型的には、ユーザ端末13は、スマートフォンにより構成される。スマートフォンは、アプリストアからダウンロードされてインストールされたアプリケーションプログラムを実行することにより、本実施形態に係るユーザ端末13の機能を果たす。
【0023】
また、署名サーバ14、バックアップサーバ15、公開鍵サーバ16は、情報を保管するサービスを提供するサーバコンピュータにより構成される。本実施形態に係る署名システムでは、署名サーバ14、バックアップサーバ15、公開鍵サーバ16は、専用のサーバを利用することも可能であるが、ソーシャルログインが可能な汎用のネットストレージにより構成すると、ユーザにとっての利便性を維持することができる。
【0024】
以下では、理解を容易にするため、ユーザ端末13、署名サーバ14、バックアップサーバ15、公開鍵サーバ16が、コンピュータがプログラムを実行することによって実現される態様を想定して説明する。
【0025】
(基本構成)
本実施形態に係る署名システム11では、
ユーザ端末13が、ユーザ断片skuを秘密裏に保持し、
署名サーバ14が、サーバ断片sksを秘密裏に保持する
ことにより、ユーザ端末13を使用するユーザが、署名サーバ14と協働することで、マルチシグによる署名をできるようにする。
本実施形態に係る署名システム11では、
ユーザ端末13が、ユーザ断片skuを秘密裏に保持し、
署名サーバ14が、サーバ断片sksを秘密裏に保持する
ことにより、ユーザ端末13を使用するユーザが、署名サーバ14と協働することで、マルチシグによる署名をできるようにする。
【0026】
ここで、「秘密裏に」とは、「他者に知られずに」の意味である。したがって、署名システム11では、署名サーバ14は、ユーザ断片skuを知ることはないし、ユーザ端末13は、サーバ断片sksを知ることはない。
【0027】
sku, sksは、大きな素数qに基づく有限体Fqの要素であり、ユーザ端末13, 署名サーバ14が、各自秘密裏に生成する。有限体Fqでは、要素の積や要素の逆数等、四則演算が自然に定義される。
【0028】
ここでされる署名は、公開鍵pkによって検証が可能である。この公開鍵pkは、当該ユーザ断片skuと当該サーバ断片sksの積である秘密鍵(sku・sks)に呼応するものであり、公開鍵サーバ16にて、ユーザ端末13を使用するユーザに紐付けられて、公開される。ただし、この秘密鍵自体(sku・sks)は、ユーザ端末13も署名サーバ14も知得することができないように構成する。
【0029】
このようなマルチシグ署名は、非特許文献1に開示されるDKLs18プロトコルにより実現することが可能であるが、他の署名プロトコルに本発明を適用することも可能である。
【0030】
このように、ユーザ端末13と署名サーバ14の二者でマルチシグによる署名をすることで、セキュリティを高めることができ、いずれか一方が攻撃を受けた場合であっても、被害を抑えることが可能となる。
【0031】
上記のように、署名システム11において、各自が秘密鍵として利用する断片を積極的にリフレッシュしたいことがある。すなわち、
ユーザ端末13が、既存のユーザ断片skuを置き換え可能な、新たなユーザ断片sku'を取得し、
署名サーバ14が、既存のサーバ断片sksを置き換え可能な、新たなユーザ断片sks'を取得する
こととしたい場合がある。
ユーザ端末13が、既存のユーザ断片skuを置き換え可能な、新たなユーザ断片sku'を取得し、
署名サーバ14が、既存のサーバ断片sksを置き換え可能な、新たなユーザ断片sks'を取得する
こととしたい場合がある。
【0032】
ユーザ端末13を使用するユーザに紐付けられる公開鍵pkは、公開鍵サーバ16等で公開済であり、署名を検証したい第三者が取得済であることも多い。そこで、本実施形態では、リフレッシュの前後で公開鍵pkはそのまま変化せず、維持されることとする。この構成では、断片のリフレッシュをしても、その旨を第三者へ知らせる必要はない。
【0033】
そこで、本実施形態では、新たなユーザ断片sku'と新たなサーバ断片sks'の積(sku'・sks')が、元のユーザ断片skuと元のサーバ断片sksの積(sku・sks)に等しくなるようにする。
sku'・sks' = sku・sks
sku'・sks' = sku・sks
【0034】
すると、秘密鍵(sku'・sks')に呼応する公開鍵pk'は、秘密鍵(sku・sks)に呼応する公開鍵pkに一致することになる。
pk' = pk
pk' = pk
【0035】
このようなリフレッシュを行うため、まず、ユーザ端末13と署名サーバ14とは、ユーザ端末13と署名サーバ14が共有する一時的な乱数rを生成する。すなわち、有限体Fqの要素からいずれかをランダムに選択して、乱数rとする。この生成ならびに共有に、Diffie-Hellman法や、その他の秘密共有技術を採用することで、第三者から一時的な乱数r秘匿することができる。
【0036】
そして、ユーザ端末13では、共有された乱数rとその逆数1/rの一方をユーザ断片skuに乗じることにより、新たなユーザ断片sku'を生成する。ここで、rは乱数であるから、「一方」として、前者rを採用しても、一般性を失わない。
sku' = sku・r
sku' = sku・r
【0037】
一方、署名サーバ14では、共有された乱数rとその逆数1/rの他方をサーバ断片sksに乗じることにより、新たなサーバ断片sks'を生成する。rと1/rのうち、「一方」はユーザ端末13で使用している側であるから、「他方」はユーザ端末13で使用していない側である。上記採用例では、後者1/rが「他方」となる。
sks' = sks・(1/r)
sks' = sks・(1/r)
【0038】
この構成によれば、以下のように、ユーザ断片とサーバ断片の積は、不変である。
sku'・sks' = sku・r・sks ・(1/r) = sku・r・(1/r)・sks = sku・sks
sku'・sks' = sku・r・sks ・(1/r) = sku・r・(1/r)・sks = sku・sks
【0039】
この構成では、一時的な乱数rは共有されるが、各自が新たな断片を計算するにあたって、ユーザ断片skuを署名サーバ14に知らせる必要はないし、サーバ断片sksをユーザ端末13に知らせる必要もない。
【0040】
したがって、ユーザ端末13は、新たなユーザ断片sku'を秘密裏に保持することができ、署名サーバ14は、新たなサーバ断片sks'を秘密裏に保持することができる。
【0041】
リフレッシュによって既存のユーザ断片から生成された新たなユーザ断片は、既存のユーザ断片と置き換えて直ちに利用を開始することもできるし、後述するように、バックアップ等に利用することも可能である。
【0042】
なお、一時的な乱数rは、リフレッシュを行うたびに、新たに生成・共有される。以下、rを一時的な乱数の変数名として使用するが、同じ値を維持したまま繰り返し続けて使うことを意図するものではない。変数名rは、各処理において、毎回新たな値が生成されることを意図したものである。
【0043】
(リフレッシュ処理)
以下では、ユーザ端末13と署名サーバ14が協働して実行するリフレッシュ処理について説明する。図2は、本発明の実施形態に係る署名システムにおいて実行されるリフレッシュ処理の制御の流れを示すフローチャートである。
以下では、ユーザ端末13と署名サーバ14が協働して実行するリフレッシュ処理について説明する。図2は、本発明の実施形態に係る署名システムにおいて実行されるリフレッシュ処理の制御の流れを示すフローチャートである。
【0044】
リフレッシュ処理は、一般には、ユーザ端末13と署名サーバ14との間の通信が可能となり、ユーザ端末13を使用するユーザが所定の操作をしたこと等を契機に開始される。
【0045】
リフレッシュ処理が開始されると、ユーザ端末13と署名サーバ14とは、Diffie-Hellman法など、種々の公知の技術により、両者で共有される一時的な乱数rを、第三者から秘匿したまま、生成する(ステップS201)。
【0046】
ついで、ユーザ端末13は、自身が有するユーザ断片skuと、共有された一時的な乱数rと、を乗じて、新たなユーザ断片sku'を計算し(ステップS202)、ユーザ端末13側の処理を終了する。
【0047】
一方、署名サーバ14は、自身が有するサーバ断片sksと、共有された一時的な乱数rの逆数(1/r)と、を乗じて、新たなサーバ断片sks'を計算し(ステップS203)、署名サーバ14側の処理を終了する。
【0048】
このようにして得られた新たなユーザ断片ならびに新たなサーバ断片は、それぞれ、ユーザ端末13ならびに署名サーバ14が、秘密裏に利用することが可能である。
【0049】
たとえば、既存のユーザ断片、既存のサーバ断片にかえて、リフレッシュ処理によって生成された新たなユーザ断片、新たなサーバ断片を、ユーザ端末13、署名サーバ14が、それぞれ採用することとすれば、積極的な断片の更新が可能となる。
【0050】
ユーザ断片ならびにサーバ断片は、ユーザが電子署名をする際に必要となる秘密情報である。以下では、これらを適切にバックアップならびにリストアできるように構成する態様について説明する。
【0051】
なお、本願では、理解を容易にするため、ユーザ断片のバックアップおよびリストアは、「バックアップ処理」「リストア処理」と呼び、サーバ断片のバックアップおよびリストアは、「予備処理」「修復処理」と呼ぶこととする。
【0052】
(ユーザ断片に係るバックアップ処理)
図3は、本発明の実施形態に係る署名システムにおいて実行されるバックアップ処理の制御の流れを示すフローチャートである。バックアップ処理は、ユーザ端末13からユーザ断片が失われた場合に、署名を再度可能とするための秘密情報を、ユーザ端末13の外部に保管するものである。以下、本図を参照して説明する。
図3は、本発明の実施形態に係る署名システムにおいて実行されるバックアップ処理の制御の流れを示すフローチャートである。バックアップ処理は、ユーザ端末13からユーザ断片が失われた場合に、署名を再度可能とするための秘密情報を、ユーザ端末13の外部に保管するものである。以下、本図を参照して説明する。
【0053】
バックアップ処理が開始されると、ユーザ端末13と、署名サーバ14と、は、それぞれが保持するユーザ断片とサーバ断片に対してリフレッシュ処理を実行する(ステップS301)。
【0054】
ここで、新たに生成されたユーザ断片は、ユーザバックアップ断片と呼び、新たに生成されたサーバ断片は、サーババックアップ断片と呼ぶこととする。
【0055】
次に、ユーザ端末13は、必要に応じてクラウドサーバ17に対する認証を行って、クラウドサーバ17に種々の情報として保管されている暗号鍵を取得する(ステップS302)。なお、認証に成功したクラウドサーバ17から取得した暗号鍵を、一定期間、ユーザ端末13が保持したままとするような設定下で、既に暗号鍵がユーザ端末13内に保持されている場合には、クラウドサーバ17から認証ならびに暗号鍵の取得は省略しても良い。
【0056】
ついでユーザ端末13は、取得された暗号鍵で当該ユーザバックアップ断片を暗号化し(ステップS303)、暗号化済のユーザバックアップ断片をバックアップサーバ15へ保管して(ステップS304)、ユーザ端末13からユーザバックアップ断片および暗号化済のユーザバックアップ断片を消去して(ステップS305)、ユーザ端末13側の処理を終了する。
【0057】
一方、署名サーバ14は、サーババックアップ断片をそのまま、署名サーバ14内に保持して(ステップS306)、署名サーバ側の処理を終了する。
【0058】
ユーザ断片のバックアップ処理によって、
ユーザ端末13には、ユーザ断片が保持され、
バックアップサーバ15には、暗号化済ユーザバックアップ断片が保管され、
署名サーバ14には、サーバ断片が保持され、サーババックアップ断片が保管される
ことになる。
ユーザ端末13には、ユーザ断片が保持され、
バックアップサーバ15には、暗号化済ユーザバックアップ断片が保管され、
署名サーバ14には、サーバ断片が保持され、サーババックアップ断片が保管される
ことになる。
【0059】
(ユーザ断片に係るリストア処理)
図4は、本発明の実施形態に係る署名システムにおいて実行されるリストア処理の制御の流れを示すフローチャートである。リストア処理は、ユーザ断片が、誤操作によるアプリの消去など何らかの事情で、ユーザ端末13からユーザ断片が消えてしまったり、ユーザ端末13aを紛失したりユーザ端末13aが故障して新たなユーザ端末13bを使用することとなった場合に実行される。
図4は、本発明の実施形態に係る署名システムにおいて実行されるリストア処理の制御の流れを示すフローチャートである。リストア処理は、ユーザ断片が、誤操作によるアプリの消去など何らかの事情で、ユーザ端末13からユーザ断片が消えてしまったり、ユーザ端末13aを紛失したりユーザ端末13aが故障して新たなユーザ端末13bを使用することとなった場合に実行される。
【0060】
リストア処理が開始されると、ユーザ端末13は、必要に応じてクラウドサーバ17に対する認証を行って、種々の情報として保管されている復号鍵を取得する(ステップS401)。
【0061】
この復号鍵は、ステップS302で取得される暗号鍵に呼応する。たとえば、共通鍵暗号系を利用している場合には、復号鍵と暗号鍵は一致する。また、公開鍵暗号系を利用している場合には、ステップS302の暗号鍵は鍵ペアの公開鍵、ステップS401の復号鍵は当該鍵ペアの秘密鍵に相当するものである。
【0062】
ついで、ユーザ端末13は、バックアップサーバ15から、暗号化済のユーザバックアップ断片を取得する(ステップS402)。なお、ステップS401とステップS402の処理の前後は入れ換えても良い。
【0063】
そして、ユーザ端末143は、取得された復号鍵を用いて、取得された暗号化済のユーザバックアップ断片から、元のユーザバックアップ断片を復号する(ステップS403)。
【0064】
この後、ユーザ端末13と、署名サーバ14と、は、ステップS403で復号されたユーザバックアップ断片とステップS306で保管されたサーババックアップ断片に対してリフレッシュ処理を実行して、新たなユーザ断片と、新たなサーバ断片と、を生成する(ステップS404)。
【0065】
そして、ユーザ端末13は、以降の署名において使用するユーザ断片として、当該新たなユーザ断片を保持することにより、ユーザ断片を更新する(ステップS405)。
【0066】
一方、署名サーバ14は、これまで利用していたサーバ断片にかえて、以降の署名において使用するサーバ断片として、当該新たなサーバ断片を保持することにより、サーバ断片を更新する(ステップS406)。
【0067】
この後、ユーザ端末13と、署名サーバ14と、は、新たに保持されたユーザ断片と、新たに保持されたサーバ断片と、に対して、バックアップ処理を協働して再度実行し(ステップS407)、本処理を終了する。
【0068】
このように、ユーザ断片に対するバックアップ処理とリストア処理によって、ユーザ端末13からユーザ断片が失われた場合であっても、今後の署名を実行するための秘密情報を、ユーザ端末13および署名サーバ14にセットアップすることができるとともに、今後さらにユーザ端末13からユーザ断片が失われた場合であっても、ユーザ断片をリストアするための秘密情報を、ユーザ端末13、署名サーバ14、バックアップサーバ15にセットアップすることができる。
【0069】
なお、
ユーザ端末13から当該ユーザバックアップ断片が失われ、もしくは、
署名サーバ14から当該サーババックアップ断片が失われ、もしくは、
バックアップサーバから当該ユーザバックアップ断片が失われた
場合には、上記のバックアップ処理を再度実行することで、リストアに必要な秘密情報を、ユーザ端末13、署名サーバ14、バックアップサーバ15にセットアップすることができる。
ユーザ端末13から当該ユーザバックアップ断片が失われ、もしくは、
署名サーバ14から当該サーババックアップ断片が失われ、もしくは、
バックアップサーバから当該ユーザバックアップ断片が失われた
場合には、上記のバックアップ処理を再度実行することで、リストアに必要な秘密情報を、ユーザ端末13、署名サーバ14、バックアップサーバ15にセットアップすることができる。
【0070】
また、バックアップサーバ15に保管されるユーザバックアップ断片は、ユーザ端末13の使用者の認証に基づく暗号化がされているため、ユーザバックアップ断片そのものがバックアップサーバ15側に漏洩してしまうことはない。
【0071】
なお、署名サーバ14からサーババックアップ断片が失われた場合や、バックアップサーバ15から暗号化済ユーザバックアップ断片が失われた場合も、バックアップ処理を実行することで、上記と同等の保管状態に戻すことができる。
【0072】
(サーバ断片に係る予備処理)
図5は、本発明の実施形態に係る署名システムにおいて実行される予備処理の制御の流れを示すフローチャートである。予備処理は、署名サーバからサーバ断片が失われた場合に、署名を再度可能とするための秘密情報を、署名サーバ14の外部に保管するものである。以下、本図を参照して説明する。
図5は、本発明の実施形態に係る署名システムにおいて実行される予備処理の制御の流れを示すフローチャートである。予備処理は、署名サーバからサーバ断片が失われた場合に、署名を再度可能とするための秘密情報を、署名サーバ14の外部に保管するものである。以下、本図を参照して説明する。
【0073】
予備処理が開始されると、ユーザ端末13と、署名サーバ14と、はそれぞれが保持しているユーザ断片とサーバ断片に対して、リフレッシュ処理を実行する(ステップS501)。
【0074】
ここで、新たに生成されたユーザ断片は、ユーザ予備断片と呼び、新たに生成されたサーバ断片は、サーバ予備断片を生成と呼ぶこととする。
【0075】
次に、ユーザ端末13は、必要に応じてクラウドサーバ17に対する認証を行って、クラウドサーバ17に保管されている暗号鍵を取得する(ステップS502)。
【0076】
ついでユーザ端末13は、取得された暗号鍵で当該ユーザ予備断片を暗号化し(ステップS503)、暗号化済のユーザ予備断片をバックアップサーバ15に保管して(ステップS504)、ユーザ端末13からユーザ予備断片および暗号化済のユーザ予備断片を消去する(ステップS505)。
【0077】
一方、署名サーバ14は、当該サーバ予備断片を署名サーバ14自身が復号可能に暗号化し(ステップS506)、暗号化されたサーバ予備断片をユーザ端末13へ送って(ステップS507)、保管させ、署名サーバ14から、サーバ予備断片および暗号化済のサーバ予備断片を消去して(ステップS508)、署名サーバ14側の処理を終了する。
【0078】
ユーザ端末13は、署名サーバ14から送られた暗号化済サーバ予備断片を受け取って(ステップS509)、ユーザ端末13内に保管して(ステップS510)、ユーザ端末13側の処理を終了する。
【0079】
なお、ユーザ端末13におけるステップS502-S505の処理と、ステップS509-S510の処理と、は、並行・並列して実行したり、適宜インターリーブして実行することが可能である。
【0080】
サーバ断片の準備処理によって、
ユーザ端末13には、ユーザ断片が保持され、暗号化済サーバ予備断片が保管され、
バックアップサーバ15には、暗号化済ユーザ予備断片が保管され、
署名サーバ14には、サーバ断片が保持される
ことになる。
ユーザ端末13には、ユーザ断片が保持され、暗号化済サーバ予備断片が保管され、
バックアップサーバ15には、暗号化済ユーザ予備断片が保管され、
署名サーバ14には、サーバ断片が保持される
ことになる。
【0081】
(サーバ断片に係る修復処理)
図6は、本発明の実施形態に係る署名システムにおいて実行される修復処理の制御の流れを示すフローチャートである。修復処理は、署名サーバ14に保持されていたサーバ断片が、天災地変サイバー攻撃等によって失われてしまった場合に実行される。
図6は、本発明の実施形態に係る署名システムにおいて実行される修復処理の制御の流れを示すフローチャートである。修復処理は、署名サーバ14に保持されていたサーバ断片が、天災地変サイバー攻撃等によって失われてしまった場合に実行される。
【0082】
修復処理が開始されると、ユーザ端末13は、必要に応じてクラウドサーバ17に対する認証を行って、クラウドサーバ17に保管されている復号鍵を取得する(ステップS601)。
【0083】
ついで、ユーザ端末13は、バックアップサーバ15から、暗号化済のユーザ予備断片を取得する(ステップS602)。なお、ステップS601とステップS602の処理の前後は入れ換えても良い。
【0084】
そして、ユーザ端末13は、取得された復号鍵を用いて、取得された暗号化済のユーザ予備断片から、元のユーザ予備断片を復号する(ステップS603)。
【0085】
さらに、ユーザ端末13は、ユーザ端末13に保管されている暗号化済のサーバ予備断片を署名サーバ14へ送る(ステップS604)。
【0086】
署名サーバ14は、ユーザ端末13から送られた暗号化済サーバ予備断片を受け取って(ステップS605)、元のサーバ予備断片を復号する(ステップS606)。
【0087】
なお、ユーザ端末13におけるステップS601-S604の処理と、署名サーバ14におけるステップS603-S606の処理とは、並行・並列して実行することが可能である。また、ユーザ端末13におけるステップS601-S603の処理と、ステップS604の処理とは、並行・並列して実行したり、適宜インターリーブして実行することが可能である。
【0088】
この後、ユーザ端末13と、署名サーバ14と、は、ステップS603で復号されたユーザ予備断片と、ステップS606で復号されたサーバ予備断片に対してリフレッシュ処理を実行して、新たなユーザ断片と、新たなサーバ断片と、を生成する(ステップS607)。
【0089】
そして、ユーザ端末13は、以降の署名において使用するユーザ断片として、当該新たなユーザ断片を保持することにより、ユーザ断片を更新する(ステップS608)。
【0090】
一方、署名サーバ14は、以降の署名において使用するユーザ断片として、当該新たなサーバ断片を保持することにより、サーバ断片を更新する(ステップS609)。
【0091】
この後、ユーザ端末13と、署名サーバ14と、は、新たに保持されたユーザ断片と、新たに保持されたサーバ断片に対して、予備処理を協働して再度実行し(ステップS610)、本処理を終了する。
【0092】
このように、サーバ断片に対する予備処理と修復処理によって、署名サーバ14からサーバ断片が失われた場合であっても、ユーザ端末13および署名サーバ14にセットアップすることができるとともに、今後さらに署名サーバ14からサーバ断片が失われた場合であっても、サーバ断片をリストアするための秘密情報を、ユーザ端末13、署名サーバ14、バックアップサーバ15にセットアップすることができる。
【0093】
なお、
ユーザ端末13から当該サーバ予備断片が失われ、もしくは、
バックアップサーバから当該ユーザ予備断片が失われた
場合には、上記の予備処理を再度実行することで、修復に必要な秘密情報を、ユーザ端末13、署名サーバ14、バックアップサーバ15にセットアップすることができる。
ユーザ端末13から当該サーバ予備断片が失われ、もしくは、
バックアップサーバから当該ユーザ予備断片が失われた
場合には、上記の予備処理を再度実行することで、修復に必要な秘密情報を、ユーザ端末13、署名サーバ14、バックアップサーバ15にセットアップすることができる。
【0094】
また、バックアップサーバ15に保管されるユーザ予備断片は、ユーザ端末13の使用者の認証に基づく暗号化がされているため、ユーザ予備断片そのものがバックアップサーバ15側に漏洩してしまうことはない。
【0095】
さらに、ユーザ端末13に保管されるサーバ予備断片は、署名サーバ14による暗号化がされているため、サーバ予備断片そのものがユーザ端末13側に漏洩してしまうことはない。
【0096】
なお、ユーザ端末13から暗号化済サーバ予備断片が失われた場合や、バックアップサーバ15から暗号化済ユーザ予備断片が失われた場合にも、修復処理を実行することで、上記と同等の状態に戻すことができる。
【0097】
(バックアップ・リストア・予備・修復の組み合わせ)
ユーザ断片のバックアップ/リストアと、サーバ断片の予備/修復と、は、両者とも採用することが望ましい。
ユーザ断片のバックアップ/リストアと、サーバ断片の予備/修復と、は、両者とも採用することが望ましい。
【0098】
図7は、本発明の実施形態に係る署名システムにおいて秘密情報が分散されて保持・保管される様子を示す説明図である。本図に示すように、両者を採用する態様では、
ユーザ端末13には、ユーザ断片が保持され、暗号化済サーバ予備断片が保管され、
バックアップサーバ15には、暗号化済ユーザバックアップ断片と、暗号化済ユーザ予備断片と、が保管され、
署名サーバ14には、サーバ断片が保持され、サーババックアップ断片が保管される。
ユーザ端末13には、ユーザ断片が保持され、暗号化済サーバ予備断片が保管され、
バックアップサーバ15には、暗号化済ユーザバックアップ断片と、暗号化済ユーザ予備断片と、が保管され、
署名サーバ14には、サーバ断片が保持され、サーババックアップ断片が保管される。
【0099】
ここで、ユーザ端末13aが紛失・故障して新たなユーザ端末13bの利用を新たに始める際には、まず、リストア処理を実行し、次に予備処理を実行することで、図7と同等に秘密情報が分散されて保管される状態に戻すことができる。
【0100】
また、署名サーバ14が攻撃等を受けて情報がすべて失われてしまった際には、まず修復処理を実行し、次にバックアップ処理を実行することで、図7と同等に秘密情報が分散されて保管される状態に戻すことができる。
【0101】
このほか、バックアップサーバ15が攻撃等を受けて情報がすべて失われてしまった際には、バックアップ処理と予備処理を任意の順序で実行することで、図7と同等に秘密情報が分散されて保管される状態に戻すことができる。
【0102】
すなわち、本態様によれば、ユーザ端末13と署名サーバ14が協働して二者で電子署名をするための秘密情報を、ユーザ端末13、署名サーバ14、バックアップサーバ15の三者が分散して保管することで、いずれか一者が保管していた情報が失われた場合であっても、元と同等の状態に戻すことができる。
【0103】
この際に、三者で保持・保管される断片は更新されてしまうが、電子署名を検証するための公開鍵は変わらず、そのまま維持されるので、公開鍵サーバ16が保管する情報は更新する必要がなく、他者に与える影響を最小限に抑えることができる。
【0104】
なお、本態様におけるリフレッシュ処理は、何回適用しても、電子署名の検証用に公開鍵サーバ16にて管理される公開鍵が変化しない、という点で、いわゆる羃等性を有する。
【0105】
したがって、
リストア処理に引き続いて予備処理を実行したり、
修復処理に引き続いてバックアップ処理を実行したり、
バックアップ処理と予備処理を任意の順序で実行したり、
する際に、単に連続してリフレッシュ処理が実行されているだけの場合には、処理を1回にまとめることもできるし、リフレッシュ処理を実行する回数を増やしても良い。
リストア処理に引き続いて予備処理を実行したり、
修復処理に引き続いてバックアップ処理を実行したり、
バックアップ処理と予備処理を任意の順序で実行したり、
する際に、単に連続してリフレッシュ処理が実行されているだけの場合には、処理を1回にまとめることもできるし、リフレッシュ処理を実行する回数を増やしても良い。
【0106】
(まとめ)
以上説明した本実施形態に係る署名システム、当該署名システムにおけるユーザ端末13、署名サーバ14、当該ユーザ端末13と当該署名サーバ14とが実行する方法、ならびに、プログラムについて、以下に付記する。
以上説明した本実施形態に係る署名システム、当該署名システムにおけるユーザ端末13、署名サーバ14、当該ユーザ端末13と当該署名サーバ14とが実行する方法、ならびに、プログラムについて、以下に付記する。
【0107】
(付記1)
本実施形態に係る署名システムは、ユーザ断片を秘密裏に保持するユーザ端末と、サーバ断片を秘密裏に保持する署名サーバと、が、メッセージに対する署名を協働して生成する署名システムであって、前記署名は、当該ユーザ断片と当該サーバ断片の積である秘密鍵によって、前記ユーザ端末と前記署名サーバのいずれも当該秘密鍵を知得しないまま、生成される署名システムであって、
前記ユーザ端末と前記署名サーバとは、リフレッシュ処理であって、
前記ユーザ端末が、当該ユーザ断片から、新たなユーザ断片を秘密裏に生成し、
前記署名サーバが、当該サーバ断片から、新たなサーバ断片を秘密裏に生成する
リフレッシュ処理において、
当該新たなユーザ断片と当該新たなサーバ断片の積は、当該ユーザ断片と当該サーバ断片の積に等しい
リフレッシュ処理を、協働して実行する
ように構成する。
本実施形態に係る署名システムは、ユーザ断片を秘密裏に保持するユーザ端末と、サーバ断片を秘密裏に保持する署名サーバと、が、メッセージに対する署名を協働して生成する署名システムであって、前記署名は、当該ユーザ断片と当該サーバ断片の積である秘密鍵によって、前記ユーザ端末と前記署名サーバのいずれも当該秘密鍵を知得しないまま、生成される署名システムであって、
前記ユーザ端末と前記署名サーバとは、リフレッシュ処理であって、
前記ユーザ端末が、当該ユーザ断片から、新たなユーザ断片を秘密裏に生成し、
前記署名サーバが、当該サーバ断片から、新たなサーバ断片を秘密裏に生成する
リフレッシュ処理において、
当該新たなユーザ断片と当該新たなサーバ断片の積は、当該ユーザ断片と当該サーバ断片の積に等しい
リフレッシュ処理を、協働して実行する
ように構成する。
【0108】
また、本実施形態の署名システムにおいて、
前記リフレッシュ処理において、
前記ユーザ端末と前記署名サーバとは、前記ユーザ端末と前記署名サーバが共有する一時的な乱数を生成し、
前記ユーザ端末にて、前記共有された乱数とその逆数の一方を当該ユーザ断片に乗じることにより、前記新たなユーザ断片を生成し、
前記署名サーバにて、前記共有された乱数とその逆数の他方を当該サーバ断片に乗じることにより、前記新たなサーバ断片を生成する
ように構成することができる。
前記リフレッシュ処理において、
前記ユーザ端末と前記署名サーバとは、前記ユーザ端末と前記署名サーバが共有する一時的な乱数を生成し、
前記ユーザ端末にて、前記共有された乱数とその逆数の一方を当該ユーザ断片に乗じることにより、前記新たなユーザ断片を生成し、
前記署名サーバにて、前記共有された乱数とその逆数の他方を当該サーバ断片に乗じることにより、前記新たなサーバ断片を生成する
ように構成することができる。
【0109】
また、本実施形態の署名システムにおいて、
前記一時的な乱数は、Diffie-Hellman法により生成されて共有される
ように構成することができる。
前記一時的な乱数は、Diffie-Hellman法により生成されて共有される
ように構成することができる。
【0110】
また、本実施形態の署名システムにおいて、
前記署名は、DKLs18プロトコルにより実行される
ように構成することができる。
前記署名は、DKLs18プロトコルにより実行される
ように構成することができる。
【0111】
また、本実施形態の署名システムにおいて、
(1) 前記ユーザ端末と前記署名サーバとが、バックアップ処理であって、
前記ユーザ断片と前記サーバ断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、ユーザバックアップ断片を生成し、
前記署名サーバにて、サーババックアップ断片を生成し、
前記ユーザ端末が、当該ユーザバックアップ断片をバックアップサーバに保管して、前記ユーザ端末から消去し、
前記署名サーバが、当該サーババックアップ断片を保持する
バックアップ処理を、協働して実行し、
(2) 前記ユーザ端末から当該ユーザ断片が失われた場合、
前記ユーザ端末が、前記バックアップサーバから当該ユーザバックアップ断片を取得し、
前記ユーザ端末と前記署名サーバとが、前記ユーザバックアップ断片と前記サーババックアップ断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、新たなユーザ断片を生成し、
前記署名サーバにて、新たなサーバ断片を生成し、
前記ユーザ端末は、当該新たなユーザ断片を保持し、
前記署名サーバは、当該サーバ断片にかえて、当該新たなサーバ断片を保持し、
前記ユーザ端末と前記署名サーバとは、当該新たなユーザ断片と当該新たなサーバ断片に対して、前記バックアップ処理を協働して再度実行する
ように構成することができる。
(1) 前記ユーザ端末と前記署名サーバとが、バックアップ処理であって、
前記ユーザ断片と前記サーバ断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、ユーザバックアップ断片を生成し、
前記署名サーバにて、サーババックアップ断片を生成し、
前記ユーザ端末が、当該ユーザバックアップ断片をバックアップサーバに保管して、前記ユーザ端末から消去し、
前記署名サーバが、当該サーババックアップ断片を保持する
バックアップ処理を、協働して実行し、
(2) 前記ユーザ端末から当該ユーザ断片が失われた場合、
前記ユーザ端末が、前記バックアップサーバから当該ユーザバックアップ断片を取得し、
前記ユーザ端末と前記署名サーバとが、前記ユーザバックアップ断片と前記サーババックアップ断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、新たなユーザ断片を生成し、
前記署名サーバにて、新たなサーバ断片を生成し、
前記ユーザ端末は、当該新たなユーザ断片を保持し、
前記署名サーバは、当該サーバ断片にかえて、当該新たなサーバ断片を保持し、
前記ユーザ端末と前記署名サーバとは、当該新たなユーザ断片と当該新たなサーバ断片に対して、前記バックアップ処理を協働して再度実行する
ように構成することができる。
【0112】
また、本実施形態の署名システムにおいて、
前記ユーザバックアップ断片は、前記ユーザ端末により暗号化されてから、前記バックアップサーバに保管される
ように構成することができる。
前記ユーザバックアップ断片は、前記ユーザ端末により暗号化されてから、前記バックアップサーバに保管される
ように構成することができる。
【0113】
また、本実施形態の署名システムにおいて、
前記暗号化されたユーザバックアップ断片は、前記ユーザ端末を使用するユーザの生体認証もしくはソーシャルログインが成功することを条件として、復号される
ように構成することができる。
前記暗号化されたユーザバックアップ断片は、前記ユーザ端末を使用するユーザの生体認証もしくはソーシャルログインが成功することを条件として、復号される
ように構成することができる。
【0114】
また、本実施形態の署名システムにおいて、
前記ユーザ端末から当該ユーザバックアップ断片が失われ、もしくは、
前記署名サーバから当該サーババックアップ断片が失われ、もしくは、
前記バックアップサーバから当該ユーザバックアップ断片が失われた
場合、前記バックアップ処理が再度実行される
ように構成することができる。
前記ユーザ端末から当該ユーザバックアップ断片が失われ、もしくは、
前記署名サーバから当該サーババックアップ断片が失われ、もしくは、
前記バックアップサーバから当該ユーザバックアップ断片が失われた
場合、前記バックアップ処理が再度実行される
ように構成することができる。
【0115】
また、本実施形態の署名システムにおいて、
(3) 前記ユーザ端末と前記署名サーバとが、予備処理であって、
当該ユーザ断片と当該サーバ断片に対して、前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、ユーザ予備断片を生成し、
前記署名サーバにて、サーバ予備断片を生成し、
前記ユーザ端末は、当該ユーザ予備断片を、前記バックアップサーバに保管して前記ユーザ端末から消去し、
前記署名サーバは、当該サーバ予備断片を、前記ユーザ端末に保管して前記署名サーバから消去する
予備処理を、協働してさらに実行し、
(4) 前記署名サーバから当該サーバ断片が失われた場合、
前記ユーザ端末が、前記バックアップサーバから当該ユーザ予備断片を取得し、
前記署名サーバが、前記ユーザ端末から当該サーバ予備断片を取得し、
前記ユーザ端末と前記署名サーバとが、当該ユーザ予備断片と当該サーバ予備断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、新たなユーザ断片を生成し、
前記署名サーバにて、新たなサーバ断片を生成し、
前記ユーザ端末は、当該ユーザ断片にかえて、当該新たなユーザ断片を保持し、
前記署名サーバは、当該新たなサーバ断片を保持し、
前記ユーザ端末と前記署名サーバとは、当該新たなユーザ断片と当該新たなサーバ断片に対して、前記バックアップ処理及び前記予備処理を協働して再度実行する
ように構成することができる。
(3) 前記ユーザ端末と前記署名サーバとが、予備処理であって、
当該ユーザ断片と当該サーバ断片に対して、前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、ユーザ予備断片を生成し、
前記署名サーバにて、サーバ予備断片を生成し、
前記ユーザ端末は、当該ユーザ予備断片を、前記バックアップサーバに保管して前記ユーザ端末から消去し、
前記署名サーバは、当該サーバ予備断片を、前記ユーザ端末に保管して前記署名サーバから消去する
予備処理を、協働してさらに実行し、
(4) 前記署名サーバから当該サーバ断片が失われた場合、
前記ユーザ端末が、前記バックアップサーバから当該ユーザ予備断片を取得し、
前記署名サーバが、前記ユーザ端末から当該サーバ予備断片を取得し、
前記ユーザ端末と前記署名サーバとが、当該ユーザ予備断片と当該サーバ予備断片に対して前記リフレッシュ処理を実行することにより、
前記ユーザ端末にて、新たなユーザ断片を生成し、
前記署名サーバにて、新たなサーバ断片を生成し、
前記ユーザ端末は、当該ユーザ断片にかえて、当該新たなユーザ断片を保持し、
前記署名サーバは、当該新たなサーバ断片を保持し、
前記ユーザ端末と前記署名サーバとは、当該新たなユーザ断片と当該新たなサーバ断片に対して、前記バックアップ処理及び前記予備処理を協働して再度実行する
ように構成することができる。
【0116】
また、本実施形態の署名システムにおいて、
前記サーバ予備断片は、前記署名サーバにより暗号化されてから、前記ユーザ端末に保管され、
前記暗号化されたサーバ予備断片は、前記ユーザ端末から取得されてから、前記署名サーバにより復号される
ように構成することができる。
前記サーバ予備断片は、前記署名サーバにより暗号化されてから、前記ユーザ端末に保管され、
前記暗号化されたサーバ予備断片は、前記ユーザ端末から取得されてから、前記署名サーバにより復号される
ように構成することができる。
【0117】
また、本実施形態の署名システムにおいて、
前記ユーザ端末から当該サーバ予備断片が失われ、もしくは、
前記バックアップサーバから当該ユーザ予備断片が失われた
場合、前記予備処理が再度実行される
ように構成することができる。
前記ユーザ端末から当該サーバ予備断片が失われ、もしくは、
前記バックアップサーバから当該ユーザ予備断片が失われた
場合、前記予備処理が再度実行される
ように構成することができる。
【0118】
本実施形態のユーザ端末は、上記署名システムにおけるユーザ端末であるように構成することができる。
【0119】
本実施形態の署名サーバは、本実施形態の署名システムにおける署名サーバであるように構成することができる。
【0120】
本実施形態の署名システムであって、
ユーザ断片を秘密裏に保持するユーザ端末と、サーバ断片を秘密裏に保持する署名サーバと、が、メッセージに対する署名を協働して生成する署名システムであって、前記署名は、当該ユーザ断片と当該サーバ断片の積である秘密鍵によって、前記ユーザ端末と前記署名サーバのいずれも当該秘密鍵を知得しないまま、生成される署名システムが実行する方法において、
前記ユーザ端末と前記署名サーバとは、リフレッシュ処理であって、
前記ユーザ端末が、当該ユーザ断片から、新たなユーザ断片を秘密裏に生成する工程と、
前記署名サーバが、当該サーバ断片から、新たなサーバ断片を秘密裏に生成する工程と、
を備え、
当該新たなユーザ断片と当該新たなサーバ断片の積は、当該ユーザ断片と当該サーバ断片の積に等しい
リフレッシュ処理を、協働して実行する
ように構成する。
ユーザ断片を秘密裏に保持するユーザ端末と、サーバ断片を秘密裏に保持する署名サーバと、が、メッセージに対する署名を協働して生成する署名システムであって、前記署名は、当該ユーザ断片と当該サーバ断片の積である秘密鍵によって、前記ユーザ端末と前記署名サーバのいずれも当該秘密鍵を知得しないまま、生成される署名システムが実行する方法において、
前記ユーザ端末と前記署名サーバとは、リフレッシュ処理であって、
前記ユーザ端末が、当該ユーザ断片から、新たなユーザ断片を秘密裏に生成する工程と、
前記署名サーバが、当該サーバ断片から、新たなサーバ断片を秘密裏に生成する工程と、
を備え、
当該新たなユーザ断片と当該新たなサーバ断片の積は、当該ユーザ断片と当該サーバ断片の積に等しい
リフレッシュ処理を、協働して実行する
ように構成する。
【0121】
本実施形態のユーザ端末用プログラムは、コンピュータを、上記署名システムにおけるユーザ端末として機能させるように構成する。
【0122】
本実施形態の署名サーバ用プログラムは、コンピュータを、上記署名システムにおける署名サーバとして機能させるように構成する。
【0123】
本発明は、本発明の広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能とされるものである。また、上述した実施の形態は、この発明を説明するためのものであり、本発明の範囲を限定するものではない。すなわち、本発明の範囲は、実施の形態ではなく、特許請求の範囲によって示される。そして、特許請求の範囲内及びそれと同等の発明の意義の範囲内で施される様々な変形が、この発明の範囲内とみなされる。
【産業上の利用可能性】
【0124】
本発明によれば、マルチシグ検証用の公開鍵は維持したまま、各自が秘密鍵として利用する断片を、秘密裏にリフレッシュする技術を提供することができる。
【符号の説明】
【0125】
11 署名システム
12 コンピュータ通信網
13, 13a, 13b ユーザ端末
14 署名サーバ
15 バックアップサーバ
16 公開鍵サーバ
17 クラウドサーバ
12 コンピュータ通信網
13, 13a, 13b ユーザ端末
14 署名サーバ
15 バックアップサーバ
16 公開鍵サーバ
17 クラウドサーバ
【要約】
【課題】マルチシグ検証用の公開鍵は維持したまま、各自が秘密鍵として利用する断片を、秘密裏にリフレッシュする。
【解決手段】署名システム11では、ユーザ断片を秘密裏に保持するユーザ端末13と、サーバ断片を秘密裏に保持する署名サーバ14と、が、メッセージに対する署名を協働して生成する。署名は、ユーザ断片とサーバ断片の積である秘密鍵によって、ユーザ端末13と署名サーバ14のいずれも秘密鍵を知得しないまま、生成される。ユーザ端末13と署名サーバ14とは、ユーザ端末13が、ユーザ断片から、新たなユーザ断片を秘密裏に生成し、署名サーバ14が、サーバ断片から、新たなサーバ断片を秘密裏に生成するリフレッシュ処理を、協働して実行する。ここで、新たなユーザ断片と新たなサーバ断片の積は、ユーザ断片とサーバ断片の積に等しい。
【選択図】 図1
【解決手段】署名システム11では、ユーザ断片を秘密裏に保持するユーザ端末13と、サーバ断片を秘密裏に保持する署名サーバ14と、が、メッセージに対する署名を協働して生成する。署名は、ユーザ断片とサーバ断片の積である秘密鍵によって、ユーザ端末13と署名サーバ14のいずれも秘密鍵を知得しないまま、生成される。ユーザ端末13と署名サーバ14とは、ユーザ端末13が、ユーザ断片から、新たなユーザ断片を秘密裏に生成し、署名サーバ14が、サーバ断片から、新たなサーバ断片を秘密裏に生成するリフレッシュ処理を、協働して実行する。ここで、新たなユーザ断片と新たなサーバ断片の積は、ユーザ断片とサーバ断片の積に等しい。
【選択図】 図1
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】