▶ キューアールシー エーエーエー エスエーアールエルの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-07-21
(54)【発明の名称】耐量子SIMカード
(51)【国際特許分類】
H04W 12/40 20210101AFI20220713BHJP
H04W 12/03 20210101ALI20220713BHJP
H04W 12/041 20210101ALI20220713BHJP
H04L 9/06 20060101ALI20220713BHJP
【FI】
H04W12/40
H04W12/03
H04W12/041
H04L9/06 Z
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022514035
(86)(22)【出願日】2019-11-11
(85)【翻訳文提出日】2022-01-06
(86)【国際出願番号】 IB2019001133
(87)【国際公開番号】W WO2020229871
(87)【国際公開日】2020-11-19
(31)【優先権主張番号】00620/19
(32)【優先日】2019-05-10
(33)【優先権主張国・地域又は機関】CH
(31)【優先権主張番号】00731/19
(32)【優先日】2019-06-06
(33)【優先権主張国・地域又は機関】CH
(81)【指定国・地域】
(71)【出願人】
【識別番号】521493204
【氏名又は名称】キューアールシー エーエーエー エスエーアールエル
(74)【代理人】
【識別番号】100114775
【弁理士】
【氏名又は名称】高岡 亮一
(74)【代理人】
【識別番号】100121511
【弁理士】
【氏名又は名称】小田 直
(74)【代理人】
【識別番号】100202751
【弁理士】
【氏名又は名称】岩堀 明代
(74)【代理人】
【識別番号】100208580
【弁理士】
【氏名又は名称】三好 玲奈
(74)【代理人】
【識別番号】100191086
【弁理士】
【氏名又は名称】高橋 香元
(72)【発明者】
【氏名】コヴァチ,セティエパン,オーレリアン
(72)【発明者】
【氏名】アンダーヒル,ジョン,グレゴリー
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA35
5K067BB02
5K067BB21
5K067DD11
5K067DD17
5K067DD24
5K067EE02
5K067FF02
5K067HH22
5K067HH36
5K067KK15
(57)【要約】
耐量子スマートカードは、移動体通信装置に対してモバイルネットワークまたは統合電気通信網へのアクセスを可能にするように構成されて、少なくともISO/IEC 18033-3:2011標準に定義されたAES-256およびeAESを含むリストからの少なくとも256ビット暗号化の標準によるデータの暗号化のために構成された暗号化手段;意図したレガシー通信装置内にアップグレードされたプロトコルスタックを動的にロードして、意図したレガシー通信装置によってマスターされた既存の周波数を再使用することにより意図したレガシー通信装置が新無線ネットワークに接続するのを可能にするように構成された動的ロード手段;ならびに少なくともISO/IEC 18033-3:2011標準に定義されたAES-256およびeAESを含むリストからの少なくとも256ビット暗号化の標準に従ったデータの暗号化に対するサポートをスマートカードが提供するのを可能にする少なくとも1つのハードウェアアクセラレータシステムを備える。
【選択図】図6
【選択図】図6
【特許請求の範囲】
【請求項1】
移動体通信装置に対してモバイルネットワークまたは統合電気通信網へのアクセスを可能にするように構成された耐量子SIMカードであって、少なくともISO/IEC 18033-3:2011標準に定義されたAES-256およびeAESを含むリストからの少なくとも256ビット暗号化の標準によるデータの暗号化のために構成された暗号化手段と、
意図したレガシー通信装置内にアップグレードされたプロトコルスタックを動的にロードして、前記意図したレガシー通信装置によってマスターされた既存の周波数を再使用することにより、前記意図したレガシー通信装置が新無線ネットワークに接続するのを可能にするように構成された動的ロード手段と、
少なくとも前記ISO/IEC 18033-3:2011標準に定義されたAES-256およびeAESを含む前記リストからの少なくとも256ビット暗号化の前記標準に従ったデータの前記暗号化に対するサポートを前記SIMカードが提供するのを可能にする少なくとも1つのハードウェアアクセラレータシステムと
を備える、耐量子SIMカード。
【請求項2】
さらに、前記eAESはラウンド関数と鍵スケジュールとを含み、前記ラウンド関数はAESに基づいており、
前記鍵スケジュールは、SHA2+HKDF、SHA3(cSHAKE)を少なくとも含むリスト内の組合わせのいずれか1つである、
請求項1に記載の耐量子SIMカード。
【請求項3】
前記組合わせSHA2+HKDFでは、副鍵は、意図したユーザーの鍵に基づき、前記ユーザーの鍵のHKDF拡張、暗号正式名文字列およびラウンド数を使用して計算される、請求項2に記載の耐量子SIMカード。
【請求項4】
cSHAKEは、eAESの構造において鍵導出機構として使用される、請求項2に記載の耐量子SIMカード。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は一般に、チップカードデバイスを意味する、SIMカードに関する。
【背景技術】
【0002】
SIMカードはモバイル機器と共に使用することが一般に知られている。
【0003】
SIMは、subscriber identity moduleまたはsubscriber identification module(加入者識別モジュール)を表す。従って、SIMカードは、それを特定のモバイルネットワークに対して識別する固有の情報を含むことになり、それは、加入者(あなたのような)がそのデバイスの通信機能を使用するのを可能にする。
【0004】
一部のモバイル機器は、所有者を識別してモバイルネットワークと通信するためにSIMカードを必要とする。以下、簡単にするために、取外し可能SIMカードを使用する携帯電話に言及するが、埋め込みかどうかにかかわらず、SIMカードを使用する任意のモバイル機器が、本発明によって同等に見なされると理解されるべきである。
【0005】
SIMカードは、単に小さなプラスチック片のように見える。重要な部分は、それが挿入されるモバイル機器によって読み取ることが可能であって、固有の識別番号、電話番号、およびそれが登録されているユーザーに固有の他のデータを含む、小型の集積チップである。
【0006】
以下、1Gは無線セルラー技術の第1世代を指し、2Gは第2世代の技術を指す、等である。
【0007】
2G電話技術は1991年から始まり、SMS、画像メッセージ、およびMMSなどのデータサービスと一緒に、通話およびテキストの暗号化を導入した。
【0008】
1998年における3Gネットワークの導入は、2Gよりも高速なデータ通信速度をもたらした。これは、セキュリティを元のGSMよりも実質的に改善した様々な改良も利用可能にした。
【0009】
3G/LTEユーザーに対する1つの注意事項は、彼女/彼はそれを使用していない可能性があることである。ほとんどの電話は、3G/4G接続が利用できないと思われる場合、GSMに優雅に「フェイルオーバー」するようにプログラムされている。活発な攻撃者は、この特徴を利用してロールバック攻撃を実装する、つまり、3G/4G接続を詰まらせ、結果として2Gに対して利用可能なGSM攻撃の全てを復活させる。
【0010】
これ故に、既存の2G、3Gおよび4G携帯電話におけるセキュリティを改善する必要があると思われ、これは、携帯電話を使用するユーザーが秘密のネットワーク取引を達成するために不可欠である。
【0011】
本発明が克服することを目標とする問題の1つは、既存の2G、3Gおよび4G携帯電話における改善されたセキュリティの提供である。
【発明の概要】
【課題を解決するための手段】
【0012】
本発明の一態様によれば、耐量子SIMカードは、移動体通信装置に対してモバイルネットワークまたは統合電気通信網へのアクセスを可能にするように構成されて、少なくともISO/IEC 18033-3:2011標準に定義されたAES-256およびeAESを含むリストからの少なくとも256ビット暗号化の標準によるデータの暗号化のために構成された暗号化手段;意図したレガシー通信装置内にアップグレードされたプロトコルスタックを動的にロードして、意図したレガシー通信装置によってマスターされた既存の周波数を再使用することにより、意図したレガシー通信装置が新無線ネットワークに接続するのを可能にするように構成された動的ロード手段;ならびに少なくともISO/IEC 18033-3:2011標準に定義されたAES-256およびeAESを含むリストからの少なくとも256ビット暗号化の標準に従ったデータの暗号化に対するサポートをSIMカードが提供するのを可能にする少なくとも1つのハードウェアアクセラレータシステムを備える。
【0013】
好ましい実施形態では、eAESは、ラウンド関数および鍵スケジュールを含み、ラウンド関数はAESに基づいており、鍵スケジュールは、SHA2+HKDF、SHA3(cSHAKE)を少なくとも含むリスト内の組合わせのいずれか1つである。
【0014】
さらに好ましい実施形態では、組合わせSHA2+HKDF、副鍵は、意図したユーザーの鍵に基づき、ユーザーの鍵のHKDF拡張、暗号正式名文字列およびラウンド数を使用して計算される。
【0015】
さらに好ましい実施形態では、cSHAKEは、eAESの構造において鍵導出機構として使用される。
【0016】
本発明のいくつかの好ましい実施形態を示す添付の図面を参照した以下の説明の検討から、本発明の前述および他の目的、特徴および利点ならびにそれらを実現する方法はより明らかになり、本発明自体が最も良く理解されるであろう。
【0017】
本明細書に組み込まれて本明細書の部分を構成する、添付の図面は、本発明の現在好ましい実施形態を例示しており、前述の一般的な説明および以下の詳細な説明と共に、本発明の特徴を説明するのに役立つ。
【図面の簡単な説明】
【0018】
【図1】従来技術から周知のUICCベースのSIMカードの例を示しており、本発明を実装するために使用され得る。
【図2】従来技術に従った、UICCベースSIMカードと非接触フロントエンド(CLF)との間の接続例を示す。
【図3】本発明に従った、複数のMNOプロファイルをサポートするUICCベースSIMカードの場合に実装されるような、NR互換性スタックアプリケーションを備えたソフトウェア層の一例を示す。
【図4】本発明の実装例に従って達成されたトランザクションを例示する流れ図を含む。
【図5】本発明の一例に従ったセキュアな鍵拡張機能のための擬似コードの例示を含む。
【発明を実施するための形態】
【0019】
ここでは、同一の参照番号が、可能な場合には、図面に共通な同一の要素を指定するために使用される。また、画像は例示目的のために簡略化されており、原寸に比例して示されていない可能性がある。
【0020】
本発明は、チップカードデバイスを意味する、SIMカードに関する。SIMカードは、特許公開で説明されており、その例は、DE101009006487 A1、US5442704 A、US5491827AおよびUS6859650であり、それらは参照により本明細書に組み込まれる。しかし、用語「SIMカード」および「SIM」は、SIMと同じかまたは類似のタイプの機能を可能にする任意のタイプのスマートカードを含み得る。SIMカードは、そのフォームファクタ、または埋め込み/統合本質とは無関係に考慮される。SIMカードはさらに、モバイルネットワークまたは統合電気通信網にアクセスすることを意図し、最小限のセキュリティとして256ビット対称暗号化レベルを備えて、たとえユーザーがデフォルトでかかる暗号化を欠いている2G、3Gまたは4Gネットワーク専用を意味するレガシー電話を使用する場合でさえ、電気通信網事業者がかかる暗号化をサポートするためにその事業者の相手方を通信に適合させるという条件で、エンドユーザーが安全に通信するのを可能にするように考慮される。
【0021】
具体的には、本発明に従ったSIMカードは好ましくは、少なくとも以下の暗号化アルゴリズムをサポートするのを可能にされる:
【0022】
対応するISO/IEC 18033-3:2011標準に定義されたAES-256、および
【0023】
以下で提供されるアルゴリズムおよび流れ図説明で定義されるeAES、この現在の設計で最大512ビットまでの鍵サイズを可能にする(理論上は、最大1024ビット鍵がサポートされるが範囲外である)。
【0024】
eAESはかなり最近の命名なので、ここでその標準化を考慮してISOに提供された定義を引用する:eAESの目標は、256以上の鍵サイズをもつAESに対する新しい鍵スケジュールで18033を拡張することである。18033は言うまでもISO番号である。eAESは、公表文献「towards post-quantum symmetric cyptography,John Gregory Underhill and Stiepan Aurelien Kovac,and Xenia Bogomolec」にさらに詳細に記述されており、https://eprint.iacr.org/2019/553.pdfにおいてオンラインで入手可能であり、この文書は参照により本明細書に組み込まれる。eAES、進化したAES、は、修正された鍵スケジュールをAESにもたらし、それは、暗号学的に安全な鍵導出関数に基づいており、攻撃者は、(ラウンドが)インクリメントされる、全てのラウンド鍵を取得する必要があるので、関連鍵攻撃などの古典的な攻撃を不可能にし、サイドチャネル攻撃をより困難にするのを可能にする。その耐量子フォーカスを所与として、それは256ビット以上の鍵を可能にし、NIST IR 8105が予測したもの(鍵サイズを倍にする)と一致する。提案される新しい最大サイズは512である。
【0025】
スマートカードが使用される事例では、SIMカードに限定するのとは対照的に、eAESeはDUKPTと共に使用され得る。ANSI X9.24-3-2017はDUKPT標準に対する参考文献であることに注意すべきである。
【0026】
具体的には、レガシー装置が本発明に従ったSIMカードを使用する事例は、他の以前のGSM世代(2G、3Gおよび/または4G)の周波数を使用する新無線(NR)ネットワーク(≪5G≫)に加わり、事業者が、本格的な5Gネットワークを配備する代わりに、かかるアップグレードされたレガシーネットワークへの切替えを行うという条件で、ここでサポートされる。同時に、本発明に従ったSIMカードは、通信のセキュリティに関して、そのセキュリティレベルを、今日利用可能な暗号解読ハードウェアに起因して、無しに近い、2Gに下げることを目的とする、所謂≪ダウングレード攻撃≫を効果のないものにする。
【0027】
本発明に従ったSIMカードは従って、現在の相互接続した社会の2つの主な問題を解決する。これは、人々が、銀行サービスへの唯一のアクセスとして自分のモバイル機器に、これが有する全ての安全保障と共に、依存する国々において特に当てはまる。このため、eAESアルゴリズムは、その256ビット変形において、ネットワーク内でユーザーを識別するために、対応する鍵と同様、完全性保護および暗号化の両方のために、デフォルトで使用されるべきである。
【0028】
eAESアルゴリズムは、耐量子性、すなわち、主要なテクノロジー企業IBMを含む、主題の専門家によると、弱いAESの元の鍵スケジュールをアップグレードすることにより、2023~2033までに市場に出ると想定されるコンピュータに対する耐性を可能にし、それにより、かかるコンピュータによる攻撃への対抗を含め、暗号学的に安全になり、かつ関連鍵攻撃(元のAES鍵スケジュールで可能であり、量子コンピュータによってさらに可能にされる)も可能にしない。本発明に従ったSIMカードは、耐量子モバイルおよび収束通信を可能にする。その上、本発明に従ったSIMカードは、その取外し可能バージョンの事例では、それを使用している装置を交換することなく、これを可能にして、5Gネットワークへ円滑で環境保護的に移行するのを可能にする。
【0029】
同様に、通信事業者のインフラの側では、eAESへの切替えは、AESを実行するために最適化された既存のハードウェアの再利用を可能にし、従って財務的および環境保護的コスト節約の観点から同様の効果をもたらす。
【0030】
本明細書で使用される特徴SIMカード(feature SIM card)はレガシーSIMカード技術を含むが、eSIM、SoCおよびUICCの名前の下で当技術分野で周知の技術でもある。eSimは、その名前が示すとおり、埋め込まれたSIMであり、SIM SoC(システムオンチップ)は従来型のSIMカードの機能をエミュレートする。
【0031】
以下では、用語UICCに言及し、それは、本発明の目的のためにSIMカードと区別しないで使用され得る。用語UICCは汎用ICカード(Universal Integrated Circuit Card)を表す。UICCは、高速無線ネットワーク内で使用されるより最新世代のSIMである。UICCは、ユーザーを彼/彼女の無線事業者に対して識別し、それにより彼らがあなたのプランおよびサービスを知るようにする。それは、ユーザーの連絡先を格納し得、安全で信頼できる音声およびマルチメディアデータ接続、国際ローミングを可能して、新しいアプリケーションおよびサービスをリモートで追加する。UICCは、任意の3Gまたは4G装置と動作する汎用アプリケーション配布プラットフォームとして知られている。2G装置に対しては、従来型のSIMカードを使用するのが一般的である。
【0032】
しかし、UICCのSIMカードに対する大きな優位性は、それは複数のアプリケーションをその上に持つことができることである。これらの1つ、USIMアプリケーションは、これらの標準:ユニバーサル移動体通信システム(UMTS)、高速パケットアクセス(HSPA)またはロングタームエボリューション(LTE)の1つを使用して、あなた及びあなたの電話プランをあなたの無線サービスプロバイダに対して識別するものである。別のアプリケーション、CDMA SIM(CSIM)は、GSMまたはUMTSネットワークとは異なる、CDMAネットワークに対するアクセスを可能にする。他の可能なアプリケーションは、マルチメディアサービスに対するモバイルアクセスを保護する、ISIM、および支払いなどの非通信用アプリケーションを含む。例えば、多くの加入者は、それぞれ電話サービスおよびマルチメディア用のUSIMおよびISIMアプリケーションを備えたUICCを有する。
【0033】
別の進歩は、UICCは、インターネットプロトコル(IP)、インターネットおよび新世代の無線ネットワークで使用される同じ標準、を使用して通信できることである。それは複数のPINコードもサポートでき、それは、第三者が個人情報を悪用するのを防ぐのに貢献できる。
【0034】
図1は、本発明を実装するために使用され得るUICCカードの例を示す。位置C4およびC8における端末内の接触要素は任意選択である。存在して使用されない場合、それらは状態Lにプルされるか、または高インピーダンスをUICCに提供するかのいずれかである。UICCがマルチアプリケーションUICCであると判断されるか、または端末がこれらの接点を使用して任意選択のインタフェースをサポートする場合、これらの接点が使用され得る。接点C6はプラグイン/ミニ-UICCに対して提供される必要がない。UICCカード(またはいかなるフォームファクタであれSIMカード)はハードウェアアクセラレータをさらに統合して、SHA-2、HMACおよびAESアルゴリズムを、それらをソフトウェアで実装することなく、SHA-3(CSHAKE)を任意選択のアドオンとして、そのマイクロプロセッサおよび統合メモリ上に備えて、実行するのを可能にし、それは、本発明の範囲を超えており、ARMコアなどであるが、それに限定されない、業界標準構成要素をその目的で再使用することを意図する。
【0035】
本発明に従ったSIMカードは、当技術分野で周知のように、使用中のSIMカード技術に対して利用可能なデジタル情報の送信用プロトコルを使用して、レガシー装置内に動的にロードするアプリケーションを埋め込んで、レガシー装置にアップグレードされたプロトコルスタックを提供し(「NR互換スタックアプリケーション」というラベルの付いた、アップグレードされたプロトコルスタックを含む、UICCシステム内の異なるソフトウェア層の表現例については図3を参照-「eAES改良されたISDR」に関するメモ;ISDR(発行者セキュリティ領域-ルート)はGlobalPlatform表現であるが、ここで本発明は[1]のeAESアップグレードされた(非標準)バージョンによる[1]内のAES暗号の置換を提供し、それは願わくは将来標準化されるであろう。これは一部の利用シナリオにおいて問題を引き起こし得るので、元のAESに依存する、そのままでの[1]の使用は、本発明は[1]におけるようにAES-256およびSHA2(-512)もサポートするという事実によってサポートされ、この組合わせは[1]によってサポートされる最強の暗号化プロファイルである。弱いプロファイルではない。参照[1]:GlobalPlatform:Secure channel protocol ’3’-card specification v2.2-amendment d v1.1.1(2014年7月))、事業者がかかる設計を使用することを希望する場合には(事業者はアップグレードされた暗号化と共に既存の3Gまたは4Gネットワークも使用し得る)、その国で何が使用されていようと、既存の2G、3Gまたは4G周波数を再使用して新無線(NR、5Gとも呼ばれる)ネットワークに接続する。NR用語では、それが具体的に行うのは、移動体通信事業者(MNO)によって選択された周波数とは無関係に、ベアラ種別NG-RANとの互換性を、MNOがかかるベアラ種別を使用することを選択すれば、可能にすることである。その目的を達成するために、それは3GPP TS 31.111 version 9.4.0 Release 9で説明されているUSIM機能による通話(call)制御を使用して、通話および/またはUSSD操作をNRネットワーク上の安全な同等操作によって置き換える。後半部分は、MNOがUSSDメッセージに対してNRを使用しないことを選択する場合にも当てはまり、例えば、USSDメッセージはeAES暗号化を使用する安全な均等物によって置き換えられ、本発明でも説明される。図3は、複数のMNOプロファイルをサポートするUICCベースSIMカードの場合にこれがどのように実装されるべきかを示す。
【0036】
無線がソフトウェアアップグレードできる、より新しい4G電話の事例では、これはソフトウェアアップグレードと組み合わすことができ、いくつかの事例では≪真の≫NRネットワークへの接続を可能にする。AESアルゴリズムおよびそのeAESへのアップグレードが関係する限り、同じ理論が5G装置に当てはまる(例えば、ソフトウェアアップデートはそれらの装置上でのeAESへの切替えを可能にする)。問題のプロトコルスタックは標準であるので、それらは本明細書では詳細に説明されない。
【0037】
ここで、SIMカードとレガシー通信装置との間の通信インタフェースの例を説明する。図2は、従来技術に従った、UICCベースSIMカードと非接触フロントエンド(CLF)との間の接続例を示す。UICC内で提供されるVcc(接点C1)およびGnd(接点C5)は電力供給を提供するために端末によって再使用される。UICCのSWIO(接点C6)はUICCとCLFとの間のデータ交換のために使用される。
【0038】
SIMカードは、少なくとも1つのハードウェアアクセラレータシステムを含み、それは、SIMカードがeAESアルゴリズムをサポートするするのを可能にする。少なくとも1つのハードウェアアクセラレータは、次:セキュアハッシュアルゴリズ2(SHA-2)+ハッシュベースメッセージ認証コード(HMAC)またはSHA-3(具体的には、そのCSHAKE鍵導出関数)の1つ以上に対するサポートを提供する。「グルー(glue)」タイプのコンピュータコードは、最適なハードウェアアクセラレーションの恩恵を受けながら、eAESを実行するように構成される。好ましくは、SHA-2+HMAC(ベースの鍵導出関数)が最高レベルの互換性を提供するために使用される。
【0039】
図4は、本発明に従ったSIMカードを使用して達成されたトランザクションの方法を例示する流れ図を含む。
【0040】
まず、ボックス[動作(例えば、モバイル支払い)を開始する]で、SIMカードを収容している通信装置において、例えば、意図されたユーザーによりユーザーインタフェースを通して(図4では両方とも示されていない)、動作が開始される。
【0041】
次のステップで、開始された動作が、ボックス[SIMがUSSDをキャプチャして送信者鍵で暗号化し次いでそれを事業者に送信する]でUSSDとしてSIMカードに伝えられ、そのボックスでは、それがユーザーの鍵(送信者鍵)を使用して暗号化されて、ユーザーが通信装置と接続されるネットワークを運営する事業者に送信される。USSDは非構造化付加サービスデータを表しており、携帯電話(通信装置)とネットワーク内のアプリケーションプログラムとの間でテキストを送信するために使用されるグローバルシステムフォーモバイル(GSM)通信技術である。USSDはショートメッセージサービス(SMS)に類似しているが、SMSとは異なり、USSDトランザクションはセッション中にだけ発生する。本例では、USSDはモバイル支払いを開始するために使用され、それは通信装置から開始されるので「モバイル」である。「事業者(Operator)」という用語は本明細書では、例えば、移動体通信事業者、銀行、清算機関のいずれか1つを指定するとして採用される。従って、それらの意味は事業者という用語と交換可能である。
【0042】
次のステップで、事業者によって受信された暗号化USSDは、ボックス[事業者がUSSDに対するメッセージを解読してユーザーIDおよび残高をチェックする]で事業者によって処理され、そのボックスで事業者はUSSDからメッセージを解読して、ユーザーID、およびそのユーザーIDに結び付けられたユーザーに属する口座の残高をチェックし、それによりモバイル支払いがその口座から行われ得るかどうかを判断する。
【0043】
次のステップで、ユーザーIDのチェックが肯定であるか、それとも否定であるかの事実に応じて、ボックス[識別が検証されたか?]で判断が行われる。否定の場合、開始された動作はボックス[拒絶]で拒絶されて、そこで方法は終了する。肯定の場合、方法はボックス[支払い要求か?]に進む。
【0044】
ボックス[支払い要求か?]から次のステップで、開始された事例を通して支払いが意図されるかどうかが決定/チェックされる。肯定の場合、方法は、ボックス[残高が利用可能か?]でのチェック/判断に進む。否定の場合、方法はボックス[残高を送信者鍵で暗号化して送信者に返す]に進む。
【0045】
次のステップで、ボックス[残高が利用可能か?]において、口座残高が所望の額の支払いに対してチェックされる。その額が残高によって明らかにされた額よりも大きい場合、方法はボックス[拒絶]に進み、そこで方法は終了する。額が残高に等しいか、または残高より小さい場合、方法はボックス[トランザクションのログおよび適用]に進む。
【0046】
ボックス[トランザクションのログおよび適用]の次のステップで、トランザクションのロギングの実際に要求された処理、およびトランザクション自体の達成が実行される。
【0047】
ボックス[トランザクションのログおよび適用]の次のステップで、方法は判断ボックス[eAES受信者か?]に進む。このボックスでは、トランザクションの受信者がeAES暗号化を使用した安全なメッセージングを通して連絡を取ることができるかどうかを判断する。肯定の場合、方法はボックス[USSDを受信者鍵で暗号化して、受信者に送信する]に進む。否定の場合、方法は、トランザクションに関する受信者への通知をトリガーする、ボックス[受信者はトランザクションを通知される]に進む。
【0048】
方法が、ボックス[USSDを受信者鍵で暗号化して、受信者に送信する]に向けられた場合、USSDは暗号化メッセージで準備され、方法はボックス[受信者はトランザクションを通知される]に進み、そのボックスで暗号化されたUSSDはトランザクションの受信者への通知内で使用される。
【0049】
ボックス[受信者はトランザクションを通知される]から離れた次のステップで、ボックス[暗号化が利用可能か?]における判断は、通知が暗号化され得るか、それとも暗号化されないかをチェックする。肯定の場合、暗号化されたUSSDは、ボックス[SIMはUSSDに対するメッセージを解読する]によって表されるように受信者のSIMで解読される。否定の場合、ボックス[USSDはプレーンテキストで受信される]によって示唆されるように、非暗号化USSDの形における通知がプレーンテキストで受信される。
【0050】
トランザクションは、適用されてログされた後、受信者のUEがeAESに対応していない場合、プレーンテキストで受信者に通知され得る。
【0051】
ここで、ボックス[残高を送信者鍵で暗号化して送信者に返す]に至る方法の分岐に戻ると、これは、開始ユーザーに彼女の利用可能な残高を通知することを意図したステップであり、それにより残高の値が事業者の側で暗号化されて送信者に返送される。
【0052】
ボックス[SIMはメッセージをキャプチャして解読する]の次のステップで、以前のステップからの暗号化されたメッセージは、送信者の通信装置のSIMカード内で受信され、そこでそれが解読されて方法は終了する。
【0053】
本発明はある好ましい実施形態に関連して開示されているが、説明された実施形態に対する多数の修正、改変、および変更、ならびにその均等物が、本発明の領域および範囲から逸脱することなく可能である。それに応じて、本発明は説明された実施形態に限定されず、添付のクレームの意味に従い最も広い合理的解釈を与えられることが意図される。具体的には、本発明は決してUICC SIMカードフォーマットに限定されず、古典的なSIMカードの事例、またはより新しい埋め込みSIMカードもしくはSIMカードをエミュレートするシステムオンチップさえの事例のいずれにも適用できる。
【0054】
最新の対称ブロック暗号ベースの暗号化アルゴリズムは、2つの主要部分から成る:鍵への攻撃に対する構造の抵抗力を決定し、ユーザーの鍵からラウンド鍵を構築するのに役立つ、鍵スケジュール、および一定数のラウンドに対して呼ばれるコア暗号化ループ、従って、≪ラウンド関数≫と短縮されることもある。AES標準では、鍵スケジュールは主にXOR(排他的OR)二項演算に依存しており、それ故、暗号学的に安全であると見なすことはできない。これは、128ビットより高い鍵サイズを使用する場合に、関連鍵攻撃に対して鍵を安全にするための回避策、耐量子性のための必需品、を見つけるために実装に負担をかける。今後は、エレガントで既存のサーバーソフトウェア、とりわけAES-NIおよびSHA-NI命令を備えたIntelプロセッサ、と互換性のある、その問題に対するソリューションが提供される。
【0055】
さて、意図するユーザー/送信者のSIMカード内に実装される暗号化機構まできたが、これはeAESを利用し、それは同様にラウンド関数および鍵スケジュールを使用する。
【0056】
ラウンド関数はAES仕様と同一であり、それによりAESに対する既存のCPU最適化とのハードウェア互換性を可能にする。メインループ内で処理されるラウンド数はNrの値によって決定されて、AES仕様とは異なる(それは代わりに、AESに対する基礎となる元のRijndael設計の推奨に基づく)。これは、より大きな安全性を達成するために、コアAESループは、AES標準におけるよりも多くの回数、実行されることを意味し、正確な回数はNrによって定義されている。
【0057】
セキュアな鍵拡張機能の概要が擬似コードとして図5に例示されている。オクテット鍵サイズksは、32ビット語での暗号ブロックサイズNb×ラウンドの回数Nr+1×各32ビット語でのオクテット数として計算される。バイトの一時的配列tmpは、入力暗号鍵および任意選択の配布コード(distribution code)dc配列を入力として使用してHKDF Expand(または代替としてcSHAKE)によって生成される。HKDFは、ハッシュベースメッセージ認証[1]コード(HMAC)に基づく単純な鍵導出関数(KDF)である。ここで辿る主なアプローチは、HKDF拡張であり、この場合KDFは論理的に鍵をいくつかの追加の擬似ランダム鍵(KDFの出力)に「拡張する」。それは、RFC 5869に正式に記述されている。cSHAKEは、FIPS 202に定義されたSHAKE関数のカスタマイズ可能な変形である。SHAKE(セキュアハッシュアルゴリズムおよびKECCAK)は、拡張可能出力関数(またはXOF)である。それはSHA-3のようであるが、可変サイズの出力をもつ。HKDFまたはcSHAKEのいずれかの使用は、XORに基づく元のAES鍵スケジュールとは対照的に、鍵スケジュールを暗号学的に安全にする。現在の知識に従って十分に大きい鍵、すなわち、少なくとも256ビットの鍵で動作する場合、ラウンド関数自体が耐量子と考えられるので、SHA-2 512などのより高いSHA-2およびSHA-3プロファイルは耐量子であると考えられ、それにより、構造全体を耐量子にする。オクテットサイズの整数のこの配列は次いで、32ビット語に変換されてラウンド副鍵配列wに追加される。
【0058】
【0059】
図6は、eAESにおけるデフォルトのHKDF(HMAC(SHA2))鍵スケジュールを説明し、ここでは、図5の擬似コードでさらに詳細に説明されているとおり、入力暗号鍵(ユーザーの鍵)に基づき、副鍵が鍵のHKDF拡張、暗号正式名文字列およびラウンド数を使用して計算される。図7に関して、これは、SHA2+HKDFを使用する実装例を説明しており、それはAESラウンド関数の正確な均等物であるので、ラウンド関数をここでさらに詳細に説明しても無駄である。さらなる詳細について、読者はISO/IEC 18033-3:2011、または対応するNIST公表文献に付託され、その両方はFRAND条件下で利用可能である。同じことはHKDFの詳細にも当てはまり、それはIETF標準として公開されており、従って、インターネット上で自由に利用可能である。最後に、SHA-2もNIST標準であるので、それはNISTウェブサイト上で利用可能である。
【0060】
本明細書で既に前述のとおり、任意のスマートカードは、それが、支払いを含め、SIMと同じタイプの機能を可能にする限り、しかし、GSMシステムに固有である、USSDメッセージに依存することなく、SIMカードの代わりに適合されるように含まれるべきであり、従って、SIMカードの使用をそのようなものとして伴う。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【国際調査報告】