Processing

Please wait...

Settings

Settings

Goto Application

1. WO2016009570 - TWO-PARTS-ARE-ONE PASSWORD

Document

明 細 書

発明の名称 二つで一つのパスワード

技術分野

0001   0002   0003   0004   0005   0006   0007   0008   0009   0010   0011  

先行技術文献

特許文献

0012  

非特許文献

0013  

発明の概要

発明が解決しようとする課題

0014   0015  

課題を解決するための手段

0016   0017   0018   0019  

図面の簡単な説明

0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080  

請求の範囲

1   2   3   4  

図面

1   2   3   4   5   6   7   8   9-1   9-2   10-1   10-2  

明 細 書

発明の名称 : 二つで一つのパスワード

技術分野

[0001]
パスワード周辺に起きる犯罪の温床を一掃する「二つで一つのパスワード」と、そのログイン方法に関する。従来のログイン方法から脱却するパスワードの実装手段に関する。
[背景]
[0002]
1.従来のパスワードの特徴
従来ITの常識は「パスワードは一つ」である。「二つで一つ」というパスワードは無い。「パスワードは一つ」だから、サービス提供者はこのパスワードの登録を求める。登録パスワードは単なるデータである。このデータを狙ってサービス側を攻撃する事件は規模が大きいし、今もどこかで起きている。
[0003]
従来のログイン機構は、表向き、ハッシュ関数を用いて二つのパスワードを運用しているように見える;図1の10と20は互いに「≠」である。
[数1]


しかし、ハッシュ方式も「パスワードは一つ」である;
[数2]


[数2]はトートロジーである。これでサービス提供者側はアクセス制限を試みる;図1の30の通りである。第2パスワードを設けても、それがトートロジーを改善することはない。
[0004]
サービス提供者側はトートロジーでアクセス制限を行うから、サイバー攻撃に別の武装手段が必要になる、それには相当な費用を掛ける。それはIT業界が他の産業に当然のごとく請求しIT業界の収入源であり、ユーザには見えないコストである。そのITを導入したサービス提供者は訴訟リスクを抱え込む。もしも、トートロジーに依存しない(stateless)、実装の容易なログイン方法が有るなら、IT業界のリストラを避けられない。
[0005]
2.責任分解点の欠如
表に出ない隠れた事件が有る。それは「パスワードは一つ」だからユーザとサービス側はパスワードを共有する;情報を共有すれば、サービス側が責任を負うハメになる;トートロジーだから二者の間に責任分解点が無い;訴訟を起された時、被告側は反証を示せない。これが法外な訴訟額を提示する誘惑の引き金である。サービス提供者は「賠償金」を払うしか事業継続の手が無い。
[0006]
ソニーエンタープライズは、2011年の事件以来、1千億近い訴訟費用をバラ撒いて来た。こういう現実が有るにも拘わらず、トートロジーでアクセス制限を行う以外のロジックが今のところ無い。
[0007]
3.本格化するMITB攻撃 [非特許文献参照]
不正送金の被害が最近増えている。オンラインバンキングのPCに侵入したマルウェアは、人が特定のページにアクセスした時だけ動作する;Webページの表示を改ざんし、IDやパスワードが入力されるや否や、即時、送金先口座を変更してしまう。これはMITB「Man−in−the−Browser」攻撃と名付けられた。支払いカード専門のウイルスをフィッシングと言う。どちらも技術面の対策は無いと言われている。[非特許文献参照]
[0008]
ウイルスがやることだから、ブラウザー利用者にもサービス側管理者にも見抜くことは難しい。ウイルスのターゲットになっている現在のログイン方法には以下の特徴が有る;
1)トートロジーでアクセス制限を行うこと、
2)そのパスワードにアクセス権限を与えていること、
3)トートロジーでアクセス制限を行わねばならないサービス提供者に対して、ユーザ側にはパスワードの利用制限を設けた;パスワードの入力インターフェースを所定の画面に設けねばならない。
この三つの要因でMITBもフィッシングもブラウザーの中で完結してしまう。この三つの要因が現在のログイン方法の特徴である。
[0009]
ウイルスはブラウザーに取り付きせすれば、ページの改ざん、盗聴、データの書き換え、送信作業を完結する。
[0010]
Google(登録商標)の2ステップ検査のイメージ図(図2参照)を見てみよう。通常のユーザ名とパスワードに加えてワンタイムパスワードを所定の画面に入力する。ワンタイムではあるが、やっていることはトートロジーでアクセス制限を行うものだから、やはり、「パスワードは一つ」である。
[0011]
ワンタイムパスワード、生体情報、X.509証明書、相互認証、これら従来の技術を総動員してもパスワードを使えば「パスワードは一つ」になる;トートロジーでアクセス制限を行うことに変わりない。

先行技術文献

特許文献

[0012]
PCT/JP2011/005830”人に依存しない鍵管理のシステム”
PCT/JP2013/68181”非対称パスワード、非対称な認証コード、非対称な検査コード”

非特許文献

[0013]
本格化するMITB攻撃;http://www.atmarkit.co.jp/ait/articles/1404/04/news110.html
[発明の開示]

発明の概要

発明が解決しようとする課題

[0014]
ウイルスがブラウザーに取り付きさえすれば[0009]、パスワードのアクセス権限を奪い、ページの改ざん、データの書き換え、送信作業を完結する。所定画面の取引データの入力インターフェースとパスワードの入力インターフェースを分離する必要がある;これがセキュリテイ要件である。
[0015]
前記課題に関連して、送金決済前に取引確認を実施する、そのようなMITB対策が既に有る;IBM(登録商標)の「ZTIC」とVASCO Data Security(登録商標)の「DIGIPASS(登録商標)」である。これら既存の手段には難点がある;従来のログイン機構の外付けとし機能し、ログイン機構の内側では機能しない。一般のユーザには無縁である。[非特許文献参照]。

課題を解決するための手段

[0016]
手段1
ブラウザーにウイルスが取り付いて、ブラウザーの所定の画面をウイルスが監視するのは容易であり、又、任意端末にウイルスが取り付いて、その端末の所定の画面をウイルスが監視するのは容易であり、それ故、パスワードの入力インターフェースを所定の画面から分離するログイン方法を確立するために、
 互いに圧倒的な確率で異なる二つの暗号(コード)群を用意し、すなわち、[数3]のコードCiとCjを創る認証サーバを備え、
[数3]


 ユーザとサービス提供者側は前記コードCiとCjをパスワードCiとCjとして用いる一方、前記認証サーバは任意のコードCiとCjが二つとも揃った時に限り、[数3]の暗号を解除しようと試みる機能を備え、
 このように任意のコードCiとCjが「二つとも揃う」という暗号解除の条件の下に、所定の画面に入力しなければならないというパスワードに対する従来の利用制限を取り除いたこと、及び、
 [数3]のコードCiとCjのどちらか一方をパスワードとして携帯端末または携帯メモリに記録し所持すること
を特徴とする「二つで一つのパスワード」システムである。
[0017]
手段2
請求1記載の携帯端末または携帯メモリのパスワードCiとCjのどちらか一方を認証サーバへ送る通信セッションは適用業務のセッションID(パケットが運ぶ乱数)を引き継ぐこと
を特徴とする「二つで一つのパスワード」システムである。
[0018]
手段3
手段1記載の認証サーバは鍵の知識分割を実装し、パスワードCiとCjを生成することを特徴とする;すなわち、
 鍵の知識分割の実装とは
 二つの一方向関数Y ()とY ()を備え、鍵データKについて下記[数4]の計算を行い、その値を前記[数3]のパスワードCiとCjの値にする一方、
[数4]


 前記パスワードCiとCjを携帯端末または移動メモリとサービスサーバ側のメモリに記録した直後に、前記鍵データKをシステムから消去して、前記鍵データKを入手不可能にすることである;なお、鍵の知識分割はPCIDSS(非特許文献)に由来する用語である。
[0019]
手段4
手段1の認証サーバは、
 手段3記載の二つの一方向関数Y ()とY ()のトラップドアを利用する手続きを備え、
前記[数3]のパスワードCiとCjの二つが揃った時に限り、前記トラップドアを使って[二つが一つに成る確率]を計算する確率計算手段[数7]を備え、
[数7]


 [二つで一つに成る確率]=1.0の時にはユーザ側とサービスサーバ側の両者に認証通知を返し、
 [二つで一つに成る確率]〈〈1.0の時には両者にエラー通知を返すこと
を特徴とする;なお、Y (Ci) −1とY −1(Cj)は一方向関数Y ()とY ()のトラップドアである。

図面の簡単な説明

[0020]
[図1] 図1は、表向き二つのパスワード、Cj=h(P)≠P、を説明する図である。
[図2] 図2は、Google(登録商標)の2段階認証(two steps verification)のイメージを示す。
[図3] 図3は、二つで一つのパスワードの実装形態を説明する図である。
[図4] 図4は、ログイン機構の内部で実現するMITB対策を説明する図である。
[図5] 図5は、人の職務分離を根拠にした「鍵の知識分割」のフレームワークである。
[図6] 図6は、運用中の「鍵の知識分割」のフレームワークである。
[図7] 図7は、初期化の実装形態である。
[図8] 図8は、[数5]の実装形態である。
[図9-1] 図9−1は、ICカード版_PC内部でセッションIDの引き継ぎを行う_である。
[図9-2] 図9−2は、ICカード版_二つで一つのパスワードでログインする_である。
[図10-1] 図10−1は、MFKの暗号トポロジーである。
[図10-2] 図10−2は、常識的な暗号トポロジーである。[発明を実施するための形態][手段1と手段2と実装例]
[0021]
[手段1記載のログイン方法]
ブラウザーにウイルスが取り付いて、ブラウザーの所定の画面をウイルスが監視するのは容易であり、又、任意端末にウイルスが取り付いて、その端末の所定の画面をウイルスが監視するのは容易であり、それゆえ、パスワードの入力インターフェースを適用業務の所定の画面から分離するログイン方法を確立することが急務である。図3に、パスワードがブラウザーの通信セッション又は任意端末の通信セッションを経由しないログイン方法を図解する。
[0022]
前記ログイン方法は、大きく分けて、三つのネットワークセグメントから成る;PCセグメント(1)42とサービス・サーバセグメント(2)41と認証セグメント(3)40である。
[0023]
図3の主要な構成要素は以下の通りである;記号Sはサービスサーバ32を、PCはパソコン31を、記号Mはスマートフォン35を、それぞれ代表する。パソコン31とサービスサーバ32を終端点にするアプリケーションの通信セッション33と、携帯端末35と認証サーバ36を終端点にするパスワードの通信セッション34と、[3]式の二つのコードCiとCjが有る。
[数3]


[3]の内のコードCiを携帯端末あるいは携帯メモリに所持し、コードCjの方をサービスサーバが持ち、両者がコードCiとCjをパスワードとして用いるシナリオを進める。
[0024]
図3のパスワードの通信セッションは、スマートフォン35が持つパスワードCiと認証サーバ36間の経路《1》と、サービスサーバ32が持つパスワードCjと前記認証サーバ36の間の経路《3》と、前記経路《1》と経路《3》のタイミングを揃える経路《2》と、少なくも経路《1》と《2》と《3》から構成される。
[0025]
[ログイン時におけるパスワードの入力画面が無い]
人がパソコン31にユーザIDを入力すると、従来通り、画面転換するが37、そこにパスワードの入力画面が無い。なお、ユーザIDはカード挿入に依る場合も有る。
[0026]
従来のパスワード入力画面に代わって、本願の実装は、適用業務の通信セッション33のセッションIDを表示する画面37に転換する;この表示形式はQRコード(登録商標)38である。
[0027]
[手段2記載のセッションID]
パスワードの入力画面に代わって、前記QRコード38が出現する。スマートフォン35が前記QRコード38を読み取る。1秒程度の作法である。セッションIDはパケットが運ぶ乱数である。
[0028]
[パスワードの通信セッション]
前記セッションIDを引き継いで、[3]式のコードCiとCjの入力をブラウザーの通信セッションと独立のパスワードの通信セッションで実現する。通信セッションとは同一のアドレス間伝送路または、同一のポート間の伝送路のことである。このQRコード38でセッションIDを受け取ったスマートフォン35は経路《1》で前記パスワードCiを認証サーバ36に送信する。
[0029]
前記パスワードCiの経路《1》はブラウザーの伝送経路ではない。手段1記載の「所定の画面に入力しなければならないというパスワードに対する従来の利用制限を取り除いた」伝送経路である。パスワードの通信セッションが創る伝送経路である。
[0030]
前記二つの通信セッションが独立であるから、「携帯端末または携帯メモリのパスワードCiを認証サーバへ送る通信セッションは適用業務のセッションIDを引き継ぐ」必要がある、これが手段2である。
[0031]
[手段1と手段2の達成するセキュリテイ]
その効果はパスワード周辺に起きる犯罪の温床を一掃する。以下の通りである。
[0032]
1.パスワード流出事件への耐性_サービス側のリスクを消す_
前記スマートフォン35はパスワードCiを持つ一方、前記サービスサーバ32はもう一つ方のパスワードCjを持つ。前記サービスサーバ32のパスワードCjがサイバー攻撃の的である。このCjが流出して、任意のスマートフォン35がこれを持ち、経路《1》を経由して認証サーバ36に入ったと仮定してみよう。そうすると、


認証サーバ36は(2)を検査する。これはトートロジー[数2]と同一である。[数2]のトートロジーには認証サーバ36はエラーを返す([数3]のコードCiとCjではないから)。
[0033]
前記エラーの返送は「二つのコードCiとCj」のロジック自体がエラーを返していることに注目する。スマートフォンを偽造しても認証サーバ36はエラーを返す。
[0034]
2.責任分解点の存在_訴訟リスクを消す_
認証サーバ36はトートロジー(2)に対してはエラーを返す。トートロジー(2)は元々責任分解点を持たない。
[0035]
他方、[数3]は責任分解点のロジックそのものである。二つのコードCiとCjそれぞれを二者がパスワードとして持つことによって、持った瞬間に、二者の責任が分解されてしまうのである。サービス側の訴訟リスクが消える。
[0036]
3.認証セグメント(3)にパスワードファイルが無い_サービス提供者のコスト低減_
サービスサーバ32はもう一つ方のパスワードCjが流出しても無害である。ということはパスワードファイルを持たないことに等しい。
[0037]
認証サーバは単にデータの流れを処理するだけの装置になる。したがって、サービス提供者側に掛かる実装や運用のコストは極めて軽くなる。
[0038]
4.取引確認をログイン方法の内部に含める_本格化するMITB攻撃への対策_
手段2の「パスワードCiの通信セッションが適用業務の通信セッションのパケットが運ぶセッションID(乱数)を引き継いだこと」の効果を図4に示す;これはMITB攻撃への対策である。すなわち、送金口座と金額データ41をサービスサーバ32が受け取ったら、それをスマートフォン35にフィードバックして、ユーザに取引の確認をさせるものである。
[0039]
今回の画面転換37は、送金口座と金額を入力する画面である。サービスサーバ32が送金口座と金額データ41を受け取ったら、セッションIDをPC(適用業務の)31に与え、同時に送金口座と金額データ41をバッファに保存する。
[0040]
スマートフォン35はセッションID38を引き継ぐ。この後、サービスサーバ32がバッファに保存している取引データを経路《3》と《4》経由でユーザに通知する。当然、認証42と43の事象として取引データをユーザに通知する。
[0041]
送金口座と金額データがスマホに表示される。ユーザがPC上の確認操作を行えば、承認通知44がサービスサーバ32に届く。
[0042]
このように、経路《1》と《2》と《3》と《4》と《5》を使って取引確認をログイン方法の内部に含める事が出来る。従来の対策[0016]は、例えばIBM(登録商標)の「ZTIC」やVASCO Data Security(登録商標)の「DIGIPASS(登録商標)」はログイン方法の外付けにする手段である一方、本願の「パスワードCiの通信セッション」はログイン方法の内部に含まれる。
[手段3と手段4の実装例]
[0043]
本願の認証サーバは、PCI DSSバージョン1.2.1が求めた「鍵の知識分割」に由来する。手段3と手段4はその「鍵の知識分割」の実装を矛盾なく可能にする手段である。
1.PCI DSSが求めた鍵の知識分割
初めに、「鍵の知識分割」について説明する。「鍵の知識分割」はPCI DSS([非特許文献参照])に由来する用語である。
[0044]
業界団体PCI SSC 注1は、運用中の鍵を二つの鍵に知識分割し、その二つが揃えば、鍵の働きが復活する、そういうリスク管理を求めた、2009年6月のPCIDSSバージョン1.2.1である。以下原文に明らかである;
・PCI DSS v1.2.1 Requirements 3.6.6”Split knowledge and establishment of dual control of cryptographic keys”
・Testing Procedures v1.2.1”Verify that key management procedures are implemented to require split knowledge and dual control of keys”
注1;PCI SSC;Payment Card Industry Security Standards Council
[0045]
IT業界はこの要件に困惑した、すなわち、運用中の鍵を複数に分けるなどということは出来ない相談である、という現実があったからである。
[0046]
この現実を見てPCI SSC 注1は、要件に記載されている通りでなくても、リスク分析を行い対策が施されている、と判断した場合には「代替コントロール”Compensating Controls”」としてPCI DSS対応済みにする、という配慮をした。が、結局、現在ではバージョン1.2.1の要件3.6.6の実装を断念して、バージョン2.0に改定した。(October 2010)
[0047]
前記改定バージョン2.0の要件3.6.6は「運用中の鍵の知識分割」ではなく、人の職務分離に基づき人の手で行う「鍵の知識分割」である。以下、原文に明らかである;”If manual clear−text cryptographic key management operations are used,these operations must be managed using split knowledge and dual control”
[0048]
この実体は運用中の「鍵の知識分割」ではなく、人の職務分離を基にした「鍵の合成」である。図5に示す。
[0049]
例えば、二人の管理者が所持している鍵素材を合成し、オフラインからオンラインに設定する;図5に「文書化された管理プロセスおよび手順」51として要件3.6を表現した。人の手で合成するということを太い点線52と53で表現している。
[0050]
上述のように、2014年現在、運用中の「鍵の知識分割」は未だ実施不可能の扱いを受けている。
[0051]
2.鍵の知識分割の実装の手段
鍵の知識分割の実装を想像することは難解である。が、図5の「鍵の合成」フレームワークを基に、そこに情報科学の知恵を加えれば、その実装の形態が姿を現して来る。
[0052]
まず、図5の51「文書化された管理プロセスおよび手順」を図6の61「二つの一方向関数Y ()とY ()」に置き替える。次に、図5の「人の手」52と53の矢印を逆向きにして図6の「オンライン」62と63に置き替える。この図6が「運用中の鍵の知識分割」フレームワークになる。二つの一方向関数Y ()とY ()の導入が図5の幾何学に補助線を引いたような効果をもたらす。
[0053]
図6において、鍵K64はアプリケーションが参照するオンライン上に在る。鍵K64を二つの関数Y ()とY ()に入力し;
[数4]


[数4]を計算する;鍵K64はコードCiとコードCjに姿を変え、メモリ65と66に記録され、各々を管理者AとBが所持する。
[0054]
鍵K64はコードCiとコードCjに姿を変えた。その二つがパスワードであると言えるためには鍵K64をシステムから消去する必要がある。
[0055]
そうすれば、二つの一方向関数の出力について、管理者AとBは互いに相手のコードを知り得ない。それで、手段1記載の[数3]が圧倒的な確率で成立するのである;
[数3]


互いに相手のコードを「知り得ない」というのは定義ではなく、圧倒的な確率の性質である。圧倒的な確率を担保するために、コードCiとCjのビット長さを128ビット以上にする。
[0056]
鍵K64をオンラインから消去するタイミングは、前記コードCiとCjをメモリ65と66に記録した時である;前記コードCiとCjだけがシステムに残る。
[0057]
鍵の知識分割においてはオンラインから消去する機能をMake−past()という記号で表わす;
[数5]


この等式は「消去された鍵Kが過去の世界に存在する」ことを表現する;端的に言えば、消去されたが「過去の世界には存在する」。
[0058]
以上の[数3]と[数4]と[数5]が運用中の鍵の知識分割に関する数理科学上の定義である。
[0059]
3.鍵の知識分割の実装の形態
[数3]と[数4]と[数5]の実装の形態が、実は、図3のパスワードの通信セッション34である。すなわち、手段1記載の認証サーバは、手段3に記載した通り、運用中の「鍵の知識分割」を備える。その実装の形態が図3の経路《1》と《2》と《3》と《3》と《4》に依って表現されるものである。
[0060]
図7と図8に実装の形を示す;図7は手段4記載の鍵データKの知識分割を表現する、図8の方は手段4記載の確率計算手段を表現する。
[0061]
確率計算手段には一方向関数のトラップドアが用いられる。その一方向関数とトラップドアを実現する手段そのものについては請求をしていない。何故なら、どのような手段にしろ、図3のアプリケーションの通信セッション33と独立なパスワードの通信セッション34に実装する手段であるから、請求の必要が無い。パスワードの通信セッション34はログイン方法(手段1)とセッションID(手段2)の実装の結果である。なお、実現方法を[書類2]に記載した。
[0062]
[鍵データKの知識分割=初期化]
図7のユーザの記憶パスワード”password”を経路《1》経由で認証サーバへ送付し、サービスサーバは経路《3》経由で比較的に長い乱数”random”を認証サーバへ送付する。
[数6]


前記認証サーバは[6]式を計算する。このKが鍵データである。この鍵データKを知識分割36に与え[数4]、そのコードCiとCjを経路《4》と経路《5》経由で、図3の35と39のメモリに保存する。左記を初期化という。初期化の直後に、前記鍵データKは消去される。それは[0055]に記載したように、
[数5]


この等式は鍵データKを「過去の世界に隠した」、だから「過去の世界に存在する」という意味である。記憶パスワード”password”と鍵データKを保存する備えはシステムの何処にも無い。しかし、鍵データに関する限り「過去の世界に存在する」。なお、この図にはセッションIDの機能を省略している。
[0063]
以上の開示は、記憶パスワード”password”とその鍵データKが姿を変え、パスワードCiとCjに成ったということの内容である。
[0064]
[過去の世界に存在する鍵データKの利用]
鍵データKは「過去の世界に存在する」。その利用の手続きが手段4である;「パスワードCiとCjから鍵データKを再現するトラップドアの利用手続きを備える」;その手続きを図8に示す。トラップドアとは一方向関数Y (K)とY (K)の「逆関数値を求める隠されたドア」の意である。
[0065]
手段1の認証サーバは、手段3記載の二つの一方向関数Y ()とY ()のトラップドアを利用する手続きを備える。この手続きの形態を以下に示す。
[0066]
スマホ35のパスワードCiを経路《1》経由で認証サーバ36へ送り、同じく、サービスサーバ32のDB39のパスワードCjを経路《3》経由で認証サーバ36へ送る。二つが揃った時、その時に限り、それぞれのトラップドア82(下向き矢印)の利用を許可し「二つが一つに成る確率」を計算する。
[0067]
一方向関数Y (K)とY (K)の逆関数をY (Ci) −1とY −1(Cj)と表記する;一方向関数には存在してはならない関数であるのでトラップドアと言う。[数7]にトラップドア82(下向き矢印)の利用から「二つが一つになる確率計算」手段83を示す;
[数7]


[0068]
二つのパスワードCiとCjが揃った時に、認証サーバはトラップドアの利用を許可し、Y (Ci) −1とY −1(Cj)を計算する。トラップドアの利用は無条件には出来ない。二つが一つに成るとは次の計算式[7]の[=K]83の部分である:


逆関数Y (Ci) −1とY −1(Cj)が鍵データKになる確率=1.0の時には、ユーザ側とサービスサーバ側の両者に認証通知を返し、確率〈〈1.0の時には両者にエラー通知を返す。
[0069]
従来のトートロジーでは、二つが元々一つである;[数2]より、


流出したパスワードをクラックして(2)式へ投げ込むと、アクセス制限(2)を騙すことが出来る。本願の場合の(2)式は、[0032]から引用すると、下記の通りである;


これの[数7]の[7]式を計算すると、[二つが一つに成る確率]〈〈1.0の扱いに入る。エラー通知が返送される。
[0070]
[7]式の[=K]83の部分について、パスワードCiとCjのビット長を128ビットとした場合、パスワードCiとCjの組み合わせ数は、[2 128*2 128]個になる。その内、
〈1〉[2 128*2 128−1]個がエラーになる;[2 128*2 128−1]個のパスワードCiとCjの組みは、逆関数Y (Ci) −1とY −1(Cj)を利用できなかった;つまり、一方向関数の性質は担保されていた、ということである。
〈2〉トラップドアの利用に成功したのはたった一組のコードCiとCjである。そのコードCiとCjを所持する者達が認証の対象である。
[0071]
この後、認証サーバ36は認証通知81を受け取ったら、サービスサーバ32の方はACK84をPC31に送付する。
[0072]
なお、一方向関数とそのトラップドアそのものの数理については請求していない。その参照については、後述する[先行技術との対比]に回した。
[発明の効果]
1.「責任分解点の存在」…二つで一つのパスワードを持つだけで、ユーザとサービス事業者の間に責任分解点を与える。
2.「訴訟リスクゼロ%」…責任分解点の存在証明に依り、訴訟を起す側が不利になる。
3.「ウイルス対策」…パスワードの入力インターフェースが業務端末には無い;それで、ウイルスの活動は制限される。
4.「維持管理コスト不要」…パスワードの維持管理コストが不要である。
5.「パスワードのバックアップ不要」…初期化の連鎖を創り、認証サーバへのパスワード入力をワンタイムにすることが可能である。パスワードのバックアップは不要である。
6.「システムダウン時の切り替え時間」…認証サーバは単にデータの流れを処理している装置である、つまり、DBが無い分、システムダウン時の切り替え時間は問題に成らない。
7.「通信インフラのバックドア」…”HUAWEI”などの「バックドア」でも、パスワードCiとCjの二重コントロールを破ることは出来ない。
8.「情報は漏えいしない」…データセンターやクラウドの管理者のIDやパスワードが何らかの事件で漏洩したり、悪用されることが有る。例えば、下請けSEにもパスワードを持たせる;そうしないと業務が止まるという場合、パスワードCiとCjの一方を本社スタッフが持ち、他方を下請けに持たせるスキーム(ミドルウエア)にすれば、2人の管理者またはユーザのパスワードが「同時に」事件に絡むことは困難になる。犯罪の抑止力である。
9.「パスワードの革新事業」…現状のログイン方法を革新する。
[先行技術との対比]
IT業界は、[0043]の記事に見えるように、PCI DSSが求めた運用中の「鍵の知識分割」を敬遠したままである。鍵の知識分割の実装を想像することは難解である。しかし、[0052]の開示に依れば、図5をヒントにして、その実装の形態が姿を現して来る。
[0073]
[暗号学的な分割と利用は互いに矛盾する]
すなわち、鍵の知識分割は、二つの一方向関数Y ()とY ()で実装されることが判ったが、その狙いは、鍵データKを二つの一方向関数で暗号学的に分割してから利用することに在る。PCIDSSの用語を用いれば、「鍵の二重コントロール下の利用」が目的である。
[0074]
一方向関数の性質から、その分割と利用は互いに矛盾する。つまり、一方向関数Y ()の逆関数値Y −1(Ci)が一意に決まるなどのことは有っては成らないことである。鍵の知識分割と二重コントロール下の利用は互いに矛盾する。この矛盾こそ「IT業界を困惑させる」に十分であった。これが代替えコントロールの出番になった原因である。
[0075]
その分割と利用の矛盾を救った数理が有る。それが[数7]の「二つが一つになる確率計算」[7]である。それに依れば、[0069]〈1〉パスワードCiとCjの組み合わせの数、[2 128*2 128−1]個は逆関数Y (Ci) −1とY −1(Cj)を利用できなかった;つまり、一方向関数の性質を担保したのである。鍵の知識分割と二重コントロール下の利用の矛盾の解消がここに実現を見たのである。
[0076]
上述の確率計算手段[7]を請求4に含めているが、一方向関数とトラップドア(逆関数)そのものの暗号学的な手段については請求していない。確率計算手段[7]は「IT業界の困惑」を救済するに十分な力を持っているからである。一方向関数とトラップドア(逆関数)の矛盾を解消した確率計算手段[7]がPCIDSSに貢献する新規性である。
[0077]
[先願PCT/JP2013/68181との対比]
本願は先願”非対称パスワード、非対称な認証コード、非対称な検査コード”の請求1を含む。
[表1]




上表は両者の請求1の動機を比較したものである;対応部分が3か所在る。先願はネットワークが主題であり、本願は「二つで一つのパスワード」が主題である;主題が異なる。適用分野も異なる;本願は産業全般であり、先願はDBラッパーである。先願の他の請求については[0073]と同じ文脈で本願は関心が無い。
[0078]
先願の請求1の実装事例が図9−1と図9−2である。終端メモリとしてICカードが導入されている。携帯端末の場合とは異なり、PC内部でセッションIDの引き継ぎを行う。その他の実施形態は図7と図8と同じである。
[0079]
[先願PCT/JP2011/005830との対比]
先願”人に依存しない鍵管理のシステム”(以降MFKと参照する)は「受信者側にも復号鍵の備えが無い」異様なネットワークである;従来の暗号通信は、復号鍵を伴うことが常識である;復号鍵の備えが無いことは、受信者に意味が伝わらない、全く役に立たない代物である。参照されたONIONにしろ、必ず受信者側に復号鍵や復号手段が存在する。復号鍵が無ければ、誰もTor(トーア、The Onion Router)に金を払う者は居ない。しかし、Torは実用化されている。その常識とMFKとの対比を図10−1と図10−2に図解した。
[0080]
受信者側に復号鍵が存在しないことは、受信者から見れば、届いた暗号は一方向関数の出力に等しい。先願のネットワークは仮想化技術で容易に一台のサーバに実装される。そういう点で本願の実装に役立ったが、他の手段でも本願の実装は可能かも知れない;もし、前記「分割と利用の矛盾」を克服できるなら。それ故、一方向関数とトラップドア(逆関数)の暗号学的な手段については請求をしない。
[適用分野]
全産業

請求の範囲

[請求項1]
パスワードの入力インターフェースをブラウザーの所定画面または任意の端末の所定画面から分離するログイン方法を確立するために、
 互いに圧倒的な確率で異なる二つの暗号(コード)群を用意し、すなわち、[数3]のコードCiとCjを創る認証サーバを備え、
[数3]


 任意のコードCiとCjがブラウザーまたは任意端末の通信路とは独立な通信路を使って前記認証サーバに二つとも「同時に」揃った時に限り、[数3]の暗号を解除しようと試みる機能を備え、
 所定の画面に入力しなければならないという従来のパスワードに対する利用制限を「任意のコードCiとCjが二つとも揃う」という暗号解除の条件(二重コントロール)の下に取り除いたこと、
及び、
 [数3]のパスワードCiとCjのどちらか一方をパスワードとして携帯端末または携帯メモリに記録し所持すること
を特徴とする「二つで一つのパスワード」システムである。
[請求項2]
請求1記載の携帯端末または携帯メモリのパスワードCiとCjのどちらか一方を認証サーバへ送る通信セッションは適用業務のセッションID(パケットが運ぶ乱数)を引き継ぐこと
を特徴とする「二つで一つのパスワード」システムである。
[請求項3]
請求1記載の認証サーバは鍵の知識分割を実装し、パスワードCiとCjを生成することを特徴とする;すなわち、
 鍵の知識分割の実装とは
 二つの一方向関数Y ()とY ()を備え、鍵データKについて下記[数4]の計算を行い、その値を前記[数3]のパスワードCiとCjの値にする一方、
[数4]


 前記パスワードCiとCjを携帯端末または移動メモリとサービスサーバ側のメモリに記録した直後に、前記鍵データKをシステムから消去して、前記鍵データKを入手不可能にすることである。
[請求項4]
請求1の認証サーバは、
 請求3記載の二つの一方向関数Y ()とY ()のトラップドアを利用する手続きを備え、
前記[数3]のパスワードCiとCjの二つが揃った時に限り、前記トラップドアを使って[二つが一つに成る確率]を計算する確率計算手段[数7]を備え、
[数7]


 [二つで一つに成る確率]=1.0の時にはユーザ側とサービスサーバ側の両者に認証通知を返し、
 [二つで一つに成る確率]〈〈1.0の時には両者にエラー通知を返すこと
を特徴とする;なお、Y (Ci) −1とY −1(Cj)は一方向関数Y ()とY ()のトラップドアである。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9-1]

[ 図 9-2]

[ 図 10-1]

[ 図 10-2]