• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない(前置又は当審拒絶理由) H04L
審判 査定不服 特36条4項詳細な説明の記載不備 特許、登録しない(前置又は当審拒絶理由) H04L
審判 査定不服 特36条6項1、2号及び3号 請求の範囲の記載不備 特許、登録しない(前置又は当審拒絶理由) H04L
管理番号 1277371
審判番号 不服2011-81  
総通号数 165 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2013-09-27 
種別 拒絶査定不服の審決 
審判請求日 2011-01-04 
確定日 2013-07-31 
事件の表示 特願2003-582947「暗号化されたアクセスを使う電子的エンティティのセキュリティ化方法」拒絶査定不服審判事件〔平成15年10月16日国際公開、WO03/85881、平成17年 7月28日国内公表、特表2005-522912〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 第1 手続の経緯

1 手続の経緯の概要

(1)本件に係る出願(以下、「本願」と記す。)は
2002年4月8日のフランス共和国での出願を基礎とするパリ条約による優先権主張をともなって、
2003年4月2日に国際出願された出願であって、
平成16年10月7日付けで特許法第184条の5第1項の規定による書面が提出されると共に、
平成16年11月10日付けで特許法第184条の4第1項の規定による翻訳文が提出され、
平成18年1月31日付けで審査請求がなされ、
平成21年6月11日付けで拒絶理由通知(平成21年6月23日発送)がなされ、
平成21年12月24日付けで意見書が提出され、
平成22年8月23日付けで拒絶査定(平成22年8月31日発送、謄本送達)がなされたものである。

(2)本件審判請求は、上記拒絶査定を不服として、「原査定を取り消す、この出願の発明はこれを特許すべきものとする、との審決を求める。」との請求の趣旨で、
平成23年1月4日付けでなされたものであり、同日付けで手続補正書が提出され、
平成23年5月9日付けで特許法第164条第3項に定める報告(前置報告)がなされ、
平成23年7月25日付けで当該報告に対する意見を求める旨の審尋(平成23年7月26日発送)がなされ、これに対して
平成24年1月26日付けで回答書が提出され、
平成24年7月3日付けで拒絶理由通知(平成24年7月10日発送)がなされ、
平成24年10月10日付けで意見書が提出され、
平成24年11月7日付けで、拒絶理由通知(平成24年11月13日発送)がなされ、
平成24年12月27日付けで意見書が提出され、
平成25年1月17日に、代理人に意見書・補正書の再考を促す電話連絡をし、上記平成24年11月7日付けの拒絶理由通知の指定期間の満了まで待つ旨を約した(平成25年2月18日応対記録入力)ものの、当該指定期間内には何らの応答も無かったものである。


2 手続補正書・拒絶理由・意見書の内容

(1)平成23年1月4日付け手続補正
上記平成23年1月4日付けの手続補正書は特許請求の範囲を以下のとおりに補正するものである。
「 【請求項1】
暗号化アルゴリズムの実行手段を有する暗号化アクセスを有する電子エンティティのセキュリティ化方法であって、
前記アルゴリズムは、演算群の系列を入力文に応用するステップ(「ラウンド」と言う)からなり、該ラウンドは、一連のサブキー(K0、...Kn)を使い、各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成されるものであって、
前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し、少なくとも、前記巡回プロセスのステップの一部の再実行を行い、記憶されたものに対応するサブキーを再計算し、前記対応する再計算サブキー値と前記記憶したサブキー値とを比較し、前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止することを特徴とする暗号化アクセスを有する電子エンティティのセキュリティ方法。

【請求項2】
最終サブキー(Kn)値を記憶し、前記サブキーの系列を生成するステップの最終部分の再実行を行い、少なくとも、前記最終サブキーの第2回目の計算を行うことを特徴とする請求項1記載の方法。

【請求項3】
前記サブキーの系列の全生成ステップを再実行することを特徴とする請求項2記載の方法。

【請求項4】
AESアルゴリズムに応用することを特徴とする請求項1乃至3記載の方法。

【請求項5】
DESアルゴリズムに応用することを特徴とする請求項1乃至4記載の方法。

【請求項6】
請求項1乃至5に基づく方法を実行する手段を有することを特徴とする自律型電子エンティティ。

【請求項7】
ICカードの形態で構成されることを特徴とする請求項6記載の電子エンティティ。」


(2)平成24年11月7日付け拒絶理由通知
上記平成24年11月7日付けの拒絶理由通知書で通知した理由(以下、「当審拒絶理由」と記す。)は以下のとおりのものである。

『A.この出願は、特許請求の範囲及び発明の詳細な説明の記載が下記の点で、特許法第36条第4項第1号、第6項第2号に規定する要件を満たしていない。

1.請求項1について
1.(1) 請求項1の「前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し」において、当該「中間ステップのサブキー」は、FIG.2,FIG.3に図示された如く、一連のサブキー(K0、...Kn)のことであり、一方、当該「(Kn)」は文字通り(Kn)のことであるから、前記「前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し」は、明確でない。(「Kn」は「Ki|i=1?n」等と記すべきものなのでは?)(36条第6項第2号)
1.(2) 一般的なDFA(故障差分分析)として、例えば、下記の引用文献等一覧の引用文献1(特開平10-154976号公報【0070】?【0072】段落、図10)に示されているような、平文まで含む「鍵をパラメータとするラウンド関数を繰り返し適用」「鍵をパラメータとするラウンド関数の再計算」(図10参照)が挙げられる。
一方、本願請求項1の発明の「再計算」は、要するに、局所的に「サブキー」を再計算するものである。前記一般的なDFAにおける再計算と本願請求項1の発明の再計算とは、再計算の対象が「鍵(サブキー)をパラメータとして含む」再計算であるか「サブキー」の再計算であるかに尽きるが、「鍵をパラメータとして含む再計算」は、「鍵(サブキー)の再計算」を含む再計算であって、作用効果においても、「鍵をパラメータとして含む再計算」は、「鍵(サブキー)の再計算」によるエラー検知をも含めて検出できると解される。
前記一般的なDFA(故障差分分析)に対して、本願請求項1?7の発明は、如何なる課題を解決したものであるのかの説明は明細書又は図面にはない。したがって、明細書の発明の詳細な説明の記載は、発明が解決しようとする課題及び課題を解決するための手段その他のその発明の属する技術分野における通常の知識を有する者が発明の技術上の意義を理解するために必要な事項が記載されているとは認められない。(36条第4項第1号(委任省令要件))
(なお、請求人は、平成24年10月10日付けの意見書において、「一般的なDFA(故障差分分析)に対して、本願請求項1?7の発明が如何なる課題を解決したものであるか説明はない」との「指摘」(課題)は、「本願発明の進歩性と関連するものです。後述のように、請求項1?7に係る発明は進歩性を有しているものですので、本拒絶理由は解消したものと思料」する旨主張しているが、本願請求項1?7の発明が如何なる課題を解決したかは、進歩性の判断における動機付けの有無等で決まるものではないので、前記主張は失当である。)
1.(3) 請求項2記載の「最終サブキー(Kn)値を記憶」することと、請求項1記載の「中間ステップのサブキー(Kn)を記憶」することとの関係(請求項2に係る発明は、請求項1記載の「中間ステップのサブキー(Kn)を記憶」することは別に「最終サブキー(Kn)値を記憶」するのか?請求項1記載の「中間ステップのサブキー(Kn)を記憶」することを「最終サブキー(Kn)値を記憶」すると言う下位概念に限定したものなのか?請求項1記載の「中間ステップのサブキー(Kn)を記憶」することに代えて「最終サブキー(Kn)値を記憶」するのか?)が明確でない。
したがって、請求項2?7に係る発明は明確でない。

B.この出願の下記の請求項に係る発明は、その出願前に日本国内又は外国において頒布された下記の刊行物に記載された発明又は電気通信回線を通じて公衆に利用可能となった発明に基いて、その出願前にその発明の属する技術の分野における通常の知識を有する者が容易に発明をすることができたものであるから、特許法第29条第2項の規定により特許を受けることができない。
記(引用文献等については引用文献等一覧参照)
(1)引用文献
a.引用文献1
引用文献1には図面とともに次の記載がある。
引用文献1(【0003】【0006】【0007】【0029】【0053】?【0054】【0070】?【0085】段落、図6、図7、図10、図12参照)には、外部から物理的衝撃を加えて内部回路を誤動作させ、その出力を観察して装置内部の秘密情報を推測する攻撃法に対して防御可能とすることを目的とし、「タンパーフリー装置」「ICカード」「DESやFEALのようなラウンド関数を用いる暗号アルゴリズム」が記載されるとともに、「データ処理」するステップ、「データ処理に対応する誤動作検出処理(同一処理を行い、2つの結果が一致するかどうか比較する)」ステップ、「誤動作が検出されたか」否かに応じて「処理結果の出力を禁止する」ステップ(図6のS22?S26参照)が記載されている。ラウンドに係る詳細(ラウンド数4の場合)について、図10、図12に関連して、鍵をパラメータとするラウンド関数を繰り返し適用し、平文データを暗号化して暗号化データを生成し、再度鍵をパラメータとするラウンド関数を繰り返し適用し、両方の暗号化データを比較して、比較部から誤動作検出の通知を受けた場合、次段以降の処理を停止させ、最終段の比較部から誤動作検出の通知を受けた場合、出力制御部を制御して最終的な処理結果が外部に出力されないようにする旨記載されている。前記「鍵」に関し、ラウンドごと生成されたサブキーが用いられることは慣用技術であり(必要なら、引用文献4の第34頁図3.1参照。)、引用文献1の「DES」に付随する記載されているに等しい事項である。また、図6と【0053】?【0054】の、特に「次に」から、ステップ22の暗号化とステップ23の誤動作検出処理(同一処理)との間に時間差があることがよみとれる。

b.引用文献2
引用文献2には図面とともに次の記載がある。
あ.「4.Protection for the Key Scheduling Part in DES
In this section,we consider how to resist DFA to attack the key scheduling circuit of DES.Since the operations performed on the resisters in the key scheduling circuit are merely circular- left-shift(Ci and Di as described in Fig.1),their Hamming weight is constant in each round.The TSC checker for the Berger code can be used here to detect the errors induced in these two shift resisters 」(II-698頁右欄35行?42行)
訳;「4.DESにおけるキースケジューリング部のための保護
このセクションでは、我々は、DESのキースケジューリング回路を攻撃するDFAに対抗する方法を考える。キースケジュール回路におけるレジスタ上で成される操作はほとんどが循環左シフト(図1ではCiとDiで記述されている。)なので、これらのハミング重みは各ラウンドにおいて一定である。バーガコードのためのTSCチェッカはここではこれら二つのシフトレジスタに生じさせるエラーを検出するのに用いることができる。」
い.「As shown in Fig.3,we assume that the 56-bit secret key is stored・・・It receives the total 56 bits from both C and D,and produces a 48-bit output as a subkey ski,for the ith round.」(II-699頁左欄10行?17行)
訳;「図3に示された様に、我々は56ビット秘密キーが貯えられていると仮定する・・・CとDの両方から全部で56ビットを受け取り、そして、第i番目のラウンドのためのサブキーSKiとして48ビットの出力が生成される。」
あ.?い.の記載とFig.1とFig.3を参照すると、DFAに対抗するために、サブキーの生成系列に生じたエラーをチェック(検知)する技術をよみとることができる。

c.引用文献3
引用文献3には「4 ブロック暗号に対する現実的な攻撃モデル」の項に、「拡大鍵の1ビットにビットエラーを起こす」ことが記載されている。(4頁17行?18行)

(2)請求項1に係る発明について
請求項1に係る発明は、平成23年1月4日付け補正書により補正された請求項1に記載されたとおりの次の事項により特定されるものである。
「暗号化アルゴリズムの実行手段を有する暗号化アクセスを有する電子エンティティのセキュリティ化方法であって、
前記アルゴリズムは、演算群の系列を入力文に応用するステップ(「ラウンド」と言う)からなり、該ラウンドは、一連のサブキー(K0、...Kn)を使い、各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成されるものであって、
前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し、少なくとも、前記巡回プロセスのステップの一部の再実行を行い、記憶されたものに対応するサブキーを再計算し、前記対応する再計算サブキー値と前記記憶したサブキー値とを比較し、前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止することを特徴とする暗号化アクセスを有する電子エンティティのセキュリティ方法。」

[対比]
請求項1に係る発明(以下、「本願発明」という。)と引用文献1のものとの対比
ア.引用文献1の「ICカード」は本願発明の「電子エンティティ」に相当し、引用文献1の「外部から物理的衝撃を加えて内部回路を誤動作させその出力を観察して装置内部の秘密情報を推測する攻撃法に対して防御」、図6から「セキュリティ化方法」に相当する事項をよみとることができる。
イ.引用文献1の「DES」と図10、12から「アルゴリズムは、演算群の系列を入力文に応用するステップ(「ラウンド」と言う)からなり、該ラウンドは、一連のサブキー(K0、...Kn)を使い、」に相当する事項をよみとることができる。また、「DES」のサブキー生成が「各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成されるもの」であることは記載されているに等しい事項である(必要なら引用文献4第34頁図3.1参照)。
ウ.図10の「鍵保管部5」から、鍵を適宜「記憶」することができると解される。図6の「同一処理」(再実行)、「比較」をふまえれば、図6のステップ22のデータ処理の結果は「記憶」されていて再実行の結果と比較されると解することができ、当該同一処理に先行する「データ処理」の結果には鍵が含まれて「記憶」されていることと技術的に等価であるとみることができる。よって、「巡回プロセスの中間ステップのサブキー(Kn)を記憶」に相当する事項をよみとることができる。
エ.イ.で言及した事項と、引用文献1の「データ処理」ステップ、「データ処理に対応する誤動作検出処理(同一処理を行い、2つの結果が一致するかどうか比較する)」ステップから、本願発明の「少なくとも、前記巡回プロセスのステップの一部の再実行(同一処理)を行い、記憶されたものに対応するサブキーを再計算し」および「値」と「値とを比較し」に相当する事項をよみとることができる。
オ.引用文献1の「2つの結果が一致するかどうか比較する」「誤動作が検出されたか」否かに応じて「処理結果の出力を禁止する」から、「前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止する」に相当する事項をよみとることができる。

以上の点をふまえると、本願発明と引用文献1のものとは、次の点で一致し、そして、相違する。

〈一致点〉
暗号化アルゴリズムの実行手段を有する暗号化アクセスを有する電子エンティティのセキュリティ化方法であって、
前記アルゴリズムは、演算群の系列を入力文に応用するステップ(「ラウンド」と言う)からなり、該ラウンドは、一連のサブキー(K0、...Kn)を使い、各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成されるものであって、
前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し、少なくとも、前記巡回プロセスのステップの一部の再実行(同一処理)を行い、記憶されたものに対応するサブキーを再計算し、前記対応する再計算値と前記記憶した値とを比較し、前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止することを特徴とする暗号化アクセスを有する電子エンティティのセキュリティ方法。

〈相違点〉
対応する再計算値と前記記憶した値とを比較が、本願発明は、対応する再計算「サブキー」値と前記記憶した「サブキー」値とを比較しているのに対し、引用文献1の発明では、そのような「サブキー」値と「サブキー」値の比較をするものではない点。
[当審判断]
前記相違点について検討する。
引用文献2には、DFAに対抗するために、局所的に、サブキーの生成系列に生じたエラーをチェック(検知)する技術が示されている。引用文献3には、局所的に、拡大鍵(サブキーに相当する。)にビットエラーを起こす攻撃が記載されている。
引用文献1のものは、DFA攻撃に対する防御のために、局所的に限らず、攻撃者が生じさせたエラーを検出する技術思想のものである。してみれば、拡大鍵ないしサブキーの生成系列に対してビットエラーを起こす攻撃に対処すべく、当該拡大鍵ないしサブキーの生成系列に対して起こすエラーを検知することは自然な着想であり、引用文献1の対応する再計算値と記憶した値との比較に関し、対応する再計算「サブキー」値と記憶した「サブキー」値とを比較すると成すことは、前記技術を参酌することにより当業者が容易になし得ることである。
そして、前記構成の採用による作用効果も、当然予想される範囲内のものであって格別顕著なものとは認められない。

(3)請求項2?7について
請求項2、3の「最終部分の再実行」、「全生成ステップを再実行」の事項は、引用文献1の「同一処理」からよみとることができ、請求項4、5の「AES」、「DES」も本件出願時には周知であり、請求項6、7の「自律型電子エンティティー」「ICカードの形態」も処理装置を備えることが自明の引用文献1の「ICカード」からよみとることができ、これらの点をふまえれば、上記請求項1の発明と同様に請求項2?7に係る発明は引用文献1?3に記載された発明に基いて当業者が容易になし得ることである。
よって、本願請求項1?7に係る発明は、引用文献1?3に記載された発明に基いて、当業者が容易に発明することができたものである。

[引用文献等一覧]
1.特開平10-154976号公報 (拒絶査定の引用文献1)
2.Lih-Yang Wang 他3名著「On the Hardware Design for DES Cipher in Tamper Resistant Devices against Differential Fault Analysisi」ISCAS 2000-IEEE international Symposium on Circuits and Systems,May 28-31,2000,Geneva,Switzerland,頁II-697?II-700
3.盛合志帆,“故障利用暗号攻撃によるブロック暗号の解読”,1997年暗号と情報セキュリティ・シンポジウム予稿集,電子情報通信学会情報セキュリティ研究専門委員会,1997年 1月20日,6A (拒絶査定の引用文献3)
4.岡本栄司,“暗号理論入門”,共立出版株式会社,1993年 2月25日,初版,pp.33-51 (拒絶査定の引用文献2)』

(3)平成24年12月27日付けの意見書
上記平成24年12月27日付けの意見書における意見の内容は以下のとおりである。
「【意見の内容】
1.拒絶理由について
(1)審判長殿は、本願は特許法36条第4項第1項、第6項第2号に規定する要件を満たしていないと認定されました。
(2)また、審判長殿は、請求項1?7に係る発明は、引用文献1?4の記載に基づいて、その出願前にその発明の属する技術の分野における通常の知識を有する者が容易に発明をすることができたものであるから、特許法第29条第2項の規定により特許を受けることができないと認定されました。
2.特許法36条第4項第1項、第6項第2号について
(1)平成24年11月7付け拒絶理由通知書1.(1)について
審判長殿は、「中間ステップのサブキー(Kn)」との記載が明確ではないと指摘されました。しかしながら、請求項1には、「各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成される」と記載されるように、「中間ステップのサブキー(Kn)」は、請求項1に記載される「一連のサブキー(K0、...Kn)」に対応するものであることは明確であるものと思料いたします。
また、上述のように、「中間ステップのサブキー(Kn)」は「一連のサブキー(K0、...Kn)」に対応するものであるので、「前記巡回プロセスのステップの一部の再実行を行い」との構成は最後のサブキーのみ記憶することにより実行されるものではなく、中間ステップのサブキーを記憶することにより実行されるものです。
したがって、請求項1に記載される発明は、特許法36条第6項第2号に規定する要件を満たしているものと思料いたします。
(2)平成24年11月7日付け拒絶理由通知書1.(2)について
「一般的なDFA(故障差分分析)に対して、本願請求項1?7の発明が如何なる課題を解決したものであるか説明はない」との審判長殿のご指摘は、本願発明の進歩性と関連するものです。後述のように、請求項1?7に係る発明は進歩性を有しているものですので、本拒絶理由は解消したものと思料いたします。
(3)平成24年7月10日付け拒絶理由通知書1.(3)について
上述のように、請求項2が引用する請求項1において、「一連のサブキー(K0、...Kn)」に対応する「中間ステップのサブキー(Kn)」を記憶しています。したがって、「前記サブキーの系列を生成するステップの最終部分の再実行を行い」との構成を有する請求項2に係る発明は、特許法36条第6項第2号に規定する要件を満たしているものと思料いたします。
3.特許法29条第2項について
(1)引用文献
(イ)引用文献1(特開平10-154976号公報)には、外部から物理的衝撃を加えて内部回路を誤動作させその出力を観察して装置内部の秘密情報を推測する攻撃法に対して防御可能なタンパーフリー装置が記載されています。(段落0039?0044、図1、2を参照)。
(ロ)引用文献2(Lih-Yang Wang 他3名著 「On the Hardware Design fro DES Cipher in Tamper Resistant Devices against Differential Fault Analysis」 ISCAS 2000-I
EEE international Symposium on Circuits and Systems, May 28-31, 2000, Geneva, Switzerland, 頁II-697?II-700)には、DESのキースケジューリング回路を攻撃する方法に対抗する方法について記載されています。
(ハ)引用文献3(盛合志帆,故障利用暗号攻撃によるブロック暗号の解読,1997年暗号と情報セキュリティ・シンポジウム予稿集,電子情報通信学会情報セキュリティ研究専門委員会,1997年1月30日,6A)には、耐タンパーデバイスに対する攻撃法に関する攻撃モデルについて記載されています。
(ニ)引用文献4(岡本栄司,暗号理論入門,共立出版株式会社,1993年2月25日
,初版,pp.33-51)には、対照暗号について記載されています。
(2)本願発明と引用文献との対比
(イ)請求項1について
(A)本願の請求項1に記載された発明(以下、本願発明という)は、
「暗号化アルゴリズムの実行手段を有する暗号化アクセスを有する電子エンティティのセキュリティ化方法であって、
前記アルゴリズムは、演算群の系列を入力文に応用するステップ(「ラウンド」と言う)からなり、該ラウンドは、一連のサブキー(K0、...Kn)を使い、各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成されるものであって、
前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し、少なくとも、前記巡回プロセスのステップの一部の再実行を行い、記憶されたものに対応するサブキーを再計算し、前記対応する再計算サブキー値と前記記憶したサブキー値とを比較し、前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止することを特徴とする暗号化アクセスを有する電子エンティティのセキュリティ方法。」を要旨とするものであります。
平成23年1月4日付けの審判請求書において説明しました通り、本願発明は、上記の構成を含むことにより、極めて情報量の小さいサブキーKnを用いて、効率的に、暗号化に対する攻撃を検知することができ、実用的であり、全ての装置に簡単に備えることができるという格別の効果を奏します。
(B)一方、引用文献1?4には、サブキーを再計算し、再計算したサブキーと記憶したサブキーとを比較し、異なる場合は暗号文の送出を禁止することについては何の記載もございませんし、またこの点について何の示唆もございません。
従いまして、引用文献1?4には、本願発明の構成要素である、
「(a)前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し、少なくとも、前記巡回プロセスのステップの一部の再実行を行い、記憶されたものに対応するサブキーを再計算し、前記対応する再計算サブキー値と前記記憶したサブキー値とを比較し、前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止する」ことは開示されておりません。
(C)審判長殿は、「引用文献1の発明において、攻撃の対象であるサブ鍵を直接比較するものとすること、すなわち、上記相違点にかかる構成を採用することは、当業者が極めて自然に着想することである」と指摘されました。
(D)しかしながら、引用文献1に記載の発明は、エラー検出の技術的問題を解決するものであるため、当業者は、引用文献1により提供される方法を変更しないものと思料します。
すなわち、サブキーにエラーが生じると、暗号化されたデータの結果にもエラーが生じます。従って、当業者は、引用文献2及び3に記載のモデルからのサブキーに対する攻撃を考慮する場合、引用文献1により提供される、暗号化されたデータを比較する方法によってその攻撃を検出することができます。そのため、当業者が引用文献1に記載された方法を変更する理由はありません。
従って、当業者は、引用文献2及び3に記載のモデルに対して防御可能な構成とするために、引用文献1に記載の発明を、サブキー生成処理を再度実行して、両方のサブキーを比較する構成とする明確な動機付けを有しません。そのため、引用文献1の技術と引用文献2及び3の技術を結び付けることはできません。
(E)また、引用文献1には、暗号アルゴリズムの結果(暗号化されたデータ)を比較することが、全暗号アルゴリズムにおけるエラーを検出するのに適していることが教示されています(段落0073を参照)。このエラーがサブキーに関連するものか否かは問題となりません。
全暗号アルゴリズムの結果が送信される場合のみエラーの存在が問題となるので、先行技術においては、全アルゴリズムの結果のみを比較することが適しているものと認められます(引用文献1の段落0006と、引用文献3の「拡大鍵の格納されているメモリに1ビットエラーを起こしたり、あるいは0または1をセットすることで生じる暗号文と正しい暗号文の差分を解析して解を求める」を参照)。つまり、先行技術においては、エラーが生じる暗号アルゴリズムのステップがどこであっても、送信される結果が誤っている(そして攻撃者に情報を提供する)場合のみ、そのエラーが問題となるので、その結果を比較することが適しているものと認められます。
(F)また、引用文献3には、「4 ブロック暗号に対する現実的な攻撃モデル」に記載された攻撃に対する対策が示されておらず、参照もされていません。そのため、当業者は、その対策として従来の方法を使用するものと思料します。すなわち、当業者は、鍵生成プロセスにおける攻撃を含む、全暗号アルゴリズムにおける攻撃を検出するために、引用文献1に記載の発明のように、全暗号アルゴリズムを繰り返し、(サブキーではなく)全暗号アルゴリズムから生じる暗号化されたデータを比較するものと思料します。
(G)以上説明したように、当業者は、引用文献2及び3に記載のモデルに対して防御可能な構成とするために、引用文献1に記載の発明を、サブキー生成処理を再度実行して、両方のサブキーを比較する構成とする明確な動機付けを有しません。従って、引用文献1?4に記載の発明からは、本願発明の構成要素(a)を構成することができませんし、そのため上述した本願発明に特有の効果を奏することもできません。
従いまして、本願発明は、引用文献1?4に記載された発明に基づいて当業者が容易に想到し得る発明ではございません。
(ロ)その他の請求項について
本願の請求項2?7は、請求項1の従属項であり、それぞれ、請求項2?7に記載された構成に加えて請求項1に記載の構成を全て含んでおり、上記のように各引用文献にはない構成及び特有の効果を有するものです。
4.むすび
以上詳述しましたように、本願は、特許法36条第4項第1項、第6項第2号に規定する要件を満たすものであり、且つ本願の請求項1?7に係る発明は、引用文献1?4の存在があっても当業者が容易に発明することができたものではなく、特許法第29条第2項によって拒絶されるべきものではないと思料いたします。従いまして、原査定を取り消す、この出願の発明はこれを特許すべきものとする、との審決を求めるものであります。』



第2 記載要件(特許法第36条)について

1 当審拒絶理由のA.1.(1)で指摘した点について
本願の請求項1には、当該指摘の通り「前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し」との記載がある。
FIG.2,FIG.3の記載や請求人による意見書での「中間ステップのサブキー(Kn)」は「一連のサブキー(K0、...Kn)」に対応するもの」であるとする釈明などからみて、該「中間ステップのサブキー」は「一連のサブキー(K0、...Kn)」にほかならないものと解することができる。
この前提に従えば、「Kn」は「一連のサブキー(K0、...Kn)」の中の最終のサブキーを意味するものにほかならない。
してみると「中間ステップのサブキー(Kn)」なる記載における「(Kn)」との記載は、本来は「Ki|i=1?n」等と記すべきものであるところ、これが「Kn」と記載されていることで、「中間ステップのサブキー」とは最終のサブキーのみを意味すると言う、上記前提と矛盾する解釈が可能なものとなる。
したがって、「前記巡回プロセスの中間ステップのサブキー(Kn)を記憶し」との記載を明確でないものとした当審拒絶理由のA.1.(1)に誤りはない。
そして、当該不備については、平成24年7月3日付けの拒絶理由通知の理由A.の1.1においても指摘し、さらに当審拒絶理由で指摘し、かつ「Ki|i=1?n」等と記すべき旨の補正の示唆をして、2度にわたる補正の機会を設けたにも関わらず、請求人はその補正を怠り、当該不備は放置されたままであるから、当然、本願の請求項1の記載は依然として当該不備が解消されていないものである。
したがって、本願請求項1?7に係る発明は明確でなく、この出願の特許請求の範囲の記載は、特許法第36条第6項第2号に規定する要件を満たしていないものである。

2 当審拒絶理由のA.1.(2)で指摘した点について
当該指摘の通り一般的なDFA(故障差分分析)に対して、本願請求項1?7の発明が、如何なる課題を解決したものであるのかの説明は明細書又は図面にはない。
なお、発明の詳細な説明には【発明が解決しようとする課題】の欄に
「現在まで、実際に、AESタイプのアルゴリズムに対して、DFAタイプの攻撃方法を実際使うことはできないと考えられてきた。しかしながら、本発明に基づく研究が、明らかにしたことであるが、DFAタイプの3つの攻撃が、関数Fの応用と最終「ラウンド」の開始端と同期すると、前記入力キーKが128ビットで符号化されている場合、最終サブキーの全オクテットを検出することができるのである。現在、アルゴリズムAESを使用しているほとんどシステムは、入力キーKが128ビットで符号化されている。この情報を知ることにより、入力キーを検出することができる。」とあるが、これは一般的なDFAの問題を開示するものに過ぎず、引用文献1などを参照するまでもなく一般的なDFA対策として、当業者であればその解決方法を十分に心得ている解決済みの課題と言える程度のものにすぎず、本願発明の特徴によって始めてこれが解決されると言うものではない。
また、請求人は意見書において、『「一般的なDFA(故障差分分析)に対して、本願請求項1?7の発明が如何なる課題を解決したものであるか説明はない」との審判長殿のご指摘は、本願発明の進歩性と関連するものです。後述のように、請求項1?7に係る発明は進歩性を有しているものですので、本拒絶理由は解消したものと思料いたします。』と主張し、「後述」される進歩性に関する主張では「本願発明は、上記の構成を含むことにより、極めて情報量の小さいサブキーKnを用いて、効率的に、暗号化に対する攻撃を検知することができ、実用的であり、全ての装置に簡単に備えることができるという格別の効果を奏します。」とその効果の釈明がなされている。
しかしながら、本願発明における比較対象となるサブキーのビット数等が限定されているわけでもなく、また上述の如くその意味の不明確な「巡回プロセスの中間ステップのサブキー(Kn)」であり、これは必ずしも最終キー(Kn)のみを意味するものではないのであるから、「極めて情報量の小さいサブキー」と認め得るものではなく(なお、DESの各ラウンドでは64ビットが入力されるが、その半分の32ビットが48ビットの拡大鍵によって変換され、残りの半分の32ビットは実質的な変換がされないので、出力を比較する場合の実質的な処理量は、拡大鍵を比較する場合よりも小さい。)、この主張をもって、本願の発明の詳細な説明に本願の請求項1?7に係る発明の技術上の意義を理解するために必要な事項が十分に記載されているとすることは到底できない。
そして、当該不備についても、補正の機会を設けたにも関わらず、特許請求の範囲に対しても発明の詳細な説明に対しても補正はなされておらず、本願の発明の詳細な説明の記載は、依然として本願の請求項1?7に係る発明の技術上の意義を理解するために必要な事項が十分に記載されておらず、特許法第36条第4項第1号の経済産業省令で定めるところによる記載がされていないままのものである。
したがって、この出願の発明の詳細な説明の記載は、特許法第36条第4項第1号に規定する要件を満たしていないものである。

3 当審拒絶理由のA.1.(3)で指摘した点について
当該指摘の通り、本願の請求項1には「中間ステップのサブキー(Kn)を記憶」する旨の記載があり、当該請求項1を引用する請求項2には、「最終サブキー(Kn)値を記憶」する旨の記載がある。
そして、本願の請求項1にも請求項2にも、該「最終サブキー(Kn)値を記憶」することと、「中間ステップのサブキー(Kn)を記憶」することとの関係(請求項2に係る発明は、請求項1記載の「中間ステップのサブキー(Kn)を記憶」することは別に「最終サブキー(Kn)値を記憶」するのか?請求項1記載の「中間ステップのサブキー(Kn)を記憶」することを「最終サブキー(Kn)値を記憶」すると言う下位概念に限定したものなのか?請求項1記載の「中間ステップのサブキー(Kn)を記憶」することに代えて「最終サブキー(Kn)値を記憶」するのか?)に関する記載がみあたらない。
したがって、「最終サブキー(Kn)値を記憶」する旨の記載を明確でないとした当審拒絶理由のA.1.(3)に誤りはない。
この点に付いて請求人は意見書において
『上述のように、請求項2が引用する請求項1において、「一連のサブキー(K0、...Kn)」に対応する「中間ステップのサブキー(Kn)」を記憶しています。したがって、「前記サブキーの系列を生成するステップの最終部分の再実行を行い」との構成を有する請求項2に係る発明は、特許法36条第6項第2号に規定する要件を満たしているものと思料いたします。』と主張しているが、当審拒絶理由で指摘した「最終サブキー(Kn)値を記憶」することと、「中間ステップのサブキー(Kn)を記憶」することとの関係については何の釈明もなく、当該不備に基づく拒絶理由を覆し得るものではない。
そして、当該不備についても、補正の機会を設けたにも関わらず、請求人はその補正をせず、本願の請求項1の記載は、依然として当該不備が解消されていないものである。
したがって、本願請求項1?7に係る発明は明確でなく、この出願の特許請求の範囲の記載は、特許法第36条第6項第2号に規定する要件を満たしていないものである。

4 小結
以上のとおり、この出願の特許請求の範囲及び発明の詳細な説明の記載は、特許法第36条第4項第1号、第6項第2号に規定する要件を満たしていないものである。



第3 進歩性(特許法第29条第2項)について

1 本願発明の認定
本願の請求項1に係る発明(以下「本願発明」と言う。)は、上記平成23年1月4日付けの手続補正書により補正された明細書及び図面の記載からみて、次のものと認める。

「暗号化アルゴリズムの実行手段を有する暗号化アクセスを有する電子エンティティのセキュリティ化方法であって、
前記アルゴリズムは、演算群の系列を入力文に応用するステップ(「ラウンド」と言う)からなり、該ラウンドは、一連のサブキー(K0、...Kn)を使い、各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成されるものであって、
前記巡回プロセスの中間ステップのサブキー(Ki|i=1?n)を記憶し、少なくとも、前記巡回プロセスのステップの一部の再実行を行い、記憶されたものに対応するサブキーを再計算し、前記対応する再計算サブキー値と前記記憶したサブキー値とを比較し、前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止することを特徴とする暗号化アクセスを有する電子エンティティのセキュリティ方法。」

なお、「中間ステップのサブキー(Kn)」との記載は上記第2で検討したように明確なものではないので、本来は「中間ステップのサブキー(Ki|i=1?n)」と記載すべきものと解釈し、上記のように認定した。

2 引用文献に記載される事項

(1) 当審拒絶理由のB.において引用文献1として引用された、特開平10-154976号公報(平成10年6月9日出願公開。以下「引用文献1」と記す。)には、次の記載がある。(下線は当審付与。)

ア 「【特許請求の範囲】
【請求項1】内部に外部からの入力データに対して所定のデータ変換処理を施して出力するための手段を備え、内部情報への不正アクセスを防止するために内部回路全体を物理的手段により外部から保護したタンパーフリー装置であって、
前記データ変換処理の誤動作を検出する手段と、
誤動作が検出された場合に前記処理の出力に所定の規制を施す出力規制手段とを備えたことを特徴とするタンパーフリー装置。
【請求項2】入力データに所定の処理を施して外部に出力する機能を有し、外部から自装置内部に存在するデータにアクセスすることおよび外部から該機能を変更させることを不能とするために内部回路全体を物理的手段により外部から保護したタンパーフリー装置であって、入力データに対して鍵情報を用いた所定のデータ変換処理を施す手段と、前記入力データおよび前記所定のデータ変換処理により得られたデータをもとにして、前記所定のデータ変換処理において誤動作が発生したか否かを検出する手段と、この検出の結果、前記所定のデータ変換処理において誤動作が発生したと判断された場合、前記所定のデータ変換処理により得られたデータを外部に出力させないように制御する手段とを備えたことを特徴とするタンパーフリー装置。
【請求項3】入力データに所定の処理を施して外部に出力する機能を有し、外部から自装置内部に存在するデータにアクセスすることおよび外部から該機能を変更させることを不能とするために内部回路全体を物理的手段により外部から保護したタンパーフリー装置であって、
予め定められた、鍵情報を用いて行う複数種類のデータ変換処理のうち実行すべきもの指示する情報を入力する手段と、
入力データに対して、指示されたデータ変換処理を施す手段と、
前記入力データおよび前記所定のデータ変換処理により得られたデータをもとにして、前記データ変換処理において誤動作が発生したか否かを検出する手段と、
この検出の結果、前記所定のデータ変換処理において誤動作が発生したと判断された場合、前記所定のデータ変換処理により得られたデータを外部に出力させないように制御する手段とを備えたことを特徴とするタンパーフリー装置。
【請求項4】入力データに所定の処理を施して外部に出力する機能を有し、外部から自装置内部に存在するデータにアクセスすることおよび外部から該機能を変更させることを不能とするために内部回路全体を物理的手段により外部から保護したタンパーフリー装置であって、
予め定められた、複数の鍵情報のうち使用すべきもの指示する情報を入力する手段と、
入力データに対して、指示された前記鍵情報を用いた所定のデータ変換処理を施す手段と、
入力データに対して、指示されたデータ変換処理を施す手段と、
前記入力データおよび前記所定のデータ変換処理により得られたデータをもとにして、前記データ変換処理において誤動作が発生したか否かを検出する手段と、
この検出の結果、前記所定のデータ変換処理において誤動作が発生したと判断された場合、前記所定のデータ変換処理により得られたデータを外部に出力させないように制御する手段とを備えたことを特徴とするタンパーフリー装置。
【請求項5】前記検出する手段は、前記入力データに対して、前記所定のデータ変換処理と同一の処理を施し、得られた結果が前記所定のデータ変換処理により得られた結果と一致するか否かによって、誤動作が発生したか否かを検出することを特徴とする請求項1ないし4のいずれか1項に記載のタンパーフリー装置。
【請求項6】前記データ変換処理を施す手段における前記データ変換処理を行う回路と、前記検出する手段における前記処理を行う回路とを、同一半導体基板上で距離を離して設けたことを特徴とする請求項5に記載のタンパーフリー装置。
【請求項7】前記検出する手段は、前記データ変換処理の結果得られたデータに対して、前記所定のデータ変換処理の逆変換処理を施し、得られた結果が前記入力データと一致するか否かによって、誤動作が発生したか否かを検出することを特徴とする請求項1ないし4のいずれか1項に記載のタンパーフリー装置。
【請求項8】前記データ変換処理と前記逆変換処理とをパイプライン的に並列動作させるようにしたことを特徴とする請求項7に記載のタンパーフリー装置。
【請求項9】暗号アルゴリズムが積暗号である場合、各ラウンド処理毎に前記誤動作の検出を行うようにしたことを特徴とする請求項1ないし4のいずれか1項に記載のタンパーフリー装置。
【請求項10】入力データに所定のデータ変換処理を施して外部に出力する機能を有し、外部から自装置内部に存在するデータにアクセスすることおよび外部から該機能を変更させることを不能とするために内部回路全体を物理的手段により外部から保護したタンパーフリー装置であって、
前記所定のデータ変換処理が準同型性を持つ場合、入力データに乱数を混入させたものに対して該データ変換処理を施し、得られた結果から、該乱数の影響を取り除いて、出力することを特徴とするタンパーフリー装置。
【請求項11】前記所定のデータ変換処理は、暗号化処理、復号化処理、ディジタル署名、またはディジタル署名の署名検証であることを特徴とする請求項1ないし10のいずれか1項に記載のタンパーフリー装置。
【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、放射線や他の物理手段により誤動作を生じさせ内部に封入された秘密を分解せずに暴こうとする攻撃に対して安全なタンパーフリー装置に関する。
【0002】
【従来の技術】現在、コンピュータや記憶装置あるいは通信網など、情報を電子化して処理、保存、通信などする技術がかなり高度化されるとともに、ますます研究開発が盛んになってきている。また、このような技術は、実際に、様々な分野において様々な形で利用されている。中でも、情報を第3者から秘匿した状態で蓄積や転送などするための基盤技術である暗号技術の重要性は非常に高まっており、盛んに研究開発が行われているとともに、電子課金の情報、機密情報、著作権に係る情報あるいはプライバシーに関する情報などを扱うシステムに実際に利用されている。
【0003】暗号技術を研究開発する場合、主に新たな暗号方式を提供するだけではなく、その新たな暗号方式における暗号解読の困難性を検証することも重要なテーマである。しかして、従来は、暗号解読は通信路の盗聴を前提としており、暗号化や復号を行う装置自体は、安全であって危険にさらされることはない、という前提があった。特に、例えばICカードのように、分解や走査されることにより内部の情報を読み取ることを困難にしたタンパーフリー装置(タンパープルーフ装置あるいはタンパーレジスト装置とも呼ばれる)は、鍵の安全な保管装置としてだけではなく、計算能力(CPU)も封入することで、鍵を外部に知られることなく、暗号化、復号化、認証処理などのデータ処理が可能な、安全なデータ処理装置を構成できるものと考えられていた。なお、タンパーフリー装置については、例えば、「“Super distribution : The Concept the Architecture”、 Masaji Kawahara、 THE TRANSACTION OF THE IEICE、Vol.E73、 No.7、 JULY 1990」に開示されている。
【0004】ところが、BransonやLindstromは、タンパーフリー装置を分解や操作することなく、内部の秘密情報を暴く新しい暗号解析技術を提示した(例えば、インターネットにおける“http://www.bellcore.com/PRESS/ADVSRY96/facts.html”)。その技術は、タンパーフリー装置に外部から放射線や電子、熱や振動など物理的な衝撃を加え、内部装置を誤動作(内部のレジスタが1bit反転する)させ、誤動作の結果得られた出力データを幾つか蓄積し、これら出力データに与えた誤動作の影響の仕方を観察することにより、内部情報を推測するというものである。このような技術は、これまでは想定されていなかったもので、ICカードのようなタンパーフリーな暗号装置を利用者が手軽に利用できるようになったという社会背景と、暗号装置自身は攻撃されないことを前提としてきた従来の研究開発の指針とを考慮すると、既存の概念にある程度の転換を迫るものと言える。
【0005】BihamとShamirも同じ原理に基づいてDESのようなブロック暗号を解読する方法を提案した(例えば、インターネットにおける“http://www.CS.tecnion.ac.il/?biham/dfa.html”)。計算機によるシミュレーションの結果、この方法によれば、例えば約200個程度の出力データの観察によりDESの56bitの鍵を手に入れることが可能であることが示されている。」

イ 「【0006】
【発明が解決しようとする課題】従来のタンパーフリー装置は、外部から放射線や電子、熱や振動などの物理的衝撃を加えることによって暗号化回路などの内部回路を誤動作させ、誤動作の反映された出力データを蓄積し観察することによって内部の秘密情報を推測する新しい暗号解読法に対して、対策が施されていないという問題があった。
【0007】本発明は、上記事情を考慮してなされたもので、外部から物理的衝撃を加えて内部回路を誤動作させその出力を観察して装置内部の秘密情報を推測する攻撃法に対して防御可能なタンパーフリー装置を提供することを目的とする。」

ウ 「【0070】以下では、図1?図6を用いて説明したタンパーフリー装置のデータ処理部2の処理がラウンド関数を用いる場合の構成例について説明する。DESやFEALのようなラウンド関数を用いる暗号アルゴリズムでは、暗号化したい平文に対し、鍵をパラメータとするラウンド関数を繰り返し適用する。例えば、4段の変換を用いる場合、まず平文は第1のラウンド関数により変換され、変換結果は第2のラウンド関数により変換され、この変換結果がさらに第3のラウンド関数と第4のラウンド関数により順次変換される。暗号アルゴリズムによって、ラウンド関数の段階数が定められる。復号化についても同様である。
・・・(中略)・・・
【0081】以降、このような動作が最終段(ここでは4段目)まで繰り返される(ステップS36?S43)。そして、最終段の誤動作検出処理が実行され(ステップS44)、誤動作が検出された場合(ステップS45)、最終的な処理結果の外部への出力は禁止され(ステップS46)、誤動作が検出されなかった場合(ステップS45)、最終的な処理結果が外部へ出力される(ステップS47)。
【0082】なお、図10?図12では、ラウンド数が4段である場合について説明したが、もちろん、本構成は、所望のラウンド数のものに適用可能である。ところで、図10や図11の構成において、ラウンド対応部分を1組の回路で共用し、回路量を削減することも可能である。
【0083】そのような構成の一例として、図13に、データ処理部2と誤動作検出部3の両方で暗号化を行う場合の構成例を示す。また、図14に、データ処理部2で暗号化を行い、誤動作検出部3で復号化を行う場合の構成例を示す。伝える。
【0084】選択回路211は、外部からのデータ入力時には、入力データを暗号部201側に伝え、その他ではラウンド関数の実行のために、選択回路212の出力を伝える。
【0085】選択回路212は、最終段のラウンド関数の実行までは、暗号部201の出力を選択回路211に伝え、最終段のラウンド関数の実行結果は、出力制御部4に伝える。」

(2)
当審拒絶理由のB.において引用文献2として引用された、Lih-Yang Wang 他3名著「On the Hardware Design for DES Cipher in Tamper Resistant Devices against Differential Fault Analysisi」ISCAS 2000-IEEE international Symposium on Circuits and Systems,May 28-31,2000,Geneva,Switzerland,頁II-697?II-700( 以下「引用文献2」と記す。)には、次の記載がある。

ア 「4.Protection for the Key Scheduling Part in DES
In this section,we consider how to resist DFA to attack the key scheduling circuit of DES.Since the operations performed on the resisters in the key scheduling circuit are merely circular- left-shift(Ci and Di as described in Fig.1),their Hamming weight is constant in each round.The TSC checker for the Berger code can be used here to detect the errors induced in these two shift resisters 」(II-698頁右欄35行?42行)
訳;「4.DESにおけるキースケジューリング部のための保護
このセクションでは、我々は、DESのキースケジューリング回路を攻撃するDFAに対抗する方法を考える。キースケジュール回路におけるレジスタ上で成される操作はほとんどが循環左シフト(図1ではCiとDiで記述されている。)なので、これらのハミング重みは各ラウンドにおいて一定である。バーガコードのためのTSCチェッカはここではこれら二つのシフトレジスタに生じさせるエラーを検出するのに用いることができる。」

イ 「As shown in Fig.3,we assume that the 56-bit secret key is stored・・・It receives the total 56 bits from both C and D,and produces a 48-bit output as a subkey ski,for the ith round.」(II-699頁左欄10行?17行)
訳;「図3に示された様に、我々は56ビット秘密キーが貯えられていると仮定する・・・CとDの両方から全部で56ビットを受け取り、そして、第i番目のラウンドのためのサブキーSKiとして48ビットの出力が生成される。」

(3) 当審拒絶理由のB.において引用文献3として引用された、盛合志帆,“故障利用暗号攻撃によるブロック暗号の解読”,1997年暗号と情報セキュリティ・シンポジウム予稿集,電子情報通信学会情報セキュリティ研究専門委員会,1997年 1月20日,6A(以下「引用文献3」と記す。)には、次の記載がある。

ア 「4 ブロック暗号に対する現実的な攻撃モデル
モデル1: 拡大鍵の1bitにビットエラーを起こす(または書き換える) このモデルでは、拡大鍵の格納されているメモリに1bitビットエラーを起こしたり、あるいは0または1をセットすることで生じる暗号文と正しい暗号文の差分を解析して鍵を求める。」(4頁17行?20行)


3 引用発明の認定

(1)引用文献1には上記2(1)アに記載の如き「タンパーフリー装置」を説明する文献であるところ、これは上記2(1)イに記載の如く「外部から物理的衝撃を加えて内部回路を誤動作させその出力を観察して装置内部の秘密情報を推測する攻撃法に対して防御可能な」ものであるから、引用文献1には
「外部から物理的衝撃を加えて内部回路を誤動作させその出力を観察して装置内部の秘密情報を推測する攻撃法に対する防御方法」が記載されているとも言える。

(2)
ア 引用文献1には該「タンパーフリー装置」として、上記2(1)アの【請求項2】のとおりの
「入力データに所定の処理を施して外部に出力する機能を有し、外部から自装置内部に存在するデータにアクセスすることおよび外部から該機能を変更させることを不能とするために内部回路全体を物理的手段により外部から保護したタンパーフリー装置であって、
入力データに対して鍵情報を用いた所定のデータ変換処理を施す手段と、
前記入力データおよび前記所定のデータ変換処理により得られたデータをもとにして、前記所定のデータ変換処理において誤動作が発生したか否かを検出する手段と、
この検出の結果、前記所定のデータ変換処理において誤動作が発生したと判断された場合、前記所定のデータ変換処理により得られたデータを外部に出力させないように制御する手段とを備えたことを特徴とするタンパーフリー装置」
が記載されている。

イ また、引用文献1には、同【請求項5】のとおりの
「前記検出する手段は、前記入力データに対して、前記所定のデータ変換処理と同一の処理を施し、得られた結果が前記所定のデータ変換処理により得られた結果と一致するか否かによって、誤動作が発生したか否かを検出することを特徴とする請求項1ないし4のいずれか1項に記載のタンパーフリー装置」
も記載されている。

ウ そして、同【請求項9】や上記2(1)ウの記載等から見て、さらに
「前記データ変換処理の暗号アルゴリズムがDES又はFEALの積暗号であり、各ラウンド処理毎に前記誤動作の検出を行うようにした」ものも記載されていると言える。

エ したがって、上記「防御方法」は
「入力データに所定の処理を施して外部に出力する機能を有し、外部から自装置内部に存在するデータにアクセスすることおよび外部から該機能を変更させることを不能とするために内部回路全体を物理的手段により外部から保護したタンパーフリー装置であって、
入力データに対して鍵情報を用いた所定のデータ変換処理を施す手段と、
前記入力データおよび前記所定のデータ変換処理により得られたデータをもとにして、前記所定のデータ変換処理において誤動作が発生したか否かを検出する手段と、
この検出の結果、前記所定のデータ変換処理において誤動作が発生したと判断された場合、前記所定のデータ変換処理により得られたデータを外部に出力させないように制御する手段とを備え、
前記検出する手段は、前記入力データに対して、前記所定のデータ変換処理と同一の処理を施し、得られた結果が前記所定のデータ変換処理により得られた結果と一致するか否かによって、誤動作が発生したか否かを検出するものであり、
前記データ変換処理の暗号アルゴリズムがDES又はFEALの積暗号であり、各ラウンド処理毎に前記誤動作の検出を行うようにしたタンパーフリー装置の防御方法」
であるとも言える。

(3)よって、引用文献1には下記の引用発明が記載されていると認められる。

<引用発明>
「外部から物理的衝撃を加えて内部回路を誤動作させその出力を観察して装置内部の秘密情報を推測する攻撃法に対する防御方法であって、
入力データに所定の処理を施して外部に出力する機能を有し、外部から自装置内部に存在するデータにアクセスすることおよび外部から該機能を変更させることを不能とするために内部回路全体を物理的手段により外部から保護したタンパーフリー装置であって、
入力データに対して鍵情報を用いた所定のデータ変換処理を施す手段と、
前記入力データおよび前記所定のデータ変換処理により得られたデータをもとにして、前記所定のデータ変換処理において誤動作が発生したか否かを検出する手段と、
この検出の結果、前記所定のデータ変換処理において誤動作が発生したと判断された場合、前記所定のデータ変換処理により得られたデータを外部に出力させないように制御する手段とを備え、
前記検出する手段は、前記入力データに対して、前記所定のデータ変換処理と同一の処理を施し、得られた結果が前記所定のデータ変換処理により得られた結果と一致するか否かによって、誤動作が発生したか否かを検出するものであり、
前記データ変換処理の暗号アルゴリズムがDES又はFEALの積暗号であり、各ラウンド処理毎に前記誤動作の検出を行うようにしたタンパーフリー装置の防御方法」


4対比
以下に、引用発明と本願発明とを比較する。

(1)引用発明は「タンパーフリー装置の防御方法」であるから、本願発明と同様に「電子エンティティのセキュリティ方法」と言えるものである。
また、引用発明における「タンパーフリー装置」は、その「データ変換処理の暗号アルゴリズムがDES又はFEALの積暗号」であることから、「暗号化アルゴリズムの実行手段を有する暗号化アクセスを有する」と言える。
したがって、引用発明も本願発明と同様に
「暗号化アルゴリズムの実行手段を有する暗号化アクセスを有する電子エンティティのセキュリティ化方法」
と言えるものである。

(2)引用発明においては、その「データ変換処理の暗号アルゴリズムがDES又はFEALの積暗号」であるから、引用発明も本願発明と同様に「前記アルゴリズムは、演算群の系列を入力文に応用するステップ(「ラウンド」と言う)からなり、該ラウンドは、一連のサブキー(K0、...Kn)を使い、各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成されるもの」と言える。

(3)この「データ変換処理の暗号アルゴリズムがDES又はFEALの積暗号」であることからみて、各ラウンドでのキースケジューリングがなされ、何らかの形でサブキーの記憶がなされることは明らかであるから、引用発明においても本願発明と同様に「前記巡回プロセスの中間ステップのサブキー(Ki|i=1?n)を記憶」することが行われることは明らかである。

(4)引用発明においては、「前記検出する手段は、前記入力データに対して、前記所定のデータ変換処理と同一の処理を施し」ているのであるところ、当該「データ変換処理」はその「暗号アルゴリズムがDES又はFEALの積暗号」であり、そのキースケジューリングも当然「ラウンド処理」の一部であるはずであるから、本願発明と同様に「少なくとも、前記巡回プロセスのステップの一部の再実行を行い、記憶されたものに対応するサブキーを再計算し」ていることも明らかである。

(5)引用発明においては「前記検出する手段は、前記入力データに対して、前記所定のデータ変換処理と同一の処理を施し、得られた結果が前記所定のデータ変換処理により得られた結果と一致するか否かによって、誤動作が発生したか否かを検出するもの」であり、しかも「各ラウンド処理毎に前記誤動作の検出を行う」のであるから、引用発明と本願発明とは「前記再計算で得られた値と前記巡回プロセスで得られた値とを比較し」ている点で共通すると言える。

(6)引用発明における「タンパーフリー装置」は「この検出の結果、前記所定のデータ変換処理において誤動作が発生したと判断された場合、前記所定のデータ変換処理により得られたデータを外部に出力させないように制御する手段」を備えるのであるから、引用発明も本願発明と同様に
「前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止する」ものと言える。

(7)よって、本願発明は、下記一致点で引用発明と一致し、下記相違点を有する点で引用発明と相違する。

<一致点>
「暗号化アルゴリズムの実行手段を有する暗号化アクセスを有する電子エンティティのセキュリティ化方法であって、
前記アルゴリズムは、演算群の系列を入力文に応用するステップ(「ラウンド」と言う)からなり、該ラウンドは、一連のサブキー(K0、...Kn)を使い、各サブキーは、初期キー(K)から実行される巡回プロセスにより継続的に生成されるものであって、
前記巡回プロセスの中間ステップのサブキー(Ki|i=1?n)を記憶し、少なくとも、前記巡回プロセスのステップの一部の再実行を行い、記憶されたものに対応するサブキーを再計算し、前記再計算で得られた値と前記巡回プロセスで得られた値とを比較し、前記2つの値が異なる場合は、前記アルゴリズムを実施して作成した暗号文(MC)の送出を禁止する暗号化アクセスを有する電子エンティティのセキュリティ方法。」

<相違点>
本願発明においては「前記対応する再計算サブキー値」と「前記記憶したサブキー値」を比較している。
(これに対し、引用文献1には「サブキー」を比較する旨の記載は無い。)


5 当審判断
(1)以下に、上記相違点について検討するに、引用文献1とその技術分野を同じくする引用文献2には、DFAに対抗するために、局所的に、サブキーの生成系列に生じたエラーをチェック(検知)する技術が示されている。
同じく引用文献1とその技術分野を同じくする引用文献3には、局所的に、拡大鍵(サブキーに相当する。)にビットエラーを起こす攻撃が記載されている。
してみると、引用文献1のものにおいて、拡大鍵ないしサブキーの生成系列に対してビットエラーを起こす攻撃に対処すべく、当該拡大鍵ないしサブキーの生成系列に対して起こすエラーを検知することは自然な着想であり、引用文献1において、「前記対応する再計算サブキー値」と「前記記憶したサブキー値」を比較する構成、すなわち上記相違点に係る構成を採用することは、引用文献2、3等に記載の事項を参酌することにより当業者が容易になし得ることである。

(2)したがって、本願発明の構成は引用文献1?3に記載された発明に基づいて、当業者が容易に想到し得たものである。
また、本願発明の効果は、当業者であれば容易に予測し得る程度のものであって、格別顕著なものではない。
よって、本願発明は、引用文献1?3に記載された発明に基づいて、当業者が容易に発明をすることができたものである。

6 請求人の主張等について、
なお、請求人は、上記平成24年12月27日付けの意見書の「(2)平成24年11月7日付け拒絶理由通知書1.(2)について」において、
『(G)以上説明したように、当業者は、引用文献2及び3に記載のモデルに対して防御可能な構成とするために、引用文献1に記載の発明を、サブキー生成処理を再度実行して、両方のサブキーを比較する構成とする明確な動機付けを有しません。従って、引用文献1?4に記載の発明からは、本願発明の構成要素(a)を構成することができませんし、そのため上述した本願発明に特有の効果を奏することもできません。
従いまして、本願発明は、引用文献1?4に記載された発明に基づいて当業者が容易に想到し得る発明ではございません。』と主張している。
しかしながら、当該分野においては、攻撃に対する対策を施すことは普遍的な課題であるから、その動機付けも当業者が普遍的に有するものにほかならない。そして、そのために同様の目的を有する技術思想の適用を適宜試みることは、当業者の通常の創作能力の発揮に過ぎないものである。
したがって、この意見書の主張は、当審拒絶理由で通知した理由B.を覆す根拠とはならない。


7 むすび
以上のとおり、本願請求項1に係る発明は、その出願前に日本国内において頒布された刊行物に記載された発明又は電気通信回線を通じて公衆に利用可能となった発明に基づいて、当業者が容易に発明をすることができたものであるから、他の請求項についての検討をするまでもなく、本願は、特許法第29条第2項の規定により特許を受けることができない。



第4 むすび
上記第2のとおり、本願の特許請求の範囲及び発明の詳細な説明の記載は、特許法第36条第4項第1号、第6項第2号に規定する要件を満たしておらず、上記第3のとおり、この出願の請求項1に係る発明は、特許法第29条第2項の規定により特許を受けることができないものであるから、原査定を取り消し、この出願の発明はこれを特許すべきものとする審決をすることはできない。

よって、上記結論のとおり審決する。
 
審理終結日 2013-02-27 
結審通知日 2013-03-05 
審決日 2013-03-19 
出願番号 特願2003-582947(P2003-582947)
審決分類 P 1 8・ 537- WZ (H04L)
P 1 8・ 536- WZ (H04L)
P 1 8・ 121- WZ (H04L)
最終処分 不成立  
前審関与審査官 金沢 史明  
特許庁審判長 山崎 達也
特許庁審判官 原 秀人
田中 秀人
発明の名称 暗号化されたアクセスを使う電子的エンティティのセキュリティ化方法  
代理人 鶴田 準一  
代理人 水谷 好男  
代理人 青木 篤  
代理人 森 啓  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ