• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 特36条6項1、2号及び3号 請求の範囲の記載不備 特許、登録しない(前置又は当審拒絶理由) H04L
審判 査定不服 特36条4項詳細な説明の記載不備 特許、登録しない(前置又は当審拒絶理由) H04L
管理番号 1219333
審判番号 不服2005-7345  
総通号数 128 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2010-08-27 
種別 拒絶査定不服の審決 
審判請求日 2005-04-25 
確定日 2010-06-30 
事件の表示 特願2000-597921「物理的解析によってコンピュータシステムを攻撃から保護する秘密鍵暗号化方法」拒絶査定不服審判事件〔平成12年 8月10日国際公開、WO00/46953、平成14年10月29日国内公表、特表2002-536911〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 1.手続の経緯
本願は、2000年2月3日(パリ条約による優先権主張外国庁受理1999年2月4日、フランス共和国)を国際出願日とする出願であって、平成16年2月10日付けで拒絶理由通知がなされ、同年8月17日付けで意見書が提出されたが、平成17年1月17日付けで拒絶査定がなされた。これに対し、同年4月25日に審判請求がなされ、同年5月25日に手続補正がなされて前置審査に付され、平成18年2月3日に審査官より前置報告がなされ、平成21年6月25日付けで当審より拒絶理由通知がなされ、同年12月28日付けで意見書が提出されると共に誤訳訂正及び手続補正がなされたものである。

2.本願の特許請求の範囲の記載
本願の特許請求の範囲は、平成21年12月28日付け手続補正(以下、「本件補正」という。)により補正されたとおりの次のものである。
(当審注:【請求項3】中の「○+」は、正しくは「○」の中に「+」が記入された排他的論理和を示す記号である。)

「【請求項1】 秘密鍵を用いる対称暗号化計算方法を実現するコンピュータシステムを、秘密鍵に関する情報を得るための攻撃から保護する方法であって、
a)前記対称暗号化計算方法が、並行に実行される別個の複数の暗号化計算方法の部分(PPC_(1)?PPC_(k))に分割され、前記複数の暗号化計算方法の部分は、対称暗号化計算方法によって用いられる入力データ又は出力データに依存する各中間変数(v)を置き換える、任意の数であるk個の部分中間変数(v_(1)?v_(k))を生成し、
b)分割することなく前記対称暗号化計算によって得られる最終の中間変数(v)が、前記別個の部分中間変数(v_(1)?v_(k))から再構成され、中間変数(v)と部分中間変数とは、v=f(v_(1)、v_(2)、...、v_(k))である関数fによってリンクされていることを
特徴とする方法。
【請求項2】 前記部分中間変数(v_(1)?v_(k))と前記中間変数(v)をリンクする関数fが、前記中間変数(v)の1つの値が分かっても、式f(v_(1)、...、v_(i)、...、v_(k))=vを満たす(k-1)項組(v_(1)、...、v_(i-1)、v_(i+1)、...、v_(k))が存在するような特定の部分の値(v_(i))の集合を演繹することが不可能な関数
であることを特徴とする請求項1に記載の方法。
【請求項3】 前記関数fが、ビット毎の「排他的論理和」関数であり、前記中間変数又は中間結果(v)と部分中間変数(v_(1)、...、v_(i)、...、v_(k))が、関係式
【数1】
f(v_(1),・・・,v_(i),・・・,v_(k))=v_(1)○+v_(2)○+,・・・,○+v_(i)○+v_(k)
を満たすことを特徴とする請求項2に記載の方法。
【請求項4】 前記関数fが、前記部分中間変数(v_(1)、...、v_(i)、...、v_(k))と前記中間変数(v)をリンクし、並行に実行される別個の暗号化計算方法の部分(PPC_(1)?PPC_(k))が、互いに独立しており、前記並行に実行される別個の暗号化計算方法の部分(PPC_(1)?PPC_(k))が、前記対称暗号化計算方法によって用いられる入力データ又は出力データに依存する中間変数(v)を再構成することなく実行されることを特徴とする請求項2に記載の方法。
【請求項5】 前記対称暗号化計算方法が、並行に実行される2つの別個の部分に分割されることを特徴とする請求項1に記載の方法。
【請求項6】 分割が、k個の部分に行われ、
変換されたn個の出力ビットが、m個の入力ビットの関数であるアドレスで読み取られる変換テーブルによって記載される、m個のビットからn個のビットへの非線形変換を用いる対称暗号化計算方法に対して、分割することなく対称暗号化計算方法の中間変数に適用される非線形変換の各々が、前記部分中間変数のすべてに適用されるk×m個のビットからk×n個のビットへの部分非線形変換によって置き換えられ、
前記部分非線形変換が、前記変換されたn個の出力ビットが、前記k×m個の入力ビットの関数であるアドレスで読み取られるk個の部分変換テーブルで記載されることを特徴とする請求項1に記載の方法。
【請求項7】 前記k個の部分変換テーブルの内、(k-1)個の部分変換テーブルが、秘密ランダム変数を含んでいることを特徴とする請求項6に記載の方法。
【請求項8】 各非線形変換テーブルを置き換えるように用いられるk個の部分変換テーブルの内、同じ(k-1)個の秘密ランダムテーブルが、毎回用いられることを特徴とする請求項6に記載の方法。
【請求項9】 分割が、k個の部分に行われ、
変換されたn個の出力ビットが、m個の入力ビットの関数であるアドレスで読み取られる変換テーブルによって記載されるm個のビットからn個のビットへの非線形変換を用いる対称暗号化計算方法に対して、分割することなく前記対称暗号化計算方法の中間変数に適用される非線形変換が、前記部分中間変数のすべてに適用されるk×m個のビットからk×n個のビットへの部分非線形変換によって置き換えられ、
前記変換された出力ビットの内の(k-1)×n個のビットが、前記k×m個の入力ビットの多項式関数として計算され、
前記出力ビットの内の残余のn個のビットが、前記k×m個の入力ビットの関数であるアドレスで読み取られる変換テーブルを読み取ることによって得られることを特徴とする請求項1に記載の方法。
【請求項10】 分割が、k個の部分に行われ、
変換されたn個の出力ビットが、m個の入力ビットの関数であるアドレスで読み取られる変換テーブルによって記載されるm個のビットからn個のビットへの非線形変換を用いる対称暗号化計算方法に対して、分割することなく前記対称暗号化計算方法の中間変数に適用される各非線形変換が、前記部分中間変数のすべてに適用されるk×m個のビットからk×n個のビットへの部分非線形変換によって置き換えられ、
前記部分非線形変換が、k個の変換テーブルによって記載され、
前記変換テーブルの各々が、関係式φ_(j)○f(v_(1)、...、v_(k))、j∈[1、k]に従って、前記部分中間変数の関数f(v1、...、vk)に対して秘密全単射関数φ_(1)を適用することによって得られる値を入力として受容し、
φ_(j)○f(v_(1)、...、v_(k))の適用が、結果として生じる値を、直接的に求めることによって実行され、
前記結果として生じる値が、前記変換テーブルの入力に適用され、前記m個の入力ビットの関数であるアドレスで、前記変換されたn個の出力ビットが読み取られることを特徴とする請求項1に記載の方法。
【請求項11】 前記k個の部分変換テーブルの内、(k-1)個の部分変換テーブルが、秘密ランダム値を包含することを特徴とする請求項10に記載の方法。
【請求項12】 各非線形変換テーブルを置き換えるように用いられるk個の部分変換テーブルの内、同じ(k-1)個の秘密ランダム変換テーブルが、毎回用いられることを特徴とする請求項10に記載の方法。
【請求項13】 分割によって得られた別個の複数の暗号化計算方法の部分の動作が、連続的に実行されることを特徴とする請求項1に記載の方法。
【請求項14】 分割によって得られた別個の複数の暗号化計算方法の部分の動作が、インタリーブ形式で実行されることを特徴とする請求項1に記載の方法。
【請求項15】 分割によって得られた別個の複数の暗号化計算方法の部分の動作が、マルチプログラミングの場合では、同時並行的に実行されることを特徴とする請求項1に記載の方法。
【請求項16】 分割によって得られた別個の複数の暗号化計算方法の部分の動作が、並行に動作する別々のプロセッサで同時に実行されることを特徴とする請求項1に記載の方法。
【請求項17】 請求項1に記載の方法をスマートカードで利用することを特徴とする方法。
【請求項18】 DES及びトリプルDESアルゴリズムによってサポートされる暗号化計算方法を保護するために、請求項1に記載の方法を利用することを特徴とする方法。」

3.当審拒絶理由
平成21年6月25日付けで当審より通知した拒絶理由の概要は、次のとおりである。

「【理由1】本件出願は、特許請求の範囲の記載が下記の点で、特許法第36条第6項第2号に規定する要件を満たしていない。

(1)、(2)(略)

(3)請求項2には、「前記部分中間変数(v1?vk)と前記中間変数(v)をリンクする関数fが、前記中間変数(v)の1つの値が分かっても、現存する(k-1)項組(v1、...、vi-1、vi+1、...、vk)が、式f(v1、...、vi、...、vk)=vを満たすように、特定の部分の値(vi)のすべてを演繹することが不可能な関数である」
と、「関数f」が満たすべき性質を、否定的な表現を用いて特定した記載があるが、
(ア)「特定の部分の値(vi)のすべてを演繹することが不可能」とは、
(a)上記「現存する(k-1)項組」の部分中間変数の中には演繹できないものがある、すなわち、部分中間変数の一部は演繹することが可能である、ということを意味するのか、あるいは、
(b)上記「「現存する(k-1)項組」には、演繹できる部分中間変数は一つもないことを意味するのか
が記載が曖昧であって明確でないと共に、
(イ)当該「関数f」には、k項組(v1、・・・、vk)の関数のうち、どのようなものが該当し、どのようなものは該当しないのかが技術的(数学的)に明確でないから、発明の範囲を明確に把握することができない。

(4)乃至(8)略

よって、請求項1乃至19の記載は明確でない。

【理由2】本件出願は、特許請求の範囲の記載が下記の点で、特許法第36条第6項第1号に規定する要件を満たしていない。

(1)略
(2)請求項8、9、12及び13に記載された事項が、発明の詳細な説明に記載された事項のうちいずれを指すのかが明確でない。
(例えば、明細書の段落【0044】段落の記載から把握される部分変換テーブルの個数と、請求項8、9、12及び13に記載された事項から把握される部分変換テーブルの個数とは一致していない。)
よって、請求項1乃至19の記載は、発明の詳細な説明に記載されたものではない。

【理由3】本件出願は、明細書及び図面の記載が下記の点で、特許法第36条第4項に規定する要件を満たしていない。

(1)請求項1乃至19に係る発明は、明細書の段落【0014】乃至同【0019】、同【0023】の記載からみて、DPA(差分電力解析)又はHO-DPA(高次差分電力解析)攻撃の危険を取り除くことを目的としたものであると思われるが、請求項1乃至19に記載された構成によって、DPA又はHO-DPA攻撃の危険を取り除くという目的がなぜ達成されるのかが明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても技術的に明確ではない。
(例えば、別個の複数の暗号化計算方法の部分への分割手法に関して格別の記載がない請求項1乃至3の記載から把握される発明は、部分中間変数v1、v2、v3が、いずれも中間変数vと等しい場合(なお、vとv1、v2、v3とは、請求項3に記載の【数1】の関係式をも満たすものとなる。)も包含している。
しかし、この場合は、システムの外部から観測される当該システムの電力消費量の傾向(増加及び減少の様子)は、中間変数vを分割しないで計算する従来のものと同一となる(vが1になるときは、v1、v2、v3とも1になり、vが0になるときは、v1、v2、v3とも0になるため)と予想されるから、従来のDPA攻撃の手法と全く同一の手順で秘密鍵が推定可能となり、攻撃の危険は何ら取り除かれてはいないと思われる。)

したがって、請求項1乃至19に係る発明を、DPA又はHO-DPA攻撃の危険を取り除く目的のためにどのようにして使用すればよいのかが、明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても技術的に明確ではないから、明細書の発明の詳細な説明の記載は、当業者が請求項1乃至19に係る発明の実施をすることができる程度に明確かつ十分に記載されたものとはいえない。

(2)略

(3)請求項1乃至19に係る発明は、DESアルゴリズムにおける「別個の複数の暗号化計算方法」への分割として、明細書段落【0034】乃至段落【0069】、【図3a】、乃至【図3e】に記載されたSボックスの出力を分割した例のみならず、DESアルゴリズムにおける計算の任意の部分を分割の対象とすることを下位概念として包含するものであるが、DESアルゴリズムにおける計算の任意の部分を分割の対象とした場合に、どのように計算の方法を変更すればよいのかが明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても明確に把握することができない
例えば、明細書及び図面の上記記載においては、Sボックスの出力のみならず、Sボックスの入力となる中間変数も分割されているが、当該分割はどのようにして実現されたものであるのかが明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても明確に把握することができない。
したがって、本件の明細書の発明の詳細な説明の記載は、当業者が本件の請求項1乃至19に係る発明の実施をすることができる程度に明確かつ十分に記載されたものとはいえない。

よって、本件の明細書の発明の詳細な説明の記載は、当業者が本件の請求項1乃至19に係る発明の実施をすることができる程度に明確かつ十分に記載されたものではない。」

4.当審判断
(A)【理由1】の(3)について
前記当審の拒絶理由において、「【理由1】本件出願は、特許請求の範囲の記載が下記の点で、特許法第36条第6項第2号に規定する要件を満たしていない。 」として指摘した事項のうち、(3)が本件補正により補正された請求項2の記載において解消されているかについて検討する。

請求項2の記載は、本件補正により
「【請求項2】前記部分中間変数(v_(1)?v_(k))と前記中間変数(v)をリンクする関数fが、前記中間変数(v)の1つの値が分かっても、式f(v_(1)、...、v_(i)、...、v_(k))=vを満たす(k-1)項組(v_(1)、...、v_(i-1)、v_(i+1)、...、v_(k))が存在するような特定の部分の値(v_(i))の集合を演繹することが不可能な関数
であることを特徴とする請求項1に記載の方法。」
と補正されている。
しかし、当該請求項2の「関数f」についての記載である「前記部分中間変数(v_(1)?v_(k))と前記中間変数(v)をリンクする関数fが、前記中間変数(v)の1つの値が分かっても、式f(v_(1)、...、v_(i)、...、v_(k))=vを満たす(k-1)項組(v_(1)、...、v_(i-1)、v_(i+1)、...、v_(k))が存在するような特定の部分の値(v_(i))の集合を演繹することが不可能な関数」という記載も、関数をその有するべき性質で特定するに止まっており、このような性質を有している関数fが、当業者にとり自明あるいは周知なものともいえないことからすると、当該請求項2に記載の「関数f」を技術的(数学的)に明確に把握することができない。
よって、前記当審の拒絶理由において、【理由1】(3)(イ)として指摘した点である「当該「関数f」には、k項組(v1、・・・、vk)の関数のうち、どのようなものが該当し、どのようなものは該当しないのかが技術的(数学的)に明確でない」点は、依然として解消されていない。

なお、審判請求人は、平成21年12月28日付け意見書において、前記当審の拒絶理由において【理由1】の(3)として指摘した点について、以下のとおり意見を述べている。
「(3) 指摘事項(3)について
請求項2中の「特定の部分の値(v_(i))のすべて」は、「特定の部分(v_(i))の集合」を意味する(国際公開第00/046953号のクレーム3、26頁、30行目の“l’ensemble des valeurs particulieres partielles vi”に対応。“ensemble des”は、数学の分野では、“の集合”を意味する。)
請求項2は、関数fが、前記中間変数(v)の1つの値が分かっても、式f(v_(1)、...、v_(i)、...、v_(k))=vを満たす(k-1)項組(v_(1)、...、v_(i-1)、v_(i+1)、...、v_(k))が存在するような特定の部分の値(v_(i))の集合を演繹すること
が不可能な関数であることを述べんとしたものである。
これは、ハッカーにとって、例えば以下のように述べることが不可能であることを意味する。
「特定のvが与えられると、
i=4について、v_(i)は偶数整数でなければならず(すなわち、v_(4)は、偶数整数の集合に属する)、
i=6について、v_(i)は7の倍数でなければならず、
v_(3)+v_(5)はv_(2)よりも大きくなければならない。」
言い換えれば、中間変数vが何であれ、添字iが何であれ、特定の部分の値viは特定の特性を持たない。すなわちviは、ハッカーにより決定でき得る集合に属すことはなく、反対にviは、いかなる考えられる値も取ることができる(例えば、viのビットサイズにより定義された値の定義された範囲内の整数)。
本発明に記載された関数fは、したがって、添字iが1とkの間の何であれ、ハッカーが値vを知っていても、彼がv_(i)が何であり得るかについて推測することができないようなものであり、言い換えればハッカーにとって、v_(i)が考えられる値の何れを有するかの確率が同じであることを意味する。
関数fが上記のような関数であることが明確となるように、請求項2の記載を「前記部分中間変数(v_(1)?v_(k))と前記中間変数(v)をリンクする関数fが、前記中間変数(v)の1つの値が分かっても、式f(v_(1)、...、v_(i)、...、v_(k))=vを満たす(k-1)項組(v_(1)、...、v_(i-1)、v_(i+1)、...、v_(k))が存在するような特定の部分の値(v_(i))の集合を演繹することが不可能な関数であることを特徴とする請求項1に記載の方法。」と補正した。」
また、本件補正により補正された請求項2の記載を引用する請求項3、及び、本願の明細書の【0029】段落には、関数fの例として、各部分中間変数に対してビット毎の排他的論理和をとるものの記載があることが認められる。

しかし、当該意見中の「本発明に記載された関数fは、したがって、添字iが1とkの間の何であれ、ハッカーが値vを知っていても、彼がv_(i)が何であり得るかについて推測することができないようなものであり、言い換えればハッカーにとって、v_(i)が考えられる値の何れを有するかの確率が同じであることを意味する。」等を参酌しても、「添字iが1とkの間の何であれ、ハッカーが値vを知っていても、彼がv_(i)が何であり得るかについて推測することができないような」関数、あるいは、「ハッカーにとって、v_(i)が考えられる値の何れを有するかの確率が同じである」関数、という、その満たすべき性質で特定される関数についても、当該関数が当業者にとり自明あるいは周知なものとはいえない。
また、本願の明細書の【0031】段落に記載の関数f(なお、当該段落には、「nを法とする関数f(v_(i)、・・・、v_(k))=v_(1)・v_(2)・・・v_(k)」と記載されているが、本願の明細書の【0079】段落の記載等を参酌すると、正しくは”nを法とする関数f(v_(1)、・・・、v_(k))=v_(1)・v_(2)・・・v_(k) mod n”であると思われる。)も、「中間変数(v)の1つの値が分かっても、式f(v_(1)、...、v_(i)、...、v_(k))=vを満たす(k-1)項組(v_(1)、...、v_(i-1)、v_(i+1)、...、v_(k))が存在するような特定の部分の値(v_(i))の集合を演繹することが不可能な関数」の例として説明されていることからすると、本件補正により補正された請求項2に記載の関数fは、本件補正により補正された請求項3等に記載された、各部分中間変数に対してビット毎の排他的論理和をとるものに限定されると解することもできない。

よって、同意見及び本件補正により補正された請求項3の記載を検討しても、前記当審の拒絶理由において、【理由1】(3)(イ)として指摘した点である「当該「関数f」には、k項組(v1、・・・、vk)の関数のうち、どのようなものが該当し、どのようなものは該当しないのかが技術的(数学的)に明確でない」点は、依然として解消されない。

よって、当審の拒絶理由において、「【理由1】本件出願は、特許請求の範囲の記載が下記の点で、特許法第36条第6項第2号に規定する要件を満たしていない。 」として指摘した事項のうち、(3)は本件補正により補正された請求項2の記載においても依然として解消していない。
したがって、この出願は、特許請求の範囲請求項2に係る発明の範囲を明確に把握することができないものであるから、特許請求の範囲の請求項2の記載は明確ではなく、特許法第36条第6項第2号に規定する要件を満たしていない。

(B)【理由2】の(2)について;
前記当審の拒絶理由において、「【理由2】本件出願は、特許請求の範囲の記載が下記の点で、特許法第36条第6項第1号に規定する要件を満たしていない。 」として指摘した事項のうち、「(2)請求項8、9、12及び13に記載された事項が、発明の詳細な説明に記載された事項のうちいずれを指すのかが明確でない。
(例えば、明細書の段落【0044】段落の記載から把握される部分変換テーブルの個数と、請求項8、9、12及び13に記載された事項から把握される部分変換テーブルの個数とは一致していない。) 」という事項が、本件補正によって補正された特許請求の範囲における、本件補正による補正前の特許請求の範囲の請求項8、9、12及び13にそれぞれ対応する請求項7、8、11及び12の記載において解消されているかについて検討する。
本件補正によって補正された特許請求の範囲において、請求項7、8、11及び12は次のとおりに記載されている。
「 【請求項7】 前記k個の部分変換テーブルの内、(k-1)個の部分変換テーブルが、秘密ランダム変数を含んでいることを特徴とする請求項6に記載の方法。
【請求項8】 各非線形変換テーブルを置き換えるように用いられるk個の部分変換テーブルの内、同じ(k-1)個の秘密ランダムテーブルが、毎回用いられることを特徴とする請求項6に記載の方法。
【請求項11】 前記k個の部分変換テーブルの内、(k-1)個の部分変換テーブルが、秘密ランダム値を包含することを特徴とする請求項10に記載の方法。
【請求項12】 各非線形変換テーブルを置き換えるように用いられるk個の部分変換テーブルの内、同じ(k-1)個の秘密ランダム変換テーブルが、毎回用いられることを特徴とする請求項10に記載の方法。」

上記記載からみて、請求項7及び11は
(a)k個の部分変換テーブルの内、(k-1)個の部分変換テーブルが、秘密ランダム値を包含すること
を特定したものであり、請求項8及び12は
(b)各非線形変換テーブルを置き換えるように用いられるk個の部分変換テーブルの内、同じ(k-1)個の秘密ランダムテーブルが、毎回用いられること
を特定したものである。
しかし、上記の請求項で用いられている「秘密ランダム変数」、「秘密ランダム値」、「秘密ランダムテーブル」なる用語は、いずれも本願の明細書の発明の詳細な説明に使用された用語ではないため、本願の明細書の発明の詳細な説明の記載との対応が不明であることに加え、これら用語が、仮に「秘密ランダム変換A」や「ランダム関数A」のことを指すものとしても、「秘密ランダム変換A」あるいは「ランダム関数A」は、本願の明細書の【0041】段落の【数4】並びに【図3a】及び【図3c】の記載のように、「第1の(新たな)Sボックス」及び「第2の(新たな)Sボックス」がいずれも含むものであるから、上記(a)の「k個の部分変換テーブルの内、(k-1)個の部分変換テーブルが、秘密ランダム値を包含すること」、すなわち、部分変換テーブルのうち1個は包含しないこととは対応しない。
また、本願の明細書の【0044】段落の「k=2、n=4、及びm=6と指示されている。」との記載、あるいは「(第1の変更例)」の記載からも、上記(a)や上記(b)の事項に対応するものは読み取れない。
さらに、本願の明細書及び図面のその他の記載をみても、上記(a)や上記(b)の事項に対応するものは読み取れない。
よって、本件補正により補正された本願の請求項7、8、11及び12に記載された事項は、当該事項に対応する事項が本願の明細書の発明の詳細な説明及び図面に記載されたものとはいえないから、前記当審の拒絶理由において「【理由2】本件出願は、特許請求の範囲の記載が下記の点で、特許法第36条第6項第1号に規定する要件を満たしていない。 」として指摘した事項のうち、「(2)請求項8、9、12及び13に記載された事項が、発明の詳細な説明に記載された事項のうちいずれを指すのかが明確でない」点は、依然として解消されていない。

なお、審判請求人は、平成21年12月28日付け意見書において、前記当審の拒絶理由において【理由2】の(2)として指摘した点について、以下のとおり意見を述べている。
「(2) 指摘事項(2)について
審判官は、請求項8、9、12及び13(補正後の請求項7、8、11及び12に対応)に記載された事項が、発明の詳細の説明に記載された事項のうちのいずれを指すのかが明確ではないとして、【0044】段落における部分変換テーブルの個数と、請求項8、9、12及び13に記載された部分変換テーブルの個数が一致していないと述べている。
しかしながら、【0044】段落の記載と(補正後の)請求項7、8、11及び12の間には矛盾は存在しない。
請求項7、8、11及び12に記載された発明には、k個の部分変換テーブルが存在する。
一方、【0044】段落は、図3aおよび図3bで説明された第1の例の第1の変形例を記載している。
第1の例を示す図3aの上図は、6個の入力ビットと、4個の出力ビットを取るSで示されたSボックスを伴う標準の暗号化計算方法(与えられた例はDESである)を示している。
図3aの下図で分かる通り、【0044】段落に記載された本願発明の好ましい実施形態は、図3aの上図の元のSボックスを、S'1およびS'2と呼ばれる2個(k=2であるため2個)の新しいSボックスと置き換えることを含んでいる。したがって、これは、請求項7、8、11及び12と完全に一致している。
発明の詳細な説明の【0044】段落の記載に戻ると、DESには8個のSボックスが存在するため(図1bまたはhttp://ja.wikipedia.org/wiki/S-boxを参照のこと)、このことは本願発明により変更されたDESアルゴリズムにおいて(k=2で)16個(8×2=16)の変更されたSボックスをもたらすが、8個のSボックスはすべて同一の構成を有するため、同一の構成を8回記載する必要はなく、図3aに示された技術は8個のDES Sボックスのそれぞれに適用することが可能である。
次に【0044】段落はまた、すべてのSボックスについて同一のランダム関数Aを使用することから成る記憶最適化技術を記載しており、それは、変更されたSボックスの個数を16から9へ減少させることができる。」

しかし、請求項7、8、11及び12に記載の、秘密ランダム変数、秘密ランダム値及び秘密ランダムテーブルについて何ら言及することのない上記意見を参酌しても、本件補正により補正された請求項7、8、11及び12に記載された事項(k個の部分変換テーブルがあり、そのうち(k-1)個が秘密ランダム変数を有すること、あるいは、k個の部分変換テーブルのうち、同じ(k-1)個の秘密ランダムテーブルが毎回用いられること)が、それぞれ発明の詳細な説明のいずれに記載されているのかは明確ではない。

以上のとおり、当審の拒絶理由において、「【理由2】本件出願は、特許請求の範囲の記載が下記の点で、特許法第36条第6項第1号に規定する要件を満たしていない。 」として指摘した事項のうち、(2)は本件補正により補正された特許請求の範囲において、当該理由が通知された請求項に対応する請求項7、8、11及び12においても依然として解消していない。
したがって、この出願は、特許請求の範囲請求項7、8、11及び12に係る発明が発明の詳細な説明に記載されたものでないから、特許法第36条第6項第1号に規定する要件を満たしていない。

(C)【理由3】について
(C-1)【理由3】(1)について
前記当審の拒絶理由において、「【理由3】本件出願は、明細書及び図面の記載が下記の点で、特許法第36条第4項に規定する要件を満たしていない。」で(1)として指摘した点である、各請求項に係る発明の構成により「DPA又はHO-DPA攻撃の危険を取り除くという目的がなぜ達成されるのかが明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても技術的に明確ではない。」という点について、本件補正によって補正された本願の請求項1-6、9、10、13-18に係る発明の構成により、「DPA又はHO-DPA攻撃の危険を取り除く」という目的がなぜ達成されるのかが明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても依然として不明である。
審判請求人は、前記当審の拒絶理由において、【理由3】(1)として指摘した点について、平成21年12月28日付け意見書において次のとおり意見を述べている。
「(1) 指摘事項(1)について
審判官は、請求項に係る発明が攻撃(DPA等)を防止する方法が明確でないと述べている。しかしながら、請求項1は、中間変数v(それらは、攻撃の目的になり得るため、センシティブな変数である)が部分中間変数v_(1)・・・v_(k)により置き換えられるべきであることを記載している。
したがって、vを攻撃することはもはや不可能であり、部分中間変数しか攻撃することができないため、攻撃はもはや有効なものではなくなる(または少なくとも実行することがはるかに困難になる)。
当然、部分中間変数は、適切に選択されるべきであり、審判官が示唆するような、保護されるべき中間値を1つの中間変数として、慎重かつ系統的に選択するようなことは当業者には思い浮かばないことである。このような選択は適切なものではない。当業者であれば、明らかに動作しないような方法で実行する方法を見出すことを試みるよりも、発明を動作させることを試みるであろう。
例えば、車輪が氷で構成されないことを明記することなく、暑い砂漠用に設計された四輪自動車を特許請求する場合に、当業者は、それにもかかわらず、車輪が氷で構成されると、それが直ちに溶け、車が動かないことを理解するので、当業者は氷も、暑い砂漠の環境に明らかに適さない材料も選択することはない。
中間変数に等しい部分中間変数を有する可能性を排除することは望ましくない。なぜなら、部分中間変数の1つが無作為に選択される場合に、理論上この値を取ることが可能であるからである(しかしながら、可能性は非常に低いためこの可能性を利用しようと試みる攻撃は有効なものではない)。
また、 v1、v2およびv3の排他的論理和をとるためにv1=v2=v3=vを使用することを提示し、従来の攻撃の手法と全く同一の手法で秘密鍵が推定可能となると述べる審判官の理由付けは、実際には正しくない。
例えば、DESに関する好ましい実施形態において、再構成を可能にするために、Sボックスは変更され、新しいSボックスに置き換えられ、新しいSボックスには攻撃者により知られていない(一定であり、公の標準のDESのSボックスとは異なり)。v1、v2およびv3が特に不適切な方法で選択されたとしてもこれは確実に、標準のDESによるよりも攻撃のいくつかを実行するのをより複雑にする(多くの攻撃はアルゴリズムの周知の設計を利用するため)。
してみれば、本件の明細書の発明の詳細な説明の記載は、当業者が請求項1乃至18にかかる発明の実施をすることができる程度に明確かつ十分に記載されたものである。」

当該意見書の内容を検討すると、DPA攻撃又はHO-DPA攻撃の危険を取り除くことは、
(i)中間変数vを置き換える部分中間変数v_(1)乃至v_(k)を適切に選択すること、あるいは、
(ii)公の標準のDESのSボックスを、攻撃者には知られていない新しいSボックスに置き換えること
のいずれかによって達成されるものであると主張したものと解されるが、本件補正によって補正された特許請求の範囲請求項1乃至18には、部分中間変数を適切に選択することについて何らの記載もない(なお、本願の明細書及び図面の記載全体を検討しても、DESアルゴリズムに関して中間変数を置き換える部分中間変数をどのように選択すればよいのかについての記載は見いだせない。)から、上記(i)の構成によりDPA攻撃又はHO-DPA攻撃の危険を取り除くという目的を達成するものともいえず、上記(ii)の点である、DESのSボックスを攻撃者には知られていない新しいSボックスに置き換えることについても、本件補正によって補正された特許請求の範囲のうち、少なくとも請求項1-6、9、10、13-18の記載には反映されていない事項であるから、これら請求項は、上記(ii)の構成によりDPA攻撃又はHO-DPA攻撃の危険を取り除くという目的を達成するものともいえない。

よって、当該意見書において「DPA又はHO-DPA攻撃の危険を取り除く」という目的を達成するための事項として主張された点は、いずれも本件補正によって補正された特許請求の範囲1-6、9、10、13-18の記載にその根拠を有するものとはいえず、当該意見書の意見を参酌しても、本件補正によって補正された特許請求の範囲請求項1-6、9、10、13-18の記載を検討しても、「DPA又はHO-DPA攻撃の危険を取り除く」という目的がなぜ達成されるのかは依然として技術的に明確でない。

したがって、本件補正によって補正された特許請求の範囲請求項1-6、9、10、13-18に係る発明を、DPA又はHO-DPA攻撃の危険を取り除く目的のためにどのようにして使用すればよいのかが、明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても技術的に明確ではないから、明細書の発明の詳細な説明の記載は、当業者が当該請求項1-6、9、10、13-18に係る発明の実施をすることができる程度に明確かつ十分に記載されたものとはいえないため、この出願は特許法第36条第4項に規定する要件を満たしておらず、前記当審の拒絶理由で【理由3】(1)として指摘した点は解消されていない。

(C-2)【理由3】(3)について
本件補正により補正された特許請求の範囲請求項1乃至18は、いずれも「複数の暗号化計算方法の部分(PPC_(1)?PPC_(k))に分割され」として、DESアルゴリズムにおける計算の任意の部分を分割の対象としたものを包含するが、前記当審の拒絶理由において、「【理由3】本件出願は、明細書及び図面の記載が下記の点で、特許法第36条第4項に規定する要件を満たしていない。 」で(3)として指摘した点である、「DESアルゴリズムにおける計算の任意の部分を分割の対象とした場合に、どのように計算の方法を変更すればよいのか」は、明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても依然として明確に把握することができない。

審判請求人は前記当審の拒絶理由において、【理由3】(3)として指摘した点について、平成21年12月28日付け意見書において次のとおり意見を述べている。
「(3) 指摘事項(3)について
発明の詳細な説明の【0035】段落乃至【0036】段落には、DESにおける変換の5つのカテゴリーが存在すること、および非線形変換(DESのSボックスは、それの一例である。)は、5つの中の1つにすぎないことを説明している。発明の詳細な説明は、当該段落に次いで、他の4つの変換をどのように処理するかを説明している。また、当業者であれば、出願時の技術常識及び一般的知識に基づいて、これらの教示をAES等の他の対称暗号化アルゴリズムに置き換えることができる。したがって、本件の明細書の発明の詳細な説明の記載は、当業者が請求項1乃至18にかかる発明の実施をすることができる程度に明確かつ十分に記載されたものである。」

しかし、当該意見並びに当該意見において言及されている本願の【0035】段落乃至【0041】段落には、中間変数vが2つの変数v_(1)及びv_(2)へ分割されていることを前提として、DESのアルゴリズムが含む各変換に関する説明はあるものの、当該説明を見ても、説明の前提とされている「中間変数の分割」をどのように行えばよいのかは不明であり、また、DESのアルゴリズムのSボックスの出力以外の部分を分割するとした場合に、DESの各ラウンドを計算する構成がどのようなものとして実現されるのかも不明であるから、前記当審の拒絶理由における【理由3】(3)で例示した「Sボックスの入力となる中間変数も分割されているが、当該分割はどのようにして実現されたものであるのか」という点をはじめ、DESアルゴリズムのSボックスの出力以外の任意の部分を分割の対象とした場合に、中間変数の部分中間変数への分割等の計算方法の変更をどのように行えばよいのかは依然として明確に把握することができない。

したがって、本件補正によって補正された特許請求の範囲請求項1乃至18に係る発明が包含する、DESアルゴリズムにおける計算の任意の部分を分割の対象とした場合に、どのように計算の方法を変更すればよいのかは、明細書の発明の詳細な説明及び図面の記載全体並びに出願時の技術常識を参酌しても依然として明確に把握することができないから、この出願は特許法第36条第4項に規定する要件を満たしておらず、前記当審の拒絶理由で【理由3】(3)として指摘した点は解消されていない。

5.むすび
上記「4.当審判断」の項中の「(A)【理由1】の(3)について」で判断したとおり、この出願は、特許請求の範囲請求項2に係る発明の範囲を明確に把握することができないものであるから、特許請求の範囲の請求項2の記載は明確ではなく、特許法第36条第6項第2号に規定する要件を満たしておらず、また、同「(B)【理由2】の(2)について」で判断したとおり、この出願は特許請求の範囲請求項7、8、11及び12に係る発明が発明の詳細な説明に記載されたものでないから、特許請求の範囲請求項7、8、11及び12の記載は特許法第36条第6項第1号に規定する要件を満たしておらず、さらに、同「(C-1)【理由3】(1)について」及び同「(C-2)【理由3】(3)について」で判断したとおり、この出願は、明細書及び図面につき当業者が特許請求の範囲請求項1乃至18に係る発明の実施をすることができる程度に明確かつ十分に記載されておらず、特許法第36条第4項に規定する要件を満たしていない。
したがって、この出願は特許を受けることができない。

よって、結論のとおり審決する。
 
審理終結日 2010-01-25 
結審通知日 2010-01-26 
審決日 2010-02-16 
出願番号 特願2000-597921(P2000-597921)
審決分類 P 1 8・ 536- WZ (H04L)
P 1 8・ 537- WZ (H04L)
最終処分 不成立  
前審関与審査官 石田 信行  
特許庁審判長 吉岡 浩
特許庁審判官 石井 茂和
宮司 卓佳
発明の名称 物理的解析によってコンピュータシステムを攻撃から保護する秘密鍵暗号化方法  
代理人 大崎 勝真  
代理人 川口 義雄  
代理人 小野 誠  
代理人 坪倉 道明  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ