• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 特36条6項1、2号及び3号 請求の範囲の記載不備 特許、登録しない(前置又は当審拒絶理由) G09C
審判 査定不服 特36条4項詳細な説明の記載不備 特許、登録しない(前置又は当審拒絶理由) G09C
管理番号 1258028
審判番号 不服2008-5224  
総通号数 151 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2012-07-27 
種別 拒絶査定不服の審決 
審判請求日 2008-03-03 
確定日 2012-06-06 
事件の表示 特願2000-556475「スマートカードおよび他の暗号システム用の、漏洩を最小に抑える、改良DESおよび他の暗号プロセス」拒絶査定不服審判事件〔平成11年12月29日国際公開、WO99/67919、平成14年 7月 2日国内公表、特表2002-519722〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 その1.手続の経緯
本願は、1999年6月3日(パリ条約による優先権主張外国庁受理1998年6月3日 アメリカ合衆国)を国際出願日とする出願であって、
平成12年12月4日付けで特許法第184条の4第1項の規定による明細書、請求の範囲、及び、図面(図面の中の説明に限る)の日本語による翻訳文が提出され、平成16年12月28日付けで審査請求がなされる共に手続補正がなされ、平成19年4月13日付けで審査官により拒絶理由が通知され、これに対して同年10月17日付けで意見書が提出されると共に手続補正がなされたが、同年11月21日付けで審査官により拒絶査定がなされ、これに対して平成20年3月3日付けで審判請求がなされると共に、同年4月2日付けで手続補正がなされ、同年6月6日付けで審査官により特許法第164条第3項の規定に基づく報告がなされ、平成21年12月15日付けで当審により特許法第134条第4項の規定に基づく審尋がなされ、平成22年3月18日付けで回答書が提出され、同年10月12日付けで当審により拒絶理由が通知され、これに対して平成23年4月13日付けで意見書が提出されると共に手続補正がなされ、同年5月27日付けで当審により拒絶理由が通知され、同年12月5日付けで意見書が提出されると共に手続補正がなされたものである。

その2.本願発明について
本願に係る発明は、平成23年12月5日付けの手続補正(以下、「本件手続補正」という)により補正された特許請求の範囲の請求項1乃至請求項29に記載された次のとおりのものである。
「 【請求項1】 メッセージについて暗号操作を実行する方法において、前記方法は、前記暗号操作を実行するハードウェア装置により実行され、
(a)初期予測不可能情報を生成するステップと、
(b)前記初期予測不可能情報を使用し、初期秘密数量(initial secret quantity)を、複数の疑似ランダム化された数量に変換するステップであって、(i)前記複数の疑似ランダム化された数量の1つは、前記初期予測不可能情報を含み、(ii)前記初期秘密数量は、前記複数の疑似ランダム化された数量のXORとして、該複数の疑似ランダム化された数量と対応付けられ、(iii)前記初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1要素を含む、変換するステップと、
(c)前記ハードウェア装置において前記疑似ランダム化された数量を使用して前記メッセージについての前記操作を行うことにより、前記ハードウェア装置の外部に存在するエンティティ(entity)により行われる前記ハードウェア装置の監視により得られる前記操作に関する有用情報の量を減らす第1ステップを実行するステップと
を備えたことを特徴とする方法。
【請求項2】 請求項1に記載の方法において、前記初期予測不可能情報は、乱数発生器から得られたランダム値を含み、
前記ステップ(b)は、
(1A)前記ランダム値を第1のデータメッセージに割り当てるステップと、
(1B)前記第1のデータメッセージの第1のビット順序の置換と、該第1のビット順序の置換のインバースとを獲得するステップと、
(1C)前記第1のデータメッセージに対して前記第1のビット順序の置換のインバース操作を行うステップと、
(1D)前記ステップ(1A)からの前記第1のデータメッセージを、前記ステップ(1C)の結果に置き換えることによって、前記疑似ランダム化された数量のうちの第1の数量を生成するステップと、
(2A)前記初期秘密数量と前記ランダム値とのXOR操作の結果を第2のデータメッセージに割り当てるステップと、
(2B)前記第2のデータメッセージの第2のビット順序の置換と、該第2のビット順序の置換のインバースとを獲得するステップと、
(2C)前記第2のデータメッセージに対して前記第2のビット順序の置換のインバース操作を行うステップと、
(2D)前記ステップ(2A)からの前記第2のデータメッセージを、前記ステップ(2C)の結果に置き換えることによって、前記疑似ランダム化された数量のうちの第2の数量を生成するステップと
を含むことを特徴とする方法。
【請求項3】 請求項1に記載の方法において、前記ステップ(b)における前記変換は、前記疑似ランダム化を実行するためのブラインディング操作を含むことを特徴とする方法。
【請求項4】 請求項3に記載の方法において、前記ブラインディング操作は前記XOR操作を含むことを特徴とする方法。
【請求項5】 請求項1に記載の方法において、前記疑似ランダム化された数量のいくつかにおける任意の指定ビットの値が「1」である可能性は2分の1であることを特徴とする方法。
【請求項6】 請求項1に記載の方法において、前記ステップ(c)は複数の前記疑似ランダム化された数量の各々を別個に操作することを含み、該操作はランダムな順序で発生することを特徴とする方法。
【請求項7】 請求項1に記載の方法において、前記暗号操作はDESアルゴリズムと互換性があり、前記方法は、最後の結果を生成するために前記ステップ(c)における前記疑似ランダム化された数量の各々の使用による結果を1セットのデータとして記憶して、該データを前記最後の結果を生成するために使用することも含み、前記最後の結果は前記DESアルゴリズムで変換された前記メッセージの暗号表示であることを特徴とする方法。
【請求項8】 請求項7に記載の方法において、前記DESアルゴリズムの置換テーブルをシャッフルするために予測不可能情報を使用することをさらに備えたことを特徴とする方法。
【請求項9】 請求項8に記載の方法において、前記予測不可能情報を使用して前記置換テーブルをシャッフルすることは、前記置換テーブルの出力を前記疑似ランダム化するためのブラインディング操作を含むことを特徴とする方法。
【請求項10】 請求項8に記載の方法において、前記予測不可能情報を使用して前記置換テーブルをシャッフルすることは、前記置換テーブルの置換を含むことを特徴とする方法。
【請求項11】 請求項8に記載の方法において、前記ステップ(c)は、前記置換テーブルへの6ビット入力を表現する疑似ランダム化されたデータを、前記疑似ランダム化された数量からランダムな順序で抽出することを含むことを特徴とする方法。
【請求項12】 請求項1に記載の方法において、
(d)少なくとも1つの更新された疑似ランダム化された数値を生成するために、追加的な予測不可能な情報を使用して、少なくとも1つの前記疑似ランダム化された数量を更新するステップと、
(e)前記少なくとも1つの更新された疑似ランダム化された数量を使用して前記操作の第2ステップを実行するステップと
をさらに備えたことを特徴とする方法。
【請求項13】 請求項12に記載の方法において、前記ステップ(d)は、前記少なくとも1つの疑似ランダム化された数量のビット位置をリオーダリングすることを含むことを特徴とする方法。
【請求項14】 請求項12に記載の方法において、前記ステップ(d)は、前記少なくとも1つの疑似ランダム化された数量のビット値を疑似ランダム化することを含むことを特徴とする方法。
【請求項15】 請求項12に記載の方法において、前記ステップ(d)は、前記更新に先立って、障害カウンタを増分させ、検査し、前記更新後に前記障害カウンタをクリアすることを含むことを特徴とする方法。
【請求項16】 請求項12の方法において、前記ステップ(c)は、複数のパラメータを使用して前記操作の前記第1ステップを実行することを含み、前記方法は、前記パラメータを初期設定するために予測不可能情報を使用することと、複数の更新されるパラメータを生成するために前記パラメータを更新することとをさらに備え、前記ステップ(e)は、前記更新されたパラメータを使用して前記操作の前記第2ステップを実行することを含むことを特徴とする方法。
【請求項17】 キーを使用してメッセージに暗号操作を実行する方法において、前記方法は、前記暗号操作を実行するハードウェア装置において実行され、
(a)予測不可能な情報を使用し、前記メッセージを複数のメッセージ部分に変換するステップであって、(i)前記複数のメッセージ部分の少なくとも1つは、前記予測不可能な情報を含み、(ii)前記複数のメッセージ部分のXORが、前記メッセージを生じさせる、ステップと、
(b)予測不可能な情報を使用し、前記キーを複数のキー部分に変換するステップであって、(i)前記キー部分の少なくとも1つは、前記予測不可能な情報を含み、(ii)前記複数のキー部分のXORが、前記キーを生じさせる、ステップと、
(c)ハードウェア装置の外部に存在するエンティティにより行われる前記ハードウェア装置の外部監視から得られる前記操作に関する有用情報の分量を減らすために、前記ハードウェア装置で前記キー部分を使用して前記メッセージ部分に前記暗号操作の第1ステップを実行するステップと、
(d)前記複数のメッセージ部分の少なくとも1つを予測不可能な情報で更新するステップであって、当該更新はリオーダリング及び疑似ランダム化操作を含む、ステップと、
(e)前記複数のキー部分の少なくとも1つを予測不可能な情報で更新するステップであって、当該更新はリオーダリング及び疑似ランダム化操作を含む、ステップと、
(f)ハードウェア装置の外部に存在するエンティティにより行われる前記ハードウェア装置の外部監視から得られる前記操作に関する有用情報の分量を減らすために、前記ハードウェア装置で前記キー部分を使用して前記メッセージ部分に前記暗号操作の少なくとも第2ステップを実行するステップと、
(g)暗号結果を出力するステップと
を備えたことを特徴とする方法。
【請求項18】 請求項17に記載の方法において、前記戻された暗号結果を、前記メッセージに前記DESアルゴリズムを適用することによって引き出される値に変換可能となるように、前記暗号操作は前記DESアルゴリズムと互換性があることを特徴とする方法。
【請求項19】 請求項17に記載の方法において、前記暗号操作はDESアルゴリズムを含み、前記方法は前記ステップ(c)および前記ステップ(f)の間で前記DESアルゴリズムの置換テーブルをリシャッフルするために予測不可能な情報を使用するステップをさらに備えたことを特徴とする方法。
【請求項20】 請求項17に記載の方法において、前記キー部分と前記キーとの間の前記XOR関係が、前記ステップ(e)で前記キー部分が更新されたときに保存されることを特徴とする方法。
【請求項21】 暗号化処理装置の電力消費の外部監視による秘密数量の発見に対して抵抗性のある方法で暗号操作を実行するための前記暗号化処理装置であって、
(a)前記秘密数量を表す少なくとも1つの値を含む保護メモリと、
(b)前記秘密数量を、複数の疑似ランダム化された数量に変換する予測不可能な情報の生成器であって、前記複数の疑似ランダム化された数量の1つは、前記予測不可能情報を含み、前記秘密数量は、前記複数の疑似ランダム化された数量のXORによって表される、予測不可能な情報の生成器と、
(c)前記メモリに接続され、(i)前記暗号化処理装置によって受信したデータを疑似ランダム化し、(ii)(b)からの複数の疑似ランダム化された数量を使用して、(i)からの前記疑似ランダム化データに対して暗号変換を実行するように構成されたプロセッサと
を備えたことを特徴とする暗号化処理装置。
【請求項22】 請求項21に記載の装置において、前記装置はスマートカードを備えたことを特徴とする装置。
【請求項23】 請求項21に記載の装置において、前記暗号変換中に前記電力消費量は測定できる程度に変化するが、前記電力消費量の測定値は前記秘密数量と相関しないことを特徴とする装置。
【請求項24】 請求項21に記載の装置において、予測不可能な情報の前記生成器は、少なくとも1つのランダム値を生成する乱数発生器を備え、
予測不可能な情報の前記生成器における前記変換は、
(1A)前記ランダム値を第1のデータメッセージに割り当て、
(1B)前記第1のデータメッセージの第1のビット順序の置換と、該第1のビット順序の置換のインバースとを獲得し、
(1C)前記第1のデータメッセージに対して前記第1のビット順序の置換のインバース操作を行い、および、
(1D)前記(1A)からの前記第1のデータメッセージを、前記(1C)の結果に置き換えることによって、前記疑似ランダム化された数量のうちの第1の数量を生成し、
(2A)前記秘密数量と前記ランダム値のXOR操作の結果を第2のデータメッセージに割り当て、
(2B)前記第2のデータメッセージの第2のビット順序の置換と、該第2のビット順序の置換のインバースとを獲得し、
(2C)前記第2のデータメッセージに対して前記第2のビット順序の置換のインバース操作を行い、および、
(2D)前記(2A)からの前記第2のデータメッセージを、前記(2C)の結果に置き換えることによって、前記疑似ランダム化された数量のうちの第2の数量を生成する ことを特徴とする装置。
【請求項25】 請求項21に記載の装置において、少なくとも1つのレジスタの任意の単一ビットと前記秘密数量との間の相関は検出不可能なほど小さいが、前記少なくとも1つのレジスタの結合した複数ビットと前記秘密数量との間の相関は測定できる程度に大きい、前記疑似ランダム化された数量を一時的に格納するための、少なくとも1つのレジスタを備えたことを特徴とする装置。
【請求項26】 請求項25に記載の装置において、前記装置がISO7816準拠スマートカードであることを特徴とする装置。
【請求項27】 暗号操作を実行するための装置において、
(a)暗号化処理を実行することであって、
(i)予測不可能な情報を使用して、秘密パラメータを第1の複数のパラメータとして符号化し、前記第1の複数のパラメータの少なくとも1つは、前記予測不可能な情報を含み、前記第1の複数のパラメータはXOR関係を有し、
(ii)入力データを受信し、
(iii)前記複数のパラメータを使用して前記入力データに暗号操作を実行し、 (iv)前記暗号操作の結果を伝送する
ことによって、暗号化処理を実行し、
(b)前記第1の複数のパラメータを更新することであって、
(i)前記秘密パラメータを表す前記符号化された第1の複数のパラメータを獲得し、
(ii)前記第1の複数のパラメータを更新するブラインディング操作を行うために用いられるブラインディング係数を獲得し、
(iii)前記第1の複数のパラメータおよび前記ブラインディング係数から第2の複数のパラメータを生成することであって、
(1)前記第2の複数のパラメータと前記第1の複数のパラメータとの間にXOR関係を含む数学的関係が存在し、かつ、
(2)前記第2の複数のパラメータは前記第1の複数のパラメータと異なる、
ように前記第2の複数のパラメータを生成する、
ことによって、前記第1の複数のパラメータを更新する、
ように構成されていることを特徴とする装置。
【請求項28】 請求項27に記載の装置において、前記第1又は第2の複数のパラメータの任意の1つと前記秘密パラメータとの間に測定できる程度の相関がまったくないことを特徴とする装置。
【請求項29】 請求項27に記載の装置において、前記第2の複数のパラメータは、
(a)置換された部分であって、置換された順序に一連のビットを含む、部分と、
(b)順序付け部分であって、前記置換された部分における前記ビットの順序を含む、
部分と
を含むことを特徴とする装置。」

その4.当審の拒絶理由
一方、当審が、平成23年5月27日付けで通知した拒絶理由(以下、「当審拒絶理由」という)は、次のとおりである。

「 理 由
1)省略
2)本件出願は、明細書及び図面の記載が下記の点で不備のため、特許法第36条第6項第1号、第2号及び第4項に規定する要件を満たしていない。



理由1.・・・・<中略>・・・・
平成12年12月4日付けで提出された翻訳文(以下、「当初明細書」という)には、その段落【0030】 に、
(あ)「2つの56ビットキー(K1およびK2)および2つの64ビットの平文テキストメッセージ(M1およびM2)を使用するが、K1P{K1}XORK2P{K2}は「標準」DESキーKに等しくなり、M1P{M1}XORM2P{M2}は「標準」平文テキストに等しくなるように、それぞれが置換(つまり、K1P、K2P、M1P、M2P)に対応づけられる」、
その段落【0031】に、
(い)「置換およびブラインドされた値は以下のように生成される。56ビットキーKからK1およびK2を生成するために、ランダム値K1が生成され、次いでK2がK2=K XOR K1として演算される。(本明細書で使用される「ランダム」という用語は、真のランダム値および攻撃者には予測不可能な疑似乱数やその他の値を含むものとする。ランダム値を生成する方法は、背景技術でよく知られており、ここでは詳細を説明するまでもない。)次に、K1PおよびK2Pのランダム置換が生成され、逆K1PはK1に適用され、逆K2PはK2に適用される。同様に、メッセージMをM1およびM2に分割するには、M1が64ビットランダム値に等しくセットされ、次いでM2がM2=MXORM1になるようにセットされる。次に、M1PおよびM2Pのランダム置換が作成され、それらの逆がM1およびM2にそれぞれ適用される」、
その段落【0042】に、
(う)「複数の装置が1つのキーを共用する場合、そのキーは、それぞれ独特のキーパラメータのセット(K1、K2、K1P、K2P」によって初期設定することが好ましい」、
その段落【0045】に、
(え)「キーKを使用して64ビットの入力メッセージMを結果に変換する。図1は、本発明の典型的なDES暗号化プロセスを示す。ステップ100では、変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される。さらに、ステップ100では、変換されたキーが、同様にK1、K2、K1P、K2Pとして符号化されて獲得される。この形式でメッセージとキーが使用可能でない場合は、さらに変換される。たとえば、メッセージMを変換するには、装置はランダムな64ビットの値Rを獲得し、M1=MXORRおよびM2=Rを計算し、ランダム化された置換M1PおよびM2Pを作成し、M1およびM2をM1PおよびM2Pの逆に従って置換する(つまり、M1およびM2をM1P_Inverse{M1}およびM2P_Inverse{M2}にそれぞれ置換える)同様の変換をキーKに適用することができる」、
その段落【0046】に、
(お)「閾値に達しない場合は、キー(K1、K2、K1P、K2P)およびメッセージ(M1、M2、M1P、M2P)の入力パラメータが更新される。更新プロセスは、リオーダリングおよびランダム化という2つの基本的な操作からなる。リオーダリングは、データビットおよび置換項目の位置を更新する。K1P(またはK2P)の要素のペアとK1(またはK2)のビットの相補ペアを交換すると、メッセージの有効値は変更されないが、その符号化はリオーダされる。ランダム化は、本実施形態でXOR操作を通してデータビット値をブラインドする。同じランダムな論理値をK1のビットとK2の対応するビットにXORしても、K1P{K1}XORK2P{K2}の値には何の影響も及ぼさない。相関攻撃を回避するために、XORへの値でXORテーブルが構築され、K1PおよびK2Pと置換され、最終的にはK1およびK2に別個に適用される。将来のトランザクションでそのキーが使用される予定の場合、そのキーに対する入力パラメータは、(完全で誤りのない書き込み操作を使用して)長期メモリで更新された値によって上書きされる。上述のとおり、メッセージ(M1、M2、M1P、M2P)に対する入力パラメータは、キーの場合と同様の方法でリオーダおよびランダム化することができる」、
その段落【0047】に、
(か)「標準DESのアルゴリズムの一部である初期置換(IP)は、入力メッセージに適用される。M1およびM2は、置換形式で格納されるため、初期置換は、M1P{M1}およびM2P{M2}の値に影響を及ぼす必要がある。実施態様にとって、データ(つまり、M1およびM2)の変更は可能ではあるが、必須ではない。置換操作は、置換表自体のみを操作すること、IPをM1PおよびM2Pなどの置換に適用すること、たとえば新しいM1P=IP{M1P}および新しいM2P=IP{M2P}を計算することによって適用することができる」、
その段落【0050】に、
(き)「ステップ140では、キー(K1、K2、K1P、K2P)を置換することによってラウンドキーが準備され、8つの各S操作に必要とされる6キービットを分離する」、
その段落【0053】に、
(く)「ステップ230では、ビット選択のために置換M1Pを使用して、現行のS操作に対応するM1から6つの入力ビットが抽出され、qにXORされる。この6ビット抽出とXOR操作は、ランダムな順序で実行される。選択されたビットは、現行のSインデックスへのE拡張操作によって選択された6ビットのグループに対応する。ビットは、S_INPUT_PERM[j]によって指定された順序でqに置かれる。ステップ235は、M2の適切な6ビットがM2Pを使用して選択されることを除いて、ステップ230に類似している」、
その段落【0054】に、
(け)「ステップ240では、ビット選択のために置換K1Pを使用して、S操作への6キービット入力がK1から選択される。6ビット抽出およびXOR操作は、ランダムな順序で実行される。選択されたビットは、現行ラウンドの現行S操作使用された6キービットに対応する。(前に図1のステップ120および140で実行されたキー置換がラウンドのPC2置換の結果をM1Pの隣接ビットとして置くと、jはK1Pの6ビットの適切なブロックへのインデックスとして使用される。)ビットは、S_INPUT_PERM[j]によって指定された順序でqに置かれる。ステップ245は、K2の適切な6ビットがK2Pを使用して選択されることを除いて、ステップ240に類似している」、
その段落【0055】に、
(こ)「ステップ260では、Sテーブルの結果の左半分にある各4ビットのために、装置はS結果置換、P置換、およびM1P置換を実行した結果に対応するM1において目的位置を識別する。左の4S結果ビットは、それぞれS_OUTPUT_ORDER[j]の要素の前半に従って置換され、対応するM1ビットにXORされる。(最終的に、これらの置換は、Lの適切な宛先ビットに対応するM1のビットを目標にする。)M2PとS_OUTPUT_ORDER[j]の後半を使用して、S結果の右半分の4ビットをM2にXORするために同じことが行われる」、
その段落【0057】に、
(さ)「ステップ280で、S_OUTPUT_MASKの値がM2にXORされる(もちろん、M2Pに従って調整される)。ステップ280では、データの左右の半分は、M1、M1Pで交換される。この交換は、上述の通り、M1Pを変更することによってのみ達成することのできるビット置換として実施することができることに留意されたい。同様に、M2、M2Pの左右の半分も交換される」、
その段落【0059】に、
(し)「置換操作は置換表自体(M1PおよびM2P)を操作することによってのみ適用することができ、データを操作する必要はないデータの追加的なリオーダリングまたはランダム化は、ランダムで実行される。最終的に、ステップ170では、(M1、M2、M1P、M2P)に含まれる結果は戻される。結果が、秘密でない場合(例:暗号テキスト)、M1P{M1}XORM2P{M2}を計算することによって、標準DESの暗号テキストが生成される」、
との記載は存在するが、<以下省略>

理由2の1.36条6項1号について
1.本願の請求項3に、
「請求項1に記載の方法において、前記初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1つを含むことを特徴とする方法。」
とあり、「少なくとも1つ」との表現から、同請求項3は、「初期秘密数量」が、「メッセージ」、或いは、「キー」の何れか一方のみである構成を含むものである。
しかしながら、上記理由1で引用した(あ)?(し)の記載にもあるように、本願明細書の発明の詳細な説明においては、「メッセージM」と「キーK」の両方を用いて処理を行っており、どちらか一方のみで処理を行う点は記載されておらず、その処理内容からみて、どちらか一方のみで処理を行う構成が当業者にとって自明のものでもない。
よって、同請求項3に記載の発明は、本願明細書の発明の詳細な説明に記載されたものでない。

2.省略

理由2の2.36条6項2号について
1.平成23年4月13日付けの手続補正によって補正された請求項1に、
「メッセージについて暗号操作を実行する方法において・・・・(中略)・・・・
(a)初期予測不可能情報を生成するステップと、
(b)前記初期予測不可能情報を使用し、初期秘密数量(initial secret quantity)を、複数の疑似ランダム化された数量に変換するステップであって、(i)前記複数の疑似ランダム化された数量の1つは、前記初期予測不可能情報を含み、(ii)前記初期秘密数量は、前記複数の疑似ランダム化された数量のXORとして、該複数の疑似ランダム化された数量と対応付けられる、変換するステップと、
(c)前記ハードウェア装置において前記疑似ランダム化された数量を使用して前記メッセージについて前記操作を行うことにより・・・・(以下略)・・・」
と記載されているが、
(イ)上記引用記載中の「メッセージ」と「初期秘密数量」との関係が不明である。
上記理由1に引用した当初明細書(以下、「本願明細書」という)の(い)の記載に、
「56ビットキーKからK1およびK2を生成するために、ランダム値K1が生成され、次いでK2がK2=K XOR K1として演算される」、
「メッセージMをM1およびM2に分割するには、M1が64ビットランダム値に等しくセットされ、次いでM2がM2=MXORM1になるようにセットされる」
同じく(え)の記載に、
「たとえば、メッセージMを変換するには、装置はランダムな64ビットの値Rを獲得し、M1=MXORRおよびM2=Rを計算」、
との記載があり、上記引用記載中の「64ビットランダム値」、「ランダム値」、「ランダムな64ビットの値R」が、請求項1における「初期予測不可能情報」、また、上記引用記載中の「K1」、「K2」、及び、「M1」、「M2」が、請求項1における「複数の疑似ランダム化された数量」であるとすれば、本願明細書に記載の内容においては、「メッセージM」、或いは、「56ビットキー」が、「複数の疑似ランダム化された数量」の、少なくとも1つに変換され、「ランダム値」=「K1」、「64ビットランダム値」=「M1」、或いは、「ランダムな64ビットの値R」=「M2」であるから、「初期予測不可能情報」そのものが、「複数の疑似ランダム化された数量」の1つとなって、「複数の疑似ランダム化された数量」の少なくとも1つは、「56ビットキーK」、或いは、「メッセージM」から生成されたものではないことが読み取れ、
そして、同じく(え)に記載の、
「同様の変換をキーKに適用することができる」から、本願明細書の記載内容からは、
“キーKを変換するには、装置はランダムな56ビットの値R’を獲得し、K1=KXORR’及びK2=R’を計算”するものとも読み取れる。
ここで、請求項1における「初期秘密数量」とは、本願明細書における「キーK」を指すものであり、「メッセージ」と「初期秘密数量」とは“別物”であるとすると、
請求項1においては、「キーK」のみを「複数の疑似ランダム化された数量」とし、それを用いて「メッセージ」について「前記操作」を行うことになり、本願明細書においては、「キーK」と「乱数R’」から生成した「K1」、「K2」のみで処理を行う点は記載されていないので、本願明細書に記載の、「メッセージM」と「乱数R」から生成した「M1」、「M2」及び、「キーK」と「乱数R’」から生成した「K1」、「K2」とを用いて処理を行う構成とは対応せず、
また、請求項1において、「メッセージ」も“暗号化”しなければならない“秘密情報”であるから、請求項1における「初期秘密数量」とは、“暗号化”される前の「メッセージ」と「キー」とを含む表現であるとすると、“メッセージMを乱数R、または、乱数を用いて変換した値M1、M2を用いて、メッセージMを暗号化する”という構成も含まれることになり、そのような処理をどのようにして実現しているのか、請求項1に記載の内容からは、不明である。
(ロ)請求項1についての上記引用記載中の、
「(ii)前記初期秘密数量は、前記複数の疑似ランダム化された数量のXORとして、該複数の疑似ランダム化された数量と対応付けられる」とは、何を表現したものであるか、該引用の日本語表現からは不明である。
((え)に引用の、「ステップ100では、変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される」を表現しようとしたものか?、であるならば、“複数の生成された疑似ランダム化された数量変換した数量同士の排他的論理を計算することで、元のメッセージ復元できる”という意味か?)

2.本願の請求項2乃至17は、同請求項1を、直接・間接に引用するものであるから、上記理由2の2.1で指摘の明確でない構成を内包し、かつ、同請求項2乃至17に記載の内容を加味しても、上記理由2の2.1で指摘の明確でない構成が明確になるものでもない。加えて、
(イ)省略
(ロ)省略
(ハ)同じく同請求項2の、
「(B1)第1のビット順序の置換と、該第1のビット順序の置換のインバースとを獲得するステップ」、
「(B2)第2のビット順序の置換と、該第2のビット順序の置換のインバースとを獲得するステップ」における、
「第1のビットの順序」、「第2のビットの順序」とは、どの“データ”についての、「ビットの順序」であり、また、「ビットの順序の置換」とは、どのような処理であるか不明である。
この点について、本願明細書の発明の詳細な説明を参酌すると、
「順序の置換」、「インバース」に関しては、上記で引用の(い)に、
「K1PおよびK2Pのランダム置換が生成され、逆K1PはK1に適用され、逆K2PはK2に適用される」、
「M1PおよびM2Pのランダム置換が作成され、それらの逆がM1およびM2にそれぞれ適用される」、
同(え)に、
「M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される」、
「M1=MXORRおよびM2=Rを計算し、ランダム化された置換M1PおよびM2Pを作成し、M1およびM2をM1PおよびM2Pの逆に従って置換する(つまり、M1およびM2をM1P_Inverse{M1}およびM2P_Inverse{M2}にそれぞれ置換える」、
との記載はあるものの、(い)における、「K1P」、「K2P」、「M1P」、「M2P」が何から得られた値で、「ランダム置換」とは、どのような処理で、「逆K1P」、「逆K2P」とは、「K1P」、「K2P」に対して、どのような処理を行うことによって得られた、どのような値であるか、また、「それらの逆」とは、どのような処理で得られた、どのような値で、「適用される」とはどのような処理であるか不明であり、
また、同じく(え)における、「M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換」とは、何の「順序」をどのように「置換」するのか、「M1およびM2をM1PおよびM2Pの逆に従って置換する」とは、どのような処理か不明であるから、本願明細書の発明の詳細な説明に記載の内容を参酌しても、同請求項2における「(B1)」、及び、「(B2)」の処理がどのようなものであるか、不明である。
(ニ)同じく同請求項2の、
「C1)前記第1のデータメッセージに対して前記第1のビット順序の置換のインバース操作を行うステップ」、
「(C2)前記第2のデータメッセージに対して前記第2のビット順序の置換のインバース操作を行うステップ」、
「(D1)前記第1のデータメッセージを、前記ステップ(C1)の結果に置き換えることによって、前記疑似ランダム化された数量のうちの第1の数量を生成するステップ」、
「(D2)前記第2のデータメッセージを、前記ステップ(C2)の結果に置き換えることによって、前記疑似ランダム化された数量のうちの第2の数量を生成するステップ」、
とは、それぞれ、どのような処理であるか、本願明細書の記載内容、特に、上記項目(ハ)で引用の、(い)、及び、(え)に記載の内容を加味しても不明である。

3.省略

4.同請求項19乃至21は、同請求項18を直接・間接に引用するものであるから,上記理由2の2.3で指摘の明確でない構成を内包し、かつ、同請求項19乃至21に記載の内容を加味しても、上記項目2の2.3で指摘の明確でない構成が、明確になるものでもない。

5.同請求項22は、独立請求項であるが、同請求項1に記載の発明と同様の構成を有しているので、その点に関して、同請求項1について指摘した事項は、同請求項22についても同様に意味不明である。
加えて、
同請求項22に記載の、「予測不可能な情報のソース」とは何か、同請求項、及び、他の請求項に記載の内容を加味しても不明である。 以下省略

6.同請求項23乃至27は、同請求項22を直接・間接に引用するものであるから、上記理由2の2.4で指摘の明確でない構成を内包し、かつ、同請求項22乃至27に記載の内容を加味しても、上記項目2の2.4で指摘の明確でない構成が、明確になるものでもない。
加えて、同請求項25に記載の内容は、同請求項2に記載の内容と同等の内容が存在するので、上記理由2の2.2の(イ)?(二)で指摘したように、その構成が不明である。

7.同請求項28に、
「暗号操作を実行するための装置において、
(a)(i)秘密パラメータを符号化した第1の複数のパラメータを獲得し、
(ii)入力データを受信し、
(iii)前記複数のパラメータを使用して前記入力データに暗号操作を実行し、
(iv)前記暗号操作の結果を伝送する
ことによって、暗号化処理を実行し、
(b)(i)前記秘密パラメータを表す前記符号化された第1の複数のパラメータを獲得し、
(ii)前記第1の複数のパラメータを更新するブラインディング操作を行うために用いられるブラインディング係数を獲得し、
(iii)(1)前記第1の複数のパラメータとの間に数学的関係が存在し、かつ、
(2)前記第1の複数のパラメータと異なる、第2の複数のパラメータを、前記第1の複数のパラメータおよび前記ブラインディング係数から生成することによって、前記パラメータを更新する、ように構成されていることを特徴とする装置。」
と記載されているが、
(イ)「秘密パラメータを符号化」とは、どのような処理か不明である。
(ロ)「秘密のパラメータ」と「入力データ」との関係が不明である。
(上記の項目で繰り返し指摘しているように、本願明細書の発明の詳細な説明においては、「入力データ」に相当する「メッセージM」も、「疑似ランダム化」され、この値と、「秘密のパラメータ」に相当する「キーK」を、「疑似ランダム化」した値の両方を用いて、暗号化処理を実現しているものと解されるので、
同請求項28の記載内容が、「秘密のパラメータ」のみしか、「疑似ランダム化」しておらず、それのみで暗号化処理を実現していることを表現しているのであれば、同請求項28に記載の発明は、発明の詳細な説明の記載に基づかないものとなるが、同請求項28に記載の内容では、そう断定することができないので上記の指摘とした。)
(ハ)「ブラインディング係数」とは何か不明である。
(ニ)省略
(ホ)省略

8.同請求項29乃至31は、同請求項28を直接・間接に引用するものであるから、上記理由2の2.5で指摘の明確でない構成を内包し、かつ、同請求項29乃至31に記載の事項を加味してもその点が明確になるものでもない。以下、省略

理由2の3.36条4項について
1.省略

2.省略

3.請求項1、請求項3、請求項22、請求項28においては、
「メッセージ」、「受信したデータ」、或いは、「入力データ」を、「初期秘密数量」、「秘密数量」、或いは、「秘密パラメータ」を「複数の疑似ランダム化された数量」、或いは、「複数のパラメータ」に「変換」、或いは、「引き出」して、「暗号操作」を行っており、これらの請求項に記載の発明は、“1つの秘密数量”を用いて、暗号操作を実現する構成を含むものであるが、(あ)?(し)で引用した記載にもあるとおり、発明の詳細な説明においては、「メッセージ」と「キー」の2つの「秘密情報」を「疑似ランダム化」して、「暗号操作」を行っており、発明の詳細な説明からは、どのようにして、1つのみの「秘密数量」を用いて、「暗号操作」を実現するか不明である。

4.(あ)に記載の、
「K1P{K1}XORK2P{K2}は「標準」DESキーKに等しくなり、M1P{M1}XORM2P{M2}は「標準」平文テキストに等しくなるように、それぞれが置換(つまり、K1P、K2P、M1P、M2P)に対応づけられる」、
(い)に記載の、
「M1PおよびM2Pのランダム置換が作成」、
(え)に記載の、
「変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される」、
「ランダム化された置換M1PおよびM2Pを作成し、M1およびM2をM1PおよびM2Pの逆に従って置換する(つまり、M1およびM2をM1P_Inverse{M1}およびM2P_Inverse{M2}にそれぞれ置換える)」、
(お)に記載の、
「K1P(またはK2P)の要素のペアとK1(またはK2)のビットの相補ペアを交換する」、
「K1PおよびK2Pと置換され」、
といった処理、及び、発明の詳細な説明において、上記引用の処理に関連する処理は、それぞれ、どのような処理が行われているか、本願明細書及び図面に記載の内容を全て加味しても不明である。

以上のとおりであるから、本願明細書の発明の詳細な説明は、通商産業省令に定めるところにより、その発明の属する技術の分野における通常の知識を有するものがその実施をすることができる程度に明確かつ十分に、記載したものではない。」

その5.当審の判断
(1)「理由2の1.36条6項1号について」の項目1、及び、「理由2の2.36条6項2号について」の項目1.(イ)に関して
本件手続補正によって、平成23年4月13日付けの手続補正書で補正された請求項(以下、「補正前の請求項」という)3が削除され、補正前の請求項3に記載されていた「初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1つを含む」との記載が、本件手続補正によって補正された請求項(以下、「補正後の請求項」という)1に、「初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1要素を含む」として、組み入れられたので、上記2つの当審拒絶理由の項目を併せて、以下に検討する。
補正後の請求項1に組み入れられた記載について、本願明細書の発明の詳細な説明には、
「 【0012】
キーおよびメッセージの両方をそれぞれ2つのサブパートに置換するということに関して本発明を説明してきたが、当業者には、これらのどちらか1つまたは両方が(他の秘密数量と同様)3つ以上の多くの部分に置換されうることが理解されよう。さらに、本発明をDESに関連して説明してきたが、Blowfish、SEAL、IDEA、SHA、RC5、TEAおよび本発明の技術のアプリケーションに適した操作を必要とする他の暗号アルゴリズムを含む(限定はされない)他の暗号対称アルゴリズムにも本発明を適用/適応することができる。DESを含むそのようなすべての場合、本明細書で使用される「平文テキスト」という用語は、どのような暗号プロトコル(例:DES)が使用されているかに関する平文テキスト形式の数量を示すことが理解されよう。したがって、「平文テキスト」数量は、実際には他のアルゴリズムを使用して暗号化されるが、検討中の暗号プロトコルに関連した平文テキストの意味の範囲内にとどめることができる。」
との記載が存在するが、上記記載の特に、
「キーおよびメッセージの両方をそれぞれ2つのサブパートに置換するということに関して本発明を説明してきたが、当業者には、これらのどちらか1つまたは両方が(他の秘密数量と同様)3つ以上の多くの部分に置換されうることが理解されよう」が意味するところが、
“これより上の説明では、キーとメッセージの両方を2つの部分に分けること説明していたが、キーとメッセージのいずれか一方を2つに別けるのではなく、3つ以上に別けても良い”ということを表現しているものであって、より分かり易く表現すれば、
“(キー、メッセージ)の組を、(2分割、2分割)の組ではなく、(2分割、3分割以上)の組、(3分割以上、2分割)の組、あるいは、(3分割以上、3分割以上)の組としても良い”ということを表現するものであって、
“キー、或いは、メッセージの何れか一方だけ分割すれば良い”ということを表現したものでないことは、当該指摘の日本語文章から明らかである。
そして、本願明細書中には、
「初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1要素を含む」との記載は存在せず、
また、本願明細書中には、当審拒絶理由で引用した上記(あ)?(し)に記載された内容からも明らかなように、「メッセージM」と「キーK」の両方を用いて処理を行うことが記載されるのみであり、「メッセージM」と「キーK」のどちらか一方のみで処理を行うことは、本願明細書の発明の詳細な説明、及び、図面から読み取ることはできない。
よって、本件手続補正によって、補正前の請求項3に「初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1つを含む」と記載され、補正前の請求項1に「初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1要素を含む」として組み入れられた、
「初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1要素を含む」は、本願明細書の発明の詳細な説明に記載されたものでない。

この点について、請求人は、平成23年12月5日の意見書(以下、「意見書」という)において、
「(5)理由2の1について
1.審判官殿は、請求項3は、「初期秘密数量」が、「メッセージ」、或いは、「キー」の何れか一方のみである構成を含むものであるが、本願明細書の発明の詳細な説明においては、「メッセージM」と「キーK」の両方を用いて処理を行っており、どちらか一方のみで処理を行う点は記載されておらず、その処理内容からみて、どちらか一方のみで処理を行う構成が当業者にとって自明のものでもなく、よって、同請求項3に記載の発明は、本願明細書の発明の詳細な説明に記載されたものでないとしました。
しかしながら、段落[0012]には、「キーおよびメッセージの両方をそれぞれ2つのサブパートに置換するということに関して本発明を説明してきたが、当業者には、これらのどちらか1つまたは両方が(他の秘密数量と同様)3つ以上の多くの部分に置換されうることが理解されよう。」と記載されておりますとおり、本願明細書の発明の詳細な説明には、「メッセージ」と「キー」のどちらか一方のみで処理を行う点が記載されているものと思料致します。関連する事項は、段落[0029]から[0031]にも記載されております。
なお、補正により補正前の請求項3の構成は、補正前の請求項1に組み込まれました。」
との主張をしているが、本願明細書の段落【0012】に記載された内容は上記のとおりであり、また、同段落【0029】?【0031】に記載された内容は、同段落【0029】は、DESが56ビットキーと64ビットメッセージを用いるという当業者に自明の事項が記載されているに過ぎず、また、同段落【0030】、【0031】に記載の内容は、当審拒絶理由の理由1において、(あ)及び(い)として引用したとおりであり、当該内容からは、
“「キー」と、「メッセージ」の何れか一方のみを疑似ランダム化する”との構成は読み取れない。よって、請求人の意見書の主張は採用できない。

次に、本件手続補正によって、補正前の請求項1に、補正前の請求項3から、
「初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1要素を含む」との記載を組み入れることで、「初期秘密数量」と「メッセージ」との関係が明瞭になったかについて検討すると、
「初期秘密数量は、メッセージおよびキーを含む秘密数量の群の少なくとも1要素を含む」との記載から、該「初期秘密数量」が、少なくとも「キー」、及び、「秘密数量」の何れかを1つは含んでいることを表現しているものと一応解される。
即ち、上記記載は、「初期秘密数量」が、「キー」のみを含む場合、「メッセージ」のみを含む場合、或いは、「キーとメッセージの両方」を含む場合とを内包するものである。
すると、補正後の請求項1に記載の(c)において
「前記疑似ランダム化された数量を使用して前記メッセージについての前記操作を行う」との構成が、
“メッセージが疑似ランダム化された数量を使用してメッセージについての暗号操作を行う”との構成を含むことになる。
この点について、当審拒絶理由の「理由2の2.36条6項2号について」の項目1.(イ)において、
「 上記理由1に引用した当初明細書(以下、「本願明細書」という)の(い)の記載に、
「56ビットキーKからK1およびK2を生成するために、ランダム値K1が生成され、次いでK2がK2=K XOR K1として演算される」、
「メッセージMをM1およびM2に分割するには、M1が64ビットランダム値に等しくセットされ、次いでM2がM2=MXORM1になるようにセットされる」
同じく(え)の記載に、
「たとえば、メッセージMを変換するには、装置はランダムな64ビットの値Rを獲得し、M1=MXORRおよびM2=Rを計算」、
との記載があり、上記引用記載中の「64ビットランダム値」、「ランダム値」、「ランダムな64ビットの値R」が、請求項1における「初期予測不可能情報」、また、上記引用記載中の「K1」、「K2」、及び、「M1」、「M2」が、請求項1における「複数の疑似ランダム化された数量」であるとすれば、本願明細書に記載の内容においては、「メッセージM」、或いは、「56ビットキー」が、「複数の疑似ランダム化された数量」の、少なくとも1つに変換され、「ランダム値」=「K1」、「64ビットランダム値」=「M1」、或いは、「ランダムな64ビットの値R」=「M2」であるから、「初期予測不可能情報」そのものが、「複数の疑似ランダム化された数量」の1つとなって、「複数の疑似ランダム化された数量」の少なくとも1つは、「56ビットキーK」、或いは、「メッセージM」から生成されたものではないことが読み取れ、
そして、同じく(え)に記載の、
「同様の変換をキーKに適用することができる」から、本願明細書の記載内容からは、
“キーKを変換するには、装置はランダムな56ビットの値R’を獲得し、K1=KXORR’及びK2=R’を計算”するものとも読み取れる。
ここで、請求項1における「初期秘密数量」とは、本願明細書における「キーK」を指すものであり、「メッセージ」と「初期秘密数量」とは“別物”であるとすると、
請求項1においては、「キーK」のみを「複数の疑似ランダム化された数量」とし、それを用いて「メッセージ」について「前記操作」を行うことになり、本願明細書においては、「キーK」と「乱数R’」から生成した「K1」、「K2」のみで処理を行う点は記載されていないので、本願明細書に記載の、「メッセージM」と「乱数R」から生成した「M1」、「M2」及び、「キーK」と「乱数R’」から生成した「K1」、「K2」とを用いて処理を行う構成とは対応せず、
また、請求項1において、「メッセージ」も“暗号化”しなければならない“秘密情報”であるから、請求項1における「初期秘密数量」とは、“暗号化”される前の「メッセージ」と「キー」とを含む表現であるとすると、“メッセージMを乱数R、または、乱数を用いて変換した値M1、M2を用いて、メッセージMを暗号化する”という構成も含まれることになり、そのような処理をどのようにして実現しているのか、請求項1に記載の内容からは、不明である。」
と指摘しているとおり、「初期秘密数量」が、“「メッセージ」のみを含む”構成である場合には、上記で指摘したように、
“メッセージが疑似ランダム化された数量を使用してメッセージについての暗号操作を行う”との構成どのように実現するか不明であり、
このような構成を実現するための、或いは、請求項1に係る発明が動作するための、「初期秘密数量」と、「メッセージ」との関係が、補正後の請求項1に記載の内容、及び、本願明細書の発明の詳細な説明に記載された内容を加味しても、依然として不明である。

この点に関して請求人は、意見書において、
「1.請求項1について
(イ)審判官殿は、請求項1の記載中の「メッセージ」と「初期秘密数量」との関係が不明であるとしました。
補正後の請求項1の記載において、「メッセージ」と「初期秘密数量」との関係が記載されておりますので、ご指摘の事項は明確であると思料致します。」
と主張しているが、補正後の請求項1の記載内容では、上記で指摘したとおりであるから、請求人の主張は採用できない。

(2)「理由2の2.36条6項2号について」の項目1.(ロ)に関して
本件手続補正においては、当該項目1.(ロ)で、「日本語表現として不明」と指摘した記載、
「前記初期秘密数量は、前記複数の疑似ランダム化された数量のXORとして、該複数の疑似ランダム化された数量に対応付けられ」は、何ら補正がなされていないので、依然として何を表現したものであるか不明である。

この点について、当審拒絶理由において、本願明細書の段落【0045】に記載の内容を引用して、
「((え)に引用の、「ステップ100では、変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される」を表現しようとしたものか?であるならば、“複数の生成された疑似ランダム化された数量変換した数量同士の排他的論理を計算することで、元のメッセージが復元できる”という意味か?」との指摘に対して、
請求人は、意見書において、
「(ロ)審判官殿は、請求項1の記載中の「(ii)前記初期秘密数量は、前記複数の疑似ランダム化された数量のXORとして、該複数の疑似ランダム化された数量と対応付けられる」とは、何を表現したものであるか不明であるとしました。
補正後の請求項1における当該記載は、「初期秘密数量」と「複数の疑似ランダム化された数量」とは対応付けられており、その対応は、「複数の疑似ランダム化された数量のXORとして」対応付けられているということを表現するものです。また、当該記載は、明細書段落[0045]中の記載「ステップ100では、変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される。さらに、ステップ100では、変換されたキーが、同様にK1、K2、K1P、K2Pとして符号化されて獲得される。この形式でメッセージとキーが使用可能でない場合は、さらに変換される。たとえば、メッセージMを変換するには、装置はランダムな64ビットの値Rを獲得し、M1=MXORRおよびM2=Rを計算し、ランダム化された置換M1PおよびM2Pを作成し、M1およびM2をM1PおよびM2Pの逆に従って置換する(つまり、M1およびM2をM1P_Inverse{M1}およびM2P_Inverse{M2}にそれぞれ置換える)同様の変換をキーKに適用することができる。」に基づいております。」
と主張するに止まり、上記引用の主張内容を加味しても、本願の請求項1に記載の「前記初期秘密数量は、前記複数の疑似ランダム化された数量のXORとして、該複数の疑似ランダム化された数量に対応付けられ」と、段落【0045】に記載の内容とがどのように対応しているのか不明であるから、本願の請求項1に記載の「前記初期秘密数量は、前記複数の疑似ランダム化された数量のXORとして、該複数の疑似ランダム化された数量に対応付けられ」が何を表現したものであるかは、依然として不明のままである。
よって、請求人の主張は採用できない。

以上のとおりであるから、本件手続補正の内容を加味しても、本願明細書の請求項1に係る発明は明確でない。

(3)「理由2の2.36条6項2号について」の項目2.(ハ)に関して
該項目2.(ハ)において、
「「第1のビットの順序」、「第2のビットの順序」とは、どの“データ”についての、「ビットの順序」であり、また、「ビットの順序の置換」とは、どのような処理であるか不明である。」
と指摘したことに対して、本件手続補正によって、補正前の請求項2における、
「(B1)第1のビット順序の置換と、該第1のビット順序の置換のインバースとを獲得するステップ」、
「(B2)第2のビット順序の置換と、該第2のビット順序の置換のインバースとを獲得するステップ」、
との記載が、補正後の請求項2における、
「(1B)前記第1のデータメッセージの第1のビット順序の置換と、該第1のビット順序の置換のインバースとを獲得するステップ」、
「2B)前記第2のデータメッセージの第2のビット順序の置換と、該第2のビット順序の置換のインバースとを獲得するステップ」、
に補正され、これによって、「第1のビットの順序の置換」、及び、「第2のビットの順序の置換」が、「第1のデータメッセージ」に対する「第1のビットの順序の置換」、及び、「第1のデータメッセージ」に対する「第2のビットの順序の置換」であることは明瞭になった。
しかしながら、「ビットの順序の置換」、及び、「ビットの順序の置換のインバース」が“どのような処理”であるかについては依然として不明である。

この点に関して請求人は、意見書において、
「(ハ)審判官殿は、補正前の請求項2の「(B1)第1のビット順序の置換と、該第1のビット順序の置換のインバースとを獲得するステップ」、「(B2)第2のビット順序の置換と、該第2のビット順序の置換のインバースとを獲得するステップ」における、「第1のビットの順序」、「第2のビットの順序」とは、どの“データ”についての、「ビットの順序」であり、また、「ビットの順序の置換」とは、どのような処理であるか不明であるとしました。
前述しましたとおり、補正後の請求項1の記載において、「疑似ランダム化された数量」はメッセージ及びキーのうち少なくとも一つを含むことができます。補正後の請求項1に係る発明において、メッセージが疑似ランダム化される場合、「第1のビット順序」と「第2のビット順序」がそれぞれ、明細書の記載におけるM1PとM2Pに当てはまります。段落[0045]、[0046]に記載されているように、M1PとM2Pはそれぞれ、M1とM2のビットの置換です。
例えば、メッセージMを変換するために、装置は、ランダム64ビット値Rを取得し、M1=M XOR RとM2=Rを計算し、疑似ランダム化された置換M1PとM2Pを生成し、M1とM2をM1PとM2Pのインバースに従って置換します(すなわち、M1とM2をそれぞれ、M1P_Inverse{M1}とM2P_Inverse{M2}で置き換えます。)。同様の変換はキーKに対しても適用することができます(段落[0045])。
段落[0010]には、「通常の2進値として一般的に符号化される状態パラメータは、ブラインドされ、それらの順序は、ランダム化される置換テーブルを使用してマスクされる。従来のDESの実施態様は、入力メッセージMを64ビット値として符号化するが、本発明の典型的な実施形態は、Mをブラインドし、M1XORM2が「通常」メッセージに対応するように、二部値(M1、M2)を生成する。さらに、パラメータM1およびM2は、ランダムな順序で符号化されており、M1およびM2におけるビットの現行の順序を追跡するために、置換M1PおよびM2Pはメモリに格納される。」と記載されています。
従いまして、補正後の請求項に係る発明において、M1PとM2PのインバースはM1とM2にそれぞれ適用されます。
同様に、「疑似ランダム化された数量」がそれぞれキーKであるK1とK1を表す場合、「第1のビット順序」と「第2のビット順序」はそれぞれK1PとK2Pを表します。K1PとK2Pはそれぞれ、K1とK2のビットの置換です(段落[0010]には、「同様に、キーは、ブラインドされ、ランダムな順序の形式で格納することができる。」と記載されています。)。同様に、K1PとK2PのインバースはK1とK2にそれぞれ適用されます。置換されたキーとメッセージは、その後の演算において、標準キーおよびメッセージの代わりに使用されます(段落[0031])参照)。
また、補正前の請求項2における「第1のビットの順序」、「第2のビットの順序」とは、どの“データ”についての、「ビットの順序」であり、また、「ビットの順序の置換」とは、どのような処理であるかがより明確になるように補正を行いました。」
と主張しているが、上記主張の根拠に挙げている本願明細書の段落【0045】及び【0046】は、当審拒絶理由において、(え)、及び、(お)として引用した箇所と同一であり、当審拒絶理由において、該(え)と、(い)として引用した段落【0031】の記載内容に関して、
「 この点について、本願明細書の発明の詳細な説明を参酌すると、
「順序の置換」、「インバース」に関しては、上記で引用の(い)に、
「K1PおよびK2Pのランダム置換が生成され、逆K1PはK1に適用され、逆K2PはK2に適用される」、
「M1PおよびM2Pのランダム置換が作成され、それらの逆がM1およびM2にそれぞれ適用される」、
同(え)に、
「M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される」、
「M1=MXORRおよびM2=Rを計算し、ランダム化された置換M1PおよびM2Pを作成し、M1およびM2をM1PおよびM2Pの逆に従って置換する(つまり、M1およびM2をM1P_Inverse{M1}およびM2P_Inverse{M2}にそれぞれ置換える」、
との記載はあるものの、(い)における、「K1P」、「K2P」、「M1P」、「M2P」が何から得られた値で、「ランダム置換」とは、どのような処理で、「逆K1P」、「逆K2P」とは、「K1P」、「K2P」に対して、どのような処理を行うことによって得られた、どのような値であるか、また、「それらの逆」とは、どのような処理で得られた、どのような値で、「適用される」とはどのような処理であるか不明であり、
また、同じく(え)における、「M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換」とは、何の「順序」をどのように「置換」するのか、「M1およびM2をM1PおよびM2Pの逆に従って置換する」とは、どのような処理か不明である」と指摘しており、
段落【0031】、【0045】、及び、【0046】に記載の内容が、本件手続補正によって、
段落【0031】においては、
「M1P及びM2Pのランダム置換が作成され」が、
「ランダム置換M1P及びM2Pが作成され」と、
段落【0045】のおいては、
「変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される」が、
「変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるように、2つの64ビットデータメッセージ(M1およびM2)としてそれぞれ順序置換(M1PおよびM2P)と共に獲得または準備される」と、
段落【0046】においては、
「K1P(またはK2P)の要素のペアとK1(またはK2)のビットの相補ペアを交換する」、及び、「K1PおよびK2Pと置換され」が、
「K1P(またはK2P)の要素のペアおよびK1(またはK2)のビットの相補ペアを交換する」、及び、「K1PおよびK2Pで置換され」と補正されているが、
これらの補正内容を加味すると、特に、段落【0045】の記載から、
“「M1」というデータ自体、「M2」というデータ自体を、「M1P_Inverse{M1}」というデータ、「M2P_Inverse{M2}」というデータに置き換える”ことが読み取れる。
一方、上記で引用した補正後の請求項2に記載の、
「前記第1のデータメッセージの第1のビット順序の置換と、該第1のビット順序の置換のインバース」とは、
“複数のビットからなるデータの、該データを構成するビット列の順序を並べ替える”が、「ビットの順序の置換」であり、
“並べ替えた順序とは逆の順序に置き換える”が、「ビット順序の置換のインバース」と解するのが妥当である。
そうだとすると、段落【0031】、【0045】、及び、【0046】に記載された「置換」とは、上記で検討したように、“データ同士の置換”であって、“データ内のビット列の並び替えを指す置換”では無いことは明らかであるから、これらの段落の記載内容を加味しても、「ビット順序の置換」、及び、「ビット順序の置換のインバース」がどのような処理であるかは、依然として不明である。
また、請求人が、意見書において、明瞭である根拠の一つとして挙げている、本願明細書の段落【0010】に記載されている、
「本発明の典型的な実施形態は、Mをブラインドし、M1XORM2が「通常」メッセージに対応するように、二部値(M1、M2)を生成する。さらに、パラメータM1およびM2は、ランダムな順序で符号化されており、M1およびM2におけるビットの現行の順序を追跡するために、置換M1PおよびM2Pはメモリに格納される」、
との記載からも、「ランダムな順序で符号化」するとは、どのような処理で、また、「置換M1P」と、「置換M2P」とが、前記「ランダムな順序で符号化」なる処理とどのように関係しているか不明である。
仮に、「M1P_Inverse{M1}」と、「M2P_Inverse{M2}」とが、それぞれ、「M1」と、「M2」それぞれの“ビットの順序をランダムに並べ替えたデータ”であったとしても、
当審拒絶理由において(え)として引用した段落【0045】に記載された、「ランダム化された置換M1PおよびM2Pを作成し」をどのように行っているか不明である以上、
補正後の請求項2にも記載されている「ビット順序の置換」と、「ビット順序の置換のインバース」とが、どのような処理であるか、依然として不明である。

以上のとおりであるから、本願の請求項2に係る発明は、本件手続補正の内容を加味しても、依然として明確でない。
そして、本件手続補正の内容を加味しても、本願の請求項1を引用する請求項各項の記載内容では、上記(1)乃至(2)で指摘の点は明瞭にならず、
よって、本願の請求項1を引用する請求項各項に係る発明も、当審拒絶理由に指摘のとおり、依然として明確でない。

(4)「理由2の2.36条6項2号について」の項目4.に関して
本件手続補正によって、補正前の請求項19乃至21は、補正後の請求項18乃至20となったが、その記載されている内容は、本件手続補正によって何ら変更されていないので、これらの記載内容を加味しても、当該請求項が引用する、補正後の請求項17において、依然として明瞭でない構成が明瞭になるものでもない。
よって、補正後の請求項18乃至20に係る発明は、依然として明確でない。

(5)「理由2の2.36条6項2号について」の項目5.に関して
本件手続補正によって、補正前の請求項22は、補正後の請求項21となり、
補正前の請求項22に記載の「予測不可能な情報のソース」は、補正後の請求項21において「予測不可能な情報の生成器」と補正された、しかしながら、補正後の請求項22における「予測不可能な情報の生成器」との表現を加味しても、該「予測不可能な情報の生成器」、或いは、補正前の請求項22おける「予測不可能な情報のソース」がどのようなものを表現したものであるか不明であるから、
本件手続補正によって、補正前の請求項22が補正された、補正後の請求項21に係る発明も、依然として明確でない。

この点に関して請求人は、意見書において、
「5.請求項22について
補正前の請求項22は補正前の請求項1と同様の構成を有しておりますが、上述した理由により、補正前の請求項1についてご指摘を受けた拒絶の理由は、補正前の請求項22に対応する補正後の請求項21につきましても該当しないものと思料致します。
また、審判官殿は、補正前の請求項22に記載の、「予測不可能な情報のソース」とは何か、同請求項、及び、他の請求項に記載の内容を加味しても不明であるとしました。
補正により「予測不可能な情報のソース」を「予測不可能な情報の生成器」としましたので、ご指摘の事項は解消しているものと思料致します。」
との主張をしているが、当該主張は、
“「情報のソース」を、「生成器」に補正することで明瞭になる”と主張するに止まり、該「予測不可能な情報のソース」、或いは、「予測不可能な情報の生成器」が、どのようなものであるか、何ら説明するものではなく、また、本願明細書の発明の詳細な説明に記載の内容を参酌しても、当該「予測不可能な情報の生成器」が、発明の詳細な説明に記載の何に対応するか不明であるので、
当該主張を参照しても、当該請求項に記載の内容が明確になるものでもない。
よって、請求人の主張は採用できない。

(6)「理由2の2.36条6項2号について」の項目6.に関して
本件手続補正によって、補正前の請求項23乃至27は、補正後の請求項22乃至26となったが、本件手続補正によって、補正後の請求項22、23、25、及び、26の記載内容に変更はなく、補正後の請求項24の補正の内容は、補正後の請求項2と同様であるから、これらの内容を加味しても、補正後の請求項21において、依然として明瞭でない記載が、明瞭になるものではない。
かつ、補正後の請求項24における記載内容については、上記項目その5.当審の判断(3)で指摘したとおり、補正後の請求項24にも記載されている「第1のビット順序の置換」、「第1のビット順序の置換のインバース、及び、「第2のビット順序の置換」、「第2のビット順序の置換のインバース」がどのような処理であるか不明である。
以上のとおりであるから、本件手続補正によって、補正前の請求項23乃至27が補正された、補正後の請求項22乃至26に係る発明は、依然として明確でない。

(7)「理由2の2.36条6項2号について」の項目7.(イ)?(ホ)に関して
(7)-1.同項目7.(イ)に関して、
本件手続補正によって、補正前の請求項28に記載の「秘密パラメータを符号化」が、補正後の請求項27において「予測不可能な情報を使用して、秘密パラメータを第1の複数のパラメータとして符号化」と補正されたが、当該補正内容は、補正前の請求項28に記載の「秘密のパラメータ」の「符号化」に、「予測不可能な情報」を使用すること、及び、該「符号化」によって、該「秘密のパラメータ」が、「第1の複数のパラメータ」に「符号化」されるということを特定しているに過ぎず、該「秘密パラメータ」に対して、該「予測不可能な情報」を“どのように用いて”、“どのような符号化”処理を行うことで、該「第1の複数のパラメータ」に「符号化」することができるのか、即ち、「秘密パラメータを符号化」するとは、どのような処理であるか、依然として不明である。

(7)-2.同項目7.(ロ)に関して、
本件手続補正によって、補正前の請求項28が補正された、補正後の請求項27に記載の内容を見ても、依然として、「秘密パラメータ」(当審注;当審拒絶理由の同項目7.(ロ)における「秘密のパラメータ」は、「秘密パラメータ」の誤記である)と、「入力データ」との関係は、不明のままである。

この点に関して請求人は、意見書において、
「(ロ)審判官殿は、「秘密のパラメータ」と「入力データ」との関係が不明である、請求項28の記載内容が、「秘密のパラメータ」のみしか、「疑似ランダム化」しておらず、それのみで暗号化処理を実現していることを表現しているのであれば、請求項28に記載の発明は、発明の詳細な説明の記載に基づかないものとなる、としました。
しかしながら、段落[0012]には、「キーおよびメッセージの両方をそれぞれ2つのサブパートに置換するということに関して本発明を説明してきたが、当業者には、これらのどちらか1つまたは両方が(他の秘密数量と同様)3つ以上の多くの部分に置換されうることが理解されよう。」と記載されておりますとおり、本願明細書の発明の詳細な説明には、「メッセージ」と「キー」のどちらか一方のみで処理を行う点が記載されているものと思料致します。従いまして、補正前の請求項28に対応する補正後の請求項27に記載の発明は、発明の詳細な説明の記載に基づくものであり、「秘密のパラメータ」と「入力データ」との関係は明確であるものと思料致します。」
との主張を行っているが、本願明細書の段落【0012】に記載の内容については、上記項目(1)で指摘したとおりであるから、請求人の主張は採用できない。

(7)-3.同項目7.(ハ)に関して、
本件手続補正によって、補正前の請求項28が補正された、補正後の請求項27に記載の内容を見ても、依然として、「ブラインディング係数」がどのようなものであるか、不明であり、本願明細書の段落【0011】に、「Sテーブル入力ブラインド係数」という用語が存在するが、該「Sテーブル入力ブラインド係数」と、補正後の請求項27に記載の「ブラインディング係数」との対応関係も、本願明細書の記載内容からは不明であるから、本願明細書の発明の詳細な説明に記載の内容を加味しても、「ブラインディング係数」がどのようなものであるか、不明である。

この点に関して請求人は、意見書において、
「(ハ)審判官殿は、「ブラインディング係数」とは何か不明であるとしました。
「ブラインディング係数」とは何であるか、段落[0046]のステップ110(及びステップ135)についての記載から把握できるものと思料致します。更新の処理は、2つの基本的な操作である、リオーダリングと擬似ランダム化とからなります。一実施形態において、ブラインディングの例はXOR操作です。従いまして、ブラインディングをXOR操作のみに限定はしません。段落[0046]には、「ランダム化は、本実施形態でXOR操作を通してデータビット値をブラインドする。同じランダムな論理値をK1のビットとK2の対応するビットにXORしても、K1P{K1}XORK2P{K2}の値には何の影響も及ぼさない。」と記載されています。」
との主張を行っているが、
段落【0046】の記載内容からは、該記載内容の何が、「ブラインディング係数」に対応するものである不明であって、当該段落【0046】に記載の内容を加味しても、「ブラインディング係数」がどのようなものあるか明確になるものではない。
よって、請求人の主張は採用できない。

以上のとおりであるから、本件手続補正によって、補正前の請求項28を、新たな請求項27として補正された請求項に係る発明は、依然として明確でない。

(8)本件手続補正によって、補正前の請求項30を削除し、
補正前の請求項29に記載の、
「請求項28に記載の装置において、前記装置は、引き出される複数のパラメータと前記秘密パラメータとの間に数学的関係が存在するように、前記秘密パラメータおよび前記ブラインディング係数から前記複数のパラメータを引き出すようにさらに構成されるが、前記複数のパラメータの任意の1つと前記秘密パラメータとの間に測定できる程度の相関がまったくないことを特徴とする装置。」を、
補正後の請求項28として、
「請求項27に記載の装置において、前記第1又は第2の複数のパラメータの任意の1つと前記秘密パラメータとの間に測定できる程度の相関がまったくないことを特徴とする装置。」と補正し、
補正前の請求項31に記載の、
「請求項28に記載の装置において、
(a)置換された順序に一連のビットを含む、置換された部分と、
(b)前記置換された部分における前記ビットの順序を含む、順序付け部分と
を前記第2の複数のパラメータが含むことを特徴とする装置。」を、
補正後の請求項29として、
「請求項27に記載の装置において、前記第2の複数のパラメータは、
(a)置換された部分であって、置換された順序に一連のビットを含む、部分と、
(b)順序付け部分であって、前記置換された部分における前記ビットの順序を含む、
部分と
を含むことを特徴とする装置。」と補正しているが、当該補正内容を加味しても、補正後の請求項28、及び、補正後の請求項29が引用する、本件手続補正によって、補正前の請求項28が、補正後の請求項27として補正された請求項に係る発明において、依然として明瞭でない構成が明瞭になるものでもない。
以上のとおりであるから、補正後の請求項28、及び、請求項29に係る発明は、依然として明確でない。

(9)「理由2の3.36条4項について」の項目3.に関して
本件手続補正によって、本願明細書の段落【0030】が、
補正前の、
「代わりに2つの56ビットキー(K1およびK2)および2つの64ビットの平文テキストメッセージ(M1およびM2)を使用するが、K1P{K1}XORK2P{K2}は「標準」DESキーKに等しくなり、M1P{M1}XORM2P{M2}は「標準」平文テキストに等しくなるように、それぞれが置換(つまり、K1P、K2P、M1P、M2P)に対応づけられる。」が、
「代わりに2つの56ビットキー(K1およびK2)および2つの64ビットの平文テキストメッセージ(M1およびM2)を使用し、それぞれが置換(つまり、K1P、K2P、M1P、M2P)に対応づけられ、それにより、K1P {K1} XOR K2P {K2}は「標準」DESキーKに等しくなり、M1P {M1} XOR M2P {M2}は「標準」平文テキストに等しくなる。」と補正され、
段落【0031】、【0045】、及び、【0046】は、上記項目(3)で引用したように補正されたが、当該補正内容を加味しても、本願明細書の発明の詳細な説明に記載された内容においては、「メッセージ」と「キー」の2つの「秘密情報」を「疑似ランダム化」して、「暗号操作」を行っており、発明の詳細な説明の記載内容からは、どのようにして、1つのみの「秘密数量」を用いて、「暗号操作」を実現しているか、依然として不明である。

この点に関して請求人は、意見書において、
「3.審判官殿は、請求項1、請求項3、請求項22、請求項28に記載の発明は、“1つの秘密数量”を用いて、暗号操作を実現する構成を含むものであるが、発明の詳細な説明においては、2つの「秘密情報」を「疑似ランダム化」して、「暗号操作」を行っており、発明の詳細な説明からは、どのようにして、1つのみの「秘密数量」を用いて、「暗号操作」を実現するか不明である、としました。
上記の理由2の1.1で説明しましたとおり、1つのみの「秘密数量」を用いて、「暗号操作」を実現することは、発明の詳細な説明に記載されているものと思料致します。」
との主張を行っているが、
「上記理由2の1.1で説明」において、請求人が「発明の詳細な説明に記載されている」との根拠にしている、本願明細書の段落【0012】の記載については、上記項目(1)で指摘したとおりであるから、請求人の主張は採用できない。

(10)「理由2の3.36条4項について」の項目4.に関して
本件手続補正によって、上記項目(3)で引用したように、
本願明細書の段落【0031】に記載の、
「M1P及びM2Pのランダム置換が作成され」が、
「ランダム置換M1P及びM2Pが作成され」に補正されたが、
そもそも「ランダム置換」なる処理がどのようものであるか不明であるから、依然として不明である。
また、本願明細書の段落【0045】に記載の、
「変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるようにそれぞれ順序を置換して(M1PおよびM2P)2つの64ビットデータメッセージ(M1およびM2)として獲得または準備される」が、
「変換された入力メッセージは、M=M1P{M1}XORM2P{M2}となるように、2つの64ビットデータメッセージ(M1およびM2)としてそれぞれ順序置換(M1PおよびM2P)と共に獲得または準備される」に補正されているが、
「順序を置換して」、或いは、「順序置換」なる処理がどのような処理であるか不明であるので、依然として不明である。
更に、本願明細書の段落【0046】に記載の、
「K1P(またはK2P)の要素のペアとK1(またはK2)のビットの相補ペアを交換する」、及び、「K1PおよびK2Pと置換され」が、
「K1P(またはK2P)の要素のペアおよびK1(またはK2)のビットの相補ペアを交換する」、及び、「K1PおよびK2Pで置換され」と補正されているが、
結局のところ「要素のペア」、及び、「相補のペア」の「交換」がどのような処理であるか不明であり、「K1PおよびK2P」を“何”と「置換」するのか不明であるので、依然として不明である。

以上のとおりであるから、本件手続補正の内容、並びに、意見書における主張を加味しても、
本件手続補正によって、補正前の請求項3から、補正後の請求項1に組み入れられた記載内容は、本願明細書の発明の詳細な説明に記載されたものではなく、
本願明細書の請求項1、2、22、24、及び、27、並びに、これらの請求項を引用する請求項に係る発明は、明確でなく、
本願明細書の発明の詳細な説明は、経済産業省令で定めるところにより、その発明の属する技術分野における通常の知識を有する者がその実施をすることができる程度に明瞭かつ十分に、記載したものでない。

その6.むすび
したがって、本願は、特許法第36条第4項、第6項第1号及び第2号に規定する要件を満たしていない。

よって、結論のとおり審決する。
 
審理終結日 2012-01-05 
結審通知日 2012-01-10 
審決日 2012-01-24 
出願番号 特願2000-556475(P2000-556475)
審決分類 P 1 8・ 537- WZ (G09C)
P 1 8・ 536- WZ (G09C)
最終処分 不成立  
前審関与審査官 青木 重徳中里 裕正  
特許庁審判長 赤川 誠一
特許庁審判官 石井 茂和
清木 泰
発明の名称 スマートカードおよび他の暗号システム用の、漏洩を最小に抑える、改良DESおよび他の暗号プロセス  
復代理人 市原 政喜  
代理人 谷 義一  
代理人 阿部 和夫  
復代理人 濱中 淳宏  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ