• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない。 G09C
管理番号 1293599
審判番号 不服2012-21065  
総通号数 180 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2014-12-26 
種別 拒絶査定不服の審決 
審判請求日 2012-10-25 
確定日 2014-11-04 
事件の表示 特願2009-529682「暗号化されたデータ交換を行う方法、および通信システム」拒絶査定不服審判事件〔平成20年 4月10日国際公開,WO2008/040655,平成22年12月16日国内公表,特表2010-539519〕について、次のとおり審決する。 
結論 本件審判の請求は,成り立たない。 
理由 1.手続の経緯
本願は,2007年9月24日(パリ条約による優先権主張外国庁受理2006年9月29日,2007年1月3日 ドイツ連邦共和国)を国際出願日とする出願であって,
平成21年3月30日付けで特許法第184条の4第1項の規定による明細書,請求の範囲,及び,図面(図面の中の説明に限る)の日本語による翻訳文が提出されると共に審査請求がなされ,平成23年8月24日付けで審査官により拒絶理由が通知され,これに対して平成23年12月2日付けで意見書が提出されると共に手続補正がなされ,平成23年12月20日付けで審査官により拒絶理由が通知され,これに対して平成24年6月6日付けで意見書が提出されると共に手続補正がなされたが,平成24年6月22日付けで審査官により拒絶査定がなされ(発送;平成24年6月28日),これに対して平成24年10月25日付けで審判請求がなされたものである。

第2.本願発明について
本願の請求項1に係る発明(以下,これを「本願発明」という)は,平成23年12月2日付けの手続補正により補正された特許請求の範囲の請求項1に記載された,次のとおりのものである。

「通信システム(1)の第1の通信装置(2)と第2の通信装置(3)との間で,楕円曲線暗号方式で暗号化されたデータ交換を行うための方法において,
前記第1の通信装置(2)が,楕円曲線上の点(P)の座標値から問い合わせ(X1,Z1)を計算し,該問い合わせ(X1,Z1)を前記第2の通信装置(3)へ送信し,
前記第1の通信装置(2)の問い合わせに応答して前記第2の通信装置(3)によって,該問い合わせ(X1,Z1)の値のスカラ倍を計算し,該スカラ倍の結果の一部のみを応答として該第1の通信装置(2)へ返信し,
前記第1の通信装置(2)は,前記応答と,該第1の通信装置(2)において計算された前記問い合わせの値のスカラ倍のうち前記応答に相当する一部とが同一であるか否かを検出し,
前記応答と,前記応答に相当する一部とが同一である場合,前記第1の通信装置(2)は前記第2の通信装置(3)とのデータ交換を許可し,
前記応答と,前記応答に相当する一部とが同一でない場合,前記第1の通信装置(2)は前記第2の通信装置(3)とのデータ交換を拒絶する
ことを特徴とする方法。」

第3.引用刊行物に記載の発明
一方,原審が平成23年12月20日付けの拒絶理由(以下,これを「原審拒絶理由」という)において引用した,本願の第1国出願前に既に公知である,特開昭57-207453号公報(1982年12月20日公開,以下,これを「引用刊行物1」という)には,関連する図面と共に次の事項が記載されている。

A.「通常の信号伝送路を利用して鍵の交換を行なうことを公開鍵配送方式という。秘密の鍵用の信号として複雑に計算されている例を挙げると次のようになる。
一方の通信〔A〕(当審注;「通信〔A〕」は,「通信者〔A〕」の誤記である)は共通のMおよびPという値についてM^(α)を計算しXを得て(X≡M^(α)(mod P),この値を他方の通信者〔B〕に渡すXの値を片割鍵という。他方の通信者〔B〕は前記Mという値についてM^(β)を計算してYを得る。Y≡M^(β)(mod P)この値を一方の通信者〔A〕に渡す。次に〔A〕はYの値をα乗してK≡Y^(α)(mod P)を得る
K≡Y^(α)≡(M^(β))^(α)(mod P)であり
〔B〕はXの値をβ乗してK≡X^(β)(mod P)を得る
K≡X^(β)≡(M^(α))^(β)(mod p)である。
したがつて通信者〔A〕〔B〕はKとして同じ値を得るからこのKを共通鍵として暗号の作成・解読に使用する。」(1頁右欄4行?20行)

B.「本発明の目的は,公開鍵配送方式において送・受信者が各々作成した秘密鍵が等しいか否かをチェックできる鍵管理方式を提供することにある。
前述のような公開鍵作成過程を,米国のIBM社等が使用しDES方式と呼ばれている暗号方式へ適用した例では,Kは勿論M,P,α,βとして89ビットの値を使用しているため,盗聴者に悪用される機会は少ないが,実際に暗号化と平文化のため使用しているのはその内例えば56ビットであるから,本発明の要旨とする構成では残余の33ビットをテストパターンビットとして使用する。
以下図面に示す本発明の実施例について説明する。第1図において〔A〕は送信者,〔B〕は受信者とし,PKDは公開鍵演算部,CDKは公開鍵(暗号鍵),CDCは暗号化・平文化装置,CMPは比較器,CLは平文の信号源,ACPは音響カプラ,WTPは盗聴者を示す。当初,送・受信者〔A〕,〔B〕がそれぞれX,Yを演算し1点鎖線の経路と伝送線TLを介して値を交換し,更に演算を進めてKの値を得る。共通鍵Kについて〔A〕側は鍵K1をテストパターン部例えば33ビットと暗号鍵例えば56ビットとに分け,スイッチSW1を図示と反対側に倒しテストパターン部を暗号化装置CDCの入力に印加する。33ビットの信号が例えば米国のDES方式により暗号化され,伝送線TLを経て受信者〔B〕に達する。受信者〔B〕の装置では平文化装置CDCにおいて共通鍵K2の暗号鍵部分を使用して解読する。得られた信号を図示と反対側に倒したスイッチSW2により比較器CMPで比較する。情報の演算処理過程に誤りがなければ,比較器CMPで比較したとき共通鍵のテストパターン部の比較であるため完全一致を得る筈であり,得られたときK1,K2は等しいことが判る。」(2頁左上欄10行?左下欄5行)

C.第1図には,〔A〕が,「PKD」,「CL」,「SW1」,「CDC」,「ACP」によって構成され,〔B〕が,「PKD」,「CL」,「SW2」,「CDC」,「ACP」,「CMP」で構成されていることが示されている。

1.上記Bの「本発明の目的は,公開鍵配送方式において送・受信者が各々作成した秘密鍵が等しいか否かをチェックできる鍵管理方式を提供することにある」という記載,及び,上記Bの「第1図において〔A〕は送信者,〔B〕は受信者とし」という記載から,引用刊行物1には,
“送信者〔A〕と受信者〔B〕が各々作成した秘密鍵が等しいか否かをチェックできる鍵管理方法”が記載されていることが読み取れる。

2.上記Aの「一方の通信〔A〕(当審注;「通信〔A〕」は,「通信者〔A〕」の誤記である)は共通のMおよびPという値についてM^(α)を計算しXを得て(X≡M^(α)(mod P),この値を他方の通信者〔B〕に渡すXの値を片割鍵という」という記載,及び,上記1.において引用した上記Bに記載されている事項から,引用刊行物1において,
“送信者〔A〕は,受信者〔B〕との共有の値MおよびPを用いて,X≡M^(α)(mod P)を計算し,前記Xを前記受信者〔B〕に送信する”ことが読み取れる。

3.上記Aの「他方の通信者〔B〕は前記Mという値についてM^(β)を計算してYを得る。Y≡M^(β)(mod P)この値を一方の通信者〔A〕に渡す。次に〔A〕はYの値をα乗してK≡Y^(α)(mod P)を得る
K≡Y^(α)≡(M^(β))^(α)(mod P)であり
〔B〕はXの値をβ乗してK≡X^(β)(mod P)を得る
K≡X^(β)≡(M^(α))^(β)(mod p)である。」という記載,及び,上記1.において引用した上記Bに記載されている事項から,引用刊行物1において,
“受信者〔B〕は,前記MとPを用いて,Y≡M^(β)(mod P)を計算し,前記Yを送信者〔A〕に送信し,送信者〔A〕は,K≡Y^(α)(mod P)を計算し,受信者〔B〕は,K≡X^(β)(mod P)を計算する”ことが読み取れる。

4.上記Bの「第1図において〔A〕は送信者,〔B〕は受信者とし,PKDは公開鍵演算部,CDKは公開鍵(暗号鍵),CDCは暗号化・平文化装置,CMPは比較器,CLは平文の信号源,ACPは音響カプラ,WTPは盗聴者を示す」という記載,及び,上記Cに指摘した事項から,引用刊行物1において,
“送信者〔A〕は,公開鍵演算部,暗号化・平文化装置,信号源,音響カプラ,及び,SW1によって構成され,受信者〔B〕は,公開鍵演算部,暗号化・平文化装置,信号源,音響カプラ,及び,SW2,並びに,比較器によって構成される装置である”ことが読み取れ,このことと,上記Bの「共通鍵Kについて〔A〕側はK1をテストパターン部例えば33ビットと暗号鍵例えば56ビットに分け,スイッチSW1を図示と反対側に倒しテストパターン部を暗号化装置CDCの入力に印加する。33ビットの信号が例えば米国のDES方式により暗号化され,伝送線TLを経て受信者〔B〕に達する」という記載から,引用刊行物1には,
“送信者〔A〕の装置は,共通鍵Kを,33ビットのテストパターン部と,56ビットの暗号鍵とに分け,前記テストパターン部を,前記暗号鍵を用いて暗号化して受信者〔B〕の装置に送信する”ことが記載されていると読み取れる。

5.上記Bの「受信者〔B〕の装置では平文化装置CDCにおいて共通鍵K2の暗号鍵部分を使用して解読する。得られた信号を図示と反対側に倒したスイッチSW2により比較器CMPで比較する。情報の演算処理過程に誤りがなければ,比較器CMPで比較したとき共通鍵のテストパターン部の比較であるため完全一致を得る」という記載,及び,上記4.において引用した上記Bに記載された事項から,引用刊行物1においては,
“受信者〔B〕の装置は,送信者〔A〕の装置から受信した,暗号化されたテストパターン部を復号し,比較器において,受信者〔B〕の装置の有するテストパターン部と比較する”ものであることが読み取れる。

以上,1.?5.において検討した事項から,引用刊行物1には,次の発明(以下,これを「引用発明」という)が記載されているものと認める。

送信者〔A〕の装置と受信者〔B〕の装置が各々作成した秘密鍵が等しいか否かをチェックできる鍵管理方法であって,
前記送信者〔A〕の装置は,前記受信者〔B〕装置との共有の値MおよびPを用いて,X≡M^(α)(mod P)を計算し,前記Xを前記受信者〔B〕の装置に送信し,
前記受信者〔B〕の装置は,前記MとPを用いて,Y≡M^(β)(mod P)を計算し,前記Yを前記送信者〔A〕の装置に送信し,
前記送信者〔A〕の装置は,共通鍵K≡Y^(α)(mod P)を計算し,
前記受信者〔B〕の装置は,共通鍵K≡X^(β)(mod P)を計算し,
前記送信者〔A〕の装置は,前記共通鍵Kを,33ビットのテストパターン部と,56ビットの暗号鍵とに分け,前記テストパターン部を,前記暗号鍵を用いて暗号化して前記受信者〔B〕の装置に送信し,
前記受信者〔B〕の装置は,前記送信者〔A〕の装置から受信した,暗号化された前記テストパターン部を復号し,比較器において,前記受信者〔B〕の装置の有するテストパターン部と比較する,方法。

第4.本願発明と引用発明との対比
1.引用発明において,“送信者〔A〕と,受信者〔B〕との間で,秘密鍵が等しいかを確認する”ということは,該「秘密鍵」が等しければ,それ以降,該「秘密鍵」を用いて,「送信者〔A〕」と,「受信者〔B〕」との間で,該「秘密鍵」を用いて暗号化した“メッセージ”の授受を行うことを意図するものであることは明らかである。
よって,引用発明における「送信者〔A〕の装置と受信者〔B〕の装置が各々作成した秘密鍵が等しいか否かをチェックできる鍵管理方法」と,
本願発明における「通信システム(1)の第1の通信装置(2)と第2の通信装置(3)との間で,楕円曲線暗号方式で暗号化されたデータ交換を行うための方法」とは,
“通信装置間で暗号化されたデータ交換を行うための方法”
である点で共通する。

2.引用発明において,「送信者〔A〕の装置」は,「受信者〔B〕の装置」から「Y」を受信して,「共通鍵K≡Y^(α)(mod P)を計算」し,求めた「Kを,33ビットのテストパターン部と,56ビットの暗号鍵とに分け,前記テストパターン部を,前記暗号鍵を用いて暗号化して前記受信者〔B〕の装置に送信」するのであるから,
引用発明における「送信者〔A〕の装置」,「受信者〔B〕の装置」が,
本願発明における「第2の通信装置」,「第1の通信装置」に相当し,
引用発明における「受信者〔B〕の装置は,前記MとPを用いて,Y≡M^(β)(mod P)を計算し,前記Yを前記送信者〔A〕の装置に送信」することと,
本願発明における「第1の通信装置(2)が,楕円曲線上の点(P)の座標値から問い合わせ(X1,Z1)を計算し,該問い合わせ(X1,Z1)を前記第2の通信装置(3)へ送信」することとは,
“第1の通信装置が,値を計算し,該値を第2の通信装置へ送信する”
点で共通する。

3.引用発明において,「送信者〔A〕の装置は,前記共通鍵Kを,33ビットのテストパターン部と,56ビットの暗号鍵とに分け,前記テストパターン部を,前記暗号鍵を用いて暗号化して前記受信者〔B〕の装置に送信」するということは,上記2.において検討した事項を踏まえると,
“受信したYを用いて計算したKの一部を,暗号化して,受信者〔B〕の装置に送信する”ことに他ならないから,
引用発明における「送信者〔A〕の装置は,前記共通鍵Kを,33ビットのテストパターン部と,56ビットの暗号鍵とに分け,前記テストパターン部を,前記暗号鍵を用いて暗号化して前記受信者〔B〕の装置に送信」することと,
本願発明における「第1の通信装置(2)の問い合わせに応答して前記第2の通信装置(3)によって,該問い合わせ(X1,Z1)の値のスカラ倍を計算し,該スカラ倍の結果の一部のみを応答として該第1の通信装置(2)へ返信」することとは,
“第1の通信装置から受信した値から,第2の通信装置によって計算した値の一部を,前記第1の通信装置に返信する”点で共通する。

4.引用発明における「受信者〔B〕の装置は,前記送信者〔A〕の装置から受信した,暗号化された前記テストパターン部を復号し,比較器において,前記受信者〔B〕の装置の有するテストパターン部と比較する」ことと,
本願発明における「第1の通信装置(2)は,前記応答と,該第1の通信装置(2)において計算された前記問い合わせの値のスカラ倍のうち前記応答に相当する一部とが同一であるか否かを検出」することとは,
“第1の通信装置は,第2の通信装置から受信した値と,前記第1の通信装置が有する値とが同一であるか否か検出する”点で共通する。

以上1.?4.において検討した事項から,本願発明と,引用発明との,一致点,及び,相違点は,次のとおりである。

[一致点]
第1の通信装置と第2の通信装置との間で,暗号化されたデータ交換を行うための方法において,
第1の通信装置が,値を計算し,前記値を第2の通信装置へ送信し,
前記第1の通信装置から受信した値から,前記第2の通信装置によって計算した値の一部を,前記第1の通信装置に返信し,
前記第1の通信装置は,前記第2の通信装置から受信した値と,前記第1の通信装置が有する値とが同一であるか否か検出する,方法。

[相違点1]
“暗号化されたデータ交換”に関して,
本願発明においては,「楕円曲線方式で暗号化されたデータ交換」であるのに対して,
引用発明においては,「楕円曲線暗号」については言及されていない点。

[相違点2]
“第1の通信装置が,値を計算し”に関して,
本願発明においては,「楕円曲線上の点(P)の座標値から問い合わせ(X1,Z1)を計算」しているのに対して,
引用発明においては,「受信者〔B〕の装置は,前記MとPを用いて,Y≡M^(β)(mod P)を計算」するものであって,「楕円曲線」との関係が言及されていない点。

[相違点3]
“値を第2の通信装置へ送信”する点に関して,
本願発明においては,「問い合わせ(X1,Z1)を前記第2の通信装置(3)へ送信」しているのに対して,
引用発明においては,「Y」を「送信者〔A〕の装置に」,“問い合わせ”として送信する点については言及されていない点。

[相違点4]
“第1の通信装置から受信した値から,前記第2の通信装置によって計算した値”に関して,
本願発明においては,「第1の通信装置(2)の問い合わせに応答して前記第2の通信装置(3)によって,該問い合わせ(X1,Z1)の値のスカラ倍を計算」するものであるのに対して,
引用発明においては,「送信者〔A〕の装置は,共通鍵K≡Y^(α)(mod P)を計算」するものであって,受信した値のスカラ倍を計算するものではない点。

[相違点5]
“第2の通信装置から受信した値と,第1の通信装置が有する値とが同一であるか否か検出する”点に関して,
本願発明においては,「応答と,該第1の通信装置(2)において計算された前記問い合わせの値のスカラ倍のうち前記応答に相当する一部とが同一であるか否か」を検出するものであるのに対して,
引用発明においては,「送信者〔A〕の装置」において,“スカラ倍”の計算などは行っていない点。

[相違点6]
本願発明においては,「応答と,前記応答に相当する一部とが同一である場合,前記第1の通信装置(2)は前記第2の通信装置(3)とのデータ交換を許可し,前記応答と,前記応答に相当する一部とが同一でない場合,前記第1の通信装置(2)は前記第2の通信装置(3)とのデータ交換を拒絶する」という処理を行っているのに対して,
引用発明においては,「テストパターン部と比較」した後の処理に関しては,特に,言及されていない点。

第5.相違点に対する当審の判断
1.[相違点1]?[相違点5]について
原審拒絶理由において引用された,本願の第1国出願前に既に公知である,特開2000-187438号公報(2000年7月4日公開,以下,これを「引用刊行物2」という)に,

D.「【請求項1】楕円曲線がy2+xy=x3+ax2+bである,2の拡大体上の楕円曲線暗号の実行方法であって,各座標成分が前記楕円曲線上の点である点P1(x1,y1),P2(x2,y2)の加算をP3(x3,y3)とし,点P1(x1,y1),P2(x2,y2)の減算をP4(x4,y4)とした場合,前記x1を入力するステップと,前記入力されたx1を射影空間のX座標,Z座標[X1,Z1]に変換するステップと,前記射影空間の座標[X1,Z1]を記憶するステップと,前記x2を[X2,Z2]に変換するステップと,前記[X2,Z2]を記憶するステップと,前記x4を[X4,Z4]に変換するステップと,前記[X4,Z4]を記憶するステップと,前記記憶された[X1,Z1],[X2 ,Z2],[X4,Z4]から[X3,Z3]を求めるステップと,前記[X3,Z3]からx3に変換するステップと,前記x3を出力するステップとからなり,点P1(x1,y1)のスカラー倍を計算することを特徴とする楕円曲線暗号実行方法。」(下線は,当審にて,説明の都合上附加したものである。以下,同じ。)

E.「【0027】ベースポイント生成部107は,楕円曲線上のアーベル群において,上記rを位数とする部分巡回群の生成元を求める。例えば,#E(Fq)=krの場合は,第1のステップでE(Fq)上の任意の点(x1,y1)を求める。次に第2のステップでr(x1,y1)=0かつk(x1,y1)≠0の場合,G=(x1,y1)をベースポイントとする。他の場合は,第1のステップへ戻る。
【0028】ここで,r(x1,y1)は,(x1,y1)のスカラー倍(r倍)演算を実行するという意味である。スカラー倍(r倍)演算については楕円曲線演算部109で説明する。
【0029】以上,楕円曲線生成部101により,原始多項式f(x),楕円曲線y2+xy=x3+ax2+bのパラメタa,b,ベースポイントG,ベースポイントの位数rを生成した。これらは公開する情報である。
【0030】次に公開鍵/秘密鍵生成部102は,以下の手順で公開鍵と秘密鍵を生成する。入力を原始多項式f(x),楕円曲線y2+xy=x3+ax2+bのパラメタa,b,ベースポイントGとし,出力を公開鍵Q,秘密鍵dとすると,第1のステップで乱数2<d<r-1を生成し,第2のステップでQ= dGすなわちGのスカラ倍(d倍)点を求める。
【0031】公開鍵は,公開する情報であり,秘密鍵は秘密にする情報である。Q,Gからdを求める問題は,離散対数問題といわれるものであり,楕円曲線において,ベースポイントの位数rのビット長の指数オーダの計算量を必要とする。このため,rが大きな素数であれば例えば,r>2の159乗をとれば,事実上,Q,Gからdを求めることはできなくなる。これが楕円曲線暗号の原理である。なお,Qを計算する方法は,従来技術文献 D.V.Chudnovsky, G.V.Chudnovsky "Sequences of Numbers Generated by Addition in Formal Groups and New Primalityand Factorization Tests", Advances in Applied Mathematics, 7, 385-434,1986で記載されている方法で求めることができる。」

と記載され,同じく,原審拒絶理由に引用された,本願の第1国出願前に既に公知である,米国特許出願公開第2006/0179319号明細書(2006年8月10日公開,以下,これを「引用刊行物3」という)に,

F.「[0034]The multiplicative representation of group operations is used herein, but the treatment is equally applicable to additive groups, such as elliptic curves, or any other algebraic groups or specific groups, finite fields, composite moduli, etc. In the protocols, public keys, denoted by upper case letters (e.g., A, B), are elements in the group G, and the private keys, denoted by corresponding lower case letters (e.g., a, b), are elements in Zq, where Zq denotes the set of integer numbers 0,1, . . . , q-1.」
([0034]群演算の乗法表現がここに用いられる。しかしながら,処理は,楕円曲線,或いは,他の代数群,その他の特別な群,有限体,合成数の法等といった,加法群に等しく適用できる。このプロトコルにおいて,大文字(即ち,A,B)で表現される,公開鍵は,群Gの要素であり,そして,対応する小文字(即ち,a,b)で表現される,個別鍵は,Zqにおける要素である。ここで,Zqは,整数0,1,....,q-1の集合を表す。<当審にて訳出。以下,同じ。>)

と記載され,同じく,原審拒絶理由に引用された,本願の第1国出願前に既に公知である,「岡本龍明・太田和夫共編,暗号 ゼロ知識証明 数論,共立出版株式会社,1995年6月1日,p.228-231」(以下,これを「引用刊行物4」という)に,

G.「7.5.1 楕円曲線
まず公開鍵暗号が定義される有限体上の楕円曲線について簡単に述べる.有限体上の楕円曲線の要素の集合は, F_(q)(qは5以上の素数pのr乗)をq個の要素をもつ有限体とし,a, b∈F_(q)を4a^(3)+27b^(2)≠0なる要素とするとき,
{(x,y)∈F^(2)_(q)|y^(2)=x^(3)+ax+b}U{O}
と表される.以後これをE(F_(q))と表す.また, F_(q)をEの定義体とよぶ.ここでOは無限遠点で,楕円曲線にはこれが零元になるような加法が定義される.また加法は10回程度の定義体F_(q)上の乗算により容易に実現される.この加法によりE(F_(q)) は有限体と同様に有限可換群になり,有限体上と同様に離散対数問題(EDLP)が定義される.qが2もしくは3のr乗の場合の楕円曲線の一般形を含め楕円曲線の詳細については文献[50,54]を参照されたい. EDLPについては,3章,5章,にも解説されている.
7.5.2 原理
楕円曲線に基づく公開鍵暗号は,有限体上の離散対数問題に基づく公開鍵暗号において有限体の要素を楕円曲線の要素に,有限体上の乗法を楕円曲線上の加法に対応させることにより定義される.このとき有限体の要素のr乗は楕円曲線の要素のr倍に対応し,通常有限体の要素のr乗を計算するのに用いる高速指数演算法も楕円曲線の要素のr倍を計算するのに用いることができる.次に楕円曲線に基づく公開鍵暗号の具体的な構成例を二つ紹介する[23].以下E :y^(2)=x^(3)+ax+bをFq 上定義された楕円曲線とし,f(x)=x^(3)+ax+bとし, また位数(nP=Oとなる最小の正整数n)が大きな素数で割れる要素P∈E(F_(q))をベースポイントとする.またE(F_(q))およびPはシステム内で公開する.

1)楕円曲線に基づくDiffie-Hellman鍵配送
AとBが鍵を共有する場合を考える.
〔鍵生成〕Aは,正整数x_(A)を選びこれを秘密鍵として保持し,E上で
Y_(A)=x_(A)P
を計算し, E(F_(q))の要素Y_(A)を公開鍵として公開ファイルに登録する.同様にBも,正整数x_(B)を秘密鍵として保持し,E(F_(q))の要素Y_(B)を公開鍵として公開ファイルに登録する.
〔鍵共有〕Aは,公開ファイルからBの公開鍵Y_(B)を取ってきてE上で
K_(A,B)=x_(A)Y_(B)=x_(A)x_(B)P
を計算する.同様にBは公開ファイルからAの公開鍵Y_(A)を取ってきて
E上で
K_(B,A)=x_(B)Y_(A)=x_(B)x_(A)P
を計算する. AとBはE(F_(q))の要素K_(A,B)=K_(B,A)を鍵として共有
する.」(229頁9行?230頁14行)

と記載されているように,楕円曲線暗号,楕円曲線暗号におけるスカラ倍,及び,楕円曲線に基づくDiffie-Hellman鍵配送は,本願の第1国出願前に,当業者には既に周知の技術事項であった。
引用発明は,その構成から“離散対数問題の困難性に基礎を置く,一般的なDiffie-Hellman鍵配送方法”を用いていることは明らかである。
そして,「楕円曲線に基づくDiffie-Hellman鍵配送」は,上記で指摘した引用刊行物4にも記載されているとおり,本願の第1国出願前には,当業者に周知の技術事項であるから,引用発明において,“一般的なDiffie-Hellman鍵配送”を,“楕円曲線に基づくDiffie-Hellman鍵配送”に置き換えることは,当業者が適宜なし得る事項である。
このとき,楕円暗号方式により,鍵を共有する通信装置間で,互いの通信装置の認証,或いは,互いが共有する情報の検証を行うためにチャレンジ・レスポンスの手法を用いることは,例えば,引用刊行物3に,

H.「[0063]As in MQV, the HMQV protocol's communication is identical to the basic DH exchange earlier shown in FIG.1, with the possible addition of certificates. As exemplified in FIG.3, the computation of the session key K differs from that of MQV in the computation of the values d and e, which involves the hashing of the party's own DH value and the peer's identity. A typical output of this hash is l=|q|/2 bits. In addition, in one exemplary embodiment, HMQV specifies the hashing of the values σ_(A)=σ_(B) into k-bit keys where k is the length of the desired session key. In alternate embodiments, one or both σ functions are not hashed.
・・・・・・(中略)・・・・・・
[0065] Challenge-Response Signatures

[0066] Although it should now be clear how the HMQV protocol differs from the MQV protocol, there is another aspect of the present invention that is, in a sense, even more fundamental: a main technical tool that stands as the core design and analysis element behind HMQV is a new form of interactive signatures, referred to as “challenge-response signatures”that is implemented on the basis of a new variant of the Schnorr's identification scheme using the Fiat-Shamir methodology. As a result, the “exponential challenge-response”(XCR) signatures of the present invention are obtained. The relation between Schnorr and Fiat-Shamir methodologies and XCR signatures is discussed below. 」
([0063]MQVと同様に,HMQVプロトコルの通信は,前の図1に示す,可能な証明書の附加を含め,基本的なDH鍵交換と一致する。図3内などの,セッション鍵の計算は,自らのDH値の集まりと,仲間の身元を含む,値dと,eの計算におけるMQVのそれとは異なる。このハッシュの定型的な出力は,l=|q|/2ビットである。加えて,一つの典型的な実施の形態によれば,HMQVは,kが望ましいセッション・キーの長さであるk-ビット・キーに値σ_(A)=σ_(B)をハッシュすることを,指定する。他の実施の形態においては,1つ,或いは,両方のσ関数は,ハッシュされない。
・・・・・・(中略)・・・・・・
[0065]チャレンジ-レスポンス署名

[0066]HMQVプロトコルがどのようにMQVプロトコルと異なるかについて現在明らかでなければならないが,ある意味では,さらに基本的である本発明の:HMQVの背後の中心的なデザインと分析要素として存在する主要な技術的なツールは,フィアット-シャミア方法論を用いたシュノアの認証スキームの新しい変形に基づいて実行される“チャレンジ-レスポンス署名”として言及されている,インタラクティブ署名の新しい形である,というもう一つの面がある。この結果を受けて,本発明の“指数チャレンジ-レスポンス”(XCR)署名が得られる。シュノアとフィアット-シャミア方法論とXCR署名の関係は,以下に述べる。)

との記載が存在し,或いは,本願の第1国出願前に既に公知である,特開平11-234259号公報(1999年8月27日公開,以下,これを「周知技術文献」という)に,

I.「【0021】まず,機器Aは,自分の公開鍵PAと認証子certAを機器Bに送る(処理301a)。同様に,機器Bは,自分の公開鍵PBと認証子certBを機器Aに送る(処理301b)。次に,機器A101は,乱数mAの生成(処理201a),乱数nAの生成(処理202a),乱数kAの生成(処理203a)を行う。201a?203aの処理順序は制限されない。ここで,乱数mAと乱数kAは機器A101が秘密に保持する。また,乱数nAは,機器B102へのチャレンジである。続いて,機器A101は,乱数kAを機器Bの公開鍵PBを用いて暗号化してcAを生成する(処理204a)。この暗号変換は,楕円曲線暗号を用いる。処理204aの手順は以下の通りである。
【0022】(1) 乱数mA とベースポイントGから,QA1 = mAG を計算する。
(2) 乱数mA と機器Bの公開鍵PBから,QA2 = mAPB を計算する。
(3) cA = [QA2] x + kA を計算する。ここで,[QA2] xは点QA2のx座標である。[QA2] xの値が分からなければ, cAからkAを知ることはできない。
・・・・・・(中略)・・・・・
【0025】ここで,機器A101が行う処理201a?204aと機器B102が行う処理201b?204bは,それぞれの機器で同時に実行することが可能である。次に,機器A101はcAとnAとQA1を機器B102に送る(処理302a)。同様に,機器B102はcBとnBとQB1を機器A101に送る(処理302b)。次に,機器A101は,cBを,機器Aの秘密鍵sAとQB1を用いて復号化し,kBを取得する(処理205a)。処理205aの手順は以下の通りである。
【0026】(1) 機器A101の秘密鍵sAとQB1から,QB2 = sAQB1 を得る。この式は,sAQB1 =sA (mBG) = mB (sAG) = mB (PA) = QB2 より成り立つことが分かる。QB2の値は,機器A101と機器B102しか知ることができない。
(2) kB = cB - [QB2] xを計算する。
・・・・・・(中略)・・・・・
【0029】次に,機器A101は,kBとnAとnB を用いて,レスポンスrAを以下のように計算する。
rA = h( kB || nA || nB ) (処理206a)
ここで,演算X||Yは,ビット列Xとビット列Yを結合することを表す。また,関数h(X)は,ハッシュ関数である。ハッシュ関数とは,任意長のデータを固定長のデータに圧縮する非可逆的な関数であり,デジタル署名や認証などの目的で広く用いられる。ハッシュ関数の演算負荷は,楕円暗号演算処理の数%しかなく小さいので,本発明の処理速度向上に寄与する。同様に,機器B102は,kAとnAとnBを用いて,レスポンスrBを以下のように計算する。
rB = h( kA || nB || nA ) (処理206b)
ここで,機器A101が行う処理205aおよび206aと,機器B102が行う処理205bと206bは,それぞれの機器で同時に実行することが可能である。また,この処理206a,206bでは,ハッシュ関数を使う代わりに同様に計算負荷が小さい共通鍵暗号を用いても良い。すなわち,nAとnB とを,kAを鍵とした共通鍵暗号を用いてレスポンスrBを作成しても良い。
【0030】次に,機器A101は,機器B102にレスポンスrAを送る(処理303a)。同様に,機器B102は,機器A101にレスポンスrBを送る(処理303b)。次に,機器A101はkAとnAとnB を用いてh( kA || nB || nA )を計算し,その結果が機器B102から受け取ったレスポンスrBと等しいことを検証する(処理207a)。これによって,機器Aが受け取った,機器B201の公開鍵に対応する秘密鍵を,機器B201が保持していることを認証する。機器B201が秘密鍵sBを保持していなければ,機器B201はkAを取得することができず,したがって,正しいレスポンスrBを生成できない。同様な方法で,機器B102は,機器A101のレスポンスrAを検証する(処理207b)。
【0030】次に,機器A101は,機器B102にレスポンスrAを送る(処理303a)。同様に,機器B102は,機器A101にレスポンスrBを送る(処理303b)。次に,機器A101はkAとnAとnB を用いてh( kA || nB || nA )を計算し,その結果が機器B102から受け取ったレスポンスrBと等しいことを検証する(処理207a)。これによって,機器Aが受け取った,機器B201の公開鍵に対応する秘密鍵を,機器B201が保持していることを認証する。機器B201が秘密鍵sBを保持していなければ,機器B201はkAを取得することができず,したがって,正しいレスポンスrBを生成できない。同様な方法で,機器B102は,機器A101のレスポンスrAを検証する(処理207b)。」

と記載されてもいるように,本願の第1国出願前に,当業者には周知の技術事項であって,引用刊行物3に記載の発明も,周知技術文献に記載された周知技術も,楕円曲線上のDiffie-Hellman鍵配送に基礎を置くものであることは明らかであるから,引用発明において,通常のDiffie-Hellman鍵配送を用いることに替えて,引用刊行物2に記載の発明,及び,引用刊行物3に記載の発明,並びに,周知技術文献に記載された周知技術において用いられている,楕円曲線に基づくDiffie-Hellman鍵配送を採用することは,当業者が適宜なし得る事項である。
このとき,本願発明は,問合せとして“楕円曲線上の点のx座標から計算した値を送信”し,応答として,“送信された値をスカラ倍した値の一部を返信”しており,“求めた値の一部を返信する”点は,引用発明でも行っているので,本願発明において,楕円曲線上の座標から計算した値を,チャレンジとし,該チャレンジをスカラ倍したものをレスポンスとする”点について更に検討すると,
本願発明においては,“楕円曲線上の座標点”に対してどのような「計算」を行うかについては何ら言及されておらず,任意の「計算」を含む態様である。
ここで,双方が正しい鍵を所有していることを認証するためには,チャレンジに対して,レスポンス側が,自らが有する個別鍵でチャレンジを暗号化し,チャレンジ側に返送し,チャレンジ側が,レスポンス側の公開鍵を用いて復号し,送信したチャレンジであるか確認するといった態様が,当該技術分野における一般的な態様である。これを楕円曲線暗号に当てはめた場合,本願発明における「スカラ倍」とは,レスポンス側の秘密鍵で暗号化する処理を指すものと解されるので(本願明細書の段落【0051】?段落【0056】の記載内容による),引用発明においても,楕円曲線を採用する場合に,同様の処理を行うことは,当業者が適宜なし得る事項である。
よって,相違点1?相違点5は,格別のものではない。

2.[相違点6]について
周知技術文献にも,

J.「0031】次に,機器A101は,機器B102の認証子certBを検証する(処理208a)。認証子certBの検証は,一例として従来の技術で説明したデジタル署名アルゴリズムであるECDSAに従い,鍵管理機関131の公開鍵PLAを用いて行われる。これによって,機器A101は,機器B102の公開鍵PBが正しいことを確認する。したがって,処理207aと処理208aの検証結果が共に正しければ,機器A101は機器B102が正しい秘密鍵を持っていることを確認でき,機器A101は機器B102を正しい機器と認証する。もし,処理207aと処理208aの検証結果のどちらかが正しくなければ,機器A101は機器B102を不正な機器と判断し,認証処理を中止する。」
といった記載があるように,検証の結果が正しくなければ,その後の処理を行わないようにすることは,当該技術分野にあっては,本願の第1国出願前に,当業者には周知の技術事項に過ぎない。
よって,相違点6は,格別のものではない。

上記で検討したごとく,相違点1?相違点6はいずれも格別のものではなく,そして,本願発明の構成によってもたらされる効果も,当業者であれば当然に予測可能なものに過ぎず格別なものとは認められない。

第6.むすび
したがって,本願発明は,本願の特許出願前に日本国内又は外国において頒布された刊行物に記載された発明又は電気通信回線を通じて公衆に利用可能となった発明に基づいて当業者が容易に発明をすることができたものであるので,特許法第29条第2項の規定により特許を受けることができない。

よって,結論のとおり審決する。
 
審理終結日 2014-06-03 
結審通知日 2014-06-09 
審決日 2014-06-20 
出願番号 特願2009-529682(P2009-529682)
審決分類 P 1 8・ 121- Z (G09C)
最終処分 不成立  
前審関与審査官 中里 裕正  
特許庁審判長 山崎 達也
特許庁審判官 石井 茂和
田中 秀人
発明の名称 暗号化されたデータ交換を行う方法、および通信システム  
代理人 星 公弘  
代理人 久野 琢也  
代理人 アインゼル・フェリックス=ラインハルト  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ