在公钥证明书的有效期已到期之后或密钥泄漏了时,也可以验证公钥证明书等的有效性。签名履历保管装置(104)具备签名履历列表(117)和证明书列表(120),将生成的磁滞签名的签名信息的部分作为签名记录登录在签名履历列表(117)中,将用户证明书的部分登录在证明书列表(120)中。此外,签名履历保管装置(104)具备可靠点列表(118),恰当地或在用户证明书期限到期之前对登录在签名履历列表(117)中的签名记录进行验证,把在已验证的签名记录中确定最新的签名记录的识别信息、对验证完成的签名记录的用户证明书的有效性进行验证的证据信息以及对这些信息进行了联结的信息的散列值登录在可靠点列表(118)中。
【技术实现步骤摘要】
本专利技术涉及长期确保数字签名的有效性的签名履历保管装置、签名履历保管方法以及其程序。
技术介绍
确保电子文件的正当性的数字签名(以下简单地成为“签名”)是以密码技术为基础的技术,因此其安全性是由“密钥”的推定计算的难度来确保。因此,现有的数字签名可以在短时间内确保电子文件的正当性,但对于20年或30年等较长的时间未必可以确保电子文件的正当性。其原因在于,在较长的时间内,由于计算机的计算速度提高或密码破译算法改善等技术革新,“密钥”的推定成为可能。或者存在由于使用时的人为错误“密钥”泄漏的可能。一旦“密钥”落入了恶意的第三者手中,就无法确保使用该“密钥”所生成的签名的正当性。因此,对公钥证明书设定了有效期,仅在该有效期内确保数字签名的有效性。在这样的数字签名中,对于要长期保存的电子文件无法确保其正当性。因此,为了解决该课题,开发了超过公钥证明书的有效期限、延长数字签名的有效性的技术。例如在D.Pinkas,J.Ross,N.Pope,“RFC3126-Electronic Signature Formatsfor long term electronic signatures”,IETF(Internet Engineering TaskForce),Sep.2001,,,因特网<http//www.faqs.org/rfcs/rfc3126.html>(以下称为文献1)中公开了以下的技术预先取得再次验证签名时所需要的证据信息(证明局的证明书、证明书失效列表(CRLCertificate Revocation List)等),对该电子文件、签名、证据信息给予时间戳(time stamp),并在该时间戳的有效期到期之前再次给予新的时间戳,由此长期确保数字签名的有效性。此外,在特开2001-331104号公报中(以下称为文献2)公开了称为磁滞(hysteresis)签名的技术在生成签名时作为履历保留该签名,在生成新的签名时使该新的签名反映上次的签名。根据该磁滞签名技术,对于已被磁滞签名的电子文件,只要之后还对后续的电子文件进行磁滞签名,就可以无需对各个电子文件进行再签名而延长该电子文件的签名的有效性。此外,在磁滞签名技术中,例如通过报纸、杂志等定期刊物或因特网的网页(Websight)等公开媒体对签名履历的一部分进行公开,由此可以提高签名之间的连锁关系的正当性。但是,在文献1公开的方法中,即使使用的证据信息相同也需要对每个签名保管证据信息,所以为了保管证据信息需要多个存储区域。而且,在时间戳的有效期到期之前,需要对电子文件、签名、证据信息等给予新的时间戳,所以在把有关的电子文件保管在磁带或DVD(Digital Versatile Disk)等外部的移动存储媒体中,且从计算机无法直接访问的情况下,使用十分不方便。此外,在文献2中公开了在公钥证明书的有效期到期后或密钥泄漏时,对电子文件或签名的篡改进行检测的技术,但没有公开对该公钥证明书等的有效性进行验证的技术。
技术实现思路
本专利技术提供签名履历保管装置、签名履历保管方法以及其程序,它们可以解决以上的现有技术问题,可以削减保管证据信息等所需要的存储装置的存储容量以及使用时所花费的时间和劳力,而且,即使在公钥证明书的有效期到期后或密钥泄漏时,也可以验证公钥证明书等的有效性。本专利技术提供一种签名履历保管装置、签名履历保管方法及其程序,该签名履历保管装置至少具备CPU和存储装置,将包含签名信息和用户证明书而构成的磁滞签名的签名履历保管在所述存储装置中,所述签名信息是在多个数字签名之间给予了由一方向函数确定的连锁关系的签名信息,所述用户证明书包含用于生成该签名信息的公钥信息,所提供的签名履历保管装置、签名履历保管方法及其程序的特征在于,所述存储装置具备签名履历列表和证明书列表,所述签名履历保管装置在生成了所述磁滞签名时,在该生成的磁滞签名中将所述签名信息的一部分作为签名记录登录在所述签名履历列表中,并将所述用户证明书的部分与所述签名记录对应地登录在所述证明书列表中。根据本专利技术,在包含在磁滞签名中的信息中,将签名信息的部分作为签名记录保管在签名履历列表中,并将用户证明书(公钥信息)的部分与签名记录对应地保管在证明书列表中。通常,如果用户相同则对于该多个签名,用户证明书在该有效期期间相同,所以无需重复保管相同的用户证明书。因此,存储用户证明书的存储装置的存储容量变小。此外,在本专利技术中,所述存储装置还具备可靠点(point)列表,该可靠点列表在登录在所述签名履历列表的签名记录中,将包含第一识别信息的信息作为可靠点数据进行登录,所述第一识别信息确定最新验证完成的签名记录。而且,所述签名履历保管装置在登录在所述签名履历列表的签名记录中,取出最新的签名记录,对于从所述取出的签名记录到由所述第一识别信息确定的签名记录的签名记录,使用登录在所述证明书列表中的所述用户证明书对所述签名记录的有效性以及所述签名记录的连锁关系的有效性进行验证,对于所述用户证明书,取得证明该用户证明书的有效性的证据信息,根据该取得的证据信息验证所述用户证明书的有效性,并将确定所述最新的签名记录的第二识别信息、所述收集到的证据信息、对由所述第二识别信息确定的签名记录以及所述证据信息进行了联结的信息的散列(hash)值作为可靠点数据登录在所述可靠点列表中。即,在本专利技术中,恰当地或者在用户证明书的期限到期之前,对于登录在签名履历列表的签名记录验证该签名信息以及签名信息的连锁关系的有效性,同时取得对该验证中所使用的用户证明书的有效性进行证明的证据信息,将该取得的证据信息作为可靠点数据的一部分保管在可靠点列表中。因此,即使在用户证明书的期限已到期之后或密钥泄漏了时,也可以验证用户证明书的有效性。此外,在本专利技术中,所述签名履历保管装置在所述可靠点列表中登录了新的可靠点数据时,消除登录在所述证明书列表中的用户证明书。因此,存储用户证明书的存储装置的存储容量进一步减小。根据本专利技术,即使在用户证明书(公钥证明书)的有效期已到期之后或密钥泄漏了时,不仅可以验证电子文件的签名和其用户证明书的有效性,还可以削减存储装置的容量,进一步节省使用时所花费的时间和劳力。附图说明图1举例表示使用了本专利技术实施方式的签名履历保管装置的磁滞签名文件管理系统的结构。图2举例表示本专利技术实施方式的计算机的一般结构。图3举例表示本专利技术实施方式的磁滞签名数据的形式。图4举例表示本专利技术实施方式的签名记录数据的形式。图5举例表示本实施方式的签名履历保管装置执行的签名登录处理的流程。图6举例表示本实施方式的签名履历保管装置执行的可靠点构筑处理的流程。图7举例表示本专利技术实施方式的可靠点构筑处理中包含的签名履历验证处理的详细流程。图8举例表示构成本专利技术实施方式的可靠点列表的可靠点数据的形式。图9举例表示本实施方式的签名履历保管装置执行的签名验证处理的流程。具体实施例方式图1举例表示使用了本专利技术实施方式的签名履历保管装置的磁滞签名文件管理系统的结构。如图1所示,磁滞签名文件管理系统10包含认证局装置101、签名生成装置102、文件保管装置103、签名履历保管装置104以及签名验证装置105,而且经由网络106相互连接这些装置。下面,本文档来自技高网...
【技术保护点】
一种签名履历保管装置,其至少具备CPU和存储装置,将包含签名信息和用户证明书而构成的磁滞签名的签名履历保管在所述存储装置中,所述签名信息在多个数字签名之间给予了由一方向函数确定的连锁关系,所述用户证明书包含用于生成该签名信息的公钥信息,其特征在于, 所述存储装置具备签名履历列表和证明书列表, 在生成了所述磁滞签名时,在该生成的磁滞签名中,将所述签名信息作为签名记录登录在所述签名履历列表中,并将所述用户证明书与所述签名记录对应地登录在所述证明书列表中。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:伊藤信治,本多义则,布上裕康,坂本圭司,
申请(专利权)人:株式会社日立制作所,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。