信息处理装置、控制器、密钥发行站、无效化列表有效性判定方法以及密钥发行方法

摘要

存储卡(30)具备：存储部(302)，存储有密钥发行站发行的密钥信息、以及表示在生成所述密钥信息的时刻发行的最新的无效化列表的版本并与所述密钥信息建立了关联的信息即版本信息；无效化列表接受部(304)，接受附加了版本的无效化列表；以及版本验证部(308)，对无效化列表接受部(304)所接受的无效化列表的版本与所述版本信息进行比较；在无效化列表的版本比版本信息旧的情况下，抑制无效化列表写入部(309)的处理。

说明书

技术领域

本发明涉及使用无效化列表进行处理的信息处理装置。

背景技术

在主机(再现装置)对存放在存储卡中的内容进行再现的系统中，在 存储卡与主机之间进行加密通信。近年来，研究了在存储卡与主机之间的 加密通信中使用被称为PKI(Public Key Infrastructure：公开密钥基础 设施)的方式。

在PKI中，存储卡和主机都保持着秘密密钥以及公开密钥证书。公开 密钥证书包括证书ID以及公开密钥，被赋予了由合法的密钥发行站发行的 数字签名。

存储卡和主机使用作为以素因数分解的复杂性为基础的密钥交换方式 的Difiee-Helman方式、或作为以楕圆曲线上的离散对数问题为基础的 密钥交换方式的EC-DH(Eliptic Curve Difiee-Helman)方式等进行 相互认证，相互共享会话密钥。然后，使用共享的会话密钥进行加密通信。

然而，可以想到以下情况，即：由于制造厂商的不注意或恶意的攻击 者所引起的信息的泄漏等，应该作为秘密的秘密密钥泄漏。在这种情况下 为了停止加密通信，在PKI中使用无效化列表。

无效化列表是记载了秘密密钥泄漏的装置的证书ID的列表。通过使用 无效化列表，在判断为通信对象的证书ID记载在无效化列表中的情况下， 能够停止加密通信。

先行技术文献

专利文献

专利文献1：日本特开2005-352522号公报

发明内容

发明所要解決的课题

如果新追加了秘密密钥泄漏的装置，则无效化列表被更新为新的版本， 但是，在存储卡中存放无效化列表的处理被委托给了卡厂商。

可以预想到以下情况，即：卡厂商错误地存放了旧版本的无效化列表， 还有，为了提高用户的购买欲望，故意存放旧版本的无效化列表。

如果在存储卡中存放旧版本的无效化列表，则非法的装置能够使用内 容的可能性变高，无法阻断非法访问。

因此，本发明鉴于上述问题，其目的在于，提供一种能够抑制卡厂商 在存储卡中存放旧版本的无效化列表的信息处理装置、控制器、密钥发行 站、无效化列表有效性判定方法以及密钥发行方法。

用于解决课题的手段

为了达到上述目的，本发明作为一种信息处理装置，使用密钥信息进 行认证以及密钥交换处理，其特征在于，具备：存储部，存储基于密钥发 行站的所述密钥信息、以及表示在生成所述密钥信息的时刻发行的最新的 无效化列表的版本、且与所述密钥信息建立了关联的信息即版本信息；无 效化列表接受部，接受附加了版本的无效化列表；比较部，对所述无效化 列表接受部所接受的所述无效化列表的版本与所述版本信息进行比较；以 及控制部，在所述无效化列表的版本比所述版本信息旧的情况下，抑制规 定的处理。

发明的效果

根据上述结构，在所述信息处理装置中，能够防止进行使用旧版本的 无效化列表的处理。

另外，假如厂商将旧版本的无效化列表植入信息处理装置，则该信息 处理装置通过控制部来抑制规定的处理。因此，制造出无法正常动作的信 息处理装置。因此，通过具有上述结构，可以期待厂商为了防止制造出无 法正常动作的信息处理装置而将新的无效化列表植入信息处理装置。

附图说明

图1是表示存储卡制造系统1的结构的图。

图2是表示密钥发行站10的结构的模块图。

图3是表示无效化列表120的数据结构的图。

图4是表示密钥信息130的数据结构的图。

图5是表示存储卡制造装置20以及存储卡30的结构的模块图。

图6是表示基于存储卡30的写入处理的动作的流程图。

图7是表示存储卡30a的结构的模块图。

图8是表示内容再现系统2的结构的图。

图9是表示存储卡40的结构的模块图。

图10是表示再现装置50的结构的模块图。

图11是表示基于存储卡40以及再现装置50的认证密钥交换处理以及 内容收发处理的动作的流程图。

图12是表示基于存储卡40以及再现装置50的认证密钥交换处理以及 内容收发处理的动作的流程图。

图13是表示基于存储卡40以及再现装置50的认证密钥交换处理以及 内容收发处理的动作的流程图。

图14是基于存储卡40以及再现装置50的版本验证处理的动作的流程 图。

图15是表示存储卡40a的结构的模块图。

具体实施方式

在此，参照附图说明本发明所涉及的实施方式。

1.实施方式1

对作为本发明所涉及的第一实施方式的存储卡制造系统1进行说明。

<结构>

存储卡制造系统1是制造由控制器以及闪存存储器构成的存储卡的系 统。存储卡制造系统1如图1所示，由密钥发行站10、存储卡制造装置20 以及作为本发明所涉及的信息处理装置的存储卡30构成。

密钥发行站10是进行用于植入存储卡的密钥信息以及无效化列表的生 成、管理、发布的装置。

存储卡制造装置20是存储卡制造业者的装置。存储卡制造业者是对存 储卡30进行组装并出货的从业者，从控制器制造业者购入控制器，从闪存 存储器制造业者购入闪存存储器，并组装存储卡30。然后，存储卡制造业 者使用存储卡制造装置20，向组装的存储卡30的控制器发送来密钥发行 站10取得的密钥信息以及无效化列表。

(1)密钥发行站10

密钥发行站10如图2所示，由根秘密密钥保持部101、新登录接受部 102、版本管理部103、无效化列表管理部104、无效化列表生成部105、 密钥对生成部106、证书ID管理部107、证书生成部108、签名赋予部109、 密钥信息生成部110、密钥信息发送部111以及无效化列表发送部112构 成。

密钥发行站10具体而言是具备处理器、硬盘、ROM、RAM等硬件的 计算机系统。在ROM中记录有计算机程序，处理器使用RAM执行计算机 程序，由此密钥发行站10达成其功能。

根秘密密钥保持部101保持作为本系统的安全性的依据的根秘密密 钥。根秘密密钥的泄漏意味着本系统整体损毁，因此根秘密密钥需要极为 严密地管理。根秘密密钥与后述的根公开密钥构成密钥对。

新登录接受部102接受由于秘密密钥暴露而应该新追加至无效化列表 中的公开密钥证书的证书ID(以下记作“无效证书ID”)的输入。具体而 言，新登录接受部102由鼠标、键盘等输入装置和应用程序构成，通过操 作者操作键盘等，输入无效证书ID。

版本管理部103对已经发行的最新的无效化列表的版本号进行管理。 即，版本管理部103事先在内部存储已经发行的最新的无效化列表的版本 号即“最低版本信息”，在每次由无效化列表生成部105新生成无效化列表 时，使存储的“最低版本信息”各增加“1”。

无效化列表管理部104积蓄由新登录接受部102接受的无效证书ID。

无效化列表生成部105根据无效化列表管理部104中积蓄的无效证书 ID，生成无效化列表。

在此，图3表示无效化列表生成部105所生成的无效化列表的数据结 构。如该图所示，无效化列表120由版本121、登录数122、列表123以 及数字签名124构成。

版本121表示该无效化列表120的版本。无效化列表生成部105对版 本管理部103所管理的“最低版本信息”加“1”，设为版本121。

登录数122表示列表123中记载的无效证书ID的数量。无效化列表 生成部105将积蓄在无效化列表管理部104中的无效证书ID的数量设为 登录数122。

列表123包括n个无效化证书ID。无效化列表生成部105生成包括积 蓄在无效化列表管理部104中的全部无效化证书ID的列表123。

数字签名124是针对版本121、登录数122以及列表123生成的数字 签名。无效化列表生成部105将根秘密密钥保持部101中保持的根秘密密 钥用作签名生成密钥，针对结合版本121、登录数122以及列表123而得 到的数据，实施规定的签名生成算法，来生成数字签名124。

无效化列表生成部105根据版本121、登录数122、列表123以及数 字签名124生成无效化列表120，将生成的无效化列表120向无效化列表 发送部112输出。另外，无效化列表生成部105如果生成了无效化列表120， 则向版本管理部103通知该情况。

密钥对生成部106生成对存储卡30赋予的包括公开密钥以及秘密密钥 的密钥对。密钥对生成部106将生成的公开密钥向证书生成部108输出， 将生成的秘密密钥向密钥信息生成部110输出。

证书ID管理部107对密钥发行站10所发行的公开密钥证书的证明6 书ID进行管理。对于已经使用的证书ID，需要注意不要错误地再利用。 作为一例，也可以是，证书ID管理部107在密钥发行站10每次发行公开 密钥证书时使计数器各增加“1”，总是生成新的号码的证书ID。

证书生成部108生成作为公开密钥证书的一部分的证书数据。证书生 成部108生成包括从证书ID管理部107指示的证书ID、以及由密钥对生 成部106生成的公开密钥的证书数据。证书生成部108将生成的证书数据 向签名赋予部109输出。

签名赋予部109将根秘密密钥保持部101中保持的根秘密密钥用作签 名生成密钥，针对从证书生成部108接受的证书数据，实施规定的签名生 成算法，生成数字签名。签名赋予部109对证书数据赋予数字签名来生成 公开密钥证书，将生成的公开密钥证书向密钥信息生成部110输出。

密钥信息生成部110生成向存储卡制造装置20发送的密钥信息。

在此，图4表示密钥信息生成部110所生成的密钥信息的数据结构。 如该图所示，密钥信息130由秘密密钥131、公开密钥证书132、最低版 本信息133以及数字签名134构成。公开密钥证书132由证书ID135、公 开密钥136以及数字签名137构成。

秘密密钥131是密钥信息生成部110从密钥对生成部106接受的秘密 密钥。公开密钥证书132是密钥信息生成部110从签名赋予部109接受的 公开密钥证书。密钥信息生成部110读出由版本管理部103管理的“最低 版本信息”，作为最低版本信息133。进而，密钥信息生成部110将根秘密 密钥保持部101中保持的根秘密密钥用作签名生成密钥，针对结合秘密密 钥131、公开密钥证书132以及最低版本信息133而成的数据，实施规定 的签名生成算法，生成数字签名134。

密钥信息生成部110根据秘密密钥131、公开密钥证书132、最低版 本信息133以及数字签名134生成密钥信息130，将生成的密钥信息130 向密钥信息发送部111输出。

密钥信息发送部111如果从存储卡制造装置20接受请求，则将密钥信 息130向存储卡制造装置20发送。

无效化列表发送部112如果从存储卡制造装置20接受请求，则将无效 化列表120向存储卡制造装置20发送。

(2)存储卡制造装置20

如图5所示，存储卡制造装置20由无效化列表发送部201和密钥信息 发送部202构成。

无效化列表发送部201从密钥发行站10取得无效化列表120，将取得 的无效化列表120发送给存储卡30的控制器301。

密钥信息发送部202从密钥发行站10取得密钥信息130，将取得的密 钥信息130发送给存储卡30的控制器301。

(3)存储卡30

如图5所示，存储卡30由控制器301和存储部302构成。

控制器301是存储卡制造业者从控制器制造业者取得的LSI设备，内 部处理被安全地保护，无法从外部读出信息。

存储部302是存储卡制造业者从闪存制造业者取得的闪存存储器。向 存储部302的数据写入以及从存储部302的数据读出经由控制器301进行。

控制器301由根公开密钥保持部303、无效化列表接受部304、密钥 信息接受部305、签名验证部306、密钥信息写入部307、版本验证部308 以及无效化列表写入部309构成。

根公开密钥保持部303保持与密钥发行站10所保持的根秘密密钥构成 密钥对的根公开密钥。根公开密钥用于由密钥发行站10生成的数字签名的 验证。其中，作为一例，根公开密钥保持部303也可以在控制器301内部 由硬逻辑构成。

无效化列表接受部304从存储卡制造装置20的无效化列表发送部201 接受无效化列表120。无效化列表接受部304将接受的无效化列表120输 出到签名验证部306。

密钥信息接受部305从存储卡制造装置20的密钥信息发送部202接 受密钥信息130。密钥信息接受部305将接受的密钥信息130输出到签名 验证部306。

签名验证部306使用根公开密钥保持部303所保持的根公开密钥，针 对无效化列表120所包括的数字签名124、密钥信息130所包括的数字签 名134、公开密钥证书132所包括的数字签名137，分别实施规定的签名 验证算法，来进行签名验证。

密钥信息写入部307在密钥信息130所包括的数字签名134以及公开 密钥证书132所包括的数字签名137的签名验证成功的情况下，将密钥信 息130写入存储部302。

版本验证部308从签名验证部306接受无效化列表120，从接受的无 效化列表120中读出版本121。另外，版本验证部308从存储部302所存 储的密钥信息130中读出最低版本信息133。

版本验证部308判断版本121是否比最低版本信息133旧。在无效化 列表120的版本121比最低版本信息133旧的情况下，版本验证部308判 断为旧的无效化列表被非法写入，将无效化列表120不向无效化列表写入 部309输出而加以废弃。在无效化列表120的版本121与最低版本信息133 相同或者比最低版本信息133新的情况下，版本验证部308将无效化列表 120向无效化列表写入部309输出。

无效化列表写入部309如果从版本验证部308接受了无效化列表120， 则将接受的无效化列表120写入存储部302。

<动作>

在此，使用图6，说明基于控制器301的密钥信息以及无效化列表的 写入处理的动作。

无效化列表接受部304接受无效化列表(步骤S1)。密钥信息接受部 305接受密钥信息(步骤S2)。

签名验证部306使用根公开密钥保持部303中保持的根公开密钥，对 密钥信息的数字签名进行验证(步骤S3)。在签名验证失败的情况下(步 骤S4中为否)，控制器301结束处理。

在签名验证成功的情况下(步骤S4中为是)，签名验证部306从密钥 信息中提取公开密钥证书(步骤S5)，使用根公开密钥，对公开密钥证书 的数字签名进行验证(步骤S6)。在签名验证失败的情况下(步骤S7中为 否)，控制器301结束处理。

在签名验证成功的情况下(步骤S7中为是)，密钥信息写入部307在 存储部302中写入密钥信息(步骤S8)。

接下来，签名验证部306使用根公开密钥，对步骤S1中接受的无效化 列表的数字签名进行验证(步骤S9)。在签名验证失败的情况下(步骤S10 中为否)，控制器301结束处理。

在签名验证成功的情况下(步骤S10中为是)，版本验证部308从存 储部302所存储的密钥信息中提取“最低版本信息”(步骤S11)。进而， 版本验证部308从无效化列表中读出“版本”。版本验证部308进行版本验 证处理，该版本验证处理判断无效化列表的版本是否比最低版本信息旧(步 骤S12)。

在无效化列表的版本比最低版本信息旧的情况下(步骤S13中为是)， 控制器301结束处理。在无效化列表的版本与最低版本信息相同或比最低 版本信息新的情况下(步骤S13中为否)，无效化列表写入部309在存储 部302中写入无效化列表(步骤S14)。

<变形例>

在此，作为实施方式1中说明的存储卡30的变形例，说明存储卡30a。

图7是表示存储卡30a的结构的模块图。在此，对于与图5中记载的 存储卡30具有相同功能的结构要素，与图5附加相同符号并省略说明。

变形例所涉及的存储卡30a的控制器301a除了控制器301的结构要 素之外，还具备控制器固有密钥保持部311以及加密部312。

控制器固有密钥保持部311保持作为控制器301a所固有的信息的控制 器固有密钥。控制器固有密钥例如在控制器301a的制造后，使用对电子电 路的一部分进行电烧断来刻入按个体不同的号码的eFUSE等技术来写入。

控制器301a的签名验证部306如果密钥信息所包括的数字签名的验证 成功，则将密钥信息向加密部312输出。加密部312通过控制器固有密钥 保持部311所保持的控制器固有密钥，对密钥信息所包括的秘密密钥进行 加密，生成加密秘密密钥。然后，密钥信息写入部307在存储部302中写 入包括加密秘密密钥、公开密钥证书、最低版本信息以及数字签名的密钥 信息。

即，变形例所涉及的控制器301a将加密秘密密钥写入存储部302。在 此，用于加密的密钥是控制器301a所固有的密钥，因此存储部302中存放 的加密秘密密钥无法由控制器301a以外的其他控制器解密。因此，如果使 用控制器301a，则能够进一步提高秘密密钥的安全性。

2.实施方式2

对于作为本发明所涉及的第二实施方式的内容再现系统2进行说明。

<构成>

内容再现系统2如图8所示，由作为本发明所涉及的信息处理装置的 存储卡40和作为本发明所涉及的信息处理装置的再现装置50构成。

在存储卡40中记录有数字内容。再现装置50是从存储卡40读出数字 内容并再现的装置。

存储卡40以及再现装置50都保持由实施方式1中说明的密钥发行站 10发行的PKI的密钥对以及无效化列表。存储卡40以及再现装置50使 用密钥对以及无效化列表进行相互认证之后，通过加密通信收发内容。

(1)存储卡40

如图9所示，存储卡40由控制器401和存储部402构成。

控制器401是LSI设备，内部处理被安全地保护，无法从外部读出信 息。存储部402是闪存存储器。向存储部402的数据写入以及从存储部402 的数据读出经由控制器401进行。

在存储部402中，存放着由秘密密钥411、公开密钥证书412、最低 版本信息413以及数字签名414构成的密钥信息410、无效化列表415、 内容密钥416和加密内容417。公开密钥证书412的数据结构与图4的公 开密钥证书132相同，无效化列表415的数据结构与图3的无效化列表120 相同。秘密密钥411与公开密钥证书412所包括的公开密钥构成PKI的密 钥对。加密内容417是将内容密钥416用作加密密钥对明文内容实施规定 的加密算法而生成的加密数据。

控制器401由根公开密钥保持部421、版本验证部422、认证密钥交 换部423、无效化列表更新部426、无效化判定部427、内容密钥发送部 428以及加密内容发送部429构成。认证密钥交换部423包括认证部424 以及会话密钥生成部425。

根公开密钥保持部421保持与密钥发行站10所保持的根秘密密钥构成 密钥对的根公开密钥。根公开密钥用于由密钥发行站10生成的数字签名的 验证。其中，作为一例，根公开密钥保持部421也可以在控制器401内部 由硬逻辑构成。

版本验证部422对公开密钥证书412所包括的最低版本信息与无效化 列表415所包括的版本进行比较，确认无效化列表415的合法性。具体而 言，版本验证部422在无效化列表的版本比最低版本信息旧的情况下，判 断为进行了某种攻击或非法行为，使与再现装置50之间的加密通信的建立 中止。其中，由版本验证部422进行的版本验证处理既可以在每次与再现 装置50通信时进行，也可以不在每次通信进行，而在初始时刻或无效化列 表更新时刻进行。

认证部424使用根公开密钥保持部421所保持的根公开密钥，对从再 现装置50接收的公开密钥证书所包括的数字签名进行验证。

其中，签名生成以及签名验证的算法有以素因数分解的困难性作为依 据的DSA(Digital Signature Algorithm：数字签名算法)、以楕圆曲线 上的离散对数问题作为依据的EC-DSA(Eliptic Curve Digital  Signature Algorithm：椭圆曲线数字签名算法)等。既可以使用这些算法， 也可以使用其他算法。在实施方式2中，作为一例，使用具有160比特的 密钥长度的EC-DSA。

作为验证的结果，在判定为再现装置50的公开密钥证书所包括的数字 签名不正确的情况下，视为再现装置50是非法的装置，使与再现装置50 之间的加密通信的建立中止。

另外，认证部424在与再现装置50之间进行质询-响应认证。关于质 询-响应认证，详细留待后述。在质询-响应认证失败的情况下，视为再 现装置50是非法的装置、或在通信路径中存在某种攻击，使与再现装置 50之间的加密通信的建立中止。

会话密钥生成部425使用由认证部424进行的质询-响应认证中生成 的信息以及从再现装置50接收的信息等，生成与再现装置50共享的会话 密钥。关于会话密钥的具体生成方法留待后述。

无效化列表更新部426在与再现装置50之间，相互收发由本机保持的 无效化列表。无效化列表更新部426在发送无效化列表415时，在通过由 会话密钥生成部425生成的会话密钥进行加密之后发送。另外，从再现装 置50接收的无效化列表通过会话密钥被加密，因此无效化列表更新部 14426通过会话密钥进行解密。

在此，作为加密算法，设为使用AES(Advanced Encryption  Standard：高级加密标准)。但是，在此使用的加密算法不限于AES，只 要是具有充分的密钥长度的共享密钥加密方式，则也可以是其他算法。另 外，如果不是加密，而是MAC(Message Authentication Code：消息认 证码)等能够防止将无效化列表置换为旧版本的攻击(称为“回滚攻击”) 的方法，则也可以使用其他方法。

进而，无效化列表更新部426既可以收发无效化列表的整体，也可以 最初仅收发无效化列表所包括的“版本”，然后再根据需要发送或者接收无 效化列表的整体。在该情况下，也可以是：无效化列表更新部426在发送 版本时，使用会话密钥进行加密并发送，在发送剩余的无效化列表的数据 时，不加密而仍以明文发送。由此，能够省略对数据尺寸较大的无效化列 表整体进行加密的处理。

无效化列表更新部426对本机所保持的无效化列表415的版本与再现 装置50所保持的无效化列表的版本进行比较。然后，在判定为再现装置 50所保持的无效化列表较新的情况下，无效化列表更新部426利用从再现 装置50接收的无效化列表，对存储部402中存储的无效化列表415进行 更新。

其中，也可以是：无效化列表更新部426在更新存储部402的无效化 列表之前，使用根公开密钥对从再现装置50接收的无效化列表所包括的数 字签名进行验证。然后，也可以是：仅在签名验证成功的情况下，更新存 储部402的无效化列表415，在签名验证失败的情况下，不更新无效化列 表415，视为接收的无效化列表非法并加以废弃。

无效化判定部427判定从再现装置50接收的公开密钥证书所包括的证 书ID是否被包括在存储部402所存储的无效化列表中。在再现装置50的 证书ID被包括在无效化列表中的情况下，再现装置50是非法的装置，因 此控制器401拒绝加密通信的建立和内容的发送。

内容密钥发送部428在由认证部424进行的相互认证处理以及由无效 化判定部427进行的无效化判定处理正常结束的情况下，从存储部402中 读出内容密钥416。然后，内容密钥发送部428通过会话密钥对内容密钥 416进行加密而生成加密内容密钥，并将加密内容密钥向再现装置50发送。 其中，在此，作为加密算法的一例，设为使用AES。

加密内容发送部429从存储部402中读出加密内容417，并将加密内 容417向再现装置50发送。

(2)再现装置50

如图10所示，再现装置50由存储部502、根公开密钥保持部521、 版本验证部522、认证密钥交换部523、无效化列表更新部526、无效化判 定部527、内容密钥接收部528、加密内容接收部529、解密部530、解密 部531以及再现部532构成。

认证密钥交换部523包括认证部524以及会话密钥生成部525。

再现装置50具体而言是具备处理器、硬盘、ROM、RAM等的计算机 系统。在ROM中记录有计算机程序，处理器使用RAM执行计算机程序， 由此再现装置50达成其功能。

存储部502存放由秘密密钥511、公开密钥证书512、最低版本信息 513以及数字签名514构成的密钥信息510和无效化列表515。公开密钥 证书512的数据结构与图4的公开密钥证书132相同，无效化列表515的 数据结构与图3的无效化列表120相同。秘密密钥511与公开密钥证书512 所包括的公开密钥构成PKI的密钥对。

根公开密钥保持部521保持与密钥发行站10所保持的根秘密密钥构成 密钥对的根公开密钥。根公开密钥用于由密钥发行站10生成的数字签名的 验证。

版本验证部522对公开密钥证书512所包括的最低版本信息与无效化 列表515所包括的版本进行比较，确认无效化列表515的合法性。具体而 言，版本验证部522在无效化列表的版本比最低版本信息旧的情况下，判 断为进行了某种攻击或非法行为，使与存储卡40之间的加密通信的建立中 止。其中，由版本验证部522进行的版本验证处理既可以在每次与存储卡 40通信时进行，也可以不在每次通信时进行，而在初始时刻或无效化列表 更新时刻进行。

认证部524使用根公开密钥保持部521所保持的根公开密钥，对从存 储卡40接收的公开密钥证书所包括的数字签名进行验证。在此，作为签名 生成以及签名验证的算法，使用EC-DSA。

作为签名验证的结果，在判定为存储卡40的公开密钥证书所包括的数 字签名不正确的情况下，视为存储卡40是非法的装置，使与存储卡40之 间的加密通信的建立中止。

另外，认证部524在与存储卡40之间进行质询-响应认证。关于质询 -响应认证，详细留待后述。在质询-响应认证失败的情况下，视为存储 卡40是非法的装置、或在通信路径中存在某种攻击，使与存储卡40之间 的加密通信的建立中止。

会话密钥生成部525使用由认证部524进行的质询-响应认证中生成 的信息以及从存储卡40接收的信息等，生成与存储卡40共享的会话密钥。 关于会话密钥的具体生成方法留待后述。

无效化列表更新部526在与存储卡40之间，相互收发由本机保持的无 效化列表。无效化列表更新部526在发送无效化列表515时，通过由会话 密钥生成部525生成的会话密钥进行加密之后发送。另外，从存储卡40接 收的无效化列表通过会话密钥被加密，因此无效化列表更新部526通过会 话密钥进行解密。在此，作为加密算法，设为使用AES。

进而，无效化列表更新部526既可以收发无效化列表的整体，也可以 在最初仅收发无效化列表所包括的“版本”，然后根据必要发送或者接收无 效化列表的整体。在该情况下，无效化列表更新部526与存储卡40的无效 化列表更新部426相同，也可以是：在发送版本时，使用会话密钥进行加 密并发送，在发送剩余的无效化列表的数据时，不加密而仍以明文发送。

无效化列表更新部526对本机所保持的无效化列表515的版本与存储 卡40所保持的无效化列表的版本进行比较。然后，在判定为存储卡40所 保持的无效化列表较新的情况下，无效化列表更新部526通过从存储卡40 接收的无效化列表，对存储部502所存储的无效化列表515进行更新。

其中，也可以是：无效化列表更新部526在更新存储部502的无效化 列表之前，使用根公开密钥，对从存储卡40接收的无效化列表所包括的数 字签名进行验证。然后，也可以是：仅在签名验证成功的情况下，更新存 储部502的无效化列表515，而在签名验证失败的情况下，不更新无效化 列表515，视为接收的无效化列表非法并加以废弃。

无效化判定部527判定从存储卡40接收的公开密钥证书所包括的证书 ID是否被包括在存储部502所存储的无效化列表中。在存储卡40的证书 ID被包括在无效化列表中的情况下，存储卡40是非法的装置，因此再现 装置50中止加密通信的建立和加密内容的解密处理。

内容密钥接收部528从存储卡40接收加密内容密钥。加密内容密钥是 对内容密钥416通过会话密钥进行加密而得到的数据。

加密内容接收部529从存储卡40接收加密内容。加密内容是对内容通 过内容密钥进行加密而得到的数据。

解密部530在由认证部524进行的相互认证处理以及由无效化判定部 527进行的无效化判定处理正常结束的情况下，使用会话密钥对内容密钥 接收部528所接收的加密内容密钥进行解密，生成内容密钥。在此，作为 加密算法，设为使用AES。

解密部531从解密部530接受内容密钥，从加密内容接收部529接受 加密内容。解密部531使用内容密钥对加密内容进行解密，生成内容。

再现部532对由解密部531解密的内容进行解码处理等，并输出到未 图示的外部的显示器。

<动作>

在此，使用图11～图14的流程图，说明内容再现系统2的动作。

再现装置50的认证部524生成160比特的随机值Hn(Host nonce) (步骤S101)。其中，在实施方式2中，以密钥长度160比特的EC-DSA 作为前提，因此生成160比特的随机值，但在使用其他算法的情况下，在 此生成的随机值显然不是160比特。

认证部524对步骤S101中生成的160比特的随机值附加存储部502 所保持的公开密钥证书512。将其作为质询数据发送给存储卡40(步骤 S102)。其中，在图11中，将公开密钥证书512记作“Hcert(Host  Certificate：主机证书)”。另外，“||”是意为连接的记号。

存储卡40如果从再现装置50接收到质询数据，则由版本验证部422 进行版本验证处理(步骤S103)。关于版本验证处理，详细留待后述。

如果在版本验证处理中判定为无效化列表非法(步骤S104中为否)， 则存储卡40停止处理。如果在版本验证处理中判定为无效化列表合法(步 骤S104中为是)，则前进至步骤S105。

认证部424使用根公开密钥，进行步骤S102中接收的质询数据所包 括的公开密钥证书Hcert的验证处理(步骤S105)。如果公开密钥证书 Hcert的验证处理失败(步骤S106中为否)，则存储卡40停止处理。如果 公开密钥证书Hcert的验证处理成功(步骤S106中为是)，则认证部424 生成160比特的随机值Mn(Media nonce)(步骤S107)。

认证部424针对步骤S107中生成的160比特的随机值Hn，附加存储 部402所保持的公开密钥证书412。将其作为质询数据向再现装置50发送 (步骤S108)。其中，在图11中，将公开密钥证书412记作“Mcert(Media  Certificate：媒体证书)”。

再现装置50如果从存储卡40接收到质询数据，则由版本验证部522 进行版本验证处理(步骤S109)。关于版本验证处理，详细留待后述。

如果在版本验证处理中判定为无效化列表非法(步骤S110中为否)， 则再现装置50停止处理。如果在版本验证处理中判定为无效化列表合法(步 骤S110中为是)，则前进至步骤S117。

存储卡40的认证部424在步骤S108中发送质询数据之后，生成160 比特的随机值Mk(Media Key：媒体密钥)(步骤S113)。其中，在使用 EC-DH以外的其他算法的情况下，在步骤S113中生成的随机值不限于 160比特。

认证部424针对步骤S113中生成的随机值Mk，使用作为本系统中预 定的楕圆加密的参数的基点G，计算Mv＝Mk·G(步骤S114)。

进而，认证部424针对将步骤S102中接收的质询数据所包括的Hn 和步骤S114中计算的Mv连接而得到的数据即Hn ||Mv，使用存储部 402所存储的秘密密钥(Mpriv)411，生成数字签名(Sign(Mpriv，Hn || Mv))(步骤S115)。

认证部424将连接步骤S114中计算的Mv和步骤S115中生成的数字 签名Sign(Mpriv，Hn ||Mv)而得到的数据作为响应数据，向再现装置 50发送(步骤S116)。

再现装置50从存储卡40接收响应数据。认证部524进行所接收的响 应数据所包括的数字签名Sign(Mpriv，Hn ||Mv)的验证(步骤S117)。 具体而言，认证部524从接收的响应数据中提取Mv，对连接步骤S101中 生成的Hn和Mv而得到的数据，使用存储卡40的公开密钥证书Mcert 所包括的公开密钥，验证数字签名。

如果数字签名的验证失败(步骤S118中为否)，则再现装置50停止处 理。如果数字签名的验证成功(步骤S118中为是)，则认证部524生成160 比特的随机值Hk(Host Key：主机密钥)(步骤S119)。

认证部524针对步骤S119中生成的随机值Hk，使用作为本系统中预 定的楕圆加密的参数的基点G，计算Hv＝Hk·G(步骤S120)。

进而，认证部524针对将步骤S108中接收的质询数据所包括的Mn 和步骤S120中计算的Hv连接而得到的数据即Mn ||Hv，使用存储部 502所存储的秘密密钥(Hpriv)511，生成数字签名(Sign(Hpriv，Mn || Hv))(步骤S121)。

认证部524将连接步骤S120中计算的Hv和步骤S121中生成的数字 签名Sign(Hpriv，Mn ||Hv)而得到的数据作为响应数据，向存储卡40 发送(步骤S122)。

存储卡40从再现装置50接收响应数据。认证部424进行所接收的响 应数据所包括的数字签名Sign(Hpriv，Mn ||Hv)的验证(步骤S123)。 具体而言，认证部424从接收的响应数据中提取Hv，对连接步骤S108中 生成的Mn和Hv而得到的数据，使用再现装置50的公开密钥证书Hcert 所包括的公开密钥，验证数字签名。

如果数字签名的验证失败(步骤S124中为否)，则存储卡40停止处 理。如果数字签名的验证成功(步骤S124中为是)，则会话密钥生成部425 根据步骤S113中生成的随机值Mk、以及步骤S112中接收的响应数据所 包括的Hv，计算Bk＝Mk·Hv，来生成会话密钥Bk(Bus Key)(步骤 S125)。

再现装置50的会话密钥生成部525也同样根据步骤S119中生成的随 机值Hk、以及在步骤S116中接收的响应数据所包括的Mv，计算Bk＝ Hk·Mv，来生成会话密钥Bk(步骤S126)。

接下来，存储卡40的无效化列表更新部426通过步骤S125中生成的 会话密钥Bk，对存储部402所存储的无效化列表415(Mcrl)进行加密， 生成加密无效化列表Enc(Bk，Mcrl)(步骤S127)。然后，无效化列表更 新部426将加密无效化列表Enc(Bk，Mcrl)向再现装置50发送(步骤 S128)。

另一方面，再现装置50的无效化列表更新部526也同样，使用步骤 S126中生成的会话密钥Bk，对存储部502所存储的无效化列表515(Hcrl) 进行加密，生成加密无效化列表Enc(Bk，Hcrl)(步骤S129)。然后，无 效化列表更新部526将加密无效化列表Enc(Bk，Hcrl)向存储卡40发送 (步骤S130)。

无效化列表更新部526使用会话密钥Bk，对步骤S128中接收Enc (Bk，Mcrl)进行解密(步骤S131)。

无效化列表更新部426使用会话密钥Bk，对步骤S130中接收的Enc (Bk，Hcrl)进行解密(步骤S132)。

接下来，无效化列表更新部426对Mcrl的版本与Hcrl的版本进行比 较(步骤S133)。

在Mcrl的版本比Hcrl的版本新的情况下，不需要更新(步骤S134 中为否)，因此前进至步骤S143。

在Hcrl的版本比Mcrl的版本新的情况下，需要更新(步骤S134中 为是)，但在更新处理之前，无效化列表更新部426使用根公开密钥对Hcrl 所包括的数字签名进行验证(步骤S135)。如果签名验证失败(步骤S136 中为否)，则不进行更新处理，而前进至步骤S143。如果签名验证成功(步 骤S136中为是)，则无效化列表更新部426通过从再现装置50接收的无 效化列表Hcrl，对存储部402所存储的无效化列表Mcrl进行更新(步骤 S137)。

另一方面，再现装置50的无效化列表更新部526也同样，对Mcrl的 版本与Hcrl的版本进行比较(步骤S138)。

在Hcrl的版本比Mcrl的版本新的情况下，不需要更新(步骤S139 中为否)，因此前进至步骤S148。

在Mcrl的版本比Hcrl的版本新的情况下，需要更新(步骤S139中 为是)，但在更新处理之前，无效化列表更新部526使用根公开密钥对Mcrl 所包括的数字签名进行验证(步骤S140)。如果签名验证失败(步骤S141 中为否)，则不进行更新处理，而前进至步骤S148。如果签名验证成功(步 骤S141中为是)，则无效化列表更新部526通过从存储卡40接收的无效 化列表Mcrl，对存储部502所存储的无效化列表Hcrl进行更新(步骤 S142)。

接着，存储卡40的无效化判定部427使用存储部402所存储的无效 化列表，确认再现装置50的公开密钥证书Hcert的有效性(步骤S143)。 具体而言，无效化判定部427判断无效化列表中是否记录有Hcert的证书 ID。

在无效化列表中记录有Hcert的证书ID的情况下(步骤S144中为否)， 视为再现装置50是非法的装置，存储卡40停止处理。

在无效化列表中未记录Hcert的证书ID的情况下(步骤S144中为是)， 内容密钥发送部428从存储部402中读出内容密钥(步骤S145)。内容发 送部428使用步骤S125中生成的会话密钥Bk，对读出的内容密钥进行加 密，生成加密内容密钥Enc(Bk，Kc)(步骤S146)。接下来，加密内容发 送部429从存储部402中读出加密内容(步骤S147)。

内容密钥发送部428将加密内容密钥Enc(Bk，Kc)向再现装置50发 送，加密内容发送部429将加密内容Enc(Kc，Cont)向再现装置50发送 (步骤S148)。

再现装置50的内容密钥接收部528接收加密内容密钥Enc(Bk，Kc)， 加密内容接收部529接收加密内容Enc(Kc，Cont)。

接着，再现装置50的无效化判定部527使用存储部502所存储的无 效化列表，确认存储卡40的公开密钥证书Mcert的有效性(步骤S149)。 具体而言，无效化判定部527判断无效化列表中是否记录有Mcert的证书 ID。

在无效化列表中记录有Mcert的证书ID的情况下(步骤S150中为 否)，视为存储卡40是非法的装置，再现装置50停止处理。

在无效化列表中未记录有Mcert的证书ID的情况下(步骤S150中为 是)，解密部530使用步骤S126中生成的会话密钥Bk，对加密内容密钥 进行解密，生成内容密钥(步骤S151)。接下来，解密部531使用步骤S151 中生成的内容密钥，对加密内容进行解密，生成内容(步骤S152)。然后， 再现部532再现内容(步骤S153)。

最后，使用图14详细说明图11的步骤S103以及步骤S109的版本验 证处理。

图14所示的处理由存储卡40的版本验证部422以及再现装置50的 版本验证部522执行。版本验证部422及522都进行同样的处理，因此在 此为了方便而省略附图标记进行说明。

版本验证部读出存储部所存储的密钥信息，对密钥信息所包括的数字 签名进行验证(步骤S201)。如果签名验证失败(步骤S202中为否)，则 前进至步骤S206。如果签名验证成功(步骤S202中为是)，则版本验证部 从存储部所存储的无效化列表中读出“版本”(步骤S203)。进而，版本验 证部从密钥信息中读出“最低版本信息”(步骤S202)。

然后，判断无效化列表的版本是否比最低版本信息旧。在无效化列表 的版本比最低版本信息旧的情况下(步骤S205中为是)，版本验证部判断 为无效化列表非法(步骤S206)。在无效化列表的版本与最低版本信息相 同或比最低版本信息新的情况下(步骤S205中为否)，版本验证部判断为 无效化列表合法(步骤S207)。

版本验证部通过对无效化列表的版本与最低版本信息进行比较，来验 证无效化列表的合法性，但如果最低版本信息自身被非法篡改，则版本验 证处理的实效性丧失。因此，设为版本验证部在对无效化列表的版本与最 低版本信息进行比较之前，对密钥信息的数字签名进行验证，由此验证最 低版本信息是由密钥发行站与密钥信息建立关联而生成的。

<变形例>

在此，作为实施方式2中说明的存储卡40的变形例，说明存储卡40a。

图15是表示存储卡40a的结构的模块图。在此，对于与图9中记载的 存储卡40具有相同功能的结构要素，附加与图9相同的符号并省略说明。

变形例所涉及的存储卡40a的控制器401a除了控制器401的结构要 素之外，还具备控制器固有密钥保持部431以及解密部432。控制器固有 密钥保持部431保持作为控制器401a所固有的信息的控制器固有密钥。控 制器固有密钥例如在控制器401a的制造后，使用对电子电路的一部分进行 电烧断来刻入按个体不同的号码的eFUSE等技术写入。

变形例所涉及的密钥信息410a包括对秘密密钥通过控制器固有密钥 进行加密而得到的加密秘密密钥411a。

解密部432使用控制器密钥对加密秘密密钥进行解密，将解密的秘密 密钥输出到认证部424。

即，变形例所涉及的存储卡40a在存储部402中保持加密秘密密钥、 由认证部424使用秘密密钥的情况下，由解密部432进行解密处理。明文 的秘密密钥不被输出到控制器401a的外部，因此如果使用控制器401a， 则能够进一步提高秘密密钥的安全性。

<其他变形例>

(1)在实施方式1以及实施方式2中，作为最低版本信息，使用无效 化列表的“版本”，但本发明不限定于此。作为最低版本信息，也可以使用 已经发行的最新的无效化列表的发行日、最新的无效化列表中登录的证书 ID的数量、最新的无效化列表的尺寸等。

(2)在实施方式1以及实施方式2中，根公开密钥保持在控制器内， 但该结构不是必须的。根公开密钥也可以构成为由存储卡制造业者写入存 储部(闪存存储器)，并在存储部内保持。

(3)在上述实施方式1中，如图6所述，在步骤S8中在存储部302 中写入密钥信息130之后，在步骤S 12中进行无效化列表120的版本验证 处理。但是，本发明不限定于此。控制器301也可以在存储部302中写入 密钥信息130之前，进行无效化列表120的版本验证处理。然后，也可以 构成为：作为版本验证处理的结果，在判定为无效化列表120的版本比最 低版本信息旧的情况下，将无效化列表120不向无效化列表写入部309输 出而加以废弃，并且对于密钥信息130，也不向密钥信息写入部307输出 而加以废弃。

(4)在实施方式2中，与存储卡通信的主机装置是再现内容数据的再 现装置。但是，与存储卡通信的主机装置不限于再现装置。也可以是在存 储卡的存储部中记录内容数据的记录装置。

(5)在实施方式2中的版本验证处理中，也可以是：即使在由版本验 证部判断为无效化列表的版本比最低版本信息旧的情况下，也由会话密钥 生成部生成会话密钥，并由无效化列表更新部执行无效化列表更新处理。 这样存在遭受以版本回滚为目的的攻击的危险性，因此从安全性的观点不 做推荐，但作为在存储部所存储的无效化列表因某种原因破损的情况下的 恢复对策是有效的。

(6)在实施方式2中，在存储卡40与再现装置50相互收发无效化列 表的处理中，各装置使用会话密钥对本机所保持的无效化列表进行加密之 后进行发送。但是，该结构在本发明中不是必须的。如图3所示，在无效 化列表中赋予了基于密钥发行站的数字签名。因此，能够通过验证数字签 名来检测无效化列表的篡改，因此从防止篡改的观点出发，也可以不加密 地收发无效化列表。

(7)在实施方式2中，在图11～图14的流程图所记载的质询-响应 认证之前，存储卡40以及再现装置50也可以分别进行对本机所保持的无 效化列表的数字签名进行验证的处理。

对无效化列表的数字签名进行验证的无效化列表验证部使用根公开密 钥，对存储部所存储的无效化列表所包括的数字签名进行验证。在签名验 证失败的情况下，也可以视为本机存在某种非法行为或攻击，而使与对象 方装置的加密通信的建立中止。

(8)在实施方式2中，在图11～图14的流程图所记载的无效判定处 理(步骤S143以及步骤S149)之前，也可以进行对本机所保持的无效化 列表的数字签名进行验证的处理。也可以是：仅在签名验证成功的情况下， 执行步骤S143以及步骤S149的处理，而在签名验证失败的情况下，到获 得合法的无效化列表为止，进行停止内容的收发处理等控制。

(9)使用图11～图14说明的质询-响应认证是一个例子。也可以将 存储卡以及再现装置中收发的一个消息分割为多个，增加存储卡以及再现 装置的通信次数。另外，对于处理的顺序，也不限于图11～图14所示的 具体例，也可以变更处理的顺序。

(10)在上述实施方式2中，存储卡40的版本验证部422通过对本 机的存储部402所存储的无效化列表的版本与本机的密钥信息所包括的最 低版本信息进行比较，由此进行版本验证处理。本发明不限定于此，版本 验证部422也可以通过对从再现装置50接收的无效化列表的版本与本机的 密钥信息410所包括的最低版本信息413进行比较，由此进行版本验证处 理。

再现装置50的版本验证部522也同样，也可以通过对从存储卡40接 收的无效化列表的版本与本机的密钥信息510所包括的最低版本信息513 进行比较，由此进行版本验证处理。

(11)也可以适当组合上述实施方式以及上述变形例。

<补充>

以下，进一步说明作为本发明的一个实施方式的信息处理装置的结构 及其变形例和效果。

(a)本发明的一个实施方式所涉及的信息处理装置是使用密钥信息进 行认证以及密钥交换处理的信息处理装置，其特征在于，具备：存储部， 存储由密钥发行站发行的所述密钥信息、以及表示在生成所述密钥信息的 时刻发行的最新的无效化列表的版本并与所述密钥信息建立了关联的信息 即版本信息；无效化列表接受部，从外部接受附加了版本的无效化列表； 比较部，对所述无效化列表接受部所接受的所述无效化列表的版本与所述 版本信息进行比较；以及控制部，在所述无效化列表的版本比所述版本信 息旧的情况下，抑制规定的处理。

其中，在<补充>中记载的“密钥信息”在上述实施方式1以及实施 方式2中，记作由秘密密钥和公开密钥构成的“密钥对”。

根据上述结构，在所述信息处理装置中，能够防止进行使用旧版本的 无效化列表的处理。

另外，加入厂商将旧版本的无效化列表植入信息处理装置，则该信息 处理装置通过控制部抑制规定的处理。因此，制造出无法正常动作的信息 处理装置。因此，通过具有上述结构，可以期待厂商为了防止制造出无法 正常动作的信息处理装置而将新的无效化列表植入信息处理装置。

(b)在所述信息处理装置中，其特征在于，所述存储部存储用于对所 述密钥信息与所述版本信息的关联进行验证的验证用信息，所述信息处理 装置具备验证部，该验证部使用所述验证用信息，判定所述版本信息是否 与所述密钥信息关联，所述比较部在由所述验证部判定为所述版本信息与 所述密钥信息关联之后，对所述无效化列表接受部所接受的所述无效化列 表的版本与所述版本信息进行比较。

在此，如果所述版本信息自身被非法篡改，则由比较部以及控制部进 行的处理的实效性丧失。

因此，所述信息处理装置在比较部的处理之前，使用所述验证用信息， 验证版本信息是否与由密钥发行站发行的密钥信息建立了关联，因此能够 保证由比较部以及控制部进行的处理的实效性。其中，作为验证用信息的 具体例，能够针对连接密钥信息和版本信息而得到的数据，使用由密钥发 行站的秘密密钥生成的数字签名。

(c)所述信息处理装置的特征在于，具备：无效化列表写入部，将所 述无效化列表接受部所接受的所述无效化列表写入所述存储部；以及无效 化判定部，使用所述存储部所存储的所述无效化列表，判定其他装置是否 被无效化；所述控制部在所述无效化列表的版本比所述版本信息旧的情况 下，抑制由所述无效化列表写入部进行的所述无效化列表的写入。

根据该结构，能够抑制信息处理装置的厂商错误地或者故意地在信息 处理装置中存放旧版本的无效化列表。进而，能够抑制使用旧版本的无效 化列表进行无效化判定处理。

(d)所述信息处理装置的特征在于，具备：固有密钥保持部，保持固 有密钥；加密部，通过所述固有密钥保持部所保持的所述固有密钥，对从 所述密钥发行局发行的所述密钥信息之中的至少一部分进行加密；以及密 钥信息写入部，将加密的所述密钥信息写入所述存储部。

根据该结构，加密的所述密钥信息的一部分无法使用其他信息处理装 置来解密，因此能够提高密钥信息的安全性。

(e)所述信息处理装置的特征在于，具备认证密钥交换部，该认证密 钥交换部使用所述密钥信息在与其他装置之间进行认证以及密钥交换；所 述存储部存储所述无效化列表；所述无效化列表接受部从所述存储部中读 出所述无效化列表；所述控制部在所述无效化列表接受部从所述存储部中 读出的所述无效化列表的版本比所述版本信息旧的情况下，抑制由所述认 证密钥交换部进行的认证以及密钥交换。

即，在所述信息处理装置存储着旧版本的无效化列表的情况下，抑制 认证以及密钥交换。

在所述信息处理装置与其他装置进行通信之前进行认证以及密钥交换 的情况下，如果抑制认证以及密钥交换，则所述信息处理装置的通信功能 丧失。因此，通过具备上述结构，可以期待信息处理装置的厂商将新的无 效化列表植入信息处理装置。

(f)在所述信息处理装置中，其特征在于，所述认证密钥交换部作为 认证以及密钥交换的结果，在与所述其他装置之间共享会话密钥；所述信 息处理装置还具备无效化列表更新部，该无效化列表更新部使用生成的所 述会话密钥在与所述其他装置之间进行加密通信，从所述其他装置取得所 述其他装置所保持的无效化列表，在所述存储部所存储的无效化列表的版 本比从所述其他装置取得的无效化列表的版本旧的情况下，通过所取得的 所述无效化列表，更新所述存储部所存储的无效化列表。

根据该结构，在无效化列表的版本与所述版本信息相同或比所述版本 信息新的情况下，所述信息处理装置在与其他装置之间进行无效化列表更 新处理。像这样，信息处理装置通过在与其他装置之间进行无效化列表更 新处理，能够保持更新的无效化列表。

(g)在所述信息处理装置中，其特征在于，在从所述其他装置取得的 所述无效化列表中赋予了数字签名，所述无效化列表更新部验证所述数字 签名是否是由所述密钥发行站发行的数字签名，在验证成功的情况下，通 过所取得的所述无效化列表，对所述存储部所存储的所述无效化列表进行 更新，在验证失败的情况下，不进行所述存储部所存储的所述无效化列表 的更新。

根据该结构，能够抑制通过非法的无效化列表更新存储部的无效化列 表。

(h)在所述信息处理装置中，其特征在于，所述存储部所存储的所述 密钥信息之中的至少一部分通过该信息处理装置固有的固有密钥被加密， 所述信息处理装置具备：固有密钥保持部，保持所述固有密钥；以及解密 部，使用所述固有密钥，对加密的所述密钥信息的一部分进行解密，将解 密的密钥信息输出给所述认证密钥交换部。

根据该结构，未加密的密钥信息不向信息处理装置的外部输出，因此 能够提高密钥信息的安全性。

产业可利用性

本发明在制造以及销售SD存储卡等存储卡的产业中，能够用作抑制 在存储卡中写入旧的无效化列表的非法行为的结构。

附图标记说明

1存储卡制造系统

2内容再现系统

10密钥发行站

20存储卡制造装置

30、30a、40、40a存储卡

50再现装置

101根秘密密钥保持部

102新登录接受部

103版本管理部

104无效化列表管理部

105无效化列表生成部

106密钥对生成部

107证书ID管理部

108证书生成部

109签名赋予部

110密钥信息生成部

111密钥信息发送部

112无效化列表发送部

201无效化列表发送部

202密钥信息发送部

301、301a控制器

302存储部

303根公开密钥保持部

304无效化列表接受部

305密钥信息接受部

306签名验证部

307密钥信息写入部

308版本验证部

309无效化列表写入部

311控制器固有密钥保持部

312加密部

401、401a控制器

402存储部

421根公开密钥保持部

422版本验证部

423认证密钥交换部

424认证部

425会话密钥生成部

426无效化列表更新部

427无效化判定部

428内容密钥发送部

429加密内容发送部

431控制器固有密钥保持部

432解密部

502存储部

521根公开密钥保持部

522版本验证部

523认证密钥交换部

524认证部

525会话密钥生成部

526无效化列表更新部

527无效化判定部

528内容密钥接收部

529加密内容接收部

530解密部

531解密部

532再现部