戻る

平成３０年４月１２日判決言渡
平成２９年（行ケ）第１００５１号審決取消請求事件
口頭弁論終結の日平成３０年２月８日
判決
原告アンスティテュミーヌーテレコム
同訴訟代理人弁理士木村高久
同小幡義之
被告特許庁長官
同指定代理人高木進
同石井茂和
同佐久聖子
同野崎大進
同板谷玲子
主文
１原告の請求を棄却する。
２訴訟費用は原告の負担とする。
３この判決に対する上告及び上告受理申立てのための付加期間
を３０日と定める。
事実及び理由
第１請求
特許庁が不服２０１４－２６７９２号事件について平成２８年１０月１３日
にした審決を取り消す。
第２前提事実（いずれも当事者間に争いがない。）
１特許庁における手続の経緯等
原告は，発明の名称を「その暗号変換により特に情報漏洩観測攻撃から保護
される暗号回路」とする発明について，平成２２年１月１８日（パリ条約によ
る優先権主張外国庁受理２００９年１月２０日仏国）に特許出願をした（特
願２０１１－５４６７７１号。以下「本願」という。）。これに対し，平成２
６年１月１５日付けで拒絶理由が通知されたことから，原告は，同年５月２日
に手続補正書等を提出したが，同年９月４日付けで拒絶査定がされた。
そこで，原告は，同年１２月２６日，特許庁に対し，拒絶査定不服審判を請
求した。これに対し，特許庁は，当該審判請求を不服２０１４－２６７９２号
事件として審理をし，原告に対し，平成２７年９月１７日付けで拒絶理由を通
知した。これを受け，原告は，平成２８年３月２５日，特許請求の範囲の変更
を内容とする別紙手続補正書を提出したが，特許庁は，同年１０月１３日，
「本件審判の請求は，成り立たない。」との審決をした（出訴期間として９０
日を附加した。以下「本件審決」という。）。その謄本は，同月２５日，原告
に送達された。
原告は，平成２９年２月２２日，本件訴えを提起した。
２本願発明
本願に係る発明は，別紙手続補正書により補正された特許請求の範囲請求項
１～５に記載された事項により特定されるものであるところ（以下，請求項の
順に「本願発明１」のようにいい，本願発明１～５を併せて「本願発明」とい
う。また，本願に係る別紙明細書及び図面を「本願明細書等」という。），そ
の記載は，以下のとおりである。
【請求項１】
暗号化アルゴリズムを実行するための関数鍵kcを含む暗号回路（２１）で
あって，前記回路は，前記回路に専用の第２の鍵kiであって，前記回路のサイ
ドチャネルを利用した攻撃から回路を保護することを可能とする第２の鍵kiを
含むことを特徴とする回路であって，
前記関数鍵kcはXOR演算によって前記２つの鍵を組み合わせることにより
前記第２の鍵kiによってマスクされ，入力変数xはマスク鍵
【数１】
によって暗号化され，
前記暗号回路は，FPGAタイプのプログラマブル回路において実現され，
前記暗号回路は，前記FPGAタイプのプログラマブル回路のプログラミング
ファイル（２５）を暗号化するための第３の鍵kbを含み，
前記第２の鍵kiはPUF（PhysicallyUnclonableFunction）により生成されるこ
とを特徴とする回路。
【請求項２】
前記第２の鍵kiによって導入されるマスキングはHO-DPA攻撃から保護さ
れることを特徴とする，請求項１に記載の回路。
【請求項３】
前記第２の鍵kiの基数は前記関数鍵kcの基数に等しいことを特徴とする，
請求項１または２に記載の回路。
【請求項４】
前記第３の鍵kbの基数は前記関数鍵kcの前記基数よりも大きいかまたは等
しいことを特徴とする，請求項１に記載の回路。
【請求項５】
前記暗号化アルゴリズムはDESアルゴリズムであることを特徴とする，請
求項１～４のいずれか１項に記載の回路。
３本件審決の理由の要旨
本件審決の理由は，別紙審決書（写し）記載のとおりであるが，要するに，
以下のとおり，本願発明１は，特許法（以下「法」という。）３６条６項２号
及び同条４項１号の要件を欠き，これを引用する本願発明２～５も同様であり，
また，本願発明１は，国際公開第２００７／１０２８９８号公報（甲１。以下
「引用文献１」という。）記載の発明（以下「引用発明」という。）に，特開
２００３－５１８２０号公報（甲２。以下「引用文献２」という。）ないし周
知慣用の技術に基づいて当業者が容易になし得るものであり，本願発明１の奏
する作用効果もこれらから当然予測される範囲内のものに過ぎず，格別顕著な
ものということはできないから，法２９条２項により特許を受けることができ
ず，本願発明２～５について検討するまでもなく，本願は拒絶すべきものであ
るとした。
(1)法３６条６項２号について
一般に，データの暗号化と復号化とが対となって別々の装置を用い，あ
る装置（例えば送信側）で暗号化されたデータは別の装置（例えば受信側）
で復号化されることによりデータを暗号化する目的が実現されるところ，本
願発明１は「暗号化アルゴリズムを実行するための関数鍵kcを含む暗号回
路（２１）であって，…第２の鍵kiはPUF（PhysicallyUnclonableFunction）
により生成される」事項を有することから，前記「PUFにより生成される」
「第２の鍵ki」に係る暗号化と復号化が対となると解されるが，例えば復号
化側の別の装置では（PUFはクローン不能であるから，前記別の装置では第
２の鍵kiと同じ鍵を持つことはできないので）復号化できないと解される。
本願明細書等の記載（【０００２】）には，前記２つの側（送信側と受信側）
が同一である場合の言及はあるとしても，本願発明１は「同一」であるとの
限定はしておらず，前記２つの側が同一である場合，別々である場合のいず
れの場合も，暗号化されたデータをどのように復号化するのかが不明であっ
て，どのように（復号可能に）暗号化するのか明確に記載されたものとはい
えず，しかも，技術的意義も不明である。
このため，本願発明は，法３６条６項２号の要件を満たしていない。
(2)法３６条４項１号について
本願発明１は「kc⊕kiによって暗号化され，…第２の鍵kiはPUF
（PhysicallyUnclonableFunction）により生成される」事項を有する回路の発
明であるが，当該暗号化に関連する復号化について発明の詳細な説明には説
明されておらず，前記第２の鍵kiはPUF（物理的クローン不能関数）により
生成されるものであるから，マスク鍵（kc⊕ki）により暗号化された入力変数
xを何を用いてどのように復号すればよいのか，暗号化／復号化に係る回路
は唯一の回路を用いるのか，別の回路を用いるのか，前記唯一の回路を用い
て暗号化と復号化をする技術的意義はどのようなものなのか不明であり，ま
た，別の回路を用いるならいかにして同じPUFにより生成される第２の鍵
kiを有する別の回路が得られるのか不明である。
したがって，本願明細書等に係る発明の詳細な説明は，当業者が本願発
明を実施することができる程度に明確かつ十分に記載されたものではない。
(3)法２９条２項について
ア引用発明
DES暗号アルゴリズムを実行するための暗号キーを含むDES計算ユニ
ット，キーマスキングユニット，メモリを含む暗号ハードウェアであっ
て，
前記ハードウェアは，マスクを用いるマスキング方法（偽またはダミ
ー演算）の使用により，あるラウンドにおける暗号化アルゴリズム置換
（Sボックス）演算の（キー側の）入力値のサイドチャネル攻撃からのハ
ードウェアエンジンを保護することを可能とするマスクを含むハードウ
ェアであって，
前記キーはXOR演算によって前記キーとマスクとを用いてマスキング
をかけたキーを生じさせ，入力データは前記マスキングをかけたキーに
よってXOR演算が適用されて暗号化され，
前記マスクは事前に構築されたマスキング表を用いて生成されること
を特徴とする暗号ハードウェア。
イ対比
本願発明１と引用発明とを対比すると，一致点及び相違点は，以下の
とおりである。
［一致点］
暗号化アルゴリズムを実行するための関数鍵kcを含む暗号回路であっ
て，前記回路は，第２の鍵kiであって，前記回路のサイドチャネルを利用
した攻撃から回路を保護することを可能とする第２の鍵kiを含むことを特
徴とする回路であって，
前記関数鍵kcはXOR演算によって前記２つの鍵を組み合わせることに
より前記第２の鍵kiによってマスクされ，入力変数xはマスク鍵
【数１】
kc⊕ki
によって暗号化され，
前記第２の鍵kiは手段を用いることにより生成されることを特徴とする
回路。
［相違点１］
回路に係る第２の鍵ki（マスク）であることに関し，本願発明１は「回
路に専用の」第２の鍵kiであるのに対し，引用発明は，そのような事項を
有していない点。
［相違点２］
本願発明１は，「暗号回路は，FPGAタイプのプログラマブル回路のプ
ログラミングファイルを暗号化するための第３の鍵kbを含」むのに対し，
引用発明は，そのような事項を有していない点。
［相違点３］
前記第２の鍵kiは手段を用いることにより生成されることに関し，本願
発明１は「PUF（PhysicallyUnclonableFunction）」により生成されるのに
対し，引用発明は，そのような事項を有していない点。
ウ判断
(ｱ)相違点１及び３について
引用文献２には，「マスクは，物理的アンクローンナブルな物理的パ
ラメータネットワーク（Function；関数，機能）により生成される」技
術が示されている。
また，引用発明と引用文献２とは，いずれも暗号化保護のための技術
に係るものである。
そうすると，引用発明において，回路に係る第２の鍵ki（マスク）で
あることに関し，「前記回路に専用の」第２の鍵kiであるとなすこと，
及び，前記第２の鍵ki（マスク）は所定の手段を用いることにより生成
されることに関し，「PUF（PhysicallyUnclonableFunction）」により生
成されるとなすことは，引用文献２の前記技術を参酌することにより当
業者が容易になし得ることである。
(ｲ)相違点２について
特表２００４－５１９１１１号公報（甲４。以下「参考文献１」とい
う。）及び特表２００８－５１２９０９号公報（甲５。以下「参考文献
２」という。）に見られるように，FPGAプログラムが意図する特定の
組のFPGA以外のFPGAをプログラムするためのFPGAプログラムの使
用を阻止するため，あるいは，単一のセキュアな集積回路チップ上に暗
号処理要素を設けることを目的として「暗号化回路は，FPGAタイプの
プログラマブル回路において実現され，前記回路は，前記FPGAタイプ
のプログラマブル回路のプログラミングファイルを暗号化するための鍵
を含む」技術は，周知の技術であったと認められる。
そうすると，引用発明において「前記暗号回路は，FPGAタイプのプ
ログラマブル回路において実現され，前記暗号回路は，前記FPGAタイ
プのプログラマブル回路のプログラミングファイルを暗号化するための
第３の鍵kbを含」むとなすことは，前記周知の技術を参酌することに
より容易になし得ることである。
(ｳ)したがって，本願発明１は，引用発明，引用文献２ないし周知慣用
の技術に基づいて当業者が容易になし得るものであり，その奏する作
用効果は，引用発明，引用文献２ないし周知慣用の技術の奏する作用
効果から当然予測される範囲内のものに過ぎず，格別顕著なものとい
うことはできないのであり，法２９条２項により特許を受けることが
できない。
第３当事者の主張
１原告の主張
(1)取消事由１（本願発明１の認定の誤り）
ア本願発明１における関数鍵kcとは，暗号化アルゴリズムを実行する鍵
のことであり，具体的には，DESアルゴリズム２３に入力されてこれを
実行し，入力変数xから暗号文yを出力することに機能する鍵である（本
願明細書等の図４）。より具体的には，関数鍵kcは，本願明細書等の図
１又は２においてFeistel関数fに入力されて暗号化処理に適用される鍵で
ある（裁判所注：図１及び２には「Feisted」とあるが，正しくは「Feistel」
である。以下，図１又は２に言及する場合を含め，後者により表記す
る。）。ここで，「暗号化アルゴリズム」の操作とは，本願発明１の
「暗号化アルゴリズムを実行する」操作であり，関数鍵kcによって暗号
化アルゴリズムを実行して暗号文yを出力する操作を意味する。
他方，マスク鍵kc⊕kiとは，あくまで入力変数xを暗号化するだけのも
のである。ここで，「暗号化」の操作とは，本願発明１の「入力変数xは
マスク鍵kc⊕kiによって暗号化され」る操作であり，暗号化アルゴリズム
の操作の一部である。
イ一般に，鍵を用いて入力変数xを暗号化する際に，サイドチャネルを利
用した攻撃によって情報の漏洩が生じるおそれがある。そこで，本願発
明１では，マスク鍵kc⊕kiを用いて入力変数xを暗号化する。このため，
マスク鍵kc⊕kiは，サイドチャネルを利用した攻撃の攻撃者によって解読
される（可能性のある）鍵である（本願明細書等【００２８】）。
本願明細書等の記載（【００４０】）及び図４にあるとおり，関数鍵kc
は，暗号化アルゴリズムを実行して入力変数xから暗号文すなわち暗号化
された変数y（=DES（x，kc））を出力することに機能する。このため，
最終的に入力変数xから生成して出力される暗号文を復号する（攻撃者に
とっては解読する）ためには，Feistel関数fに入力されて暗号化処理に適
用される鍵，つまり暗号化アルゴリズムを実行することに機能する関数
鍵kcを知る必要がある。しかるに，サイドチャネルを利用した攻撃の攻
撃者によって漏洩される（可能性のある）鍵は，上記のとおり，マスク
鍵kc⊕kiでしかない。サイドチャネルを利用した攻撃によって攻撃者が上
記マスク鍵を知ったとしても，そこから関数鍵kcを推測することは，第
２の鍵kiが未知であるため容易なことではなく，このため，暗号文から平
文である入力変数xを復号する（攻撃者にとっては解読する）ことはでき
ない（本願明細書等【００４６】）。本願発明１の意義は，以上の点に
ある。
ウしかし，本件審決は，本願発明１の認定に当たり，本願発明１の上記意
義をなんら認定しなかった。この点で本件審決には誤りがある。
(2)取消事由２（本願発明１と引用発明との一致点及び相違点の認定の誤り）
ア引用文献１には「マスキングをかけたキーを使用してDES暗号アルゴ
リズムを実行し，結果を出力データとしてメモリ３１に再び書き込む。」
（引用文献１に対応する特表２００９－５１６９６４号公報（甲１７）
の【００３４】。以下，引用文献１の訳（段落番号を含む。）は同公報
による。）との記載がある。このため，引用発明において暗号アルゴリ
ズムを実行し，暗号文を出力させることに機能するキーは，マスキング
をかけたキーである。
他方，引用文献１には「アルゴリズムのSボックスの入力側におけるア
ルゴリズムの実行のその部分を直接標的にすることができる。」（【０
００６】）と記載されており，サイドチャネルを利用した攻撃がされる
のは，Sボックスの入力側である。また，引用文献１の図２には，Sボッ
クスS1の入力側に，キーK1をマスク[15]によってマスクしたキーを用い
てデータ１を暗号化することが示されている。このため，引用発明にお
いてサイドチャネルを利用した攻撃の攻撃者によって漏洩される（可能
性のある）キーは，マスキングをかけたキーである。
以上より，引用発明において暗号文を復号する（攻撃者にとっては解
読する）ためには，マスキングをかけたキーを知れば足り，マスキング
をかける対象となるキーを知る必要はない。
イしたがって，本願発明１と引用発明とを対比すると，本願発明１では，
マスキングの対象となるキー，すなわち第２の鍵kiによってマスキングさ
れる対象となる関数鍵kcが，暗号化アルゴリズムを実行して暗号文を出
力することに機能するのに対して，引用発明の「暗号キー」は，それ単
独で暗号化アルゴリズムを実行して暗号文を出力することに機能するも
のではなく，暗号キーとマスクとがXOR演算された「マスキングをかけ
たキー」が暗号アルゴリズムを実行して暗号文を出力することに機能す
る，という点で異なる。
ウそうすると，本件審決は，本願発明１と引用発明との一致点として「暗
号化アルゴリズムを実行するための関数鍵kc」を認定している点で誤りで
ある。
(3)取消事由３（容易想到性に関する認定の誤り）
ア相違点２に関する本件審決の認定・判断については，実質的に争わない。
イ相違点１及び３について
(ｱ)前記のとおり，本願発明１と引用発明とは，本願発明１では，マス
キングの対象となるキー，すなわち第２の鍵kiによってマスキングされ
る対象となる関数鍵kcが，暗号化アルゴリズムを実行して暗号文を出
力することに機能するのに対して，引用発明の「暗号キー」は，それ
単独で暗号化アルゴリズムを実行して暗号文を出力することに機能す
るものではなく，暗号キーとマスクとがXOR演算された「マスキング
をかけたキー」が暗号アルゴリズムを実行して暗号文を出力すること
に機能する，という点で異なる。
このため，本願発明１では，サイドチャネルを利用した攻撃によって
攻撃者がマスク鍵kc⊕kiを知ったとしても，そこから関数鍵kcを推測す
ることは，第２の鍵kiが未知であるため容易なことではなく，その結果，
暗号文を復号する（攻撃者にとっては解読する）ことはできないのに対
し，引用発明では，サイドチャネルを利用した攻撃によって攻撃者がマ
スキングをかけたキーを知ることができれば暗号文を復号することがで
きてしまうという点で，両者は発明の作用効果の点でも異なる。
さらに，引用発明では，真のマスクを用いた真の演算以外に，ダミー
マスクを用いたダミー演算を実行する必要があるとともに，真のメッセ
ージ以外にダミーメッセージを生成する必要があるのに対し，本願発明
１では，ダミー演算及びダミーメッセージの生成は不要である。
このように，本願発明１は，引用発明に対して顕著な作用効果を奏功
することから，引用発明から容易に想到されるものではない。
(ｲ)引用文献２には「データdはメモリ２（MEM）に直接には蓄積され
ず，集積回路チップの物理的パラメータネットワークにより提供され
る量の測定値（ブロック４，MES）からくる物理データpと組合される
（ブロック３，COMB）。値f（d，p）はこの組合せの関数で，メモリ
２（例えばEEPROM）に蓄積される。」（【００３７】）と記載され
ている。したがって，引用文献２には，データdと物理データpを組み
合わせ，その結果の値f（d，p）をメモリに蓄積するという発明が記載
されている。
しかし，引用文献２に示されるデータd，物理データp，値f（d，p）
は，いずれも，本願発明１の「第２の鍵kiによってマスクされる鍵であ
って，暗号化アルゴリズムを実行する関数鍵kc」，「暗号化アルゴリズ
ムを実行する関数鍵kcをマスクする第２の鍵ki」，「入力変数xをマス
クするマスク鍵kc⊕ki（暗号化アルゴリズムを実行する関数鍵kcと第２
の鍵kiがXOR演算によって組み合わせられた鍵）」に相当しない。
そうである以上，引用発明に引用文献２を組み合わせても，本願発明
１は容易に想到されるものではない。
(ｳ)引用発明１におけるマスク[0]，マスク[1]，…マスク[63]は，テーブ
ル表より既知の鍵である。これに対し，引用文献２には，マスクが物
理的にアンクローンナブルであることが示されている。
しかるに，引用発明のマスク[0]等を「物理的にアンクローンナブル」
なマスクに置換したとしても，引用発明において，設計者にとって未知
である「物理的にアンクローンナブル」なマスクを含むメッセージデー
タが暗号アルゴリズムから出力されることとなりメッセージデータを復
号化することができない。
そうである以上，引用発明に引用文献２を組み合わせることには阻害
事由があり，これらを組み合わせて本願発明１を容易に想到することは
できない。
(ｴ)参考文献１及び参考文献２には本願発明１の「第２の鍵kiによって
マスクされる鍵であって，暗号化アルゴリズムを実行する関数鍵kc」，
「暗号化アルゴリズムを実行する関数鍵kcをマスクする第２の鍵ki」，
「入力変数xをマスクするマスク鍵kc⊕ki（暗号化アルゴリズムを実行
する関数鍵kcと第２の鍵kiがXOR演算によって組み合わせられた鍵）」
に相当する構成は何ら示されていない。
そうである以上，引用発明に参考文献１及び２を組み合わせても，本
願発明１は容易に想到されるものではない。
(4)取消事由４（実施可能要件に関する認定の誤り）
ア(ｱ)本願発明を実施するための事項は，以下のとおり，本願明細書等に
記載されており，実施可能要件を満たしている。
(ｲ)本願明細書等の「関数鍵kcが回路２１の暗号化を実施する役割を果
たす。この暗号化は例えばレジスタ２２の内部で入力変数xを暗号化さ
れた変数y=DES（x，kc）に変換するDESアルゴリズム２３である。」
（【００４０】）との記載及び図４によれば，本願明細書等には，回
路２１に，入力変数xが入力されるとともに関数鍵kcが入力され，回路
２１でDESアルゴリズムを実行し，暗号文y=DES（x，kc）を出力する
という事項が記載されているということができる。これは，本願の請
求項１の「暗号化アルゴリズムを実行するための関数鍵kcを含む暗号
回路（２１）」の記載に相当する。
また，本願明細書等の「暗号鍵９，kはまたFeistel関数１０によりマ
スクmによってマスクされる。」（【００２７】）との記載並びに図
１及び２によれば，図１及び２の回路に示される鍵kcが，マスクmに
よってマスクされる暗号鍵であるということが理解される。そして，本
願明細書等には，図１及び２に示される回路の説明として「K⊕Mつ
まり秘密鍵Kそれ自体がマスクMにより暗号化される。」との記載
（【００２８】）があるところ，上記回路の（マスクmによってマス
クされる）暗号鍵kcは，（マスクMによってマスクされる）秘密鍵K
と同一である。ここで，秘密鍵とは，暗号文yの復号化に必要な鍵であ
って暗号化アルゴリズムF（x，k）を実行するための鍵kであると定義
される。そうすると，本願明細書等の上記記載並びに図１及び２には，
秘密鍵kcが，マスクmによって，K⊕Mという形式でマスクされて暗号
化されるものの，図１及び２に示される回路で暗号化アルゴリズムF
（x，kc）を実行すると，暗号文y=F（x，kc）が出力される（秘密鍵kc
が暗号文yの復号化に必要な鍵である）ことが示されているといえる。
これは，本願の請求項１の「暗号化アルゴリズムを実行するための関数
鍵kcを含む暗号回路（２１）」の記載に相当する。
(ｳ)本願の請求項１の「入力変数xは，マスク鍵kc⊕kiによって暗号化さ
れ」につき，本願明細書等の図４には，関数鍵kcが，マスク（第２の
鍵）kiとXORゲートでXOR演算されて（kc⊕ki），DESアルゴリズム２
３の内部のレジスタ２２に入力されることが示されている。他方，同
図には，入力変数xが，DESアルゴリズム２３に入力されることも示さ
れている。このため，DESアルゴリズム２３に入力された入力変数xは，
DESアルゴリズム２３の内部のレジスタ２２に入力されたマスク鍵
kc⊕kiによって暗号化されることを，当業者であれば理解する。
また，本願明細書等の「左右のデータレジスタに保存される前に，メ
ッセージのデータは左でXORゲート７および右でXORゲート８という
手段によりマスクデータと組み合わされることによってマスクされる。
暗号鍵９，kはまたFeistel関数１０によりマスクmによってマスクされ
る。」（【００２７】）との記載並びに図１及び２によれば，XORゲ
ート８で，メッセージデータ（入力変数x）と第２の鍵kiがXOR演算
（x⊕ki）されていること，及びこの演算結果がレジスタ６を経てFeistel
関数１０に入力され，Eで示される箇所を経て，関数鍵kcとXOR演算
（x⊕ki⊕kc）されていることが，それぞれ理解される。排他的論理和⊕
（XOR演算子）は，その左辺と右辺を交換しても計算結果は同じであ
り（交換法則），計算の優先順位を変えても計算結果は同じである（結
合法則）ことから，Feistel関数１０に入力され，Eで示される箇所を経
て得られたx⊕ki⊕kcは，x⊕(kc⊕ki)となる。そうすると，図１及び２には，
「マスク鍵kc⊕kiによって入力変数xが暗号化され（x⊕(kc⊕ki)）」という
事項が示されているといえる。
(ｴ)本願明細書等の記載（【００３７】）及び図３によれば，図３にお
いて，入力データXがx⊕kcであり，マスクMが第２の鍵kiであるとす
ると，レジスタ３１の前段のXOR演算部でx⊕kc⊕kiの演算がされ，いず
れのレジスタにおいても第２の鍵kiによってマスキングがされることに
より，x⊕kcは漏洩されないが，レジスタ３５の後段のXOR演算部から
は第２の鍵kiがデマスキングされたE（x⊕kc）が出力されるという事項
が示されているといえる。
また，本願明細書等の図２においても，図３と同様に，Feistel関数１
０内のEの後段のXOR演算部でx⊕kc⊕kiの演算がされ，いずれのレジス
タにおいても第２の鍵kiによってマスキングがされて，x⊕kcは漏洩され
ないが，XOR演算部１３，１４からは，第２の鍵kiがデマスキングさ
れた暗号文が出力されるという事項が示されているといえる。
イ(ｱ)本願発明は，その名称が示すとおり「その暗号変換により特に情報
漏洩観測攻撃から保護される暗号回路」に関し，暗号回路においてサイ
ドチャネル攻撃から保護されることを課題とする。したがって，本願発
明の暗号回路を実施するための事項を発明の詳細な説明に記載すれば足
り，暗号回路を実施するための事項以外の事項である復号を実施するた
めの事項が発明の詳細な説明に記載されていないことをもって，実施可
能要件を満たしていないということにはならない。
(ｲ)マスク鍵kc⊕kiによって暗号化された入力変数xを，暗号回路から
「y=DES（x，kc）」として第２の鍵kiを用いない形式で出力すること
は可能である。
すなわち，本願明細書等の図２に示されるとおり，本願発明において
は，暗号化アルゴリズムにXORゲート７，８，１２，１３，１４を付
加することによって，第２の鍵kiは，マスク鍵kc⊕kiのために使用され
る一方で，XOR演算を繰り返すことによって最終的に消去される。こ
のため，出力１５（同図）から最終的に得られた暗号文yを解読するた
めには，関数鍵kcさえ知り得ればよく，第２の鍵kiを要しない。この
ことは，本願発明の出願時における当業者の技術常識をもって理解し得
る。
ウ以上より，実施可能要件に関する本件審決の認定は誤りである。
(5)取消事由５（明確性要件に関する認定の誤り）
本願の請求項１に「マスク鍵kc⊕kiによって暗号化された入力変数xを，
暗号回路から第２の鍵kiを用いない形式で出力でき，出力されたものを関数
鍵kcによって復号できる」ことが記載されていることについては，取消事
由４と同様である。
したがって，明確性要件に関する本件審決の認定は誤りである。
２被告の主張
(1)取消事由１（本願発明１の認定の誤り）に対し
ア本件審決は，特許請求の範囲に記載された事項により特定されるものと
して本願発明１の認定を行ったものであり，その認定に誤りはない。
イ(ｱ)原告は，本願発明１における関数鍵kcとは，暗号化アルゴリズムを
実行する鍵のことであり，具体的には，DESアルゴリズム２３に入力
されてこれを実行し，入力変数xから暗号文yを出力することに機能す
る鍵のことであり，「暗号化アルゴリズム」の操作とは，本願の請求項
１に記載の「暗号化アルゴリズムを実行する」操作であり，関数鍵kc
によって暗号化アルゴリズムを実行して（最終的に）暗号文を出力する
操作を意味する旨主張する。
しかし，本願発明１に係る特許請求の範囲には「暗号化アルゴリズム
を実行するための関数鍵kcを含む暗号回路（２１）であって」と記載
されているに過ぎず，「関数鍵kc」につき，「暗号化アルゴリズムを実
行するための関数鍵kc」であることや「関数鍵kcを含む暗号回路」と
特定されているものの，「関数鍵kc」が単独で「暗号化アルゴリズムを
実行する鍵のことであ」ることや「関数鍵kcによって暗号化アルゴリ
ズムを実行して（最終的に）暗号文を出力する」ことは，何ら特定され
ていない。
したがって，原告の上記主張は，本願の特許請求の範囲の記載に基づ
くものではない。
(ｲ)原告は，最終的に入力変数xから生成して出力される暗号文を復号す
る（攻撃者にとっては解読する）ためには，Feistel関数fに入力されて
暗号化処理に適用される鍵，つまり暗号化アルゴリズムを実行するこ
とに機能する関数鍵kcを知る必要がある，関数鍵kcが暗号化アルゴリ
ズムを実行して入力変数xから暗号文，つまり暗号化された変数yを出
力することに機能することは，本願明細書（【００４０】，図４）に
「y=DES（x，kc）」として記載されているなどと主張する。
しかし，本願発明１の特許請求の範囲には「入力変数xはマスク鍵
【数１】kc⊕kiによって暗号化され」と記載されているに過ぎず，「入
力変数xはマスク鍵kc⊕kiで暗号化」されることは特定されているもの
の，「関数鍵kcが暗号化アルゴリズムを実行して入力変数xから暗号
文，つまり暗号化された変数yを出力することに機能」することや，
「y=DES（x，kc）」として出力されることについては，何ら特定され
ていない。
したがって，原告の上記主張は，本願の特許請求の範囲の記載に基づ
くものではない。
(ｳ)原告は，本件明細書等の図１及び２の記載を根拠として，「暗号化」
の操作とは本願の請求項１の「入力変数xはマスク鍵kc⊕kiによって暗
号化され」る操作であり，マスク鍵kc⊕kiによって入力変数xを暗号化
するという，暗号化アルゴリズムの操作の一部を意味するなどと主張
するけれども，後記（(4)イ）のとおり，上記図１及び２の実施例は，
本願発明１に係る特許請求の範囲に対応する実施例ではない。
(ｴ)仮に，原告の主張する本願発明１の意義を参酌してクレームを限定
解釈し，「関数鍵kc」が単独で「暗号化アルゴリズムを実行する鍵のこ
とであ」ることや「関数鍵kcによって暗号化アルゴリズムを実行して
（最終的に）暗号文y=DES（x，kc）を出力する」ことを本願発明１の
構成として認定した場合であっても，引用発明においても，「関数鍵kc
によって暗号化アルゴリズムを実行して（最終的に）暗号文y=DES（x，
kc）を出力する」ことが実質的に記載されているといえるから，上記本
願発明１の構成は，実質的な相違点とならない。
したがって，原告主張に従って本願発明１の上記構成を認定したとし
ても，容易想到性判断の結論には影響しない。
(2)取消事由２（本願発明１と引用発明との一致点及び相違点の認定の誤り）
に対し
ア原告は，鍵kcに関し，本願発明１の関数鍵kcは，暗号化アルゴリズム
を実行して暗号文を出力することに機能するものである旨主張する。
しかし，前記のとおり，本願発明１の特許請求の範囲には「暗号化ア
ルゴリズムを実行するための関数鍵kcを含む暗号化回路（２１）であっ
て」と記載されているに過ぎず，「暗号文を出力することに機能」する
ものであることは何ら特定されていないから，原告の上記主張は，本願
の特許請求の範囲の記載に基づくものではない。
イ原告は，引用発明につき，引用発明の「暗号キー」は，それ単独で暗号
化アルゴリズムを実行して暗号文を出力することに機能するものではな
く，暗号キーとマスクとがXOR演算された「マスキングをかけたキー」
が暗号化アルゴリズムを実行して暗号文を出力することに機能する旨主
張する。
しかし，引用文献１の記載（【０００８】，【００１１】）によれば，
引用文献１の暗号化アルゴリズムは，ランダム順で真及びダミーキーを
使用しており，ダミーキーから間違った結果はダミーメモリロケーショ
ンに格納されるが，Zeroでマスキングされたキーは「真のキー」として，
その結果は真の結果としてメモリに格納される。ここで，Zeroでマスキ
ングされたキーはマスキングされないキーと等価であることは明らかで
あるので，引用発明の「『DES暗号アルゴリズム』を実行するための暗
号キーを含むDES計算ユニット，キーマスキングユニット，メモリを含
む暗号ハードウェア」における「暗号キー」には，マスキングされたダ
ミーキーだけでなく，マスキングされないキーと等価である「真のキー」
が含まれる。すなわち，引用発明の「暗号キー」には，本願発明１の
「関数鍵kc」に相当するものも含まれるといえる。
したがって，引用発明に関する原告の上記主張は，引用文献１の記載
の理解を誤ったものである。
(3)取消事由３（容易想到性に関する認定の誤り）に対し
ア原告は，本願発明１では，マスキングの対象となるキー，つまり第２の
鍵kiによってマスキングされる対象となる関数鍵kcが，暗号化アルゴリ
ズムを実行して暗号文を出力することに機能するのに対して，引用発明
では，マスキングをかけたキーが暗号アルゴリズムを実行して暗号文を
出力することに機能するという点で異なるため，本願発明１は引用発明
に対して顕著な作用効果を奏功する旨主張する。
しかし，原告の上記主張は，前記(1)イ(ｱ)，(ｲ)及び(2)イのとおり，本願
発明１についてはその特許請求の範囲の記載に基づくものとはいえず，
引用発明についても，引用文献１の記載の理解を誤ったものである。
イ原告は，引用文献１に引用文献２を組み合わせても，引用文献２に示さ
れるデータd，物理データp，値f(d，p)は，いずれも，本願発明の「第２
の鍵kiによってマスクされる鍵であって，暗号化アルゴリズムを実行する
関数鍵kc」，「暗号化アルゴリズムを実行する関数鍵kcをマスクする第
２の鍵ki」，「入力変数xをマスクするマスク鍵kc⊕ki（暗号化アルゴリズ
ムを実行する関数鍵kcと第２の鍵kiがXOR演算によって組み合わせられ
た鍵）」に相当しないから，相違点１及び３に係る構成には想到し得な
い旨主張する。
しかし，前記のとおり，本願の特許請求の範囲の記載では「暗号化ア
ルゴリズムを実行するための関数鍵kcを含む暗号回路」，「入力変数xは
マスク鍵kc⊕kiによって暗号化」との特定がされているものの，「第２の
鍵kiによってマスクされる鍵であって，暗号化アルゴリズムを実行する関
数鍵kc」，「暗号化アルゴリズムを実行する関数鍵kcをマスクする第２
の鍵ki」，「入力変数xをマスクするマスク鍵kc⊕ki（暗号化アルゴリズム
を実行する関数鍵kcと第２の鍵kiがXOR演算によって組み合わせられた
鍵）」という態様は，本願の特許請求の範囲で特定されていない。
したがって，原告の上記主張は，本願の特許請求の範囲の記載に基づ
くものではない。
(4)取消事由４（実施可能要件に関する認定の誤り）及び取消事由５（明確
性要件に関する認定の誤り）に対し
ア本願発明を暗号回路として実施するための事項が本願明細書等に記載さ
れているということはできない。
すなわち，暗号回路といえるためには，復号可能な暗号化を実行する
ことが必要であることは，暗号技術分野の技術常識である。そして，本
願の請求項では，入力変数xをマスク鍵kc⊕kiで暗号化しているから，暗
号化の際と復号化の際には同じ秘密鍵が必要となるという共通鍵暗号の
技術常識に照らし，復号化の際には暗号化の際に使用したマスク鍵kc⊕ki
が必要となる。
しかし，サイドチャネル攻撃によって暗号化の際に使用した秘密鍵は
特定されてしまうことから，秘密鍵kcを使用する代わりにマスク鍵kc⊕ki
を使用して暗号化を行ったとしても，暗号解読に必要なマスク鍵kc⊕kiが
特定されてしまうことになる。これは，本願の請求項１の「サイドチャ
ネルを利用した攻撃から回路を保護することを可能とする第２の鍵kiを含
むことを特徴とする回路」という記載と整合しないから，上記請求項の
記載は技術的に不明瞭となっている。
また，本願明細書等の実施例（図２及び４）によっても，入力変数xを
マスク鍵kc⊕kiで暗号化しながら，出力暗号文として「y=DES（x，kc）」
が出力されることが，当業者に実施可能な程度に具体的に記載されてい
るということはできない。
したがって，本願の請求項は技術的に不明瞭であるから，明確性要件
を満たしているとはいえず，また，本願明細書等には，本願の請求項に
係る発明である回路を暗号回路として実施するための事項が記載されて
いないから，実施可能要件を満たしているとはいえない。
イ本願明細書等の図２について
(ｱ)原告は，本願明細書等の図２を根拠として，第２の鍵kiは，マスク
鍵kc⊕kiのために使用されるが，XOR演算を繰り返すことによって消去
され，最終的に得られた暗号文x⊕kcを解読するためには，関数鍵kcさ
え知り得ればよく，第２の鍵kiを要しない旨主張する。
(ｲ)しかし，図２では，入力変数xであるメッセージに初期置換IP１を
行い（IP(x)），第２の鍵kiにも初期置換IP２を行い（IP(ki)），IP１の
出力IP(x)とIP２の出力IP(ki)をXORゲート８でXOR演算して
（IP(x)⊕IP(ki)），レジスタ６に格納している。そして，レジスタ６に格
納されたIP(x)⊕IP(ki)に拡大置換Eを行い（E(IP(x)⊕IP(ki))），出力
E(IP(x)⊕IP(ki))と関数鍵kcとでXOR演算を行い（E(IP(x)⊕IP(ki))⊕kc），S
ボックス９への入力としている。
このうち，IP１の出力IP(x)とIP２の出力IP(ki)をXORゲート８で
XOR演算（IP(x)⊕IP(ki)）している点は，入力変数xであるメッセージを
第２の鍵kiとのXOR演算によりマスクしているということができる。
他方，Sボックス９への入力E(IP(x)⊕IP(ki))⊕kcにおいて，関数鍵kcと第
２の鍵kiに着目すると，関数鍵kcと第２の鍵kiとで直接XOR演算を行
っていない。そうすると，「関数鍵kcはXOR演算によって…第２の鍵
kiによってマスクされ」ているとはいえない。
(ｳ)また，初期置換IPの入力は６４ビット幅であるから，第２の鍵kiの
ビット幅は６４ビットである。他方，拡大置換Eの出力は４８ビット幅
であるから，拡大置換Eの出力E(IP(x)⊕IP(ki))のビット幅は４８ビット
である。
ここで，XOR演算は，同じビット幅を有する２つの２進数を入力と
する２項演算であるという技術常識を踏まえると，拡大置換Eの出力
E(IP(x)⊕IP(ki))とのXOR演算の対象となっている関数鍵kcのビット幅は，
拡大置換Eの出力E(IP(x)⊕IP(ki))のビット幅と同じ４８ビットである。
「入力変数をマスク鍵kc⊕kiで暗号化」するためには，少なくとも第
２の鍵kiと関数鍵kcとが間接的にXOR演算していること，すなわち，
E(IP(x)⊕IP(ki))⊕kcの演算順序を入れ換えて，例えばE(IP(x)⊕IP(ki⊕kc))の
ように変換可能である必要があるが，初期置換IP及び拡大置換Eは，
ビット位置の入れ替えやビット幅の拡大を行っているから，初期置換
IP及び拡大置換E並びにXOR演算の演算順序は入れ換え可能であると
はいえない。仮に初期置換IP及び拡大置換E並びにXOR演算の演算順
序が入れ換え可能であったとしても，ビット幅の異なる第２の鍵ki（ビ
ット幅６４ビット）と関数鍵kc（ビット幅４８ビット）とはXOR演算
できない。
したがって，図２の実施例において，第２の鍵kiと関数鍵kcとは，
間接的にもXOR演算しているとはいえない。
(ｴ)以上より，図２の実施例において，第２の鍵kiと関数鍵kcとは，直
接的にも間接的にもXOR演算しているとはいえないから，同実施例は
「入力変数をマスク鍵kc⊕kiで暗号化」しておらず，「関数鍵kcはXOR
演算によって…第２の鍵kiによってマスクされ」ているとはいえない。
そうすると，同実施例は，本願の請求項に係る発明に対応する実施例
ということはできない。
したがって，図２の実施例に基づく原告の主張は，本願の請求項の記
載に基づく主張でないから，理由がない。
(ｵ)仮に図２に記載の実施例が「入力変数をマスク鍵kc⊕kiで暗号化」し
ているとしても，少なくとも，図２のS’１６は，DESアルゴリズムの
基本構成であるSボックス９と区別され，Sボックス９とは異なり，２
つの４８ビット幅の入力を持っている。しかし，図２のS’１６がどの
ような演算を行っているのかについて，本願明細書等には何ら記載も
示唆もない。このため，図２に記載の実施例を当業者が実施すること
はできず，実施可能要件を満たしているとはいえない。
第４当裁判所の判断
１本願発明
本願発明に係る特許請求の範囲請求項の記載は，前記（第２の２）のとおり
である。
２本願明細書等の記載等
(1)技術分野（【０００１】）
本発明はそれらの暗号化により特に情報漏洩観測攻撃から保護される暗
号回路に関する。
(2)背景技術
通信および情報処理のための手段のローミング能力が増すとともに，新
しい攻撃が考えられるようになっている。実行速度の点から，それを構成す
る電子回路，例えばDPA攻撃によるエネルギー消費量の点から，またはそ
の放射挙動，例えばEMA攻撃による磁気放射の点からシステムの時間的挙
動を観測することにより大量の情報が漏洩しうる。サイドチャネルへのこれ
らの攻撃に対しては，特に，
この例では秘密とは無関係に漏えいを一定にすることを伴う秘匿と，
漏えいをランダムにすることを伴う，つまり予測不能でありしたがって
利用不可能とするマスキングと，を基にする保護が提案されている。（【０
００４】）
これらの２つの技法は情報の取得を狙った攻撃の困難さを増すことを可
能とするが，それらはそれでもなお実装欠陥から利益を得るであろう攻撃に
対しては依然脆弱である。DPA攻撃の例は，P.Kocherらによる文献，
DifferentialPowerAnalysis,InproceedingsofCRYPT’99,volume1666ofLNCS,
pages338-397,Springer-Verlag,1999に記載されている。EMA攻撃の例は
K.Gandolfiらによる文献，ElectromagneticAnalysis-ConcreteResults,InCHES,
volume2162ofLNCS,pages251-261,Springer-Verlag,2001に記載されている。
（【０００５】）
起こりうるまたは立証された脆弱性の例は数多く存在する。
以下が特に挙げられる。
差分論理（WDDLなどの）に基づく秘匿は計算フェーズと評価フェーズ
とプリチャージフェーズとのうちの１つまたは別の間の累積した組み合わせ
のずれの差への攻撃に対して脆弱となる場合がある。
マスキングはHO-DPAと呼ばれる高階攻撃に敏感な場合がある。（【０
００６】）
(3)課題を解決するための手段
本発明の目的は特にこれらの，特にDPAまたはEMAタイプの攻撃に対抗
することである。この目的のため，本発明の対象は暗号アルゴリズムを実行
するための関数鍵kcを含む暗号回路であって，前記回路はkcとは別の前記
回路のそれぞれの例に特有の，回路のサイドチャネルを利用した攻撃から回
路を保護することを可能とする第２の鍵kiを含むことを特徴とする。（【０
００７】）
関数鍵kcは例えばXOR演算によって２つの鍵を組み合わせることにより
第２の鍵kiによってマスクされ，入力変数xはマスク鍵
【数１】
kc⊕ki
によって暗号化されている。（【０００９】）
第２の鍵kiは例えば秘密実装によって鍵kcを保護する役割を果たす。
（【００１０】）
第２の鍵kiは例えば特に鍵kiでマスキングすることにより保護される２つ
の秘密関数の囲い込みによってカスタマイズされる標準暗号アルゴリズムか
らなる秘密アルゴリズムを保護する役割を果たす。（【００１１】）
第２の鍵kiは例えばPUF（PhysicallyUnclonableFunction）またはPOK
（PhysicallyObfuscatedKey）タイプの関数により生成される。（【００１
２】）
第２の鍵kiにより導入されるマスキングはHO-DPA高階攻撃に対して保
護されてもよい。（【００１４】）
回路に固有の実装鍵としての役割を果たす第２の鍵kiの知識により，例え
ば保護管理プロシージャを，前記管理を担う特権ユーザが使用することが可
能となる。（【００１５】）
これはFPGAタイプのプログラマブル回路で実現されてもよい。（【００
１６】）
第２の鍵kiはFPGAのプログラミングファイルを介してカスタマイズされ
てもよい。（【００１７】）
有利には，回路はソフトウェアの実装により実現されてもよい。（【０
０１８】）
それは例えば前記FPGA回路のプログラミングファイル（２５）を暗号化
し，これにより外部記憶の機密性およびFPGAへの鍵kiの移転の機密性を付
与するための第３の鍵kbを含む。（【００１９】）
第２の鍵kiの基数は例えば関数鍵kcの基数に等しい。これはkiへの隠し
チャネル攻撃をkcへの暗号解読攻撃よりも困難にするためである。（【０
０２０】）
第３の鍵kbの基数の基数は関数鍵kcの基数よりも大きいかまたは等しい。
（【００２１】）
この暗号化アルゴリズムはDESアルゴリズムである。（【００２２】）
(4)発明を実施するための形態
図１に本発明が適用されうるマスキングのモードを呈示する。特に図１
には，特にS.Guilleらによる文献，AfastPipelinedMultiModeDESArchitecture
OperatinginIPRepresentation,Integration,TheVLSIJournal,40(4)pages479-489,
July2007,DOIに概要が示されるアーキテクチャに従い実装されるDES
（DataEncryptionStandard）アルゴリズムのマスキングの図が例として呈示
される。図１の回路は例えばFPGA（FieldProgrammableGateArray）タイプ
のプログラマブル論理回路で実現される。このアルゴリズムでは，データパ
スは２つの部分，左と右とに分割される。（【００２５】）
対比のために，図２はマスキングによる保護を保証するためのハードウ
ェアオーバーヘッドを強調する同様の回路を示し，このオーバーヘッドを生
じさせる回路は破線により示されている。（【００２６】）
したがって左のデータレジスタ３と右のデータレジスタ４との間に入力
メッセージ１が割り当てられる。左のマスクレジスタ５と右のマスクレジス
タ６との間にマスク２が割り当てられる。左右のデータレジスタに保存され
る前に，メッセージのデータは左でXORゲート７および右でXORゲート８
という手段によりマスクデータと組み合わされることによってマスクされる。
暗号鍵９，kはまたFeistel関数１０によりマスクmによってマスクされる。
右のレジスタ６のマスクされるデータと右のレジスタ２の半分のマスクは，
そこで右のマスクされるデータが第１の換字ボックス９により暗号化され，
かつ，そこで右の半分のマスクが第２の換字ボックス１６により暗号化され
るFeistel関数の入力を形成する。左のデータレジスタ５と左のマスクレジス
タ１のデータはXORゲート１１，１２という手段によりFeistel関数の出力
においてそれぞれ右のデータと新しいマスクとに組み合わされ，その後右の
レジスタにループ状に戻り，左右のデータはその後暗号化されたメッセージ
を出力１５するようにXORゲート１３，１４により再び組み合わされる。
図１のタイプの回路ではデータレジスタ５，６のみが漏洩すると想定される。
（【００２７】）
本発明による回路は漏洩を続けるがそれを暗号化の状態にするため理解
できない。したがって例えばDPAまたはEMAタイプの攻撃を実行する攻撃
者には以下の変数のみがわかる。
【数２】
K⊕M(1)
つまり秘密鍵Kそれ自体がマスクMにより暗号化される。鍵Kのこの保
護モードは，XORとも呼ばれかつ
【数３】
⊕
により表される「排他的論理和」演算を用いるVernam暗号という名で公知
であり，VernamコードはXOR演算を用いて暗号化することができるコード
である。本発明による暗号回路はしたがって情報漏洩のVernam暗号化によ
り隠しチャネルへの攻撃から保護される。（【００２８】）
暗号化アルゴリズムが完全にカスタマイズされる用途分野が存在する。
例えば秘密暗号に依存するGSMの公共または私用の範囲または有料テレビ
がそのようなケースである。この選択を正当化するために通常述べられる主
張には，回路と相関関係となる漏えい関数が未知であるためサイドチャネル
への攻撃，いわゆるSCA（Side-ChannelAttacks）は不可能ということがある。
K.Tiriらの文献，Side-ChannelLeakageTolerantArchitectures,InITNG’06-
ProceedingsoftheThirdInternationalConferenceonInformationTechnology,New
Generation,pages204-209,WashingtonDC,USA,2006IEEEComputerSocietyで
は，アルゴリズムの実装および機能性を，ハードウェアの量の点でオーバー
ヘッド有りまたは無しで一度にかつ同時に変更することを提案している。前
の２つのプロシージャの欠点は，暗号化が関数的に秘密であることである。
これはセキュリティの専門家がシステムおよびその配備を実施する特定の典
型的な場合においては容認されうる。しかし暗号化システムの設計および配
布を監視することが困難であるほとんどの場合，この筋書きは非常に不確実
である。いったん秘密の機能性が回復すると，DPAタイプの攻撃は再度容
易に可能となる。さらに例えばFIPS-140などの特定の証明方式では，暗号
標準をカスタマイズせずに使用することが要求される。これにより特に
K.Tiriらによる文献で支持されるSCAに耐性のある全プロシージャは禁止と
される。（【００２９】）
本発明によれば，特にこの暗号化の公知の関数の仕様に完全に準拠する
一方で暗号化を実施するためには，保護される暗号回路専用のマスクを使用
してマスキングによる保護が実施される。本発明による回路には，回路専用
のマスクMが単に一定であり，かつ，回路の使用者または設計者にとって
未知であるマスキングアーキテクチャが含まれる。（【００３０】）
図１によるマスキングパスは，実際，上述の式（１）に従い１次DPA攻
撃つまりデータレジスタ５，６のみが漏洩すると想定される攻撃の枠組み内
で暗号鍵のVernam暗号化を実施することが実証されうる。さらにマスキン
グ周囲のいかなるバリアントもまた本発明を実施するために使用することが
でき，事実，実装は機能性を保持する一方でリファレンス実装とは異なるよ
うに表されることで十分である。マスキングの場合，リファレンス実装はゼ
ロマスク（全ゼロ）を有するものと一致するが，マスクが非ゼロになるとす
ぐに，実装はしかしながら機能性を変更することなく変化する。ここで，実
装に可変性を導入するように表現を変えることもまた可能である。例えばA
NewDPACountermeasureBasedonPermutationTables.InSCN,volume5229of
LectureNotesinComputerScience,pages278-292.Springerにおいて，Jean-
SebastianCORONはAESの基本演算部分を２つの全単射，４ビット→４ビッ
トを導入して変更することを提案しているが，そのような方式でそれらを組
み立てることにより実際は従来のAESの計算が得られる。この表現の変化
もまた秘密実装のきっかけとなりうるが，その情報漏えいはしかしながらこ
の文献では研究されない。（【００３１】）
したがって漏えいモデルが未知であるため１次相関攻撃は不可能とされ
る。さらに，いわゆる「テンプレート」攻撃などの，測定値のセットまたは
カタログの構造に依存する攻撃は各実装が特有であり，汎用のカタログを構
築することが不可能であるため実行不可能とされる。（【００３２】）
有利には，本発明において実装の多様性は暗号鍵の数に匹敵するまたは
実際同等である。特に「第２の原像」タイプの攻撃はしたがって不可能であ
る。活動中の回路と同じマスクを有する，鍵がプログラム可能な回路を偶然
に見つける確率は，正しい鍵を偶然に推測する，つまりブルートフォースア
タックによる鍵への全数探索で成功する確率に匹敵するかまたは実際，同等
である。（【００３３】）
図１の例では，マスキングを実装するために付加されたハードウェアは
左１と右２のマスクレジスタおよびマスクをデータと組み合わせるXORゲ
ート１２，１３，１４ならびに右のマスクレジスタの出力を処理するFeistel
関数の換字回路１６で形成される。（【００３４】）
ASICまたはFPGAをベースにした実現の枠組み内では，他のタイプの暗
号プリミティブのマスキングはソースコード上で直接動作する適切なCAD
ツールの支援で自動化されてもよい。（【００３５】）
保護プロシージャは一般にサイドチャネルを介して漏洩するかもしれな
い秘密を含むあらゆる実装に適用できることを記すことは興味深い。直接の
例は暗号鍵の保護であるが，署名鍵は同様の方式で等しく十分に保護される。
さらに暗号アルゴリズムのパラメータを保護する代わりに，それが秘密の場
合，アルゴリズムそれ自体を保護することもまた可能である。これは通信が
２地点間で暗号化されるため（サテライトタワードデコーダ（satellite
towarddecoder）），共同利用できない暗号が実装されうる有料テレビなど
の分野で起こる。したがってその中の１または２以上の要素（換字表または
拡散関数などの）を変更する一方で標準化アルゴリズムを使用することは普
通である。この方式で，そのセキュリティを弱体化するリスクを冒すことな
くアルゴリズムのカスタム化が達成される。（【００３６】）
図３は別の進行方式を示す。この例では，標準アルゴリズムAはそのま
まで再利用されるが，実行される関数がもはやAではなく，合成
【数４】
になるように，それは外部符号（EEinおよびEEout）で囲い込まれる。この
原理の説明がC.Clavierによる論文，SecretExternalEncodingsDoNotPrevent
TransientFaultAnalysis,inCHES’07,volume4727ofLectureNotesinComputer
Science,pages181-194の序章にある。図３の左の部分３０，３１，３２はマ
スキング技法によって数値EE(X)の漏洩をどう防ぐことができるかを示す。
関数EE３０は２つのレジスタ３１，３２により囲い込まれ，そこで第１の
レジスタ３１はデータ
【数５】
x⊕m
を受信する。並列に配置された
【数６】
として画定される関数EE’３３はデマスキングが依然として可能であること
を保証する。したがって図３の右の部分に示されるハードウェア３３，３４，
３５の付加によって，アルゴリズムへの入力Xが何であるとしてもいずれ
のレジスタもEE(x)を含まない。この方式で，秘密の外部符号EEについて
の任意の情報項目をバックトラックすることが不可能となる。以下では，し
かしながら，普遍性を失うことなく，暗号鍵の漏えいに対する保護の典型的
な場合に重点が置かれる。（【００３７】）
FPGAタイプというソリューションによって各回路が大規模な配置時でさ
えもそれ独自のコンフィギュレーションを有することが有利に可能となる。
特にFPGAのソリューションでは，それをカスタマイズするために数値を変
更するために，特に構成要素専用のマスクなどのシステム全体をリコンパイ
ルする必要はない。これは，Kerckhoffsの原理に背いておらず，それぞれの
実装は実際に秘密であるが独特であることを示唆している。実装を妥協する
ことでセットアップすべてを妥協することは認められない。（【００３８】）
特定のFPGA回路の機能性の懐古的な設計は，それが恒久的な可読メモリ
内に配置されるファイル内のソフトウェアに関してプログラムされるという
事実によって可能とされうる。そのような懐古的な設計を避けるため「ビッ
トストリーム」と呼ばれる，このファイルの暗号化を可能にするFPGAタイ
プを使用することが可能である。したがって保護はそれ自体が暗号手段によ
り秘密にされる。コード難読化は機械語から高レベル仕様へのバックトラッ
キングを対象とした演算を複雑化するための追加の受けである。（【００３
９】）
図４は本発明による典型的な回路を概略的におよび簡略化した様式で示
す。FPGAタイプであるこの回路２１には３つの鍵がある。関数鍵kcが回路
２１の暗号化を実施する役割を果たす。この暗号化は例えばレジスタ２２の
内部で入力変数xを暗号化された変数y=DES（x，kc）に変換するDESアル
ゴリズム２３である。（【００４０】）
非機能の鍵kiが関数鍵kcをマスクする役割を果たす。関数鍵のマスクM
を形成するのはこの鍵kiであり，XOR演算子がこれら２つの鍵を組み合わ
せて
【数７】
kc⊕ki
にする。鍵kiはしたがってDES実装の関数鍵kcを磁気放射または特に瞬間
消費の観測による情報漏洩２４から保護する役割を果たす。（【００４１】）
別の非機能の鍵kbは「ビットストリーム」ファイル２５の秘密要素，つ
まり少なくともkiまたは実際kcを保護する役割を果たす。（【００４２】）
この手法では鍵は以下のような方式でサイズが決められることが好まし
い。
｜ki｜＝｜kc｜（２）
および｜kb｜≧｜kc｜（３）
｜ki｜，｜kb｜，｜kc｜はそれぞれkiの，kbの，およびkcの基数を表す。
（【００４３】）
本発明によれば，暗号アルゴリズム２３の実装は暗号化された変数yが変
数の暗号鍵kcを保護する鍵kiと関数的に独立するようにされ，セットアッ
プの情報漏洩は
【数８】
ほども多様である（２の｜ki｜乗）。（【００４４】）
DESアルゴリズムの場合，y=DES（x，kc，ki）であり，yはkiと関数的に
独立である。（【００４５】）
【数９】
kc⊕ki，ki
とkiが使用者または設計者にとってを含め完全に未知であることを知った上
でkcを推測する必要があるため，１次攻撃は単により困難とされるだけで
なく不可能とされることに留意されたい。これにより本発明は高度の信頼を
提供し，
【数１０】
よりも少ない計算力を有するいかなる敵対者に対しても安全が立証される。
これは｜ki｜＝｜kc｜の場合のDESアルゴリズムそれ自体のセキュリティレ
ベルに等しい。（【００４６】）
PUF（PhysicallyUnclonableFunctions）またはPOK（PhysicallyObfuscated
Key）タイプの関数（すなわち実装固有の物理的鍵），または回路２１に固
有の秘密を，外部から供給される鍵の代わりにPKIと呼ばれる公開鍵基盤ま
たは信頼をカスタマイズするための他のあらゆるメカニズムによって生成さ
せることが可能な他のあらゆるシステムを使用することが可能である。
（【００４７】）
第２の鍵kiはなお回路の作製後にセキュアな筐体内で単一の乱数を用いて
プログラムされうる。（【００４８】）
「ShallowAttack」の名でも知られる組み合わせ論理回路への攻撃または
HO-DPA攻撃に対する対抗措置をさらに使用する定数マスクを用いたマスキ
ングメカニズムを使用することもまた可能である。（【００４９】）
S.Mangardらによる文献，SuccessfullyAttackingMaskedAESHardware
Implementations,InLNCS,editor,ProceedingsofCHES’05,volume3659ofLNCS,
pages157-171,Springer,September2005,Edinburgh,Scotlandに特に呈示されて
いるような，秘密マスクにほとんど依存しない「グリッチ」とも呼ばれる非
機能の遷移の存在を利用したアルゴリズムのマスキングへの攻撃は，それを
知らずに回路のシミュレーションを実行することが不可能であるため，秘密
実装には当てはまらないことに留意されたい。事実，この攻撃は事前特性化
モデルとの相関に依存する。この工程は本発明による回路ではASICで生成
されたマスクの設計またはFPGAの「ビットストリーム」ファイルを知って
いる，またはマスクが選択されるサンプルを所持するであろう熟知しうる攻
撃者を除いては実行不可能である。この可能性を防止するため，前に記載さ
れたPUF関数が特に使用できる。（【００５０】）
特定の独自のアルゴリズム，特に２つの秘密符号間でカプセル化された
標準アルゴリズムは，C.Clavierによる文献，SecretExternalEncodingsDoNot
PreventTransientFaultAnalysis,InCHES,volume4727ofLectureNotesin
ComputerScience,pages181-194,Springer,2007で特に示されるように摂動攻
撃に耐性がない。このクラスの攻撃では攻撃者はレジスタの値を例えば
0x00などの既知の値に固定できることが必要とされる。本発明による実装
鍵kiにより保護される回路では，データレジスタとマスクレジスタとが互い
に素である場合，攻撃者はそこで簡単な欠陥を発生させるよりもはるかに困
難な複数の欠陥を達成する必要があるため，これは事実上非常に困難である。
（【００５１】）
実装鍵kiを有する本発明による保護のタイプでは，例えばRTLレベルで
は符号化の点において，または物理的レベルではカプセル化の点において欠
陥を検知するための通常の保護などの他の保護と有利に併用することができ
る。これにより受動的な攻撃および能動的な攻撃の両方に対して高度の保護
を達成することを可能とする。（【００５２】）
３以上を踏まえると，本願明細書等には，本願発明について，以下の事項が
記載されているものと認められる。
(1)技術分野
本願発明は，情報漏洩観測攻撃から保護される暗号回路に関するもので
ある（【０００１】）。ここでいう情報漏洩観測攻撃は，例えば，DPA攻
撃によるエネルギー消費量の観点又はEMA攻撃による磁気放射の観点から，
システムの時間的挙動を観測することによるサイドチャネル攻撃のことであ
る（【０００４】）。
(2)課題
DPA攻撃及びEMA攻撃のような情報漏洩観測攻撃に対しては，漏洩を秘
密とは無関係に一定にすることによる秘匿，及び漏洩を予測不能にすること
で利用不可能とするマスキングを基にする保護が提案されている（【０００
４】）。しかし，これらの２つの技法は，実装欠陥から利益を得るであろう
攻撃に対しては依然脆弱である（【０００５】）。例えば，差分論理
（WDDLなどの）に基づく秘匿は，計算フェーズと評価フェーズとプリチ
ャージフェーズとのうちの１つ又は別の間の累積した組合せのずれの差への
攻撃に対して脆弱となる場合があり，また，マスキングはHO-DPAと呼ば
れる高階攻撃に敏感な場合がある（【０００６】）。
本願発明の目的は，これらの攻撃，特にDPA又はEMAタイプの攻撃に対
抗することである（【０００７】）。
(3)課題解決手段
前記目的のため，本願発明は，暗号アルゴリズムを実行するための関数
鍵kcを含む暗号回路であって，前記回路はkcとは別の前記回路のそれぞれ
の例に特有の，回路のサイドチャネルを利用した攻撃から回路を保護するこ
とを可能とする第２の鍵kiを含むことを特徴とする（【０００７】）。
関数鍵kcは，例えばXOR演算によって２つの鍵を組み合わせることによ
り第２の鍵kiによってマスクされ，入力変数xはマスク鍵kc⊕kiによって暗
号化されている（【０００９】）。
第２の鍵kiは，例えばPUF（PhysicallyUnclonableFunction）又はPOK
（PhysicallyObfuscatedKey）タイプの関数により生成される（【００１
２】）。
暗号回路はFPGAタイプのプログラマブル回路で実現されてもよく，第２
の鍵kiはFPGAのプログラミングファイルを介してカスタマイズされてもよ
い。暗号回路はソフトウェアの実装により実現されてもよく，この暗号回路
は第３の鍵kbを含む。第３の鍵kbは，前記FPGA回路のプログラミングフ
ァイルを暗号化し，これにより外部記憶の機密性及びFPGAへの鍵kiの移転
の機密性を付与するためのものである（【００１５】～【００１９】）。
第２の鍵kiの基数は，例えば関数鍵kcの基数に等しく，第３の鍵kbの基
数の基数は関数鍵kcの基数よりも大きいかまたは等しい（【００２０】，
【００２１】）。
この暗号化アルゴリズムはDESアルゴリズムである（【００２２】）。
(4)効果
第２の鍵kiは，例えば秘密実装によって鍵kcを保護する役割を果たし，
また，例えば鍵kiでマスキングすることにより保護される２つの秘密関数の
囲い込みによってカスタマイズされる標準暗号アルゴリズムからなる秘密ア
ルゴリズムを保護する役割を果たす（【００１０】，【００１１】）。
第２の鍵kiにより導入されるマスキングは，HO-DPA攻撃に対して保護さ
れてもよい（【００１４】）。
第２の鍵kiの基数を関数鍵kcの基数に等しくしたため，kiへの隠しチャネ
ル攻撃はkcへの暗号解読攻撃よりも困難になる（【００２０】）。
４検討
(1)便宜上，取消事由４（実施可能要件に関する判断の誤り）について，ま
ず検討する。
(2)ア本願発明の技術思想
(ｱ)本願明細書等の記載（【０００７】）によれば，本願発明の目的は
「特にDPAまたはEMAタイプの攻撃に対抗すること」であって，この
目的を達成するために「本発明の対象は暗号アルゴリズムを実行する
ための関数鍵kcを含む暗号回路であって，前記回路はkcとは別の前記
回路のそれぞれの例に特有の，回路のサイドチャネルを利用した攻撃
から回路を保護することを可能とする第２の鍵kiを含むことを特徴とす
る。」とされている。ここで，DPA攻撃及びEMA攻撃がサイドチャネ
ルを利用した攻撃であることは，本願明細書等の記載（【０００４】）
及び技術常識から明らかであるから，段落【０００７】の上記記載に
よれば，本願発明の第２の鍵kiは，DPA攻撃及びEMA攻撃のようなサ
イドチャネルを利用した攻撃から暗号回路を保護するという目的を達
成するためのものと認められる。
また，本願明細書等には，関数鍵kcが第２の鍵kiとXOR演算されて
マスク鍵kc⊕kiとなる旨の記載（【０００９】）に続き，「第２の鍵ki
は例えば秘密実装によって鍵kcを保護する役割を果たす。」（【００
１０】）との記載がある。他方，段落【００４１】には，関数鍵kcと
非機能の鍵kiとをXOR演算してkc⊕kiにする旨の記載に続き，「鍵kiは
したがってDES実装の関数鍵kcを磁気放射または特に瞬間消費の観測
による情報漏洩２４から保護する役割を果たす。」との記載がある。こ
の「磁気放射または特に瞬間消費の観測による情報漏洩２４」がEMA
攻撃及びDPA攻撃で用いるサイドチャネルからの情報漏洩のことを指
していることは，段落【０００４】及び技術常識から明らかである。そ
うすると，段落【００４１】の上記記載は，段落【０００９】及び段落
【００１０】の上記各記載をより具体的に記載したものであると認めら
れる。そして，これらの記載から，第２の鍵kiは，関数鍵kcとXOR演
算をすることにより関数鍵kcのマスクとして働き，関数鍵kcをDPA攻
撃及びEMA攻撃から保護する役割を果たすものと理解される。
そうすると，本願発明の目的である「サイドチャネルを利用した攻撃
から回路を保護すること」は，段落【０００９】，【００１０】及び
【００４１】で言及されているサイドチャネルを利用した攻撃から関数
鍵kcを保護することを意味し，この保護は関数鍵kcを第２の鍵（又は
非機能の鍵）kiでマスクする，すなわちkcとkiをXOR演算することに
よって達成されるものと理解される。換言すれば，本願発明の暗号回路
においてサイドチャネルを利用した攻撃の目標として想定されているの
は関数鍵kcであり，この関数鍵kcをそのような攻撃から保護するため
に第２の鍵kiを必要とし，関数鍵kcを第２の鍵kiとXOR演算すること
によってマスクする（マスク鍵kc⊕kiとする）という方法によって，関
数鍵kcの保護が達成されるものと把握される。
さらに，本願明細書等には，サイドチャネルを利用した攻撃の具体的
な目標として関数鍵kc以外のものは記載されていない。
このように，本願発明が想定している攻撃目標は関数鍵kcであり，
それ以外の攻撃目標を想定しない以上，本願発明の暗号回路が出力する
暗号文yの秘密性は関数鍵kcに依拠し，暗号文の計算手順（すなわち本
願発明の「暗号化アルゴリズム」）に依拠するものではないと認められ
る。そうであれば，関数鍵kcが判明すれば，本願発明により出力され
る暗号文yを解読し得ることになる。これは，本願発明の暗号回路が出
力する暗号文yの暗号鍵が関数鍵kcであることを意味する。すなわち，
本願発明は，秘密情報である関数鍵kcを用いて平文xから暗号文yを計
算する関数をFで表したとき，y=F（x，kc）を満たす暗号文yを出力す
る暗号回路であると認められる（以下，この技術思想を「本願技術思想
①」という。）。
このように理解することは，本願明細書等の「関数鍵kcが回路２１
の暗号化を実施する役割を果たす。この暗号化は例えばレジスタ２２の
内部で入力変数xを暗号化された変数y=DES（x，kc）に変換するDES
アルゴリズム２３である。」（【００４０】）との記載とも整合する。
(ｲ)また，前記のとおり，本願発明の暗号回路の保護は関数鍵kcを第２
の鍵kiでマスクすることによって達成される。このため，本願発明の暗
号回路において実際に実行される計算処理に当たっては，関数鍵kcを
第２の鍵kiと分離した形で使用してはならず，常にマスク鍵kc⊕kiを用
いなければならないこととなる。すなわち，本願発明の暗号回路にお
いて実際に実行される計算処理に当たっては，単体の関数鍵kcの入力
を要する上記関数Fとは別の計算方法により，単体の関数鍵kcを直接
用いず上記マスク鍵のみを用いることによって暗号文yを計算する必要
がある（ただし，マスク鍵自体を生成する部分において関数鍵kcを直
接用いることは許される。）。
このような，単体の関数鍵kcを直接用いずマスク鍵のみを用いるこ
とにより平文xから暗号文yを計算する関数をGで表すと，本願発明の
暗号回路は，暗号文yの実際の計算をy=G（x，kc⊕ki）によって計算す
るものであると認められる（以下，この技術思想を「本願技術思想②」
という。）。
イ(ｱ)上記本願技術思想①及び②によれば，本願発明の暗号回路を具現化
するためには，暗号回路によって実際に計算された暗号文と，暗号化ア
ルゴリズムFに基づいて計算された暗号文とが等しいこと，すなわち
G（x，kc⊕ki）=F（x，kc）
を満たすことが要求される（以下，この要求を「本願発明の技術的要求」
という。）。
しかし，本願発明の技術的要求を満たす関数Gを構成する計算方法
が，当業者の技術常識に鑑みて自明であると認めるに足りる証拠はない。
そこで，G（x，kc⊕ki）の具体的な計算方法が本願明細書等に示されて
いるかについて，以下検討する。
(ｲ)本願明細書等の記載のうち，本願発明の技術分野，背景技術及び課
題を解決するための手段の記載（【０００１】～【００２４】）並び
に本願発明の実施形態のうち図４に係る部分の記載（【００４０】～
【００５２】）には，前記のとおり，本願技術思想①及び②が開示さ
れている。しかし，本願発明の技術的要求を満たす関数Gの具体的態
様について開示したものと理解される記載は見当たらない。
また，特許請求の範囲の記載は，上記記載の内容を超えるものではな
く，関数Gの具体的態様は記載されていない。
(ｳ)ａ本願明細書等の記載のうち，図１及び２並びにこれらに関する段
落【００２５】～【００３６】の部分を見ると，DESアルゴリズム
のマスキングの図として，図１及び２が示されており，両図は同様の
回路であるとされている（【００２５】，【００２６】）。そして，
図１のIP２に対して入力される「マスク」は，図２においてはkiと
して示されていることから，図１及び２においてIPに入力されるマ
スクkiは，本願発明の第２の鍵kiであると認められる。
また，図１及び２におけるS９への入力に注目すると，Eから出力
されるxmがkcとXOR演算されていることから，図１及び２に示され
るkcは，関数鍵kcであると認められる。
ｂしかし，図１及び２の回路において，マスク鍵kc⊕kiは作成されて
いない。
上記のとおり，関数鍵kcとXOR演算されるものはxmであるとこ
ろ，これは，「右のマスクされるデータ（Ri）」６にEを適用したも
の（E(Ri)）である。図１及び２によれば，このRiは，「メッセージ」
にIP１を適用したものの右半分と，第２の鍵kiにIP２を適用したも
のの右半分とのXOR演算の結果であって，第２の鍵kiとは異なる。
他方，xm⊕kcの計算結果を数式で表すと，メッセージをMESとし，
値の右半分を得る関数をRHとした場合，
xm⊕kc=E(Ri)⊕kc=E(RH(IP(MES))⊕RH(IP(ki)))⊕kc
となる。ここで，Eは技術常識に鑑みて拡大置換Eを意味し，入力の
３２ビットのうち１６ビットが重複して使用されて出力４８ビットに
置換されるものである（乙１）。そうすると，EはXOR演算に対し
て分配的に作用し，
xm⊕kc=E(RH(IP(MES)))⊕E(RH(IP(ki)))⊕kc
となる。この計算結果のうち，kc及びkiに関する部分のみを取り出し
てみても，kc⊕E(RH(IP(ki)))（以下「式(A)」という。）が計算されて
いるに過ぎず，明らかにkc⊕kiとは異なる。
仮に，IPがDESの初期置換であって単にビット位置を入れ替えて
いるに過ぎないから無視できるとし，かつ，右半分の演算のみに注目
することでRHを無視できるとしても，前記のとおりEは拡大置換で
あるからこれを無視することはできず，kc⊕E(ki)は，kc⊕kiはもちろん
E(kc)⊕E(ki)とも異なるものとなる。
ｃ以上のとおり，本願明細書等の図１及び２に示される回路において
は，そもそもマスク鍵kc⊕kiが計算されているとは認められないこと
から，両図の回路をもって関数G（x，kc⊕ki）の具体的態様を開示し
たものということはできない。
ｄまた，段落【００２８】記載の「【数２】K⊕M」は，２つの値が
XOR演算されているという点で本願発明のマスク鍵と共通するもの
の，記号が異なることから，本願発明を説明したものとは認められな
い。
仮に当該記載が本願発明を説明したものだとすると，当該記載の
「秘密鍵K」は保護対象となる鍵であるから，その機能の面から本願
発明の関数鍵kcに該当すると解されるが，【数２】と式(A)とを比較
すると，M=E(RH(IP(ki)))であると推測されるところ，E(RH(IP(ki)))は
明らかに第２の鍵kiそのものとは異なる値である。したがって，当該
記載は，本願発明と整合せず，やはり本願発明を説明するものという
ことはできない。
ｅ図１及び２に関する本願明細書等のその他の記載にも，関数Gの
具体的態様を開示したものと見られる記載はない。
したがって，本願明細書【００２５】～【００３６】並びに図１
及び２には，関数Gの具体的態様が記載されているとはいえない。
(ｴ)本願明細書等の記載のうち，図３及びこれに関連する段落【００３
７】～【００３９】には，本願発明の関数鍵kcに対応する概念が記載
されていない。そうである以上，これらの記載及び図に関数G（x，
kc⊕ki）の具体的態様が記載されているとはいえない。
なお，図３は図１及び２においてFeistel関数fを示す囲みと一見類似
するようにみえるけれども，図１及び２と図３にそれぞれ現れる要素の
異同ないし対応関係は不明というほかなく，また，図１及び２に関する
説明（【００２５】～【００３６】）に続いて「図３は別の進行方式を
示す。」（【００３７】）と記載されていることに鑑みると，図１及び
２と図３との間には技術的関連性はなく，相互に独立したものと見るの
が相当である。このため，図１～３を総合的に見ても，関数Gの具体
的態様は明らかでない。
ウ以上より，本願明細書等には関数Gの具体的態様が記載されていない
というべきである。そうである以上，本願発明を具現化して実施するこ
とはできない。
したがって，本願明細書等の発明の詳細な説明の記載は，本願発明の
属する技術の分野における通常の知識を有する者がその実施をすること
ができる程度に明確かつ十分に記載したものということはできないから，
法３６条４項１号に違反する。これと同旨をいう本件審決に誤りはない。
エ原告の主張について
(ｱ)原告は，本願明細書等の記載（【００２７】，【００２８】）並び
に図１及び２から，両図に示される回路の（マスクmによってマスク
される）暗号鍵kcが，（マスクMによってマスクされる）秘密鍵Kと
同一であり，かつ，秘密鍵とは，暗号文yの復号化に必要な鍵であって
暗号化アルゴリズムF（x，k）を実行するための鍵kであると定義され
るから，図１及び２に示される回路で暗号化アルゴリズムF（x，kc）を
実行すると，暗号文y=F（x，kc）が出力される（秘密鍵kcが暗号文y
の復号化に必要な鍵である）ということが示されているといえ，これ
は，本願の請求項１の「暗号化アルゴリズムを実行するための関数鍵kc
を含む暗号回路（２１）」の記載に相当する旨主張する。
しかし，前記のとおり，本願明細書等の図１及び２並びにそれらを説
明する段落【００２５】～【００３６】を参照しても，両図のS’がど
のような関数であるかが不明であるため，そこに示される暗号回路の動
作は不明であり，その回路が暗号文y=F（x，kc）を出力するものであ
るか否かは定かではない。
また，本願明細書等には「図１に本発明が適用されうるマスキングの
モードを呈示する。」（【００２５】），「対比のために，図２はマス
キングによる保護を保証するためのハードウェアオーバーヘッドを強調
する同様の回路を示し，このオーバーヘッドを生じさせる回路は破線に
より示されている。」（【００２６】）との記載があるが，これらの記
載の意味は明確とはいえず，図１及び２の回路がDESと同じ出力を保
証しているとまでは読み取れない。
さらに，本願発明は関数鍵kcを第２の鍵kiでXOR演算してマスク鍵
kc⊕kiを作成し，入力変数xをマスク鍵で暗号化するものであるところ，
前記のとおり，図１及び２の回路においてはマスク鍵kc⊕kiが計算され
ていないのであるから，両図の回路が本願発明の実施形態であるとは認
められない。
(ｲ)原告は，本願明細書等の図４には，関数鍵kcがマスク（第２の鍵）ki
とXOR演算されたマスク鍵kc⊕kiがDESアルゴリズム２３の内部のレ
ジスタ２２に入力されること，及び入力変数xがDESアルゴリズム２
３に入力されることが示されているから，DESアルゴリズム２３に入
力された入力変数xは，DESアルゴリズム２３の内部のレジスタ２２に
入力されたマスク鍵kc⊕kiによって暗号化されることを当業者であれば
理解する旨主張するとともに，本願明細書等の記載（【００２７】）
並びに図１及び２によれば，図１ないし図２のXORゲート８で，メッ
セージデータ（入力変数x）と第２の鍵kiがXOR演算（x⊕ki）され，そ
の演算結果がレジスタ６を経てFeistel関数１０に入力され，Eで示され
る箇所を経て，関数鍵kcとXOR演算（x⊕ki⊕kc）されていることが理解
されるところ，排他的論理和⊕（XOR演算子）は交換法則及び結合法則
が成立し，これらを適用すれば，x⊕ki⊕kcはx⊕(kc⊕ki）となるから，図１
及び２には「マスク鍵kc⊕kiによって入力変数xが暗号化され
（x⊕(kc⊕ki)）」という事項が示されている旨主張する。
しかし，まず，本願明細書等の図４を参照しても，レジスタ２２に格
納されたマスク鍵kc⊕kiがDESアルゴリズム２３において果たす役割に
ついては記載されていないことから，レジスタ２２に格納されたマスク
鍵により入力変数xが暗号化されることを読み取ることはできない。か
つ，レジスタ２２について，本願明細書等には「関数鍵kcが回路２１
の暗号化を実施する役割を果たす。この暗号化は例えばレジスタ２２の
内部で入力変数xを暗号化された変数y=DES（x，kc）に変換するDES
アルゴリズム２３である。」（【００４０】）との記載はあるものの，
当該記載はレジスタ２２にマスク鍵kc⊕kiが入力されることすら開示し
ていない。
また，本願明細書等の図１及び２については，前記のとおり，そもそ
も，両図の回路は本願発明の実施形態とはいえない。しかも，原告の主
張に係る計算手順の説明は，初期置換IP，値の右半分を得る関数RH
（図示されない）及び拡大置換Eの影響を無視したものであって，妥当
でない。仮にIP，RH及びEの影響を無視し得るとしても，図１及び２
の計算手順は，入力変数xと第２の鍵kiとをXORし，その結果と関数
鍵kcとをXORすることによりx⊕ki⊕kcを得ており，マスク鍵kc⊕kiを計
算してから入力変数xとマスク鍵とをXORするものではない。すなわ
ち，この点に関する原告の主張は，図１及び２の計算手順を無視したも
のというべきである。
(ｳ)原告は，本願明細書等の記載（【００３７】）及び図３によれば，
同図において，入力データXがx⊕kcであり，マスクMが第２の鍵kiで
あるとすると，レジスタ３１の前段のXOR演算部でx⊕kc⊕kiの演算がさ
れ，いずれのレジスタにおいても第２の鍵kiによってマスキングがされ
ることにより，x⊕kcは漏洩されないが，レジスタ３５の後段のXOR演
算部からは，第２の鍵kiがデマスキングされたEE（x⊕kc）が出力され
るという事項が示されていること，図２においても，図３と同様に，
Feistel関数１０内のEの後段のXOR演算部でx⊕kc⊕kiの演算がされ，い
ずれのレジスタにおいても第２の鍵kiによってマスキングがされて，
x⊕kcは漏洩されないが，XOR演算部１３，１４からは，第２の鍵kiが
デマスキングされた暗号文が出力されるという事項が示されている旨
主張する。
しかし，前記のとおり，そもそも，本願明細書等の図１及び２の回路
は本願発明の実施形態であるとはいえないし，図２のFeistel関数１０内
のEの後段のXOR演算部で演算された結果は，原告の主張するx⊕kc⊕ki
ではなく，E(RH(IP(MES))⊕RH(IP(ki)))⊕kcである。仮に，図２のFeistel
関数１０内のEの後段のXOR演算部で演算された結果がx⊕kc⊕kiであっ
たとしても，原告の主張は図２におけるx⊕kc，ki，S及びS’がそれぞれ
図３におけるX，M，EE及びEE’に対応することを前提とするところ，
本願明細書等の記載からそのような対応関係を理解し得ないことは前記
イ(ｴ)のとおりである。
(ｴ)原告は，暗号回路を実施するための事項以外の事項である復号を実
施するための事項が発明の詳細な説明に記載されていないことをもっ
て，実施可能要件を満たしていないということにはならない旨主張す
るけれども，前記のとおり，本願明細書等は，暗号回路としての本願
発明を実施するための事項（本願発明の技術的要求を満たすような具
体的な関数G）が理解できるように記載されていない。
(ｵ)原告は，本願発明において，第２の鍵kiは，マスク鍵kc⊕kiのために
使用される一方で，XOR演算を繰り返すことによって消去されるから，
本願明細書等の図２の出力１５から最終的に得られた暗号文yを解読す
るためには，関数鍵kcさえ知り得ればよく，第２の鍵kiを要しない旨
主張する。
しかし，原告の上記主張は，暗号文y（=DES（x，kc））とx⊕kcとを
混同するものであり，その前提に誤りがある。
(ｶ)その他原告がるる指摘する事情を考慮しても，この点に関する原告
の主張は採用し得ない。
(3)以上のとおり，本願明細書等の発明の詳細な説明の記載は実施可能要件
を満たさないとする本件審決に誤りはなく，少なくとも原告主張に係る取消
事由４については理由がない。そうすると，その余について論ずるまでもな
く，原告の請求は理由がないというべきである。
５結論
よって，原告の請求は理由がないからこれを棄却することとし，主文のとお
り判決する。
知的財産高等裁判所第３部
裁判長裁判官
鶴岡稔彦
裁判官
杉浦正樹
裁判官
寺田利彦

戻る