JP2000004223A - 暗号・認証システム - Google Patents
暗号・認証システムInfo
- Publication number
- JP2000004223A JP2000004223A JP10185610A JP18561098A JP2000004223A JP 2000004223 A JP2000004223 A JP 2000004223A JP 10185610 A JP10185610 A JP 10185610A JP 18561098 A JP18561098 A JP 18561098A JP 2000004223 A JP2000004223 A JP 2000004223A
- Authority
- JP
- Japan
- Prior art keywords
- key
- encryption
- random number
- plaintext
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】 (修正有)
【課題】 種々の攻撃法に対して強固で、かつ高速な疑
似乱数生成器を用いた暗号・認証システムを提供する。 【解決手段】 暗号化鍵KA を公開鍵で暗号化して暗号
化された鍵KeyA を生成する。n段線形フィードバッ
クシフトレジスタのnビットの出力値をBent関数1
3に入力し、1ビットの出力を得る疑似乱数生成器のシ
ードに平文のnビットの暗号化鍵KAを入力して疑似乱
数系列を得、平文と排他的論理和演算15をして暗号文
CryptoA を得、鍵KeyA 、暗号文Crypto
A を通信する。暗号文CryptoA を秘密鍵で復号化
し、nビットの暗号化鍵KA を得る。暗号化鍵KA を疑
似乱数生成器のシードに入力して疑似乱数系列を得、暗
号文CryptoA と排他的論理和演算23で平文を得
る。
似乱数生成器を用いた暗号・認証システムを提供する。 【解決手段】 暗号化鍵KA を公開鍵で暗号化して暗号
化された鍵KeyA を生成する。n段線形フィードバッ
クシフトレジスタのnビットの出力値をBent関数1
3に入力し、1ビットの出力を得る疑似乱数生成器のシ
ードに平文のnビットの暗号化鍵KAを入力して疑似乱
数系列を得、平文と排他的論理和演算15をして暗号文
CryptoA を得、鍵KeyA 、暗号文Crypto
A を通信する。暗号文CryptoA を秘密鍵で復号化
し、nビットの暗号化鍵KA を得る。暗号化鍵KA を疑
似乱数生成器のシードに入力して疑似乱数系列を得、暗
号文CryptoA と排他的論理和演算23で平文を得
る。
Description
【0001】
【発明の属する技術分野】本発明は、機密の保証されな
い通信網における通信の機密保護をはかると共に、通信
文の改ざんの有無および通信相手の正当性を確認するた
めの暗号・認証システムに関し、特に、種々の攻撃法に
対して強固で、かつ高速な疑似乱数生成器を用いた暗号
・認証システムに関する。
い通信網における通信の機密保護をはかると共に、通信
文の改ざんの有無および通信相手の正当性を確認するた
めの暗号・認証システムに関し、特に、種々の攻撃法に
対して強固で、かつ高速な疑似乱数生成器を用いた暗号
・認証システムに関する。
【0002】
【従来の技術】現在、暗号は大別して秘密鍵暗号と公開
鍵暗号の2種類が存在する。秘密鍵暗号というのは、暗
号化と復号に同じ鍵を用いる暗号化手法である。これ
は、「慣用暗号」あるいは「対称鍵暗号」とも呼ばれ
る。一方、公開鍵暗号とは、暗号化と復号に異なる鍵を
用いる手法である。上記秘密鍵暗号は、暗号化と復号の
鍵が同一であるので、鍵を共有するための手段が必要に
なるが、高速に暗号化および復号が行えるという性質を
持つ。一方、上記公開鍵暗号は暗号化の鍵と復号のため
の鍵が異なるので、暗号化の鍵を機密の保証されない通
信網で配送することが可能であるが、暗号化および復号
が低速であるという性質を持つ。このため、高速な暗号
システムを構成する場合、一般に、暗号化および復号は
秘密鍵暗号を用い、その鍵を公開鍵暗号によって暗号化
し、配送するという方法を用いている。この方式を採用
しているものには、PGP、PEM等がある。上記秘密
鍵暗号の中にはブロック暗号とストリーム暗号が存在す
る。ブロック暗号は、図4(a)に示す様に平文を一定
のブロック毎に区切り、そのブロック毎に同じ鍵で暗号
化を行うものである。一方、ストリーム暗号は、図4
(b)に示す様に1文字または1ビット毎に異なる鍵で
他の文字やビットに変換するものである。上記ブロック
暗号、ストリーム暗号については、電気通信学会「現代
暗号理論」等に記載されている。上記ストリーム暗号の
中には情報理論的に解読が不可能とされているバーナム
暗号が存在する。バーナム暗号は平文と同じビット長の
無限周期の乱数列を1回限りの使い捨て鍵(one−t
ime−pad)として用い、平文とビット毎に排他的
論理和をとることで暗号文を得る。
鍵暗号の2種類が存在する。秘密鍵暗号というのは、暗
号化と復号に同じ鍵を用いる暗号化手法である。これ
は、「慣用暗号」あるいは「対称鍵暗号」とも呼ばれ
る。一方、公開鍵暗号とは、暗号化と復号に異なる鍵を
用いる手法である。上記秘密鍵暗号は、暗号化と復号の
鍵が同一であるので、鍵を共有するための手段が必要に
なるが、高速に暗号化および復号が行えるという性質を
持つ。一方、上記公開鍵暗号は暗号化の鍵と復号のため
の鍵が異なるので、暗号化の鍵を機密の保証されない通
信網で配送することが可能であるが、暗号化および復号
が低速であるという性質を持つ。このため、高速な暗号
システムを構成する場合、一般に、暗号化および復号は
秘密鍵暗号を用い、その鍵を公開鍵暗号によって暗号化
し、配送するという方法を用いている。この方式を採用
しているものには、PGP、PEM等がある。上記秘密
鍵暗号の中にはブロック暗号とストリーム暗号が存在す
る。ブロック暗号は、図4(a)に示す様に平文を一定
のブロック毎に区切り、そのブロック毎に同じ鍵で暗号
化を行うものである。一方、ストリーム暗号は、図4
(b)に示す様に1文字または1ビット毎に異なる鍵で
他の文字やビットに変換するものである。上記ブロック
暗号、ストリーム暗号については、電気通信学会「現代
暗号理論」等に記載されている。上記ストリーム暗号の
中には情報理論的に解読が不可能とされているバーナム
暗号が存在する。バーナム暗号は平文と同じビット長の
無限周期の乱数列を1回限りの使い捨て鍵(one−t
ime−pad)として用い、平文とビット毎に排他的
論理和をとることで暗号文を得る。
【0003】しかし、鍵長が平文の長さと同じことは、
暗号システムを構成する上で非現実的であり、一般的に
は疑似乱数生成器によって生成された疑似乱数をone
−time−padの代わりとして用い、そのシードを
暗号化鍵とするのが普通である。この疑似乱数生成器に
は、生成された疑似乱数列から次の疑似乱数列の推定が
困難であるという性質が要求される。上記疑似乱数生成
器には、(1)線形フィードバックシフトレジスタ、
(2)非線形フィードバックシフトレジスタ、(3)線
形フィードバックシフトレジスタを用いたFilter
Generator、(4)非線形フィードバックシ
フトレジスタを用いたFilter Generato
r、(5)非線形コンバイナ、(6)計算量的安全疑似
乱数等があり、実用的には(1)〜(5)があげられ
る。この中で、(1)、(2)には構造を公開した場合
においてそのレジスタの段数分の連続する出力を知るこ
とにより、系列が容易に推定できるという問題点があ
る。上記の生成された疑似乱数列から次の疑似乱数列を
推定する方法は疑似乱数生成器に対する攻撃法と呼ばれ
る。上記疑似乱数生成器に対する攻撃法としては、主と
して以下の方法がある。 (a)非線形関数の線形近似を利用して、出力から入力
の線形フィードバックレジスタのある時刻における状態
を推定し、それ以後のレジスタの値を決定する。(Co
rrelation Attack) (b)バーレカンプ=マッシーのアルゴリズムを利用し
て等価な線形フィードバックシフトレジスタを構成す
る。 (c)初期値の全数検索。 (d)以上の組み合わせ。 暗号用として採用可能な疑似乱数生成器は、上記の
(a)〜(d)の攻撃法に対して強固である必要があ
る。
暗号システムを構成する上で非現実的であり、一般的に
は疑似乱数生成器によって生成された疑似乱数をone
−time−padの代わりとして用い、そのシードを
暗号化鍵とするのが普通である。この疑似乱数生成器に
は、生成された疑似乱数列から次の疑似乱数列の推定が
困難であるという性質が要求される。上記疑似乱数生成
器には、(1)線形フィードバックシフトレジスタ、
(2)非線形フィードバックシフトレジスタ、(3)線
形フィードバックシフトレジスタを用いたFilter
Generator、(4)非線形フィードバックシ
フトレジスタを用いたFilter Generato
r、(5)非線形コンバイナ、(6)計算量的安全疑似
乱数等があり、実用的には(1)〜(5)があげられ
る。この中で、(1)、(2)には構造を公開した場合
においてそのレジスタの段数分の連続する出力を知るこ
とにより、系列が容易に推定できるという問題点があ
る。上記の生成された疑似乱数列から次の疑似乱数列を
推定する方法は疑似乱数生成器に対する攻撃法と呼ばれ
る。上記疑似乱数生成器に対する攻撃法としては、主と
して以下の方法がある。 (a)非線形関数の線形近似を利用して、出力から入力
の線形フィードバックレジスタのある時刻における状態
を推定し、それ以後のレジスタの値を決定する。(Co
rrelation Attack) (b)バーレカンプ=マッシーのアルゴリズムを利用し
て等価な線形フィードバックシフトレジスタを構成す
る。 (c)初期値の全数検索。 (d)以上の組み合わせ。 暗号用として採用可能な疑似乱数生成器は、上記の
(a)〜(d)の攻撃法に対して強固である必要があ
る。
【0004】
【発明が解決しようとする課題】しかしながら、従来の
疑似乱数生成器では、上記(a)〜(d)の攻撃に対し
ての強度を高めると、疑似乱数を得るための計算が複雑
になって演算速度が遅くなり、演算速度を速くすると上
記(a)〜(d)の攻撃に対する強度が下がるという性
質があり、これを用いた暗号/認証システムも、同様の
性質を有してしまうという欠点があった。本発明は、上
記事情に鑑みてなされたものであって、種々の攻撃法に
対して強固で、かつ高速な疑似乱数生成器を用いた暗号
・認証システムを提供することである。
疑似乱数生成器では、上記(a)〜(d)の攻撃に対し
ての強度を高めると、疑似乱数を得るための計算が複雑
になって演算速度が遅くなり、演算速度を速くすると上
記(a)〜(d)の攻撃に対する強度が下がるという性
質があり、これを用いた暗号/認証システムも、同様の
性質を有してしまうという欠点があった。本発明は、上
記事情に鑑みてなされたものであって、種々の攻撃法に
対して強固で、かつ高速な疑似乱数生成器を用いた暗号
・認証システムを提供することである。
【0005】
【課題を解決するための手段】上記目的を達成するた
め、本発明は、平文を暗号化して通信し、その暗号化さ
れた平文を復号するための暗号システムにおいて、暗号
化鍵KA を公開鍵で暗号化して暗号化された鍵KeyA
を生成する公開鍵暗号方式に基づく公開鍵暗号暗号化装
置と、n段線形フィードバックシフトレジスタのnビッ
トの出力値をBent関数に入力し、1ビットの出力を
得る疑似乱数生成器のシードに上記平文のnビットの暗
号化鍵KA を入力することで疑似乱数系列を得、その疑
似乱数系列と平文とに排他的論理和演算を施すことで暗
号文CryptoA を得る暗号化装置と、上記鍵Key
A 、暗号文CryptoA を通信するための通信手段
と、上記通信手段よりの暗号文CryptoA を秘密鍵
で復号化し、nビットの暗号化鍵KA を得る公開鍵暗号
方式に基づく公開鍵暗号復号化装置と、上記通信手段よ
りの暗号化鍵KA を上記疑似乱数生成器のシードに入力
することで疑似乱数系列を得、その疑似乱数系列と上記
通信手段よりの暗号文CryptoA とに排他的論理和
演算を施すことで上記平文を得る復号化装置とを有する
ことを特徴とする。本発明の他の特徴は、上記疑似乱数
生成器に用いられるBent関数が、mビットの数x
1 、x2 を用い、mビット入力1ビット出力の論理関数
をgとし、mビット入力mビット出力の全単射論理関数
をπとした場合、f(x1 、x2 )=π(x1 )・x2
+g(x1 )と表されることである。本発明の他の特徴
は、平文を暗号化して通信し、その暗号化された平文を
復号すると共に認証を行うための暗号・認証システムに
おいて、暗号化鍵KA を公開鍵で暗号化して暗号化され
た鍵KeyA を生成する公開鍵暗号方式に基づく公開鍵
暗号暗号化装置と、n段線形フィードバックシフトレジ
スタのnビットの出力値をBent関数に入力し、1ビ
ットの出力を得る疑似乱数生成器のシードに上記平文の
nビットの暗号化鍵KA を入力することで疑似乱数系列
を得、その疑似乱数系列と平文とに排他的論理和演算を
施すことで暗号文CryptoA を得る暗号化装置と、
認証子および上記平文を上記疑似乱数生成器に入力する
ことで、改ざん検出および認証のためのハッシュ値Si
gnA を得るデジタル署名装置と、上記鍵KeyA 、暗
号文CryptoA 、およびハッシュ値SignA を通
信するための通信手段と、上記通信手段よりの暗号文C
ryptoA を秘密鍵で復号化し、nビットの暗号化鍵
KA を得る公開鍵暗号方式に基づく公開鍵暗号復号化装
置と、上記通信手段よりの暗号化鍵KA を上記疑似乱数
生成器のシードに入力することで疑似乱数系列を得、そ
の疑似乱数系列と上記通信手段よりの暗号化Crypt
oA とに排他的論理和演算を施すことで平文を得る復号
化装置と、上記得られた平文と認証子を上記疑似乱数生
成器に入力することで、ハッシュ値Sign’A を得、
入力されたハッシュ値SignA と比較し、一致してい
れば得られた平文が改ざんされていなく正当な相手から
送られたものであると判定するデジタル認証装置とを有
することである。
め、本発明は、平文を暗号化して通信し、その暗号化さ
れた平文を復号するための暗号システムにおいて、暗号
化鍵KA を公開鍵で暗号化して暗号化された鍵KeyA
を生成する公開鍵暗号方式に基づく公開鍵暗号暗号化装
置と、n段線形フィードバックシフトレジスタのnビッ
トの出力値をBent関数に入力し、1ビットの出力を
得る疑似乱数生成器のシードに上記平文のnビットの暗
号化鍵KA を入力することで疑似乱数系列を得、その疑
似乱数系列と平文とに排他的論理和演算を施すことで暗
号文CryptoA を得る暗号化装置と、上記鍵Key
A 、暗号文CryptoA を通信するための通信手段
と、上記通信手段よりの暗号文CryptoA を秘密鍵
で復号化し、nビットの暗号化鍵KA を得る公開鍵暗号
方式に基づく公開鍵暗号復号化装置と、上記通信手段よ
りの暗号化鍵KA を上記疑似乱数生成器のシードに入力
することで疑似乱数系列を得、その疑似乱数系列と上記
通信手段よりの暗号文CryptoA とに排他的論理和
演算を施すことで上記平文を得る復号化装置とを有する
ことを特徴とする。本発明の他の特徴は、上記疑似乱数
生成器に用いられるBent関数が、mビットの数x
1 、x2 を用い、mビット入力1ビット出力の論理関数
をgとし、mビット入力mビット出力の全単射論理関数
をπとした場合、f(x1 、x2 )=π(x1 )・x2
+g(x1 )と表されることである。本発明の他の特徴
は、平文を暗号化して通信し、その暗号化された平文を
復号すると共に認証を行うための暗号・認証システムに
おいて、暗号化鍵KA を公開鍵で暗号化して暗号化され
た鍵KeyA を生成する公開鍵暗号方式に基づく公開鍵
暗号暗号化装置と、n段線形フィードバックシフトレジ
スタのnビットの出力値をBent関数に入力し、1ビ
ットの出力を得る疑似乱数生成器のシードに上記平文の
nビットの暗号化鍵KA を入力することで疑似乱数系列
を得、その疑似乱数系列と平文とに排他的論理和演算を
施すことで暗号文CryptoA を得る暗号化装置と、
認証子および上記平文を上記疑似乱数生成器に入力する
ことで、改ざん検出および認証のためのハッシュ値Si
gnA を得るデジタル署名装置と、上記鍵KeyA 、暗
号文CryptoA 、およびハッシュ値SignA を通
信するための通信手段と、上記通信手段よりの暗号文C
ryptoA を秘密鍵で復号化し、nビットの暗号化鍵
KA を得る公開鍵暗号方式に基づく公開鍵暗号復号化装
置と、上記通信手段よりの暗号化鍵KA を上記疑似乱数
生成器のシードに入力することで疑似乱数系列を得、そ
の疑似乱数系列と上記通信手段よりの暗号化Crypt
oA とに排他的論理和演算を施すことで平文を得る復号
化装置と、上記得られた平文と認証子を上記疑似乱数生
成器に入力することで、ハッシュ値Sign’A を得、
入力されたハッシュ値SignA と比較し、一致してい
れば得られた平文が改ざんされていなく正当な相手から
送られたものであると判定するデジタル認証装置とを有
することである。
【0006】
【発明の実施の形態】本発明を図示した実施形態に基づ
いて説明する。図1は、本発明による暗号・認証システ
ムの一実施形態を示す構成図である。図1(a)に示す
様に、この暗号・認証システムは、ユーザAの端末1か
らセンタCの装置3へ通信路5を介して情報(暗号化さ
れたメッセージ文等)を送り、上記装置3で復号すると
共に認証も行うものであり、そのために、上記端末1は
暗号装置7を有し、上記センタCの装置3は復号装置9
を有している。上記暗号装置7は、鍵KA および暗号化
鍵PC が入力されると共に上記通信路5に接続された公
開鍵暗号暗号化装置11と、上記鍵KA が入力される第
1の疑似乱数生成器13と、メッセージ文MA が入力さ
れると共に上記第1の疑似乱数生成器13および上記通
信路5に接続された第1の排他的論理和演算器15と、
上記メッセージ文MA および認証子CA が入力されると
共に上記通信路5に接続された第1のハッシュ値生成器
17とを有している。ここで、上記第1のハッシュ値生
成器17に用いられる疑似乱数生成器は、上記第1の疑
似乱数生成器13と兼用されている。
いて説明する。図1は、本発明による暗号・認証システ
ムの一実施形態を示す構成図である。図1(a)に示す
様に、この暗号・認証システムは、ユーザAの端末1か
らセンタCの装置3へ通信路5を介して情報(暗号化さ
れたメッセージ文等)を送り、上記装置3で復号すると
共に認証も行うものであり、そのために、上記端末1は
暗号装置7を有し、上記センタCの装置3は復号装置9
を有している。上記暗号装置7は、鍵KA および暗号化
鍵PC が入力されると共に上記通信路5に接続された公
開鍵暗号暗号化装置11と、上記鍵KA が入力される第
1の疑似乱数生成器13と、メッセージ文MA が入力さ
れると共に上記第1の疑似乱数生成器13および上記通
信路5に接続された第1の排他的論理和演算器15と、
上記メッセージ文MA および認証子CA が入力されると
共に上記通信路5に接続された第1のハッシュ値生成器
17とを有している。ここで、上記第1のハッシュ値生
成器17に用いられる疑似乱数生成器は、上記第1の疑
似乱数生成器13と兼用されている。
【0007】次に、上記復号装置9は、復号化鍵SC が
入力されると共に上記通信路5に接続された公開鍵暗号
復号化装置19と、上記公開鍵暗号復号化装置19に接
続された第2の疑似乱数生成器21と、上記第2の疑似
乱数生成器21および通信路5に接続された第2の排他
的論理和演算器23と、認証子CA が入力されると共に
上記第2の排他的論理和演算器23に接続された第2の
ハッシュ値生成器25と、上記第2のハッシュ値生成器
25と通信路5と間に接続された比較器27とを有して
いる。ここで、上記第2のハッシュ値生成器25に用い
られる疑似乱数生成器は、上記第2の疑似乱数生成器2
1と兼用されている。そして、本発明では、上記第1お
よび第2の疑似乱数生成器13、21がBent関数を
用いた疑似乱数生成器となっている。
入力されると共に上記通信路5に接続された公開鍵暗号
復号化装置19と、上記公開鍵暗号復号化装置19に接
続された第2の疑似乱数生成器21と、上記第2の疑似
乱数生成器21および通信路5に接続された第2の排他
的論理和演算器23と、認証子CA が入力されると共に
上記第2の排他的論理和演算器23に接続された第2の
ハッシュ値生成器25と、上記第2のハッシュ値生成器
25と通信路5と間に接続された比較器27とを有して
いる。ここで、上記第2のハッシュ値生成器25に用い
られる疑似乱数生成器は、上記第2の疑似乱数生成器2
1と兼用されている。そして、本発明では、上記第1お
よび第2の疑似乱数生成器13、21がBent関数を
用いた疑似乱数生成器となっている。
【0008】以下、このBent関数を用いた疑似乱数
生成器13、21について説明する。上記第1および第
2の疑似乱数生成器13、21にBent関数を用いる
に当って、図2に示すような線形フィールドバックシフ
トレジスタを用いたFilter Generator
形の疑似乱数生成器を考え、この関数部Aに対して前述
した種々の攻撃法に最も強い関数として、Bent関数
を用いている。そして、論理関数のBent関数は、m
ビット入力1ビット出力の論理関数g、mビット入力m
ビット出力の全単射論理関数π、mビットの数x1 、x
2 を用いて、f(x1 、x2 )=π(x1 )・x2 +g
(x1 )と表される。また、この関数を上記攻撃法に対
して、強度を増やすために、最大の非線形性を少々犠牲
にして関数gを2mビット入力1ビット出力としてい
る。この場合の関数は、f(x1 、x2 )=π(x1 )
・x2 +g(x1 、x2 )となる。
生成器13、21について説明する。上記第1および第
2の疑似乱数生成器13、21にBent関数を用いる
に当って、図2に示すような線形フィールドバックシフ
トレジスタを用いたFilter Generator
形の疑似乱数生成器を考え、この関数部Aに対して前述
した種々の攻撃法に最も強い関数として、Bent関数
を用いている。そして、論理関数のBent関数は、m
ビット入力1ビット出力の論理関数g、mビット入力m
ビット出力の全単射論理関数π、mビットの数x1 、x
2 を用いて、f(x1 、x2 )=π(x1 )・x2 +g
(x1 )と表される。また、この関数を上記攻撃法に対
して、強度を増やすために、最大の非線形性を少々犠牲
にして関数gを2mビット入力1ビット出力としてい
る。この場合の関数は、f(x1 、x2 )=π(x1 )
・x2 +g(x1 、x2 )となる。
【0009】上記図2に示した関数部Aの概略構成を示
すと図3に示す様になる。すなわち、図3に示す様に、
2m段線形フィードバックシフトレジスタ29に接続さ
れたg関数演算部31と、上記2m段線形フィードバッ
クシフトレジスタ29に接続されたπ関数演算部33
と、上記π関数演算部33と2m段線形フィードバック
シフトレジスタ29との間に接続された乗算器35と、
上記g関数演算部31と乗算器35との間に接続された
排他的論理和演算器37とを有している。従って、上記
2m段線形フィードバックシフトレジスタ29よりのm
ビットの数x1 、x2 は、上記g関数演算部31、π関
数演算部33、乗算器35、および排他的論理和演算器
37を通してf(x1 、x2 )=π(x1 )・x2 +g
(x1 、x2 )で表わされる疑似乱数列となって出力さ
れる。なお、Bent関数については、”Contem
porary Cryptology”:The Sc
ience of Information Inte
grity,G.Simmons,ed.,IEEEp
ressに、Bent関数を2.2の攻撃法に対してよ
り強度にする方法、これを用いた疑似乱数生成装置の高
速性については、杉田誠「Bent関数を用いた暗号/
認証用疑似乱数生成法」電子通信学会技術研究報告、I
SEC95−14 July,1995に記載されてい
る。
すと図3に示す様になる。すなわち、図3に示す様に、
2m段線形フィードバックシフトレジスタ29に接続さ
れたg関数演算部31と、上記2m段線形フィードバッ
クシフトレジスタ29に接続されたπ関数演算部33
と、上記π関数演算部33と2m段線形フィードバック
シフトレジスタ29との間に接続された乗算器35と、
上記g関数演算部31と乗算器35との間に接続された
排他的論理和演算器37とを有している。従って、上記
2m段線形フィードバックシフトレジスタ29よりのm
ビットの数x1 、x2 は、上記g関数演算部31、π関
数演算部33、乗算器35、および排他的論理和演算器
37を通してf(x1 、x2 )=π(x1 )・x2 +g
(x1 、x2 )で表わされる疑似乱数列となって出力さ
れる。なお、Bent関数については、”Contem
porary Cryptology”:The Sc
ience of Information Inte
grity,G.Simmons,ed.,IEEEp
ressに、Bent関数を2.2の攻撃法に対してよ
り強度にする方法、これを用いた疑似乱数生成装置の高
速性については、杉田誠「Bent関数を用いた暗号/
認証用疑似乱数生成法」電子通信学会技術研究報告、I
SEC95−14 July,1995に記載されてい
る。
【0010】次に、上記図1(a)に示した暗号・認証
システムの動作について説明する。まず、通常動作の前
に、図1(b)に示す様に、センターCは各々のそれぞ
れのユーザに対してそれぞれ異なる認証子CA 、CB 、
…を発行し、ElGamal暗号方式のような公開鍵暗
号通信手段により、その認証子を配送しておく。次に、
図1(a)に示す様に、上記ユーザAがセンターCに対
して暗号通信を行うときは、ユーザAはメッセージ文M
A を暗号化する鍵KA を上記公開鍵暗号暗号化装置11
によってセンターCの公開する公開鍵PC で暗号化し、
暗号化鍵KeyA を生成する。また、上記鍵KA をBe
nt関数を用いた第1の疑似乱数生成器13のシードと
して疑似乱数列を生成し、それとメッセージ文MA に第
1の排他的論理和演算器15により排他的論理和演算を
施すことにより、暗号文CryptA を得る。さらに、
上記センターCがユーザAに対して発行した認証CA と
メッセージ文MA を上記第1の疑似乱数生成器13から
なる第1のハッシュ値生成器17を用いることにより、
ハッシュ値SignA をデジタル署名として生成する。
そして、上記ユーザAはセンターCに生成した3つ組
(KeyA 、CryptA 、SignA )を上記通信路
5を介して送信する。
システムの動作について説明する。まず、通常動作の前
に、図1(b)に示す様に、センターCは各々のそれぞ
れのユーザに対してそれぞれ異なる認証子CA 、CB 、
…を発行し、ElGamal暗号方式のような公開鍵暗
号通信手段により、その認証子を配送しておく。次に、
図1(a)に示す様に、上記ユーザAがセンターCに対
して暗号通信を行うときは、ユーザAはメッセージ文M
A を暗号化する鍵KA を上記公開鍵暗号暗号化装置11
によってセンターCの公開する公開鍵PC で暗号化し、
暗号化鍵KeyA を生成する。また、上記鍵KA をBe
nt関数を用いた第1の疑似乱数生成器13のシードと
して疑似乱数列を生成し、それとメッセージ文MA に第
1の排他的論理和演算器15により排他的論理和演算を
施すことにより、暗号文CryptA を得る。さらに、
上記センターCがユーザAに対して発行した認証CA と
メッセージ文MA を上記第1の疑似乱数生成器13から
なる第1のハッシュ値生成器17を用いることにより、
ハッシュ値SignA をデジタル署名として生成する。
そして、上記ユーザAはセンターCに生成した3つ組
(KeyA 、CryptA 、SignA )を上記通信路
5を介して送信する。
【0011】次に、上記センターCがユーザAからのメ
ッセージ文を復号し、その妥当性を検証するやり方は、
以下のように行う。まず、上記ユーザAから受信した
(暗号化鍵KeyA 、暗号文CryptA 、ハッシュ値
SignA )のうちの暗号化鍵KeyA を上記センター
Cの秘密鍵SC で復号化し、鍵KA を得る。次に、上記
鍵KA をBent関数を用いた第2の疑似乱数生成器2
1のシードとして疑似乱数列を生成し、それと暗号文C
ryptA とを第2の排他的論理和演算器23により排
他的論理和演算を施すことにより、メッセージ文MA を
復元する。さらに、上記認証子CA と復元されたメッセ
ージ文MA を上記第2の疑似乱数生成器21に入力する
ことで、ハッシュ値SignA ’を得、これを受信した
ハッシュ値SignA と比較器27で比較し、一致して
いれば、復元されたメッセージ文MA が正当なものとみ
なす。ここで、上記認証子CA はユーザAとセンターC
のみしか知らないので、センターCはメッセージ文MA
がユーザAから送られたものであると判断し、また、復
元されたメッセージ文MA が改ざんされたものであれ
ば、それから計算されたSignA ’と受信したSig
nA は一致しない。上記センターCがユーザAに対して
平文を送信するときも同様な手順で行う。すなわち、セ
ンターCとユーザAが認証の必要のない通信を行う場
合、認証子CA の代用として鍵KA を用いることができ
る。この場合、メッセージ文MA の改ざんを検出するこ
とが可能である。また、ユーザAとユーザBが通信を行
う場合もこれと同様な手順となる。
ッセージ文を復号し、その妥当性を検証するやり方は、
以下のように行う。まず、上記ユーザAから受信した
(暗号化鍵KeyA 、暗号文CryptA 、ハッシュ値
SignA )のうちの暗号化鍵KeyA を上記センター
Cの秘密鍵SC で復号化し、鍵KA を得る。次に、上記
鍵KA をBent関数を用いた第2の疑似乱数生成器2
1のシードとして疑似乱数列を生成し、それと暗号文C
ryptA とを第2の排他的論理和演算器23により排
他的論理和演算を施すことにより、メッセージ文MA を
復元する。さらに、上記認証子CA と復元されたメッセ
ージ文MA を上記第2の疑似乱数生成器21に入力する
ことで、ハッシュ値SignA ’を得、これを受信した
ハッシュ値SignA と比較器27で比較し、一致して
いれば、復元されたメッセージ文MA が正当なものとみ
なす。ここで、上記認証子CA はユーザAとセンターC
のみしか知らないので、センターCはメッセージ文MA
がユーザAから送られたものであると判断し、また、復
元されたメッセージ文MA が改ざんされたものであれ
ば、それから計算されたSignA ’と受信したSig
nA は一致しない。上記センターCがユーザAに対して
平文を送信するときも同様な手順で行う。すなわち、セ
ンターCとユーザAが認証の必要のない通信を行う場
合、認証子CA の代用として鍵KA を用いることができ
る。この場合、メッセージ文MA の改ざんを検出するこ
とが可能である。また、ユーザAとユーザBが通信を行
う場合もこれと同様な手順となる。
【0012】
【発明の効果】本発明は、以上説明したように、暗号、
認証部にBent関数を用いた疑似乱数生成器を採用す
ることにより、安全性が高く、かつ、高速な暗号・認証
システムを作成することができる。また、暗号部、認証
部の両方にBent関数を用いた疑似乱数生成器を採用
することで、このシステムの強度は、公開鍵暗号部を除
いて、Bent関数の一方向性にのみ依存させることが
できる。
認証部にBent関数を用いた疑似乱数生成器を採用す
ることにより、安全性が高く、かつ、高速な暗号・認証
システムを作成することができる。また、暗号部、認証
部の両方にBent関数を用いた疑似乱数生成器を採用
することで、このシステムの強度は、公開鍵暗号部を除
いて、Bent関数の一方向性にのみ依存させることが
できる。
【図1】(a)および(b)は本発明による暗号・認証
システムの一実施形態を示す構成図である。
システムの一実施形態を示す構成図である。
【図2】図1に示したBent関数を利用した疑似乱数
生成器の概念図である。
生成器の概念図である。
【図3】図1に示したBent関数を利用した疑似乱数
生成器の概念図である。
生成器の概念図である。
【図4】(a)および(b)は従来の暗号生成方法の内
のストリーム方式およびブロック方式を示す説明図であ
る。
のストリーム方式およびブロック方式を示す説明図であ
る。
1…端末、 3…装置、
5…通信路、 7…暗号装
置、9…復号装置、11…公開鍵暗号暗号化装置、
19…公開鍵暗号復号化装置、13、21…疑
似乱数生成器、15、23、37…排他的論理和演算
器、17、25…ハッシュ値生成器、 27…
比較器、29…2m段線形フィードバックシフトレジス
タ、31…g関数演算部、 33…
π関数演算部、35…乗算器、
5…通信路、 7…暗号装
置、9…復号装置、11…公開鍵暗号暗号化装置、
19…公開鍵暗号復号化装置、13、21…疑
似乱数生成器、15、23、37…排他的論理和演算
器、17、25…ハッシュ値生成器、 27…
比較器、29…2m段線形フィードバックシフトレジス
タ、31…g関数演算部、 33…
π関数演算部、35…乗算器、
Claims (3)
- 【請求項1】 平文を暗号化して通信し、その暗号化さ
れた平文を復号するための暗号システムであって、 暗号化鍵KA を公開鍵で暗号化して暗号化された鍵Ke
yA を生成する公開鍵暗号方式に基づく公開鍵暗号暗号
化装置と、 n段線形フィードバックシフトレジスタのnビットの出
力値をBent関数に入力し、1ビットの出力を得る疑
似乱数生成器のシードに上記平文のnビットの暗号化鍵
KA を入力することで疑似乱数系列を得、その疑似乱数
系列と平文とに排他的論理和演算を施すことで暗号文C
ryptoA を得る暗号化装置と、 上記鍵KeyA 、暗号文CryptoA を通信するため
の通信手段と、 上記通信手段よりの暗号文CryptoA を秘密鍵で復
号化し、nビットの暗号化鍵KA を得る公開鍵暗号方式
に基づく公開鍵暗号復号化装置と、 上記通信手段よりの暗号化鍵KA を上記疑似乱数生成器
のシードに入力することで疑似乱数系列を得、その疑似
乱数系列と上記通信手段よりの暗号文CryptoA と
に排他的論理和演算を施すことで上記平文を得る復号化
装置とを有することを特徴とする暗号システム。 - 【請求項2】 上記疑似乱数生成器に用いられるBen
t関数が、mビットの数x1 、x2 を用い、mビット入
力1ビット出力の論理関数をgとし、mビット入力mビ
ット出力の全単射論理関数をπとした場合、f(x1 、
x2 )=π(x1 )・x2 +g(x1 )と表されること
を特徴とする請求項1に記載の暗号システム。 - 【請求項3】 平文を暗号化して通信し、その暗号化さ
れた平文を復号すると共に認証を行うための暗号・認証
システムであって、 暗号化鍵KA を公開鍵で暗号化して暗号化された鍵Ke
yA を生成する公開鍵暗号方式に基づく公開鍵暗号暗号
化装置と、 n段線形フィードバックシフトレジスタのnビットの出
力値をBent関数に入力し、1ビットの出力を得る疑
似乱数生成器のシードに上記平文のnビットの暗号化鍵
KA を入力することで疑似乱数系列を得、その疑似乱数
系列と平文とに排他的論理和演算を施すことで暗号文C
ryptoA を得る暗号化装置と、 認証子および上記平文を上記疑似乱数生成器に入力する
ことで、改ざん検出および認証のためのハッシュ値Si
gnA を得るデジタル署名装置と、 上記鍵KeyA 、暗号文CryptoA 、およびハッシ
ュ値SignA を通信するための通信手段と、 上記通信手段よりの暗号文CryptoA を秘密鍵で復
号化し、nビットの暗号化鍵KA を得る公開鍵暗号方式
に基づく公開鍵暗号復号化装置と、 上記通信手段よりの暗号化鍵KA を上記疑似乱数生成器
のシードに入力することで疑似乱数系列を得、その疑似
乱数系列と上記通信手段よりの暗号化CryptoA と
に排他的論理和演算を施すことで平文を得る復号化装置
と、 上記得られた平文と認証子を上記疑似乱数生成器に入力
することで、ハッシュ値Sign’A を得、入力された
ハッシュ値SignA と比較し、一致していれば得られ
た平文が改ざんされていなく正当な相手から送られたも
のであると判定するデジタル認証装置とを有することを
特徴とする暗号・認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10185610A JP2000004223A (ja) | 1998-06-16 | 1998-06-16 | 暗号・認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10185610A JP2000004223A (ja) | 1998-06-16 | 1998-06-16 | 暗号・認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000004223A true JP2000004223A (ja) | 2000-01-07 |
Family
ID=16173823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10185610A Pending JP2000004223A (ja) | 1998-06-16 | 1998-06-16 | 暗号・認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000004223A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003519960A (ja) * | 1999-12-02 | 2003-06-24 | ハネウェル・インコーポレーテッド | 乗算を用いる暗号アイソレータ |
| KR100873790B1 (ko) * | 2006-12-18 | 2008-12-15 | 주식회사 케이티 | 저가의 전자장치에 적합한 인증 시스템 및 인증 방법 |
| JP2009033320A (ja) * | 2007-07-25 | 2009-02-12 | Kyocera Corp | 端末の認証システム、端末の認証方法及び端末、サーバ |
| JP2009164953A (ja) * | 2008-01-08 | 2009-07-23 | Hitachi Ltd | 暗号化装置、復号化装置、これらを備えた暗号システム、暗号プログラム及び復号プログラム |
| JP2014222828A (ja) * | 2013-05-14 | 2014-11-27 | 三菱電機株式会社 | 認証システム及び認証方法 |
-
1998
- 1998-06-16 JP JP10185610A patent/JP2000004223A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003519960A (ja) * | 1999-12-02 | 2003-06-24 | ハネウェル・インコーポレーテッド | 乗算を用いる暗号アイソレータ |
| KR100873790B1 (ko) * | 2006-12-18 | 2008-12-15 | 주식회사 케이티 | 저가의 전자장치에 적합한 인증 시스템 및 인증 방법 |
| JP2009033320A (ja) * | 2007-07-25 | 2009-02-12 | Kyocera Corp | 端末の認証システム、端末の認証方法及び端末、サーバ |
| JP2009164953A (ja) * | 2008-01-08 | 2009-07-23 | Hitachi Ltd | 暗号化装置、復号化装置、これらを備えた暗号システム、暗号プログラム及び復号プログラム |
| JP2014222828A (ja) * | 2013-05-14 | 2014-11-27 | 三菱電機株式会社 | 認証システム及び認証方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8670563B2 (en) | System and method for designing secure client-server communication protocols based on certificateless public key infrastructure | |
| KR101205109B1 (ko) | 메시지 인증 방법 | |
| US8107620B2 (en) | Simple and efficient one-pass authenticated encryption scheme | |
| Reyad et al. | Key-based enhancement of data encryption standard for text security | |
| JPH09312643A (ja) | 鍵共有方法及び暗号通信方法 | |
| Trang et al. | A type of public-key block cipher algorithm | |
| US20070183600A1 (en) | Secure Cryptographic Communication System Using Kem-Dem | |
| Azaim et al. | Design and implementation of encrypted SMS on Android smartphone combining ECDSA-ECDH and AES | |
| Srikantaswamy et al. | Enhanced OneTime Pad Cipher with MoreArithmetic and Logical Operations with Flexible Key Generation Algorithm | |
| Purevjav et al. | Email encryption using hybrid cryptosystem based on Android | |
| JP2000004223A (ja) | 暗号・認証システム | |
| KR100388059B1 (ko) | 비대칭키 암호 알고리즘을 이용한 데이터 암호화 시스템및 그 방법 | |
| Kadry et al. | An improvement of RC4 cipher using vigenère cipher | |
| JP2004246350A (ja) | 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法 | |
| JP3694242B2 (ja) | 署名付き暗号通信方法及びその装置 | |
| Dũng | Variant of OTP Cipher with Symmetric Key Solution | |
| Almuhammadi et al. | Double-hashing operation mode for encryption | |
| CN116781243B (zh) | 一种基于同态加密的不经意传输方法、介质及电子设备 | |
| WO2022237440A1 (en) | Authenticated encryption apparatus with initialization-vector misuse resistance and method therefor | |
| Yang et al. | Mutual authenticated quantum no-key encryption scheme over private quantum channel | |
| Luu | PUBLIC–KEY BLOCK CIPHER | |
| Dung et al. | A method for constructing public-key block cipher schemes based on discrete logarithm problem | |
| Hwang | A new redundancy reducing cipher | |
| Pathak et al. | Towards the Proposal of Mobile Security Encryption Algorithm:“RHINO256” | |
| Dung | PUBLIC–KEY BLOCK CIPHER |