JPS6229333A - System for setting ciphering key - Google Patents
System for setting ciphering keyInfo
- Publication number
- JPS6229333A JPS6229333A JP60167565A JP16756585A JPS6229333A JP S6229333 A JPS6229333 A JP S6229333A JP 60167565 A JP60167565 A JP 60167565A JP 16756585 A JP16756585 A JP 16756585A JP S6229333 A JPS6229333 A JP S6229333A
- Authority
- JP
- Japan
- Prior art keywords
- encryption key
- key
- ciphering key
- parameter
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【発明の詳細な説明】
〔発明の利用分野〕
本発明は、データの機密保護を行うにあたり、データを
暗号キー関数として暗号処理する機構を有する機密保護
装置において、暗号キーを装置に記憶させる方式に関す
る。[Detailed Description of the Invention] [Field of Application of the Invention] The present invention provides a system for storing an encryption key in a security protection device having a mechanism for cryptographically processing data as a cryptographic key function when performing data security protection. Regarding.
データ機密保護を行う暗号方式の一つに、DBSアルゴ
リズムがあるが、これは、米国のデータ暗号標準として
公知であるため、暗号強度は暗号キーの機密性に依存し
ており、暗号キーの扱い九ついては、十分な機密保護が
必要である。以下にキーの機密保護f関する公知例につ
いて述べる。One of the encryption methods for protecting data confidentiality is the DBS algorithm, but since this is known as the US data encryption standard, the strength of the encryption depends on the confidentiality of the encryption key, and the handling of the encryption key is 9, sufficient confidentiality protection is necessary. A known example regarding key security f will be described below.
DESアルゴリズムを用いて暗号データ通信システムを
構築する場合、一対の暗号装置と復号装置に対して、各
々同一の暗号キーを持つのが前提であるが、暗号キーを
第3者に解読されることなく各装置に設定することが必
要である。When constructing an encrypted data communication system using the DES algorithm, it is assumed that a pair of encryption device and decryption device each have the same encryption key, but the encryption key cannot be decrypted by a third party. It is necessary to set this on each device.
また、長期間同一の暗号キーを用いると、第3者により
キーが解読されろ可能性が高くなるので、適当な時期に
変更が必要である。Furthermore, if the same encryption key is used for a long period of time, there is a high possibility that the key will be decrypted by a third party, so it is necessary to change it at an appropriate time.
上記の点、すなわち、暗号キーの配送、変更については
、例えば特開昭54−87033号公報には、マスタキ
ーとデータ暗号化キーの考え方が述べられている。デー
タ暗号化キーは、通常の回線上のデータを暗号化するた
めの暗号キーであり、常にマスタキーで暗号化された形
で扱われ、生の形で扱われるのは、暗号処理を行う特定
の部分だけである。したがって、マスタキーで暗号化さ
れているので、回線上に送出して相手方へ伝達しても、
第3者には容易に解読できず、キーの配送、変更が人手
を介することなく可能である。しかし、キーの配送、変
更のタイミングがばれろと、マスターキーで暗号化され
ているとは言え、データ暗号化キーの漏洩の危険性は高
い。マスタキー自体は、電話、郵便、または、フロンビ
ディスクのような携帯可能な記憶媒体等、何らかの方法
で相手方に知らせる必要があるが、いずれにしても何ら
かの形で記憶した状態で運ばれる。このとき第3者が記
憶されているデータを読み出し、マスタキーを手に入れ
ることができた場合、そのシステムで使用するデータは
、データ暗号キーが解読されるために容易に解読されて
しまう。以上のように、マスタキーの機密保護のため、
十分信頼できる人を選出し、キーの配布・変更を行なう
必要があり、人の管理が大変である。また、媒体を経由
して、マスタキーを配布する場合は、媒体から容易に読
みとれない様に、物理的な鍵をつけたりキーを変換して
記憶したりする必要があり、高価な仕掛けづくりが必要
になる、
また、特開昭55−34520号では、暗号キーの配送
、変更の問題について、複数の暗号キーを持ち、これら
を任意に選択して使用することにより解消している。本
方式は、あらかじめ機密保護装置に、多数の暗号鍵を設
定しておき、暗号化/復号化を行う際に、キー指定情報
により選択するものであり、キー変更のときに、キー自
体が人目にふれることなく行えることが特徴である。し
かし、機密保護装置に多数の暗号キーyz’設定するこ
とについては、触れていない。Regarding the above point, that is, the distribution and modification of encryption keys, the concept of master keys and data encryption keys is described in, for example, Japanese Patent Application Laid-open No. 87033/1983. A data encryption key is a cryptographic key for encrypting data on a normal line, and is always handled in encrypted form with the master key, and is only handled in raw form by a specific key that performs cryptographic processing. Only part. Therefore, since it is encrypted with the master key, even if it is sent over the line and transmitted to the other party,
It cannot be easily decrypted by a third party, and keys can be distributed and changed without human intervention. However, even though the data is encrypted with a master key, there is a high risk that the data encryption key could be leaked if the timing of key delivery or changes were discovered. The master key itself needs to be communicated to the other party by some method, such as by telephone, mail, or a portable storage medium such as a flash disk, but in any case, it is carried in some form of memory. If a third party were to read the stored data and obtain the master key, the data used in the system would be easily decrypted because the data encryption key would be decrypted. As mentioned above, to protect the confidentiality of the master key,
It is necessary to select a sufficiently trusted person to distribute and change keys, making human management difficult. In addition, when distributing the master key via a medium, it is necessary to attach a physical key or convert the key and store it so that it cannot be easily read from the medium, which requires the creation of an expensive device. Furthermore, in Japanese Patent Application Laid-Open No. 55-34520, the problem of distribution and change of encryption keys is solved by having a plurality of encryption keys and arbitrarily selecting and using them. In this method, a large number of encryption keys are set in the security device in advance, and the keys are selected based on key specification information when encrypting/decrypting, and when the key is changed, the key itself is hidden from view. It is characterized by the fact that it can be done without touching anything. However, there is no mention of setting a large number of encryption keys yz' in the security device.
また、特開昭55−55585号では、キ一定数入力に
もとづいて値の異なる複数個の暗号キーを自動的に発生
させ、この暗号キーをめ当な手段により更新させること
により、キーの変更を容易にしている。この方式でも、
キ一定数入力により、発生される暗号キーが決定される
ため、キ一定数自体の保護が必要である。この場合、機
密保護装置自体に暗号キー発生ロジックがあるので、装
置自体を分解し暗号キー発生ロジックさえ解読してしま
えば、キ一定数を知るだけで、すべての暗号キーがわか
ってしまう。さらに、−回、暗号キー発生ロジ/りが盗
まれると、装置自体に組み込まれているので、ロジック
の変更ができず、すべての装置の暗号キー漏洩となり、
システム全体に影響があろうしたがって、装置自体に物
理的な鍵をつける必要があり、装置自体が非常に高価な
ものになってしまう。Furthermore, in Japanese Patent Application Laid-open No. 55-55585, a plurality of encryption keys having different values are automatically generated based on a fixed number of key inputs, and this encryption key is updated by a suitable means to change the key. is facilitated. Even with this method,
Since the cryptographic key to be generated is determined by inputting the key constant, the key constant itself needs to be protected. In this case, since the security device itself has an encryption key generation logic, once the device itself is disassembled and the encryption key generation logic is deciphered, all the encryption keys can be known just by knowing the key constant. Furthermore, if the encryption key generation logic is stolen, the logic cannot be changed because it is built into the device itself, resulting in the encryption keys of all devices being leaked.
This would affect the entire system, so it would be necessary to attach a physical key to the device itself, making the device itself very expensive.
本発明の目的は、DBSアルゴリズムのように暗号キー
と復号キーが同一であるような暗号方式を使用するにあ
たり、機密保護装置に記憶させる暗号キーの機密保護方
式を提供することにある。An object of the present invention is to provide a security protection system for an encryption key stored in a security protection device when using an encryption system in which the encryption key and decryption key are the same, such as the DBS algorithm.
本発明は、機密保護装置外の携帯可能な装置に、暗号キ
ー生成手段を設け、その生成のために必要なパラメータ
を入力する手段を設けたことにより、暗号キーの機密保
護をより強固にしたことである。すなわち、決められた
暗号キー生成手段に、正しいパラメータを入力しない限
り、正しい暗号キーは得られないため、第3者が暗号キ
ー生成装置を手に入れ、それを解読しても、パラメータ
がわからないので、暗号キーを生成することができない
。また、暗号キー生成パラメータが漏洩しても、これは
、暗号キーでないので、何の意味も持たない。以上のよ
うに、本発明においては、暗号キーを、生成する手段と
パラメータに分離して保有することにより、暗号キー漏
洩の危険性を分散させたことを特徴としている。The present invention further strengthens the security of the encryption key by providing a means for generating an encryption key in a portable device other than the security device, and providing a means for inputting parameters necessary for the generation. That's true. In other words, the correct encryption key cannot be obtained unless the correct parameters are entered into the specified encryption key generation means, so even if a third party obtains the encryption key generation device and decrypts it, the parameters will not be known. Therefore, it is not possible to generate an encryption key. Further, even if the encryption key generation parameter is leaked, it has no meaning because it is not an encryption key. As described above, the present invention is characterized in that the risk of encryption key leakage is dispersed by storing the encryption key separately in the means for generating it and the parameters.
〔発明の実施例〕
以下、本発明の一実施例を第1図により説明する。実施
例では、機密保護装置1とパラメータ入力装置2と暗号
キー生成装置6から構成され、機密保護装置1内の送受
信パフ7111内ノデータを暗号化/復号化することに
より、機密保護を行うものである。パラメータ入力装置
2は、キーボードであり、暗号キー生成装置は、プロセ
ツサを持つカード、すなわちICカードである。ICカ
ードは、マイクロプロセッサ6と暗号キー生成プログラ
ム8とパラメータ記憶メモリ7を有する。[Embodiment of the Invention] An embodiment of the present invention will be described below with reference to FIG. In the embodiment, it is composed of a security protection device 1, a parameter input device 2, and an encryption key generation device 6, and performs security protection by encrypting/decrypting data in a transmitting/receiving puff 7111 in the security protection device 1. be. The parameter input device 2 is a keyboard, and the encryption key generation device is a card with a processor, that is, an IC card. The IC card has a microprocessor 6, an encryption key generation program 8, and a parameter storage memory 7.
以下動作てついて説明する。まず、パラメータ入力装置
2から、パラメータを入力すると、パラメータ入力装置
アダプタ4.暗号キー生成装置入出力アダプタ5を介し
て、暗号キー生成・装置3内のパラメータ記憶メモリ7
に記憶される。パラメータが記憶されると、暗号キー生
成装置6内のマイクロプロセッサ6が、暗号キー生成プ
ログラム8を実行し、暗号キーを生成する。暗号キー生
成プログラムは、パラメータを初期値として与えると一
義的なデータを発生するプログラムである。生成された
暗号キーは、暗号キー生成装置入出力アダプタ5を介し
て機密保護装置1内の暗号キー記憶メモリ9に記憶され
る。以降、暗号キー記憶メモリに記憶された暗号キーを
用いて、暗号処理機構10が、送受信バンファの内容を
暗号化/復号化し、暗号化されたデータを、回線を経由
して相手方へ送信したり、受信データの復号処理を行う
。The operation will be explained below. First, when parameters are input from the parameter input device 2, the parameter input device adapter 4. Parameter storage memory 7 in the encryption key generation device 3 via the encryption key generation device input/output adapter 5
is memorized. Once the parameters are stored, the microprocessor 6 in the encryption key generation device 6 executes the encryption key generation program 8 to generate an encryption key. The encryption key generation program is a program that generates unique data when parameters are given as initial values. The generated encryption key is stored in the encryption key storage memory 9 in the security device 1 via the encryption key generation device input/output adapter 5. Thereafter, the cryptographic processing mechanism 10 encrypts/decrypts the contents of the transmission/reception buffer using the cryptographic key stored in the cryptographic key storage memory, and transmits the encrypted data to the other party via the line. , performs decoding processing of received data.
次に暗号キー生成プログラムについて説明する。DBS
アルゴリズムでは、56ビツトの暗号キーが必要であり
、以下のピント列が必要である。Next, the encryption key generation program will be explained. DBS
The algorithm requires a 56-bit encryption key and the following focus sequence.
(ao、 a、 、 a、 、・・・・・・・・・・・
曲a5・)□■aHは0または1である。(ao, a, , a, ,・・・・・・・・・・・・
Song a5・)□■aH is 0 or 1.
このビア)列を、以下の多項式で表す。This via array is expressed by the following polynomial.
R(x) e ao十a、 x−4−a、x2+−−−
−−−−+a3.x55@暗号キー生成プログラムでは
、このR(X)を、以下の割算の剰余から求めろ。R(x) e ao ten a, x-4-a, x2+---
-----+a3. x55@Encryption key generation program, find this R(X) from the remainder of the following division.
P (x) = Fは)/G(x)□■但し、割算はm
od 2で行う。P (x) = F is ) / G (x) □■ However, division is m
Perform at od 2.
ここで、F(x)は、暗号キー生成プログラムに作り込
まれている多項式、G (X)は、パラメータ入力装置
から入力された多項式、P(X)は商である。またF
(x)は55次以上、G (X)は55次の多項式〔発
明の効果〕
本発明によれば、データの暗号化または復号化を行う機
密保護装置において、暗号キーと復号キーが同一である
ような暗号方式を用いる場合、機密保護装置が保有しな
ければならない暗号キーを暗号キー生成手段とそれに与
えるパラメータに分散させ保有するので、暗号キー設定
または変更の際、暗号キー自体は全く人目に触れること
なく行えるので、暗号キーの機密性を向上させる効果が
ある。Here, F(x) is a polynomial built into the encryption key generation program, G (X) is a polynomial input from the parameter input device, and P(X) is a quotient. Also F
(x) is a polynomial of degree 55 or higher, and G (X) is a polynomial of degree 55 [Effects of the Invention] According to the present invention, in a security device that encrypts or decrypts data, the encryption key and the decryption key are the same. When using a certain encryption method, the encryption key that must be held by the security device is distributed and held in the encryption key generation means and the parameters given to it, so when setting or changing the encryption key, the encryption key itself is completely hidden from public view. This has the effect of improving the confidentiality of the encryption key because it can be done without touching the encryption key.
さらに、暗号キー生成パラメータを、人為的に入力せず
、センタシステムから回線を経由して暗号キー生成装置
を接読した状態の端末装置に配送すれば、人を介さず、
暗号キーの変更が可能である。Furthermore, if the encryption key generation parameters are delivered from the center system via the line to the terminal device that is reading the encryption key generation device directly, without inputting the encryption key generation parameters manually,
It is possible to change the encryption key.
さらに、暗号キー生成手段は、実施例で述べたICカー
ドのような容易に携帯可能な媒体を用いることにより、
生成プログラムの変更が容易であり、暗号キー生成手段
の機密性を向上させることができる。また、設置場所ご
とに、ICカード内の暗号キー生成プログラムを変えて
おけば一部のICCカード内口ログラム第3者が解読し
たとしても、システム全体ノ暗号キー及びその生成手段
が、ばれるようなことはない。Furthermore, by using an easily portable medium such as the IC card described in the embodiment, the encryption key generation means can
The generation program can be easily changed, and the confidentiality of the encryption key generation means can be improved. In addition, by changing the encryption key generation program in the IC card for each installation location, even if a third party decrypts the program in the ICC card, the encryption key and its generation method for the entire system will be exposed. Nothing happens.
また、装置毎に、暗号キー生成プログラムを変えて、I
Cカードを配布する場合、暗号キー生成プログラムのパ
ラメータは、たとえ同一値であっても、装置毎に別の暗
号キーになるので、パラメータ自体を、新聞やテレビ、
ラジオ等、一般に公開して配布することも可能である。Also, by changing the encryption key generation program for each device,
When distributing C-cards, even if the parameters of the encryption key generation program are the same, they will be different encryption keys for each device, so the parameters themselves can be used in newspapers, on TV, etc.
It is also possible to make it publicly available and distribute it, such as on the radio.
さらに、プログラムを複数回くり返し実行すること、す
なわち、パラメータ入力により暗号キー生成プログラム
を実行し、その結果得られる暗号キーを次回のパラメー
タとして扱うことにより、−個のパラメータだけで、複
数個の暗号キー生成が可能である。Furthermore, by repeatedly executing the program multiple times, that is, by executing the encryption key generation program by inputting parameters and treating the resulting encryption key as the next parameter, it is possible to generate multiple encryption keys with only - parameters. Key generation is possible.
第1図は本発明の一実施例の説明図、第2図は暗号キー
設定時のフローチャート、第3図は暗号化時のフローチ
ャート、第4図は復号化時のフローチャートである。
1・・・データ機密保護装置、
5・・・暗号キー生成装置、
6・・・マイクロプロセッサ、
7・・・パラメータ記憶メモリ、
9・・・暗号キー記憶メモリ、
10・・・暗号処理機構、
11・・・送受信バクファ。
氏坦人升垣士 /JX 川 m 男第 1 口
第20FIG. 1 is an explanatory diagram of an embodiment of the present invention, FIG. 2 is a flowchart for setting an encryption key, FIG. 3 is a flowchart for encryption, and FIG. 4 is a flowchart for decryption. DESCRIPTION OF SYMBOLS 1... Data security protection device, 5... Encryption key generation device, 6... Microprocessor, 7... Parameter storage memory, 9... Encryption key storage memory, 10... Encryption processing mechanism, 11... Sending/receiving backup. Mr. Tannin Masukaki / JX Kawa M Man No. 1 Mouth No. 20
Claims (1)
護装置において、パラメータ入力により一義的に決定さ
れる暗号キーを生成する手段と、前記暗号キー生成手段
にパラメータを入力する手段と生成された暗号キーを出
力する手段とからなり、前記暗号キー生成手段を機密保
護装置と分離し、暗号キー生成手段にパラメータを入力
することにより暗号キーを生成することを特徴とする暗
号キー設定方式。1. In a security protection device that performs cryptographic processing on data as a function of a cryptographic key, means for generating a cryptographic key that is uniquely determined by parameter input, means for inputting parameters to the cryptographic key generation means, and a generated cipher. 1. A cryptographic key setting method comprising: means for outputting a key; the cryptographic key generating means is separated from a security protection device; and the cryptographic key is generated by inputting parameters to the cryptographic key generating means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60167565A JPS6229333A (en) | 1985-07-31 | 1985-07-31 | System for setting ciphering key |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60167565A JPS6229333A (en) | 1985-07-31 | 1985-07-31 | System for setting ciphering key |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPS6229333A true JPS6229333A (en) | 1987-02-07 |
Family
ID=15852086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP60167565A Pending JPS6229333A (en) | 1985-07-31 | 1985-07-31 | System for setting ciphering key |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS6229333A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04288743A (en) * | 1990-08-17 | 1992-10-13 | General Instr Corp | Information processing device provided with changeable safety protection element and system |
| US20090225989A1 (en) * | 2001-08-03 | 2009-09-10 | Fujitsu Limited | Key information issuing device, wireless operation device, and program |
| JP2011125025A (en) * | 2010-12-14 | 2011-06-23 | Fujitsu Ltd | Program |
-
1985
- 1985-07-31 JP JP60167565A patent/JPS6229333A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04288743A (en) * | 1990-08-17 | 1992-10-13 | General Instr Corp | Information processing device provided with changeable safety protection element and system |
| US20090225989A1 (en) * | 2001-08-03 | 2009-09-10 | Fujitsu Limited | Key information issuing device, wireless operation device, and program |
| US8437477B2 (en) | 2001-08-03 | 2013-05-07 | Fujitsu Limited | Key information issuing device, wireless operation device, and program |
| JP2011125025A (en) * | 2010-12-14 | 2011-06-23 | Fujitsu Ltd | Program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0002390B1 (en) | Method for cryptographic file security in multiple domain data processing systems | |
| EP0002580B1 (en) | A process for the verification of cryptographic operational keys used in data communication networks | |
| EP1440535B1 (en) | Memory encrytion system and method | |
| CN103618607B (en) | A kind of Security Data Transmission and key exchange method | |
| CN100592683C (en) | Protected return path from digital rights management dongle | |
| US4670857A (en) | Cartridge-controlled system whose use is limited to authorized cartridges | |
| US4386233A (en) | Crytographic key notarization methods and apparatus | |
| EP0002388B1 (en) | Data processing terminal | |
| CN100576196C (en) | Content enciphering method, system and utilize this encryption method that the method for content is provided by network | |
| US5555309A (en) | Cryptographic key management apparatus and methods | |
| US6718468B1 (en) | Method for associating a password with a secured public/private key pair | |
| ES2373131T3 (en) | SAFE DISTRIBUTION OF CONTENT USING DESCIFRADO KEYS. | |
| JPH0820848B2 (en) | Verification method and device | |
| JPH08328962A (en) | System composed of terminal equipment and memory card connected to the same | |
| EP2290871A2 (en) | Encryption method and apparatus using composition of ciphers | |
| EP1120934B1 (en) | Method and apparatus for key distribution using a key base | |
| US7617402B2 (en) | Copyright protection system, encryption device, decryption device and recording medium | |
| CN112035860A (en) | File encryption method, terminal, device, equipment and medium | |
| JP2000115154A5 (en) | Data processing equipment and methods, and data decoding processing equipment and methods | |
| US6704868B1 (en) | Method for associating a pass phase with a secured public/private key pair | |
| CN101471942A (en) | Encryption device and medium, decryption device and method, data delivery device, data receiving device, and data delivery system | |
| JP2000347566A (en) | Contents administration device, contents user terminal, and computer-readable recording medium recording program thereon | |
| JPH07123086A (en) | Literary work communication control system using ic card | |
| JP2004208088A (en) | Method and device for enciphering device key, method and device for deciphering device key, method and device for enciphering/deciphering device key, and program therefor | |
| JPH10171717A (en) | Ic card and cipher communication system using the same |