WO2004086672A1

WO2004086672A1 - 暗号化および復号のための装置、方法、プログラム並びに記録媒体

Info

Publication number: WO2004086672A1
Application number: PCT/JP2003/003596
Authority: WO
Inventors: Akio Hasegawa; Song-Ju Kim; Ken Umeno
Original assignee: National Institute Of Information And Communications Technology, Incorporated Administrative Agency
Priority date: 2003-03-25
Filing date: 2003-03-25
Publication date: 2004-10-07
Also published as: KR100991222B1; CN1759562A; US20060233361A1; KR20060003330A; JPWO2004086672A1

Abstract

前の時刻の暗号文の一部のデータがＩＶとして取り出され、ＥＸ−ＯＲゲートにおいて共通鍵と演算され、暗号鍵が得られる。この暗号鍵によって送信すべきデータがストリーム暗号で暗号化される。時刻ｔn-1において暗号化データ１５ａが得られると、次に、暗号化データ１５ａから取り出されたＩＶがＥＸ−ＯＲゲート１１ｂに供給され、共通鍵１２ｂとの排他的論理和が求められ、暗号鍵１３ｂが得られる。暗号鍵１３ｂと送信データとが排他的論理和演算されることで、ストリーム暗号化がなされ、時刻ｔnにおける暗号化データ１５ｂが得られる。次に、暗号化データ１５ｂから取り出されたＩＶを使用して時刻ｔn+1における暗号化がなされる。以下、各時刻において、生成された暗号文の一部をＩＶとして使用して暗号化処理が繰り返しなされる。

Description

明細書

暗号化および復号のための装置、方法、プログラム並びに記録媒体技 fe分野

この発明は、ストリーム暗号化に適用される暗号化および復号のための装置、方法、プログラム並びに記録媒体に関する。背景技術

近年のィンターネットゃモバイルコミュニケーションの急速な普及に伴い、さまざまなデータを無線通信で送信する機会が増大している。無線通信は、第三者が簡単に傍受 ·盗聴が可能なために、送信デー夕の暗号化が必要不可欠である。暗号技術として、暗号化と復号に同じ秘密鍵を使用する共通鍵方式が知られており、共通鍵方式の中に、プロック暗号とストリーム暗号とがある。

図 1 Aは、ブロック暗号を説明するものである。平文の情報ビット列を所定の長さ（ブロック）に区切り、ブロック毎に暗号化器 1によつて暗号化する。暗号化文もブロック毎に区切られている。

一方、図 1 Bに示すように、ストリーム暗号の場合では、暗号化器 (乱数発生器） 2によって発生した乱数をビット毎に情報ビット列に対して作用させて暗号化を行う。

ストリーム暗号においては、平文のビット系列を m 1 , m 2 , m 3 ， · · · とし、乱数のビット系列を r 1 , r 2 , r 3 , · · · とし、暗号文のビット系列を c 1， c 2 , c 3 , · · · とすると、暗号化処理は、 c i = m i + r i ( +は、 mod. 2の演算、 i = 1， 2 , 3 , · · · ) となり、復号処理は、 m i = c i + r i ( +は、 mod. 2の演算、 i = 1， 2， 3， · · · ）となる。 mod. 2の演算は、排他的論理和で実現される。

送信側と受信側とで共通の乱数を生成することが必要とされる。乱数列または乱数生成のパターンが知られてしまうと、容易に解読されてしまう。したがって、暗号用として安全な乱数は、統計的な乱数の一様性のみならず、過去の乱数列から将来の乱数列が予測不可能であることも必要である。

一般的にストリーム暗号の方がプロック喑号より高速であり、画像データのような大量のデータを暗号化してリアルタイムで伝送する場合では、ストリーム暗号の方が適している。また、ストリーム暗号の方が回路規模を小さくできる場合が多い。このため、 D E S (Data En crypt ion Standard)や A E S (Advanced Encryption Standard) 7 ロック暗号が標準化されているにもかかわらず、ストリーム暗号が使われている。

例えば RC 4 ((Rivest Cipher) 4 Stream Cipher)が無線 L A N (IE EE 802.11)において使用され、暗号鍵の生成アルゴリズムとして W E P (Wired Equivalent Privacy protocol)が使用される。 WE Pでは、 I V (Initial Vector)と共通鍵から暗号鍵を生成して、ネットヮ一クのパケット（コンピュータのデータ）が暗号化されている。

この方法をそのままリアルタイム通信に適用するには、第 2図に示すように、送信データが暗号文と I Vとを送る必要があるので、送信すべきデータ量が増える問題がある。また、 I Vと暗号文とをひとかたまりにするための部分も新たに作る必要があるため、既存のシステムのデータ転送レートを上げる等、既存のシステムに大幅な変更を加える必要があった。

さらに、ストリーム暗号においては、同じ暗号鍵を繰り返し使うことは、安全性の点で問題があるため、ある一定時間每に別の暗号鍵を使うことが望ましい。別の鍵を使うために、例えば送信側と受信側とで暗号鍵の同期をとるために新たに信号が付加される。しかしながら、送信すべきデータ量が増える問題が生じる。

別の方法として、ある一定時間毎に公開鍵暗号システムなどの方法を用いて暗号鍵を送信すれば、送信側と受信側とで別の鍵を使うことができるが、鍵の送信のためにデータの転送を中断する必要が生じ、リアルタイムでの通信が難しくなる。

また、暗号文バケツトの情報を基に鍵生成情報を生成し、その鍵生成情報とマスター鍵とに基づいて暗号化鍵およぴ復号鍵を生成する暗号通信システムが特開 2000-224158に記載されている。この文献に記載のものは、バケツト通信を対象としたものであって、ビデオデータ、音楽データ等の連続したストリームに適用することが難しい問題があった。ストリームデータを同期化するためには、同期信号が必要であるが、特開 2000-224158には記載されていない。

したがって、この発明の目的は、ビデオデータ等の連続したストリームに対して適用することができ、送信するデータを増やす必要がなく、既存のシステムに大幅な変更を加える必要のない暗号化および復号のための装置、方法、プログラム並びに記録媒体を提供することにある。発明の開示

請求の範囲 1の発明は、鍵データと情報データとの排他的論理和によって暗号文を生成するストリーム暗号の暗号化装置において、同期信号が入力され、前の時刻の暗号文中の一部のデータを取り出し、取り出された一部の暗号文から鍵データを生成する鍵データ生成牛と、鍵データによつて情報データを暗号化する暗号化手段とからなる暗号化装置である。

請求の範囲 7の発明は、鍵データと情報データとの排他的論理和によって暗号文を生成するストリーム暗号の暗号化方法において、同期信号を入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された一部の暗号文から鍵デ一夕を生成する鍵データ生成ステツプと、

鍵データによつて情報データを暗号化する暗号化ステップとからなる暗号化方法である。

請求の範囲 1 2の発明は、コンピュータに対して、鍵データと情報データとの排他的論理和によって暗号文を生成するストリーム暗号の暗号化方法を実行させるためのプログラムにおいて、

同期化用データを入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された一部の暗号文から鍵データを生成する鍵データ生成ステップと、

鍵データによつて情報データを暗号化する暗号化ステップとからなる暗号化方法を実行させるためのプログラムである。

請求の範囲 1 3の発明は、ストリーム暗号の暗号化方法を実行させるためのプログラムを記録したコンピュー夕で読み取り可能な記録媒体である。

請求の範囲 1 4の発明は、暗号文と鍵データの排他的論理和によつて暗号文を復号するストリーム暗号の復号装置において、

同期信号が入力され、前の時刻の暗号文中の一部のデータを取り出し、取り出された一部の暗号文から鍵データを生成する鍵データ生成手段と、

鍵データによって暗号文を復号する復号手段とからなる復号装置である。

請求の範囲 2 0の発明は、暗号文と鍵データの排他的論理和によつて暗号文を復号するストリーム暗号の復号方法において、

同期信号を入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された一部の暗号文から鍵データを生成する鍵データ生成ステツプと、

鍵デー夕によつて暗号文を復号する復号ステップとからなる復号方法である。

請求の範囲 2 5の発明は、コンピュータに対して、暗号文と鍵デー夕の排他的論理和によって暗号文を復号するストリーム暗号の復号方法を実行させるためのプログラムにおいて、

同期化用データを入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された一部の暗号文から鍵データを生成する鍵データ生成ステツプと、

鍵データによって暗号文を復号する復号ステップとからなる復号方法を実行させるためのプログラムである。

請求の範囲 2 6の発明は、コンピュータに対して、ストリーム暗号の復号方法を実行させるためのプログラムを記録したコンピュータで読み取り可能な記録媒体である。図面の簡単な説明

第 1図は、従来のプロック暗号おょぴストリーム暗号の概略を説明するための略線図である。

第 2図は、従来の暗号化における送信データの構成を示す略線図である。

第 3図は、この発明による暗号化器の説明に用いるブ口ック図である。

第 4図は、この発明による暗号化器の構成を示すプロック図である第 5図は、この発明による復号器の構成を示すブロック図である。第 6図は、暗号鍵生成部の一例の構成を示すブロック図である。発明を実施するための最良の形態

第 3図は、この発明による暗号化装置を概略的に示す。参照符号 1 1 aは、暗号文から取り出されたス卜リーム暗号の暗号鍵と同じビット長の I Vが入力される排他的論理和ゲート（以下、 E X— O Rゲートと適宜略す）を示す。 E X— O Rゲート 1 1 aに対して共通鍵 1 aが入力される。共通鍵 1 2 aは、送信側と受信側とで共有している秘密鍵である。

I Vを暗号文からどのように取り出すかは、送信側と受信側で予め決められている。例えばビデオデータを暗号化する場合では、 1 フレ —ム内の所定位置例えば 1 フレームの有効ビデオデータの先頭から所定ビット数を I Vとして使用することが予め決められている。この場合では、時刻の間隔がフレーム期間である。

E X— O Rゲート 1 1 aの出力に暗号鍵 1 3 aが得られる。この暗号鍵 1 3 aによつて送信すべきデータ例えばビデオデータがストリーム暗号で暗号化される。参照符号 1 5 aは、暗号文（暗号化データ）を示している。暗号鍵 1 3 aと送信データとが 1 ビットまたは複数ビット每に排他的論理和演算されることで、暗号化がなされる。

時刻 t n-1において暗号文 1 5 aが得られると、次に、暗号文 1 5 aから取り出された I Vが E X—〇 Rゲート 1 1 bに供給され、共通鍵 1 2 bとの排他的論理和が求められる。 E X— 0 Rゲート 1 l bから暗号鍵 1 3 bが得られる。暗号鍵 1 3 bと送信データとが 1 ビットまたは複数ビット毎に排他的論理和演算されることで、ストリーム喑号化がなされ、時刻 t nにおいて暗号文 1 5 bが得られる。

時刻 t nにおいて暗号文 1 5 bが得られると、次に、暗号文 1 5 b から取り出された I Vが E X _ 0 Rゲート 1 1 cに供給され、共通鍵 1 2 cとの排他的論理和が求められる。 E X— 0 Rゲート 1 1 。から暗号鍵 1 3 cが得られる。暗号鍵 1 3 cと送信データとが 1 ビットまたは複数ビット每に排他的論理和演算されることで、ストリーム暗号化がなされ、時刻 t n+ 1において暗号文 1 5 cが得られる。

以下、各時刻において、生成された暗号文の一部を I Vとして使用して暗号化処理が繰り返しなされる。したがって、暗号文以外に I V を送信データとして伝送する必要がない利点がある。

受信側の復号部では、 1ステップ前の時刻で受信したデータの中から I Vに相当する部分を取り出して記憶しておく。そして、受信側と共用している共通鍵と排他的論理和をとり、暗号鍵を生成する。この暗号鍵によって復号を行う。

なお、暗号化の一番最初の時刻では、暗号文がまだ得られていないので、所定のデータを I Vとして使用する等の例外処理が必要とされる。

送信される暗号化データは、時間とともに変化するので、 I Vも時間とともに変化する。したがって、共通鍵を変更しなくても、ストリーム暗号に使用される暗号鍵を I Vを元にして生成しているので、暗号鍵を時間とともに変化させることができる。したがって、安全性の高い暗号化が可能となる。また、 I Vを 1ステップ前に送信または受信した暗号文の中から取り出すために、鍵の同期をとるための信号を送信する必要がなく、暗号文を送信または受信しながら I Vを取り出すことができるので、時間的なオーバーへッドもない利点がある。これらの特徴を有するこの発明は、既存のリアルタイム通信手段に対して殆ど変更を加える必要がなく、また、リアルタイム性を損なうことがない。

第 4図は、送信側の暗号化部の構成の一実施形態を示す。参照符号 2 1が暗号化部を全体として示す。 kビッ卜の平文が E X— O Rゲート 2 2に供給される。 E X— O Rゲート 2 2に対してストリーム暗号コア 2 3からの kビッ卜のストリーム鍵が供給され、 E X— O Rゲ一ト 2 2から暗号文が出力される。

E X— 0 Rゲート 2 2から出力される暗号文が送信されるとともに、暗号鍵生成部 2 4に対してフィードバックされる。暗号鍵生成部 2 4は、内部に nビッ卜の共通鍵を有している。暗号文の中の一部のデ一夕を I Vとして用い、共通鍵と I Vとから暗号鍵を生成し、生成した暗号鍵をストリーム暗号コア 2 3に送る。ストリーム暗号コア 1 3 からのストリーム鍵が E X— O Rゲート 2 2に供給され、暗号化がなされる。

一例として、暗号鍵生成部 2 4は、 4 8 0 ビット並列の鍵長の暗号鍵を生成し、暗号鍵から 4 0 ビットのストリーム鍵が生成される。 E X— O Rゲ一ト 1 2において、 4 0 ビット毎に並列化された平文とストリーム暗号コア 2 3からの 4 0 ビットのストリーム鍵との排他的論理和がとられる。 - ストリーム暗号コア 2 3および暗号鍵生成部 2 4に対して同期信号 (Sync)が供給され、同期信号によつて規定される時刻毎に鍵の更新がなされる。ビデオデータを扱う場合では、同期信号（Sync)としてフレ —ム同期信号または垂直同期信号を使用できる。

なお、暗号鍵と平文との 1 ビット毎の排他的論理和をとるようにしても良い。但し、一実施形態におけるように、並列化の処理を行うことによって暗号化の速度を向上させることが可能となる。

第 5図は、受信側の復号化部の構成の一実施形態を示す。参照符号 3 1が復号部を全体として示す。受信された暗号文が E X— 0 Rゲ一ト 3 2に供給される。 E X— O Rゲート 3 2に対してストリーム暗号コア 3 3からのストリ—ム鍵が供給され、 E X— O Rゲート 3 2から平文が出力される。

暗号文が暗号鍵生成部 3 4にも入力される。暗号鍵生成部 3 4は、内部に共通鍵を有し、暗号文の中の一部の I Vと共通鍵とから 4 8 0 ビット並列の鍵長の暗号鍵が生成される。暗号鍵がストリーム暗号コァ 3 3に供給される。ストリーム暗号コア 3 3では、 4 ◦ ビットのストリーム鍵が生成され、 4 0 ビット毎に並列化された暗号文とストリ —ム鍵との排他的論理和が E X— O Rゲート 3 2によって演算され、 E X— O Rゲート 3 2の出力に平文が得られる。同時に暗号鍵生成部 3 4では、次のステップの復号化のための I Vを受信した暗号文から取り出して保持する。

ストリーム暗号コア 3 3および暗号鍵生成部 3 4に対して同期信号 (Sync)が供給され、同期信号によって規定される時刻毎に鍵の更新がなされる。

第 6図は、暗号鍵生成部 4の一例の構成を示す。暗号鍵生成部 3 4 も第 6図と同一の構成とされる。参照符号 4 1が I V読み込み制御部を示す。読み込み制御部 4 1に対してクロック、暗号化データおよび同期信号（Sync)が供給される。クロックに同期して例えば 4 0 ビットずつの暗号データが読み込まれ、暗号化データの中で、 I Vとして使う部分の所定のデータが取り出される。

そして、取り出された例えば 4 8 0 ビットの I V 4 2 と、 4 8 0 ビットの秘密鍵 4 4 とが E X— O Rゲート 4 3に供給され、 4 8 0 ビッ卜の暗号鍵が E X— O Rゲート 4 3から出力される。

上述したように、この発明では、時間とともに変化する暗号化デー夕の一部を I Vとして使用するので、 I Vを時間とともに変化させることができる。したがって、共通鍵を変更しなくても、ストリーム暗号に使用される暗号鍵を時間とともに変化させることができ、したがつて、安全性の高い暗号化が可能となる。また、この発明では、 I V を 1 ステツプ前に送信または受信した暗号文の中から取り出している

。したがって、ある一定時間毎に別の鍵を使うために、鍵の同期をとるための信号を送信する必要がない。また、一定時間每に公開鍵暗号システムなどの方法を用いて暗号鍵を送信すれば、送信側と受信側で別の鍵を使うことができるが、鍵の送信のためにデータの転送を中断する必要があり、リアルタイム通信が難しくなる。この発明は、暗号文を送信または受信しながら I Vを取り出すことができるので、時間的なオーバーヘッドもない利点がある。したがって、既存のリアル夕ィム通信手段に対して殆ど変更を加える必要がなく、また、リアル夕ィム性を損なうことがない利点がある。

この発明は、上述した実施形態に限定されるものではなく、この発明の要旨を逸脱しない範囲内で種々の変形や応用が可能である。例えば上述した暗号鍵の鍵長は、一例であって、任意の鍵長の暗号鍵を使用することができる。また、 I Vを取り出す暗号文の区切りは、ビデォ信号の 1 フレームに限らず、 1 フィ一ルド等の任意の長さとすることができる。ビデオデータ以外に音楽データ等の情報データの暗号化に対してこの発明を適用できる。さらに、第 4図および第 5図において、ストリーム暗号コア 2 3および 3 3を設けずに、暗号鍵生成部 2 4および 3 4で生成された暗号鍵を E X— 0 Rゲート 2 2および 3 2 にそれぞれ供給するようにしても良い。

Claims

請求の範囲

1 . 鍵データと情報デ一タとの排他的論理和によつて暗号文を生成するストリーム暗号の暗号化装置において、

同期信号が入力され、前の時刻の暗号文中の一部のデータを取り出し、取り出された上記一部の暗号文から鍵データを生成する鍵データ生成手段と、

上記鍵データによつて情報デー夕を暗号化する暗号化手段とからなる暗号化装置。

2 . 請求の範囲 1 において、

上記一部のデータと共通鍵によつて上記鍵データを生成する暗号化装置。

3 . 請求の範囲 1 において、

上記情報データがストリームデータであり、上記同期信号がストリ —ムデ一夕の同期信号であり、上記ストリームデータの同期信号に同期して鍵データを生成する暗号化装置。

4 . 請求の範囲 3において、

上記ストリームデータがビデオデータである暗号化装置。

5 . 請求の範囲 3において、

上記ストリームデータが音声データである暗号化装置。

6 . 請求の範囲 1 において、

上記鍵データ生成手段および上記暗号化手段が集積回路上に実現されたことを特徴とする暗号化装置。

7 . 鍵データと情報データとの排他的論理和によって暗号文を生成するストリーム暗号の暗号化方法において、

同期信号を入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された上記一部の暗号文から鍵データを生成する鍵データ生成ステップと、

上記鍵デ一夕によつて情報デ一夕を暗号化する暗号化ステップとからなる暗号化方法。

8 . 請求の範囲 7において、

上記一部のデータと共通鍵によつて上記鍵データを生成する暗号化方法。

9 . 請求の範囲 7において、

上記情報データがストリームデータであり、上記同期信号がストリ一ムデ一夕の同期信号であり、上記ストリームデータの同期信号に同期して鍵データを生成する暗号化方法。

1 0 . 請求の範囲 9において、

上記ストリームデータがビデオデータである暗号化方法。

1 1 . 請求の範囲 9において、

上記ストリームデータが音声データである暗号化方法。

1 2 . コンピュータに対して、鍵データと情報データとの排他的論理和によって暗号文を生成するストリーム暗号の暗号化方法を実行させるためのプログラムにおいて、

同期化用データを入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された上記一部の暗号文から鍵データを生成する鍵デ一夕生成ステップと、

上記鍵データによつて情報データを暗号化する暗号化ステップとからなる暗号化方法を実行させるためのプログラム。

1 3 . コンピュータに対して、鍵データと情報データとの排他的論理和によって暗号文を生成するストリーム暗号の暗号化方法を実行させるためのプログラムを記録したコンピュータで読み取り可能な記録媒体において、同期化用データを入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された上記一部の暗号文から鍵データを生成する鍵デ —夕生成ステツプと、

上記鍵データによつて情報データを暗号化する暗号化ステップとからなる暗号化方法を実行させるためのプログラムを記録したコンピュ一夕で読み取り可能な記録媒体。

1 4 . 暗号文と鍵データの排他的論理和によって暗号文を復号するストリーム暗号の復号装置において、

同期信号が入力され、前の時刻の暗号文中の一部のデータを取り出し、取り出された上記一部の暗号文から鍵データを生成する鍵デ一夕生成手段と、

上記鍵デー夕によって暗号文を復号する復号手段とからなる復号装

1 5 . 請求の範囲 1 4において、

上記一部のデータと共通鍵によって上記鍵データを生成する復号装

1 6 . 請求の範囲 1 4において、

上記情報データがストリームデータであり、上記同期信号がストリームデータの同期信号であり、上記ストリームデータの同期信号に同期して鍵データを生成する復号装置。

1 7 . 請求の範囲 1 6において、

上記ストリームデータがビデオデータである復号装置。

1 8 . 請求の範囲 1 6において、

上記ストリームデータが音声データである復号装置。

1 9 . 請求の範囲 1 4において、

上記鍵データ生成手段および上記復号手段が集積回路上に実現されたことを特徴とする復号装置。

2 0 . 暗号文と鍵データの排他的論理和によって暗号文を復号するストリーム暗号の復号方法において、

同期信号を入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された上記一部の暗号文から鍵デ一タを生成する鍵デー夕生成ステツプと、

上記鍵データによって暗号文を復号する復号ステップとからなる復号方法。

2 1 . 請求の範囲 2 0において、

上記一部のデータと共通鍵によって上記鍵データを生成する復号方法。

2 2 . 請求の範囲 2 0において、

上記情報データがストリームデータであり、上記同期信号がストリームデータの同期信号であり、上記ストリ一ムデータの同期信号に同期して鍵データを生成する復号方法。

2 3 . 請求の範囲 2において、

上記ストリームデータがビデオデータである復号方法。

2 4 . 請求の範囲 1 2において、

上記ストリ一ムデータが音声データである復号方法。

2 5 . コンピュータに対して、暗号文と鍵データの排他的論理和によつて暗号文を復号するストリーム暗号の復号方法を実行させるためのプログラムにおいて、

同期化用データを入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された上記一部の暗号文から鍵デ一タを生成する鍵デ —タ生成ステップと、

上記鍵デ一タによつて暗号文を復号する復号ステップとからなる復号方法を実行させるためのプログラム。

2 6 . コンピュータに対して、暗号文と鍵データの排他的論理和によつて暗号文を復号するストリーム暗号の復号方法を実行させるためのプログラムを記録したコンピュータで読み取り可能な記録媒体におレヽて、

同期化用データを入力し、前の時刻の暗号文中の一部のデータを取り出し、取り出された上記一部の暗号文から鍵データを生成する鍵デ一夕生成ステツプと、

上記鍵データによって暗号文を復号する復号ステツプとからなる復号方法を実行させるためのプログラムを記録したコンピュー夕で読み取り可能な記録媒体。