JP2000020284A - 疑似乱数発生装置 - Google Patents
疑似乱数発生装置Info
- Publication number
- JP2000020284A JP2000020284A JP10196639A JP19663998A JP2000020284A JP 2000020284 A JP2000020284 A JP 2000020284A JP 10196639 A JP10196639 A JP 10196639A JP 19663998 A JP19663998 A JP 19663998A JP 2000020284 A JP2000020284 A JP 2000020284A
- Authority
- JP
- Japan
- Prior art keywords
- shift register
- feedback shift
- random number
- linear feedback
- linear
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Detection And Prevention Of Errors In Transmission (AREA)
- Error Detection And Correction (AREA)
Abstract
(57)【要約】
【課題】 Correlation Attackなどを用いて初期値を推
定することが困難な疑似乱数発生装置を提供する。 【解決手段】 クロック入力に同期して動作する線形フ
ィードバックシフトレジスタおよび非線形フィードバッ
クシフトレジスタの各レジスタ値を非線形変換関数回路
に入力し1〜数クロック毎に1ビットの疑似乱数を出力
構成となっている。
定することが困難な疑似乱数発生装置を提供する。 【解決手段】 クロック入力に同期して動作する線形フ
ィードバックシフトレジスタおよび非線形フィードバッ
クシフトレジスタの各レジスタ値を非線形変換関数回路
に入力し1〜数クロック毎に1ビットの疑似乱数を出力
構成となっている。
Description
【0001】
【発明の属する技術分野】本発明は、暗号通信装置など
で使用される疑似乱数を発生させる疑似乱数発生装置に
関し、特に、Correlation Attackなどを用いて初期値を
推定することが困難な疑似乱数発生装置に関する。
で使用される疑似乱数を発生させる疑似乱数発生装置に
関し、特に、Correlation Attackなどを用いて初期値を
推定することが困難な疑似乱数発生装置に関する。
【0002】
【従来の技術】従来より、電話、無線、データ通信など
の通信システムにおいて、伝送情報が第三者に知られな
いようにするために、伝送情報を暗号化することが行わ
れている。この暗号化方式で特に高速通信に利用される
ものの中にストリーム暗号方式がある。ストリーム暗号
方式は、疑似乱数発生装置の出力する疑似乱数を1ビッ
ト単位で平文入力のデータストリームと排他的論理和演
算を施すことでデータストリームの暗号化を行うもので
ある。図3にストリーム暗号の概念図を示す。次に、従
来の疑似乱数発生装置の構成について図4を参照して説
明する。図4に示す型の疑似乱数発生装置をFilter Gen
eratorと呼ぶ。上記Filter Generatorでは、クロックに
同期して動作する1つの線形フィードバックシフトレジ
スタ1における各レジスタ出力を非線形変換関数回路2
に入力し、各クロック毎に1ビットの疑似乱数を出力す
る様にしている。上記疑似乱数発生装置が暗号学的に安
全となるには以下の条件が必要となる。 (1)疑似乱数系列の長周期性 (2)疑似乱数出力の1、0の出現確率がほぼ等しい (3)疑似乱数系列の線形複雑度が大きい (4)非線形変換関数の入出力が無相関である 上記(1)〜(3)の条件は、線形フィードバックシフ
トレジスタの出力がm系列となるように線形フィードバ
ックシフトレジスタの生成多項式を構成し、非線形変換
関数の構成を工夫することで比較的容易に満たすことが
可能である。しかし上記(4)については非線形変換関
数を設定することが難しく、現在そのような関数形が見
つかったという報告はない。そして、非線形関数の入出
力に相関があるとCorrelation Attackによって攻撃され
やすくなる。上記Filter GeneratorのCorrelation Atta
ckはいくつか存在するが、代表的なものとして、Fast C
orrelation Attack とOptimum Correlation Attackがあ
る。Fast Correlation Attack については、W.Meier と
O.Staffelbach 著の"Fast correlation attacks on cer
tain stream ciphers," Journal of Cryptology,vol.1
(3),pp.159-176,1989. 等に、Optimum Correlation Att
ackについては、R.J.Anderson著の"Searching for the
optimum correlation attack," Fast SoftwareEncrypti
on-Leuven'94,Lecture Notes in Computer Science,vo
l.1008,B.Preneeled.,Springer-Verlag,pp.137-143,199
5. 等に記載されている。
の通信システムにおいて、伝送情報が第三者に知られな
いようにするために、伝送情報を暗号化することが行わ
れている。この暗号化方式で特に高速通信に利用される
ものの中にストリーム暗号方式がある。ストリーム暗号
方式は、疑似乱数発生装置の出力する疑似乱数を1ビッ
ト単位で平文入力のデータストリームと排他的論理和演
算を施すことでデータストリームの暗号化を行うもので
ある。図3にストリーム暗号の概念図を示す。次に、従
来の疑似乱数発生装置の構成について図4を参照して説
明する。図4に示す型の疑似乱数発生装置をFilter Gen
eratorと呼ぶ。上記Filter Generatorでは、クロックに
同期して動作する1つの線形フィードバックシフトレジ
スタ1における各レジスタ出力を非線形変換関数回路2
に入力し、各クロック毎に1ビットの疑似乱数を出力す
る様にしている。上記疑似乱数発生装置が暗号学的に安
全となるには以下の条件が必要となる。 (1)疑似乱数系列の長周期性 (2)疑似乱数出力の1、0の出現確率がほぼ等しい (3)疑似乱数系列の線形複雑度が大きい (4)非線形変換関数の入出力が無相関である 上記(1)〜(3)の条件は、線形フィードバックシフ
トレジスタの出力がm系列となるように線形フィードバ
ックシフトレジスタの生成多項式を構成し、非線形変換
関数の構成を工夫することで比較的容易に満たすことが
可能である。しかし上記(4)については非線形変換関
数を設定することが難しく、現在そのような関数形が見
つかったという報告はない。そして、非線形関数の入出
力に相関があるとCorrelation Attackによって攻撃され
やすくなる。上記Filter GeneratorのCorrelation Atta
ckはいくつか存在するが、代表的なものとして、Fast C
orrelation Attack とOptimum Correlation Attackがあ
る。Fast Correlation Attack については、W.Meier と
O.Staffelbach 著の"Fast correlation attacks on cer
tain stream ciphers," Journal of Cryptology,vol.1
(3),pp.159-176,1989. 等に、Optimum Correlation Att
ackについては、R.J.Anderson著の"Searching for the
optimum correlation attack," Fast SoftwareEncrypti
on-Leuven'94,Lecture Notes in Computer Science,vo
l.1008,B.Preneeled.,Springer-Verlag,pp.137-143,199
5. 等に記載されている。
【0003】
【発明が解決しようとする課題】上記Correlation Atta
ckは初期値を推定する場合、最終的には線形フィードバ
ックシフトレジスタの生成多項式によって導き出される
連立方程式を解くことになる。従来のFilter Generator
はこの際に解く連立方程式が線形となり、Correlation
が見つかった時に方程式が簡単に解かれ、初期値が容易
に推定できてしまうという問題があった。Correlation
Attackにより初期値を推定しにくくするには、最終的に
解く連立方程式が線形とならないようにすれば良い。こ
のためには図4における線形フィードバックシフトレジ
スタを非線形フィードバックシフトレジスタに置き換え
ればよい。しかるに、単に上記線形フィードバックシフ
トレジスタを非線形フィードバックシフトレジスタに置
き換えただけでは、前述した(1)〜(3)の条件を満
たすことは困難になる。本発明は、上記事情に鑑みてな
されたものであって、Correlation Attackなどを用いて
初期値を推定することが困難な疑似乱数発生装置を提供
することを目的とする。
ckは初期値を推定する場合、最終的には線形フィードバ
ックシフトレジスタの生成多項式によって導き出される
連立方程式を解くことになる。従来のFilter Generator
はこの際に解く連立方程式が線形となり、Correlation
が見つかった時に方程式が簡単に解かれ、初期値が容易
に推定できてしまうという問題があった。Correlation
Attackにより初期値を推定しにくくするには、最終的に
解く連立方程式が線形とならないようにすれば良い。こ
のためには図4における線形フィードバックシフトレジ
スタを非線形フィードバックシフトレジスタに置き換え
ればよい。しかるに、単に上記線形フィードバックシフ
トレジスタを非線形フィードバックシフトレジスタに置
き換えただけでは、前述した(1)〜(3)の条件を満
たすことは困難になる。本発明は、上記事情に鑑みてな
されたものであって、Correlation Attackなどを用いて
初期値を推定することが困難な疑似乱数発生装置を提供
することを目的とする。
【0004】
【課題を解決するための手段】上記目的を達成するた
め、本発明は、暗号化処理に用いる疑似乱数を発生する
疑似乱数発生装置において、互いに同一クロックに同期
して動作する線形フィードバックシフトレジスタおよび
非線形フィードバックシフトレジスタと、上記線形フィ
ードバックシフトレジスタと非線形フィードバックシフ
トレジスタの各レジスタの出力を非線形変換し1ビット
の出力を得る非線形変換関数回路と、上記線形フィード
バックシフトレジスタおよび非線形フィードバックシフ
トレジスタに初期値を設定する設定手段とを有し、1〜
数クロック毎に1ビットの疑似乱数を出力することを特
徴とする。
め、本発明は、暗号化処理に用いる疑似乱数を発生する
疑似乱数発生装置において、互いに同一クロックに同期
して動作する線形フィードバックシフトレジスタおよび
非線形フィードバックシフトレジスタと、上記線形フィ
ードバックシフトレジスタと非線形フィードバックシフ
トレジスタの各レジスタの出力を非線形変換し1ビット
の出力を得る非線形変換関数回路と、上記線形フィード
バックシフトレジスタおよび非線形フィードバックシフ
トレジスタに初期値を設定する設定手段とを有し、1〜
数クロック毎に1ビットの疑似乱数を出力することを特
徴とする。
【0005】
【発明の実施の形態】本発明を図示した実施形態に基づ
いて説明する。図1は、本発明による疑似乱数発生装置
の一実施形態の基本構成を示す図である。図1に示す様
に、この疑似乱数発生装置基本構成は、同一のクロック
入力に同期して動作する線形フィードバックシフトレジ
スタ3および非線形フィードバックシフトレジスタ4
と、上記線形フィードバックシフトレジスタ3および非
線形フィードバックシフトレジスタ4よりの各レジスタ
値を非線形変換して1ビットの疑似乱数を出力する非線
形変換関数回路5とを有している。上記疑似乱数発生装
置の動作としては、クロック入力に同期して動作する線
形フィードバックシフトレジスタ3および非線形フィー
ドバックシフトレジスタ4の各レジスタ値を非線形変換
関数回路5に入力し、1〜数クロック毎に1ビットの疑
似乱数を出力する様になっている。
いて説明する。図1は、本発明による疑似乱数発生装置
の一実施形態の基本構成を示す図である。図1に示す様
に、この疑似乱数発生装置基本構成は、同一のクロック
入力に同期して動作する線形フィードバックシフトレジ
スタ3および非線形フィードバックシフトレジスタ4
と、上記線形フィードバックシフトレジスタ3および非
線形フィードバックシフトレジスタ4よりの各レジスタ
値を非線形変換して1ビットの疑似乱数を出力する非線
形変換関数回路5とを有している。上記疑似乱数発生装
置の動作としては、クロック入力に同期して動作する線
形フィードバックシフトレジスタ3および非線形フィー
ドバックシフトレジスタ4の各レジスタ値を非線形変換
関数回路5に入力し、1〜数クロック毎に1ビットの疑
似乱数を出力する様になっている。
【0006】次に、図2を参照して、上記図1に示した
疑似乱数発生装置のより具体的な構成について説明す
る。図2に示す様に、この疑似乱数発生装置は、第1の
シフトレジスタ初期値設定用入力端子6に接続された第
1のシフトレジスタ7と、第2のシフトレジスタ初期値
設定用入力端子8に接続された第2のシフトレジスタ9
と、上記第1のシフトレジスタ7に接続された第1の非
線形変換関数回路10と、上記第2のシフトレジスタ9
に接続された線形変換関数回路11と、上記第1および
第2のシフトレジスタ7、9に接続された第2の非線形
変換関数回路12とを有している。なお、上記第1およ
び第2のシフトレジスタ7、9には、クロック入力端子
13が接続されており、上記非線形変換関数回路12に
は、疑似乱数出力端子14が接続されている。なお、こ
こでは、上記第2のシフトレジスタ9および線形変換関
数回路11によって図1に示す線形フィードバックシフ
トレジスタ3が構成され、上記第1のシフトレジスタ7
および第1の非線形変換関数回路10によって図1に示
す非線形フィードバックシフトレジスタ4が構成され
る。
疑似乱数発生装置のより具体的な構成について説明す
る。図2に示す様に、この疑似乱数発生装置は、第1の
シフトレジスタ初期値設定用入力端子6に接続された第
1のシフトレジスタ7と、第2のシフトレジスタ初期値
設定用入力端子8に接続された第2のシフトレジスタ9
と、上記第1のシフトレジスタ7に接続された第1の非
線形変換関数回路10と、上記第2のシフトレジスタ9
に接続された線形変換関数回路11と、上記第1および
第2のシフトレジスタ7、9に接続された第2の非線形
変換関数回路12とを有している。なお、上記第1およ
び第2のシフトレジスタ7、9には、クロック入力端子
13が接続されており、上記非線形変換関数回路12に
は、疑似乱数出力端子14が接続されている。なお、こ
こでは、上記第2のシフトレジスタ9および線形変換関
数回路11によって図1に示す線形フィードバックシフ
トレジスタ3が構成され、上記第1のシフトレジスタ7
および第1の非線形変換関数回路10によって図1に示
す非線形フィードバックシフトレジスタ4が構成され
る。
【0007】次に、上記疑似乱数発生装置の動作につい
て説明する。まず、疑似乱数を出力する前に、上記第1
および第2のシフトレジスタ7および9にそれぞれ上記
第1のシフトレジスタ初期値設定用入力端子6からmビ
ット、上記第2のシフトレジスタ初期値設定用入力端子
8からnビットの初期値を入力する。上記第1および第
2のシフトレジスタ7、9は、上記クロック入力端子1
3からクロック入力があると1ビットづつ左シフトする
が、上記第2のシフトレジスタ9は上記線形変換関数回
路11によって各レジスタ値の線形変換し、その出力を
最右段のレジスタに入力する。ここで、上記線形変換関
数回路11においては、+は排他的論理和を、C1 ,…
Cn-1 は1または0をとる固定値で、1で結線を、0で
結線していないことを示す。一方、上記第1のシフトレ
ジスタ7は第1の非線形変換関数回路10において各レ
ジスタ値を非線形変換し、その出力を最右段のレジスタ
に入力する。上記非線形変換とはその論理回路の中に少
なくとも1つ以上の論理積回路を含むものである。上記
第1および第2のシフトレジスタ7および9は各レジス
タ値を上記第2の非線形変換関数回路12に入力し、各
レジスタ値の非線形変換値を疑似乱数出力端子14に出
力する。上記疑似乱数発生装置において、疑似乱数系列
の長周期性を保証するには、上記線形変換関数回路11
における生成多項式が既約多項式となり、かつ、2n −
1がメルセンヌ素数となるようにnを決定すれば良い。
また、上記疑似乱数出力の1、0の出現確率がほぼ等し
くなるようにするには、上記第2の非線形変換関数回路
12において、上記第2のシフトレジスタ9の少なくと
も1つのレジスタ出力を残りの出力と排他的論理和演算
を施して上記疑似乱数出力端子14に出力するようにす
れば良い。線形複雑度を大きくするには、上記第2の非
線形変換関数回路12の最大次数(論理積の最大次数)
を大きくし、最大次数の項が第2のシフトレジスタ9の
みの出力から構成されるようにすれば良い。
て説明する。まず、疑似乱数を出力する前に、上記第1
および第2のシフトレジスタ7および9にそれぞれ上記
第1のシフトレジスタ初期値設定用入力端子6からmビ
ット、上記第2のシフトレジスタ初期値設定用入力端子
8からnビットの初期値を入力する。上記第1および第
2のシフトレジスタ7、9は、上記クロック入力端子1
3からクロック入力があると1ビットづつ左シフトする
が、上記第2のシフトレジスタ9は上記線形変換関数回
路11によって各レジスタ値の線形変換し、その出力を
最右段のレジスタに入力する。ここで、上記線形変換関
数回路11においては、+は排他的論理和を、C1 ,…
Cn-1 は1または0をとる固定値で、1で結線を、0で
結線していないことを示す。一方、上記第1のシフトレ
ジスタ7は第1の非線形変換関数回路10において各レ
ジスタ値を非線形変換し、その出力を最右段のレジスタ
に入力する。上記非線形変換とはその論理回路の中に少
なくとも1つ以上の論理積回路を含むものである。上記
第1および第2のシフトレジスタ7および9は各レジス
タ値を上記第2の非線形変換関数回路12に入力し、各
レジスタ値の非線形変換値を疑似乱数出力端子14に出
力する。上記疑似乱数発生装置において、疑似乱数系列
の長周期性を保証するには、上記線形変換関数回路11
における生成多項式が既約多項式となり、かつ、2n −
1がメルセンヌ素数となるようにnを決定すれば良い。
また、上記疑似乱数出力の1、0の出現確率がほぼ等し
くなるようにするには、上記第2の非線形変換関数回路
12において、上記第2のシフトレジスタ9の少なくと
も1つのレジスタ出力を残りの出力と排他的論理和演算
を施して上記疑似乱数出力端子14に出力するようにす
れば良い。線形複雑度を大きくするには、上記第2の非
線形変換関数回路12の最大次数(論理積の最大次数)
を大きくし、最大次数の項が第2のシフトレジスタ9の
みの出力から構成されるようにすれば良い。
【0008】
【発明の効果】上述のように線形フィードバックシフト
レジスタ3(第2のシフトレジスタ9および線形変換関
数回路11)と非線形フィードバックシフトレジスタ4
(第1のシフトレジスタ7および第1の非線形変換関数
回路10)を組み合わせて疑似乱数発生装置を構成する
ことにより、前述した(1)〜(3)の条件((1)疑
似乱数系列の長周期性(2)疑似乱数出力の1、0の出
現確率がほぼ等しい(3)疑似乱数系列の線形複雑度が
大きい)を維持しつつ、Correlation Attackなどを用い
て初期値を推定することが困難な疑似乱数発生装置を提
供することができる。
レジスタ3(第2のシフトレジスタ9および線形変換関
数回路11)と非線形フィードバックシフトレジスタ4
(第1のシフトレジスタ7および第1の非線形変換関数
回路10)を組み合わせて疑似乱数発生装置を構成する
ことにより、前述した(1)〜(3)の条件((1)疑
似乱数系列の長周期性(2)疑似乱数出力の1、0の出
現確率がほぼ等しい(3)疑似乱数系列の線形複雑度が
大きい)を維持しつつ、Correlation Attackなどを用い
て初期値を推定することが困難な疑似乱数発生装置を提
供することができる。
【図1】本発明による疑似乱数発生装置の一実施形態の
基本構成を示す図である。
基本構成を示す図である。
【図2】図1に示した疑似乱数発生装置のより具体的な
構成図である。
構成図である。
【図3】ストリーム暗号装置の概略構成図である。
【図4】従来の疑似乱数発生装置の構成図である。
1、3…線形フィードバックシフトレジスタ、 4…非線形フィードバックシフトレジスタ、 2、5…非線形変換関数回路、 6、8…第1および第2のシフトレジスタ初期値設定用
入力端子、 7、9…第1および第2のシフトレジスタ、 10、12…第1および第2の非線形変換関数回路、 11…線形変換関数回路、 13…クロック入力端子、 14…疑似乱数出力端子、
入力端子、 7、9…第1および第2のシフトレジスタ、 10、12…第1および第2の非線形変換関数回路、 11…線形変換関数回路、 13…クロック入力端子、 14…疑似乱数出力端子、
Claims (1)
- 【請求項1】 暗号化処理に用いる疑似乱数を発生する
疑似乱数発生装置であって、互いに同一クロックに同期
して動作する線形フィードバックシフトレジスタおよび
非線形フィードバックシフトレジスタと、 上記線形フィードバックシフトレジスタと非線形フィー
ドバックシフトレジスタの各レジスタの出力を非線形変
換し1ビットの出力を得る非線形変換関数回路と、 上記線形フィードバックシフトレジスタおよび非線形フ
ィードバックシフトレジスタに初期値を設定する設定手
段とを有し、 1〜数クロック毎に1ビットの疑似乱数を出力すること
を特徴とする疑似乱数発生装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10196639A JP2000020284A (ja) | 1998-06-26 | 1998-06-26 | 疑似乱数発生装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10196639A JP2000020284A (ja) | 1998-06-26 | 1998-06-26 | 疑似乱数発生装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000020284A true JP2000020284A (ja) | 2000-01-21 |
Family
ID=16361125
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10196639A Pending JP2000020284A (ja) | 1998-06-26 | 1998-06-26 | 疑似乱数発生装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000020284A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102004037814A1 (de) * | 2004-08-04 | 2006-03-16 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Erzeugen einer Folge von Zahlen |
-
1998
- 1998-06-26 JP JP10196639A patent/JP2000020284A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102004037814A1 (de) * | 2004-08-04 | 2006-03-16 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Erzeugen einer Folge von Zahlen |
| DE102004037814B4 (de) * | 2004-08-04 | 2010-12-16 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Erzeugen einer Folge von Zahlen |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2218148C (en) | Generating unique and unpredictable values | |
| JP3092567B2 (ja) | 暗号鍵の生成方法および装置 | |
| US6014446A (en) | Apparatus for providing improved encryption protection in a communication system | |
| JP4828068B2 (ja) | コンピュータで効率的な線形フィードバック・シフト・レジスタ | |
| JPS5873257A (ja) | 暗号化装置 | |
| US20070174374A1 (en) | Pseudorandom number generator and pseudorandom number generation program | |
| JPH08505275A (ja) | 暗号ストリームを発生させるための装置及び方法 | |
| JPH1153173A (ja) | 擬似乱数発生方法及び装置 | |
| Lamba | Design and analysis of stream cipher for network security | |
| Ding | The differential cryptanalysis and design of natural stream ciphers | |
| Ghazi et al. | Robust and efficient dynamic stream cipher cryptosystem | |
| JP2000209195A (ja) | 暗号通信システム | |
| US7587046B2 (en) | Method and apparatus for generating keystream | |
| RU2141729C1 (ru) | Способ криптографического преобразования блоков двоичных данных | |
| JP2003110540A (ja) | 暗号鍵更新方法 | |
| JP3358953B2 (ja) | 擬似ランダムビット列生成器及びそれを使用する暗号通信方法 | |
| JPH0736672A (ja) | 乱数発生器、及びそれを用いた通信システム及びその方法 | |
| JPH11224183A (ja) | 擬似乱数発生装置 | |
| JP3358954B2 (ja) | 擬似ランダムビット列生成器及びそれを使用する暗号通信方法 | |
| JP2003032244A (ja) | ストリーム暗号装置 | |
| JPH1117673A (ja) | 共通鍵暗号通信方法及びその通信ネットワーク | |
| JP2000020284A (ja) | 疑似乱数発生装置 | |
| RU2188513C2 (ru) | Способ криптографического преобразования l-битовых входных блоков цифровых данных в l-битовые выходные блоки | |
| Labbi et al. | Symmetric encryption algorithm for RFID systems using a dynamic generation of key | |
| RU2423799C2 (ru) | Способ поточного шифрования данных |