JP2001005384A - 乱数生成方法 - Google Patents
乱数生成方法Info
- Publication number
- JP2001005384A JP2001005384A JP11177913A JP17791399A JP2001005384A JP 2001005384 A JP2001005384 A JP 2001005384A JP 11177913 A JP11177913 A JP 11177913A JP 17791399 A JP17791399 A JP 17791399A JP 2001005384 A JP2001005384 A JP 2001005384A
- Authority
- JP
- Japan
- Prior art keywords
- output
- random number
- processing unit
- input
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 ICカードなどリソースが制限されているシス
テムにおいて、質の良い乱数を生成する方法が必要であ
る。 【解決手段】 ICカードシステムにもともと備えられて
いる秘密鍵暗号、オペレーティングシステム、不揮発性
記憶部を活用する。本発明においては、秘密鍵暗号を用
いた小さな乱数生成器と、この乱数種(初期値)を任意
のタイミングでオペレーティングシステムで更新する。
オペレーティングシステムがいつ乱数種を更新するのか
はアプリケーションに依存して、外部より予測すること
は困難である。
テムにおいて、質の良い乱数を生成する方法が必要であ
る。 【解決手段】 ICカードシステムにもともと備えられて
いる秘密鍵暗号、オペレーティングシステム、不揮発性
記憶部を活用する。本発明においては、秘密鍵暗号を用
いた小さな乱数生成器と、この乱数種(初期値)を任意
のタイミングでオペレーティングシステムで更新する。
オペレーティングシステムがいつ乱数種を更新するのか
はアプリケーションに依存して、外部より予測すること
は困難である。
Description
【0001】
【発明の属する技術分野】本発明は、認証時のチャレン
ジデータなどに用いる乱数を生成する方法であり、例え
ばICカードのようにリソースが制限されているシステム
において、もともと備えられている機能を活用すること
によって追加のコストをできるだけ削減しつつ、質の良
い乱数を発生する乱数生成方法に関する。
ジデータなどに用いる乱数を生成する方法であり、例え
ばICカードのようにリソースが制限されているシステム
において、もともと備えられている機能を活用すること
によって追加のコストをできるだけ削減しつつ、質の良
い乱数を発生する乱数生成方法に関する。
【0002】
【従来の技術】近年、ICカードを用いた電子マネーや電
子決裁、交通システム、プライバシー情報の管理等の提
案やビジネスが盛んである。
子決裁、交通システム、プライバシー情報の管理等の提
案やビジネスが盛んである。
【0003】ICカードを使用する場合の安全性は、ICカ
ードとリーダライタ間の認証とその間のデータ暗号化に
依存すると考えられる。ICカード内の情報自身はハード
ウェアの解析を仮定しない限り、ある程度安全であると
考えることが出来るからである。
ードとリーダライタ間の認証とその間のデータ暗号化に
依存すると考えられる。ICカード内の情報自身はハード
ウェアの解析を仮定しない限り、ある程度安全であると
考えることが出来るからである。
【0004】ICカードとリーダライタの間のデータの暗
号化は、例えばDES暗号やトリプルDES暗号のように処理
が軽くて高速処理が可能である秘密鍵暗号(慣用鍵暗号
ともいう)を用いるのが一般的である。一方、両機器間
の認証は、高い安全性を保有するために公開鍵暗号の手
法を用いる。つまり、例えば第1の機器が第2の機器を認
証する際には、第1の機器が任意に作成した乱数(これ
をチャレンジデータと呼ぶ)に対して、第2の機器が自
身だけが保有している秘密鍵を用いて署名データを作成
してこれを返答する(これをレスポンスと呼ぶ)。第1
機器ではこの署名データを第2の機器の公開鍵を用いて
確認するといった方法である。ランダムに作成したチャ
レンジデータを用いることにより、なりすましや以前蓄
積したレスポンスデータを再利用するといったリプレイ
(繰り返し)攻撃を防止する。この場合、今までのチャ
レンジデータから次のチャレンジデータが予測できない
といった性質(予測困難性と呼ぶ)質の良い乱数が必要
である。また、署名の作り方においても、同じ対象デー
タに対する署名が乱数を用いることによって毎回異なる
署名文が出力されるアルゴリズム(例えばElGamal署名
やDSA署名)を用いるほうが望ましい。この署名アルゴ
リズムが安全であるためにも、やはり、質の良い乱数が
必要でなる。
号化は、例えばDES暗号やトリプルDES暗号のように処理
が軽くて高速処理が可能である秘密鍵暗号(慣用鍵暗号
ともいう)を用いるのが一般的である。一方、両機器間
の認証は、高い安全性を保有するために公開鍵暗号の手
法を用いる。つまり、例えば第1の機器が第2の機器を認
証する際には、第1の機器が任意に作成した乱数(これ
をチャレンジデータと呼ぶ)に対して、第2の機器が自
身だけが保有している秘密鍵を用いて署名データを作成
してこれを返答する(これをレスポンスと呼ぶ)。第1
機器ではこの署名データを第2の機器の公開鍵を用いて
確認するといった方法である。ランダムに作成したチャ
レンジデータを用いることにより、なりすましや以前蓄
積したレスポンスデータを再利用するといったリプレイ
(繰り返し)攻撃を防止する。この場合、今までのチャ
レンジデータから次のチャレンジデータが予測できない
といった性質(予測困難性と呼ぶ)質の良い乱数が必要
である。また、署名の作り方においても、同じ対象デー
タに対する署名が乱数を用いることによって毎回異なる
署名文が出力されるアルゴリズム(例えばElGamal署名
やDSA署名)を用いるほうが望ましい。この署名アルゴ
リズムが安全であるためにも、やはり、質の良い乱数が
必要でなる。
【0005】ところで、乱数の作成には、一般に物理現
象や化学現象などアナログ的な要素から作成される「真
の乱数生成」と、ディジタル的に生成する「疑似乱数の
生成」の2種類がある。真の乱数生成のほうが、勿論予
測困難性という面からも質の良い乱数を得ることが出来
る。しかし、例えば前述したICカードなどのようにコス
ト面での制約が厳しい状況で、真の乱数生成器の実現は
困難である。そのため実際には、例えばフィードバック
シフトレジスタ等を用いた疑似乱数生成器を用いている
例が多い。フィードバックシフトレジスタ等を用いた疑
似乱数生成器については、例えば岡本龍明、山本博資共
著「現代暗号」産業図書出版(1997年)の45ページから
説明されている
象や化学現象などアナログ的な要素から作成される「真
の乱数生成」と、ディジタル的に生成する「疑似乱数の
生成」の2種類がある。真の乱数生成のほうが、勿論予
測困難性という面からも質の良い乱数を得ることが出来
る。しかし、例えば前述したICカードなどのようにコス
ト面での制約が厳しい状況で、真の乱数生成器の実現は
困難である。そのため実際には、例えばフィードバック
シフトレジスタ等を用いた疑似乱数生成器を用いている
例が多い。フィードバックシフトレジスタ等を用いた疑
似乱数生成器については、例えば岡本龍明、山本博資共
著「現代暗号」産業図書出版(1997年)の45ページから
説明されている
【0006】
【発明が解決しようとする課題】しかしフィードバック
シフトレジスタ等を用いた疑似乱数生成方法の使用に
は、安全性と実現コストに関する課題がある。
シフトレジスタ等を用いた疑似乱数生成方法の使用に
は、安全性と実現コストに関する課題がある。
【0007】つまり、安易に作成した疑似乱数生成方法
では、出力乱数を集めることにより次に生成される疑似
乱数を予測できる。これは、疑似乱数生成方法の「線形
複雑度」といった評価基準に関連する。この評価基準に
おいてできるだけ安全に設計しようとすると、複雑な構
成の疑似乱数生成方法となるため、実現コストが高くな
ってしまう。現在対象としているICカードなどにおいて
はこのことは、大きな課題である。
では、出力乱数を集めることにより次に生成される疑似
乱数を予測できる。これは、疑似乱数生成方法の「線形
複雑度」といった評価基準に関連する。この評価基準に
おいてできるだけ安全に設計しようとすると、複雑な構
成の疑似乱数生成方法となるため、実現コストが高くな
ってしまう。現在対象としているICカードなどにおいて
はこのことは、大きな課題である。
【0008】そのため、本発明では、ICカードにもとも
と備えられている機能を活用することにより、できるだ
け追加コストを削減しつつ、安全な、つまり予測困難性
が満たされる乱数生成方法を目的とする。なお、ここで
活用するICカードにもともと備えられている機能として
は次のものがある。 ・例えばDES暗号やトリプルDES暗号のような秘密鍵暗
号: ICカードとリーダライタ間のデータの暗号化をす
るため必要。 ・ICカード用オペレーティングシステム(以下OSと省略
する場合がある) ・不揮発性記憶部:処理履歴を格納するため必要。
と備えられている機能を活用することにより、できるだ
け追加コストを削減しつつ、安全な、つまり予測困難性
が満たされる乱数生成方法を目的とする。なお、ここで
活用するICカードにもともと備えられている機能として
は次のものがある。 ・例えばDES暗号やトリプルDES暗号のような秘密鍵暗
号: ICカードとリーダライタ間のデータの暗号化をす
るため必要。 ・ICカード用オペレーティングシステム(以下OSと省略
する場合がある) ・不揮発性記憶部:処理履歴を格納するため必要。
【0009】
【課題を解決するための手段】本発明の第1の構成にお
ける乱数生成方法は、乱数種を格納する記憶部と、この
種をもとに秘密鍵暗号を用いて所定の長さの乱数を発生
する乱数発生部と、前記種をもとに次の種を求める乱数
種更新部と、前記乱数種を任意のタイミングで更新する
オペレーティングシステムを備える。
ける乱数生成方法は、乱数種を格納する記憶部と、この
種をもとに秘密鍵暗号を用いて所定の長さの乱数を発生
する乱数発生部と、前記種をもとに次の種を求める乱数
種更新部と、前記乱数種を任意のタイミングで更新する
オペレーティングシステムを備える。
【0010】本発明の第2の構成における乱数生成方法
は、N,kを1以上の自然数としたとき、Nビットの値Aを
格納する第1のレジスタと、Nビットの値Bを格納する第2
のレジスタと、Nビットの入力データをNビットの鍵で暗
号化してNビットの出力データを出力するブロック暗号
と、前記Aを鍵にして、前記Bを初期入力データとして前
記ブロック暗号をk回繰り返し用いて、kNビット乱数を
生成する第1の処理部と、前記Bを鍵にして、前記Aを初
期入力データとして前記ブロック暗号を2回繰り返し用
いて、出力の2つのNビットの出力をそれぞれ次のA、B
として、前記第1、第2のレジスタに格納する第2の処
理部と、前記第1、第2のレジスタの値を任意のタイミ
ングで変更する、オペレーティングシステムからなるこ
とを特徴とする。
は、N,kを1以上の自然数としたとき、Nビットの値Aを
格納する第1のレジスタと、Nビットの値Bを格納する第2
のレジスタと、Nビットの入力データをNビットの鍵で暗
号化してNビットの出力データを出力するブロック暗号
と、前記Aを鍵にして、前記Bを初期入力データとして前
記ブロック暗号をk回繰り返し用いて、kNビット乱数を
生成する第1の処理部と、前記Bを鍵にして、前記Aを初
期入力データとして前記ブロック暗号を2回繰り返し用
いて、出力の2つのNビットの出力をそれぞれ次のA、B
として、前記第1、第2のレジスタに格納する第2の処
理部と、前記第1、第2のレジスタの値を任意のタイミ
ングで変更する、オペレーティングシステムからなるこ
とを特徴とする。
【0011】本発明の第3の構成における乱数生成方法
は、前記第2の構成における前記オペレーションシステ
ムが、第1、第2のレジスタの値を、所定の値を加算する
ことにより変更する。
は、前記第2の構成における前記オペレーションシステ
ムが、第1、第2のレジスタの値を、所定の値を加算する
ことにより変更する。
【0012】本発明の第4の構成における乱数生成方法
は、前記第2の構成における前記オペレーティングシス
テムが、第1、第2のレジスタの値を、タスクが動作し
ていないアイドル処理中に、所定の値を繰り返し加算す
ることにより変更する。
は、前記第2の構成における前記オペレーティングシス
テムが、第1、第2のレジスタの値を、タスクが動作し
ていないアイドル処理中に、所定の値を繰り返し加算す
ることにより変更する。
【0013】本発明の第5の構成における乱数生成方法
は、前記第2の構成における前記オペレーティングシス
テムが、第1、第2のレジスタの値を、タスク切り替え
発生毎に、所定の値を繰り返し加算することにより変更
する。
は、前記第2の構成における前記オペレーティングシス
テムが、第1、第2のレジスタの値を、タスク切り替え
発生毎に、所定の値を繰り返し加算することにより変更
する。
【0014】本発明の第6の構成における乱数生成方法
は、前記第2の構成における前記第1、第2レジスタを
2個以上のブロックに分割し、前記オペレーティングシ
ステムが、任意のブロックを選んで所定の値を加算して
変更する。
は、前記第2の構成における前記第1、第2レジスタを
2個以上のブロックに分割し、前記オペレーティングシ
ステムが、任意のブロックを選んで所定の値を加算して
変更する。
【0015】本発明の第7の構成における乱数生成方法
は、前記第2の構成における前記オペレーティングシス
テムが、第1、第2のレジスタに、機器ごとに異なる値を
加算する。
は、前記第2の構成における前記オペレーティングシス
テムが、第1、第2のレジスタに、機器ごとに異なる値を
加算する。
【0016】本発明の第8の構成における乱数生成方法
は、前記第2の構成に加えて電源投入時から一定時間毎
に変化するカウンタを具備し、前記オペレーティングシ
ステムが、前記第1、第2のレジスタに前記カウンタの値
を加算する。
は、前記第2の構成に加えて電源投入時から一定時間毎
に変化するカウンタを具備し、前記オペレーティングシ
ステムが、前記第1、第2のレジスタに前記カウンタの値
を加算する。
【0017】本発明の第9の構成における乱数生成方法
は、前記第2の構成における前記第1の処理部がNビット
入出力の第3の処理部とブロック暗号部からなり、前記
第3の処理部の出力はその入力に接続されると共に、前
記ブロック暗号の入力に接続され、前記Bを入力とした
ときの前記ブロック暗号の出力を最初のNビット乱数と
し、次にBを前記第3の処理部と前記ブロック暗号で処理
した出力を次のNビット乱数とし、同様にk回これを繰り
返すことを特徴とする。
は、前記第2の構成における前記第1の処理部がNビット
入出力の第3の処理部とブロック暗号部からなり、前記
第3の処理部の出力はその入力に接続されると共に、前
記ブロック暗号の入力に接続され、前記Bを入力とした
ときの前記ブロック暗号の出力を最初のNビット乱数と
し、次にBを前記第3の処理部と前記ブロック暗号で処理
した出力を次のNビット乱数とし、同様にk回これを繰り
返すことを特徴とする。
【0018】本発明の第10の構成における乱数生成方
法は、前記第2の構成における前記第2の処理部がNビッ
ト入出力の第4の処理部とブロック暗号部からなり、前
記第4の処理部の出力はその入力に接続されると共に、
前記ブロック暗号の入力に接続され、前記値Aを入力と
したときの前記ブロック暗号の出力を、前記第2の処理
部の最初のNビット出力とし、次にAを前記第4の処理部
と前記ブロック暗号で処理した出力を前記第2の処理部
の次のNビット出力とする。
法は、前記第2の構成における前記第2の処理部がNビッ
ト入出力の第4の処理部とブロック暗号部からなり、前
記第4の処理部の出力はその入力に接続されると共に、
前記ブロック暗号の入力に接続され、前記値Aを入力と
したときの前記ブロック暗号の出力を、前記第2の処理
部の最初のNビット出力とし、次にAを前記第4の処理部
と前記ブロック暗号で処理した出力を前記第2の処理部
の次のNビット出力とする。
【0019】本発明の第11の構成における乱数生成方
法は、前記第2の構成における前記第1の処理部がNビッ
ト入出力の第5の処理部とブロック暗号部からなり、前
記第5の処理部の入力は前記ブロック暗号の出力に、出
力は前記ブロック暗号の入力にそれぞれ接続され、前記
Bを初期値として入力したときの前記ブロック暗号の出
力を最初のNビット乱数とし、またこの出力を前記第5の
処理部に入力し、その出力をさらに前記ブロック暗号で
処理した出力を次のNビット出力とし、同様にk回これを
繰り返すことを特徴とする。
法は、前記第2の構成における前記第1の処理部がNビッ
ト入出力の第5の処理部とブロック暗号部からなり、前
記第5の処理部の入力は前記ブロック暗号の出力に、出
力は前記ブロック暗号の入力にそれぞれ接続され、前記
Bを初期値として入力したときの前記ブロック暗号の出
力を最初のNビット乱数とし、またこの出力を前記第5の
処理部に入力し、その出力をさらに前記ブロック暗号で
処理した出力を次のNビット出力とし、同様にk回これを
繰り返すことを特徴とする。
【0020】本発明の第12の構成における乱数生成方
法は、前記第2の構成における前記第2の処理部がNビッ
ト入出力の第6の処理部とブロック暗号部からなり、前
記第6の処理部の入力は前記ブロック暗号の出力に、出
力は前記ブロック暗号の入力にそれぞれ接続され、前記
Aを初期値として入力したときの前記ブロック暗号の出
力を前記第2の処理部の最初のNビット出力とし、またこ
の出力を前記第6の処理部に入力し、その出力をさらに
前記ブロック暗号で処理した出力を前記第2の処理部の
次のNビット出力とする。
法は、前記第2の構成における前記第2の処理部がNビッ
ト入出力の第6の処理部とブロック暗号部からなり、前
記第6の処理部の入力は前記ブロック暗号の出力に、出
力は前記ブロック暗号の入力にそれぞれ接続され、前記
Aを初期値として入力したときの前記ブロック暗号の出
力を前記第2の処理部の最初のNビット出力とし、またこ
の出力を前記第6の処理部に入力し、その出力をさらに
前記ブロック暗号で処理した出力を前記第2の処理部の
次のNビット出力とする。
【0021】本発明の第13の構成における乱数生成方
法は、前記第9~12のいずれかの構成における前記第3
または第4または第5または第6の処理部が、ビットの並
び替えまたは定数値の加算または定数値との論理演算か
らなる。
法は、前記第9~12のいずれかの構成における前記第3
または第4または第5または第6の処理部が、ビットの並
び替えまたは定数値の加算または定数値との論理演算か
らなる。
【0022】本発明の第14の構成における乱数生成方
法は、前記第2の構成に加えて不揮発性データ記憶部を
備え、電源オン時に前記不揮発性データ記憶部より、前
記第1、第2のレジスタに値をロードし、電源オフ直前、
または処理の任意の合間に前記第1、第2のレジスタの値
を前記不揮発性データ記憶部にストアすることを特徴と
する。
法は、前記第2の構成に加えて不揮発性データ記憶部を
備え、電源オン時に前記不揮発性データ記憶部より、前
記第1、第2のレジスタに値をロードし、電源オフ直前、
または処理の任意の合間に前記第1、第2のレジスタの値
を前記不揮発性データ記憶部にストアすることを特徴と
する。
【0023】本発明の第15の構成における乱数生成方
法は、前記第14の構成における前記不揮発性データ記
憶部の初期値が、前記乱数生成方法が搭載される機器ご
とに異なる値とする。
法は、前記第14の構成における前記不揮発性データ記
憶部の初期値が、前記乱数生成方法が搭載される機器ご
とに異なる値とする。
【0024】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図面を用いて説明する。図1は本発明の一実施例の
構成を示す。
て、図面を用いて説明する。図1は本発明の一実施例の
構成を示す。
【0025】図1において、1、2はそれぞれ64ビット
入出力、64ビット鍵の秘密鍵暗号である。また、3〜8
はそれぞれ64ビットのレジスタである。9、10はそれ
ぞれ固定値を加算する加算部である。また11は前記64
ビットレジスタ3、4を任意のタイミングでインクリメ
ントするオペレーティングシステムの処理部である。3
で示すAレジスタの値を初期値として、5に示すXレジス
タと9に示す加算部で入力を更新しながら暗号部1を繰
り返すことにより、所定の長さの乱数系列(この乱数系
列の単位を「ブロック」と称する)を生成する。一方、
4で示すBレジスタの値を初期値として、6に示すYレジ
スタと10で示す加算部を2回繰り返すことにより、そ
れぞれ7、8で示すr1レジスタ、r2レジスタに出力値が
蓄えられ、次のブロックの乱数生成のために前記A、Bレ
ジスタにそれぞれ格納される。なお、A、Bレジスタはオ
ペレーティングシステムがその空き時間に随時インクリ
メントにより更新する。
入出力、64ビット鍵の秘密鍵暗号である。また、3〜8
はそれぞれ64ビットのレジスタである。9、10はそれ
ぞれ固定値を加算する加算部である。また11は前記64
ビットレジスタ3、4を任意のタイミングでインクリメ
ントするオペレーティングシステムの処理部である。3
で示すAレジスタの値を初期値として、5に示すXレジス
タと9に示す加算部で入力を更新しながら暗号部1を繰
り返すことにより、所定の長さの乱数系列(この乱数系
列の単位を「ブロック」と称する)を生成する。一方、
4で示すBレジスタの値を初期値として、6に示すYレジ
スタと10で示す加算部を2回繰り返すことにより、そ
れぞれ7、8で示すr1レジスタ、r2レジスタに出力値が
蓄えられ、次のブロックの乱数生成のために前記A、Bレ
ジスタにそれぞれ格納される。なお、A、Bレジスタはオ
ペレーティングシステムがその空き時間に随時インクリ
メントにより更新する。
【0026】次にこれを用いて例えば5×64ビットの乱
数列を発生する方法について説明する。図2に処理フロ
ーを示す。
数列を発生する方法について説明する。図2に処理フロ
ーを示す。
【0027】(1) Aレジスタの値をXレジスタにロード
し、固定値Const1を加算した結果を、暗号化関数Eに入
力する。Bレジスタの値を鍵としたこの出力暗号文を第1
の乱数R1とする。
し、固定値Const1を加算した結果を、暗号化関数Eに入
力する。Bレジスタの値を鍵としたこの出力暗号文を第1
の乱数R1とする。
【0028】(2) 次に、Xレジスタに再び固定値Const1
を加算した結果を、暗号化関数Eに入力する。そして、
その出力を第2の乱数R2とする。
を加算した結果を、暗号化関数Eに入力する。そして、
その出力を第2の乱数R2とする。
【0029】(3) 以下同様に、順次入力に固定値を累算
しつつ関数Eで変換したものを乱数とする。これを5回繰
り返すと合計で5×64ビットの乱数が得られる。
しつつ関数Eで変換したものを乱数とする。これを5回繰
り返すと合計で5×64ビットの乱数が得られる。
【0030】(4) 上記(1)〜(3)と並行して、Bレジスタ
値をYレジスタにロードし、固定値Const2を加算した結
果を、暗号化関数Eに入力する。Aレジスタの値を鍵とし
たこの出力暗号文をr1レジスタに格納する。
値をYレジスタにロードし、固定値Const2を加算した結
果を、暗号化関数Eに入力する。Aレジスタの値を鍵とし
たこの出力暗号文をr1レジスタに格納する。
【0031】(5) 次に、Yレジスタに再び固定値Const2
を加算した結果を、暗号化関数Eに入力数r。そして、そ
の出力をr2レジスタに格納する。
を加算した結果を、暗号化関数Eに入力数r。そして、そ
の出力をr2レジスタに格納する。
【0032】(6) 1ブロック5×64ビットの乱数が得られ
た後、r1、r2レジスタの値をそれぞれ、前記A、Bレジス
タに格納する。
た後、r1、r2レジスタの値をそれぞれ、前記A、Bレジス
タに格納する。
【0033】(7) オペレーションシステムは、任意のタ
イミングでA、Bレジスタをインクリメントする。
イミングでA、Bレジスタをインクリメントする。
【0034】(7)の部分を除くと、図1および図2は、
A、Bレジスタ値を種にしたコンパクトな乱数生成器と考
えられる。図1における左側のルーチンで所定の長さの
乱数を発生し、また同時に右側のルーチンで次の種(初
期値)を作成している。そしてこれらの変換には同じ秘
密鍵暗号Eを使用している。そして(7)の部分で、この種
を任意のタイミングで変更している。
A、Bレジスタ値を種にしたコンパクトな乱数生成器と考
えられる。図1における左側のルーチンで所定の長さの
乱数を発生し、また同時に右側のルーチンで次の種(初
期値)を作成している。そしてこれらの変換には同じ秘
密鍵暗号Eを使用している。そして(7)の部分で、この種
を任意のタイミングで変更している。
【0035】この任意のタイミングとしては、例えばタ
スクが動作していないアイドル処理中、あるいはタスク
切り替え発生時などが考えられる。このタイミングはそ
のときの他の処理との関係で決まるため、乱数生成器を
観察している人や利用している人はこれを制御したり予
測することはできない。そのため、今までの乱数を蓄積
して、これを利用して次の乱数を予測する攻撃にも強く
質の良い乱数を発生できる。
スクが動作していないアイドル処理中、あるいはタスク
切り替え発生時などが考えられる。このタイミングはそ
のときの他の処理との関係で決まるため、乱数生成器を
観察している人や利用している人はこれを制御したり予
測することはできない。そのため、今までの乱数を蓄積
して、これを利用して次の乱数を予測する攻撃にも強く
質の良い乱数を発生できる。
【0036】また、このA、Bレジスタの変更について
も、レジスタのインクリメントのほかに、所定の値の加
算などであれば、オペレーティングシステムにとって負
担にはならない。
も、レジスタのインクリメントのほかに、所定の値の加
算などであれば、オペレーティングシステムにとって負
担にはならない。
【0037】また、本実施例ではICカードにもともと備
えられている機能である、秘密鍵暗号Eやオペレーティ
ングシステムを利用している。そのため、この乱数生成
器を備えることによる追加のハードウェアやソフトウェ
アが少なくて済む。
えられている機能である、秘密鍵暗号Eやオペレーティ
ングシステムを利用している。そのため、この乱数生成
器を備えることによる追加のハードウェアやソフトウェ
アが少なくて済む。
【0038】図3は本実施例の別の構成方法を示してい
る。図3の構成では、秘密鍵暗号Eの出力をそれぞれX、
Yレジスタに格納し、所定の定数を加算して秘密鍵暗号E
の入力にフィードバックしている。図1の場合と同様
に、左側でA、Bレジスタを初期値に所定の長さの乱数を
発生し、右側で次の種(初期値)を作成している。
る。図3の構成では、秘密鍵暗号Eの出力をそれぞれX、
Yレジスタに格納し、所定の定数を加算して秘密鍵暗号E
の入力にフィードバックしている。図1の場合と同様
に、左側でA、Bレジスタを初期値に所定の長さの乱数を
発生し、右側で次の種(初期値)を作成している。
【0039】なお、以上の図1および図3の構成では乱
数の種の保存にA、Bレジスタを用いている。一般にレジ
スタは電源がオフになるたびに初期状態に戻ってしまう
ため、発生される乱数も初期状態に戻る。そのため、周
期の長い質の良い乱数生成のためには、不揮発性の記憶
部を用いて電源がオフになる前に状態を保存することが
有効である。電源がオンになったときに、不揮発性記憶
部からA、Bレジスタに値をロードする。またA、Bレジス
タを不揮発性の素子で実装しても良い。不揮発性の記憶
部は例えばICカード応用においてはすでに備えられてい
るため、これを利用すると良い。また、工場出荷時に不
揮発性の記憶部に各機器毎に異なる値を上記不揮発性の
記憶部に格納することにより、さらに予測が困難な乱数
生成が可能になる。
数の種の保存にA、Bレジスタを用いている。一般にレジ
スタは電源がオフになるたびに初期状態に戻ってしまう
ため、発生される乱数も初期状態に戻る。そのため、周
期の長い質の良い乱数生成のためには、不揮発性の記憶
部を用いて電源がオフになる前に状態を保存することが
有効である。電源がオンになったときに、不揮発性記憶
部からA、Bレジスタに値をロードする。またA、Bレジス
タを不揮発性の素子で実装しても良い。不揮発性の記憶
部は例えばICカード応用においてはすでに備えられてい
るため、これを利用すると良い。また、工場出荷時に不
揮発性の記憶部に各機器毎に異なる値を上記不揮発性の
記憶部に格納することにより、さらに予測が困難な乱数
生成が可能になる。
【0040】
【発明の効果】以上のように本発明によれば、認証や暗
号処理に必要となる質の良い乱数を、ハードまたはソフ
トの実装規模を削減しつつ実現することが出来る。本発
明においては、秘密鍵暗号を用いた小さな乱数生成器
と、この乱数種(初期値)をアイドル時のオペレーティ
ングシステムで更新する。これら、秘密鍵暗号、オペレ
ーティングシステムなどはすでにICカードに備えられて
いるものである。追加のハードまたはソフトを小さくす
ることにより、ICカードのようにリソースが限られてい
る場合にも実装が可能になる。
号処理に必要となる質の良い乱数を、ハードまたはソフ
トの実装規模を削減しつつ実現することが出来る。本発
明においては、秘密鍵暗号を用いた小さな乱数生成器
と、この乱数種(初期値)をアイドル時のオペレーティ
ングシステムで更新する。これら、秘密鍵暗号、オペレ
ーティングシステムなどはすでにICカードに備えられて
いるものである。追加のハードまたはソフトを小さくす
ることにより、ICカードのようにリソースが限られてい
る場合にも実装が可能になる。
【0041】また、オペレーティングシステムがいつア
イドル状態になるのかはアプリケーションなどに依存し
て予測困難であるため、質の良い乱数が小さな実装規模
で実現できる。
イドル状態になるのかはアプリケーションなどに依存し
て予測困難であるため、質の良い乱数が小さな実装規模
で実現できる。
【図1】本発明の一実施形態における乱数生成方法の構
成例を示す図
成例を示す図
【図2】本発明の一実施形態における乱数生成方法の動
作例を示す図
作例を示す図
【図3】本発明の一実施形態における乱数生成方法の別
の構成例を示す図
の構成例を示す図
1,2 秘密鍵暗号 3,4,5,6,7,8 レジスタ 9,10 加算器 11 オペレーティングシステム
フロントページの続き (72)発明者 正木 忠勝 広島県東広島市鏡山3丁目10番18号 株式 会社松下電器情報システム広島研究所内 (72)発明者 川野 眞二 広島県東広島市鏡山3丁目10番18号 株式 会社松下電器情報システム広島研究所内 (72)発明者 中部 太志 広島県東広島市鏡山3丁目10番18号 株式 会社松下電器情報システム広島研究所内 (72)発明者 井上 和紀 大阪府門真市大字門真1006番地 松下電器 産業株式会社内 Fターム(参考) 5B035 AA13 BB09 BC00 BC03 CA11 CA38 5J104 AA16 AA32 FA03 KA06 NA02 NA04 NA22 NA35 NA39 9A001 BB01 BB02 BB03 BB04 DD06 DD07 EE03 GG22 JJ64 JJ77 LL03
Claims (15)
- 【請求項1】 乱数種を格納する記憶部と、この種をも
とに秘密鍵暗号を用いて所定の長さの乱数を発生する乱
数発生部と、前記種をもとに次の種を求める乱数種更新
部と、前記乱数種を任意のタイミングで更新するオペレ
ーティングシステムを備えたことを特徴とする乱数生成
方法。 - 【請求項2】 N,kを1以上の自然数としたとき、Nビ
ットの値Aを格納する第1のレジスタと、Nビットの値Bを
格納する第2のレジスタと、Nビットの入力データをNビ
ットの鍵で暗号化してNビットの出力データを出力する
ブロック暗号と、前記Aを鍵にして、前記Bを初期入力デ
ータとして前記ブロック暗号をk回繰り返し用いて、kN
ビット乱数を生成する第1の処理部と、前記Bを鍵にし
て、前記Aを初期入力データとして前記ブロック暗号を
2回繰り返し用いて、出力の2つのNビットの出力をそ
れぞれ次のA、Bとして、前記第1、第2のレジスタに格
納する第2の処理部と、前記第1、第2のレジスタの値
を任意のタイミングで変更する、オペレーティングシス
テムからなることを特徴とする乱数生成方法。 - 【請求項3】 前記オペレーションシステムが、第1、
第2のレジスタの値を、所定の値を加算することにより
変更する請求項2記載の乱数生成方法。 - 【請求項4】 前記オペレーティングシステムが、第
1、第2のレジスタの値を、タスクが動作していないア
イドル処理中に、所定の値を繰り返し加算することによ
り変更する請求項2記載の乱数生成方法。 - 【請求項5】 前記オペレーティングシステムが、第
1、第2のレジスタの値を、タスク切り替え発生毎に、
所定の値を繰り返し加算することにより変更する請求項
2記載の乱数生成方法。 - 【請求項6】 前記第1、第2レジスタを2個以上のブ
ロックに分割し、前記オペレーティングシステムが、任
意のブロックを選んで所定の値を加算して変更する請求
項2記載の乱数生成方法。 - 【請求項7】 前記オペレーティングシステムが、第
1、第2のレジスタに、機器ごとに異なる値を加算する請
求項2記載の乱数生成方法。 - 【請求項8】 電源投入時から一定時間毎に変化するカ
ウンタを具備し、前記オペレーティングシステムが、前
記第1、第2のレジスタに前記カウンタの値を加算する請
求項2記載の乱数生成方法。 - 【請求項9】 前記第1の処理部がNビット入出力の第3
の処理部とブロック暗号部からなり、前記第3の処理部
の出力はその入力に接続されると共に、前記ブロック暗
号の入力に接続され、前記Bを入力としたときの前記ブ
ロック暗号の出力を最初のNビット乱数とし、次にBを前
記第3の処理部と前記ブロック暗号で処理した出力を次
のNビット乱数とし、同様にk回これを繰り返すことを特
徴とする請求項2記載の乱数生成方法。 - 【請求項10】 前記第2の処理部がNビット入出力の
第4の処理部とブロック暗号部からなり、前記第4の処
理部の出力はその入力に接続されると共に、前記ブロッ
ク暗号の入力に接続され、前記値Aを入力としたときの
前記ブロック暗号の出力を、前記第2の処理部の最初のN
ビット出力とし、次にAを前記第4の処理部と前記ブロ
ック暗号で処理した出力を前記第2の処理部の次のNビッ
ト出力とする請求項2記載の乱数生成方法。 - 【請求項11】 前記第1の処理部がNビット入出力の
第5の処理部とブロック暗号部からなり、前記第5の処理
部の入力は前記ブロック暗号の出力に、出力は前記ブロ
ック暗号の入力にそれぞれ接続され、前記 Bを初期値と
して入力したときの前記ブロック暗号の出力を最初のN
ビット乱数とし、またこの出力を前記第5の処理部に入
力し、その出力をさらに前記ブロック暗号で処理した出
力を次のNビット出力とし、同様にk回これを繰り返すこ
とを特徴とする請求項2記載の乱数生成方法。 - 【請求項12】 前記第2の処理部がNビット入出力の
第6の処理部とブロック暗号部からなり、前記第6の処
理部の入力は前記ブロック暗号の出力に、出力は前記ブ
ロック暗号の入力にそれぞれ接続され、前記 Aを初期値
として入力したときの前記ブロック暗号の出力を前記第
2の処理部の最初のNビット出力とし、またこの出力を前
記第6の処理部に入力し、その出力をさらに前記ブロッ
ク暗号で処理した出力を前記第2の処理部の次のNビット
出力とする請求項2記載の乱数生成方法。 - 【請求項13】 前記第3または第4または第5または第6
の処理部が、ビットの並び替えまたは定数値の加算また
は定数値との論理演算からなる請求項9~12のいずれ
かに記載の乱数生成方法。 - 【請求項14】 前記請求項2の構成に加えて不揮発性
データ記憶部を備え、電源オン時に前記不揮発性データ
記憶部より、前記第1、第2のレジスタに値をロードし、
電源オフ直前、または処理の任意の合間に前記第1、第2
のレジスタの値を前記不揮発性データ記憶部にストアす
ることを特徴とする乱数生成方法。 - 【請求項15】 前記不揮発性データ記憶部の初期値
が、前記乱数生成方法が搭載される機器ごとに異なる値
とする請求項14記載の乱数生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11177913A JP2001005384A (ja) | 1999-06-24 | 1999-06-24 | 乱数生成方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11177913A JP2001005384A (ja) | 1999-06-24 | 1999-06-24 | 乱数生成方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001005384A true JP2001005384A (ja) | 2001-01-12 |
Family
ID=16039262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11177913A Pending JP2001005384A (ja) | 1999-06-24 | 1999-06-24 | 乱数生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001005384A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003271379A (ja) * | 2002-03-15 | 2003-09-26 | Yamatake Corp | 電子機器及びその乱数発生方法 |
| WO2003096181A1 (fr) * | 2002-05-09 | 2003-11-20 | Niigata Seimitsu Co., Ltd. | Dispositif, procede et programme de production de valeurs initiales de nombres aleatoires |
| WO2005124537A1 (ja) * | 2004-06-18 | 2005-12-29 | Fujitsu Limited | 乱数生成装置,生成方法,生成器評価方法、および乱数使用方法 |
| JP2008061118A (ja) * | 2006-09-01 | 2008-03-13 | Toshiba Corp | 暗号処理回路及びicカード |
| EP2782373A2 (en) | 2013-03-21 | 2014-09-24 | Panasonic Corporation | Radio communication apparatus |
| JP2016118848A (ja) * | 2014-12-19 | 2016-06-30 | ローム株式会社 | 擬似乱数生成装置 |
| CN107483388A (zh) * | 2016-06-08 | 2017-12-15 | 深圳市斑点猫信息技术有限公司 | 一种安全通信方法及其终端和云端 |
-
1999
- 1999-06-24 JP JP11177913A patent/JP2001005384A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003271379A (ja) * | 2002-03-15 | 2003-09-26 | Yamatake Corp | 電子機器及びその乱数発生方法 |
| WO2003096181A1 (fr) * | 2002-05-09 | 2003-11-20 | Niigata Seimitsu Co., Ltd. | Dispositif, procede et programme de production de valeurs initiales de nombres aleatoires |
| WO2005124537A1 (ja) * | 2004-06-18 | 2005-12-29 | Fujitsu Limited | 乱数生成装置,生成方法,生成器評価方法、および乱数使用方法 |
| JP2008061118A (ja) * | 2006-09-01 | 2008-03-13 | Toshiba Corp | 暗号処理回路及びicカード |
| EP2782373A2 (en) | 2013-03-21 | 2014-09-24 | Panasonic Corporation | Radio communication apparatus |
| US9113337B2 (en) | 2013-03-21 | 2015-08-18 | Panasonic Intellectual Property Management Co., Ltd. | Radio communication apparatus |
| JP2016118848A (ja) * | 2014-12-19 | 2016-06-30 | ローム株式会社 | 擬似乱数生成装置 |
| CN107483388A (zh) * | 2016-06-08 | 2017-12-15 | 深圳市斑点猫信息技术有限公司 | 一种安全通信方法及其终端和云端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Armknecht et al. | On lightweight stream ciphers with shorter internal states | |
| Gueron | A memory encryption engine suitable for general purpose processors | |
| US10359996B2 (en) | Random number generator and stream cipher | |
| US7386130B2 (en) | Encryption secured against DPA | |
| EP1873671B2 (en) | A method for protecting IC Cards against power analysis attacks | |
| AU2005200388B2 (en) | Stream cipher design with revolving buffers | |
| US20150222423A1 (en) | Protection against side channels | |
| WO2006067665A1 (en) | Data processing device and method for operating such data processing device | |
| Almeida et al. | Lyra: Password-based key derivation with tunable memory and processing costs | |
| EP2056275A1 (en) | Pseudo random number generator, stream encrypting device, and program | |
| JPH09179726A (ja) | 擬似乱数発生装置 | |
| Mars et al. | Random stream cipher as a PUF-like identity in FPGA environment | |
| KR100574965B1 (ko) | 유한체 곱셈기 | |
| Huang et al. | Trace buffer attack: Security versus observability study in post-silicon debug | |
| US20120294439A1 (en) | Method for implementing symmetric key encryption algorithm against power analysis attacks | |
| Huang et al. | Trace buffer attack on the AES cipher | |
| JP2001005384A (ja) | 乱数生成方法 | |
| US20040120521A1 (en) | Method and system for data encryption and decryption | |
| Mentens et al. | Cracking Unix passwords using FPGA platforms | |
| KR100564599B1 (ko) | 역원 계산 회로, 역원계산 방법 및 상기 역원계산 방법을실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수있는 기록매체 | |
| Huang et al. | Continual leakage-resilient hedged public-key encryption | |
| Roy et al. | Two efficient fault-based attacks on CLOC and SILC | |
| JP4611643B2 (ja) | 個別鍵生成装置 | |
| JP2005348453A (ja) | 携帯カードの保護方法 | |
| Howgrave-Graham et al. | Pseudo-random number generation on the IBM 4758 Secure Crypto Coprocessor |