JP2004531778A - データ暗号化のための方法および装置 - Google Patents
データ暗号化のための方法および装置 Download PDFInfo
- Publication number
- JP2004531778A JP2004531778A JP2003509692A JP2003509692A JP2004531778A JP 2004531778 A JP2004531778 A JP 2004531778A JP 2003509692 A JP2003509692 A JP 2003509692A JP 2003509692 A JP2003509692 A JP 2003509692A JP 2004531778 A JP2004531778 A JP 2004531778A
- Authority
- JP
- Japan
- Prior art keywords
- block
- key
- encryption
- block cipher
- key data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Abstract
先行技術の暗号化システムとの互換性を保ち且つ先行技術のキーの長さの2倍であるシークレットキー(Z1およびZ5)情報と自由に選択可能である制御情報に基づいて最初のブロック(X1)から最後のブロック(Y1)に変換するデジタル通信を暗号化し且つ復号化することにおいて用いる方法および装置。
Description
【技術分野】
【0001】
本発明は、デジタルデータの暗号化ブロックおよび復号化ブロックに関し、さらに詳細には、2倍のキーの長さであって著しく増加された暗号強度をもつ改善ブロック暗号を用いる一方、従来技術のシステムとの相互運用性のためのモードをさらに提供する、少なくとも1つの自由に選択可能な制御ブロックを用いて第1デジタルブロックから第2デジタルブロックへのブロック毎の変換のための暗号方法および装置に関する。
【背景技術】
【0002】
デジタル通信システムの利用はコマースにおいて急激に成長しており、このことは、少なくとも十分な期間において一般的な“暗号解読法”またはクラッキング技術に対して安全である暗号システムの必要性を喚起している。Massay等による米国特許第5,214,703号明細書に開示されているような先行技術のシステムは、平文ブロックの暗号化および暗号文ブロックの復号化の両方のために適切であるブロック暗号装置を用いている。
【0003】
本出願と共通の発明者を有し且つ同一出願人による、Kurdzeil等による米国特許第6,108,421号明細書に開示されているような先行技術は、標準的な暗号解読技術に対して無防備でなく且つカスタマイズすることが可能である拡張可能なブロック暗号装置に関する。
【0004】
堅牢でエンハンスされた暗号化データのセキュリティを提供するために複数の暗号化を用いることが知られている。しかしながら、そのような複数暗号化スキームは不利点を有する。複数暗号化スキームは、暗号解読システムによる複数回の繰り返しを必要とする。二重のハードウェアブロックの場合、これはハードウェアレンダリングにおけるゲートカウント(gate count)および電力消費を二倍または三倍にする。単一ブロックの実行が繰り返される場合、暗号システムが機能することができる最大速度は、必要とされる繰り返し回数に応じて二分の一または三分の一に減少する。
【0005】
さらに、複数暗号化スキームは、暗号方法は“群”のような数学関数でないことが要求される。暗号方法が群である場合、複数暗号化スキームにおいてそれを用いることによりセキュリティエンハンスメントは何ら得られない。このことの重要性は、暗号システムは群でないことを結果的に証明することがしばしば不可能であることである。実際には、群の挙動を近似する暗号システムは、複数の暗号化スキームにおいて用いられるとき、少なからずセキュリティのもろさを出すことである。
【0006】
それ故、拡張可能であってカスタマイズ可能であり、複数暗号化スキームのエンハンスド暗号強度の全てを提供するが、複数暗号化に関連する厳しい不利点のないブロック暗号装置が求められている。
【発明の開示】
【課題を解決するための手段】
【0007】
したがって、本発明の目的は、有効な暗号解読またはクラッキング技術に対して安全である、新規な拡張可能ブロック暗号装置を提供することである。
【0008】
本発明の他の目的は、従来技術の暗号装置との互換性を保ちつつ、エンハンスドセキュリティを提供する新規な拡張可能ブロック暗号装置を提供することである。
【0009】
本発明の他の目的は、ハードウェアレンダリングのゲートカウントが比例的に増加することなく、二倍の暗号強度を有する新規な拡張可能ブロック暗号装置を提供することである。
【0010】
本発明のこれらのおよび多くの他の目的および優位性は、本発明の同時提出の請求項、添付図面および以下の本発明の好適な実施形態の詳細説明にあることが、当業者には容易に判明するであろう。
【発明を実施するための最良の形態】
【0011】
図1を参照するに、ブロック暗号装置100は、非再帰的であり、入力ユニット(図示せず)、9個の暗号化ステージ1乃至8および12、出力ユニット(図示せず)およびキースケジューリングユニット9を含む。
【0012】
入力ユニットおよび出力ユニットは、ブロック暗号装置100におよびその装置から入力および出力データを集め、およびバッファリングする。入力ユニットおよび出力ユニットの構造は、一般に、アプリケーション(例えば、直列または並列)に依存する。入力ユニットおよび出力ユニットはブロック暗号装置100に特異なものではない。
【0013】
ブロック暗号装置は、3つの入力変数X、Z1およびZ9を受信し、出力変数Yを生成する。Xはブロック暗号装置100への1次トラフィック入力であり、Yは1次トラフィック出力である。Z1とZ9は外部から適用される変数とすることが可能である。Z9は、暗号化または復号化に先立ち、セキュアチャネル(例えば、シールドカバーをもつクーリエ)を経由してブロック暗号装置100への入力である秘密“キー”変数とすることが可能である。Z1(または、“顧客アルゴリズム修正”変数)とZ1のサブユニット(即ち、Z2、Z3、Z5およびZ6)はブロック暗号装置100の第1、第2、第3、第4および第5ユニットにおいて操作される。ブロック暗号装置100の出力Yは、一次トラフィックX、キー変数Z9および変数Z1の唯一の関数である。
【0014】
図1を継続して参照するに、各々の暗号化段階は少なくとも64ビットI/O空間を有する。暗号化段階1、5、6および8は、モジュラ演算ロジックから成る。段階1、5および8はモジュラ加算を実行し、段階6はモジュラ3乗化操作を実行する。各々の段階は異なるモジュールを用いる。段階7は不可逆的な“中間変換”である。さらに、段階1、5、6、7および8は、より低いレベルの操作のセットへのセグメント化はできない。これらのデザインの特徴は、一般的な“暗号解読法”またはクラッキング技術に対して、ブロック暗号装置を安全にする。
【0015】
段階2および4は“ニブルスワップ”ブロックである。これらのブロックは、アルゴリズムの構造が外部から適用される入力Z1に基づいて変化されることを可能にする。段階3はカスタム化可能な代用/拡張ブロックである。これは、入力W2とZ3および出力W3を伴うカスタム操作がブロック暗号装置構造に挿入されることを加納にする。これは唯一のアルゴリズム変数が実行されることを可能にする。ブロック3の構造は任意ではなく、安全な暗号デザインについての条件を満たさなければならない。カスタム代用/拡張ブロックのデザインは対象となるエンドユーザにのみに開示されている。
【0016】
入力ユニット10はブロック暗号装置100への入力データをアセンブル且つバッファリングし、出力ユニットはブロック暗号装置100からの出力データをアセンブル且つバッファリングする。
【0017】
段階1、5および8のような暗号化段階12はモジュラ加算操作を実行する。キースケジューリングユニット9は、外部から適用される入力変数Z9を受け入れ、3つの擬似ランダムビットパターンZ4、Z7およびZ8を決定論的に生成する。これらのパターンは、ブロック12、5および8それぞれのための操作として用いられる。
【0018】
説明を容易にするために、図2、3、4および5は64ビットブロックの実行について示している。64ビットブロックは例としてのみに用いることとする。一般に、64ビットブロックの実行においては、各々のユニットは少なくとも64ビットの入力/出力空間を有している。任意の入力または出力サイズを有する本発明のブロック暗号装置がブロック暗号装置の操作のサイズを適切にスケーリングすることによりデザインされることができる。
【0019】
図2を参照するに、第1ユニット1は、第1ユニット1の出力W1を結果的にもたらす変数Z1を1次トラフィック入力Xにおいてモジュロ(modulo)2付加(排他的論理和)を実行する。
【0020】
第2ユニット2はニブルスワップ操作を実行する。第2ユニット2は、第2ユニット2の出力W2を結果的にもたらすZ2(例えば、Z1のビット0乃至7)に基づく各々のセグメントを入れ替える。例えば、Z2におけるビット“0”の値が二進数の“1”に等しいとき、ニブルペア“0”の順序は入れ替えられる。同様に、Z2におけるビット“0”が二進数の“0”に等しいとき、その順序は変化しないまま保たれる。各々のニブルペアの順序は、対応するZ2におけるビットの値により決定される。ビット0の値は、ニブルペア0の順序を制御し、ビット1の値は、ニブルペア7を制御するビット7まで通して続くニブルペア1の順序を制御する。
【0021】
第3ユニット3は、カスタム代用および拡張ブロック操作を提供するカスタムユニットである。入力W2とZ3および出力W3を用いるカスタム操作をルックアップテーブルの形式でブロック暗号装置100に挿入することが可能である。カスタムユニットを提供することは、唯一のシステム変数がデザインされ且つ提供されることを可能にする一方、安全な暗号デザインの条件を満たす。例えば、ルックアップテーブルのカスタム化された代用または拡張操作は意図されたエンドユーザのみに対して開示される。
【0022】
第4ユニットは、W8が16ニブルに分割される他のニブルスワップ操作とすることが可能である。Z5(例えば、Z1のビット24乃至31)は、第2ユニット2について説明した方法と僅かに異なる方法でW8の並べ替えを制御する。例えば、Z5におけるビット“8”の値が二進数の“0”に等しいとき、そのペアの第1ニブルはW4の高次のセグメントにおける第1位置に書かれ、第2ニブルはW4の低次のセグメントにおける第1位置に書かれる。Z5におけるビット“8”の値が二進数の“1”に等しいとき、2つのニブルはW4に書かれる前に入れ替えられる。第2ユニットと同様に、各々のニブルペアの入れ替えはZ5における対応するビットにより決定される。
【0023】
第5ユニットはモジュロ付加操作を実行する。W4およびZ7は第5ユニットのオペランドである。W4は第4ユニットの出力であり、Z7はキースケジューラユニット9からの出力である。その操作のモジュラスqは次式によりZ6を用いることにより決定される。
【0024】
q=2128−Z6 (1)
ここで、Z6はZ1のビット33乃至64とすることが可能である。
【0025】
第6ユニット6はモジュラ3乗化操作を実行する。換言すれば、W5は3乗モジュロpにされ、その結果はW6として表される。モジュラスpは次式により決定される。
【0026】
p=2125−X (2)
変数Xは、操作“3”の次数と(p−1)との間の最大公約数が1に等しくなるように選択される。これは次式において得られる。
【0027】
GCD(3,p−1)=1 (3)
第7ユニットは、例えば中間変換として知られる操作である不可逆操作を実行する。操作W6への入力は長さで128ビットであり、操作W7の出力は長さで64ビットである。
その中間変換は入力の64ビットを64ビットの出力に単純にマッピングする。例えば、中間変換はW6の30乃至93のビットをW7の0乃至63のビットにマッピングすることが可能である。W6の残りのビットは捨てられる。
【0028】
第8ユニット8は他のモジュロ付加操作である。W7とZ8はこのユニットのオペランドである。W7は第7ユニットからの出力であり、Z8はキースケジューラ9からの出力である。その操作のモジュラスは264として選択される。この段階の出力はブロック暗号装置の出力であり、Y1として指定される。
【0029】
特定の値が第1、第5、第6および第8ユニット1、5、6および8のために指定されるが、ブロック暗号装置の目的はその選択範囲により満足される。しかしながら、式(3)の制限が満足され、唯一のモジュラスが各々の段階で用いられることが条件となる。“不可逆”ユニットと共に“モジュロ”ユニット1、5、6および8は、低いレベルの操作のセットへのセグメント化はできない。
【0030】
図3を参照するに、キースケジューラユニット9は、第1関数ユニット13、第2関数ユニット16、第3関数ユニット15、第4関数ユニット18、第5関数ユニット22、第1シフトレジスタ14、第2シフトレジスタ17、第1モジュロ2付加論理ゲート19、第2モジュロ2付加論理ゲート20および第3モジュロ2付加論理ゲートから構成される。
【0031】
キースケジューリングユニット9は、変数Z4、Z7およびZ8を生成するためにキー変数Z9を処理する。これらの変数は、暗号化および復号化の間に用いられる。Z10およびZ11は、キー変数Z9の大きい方の半分および小さい方の半分の決定論的関数hである。Z10およびZ11は、第3関数ユニット15および第4関数ユニット18それぞれの出力であり、シフトレジスタ14およびシフトレジスタ17それぞれへの入力である。これらのレジスタの各々は、コンテンツが完全に再循環されるまでに同時に右に1ビットシフトされる。各々のシフトに伴う、各々のレジスタの最も重要でないビットは、その関連するユニット、即ち第1関数ユニット13または第2関数ユニット16の出力にモジュロ2付加される。その結果、各々のレジスタの最も重要なビット位置に移動される。第1シフトレジスタ14と第2シフトレジスタ17のコンテンツが完全に処理されたとき、それぞれ、変数Z7およびZ13として出力される。Z7はキースケジューリングユニット9の3つの擬似ランダム出力の1つとなる。擬似ランダム出力Z4を生成するために、Z13はZ7にモジュロ2付加される。さらに、Z13は、擬似ランダム出力Z8を生成するための第5関数ユニット22への入力である。
【0032】
第1関数ユニット13と第2関数ユニット16はカスタムルックアップテーブルである。それらは、少なくとも6つの1ビット入力を単一の1ビット出力に対してマッピングする。第1関数ユニット13と第2関数ユニット16への入力の各々は、第1シフトレジスタ14および第2シフトレジスタ17それぞれに接続される“タップ”である。タップの位置は、次の制限を用いて任意に選択されることができる。タップは何れも、シフトレジスタ14およびシフトレジスタ17における最も重要でないビット位置かまたは最も重要であるビット位置のどちらかに接続されることはない。第1関数ユニット13および第2関数ユニット16の構造は任意ではなく、安全な暗号デザインの条件を満たさなければならない。第1関数ユニット13と第2関数ユニット16は独立して指定されることができることに留意されたい。しかしながら、下で説明するように、ブロック暗号100が米国特許第6,108,421号明細書に開示されている先行技術のブロック暗号と互換性があるモードで機能する場合、第1関数ユニットは、第2関数ユニットと同様に設定されなければならない。第1関数ユニット13と第2関数ユニット16は、意図されたエンドユーザのみにカスタマイズされ且つ開示されることが可能である。
【0033】
第5関数ユニット22は、Z8を生成するために、Z13の高次の半分および低次の半分のキャリなしでビットワイズモジュロ2付加を実行する。
【0034】
第3関数ユニット15と第4関数ユニット18は、同じ長さのカスタムビットパターンとキー変数Z9の各々の半分の各々のキャリなしで、ビットワイズモジュロ2付加を実行し、変数Z10およびZ11を生成する。第3関数ユニット15および第5関数ユニット18は独立して指定されることができることに留意されたい。しかしながら、下で説明するように、ブロック暗号100が米国特許第6,108,421号明細書に開示されている先行技術のブロック暗号と互換性があるモードで機能する場合、第3関数ユニット15は第4関数ユニットに等しく設定されなければならない。カスタムビットパターンの値は意図されたエンドユーザのみに開示される。
【0035】
図2を参照するに、第9ユニット12はモジュロ付加段階である。それは、出力W8を生成するためにキースケジューリングユニット9からZ4に第3ユニットの出力W3を付加する。出力Z7およびZ8は、第5ユニット5および第8ユニットそれぞれへの出力として用いられる。
【0036】
キースケジューリングユニット9の重要な特徴は、それが米国特許第6,108,421号明細書に開示されている先行技術のキー変数の長さの2倍であるキー変数Z9を用い、それ故、著しく増加された暗号強度を提供することである。さらに、対称的なキー変数(即ち、上位半分と下位半分が等しい)が入力されるとき、Z4は0となる。これは、暗号化ブロック12の何れかの効果が無効になる。実際、対照的なキー変数が入力されるとき、全ての操作は、ブロック暗号装置9が米国特許第6,108,421号明細書の先行技術のブロック暗号としての所定の入力のために同じ出力を生成するように評価する。重要なことには、著しくどうかした暗号強度を有する一方、先行技術のブロック暗号を用いる装置との相互操作のためのモードを尚も提供する2倍のキーの長さをもつブロック暗号100の本発明の実施形態を用いるために装置をデザインすることができる。
【0037】
条件付けられるとき、オリジナルのキー変数Z9の値を回復することができる。変数Z7およびZ13は、第1シフトレジスタ14および第2シフトレジスタ17それぞれにリロードされる。各々のレジスタは、コンテンツが完全に再循環されるまでに同時に1ビット左にシフトされる。各々のシフトに伴い、各々のレジスタにおける最も重要なビットは、第1関数ユニット13および第2関数ユニット16の出力にモジュロ2付加される。その結果は最も重要でないビット位置に移動される。第1シフトレジスタ14および第2シフトレジスタ17のコンテンツが完全に処理されたとき、各々は、第3関数ユニット15および第4関数ユニット18それぞれに入力される。第3関数ユニット15および第4関数ユニット18においては、同じカスタムパターンは、Z9の上位半分および下位半分を再生するためにビットワイズモジュロ2付加される。
【0038】
これは、オリジナルの暗号化キーが他の暗号処理、例えばキーラッピング(キー暗号化)のために再生せれることを可能にする。それに代えて、オリジナルのキーのコピーは補助レジスタに保たれることが可能である。しかしながら、これは、ハードウェアレンダリングのゲートカウントに付加される256ビットの補助記憶レジスタを必要とする。
【0039】
ブロック暗号装置は、自己同期化暗号フィードバック(SSCFB:Self−synchronizing Cipher Feedback)モード、最小エラー伝搬(MEP:Minimum Error Propagation(またはCounter)モードまたはブロック暗号フィードバック(BCFB:Block Cipher Feedback)モードのような種々のモードにおいて処理されることが可能である。
【0040】
ここで、BCFBモードについて示す図4を参照するに、非暗号化データまたは、プレーンテキスト(PT)”のブロックがPTEでラベリングされた暗号化部500の入力に適用される。次いで、PTEは“キーストリーム(KS)”のブロックにモジュロ2付加される。KSはブロック暗号装置100−1の出力である。CTは結果的に得られるブロック(即ち、暗号テキスト)を示す。CTはCTEでラベリングされたポートにおける出力であり、次いで、チャンネル200を越えて送信される。次の反復においては、CTはブロック暗号装置100−1への入力としてフィードバックされる。ブロック暗号装置は、KSの新しいブロックを生成するために、フィードバックブロックを処理する。次いで、KSはPTの次のブロックと結合され、暗号化処理が継続する。復号化部600においては、受信されたCTはCTDで表される。CTDは、出力として再現プレーンテキストPTDのブロックを生成するために、KSのブロックと結合される。CTDブロックは、ブロック暗号装置100−2の入力に同時に適用される。ブロック暗号装置100−2は、他のKSのブロックを生成するための入力としてCTDブロックを用いる。このKSブロックは次のCTDのブロックを処理するために用いられる。このモードは比較的エラーのない通信チャンネルのために意図される。
【0041】
ここで、MEPモードを示す図5を参照するに、非暗号化データまたは“プレーンテキスト(PT)”がPTEでラベリングされた暗号化部500の入力に適用される。次いで、PTEは、暗号テキストのブロックを生成するためにKSのブロックにモジュロ2付加される。CTはCTEでラベリングされたポートにおける出力であり、次いで、チャンネル200を越えて送信される。次の反復のためには、暗号化部のカウンタ300−1はインクリメントされ、カウンタ300−1の出力はブロック暗号装置100−1への入力である。ブロック暗号装置100−1はKSの新しいブロックを生成するために処理される。次いで、KSの新しいブロックは、次のPTのブロックと結合され、暗号化プロセスが継続する。復号化部600においては、受信されたCTはCTDで表される。CTDは、出力として再現プレーンテキストPTDのブロックを生成するために、KSのブロックと結合される。CTDブロックは、ブロック暗号装置100−2の入力に同時に適用され、復号化部のカウンタ300−2はインクリメントされる。ブロック暗号装置100−2は、他のKSのブロックを生成するためにそのカウンタの出力を用いる。このKSブロックはCTDの次のブロックを生成するために用いられる。そのチャンネルにおけるトグルされたビットエラーはPTDにおける1ビットエラーのみを結果的にもたらす可能性がある。換言すれば、このモードにおける暗号システムはエラー拡張について1ビットのみを有する可能性がある。
【0042】
ここで、SSCFBモードを示す図6を参照するに、非暗号化データまたは、プレーンテキスト(PT)”がPTEでラベリングされた入力に同時に適用される。各々のPTEビットは、暗号テキストCTのビットを生成するためにKSのビットにモジュロ2付加される。暗号化は他の反復が開始されるまで継続する。全体的なKSのブロックが結合されるときかまたはパターン検出器400−1がトリガーされるときのどちらかにおいて、他の反復は開始することが可能である。パターン検出器400−1は特定のビットシーケンスのためにCTを継続的にモニタリングし、そのシーケンスが検出されたとき、新しい反復がトリガーされる。CTは統計的にランダムであるように現れるため、この機構は、擬似ランダムインターバルにおいて新しい反復を開始する。新しい反復が開始されるとき、全ての残りのKSはキーバッファ401−1およびCTの最新のビットブロックから消去される。ブロック暗号装置100−1は、他のKSのブロックを生成するための入力として最新のブロックを用いる。そのKSの新しいブロックはキーバッファ400−1に記憶され、暗号化プロセスを継続するために用いられる。復号化部600においては、受信されたCTはCTDでラベリングされた入力に同時に1ビットを適用される。各々のCTDビットは、出力PTDとして再現された“プレーンテキスト”のビットを生成するためにKSのビットをモジュロ2付加される。CTビットストリームは、ブロック暗号装置100−2の入力バッファ402−2(CB1)に同時に適用される。入力バッファ402−2が一杯になったときまたはパターン検出器がトリガーするとき、次の事柄が生じる。
1)キーバッファが消去される。
2)CTの最新のブロックCTEがブロック暗号装置100−2に入力される。
3)ブロック暗号装置はKSの新しいブロックを生成するためにCTの最新のブロックを用いる。
4)KSの新しいブロックはキーバッファ401−2に記憶される。
ブロック暗号装置100−2は処理を継続し、CTDは他の反復が開始されるまで入力バッファ402−2にシフトされることを継続する。このモードは、同期化エラーに陥る通信チャンネルのために意図されている。このモードにおいては、通信システムは、暗号の損失およびブロックの境界の同期化から自動的に復帰することを可能である。
【0043】
図3乃至6に示した何れかのモードにおいて動作するために、暗号化部500と復号化部600は、それらの初期状態が全て一致するように、先ず初期化される必要がある。初期化は、暗号部の全ての内部状態を初期化するために用いられ且つ暗号部側に生成される初期化ベクトル“IV”を用いて得られる。次いで、IVはチャンネル200を越えて復号化部600に送信される。IVを用いることにより、復号化部600の全ての内部状態は同じ値に初期化される。
【0044】
本発明の方法は、ハードウェアレンダリングのゲートカウントにおける比例増加を伴うことなく、暗号強度を2倍に増加させる多くの優位性を提供する。これは、熱放散と電力消費のような操作上のパラメータがゲートカウントに比例して増加するという点で、きわめて重要である。データレートと製品歩留まりのような他のパラメータは、一般に、ゲートカウントに反比例する。
【0045】
本発明の方法はまた、さらに強力な暗号法である。それは、代表的には複数の暗号化スキームのような他のアプローチに関連する強度の脆弱性に陥ることはない。
【0046】
さらに、本発明の方法は、上で参照した米国特許第6,108,421号明細書において開示されているような先行技術の強力でないシステムと退歩的に互換性を維持する一方、上記および他の優位性を提供する。
【0047】
本発明の好適な実施形態は上記のように説明したが、それらの実施形態は単に例示的なものであって、完全な一致が認められるときに本発明の範囲は同時提出の請求項によってのみ規定されるものであり、本明細書を精読することにより当業者には多くの変形または変更が容易に発想されることが理解されよう。
【図面の簡単な説明】
【0048】
【図1】本発明のブロック暗号装置のハイレベルのブロック図である。
【図2】図1に示すブロック暗号装置の模式図である。
【図3】図2に示すブロック暗号を用いるキースケジューリングユニットの模式図である。
【図4】ブロック暗号フィードバック(BCFB)モードの状態で本発明の実施形態を用いる通信システムを示す図である。
【図5】最小エラー伝搬(MEP)モードの状態で本発明の実施形態を用いる通信システムを示す図である。
【図6】自己同期化暗号フィードバック(SSCFB)モードの状態で本発明の実施形態を用いる通信システムを示す図である。
【0001】
本発明は、デジタルデータの暗号化ブロックおよび復号化ブロックに関し、さらに詳細には、2倍のキーの長さであって著しく増加された暗号強度をもつ改善ブロック暗号を用いる一方、従来技術のシステムとの相互運用性のためのモードをさらに提供する、少なくとも1つの自由に選択可能な制御ブロックを用いて第1デジタルブロックから第2デジタルブロックへのブロック毎の変換のための暗号方法および装置に関する。
【背景技術】
【0002】
デジタル通信システムの利用はコマースにおいて急激に成長しており、このことは、少なくとも十分な期間において一般的な“暗号解読法”またはクラッキング技術に対して安全である暗号システムの必要性を喚起している。Massay等による米国特許第5,214,703号明細書に開示されているような先行技術のシステムは、平文ブロックの暗号化および暗号文ブロックの復号化の両方のために適切であるブロック暗号装置を用いている。
【0003】
本出願と共通の発明者を有し且つ同一出願人による、Kurdzeil等による米国特許第6,108,421号明細書に開示されているような先行技術は、標準的な暗号解読技術に対して無防備でなく且つカスタマイズすることが可能である拡張可能なブロック暗号装置に関する。
【0004】
堅牢でエンハンスされた暗号化データのセキュリティを提供するために複数の暗号化を用いることが知られている。しかしながら、そのような複数暗号化スキームは不利点を有する。複数暗号化スキームは、暗号解読システムによる複数回の繰り返しを必要とする。二重のハードウェアブロックの場合、これはハードウェアレンダリングにおけるゲートカウント(gate count)および電力消費を二倍または三倍にする。単一ブロックの実行が繰り返される場合、暗号システムが機能することができる最大速度は、必要とされる繰り返し回数に応じて二分の一または三分の一に減少する。
【0005】
さらに、複数暗号化スキームは、暗号方法は“群”のような数学関数でないことが要求される。暗号方法が群である場合、複数暗号化スキームにおいてそれを用いることによりセキュリティエンハンスメントは何ら得られない。このことの重要性は、暗号システムは群でないことを結果的に証明することがしばしば不可能であることである。実際には、群の挙動を近似する暗号システムは、複数の暗号化スキームにおいて用いられるとき、少なからずセキュリティのもろさを出すことである。
【0006】
それ故、拡張可能であってカスタマイズ可能であり、複数暗号化スキームのエンハンスド暗号強度の全てを提供するが、複数暗号化に関連する厳しい不利点のないブロック暗号装置が求められている。
【発明の開示】
【課題を解決するための手段】
【0007】
したがって、本発明の目的は、有効な暗号解読またはクラッキング技術に対して安全である、新規な拡張可能ブロック暗号装置を提供することである。
【0008】
本発明の他の目的は、従来技術の暗号装置との互換性を保ちつつ、エンハンスドセキュリティを提供する新規な拡張可能ブロック暗号装置を提供することである。
【0009】
本発明の他の目的は、ハードウェアレンダリングのゲートカウントが比例的に増加することなく、二倍の暗号強度を有する新規な拡張可能ブロック暗号装置を提供することである。
【0010】
本発明のこれらのおよび多くの他の目的および優位性は、本発明の同時提出の請求項、添付図面および以下の本発明の好適な実施形態の詳細説明にあることが、当業者には容易に判明するであろう。
【発明を実施するための最良の形態】
【0011】
図1を参照するに、ブロック暗号装置100は、非再帰的であり、入力ユニット(図示せず)、9個の暗号化ステージ1乃至8および12、出力ユニット(図示せず)およびキースケジューリングユニット9を含む。
【0012】
入力ユニットおよび出力ユニットは、ブロック暗号装置100におよびその装置から入力および出力データを集め、およびバッファリングする。入力ユニットおよび出力ユニットの構造は、一般に、アプリケーション(例えば、直列または並列)に依存する。入力ユニットおよび出力ユニットはブロック暗号装置100に特異なものではない。
【0013】
ブロック暗号装置は、3つの入力変数X、Z1およびZ9を受信し、出力変数Yを生成する。Xはブロック暗号装置100への1次トラフィック入力であり、Yは1次トラフィック出力である。Z1とZ9は外部から適用される変数とすることが可能である。Z9は、暗号化または復号化に先立ち、セキュアチャネル(例えば、シールドカバーをもつクーリエ)を経由してブロック暗号装置100への入力である秘密“キー”変数とすることが可能である。Z1(または、“顧客アルゴリズム修正”変数)とZ1のサブユニット(即ち、Z2、Z3、Z5およびZ6)はブロック暗号装置100の第1、第2、第3、第4および第5ユニットにおいて操作される。ブロック暗号装置100の出力Yは、一次トラフィックX、キー変数Z9および変数Z1の唯一の関数である。
【0014】
図1を継続して参照するに、各々の暗号化段階は少なくとも64ビットI/O空間を有する。暗号化段階1、5、6および8は、モジュラ演算ロジックから成る。段階1、5および8はモジュラ加算を実行し、段階6はモジュラ3乗化操作を実行する。各々の段階は異なるモジュールを用いる。段階7は不可逆的な“中間変換”である。さらに、段階1、5、6、7および8は、より低いレベルの操作のセットへのセグメント化はできない。これらのデザインの特徴は、一般的な“暗号解読法”またはクラッキング技術に対して、ブロック暗号装置を安全にする。
【0015】
段階2および4は“ニブルスワップ”ブロックである。これらのブロックは、アルゴリズムの構造が外部から適用される入力Z1に基づいて変化されることを可能にする。段階3はカスタム化可能な代用/拡張ブロックである。これは、入力W2とZ3および出力W3を伴うカスタム操作がブロック暗号装置構造に挿入されることを加納にする。これは唯一のアルゴリズム変数が実行されることを可能にする。ブロック3の構造は任意ではなく、安全な暗号デザインについての条件を満たさなければならない。カスタム代用/拡張ブロックのデザインは対象となるエンドユーザにのみに開示されている。
【0016】
入力ユニット10はブロック暗号装置100への入力データをアセンブル且つバッファリングし、出力ユニットはブロック暗号装置100からの出力データをアセンブル且つバッファリングする。
【0017】
段階1、5および8のような暗号化段階12はモジュラ加算操作を実行する。キースケジューリングユニット9は、外部から適用される入力変数Z9を受け入れ、3つの擬似ランダムビットパターンZ4、Z7およびZ8を決定論的に生成する。これらのパターンは、ブロック12、5および8それぞれのための操作として用いられる。
【0018】
説明を容易にするために、図2、3、4および5は64ビットブロックの実行について示している。64ビットブロックは例としてのみに用いることとする。一般に、64ビットブロックの実行においては、各々のユニットは少なくとも64ビットの入力/出力空間を有している。任意の入力または出力サイズを有する本発明のブロック暗号装置がブロック暗号装置の操作のサイズを適切にスケーリングすることによりデザインされることができる。
【0019】
図2を参照するに、第1ユニット1は、第1ユニット1の出力W1を結果的にもたらす変数Z1を1次トラフィック入力Xにおいてモジュロ(modulo)2付加(排他的論理和)を実行する。
【0020】
第2ユニット2はニブルスワップ操作を実行する。第2ユニット2は、第2ユニット2の出力W2を結果的にもたらすZ2(例えば、Z1のビット0乃至7)に基づく各々のセグメントを入れ替える。例えば、Z2におけるビット“0”の値が二進数の“1”に等しいとき、ニブルペア“0”の順序は入れ替えられる。同様に、Z2におけるビット“0”が二進数の“0”に等しいとき、その順序は変化しないまま保たれる。各々のニブルペアの順序は、対応するZ2におけるビットの値により決定される。ビット0の値は、ニブルペア0の順序を制御し、ビット1の値は、ニブルペア7を制御するビット7まで通して続くニブルペア1の順序を制御する。
【0021】
第3ユニット3は、カスタム代用および拡張ブロック操作を提供するカスタムユニットである。入力W2とZ3および出力W3を用いるカスタム操作をルックアップテーブルの形式でブロック暗号装置100に挿入することが可能である。カスタムユニットを提供することは、唯一のシステム変数がデザインされ且つ提供されることを可能にする一方、安全な暗号デザインの条件を満たす。例えば、ルックアップテーブルのカスタム化された代用または拡張操作は意図されたエンドユーザのみに対して開示される。
【0022】
第4ユニットは、W8が16ニブルに分割される他のニブルスワップ操作とすることが可能である。Z5(例えば、Z1のビット24乃至31)は、第2ユニット2について説明した方法と僅かに異なる方法でW8の並べ替えを制御する。例えば、Z5におけるビット“8”の値が二進数の“0”に等しいとき、そのペアの第1ニブルはW4の高次のセグメントにおける第1位置に書かれ、第2ニブルはW4の低次のセグメントにおける第1位置に書かれる。Z5におけるビット“8”の値が二進数の“1”に等しいとき、2つのニブルはW4に書かれる前に入れ替えられる。第2ユニットと同様に、各々のニブルペアの入れ替えはZ5における対応するビットにより決定される。
【0023】
第5ユニットはモジュロ付加操作を実行する。W4およびZ7は第5ユニットのオペランドである。W4は第4ユニットの出力であり、Z7はキースケジューラユニット9からの出力である。その操作のモジュラスqは次式によりZ6を用いることにより決定される。
【0024】
q=2128−Z6 (1)
ここで、Z6はZ1のビット33乃至64とすることが可能である。
【0025】
第6ユニット6はモジュラ3乗化操作を実行する。換言すれば、W5は3乗モジュロpにされ、その結果はW6として表される。モジュラスpは次式により決定される。
【0026】
p=2125−X (2)
変数Xは、操作“3”の次数と(p−1)との間の最大公約数が1に等しくなるように選択される。これは次式において得られる。
【0027】
GCD(3,p−1)=1 (3)
第7ユニットは、例えば中間変換として知られる操作である不可逆操作を実行する。操作W6への入力は長さで128ビットであり、操作W7の出力は長さで64ビットである。
その中間変換は入力の64ビットを64ビットの出力に単純にマッピングする。例えば、中間変換はW6の30乃至93のビットをW7の0乃至63のビットにマッピングすることが可能である。W6の残りのビットは捨てられる。
【0028】
第8ユニット8は他のモジュロ付加操作である。W7とZ8はこのユニットのオペランドである。W7は第7ユニットからの出力であり、Z8はキースケジューラ9からの出力である。その操作のモジュラスは264として選択される。この段階の出力はブロック暗号装置の出力であり、Y1として指定される。
【0029】
特定の値が第1、第5、第6および第8ユニット1、5、6および8のために指定されるが、ブロック暗号装置の目的はその選択範囲により満足される。しかしながら、式(3)の制限が満足され、唯一のモジュラスが各々の段階で用いられることが条件となる。“不可逆”ユニットと共に“モジュロ”ユニット1、5、6および8は、低いレベルの操作のセットへのセグメント化はできない。
【0030】
図3を参照するに、キースケジューラユニット9は、第1関数ユニット13、第2関数ユニット16、第3関数ユニット15、第4関数ユニット18、第5関数ユニット22、第1シフトレジスタ14、第2シフトレジスタ17、第1モジュロ2付加論理ゲート19、第2モジュロ2付加論理ゲート20および第3モジュロ2付加論理ゲートから構成される。
【0031】
キースケジューリングユニット9は、変数Z4、Z7およびZ8を生成するためにキー変数Z9を処理する。これらの変数は、暗号化および復号化の間に用いられる。Z10およびZ11は、キー変数Z9の大きい方の半分および小さい方の半分の決定論的関数hである。Z10およびZ11は、第3関数ユニット15および第4関数ユニット18それぞれの出力であり、シフトレジスタ14およびシフトレジスタ17それぞれへの入力である。これらのレジスタの各々は、コンテンツが完全に再循環されるまでに同時に右に1ビットシフトされる。各々のシフトに伴う、各々のレジスタの最も重要でないビットは、その関連するユニット、即ち第1関数ユニット13または第2関数ユニット16の出力にモジュロ2付加される。その結果、各々のレジスタの最も重要なビット位置に移動される。第1シフトレジスタ14と第2シフトレジスタ17のコンテンツが完全に処理されたとき、それぞれ、変数Z7およびZ13として出力される。Z7はキースケジューリングユニット9の3つの擬似ランダム出力の1つとなる。擬似ランダム出力Z4を生成するために、Z13はZ7にモジュロ2付加される。さらに、Z13は、擬似ランダム出力Z8を生成するための第5関数ユニット22への入力である。
【0032】
第1関数ユニット13と第2関数ユニット16はカスタムルックアップテーブルである。それらは、少なくとも6つの1ビット入力を単一の1ビット出力に対してマッピングする。第1関数ユニット13と第2関数ユニット16への入力の各々は、第1シフトレジスタ14および第2シフトレジスタ17それぞれに接続される“タップ”である。タップの位置は、次の制限を用いて任意に選択されることができる。タップは何れも、シフトレジスタ14およびシフトレジスタ17における最も重要でないビット位置かまたは最も重要であるビット位置のどちらかに接続されることはない。第1関数ユニット13および第2関数ユニット16の構造は任意ではなく、安全な暗号デザインの条件を満たさなければならない。第1関数ユニット13と第2関数ユニット16は独立して指定されることができることに留意されたい。しかしながら、下で説明するように、ブロック暗号100が米国特許第6,108,421号明細書に開示されている先行技術のブロック暗号と互換性があるモードで機能する場合、第1関数ユニットは、第2関数ユニットと同様に設定されなければならない。第1関数ユニット13と第2関数ユニット16は、意図されたエンドユーザのみにカスタマイズされ且つ開示されることが可能である。
【0033】
第5関数ユニット22は、Z8を生成するために、Z13の高次の半分および低次の半分のキャリなしでビットワイズモジュロ2付加を実行する。
【0034】
第3関数ユニット15と第4関数ユニット18は、同じ長さのカスタムビットパターンとキー変数Z9の各々の半分の各々のキャリなしで、ビットワイズモジュロ2付加を実行し、変数Z10およびZ11を生成する。第3関数ユニット15および第5関数ユニット18は独立して指定されることができることに留意されたい。しかしながら、下で説明するように、ブロック暗号100が米国特許第6,108,421号明細書に開示されている先行技術のブロック暗号と互換性があるモードで機能する場合、第3関数ユニット15は第4関数ユニットに等しく設定されなければならない。カスタムビットパターンの値は意図されたエンドユーザのみに開示される。
【0035】
図2を参照するに、第9ユニット12はモジュロ付加段階である。それは、出力W8を生成するためにキースケジューリングユニット9からZ4に第3ユニットの出力W3を付加する。出力Z7およびZ8は、第5ユニット5および第8ユニットそれぞれへの出力として用いられる。
【0036】
キースケジューリングユニット9の重要な特徴は、それが米国特許第6,108,421号明細書に開示されている先行技術のキー変数の長さの2倍であるキー変数Z9を用い、それ故、著しく増加された暗号強度を提供することである。さらに、対称的なキー変数(即ち、上位半分と下位半分が等しい)が入力されるとき、Z4は0となる。これは、暗号化ブロック12の何れかの効果が無効になる。実際、対照的なキー変数が入力されるとき、全ての操作は、ブロック暗号装置9が米国特許第6,108,421号明細書の先行技術のブロック暗号としての所定の入力のために同じ出力を生成するように評価する。重要なことには、著しくどうかした暗号強度を有する一方、先行技術のブロック暗号を用いる装置との相互操作のためのモードを尚も提供する2倍のキーの長さをもつブロック暗号100の本発明の実施形態を用いるために装置をデザインすることができる。
【0037】
条件付けられるとき、オリジナルのキー変数Z9の値を回復することができる。変数Z7およびZ13は、第1シフトレジスタ14および第2シフトレジスタ17それぞれにリロードされる。各々のレジスタは、コンテンツが完全に再循環されるまでに同時に1ビット左にシフトされる。各々のシフトに伴い、各々のレジスタにおける最も重要なビットは、第1関数ユニット13および第2関数ユニット16の出力にモジュロ2付加される。その結果は最も重要でないビット位置に移動される。第1シフトレジスタ14および第2シフトレジスタ17のコンテンツが完全に処理されたとき、各々は、第3関数ユニット15および第4関数ユニット18それぞれに入力される。第3関数ユニット15および第4関数ユニット18においては、同じカスタムパターンは、Z9の上位半分および下位半分を再生するためにビットワイズモジュロ2付加される。
【0038】
これは、オリジナルの暗号化キーが他の暗号処理、例えばキーラッピング(キー暗号化)のために再生せれることを可能にする。それに代えて、オリジナルのキーのコピーは補助レジスタに保たれることが可能である。しかしながら、これは、ハードウェアレンダリングのゲートカウントに付加される256ビットの補助記憶レジスタを必要とする。
【0039】
ブロック暗号装置は、自己同期化暗号フィードバック(SSCFB:Self−synchronizing Cipher Feedback)モード、最小エラー伝搬(MEP:Minimum Error Propagation(またはCounter)モードまたはブロック暗号フィードバック(BCFB:Block Cipher Feedback)モードのような種々のモードにおいて処理されることが可能である。
【0040】
ここで、BCFBモードについて示す図4を参照するに、非暗号化データまたは、プレーンテキスト(PT)”のブロックがPTEでラベリングされた暗号化部500の入力に適用される。次いで、PTEは“キーストリーム(KS)”のブロックにモジュロ2付加される。KSはブロック暗号装置100−1の出力である。CTは結果的に得られるブロック(即ち、暗号テキスト)を示す。CTはCTEでラベリングされたポートにおける出力であり、次いで、チャンネル200を越えて送信される。次の反復においては、CTはブロック暗号装置100−1への入力としてフィードバックされる。ブロック暗号装置は、KSの新しいブロックを生成するために、フィードバックブロックを処理する。次いで、KSはPTの次のブロックと結合され、暗号化処理が継続する。復号化部600においては、受信されたCTはCTDで表される。CTDは、出力として再現プレーンテキストPTDのブロックを生成するために、KSのブロックと結合される。CTDブロックは、ブロック暗号装置100−2の入力に同時に適用される。ブロック暗号装置100−2は、他のKSのブロックを生成するための入力としてCTDブロックを用いる。このKSブロックは次のCTDのブロックを処理するために用いられる。このモードは比較的エラーのない通信チャンネルのために意図される。
【0041】
ここで、MEPモードを示す図5を参照するに、非暗号化データまたは“プレーンテキスト(PT)”がPTEでラベリングされた暗号化部500の入力に適用される。次いで、PTEは、暗号テキストのブロックを生成するためにKSのブロックにモジュロ2付加される。CTはCTEでラベリングされたポートにおける出力であり、次いで、チャンネル200を越えて送信される。次の反復のためには、暗号化部のカウンタ300−1はインクリメントされ、カウンタ300−1の出力はブロック暗号装置100−1への入力である。ブロック暗号装置100−1はKSの新しいブロックを生成するために処理される。次いで、KSの新しいブロックは、次のPTのブロックと結合され、暗号化プロセスが継続する。復号化部600においては、受信されたCTはCTDで表される。CTDは、出力として再現プレーンテキストPTDのブロックを生成するために、KSのブロックと結合される。CTDブロックは、ブロック暗号装置100−2の入力に同時に適用され、復号化部のカウンタ300−2はインクリメントされる。ブロック暗号装置100−2は、他のKSのブロックを生成するためにそのカウンタの出力を用いる。このKSブロックはCTDの次のブロックを生成するために用いられる。そのチャンネルにおけるトグルされたビットエラーはPTDにおける1ビットエラーのみを結果的にもたらす可能性がある。換言すれば、このモードにおける暗号システムはエラー拡張について1ビットのみを有する可能性がある。
【0042】
ここで、SSCFBモードを示す図6を参照するに、非暗号化データまたは、プレーンテキスト(PT)”がPTEでラベリングされた入力に同時に適用される。各々のPTEビットは、暗号テキストCTのビットを生成するためにKSのビットにモジュロ2付加される。暗号化は他の反復が開始されるまで継続する。全体的なKSのブロックが結合されるときかまたはパターン検出器400−1がトリガーされるときのどちらかにおいて、他の反復は開始することが可能である。パターン検出器400−1は特定のビットシーケンスのためにCTを継続的にモニタリングし、そのシーケンスが検出されたとき、新しい反復がトリガーされる。CTは統計的にランダムであるように現れるため、この機構は、擬似ランダムインターバルにおいて新しい反復を開始する。新しい反復が開始されるとき、全ての残りのKSはキーバッファ401−1およびCTの最新のビットブロックから消去される。ブロック暗号装置100−1は、他のKSのブロックを生成するための入力として最新のブロックを用いる。そのKSの新しいブロックはキーバッファ400−1に記憶され、暗号化プロセスを継続するために用いられる。復号化部600においては、受信されたCTはCTDでラベリングされた入力に同時に1ビットを適用される。各々のCTDビットは、出力PTDとして再現された“プレーンテキスト”のビットを生成するためにKSのビットをモジュロ2付加される。CTビットストリームは、ブロック暗号装置100−2の入力バッファ402−2(CB1)に同時に適用される。入力バッファ402−2が一杯になったときまたはパターン検出器がトリガーするとき、次の事柄が生じる。
1)キーバッファが消去される。
2)CTの最新のブロックCTEがブロック暗号装置100−2に入力される。
3)ブロック暗号装置はKSの新しいブロックを生成するためにCTの最新のブロックを用いる。
4)KSの新しいブロックはキーバッファ401−2に記憶される。
ブロック暗号装置100−2は処理を継続し、CTDは他の反復が開始されるまで入力バッファ402−2にシフトされることを継続する。このモードは、同期化エラーに陥る通信チャンネルのために意図されている。このモードにおいては、通信システムは、暗号の損失およびブロックの境界の同期化から自動的に復帰することを可能である。
【0043】
図3乃至6に示した何れかのモードにおいて動作するために、暗号化部500と復号化部600は、それらの初期状態が全て一致するように、先ず初期化される必要がある。初期化は、暗号部の全ての内部状態を初期化するために用いられ且つ暗号部側に生成される初期化ベクトル“IV”を用いて得られる。次いで、IVはチャンネル200を越えて復号化部600に送信される。IVを用いることにより、復号化部600の全ての内部状態は同じ値に初期化される。
【0044】
本発明の方法は、ハードウェアレンダリングのゲートカウントにおける比例増加を伴うことなく、暗号強度を2倍に増加させる多くの優位性を提供する。これは、熱放散と電力消費のような操作上のパラメータがゲートカウントに比例して増加するという点で、きわめて重要である。データレートと製品歩留まりのような他のパラメータは、一般に、ゲートカウントに反比例する。
【0045】
本発明の方法はまた、さらに強力な暗号法である。それは、代表的には複数の暗号化スキームのような他のアプローチに関連する強度の脆弱性に陥ることはない。
【0046】
さらに、本発明の方法は、上で参照した米国特許第6,108,421号明細書において開示されているような先行技術の強力でないシステムと退歩的に互換性を維持する一方、上記および他の優位性を提供する。
【0047】
本発明の好適な実施形態は上記のように説明したが、それらの実施形態は単に例示的なものであって、完全な一致が認められるときに本発明の範囲は同時提出の請求項によってのみ規定されるものであり、本明細書を精読することにより当業者には多くの変形または変更が容易に発想されることが理解されよう。
【図面の簡単な説明】
【0048】
【図1】本発明のブロック暗号装置のハイレベルのブロック図である。
【図2】図1に示すブロック暗号装置の模式図である。
【図3】図2に示すブロック暗号を用いるキースケジューリングユニットの模式図である。
【図4】ブロック暗号フィードバック(BCFB)モードの状態で本発明の実施形態を用いる通信システムを示す図である。
【図5】最小エラー伝搬(MEP)モードの状態で本発明の実施形態を用いる通信システムを示す図である。
【図6】自己同期化暗号フィードバック(SSCFB)モードの状態で本発明の実施形態を用いる通信システムを示す図である。
Claims (10)
- 複数のブロック暗号装置を用いる暗号化によりセキュリティを確保するデジタル通信システムであって:
デジタル信号を暗号化し且つ復号化するために第1固定長の選択的可変キーに対応する少なくとも1つのブロック暗号装置;
デジタル信号を暗号化し且つ復号化するために第1固定長の選択的可変キーとは異なる第2固定長の選択的可変キーに対応する少なくとも1つのブロック暗号装置;並びに
前記第2ブロック暗号装置により暗号化されたデータを復号化するために前記第1ブロック暗号装置に選択的に適応させるための手段;
から構成されることを特徴とする通信システム。 - 請求項1に記載の通信システムであって、前記第1キーの長さは前記第2キーの長さの2倍である、ことを特徴とする通信システム。
- 請求項2に記載の通信システムであって、前記適応させるための手段は前記第1キーと
して前記第2キーを二重に使用し且つ反復するための手段を含む、ことを特徴とする通信システム。 - デジタル信号を暗号化し且つ復号化するために第1固定長の選択的可変キーに対応する少なくとも1つのブロック暗号装置、およびデジタル信号を暗号化し且つ復号化するために第1固定長の選択的可変キーとは異なる第2固定長の選択的可変キーに対応する少なくとも1つのブロック暗号装置を有する、複数のブロック暗号装置を用いる暗号化によりセキュリティを確保するデジタル通信システムにおいて、第1キーを有するブロック暗号装置におけるモジュロオペレータの最も下流の操作を効果的に抑制する段階から構成される第2キーを有するブロック暗号装置を用いる操作のための第2キーを有するブロック暗号装置に適応することを特徴とする方法。
- 請求項4に記載の方法であって、効果的に抑制する段階は、第2ブロック暗号装置のキーの2つのシーケンシャル反復に適合する第1ブロック暗号装置のキーを修正する手順により得られる、ことを特徴とする方法。
- 暗号化によりセキュリティを確保するデジタル通信システムにおいて、デジタル信号を暗号化し且つ復号化するための第1キーの長さの半分の長さに固定される第2選択的変数に対応するブロック暗号装置を用いる操作のためのデジタル信号を暗号化し且つ復号化するために第1固定長の選択的可変キーに対応する少なくとも1つのブロック暗号装置を有することを有するブロック暗号装置に選択的に適応する方法であって:
(a)2つの同等なセクション各々における第1キージェネレータに第2キージェネレータの機能をもつ複製を提供する段階;
(b)第1キーのセクション両方に第2キーを複製する段階;
(c)第1段階において信号を暗号化し且つ復号化するために2つのセクションの1つにより提供されるシンボルを用いる段階;並びに
(d)第2段階に適用されるシンボルをキャンセルするために第1キージェネレータの2つのセクションにより提供されるシンボルを結合させる段階;
から構成されることを特徴とする方法。 - 暗号化によりセキュリティを確保するデジタル通信システムにおいて情報を暗号化し且つ復号化するためのブロック暗号装置であって:
第1キーデータサブブロックを生成するためのキーデータブロックの第1部分に対応する第1関数ユニットと、第2キーデータサブブロックを生成するためのキーデータブロックの第2部分に対応する第2関数ユニットと、から構成される、キーデータブロックに対応するキースケジューラユニット;並びに
キーデータブロックの第1部分がキーデータブロックの第2部分と同等の場合に、暗号化段階がデータを暗号化しない第1キーデータサブブロックおよび第2キーデータサブブロックに対応する暗号化段階であって、第1関数ユニットは第2関数ユニットと同等である、暗号化段階;
から構成されることを特徴とするブロック暗号装置。 - 入力データブロック、制御データブロック、キーデータサブブロック、およびキーデータサブブロックをランダム化するためのキースケジューラに対応する複数の暗号化段階を有する、暗号化によりセキュリティを確保するデジタル通信システムにおいて情報を暗号化し且つ復号化することを用いるブロック暗号装置であって、キースケジューラは:
第1シフトレジスタ;
前記第1シフトレジスタに対応するキーデータブロックの一部をランダム化するための第1手段;
第1結合データ出力を提供するために前記第1ランダム化手段からのシリアル出力と第1シフトレジスタからのシリアル出力とを連続的に結合するための第1モジュロ2加算コンバイナ;
前記第1シフトレジスタのコンテンツから導き出される第1キーデータサブブロック;
第2シフトレジスタ;
前記第2シフトレジスタに対応するキーデータブロックの一部をランダム化するための第2手段;
第2結合データ出力を提供するための前記第1ランダム化手段からのシリアル出力と第1シフトレジスタからのシリアル出力とを連続的に結合するための第1モジュロ2加算コンバイナ;
前記第2シフトレジスタのコンテンツから導き出される第2キーデータサブブロック;
第3キーデータサブブロックを生成するために前記第1キーデータサブブロックと前記第2キーデータサブブロックとを結合させるための第3モジュロ2加算コンバイナ;
第4キーデータサブブロックを生成するための第2キーデータサブブロックに対応する第1関数ユニット;並びに
前記複数の暗号化段階の異なる段階に前記第1、第3および第4キーデータサブブロックを提供するための回路手段;
から構成されることを特徴とするブロック暗号装置。 - 請求項8に記載のブロック暗号装置であって、前記第1ランダム化手段および第2ランダム化手段の両方は選択的にカスタム化されたルックアップテーブルを含む、ことを特徴とするブロック暗号装置。
- 請求項11に記載のブロック暗号装置であって、前記ランダム化第1手段およびランダム化第2手段のカスタム化されたルックアップテーブルは同じである、ことを特徴とするブロック暗号装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/893,461 US7251326B2 (en) | 2001-06-29 | 2001-06-29 | Method and apparatus for data encryption |
| PCT/US2002/018176 WO2003003638A1 (en) | 2001-06-29 | 2002-06-10 | Method and apparatus for data encryption |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004531778A true JP2004531778A (ja) | 2004-10-14 |
| JP4025722B2 JP4025722B2 (ja) | 2007-12-26 |
Family
ID=25401597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003509692A Expired - Fee Related JP4025722B2 (ja) | 2001-06-29 | 2002-06-10 | データ暗号化のための方法および装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US7251326B2 (ja) |
| EP (1) | EP1410545B1 (ja) |
| JP (1) | JP4025722B2 (ja) |
| DE (1) | DE60221850T2 (ja) |
| IL (2) | IL159458A0 (ja) |
| WO (1) | WO2003003638A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006064763A1 (ja) * | 2004-12-17 | 2006-06-22 | Nec Corporation | 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号化プログラム |
| WO2007105709A1 (ja) * | 2006-03-14 | 2007-09-20 | Nec Corporation | 情報処理システム、情報処理方法および情報処理プログラム |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8260723B2 (en) * | 2000-12-01 | 2012-09-04 | Carrott Richard F | Transactional security over a network |
| US20070288394A1 (en) * | 2000-12-01 | 2007-12-13 | Carrott Richard F | Transactional security over a network |
| US7257225B2 (en) * | 2003-12-29 | 2007-08-14 | American Express Travel Related Services Company, Inc. | System and method for high speed reversible data encryption |
| US7599490B2 (en) * | 2004-03-03 | 2009-10-06 | Harris Corporation | Method and apparatus for data encryption |
| US7801307B2 (en) * | 2005-07-28 | 2010-09-21 | Alcatel-Lucent Usa Inc. | Method of symmetric key data encryption |
| US20070061835A1 (en) * | 2005-08-05 | 2007-03-15 | Realnetworks, Inc. | System and method for registering users and devices |
| US20070110225A1 (en) * | 2005-11-16 | 2007-05-17 | Sub-Crypto Systems, Llc | Method and apparatus for efficient encryption |
| DE102005062763B4 (de) * | 2005-12-28 | 2007-08-30 | Siemens Ag | Schaltungsanordnung für eine Speicherkarte mit Debit- oder Ausweiskartenfunktion |
| US8687800B2 (en) * | 2006-08-15 | 2014-04-01 | Alcatel Lucent | Encryption method for message authentication |
| KR101405321B1 (ko) * | 2007-03-16 | 2014-06-27 | 재단법인서울대학교산학협력재단 | 키 연산 방법 및 이를 이용한 공유 키 생성 방법 |
| US8000467B2 (en) * | 2007-03-19 | 2011-08-16 | Stmicroelectronics Sa | Data parallelized encryption and integrity checking method and device |
| US8218761B2 (en) * | 2007-04-06 | 2012-07-10 | Oracle International Corporation | Method and apparatus for generating random data-encryption keys |
| CN103427987B (zh) * | 2012-05-25 | 2016-05-18 | 纬创资通股份有限公司 | 数据加密的方法、数据验证方法及电子装置 |
| CN104091129B (zh) * | 2014-06-26 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及装置 |
| EP3618344B8 (en) * | 2017-06-27 | 2022-05-25 | Mitsubishi Electric Corporation | Code generation apparatus, code generation method and code generation program |
| RU177174U1 (ru) * | 2017-11-07 | 2018-02-12 | федеральное государственное бюджетное образовательное учреждение высшего образования "Волгоградский государственный аграрный университет" (ФГБОУ ВО Волгоградский ГАУ) | Устройство для кодирования и декодирования двоичных кодов данных |
| WO2020208427A1 (en) * | 2019-04-11 | 2020-10-15 | Lg Electronics, Inc. | Systems and methods for accelerated certificate provisioning |
| EP3994842A4 (en) * | 2019-04-11 | 2022-11-23 | LG Electronics Inc. | SYSTEMS AND METHODS FOR COUNTERING A CO-EXISTENCE ATTACK |
| CN110336819A (zh) * | 2019-07-09 | 2019-10-15 | 四川新网银行股份有限公司 | 基于机器学习的加解密自助组合方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0482154B1 (de) | 1990-05-18 | 1993-06-30 | Ascom Tech Ag | Vorrichtung für das umwandeln eines digitalblockes und verwendung derselben |
| US5201000A (en) * | 1991-09-27 | 1993-04-06 | International Business Machines Corporation | Method for generating public and private key pairs without using a passphrase |
| WO1997005720A2 (en) * | 1995-07-27 | 1997-02-13 | Nextlevel Systems, Inc. | Cryptographic system with concealed work factor |
| GB9610645D0 (en) * | 1996-05-21 | 1996-07-31 | Ncr Int Inc | Financial transaction system |
| JP3604264B2 (ja) * | 1997-10-06 | 2004-12-22 | 株式会社東芝 | 発信者用端末装置及びネットワークシステム並びに発信情報監視方法 |
| US6061449A (en) * | 1997-10-10 | 2000-05-09 | General Instrument Corporation | Secure processor with external memory using block chaining and block re-ordering |
| US6192129B1 (en) * | 1998-02-04 | 2001-02-20 | International Business Machines Corporation | Method and apparatus for advanced byte-oriented symmetric key block cipher with variable length key and block |
| US6108421A (en) | 1998-03-06 | 2000-08-22 | Harris Corporation | Method and apparatus for data encryption |
| KR100377172B1 (ko) * | 2000-06-13 | 2003-03-26 | 주식회사 하이닉스반도체 | 데이터 암호화 표준 알고리즘을 이용한 암호화 장치의 키스케쥴러 |
-
2001
- 2001-06-29 US US09/893,461 patent/US7251326B2/en not_active Expired - Lifetime
-
2002
- 2002-06-10 IL IL15945802A patent/IL159458A0/xx unknown
- 2002-06-10 DE DE60221850T patent/DE60221850T2/de not_active Expired - Fee Related
- 2002-06-10 EP EP02756140A patent/EP1410545B1/en not_active Expired - Lifetime
- 2002-06-10 JP JP2003509692A patent/JP4025722B2/ja not_active Expired - Fee Related
- 2002-06-10 WO PCT/US2002/018176 patent/WO2003003638A1/en active IP Right Grant
-
2003
- 2003-12-18 IL IL159458A patent/IL159458A/en unknown
-
2006
- 2006-08-03 US US11/498,052 patent/US7613297B2/en not_active Expired - Lifetime
- 2006-08-03 US US11/498,038 patent/US7672455B2/en not_active Expired - Lifetime
- 2006-08-03 US US11/498,037 patent/US7606368B2/en not_active Expired - Lifetime
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006064763A1 (ja) * | 2004-12-17 | 2006-06-22 | Nec Corporation | 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号化プログラム |
| WO2007105709A1 (ja) * | 2006-03-14 | 2007-09-20 | Nec Corporation | 情報処理システム、情報処理方法および情報処理プログラム |
| US8121284B2 (en) | 2006-03-14 | 2012-02-21 | Nec Corporation | Information processing system, information processing method, and information processing program |
| JP5131187B2 (ja) * | 2006-03-14 | 2013-01-30 | 日本電気株式会社 | 情報処理システム、情報処理方法および情報処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070116272A1 (en) | 2007-05-24 |
| US7613297B2 (en) | 2009-11-03 |
| DE60221850D1 (de) | 2007-09-27 |
| WO2003003638A1 (en) | 2003-01-09 |
| IL159458A0 (en) | 2004-06-01 |
| EP1410545A4 (en) | 2005-11-09 |
| US20030002663A1 (en) | 2003-01-02 |
| US7251326B2 (en) | 2007-07-31 |
| US7606368B2 (en) | 2009-10-20 |
| EP1410545B1 (en) | 2007-08-15 |
| US20070116271A1 (en) | 2007-05-24 |
| US7672455B2 (en) | 2010-03-02 |
| US20070116273A1 (en) | 2007-05-24 |
| JP4025722B2 (ja) | 2007-12-26 |
| DE60221850T2 (de) | 2008-05-08 |
| IL159458A (en) | 2009-05-04 |
| EP1410545A1 (en) | 2004-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7672455B2 (en) | Method and apparatus for data encryption | |
| JP4828068B2 (ja) | コンピュータで効率的な線形フィードバック・シフト・レジスタ | |
| US7697681B2 (en) | Parallelizable integrity-aware encryption technique | |
| US8983063B1 (en) | Method and system for high throughput blockwise independent encryption/decryption | |
| DK1686722T3 (en) | Block encryption device and block encryption method comprising rotation key programming | |
| US5673319A (en) | Block cipher mode of operation for secure, length-preserving encryption | |
| EP1507247B1 (en) | Data conversion apparatus and data conversion method | |
| KR100362458B1 (ko) | 암호화 처리장치, 암호화 처리방법 및 보안성을 손상시키지 않고 고속으로 암호화 처리를 실현하는 암호화 처리 프로그램을 기록하는 기록매체 | |
| US20200244434A1 (en) | Differential power analysis resistant encryption and decryption functions | |
| US6189095B1 (en) | Symmetric block cipher using multiple stages with modified type-1 and type-3 feistel networks | |
| EP1081889A2 (en) | Extended key generator, encryption / decryption unit, extended key generation method, and storage medium | |
| JP2000162965A (ja) | 暗復号装置及び記憶媒体 | |
| GB2443244A (en) | Authenticated Encryption Method and Apparatus | |
| JPH09233066A (ja) | 暗号化/解読化方法および装置 | |
| KR20180081559A (ko) | 암호화 동작을 위한 키 시퀀스 생성 | |
| US6108421A (en) | Method and apparatus for data encryption | |
| JP3824121B2 (ja) | 暗号データの復号化処理方法および装置 | |
| JP3769804B2 (ja) | 解読化方法および電子機器 | |
| JP2004157535A (ja) | データ暗号化方法 | |
| KR100546777B1 (ko) | Seed 암/복호화 장치, 암/복호화 방법, 라운드 처리 방법, 이에 적합한 f함수 처리기 | |
| JPS62237834A (ja) | デ−タ暗号化装置 | |
| RU2199826C2 (ru) | Способ итеративного шифрования блоков цифровых данных | |
| JP3795315B2 (ja) | 暗号化・復号化回路 | |
| KR19990027040A (ko) | 암호화 방법 및 장치 | |
| JP2001215874A (ja) | 副鍵生成装置およびそのプログラム記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060404 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060704 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061127 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070213 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070511 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070518 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070612 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070619 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070712 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070918 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071005 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101012 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |