JP2005229382A - Encryption device - Google Patents

Encryption device Download PDF

Info

Publication number
JP2005229382A
JP2005229382A JP2004036651A JP2004036651A JP2005229382A JP 2005229382 A JP2005229382 A JP 2005229382A JP 2004036651 A JP2004036651 A JP 2004036651A JP 2004036651 A JP2004036651 A JP 2004036651A JP 2005229382 A JP2005229382 A JP 2005229382A
Authority
JP
Japan
Prior art keywords
data
encryption
information data
key
steganography
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004036651A
Other languages
Japanese (ja)
Inventor
Koichiro Nagai
剛一郎 長井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SYST KOGAKU KK
Original Assignee
SYST KOGAKU KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SYST KOGAKU KK filed Critical SYST KOGAKU KK
Priority to JP2004036651A priority Critical patent/JP2005229382A/en
Publication of JP2005229382A publication Critical patent/JP2005229382A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Editing Of Facsimile Originals (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an encryption device which can surely protect information data which exist in an information device or in a network from an unfair action. <P>SOLUTION: The device comprises a receiving part which receives an encryption key and information data, an encryption part which enciphers the information data using the encryption key, a data padding part which embeds enciphered information data in container data and forms steganography data, and a storing device which stores the steganography data. Moreover, the device comprises a data extractor which extracts embedded enciphered information data in the steganography data from the steganography data stored in the storing device, and a decoder which performs decoding of the extracted enciphered information data using the received encryption key. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は暗号装置、特に情報データを秘匿するための暗号化及び/又は復号化をなす暗号装置に関する。   The present invention relates to an encryption device, and more particularly to an encryption device that performs encryption and / or decryption for concealing information data.

インターネットの進展に伴い、インターネットに接続された企業や個人のPC(パーソナルコンピュータ)及びプライベートネットワークは外部からの侵入等の不正行為による危険に晒されている。このような不正行為からPCやネットワーク上に存在する情報データを保護するために、不正侵入を防止するファイアウォールや、RSA方式等の暗号、認証、デジタル署名、など種々のセキュリティ技術・措置が講じられている。   With the progress of the Internet, companies and personal PCs (personal computers) and private networks connected to the Internet are exposed to dangers due to fraudulent acts such as intrusion from the outside. In order to protect information data existing on PCs and networks from such unauthorized acts, various security technologies and measures such as firewalls that prevent unauthorized intrusion, encryption such as RSA, authentication, and digital signatures are taken. ing.

また、近年、情報データを保護するための技術としてステガノグラフィ(例えば、特許文献1参照)についても検討されている。ステガノグラフィは、「画像深層暗号」、「情報非可視化」等とも称され、情報データを秘匿化する技術である。すなわち、秘匿すべき情報データを別の情報データに埋め込んで他人に気付かれないようにする技術である。当該別の情報データは、コンテナ(container)データ、ベッセル(vessel)データ等と呼ばれ、例えば、画像データや音声データ、その他デジタルデータ等が用いられる。   In recent years, steganography (see, for example, Patent Document 1) has been studied as a technique for protecting information data. Steganography is also referred to as “image deep encryption”, “information invisibility”, and the like, and is a technique for concealing information data. In other words, it is a technique for embedding information data to be concealed in other information data so that others do not notice it. The other information data is called container data, vessel data, or the like, and for example, image data, audio data, or other digital data is used.

また、暗号通信を行う場合、暗号アルゴリズムと鍵管理アルゴリズムが必要になるが、安全に鍵を交換する鍵管理アルゴリズムとしてKPS(Key Predistribution System)がある。ここで、KPSは、横浜国立大学の松本勉助教授と東京大学の今井秀樹教授によって考案されたものである(特許文献2参照)。   Further, when performing cryptographic communication, an encryption algorithm and a key management algorithm are required, but there is KPS (Key Predistribution System) as a key management algorithm for securely exchanging keys. Here, KPS was devised by Professor Tsutomu Matsumoto of Yokohama National University and Professor Hideki Imai of the University of Tokyo (see Patent Document 2).

しかしながら、上記した従来の種々の技術によっても極めて強固なセキュリティを実現することは困難であった。例えば、完全なファイアウォールや完全なセキュリティを有するソフトウエアを実現するのは事実上不可能であり、例えば、ソフトウエアのセキュリティホールを介してコンピュータへの不正侵入、不正操作が行われている。また、かかる不正行為とセキュリティ技術の進展とはいたちごっこであり、新たなセキュリティ技術であってもその解析等によっていずれは破られてしまう。   However, it has been difficult to realize extremely strong security by the above-described various conventional techniques. For example, it is practically impossible to realize a complete firewall or software having complete security. For example, unauthorized intrusion and unauthorized operation to a computer are performed through a software security hole. In addition, such fraudulent acts and the advancement of security technologies are precious, and even new security technologies will eventually be broken by analysis and the like.

従って、かかる不正行為からPC等の情報装置やネットワーク上に存在する情報データを確実に保護することが重要な課題となっている。
特開2003−298832号公報 特許第1984390号公報 Therefore, it is an important issue to securely protect information data existing on an information device such as a PC or a network from such illegal acts.
Japanese Patent Laid-Open No. 2003-298732 Japanese Patent No. 1984390

本発明は、上記した点に鑑みてなされたものであり、PC、サーバ、データベース装置等のコンピュータや情報装置内やネットワーク上に存在する情報データを不正行為から確実に保護することが可能な暗号装置を提供することをその目的とする。   The present invention has been made in view of the above points, and is an encryption that can reliably protect information data existing in computers, information devices, and networks such as PCs, servers, database devices, etc. from unauthorized acts. The object is to provide a device.

本発明による暗号装置は、暗号鍵及び情報データを受信する受信部と、暗号鍵を用いて情報データの暗号化をなす暗号部と、暗号化された情報データをコンテナデータへ埋め込んでステガノグラフィデータを生成するデータ埋め込み部と、ステガノグラフィデータを蓄積する格納装置と、を有することを特徴としている。   An encryption apparatus according to the present invention includes a receiving unit that receives an encryption key and information data, an encryption unit that encrypts information data using the encryption key, and embedding the encrypted information data in container data to store steganographic data. A data embedding unit to be generated and a storage device for accumulating steganography data are provided.

また、本発明による暗号装置は、上記格納装置に格納されたステガノグラフィデータからステガノグラフィデータに埋め込まれた暗号化情報データを抽出するデータ抽出部と、受信した暗号鍵を用い、抽出された暗号化情報データの復号をなす復号部と、をさらに有することを特徴としている。   In addition, the encryption device according to the present invention uses the data extraction unit that extracts the encryption information data embedded in the steganography data from the steganography data stored in the storage device, and the extracted encryption information using the received encryption key. And a decryption unit for decrypting data.

また、本発明による暗号装置は、上記格納装置に格納されたステガノグラフィデータへのアクセス指令が発せられたことを検出するアクセス指令検出部と、受信部により受信した、アクセス指令に関連する暗号鍵が、ステガノグラフィデータに埋め込まれた暗号化情報データに対応するか否かを検証する検証部と、上記暗号鍵が上記ステガノグラフィデータに埋め込まれた暗号化情報データに対応しないと検証されたときに、暗号化情報データの改変を指令する改変指令を発するコントローラと、を有することを特徴ととしている。   The encryption device according to the present invention includes an access command detection unit that detects that an access command to steganography data stored in the storage device is issued, and an encryption key related to the access command received by the reception unit. A verification unit that verifies whether or not the encrypted information data embedded in the steganographic data is supported, and when the encryption key is verified not to correspond to the encrypted information data embedded in the steganographic data. And a controller that issues a modification command for commanding modification of the computerized information data.

また、本発明による暗号装置において、上記コントローラは、データ埋め込み部及びデータ抽出部を制御して、上記暗号化情報データの改変を実行することを特徴としている。   In the encryption apparatus according to the present invention, the controller controls the data embedding unit and the data extraction unit to execute modification of the encrypted information data.

以下、本発明の実施例について図面を参照しつつ詳細に説明する。なお、以下に示す実施例において、等価な構成要素には同一の参照符を付している。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In the embodiments described below, equivalent components are denoted by the same reference numerals.

[暗号装置の構成]
図1は、本発明の実施例1である暗号装置10の構成を模式的に示すブロック図である。暗号装置10は、情報データの暗号化及び/又は復号化をなす暗号化/復号化処理部(以下、暗復号処理部という)11、データのステガノグラフィ処理をなすステガノグラフィ処理部12、乱数生成器13、格納装置14、コントローラ(CPU)15及びホストインターフェース16から構成されている。なお、これらの構成回路は信号バス17を介してコントローラ(又はCPU)15に接続されている。すなわち、コントローラ15は、暗号装置全体の制御をなす。 [Configuration of encryption device]
FIG. 1 is a block diagram schematically showing the configuration of an encryption device 10 that is Embodiment 1 of the present invention. The encryption device 10 includes an encryption / decryption processing unit (hereinafter referred to as an encryption / decryption processing unit) 11 that encrypts and / or decrypts information data, a steganography processing unit 12 that performs data steganography processing, and a random number generator 13. , A storage device 14, a controller (CPU) 15, and a host interface 16. These constituent circuits are connected to a controller (or CPU) 15 via a signal bus 17. That is, the controller 15 controls the entire encryption device.

以下に、上記した暗号装置10をいわゆるUSB(Universal Serial Bus)メモリとして構成した場合を例に説明する。すなわち、暗号装置10は、例えば、USBインターフェース16、及び所定の容量のRAM(Random Access Memory)を有し、例えばPCやサーバ等のコンピュータに接続され、動作するように構成されている。なお、本発明は、USBメモリに限らず、例えば、コンパクトフラッシュ(米国SanDisk社の登録商標)、メモリスティック(ソニー(株)の商標)等の種々のメモリ装置に適用することができる。すなわち、所定の通信規約に準拠したインターフェース16を有するように構成されている。   The case where the above-described encryption device 10 is configured as a so-called USB (Universal Serial Bus) memory will be described below as an example. That is, the encryption device 10 includes, for example, a USB interface 16 and a RAM (Random Access Memory) having a predetermined capacity, and is configured to be connected to a computer such as a PC or a server to operate. The present invention is not limited to a USB memory, and can be applied to various memory devices such as a compact flash (registered trademark of SanDisk Corporation, USA) and a memory stick (trademark of Sony Corporation). That is, the interface 16 conforms to a predetermined communication protocol.

本実施例の暗号装置10について図1及び図2を参照して詳細に説明する。図2は、暗号装置10の構成を模式的に示す図である。   The encryption device 10 of the present embodiment will be described in detail with reference to FIGS. FIG. 2 is a diagram schematically illustrating the configuration of the encryption device 10.

暗号装置10は、USBコネクタ(図示しない)、及び、例えばUSBver2.0インターフェース16を有し、USBコネクタをコンピュータや携帯情報端末等に接続して動作させることができる。また、所定容量を有する、例えば半導体RAM(例えば、256MB、1GBなど)からなる格納装置14が搭載されている。暗号装置10のコントローラ15は、暗復号処理部11、及びステガノグラフィ処理部12とともにLSI上に構成されている。コントローラ15は、後述する暗号鍵(すなわち、暗号化鍵及び復号化鍵)、情報データ等の種々のデータ、暗号/復号指令や格納・読み出し指令等のアクセス指令を含む種々の指令をインターフェース16を介して受信する。   The encryption device 10 has a USB connector (not shown) and, for example, a USB ver2.0 interface 16, and can be operated by connecting the USB connector to a computer, a portable information terminal, or the like. In addition, a storage device 14 having a predetermined capacity and made of, for example, a semiconductor RAM (for example, 256 MB, 1 GB, etc.) is mounted. The controller 15 of the encryption device 10 is configured on an LSI together with the encryption / decryption processing unit 11 and the steganography processing unit 12. The controller 15 sends various commands including an encryption key (that is, an encryption key and a decryption key) to be described later, various data such as information data, and an access command such as an encryption / decryption command and a storage / read command to the interface 16. Receive via.

また、暗号装置10には、物理乱数(真正乱数)生成器13が設けられている。物理乱数生成器13は、1ビットの乱数系列を生成する。この乱数系列は、熱雑音などの白色雑音をもとにデジタル処理されたもので、再現性のない一様な真正乱数系列である。   The cryptographic device 10 is provided with a physical random number (true random number) generator 13. The physical random number generator 13 generates a 1-bit random number sequence. This random number sequence is digitally processed based on white noise such as thermal noise, and is a uniform genuine random number sequence without reproducibility.

さらに、暗号装置10には、コネクタを介して外部から供給された供給電圧を暗号装置10の内部で用いられる電圧に変換するレギュレータ等の電源回路21、また暗号装置10の内部で用いられるクロック信号を生成するための発振器22が設けられていてもよい。なお、これらの回路は、信号バス等によりコントローラ15に接続されている。   Further, the encryption device 10 includes a power supply circuit 21 such as a regulator that converts a supply voltage supplied from the outside via a connector into a voltage used inside the encryption device 10, and a clock signal used inside the encryption device 10. May be provided. These circuits are connected to the controller 15 by a signal bus or the like.

コントローラ15は、上記したように、暗復号処理部11及びステガノグラフィ処理部12をモジュール回路として含むLSI上に構成されているが、さらに、当該LSI上には、コントローラ15の制御によって動作するレジスタ、メモリ及び種々のデータ及びソフトウエアが格納されたフラッシュROM(図示しない)などが搭載されている。例えば、当該LSI内には、各種処理における入出力値や暗号鍵(暗号化鍵、復号化鍵)、これらから生成された演算値、ソースキー、共通鍵、セッションキーが格納されるレジスタ、メモリが実装されている。あるいは、暗号・復号処理において、平文、暗号文を処理するためにそれらを一時的に格納するバッファメモリが実装されている。   As described above, the controller 15 is configured on an LSI including the encryption / decryption processing unit 11 and the steganography processing unit 12 as a module circuit. Further, on the LSI, a register that operates under the control of the controller 15, A memory and a flash ROM (not shown) in which various data and software are stored are mounted. For example, in the LSI, an input / output value and an encryption key (encryption key, decryption key) in various processes, a calculation value generated from these, a source key, a common key, a register storing a session key, a memory Has been implemented. Alternatively, in the encryption / decryption processing, a buffer memory for temporarily storing plaintext and ciphertext is mounted.

フラッシュROMに格納されたソフトウエアとしては、暗号装置10が接続されたPC等のコンピュータからの指令に基づいて、コントローラ15の動作を制御するソフトウエアが含まれている。例えば、当該接続されたコンピュータとのデータ交換、暗復号処理部11及びステガノグラフィ処理部12における処理、格納装置14へのアクセス等の処理をなすソフトウエアが含まれている。   The software stored in the flash ROM includes software that controls the operation of the controller 15 based on a command from a computer such as a PC to which the encryption device 10 is connected. For example, software that performs data exchange with the connected computer, processing in the encryption / decryption processing unit 11 and steganography processing unit 12, access to the storage device 14, and the like is included.

また、暗号アルゴリズム、ステガノグラフィ処理アルゴリズム、外部とのデータや制御信号を授受するためのデータ及びソフトウエアが格納されている。なお、かかるアルゴリズム等は、ソフトウエア、ハードウエアあるいはファームウエアのいずれによって構成されていてもよい。   In addition, an encryption algorithm, a steganography processing algorithm, data and software for exchanging data and control signals with the outside are stored. Such an algorithm or the like may be configured by software, hardware, or firmware.

[暗号装置の動作]
上記したように、暗復号処理部11は、暗号装置10に入力された情報データの暗号化をなすと共に、暗号化されたデータの復号化をなす。なお、ここで暗号化とは、通常のデータ(平文)を暗号アルゴリズム及び暗号鍵(暗号化鍵)を用い、暗号鍵の所有者以外は解読することができないデータに変換することをいい、復号化とは暗号鍵(復号化鍵)を用いて暗号化されたデータを解読することをいう。暗号アルゴリズムとしては、暗号化と復号化に同じ鍵を用いる共通鍵暗号アルゴリズム(又は、秘密鍵暗号又は対称鍵暗号アルゴリズム)、及び、対になる2つの鍵(公開鍵及び秘密鍵)を使ってデータの暗号化・復号化を行なう公開鍵暗号アルゴリズム(又は、非対称暗号アルゴリズム)がある。 [Operation of cryptographic device]
As described above, the encryption / decryption processing unit 11 encrypts the information data input to the encryption device 10 and also decrypts the encrypted data. Here, encryption means that normal data (plain text) is converted into data that cannot be decrypted by anyone other than the owner of the encryption key using an encryption algorithm and an encryption key (encryption key). Encrypting means decrypting encrypted data using an encryption key (decryption key). As the encryption algorithm, using a common key encryption algorithm (or secret key encryption or symmetric key encryption algorithm) that uses the same key for encryption and decryption, and two pairs of keys (public key and secret key) There is a public key encryption algorithm (or an asymmetric encryption algorithm) that encrypts and decrypts data.

本実施例では、暗号アルゴリズムとしてDES(Data Encryption Standard)を用いた場合を例に説明する。なお、TripleDES(T−DES)や他の秘密鍵暗号アルゴリズムを用いることもできる。あるいはRSA暗号等の公開鍵暗号アルゴリズム等を用いることもでき、特定の暗号アルゴリズムに限定されない。暗号通信を行う場合、暗号アルゴリズムと鍵管理アルゴリズム又は鍵交換アルゴリズムとが必要になる。鍵管理アルゴリズムとしては、情報量の不足により原理的に攻撃が不可能な情報論的安全性を有するものを用いるのが好ましい。本実施例においてはKPS(Key Predistribution System)を用いた場合を例に説明するが、他の鍵管理アルゴリズムを用いてもよい。   In this embodiment, a case where DES (Data Encryption Standard) is used as an encryption algorithm will be described as an example. Triple DES (T-DES) and other secret key encryption algorithms can also be used. Alternatively, a public key encryption algorithm such as RSA encryption can be used, and the present invention is not limited to a specific encryption algorithm. When performing encryption communication, an encryption algorithm and a key management algorithm or a key exchange algorithm are required. As the key management algorithm, it is preferable to use an algorithm having information-theoretic security that cannot be attacked in principle due to a lack of information amount. In this embodiment, a case where KPS (Key Predistribution System) is used will be described as an example, but other key management algorithms may be used.

かかるKPSを用いた暗号通信では、相手の公開鍵(Public-ID)を入力するだけで送信者と受信者間で暗号鍵の授受を自動的かつ安全に行うことができる。すなわち、暗号鍵を共有するために通信を行う前に連絡を取り合ったり、公開鍵ファイルなどにアクセスする必要はない。Public-IDは、氏名と電話番号やインターネットのIDなど公開されている情報を使用できるので相手のコードを秘密裡に保管しておく必要はない。また、個人ごとにPublic-IDを設定すれば、パーソン・トゥ・パーソンの通信となるので、1台の機器を複数の人で使用する場合であっても、個別に機密保持が可能である。   In such encrypted communication using KPS, it is possible to automatically and safely exchange the encryption key between the sender and the receiver simply by inputting the other party's public key (Public-ID). In other words, there is no need to keep in touch or access a public key file or the like before communication to share the encryption key. Public-ID can use public information such as name, phone number and Internet ID, so there is no need to keep the other party's code secret. Moreover, if a Public-ID is set for each individual, person-to-person communication is performed. Therefore, even when a single device is used by a plurality of persons, individual confidentiality can be maintained.

本実施例においては、秘匿すべき情報データを格納装置14に蓄積し、ユーザ間で共有する場合について説明する。   In the present embodiment, a case where information data to be kept secret is stored in the storage device 14 and shared between users will be described.

従って、秘匿すべき情報データを格納装置14に格納するユーザを第1ユーザ(暗号通信における送信者に対応)、及び格納装置14に格納された秘匿情報データを解読するユーザを第2ユーザ(暗号通信における受信者に対応)として説明する。   Accordingly, the user who stores the information data to be kept secret in the storage device 14 is the first user (corresponding to the sender in the encrypted communication), and the user who decrypts the secret information data stored in the storage device 14 is the second user (encryption). This will be described as “corresponding to a recipient in communication”.

[暗号化及び復号化]
以下に本実施例における暗号化の手順について、図3を参照しつつ説明する。なお、図3において、暗復号処理部11内で実行される処理については破線で囲んで示している。
(1.1) まず、暗復号処理部11はコントローラの制御の下、暗号化のための暗号鍵を受信する。すなわち、より具体的には、暗復号処理部11内の処理ステップS1において、KPS暗号鍵交換アルゴリズムは、第1ユーザ(すなわち、秘匿すべき情報データを格納するユーザ)から、第1ユーザの秘密鍵(Private-ID)K1を受信する。また、KPS暗号鍵交換アルゴリズムは、第1ユーザにより入力された第2ユーザ(すなわち、秘匿すべき情報データを解読するユーザ)の公開鍵(Public-ID)K2を受信する。 [Encryption and decryption]
Hereinafter, the encryption procedure in this embodiment will be described with reference to FIG. In FIG. 3, the processing executed in the encryption / decryption processing unit 11 is surrounded by a broken line.
(1.1) First, the encryption / decryption processing unit 11 receives an encryption key for encryption under the control of the controller. That is, more specifically, in the processing step S1 in the encryption / decryption processing unit 11, the KPS encryption key exchange algorithm determines that the secret of the first user from the first user (that is, the user storing the information data to be concealed). The key (Private-ID) K1 is received. The KPS encryption key exchange algorithm receives the public key (Public-ID) K2 of the second user (that is, the user who decrypts the information data to be concealed) input by the first user.

KPS暗号鍵交換アルゴリズムは、第1ユーザの秘密鍵及び第2ユーザの公開鍵からKPS共通鍵K3を生成する。
(1.2) 乱数生成器13は、真正乱数K4を生成する。暗復号処理部11において真正乱数K4を用いてセッション鍵K5が生成される。
(1.3) 暗復号処理部11内の処理ステップS2において、KPS共通鍵K3を暗号鍵としてセッション鍵K5を暗号アルゴリズムにより暗号化し、暗号化されたセッション鍵K6を生成する。
(1.4) 暗復号処理部11内の処理ステップS3において、セッション鍵K5を暗号鍵として第1ユーザにより入力された情報データK7を暗号アルゴリズムにより暗号化し、暗号化データK8を生成する。
(1.5) 暗復号処理部11内の処理ステップS4において、暗号化されたセッション鍵K6と暗号化データK8とを結合して通信文(通信データ)K9を生成する。
(1.6) 通信文K9は、ステガノグラフィ処理部12において通信文K9をコンテナデータに埋め込んで秘匿化する(データ埋め込み)。通信文K9を埋め込むコンテナデータとしては、画像データや音声データ、テキストデータその他デジタルデータ等を用いることができる。当該コンテナデータは、予め暗号装置10内に格納しておいたものを用いることができる。あるいは、ステガノグラフィ処理をする際に適宜、暗号装置10内で生成するようにしてもよい。
(1.7) コントローラ15は、ステガノグラフィ処理部12において生成されたデータ(以下、ステガノグラフィデータという)を格納装置14に格納(蓄積)する。 The KPS encryption key exchange algorithm generates a KPS common key K3 from the secret key of the first user and the public key of the second user.
(1.2) The random number generator 13 generates a genuine random number K4. The encryption / decryption processing unit 11 generates a session key K5 using the genuine random number K4.
(1.3) In process step S2 in the encryption / decryption processing unit 11, the session key K5 is encrypted by an encryption algorithm using the KPS common key K3 as an encryption key to generate an encrypted session key K6.
(1.4) In process step S3 in the encryption / decryption processing unit 11, the information data K7 input by the first user using the session key K5 as an encryption key is encrypted by an encryption algorithm to generate encrypted data K8.
(1.5) In process step S4 in the encryption / decryption processing unit 11, the encrypted session key K6 and the encrypted data K8 are combined to generate a communication text (communication data) K9.
(1.6) The communication sentence K9 is concealed by embedding the communication sentence K9 in the container data in the steganography processing unit 12 (data embedding). Image data, audio data, text data, and other digital data can be used as container data for embedding the communication text K9. As the container data, data stored in the encryption device 10 in advance can be used. Or you may make it produce | generate in the encryption apparatus 10 suitably, when performing a steganography process.
(1.7) The controller 15 stores (accumulates) the data generated in the steganography processing unit 12 (hereinafter referred to as steganography data) in the storage device 14.

次に格納装置14に格納されたステガノグラフィデータを復号する手順について、図4を参照しつつ説明する。なお、図4において、暗復号処理部11内で実行される処理については破線で囲んで示している。
(2.1) まず、暗復号処理部11内の処理ステップS11において、第2ユーザ(すなわち、秘匿情報データを解読しようとするユーザ)は、第1ユーザ(すなわち、秘匿すべき情報データを格納したユーザ)の公開鍵(Public-ID)K11をKPS暗号鍵交換アルゴリズムに入力する。また、第2ユーザは、第2ユーザの秘密鍵(Private-ID)K12をKPS暗号鍵交換アルゴリズムに入力する。 Next, the procedure for decoding the steganographic data stored in the storage device 14 will be described with reference to FIG. In FIG. 4, processing executed in the encryption / decryption processing unit 11 is surrounded by a broken line.
(2.1) First, in process step S11 in the encryption / decryption processing unit 11, the second user (that is, the user who intends to decrypt the confidential information data) stores the first user (that is, the information data to be confidential). The user's public key (Public-ID) K11 is input to the KPS encryption key exchange algorithm. Further, the second user inputs the second user's private key (Private-ID) K12 to the KPS encryption key exchange algorithm.

KPS暗号鍵交換アルゴリズムは、第1ユーザの公開鍵及び第2ユーザの秘密鍵からKPS共通鍵K13を生成する。なお、KPS共通鍵K13は暗号化におけるKPS共通鍵K3と同一である。
(2.2) ステガノグラフィ処理部12は、格納装置14に格納されていたステガノグラフィデータを読み出し、当該ステガノグラフィデータから埋め込まれていた通信文K14(すなわち、暗号化時の通信文K9と同一)を抽出する(データ抽出)。
(2.3) 暗復号処理部11内の処理ステップS12において、通信文K14から暗号化セッション鍵K15及び暗号化データK17が分離される。
(2.4) 暗復号処理部11内の処理ステップS13において、共通鍵K13を暗号鍵として暗号化セッション鍵K15を復号アルゴリズムにより復号し、セッション鍵K16を生成する。
(2.5) 暗復号処理部11内の処理ステップS14において、暗号化データK17をセッション鍵K16を暗号鍵として復号アルゴリズムにより復号し、元のデータK18(すなわち、暗号化前の情報データK7と同一)を取り出す。 The KPS encryption key exchange algorithm generates a KPS common key K13 from the public key of the first user and the secret key of the second user. The KPS common key K13 is the same as the KPS common key K3 in encryption.
(2.2) The steganography processing unit 12 reads the steganographic data stored in the storage device 14, and extracts the communication text K14 embedded in the steganography data (that is, the same as the communication text K9 at the time of encryption). (Data extraction)
(2.3) In process step S12 in the encryption / decryption processing unit 11, the encrypted session key K15 and the encrypted data K17 are separated from the communication text K14.
(2.4) In the processing step S13 in the encryption / decryption processing unit 11, the encrypted session key K15 is decrypted by the decryption algorithm using the common key K13 as an encryption key to generate a session key K16.
(2.5) In process step S14 in the encryption / decryption processing unit 11, the encrypted data K17 is decrypted by the decryption algorithm using the session key K16 as an encryption key, and the original data K18 (that is, the information data K7 before encryption) Take out the same).

上記した本発明の暗号装置10によれば、暗号装置10がコンピュータ、ゲートウェイ等を介してIPネットワーク等の公衆ネットワークやLAN等のプライベートネットワークに接続されている場合であっても、秘匿すべきデータの存在を知られることなく暗号装置10内に安全にデータを秘匿しておくことができる。   According to the encryption device 10 of the present invention described above, data to be kept secret even when the encryption device 10 is connected to a public network such as an IP network or a private network such as a LAN via a computer, a gateway, or the like. The data can be safely concealed in the encryption device 10 without knowing the existence of the.

上記したように、本発明の暗号装置10によれば、秘匿すべき情報データは情報量的安全性に基づく暗号アルゴリズムによって暗号化され、たとえ量子コンピュータを用いられても破ることができない程の極めて強固な安全性を有している。その上、ステガノグラフィによって深層暗号化、情報非可視化されている。従って、たとえデータを持ち出されたとしても、非可視化されている上に、そのデータは情報量的安全性に基づく暗号アルゴリズムによって暗号化されているため、極めて強固な安全性を有している。   As described above, according to the encryption device 10 of the present invention, the information data to be concealed is encrypted by an encryption algorithm based on the information security, and is extremely difficult to break even if a quantum computer is used. It has strong safety. In addition, deep encryption and information invisibility are made possible by steganography. Therefore, even if the data is taken out, it is invisible, and the data is encrypted by an encryption algorithm based on information security, so it has extremely strong security.

なお、特に、ステガノグラフィ処理部12には耐タンパ装置が設けられているのが好ましい。耐タンパ装置としては、ステガノグラフィ処理部12の解析に対するプロテクトや、データのコピーや移動に対して当該データを自動的に読取り不能となるように破壊する等のソフトウエア的な耐タンパ能力を有しているのが好ましい。   In particular, it is preferable that the steganography processing unit 12 is provided with a tamper resistant device. The tamper resistant device has software tamper resistant capabilities such as protection against the analysis of the steganography processing unit 12 and destruction of the data so that it cannot be read automatically when copying or moving data. It is preferable.

さらに暗号装置10の他の各構成部、例えば暗復号処理部11、乱数生成器13、格納装置14、コントローラ(又はCPU)15等の全て、又は一部には耐タンパ装置が設けられていてもよい。耐タンパ装置としては、IC等に対する物理的な改ざん、破壊等に対して耐え得る装置でもよく、あるいは、外部からの各構成部の解析に対するプロテクトや、データのコピーや移動に対するプロテクト等、種々のハードウエア的、及びソフトウエア的な耐タンパ能力を有しているものであってもよい。   Furthermore, tamper resistant devices are provided in all or part of the other components of the encryption device 10, such as the encryption / decryption processing unit 11, the random number generator 13, the storage device 14, the controller (or CPU) 15, and the like. Also good. The tamper resistant device may be a device that can withstand physical tampering or destruction of the IC or the like, or various protections such as protection against analysis of each component from the outside, protection against copying and movement of data, etc. It may have hardware and software tamper resistance.

また、暗号装置10がUSBメモリとして構成されている場合について説明したが、これに限らず、コンパクトフラッシュカード、メモリスティック、ICカード、ICチップ等の種々の記憶メディアに適用することが可能である。   Further, although the case where the encryption device 10 is configured as a USB memory has been described, the present invention is not limited to this, and the present invention can be applied to various storage media such as a compact flash card, a memory stick, an IC card, and an IC chip. .

図5及び図6は、本発明の実施例2である暗号装置10の暗号化及び復号化をそれぞれ説明するためのブロック図である。暗号装置10が、暗復号処理部11、ステガノグラフィ処理部12、乱数生成器13、格納装置14、コントローラ(又はCPU)15を有し、これらの各構成部がコントローラ15の制御の下、動作する点は上記した実施例と同様である。   5 and 6 are block diagrams for explaining encryption and decryption of the encryption device 10 according to the second embodiment of the present invention. The encryption device 10 includes an encryption / decryption processing unit 11, a steganography processing unit 12, a random number generator 13, a storage device 14, and a controller (or CPU) 15, and each of these components operates under the control of the controller 15. The point is the same as in the above-described embodiment.

本実施例においては、対になる2つの鍵(公開鍵及び秘密鍵)を使ってデータの暗号化・復号化を行なう公開鍵暗号(非対称鍵暗号)方式を用いた場合を例に説明する。本実施例においては、秘匿すべき情報データを暗号化、秘匿したデータ復号するために、格納装置14に一方の暗号鍵(公開鍵、秘密鍵)を割り当てている。   In the present embodiment, a case where a public key cryptosystem (asymmetric key cryptosystem) that encrypts and decrypts data using two pairs of keys (a public key and a secret key) will be described as an example. In this embodiment, one encryption key (public key, secret key) is assigned to the storage device 14 in order to encrypt information data to be concealed and decrypt the concealed data.

より具体的には、情報データを暗号化する場合には、図5に示すように、秘匿すべき情報データを格納するユーザは当該ユーザの秘密鍵(Private-ID)J1、及び格納装置14に割り当てられた公開鍵(Public-ID)J2を暗復号処理部11に入力する。また、乱数生成器13から真正乱数が暗復号処理部11に入力される。暗復号処理部11は、入力された(受信した)ユーザの秘密鍵J1及び格納装置14の公開鍵J2を用いて、受信した秘匿すべき情報データJ3を暗号化し、暗号化データJ4を生成する。暗復号処理部11においては、上記した実施例と同様、KPS暗号鍵交換アルゴリズムが用いられている。また、他の暗号鍵交換アルゴリズムを用いることもできる。なお、情報論的安全性を有する暗号鍵交換アルゴリズムを用いるのが好ましい。また、本発明は特定の暗号アルゴリズムに限定されず、種々の暗号アルゴリズムを適用することができる。   More specifically, in the case of encrypting information data, as shown in FIG. 5, the user storing the information data to be kept secret is stored in the user's private key (Private-ID) J1 and the storage device 14. The assigned public key (Public-ID) J2 is input to the encryption / decryption processing unit 11. Further, a genuine random number is input from the random number generator 13 to the encryption / decryption processing unit 11. The encryption / decryption processing unit 11 encrypts the received confidential information data J3 using the input (received) user private key J1 and the public key J2 of the storage device 14 to generate encrypted data J4. . In the encryption / decryption processing unit 11, the KPS encryption key exchange algorithm is used as in the above-described embodiment. Other encryption key exchange algorithms can also be used. It is preferable to use an encryption key exchange algorithm having information security. Further, the present invention is not limited to a specific encryption algorithm, and various encryption algorithms can be applied.

得られた暗号化データJ4は、ステガノグラフィ処理部12においてコンテナデータに埋め込まれ、ステガノグラフィデータとして秘匿化される。コントローラ15は、かかる暗号化された情報データが埋め込まれたステガノグラフィデータを格納装置14に格納(蓄積)するよう制御する。   The obtained encrypted data J4 is embedded in the container data in the steganography processing unit 12 and concealed as steganography data. The controller 15 controls the storage device 14 to store (accumulate) the steganographic data in which the encrypted information data is embedded.

暗号化された情報データが埋め込まれたステガノグラフィデータを復号する場合には、図6に示すように、秘匿すべき情報データを格納するユーザは当該ユーザの公開鍵J11及び格納装置14に割り当てられた秘密鍵J12を暗復号処理部11に入力する。当該暗号鍵の入力、あるいはユーザの指令等の受信に応答して、ステガノグラフィ処理部12は、格納装置14からステガノグラフィデータを読み出し、当該ステガノグラフィデータに埋め込まれていた暗号化データJ13を取り出す。暗復号処理部11は、入力されたユーザの公開鍵J11及び格納装置14の秘密鍵J12を用いて、暗号化データJ13の復号を行い、元の情報データJ14を取り出す。   When decrypting steganographic data in which encrypted information data is embedded, as shown in FIG. 6, the user storing the information data to be kept secret is assigned to the public key J11 and the storage device 14 of the user. The secret key J12 is input to the encryption / decryption processing unit 11. In response to the input of the encryption key or the reception of a user command or the like, the steganography processing unit 12 reads the steganography data from the storage device 14 and extracts the encrypted data J13 embedded in the steganography data. The encryption / decryption processing unit 11 decrypts the encrypted data J13 by using the input public key J11 of the user and the secret key J12 of the storage device 14, and extracts the original information data J14.

かかる構成によって、複数のユーザにより格納装置14を共有して、秘匿すべき情報データを安全に格納し、及び読み出しをすることができる。   With this configuration, the storage device 14 can be shared by a plurality of users, and information data to be kept secret can be safely stored and read.

また、上記したように、本発明の暗号装置10によれば、秘匿すべき情報データは情報量的安全性に基づく暗号アルゴリズムによって暗号化されている。その上、ステガノグラフィによって非可視化されている。従って、たとえデータを持ち出されたとしても、非可視化されている上に、そのデータは情報量的安全性に基づく暗号アルゴリズムによって暗号化されているため、極めて強固な安全性を有している。   Further, as described above, according to the encryption device 10 of the present invention, the information data to be concealed is encrypted by the encryption algorithm based on the information security. In addition, it is invisible by steganography. Therefore, even if the data is taken out, it is invisible, and the data is encrypted by an encryption algorithm based on information security, so it has extremely strong security.

なお、上記した実施例1及び実施例2における暗号装置10は、PC、サーバ、データベース装置等のコンピュータ内に設けられ、動作するように構成されていてもよい。この場合、インターフェース16は必ずしも必要ではないが、暗号装置10は、当該コンピュータのIDEバス、PCIバス、USBなど、種々の外部バス、拡張バス等を介して動作するように構成されている。   Note that the encryption device 10 in the first and second embodiments described above may be provided in a computer such as a PC, a server, or a database device and configured to operate. In this case, the interface 16 is not necessarily required, but the encryption device 10 is configured to operate via various external buses, expansion buses, and the like such as an IDE bus, a PCI bus, and a USB of the computer.

図7は、本発明の実施例3である暗号装置10の構成を模式的に示すブロック図である。   FIG. 7 is a block diagram schematically illustrating the configuration of the encryption device 10 according to the third embodiment of the present invention.

暗号装置10は、暗復号処理部11、ステガノグラフィ処理部12、格納装置14、コントローラ(又はCPU)15を有し、さらに後に詳述する検証部15Aが設けられている。また、これらの各構成部は信号バス17を介してコントローラ15に接続されている。すなわち、コントローラ15は、本暗号装置全体の制御をなす。また、暗号装置10は、PC、サーバ、データベース装置等のコンピュータ内に設けられ、動作するように構成されている。格納装置14は、例えば、当該コンピュータのIDEバスに接続され、インターフェース回路を介して上記した暗号装置10の他の構成部に接続されていてもよい。   The encryption device 10 includes an encryption / decryption processing unit 11, a steganography processing unit 12, a storage device 14, and a controller (or CPU) 15, and further includes a verification unit 15A described in detail later. Each of these components is connected to the controller 15 via the signal bus 17. That is, the controller 15 controls the entire encryption device. The encryption device 10 is provided in a computer such as a PC, a server, or a database device, and is configured to operate. For example, the storage device 14 may be connected to the IDE bus of the computer, and may be connected to other components of the encryption device 10 described above via an interface circuit.

なお、暗号装置10は、当該コンピュータのIDEバス、PCIバス、USBなど、種々の外部バス、拡張バス等を介して、当該コンピュータのプロセッサの指令に基づいて動作するように構成されていてもよい。   The encryption device 10 may be configured to operate based on commands from the processor of the computer via various external buses, expansion buses, such as the IDE bus, PCI bus, and USB of the computer. .

本実施例において、暗復号処理部11は、暗号鍵を受信する。暗復号処理部11は、受信した暗号鍵を用いて入力された(受信した)秘匿すべき情報データを暗号化する。暗復号処理部11においては、秘密鍵暗号(対称鍵暗号)方式、公開鍵暗号(非対称鍵暗号)方式、その他種々の暗号アルゴリズムを用いることができる。すなわち、特定の暗号アルゴリズムに限定されない。なお、上記した実施例と同様、KPS暗号鍵交換アルゴリズム等、情報論的安全性を有する暗号鍵交換アルゴリズムを用いるのが好ましい。   In this embodiment, the encryption / decryption processing unit 11 receives an encryption key. The encryption / decryption processing unit 11 encrypts the information data to be concealed that is input (received) using the received encryption key. In the encryption / decryption processing unit 11, a secret key encryption (symmetric key encryption) method, a public key encryption (asymmetric key encryption) method, and other various encryption algorithms can be used. That is, it is not limited to a specific encryption algorithm. As in the above-described embodiment, it is preferable to use an encryption key exchange algorithm having information security, such as a KPS encryption key exchange algorithm.

暗号化により得られた暗号化データは、ステガノグラフィ処理部12においてコンテナデータに埋め込まれ(データ埋め込み)、ステガノグラフィデータとして秘匿化される。コントローラ15は、かかる暗号化された情報データが埋め込まれたステガノグラフィデータを格納装置14に格納するよう制御する。   The encrypted data obtained by the encryption is embedded in the container data (data embedding) in the steganography processing unit 12 and is concealed as steganography data. The controller 15 controls to store the steganographic data in which the encrypted information data is embedded in the storage device 14.

以下に、格納装置14に格納(蓄積)されているデータにアクセス(データの読み出し、使用、コピー、移動等)する指令(以下、アクセス指令という)が発せられたとき、暗号装置10において実行される処理動作の手順について、図8に示すフローチャートを参照しつつ説明する。以下においては、格納装置14からデータを読み出す旨のアクセス指令(読出指令)がなされた場合を例に説明するが、他のアクセス指令の場合もなされる動作は同様である。   Below, when a command (hereinafter referred to as an access command) for accessing (reading, using, copying, moving, etc.) the data stored (accumulated) in the storage device 14 is issued, it is executed in the encryption device 10. The procedure of the processing operation will be described with reference to the flowchart shown in FIG. In the following, a case where an access command (read command) for reading data from the storage device 14 is described as an example, but the operation performed in the case of other access commands is the same.

コントローラ15は、格納装置14からデータを読み出す旨のアクセス指令(読出指令)を受信したことを検出する(ステップS11)。コントローラ15は、かかる読出指令に応答して、当該読出指令が、暗号化された情報データが埋め込まれたステガノグラフィデータ(すなわち、ステガノグラフィデータ・ファイル)を読み出す指令か否かを判別する(ステップS12)。ステガノグラフィデータを読み出す指令が発せられたと判別されたとき、コントローラ15の制御の下、以下の処理が実行される。なお、ステップS12においてステガノグラフィデータを読み出す指令ではないと判別されたときは、すなわち、ステガノグラフィ処理部12によってステガノグラフィ処理をなされたデータではないと判別されたときは、本ルーチンを終了する。   The controller 15 detects that an access command (read command) for reading data from the storage device 14 has been received (step S11). In response to the read command, the controller 15 determines whether the read command is a command for reading steganographic data (that is, a steganographic data file) in which encrypted information data is embedded (step S12). . When it is determined that an instruction to read steganography data has been issued, the following processing is executed under the control of the controller 15. If it is determined in step S12 that the command is not for reading steganographic data, that is, if it is determined that the data is not steganographic processed by the steganographic processing unit 12, this routine is terminated.

コントローラ15は、格納装置14に対し、データの送出を一時停止せしめる(保留させる)送出保留指示を指令する(ステップS13)。   The controller 15 instructs the storage device 14 to issue a transmission hold instruction for temporarily stopping (holding) the data transmission (step S13).

検証部15Aは、ステガノグラフィデータを読み出すことを指令するアクセス指令(読出指令)に応答して、暗復号処理部11が当該アクセス指令に関連する暗号鍵を受信したかを検出する。そして当該関連する暗号鍵が当該ステガノグラフィデータに埋め込まれた暗号化データに対応するか否かを検証する(ステップS14)。より詳細には、当該検出された暗号鍵(アクセス指令に関連する暗号鍵)がアクセスされようとしているステガノグラフィデータに埋め込まれた暗号化データを正しく復号することができる暗号鍵であるか(すなわち、真正な復号化鍵であるか)否かが検証される。なお、ステガノグラフィデータが暗号化されたときの暗号鍵(すなわち、暗号化鍵)と当該検出した暗号鍵が一致するか否かを検証してもよい。また、共通鍵やセッション鍵等、アクセスした者が真正であることを検証できる暗号鍵や暗号化のためのアクセスキーであるか否かを検証するようにしてもよい。なお、当該暗号鍵が当該ステガノグラフィデータに埋め込まれたデータに対応しない場合には、暗号鍵が検出されない場合も含まれるとしてもよい。   The verification unit 15A detects whether the encryption / decryption processing unit 11 has received the encryption key related to the access command in response to the access command (read command) that instructs to read the steganography data. Then, it is verified whether or not the related encryption key corresponds to the encrypted data embedded in the steganographic data (step S14). More specifically, whether the detected encryption key (the encryption key associated with the access command) is an encryption key that can correctly decrypt the encrypted data embedded in the steganographic data to be accessed (ie, Whether it is a genuine decryption key or not. Note that it may be verified whether or not the encryption key when the steganography data is encrypted (that is, the encryption key) matches the detected encryption key. Further, it may be verified whether the access key is an encryption key or encryption key that can verify that the person who has accessed is authentic, such as a common key or a session key. If the encryption key does not correspond to the data embedded in the steganography data, the case where the encryption key is not detected may be included.

当該暗号鍵が当該ステガノグラフィデータに埋め込まれたデータに対応しない場合には、コントローラ15は、コントローラ15内の検証部15Aの検証結果に基づいて、ステガノグラフィ処理部12に制御信号(CS)を送出する。   When the encryption key does not correspond to the data embedded in the steganography data, the controller 15 sends a control signal (CS) to the steganography processing unit 12 based on the verification result of the verification unit 15A in the controller 15. .

一方、ステップS14において、当該暗号鍵が当該ステガノグラフィデータに埋め込まれたデータに対応すると検証されたときは、本ルーチンを終了する。すなわち、データアクセスの制限は解除され、当該ステガノグラフィデータへのアクセスが許可される。   On the other hand, when it is verified in step S14 that the encryption key corresponds to the data embedded in the steganography data, this routine is terminated. That is, the restriction on data access is released, and access to the steganography data is permitted.

上記した制御信号(CS)は、真正な暗号鍵が供給されない場合において、暗号化された情報データが埋め込まれた状態でステガノグラフィデータを格納装置14から読み出すことを禁止するよう制御する信号である。   The control signal (CS) described above is a signal that controls to prohibit reading of the steganographic data from the storage device 14 in a state where the encrypted information data is embedded when the authentic encryption key is not supplied.

より具体的には、コントローラ15は、検証部15Aにおいて暗号鍵が当該ステガノグラフィデータに埋め込まれたデータに対応しないと判別された場合に、ステガノグラフィデータに埋め込まれた暗号化情報データを改変するようステガノグラフィ処理部12に対し指令する制御信号(CS)を送出する(ステップS15)。   More specifically, when the verification unit 15A determines that the encryption key does not correspond to the data embedded in the steganographic data, the controller 15 modifies the steganographic data embedded in the steganographic data. A control signal (CS) commanded to the processing unit 12 is sent out (step S15).

なお、コントローラ15は、ステガノグラフィ処理部12を制御して、原ステガノグラフィデータ(すなわち、改変を行う前のステガノグラフィデータ)を格納装置14あるいは他の格納装置等に退避する(ステップS16)。   The controller 15 controls the steganography processing unit 12 to save the original steganography data (that is, the steganography data before modification) to the storage device 14 or another storage device (step S16).

ステガノグラフィ処理部12は、当該制御信号(CS)に応じてステガノグラフィデータに埋め込まれた暗号化情報データを改変する(ステップS17)。埋め込まれた暗号化情報データの改変としては、例えば、当該暗号化情報データのステガノグラフィデータからの削除、当該暗号化情報データの破壊、秘匿する必要のないデータ(ダミーデータ)との置き換え等、持ち出されても安全なデータに当該ステガノグラフィデータを変更することを含む。   The steganography processing unit 12 modifies the encrypted information data embedded in the steganography data in accordance with the control signal (CS) (step S17). Examples of the modification of the embedded encrypted information data include removal of the encrypted information data from the steganography data, destruction of the encrypted information data, replacement with data that does not need to be concealed (dummy data), etc. Including changing the steganographic data to safe data.

コントローラ15は、ステガノグラフィデータの改変が終了後、改変後のステガノグラフィデータ・ファイルを改変前のステガノグラフィデータ(原ステガノグラフィデータ)のファイルで置き換える。すなわち、同一のファイル名で格納装置14に格納する。   After the modification of the steganography data is completed, the controller 15 replaces the modified steganography data file with a file of steganography data (original steganography data) before modification. That is, the same file name is stored in the storage device 14.

その後、コントローラ15は、格納装置14に対し、改変後のステガノグラフィデータの送出を許可する送出許可指示を指令する(ステップS18)。格納装置14は、改変後のデータを読出指令を受けたデータとして送出する。すなわち、暗号化情報データを含まず、持ち出されても安全なデータに改変されたデータが、当初指定されたファイル名を有するデータファイルとして送出される。   Thereafter, the controller 15 instructs the storage device 14 to send a transmission permission instruction for permitting transmission of the modified steganography data (step S18). The storage device 14 sends the modified data as data that has received a read command. In other words, data that does not include the encrypted information data and has been changed to data that is safe even if it is taken out is transmitted as a data file having a file name initially specified.

本実施例の暗号装置10においては、ステガノグラフィデータにアクセスする場合、正当なアクセス権を有するユーザが、秘匿すべきデータをコンテナデータから抽出し(データ抽出、又はステガノグラフィ復号)、かつ、暗号化された情報データの復号をなすことを前提としている。   In the encryption apparatus 10 of the present embodiment, when accessing steganographic data, a user having a legitimate access right extracts the data to be concealed from the container data (data extraction or steganographic decryption) and is encrypted. It is assumed that the information data is decrypted.

従って、上記した構成、動作により、暗号化情報データを復号する正当なアクセス権を有するユーザ以外の秘匿すべきデータへのアクセス(データの読取、使用、コピー、移動等)を回避することができる。また、ハッキング等の不正・不法な手段により、LANその他のネットワーク上の格納装置に手当たり次第にアクセスし、当該ネットワーク上に配された格納装置14からデータを取得等した者は、取得した複数のデータファイルのうちいずれのデータファイルに秘匿すべきデータが含まれていたか、さらには、アクセスした装置(格納装置14)に秘匿すべきデータが含まれていたか否かすらも知ることができない。また、取得したデータには、秘匿すべきデータは含まれていないので、後日、たとえ解析等によってステガノグラフィ復号、暗号解読等を試みたとしても秘匿すべきデータを知得することはあり得ない。   Therefore, with the configuration and operation described above, it is possible to avoid access (data read, use, copy, move, etc.) to data that should be kept confidential except for a user who has the right access right to decrypt the encrypted information data. . In addition, a person who accesses a storage device on a LAN or other network by illegal or illegal means such as hacking and obtains data from the storage device 14 arranged on the network can obtain a plurality of acquired data It is impossible to know which data file of the file contains data to be kept secret, and even whether the accessed device (storage device 14) contains data to be kept secret. Moreover, since the data to be concealed is not included in the acquired data, the data to be concealed cannot be known even if steganographic decryption, decryption, or the like is attempted later by analysis or the like.

なお、上記した実施例は適宜組み合わせて適用することができる。例えば、実施例3に実施例2を組み合わせた場合においては、検証部15Aは、ユーザの秘密鍵及び格納装置14の秘密鍵のいずれか又は両者がステガノグラフィデータに埋め込まれたデータに対応するか否かを検証するようにすることができる。また、実施例3に実施例1を組み合わせた場合においては、検証部15Aは、第1及び2ユーザの秘密鍵のいずれか又は両者が、あるいはセッション鍵が、ステガノグラフィデータに埋め込まれたデータに対応するか否かを検証するようにしてもよい。   The above-described embodiments can be applied in appropriate combination. For example, in the case where the second embodiment is combined with the third embodiment, the verification unit 15A determines whether one or both of the user's private key and the storage device 14 corresponds to data embedded in the steganography data. Can be verified. Further, in the case where the first embodiment is combined with the third embodiment, the verification unit 15A corresponds to data in which one or both of the first and second user private keys or the session key is embedded in the steganography data. You may make it verify whether it does.

以上、詳細に説明したように、PC、サーバ、データベース装置等のコンピュータや情報装置内やネットワーク上に存在する情報データを不正行為から確実に保護することが可能な暗号装置を提供できる。   As described above in detail, it is possible to provide an encryption device that can reliably protect information data existing in computers, information devices, and networks such as PCs, servers, and database devices from illegal activities.

本発明の実施例1である暗号装置の構成を模式的に示すブロック図である。It is a block diagram which shows typically the structure of the encryption apparatus which is Example 1 of this invention. 図2は、暗号装置の構成を模式的に示す図である。FIG. 2 is a diagram schematically illustrating the configuration of the encryption device. 情報データの暗号化の手順を示す図である。It is a figure which shows the procedure of encryption of information data. 格納装置に格納されたステガノグラフィデータを復号する手順を示す図である。It is a figure which shows the procedure which decodes the steganography data stored in the storage device. 本発明の実施例2である暗号装置の暗号化を説明するためのブロック図である。It is a block diagram for demonstrating encryption of the encryption apparatus which is Example 2 of this invention. 本発明の実施例2である暗号装置の復号化を説明するためのブロック図である。It is a block diagram for demonstrating the decoding of the encryption apparatus which is Example 2 of this invention. 本発明の実施例3である暗号装置の構成を模式的に示すブロック図である。It is a block diagram which shows typically the structure of the encryption apparatus which is Example 3 of this invention. 本発明の実施例3である暗号装置において実行される処理動作の手順について示すフローチャートである。It is a flowchart shown about the procedure of the processing operation performed in the encryption apparatus which is Example 3 of this invention.

符号の説明Explanation of symbols

10 暗号装置
11 暗復号処理部
12 ステガノグラフィ処理部
13 乱数生成器
14 格納装置
15 コントローラ
15A 検証部
16 インターフェース
17 信号バス 10 Encryption Device 11 Encryption / Decryption Processing Unit 12 Steganography Processing Unit 13 Random Number Generator 14 Storage Device 15 Controller 15A Verification Unit 16 Interface 17 Signal Bus

Claims (12)

暗号装置であって、
情報データ及び暗号鍵を受信する受信部と、
前記暗号鍵を用いて前記情報データの暗号化をなす暗号部と、
暗号化された情報データをコンテナデータへ埋め込んでステガノグラフィデータを生成するデータ埋め込み部と、
前記ステガノグラフィデータを蓄積する格納装置と、を有することを特徴とする暗号装置。 An encryption device,
A receiving unit for receiving the information data and the encryption key;
An encryption unit that encrypts the information data using the encryption key;
A data embedding unit that embeds encrypted information data in container data to generate steganographic data;
And a storage device for storing the steganographic data. 前記格納装置に格納されたステガノグラフィデータから前記ステガノグラフィデータに埋め込まれた暗号化情報データを抽出するデータ抽出部と、前記受信部により受信した暗号鍵を用い、抽出された暗号化情報データの復号をなす復号部と、を有することを特徴とする請求項1に記載の暗号装置。   A data extraction unit for extracting encrypted information data embedded in the steganographic data from the steganographic data stored in the storage device, and decryption of the extracted encrypted information data using the encryption key received by the receiving unit The encryption apparatus according to claim 1, further comprising: 真正乱数を生成する乱数生成器を更に有し、前記暗号部は前記真正乱数を用いて前記情報データの暗号化をなすことを特徴とする請求項1に記載の暗号装置。   The cryptographic apparatus according to claim 1, further comprising a random number generator for generating a genuine random number, wherein the encryption unit encrypts the information data using the genuine random number. 前記暗号部及び前記復号部は、KPS暗号鍵交換アルゴリズムを用いて前記情報データの暗号化をなすことを特徴とする請求項2に記載の暗号装置。   The encryption apparatus according to claim 2, wherein the encryption unit and the decryption unit encrypt the information data using a KPS encryption key exchange algorithm. 前記暗号鍵及び前記情報データを受信して前記受信部に中継するインターフェース回路を有することを特徴とする請求項2に記載の暗号装置。   The encryption apparatus according to claim 2, further comprising an interface circuit that receives the encryption key and the information data and relays the data to the reception unit. 前記暗号部及び前記復号部における暗号方式は公開鍵暗号方式であり、2対の公開鍵及び秘密鍵のうち一対が前記格納装置に割り当てられていることを特徴とする請求項2に記載の暗号装置。   The encryption method according to claim 2, wherein the encryption method in the encryption unit and the decryption unit is a public key encryption method, and a pair of two public keys and a secret key is assigned to the storage device. apparatus. 前記格納装置に格納されたステガノグラフィデータへのアクセス指令が発せられたことを検出するアクセス指令検出部と、
前記受信部により受信した、前記アクセス指令に関連する暗号鍵が、前記ステガノグラフィデータに埋め込まれた暗号化情報データに対応するか否かを検証する検証部と、
前記暗号鍵が前記ステガノグラフィデータに埋め込まれた暗号化情報データに対応しないと検証されたときに、前記暗号化情報データの改変を指令する改変指令を発するコントローラと、を有することを特徴とする請求項2に記載の暗号装置。 An access command detection unit for detecting that an access command to steganography data stored in the storage device is issued;
A verification unit that verifies whether the encryption key related to the access command received by the reception unit corresponds to the encrypted information data embedded in the steganography data;
And a controller that issues a modification command for commanding modification of the encrypted information data when it is verified that the encryption key does not correspond to the encrypted information data embedded in the steganography data. Item 3. The encryption device according to Item 2. 前記コントローラは、前記データ埋め込み部及びデータ抽出部を制御して、前記暗号化情報データの改変を実行することを特徴とする請求項7に記載の暗号装置。   8. The encryption apparatus according to claim 7, wherein the controller controls the data embedding unit and the data extraction unit to modify the encrypted information data. 前記暗号化情報データの改変は、前記ステガノグラフィデータからの前記暗号化情報データの削除、前記暗号化情報データの破壊、及び前記暗号化情報データのダミーデータとの置換のうちいずれか1を含むことを特徴とする請求項7に記載の暗号装置。   The modification of the encrypted information data includes any one of deletion of the encrypted information data from the steganographic data, destruction of the encrypted information data, and replacement of the encrypted information data with dummy data. The encryption device according to claim 7. 前記コントローラは、前記アクセス指令が発せられたことが検出されたときに、前記ステガノグラフィデータへのアクセスを保留せしめる保留指令を発することを特徴とする請求項7に記載の暗号装置。   8. The encryption apparatus according to claim 7, wherein when the controller detects that the access command has been issued, the controller issues a hold command for holding access to the steganography data. 前記コントローラは、前記改変指令が発せられた場合に、前記ステガノグラフィデータに埋め込まれた暗号化情報データの改変に先立って、前記ステガノグラフィデータを退避することを特徴とする請求項8に記載の暗号装置。   9. The encryption apparatus according to claim 8, wherein the controller saves the steganographic data prior to the modification of the encrypted information data embedded in the steganographic data when the modification instruction is issued. . 前記コントローラは、前記暗号化情報データの改変を実行した後のステガノグラフィデータを前記アクセス指令に応答するデータとしてアクセスを許可することを特徴とする請求項8に記載の暗号装置。   9. The encryption apparatus according to claim 8, wherein the controller permits the steganographic data after the modification of the encrypted information data as data responding to the access command.
JP2004036651A 2004-02-13 2004-02-13 Encryption device Pending JP2005229382A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004036651A JP2005229382A (en) 2004-02-13 2004-02-13 Encryption device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004036651A JP2005229382A (en) 2004-02-13 2004-02-13 Encryption device

Publications (1)

Publication Number Publication Date
JP2005229382A true JP2005229382A (en) 2005-08-25

Family

ID=35003752

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004036651A Pending JP2005229382A (en) 2004-02-13 2004-02-13 Encryption device

Country Status (1)

Country Link
JP (1) JP2005229382A (en)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6336634A (en) * 1986-07-31 1988-02-17 Advance Co Ltd Cryptographic key common use system and equipment using same system
JPH1022992A (en) * 1996-07-05 1998-01-23 Hitachi Inf Syst Ltd Multi-address cipher communication method for message and storage medium
JP2000089672A (en) * 1998-09-09 2000-03-31 Ntt Data Corp Enciphering circuit and random password generation circuit
JP2001016655A (en) * 1999-06-30 2001-01-19 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd Portable terminal with security
JP2001274980A (en) * 2000-03-27 2001-10-05 Asa Systems:Kk Printed matter and information security system using the printed matter
JP2002101397A (en) * 2000-06-28 2002-04-05 Sony Corp Device and method for embedding additional information, and recording medium
JP2003169047A (en) * 2001-12-03 2003-06-13 Tech Res & Dev Inst Of Japan Def Agency Encryption device, decryption device, recording medium, encryption method, decryption method, and program making computer execute the methods
JP2003223101A (en) * 2001-09-10 2003-08-08 Stmicroelectronics Sa Secure multimedia data transmission method
JP2003244449A (en) * 2002-02-18 2003-08-29 Canon Inc Image management method having cipher processing function and image processor
JP2003298832A (en) * 2002-03-29 2003-10-17 Hitachi Koukiyou Syst Eng Kk Method for keeping information secret and method for extracting information

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6336634A (en) * 1986-07-31 1988-02-17 Advance Co Ltd Cryptographic key common use system and equipment using same system
JPH1022992A (en) * 1996-07-05 1998-01-23 Hitachi Inf Syst Ltd Multi-address cipher communication method for message and storage medium
JP2000089672A (en) * 1998-09-09 2000-03-31 Ntt Data Corp Enciphering circuit and random password generation circuit
JP2001016655A (en) * 1999-06-30 2001-01-19 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd Portable terminal with security
JP2001274980A (en) * 2000-03-27 2001-10-05 Asa Systems:Kk Printed matter and information security system using the printed matter
JP2002101397A (en) * 2000-06-28 2002-04-05 Sony Corp Device and method for embedding additional information, and recording medium
JP2003223101A (en) * 2001-09-10 2003-08-08 Stmicroelectronics Sa Secure multimedia data transmission method
JP2003169047A (en) * 2001-12-03 2003-06-13 Tech Res & Dev Inst Of Japan Def Agency Encryption device, decryption device, recording medium, encryption method, decryption method, and program making computer execute the methods
JP2003244449A (en) * 2002-02-18 2003-08-29 Canon Inc Image management method having cipher processing function and image processor
JP2003298832A (en) * 2002-03-29 2003-10-17 Hitachi Koukiyou Syst Eng Kk Method for keeping information secret and method for extracting information

Similar Documents

Publication Publication Date Title
CN104796265B (en) A kind of Internet of Things identity identifying method based on Bluetooth communication access
CN100542085C (en) The system and method for securing executable code
JP4562464B2 (en) Information processing device
JP2007013433A (en) Method for transmitting/receiving encrypted data and information processing system
KR100720962B1 (en) Method of mutual authentication and secure data communication in rfid-system
JPH09270785A (en) Information processor
JP2006295872A (en) Formation method of device-dependent key, confidential information lsi equipped with secret information function using the method, host equipment using the lsi, record medium with authentication function used for the host equipment, and mobile terminal with recording medium equipped with authentication function
KR20080025121A (en) Generating a secret key from an asymmetric private key
KR101078546B1 (en) Apparatus for coding and decoding of security data file based on data storage unit idedtification, system for electronic signature using the same
CN111614467B (en) System backdoor defense method and device, computer equipment and storage medium
JP2019506789A (en) A method, system, and apparatus using forward secure encryption technology for passcode verification.
CN103237010B (en) The server end of digital content is cryptographically provided
JP2005157930A (en) Confidential information processing system and lsi
CN103237011B (en) Digital content encryption transmission method and server end
KR101485968B1 (en) Method for accessing to encoded files
US8452986B2 (en) Security unit and protection system comprising such security unit as well as method for protecting data
CN101539979A (en) Method for controlling and protecting electronic document and device thereof
JP2009199147A (en) Communication control method and communication control program
JP2016076797A (en) Security construction method in data preservation
Blaze Key escrow from a safe distance: looking back at the clipper chip
JP2008048166A (en) Authentication system
JP4140617B2 (en) Authentication system using authentication recording medium and method of creating authentication recording medium
JP2005229382A (en) Encryption device
JP2007150780A (en) Enciphering method, apparatus and program
US20180048629A1 (en) Expression and Method to Send and Receive Text Messages Encrypted For The Targeted Receiving User to Render Eavesdropping Useless.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100420

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100817