JP2005229382A - Encryption device - Google Patents
Encryption device Download PDFInfo
- Publication number
- JP2005229382A JP2005229382A JP2004036651A JP2004036651A JP2005229382A JP 2005229382 A JP2005229382 A JP 2005229382A JP 2004036651 A JP2004036651 A JP 2004036651A JP 2004036651 A JP2004036651 A JP 2004036651A JP 2005229382 A JP2005229382 A JP 2005229382A
- Authority
- JP
- Japan
- Prior art keywords
- data
- encryption
- information data
- key
- steganography
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Editing Of Facsimile Originals (AREA)
Abstract
Description
本発明は暗号装置、特に情報データを秘匿するための暗号化及び/又は復号化をなす暗号装置に関する。 The present invention relates to an encryption device, and more particularly to an encryption device that performs encryption and / or decryption for concealing information data.
インターネットの進展に伴い、インターネットに接続された企業や個人のPC(パーソナルコンピュータ)及びプライベートネットワークは外部からの侵入等の不正行為による危険に晒されている。このような不正行為からPCやネットワーク上に存在する情報データを保護するために、不正侵入を防止するファイアウォールや、RSA方式等の暗号、認証、デジタル署名、など種々のセキュリティ技術・措置が講じられている。 With the progress of the Internet, companies and personal PCs (personal computers) and private networks connected to the Internet are exposed to dangers due to fraudulent acts such as intrusion from the outside. In order to protect information data existing on PCs and networks from such unauthorized acts, various security technologies and measures such as firewalls that prevent unauthorized intrusion, encryption such as RSA, authentication, and digital signatures are taken. ing.
また、近年、情報データを保護するための技術としてステガノグラフィ(例えば、特許文献1参照)についても検討されている。ステガノグラフィは、「画像深層暗号」、「情報非可視化」等とも称され、情報データを秘匿化する技術である。すなわち、秘匿すべき情報データを別の情報データに埋め込んで他人に気付かれないようにする技術である。当該別の情報データは、コンテナ(container)データ、ベッセル(vessel)データ等と呼ばれ、例えば、画像データや音声データ、その他デジタルデータ等が用いられる。 In recent years, steganography (see, for example, Patent Document 1) has been studied as a technique for protecting information data. Steganography is also referred to as “image deep encryption”, “information invisibility”, and the like, and is a technique for concealing information data. In other words, it is a technique for embedding information data to be concealed in other information data so that others do not notice it. The other information data is called container data, vessel data, or the like, and for example, image data, audio data, or other digital data is used.
また、暗号通信を行う場合、暗号アルゴリズムと鍵管理アルゴリズムが必要になるが、安全に鍵を交換する鍵管理アルゴリズムとしてKPS(Key Predistribution System)がある。ここで、KPSは、横浜国立大学の松本勉助教授と東京大学の今井秀樹教授によって考案されたものである(特許文献2参照)。 Further, when performing cryptographic communication, an encryption algorithm and a key management algorithm are required, but there is KPS (Key Predistribution System) as a key management algorithm for securely exchanging keys. Here, KPS was devised by Professor Tsutomu Matsumoto of Yokohama National University and Professor Hideki Imai of the University of Tokyo (see Patent Document 2).
しかしながら、上記した従来の種々の技術によっても極めて強固なセキュリティを実現することは困難であった。例えば、完全なファイアウォールや完全なセキュリティを有するソフトウエアを実現するのは事実上不可能であり、例えば、ソフトウエアのセキュリティホールを介してコンピュータへの不正侵入、不正操作が行われている。また、かかる不正行為とセキュリティ技術の進展とはいたちごっこであり、新たなセキュリティ技術であってもその解析等によっていずれは破られてしまう。 However, it has been difficult to realize extremely strong security by the above-described various conventional techniques. For example, it is practically impossible to realize a complete firewall or software having complete security. For example, unauthorized intrusion and unauthorized operation to a computer are performed through a software security hole. In addition, such fraudulent acts and the advancement of security technologies are precious, and even new security technologies will eventually be broken by analysis and the like.
従って、かかる不正行為からPC等の情報装置やネットワーク上に存在する情報データを確実に保護することが重要な課題となっている。
本発明は、上記した点に鑑みてなされたものであり、PC、サーバ、データベース装置等のコンピュータや情報装置内やネットワーク上に存在する情報データを不正行為から確実に保護することが可能な暗号装置を提供することをその目的とする。 The present invention has been made in view of the above points, and is an encryption that can reliably protect information data existing in computers, information devices, and networks such as PCs, servers, database devices, etc. from unauthorized acts. The object is to provide a device.
本発明による暗号装置は、暗号鍵及び情報データを受信する受信部と、暗号鍵を用いて情報データの暗号化をなす暗号部と、暗号化された情報データをコンテナデータへ埋め込んでステガノグラフィデータを生成するデータ埋め込み部と、ステガノグラフィデータを蓄積する格納装置と、を有することを特徴としている。 An encryption apparatus according to the present invention includes a receiving unit that receives an encryption key and information data, an encryption unit that encrypts information data using the encryption key, and embedding the encrypted information data in container data to store steganographic data. A data embedding unit to be generated and a storage device for accumulating steganography data are provided.
また、本発明による暗号装置は、上記格納装置に格納されたステガノグラフィデータからステガノグラフィデータに埋め込まれた暗号化情報データを抽出するデータ抽出部と、受信した暗号鍵を用い、抽出された暗号化情報データの復号をなす復号部と、をさらに有することを特徴としている。 In addition, the encryption device according to the present invention uses the data extraction unit that extracts the encryption information data embedded in the steganography data from the steganography data stored in the storage device, and the extracted encryption information using the received encryption key. And a decryption unit for decrypting data.
また、本発明による暗号装置は、上記格納装置に格納されたステガノグラフィデータへのアクセス指令が発せられたことを検出するアクセス指令検出部と、受信部により受信した、アクセス指令に関連する暗号鍵が、ステガノグラフィデータに埋め込まれた暗号化情報データに対応するか否かを検証する検証部と、上記暗号鍵が上記ステガノグラフィデータに埋め込まれた暗号化情報データに対応しないと検証されたときに、暗号化情報データの改変を指令する改変指令を発するコントローラと、を有することを特徴ととしている。 The encryption device according to the present invention includes an access command detection unit that detects that an access command to steganography data stored in the storage device is issued, and an encryption key related to the access command received by the reception unit. A verification unit that verifies whether or not the encrypted information data embedded in the steganographic data is supported, and when the encryption key is verified not to correspond to the encrypted information data embedded in the steganographic data. And a controller that issues a modification command for commanding modification of the computerized information data.
また、本発明による暗号装置において、上記コントローラは、データ埋め込み部及びデータ抽出部を制御して、上記暗号化情報データの改変を実行することを特徴としている。 In the encryption apparatus according to the present invention, the controller controls the data embedding unit and the data extraction unit to execute modification of the encrypted information data.
以下、本発明の実施例について図面を参照しつつ詳細に説明する。なお、以下に示す実施例において、等価な構成要素には同一の参照符を付している。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In the embodiments described below, equivalent components are denoted by the same reference numerals.
[暗号装置の構成]
図1は、本発明の実施例1である暗号装置10の構成を模式的に示すブロック図である。暗号装置10は、情報データの暗号化及び/又は復号化をなす暗号化/復号化処理部(以下、暗復号処理部という)11、データのステガノグラフィ処理をなすステガノグラフィ処理部12、乱数生成器13、格納装置14、コントローラ(CPU)15及びホストインターフェース16から構成されている。なお、これらの構成回路は信号バス17を介してコントローラ(又はCPU)15に接続されている。すなわち、コントローラ15は、暗号装置全体の制御をなす。
[Configuration of encryption device]
FIG. 1 is a block diagram schematically showing the configuration of an
以下に、上記した暗号装置10をいわゆるUSB(Universal Serial Bus)メモリとして構成した場合を例に説明する。すなわち、暗号装置10は、例えば、USBインターフェース16、及び所定の容量のRAM(Random Access Memory)を有し、例えばPCやサーバ等のコンピュータに接続され、動作するように構成されている。なお、本発明は、USBメモリに限らず、例えば、コンパクトフラッシュ(米国SanDisk社の登録商標)、メモリスティック(ソニー(株)の商標)等の種々のメモリ装置に適用することができる。すなわち、所定の通信規約に準拠したインターフェース16を有するように構成されている。
The case where the above-described
本実施例の暗号装置10について図1及び図2を参照して詳細に説明する。図2は、暗号装置10の構成を模式的に示す図である。
The
暗号装置10は、USBコネクタ(図示しない)、及び、例えばUSBver2.0インターフェース16を有し、USBコネクタをコンピュータや携帯情報端末等に接続して動作させることができる。また、所定容量を有する、例えば半導体RAM(例えば、256MB、1GBなど)からなる格納装置14が搭載されている。暗号装置10のコントローラ15は、暗復号処理部11、及びステガノグラフィ処理部12とともにLSI上に構成されている。コントローラ15は、後述する暗号鍵(すなわち、暗号化鍵及び復号化鍵)、情報データ等の種々のデータ、暗号/復号指令や格納・読み出し指令等のアクセス指令を含む種々の指令をインターフェース16を介して受信する。
The
また、暗号装置10には、物理乱数(真正乱数)生成器13が設けられている。物理乱数生成器13は、1ビットの乱数系列を生成する。この乱数系列は、熱雑音などの白色雑音をもとにデジタル処理されたもので、再現性のない一様な真正乱数系列である。
The
さらに、暗号装置10には、コネクタを介して外部から供給された供給電圧を暗号装置10の内部で用いられる電圧に変換するレギュレータ等の電源回路21、また暗号装置10の内部で用いられるクロック信号を生成するための発振器22が設けられていてもよい。なお、これらの回路は、信号バス等によりコントローラ15に接続されている。
Further, the
コントローラ15は、上記したように、暗復号処理部11及びステガノグラフィ処理部12をモジュール回路として含むLSI上に構成されているが、さらに、当該LSI上には、コントローラ15の制御によって動作するレジスタ、メモリ及び種々のデータ及びソフトウエアが格納されたフラッシュROM(図示しない)などが搭載されている。例えば、当該LSI内には、各種処理における入出力値や暗号鍵(暗号化鍵、復号化鍵)、これらから生成された演算値、ソースキー、共通鍵、セッションキーが格納されるレジスタ、メモリが実装されている。あるいは、暗号・復号処理において、平文、暗号文を処理するためにそれらを一時的に格納するバッファメモリが実装されている。
As described above, the
フラッシュROMに格納されたソフトウエアとしては、暗号装置10が接続されたPC等のコンピュータからの指令に基づいて、コントローラ15の動作を制御するソフトウエアが含まれている。例えば、当該接続されたコンピュータとのデータ交換、暗復号処理部11及びステガノグラフィ処理部12における処理、格納装置14へのアクセス等の処理をなすソフトウエアが含まれている。
The software stored in the flash ROM includes software that controls the operation of the
また、暗号アルゴリズム、ステガノグラフィ処理アルゴリズム、外部とのデータや制御信号を授受するためのデータ及びソフトウエアが格納されている。なお、かかるアルゴリズム等は、ソフトウエア、ハードウエアあるいはファームウエアのいずれによって構成されていてもよい。 In addition, an encryption algorithm, a steganography processing algorithm, data and software for exchanging data and control signals with the outside are stored. Such an algorithm or the like may be configured by software, hardware, or firmware.
[暗号装置の動作]
上記したように、暗復号処理部11は、暗号装置10に入力された情報データの暗号化をなすと共に、暗号化されたデータの復号化をなす。なお、ここで暗号化とは、通常のデータ(平文)を暗号アルゴリズム及び暗号鍵(暗号化鍵)を用い、暗号鍵の所有者以外は解読することができないデータに変換することをいい、復号化とは暗号鍵(復号化鍵)を用いて暗号化されたデータを解読することをいう。暗号アルゴリズムとしては、暗号化と復号化に同じ鍵を用いる共通鍵暗号アルゴリズム(又は、秘密鍵暗号又は対称鍵暗号アルゴリズム)、及び、対になる2つの鍵(公開鍵及び秘密鍵)を使ってデータの暗号化・復号化を行なう公開鍵暗号アルゴリズム(又は、非対称暗号アルゴリズム)がある。
[Operation of cryptographic device]
As described above, the encryption /
本実施例では、暗号アルゴリズムとしてDES(Data Encryption Standard)を用いた場合を例に説明する。なお、TripleDES(T−DES)や他の秘密鍵暗号アルゴリズムを用いることもできる。あるいはRSA暗号等の公開鍵暗号アルゴリズム等を用いることもでき、特定の暗号アルゴリズムに限定されない。暗号通信を行う場合、暗号アルゴリズムと鍵管理アルゴリズム又は鍵交換アルゴリズムとが必要になる。鍵管理アルゴリズムとしては、情報量の不足により原理的に攻撃が不可能な情報論的安全性を有するものを用いるのが好ましい。本実施例においてはKPS(Key Predistribution System)を用いた場合を例に説明するが、他の鍵管理アルゴリズムを用いてもよい。 In this embodiment, a case where DES (Data Encryption Standard) is used as an encryption algorithm will be described as an example. Triple DES (T-DES) and other secret key encryption algorithms can also be used. Alternatively, a public key encryption algorithm such as RSA encryption can be used, and the present invention is not limited to a specific encryption algorithm. When performing encryption communication, an encryption algorithm and a key management algorithm or a key exchange algorithm are required. As the key management algorithm, it is preferable to use an algorithm having information-theoretic security that cannot be attacked in principle due to a lack of information amount. In this embodiment, a case where KPS (Key Predistribution System) is used will be described as an example, but other key management algorithms may be used.
かかるKPSを用いた暗号通信では、相手の公開鍵(Public-ID)を入力するだけで送信者と受信者間で暗号鍵の授受を自動的かつ安全に行うことができる。すなわち、暗号鍵を共有するために通信を行う前に連絡を取り合ったり、公開鍵ファイルなどにアクセスする必要はない。Public-IDは、氏名と電話番号やインターネットのIDなど公開されている情報を使用できるので相手のコードを秘密裡に保管しておく必要はない。また、個人ごとにPublic-IDを設定すれば、パーソン・トゥ・パーソンの通信となるので、1台の機器を複数の人で使用する場合であっても、個別に機密保持が可能である。 In such encrypted communication using KPS, it is possible to automatically and safely exchange the encryption key between the sender and the receiver simply by inputting the other party's public key (Public-ID). In other words, there is no need to keep in touch or access a public key file or the like before communication to share the encryption key. Public-ID can use public information such as name, phone number and Internet ID, so there is no need to keep the other party's code secret. Moreover, if a Public-ID is set for each individual, person-to-person communication is performed. Therefore, even when a single device is used by a plurality of persons, individual confidentiality can be maintained.
本実施例においては、秘匿すべき情報データを格納装置14に蓄積し、ユーザ間で共有する場合について説明する。
In the present embodiment, a case where information data to be kept secret is stored in the
従って、秘匿すべき情報データを格納装置14に格納するユーザを第1ユーザ(暗号通信における送信者に対応)、及び格納装置14に格納された秘匿情報データを解読するユーザを第2ユーザ(暗号通信における受信者に対応)として説明する。
Accordingly, the user who stores the information data to be kept secret in the
[暗号化及び復号化]
以下に本実施例における暗号化の手順について、図3を参照しつつ説明する。なお、図3において、暗復号処理部11内で実行される処理については破線で囲んで示している。
(1.1) まず、暗復号処理部11はコントローラの制御の下、暗号化のための暗号鍵を受信する。すなわち、より具体的には、暗復号処理部11内の処理ステップS1において、KPS暗号鍵交換アルゴリズムは、第1ユーザ(すなわち、秘匿すべき情報データを格納するユーザ)から、第1ユーザの秘密鍵(Private-ID)K1を受信する。また、KPS暗号鍵交換アルゴリズムは、第1ユーザにより入力された第2ユーザ(すなわち、秘匿すべき情報データを解読するユーザ)の公開鍵(Public-ID)K2を受信する。
[Encryption and decryption]
Hereinafter, the encryption procedure in this embodiment will be described with reference to FIG. In FIG. 3, the processing executed in the encryption /
(1.1) First, the encryption /
KPS暗号鍵交換アルゴリズムは、第1ユーザの秘密鍵及び第2ユーザの公開鍵からKPS共通鍵K3を生成する。
(1.2) 乱数生成器13は、真正乱数K4を生成する。暗復号処理部11において真正乱数K4を用いてセッション鍵K5が生成される。
(1.3) 暗復号処理部11内の処理ステップS2において、KPS共通鍵K3を暗号鍵としてセッション鍵K5を暗号アルゴリズムにより暗号化し、暗号化されたセッション鍵K6を生成する。
(1.4) 暗復号処理部11内の処理ステップS3において、セッション鍵K5を暗号鍵として第1ユーザにより入力された情報データK7を暗号アルゴリズムにより暗号化し、暗号化データK8を生成する。
(1.5) 暗復号処理部11内の処理ステップS4において、暗号化されたセッション鍵K6と暗号化データK8とを結合して通信文(通信データ)K9を生成する。
(1.6) 通信文K9は、ステガノグラフィ処理部12において通信文K9をコンテナデータに埋め込んで秘匿化する(データ埋め込み)。通信文K9を埋め込むコンテナデータとしては、画像データや音声データ、テキストデータその他デジタルデータ等を用いることができる。当該コンテナデータは、予め暗号装置10内に格納しておいたものを用いることができる。あるいは、ステガノグラフィ処理をする際に適宜、暗号装置10内で生成するようにしてもよい。
(1.7) コントローラ15は、ステガノグラフィ処理部12において生成されたデータ(以下、ステガノグラフィデータという)を格納装置14に格納(蓄積)する。
The KPS encryption key exchange algorithm generates a KPS common key K3 from the secret key of the first user and the public key of the second user.
(1.2) The
(1.3) In process step S2 in the encryption /
(1.4) In process step S3 in the encryption /
(1.5) In process step S4 in the encryption /
(1.6) The communication sentence K9 is concealed by embedding the communication sentence K9 in the container data in the steganography processing unit 12 (data embedding). Image data, audio data, text data, and other digital data can be used as container data for embedding the communication text K9. As the container data, data stored in the
(1.7) The
次に格納装置14に格納されたステガノグラフィデータを復号する手順について、図4を参照しつつ説明する。なお、図4において、暗復号処理部11内で実行される処理については破線で囲んで示している。
(2.1) まず、暗復号処理部11内の処理ステップS11において、第2ユーザ(すなわち、秘匿情報データを解読しようとするユーザ)は、第1ユーザ(すなわち、秘匿すべき情報データを格納したユーザ)の公開鍵(Public-ID)K11をKPS暗号鍵交換アルゴリズムに入力する。また、第2ユーザは、第2ユーザの秘密鍵(Private-ID)K12をKPS暗号鍵交換アルゴリズムに入力する。
Next, the procedure for decoding the steganographic data stored in the
(2.1) First, in process step S11 in the encryption /
KPS暗号鍵交換アルゴリズムは、第1ユーザの公開鍵及び第2ユーザの秘密鍵からKPS共通鍵K13を生成する。なお、KPS共通鍵K13は暗号化におけるKPS共通鍵K3と同一である。
(2.2) ステガノグラフィ処理部12は、格納装置14に格納されていたステガノグラフィデータを読み出し、当該ステガノグラフィデータから埋め込まれていた通信文K14(すなわち、暗号化時の通信文K9と同一)を抽出する(データ抽出)。
(2.3) 暗復号処理部11内の処理ステップS12において、通信文K14から暗号化セッション鍵K15及び暗号化データK17が分離される。
(2.4) 暗復号処理部11内の処理ステップS13において、共通鍵K13を暗号鍵として暗号化セッション鍵K15を復号アルゴリズムにより復号し、セッション鍵K16を生成する。
(2.5) 暗復号処理部11内の処理ステップS14において、暗号化データK17をセッション鍵K16を暗号鍵として復号アルゴリズムにより復号し、元のデータK18(すなわち、暗号化前の情報データK7と同一)を取り出す。
The KPS encryption key exchange algorithm generates a KPS common key K13 from the public key of the first user and the secret key of the second user. The KPS common key K13 is the same as the KPS common key K3 in encryption.
(2.2) The
(2.3) In process step S12 in the encryption /
(2.4) In the processing step S13 in the encryption /
(2.5) In process step S14 in the encryption /
上記した本発明の暗号装置10によれば、暗号装置10がコンピュータ、ゲートウェイ等を介してIPネットワーク等の公衆ネットワークやLAN等のプライベートネットワークに接続されている場合であっても、秘匿すべきデータの存在を知られることなく暗号装置10内に安全にデータを秘匿しておくことができる。
According to the
上記したように、本発明の暗号装置10によれば、秘匿すべき情報データは情報量的安全性に基づく暗号アルゴリズムによって暗号化され、たとえ量子コンピュータを用いられても破ることができない程の極めて強固な安全性を有している。その上、ステガノグラフィによって深層暗号化、情報非可視化されている。従って、たとえデータを持ち出されたとしても、非可視化されている上に、そのデータは情報量的安全性に基づく暗号アルゴリズムによって暗号化されているため、極めて強固な安全性を有している。
As described above, according to the
なお、特に、ステガノグラフィ処理部12には耐タンパ装置が設けられているのが好ましい。耐タンパ装置としては、ステガノグラフィ処理部12の解析に対するプロテクトや、データのコピーや移動に対して当該データを自動的に読取り不能となるように破壊する等のソフトウエア的な耐タンパ能力を有しているのが好ましい。
In particular, it is preferable that the
さらに暗号装置10の他の各構成部、例えば暗復号処理部11、乱数生成器13、格納装置14、コントローラ(又はCPU)15等の全て、又は一部には耐タンパ装置が設けられていてもよい。耐タンパ装置としては、IC等に対する物理的な改ざん、破壊等に対して耐え得る装置でもよく、あるいは、外部からの各構成部の解析に対するプロテクトや、データのコピーや移動に対するプロテクト等、種々のハードウエア的、及びソフトウエア的な耐タンパ能力を有しているものであってもよい。
Furthermore, tamper resistant devices are provided in all or part of the other components of the
また、暗号装置10がUSBメモリとして構成されている場合について説明したが、これに限らず、コンパクトフラッシュカード、メモリスティック、ICカード、ICチップ等の種々の記憶メディアに適用することが可能である。
Further, although the case where the
図5及び図6は、本発明の実施例2である暗号装置10の暗号化及び復号化をそれぞれ説明するためのブロック図である。暗号装置10が、暗復号処理部11、ステガノグラフィ処理部12、乱数生成器13、格納装置14、コントローラ(又はCPU)15を有し、これらの各構成部がコントローラ15の制御の下、動作する点は上記した実施例と同様である。
5 and 6 are block diagrams for explaining encryption and decryption of the
本実施例においては、対になる2つの鍵(公開鍵及び秘密鍵)を使ってデータの暗号化・復号化を行なう公開鍵暗号(非対称鍵暗号)方式を用いた場合を例に説明する。本実施例においては、秘匿すべき情報データを暗号化、秘匿したデータ復号するために、格納装置14に一方の暗号鍵(公開鍵、秘密鍵)を割り当てている。
In the present embodiment, a case where a public key cryptosystem (asymmetric key cryptosystem) that encrypts and decrypts data using two pairs of keys (a public key and a secret key) will be described as an example. In this embodiment, one encryption key (public key, secret key) is assigned to the
より具体的には、情報データを暗号化する場合には、図5に示すように、秘匿すべき情報データを格納するユーザは当該ユーザの秘密鍵(Private-ID)J1、及び格納装置14に割り当てられた公開鍵(Public-ID)J2を暗復号処理部11に入力する。また、乱数生成器13から真正乱数が暗復号処理部11に入力される。暗復号処理部11は、入力された(受信した)ユーザの秘密鍵J1及び格納装置14の公開鍵J2を用いて、受信した秘匿すべき情報データJ3を暗号化し、暗号化データJ4を生成する。暗復号処理部11においては、上記した実施例と同様、KPS暗号鍵交換アルゴリズムが用いられている。また、他の暗号鍵交換アルゴリズムを用いることもできる。なお、情報論的安全性を有する暗号鍵交換アルゴリズムを用いるのが好ましい。また、本発明は特定の暗号アルゴリズムに限定されず、種々の暗号アルゴリズムを適用することができる。
More specifically, in the case of encrypting information data, as shown in FIG. 5, the user storing the information data to be kept secret is stored in the user's private key (Private-ID) J1 and the
得られた暗号化データJ4は、ステガノグラフィ処理部12においてコンテナデータに埋め込まれ、ステガノグラフィデータとして秘匿化される。コントローラ15は、かかる暗号化された情報データが埋め込まれたステガノグラフィデータを格納装置14に格納(蓄積)するよう制御する。
The obtained encrypted data J4 is embedded in the container data in the
暗号化された情報データが埋め込まれたステガノグラフィデータを復号する場合には、図6に示すように、秘匿すべき情報データを格納するユーザは当該ユーザの公開鍵J11及び格納装置14に割り当てられた秘密鍵J12を暗復号処理部11に入力する。当該暗号鍵の入力、あるいはユーザの指令等の受信に応答して、ステガノグラフィ処理部12は、格納装置14からステガノグラフィデータを読み出し、当該ステガノグラフィデータに埋め込まれていた暗号化データJ13を取り出す。暗復号処理部11は、入力されたユーザの公開鍵J11及び格納装置14の秘密鍵J12を用いて、暗号化データJ13の復号を行い、元の情報データJ14を取り出す。
When decrypting steganographic data in which encrypted information data is embedded, as shown in FIG. 6, the user storing the information data to be kept secret is assigned to the public key J11 and the
かかる構成によって、複数のユーザにより格納装置14を共有して、秘匿すべき情報データを安全に格納し、及び読み出しをすることができる。
With this configuration, the
また、上記したように、本発明の暗号装置10によれば、秘匿すべき情報データは情報量的安全性に基づく暗号アルゴリズムによって暗号化されている。その上、ステガノグラフィによって非可視化されている。従って、たとえデータを持ち出されたとしても、非可視化されている上に、そのデータは情報量的安全性に基づく暗号アルゴリズムによって暗号化されているため、極めて強固な安全性を有している。
Further, as described above, according to the
なお、上記した実施例1及び実施例2における暗号装置10は、PC、サーバ、データベース装置等のコンピュータ内に設けられ、動作するように構成されていてもよい。この場合、インターフェース16は必ずしも必要ではないが、暗号装置10は、当該コンピュータのIDEバス、PCIバス、USBなど、種々の外部バス、拡張バス等を介して動作するように構成されている。
Note that the
図7は、本発明の実施例3である暗号装置10の構成を模式的に示すブロック図である。
FIG. 7 is a block diagram schematically illustrating the configuration of the
暗号装置10は、暗復号処理部11、ステガノグラフィ処理部12、格納装置14、コントローラ(又はCPU)15を有し、さらに後に詳述する検証部15Aが設けられている。また、これらの各構成部は信号バス17を介してコントローラ15に接続されている。すなわち、コントローラ15は、本暗号装置全体の制御をなす。また、暗号装置10は、PC、サーバ、データベース装置等のコンピュータ内に設けられ、動作するように構成されている。格納装置14は、例えば、当該コンピュータのIDEバスに接続され、インターフェース回路を介して上記した暗号装置10の他の構成部に接続されていてもよい。
The
なお、暗号装置10は、当該コンピュータのIDEバス、PCIバス、USBなど、種々の外部バス、拡張バス等を介して、当該コンピュータのプロセッサの指令に基づいて動作するように構成されていてもよい。
The
本実施例において、暗復号処理部11は、暗号鍵を受信する。暗復号処理部11は、受信した暗号鍵を用いて入力された(受信した)秘匿すべき情報データを暗号化する。暗復号処理部11においては、秘密鍵暗号(対称鍵暗号)方式、公開鍵暗号(非対称鍵暗号)方式、その他種々の暗号アルゴリズムを用いることができる。すなわち、特定の暗号アルゴリズムに限定されない。なお、上記した実施例と同様、KPS暗号鍵交換アルゴリズム等、情報論的安全性を有する暗号鍵交換アルゴリズムを用いるのが好ましい。
In this embodiment, the encryption /
暗号化により得られた暗号化データは、ステガノグラフィ処理部12においてコンテナデータに埋め込まれ(データ埋め込み)、ステガノグラフィデータとして秘匿化される。コントローラ15は、かかる暗号化された情報データが埋め込まれたステガノグラフィデータを格納装置14に格納するよう制御する。
The encrypted data obtained by the encryption is embedded in the container data (data embedding) in the
以下に、格納装置14に格納(蓄積)されているデータにアクセス(データの読み出し、使用、コピー、移動等)する指令(以下、アクセス指令という)が発せられたとき、暗号装置10において実行される処理動作の手順について、図8に示すフローチャートを参照しつつ説明する。以下においては、格納装置14からデータを読み出す旨のアクセス指令(読出指令)がなされた場合を例に説明するが、他のアクセス指令の場合もなされる動作は同様である。
Below, when a command (hereinafter referred to as an access command) for accessing (reading, using, copying, moving, etc.) the data stored (accumulated) in the
コントローラ15は、格納装置14からデータを読み出す旨のアクセス指令(読出指令)を受信したことを検出する(ステップS11)。コントローラ15は、かかる読出指令に応答して、当該読出指令が、暗号化された情報データが埋め込まれたステガノグラフィデータ(すなわち、ステガノグラフィデータ・ファイル)を読み出す指令か否かを判別する(ステップS12)。ステガノグラフィデータを読み出す指令が発せられたと判別されたとき、コントローラ15の制御の下、以下の処理が実行される。なお、ステップS12においてステガノグラフィデータを読み出す指令ではないと判別されたときは、すなわち、ステガノグラフィ処理部12によってステガノグラフィ処理をなされたデータではないと判別されたときは、本ルーチンを終了する。
The
コントローラ15は、格納装置14に対し、データの送出を一時停止せしめる(保留させる)送出保留指示を指令する(ステップS13)。
The
検証部15Aは、ステガノグラフィデータを読み出すことを指令するアクセス指令(読出指令)に応答して、暗復号処理部11が当該アクセス指令に関連する暗号鍵を受信したかを検出する。そして当該関連する暗号鍵が当該ステガノグラフィデータに埋め込まれた暗号化データに対応するか否かを検証する(ステップS14)。より詳細には、当該検出された暗号鍵(アクセス指令に関連する暗号鍵)がアクセスされようとしているステガノグラフィデータに埋め込まれた暗号化データを正しく復号することができる暗号鍵であるか(すなわち、真正な復号化鍵であるか)否かが検証される。なお、ステガノグラフィデータが暗号化されたときの暗号鍵(すなわち、暗号化鍵)と当該検出した暗号鍵が一致するか否かを検証してもよい。また、共通鍵やセッション鍵等、アクセスした者が真正であることを検証できる暗号鍵や暗号化のためのアクセスキーであるか否かを検証するようにしてもよい。なお、当該暗号鍵が当該ステガノグラフィデータに埋め込まれたデータに対応しない場合には、暗号鍵が検出されない場合も含まれるとしてもよい。
The
当該暗号鍵が当該ステガノグラフィデータに埋め込まれたデータに対応しない場合には、コントローラ15は、コントローラ15内の検証部15Aの検証結果に基づいて、ステガノグラフィ処理部12に制御信号(CS)を送出する。
When the encryption key does not correspond to the data embedded in the steganography data, the
一方、ステップS14において、当該暗号鍵が当該ステガノグラフィデータに埋め込まれたデータに対応すると検証されたときは、本ルーチンを終了する。すなわち、データアクセスの制限は解除され、当該ステガノグラフィデータへのアクセスが許可される。 On the other hand, when it is verified in step S14 that the encryption key corresponds to the data embedded in the steganography data, this routine is terminated. That is, the restriction on data access is released, and access to the steganography data is permitted.
上記した制御信号(CS)は、真正な暗号鍵が供給されない場合において、暗号化された情報データが埋め込まれた状態でステガノグラフィデータを格納装置14から読み出すことを禁止するよう制御する信号である。
The control signal (CS) described above is a signal that controls to prohibit reading of the steganographic data from the
より具体的には、コントローラ15は、検証部15Aにおいて暗号鍵が当該ステガノグラフィデータに埋め込まれたデータに対応しないと判別された場合に、ステガノグラフィデータに埋め込まれた暗号化情報データを改変するようステガノグラフィ処理部12に対し指令する制御信号(CS)を送出する(ステップS15)。
More specifically, when the
なお、コントローラ15は、ステガノグラフィ処理部12を制御して、原ステガノグラフィデータ(すなわち、改変を行う前のステガノグラフィデータ)を格納装置14あるいは他の格納装置等に退避する(ステップS16)。
The
ステガノグラフィ処理部12は、当該制御信号(CS)に応じてステガノグラフィデータに埋め込まれた暗号化情報データを改変する(ステップS17)。埋め込まれた暗号化情報データの改変としては、例えば、当該暗号化情報データのステガノグラフィデータからの削除、当該暗号化情報データの破壊、秘匿する必要のないデータ(ダミーデータ)との置き換え等、持ち出されても安全なデータに当該ステガノグラフィデータを変更することを含む。
The
コントローラ15は、ステガノグラフィデータの改変が終了後、改変後のステガノグラフィデータ・ファイルを改変前のステガノグラフィデータ(原ステガノグラフィデータ)のファイルで置き換える。すなわち、同一のファイル名で格納装置14に格納する。
After the modification of the steganography data is completed, the
その後、コントローラ15は、格納装置14に対し、改変後のステガノグラフィデータの送出を許可する送出許可指示を指令する(ステップS18)。格納装置14は、改変後のデータを読出指令を受けたデータとして送出する。すなわち、暗号化情報データを含まず、持ち出されても安全なデータに改変されたデータが、当初指定されたファイル名を有するデータファイルとして送出される。
Thereafter, the
本実施例の暗号装置10においては、ステガノグラフィデータにアクセスする場合、正当なアクセス権を有するユーザが、秘匿すべきデータをコンテナデータから抽出し(データ抽出、又はステガノグラフィ復号)、かつ、暗号化された情報データの復号をなすことを前提としている。
In the
従って、上記した構成、動作により、暗号化情報データを復号する正当なアクセス権を有するユーザ以外の秘匿すべきデータへのアクセス(データの読取、使用、コピー、移動等)を回避することができる。また、ハッキング等の不正・不法な手段により、LANその他のネットワーク上の格納装置に手当たり次第にアクセスし、当該ネットワーク上に配された格納装置14からデータを取得等した者は、取得した複数のデータファイルのうちいずれのデータファイルに秘匿すべきデータが含まれていたか、さらには、アクセスした装置(格納装置14)に秘匿すべきデータが含まれていたか否かすらも知ることができない。また、取得したデータには、秘匿すべきデータは含まれていないので、後日、たとえ解析等によってステガノグラフィ復号、暗号解読等を試みたとしても秘匿すべきデータを知得することはあり得ない。
Therefore, with the configuration and operation described above, it is possible to avoid access (data read, use, copy, move, etc.) to data that should be kept confidential except for a user who has the right access right to decrypt the encrypted information data. . In addition, a person who accesses a storage device on a LAN or other network by illegal or illegal means such as hacking and obtains data from the
なお、上記した実施例は適宜組み合わせて適用することができる。例えば、実施例3に実施例2を組み合わせた場合においては、検証部15Aは、ユーザの秘密鍵及び格納装置14の秘密鍵のいずれか又は両者がステガノグラフィデータに埋め込まれたデータに対応するか否かを検証するようにすることができる。また、実施例3に実施例1を組み合わせた場合においては、検証部15Aは、第1及び2ユーザの秘密鍵のいずれか又は両者が、あるいはセッション鍵が、ステガノグラフィデータに埋め込まれたデータに対応するか否かを検証するようにしてもよい。
The above-described embodiments can be applied in appropriate combination. For example, in the case where the second embodiment is combined with the third embodiment, the
以上、詳細に説明したように、PC、サーバ、データベース装置等のコンピュータや情報装置内やネットワーク上に存在する情報データを不正行為から確実に保護することが可能な暗号装置を提供できる。 As described above in detail, it is possible to provide an encryption device that can reliably protect information data existing in computers, information devices, and networks such as PCs, servers, and database devices from illegal activities.
10 暗号装置
11 暗復号処理部
12 ステガノグラフィ処理部
13 乱数生成器
14 格納装置
15 コントローラ
15A 検証部
16 インターフェース
17 信号バス
10
Claims (12)
情報データ及び暗号鍵を受信する受信部と、
前記暗号鍵を用いて前記情報データの暗号化をなす暗号部と、
暗号化された情報データをコンテナデータへ埋め込んでステガノグラフィデータを生成するデータ埋め込み部と、
前記ステガノグラフィデータを蓄積する格納装置と、を有することを特徴とする暗号装置。 An encryption device,
A receiving unit for receiving the information data and the encryption key;
An encryption unit that encrypts the information data using the encryption key;
A data embedding unit that embeds encrypted information data in container data to generate steganographic data;
And a storage device for storing the steganographic data.
前記受信部により受信した、前記アクセス指令に関連する暗号鍵が、前記ステガノグラフィデータに埋め込まれた暗号化情報データに対応するか否かを検証する検証部と、
前記暗号鍵が前記ステガノグラフィデータに埋め込まれた暗号化情報データに対応しないと検証されたときに、前記暗号化情報データの改変を指令する改変指令を発するコントローラと、を有することを特徴とする請求項2に記載の暗号装置。 An access command detection unit for detecting that an access command to steganography data stored in the storage device is issued;
A verification unit that verifies whether the encryption key related to the access command received by the reception unit corresponds to the encrypted information data embedded in the steganography data;
And a controller that issues a modification command for commanding modification of the encrypted information data when it is verified that the encryption key does not correspond to the encrypted information data embedded in the steganography data. Item 3. The encryption device according to Item 2.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004036651A JP2005229382A (en) | 2004-02-13 | 2004-02-13 | Encryption device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004036651A JP2005229382A (en) | 2004-02-13 | 2004-02-13 | Encryption device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005229382A true JP2005229382A (en) | 2005-08-25 |
Family
ID=35003752
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004036651A Pending JP2005229382A (en) | 2004-02-13 | 2004-02-13 | Encryption device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005229382A (en) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6336634A (en) * | 1986-07-31 | 1988-02-17 | Advance Co Ltd | Cryptographic key common use system and equipment using same system |
JPH1022992A (en) * | 1996-07-05 | 1998-01-23 | Hitachi Inf Syst Ltd | Multi-address cipher communication method for message and storage medium |
JP2000089672A (en) * | 1998-09-09 | 2000-03-31 | Ntt Data Corp | Enciphering circuit and random password generation circuit |
JP2001016655A (en) * | 1999-06-30 | 2001-01-19 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | Portable terminal with security |
JP2001274980A (en) * | 2000-03-27 | 2001-10-05 | Asa Systems:Kk | Printed matter and information security system using the printed matter |
JP2002101397A (en) * | 2000-06-28 | 2002-04-05 | Sony Corp | Device and method for embedding additional information, and recording medium |
JP2003169047A (en) * | 2001-12-03 | 2003-06-13 | Tech Res & Dev Inst Of Japan Def Agency | Encryption device, decryption device, recording medium, encryption method, decryption method, and program making computer execute the methods |
JP2003223101A (en) * | 2001-09-10 | 2003-08-08 | Stmicroelectronics Sa | Secure multimedia data transmission method |
JP2003244449A (en) * | 2002-02-18 | 2003-08-29 | Canon Inc | Image management method having cipher processing function and image processor |
JP2003298832A (en) * | 2002-03-29 | 2003-10-17 | Hitachi Koukiyou Syst Eng Kk | Method for keeping information secret and method for extracting information |
-
2004
- 2004-02-13 JP JP2004036651A patent/JP2005229382A/en active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6336634A (en) * | 1986-07-31 | 1988-02-17 | Advance Co Ltd | Cryptographic key common use system and equipment using same system |
JPH1022992A (en) * | 1996-07-05 | 1998-01-23 | Hitachi Inf Syst Ltd | Multi-address cipher communication method for message and storage medium |
JP2000089672A (en) * | 1998-09-09 | 2000-03-31 | Ntt Data Corp | Enciphering circuit and random password generation circuit |
JP2001016655A (en) * | 1999-06-30 | 2001-01-19 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | Portable terminal with security |
JP2001274980A (en) * | 2000-03-27 | 2001-10-05 | Asa Systems:Kk | Printed matter and information security system using the printed matter |
JP2002101397A (en) * | 2000-06-28 | 2002-04-05 | Sony Corp | Device and method for embedding additional information, and recording medium |
JP2003223101A (en) * | 2001-09-10 | 2003-08-08 | Stmicroelectronics Sa | Secure multimedia data transmission method |
JP2003169047A (en) * | 2001-12-03 | 2003-06-13 | Tech Res & Dev Inst Of Japan Def Agency | Encryption device, decryption device, recording medium, encryption method, decryption method, and program making computer execute the methods |
JP2003244449A (en) * | 2002-02-18 | 2003-08-29 | Canon Inc | Image management method having cipher processing function and image processor |
JP2003298832A (en) * | 2002-03-29 | 2003-10-17 | Hitachi Koukiyou Syst Eng Kk | Method for keeping information secret and method for extracting information |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104796265B (en) | A kind of Internet of Things identity identifying method based on Bluetooth communication access | |
CN100542085C (en) | The system and method for securing executable code | |
JP4562464B2 (en) | Information processing device | |
JP2007013433A (en) | Method for transmitting/receiving encrypted data and information processing system | |
KR100720962B1 (en) | Method of mutual authentication and secure data communication in rfid-system | |
JPH09270785A (en) | Information processor | |
JP2006295872A (en) | Formation method of device-dependent key, confidential information lsi equipped with secret information function using the method, host equipment using the lsi, record medium with authentication function used for the host equipment, and mobile terminal with recording medium equipped with authentication function | |
KR20080025121A (en) | Generating a secret key from an asymmetric private key | |
KR101078546B1 (en) | Apparatus for coding and decoding of security data file based on data storage unit idedtification, system for electronic signature using the same | |
CN111614467B (en) | System backdoor defense method and device, computer equipment and storage medium | |
JP2019506789A (en) | A method, system, and apparatus using forward secure encryption technology for passcode verification. | |
CN103237010B (en) | The server end of digital content is cryptographically provided | |
JP2005157930A (en) | Confidential information processing system and lsi | |
CN103237011B (en) | Digital content encryption transmission method and server end | |
KR101485968B1 (en) | Method for accessing to encoded files | |
US8452986B2 (en) | Security unit and protection system comprising such security unit as well as method for protecting data | |
CN101539979A (en) | Method for controlling and protecting electronic document and device thereof | |
JP2009199147A (en) | Communication control method and communication control program | |
JP2016076797A (en) | Security construction method in data preservation | |
Blaze | Key escrow from a safe distance: looking back at the clipper chip | |
JP2008048166A (en) | Authentication system | |
JP4140617B2 (en) | Authentication system using authentication recording medium and method of creating authentication recording medium | |
JP2005229382A (en) | Encryption device | |
JP2007150780A (en) | Enciphering method, apparatus and program | |
US20180048629A1 (en) | Expression and Method to Send and Receive Text Messages Encrypted For The Targeted Receiving User to Render Eavesdropping Useless. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061108 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100420 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100817 |