JP2007148317A - 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置および通信システム - Google Patents

暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置および通信システム Download PDF

Info

Publication number
JP2007148317A
JP2007148317A JP2006027749A JP2006027749A JP2007148317A JP 2007148317 A JP2007148317 A JP 2007148317A JP 2006027749 A JP2006027749 A JP 2006027749A JP 2006027749 A JP2006027749 A JP 2006027749A JP 2007148317 A JP2007148317 A JP 2007148317A
Authority
JP
Japan
Prior art keywords
random number
pseudo
encryption
input data
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006027749A
Other languages
English (en)
Other versions
JP4829628B2 (ja
Inventor
Sadao Yoshida
節生 吉田
Osamu Hirota
修 広田
Hiroshi Onaka
寛 尾中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Hirota Osamu
Original Assignee
Fujitsu Ltd
Hirota Osamu
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd, Hirota Osamu filed Critical Fujitsu Ltd
Priority to JP2006027749A priority Critical patent/JP4829628B2/ja
Priority to US11/439,367 priority patent/US7471790B2/en
Priority to EP06011085.5A priority patent/EP1780934B1/en
Priority to CN200610093038.3A priority patent/CN1959770B/zh
Publication of JP2007148317A publication Critical patent/JP2007148317A/ja
Application granted granted Critical
Publication of JP4829628B2 publication Critical patent/JP4829628B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】古典の物理乱数等を用いることにより従来の数理的な暗号よりはるかに強い暗号強度を持ち、多様なメデイアに応用可能な暗号化技術を提供する。
【解決手段】1ビットの入力データを擬似乱数および物理乱数により定まる少なくとも2ビットの離散値に対応させ前記入力データを変調し符号化信号を生成する変調ステップと、前記符号化信号を通信路符号化し出力する通信路符号化ステップとを有し、(1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、(2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、(3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている。
【選択図】図1

Description

本発明は、情報を暗号化して送受信するシステムにおいて用いられる暗号化/暗号復号化技術に関し、特に、Yuen量子暗号方式を量子揺らぎの代わりに古典の物理乱数等を用いることにより従来の数理的な暗号よりはるかに強い暗号強度を持ち、多様なメデイアに応用可能な暗号化/暗号復号化技術に関するものである。
現代のネットワークでは、暗号化手法として、共通鍵暗号などの数理的暗号が用いられている。代表例としてストリーム暗号(古典暗号)がある。図18はストリーム暗号を適用された一般的な送受信システムの構成を示すブロック図であり、この図18に示す送受信システム100は、平文の暗号化を行なう正規送信者側の暗号化装置110と、この暗号化装置110からネットワーク等を介して送信されてきた暗号文を暗号復号化する正規受信者側の暗号復号化装置120とをそなえて構成されている。
ここで、暗号化装置110は、擬似乱数発生器111および変調部(排他的論理和演算器)112をそなえて構成されている。擬似乱数発生器111は、予め設定された暗号鍵Kに基づいて擬似乱数riを生成して出力するものであり、例えば暗号鍵Kが100ビットの2進数であれば、擬似乱数riとしては、(2100−1)ビットの2進数、つまり(2100−1)ビット周期の擬似乱数が生成される。変調部112は、暗号化すべき平文xiと擬似乱数発生器111によって生成された擬似乱数riとの排他的論理和(XOR:eXclusive OR)を算出し暗号文ciとして出力するものである。つまり、平文xiは、擬似乱数riに基づき変調部112によって暗号化され、暗号文ciとして出力される。
また、暗号復号化装置120は、擬似乱数発生器121および復調部(排他的論理和演算器)122をそなえて構成されている。擬似乱数発生器121は、暗号化装置110の擬似乱数発生器111と同じ暗号鍵Kに基づいて、この擬似乱数発生器111と同期して擬似乱数riを生成して出力するものである。復調部122は、暗号化装置110から送信されてきた暗号文ciと擬似乱数発生器121によって生成された擬似乱数riとの排他的論理和(XOR)を算出し平文xiとして出力するものである。つまり、暗号文ciは、暗号化装置110側の擬似乱数riと同期する擬似乱数ri(暗号化装置110側で擬似乱数riを生成するために用いられた暗号鍵Kと同一の暗号鍵に基づいて生成された擬似乱数)に基づき、復調部122によって暗号復号化され、平文xiとして出力される。
このようなストリーム暗号を適用された送受信システム100において、暗号文ciは、既知平文攻撃と呼ばれる攻撃手法によって解読される可能性がある。既知平文攻撃は、盗聴者が、暗号文ciを盗聴するだけでなく、その暗号文ciを暗号化する前の平文xiも入手し、これらの暗号文ciと平文xiとをつき合わせることにより擬似乱数を得て、その擬似乱数により、平文を入手した部分以外の暗号文を解読する攻撃手法である。
擬似乱数発生器111は、暗号鍵Kに基づいて擬似的に乱数に見える数列を算出して出力しているため、擬似乱数発生器111から出力された擬似乱数列が暗号鍵Kの桁数以上の長さ入手されてしまうと、その擬似乱数列から暗号鍵Kは逆算され、擬似乱数が全て再現されることになる。例えば、暗号文100ビットとその暗号文に対応する平文100ビットとが入手されると、暗号鍵100ビットが逆算され、他の暗号文についても解読されてしまう。
そこで、近年、上述のような既知平文攻撃も含め、いかなる攻撃手法によっても解読不可能(無条件安全)であると言われる量子暗号の技術が提案されている。例えば、下記非特許文献1,2においては、Yuen暗号(Y−00方式量子暗号)あるいは量子ストリーム暗号と呼ばれる技術が提案されている。このY−00方式量子暗号は、量子力学的な非直交状態にある多数の量子状態を多値信号として用いた量子暗号通信である。
以下、量子状態としてコヒーレント状態にある光の位相を用いて多値位相変調方式によりY−00方式量子暗号を実現する場合について、図19を参照しながら説明する。
隣接する位相角に配置されたコヒーレント光には、1ビットの平文「0」と1ビットの平文「1」とが交互に割り当てられている。図19に示す例では、位相角φi-1,φi,φi+1,φi+2,…に配置されたコヒーレント光に、それぞれ平文「0」,「1」,「0」,「1」,…が割り当てられている。
光強度が光子数による表示で1万個程度の場合は200値程度の多値位相変調を行なうことにより、位相角の近接するコヒーレント光どうしを量子揺らぎ(コヒーレントノイズ)によって判別できないように、位相多値信号の配置間隔が設計されている。図19に示す例では、位相角φiのコヒーレント光について多値位相変調を行なうことにより、隣接する位相角φi-1,φi+1にそれぞれ配置された2つのコヒーレント光が量子揺らぎの中に入るように、位相多値信号の配置間隔が設計されている。
一方、互いに180度位相角の異なるコヒーレント光には、反転ビットとなる平文が割り当てられている。例えば、位相角0度のコヒーレント光に1ビットの平文「0」が割り当てられている場合、位相角180度のコヒーレント光には1ビットの平文「1」が割り当てられている。これら互いに180度位相角の異なるコヒーレント光を一組とし、どの組を用いて平文1ビットを表現するかは、送信側と受信側とで同期の取れている擬似乱数を用いて決定し、平文1ビットの通信ごとに切り替える。
図19に示す例では、上述した通り位相角φi-1,φi,φi+1,φi+2,…のコヒーレント光にそれぞれ平文「0」,「1」,「0」,「1」,…が割り当てられ、180度位相角の異なるコヒーレント光、つまり位相角φi-1+180°,φi+180°,φi+1+180°,φi+2+180°,…のコヒーレント光にそれぞれ平文「1」,「0」,「1」,「0」,…が割り当てられている。このとき、異なる位相角のコヒーレント光がN(Nは偶数)個設定されている場合、互いに180度位相角の異なるコヒーレント光の組はN/2組設定されていることになり、擬似乱数として、例えば0〜(N/2−1)の、N/2個の整数値の中の値を生成する。そして、例えば1ビットの平文「1」を送信する際に擬似乱数として“i”が生成されると、位相角φi,φi+180°のコヒーレント光の組が選択され、位相角φiのコヒーレント光とこれに隣接する位相角φi-1,φi+1のコヒーレント光とが量子揺らぎの中に入るように位相角φiのコヒーレント光の多値位相変調が行なわれ、多値位相変調後の光信号が送信されることになる。
受信側では、送信側と同期した擬似乱数を用い、どの組のコヒーレント光が用いられたのかが分かるため、180度位相角の異なる二つの状態を判別して、平文が「1」なのか「0」なのかを判定することができる。
このとき、量子揺らぎは、小さいため、位相角の近い(判別距離の小さい)コヒーレント光の判別を妨げることになるが、180度位相角の離れた(判別距離の大きい)二つのコヒーレント光のどちらを受信したかを判別する場合の妨げにはならない。しかし、盗聴者は正規の送受信者が用いている擬似乱数を知らないため、どの組のコヒーレント光を用いて通信が行われているのかを知ることができない。
このため、盗聴した暗号文を暗号復号化するには送信者が送ったコヒーレント光の位相を正確に知って多値位相変調された光信号を復調する必要があるが、伝送路を流れるコヒーレント光を盗聴しても量子揺らぎの中に埋もれてしまい、盗聴者は、平文の状態(「1」または「0」)を示すコヒーレント光と、このコヒーレント光の位相角に近いコヒーレント光とを区別することができず、復調することができない。
例えば、受信側において、上述のごとく位相角φiのコヒーレント光とこれに隣接する位相角φi-1,φi+1のコヒーレント光とが量子揺らぎの中に入るように多値位相変調を施された光信号を受信すると、盗聴者は、位相角φi-1,φi,φi+1のコヒーレント光(判別距離の小さいコヒーレント光)の判別を行なわなければならず、解読困難である。これに対し、正規の受信者は、送信側と同期した擬似乱数に基づいて、位相角φi,φi+180°のコヒーレント光の組が用いられていることを判別できるため、あとは180度位相角の異なる二つの状態を判別し、平文が「1」であると復調でき、暗号復号化することができる。
このように、Y−00方式量子暗号によれば、量子揺らぎによって情報を判別できない工夫がなされているため、量子揺らぎのない古典暗号に比べ、極めて高い安全性を保証することができるのである。さらに安全性を高める技術として送信される多値信号を不規則に変動させる信号拡散ランダム化(Deliberate Signal Randomization:DSR)理論が開発されている(非特許文献1,3参照)。
一方、上記方式は量子力学的な通信媒体を用いるため、電気信号や電波で使用することができない。しかし安全性は量子系より劣るが、このような暗号を古典の物理系で実施する古典Y−00方式と呼ばれる方法が玉川大学らによって研究されている。
H. P. Yuen, "A New Approach to Quantum Cryptography", quant-ph/0311061 v6 (30 Jul 2004) O. Hirota, K. Kato, M. Sohma, T. Usuda, K. Harasawa, "Quantum stream cipher based on optical communications", Proc. on Quantum communication and quantum imaging, Proc. of SPIE, vol-5551, pp206-219, 2004 土本敏之, 泊知枝, 宇佐見庄五, 臼田毅, 内匠逸, "DSRによる混合状態に対する量子最適検出特性"第27回情報理論とその応用シンポジウム,vol-1, pp.359-362, 12月, 2004
上述の量子系でのY−00方式の実施は量子力学的性質をもつ通信媒体を使用しなければならず、応用範囲が限られる。このため、本出願人は古典物理系で擬似乱数と物理系の雑音とを用いてY−00方式を実施する古典Y−00方式を提案している(例えば、特願2004−260512号等)。ところがこれまでの古典Y−00方式の実施例はアナログ的DSRを応用するものであり、必然的に出力が多値信号となるため、電気的なメモリや、フレキシブルディスク,CD(Compact Disc),DVD(Digital Versatile Disc)等の記録媒体の暗号技術への応用ができない。
そこで、本願発明者らは、Yuen量子暗号方式を量子揺らぎの代わりに古典の物理乱数を用いることにより従来の数理的な暗号よりはるかに強い暗号強度を持ち、多様なメデイアに応用可能な古典Yuen暗号を実現する技術を提案している(特願2005−276117号参照)。この技術においては、擬似乱数による多値変調の出力に対しさらに物理乱数による離散DSR技術を実施する変調を行なうことで、離散的な信号出力が得られることから、所望の通信路符号化を行なうことが可能になり、そのため、従来の数理暗号よりはるかに強い暗号強度を持ち、さらに、電波通信や電気通信において使用可能で且つ電気的なメモリや各種記録媒体にデータ保存可能であり、雑音の影響を受けることがなく、さらには通信速度への影響を最小にすることのできる古典Y−00方式暗号が提供されている。
今回、本願発明者らは、上記古典Y−00方式暗号とは異なる手法によって、多様なメディアに応用可能で、かつ、従来の数理暗号よりはるかに強い暗号強度(上記古典Y−00方式暗号と同等の暗号強度)を持つ暗号化/暗号復号化技術を新たに開発した。本発明は、その暗号化/暗号復号化技術を開示・提供することを目的としている。
上記目的を達成するために、本発明の暗号化方法は、1ビットの入力データを擬似乱数、および物理乱数により定まる、少なくとも2ビットの離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップと、前記符号化信号を通信路符号化し暗号化データとして出力する通信路符号化ステップとを有し、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、ことを特徴としている。
また、本発明の暗号化方法は、1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップを有し、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられており、
前記変調ステップは、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4として前記符号化信号を生成する、ことを特徴としている。
このとき、前記物理乱数として、物理乱数によって決定される値に定期的もしくは不定期に変更される暗号鍵に基づいて生成される第2の擬似乱数を用いてもよい。
本発明の暗号復号化方法は、1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる変調を行なって得られた符号化信号であって、前記変調に際して、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4とし、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、符号化信号を、
前記変調に用いられた前記擬似乱数を生成した暗号鍵と同一の暗号鍵に基づく擬似乱数により、前記符号化信号を前記入力データに復調することを特徴としている。
本発明の暗号化装置は、暗号鍵に基づく擬似乱数を生成する擬似乱数生成部と、物理現象に基づく物理乱数を生成する物理乱数生成部と、1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる行って符号化信号を得る変調部とをそなえ、前記変調部が、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4とし、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、ことを特徴としている。
このような暗号化装置において、前記擬似乱数生成部、前記物理乱数生成部、および前記変調部を、前記暗号鍵および前記擬似乱数の漏洩を抑止するとともに、前記物理乱数生成部によって生成される物理乱数の、物理的擾乱による確率分布変動を抑止する、耐タンパ領域に配置してもよいし、前記擬似乱数生成部を、前記擬似乱数の生成動作のリセットおよび繰り返しを禁止するように構成してもよい。また、前記擬似乱数生成部に前記擬似乱数の生成動作を実行させるクロック信号の入力回数を前記擬似乱数の出力回数として保持し、前記耐タンパ領域外からの命令に応じて前記出力回数を前記耐タンパ領域外へ出力する、不揮発性の擬似乱数出力回数保持部と、前記擬似乱数生成部による擬似乱数生成動作と、前記符号化信号の送信先通信装置における暗号復号化装置の復調用擬似乱数生成部による復調用擬似乱数生成動作とを同期させるために、前記擬似乱数出力回数保持部から読み出された前記出力回数に基づいて、前記擬似乱数生成部からの前記擬似乱数の出力回数を調整する同期調整部とをそなえてもよい。さらに、前記送信先通信装置と同一の乱数表を保持する、不揮発性の乱数表保持部と、前記擬似乱数出力回数保持部から読み出された前記擬似乱数の出力回数を、前記乱数表保持部に保持された前記乱数表に基づいて暗号化し暗号化同期情報として前記送信先通信装置に送信する暗号送信部と、前記送信先通信装置から受信した暗号化同期情報を、前記乱数表保持部に保持された前記乱数表に基づいて復調用擬似乱数の出力回数に復号化する復号受信部とをそなえ、前記同期調整部は、前記復号受信部によって復号化された、前記送信先通信装置側の前記復調用擬似乱数の出力回数が、前記擬似乱数出力回数保持部から読み出された前記擬似乱数の出力回数よりも大きい場合、前記擬似乱数生成部からの前記擬似乱数の出力回数を前記送信先通信装置側の前記復調用擬似乱数の出力回数に合わせるように調整してもよい。
また、本発明の暗号化方法は、1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップを有し、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられており、
前記変調ステップは、前記擬似乱数の状態を0,1,2,3の4状態のうちの一つとし、前記物理乱数の状態を0,1の2状態のうちの一つとし、前記離散値の状態を0,1,2,3の4状態のうちの一つとして、前記符号化信号を生成し、
前記入力データ1ビット毎に付与された通し番号をiとし、入力データ、擬似乱数、物理乱数、および離散値の組合せパターンに割り振られた番号をk(kは0から15までの整数)とし、前記入力データをxk,iとし、前記擬似乱数をrk,iとし、前記物理乱数をfk,iとし、前記離散値をsk,iとし、kが0から7までのいずれか一つの整数であるとき前記入力データxk,i=0、kが8から15までのいずれか一つの整数であるとき前記入力データxk,i=1、kが0,1,8,9のいずれか一つの整数であるとき前記擬似乱数rk,i=0、kが2,3,10,11のいずれか一つの整数であるとき前記擬似乱数rk,i=1、kが4,5,12,13のいずれか一つの整数であるとき前記擬似乱数rk,i=2、kが6,7,14,15のいずれか一つの整数であるとき前記擬似乱数rk,i=3、kが偶数であるとき前記物理乱数fk,i=0、kが奇数であるとき前記物理乱数fk,i=1とした場合、前記離散値sk,iの代表組み合わせSj=(s0,i,s1,i,s2,i,s3,i,s4,i,s5,i,s6,i,s7,i,s8,i,s9,i,s10,i,s11,i,s12,i,s13,i,s14,i,s15,i)(jは1から6までの整数)が、
1=(0,1,0,1,2,3,2,3,2,3,2,3,0,1,0,1)
2=(0,1,0,2,1,3,2,3,2,3,1,3,0,2,0,1)
3=(0,1,0,3,1,2,2,3,2,3,1,2,0,3,0,1)
4=(0,2,0,2,1,3,1,3,1,3,1,3,0,2,0,2)
5=(0,2,0,3,1,2,1,3,1,3,1,2,0,3,0,2)
6=(0,3,0,3,1,2,1,2,1,2,1,2,0,3,0,3)
であり、
前記変調ステップは、上記6種類の代表組み合わせS1〜S6のうちのいずれか一つを用いて前記符号化信号を生成する、ことを特徴としている。
このとき、0から3までのいずれか一つの整数としてそれぞれ与えられる2つの数値をu,vと定義するとともに、0から3までの整数のうち前記数値u,vのいずれにも選ばれなかった整数として与えられる数値をwと定義し、
前記変調ステップは、上記6種類の代表組み合わせSjのそれぞれにおける前記離散値sk,iについて、
s'2u,i=s2v,i
s'2u+1,i=s2v+1,i
s'2u+8,i=s2v+8,i
s'2u+9,i=s2v+9,i
s'2w,i=s2w,i
s'2w+1,i=s2w+1,i
s'2w+8,i=s2w+8,i
s'2w+9,i=s2w+9,i
となる入れ替えを行なって得られた組み合わせS'j=(s'0,i,s'1,i,s'2,i,s'3,i,s'4,i,s'5,i,s'6,i,s'7,i,s'8,i,s'9,i,s'10,i,s'11,i,s'12,i,s'13,i,s'14,i,s'15,i)を用いて前記符号化信号を生成してもよい。
さらに、0から7までの整数として与えられる数値をmと定義するとともに、0から7までの整数のうち前記数値mに選ばれなかった整数として与えられる数値をnと定義し、
前記変調ステップは、上記6種類の代表組み合わせS'jのそれぞれにおける前記離散値s'k,iについて、
s"2m+1,i=s'2m,i
s"2m,i=s'2m+1,i
s"2n,i=s'2n,i
s"2n+1,i=s'2n+1,i
となる入れ替えを行なって得られた組み合わせS"j=(s"0,i,s"1,i,s"2,i,s"3,i,s"4,i,s"5,i,s"6,i,s"7,i,s"8,i,s"9,i,s"10,i,s"11,i,s"12,i,s"13,i,s"14,i,s"15,i)を用いて前記符号化信号を生成してもよい。
本発明の暗号復号化装置は、1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる変調を行なって得られた符号化信号であって、
前記変調に際して、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4とし、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、符号化信号を、前記入力データに復調する暗号復号化装置であって、
前記変調に用いられた前記擬似乱数を生成した暗号鍵と同一の暗号鍵に基づく復調用擬似乱数を生成する復調用擬似乱数生成部と、
該復調用擬似乱数生成部によって生成された擬似乱数により、前記符号化信号を前記入力データに復調する復調部とをそなえた、ことを特徴としている。
このような暗号復号化装置において、前記復調用擬似乱数生成部および前記復調部を、前記暗号鍵および前記復調用擬似乱数の漏洩を防止する耐タンパ領域に配置してもよいし、前記復調用擬似乱数生成部を、前記復調用擬似乱数の生成動作のリセットおよび繰り返しを禁止するように構成してもよい。また、前記復調用擬似乱数生成部に前記復調用擬似乱数の生成動作を実行させるクロック信号の入力回数を前記復調用擬似乱数の出力回数として保持し、前記耐タンパ領域外からの命令に応じて前記出力回数を前記耐タンパ領域外へ出力する、不揮発性の復調用擬似乱数出力回数保持部と、前記復調用擬似乱数生成部による復調用擬似乱数生成動作と、前記符号化信号の送信元通信装置における暗号化装置の擬似乱数生成部による擬似乱数生成動作とを同期させるために、前記復調用擬似乱数出力回数保持部から読み出された前記出力回数に基づいて、前記復調用擬似乱数生成部からの前記復調用擬似乱数の出力回数を調整する同期調整部とをそなえてもよい。さらに、前記送信元通信装置と同一の乱数表を保持する、不揮発性の乱数表保持部と、前記復調用擬似乱数出力回数保持部から読み出された前記復調用擬似乱数の出力回数を、前記乱数表保持部に保持された前記乱数表に基づいて暗号化し暗号化同期情報として前記送信元通信装置に送信する暗号送信部と、前記送信元通信装置から受信した暗号化同期情報を、前記乱数表保持部に保持された前記乱数表に基づいて擬似乱数の出力回数に復号化する復号受信部とをそなえ、前記同期調整部は、前記復号受信部によって復号化された、前記送信元通信装置側の前記擬似乱数の出力回数が、前記復調用擬似乱数出力回数保持部から読み出された前記復調用擬似乱数の出力回数よりも大きい場合、前記復調用擬似乱数生成部からの前記復調用擬似乱数の出力回数を前記送信元通信装置側の前記擬似乱数の出力回数に合わせるように調整してもよい。
本発明の通信システムは、請求項5,請求項9〜請求項12のいずれか一項に記載の暗号化装置であって、前記符号化信号の送信元通信装置にそなえられ、前記符号化信号を送信先通信装置に複数のパケットとして送信する暗号化装置と、請求項13〜請求項17のいずれか一項に記載の暗号復号化装置であって、前記符号化信号の送信先通信装置にそなえられ、前記送信元通信装置の前記暗号化装置から受信した各パケットにおける前記符号化信号を前記入力データに復調する暗号復号化装置とをそなえ、前記暗号化装置から前記暗号復号化装置に送信される各パケットのヘッダ部に、前記複数のパケットについての通し番号、または、各パケットのコンテナ部における前記符号化信号の変調時に用いられた前記擬似乱数の出力回数が記述され、前記暗号復号化装置は、前記暗号化装置からの前記複数のパケットを保持するパケット保持部と、前記パケット保持部に保持された前記複数のパケットを、各パケットのヘッダ部に記述された前記通し番号または前記出力回数に従う順序に並べ替えて前記復調部に入力する並べ替え部とをそなえている、ことを特徴としている。
このような通信システムにおいて、前記暗号化装置から前記暗号復号化装置に送信される各パケットのコンテナ部における前記符号化信号に、前記通し番号または前記出力回数が含まれ、前記暗号復号化装置は、各パケットのヘッダ部に記述された前記通し番号または前記出力回数と、前記復調部による前記符号化信号の復調結果に含まれる前記通し番号または前記出力回数とを比較する第1比較部と、前記第1比較部による比較の結果、これらの通し番号または出力回数が不一致であった場合、当該パケットを破棄するパケット破棄部とをそなえていてもよい。
また、前記暗号化装置から前記暗号復号化装置に送信される各パケットのコンテナ部における前記符号化信号に、当該パケットについて固有の認証コードとして、前記擬似乱数生成部によって生成された擬似乱数列が含まれ、前記暗号復号化装置は、前記復調部による前記符号化信号の復調結果に含まれる前記認証コードと、前記復調用擬似乱数生成部によって生成された、当該認証コードに対応する復調用擬似乱数列とを比較する第2比較部と、前記第2比較部による比較の結果、これらの認証コードが不一致であった場合、当該パケットを破棄するパケット破棄部とをそなえていてもよい。
上述した本発明によれば、物理乱数による離散DSR技術が実施されるとともに、2ビットの離散的な信号出力が得られることから、所望の通信路符号化を行なうことが可能になり、そのため、従来の数理暗号よりはるかに強い暗号強度(上記古典Y−00方式暗号と同等の暗号強度)を持ち、さらに、電波通信や電気通信において使用可能で且つ電気的なメモリや各種記録媒体にデータ保存可能であり、雑音の影響を受けることがなく、さらには通信速度への影響を最小にすることのできる暗号化/暗号復号化技術を提供できる。
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕第1実施形態の暗号化装置の構成
図1は本発明の第1実施形態としての暗号化装置の構成を示すブロック図で、この図1に示すように、第1実施形態の暗号化装置10は、擬似乱数発生器11,物理乱数発生器12,変調部13および通信路符号化部14をそなえて構成されている。
擬似乱数発生器(第1の擬似乱数生成部,変調用擬似乱数生成部)11は、予め設定された暗号鍵Kに基づいて変調用の擬似乱数(第1の擬似乱数)riを生成して出力するものである。例えば暗号鍵Kが100ビットの2進数であれば、擬似乱数発生器11からは(2100−1)ビットの2進数つまり(2100−1)ビット周期の擬似乱数が生成されることになる。この擬似乱数発生器11からの出力が擬似乱数riとして取り扱われる。本実施形態において、擬似乱数riは、4個の整数値0,1,2,3を状態として持つものである。つまり、ri∈{0,1,2,3}である。
物理乱数発生器(物理乱数生成部)12は、物理現象に基づく物理乱数fiを生成するものである。物理現象としては、本質的にランダムな現象、例えば自然界の雑音,宇宙線,熱揺らぎ(熱雑音),放射性同位元素の崩壊などが用いられ、このような物理現象を用いることにより、物理乱数発生器12は、暗号鍵が不要で再現性や周期性の無い予測不能な乱数列を生成することができる。この物理乱数発生器12からの出力が物理乱数fiとして取り扱われる。本実施形態において、物理乱数fiは、2個の整数値0,1を状態として持つものである。つまり、fi∈{0,1}である。なお、物理乱数発生器12に代えて、例えば図17を参照しながら後述するような乱数発生器18を用いることも可能である。
変調部13は、2進数の入力データとしての平文xiを、擬似乱数発生器11によって生成された変調用擬似乱数riおよび物理乱数発生器12によって生成された物理乱数fiにより定まる2ビットの離散値(状態数4)に対応させて変調し変調出力siとして出力するものである。本実施形態では、上述した通り、擬似乱数riの状態数は4、物理乱数fiの状態数は2、変調出力siの状態数は4となっており、変調部13において、変調出力siは、平文xi,擬似乱数riおよび物理乱数fiを変数とする変調用3変数関数の出力として取り扱われる。本実施形態では、その変調用3変数関数をsi=M(xi,ri,fi)として表す。
この変調用3変数関数は、具体的には図5〜図7を参照しながら後述するエンコード表に基づいて平文xi,擬似乱数riおよび物理乱数fiを出力siに対応させるもので、下記項目[I],[II],[III]の条件の全てを同時に満たすように平文xiと擬似乱数riと物理乱数fiと出力siとの対応関係を設定するものである。なお、出力(離散値)siは、4個の整数値0,1,2,3を状態として持つものである。つまり、si∈{0,1,2,3}である。
[I]後述する暗号化データ(暗号文ci)を通信路符号復号化して得られる復号信号diが擬似乱数riにより前記入力データとしての平文xiに復調可能であること。つまり、正規受信者は、正規送信者が用いた物理乱数fiを知らなくても、正規の擬似乱数riのみよって復号信号diを暗号復号化できること。
[II]出力(離散値)siに対応する平文xiの2値(0,1)それぞれの数が等しいこと。この項目[II]の条件は、「暗号」としての性質で、暗号文(実際には暗号文ciを盗聴して得られた復号信号di=si)が平文xiに一意に対応しないための条件である。この項目[II]の条件を満たすことにより、正規送受信者が使用した擬似乱数riおよび物理乱数fiを知らない盗聴者から見ると、どの一つの暗号文も平文xiの値0,1に等確率で対応することになり、平文xiと暗号文とを一意に対応付けることができない。具体的には図8および図9を参照しながら後述するように、変調部13の出力siに対応する、平文xiが「1」である場合の数と平文xiが「0」である場合の数とが等しくなるように、つまり、物理乱数fiおよび擬似乱数riがランダムであれば変調の出力siの状態もランダムに分布するように、上述した3変数関数(エンコード表)が設定さる。
[III]平文(入力データの値)xiと出力(離散値)siとの対に異なる複数(ここでは2)の擬似乱数riが同数(ここでは1ずつ)対応付けられていること。この項目[III]の条件は、平文xiとこの平文xiを暗号化した暗号文(実際には暗号文ciを盗聴して得られた復号信号di)との対のみからでは、暗号化に用いられた擬似乱数riを一意に決定できないようにするための条件、つまり既知平文攻撃に対して安全であるための条件である。この項目[III]の条件を満たすことにより、正規送受信者が使用した擬似乱数riおよび物理乱数fiを知らない盗聴者が、平文xiと暗号文との対から擬似乱数riを推定すると、異なる複数の擬似乱数riが平文xiと暗号文との対に等確率で対応することになり、既知平文攻撃で擬似乱数riを一意に決めることができない。
なお、変調部13による変調は変調出力が4値の離散的な多値信号になれば良いため、強度変調、位相変調、PCM(Pulse Code Modulation)のようなデジタル変調等、変調方式を問わず利用可能である。変調の入力信号、および変調の出力信号もまた、強度信号、位相信号、デジタル信号、複数の信号線を用いたパラレル信号や時系列データとなるシリアル信号等、離散的な値の表現が可能な信号であれば信号の種類を問わず利用可能である。
通信路符号化部14は、変調部13の出力siに通信路に適した所望の通信路符号化を行ない、その出力siを暗号文(暗号化データ)ciとして出力するものである。たとえば、ON状態とOFF状態の2状態で情報を表現する通信路に対して変調部13の出力siを適合させるために、変調部13の出力siを2進数に変換する。さらに通信路のエラーに対する耐性を付加するため誤り訂正符号による符号化を行ない、また、必要に応じて符号の利用効率を上げる処理を行なうなどの一連の符号化処理を行なう。誤り訂正符号の例としてはハミング符号、リードソロモン符号、LDPC(Low Density Parity Check)符号、ターボ符号などがある。
なお、変調部13の出力siとして既に通信路に最適な信号が出力されるような変調部13を用いた場合は通信路符号化部14の動作は恒等写像で表され、このとき通信路符号化部14を省略することが可能である。
〔2〕第1実施形態の暗号復号化装置の構成
図2は本発明の第1実施形態としての暗号復号化装置の構成を示すブロック図で、この図2に示すように、本実施形態の暗号復号化装置20は、上述した暗号化装置10によって得られた暗号文ciを暗号復号化するものであって、擬似乱数発生器21,復調部22
,および通信路符号復号化部23をそなえて構成されている。
通信路符号復号化部23は、暗号化装置10によって得られた暗号文ciを通信路符号復号化し、復号信号diを得るものである。なお、同一の平文xiに対応する復号信号diと暗号化装置10の変調部13の出力siは等しい。また、暗号文ciを直接復調可能な復調部22を用いる場合の通信路符号復号化部23の動作は恒等写像で表され、このとき通信路符号復号化部23を省略することが可能である。
擬似乱数発生器(擬似乱数生成部,復調用擬似乱数生成部)21は、暗号化装置10において変調部13による変調に用いられた擬似乱数riを生成した暗号鍵Kと同一の暗号鍵Kに基づいて、その変調用擬似乱数riに同期する復調用擬似乱数riを生成して出力するもので、暗号化装置10における擬似乱数発生器11と同一構成を有するものである。
復調部22は、通信路符号復号化部23により得られた復号信号diを、擬似乱数発生器21によって生成された擬似乱数riにより、入力データとしての平文xiに復調するもので、本実施形態では、図6(B)もしくは図7(B)を参照しながら後述するデコード表に基づいて復号信号diおよび擬似乱数riを平文xiに対応させることにより、復号信号diを平文xiに復調するようになっている。つまり、復調部22において、平文xiは、復号信号diおよび擬似乱数riを変数とする復調用2変数関数の出力として取り扱われる。本実施形態では、その復調用2変数関数をxi=D(di,ri)として表す。
〔3〕第1実施形態の変調用3変数関数(エンコード表)および復調用2変数関数(デコード表)について
ここで、図3〜図10を参照しながら、擬似乱数riの状態数が4かつ物理乱数fiの状態数が2かつ変調出力siの状態数が4である場合(4−2−4型)が、上記項目[I],[II],[III]の条件を満たす変調用3変数関数(エンコード表)の最小構成であることについて説明するとともに、その4−2−4型の変調用3変数関数(エンコード表)および復調用2変数関数(デコード表)の具体例について説明する。
〔3−1〕2−2−2型
図3に、4−2−4型よりも小さい構成である、2−2−2型の変調用3変数関数(エンコード表)の例、つまり、擬似乱数riの状態数が2かつ物理乱数fiの状態数が2かつ変調出力siの状態数が2である場合の変調用3変数関数(エンコード表)si=M(xi,ri,fi)の例を示す。ここでは、ri∈{0,1},fi∈{0,1},si∈{0,1}とする。この図3では、平文xiが「0」である場合についての擬似乱数riと物理乱数fiとの4通りの組み合わせ、および、平文xiが「1」である場合についての擬似乱数riと物理乱数fiとの4通りの組み合わせ、つまり合計8通りのxi,ri,fiの組み合わせに対する、出力(離散値)siの例(1)〜(3)が示されている。
図3に示す出力siの例(1)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=1かつri=0かつfi=0の時にsi=1、
i=1かつri=0かつfi=1の時にsi=0、
と設定されているが、この例(1)では、復調部22において復号信号di(=si)を復号する際、例えば復号信号di=0に対し擬似乱数ri=0となった時に平文xiは「0」である場合と「1」である場合の両方があり、復調部22において復号信号diを擬似乱数riによって平文xiに復調することができない。つまり、出力siの例(1)では、上記項目[I]の条件を満たすことができない。
図3に示す出力siの例(2)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=1かつri=0かつfi=0の時にsi=0、
i=1かつri=0かつfi=1の時にsi=1、
と設定されているが、この例(2)でも、上記例(1)と同様、復調部22において復号信号di(=si)を復号する際、例えば復号信号di=0に対し擬似乱数ri=0となった時に平文xiは「0」である場合と「1」である場合の両方があり、復調部22において復号信号diを擬似乱数riによって平文xiに復調することができない。つまり、出力siの例(2)でも、上記項目[I]の条件を満たすことができない。
図3に示す出力siの例(1),(2)のように、平文xiの値「0」に対応付けられる擬似乱数riに割り当てられた出力値グループと、平文xiの値「1」に対応付けられる同じ擬似乱数riに割り当てられた出力値グループとが同じ値(ここでは0,1)からなる場合、正規受信者であっても、擬似乱数だけでは復号信号diを復調することができなくなる。
図3に示す出力siの例(3)では、
i=0かつri=0かつfi=0の時にsi=1、
i=0かつri=0かつfi=1の時にsi=1、
と設定されているが、この例(3)では、一つの擬似乱数ri=0に対応する2種類の出力(それぞれ物理乱数fi=0,1に対応する出力)siとして同一の値1が割り当てられるために物理乱数fiが機能せず、2組存在する平文xi=0と出力si=1との対に、いずれも擬似乱数ri=0が対応することになり、上記項目[III]の条件を満たすことができず、既知平文攻撃で擬似乱数riを一意に決めることができてしまう。
2−2−2型で考えられる全ての設定パターン(xi,ri,fiの組み合わせに対する出力si)は、図3に示す出力siの例(1)〜(3)のいずれかに対応するため、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、2−2−2型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)は存在しない。
〔3−2〕2−2−4型
次に、図4に、4−2−4型よりも小さく2−2−2型よりも大きい構成である、2−2−4型の変調用3変数関数(エンコード表)の例、つまり、擬似乱数riの状態数が2かつ物理乱数fiの状態数が2かつ変調出力siの状態数が4である場合の変調用3変数関数(エンコード表)si=M(xi,ri,fi)の例を示す。ここでは、ri∈{0,1},fi∈{0,1},si∈{0,1,2,3}とする。この図4では、平文xiが「0」である場合についての擬似乱数riと物理乱数fiとの4通りの組み合わせ、および、平文xiが「1」である場合についての擬似乱数riと物理乱数fiとの4通りの組み合わせ、つまり合計8通りのxi,ri,fiの組み合わせに対する、出力(離散値)siの例(1)〜(5)が示されている。
図4に示す出力siの例(1)は、図3の例(1)と同じ設定であるため、上述した通り、復調部22において復号信号di(=si)を復号する際、例えば復号信号di=0に対し擬似乱数ri=0となった時に平文xiは「0」である場合と「1」である場合の両方があり、復調部22において復号信号diを擬似乱数riによって平文xiに復調することができない。つまり、上記項目[I]の条件を満たすことができない。
図4に示す出力siの例(2)は、図3の例(2)と同じ設定であるため、上述した通り、復調部22において復号信号di(=si)を復号する際、例えば復号信号di=0に対し擬似乱数ri=0となった時に平文xiは「0」である場合と「1」である場合の両方があり、復調部22において復号信号diを擬似乱数riによって平文xiに復調することができない。つまり、上記項目[I]の条件を満たすことができない。
図4に示す出力siの例(3)は、図3の例(3)と同じ設定であるため、上述した通り、一つの擬似乱数ri=0に対応する2種類の出力(それぞれ物理乱数fi=0,1に対応する出力)siとして同一の値1が割り当てられ物理乱数fiが機能せず、2組存在する平文xi=0と出力si=1との対に、いずれも擬似乱数ri=0が対応することになり、上記項目[III]の条件を満たすことができず、既知平文攻撃で擬似乱数riを一意に決めることができてしまう。
図4に示す出力siの例(4)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=2、
i=0かつri=1かつfi=1の時にsi=3、
と設定されているが、この例(4)では、平文xiと出力siとの対に一つの擬似乱数riしか対応付けられていないので、上記項目[III]の条件は満たされておらず、従って、既知平文攻撃で擬似乱数riを一意に決めることができてしまう。
図4に示す出力siの例(5)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=0、
i=0かつri=1かつfi=1の時にsi=1、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=2、
i=1かつri=1かつfi=1の時にsi=3、
と設定されているが、この例(5)では、平文xiと出力siとの対に異なる2つの擬似乱数riが対応付けられているので、上記項目[III]の条件は満たされているが、出力si=0,1に対応する平文xiは「0」のみであり、また、出力si=2,3に対応する平文xiは「1」のみであり、上記項目[II]の条件が満たされておらず、平文xiと出力siとが対応しており、平文xiと暗号文とを一意に対応付けることができてしまう。
2−2−4型で考えられる全ての設定パターン(xi,ri,fiの組み合わせに対する出力si)は、図4に示す出力siの例(1)〜(5)のいずれかに対応するため、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、2−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)は存在しない。
〔3−3〕4−2−4型
図5に、4−2−4型の変調用3変数関数(エンコード表)の例、つまり、擬似乱数riの状態数が4かつ物理乱数fiの状態数が2かつ変調出力siの状態数が4である場合の変調用3変数関数(エンコード表)si=M(xi,ri,fi)の例を示す。ここでは、ri∈{0,1,2,3},fi∈{0,1},si∈{0,1,2,3}とする。この図5では、平文xiが「0」である場合についての擬似乱数riと物理乱数fiとの8通りの組み合わせ、および、平文xiが「1」である場合についての擬似乱数riと物理乱数fiとの8通りの組み合わせ、つまり合計16通りのxi,ri,fiの組み合わせに対する、出力(離散値)siの例(1)〜(7)が示されている。
図5に示す出力siの例(1)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=1、
i=0かつri=1かつfi=1の時にsi=0、
i=0かつri=2かつfi=0の時にsi=2、
i=0かつri=2かつfi=1の時にsi=3、
i=0かつri=3かつfi=0の時にsi=3、
i=0かつri=3かつfi=1の時にsi=2、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=3、
i=1かつri=1かつfi=1の時にsi=2、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=1、
i=1かつri=3かつfi=0の時にsi=1、
i=1かつri=3かつfi=1の時にsi=0、
と設定されている。この例(1)は、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、4−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)となっている。
ここで、例(1)において、出力si=0に対応する平文xi=0の数は2であり、出力si=0に対応する平文xi=1の数は2であり、他の出力si=1,2,3についても同様であるので、上記項目[II]の条件は満たされている。また、例(1)において、平文xi=0と出力si=0との対には、異なる2つの擬似乱数ri=0,1が一つずつ対応付けられており、他の対についても同様であるので、上記項目[III]の条件は満たされている。
この例(1)によるエンコード表を図6(A)に示す。また、図6(A)に示すエンコード表に対応するデコード表(復調用2変数関数)xi=D(di,ri)を図6(B)に示す。さらに、図6(B)に示すデコード表を2進数に書き換えたものを図6(C)に示す。なお、図5に示す出力siの例(1)が上記項目[I]の条件を満たすことは図6(B)に示すデコード表を参照すれば明らかであり、上記項目[II]の条件を満たすことは、後述する図8を参照すれば明らかである。また、上記項目[III]の条件を満たすことは、図6(A)に示すエンコード表や後述する図8を参照しても明らかなように、平文xiと出力siとの全ての対に異なる2つの擬似乱数riが1つずつ対応付けられている。例えば、平文xi=0と出力si=0との対には、異なる2つの擬似乱数ri=0,1が1つずつ対応付けられ、平文xi=0と出力si=1との対には、異なる2つの擬似乱数ri=0,1が1つずつ対応付けられ、平文xi=1と出力si=1との対には、異なる2つの擬似乱数ri=2,3が1つずつ対応付けられている。
また、図8は、図5に示す出力siの例(1)つまり図6(A)に示すエンコード表について平文xiと擬似乱数riと物理乱数fiと出力siとの対応関係を図式化して示すもので、この図8に示すように、図6(A)に示すエンコード表によれば、出力siに対応する、平文xiが「1」である場合の数と平文xiが「0」である場合の数とが等しく、また、平文xiと出力siとの間における擬似乱数riおよび物理乱数fiの対応関係も全て均等に配分されており(ラインL0000,L0011,L0101,L0110,L0202,L0213,L0303,L0312,L1002,L1013,L1103,L1112,L1200,L1211,L1301,L1310参照)、物理乱数fiおよび擬似乱数riがランダムであれば出力siの状態もランダムに分布するようになる。
図5に示す出力siの例(2)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=0、
i=0かつri=1かつfi=1の時にsi=1、
i=0かつri=2かつfi=0の時にsi=2、
i=0かつri=2かつfi=1の時にsi=3、
i=0かつri=3かつfi=0の時にsi=2、
i=0かつri=3かつfi=1の時にsi=3、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=2、
i=1かつri=1かつfi=1の時にsi=3、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=1、
i=1かつri=3かつfi=0の時にsi=0、
i=1かつri=3かつfi=1の時にsi=1、
と設定されている。この例(2)では、出力siと物理乱数fiとの間に相関が見られるが、この例(2)も、図5に示す出力siの例(1)と同様、上記項目[I]〜[III]の条件の全てを同時に満たしており、既知平文攻撃で擬似乱数riを推定することができないので、4−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)として用いることができる。
図5に示す出力siの例(3)は、図3の例(2)と同じ設定であるため、上述した通り、復調部22において復号信号di(=si)を復号する際、例えば復号信号di=0に対し擬似乱数ri=0となった時に平文xiは「0」である場合と「1」である場合の両方があり、復調部22において復号信号diを擬似乱数riによって平文xiに復調することができない。つまり、上記項目[I]の条件を満たすことができない。
図5に示す出力siの例(4)は、図3の例(1)と同じ設定であるため、上述した通り、復調部22において復号信号di(=si)を復号する際、例えば復号信号di=0に対し擬似乱数ri=0となった時に平文xiは「0」である場合と「1」である場合の両方があり、復調部22において復号信号diを擬似乱数riによって平文xiに復調することができない。つまり、上記項目[I]の条件を満たすことができない。
図5に示す出力siの例(5)は、図3の例(3)と同じ設定であるため、上述した通り、一つの擬似乱数ri=0に対応する2種類の出力(それぞれ物理乱数fi=0,1に対応する出力)siとして同一の値1が割り当てられ物理乱数fiが機能せず、2組存在する平文xi=0と出力si=1との対に、いずれも擬似乱数ri=0が対応することになり、上記項目[III]の条件を満たすことができず、既知平文攻撃で擬似乱数riを一意に決めることができてしまう。
図5に示す出力siの例(6)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=2、
i=0かつri=1かつfi=1の時にsi=3、
i=0かつri=2かつfi=0の時にsi=0、
i=0かつri=2かつfi=1の時にsi=1、
i=0かつri=3かつfi=0の時にsi=2、
i=0かつri=3かつfi=1の時にsi=3、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=0、
i=1かつri=1かつfi=1の時にsi=1、
i=1かつri=2かつfi=0の時にsi=2、
i=1かつri=2かつfi=1の時にsi=3、
i=1かつri=3かつfi=0の時にsi=0、
i=1かつri=3かつfi=1の時にsi=1、
と設定されている。この例(6)も、図5に示す出力siの例(1)と同様、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、4−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)となっている。この例(6)は、上述した例(2)における擬似乱数riと出力siとの対応関係について、擬似乱数riの値「1」と「2」とを入れ替えたものと等価である。
図5に示す出力siの例(7)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=3、
i=0かつri=1かつfi=1の時にsi=2、
i=0かつri=2かつfi=0の時にsi=2、
i=0かつri=2かつfi=1の時にsi=3、
i=0かつri=3かつfi=0の時にsi=1、
i=0かつri=3かつfi=1の時にsi=0、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=1、
i=1かつri=1かつfi=1の時にsi=0、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=1、
i=1かつri=3かつfi=0の時にsi=3、
i=1かつri=3かつfi=1の時にsi=2、
と設定されている。この例(7)も、図5に示す出力siの例(1)と同様、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、4−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)となっている。この例(7)は、上述した例(1)における擬似乱数riと出力siとの対応関係について、擬似乱数riの値「1」と「3」とを入れ替えたものと等価である。この例(7)によるエンコード表を図7(A)に示す。また、図7(A)に示すエンコード表に対応するデコード表(復調用2変数関数)xi=D(di,ri)を図7(B)に示す。さらに、図7(B)に示すデコード表を2進数に書き換えたものを図7(C)に示す。
また、図9は、図5に示す出力siの例(7)つまり図7(A)に示すエンコード表について平文xiと擬似乱数riと物理乱数fiと出力siとの対応関係を図式化して示す図もので、この図9に示すように、図7(A)に示すエンコード表によれば、図8に示した例と同様に、出力siに対応する、平文xiが「1」である場合の数と平文xiが「0」である場合の数とが等しく、また、平文xiと出力siとの間における擬似乱数riおよび物理乱数fiの対応関係も全て均等に配分されており(ラインL0000,L0011,L0301,L0310,L0202,L0213,L0103,L0112,L1002,L1013,L1303,L1312,L1200,L1211,L1101,L1110参照)、物理乱数fiおよび擬似乱数riがランダムであれば出力siの状態もランダムに分布するようになる。
ところで、図6(B)に示すデコード表を2進数に書き換えた、図6(C)に示すデコード表を参照すると、復号信号diの2ビットのうちの上位ビットと平文xiとの排他的論理和が、擬似乱数riの2ビットのうちの上位ビットに対応している。つまり、図6(C)に示すデコード表では、盗聴者が平文xiとこれに対応する暗号文ciを通信路符号復号化した復号信号diとを得て既知平文攻撃を行なう場合、1ビットの物理乱数による不規則な対応付けによって、既知平文攻撃をもってしても盗聴者が知ることができない1ビット情報は、擬似乱数の下位1ビットに対応している。これに対し、図7(B)に示すデコード表を2進数に書き換えた、図7(C)に示すデコード表では、既知平文攻撃をもってしても盗聴者が知ることができない1ビット情報は、擬似乱数が「00であるか、11であるか」という1ビット情報、もしくは「01であるか、10であるか」という1ビット情報に対応している。
このように、4−2−4型で考えられる設定パターン(xi,ri,fiの組み合わせに対する出力si)には、図5に示す出力siの例(3)〜(5)のごとく、上記項目[I]〜[III]の条件のうちいずれか一つ、もしくは複数を満たさないものもあるが、図5に示す出力siの例(1),(2),(6),(7)のごとく、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、4−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)を設定可能である。本実施形態の暗号化装置10における変調部13では、そのような4−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)、例えば図6(A)もしくは図7(A)に示すエンコード表を用いて平文xiの変調が行なわれる。そして、本実施形態の暗号復号化装置20における復調部22では、変調に用いた4−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)に対応するデコード表(復調用2変数関数)xi=D(di,ri)、例えば図6(B),(C)もしくは図7(B),(C)を用いて復号信号diの復調が行なわれる。
なお、ここでは、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、4−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)としては、図5に示す例(1),(2),(6),(7)の4通りのみを示しているが、計算上、図5に示す例(1),(2),(6),(7)の4通りを含む、23040通りの組み合わせ(エンコード
表)が考えられる。
この23040個のエンコード表の集合の中には6個の代表要素(エンコード表)が存在し、それぞれの代表要素の擬似乱数riと物理乱数fiと出力siとの関係について、擬似乱数riの値の入れ替えを施し、さらに物理乱数fiの値の入れ替えを施すことにより、23040通りの等価なパターンの全数を表現し尽くすことができる。
例えば、図20に示す代表要素1では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=0、
i=0かつri=1かつfi=1の時にsi=1、
i=0かつri=2かつfi=0の時にsi=2、
i=0かつri=2かつfi=1の時にsi=3、
i=0かつri=3かつfi=0の時にsi=2、
i=0かつri=3かつfi=1の時にsi=3、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=2、
i=1かつri=1かつfi=1の時にsi=3、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=1、
i=1かつri=3かつfi=0の時にsi=0、
i=1かつri=3かつfi=1の時にsi=1、
と設定されている。この代表要素1は図5の例(2)に等しいが、平文「0」の場合の擬似乱数riの「1」と「2」とを入れ替え、さらに平文「1」の場合の擬似乱数riの「1」と「2」とを入れ替えたものは、図5の例(6)に等しい。このように擬似乱数riの入れ替えは常に平文xiが「0」の場合と平文xiが「1」の場合とについて、対応する擬似乱数riの入れ替えを同時に行なう。一方、物理乱数fiの入れ替えについてはこの限りではなく、平文xiが「0」の場合と平文xiが「1」の場合とについてそれぞれ独立に、同一の擬似乱数riに属する物理乱数「0」,「1」の入れ替えを施すことが可能である。よって、代表要素1は擬似乱数riの入れ替えが6通りあり、さらにそれぞれについて物理乱数fiの入れ替えが256通りあるため、合計6×256=1536通りの変形が可能である。
次に、図20に示す代表要素2では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=0、
i=0かつri=1かつfi=1の時にsi=2、
i=0かつri=2かつfi=0の時にsi=1、
i=0かつri=2かつfi=1の時にsi=3、
i=0かつri=3かつfi=0の時にsi=2、
i=0かつri=3かつfi=1の時にsi=3、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=1、
i=1かつri=1かつfi=1の時にsi=3、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=2、
i=1かつri=3かつfi=0の時にsi=0、
i=1かつri=3かつfi=1の時にsi=1、
と設定されている。この代表要素2には、擬似乱数riの入れ替えが24通りあり、さらに、それぞれについて物理乱数fiの入れ替えが256通りあるため、合計24×256=6144通りの変形が可能である。
次に、図20に示す代表要素3では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=0、
i=0かつri=1かつfi=1の時にsi=3、
i=0かつri=2かつfi=0の時にsi=1、
i=0かつri=2かつfi=1の時にsi=2、
i=0かつri=3かつfi=0の時にsi=2、
i=0かつri=3かつfi=1の時にsi=3、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=1、
i=1かつri=1かつfi=1の時にsi=2、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=3、
i=1かつri=3かつfi=0の時にsi=0、
i=1かつri=3かつfi=1の時にsi=1、
と設定されている。この代表要素3には、擬似乱数riの入れ替えが24通りあり、さらに、それぞれについて物理乱数fiの入れ替えが256通りあるため、合計24×256=6144通りの変形が可能である。
次に、図20に示す代表要素4では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=2、
i=0かつri=1かつfi=0の時にsi=0、
i=0かつri=1かつfi=1の時にsi=2、
i=0かつri=2かつfi=0の時にsi=1、
i=0かつri=2かつfi=1の時にsi=3、
i=0かつri=3かつfi=0の時にsi=1、
i=0かつri=3かつfi=1の時にsi=3、
i=1かつri=0かつfi=0の時にsi=1、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=1、
i=1かつri=1かつfi=1の時にsi=3、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=2、
i=1かつri=3かつfi=0の時にsi=0、
i=1かつri=3かつfi=1の時にsi=2、
と設定されている。この代表要素4には、擬似乱数riの入れ替えが6通りあり、さらに、それぞれについて物理乱数fiの入れ替えが256通りあるため、合計6×256=1536通りの変形が可能である。
次に、図20に示す代表要素5では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=2、
i=0かつri=1かつfi=0の時にsi=0、
i=0かつri=1かつfi=1の時にsi=3、
i=0かつri=2かつfi=0の時にsi=1、
i=0かつri=2かつfi=1の時にsi=2、
i=0かつri=3かつfi=0の時にsi=1、
i=0かつri=3かつfi=1の時にsi=3、
i=1かつri=0かつfi=0の時にsi=1、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=1、
i=1かつri=1かつfi=1の時にsi=2、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=3、
i=1かつri=3かつfi=0の時にsi=0、
i=1かつri=3かつfi=1の時にsi=2、
と設定されている。この代表要素5には、擬似乱数riの入れ替えが24通りあり、さらに、それぞれについて物理乱数fiの入れ替えが256通りあるため、合計24×256=6144通りの変形が可能である。
次に、図20に示す代表要素6では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=3、
i=0かつri=1かつfi=0の時にsi=0、
i=0かつri=1かつfi=1の時にsi=3、
i=0かつri=2かつfi=0の時にsi=1、
i=0かつri=2かつfi=1の時にsi=2、
i=0かつri=3かつfi=0の時にsi=1、
i=0かつri=3かつfi=1の時にsi=2、
i=1かつri=0かつfi=0の時にsi=1、
i=1かつri=0かつfi=1の時にsi=2、
i=1かつri=1かつfi=0の時にsi=1、
i=1かつri=1かつfi=1の時にsi=2、
i=1かつri=2かつfi=0の時にsi=0、
i=1かつri=2かつfi=1の時にsi=3、
i=1かつri=3かつfi=0の時にsi=0、
i=1かつri=3かつfi=1の時にsi=3、
と設定されている。この代表要素6には、擬似乱数riの入れ替えが6通りあり、さらに、それぞれについて物理乱数fiの入れ替えが256通りあるため、合計6×256=1536通りの変形が可能である。
以上に示したとおり、図20に示す代表要素1〜6のそれぞれについて擬似乱数riと物理乱数fiとの入れ替えを施すことにより、代表要素1,4,6はそれぞれ1536通りの変形が、代表2,3,5はそれぞれ6144通りの変形が可能であり、合計1536×3+6144×3=23040通りの、上記項目[I]〜[III]の条件全てを満たす等価なエンコード表を全て表現し尽くすことができる。
なお、以下に、上述した代表要素1〜6のそれぞれについて擬似乱数riと物理乱数fiとの入れ替えを一般化して説明する。ここでは、入力データとしての平文1ビット毎に付与された通し番号をiとし、入力データ(平文)、擬似乱数、物理乱数、および離散値(出力)の組合せパターンに割り振られた番号をk(kは0から15までの整数)とし、前記入力データ(平文)をxk,iとし、前記擬似乱数をrk,iとし、前記物理乱数をfk,iとし、前記離散値(出力)をsk,iとし、kが0から7までのいずれか一つの整数であるとき前記入力データxk,i=0、kが8から15までのいずれか一つの整数であるとき前記入力データxk,i=1、kが0,1,8,9のいずれか一つの整数であるとき前記擬似乱数rk,i=0、kが2,3,10,11のいずれか一つの整数であるとき前記擬似乱数rk,i=1、kが4,5,12,13のいずれか一つの整数であるとき前記擬似乱数rk,i=2、kが6,7,14,15のいずれか一つの整数であるとき前記擬似乱数rk,i=3、kが偶数であるとき前記物理乱数fk,i=0、kが奇数であるとき前記物理乱数fk,i=1とした場合、前記離散値(出力)sk,iの代表組み合わせSj=(s0,i,s1,i,s2,i,s3,i,s4,i,s5,i,s6,i,s7,i,s8,i,s9,i,s10,i,s11,i,s12,i,s13,i,s14,i,s15,i)(jは1から6までの整数)を、
1=(0,1,0,1,2,3,2,3,2,3,2,3,0,1,0,1)
2=(0,1,0,2,1,3,2,3,2,3,1,3,0,2,0,1)
3=(0,1,0,3,1,2,2,3,2,3,1,2,0,3,0,1)
4=(0,2,0,2,1,3,1,3,1,3,1,3,0,2,0,2)
5=(0,2,0,3,1,2,1,3,1,3,1,2,0,3,0,2)
6=(0,3,0,3,1,2,1,2,1,2,1,2,0,3,0,3)
とする。これらの6種類の代表組み合わせS1〜S6は、それぞれ、上述した代表要素1〜6に対応している。
このとき、0から3までのいずれか一つの整数としてそれぞれ与えられる2つの数値をu,vと定義するとともに、0から3までの整数のうち前記数値u,vのいずれにも選ばれなかった整数として与えられる数値をwと定義し、上記6種類の代表組み合わせS1〜S6のそれぞれにおける前記離散値(出力)sk,iについて、
s'2u,i=s2v,i
s'2u+1,i=s2v+1,i
s'2u+8,i=s2v+8,i
s'2u+9,i=s2v+9,i
s'2w,i=s2w,i
s'2w+1,i=s2w+1,i
s'2w+8,i=s2w+8,i
s'2w+9,i=s2w+9,i
となる入れ替えを行なって得られた組み合わせS'j=(s'0,i,s'1,i,s'2,i,s'3,i,s'4,i,s'5,i,s'6,i,s'7,i,s'8,i,s'9,i,s'10,i,s'11,i,s'12,i,s'13,i,s'14,i,s'15,i)も、上記項目[I]〜[III]の条件全てを満たす等価なエンコード表として用いることができる。例えば、u=0、v=1、w=2,3とした場合には、各組み合わせSjにおいて、s0,iとs2,iとの入れ替え、s1,iとs3,iとの入れ替え、s8,iとs10,iとの入れ替え、および、s9,iとs11,iとの入れ替えが行なわれる。つまり、擬似乱数r0,iとr2,iとの入れ替え、擬似乱数r1,iとr3,iとの入れ替え、擬似乱数r8,iとr10,iとの入れ替え、および、擬似乱数r9,iとr11,iとの入れ替えが行なわれ、その他の擬似乱数については入れ替えを行なわなかったことになり、このような入れ替えを行なわれた各S'jも、上記項目[I]〜[III]の条件全てを満たす等価なエンコード表として用いることができる。
さらに、0から7までの整数として与えられる数値をmと定義するとともに、0から7までの整数のうち前記数値mに選ばれなかった整数として与えられる数値をnと定義し、上記6種類の代表組み合わせS'jのそれぞれにおける前記離散値(出力)s'k,iについて、
s"2m+1,i=s'2m,i
s"2m,i=s'2m+1,i
s"2n,i=s'2n,i
s"2n+1,i=s'2n+1,i
となる入れ替えを行なって得られた組み合わせS"j=(s"0,i,s"1,i,s"2,i,s"3,i,s"4,i,s"5,i,s"6,i,s"7,i,s"8,i,s"9,i,s"10,i,s"11,i,s"12,i,s"13,i,s"14,i,s"15,i)も、上記項目[I]〜[III]の条件全てを満たす等価なエンコード表として用いることができる。例えば、m=0,5、n=1,2,3,4,6,7,8とした場合には、各組み合わせS'jにおいて、s'0,iとs'1,iとの入れ替え、および、s'10,iとs'11,iとの入れ替えが行なわれる。つまり、物理乱数f0,iとf1,iとの入れ替え、および、物理乱数f10,iとf11,iとの入れ替えが行なわれ、その他の物理乱数については入れ替えを行なわなかったことになり、このような入れ替えを行なわれた各S"jも、上記項目[I]〜[III]の条件全てを満たす等価なエンコード表として用いることができる。
〔3−4〕8−2−4型
ここでは、擬似乱数riの状態数が4である場合について説明しているが、擬似乱数riの状態数を8としてもよい。図10は、8−2−4型の変調用3変数関数(エンコード表)の例、つまり、擬似乱数riの状態数が8かつ物理乱数fiの状態数が2かつ変調出力siの状態数が4である場合の変調用3変数関数(エンコード表)si=M(xi,ri,fi)の例を示す。ここでは、ri∈{0,1,2,3,4,5,6,7},fi∈{0,1},si∈{0,1,2,3}とする。この図11では、平文xiが「0」である場合についての擬似乱数riと物理乱数fiとの16通りの組み合わせ、および、平文xiが「1」である場合についての擬似乱数riと物理乱数fiとの16通りの組み合わせ、つまり合計32通りのxi,ri,fiの組み合わせに対する、出力(離散値)siの例(1)が示されている。
図10に示す出力siの例(1)では、
i=0かつri=0かつfi=0の時にsi=0、
i=0かつri=0かつfi=1の時にsi=1、
i=0かつri=1かつfi=0の時にsi=1、
i=0かつri=1かつfi=1の時にsi=0、
i=0かつri=2かつfi=0の時にsi=0、
i=0かつri=2かつfi=1の時にsi=1、
i=0かつri=3かつfi=0の時にsi=1、
i=0かつri=3かつfi=1の時にsi=0、
i=0かつri=4かつfi=0の時にsi=2、
i=0かつri=4かつfi=1の時にsi=3、
i=0かつri=5かつfi=0の時にsi=3、
i=0かつri=5かつfi=1の時にsi=2、
i=0かつri=6かつfi=0の時にsi=2、
i=0かつri=6かつfi=1の時にsi=3、
i=0かつri=7かつfi=0の時にsi=3、
i=0かつri=7かつfi=1の時にsi=2、
i=1かつri=0かつfi=0の時にsi=2、
i=1かつri=0かつfi=1の時にsi=3、
i=1かつri=1かつfi=0の時にsi=3、
i=1かつri=1かつfi=1の時にsi=2、
i=1かつri=2かつfi=0の時にsi=2、
i=1かつri=2かつfi=1の時にsi=3、
i=1かつri=3かつfi=0の時にsi=3、
i=1かつri=3かつfi=1の時にsi=2、
i=1かつri=4かつfi=0の時にsi=0、
i=1かつri=4かつfi=1の時にsi=1、
i=1かつri=5かつfi=0の時にsi=1、
i=1かつri=5かつfi=1の時にsi=0、
i=1かつri=6かつfi=0の時にsi=0、
i=1かつri=6かつfi=1の時にsi=1、
i=1かつri=7かつfi=0の時にsi=1、
i=1かつri=7かつfi=1の時にsi=0、
と設定されている。この例(1)は、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、8−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)となっている。
8−2−4型で考えられる設定パターン(xi,ri,fiの組み合わせに対する出力si)にも、図5に示す出力siの例(3)〜(5)のごとく、上記項目[I]〜[III]の条件の全てを同時に満たさないものもあるが、図10に示す出力siの例(1)のごとく、上記項目[I]〜[III]の条件の全てを同時に満たすマッピングを実現することのできる、8−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)を設定可能である。本実施形態の暗号化装置10における変調部13において、そのような8−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)を用いて平文xiの変調を行ない、本実施形態の暗号復号化装置20における復調部22では、変調に用いた8−2−4型の変調用3変数関数(エンコード表)si=M(xi,ri,fi)に対応するデコード表(復調用2変数関数)xi=D(di,ri)を用いて復号信号diの復調を行なうように構成してもよい。
〔4〕第1実施形態の暗号化手順
次に、第1実施形態の暗号化手順(暗号化装置10の動作)について、より具体的には、図7(A)に示すエンコード表を用いて平文xiを1ビット送信する場合の暗号化手順について説明する。
平文xiを1ビット送信する際に、例えば擬似乱数発生器11によって生成された擬似乱数riが「2」で且つ物理乱数発生器12によって生成された物理乱数fiが「1」のときに、送信対象の平文xiが「0」であれば変調部13の出力siとしてM(0,2,1)=3が出力され、送信対象の平文xiが「1」であれば変調部13の出力siとしてM(1,2,1)=1が出力される。
ここでは、物理乱数fiが「1」であるとしているが、この物理乱数fiは「1」のほかに「0」となる可能性がある。つまり、図7(A)に示すエンコード表に従うと、送信対象の平文xi=0が、上述のごとく擬似乱数ri=2のとき物理乱数fi=1となって出力si=M(0,2,1)=3に変調される確率と、擬似乱数ri=2のとき物理乱数fi=0となって出力出力si=M(0,2,0)=2に変調される確率とは等しい。同様に、送信対象の平文xi=1が、上述のごとく擬似乱数ri=2のとき物理乱数fi=1となって出力si=M(1,2,1)=1に変調される確率と、擬似乱数ri=2のとき物理乱数fi=0となって出力出力si=M(1,2,0)=0に変調される確率とは等しい。
このように、変調部13の出力siには、物理乱数fiを用いて、正規受信者側で平文xiの状態を判別可能な状況を保ちつつ不規則な対応付けが付与されており、この変調部13の出力siを通信路符号化部14によって通信路符号化した出力が暗号文ciである。このとき、上述した図7(A)に示すエンコード表を用いることにより、後述するごとく正規受信側(暗号復号化装置20側)において、暗号文ciを通信路符号復号化した復号信号di(=si)は物理乱数fiを用いることなく擬似乱数riにより平文xiに復調可能であり、また、出力siに対応する平文xiの2値「0」,「1」それぞれの数が等しいため、復号信号diは平文xiの値「0」もしくは「1」に一意に対応せず、さらに、復号信号diとこの復号信号diに対応する平文xiとの対には異なる2つの擬似乱数riが一つずつ対応付けられているので、その対のみからでは、暗号化(変調)に用いられた擬似乱数riを一意に決定できないようになっている。
〔5〕第1実施形態の暗号復号化手順
次に、第1実施形態の暗号復号化手順(暗号復号化装置20の動作)について、より具体的には、図7(B)に示すデコード表を用いて平文1ビットの暗号文ciを暗号復号化する手順について説明する。
暗号文ciの正規受信者側の暗号復号化装置20においては、前述した通り、擬似乱数発生器21により、暗号化装置10で変調用擬似乱数riを生成した暗号鍵Kと同一の暗号鍵Kに基づいて、その変調用擬似乱数riに同期した復調用擬似乱数riが出力されている。従って、正規受信者側で平文1ビットに対応する暗号文ciを受信すると、暗号文ciを通信路符号復号化部23により通信路符号復号化して復号信号diを得るとともに、受信タイミングに合わせ、その暗号文ciを暗号化する際に用いられた変調用擬似乱数riと同じ状態の復調用擬似乱数riが、擬似乱数発生器21によって生成され出力され、図7(B)に示すデコード表に従って、平文xiが復調用2変数関数D(di,ri)の値として得られ、復号信号diが平文xiに復調される。
例えば、図7(B)に示すデコード表によれば、復号信号di=0のとき擬似乱数ri=1もしくは2であれば平文xi=1となり、復号信号di=0のとき擬似乱数ri=0もしくは3であれば平文xi=0となる。
このように、暗号文ciの正規受信者側の暗号復号化装置20においては、物理乱数fiを用いることなく、変調用擬似乱数riに同期した復調用擬似乱数riのみで復号信号diを平文xiに暗号復号化することができる。
〔6〕第1実施形態の暗号強度
次に、第1実施形態の暗号技術によって得られた暗号文ciの、暗号文単独攻撃に対する暗号強度について説明する。ここでは、暗号化に際して図7(A)に示すエンコード表を用い、盗聴者が暗号文ciを盗聴して通信路符号復号化し、復号信号di=0を得ている状態で行なう暗号文単独攻撃について説明する。
暗号文ciの盗聴により復号信号di=0を得た盗聴者は、その暗号文ciを得るために用いられた擬似乱数riを知らないため、図9に示す4本のラインL0000,L1200,L0310,L1110のいずれの場合を見ているかを区別することができない。ここで、図9に示すラインL0000は平文xi=0,擬似乱数ri=0および物理乱数fi=0で復号信号di=0となった場合、図9に示すラインL1200は平文xi=1,擬似乱数ri=2および物理乱数fi=0で復号信号di=0となった場合、図9に示すラインL0310は平文xi=0,擬似乱数ri=3および物理乱数fi=1で復号信号di=0となった場合、図9に示すラインL1110は平文xi=1,擬似乱数ri=1および物理乱数fi=1で復号信号di=0となった場合である。
このため、盗聴者は、正規送信者によって送信された暗号文ci(復号信号di=0)に対応する平文xiの状態が「0」であるか「1」であるかを解読することは不可能になる。従って、本実施形態の暗号技術を用いることにより、暗号文単独攻撃に対し十分な暗号強度を確保することができる。
また、同じく図9を参照しながら、本実施形態の暗号技術により図7(A)に示すエンコード表を用いて得られた暗号文ciの、既知平文攻撃に対する暗号強度について説明する。ここでは、盗聴者が、暗号文ciを盗聴して復号信号di=0を得た上で、且つ、何らかの手段で、この暗号文ciに対応する平文xi=1を入手して、対応する擬似乱数riを推定し、さらに暗号鍵Kの推定を行なう既知平文攻撃について説明する。
暗号文ciを盗聴し、この暗号文ciを通信路符号復号化して復号信号di=0を得た盗聴者が、暗号文ciに対応する平文xi=1を入手している場合、その暗号文ciを得るために用いられた擬似乱数riを知らないため、図8に示す2本のラインL1200,L1110のいずれの場合を見ているかを区別することができない。
つまり、盗聴者は、たとえ暗号文ciを通信路符号復号化した復号信号di=0に対応する平文xiが「1」であることを知ったとしても、正規送受信者が使用した擬似乱数riが「2」と「1」のいずれであるか知ることができない。つまり、盗聴者の側で推定される平文1ビット毎の擬似乱数の状態は2種類存在するため、盗聴者が例えば100ビットの平文を手に入れて既知平文攻撃を行なっても、平文100ビットから推定される擬似乱数列には2100通りのパターンの任意性があり、さらに、そのパターン一つ一つについて擬似乱数から暗号鍵を推定する演算を行なわなければならず、既知平文攻撃によって暗号鍵Kを推定する事により既に入手した平文xi以外に対応する暗号文ciを解読することは実質的に不可能であると言える。特に、2100通りのパターンの任意性の起源は、物理乱数発生器12によって生成される物理乱数fiにあるため、数学的な近道が発見されて暗号文ciが解読されてしまう可能性もない。
上述した事例からも明らかな通り、一組の復号信号diと平文xiとの対に、異なる2つの擬似乱数riを一つずつ対応付けることにより、当該対が2つのうちのいずれの擬似乱数riによって変調されたものであるかを、盗聴者が判別することができないように構成することができる。そして、このとき、既知平文攻撃を行なう盗聴者が判別しなければならない場合の数は2となるため、既知平文攻撃に対する暗号強度は従来の暗号に比べ飛躍的に高くなる。従って、本実施形態の暗号技術を用いることにより、既知平文攻撃に対しても十分な暗号強度を確保でき、高い安全性を保証することができる。
〔7〕第1実施形態の効果
このように本発明の第1実施形態としての暗号化/暗号復号化技術によれば、暗号文ciを通信路符号復号化して得られる復号信号diを擬似乱数riのみにより平文xiに復調可能であり且つ出力si(=di)に対応する平文xiの2値「0」,「1」それぞれの数が等しく且つ平文xiの値と出力si(=di)との対に異なる2つの擬似乱数riを同数対応付けるように平文xiと擬似乱数riと物理乱数fiと出力siとの対応関係を設定する変調用3変数関数si=M(xi,ri,fi)を用いて、平文xiを、状態数4の擬似乱数riおよび状態数2の物理乱数fiにより定まる、状態数4の離散値siに変調した後、その変調結果である出力siを通信路符号化して得られた暗号文ciを送信し、正規送信者側の暗号鍵Kと同一の暗号鍵Kを保有する正規受信者側では、その暗号鍵Kに基づいて生成された擬似乱数riのみを用い、物理乱数fiを用いることなく、暗号文ciから平文xiが暗号復号化データとして得られる。
このようにして変調部13の出力siには物理乱数fiによる不規則な対応付けが付与されており、前述した通り、暗号文単独攻撃のみならず既知平文攻撃に対しても極めて高い暗号強度を確保することができる高い安全性を保証しながら、正規受信者側では物理乱数fiを用いることなく擬似乱数riのみで復号信号diを復調することが可能になる。
このとき、本実施形態の暗号技術は、Y−00方式量子暗号とは異なり、符号(単なる数値)により実現されるので、既存の古典暗号の場合と同様、電波や電線での暗号文伝送が可能であり電波通信や電気通信においても使用可能になるほか、暗号文ciを電気的なメモリや各種記録媒体(フレキシブルディスク,CD,DVD等)に保存することも可能になる。また、暗号文ciは、電気的なメモリに貯められるため、ルーターを通過することも可能になる。
また、前述したように、本実施形態の暗号技術は符号(単なる数値)により実現されるので、Y−00方式量子暗号のように不安定で多くの物理状態を送受信する必要がないため、雑音の影響を受けることがなく、本暗号技術を光通信において使用する場合、低雑音の光増幅器が不要になりその光増幅器の雑音レベルによって中継段数が制限を受けることがなくなるほか、線形性の良い光源および受光デバイスの開発も不要である。
さらに、本実施形態の暗号技術によれば、変調に用いられる擬似乱数riの状態数が4でもでも十分高い安全性を保証できるので、多値信号の状態数を200値程度必要とするY−00方式量子暗号に比べて状態数を極めて少なくでき、擬似乱数riのビット数を抑
えて擬似乱数発生器11,21の動作速度が通信速度へ及ぼす影響を最小にすることができる。
また、本実施形態の暗号化技術によれば、送信対象の平文1ビット当たりの変調出力siは2ビットとなり、伝送効率が大幅に向上する。特に、本実施形態の暗号化技術によれば、上記古典Y−00方式暗号と同等の暗号強度を確保しながら、上記古典Y−00方式暗号の2倍の伝送効率を達成することができる。
ところで、ストリーム暗号では、既知平文攻撃に対して脆弱であるため、暗号化側(正規送信者側)と暗号復号化側(正規受信者側)との暗号鍵を、公開鍵暗号を使って頻繁に配布して変更する必要があった。ただし、素因数分解を用いた公開鍵暗号による暗号化で暗号鍵を配布する場合は、その公開鍵暗号の安全性はあくまで現在までのところは素因数分解を高速に行なうアルゴリズムが発見されていないことに依拠する安全性に過ぎず、一旦、素因数分解を高速に行なう計算方法が発見されてしまえば、極めて容易に暗号鍵を解読されてしまう。このため、公開鍵暗号を使用した暗号鍵の配布を行なう必要を無くすことが望まれていた。
これに対し、本実施形態の暗号技術によれば、擬似乱数発生器11,21で用いられる暗号鍵Kを変更することなく、つまりは擬似乱数発生器11,21を暗号化装置10や暗号復号化装置20に組み込み(埋め込み)利用者に暗号鍵Kを一切知らせることなく、前述のごとく既知平文攻撃に対し極めて高い暗号強度を確保することができるので、上述のような公開鍵暗号を使用した暗号鍵の配布を行なう必要がなくなり、公開鍵暗号による脆弱性を解消することもできる。
なお、上述のように暗号鍵Kを含む擬似乱数発生器を埋め込む場合には、暗号鍵Kが利用者のみならず不正アクセス者(盗聴者)等から読み出されるのを防止して暗号文の安全性を確実なものにすべく、少なくとも暗号鍵Kを保存するメモリを含むチップを、外部から暗号鍵Kを読み出し不可能な状態に構成し、耐タンパ性を有する構造とすることが望ましい。耐タンパ性を有する構造としては、例えば、チップ表面が空気に触れると記録内容が消滅するメモリチップや、信号を読み出すプローブを取り付けると動作できなくなる回路などが用いられる。
〔8〕第2実施形態の暗号化/暗号復号化技術
上述した第1実施形態の暗号化/暗号復号化技術では、送信対象の平文xiの全ビットについて、例えば図7(A)に示すような変調用3変数関数si=M(xi,ri,fi)を用いて変調部13による変調を行ない、送信対象の平文xiの各ビットを2ビットの出力siに変調している。従って、変調出力siのビット数は送信対象の平文xiのビット数の2倍になる。
図11〜図16を参照しながら以下に説明する、本発明の第2実施形態としての暗号化/暗号復号化技術は、図1〜図10を参照しながら第1実施形態として上述した暗号化/暗号復号化技術と、図18を参照しながら従来技術として上述したストリーム暗号方式とを組み合わせたもので、この第2実施形態では、平文xiが8ビット毎に9ビットの出力siに変調されるように構成されている。
図11は本発明の第2実施形態としての暗号化装置の構成を示すブロック図で、この図11に示すように、第2実施形態の暗号化装置10Aは、第1実施形態と同様の擬似乱数発生器11,物理乱数発生器12,変調部13および通信路符号化部14をそなえるとともに、擬似乱数発生器11′,11″,変調部15,切替制御部16およびスイッチ17a,17bをさらにそなえて構成されている。なお、図11において既述の符号と同一の符号は同一もしくはほぼ同一の部分を示しているので、その詳細な説明は省略する。
第2実施形態における擬似乱数発生器11は、第1実施形態と同様、予め設定された暗号鍵Kに基づいて変調用の擬似乱数riを生成して出力するものであるが、第2実施形態では、8ビットの平文xiに対し擬似乱数riを2ビット生成出力するように構成されている。
擬似乱数発生器(擬似乱数生成部,変調用擬似乱数生成部)11′は、予め設定された暗号鍵K′に基づいて変調用の擬似乱数ri′を生成して出力するものである。擬似乱数発生器11と同様、例えば暗号鍵K′が100ビットの2進数であれば、擬似乱数発生器11′からは(2100−1)ビットの2進数つまり(2100−1)ビット周期の擬似乱数が生成されることになる。この擬似乱数発生器11′からの出力が擬似乱数ri′として取り扱われ、この擬似乱数ri′は、後述する変調部15での変調(ストリーム暗号化)に用いられる。本実施形態において、擬似乱数ri′は、8ビットの平文xiに対し7ビット生成出力される。
擬似乱数発生器(擬似乱数生成部,変調用擬似乱数生成部)11″は、予め設定された暗号鍵K″に基づいて変調用の擬似乱数ri″を生成して出力するものである。擬似乱数発生器11,11′と同様、例えば暗号鍵K″が100ビットの2進数であれば、擬似乱数発生器11″からは(2100−1)ビットの2進数つまり(2100−1)ビット周期の擬似乱数が生成されることになる。この擬似乱数発生器11″からの出力が擬似乱数ri″として取り扱われ、この擬似乱数ri″は、後述する切替制御部16による切替制御に用いられる。より具体的に、擬似乱数ri″は、8ビットの平文xiに対し3ビット生成出力され、後述するごとく、切替制御部16によってスイッチ17a,17bを変調部13側に切り替えるタイミング(変調部13による変調を行なうべき平文xiのビット/スロット番号)を、8ビットの平文xi(一ブロック)毎に1回だけ決めるために用いられる。従って、擬似乱数ri″は、8個の整数値0,1,2,3,4,5,6,7を状態として持つものである。つまり、ri″∈{0,1,2,3,4,5,6,7}である。
変調部(排他的論理和演算器)15は、図18に示した変調部112と同様の機能を果たすもので、変調すべき平文xiと擬似乱数発生器11′によって生成された擬似乱数ri′との排他的論理和(XOR:eXclusive OR)を算出し変調結果として出力するものである。つまり、平文xiは、擬似乱数ri′に基づき変調部15によって変調され、変調結果siとして出力される。
スイッチ17aは、送信対象の平文xiを変調部13と変調部15とのいずれか一方に選択的に切り替えて入力するものであり、スイッチ17bは、変調部13からの変調結果と変調部15からの変調結果とのいずれか一方を出力siとして選択的に切り替えて通信路符号化部14に入力するものであり、切替制御部16は、擬似乱数発生器11″によって生成された擬似乱数ri″に従って、スイッチ17a,17bを、変調部13側と変調部15側とのいずれか一方に切替制御するものである。
本実施形態において、切替制御部16は、8ビットの平文xiを一つのブロックとして扱い、擬似乱数発生器11″からの擬似乱数ri″を受け、図13を参照しながら後述するごとく、その擬似乱数ri″の状態値(0〜7)を上記ブロックにおける一つのスロット番号とみなし、そのスロット番号(状態値)に対応する1ビットの平文xiを変調部13に入力するようにスイッチ17aを変調部13側に切り替えるとともに、その1ビットの平文xiに対する変調部13による変調結果を出力siとして通信路符号化部14に入力するようにスイッチ17bを変調部13側に切り替える一方、上記スロット番号(状態値)以外の7ビットの平文xiについては変調部15に入力するようにスイッチ17aを変調部15側に切り替えるとともに、その7ビットの平文xiに対する変調部15による変調結果を出力siとして通信路符号化部14に入力するようにスイッチ17bを変調部15側に切り替える。これにより、本実施形態では、ブロック毎に、8ビットの平文xiのうちの1ビットに対し変調部13による変調が施され、残りの7ビットに対し変調部15による変調が施され、8ビットの平文xiが9ビットの出力siに変調されて出力されるようになっている。
図12は本発明の第2実施形態としての暗号復号化装置の構成を示すブロック図で、この図12に示すように、第2実施形態の暗号復号化装置20Aは、第1実施形態と同様の擬似乱数発生器21,復調部22,および通信路符号復号化部23をそなえるとともに、擬似乱数発生器21′,21″,復調部24,切替制御部25およびスイッチ26a,26bをさらにそなえて構成されている。なお、図12において既述の符号と同一の符号は同一もしくはほぼ同一の部分を示しているので、その詳細な説明は省略する。
第2実施形態における擬似乱数発生器21は、第1実施形態と同様、暗号化装置10Aにおいて変調部13による変調に用いられた擬似乱数riを生成した暗号鍵Kと同一の暗号鍵Kに基づいて、その変調用擬似乱数riに同期する復調用擬似乱数riを生成して出力するもので、暗号化装置10Aにおける擬似乱数発生器11と同一構成を有するもので、9ビットの復号信号diに対し擬似乱数riを2ビット生成出力するように構成されている。
擬似乱数発生器(擬似乱数生成部,復調用擬似乱数生成部)21′は、暗号化装置10Aにおいて擬似乱数ri′を生成した暗号鍵K′と同一の暗号鍵K′に基づいて、その変調用擬似乱数ri′に同期する復調用擬似乱数ri′を生成して出力するもので、暗号化装置10Aにおける擬似乱数発生器11′と同一構成を有するもので、9ビットの復号信号diに対し擬似乱数riを7ビット生成出力するように構成されている。
擬似乱数発生器(擬似乱数生成部,復調用擬似乱数生成部)21″は、暗号化装置10Aにおいて擬似乱数ri″を生成した暗号鍵K″と同一の暗号鍵K″に基づいて、その変調用擬似乱数ri″に同期する復調用擬似乱数ri″を生成して出力するもので、暗号化装置10Aにおける擬似乱数発生器11″と同一構成を有するもので、9ビットの復号信号diに対し擬似乱数ri″を3ビット生成出力するように構成されている。この擬似乱数ri″は、後述する切替制御部25による切替制御に用いられる。より具体的に、擬似乱数ri″は、後述するごとく、切替制御部25によってスイッチ26a,26bを復調部22側に切り替えるタイミング(復調部22による復調を行なうべき2ビットの復号信号di)を、9ビットの復号信号di(一ブロック)毎に1回だけ決めるために用いられる。
復調部(排他的論理和演算器)24は、図18に示した復調部122と同様の機能を果たすもので、復調すべき復号信号diと擬似乱数発生器21′によって生成された擬似乱数ri′との排他的論理和(XOR)を算出し平文xiとして出力するものである。つまり、復号信号diは、擬似乱数ri′に基づき復調部24によって復調され、その復調結果が平文xiとして出力される。
スイッチ26aは、通信路復号化部23によって得られた復号信号diを復調部22と復調部24とのいずれか一方に選択的に切り替えて入力するものであり、スイッチ26bは、復調部22からの復調結果と復調部24からの復調結果とのいずれか一方を平文xiとして選択的に切り替えて出力するものであり、切替制御部25は、擬似乱数発生器21″によって生成された擬似乱数ri″に従って、スイッチ26a,26bを、復調部22側と復調部24側とのいずれか一方に切替制御するものである。
本実施形態において、切替制御部25は、9ビットの復号信号diを一つのブロックとして扱い、擬似乱数発生器21″からの擬似乱数ri″を受け、その擬似乱数ri″の状態値(0〜7)を上記ブロックにおける一つのスロット番号とみなし、そのスロット番号(状態値)に対応する1ビットおよびその次のビットの、2ビットの復号信号diを復調部22に入力するようにスイッチ26aを復調部22側に切り替えるとともに、その2ビットの復号信号diに対する復調部22による復調結果を平文xiとして出力するようにスイッチ26bを復調部22側に切り替える一方、上記2ビット以外の7ビットの復号信号diについては復調部24に入力するようにスイッチ26aを復調部24側に切り替えるとともに、その7ビットの復号信号diに対する復調部24による復調結果を平文xiとして出力するようにスイッチ26bを復調部24側に切り替える。これにより、本実施形態では、ブロック毎に、9ビットの復号信号diのうちの2ビットに対し復調部22による復調が施され、残りの7ビットに対し復調部24による復調が施され、9ビットの復号信号diが8ビットの平文xiに復調されて出力されるようになっている。
次に、図13を参照しながら、図11に示す暗号化装置10Aによる暗号化動作について具体的に説明する。なお、ここで、変調部13は、図7(A)に示すエンコード表に従って変調を行なうものとする。
図13に示す例では、まず最初の一ブロックの8ビットの平文xi=01000110に対し、擬似乱数発生器11″により3ビットの擬似乱数ri″=011(=3)が生成されており、このブロックのスロット番号3(最初から4番目のビット)の平文xi=0に対し変調部13による変調を施し、それ以外の平文xiに対しては変調部15による変調を施すように、切替制御部16によってスイッチ17a,17bが切替制御される。
つまり、スロット番号0,1,2,4,5,6,7の平文xiが入力される時にはスイッチ17a,17bは変調部15側に切り替えられ、平文xi=0,1,0,0,1,1,0は、変調部15に入力され、この変調部15においてそれぞれ擬似乱数発生器11′によって生成された擬似乱数ri′=1,0,0,1,1,0,1との排他的論理和(XOR)が算出され、その算出結果が変調出力si=1,1,0,1,0,1,1として通信路符号化部14に入力される。
また、スロット番号3の平文xiが入力される時にはスイッチ17a,17bは変調部13側に切り替えられ、スロット番号3の平文xi=0は、変調部13に入力され、この変調部13において、図7(A)に示すエンコード表(3変数関数si=M(xi,ri,fi))に基づいて、平文xi=0と擬似乱数発生器11によって生成された擬似乱数ri=11=3と物理乱数発生器12によって生成された物理乱数fi=1とから、2ビットの変調結果がsi=M(0,3,1)=00として得られ出力される。
同様に、次の一ブロックの8ビットの平文xi=10110100に対しては、擬似乱数発生器11″により3ビットの擬似乱数ri″=101(=5)が生成されており、このブロックのスロット番号5(最初から6番目のビット)の平文xi=1に対し変調部13による変調を施し、それ以外の平文xiに対しては変調部15による変調を施すように、切替制御部16によってスイッチ17a,17bが切替制御される。
つまり、スロット番号0,1,2,3,4,6,7の平文xiが入力される時にはスイッチ17a,17bは変調部15側に切り替えられ、平文xi=1,0,1,1,0,0,0は、変調部15に入力され、この変調部15においてそれぞれ擬似乱数発生器11′によって生成された擬似乱数ri′=0,1,1,0,0,0,1との排他的論理和(XOR)が算出され、その算出結果が変調出力si=1,1,0,1,0,0,1として通信路符号化部14に入力される。
また、スロット番号5の平文xiが入力される時にはスイッチ17a,17bは変調部13側に切り替えられ、スロット番号5の平文xi=1は、変調部13に入力され、この変調部13において、図7(A)に示すエンコード表(3変数関数si=M(xi,ri,fi))に基づいて、平文xi=1と擬似乱数発生器11によって生成された擬似乱数ri=01=1と物理乱数発生器12によって生成された物理乱数fi=0とから、2ビットの変調結果がsi=M(1,1,0)=01として得られ出力される。
これにより、最初の一ブロックの8ビットの平文xi=01000110は9ビットの出力si=110001011に変調され、次の一ブロックの8ビットの平文xi=10110100は9ビットの出力si=110100101に変調され、このように変調して得られた出力siは、通信路符号化部14によって通信路符号化され、暗号文ciとして送信されることになる。
一方、このような暗号文ciを受信した正規受信側の、図12に示す暗号復号化装置20Aにおいては、暗号文ciを通信路符号復号化部23により通信路符号復号化して復号信号diが得られるとともに、受信タイミングに合わせ、その暗号文ciを暗号化する際に用いられた変調用擬似乱数ri,ri′,ri″と同じ状態の復調用擬似乱数ri,ri′,ri″が、擬似乱数発生器21,21′,21″によって生成され出力される。
そして、図13に示した上記最初の一ブロックの8ビットの平文xiに対応する9ビットの復号信号di=110001011に対し、擬似乱数発生器21″により3ビットの擬似乱数ri″=011(=3)が生成され、このブロックのスロット番号3および4(最初から4,5番目のビット)の2ビットの復号信号di=00に対し復調部22による復調を施し、それ以外の復号信号diに対しては復調部24による復調を施すように、切替制御部25によってスイッチ26a,26bが切替制御される。
つまり、スロット番号0,1,2,5,6,7,8の復号信号diが入力される時にはスイッチ26a,26bは復調部24側に切り替えられ、復号信号di=1,1,0,1,0,1,1は、復調部24に入力され、この復調部24においてそれぞれ擬似乱数発生器21′によって生成された擬似乱数ri′=1,0,0,1,1,0,1との排他的論理和(XOR)が算出され、その算出結果が復調出力(平文)xi=0,1,0,0,1,1,0として出力される。
また、スロット番号3,4の復号信号diが入力される時にはスイッチ26a,26bは復調部22側に切り替えられ、スロット番号3,4の平文xi=00は、復調部22に入力され、この復調部22において、図7(B)に示すデコード表(2変数関数xi=D(di,ri))に基づいて、復号信号di=00と擬似乱数発生器21によって生成された擬似乱数ri=11=3とから、復調結果がxi=D(0,3)=0として得られ出力される。これにより、図13に示した上記最初の一ブロックの8ビットの平文xiに対応する9ビットの復号信号di=110001011は、8ビットの平文xi=01000110に復調される。なお、図13に示した上記次の一ブロックの8ビットの平文xiに対応する9ビットの復号信号di=110100101についても同様にして8ビットの平文xi=10110100に復調される。
このように本発明の第2実施形態としての暗号化/暗号復号化技術によれば、図1〜図10を参照しながら第1実施形態として上述した暗号化/暗号復号化技術と、図18を参照しながら従来技術として上述したストリーム暗号方式とが組み合わされ、8ビットの平文xiが9ビットの出力siに変調され、また9ビットの復号信号diが8ビットの平文xiに復調される。その際、図1〜図10を参照しながら第1実施形態として上述した暗号化/暗号復号化技術(変調部13による変調)は、8ビットの平文xiの中から擬似乱数ri″によってランダムに選ばれた1ビットの平文xiに対して適用されるので、盗聴者が、このように暗号化された暗号文ciに対応する復号信号diを得たとしても、どの部分に変調部13による変調が施されているかが分からず、上述した第1実施形態と同様の作用効果を得ることができる。
また、上述した第1実施形態では、送信対象の平文1ビット当たりの変調出力siは2ビットとなっていたが、第2実施形態では、8ビットの平文xiが9ビットの出力siに変調されているので、第1実施形態よりもさらに伝送効率が大幅に向上する。
さらに、第1実施形態の暗号化装置10においては物理乱数発生器12により1ビットの平文xiに対し1ビットの物理乱数fiを生成する必要があるため、高速動作可能な物理乱数発生器12を用いる必要があるが、第2実施形態の暗号化装置10Aにおいては8ビットの平文xiに対し1ビットの物理乱数fiを生成すればよいので、第2実施形態における物理乱数発生器12としては第1実施形態のものよりも低速動作のものを用いることができる。高速動作可能な物理乱数発生器は高価であるが、低速動作の物理乱数発生器は低価格であるので、第2実施形態の暗号化装置10Aは、第1実施形態の暗号化装置10よりも安価に構成することが可能になる。
なお、上述した暗号化装置10Aおよび暗号復号化装置20Aでは、それぞれ異なる暗号鍵K,K′,K″に基づいて3つの擬似乱数発生器11,11′,11″;21,21′,21″により3種類の擬似乱数ri,ri′,ri″を生成しているが、図14に示す暗号化装置10Bや図15に示す暗号復号化装置20Bのごとく、3種類の擬似乱数ri,ri′,ri″を一つの暗号鍵Kaに基づいて一つの擬似乱数発生器11a,21aにより生成してもよい。ここで、図14は第2実施形態の暗号化装置の変形例(暗号化装置10B)の構成を示すブロック図、図15は第2実施形態の暗号復号化装置の変形例(暗号復号化装置20B)の構成を示すブロック図、図16は図14に示す暗号化装置10Bによる暗号化動作を具体的に説明するための図である。
図14に示すように、暗号化装置10Bでは、図11に示した暗号化装置10Aの3つの擬似乱数発生器11,11′,11″に代えて、1つの擬似乱数発生器11aがそなえられている。
この擬似乱数発生器(擬似乱数生成部,変調用擬似乱数生成部)11aは、予め設定された暗号鍵Kaに基づいて、8ビットの平文xi(一ブロック)毎に、12ビットの変調用の擬似乱数Riを生成して出力するものである。擬似乱数発生器11,11′,11″と同様、例えば暗号鍵Kaが100ビットの2進数であれば、擬似乱数発生器11aからは(2100−1)ビットの2進数つまり(2100−1)ビット周期の擬似乱数が生成されることになる。
そして、ここでは例えば図16に示すように、擬似乱数発生器11aで生成された12ビットの変調用の擬似乱数Riのうち、上から1ビット目から3ビット目までの3ビットが擬似乱数ri″として切替制御部16へ入力され、上から4ビット目から5ビット目までの2ビットが擬似乱数riとして変調部13に入力され、上から6ビット目から最下位ビットまでの7ビットが擬似乱数ri′として変調部15に入力される。
また、図15に示すように、暗号復号化装置20Bは、図12に示した暗号復号化装置20Aの3つの擬似乱数発生器21,21′,21″に代えて、1つの擬似乱数発生器21aがそなえられている。
この擬似乱数発生器(擬似乱数生成部,復調用擬似乱数生成部)21aは、暗号化装置10Bにおいて擬似乱数Riを生成した暗号鍵Kaと同一の暗号鍵Kaに基づいて、その変調用擬似乱数Riに同期する復調用擬似乱数Riを生成して出力するもので、暗号化装置10Bにおける擬似乱数発生器11aと同一構成を有するもので、9ビットの復号信号diに対し擬似乱数Riを12ビット生成出力するように構成されている。
そして、暗号復号化装置20Bにおいても、暗号化装置10Bにおける12ビットの変調用の擬似乱数Riと同様、擬似乱数発生器21aで生成された12ビットの変調用の擬似乱数Riのうち、上から1ビット目から3ビット目までの3ビットが擬似乱数ri″として切替制御部25へ入力され、上から4ビット目から5ビット目までの2ビットが擬似乱数riとして復調部22に入力され、上から6ビット目から最下位ビットまでの7ビットが擬似乱数ri′として復調部24に入力される。
このような構成により、暗号化装置10Bにおいては、図16に示すように、上述した暗号化装置10Aの暗号化動作(図13参照)と同様にして、8ビットの平文xiが9ビットの出力siに変調され、また、暗号復号化装置20Bにおいては、上述した暗号復号化装置20Aの暗号復号化動作と同様にして、9ビットの復号信号diが8ビットの平文xiに復調される。
これにより、上述した第2実施形態の暗号化/暗号復号化技術と同様の作用効果が得られるほか、変形例としての暗号化装置10Bおよび暗号復号化装置20Bにおいては、それぞれ1つの擬似乱数発生器11aおよび21aによって生成された擬似乱数が3種類の擬似乱数ri″,ri,ri′として用いられるので構成をより簡素化することができるとともに、暗号鍵もKaの1種類のみを用いるので暗号鍵Kaの管理も容易になる。
ここでは、8ビットの平文xiを一つのブロックとし、そのブロック毎に、8ビットの平文xiのうちの1ビットに対し変調部13による変調を施し、残りの7ビットに対し変調部15による変調を施し、8ビットの平文xiを9ビットの出力siに変調しているが、これに限定されるものではない。例えば、m(mは2以上の整数)ビットの平文を一つのブロックとし、そのブロック毎に、mビットの平文xiのうちのn(nは1以上m−1以下の整数)ビットに対し変調部13による変調を施し、残りのm−nビットに対し変調部15による変調を施し、mビットの平文xiをm+nビットの出力siに変調するように、切替制御部16がスイッチ17a,17bを制御してもよい。
〔9〕第3実施形態の暗号化/暗号復号化技術
図21は、本発明の第3および第4実施形態としての暗号化/暗号復号化技術を適用された通信システム1,1Aの全体構成を示すブロック図であり、この図21に示す第3実施形態の通信システム1は、通信ネットワーク等を介して相互に通信可能に接続された2つの通信装置1a,1bをそなえて構成されている。この第3実施形態の通信システム1および後述する第4実施形態の通信システム1Aでは、2つの通信装置1a,1bの相互間が、改竄の無い通信路(信号線路)を介して通信可能に接続され、その通信路を介して2つの通信装置1a,1bが公開通信によって同期処理を行なう場合について説明する。
これらの通信装置1a,1bはいずれも同一の構成を有しており、通信装置1aは、第1もしくは第2実施形態により上述した手法で通信装置1bへ送信すべき入力データ(平文xi)を暗号化する暗号化装置10Cと、第1もしくは第2実施形態により上述した手法で通信装置1bから受信した暗号化データ(ciもしくはsi)を暗号復号化する暗号復号化装置20Cと、後述する送受信部52および同期調整部53とをそなえて構成されるとともに、通信装置1bは、第1もしくは第2実施形態により上述した手法で通信装置1aへ送信すべき入力データ(平文xi)を暗号化する暗号化装置10Cと、第1もしくは第2実施形態により上述した手法で通信装置1aから受信した暗号化データ(暗号文ciもしくはsi)を暗号復号化する暗号復号化装置20Cと、後述する送受信部52および同期調整部53とをそなえて構成されている。なお、暗号化装置10Cの構成については図22を参照しながら後述し、暗号復号化装置20Cの構成については図23を参照しながら後述する。
また、図21に示す通信システム1では、通信装置1aにおける暗号化装置10Cと通信装置1bにおける暗号復号化装置20Cとが対になっており、これらの装置10C,20Cにおける擬似乱数発生器11,21(図22,図23参照)は、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。同様に、通信装置1bにおける暗号化装置10Cと通信装置1aにおける暗号復号化装置20Cとが対になっており、これらの装置10C,20Cにおける擬似乱数発生器11,21も、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。ただし、上述した各装置対で用いられる暗号鍵としては、異なるものが設定されている。
このような構成により、通信装置1aから通信装置1bへの送信データは、暗号化装置10Cによって上述した暗号化手順で暗号化され暗号文として通信装置1bへ送信され、通信装置1b側では、通信装置1aから受信した暗号文が、暗号復号化装置20Cによって上述した暗号復号化手順で平文に暗号復号化される。同様に、通信装置1bから通信装置1aへの送信データは、暗号化装置10Cによって上述した暗号化手順で暗号化され暗号文として通信装置1aへ送信され、通信装置1a側では、通信装置1bから受信した暗号文が、暗号復号化装置20Cによって上述した暗号復号化手順で平文に暗号復号化される。
ここで、送受信部52および同期調整部53は、何らかの要因により擬似乱数発生器11と21との擬似乱数生成動作に同期ズレが生じて暗号化装置10Cと暗号復号化装置20Cとの間の暗号通信が行なえなくなった場合に用いられるものである。
送受信部52は、後述する不揮発性メモリ34(図22参照)または不揮発性メモリ44(図23参照)から読み出された変調用擬似乱数または復調用擬似乱数の出力回数を、同期情報として通信相手の通信装置1aもしくは1bに送信するとともに、通信相手の通信装置1aもしくは1bから同期情報を受信するものである。この送受信部52としては、公開通信を行なう一般的なトランシーバ等が用いられる。
何らかの要因により擬似乱数発生器11と21との擬似乱数生成動作に同期ズレが生じて暗号化装置10Cと暗号復号化装置20Cとの間の暗号通信が行なえなくなった場合には、通信装置1a,1bにそれぞれそなえられた送受信部52,52を用いて、通信装置1a,1b間(送受信部52,52の相互間)で通信ネットワーク等(ここでは改竄の無い通信路)を介し上記出力回数が同期情報としてやり取りされるようになっている。
同期調整部53は、上記同期ズレが生じている場合に、通信装置1aの変調用擬似乱数発生器11(図22参照)による擬似乱数生成動作と通信装置1bの復調用擬似乱数発生器21(図23参照)による擬似乱数生成動作とを同期させるために、もしくは、通信装置1bの変調用擬似乱数発生器11(図22参照)による擬似乱数生成動作と通信装置1aの復調用擬似乱数発生器21(図23参照)による擬似乱数生成動作とを同期させるために、不揮発性メモリ34もしくは44から読み出された前記出力回数に基づいて、擬似乱数発生器11,21からの擬似乱数の出力回数を調整するものである。
特に、第3実施形態の同期調整部53は、送受信部52によって復号化された、通信相手の通信装置1aもしくは1b側の復調用擬似乱数(または変調用擬似乱数)の出力回数が、不揮発性メモリ34(または44)から読み出された変調用擬似乱数(または復調用擬似乱数)の出力回数よりも大きい場合、暗号化装置10Cの擬似乱数発生器11からの変調用擬似乱数(または暗号復号化装置20Cの擬似乱数発生器21からの復調用擬似乱数)の出力回数を通信相手の通信装置1aもしくは1b側の復調用擬似乱数(または変調用擬似乱数)の出力回数に合わせるように調整するものである。
その際、第3実施形態の同期調整部53は、図22や図23を参照しながら後述するように、暗号化装置10Cの不揮発性メモリ34または暗号復号化装置20Cの不揮発性メモリ44に対する出力回数の設定、あるいは、擬似乱数発生器11または21に対するクロック信号の空(カラ)打ちを行なうことにより、擬似乱数発生器11または21からの出力回数の調整を行なうようになっている。なお、クロック信号の空打ちとは、平文の暗号化を行なうことなく擬似乱数の出力回数を調整するためだけに擬似乱数発生器11または21に擬似乱数生成動作を実行させるクロック信号を入力する動作のことを言う。
次に、図22を参照しながら暗号化装置10Cの構成について説明する。図22は本発明の第3実施形態としての暗号化装置10Cの構成を示すブロック図であり、この図22に示す暗号化装置10Cは、第1実施形態の暗号化装置10と同様の変調用擬似乱数発生器11,物理乱数発生器12および変調部13のほか、識別番号用ROM(Read Only Memory)31,暗号鍵用ROM(Read Only Memory)32,カウンタ33および不揮発性メモリ34をそなえて構成されている。
そして、本実施形態の暗号化装置10Cは、擬似乱数生成用の暗号鍵や擬似乱数発生器11からの擬似乱数riの漏洩を抑止するとともに、物理乱数発生器12によって生成される物理乱数fiの、物理的擾乱による確率分布変動を抑止する耐タンパ領域60内に配置されている。ここで、第3実施形態の暗号化装置10Cが配置される耐タンパ領域60は、下記項目(11)〜(17)のごとき構造を提供するものである。なお、図22に示す暗号化装置10C(耐タンパ領域60)は、例えば一つのチップ(図示略)上に構成される。
(11)チップを分解しても暗号鍵用ROM32の暗号鍵(即ち、擬似乱数riの「種」)を読めない構造。例えば、ROM32における暗号鍵を読もうとしてチップを分解すると、ROM32が壊れる配線構造。
(12)チップを分解しても擬似乱数riの信号線(擬似乱数発生器11と変調部13との間の信号線)をタップすることができない構造。例えば、擬似乱数riの信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
(13)チップの外部からの物理的擾乱を加えても、物理乱数発生器12からの物理乱数fiに確率分布の変動が生じない構造。例えば、チップ全体が冷却されたり異常な入力電圧が印加されたりしても、物理乱数fiの確率分布が変化しない物理乱数発生器の構造。あるいは、温度や入力電圧を検知して物理乱数fiの分布が偏る前にチップの動作を停止させる仕組み。
(14)識別番号用ROM31の識別番号を読み出すことは可能であるが改竄することができない構造。
(15)チップを分解しても物理乱数fiの信号線(物理乱数発生器12と変調部13との間の信号線)をタップすることができない構造。例えば、物理乱数fiの信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
(16)不揮発性メモリ34に保持される情報(例えば、後述するごとくカウンタ33によって計数される出力回数)を改竄することができない構造。
(17)カウンタ33を回避して擬似乱数発生器11に直接アクセスして擬似乱数発生器11に任意回数目の擬似乱数riを発生させない構造。例えば、チップを分解してもカウンタ33と擬似乱数発生器11との間の信号線をタップすることができない構造で、その信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
なお、図22に示す暗号化装置10Cでは、通信路符号化部14(図1,図11,図14参照)が図示されていないが、通信路符号化部14は、第1および第2実施形態と同様にそなえられていてもよいし、そなえられていなくてもよい。通信路符号化部14をそなえる場合、その通信路符号化部14は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。
また、第3実施形態の変調用擬似乱数発生器11は、変調用擬似乱数riの生成動作のリセットおよび繰り返しを禁止するように構成されている。つまり、本実施形態において、擬似乱数発生器11は、「擬似乱数出力のリセット(巻き戻し)は如何なる場合も不可能」に構成されている。その代わり、本実施形態では、外部から要求があると、「現在何番目の擬似乱数まで出力したか」を、後述するカウンタ33および不揮発性メモリ34の機能によって出力することができるようになっている。
さらに、第3実施形態の変調用擬似乱数発生器11では、クロック信号の空打ちを行なうことにより、変調用擬似乱数ri(つまりはその出力回数)を1つずつ進めることができるほか、後述する不揮発性メモリ34に所望の出力回数(例えばN)を設定することにより、変調用擬似乱数riを、現在の出力回数よりも先の所望の出力回数(N番目)から生成・出力することができる。ただし、現在の出力回数(例えばM)よりも前の出力回数(N<M)を設定して変調用擬似乱数発生器11にその出力回数から変調用擬似乱数riを生成させることはできないようになっている。いずれにしても、第3実施形態の変調用擬似乱数発生器11は、「生成される変調用擬似乱数riを先に進めることはできても、決して後戻りすることはできない仕様」になっている。
識別番号用ROM31は、本暗号化装置10C固有の識別番号(ID番号)を保持するもので、外部から識別番号出力要請を行なうことにより、その識別番号がROM31から外部へ出力されるようになっている。この識別番号は、暗号鍵用ROM32に保持される暗号鍵(種)と数値的な関係は全くないものであるが、暗号鍵(種)と一対一で対応し、この識別番号により、本暗号化装置10Cと同期すべき暗号復号化装置20C、つまり本暗号化装置10Cの暗号鍵用ROM32に保持される暗号鍵(種)と同一の暗号鍵(種)を保持している暗号復号化装置20Cを特定することができるようになっている。
暗号鍵用ROM32は、変調用擬似乱数発生器11で用いられる暗号鍵(種)を保持するもので、第3実施形態の変調用擬似乱数発生器11は、ROM32に保持された暗号鍵(種)に基づいて変調用擬似乱数riを生成するようになっている。
カウンタ33は、変調用擬似乱数発生器11に擬似乱数生成動作を実行させるべく外部から入力されるクロック信号の入力回数、つまり変調用擬似乱数発生器11からの変調用擬似乱数riの出力回数を計数するものである。
不揮発性メモリ(変調用擬似乱数出力回数保持部)34は、カウンタ33によって計数された出力回数(クロック信号の入力回数)を保持するもので、外部(暗号化装置10C外/耐タンパ領域60外)からの出力命令に応じて、保持している出力回数を外部(暗号化装置10C外/耐タンパ領域60外)へ出力する機能も有している。また、不揮発性メモリ34には、外部(暗号化装置10C外/耐タンパ領域60外)から所望の出力回数(例えばN)が設定されるように構成されており、不揮発性メモリ34に出力回数が設定されると、その出力回数は、さらに、この不揮発性メモリ34からカウンタ33に設定されるように構成されている。そして、変調用擬似乱数発生器11は、暗号鍵用ROM32に保持された暗号鍵(種)に基づいて、カウンタ33に設定された出力回数に対応するN番目から、変調用擬似乱数riを生成するように構成されている。
ここで、上述のごとく、暗号鍵用ROM32に保持された暗号鍵(種)に基づいて、カウンタ33に設定された出力回数に対応するN番目から、変調用擬似乱数riを生成する変調用擬似乱数発生器11としては、例えば、BBS(Blum, Blum, and Shub)生成器が用いられる(例えば、L. Blum, M. Blum, and M. Shub, "A Simple Unpredictable Pseudo-Random Number Generator", SIAM Journal on Computing, v. 15, n.2, 1986, pp.364-383参照)。このBBS生成器では、「種」(暗号鍵)から直接N番目の変調用擬似乱数riを計算することができる。
従って、第3実施形態において、変調用擬似乱数発生器11は、クロック信号を入力される都度、順次、変調用擬似乱数riを生成することできるほか、カウンタ33(不揮発性メモリ34)に出力回数Nを設定するだけで、そのN番目の変調用擬似乱数riを、暗号鍵用ROM32に保持されている暗号鍵(種)から直接生成することができるようになっている。
また、第3実施形態において、変調用擬似乱数発生器11からの変調用擬似乱数riの出力回数(クロック信号の入力回数)は、常時、カウンタ33によって計数されて不揮発性メモリ34に記録されるので、本暗号化装置10Cの電源が遮断されても、次回の通電時には、変調用擬似乱数発生器11は、電源遮断時において最後に出力した擬似乱数の次の擬似乱数から出力を開始することになる。
なお、変調用擬似乱数発生器11に対するクロック信号の空打ちや、不揮発性メモリ34への出力回数の設定は、初期設定時等に利用者の要望によって行なわれるほか、前述したように暗号化装置10Cと暗号復号化装置20Cとの同期調整(擬似乱数発生器11と21との擬似乱数生成動作に生じた同期ズレの解消)を行なうために同期調整部53(図21参照)によって実行される。
上述のごとく構成された暗号化装置10Cにおいて、耐タンパ領域60の内部と外部とのインタフェースとしては、以下の項目(21)〜(28)に対応するものが必要となる。
(21)平文入力(変調部13への入力xi
(22)暗号文出力(変調部13からの出力si
(23)装置識別番号の出力命令入力(識別番号用ROM31への出力命令)
(24)装置識別番号出力((23)の出力命令に応じた識別番号用ROM31からの出力)
(25)クロック信号入力(カウンタ33/変調用擬似乱数発生器11への入力)
(26)擬似乱数の出力回数の出力命令入力(不揮発性メモリ34への出力命令)
(27)擬似乱数の出力回数の出力((26)の出力命令に応じた不揮発性メモリ34からの出力)
(28)擬似乱数の出力回数の設定入力(不揮発性メモリ34への入力)
このとき、前述した通り、項目(28)の入力インタフェースによって不揮発性メモリ34(カウンタ33)に設定される出力回数は、常に増加する方向にしか設定できないようになっているが、項目(28)の入力インタフェースを省略して、カウンタ33/変調用擬似乱数発生器11に対するクロック信号のカラ打ちを行なうことで、出力回数の設定を行なうように構成してもよい。
次に、図23を参照しながら暗号復号化装置20Cの構成について説明する。図23は本発明の第3実施形態としての暗号復号化装置20Cの構成を示すブロック図であり、この図23に示す暗号復号化装置20Cは、第1実施形態の暗号復号化装置20と同様の復調用擬似乱数発生器21および復調部22のほか、識別番号用ROM(Read Only Memory)41,暗号鍵用ROM(Read Only Memory)42,カウンタ43および不揮発性メモリ44をそなえて構成されている。
そして、本実施形態の暗号復号化装置20Cは、擬似乱数生成用の暗号鍵や擬似乱数発生器11からの擬似乱数riの漏洩を抑止する耐タンパ領域60内に配置されている。ここで、第3実施形態の暗号復号化装置20Cが配置される耐タンパ領域60は、下記項目(31)〜(35)のごとき構造を提供するものである。なお、図23に示す暗号復号化装置20C(耐タンパ領域60)は、例えば一つのチップ(図示略)上に構成される。
(31)チップを分解しても暗号鍵用ROM42の暗号鍵(即ち、擬似乱数riの「種」)を読めない構造。例えば、ROM42における暗号鍵を読もうとしてチップを分解すると、ROM42が壊れる配線構造。
(32)チップを分解しても擬似乱数riの信号線(擬似乱数発生器21と復調部22との間の信号線)をタップすることができない構造。例えば、擬似乱数riの信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
(33)識別番号用ROM41の識別番号を読み出すことは可能であるが改竄することができない構造。
(34)不揮発性メモリ44に保持される情報(例えば、後述するごとくカウンタ43によって計数される出力回数)を改竄することができない構造。
(35)カウンタ43を回避して擬似乱数発生器21に直接アクセスして擬似乱数発生器21に任意回数目の擬似乱数riを発生させない構造。例えば、チップを分解してもカウンタ43と擬似乱数発生器21との間の信号線をタップすることができない構造で、その信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
なお、図23に示す暗号復号化装置20Cでは、通信路符号復号化部23(図2,図12,図15参照)が図示されていないが、通信路符号復号化部23は、暗号化装置10C側に通信路符号化部14がそなえられている場合、第1および第2実施形態と同様にそなえられる。通信路符号復号化部23をそなえる場合、その通信路符号復号化部23は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。
また、第3実施形態の復調用擬似乱数発生器21も、上述した第3実施形態の変調用擬似乱数発生器11と同様、復調用擬似乱数riの生成動作のリセットおよび繰り返しを禁止するように構成されている。つまり、本実施形態において、擬似乱数発生器21は、「擬似乱数出力のリセット(巻き戻し)は如何なる場合も不可能」に構成されている。その代わり、本実施形態では、外部から要求があると、「現在何番目の擬似乱数まで出力したか」を、後述するカウンタ43および不揮発性メモリ44の機能によって出力することができるようになっている。
さらに、第3実施形態の復調用擬似乱数発生器21でも、クロック信号の空打ちを行なうことにより、復調用擬似乱数ri(つまりはその出力回数)を1つずつ進めることができるほか、後述する不揮発性メモリ44に所望の出力回数(例えばN)を設定することにより、復調用擬似乱数riを、現在の出力回数よりも先の所望の出力回数(N番目)から生成・出力することができる。ただし、現在の出力回数(例えばM)よりも前の出力回数(N<M)を設定して復調用擬似乱数発生器21にその出力回数から復調用擬似乱数riを生成させることはできないようになっている。いずれにしても、第3実施形態の復調用擬似乱数発生器21は、「生成される復調用擬似乱数riを先に進めることはできても、決して後戻りすることはできない仕様」になっている。
識別番号用ROM41は、本暗号復号化装置20C固有の識別番号(ID番号)を保持するもので、外部から識別番号出力要請を行なうことにより、その識別番号がROM41から外部へ出力されるようになっている。この識別番号は、暗号鍵用ROM42に保持される暗号鍵(種)と数値的な関係は全くないものであるが、この識別番号により、本暗号復号化装置20Cと同期すべき暗号化装置10C、つまり本暗号復号化装置20Cの暗号鍵用ROM42に保持される暗号鍵(種)と同一の暗号鍵(種)を保持している暗号化装置10Cを特定することができるようになっている。
暗号鍵用ROM42は、復調用擬似乱数発生器21で用いられる暗号鍵(種)を保持するもので、第3実施形態の復調用擬似乱数発生器21は、ROM42に保持された暗号鍵(種)に基づいて復調用擬似乱数riを生成するようになっている。
カウンタ43は、復調用擬似乱数発生器21に擬似乱数生成動作を実行させるべく外部から入力されるクロック信号の入力回数、つまり復調用擬似乱数発生器21からの復調用擬似乱数riの出力回数を計数するものである。
不揮発性メモリ(復調用擬似乱数出力回数保持部)44は、カウンタ43によって計数された出力回数(クロック信号の入力回数)を保持するもので、外部(暗号復号化装置20C外/耐タンパ領域60外)からの出力命令に応じて、保持している出力回数を外部(暗号復号化装置20C外/耐タンパ領域60外)へ出力する機能も有している。また、不揮発性メモリ44には、外部(暗号復号化装置20C外/耐タンパ領域60外)から所望の出力回数(例えばN)が設定されるように構成されており、不揮発性メモリ44に出力回数が設定されると、その出力回数は、さらに、この不揮発性メモリ44からカウンタ43に設定されるように構成されている。そして、復調用擬似乱数発生器21は、暗号鍵用ROM42に保持された暗号鍵(種)に基づいて、カウンタ43に設定された出力回数に対応するN番目から、復調用擬似乱数riを生成するように構成されている。ここで、復調用擬似乱数発生器21としては、上述した第3実施形態の変調用擬似乱数発生器11と同様、例えば、BBS生成器を用いることができる。
従って、第3実施形態において、復調用擬似乱数発生器21は、クロック信号を入力される都度、順次、復調用擬似乱数riを生成することできるほか、カウンタ43(不揮発性メモリ44)に出力回数Nを設定するだけで、そのN番目の復調用擬似乱数riを、暗号鍵用ROM42に保持されている暗号鍵(種)から直接生成することができるようになっている。
また、第3実施形態において、復調用擬似乱数発生器21からの復調用擬似乱数riの出力回数(クロック信号の入力回数)は、常時、カウンタ43によって計数されて不揮発性メモリ44に記録されるので、本暗号復号化装置20Cの電源が遮断されても、次回の通電時には、復調用擬似乱数発生器21は、電源遮断時において最後に出力した擬似乱数の次の擬似乱数から出力を開始することになる。
なお、復調用擬似乱数発生器21に対するクロック信号の空打ちや、不揮発性メモリ44への出力回数の設定は、初期設定時等に利用者の要望によって行なわれるほか、前述したように暗号化装置10Cと暗号復号化装置20Cとの同期調整(擬似乱数発生器11と21との擬似乱数生成動作に生じた同期ズレの解消)を行なうために同期調整部53(図21参照)によって実行される。
上述のごとく構成された暗号復号化装置20Cにおいて、耐タンパ領域60の内部と外部とのインタフェースとしては、以下の項目(41)〜(48)に対応するものが必要となる。
(41)暗号文入力(復調部22への入力ci
(42)平文出力(復調部22からの出力xi
(43)装置識別番号の出力命令入力(識別番号用ROM41への出力命令)
(44)装置識別番号出力((43)の出力命令に応じた識別番号用ROM41からの出力)
(45)クロック信号入力(カウンタ43/復調用擬似乱数発生器21への入力)
(46)擬似乱数の出力回数の出力命令入力(不揮発性メモリ44への出力命令)
(47)擬似乱数の出力回数の出力((46)の出力命令に応じた不揮発性メモリ44からの出力)
(48)擬似乱数の出力回数の設定入力(不揮発性メモリ44への入力)
このとき、前述した通り、項目(48)の入力インタフェースによって不揮発性メモリ44(カウンタ43)に設定される出力回数は、常に増加する方向にしか設定できないようになっているが、項目(48)の入力インタフェースを省略して、カウンタ43/復調用擬似乱数発生器21に対するクロック信号のカラ打ちを行なうことで、出力回数の設定を行なうように構成してもよい。
なお、第3実施形態では、暗号化装置10Cは、図1に示す暗号化装置10と同様に構成されているが、図11に示す暗号化装置10Aや図14に示す暗号化装置10Bと同様の構成をそなえて構成されていてもよい。また、第3実施形態では、暗号復号化装置20Cは、図2に示す暗号化装置20と同様に構成されているが、図12に示す暗号復号化装置20Aや図15に示す暗号復号化装置20Bと同様の構成をそなえて構成されていてもよい。
このように構成された本発明の第3実施形態としての通信システム1(暗号化装置10Cおよび暗号復号化装置20C)によれば、通信装置1aと通信装置1bとの相互間で本実施形態の暗号技術を適用した暗号通信が実現され、第1および第2実施形態と同様の作用効果を得ることができる。
また、第3実施形態の通信システム1では、第1実施形態や第2実施形態の暗号技術を適用することにより、上述のごとく既知平文攻撃に対し極めて高い暗号強度を確保することができるため、公開鍵暗号を使用した頻繁な暗号鍵の再配布を行なう必要が無くなり、固定の暗号鍵を通信装置1a,1bにおける暗号化装置10Cおよび暗号復号化装置20Cのそれぞれに埋め込んで使用することができる。さらに通信装置1a,1bにおける暗号化装置10Cおよび暗号復号化装置20Cのそれぞれに暗号鍵を埋め込むことにより、利用者自身に対してすらも暗号鍵を秘匿した高い秘匿性を保持した状態で、装置寿命が尽きるまで通信システム1を運用することができる。
さらに、第3実施形態の通信システム1では、暗号化装置10Cおよび暗号復号化装置20Cが、それぞれ、チップ上における耐タンパ領域60に配置されて耐タンパ性が確保され、耐タンパ領域60とその外部との入出力は上記項目(21)〜(28)および(41)〜(48)に示したものに限定されている。
これにより、上記項目(21)〜(28)および(41)〜(48)のインタフェースを通じて、擬似乱数発生器11,21によって生成される擬似乱数riや、ROM32,42に保持される暗号鍵を、耐タンパ領域60外に一切読み出すことはできない。また、上記項目(11)〜(17)および上記項目(31)〜(35)の構造を提供する耐タンパ領域60を採用することにより、チップを分解しても、ROM32,42に保持される暗号鍵を読み出したり、擬似乱数riの信号線をタップしたり、物理乱数fiの信号線をタップしたりすることが一切できず、さらに、チップの外部からの物理的擾乱(熱や電圧)を加えても、物理乱数発生器12からの物理乱数fiの確率分布が変化しなくなる。
従って、盗聴者等が、擬似乱数riや暗号鍵や乱数表を盗み出して暗号解読に利用することを確実に防止できる。さらには、盗聴者等が、暗号化装置10Cそのものを盗み出し物理的擾乱を加えることにより物理乱数発生器12の出力を偏らせた状態で選択平文攻撃を行なおうとしても、物理乱数発生器12からの物理乱数fiの確率分布が変化しないため(もしくは物理的擾乱が加わると動作が停止するため)、選択平文攻撃を行なっても、物理乱数fiの揺らぎによって暗号化装置10Cからの出力の解読が不可能になり(もしくは動作停止によって暗号化装置10Cからの出力を得られなくなり)、暗号鍵(種)を逆算することは不可能であり、選択平文攻撃に対しても極めて高い暗号強度を確保することができる。
さらに、擬似乱数発生器11,21が、擬似乱数riの生成動作のリセットおよび繰り返しを禁止するように構成され、「擬似乱数出力のリセット(巻き戻し)は如何なる場合も不可能」になっているので、盗聴者等は、暗号化装置10Cや暗号復号化装置20Cを盗み出しても、擬似乱数riをリセット(巻き戻)して同じ擬似乱数列を繰り返し生成・出力させて再使用するることができない。従って、暗号鍵(種)の解読に用いられうる余計な情報を盗聴者等に与えられることがなく、盗聴者による解読、暗号鍵の逆算を確実に抑止して、暗号化装置10Cへの選択平文攻撃や、暗号復号化装置20Cへの選択暗号文攻撃に対しても極めて高い暗号強度を確保することができる。
なお、ここで、選択平文攻撃とは、盗聴者等が、暗号化装置10Cを奪取し、その暗号化装置10Cに対し、全て「0」もしくは「1」の平文を入力して得られた暗号文から暗号鍵(種)を逆算する攻撃のこと(ブラックボックステスト)である。また、選択暗号文攻撃とは、盗聴者等が、暗号復号化装置20Cを奪取し、その暗号復号化装置20Cに対しブラックボックステストを行なって暗号鍵(種)を逆算する攻撃のことである。
一方、第3実施形態の通信システム1では、例えば、停電などで発生した異常停止の後の復旧時などに、通信装置1aにおける擬似乱数生成動作と通信装置1bにおける擬似乱数生成動作との同期をとる必要が生じると、通信装置1aにおける送受信部52と通信装置1bにおける送受信部52とが、公開通信を相互に行ない、変調用擬似乱数riおよび復調用擬似乱数riの出力回数(それぞれ不揮発性メモリ34,44から読み出されたもの)を同期情報として交換する。
そして、通信装置1a,1bにおける擬似乱数riの同期処理を行なう場合、各通信装置1a,1bにおける同期調整部53が、暗号化装置10Cの不揮発性メモリ34または暗号復号化装置20Cの不揮発性メモリ44に対する出力回数の設定、あるいは、擬似乱数発生器11または21に対するクロック信号の空打ちを行なうことにより、出力回数値の小さい方の出力回数を増加させ、暗号化装置10Cにおける擬似乱数発生器11の出力回数と暗号復号化装置20Cにおける擬似乱数発生器21の出力回数とを一致させ、暗号化装置10Cにおける擬似乱数発生器11の擬似乱数生成動作と暗号復号化装置20Cにおける擬似乱数発生器21の擬似乱数生成動作とを同期させる。
〔10〕第4実施形態の暗号化/暗号復号化技術
第4実施形態の通信システム1Aも、第3実施形態の通信システム1と同様、図21に示すごとく、通信ネットワーク等を介して相互に通信可能に接続された2つの通信装置1a,1bをそなえて構成されている。前述した通り、第4実施形態の通信システム1Aでは、2つの通信装置1a,1bの相互間が、改竄の無い通信路(信号線路)を介して通信可能に接続され、その通信路を介して2つの通信装置1a,1bが公開通信によって同期処理を行なう場合について説明する。
第4実施形態の通信装置1a,1bはいずれも同一の構成を有しており、第4実施形態の通信システム1Aにおいて、通信装置1aは、第1もしくは第2実施形態により上述した手法で通信装置1bへ送信すべき入力データ(平文xi)を暗号化する暗号化装置10Dと、第1もしくは第2実施形態により上述した手法で通信装置1bから受信した暗号化データ(ciもしくはsi)を暗号復号化する暗号復号化装置20Dと、前述した送受信部52および同期調整部53とをそなえて構成されるとともに、通信装置1bは、第1もしくは第2実施形態により上述した手法で通信装置1aへ送信すべき入力データ(平文xi)を暗号化する暗号化装置10Dと、第1もしくは第2実施形態により上述した手法で通信装置1aから受信した暗号化データ(暗号文ciもしくはsi)を暗号復号化する暗号復号化装置20Dと、前述した送受信部52および同期調整部53とをそなえて構成されている。なお、暗号化装置10Dの構成については図24を参照しながら後述し、暗号復号化装置20Dの構成については図25を参照しながら後述する。
ただし、図24および図25を参照しながら後述するごとく、第4実施形態の暗号化装置10Dは、変調部13によって得られた符号化信号(si)を送信先通信装置1aまたは1bに複数のパケットとして送信するように構成されるとともに、第4実施形態の暗号復号化装置20Dは、送信元通信装置1aまたは1bの暗号化装置10Dから受信した各パケットにおける符号化信号(si)を入力データ(平文xi)に復調するように構成されている。
特に、第4実施形態の通信システム1A(暗号化装置10Dおよび暗号復号化装置20D)は、IP(Internet Protocol)網のように、パケットの到着順序が入れ替わったり消失したりし得る通信路を用いた通信を対象とし、個々のパケットが正規送信者からの送信されたものであるか否かを認識する必要があるシステム(具体的にはIP電話の通信システム)を対象としている。
また、第4実施形態の通信システム1Aにおいても、通信装置1aにおける暗号化装置10Dと通信装置1bにおける暗号復号化装置20Dとが対になっており、これらの装置10D,20Dにおける擬似乱数発生器11,21(図24,図25参照)は、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。同様に、通信装置1bにおける暗号化装置10Dと通信装置1aにおける暗号復号化装置20Dとが対になっており、これらの装置10D,20Dにおける擬似乱数発生器11,21も、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。ただし、上述した各装置対で用いられる暗号鍵としては、異なるものが設定されている。
このような構成により、通信装置1aから通信装置1bへの送信データは、暗号化装置10Dによって上述した暗号化手順で暗号化され暗号文として通信装置1bへ送信され、通信装置1b側では、通信装置1aから受信した暗号文が、暗号復号化装置20Dによって上述した暗号復号化手順で平文に暗号復号化される。同様に、通信装置1bから通信装置1aへの送信データは、暗号化装置10Dによって上述した暗号化手順で暗号化され暗号文として通信装置1aへ送信され、通信装置1a側では、通信装置1bから受信した暗号文が、暗号復号化装置20Dによって上述した暗号復号化手順で平文に暗号復号化される。なお、第4実施形態の通信システム1Aにおいて、送受信部52および同期調整部53は、第3実施形態において説明したものと同様のものであるので、その説明は省略する。
次に、図24を参照しながら暗号化装置10Dの構成について説明する。図24は本発明の第4実施形態としての暗号化装置10Dの構成を示すブロック図であり、この図24に示す暗号化装置10Dは、第3実施形態の暗号化装置10Cと同様の変調用擬似乱数発生器11,物理乱数発生器12,変調部13,識別番号用ROM31,暗号鍵用ROM32,カウンタ33および不揮発性メモリ34のほか、組込み部35およびパケット化部36をそなえて構成されている。
そして、本実施形態の暗号化装置10Dも、第3実施形態の暗号化装置10Cと同様、チップ(図示略)において、耐タンパ領域60(上記項目(11)〜(17)のごとき構造を提供するもの)内に配置されている。ただし、パケット化部36は、耐タンパ領域60外に配置されていてもよい。なお、図24中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示しているので、その説明は省略する。
また、図24に示す暗号化装置10Dでは、第3実施形態と同様、通信路符号化部14(図1,図11,図14参照)が図示されていないが、通信路符号化部14は、第1および第2実施形態と同様にそなえられていてもよいし、そなえられていなくてもよい。通信路符号化部14をそなえる場合、その通信路符号化部14は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。
組込み部35は、入力データxiを、後述するパケット化部36によってパケットのコンテナ部として取り扱われるパケット単位〔図26(B)に示すごとくパケットのコンテナ部に格納される、一定量のデータ単位〕に分割し、そのパケット単位毎に、そのパケット単位の最初のデータxiを変調部13で変調する際に用いられる変調用擬似乱数riの、擬似乱数発生器11からの出力回数(何番目の擬似乱数であるかを示す数値)を、カウンタ33(不揮発性メモリ34)によって計数された現在の計数値に基づいて求め、求められた出力回数を、当該パケット単位(一定量の入力データ内)に組み込むとともに、擬似乱数発生器11からの所定擬似乱数列を、当該パケット単位について固有の認証コードとして当該パケット単位(一定量の入力データ内)に組み込むものである。これにより、暗号化装置10Dから暗号復号化装置20Dに送信される各パケットのコンテナ部における符号化信号には、出力回数および認証コードが含まれることになる。
その際、組込み部35は、出力回数や認証コードのパケット単位における格納位置(組込み/埋め込み位置;つまり各パケットのコンテナ部における格納位置)を、擬似乱数発生器11からの擬似乱数に基づいて決定し、図26(A)に示すごとく、決定された位置に出力回数や認証コードが配置されるように、出力回数や認証コードを組み込むようになっている。つまり、本実施形態では、出力回数や認証コードの組込み位置/埋め込み位置は、擬似乱数発生器11からの擬似乱数によってスクランブルされる。
パケット化部36は、図26(B)に示すごとく、組込み部35で分割され変調部13で変調されたパケット単位を、コンテナ部に格納するとともに、変調・暗号化されていないヘッダ部を作成してコンテナ部に付与することにより、パケットを作成し(変調結果のパケット化を行ない)、通信相手(送信先)の通信装置1aまたは1bに送信するものである。その際、パケット化部36は、図26(B)に示すごとく、各パケット単位に組み込んだ出力回数と同じものを、変調することなく生のまま上記ヘッダ部に記述するようになっている。なお、パケット化部36は、必要に応じて、暗号化装置10Dで用いられる暗号鍵の識別番号(ID番号;ROM31に保持されている装置識別番号)を、変調することなく生のまま上記ヘッダ部に記述してもよい。
なお、図26(A)は、第4実施形態において、組込み部35によって行なわれる、認証コードおよび出力回数の入力データ(平文)への組込み例を示す図、図26(B)は、図26(A)に示す入力データ(平文)を、後述するパケット化部36によりパケット化した例を示す図である。また、出力回数に代えて、パケットの送信順序を示す通し番号をパケット単位に組み込むようにしてもよい。さらに、暗号化装置10Dにおいても、耐タンパ領域60の内部と外部とのインタフェースとしては、上記項目(21)〜(28)に対応するものがそなえられている。
次に、図25を参照しながら暗号復号化装置20Dの構成について説明する。図25は本発明の第4実施形態としての暗号復号化装置20Dの構成を示すブロック図であり、この図25に示す暗号復号化装置20Dは、第3実施形態の暗号復号化装置20Cと同様の復調用擬似乱数発生器21,復調部22,識別番号用ROM41,暗号鍵用ROM42,カウンタ43および不揮発性メモリ44のほか、FIFOメモリ45,並べ替え部46,取出し部47,比較部(第1比較部,第2比較部)48,パケット消失判断部49,パケット破棄部50および出力回数調整部54をそなえて構成されている。
そして、本実施形態の暗号復号化装置20Dも、第3実施形態の暗号復号化装置20Cと同様、チップ(図示略)において、耐タンパ領域60(上記項目(31)〜(35)のごとき構造を提供するもの)内に配置されている。なお、図25中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示しているので、その説明は省略する。
また、図25に示す暗号復号化装置20Dでは、第3実施形態と同様、通信路符号復号化部23(図2,図12,図15参照)が図示されていないが、通信路符号復号化部23は、暗号化装置10D側に通信路符号化部14がそなえられている場合、第1および第2実施形態と同様にそなえられる。通信路符号復号化部23をそなえる場合、その通信路符号復号化部23は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。
FIFO(First In First Out)メモリ45は、十分長い受信メモリであって、通信相手(送信元)の通信装置1aまたは1bの暗号化装置10Dから受信した複数のパケットを保持するパケット保持部として機能するものである。
並べ替え部46は、FIFOメモリ45に保持された前記複数のパケットを、FIFOメモリ45において、各パケットのヘッダ部に記述された出力回数(または通し番号)に従う順序に並べ替え、その出力回数に応じた順序でパケットのコンテナ部における符号化信号をFIFOメモリ45から復調部22に入力させるものである。
取出し部47は、復調用擬似乱数発生器21によって生成された復調用擬似乱数(組込み部35による組込み時に用いられた変調用擬似乱数と同じもの)に基づいて、復調部22による復調結果から、組込み部35によって組み込まれた出力回数および認証コードを取り出し、これらの出力回数および認証コードを取り出した後の復調結果を正式な復調結果として暗号復号化装置20Dの外部へ出力するものである。
比較部(第1比較部,第2比較部)48は、各パケットのヘッダ部に記述された出力回数と復調部13による復調結果から取出し部47によって取り出された出力回数とを比較するとともに、復調部13による復調結果から取出し部47によって取り出された認証コードと、復調用擬似乱数発生器21によって生成された、当該認証コードに対応する復調用擬似乱数列とを比較するものである。
パケット消失判断部49は、暗号化装置10Dから複数のパケットのうちの一つを受信した後に、そのパケットのヘッダ部に記述された出力回数(または通し番号)に従って次に受信すべきパケットが所定時間以内に受信されない場合、当該パケットが消失したものと判断するものである。
パケット破棄部50は、比較部48による比較の結果、出力回数(または通し番号)が不一致であった場合や認証コードが不一致であった場合、当該パケットを破棄するものである。
出力回数調整部54は、パケット破棄部50によってパケットを破棄した場合、もしくは、パケット消失判断部49によってパケットが消失したものと判断された場合、復調用擬似乱数発生器21から復調部22に出力される復調用擬似乱数riの出力回数を、破棄されたパケットもしくは消失したと判断されたパケットの次に正常に受信されたパケットについての出力回数(そのパケットのコンテナ部に含まれるパケット単位の最初のデータxiを変調する際に用いられる変調用擬似乱数riの出力回数)に合わせるように調整するものである。その際、出力回数調整部54は、第3実施形態の同期調整部53と同様、暗号復号化装置20Dの不揮発性メモリ44に対する出力回数の設定、あるいは、擬似乱数発生器21に対するクロック信号の空打ちを行なうことにより、擬似乱数発生器21からの出力回数の調整を行なうようになっている。
なお、暗号復号化装置20Dにおいても、耐タンパ領域60の内部と外部とのインタフェースとしては、上記項目(41)〜(48)に対応するものがそなえられている。
また、第4実施形態では、FIFOメモリ45,並べ替え部46,パケット消失判断部49,パケット破棄部50および出力回数調整部54を耐タンパ領域60内に配置しているが、これらの各部は、擬似乱数を直接利用するものではないので、耐タンパ領域60外に配置してもよい。
さらに、第4実施形態では、暗号化装置10Dは、図1に示す暗号化装置10と同様に構成されているが、図11に示す暗号化装置10Aや図14に示す暗号化装置10Bと同様の構成をそなえて構成されていてもよい。また、第4実施形態では、暗号復号化装置20Dは、図2に示す暗号化装置20と同様に構成されているが、図12に示す暗号復号化装置20Aや図15に示す暗号復号化装置20Bと同様の構成をそなえて構成されていてもよい。
このように構成された本発明の第4実施形態としての通信システム1A(暗号化装置10Dおよび暗号復号化装置20D)によれば、通信装置1aと通信装置1bとの相互間で本実施形態の暗号技術を適用した暗号通信が実現され、第1および第2実施形態と同様の作用効果を得ることができるほか、第3実施形態の通信システム1(暗号化装置10Cおよび暗号復号化装置20C)と同様の作用効果を得ることもできる。
また、第4実施形態の通信システム1Aの各通信装置1a,1bにおいても、暗号化装置10Dおよび暗号復号化装置20Dが、それぞれ、耐タンパ領域60内に配置されているので、擬似乱数発生器11,21と変調部13や復調部22との間の信号線だけでなく、擬似乱数発生器11,21と各構成要素との間の信号線からもタップすることができないようになっているので、第3実施形態と同様、チップを分解しても、ROM32,42に保持される暗号鍵を読み出したり、擬似乱数riの信号線をタップしたり、物理乱数fiの信号線をタップしたりすることが一切できず、さらに、チップの外部からの物理的擾乱を加えても、物理乱数発生器12からの物理乱数fiの確率分布が変化しなくなる。従って、第4実施形態の通信システム1Aにおいても、第3実施形態の通信システム1と同様の作用効果を得ることができる。
ところで、通信装置1a,1b間でパケット通信を行なう場合、パケットの順序の入れ替えが生じると変調用擬似乱数と復調用擬似乱数との対応が取れなくなり、暗号復号化装置20Dにおいて、順序の入れ替わったパケットにおける暗号文(符号化信号)を正しく復調できず、文字化け等が生じてしまうことがある。
そこで、第4実施形態の通信システム1Aでは、暗号復号化装置20D側においてパケットの到着順序入れ替わった否かを認識するために、パケットのヘッダ部には、変調・暗号化されていない生の出力回数(または通し番号)が記述されている。
これにより、複数のパケットが送信中に入れ替わって通信装置1aまたは1bにおいて送信時とは異なる順序で受信されても、並べ替え部46が、FIFOメモリ45における各パケットのヘッダ部に記述された出力回数(通し番号)を参照し、FIFOメモリ45においてパケットの保持順序を入れ替えることで、パケット受信後に正しい順序に入れ替えることができる。つまり、各パケットのヘッダ部に記述された出力回数(通し番号)を参照してパケットを正しい順序に並べてから復調部22に送り込むことができる。従って、第4実施形態の通信システム1Aでは、通信装置1a,1b間でパケット通信を行ない通信中にパケット順序の入れ替えが生じた場合でも、受信側でパケットを正しい順序に並べ替えることができるので、変調用擬似乱数と復調用擬似乱数との対応関係を常に保持しながら暗号文(符号化信号)を正しく復調することが可能になる。
また、第4実施形態の通信システム1Aでは、各パケットのコンテナ部に保持される符号化信号(暗号文)内にも、擬似乱数riの出力回数(または通し番号)が埋め込まれており、暗号復号化装置20D側において、取出し部47によってコンテナ部から取り出された出力回数とヘッダ部に記述された出力回数とを比較部48により比較し、これらの出力回数が不一致の場合、パケットの改竄もしくは通信路の雑音でビットが反転したことになるので、そのパケットをパケット破棄部50によって破棄する。
さらに、第4実施形態の通信システム1Aでは、暗号復号化装置20D側においてパケットが正規送信者から送信されてきたものであるか否かを認識するために、暗号化されたパケット内部(コンテナ部の暗号文)には、認証コード(変調用擬似乱数発生器11によって生成された擬似乱数列)が埋め込まれており、暗号復号化装置20D側において、取出し部47によってコンテナ部から取り出された認証コードと、復調用擬似乱数発生器21によって生成された、当該認証コードに対応する復調用擬似乱数列とを比較部48により比較し、これらの認証コードが不一致の場合も、パケットの改竄もしくは通信路の雑音でビットが反転したことになるので、そのパケットをパケット破棄部50によって破棄する。なお、このような破棄を行なった後に、認証コードが一致する正規送信者からのパケットが届いたとしても、そのパケットはパケット破棄部50によって破棄される。
またさらに、第4実施形態の通信システム1Aでは、パケット消失判断部49により、FIFOメモリ45に保持されているパケットのヘッダ部(出力回数/通し番号)が監視され、受信すべきパケットが所定時間以内に受信されない場合、そのパケットが消失したものと判断される。
そして、上述のようにパケット破棄部50によってパケットが破棄された場合やパケット消失判断部49によってパケットが消失したものと判断された場合、出力回数調整部54が、暗号復号化装置20Dの不揮発性メモリ44に対する出力回数の設定、あるいは、擬似乱数発生器21に対するクロック信号の空打ちを行なうことにより、復調用擬似乱数発生器21から復調部22に出力される復調用擬似乱数riの出力回数が、破棄されたパケットもしくは消失したと判断されたパケットの次に正常に受信されたパケットについての出力回数となるように調整される。これにより、パケットを破棄したり消失パケットが発生したりしても、変調用擬似乱数と復調用擬似乱数との対応関係を常に保持しながら暗号文(符号化信号)を正しく復調することが可能になる。
また、第4実施形態の通信システム1Aでは、各パケットのコンテナ部内に、擬似乱数の出力回数,認証コードおよび通信文(入力データ)が格納されることになるが、これらの格納位置が固定されていると、盗聴者等によってその格納位置が推定され、擬似乱数の出力回数および認証コードの部分をコピーして通信文を入れ替えた偽造パケットが作成され、盗聴者等による成りすまし行為が可能になってしまう。これを防止すべく、第4実施形態の通信システム1Aでは、組込み部35により、出力回数や認証コードを埋め込む際に、その埋め込み位置を、図26(A)や図26(B)に示すごとく、擬似乱数発生器11からの擬似乱数によってスクランブルしている。これにより、盗聴者等が上述のような成りすまし行為を行なうことは不可能になる。
なお、本実施形態では、組込み部35により、変調部13によって変調を行なう前の入力データに対し、出力回数および認証コードを、擬似乱数によってスクランブルさせて埋め込み、出力回数および認証コードに対しても変調を施しているが、変調部13によって変調された後の暗号文(パケット単位)に対し、変調部13による変調を施されていない出力回数および認証コードを、擬似乱数によってスクランブルさせて埋め込んでもよい。この場合、暗号化装置10Dにおいて、組込み部35は、変調部13とパケット化部36との間に設けられ、出力回数および認証コードを埋め込まれた暗号文をパケット化する一方、暗号復号化装置20Dにおいて、取出し部47は、FIFOメモリ45と復調部22との間に設けられ、出力回数および認証コードを取り出した後のパケット内暗号文を復調部22に入力することになる。このような構成によっても、上述した実施形態と同様の作用効果を得ることができる。
〔11〕第5実施形態の暗号化/暗号復号化技術
図27は、本発明の第5および第6実施形態としての暗号化/暗号復号化技術を適用された通信システム1',1A'の全体構成を示すブロック図であり、この図27に示す第3実施形態の通信システム1は、通信ネットワーク等を介して相互に通信可能に接続された2つの通信装置1a',1b'をそなえて構成されている。この第5実施形態の通信システム1'および後述する第6実施形態の通信システム1A'では、2つの通信装置1a',1b'の相互間が、改竄の有り得る通信路(信号線路)を介して通信可能に接続され、その通信路を介して2つの通信装置1a',1b'が、後述するバーナム暗号通信によって同期処理を行なう場合について説明する。
これらの通信装置1a',1b'はいずれも同一の構成を有しており、通信装置1a'は、第1もしくは第2実施形態により上述した手法で通信装置1b'へ送信すべき入力データ(平文xi)を暗号化する暗号化装置10C'と、第1もしくは第2実施形態により上述した手法で通信装置1b'から受信した暗号化データ(ciもしくはsi)を暗号復号化する暗号復号化装置20C'と、後述する不揮発性メモリ51,送受信部52Aおよび同期調整部53とをそなえて構成されるとともに、通信装置1b'は、第1もしくは第2実施形態により上述した手法で通信装置1a'へ送信すべき入力データ(平文xi)を暗号化する暗号化装置10C'と、第1もしくは第2実施形態により上述した手法で通信装置1a'から受信した暗号化データ(暗号文ciもしくはsi)を暗号復号化する暗号復号化装置20C'と、後述する不揮発性メモリ51,送受信部52Aおよび同期調整部53とをそなえて構成されている。なお、暗号化装置10C'の構成については図28を参照しながら後述し、暗号復号化装置20C'の構成については図29を参照しながら後述する。
また、図27に示す通信システム1'では、通信装置1a'における暗号化装置10C'と通信装置1b'における暗号復号化装置20C'とが対になっており、これらの装置10C',20C'における擬似乱数発生器11,21(図28,図29参照)は、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。同様に、通信装置1b'における暗号化装置10C'と通信装置1a'における暗号復号化装置20C'とが対になっており、これらの装置10C',20C'における擬似乱数発生器11,21も、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。ただし、上述した各装置対で用いられる暗号鍵としては、異なるものが設定されている。
このような構成により、通信装置1a'から通信装置1b'への送信データは、暗号化装置10C'によって上述した暗号化手順で暗号化され暗号文として通信装置1b'へ送信され、通信装置1b'側では、通信装置1a'から受信した暗号文が、暗号復号化装置20C'によって上述した暗号復号化手順で平文に暗号復号化される。同様に、通信装置1b'から通信装置1a'への送信データは、暗号化装置10C'によって上述した暗号化手順で暗号化され暗号文として通信装置1a'へ送信され、通信装置1a'側では、通信装置1b'から受信した暗号文が、暗号復号化装置20C'によって上述した暗号復号化手順で平文に暗号復号化される。
ここで、不揮発性メモリ51,送受信部52Aおよび同期調整部53は、何らかの要因により擬似乱数発生器11と21との擬似乱数生成動作に同期ズレが生じて暗号化装置10C'と暗号復号化装置20C'との間の暗号通信が行なえなくなった場合に用いられるものである。
不揮発性メモリ(乱数表保持部)51は、後述する送受信部52Aによる暗号化/暗号復号化に用いられる乱数表を保持するものである。通信装置1a',1b'の不揮発性メモリ51,51には、暗号化装置10C'と暗号復号化装置20C'との間の暗号通信が正常に行なわれている際に、暗号化データのやり取りが行なわれている合間をぬって上記乱数表の乱数列を暗号通信によってやり取りすることで、同一の乱数表が蓄積されて保持される。
送受信部(暗号送信部/復号受信部)52Aは、不揮発性メモリ34(図28参照)または不揮発性メモリ44(図29参照)から読み出された変調用擬似乱数または復調用擬似乱数の出力回数を、不揮発性メモリ51に保持された乱数表に基づいて暗号化し暗号化同期情報として通信相手の通信装置1a'もしくは1b'に送信するとともに、通信相手の通信装置1a'もしくは1b'から受信した暗号化同期情報を、不揮発性メモリ51に保持された乱数表に基づいて変調用擬似乱数または復調用擬似乱数の出力回数に復号化するものである。この送受信部52Aによる暗号化方式としては、例えばバーナム暗号(Vernam cipher)が採用される。バーナム暗号は、平文の長さ以上の長さを持つ乱数を暗号鍵として用い、平文(ここでは出力回数)と暗号鍵との排他的論理和(XOR)を暗号文として算出する暗号方式である。
何らかの要因により擬似乱数発生器11と21との擬似乱数生成動作に同期ズレが生じて暗号化装置10C'と暗号復号化装置20C'との間の暗号通信が行なえなくなった場合には、通信装置1a',1b'にそれぞれそなえられた送受信部52A,52Aを用いて、不揮発性メモリ51,51にそれぞれ保持された同一の乱数表に従い、暗号化/暗号復号化動作を同期させて行なうことにより、通信装置1a',1b'間(送受信部52A,52Aの相互間)で通信ネットワーク等(盗聴だけでなく改竄が有り得る信号線路)を介し上記出力回数が暗号化同期情報としてやり取りされるようになっている。
同期調整部53は、第3および第4実施形態において説明したものと同様のものであるので、その詳細な説明は省略するが、第5実施形態の同期調整部53も、上記同期ズレが生じている場合に、通信装置1a'の変調用擬似乱数発生器11(図28参照)による擬似乱数生成動作と通信装置1b'の復調用擬似乱数発生器21(図29参照)による擬似乱数生成動作とを同期させるために、もしくは、通信装置1b'の変調用擬似乱数発生器11(図28参照)による擬似乱数生成動作と通信装置1a'の復調用擬似乱数発生器21(図29参照)による擬似乱数生成動作とを同期させるために、不揮発性メモリ34もしくは44から読み出された前記出力回数に基づいて、擬似乱数発生器11,21からの擬似乱数の出力回数を調整するものである。
そして、第5実施形態の通信装置1a',1b'において、上述した暗号化装置10C',暗号復号化装置20C',不揮発性メモリ51および送受信部52Aは、擬似乱数生成用の暗号鍵や擬似乱数発生器11,21からの擬似乱数riの漏洩を抑止するとともに、物理乱数発生器12(図28参照)によって生成される物理乱数fiの、物理的擾乱による確率分布変動を抑止する耐タンパ領域60内に配置されている。具体的に、第5実施形態の耐タンパ領域60は、下記項目(51)〜(59)のごとき構造を提供するものである。なお、図27に示す各通信装置1a',1b'は、例えば一つのチップ上に構成され、このチップ上に耐タンパ領域60が設けられる。
(51)チップを分解しても暗号鍵用ROM32,42(図28,図29参照)の暗号鍵(即ち、擬似乱数riの「種」)を読めない構造。例えば、ROM32,42における暗号鍵を読もうとしてチップを分解すると、ROM32,42が壊れる配線構造。
(52)チップを分解しても擬似乱数riの信号線(擬似乱数発生器11と変調部13との間の信号線や擬似乱数発生器21と復調部22との間の信号線;図28,図29参照)をタップすることができない構造。例えば、擬似乱数riの信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
(53)チップの外部からの物理的擾乱を加えても、物理乱数発生器12からの物理乱数fiに確率分布の変動が生じない構造。例えば、チップ全体が冷却されたり異常な入力電圧が印加されたりしても、物理乱数fiの確率分布が変化しない物理乱数発生器の構造。あるいは、温度や入力電圧を検知して物理乱数fiの分布が偏る前にチップの動作を停止させる仕組み。
(54)チップを分解しても不揮発性メモリ51の乱数表を読めない構造。例えば、不揮発性メモリ51における乱数表を読もうとしてチップを分解すると、不揮発性メモリ51が壊れる配線構造。
(55)チップを分解しても不揮発性メモリ51と送受信部52Aとの間の信号線をタップすることができない構造。例えば、不揮発性メモリ51における乱数表を読もうとしてチップを分解すると、不揮発性メモリ51が壊れる配線構造。
(56)識別番号用ROM31,41(図28,図29参照)の識別番号を読み出すことは可能であるが改竄することができない構造。
(57)チップを分解しても物理乱数fiの信号線(物理乱数発生器12と変調部13との間の信号線;図28参照)をタップすることができない構造。例えば、物理乱数fiの信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
(58)不揮発性メモリ34,44(図28,図29参照)に保持される情報〔例えば、後述するカウンタ33,43(図28,図29参照)によって計数される出力回数〕を改竄することができない構造。
(59)カウンタ33,43(図28,図29参照)を回避して擬似乱数発生器11,21に直接アクセスして擬似乱数発生器11,21に任意回数目の擬似乱数riを発生させない構造。例えば、チップを分解してもカウンタ33と擬似乱数発生器11との間の信号線(図28参照)やカウンタ43と擬似乱数発生器21との間の信号線(図29参照)をタップすることができない構造で、その信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
次に、図28を参照しながら暗号化装置10C'の構成について説明する。図28は本発明の第5実施形態としての暗号化装置10C'の構成を示すブロック図で、図28中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示している。この図28に示すように、第5実施形態の暗号化装置10C'は、図22に示した第3実施形態の暗号化装置10Cが単体で耐タンパ領域60内に配置されている点以外は、第3実施形態の暗号化装置10Cと全く同じ構成を有しているので、その説明は省略する。第5実施形態の暗号化装置10C'は、図27を参照しながら説明した通り、通信装置1a',1b'において暗号復号化装置20C',不揮発性メモリ51および送受信部52Aとともに耐タンパ領域60内に配置されている。
なお、図28に示す暗号化装置10C'でも、通信路符号化部14(図1,図11,図14参照)が図示されていないが、通信路符号化部14は、第1および第2実施形態と同様にそなえられていてもよいし、そなえられていなくてもよい。通信路符号化部14をそなえる場合、その通信路符号化部14は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。また、暗号化装置10C'についても、耐タンパ領域60の内部と外部とのインタフェースとして、上記項目(21)〜(28)に対応するものが必要となる。
次に、図29を参照しながら暗号復号化装置20C'の構成について説明する。図29は本発明の第5実施形態としての暗号復号化装置20C'の構成を示すブロック図で、図29中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示している。この図29に示すように、第5実施形態の暗号復号化装置20C'は、図23に示した第3実施形態の暗号復号化装置20Cが単体で耐タンパ領域60内に配置されている点以外は、第3実施形態の暗号復号化装置20Cと全く同じ構成を有しているので、その説明は省略する。第5実施形態の暗号復号化装置20C'は、図27を参照しながら説明した通り、通信装置1a',1b'において暗号化装置10C',不揮発性メモリ51および送受信部52Aとともに耐タンパ領域60内に配置されている。
なお、図29に示す暗号復号化装置20C'でも、通信路符号復号化部23(図2,図12,図15参照)が図示されていないが、通信路符号復号化部23は、暗号化装置10C'側に通信路符号化部14がそなえられている場合、第1および第2実施形態と同様にそなえられる。通信路符号復号化部23をそなえる場合、その通信路符号復号化部23は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。また、暗号復号化装置20C'についても、耐タンパ領域60の内部と外部とのインタフェースとして、上記項目(41)〜(48)に対応するものが必要となる。
また、第5実施形態では、暗号化装置10C'は、図1に示す暗号化装置10と同様に構成されているが、図11に示す暗号化装置10Aや図14に示す暗号化装置10Bと同様の構成をそなえて構成されていてもよい。また、第5実施形態では、暗号復号化装置20C'は、図2に示す暗号化装置20と同様に構成されているが、図12に示す暗号復号化装置20Aや図15に示す暗号復号化装置20Bと同様の構成をそなえて構成されていてもよい。
このように構成された本発明の第5実施形態としての通信システム1'(暗号化装置10C'および暗号復号化装置20C')によれば、通信装置1a'と通信装置1b'との相互間で本実施形態の暗号技術を適用した暗号通信が実現され、第1および第2実施形態と同様の作用効果を得ることができるほか、第3実施形態の通信システム1(暗号化装置10Cおよび暗号復号化装置20C)と同様の作用効果を得ることもできる。
また、第5実施形態の通信システム1'の各通信装置1a',1b'においては、暗号化装置10C',暗号復号化装置20C',不揮発性メモリ51および送受信部52Aを一つにまとめた全体が、チップ上において、上記項目(51)〜(59)の構造を提供する一の耐タンパ領域60内に配置されて耐タンパ性が確保され、耐タンパ領域60とその外部との入出力は上記項目(21)〜(28)および(41)〜(48)に示したものに限定されている。
これにより、上記項目(21)〜(28)および(41)〜(48)のインタフェースを通じて、擬似乱数発生器11,21によって生成される擬似乱数riや、ROM32,42に保持される暗号鍵や、不揮発性メモリ51に保持される乱数表を、耐タンパ領域60外に一切読み出すことはできない。また、上記項目(51)〜(59)の構造を提供する耐タンパ領域60を採用することにより、チップを分解しても、ROM32,42に保持される暗号鍵を読み出したり、擬似乱数riの信号線をタップしたり、物理乱数fiの信号線をタップしたり、不揮発性メモリ51に保持される乱数表を読み出したり、乱数表の乱数列の信号線をタップしたりすることが一切できず、さらに、チップの外部からの物理的擾乱(熱や電圧)を加えても、物理乱数発生器12からの物理乱数fiの確率分布が変化しなくなる。従って、第5実施形態の通信システム1'においても、第3実施形態の通信システム1と同様の作用効果を得ることができる。
一方、第5実施形態の通信システム1'では、暗号通信を行なっている通信装置1a',1b'どうしは、その暗号通信の合間に乱数表の共有を行なっておき、各通信装置1a',1b'の不揮発性メモリ51に共通の乱数表を蓄積しておく。そして、例えば、停電などで発生した異常停止の後の復旧時などに、通信装置1a'における擬似乱数生成動作と通信装置1b'における擬似乱数生成動作との同期をとる必要が生じると、通信装置1a'における送受信部52Aと通信装置1b'における送受信部52Aとが、不揮発性メモリ51に保持された乱数表を用いたバーナム暗号による暗号通信を相互に行ない、変調用擬似乱数riおよび復調用擬似乱数riの出力回数(それぞれ不揮発性メモリ34,44から読み出されたもの)を同期情報として交換する。
そして、通信装置1a',1b'における擬似乱数riの同期処理を行なう場合、各通信装置1a',1b'における同期調整部53が、暗号化装置10C'の不揮発性メモリ34または暗号復号化装置20C'の不揮発性メモリ44に対する出力回数の設定、あるいは、擬似乱数発生器11または21に対するクロック信号の空打ちを行なうことにより、出力回数値の小さい方の出力回数を増加させ、暗号化装置10C'における擬似乱数発生器11の出力回数と暗号復号化装置20C'における擬似乱数発生器21の出力回数とを一致させ、暗号化装置10C'における擬似乱数発生器11の擬似乱数生成動作と暗号復号化装置20C'における擬似乱数発生器21の擬似乱数生成動作とを同期させる。
なお、同期調整部53が、擬似乱数発生器11または21に対するクロック信号の空打ちを行なう場合、擬似乱数riの種(暗号鍵)が例えば100ビットとすると、出力回数の情報も100ビットになるが、出力回数が2100回のオーダに達していることはまず有り得ない。つまり、同期情報(出力回数)は100ビットの下の桁に偏っていることが予想される。盗聴者等に余計な情報を与えないためには、このような偏りを無くすことが望ましい。そこで、同期情報(出力回数)を100ビットの情報として出力する際には、出力回数を格納するビットスロットの位置の入れ替えを、通信装置1a',1b'で共有している乱数表(不揮発性メモリ51)に基づいて行なうことがより好ましい。
ところで、通信装置1a',1b'の相互間が、盗聴だけでなく改竄がありうる通信路(信号線路)を介して通信可能に接続されている際に、擬似乱数riの同期を、上述のように「暗号化装置10C'と暗号復号化装置20C'とが互いに自装置における擬似乱数riの出力回数を公開し、出力回数の値の小さい側が大きい側に合わせる」という手順で行なう場合、出力回数(同期情報)を暗号化することなく生のまま上記信号線路を通じて送受信すると、盗聴者等による改竄行為により、その出力回数が巨大な数(例えば2100など)に改竄されてしまうおそれがある。
このような改竄が行なわれると、暗号化装置10C'もしくは暗号復号化装置20C'において同期調整のためのクロック信号のカラ打ちが止まらなくなり、暗号化装置10C'もしくは暗号復号化装置20C'が使用できなくなるおそれがある。この脆弱性に対処すべく、本実施形態では、出力回数(同期情報)が、送受信部52Aによってバーナム暗号化されて送受信されるため、盗聴者等によって改竄されることがなくなり、上述のような改竄による脆弱性を解消することもできる。
〔12〕第6実施形態の暗号化/暗号復号化技術
第6実施形態の通信システム1A'も、第5実施形態の通信システム1'と同様、図27に示すごとく、通信ネットワーク等を介して相互に通信可能に接続された2つの通信装置1a',1b'をそなえて構成されている。前述した通り、第6実施形態の通信システム1A'では、2つの通信装置1a',1b'の相互間が、改竄の有り得る通信路(信号線路)を介して通信可能に接続され、その通信路を介して2つの通信装置1a',1b'が、後述するバーナム暗号通信によって同期処理を行なう場合について説明する。
第6実施形態の通信装置1a',1b'はいずれも同一の構成を有しており、第6実施形態の通信システム1A'において、通信装置1a'は、第1もしくは第2実施形態により上述した手法で通信装置1b'へ送信すべき入力データ(平文xi)を暗号化する暗号化装置10D'と、第1もしくは第2実施形態により上述した手法で通信装置1b'から受信した暗号化データ(ciもしくはsi)を暗号復号化する暗号復号化装置20D'と、第5実施形態において前述した不揮発性メモリ51,送受信部52Aおよび同期調整部53とをそなえて構成されるとともに、通信装置1b'は、第1もしくは第2実施形態により上述した手法で通信装置1a'へ送信すべき入力データ(平文xi)を暗号化する暗号化装置10D'と、第1もしくは第2実施形態により上述した手法で通信装置1a'から受信した暗号化データ(暗号文ciもしくはsi)を暗号復号化する暗号復号化装置20D'と、第5実施形態において前述した不揮発性メモリ51,送受信部52Aおよび同期調整部53とをそなえて構成されている。なお、暗号化装置10D'の構成については図30を参照しながら後述し、暗号復号化装置20D'の構成については図31を参照しながら後述する。
ただし、第4実施形態と同様、第6実施形態の暗号化装置10D'は、変調部13によって得られた符号化信号(si)を送信先通信装置1a'または1b'に複数のパケットとして送信するように構成されるとともに、第6実施形態の暗号化装置10D'は、送信元通信装置1a'または1b'の暗号化装置10D'から受信した各パケットにおける符号化信号(si)を入力データ(平文xi)に復調するように構成されている。つまり、第6実施形態の通信システム1A'(暗号化装置10D'および暗号復号化装置20D')も、第4実施形態と同様、パケットの到着順序が入れ替わったり消失したりし得る通信路を用いた通信を対象とし、個々のパケットが正規送信者からの送信されたものであるか否かを認識する必要があるシステム(具体的にはIP電話の通信システム)を対象としている。
また、第6実施形態の通信システム1A'においても、通信装置1a'における暗号化装置10D'と通信装置1b'における暗号復号化装置20D'とが対になっており、これらの装置10D',20D'における擬似乱数発生器11,21は、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。同様に、通信装置1b'における暗号化装置10Dと通信装置1aにおける暗号復号化装置20Dとが対になっており、これらの装置10D',20D'における擬似乱数発生器11,21も、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。ただし、上述した各装置対で用いられる暗号鍵としては、異なるものが設定されている。
このような構成により、通信装置1a'から通信装置1b'への送信データは、暗号化装置10D'によって上述した暗号化手順で暗号化され暗号文として通信装置1b'へ送信され、通信装置1b'側では、通信装置1a'から受信した暗号文が、暗号復号化装置20D'によって上述した暗号復号化手順で平文に暗号復号化される。同様に、通信装置1b'から通信装置1a'への送信データは、暗号化装置10D'によって上述した暗号化手順で暗号化され暗号文として通信装置1a'へ送信され、通信装置1a'側では、通信装置1b'から受信した暗号文が、暗号復号化装置20D'によって上述した暗号復号化手順で平文に暗号復号化される。
なお、第6実施形態の通信システム1A'において、不揮発性メモリ51,送受信部52Aおよび同期調整部53は、第5実施形態において説明したものと同様のものであるので、その説明は省略する。また、第6実施形態の通信装置1a',1b'においても、上述した暗号化装置10D',暗号復号化装置20D',不揮発性メモリ51および送受信部52Aは、第5実施形態と同様に、チップ上における耐タンパ領域60(上記項目(51)〜(59)のごとき構造を提供するもの)内に配置されている。
次に、図30を参照しながら暗号化装置10D'の構成について説明する。図30は本発明の第6実施形態としての暗号化装置10D'の構成を示すブロック図で、図30中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示している。この図30に示すように、暗号化装置10D'は、図24に示した第4実施形態の暗号化装置10Dが単体で耐タンパ領域60内に配置されている点以外は、第4実施形態の暗号化装置10Dと全く同じ構成を有しているので、その説明は省略する。第6実施形態の暗号化装置10D'は、図27を参照しながら説明した通り、通信装置1a',1b'において暗号復号化装置20D',不揮発性メモリ51および送受信部52Aとともに耐タンパ領域60内に配置されている。
なお、図30に示す暗号化装置10D'でも、通信路符号化部14(図1,図11,図14参照)が図示されていないが、通信路符号化部14は、第1および第2実施形態と同様にそなえられていてもよいし、そなえられていなくてもよい。通信路符号化部14をそなえる場合、その通信路符号化部14は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。また、暗号化装置10D'についても、耐タンパ領域60の内部と外部とのインタフェースとして、上記項目(21)〜(28)に対応するものが必要となる。
次に、図31を参照しながら暗号復号化装置20D'の構成について説明する。図31は本発明の第6実施形態としての暗号復号化装置20D'の構成を示すブロック図で、図31中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示している。この図31に示すように、第6実施形態の暗号復号化装置20D'は、図25に示した第4実施形態の暗号化装置20Dが単体で耐タンパ領域60内に配置されている点以外は、第4実施形態の暗号復号化装置20Dと全く同じ構成を有しているので、その説明は省略する。第6実施形態の暗号復号化装置20D'は、図27を参照しながら説明した通り、通信装置1a',1b'において暗号化装置10D',不揮発性メモリ51および送受信部52Aとともに耐タンパ領域60内に配置されている。
なお、図31に示す暗号復号化装置20D'でも、通信路符号復号化部23(図2,図12,図15参照)が図示されていないが、通信路符号復号化部23は、暗号化装置10D'側に通信路符号化部14がそなえられている場合、第1および第2実施形態と同様にそなえられる。通信路符号復号化部23をそなえる場合、その通信路符号復号化部23は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。また、暗号復号化装置20D'についても、耐タンパ領域60の内部と外部とのインタフェースとして、上記項目(41)〜(48)に対応するものが必要となる。
また、第6実施形態では、暗号化装置10D'は、図1に示す暗号化装置10と同様に構成されているが、図11に示す暗号化装置10Aや図14に示す暗号化装置10Bと同様の構成をそなえて構成されていてもよい。また、第6実施形態では、暗号復号化装置20D'は、図2に示す暗号化装置20と同様に構成されているが、図12に示す暗号復号化装置20Aや図15に示す暗号復号化装置20Bと同様の構成をそなえて構成されていてもよい。
このように構成された本発明の第6実施形態としての通信システム1A'(暗号化装置10D'および暗号復号化装置20D')によれば、通信装置1a'と通信装置1b'との相互間で本実施形態の暗号技術を適用した暗号通信が実現され、第1および第2実施形態と同様の作用効果を得ることができるほか、第4実施形態の通信システム1A(暗号化装置10Dおよび暗号復号化装置20D)と同様の作用効果を得ることもできる。
また、第6実施形態の通信システム1A'の各通信装置1a',1b'においては、暗号化装置10D',暗号復号化装置20D',不揮発性メモリ51および送受信部52Aを一つにまとめた全体が、チップ上において、上記項目(51)〜(59)の構造を提供する一の耐タンパ領域60内に配置されて耐タンパ性が確保され、耐タンパ領域60とその外部との入出力は上記項目(21)〜(28)および(41)〜(48)に示したものに限定されている。これにより、第6実施形態の通信システム1A'においても、第5実施形態の通信システム1'と同様の作用効果を得ることができる。
〔13〕第7実施形態の暗号化/暗号復号化技術
上述した第5および第6実施形態では、擬似乱数riの同期処理を行なう際、同期情報として出力回数をバーナム暗号通信で通知し、同期調整部53が、暗号化装置10C'/10D'の不揮発性メモリ34または暗号復号化装置20C'/20D'の不揮発性メモリ44に対する出力回数の設定、あるいは、擬似乱数発生器11または21に対するクロック信号の空打ちを行なうことで、擬似乱数riを同期させていたが、第7実施形態および後述する第8実施形態では、送受信部52Aを用いて新しく擬似乱数riの種(暗号鍵)をバーナム暗号で暗号化して再配布し合い、新しい暗号鍵(新暗号鍵)を暗号鍵用ROM32,42に再設定するとともに、カウンタ33,43(不揮発性メモリ34,44)における擬似乱数riの出力回数を“0”にリセットし、新暗号鍵で生成される擬似乱数列を用いるようにすることによって、擬似乱数riを同期させるように構成している。
第7および第8実施形態は、このような同期手法に対応したもので、図32は、本発明の第7および第8実施形態としての暗号化/暗号復号化技術を適用された通信システム1",1A"の全体構成を示すブロック図であり、この図32に示す第7実施形態の通信システム1"は、通信ネットワーク等を介して相互に通信可能に接続された2つの通信装置1a",1b"をそなえて構成されている。この第7実施形態の通信システム1"および後述する第8実施形態の通信システム1A"では、2つの通信装置1a",1b"の相互間が、改竄の有り得る通信路(信号線路)を介して通信可能に接続され、その通信路を介して、2つの通信装置1a",1b"が、上述したバーナム暗号通信によって、上記同期手法で同期処理を行なう場合について説明する。
これらの通信装置1a",1b"はいずれも同一の構成を有しており、通信装置1a"は、第1もしくは第2実施形態により上述した手法で通信装置1b"へ送信すべき入力データ(平文xi)を暗号化する暗号化装置10C"と、第1もしくは第2実施形態により上述した手法で通信装置1b"から受信した暗号化データ(ciもしくはsi)を暗号復号化する暗号復号化装置20C"と、上述と同様の不揮発性メモリ51および送受信部52Aとをそなえて構成されるとともに、通信装置1b"は、第1もしくは第2実施形態により上述した手法で通信装置1a"へ送信すべき入力データ(平文xi)を暗号化する暗号化装置10C"と、第1もしくは第2実施形態により上述した手法で通信装置1a"から受信した暗号化データ(暗号文ciもしくはsi)を暗号復号化する暗号復号化装置20C"と、上述と同様の不揮発性メモリ51および送受信部52Aとをそなえて構成されている。つまり、第7実施形態の通信システム1"は、第5実施形態における同期調整部53を省略した構成となっている。なお、暗号化装置10C"の構成については図33を参照しながら後述し、暗号復号化装置20C"の構成については図34を参照しながら後述する。
また、図32に示す通信システム1"では、通信装置1a"における暗号化装置10C"と通信装置1b"における暗号復号化装置20C"とが対になっており、これらの装置10C",20C"における擬似乱数発生器11,21は、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。同様に、通信装置1b"における暗号化装置10C"と通信装置1a"における暗号復号化装置20C"とが対になっており、これらの装置10C",20C"における擬似乱数発生器11,21も、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。ただし、上述した各装置対で用いられる暗号鍵としては、異なるものが設定されている。
このような構成により、通信装置1a"から通信装置1b"への送信データは、暗号化装置10C"によって上述した暗号化手順で暗号化され暗号文として通信装置1b"へ送信され、通信装置1b"側では、通信装置1a"から受信した暗号文が、暗号復号化装置20C"によって上述した暗号復号化手順で平文に暗号復号化される。同様に、通信装置1b"から通信装置1a"への送信データは、暗号化装置10C"によって上述した暗号化手順で暗号化され暗号文として通信装置1a"へ送信され、通信装置1a"側では、通信装置1b"から受信した暗号文が、暗号復号化装置20C"によって上述した暗号復号化手順で平文に暗号復号化される。
ここで、不揮発性メモリ51および送受信部52Aは、何らかの要因により擬似乱数発生器11と21との擬似乱数生成動作に同期ズレが生じて暗号化装置10C'と暗号復号化装置20C'との間の暗号通信が行なえなくなった場合に用いられるもので、いずれも第5および第6実施形態で説明したものと同様の機能を果たすものである。
ただし、第5実施形態の送受信部52Aは、同期処理時に暗号鍵用ROM32,42に再設定すべき新暗号鍵を、不揮発性メモリ51に保持された乱数表に基づいてバーナム暗号により暗号化し暗号化同期情報として通信相手の通信装置1a"もしくは1b"に送信するとともに、通信相手の通信装置1a"もしくは1b"から受信した暗号化同期情報を、不揮発性メモリ51に保持された乱数表に基づいて新暗号鍵に復号化するものである。
何らかの要因により擬似乱数発生器11と21との擬似乱数生成動作に同期ズレが生じて暗号化装置10C"と暗号復号化装置20C"との間の暗号通信が行なえなくなった場合には、通信装置1a",1b"にそれぞれそなえられた送受信部52A,52Aを用いて、不揮発性メモリ51,51にそれぞれ保持された同一の乱数表に従い、暗号化/暗号復号化動作を同期させて行なうことにより、通信装置1a",1b"間(送受信部52A,52Aの相互間)で通信ネットワーク等(盗聴だけでなく改竄が有り得る信号線路)を介し上記新暗号鍵が暗号化同期情報としてやり取りされるようになっている。
新暗号鍵を受信した送受信部52Aは、その新暗号鍵を暗号鍵用ROM32,42に再設定するとともに、通信装置1a"と通信装置1b"とで同時タイミングで、暗号化装置10C"もしくは暗号復号化装置20C"に対してリセット信号を出力し、カウンタ33,43(不揮発性メモリ34,44)における擬似乱数riの出力回数を“0”にリセットするようになっている。なお、本実施形態では、同期調整部53を省略しているが、第5,第6実施形態の同期調整部53により、上述した新暗号鍵の再設定およびリセット信号の出力を行なうように構成することも可能である。
そして、第7実施形態の通信装置1a",1b"において、上述した暗号化装置10C",暗号復号化装置20C",不揮発性メモリ51および送受信部52Aは、第5実施形態と同様、上記項目(51)〜(59)のほか下記項目(60),(61)のごとき構造を提供する耐タンパ領域60内に配置されている。
(60)チップを分解しても新暗号鍵の信号線(送受信部52Aと暗号鍵用ROM32との間の信号線)をタップすることができない構造。例えば、新暗号鍵の信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
(61)チップを分解してもリセット信号の信号線〔送受信部52Aと不揮発性メモリ34(カウンタ33)との間の信号線〕をタップすることができない構造。例えば、リセット信号の信号線をタップすべくチップを壊すと、チップが動作しなくなる配線構造。
次に、図33を参照しながら暗号化装置10C"の構成について説明する。図33は本発明の第7実施形態としての暗号化装置10C"の構成を示すブロック図で、図33中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示している。この図33に示すように、第7実施形態の暗号化装置10C"は、図28に示した第5実施形態の暗号化装置10C'とほぼ同じ構成を有している。
ただし、第7実施形態の暗号化装置10C"において、暗号鍵用ROM32は、送受信部52Aからの指示に応じて暗号鍵を新暗号鍵に再設定することが可能な構成を有するとともに、カウンタ33(不揮発性メモリ34)は、送受信部52Aからのリセット信号に応じて擬似乱数riの出力回数を“0”にリセットすることが可能な構成を有している。また、変調用擬似乱数発生器11は、リセット信号により不揮発性メモリ34つまりはカウンタ33がリセットされると、その出力回数を0に戻せる(リセットできる)構成を有している。
なお、図33に示す暗号化装置10C"でも、通信路符号化部14(図1,図11,図14参照)が図示されていないが、通信路符号化部14は、第1および第2実施形態と同様にそなえられていてもよいし、そなえられていなくてもよい。通信路符号化部14をそなえる場合、その通信路符号化部14は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。
また、本実施形態では、上述した通り、擬似乱数riの同期処理に際しては、第5実施形態のごとき耐タンパ領域60外の同期調整部53(擬似乱数riの出力回数)を用いることなく、同じ耐タンパ領域60内の送受信部52Aから通知されるリセット信号および新暗号鍵が同期情報として用いられることになるため、本実施形態の暗号化装置10C"についての耐タンパ領域60の内部と外部とのインタフェースとしては、上記項目(21)〜(25)に対応するものが必要であり、擬似乱数riの出力回数に係るインタフェース(上記項目(26)〜(28)に対応するもの)は不要となる。
次に、図34を参照しながら暗号復号化装置20C"の構成について説明する。図34は本発明の第7実施形態としての暗号復号化装置20C"の構成を示すブロック図で、図34中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示している。この図34に示すように、第7実施形態の暗号復号化装置20C"は、図29に示した第5実施形態の暗号復号化装置20C'とほぼ同じ構成を有している。
ただし、第7実施形態の暗号復号化装置20C"において、暗号鍵用ROM42は、送受信部52Aからの指示に応じて暗号鍵を新暗号鍵に再設定することが可能な構成を有するとともに、カウンタ43(不揮発性メモリ44)は、送受信部52Aからのリセット信号に応じて擬似乱数riの出力回数を“0”にリセットすることが可能な構成を有している。また、復調用擬似乱数発生器21は、リセット信号により不揮発性メモリ44つまりはカウンタ43がリセットされると、その出力回数を0に戻せる(リセットできる)構成を有している。
なお、図34に示す暗号復号化装置20C"でも、通信路符号復号化部23(図2,図12,図15参照)が図示されていないが、通信路符号復号化部23は、暗号化装置10C"側に通信路符号化部14がそなえられている場合、第1および第2実施形態と同様にそなえられる。通信路符号復号化部23をそなえる場合、その通信路符号復号化部23は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。
また、本実施形態では、上述した通り、擬似乱数riの同期処理に際しては、第5実施形態のごとき耐タンパ領域60外の同期調整部53(擬似乱数riの出力回数)を用いることなく、同じ耐タンパ領域60内の送受信部52Aから通知されるリセット信号および新暗号鍵が同期情報として用いられることになるため、本実施形態の暗号復号化装置20C"についての耐タンパ領域60の内部と外部とのインタフェースとしては、上記項目(41)〜(45)に対応するものが必要であり、擬似乱数riの出力回数に係るインタフェース(上記項目(46)〜(48)に対応するもの)は不要となる。
また、第7実施形態では、暗号化装置10C"は、図1に示す暗号化装置10と同様に構成されているが、図11に示す暗号化装置10Aや図14に示す暗号化装置10Bと同様の構成をそなえて構成されていてもよい。また、第7実施形態では、暗号復号化装置20C"は、図2に示す暗号化装置20と同様に構成されているが、図12に示す暗号復号化装置20Aや図15に示す暗号復号化装置20Bと同様の構成をそなえて構成されていてもよい。
このように構成された本発明の第7実施形態としての通信システム1"(暗号化装置10C"および暗号復号化装置20C")によれば、通信装置1a"と通信装置1b"との相互間で本実施形態の暗号技術を適用した暗号通信が実現され、第1および第2実施形態と同様の作用効果を得ることができるほか、第5実施形態の通信システム1'(暗号化装置10C'および暗号復号化装置20C')と同様の作用効果を得ることもできる。
また、第7実施形態の通信システム1"の各通信装置1a",1b"においては、暗号化装置10C",暗号復号化装置20C",不揮発性メモリ51および送受信部52Aを一つにまとめた全体が、チップ上において、上記項目(51)〜(61)の構造を提供する一の耐タンパ領域60内に配置されて耐タンパ性が確保され、耐タンパ領域60とその外部との入出力は上記項目(21)〜(25)および(41)〜(45)に示したものに限定されている。
これにより、上記項目(21)〜(25)および(41)〜(45)のインタフェースを通じて、擬似乱数発生器11,21によって生成される擬似乱数riや、ROM32,42に保持される暗号鍵や、不揮発性メモリ51に保持される乱数表や、ROM32,42に再設定される新暗号鍵を、耐タンパ領域60外に一切読み出すことはできない。また、上記項目(51)〜(61)の構造を提供する耐タンパ領域60を採用することにより、チップを分解しても、ROM32,42に保持される暗号鍵を読み出したり、擬似乱数riの信号線をタップしたり、物理乱数fiの信号線をタップしたり、不揮発性メモリ51に保持される乱数表を読み出したり、乱数表の乱数列の信号線をタップしたり、新暗号鍵やリセット信号の信号線をタップしたりすることが一切できず、さらに、チップの外部からの物理的擾乱(熱や電圧)を加えても、物理乱数発生器12からの物理乱数fiの確率分布が変化しなくなる。従って、第7実施形態の通信システム1"においても、第5実施形態の通信システム1'と同様の作用効果を得ることができる。
一方、第7実施形態の通信システム1"では、第5実施形態と同様、暗号通信を行なっている通信装置1a",1b"'どうしは、その暗号通信の合間に乱数表の共有を行なっておき、各通信装置1a",1b"の不揮発性メモリ51に共通の乱数表を蓄積しておく。そして、例えば、停電などで発生した異常停止の後の復旧時などに、通信装置1a"における擬似乱数生成動作と通信装置1b"における擬似乱数生成動作との同期をとる必要が生じると、通信装置1a"における送受信部52Aと通信装置1b"における送受信部52Aとが、不揮発性メモリ51に保持された乱数表を用いたバーナム暗号による暗号通信を相互に行ない、新暗号鍵を交換する。
そして、通信装置1a",1b"における擬似乱数riの同期処理を行なう場合、前述した通り、新暗号鍵を受信した送受信部52Aによって、その新暗号鍵が暗号鍵用ROM32,42に再設定されるとともに、通信装置1a"と通信装置1b"とで同時タイミングで暗号化装置10C"もしくは暗号復号化装置20C"に対してリセット信号が出力され、カウンタ33,43(不揮発性メモリ34,44)における擬似乱数riの出力回数が“0”にリセットされる。これにより、暗号化装置10C"における擬似乱数発生器11と暗号復号化装置20C"における擬似乱数発生器21とが、同じ新暗号鍵を用いて同時に動作を再開することになって、暗号化装置10C"における擬似乱数発生器11の擬似乱数生成動作と暗号復号化装置20C"における擬似乱数発生器21の擬似乱数生成動作とを同期させることがきる。
なお、第7実施形態において、別途、擬似乱数の同期が外れていることを確認する手段がある場合や、擬似乱数の同期が外れていることの確認を省略しても問題ない場合は、通信装置1a"および1b"それぞれの不揮発性メモリ51,51に保持された同一の乱数表を、バーナム暗号通信の暗号鍵として用いるのではなく、新暗号鍵そのものとして用いる変形が可能である。この変形例では、バーナム暗号通信を行なう必要がないため、送受信部52Aを省略できる。
〔14〕第8実施形態の暗号化/暗号復号化技術
第8実施形態の通信システム1A"も、第7実施形態の通信システム1"と同様、図32に示すごとく、通信ネットワーク等を介して相互に通信可能に接続された2つの通信装置1a",1b"をそなえて構成されている。前述した通り、第7実施形態の通信システム1A"では、2つの通信装置1a",1b"の相互間が、改竄の有り得る通信路(信号線路)を介して通信可能に接続され、その通信路を介して、2つの通信装置1a",1b"が、第7実施形態と同様の同期手法で同期処理を行なう場合について説明する。
第8実施形態の通信装置1a",1b"はいずれも同一の構成を有しており、第8実施形態の通信システム1A"において、通信装置1a"は、第1もしくは第2実施形態により上述した手法で通信装置1b"へ送信すべき入力データ(平文xi)を暗号化する暗号化装置10D"と、第1もしくは第2実施形態により上述した手法で通信装置1b"から受信した暗号化データ(ciもしくはsi)を暗号復号化する暗号復号化装置20D"と、第7実施形態において前述した不揮発性メモリ51および送受信部52Aとをそなえて構成されるとともに、通信装置1b"は、第1もしくは第2実施形態により上述した手法で通信装置1a"へ送信すべき入力データ(平文xi)を暗号化する暗号化装置10D"と、第1もしくは第2実施形態により上述した手法で通信装置1a"から受信した暗号化データ(暗号文ciもしくはsi)を暗号復号化する暗号復号化装置20D"と、上述と同様の不揮発性メモリ51および送受信部52Aとをそなえて構成されている。つまり、第8実施形態の通信システム1A"は、第6実施形態における同期調整部53を省略した構成となっている。なお、暗号化装置10D"の構成については図35を参照しながら後述し、暗号復号化装置20D"の構成については図36を参照しながら後述する。
ただし、第4および第6実施形態と同様、第8実施形態の暗号化装置10D"は、変調部13によって得られた符号化信号(si)を送信先通信装置1a"または1b"に複数のパケットとして送信するように構成されるとともに、第8実施形態の暗号化装置10D"は、送信元通信装置1a"または1b"の暗号化装置10D"から受信した各パケットにおける符号化信号(si)を入力データ(平文xi)に復調するように構成されている。つまり、第8実施形態の通信システム1A"(暗号化装置10D"および暗号復号化装置20D")も、第4および第6実施形態と同様、パケットの到着順序が入れ替わったり消失したりし得る通信路を用いた通信を対象とし、個々のパケットが正規送信者からの送信されたものであるか否かを認識する必要があるシステム(具体的にはIP電話の通信システム)を対象としている。
また、第8実施形態の通信システム1A"においても、通信装置1a"における暗号化装置10D"と通信装置1b"における暗号復号化装置20D"とが対になっており、これらの装置10D",20D"における擬似乱数発生器11,21は、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。同様に、通信装置1b"における暗号化装置10D"と通信装置1a"における暗号復号化装置20D"とが対になっており、これらの装置10D",20D"における擬似乱数発生器11,21も、同一の暗号鍵に基づいて擬似乱数riを同期させて生成するように構成されている。ただし、上述した各装置対で用いられる暗号鍵としては、異なるものが設定されている。
このような構成により、通信装置1a"から通信装置1b"への送信データは、暗号化装置10D"によって上述した暗号化手順で暗号化され暗号文として通信装置1b"へ送信され、通信装置1b"側では、通信装置1a"から受信した暗号文が、暗号復号化装置20D"によって上述した暗号復号化手順で平文に暗号復号化される。同様に、通信装置1b"から通信装置1a"への送信データは、暗号化装置10D"によって上述した暗号化手順で暗号化され暗号文として通信装置1a"へ送信され、通信装置1a"側では、通信装置1b"から受信した暗号文が、暗号復号化装置20D"によって上述した暗号復号化手順で平文に暗号復号化される。
なお、第8実施形態の通信システム1A"において、不揮発性メモリ51および送受信部52Aは、第7実施形態において説明したものと同様のものであるので、その説明は省略する。また、第8実施形態の通信装置1a",1b"においても、上述した暗号化装置10D",暗号復号化装置20D",不揮発性メモリ51および送受信部52Aは、第7実施形態と同様に、チップ上における耐タンパ領域60(上記項目(51)〜(61)のごとき構造を提供するもの)内に配置されている。
次に、図35を参照しながら暗号化装置10D"の構成について説明する。図35は本発明の第8実施形態としての暗号化装置10D"の構成を示すブロック図で、図35中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示している。この図35に示すように、第8実施形態の暗号化装置10D"は、図30に示した第6実施形態の暗号化装置10D'とほぼ同じ構成を有している。
ただし、第8実施形態の暗号化装置10D"においても、第7実施形態と同様、暗号鍵用ROM32は、送受信部52Aからの指示に応じて暗号鍵を新暗号鍵に再設定することが可能な構成を有するとともに、カウンタ33(不揮発性メモリ34)は、送受信部52Aからのリセット信号に応じて擬似乱数riの出力回数を“0”にリセットすることが可能な構成を有している。また、変調用擬似乱数発生器11は、リセット信号により不揮発性メモリ34つまりはカウンタ33がリセットされると、その出力回数を0に戻せる(リセットできる)構成を有している。
なお、図35に示す暗号化装置10D"でも、通信路符号化部14(図1,図11,図14参照)が図示されていないが、通信路符号化部14は、第1および第2実施形態と同様にそなえられていてもよいし、そなえられていなくてもよい。通信路符号化部14をそなえる場合、その通信路符号化部14は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。また、第7実施形態と同様、本実施形態の暗号化装置10D"についての耐タンパ領域60の内部と外部とのインタフェースとしては、上記項目(21)〜(25)に対応するものが必要であり、擬似乱数riの出力回数に係るインタフェース(上記項目(26)〜(28)に対応するもの)は不要となる。
次に、図36を参照しながら暗号復号化装置20D"の構成について説明する。図36は本発明の第8実施形態としての暗号復号化装置20D"の構成を示すブロック図で、図36中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示している。この図36に示すように、第8実施形態の暗号復号化装置20D"は、図31に示した第6実施形態の暗号復号化装置20D'とほぼ同じ構成を有している。
ただし、第8実施形態の暗号復号化装置20D"においても、第7実施形態と同様、暗号鍵用ROM42は、送受信部52Aからの指示に応じて暗号鍵を新暗号鍵に再設定することが可能な構成を有するとともに、カウンタ43(不揮発性メモリ44)は、送受信部52Aからのリセット信号に応じて擬似乱数riの出力回数を“0”にリセットすることが可能な構成を有している。また、復調用擬似乱数発生器21は、リセット信号により不揮発性メモリ44つまりはカウンタ43がリセットされると、その出力回数を0に戻せる(リセットできる)構成を有している。
なお、図36に示す暗号復号化装置20D"でも、通信路符号復号化部23(図2,図12,図15参照)が図示されていないが、通信路符号復号化部23は、暗号化装置10C"側に通信路符号化部14がそなえられている場合、第1および第2実施形態と同様にそなえられる。通信路符号復号化部23をそなえる場合、その通信路符号復号化部23は、耐タンパ領域60内に配置してもよいし、耐タンパ領域60外に配置してもよい。また、第7実施形態と同様、本実施形態の暗号復号化装置20D"についての耐タンパ領域60の内部と外部とのインタフェースとしては、上記項目(41)〜(45)に対応するものが必要であり、擬似乱数riの出力回数に係るインタフェース(上記項目(46)〜(48)に対応するもの)は不要となる。
また、第8実施形態では、暗号化装置10D"は、図1に示す暗号化装置10と同様に構成されているが、図11に示す暗号化装置10Aや図14に示す暗号化装置10Bと同様の構成をそなえて構成されていてもよい。また、第8実施形態では、暗号復号化装置20D"は、図2に示す暗号化装置20と同様に構成されているが、図12に示す暗号復号化装置20Aや図15に示す暗号復号化装置20Bと同様の構成をそなえて構成されていてもよい。
このように構成された本発明の第8実施形態としての通信システム1A"(暗号化装置10D"および暗号復号化装置20D")によれば、通信装置1a"と通信装置1b"との相互間で本実施形態の暗号技術を適用した暗号通信が実現され、第1および第2実施形態と同様の作用効果を得ることができるほか、第6実施形態の通信システム1A'(暗号化装置10D'および暗号復号化装置20D')と同様の作用効果を得ることもできる。
また、第8実施形態の通信システム1A"の各通信装置1a",1b"においては、暗号化装置10D",暗号復号化装置20D",不揮発性メモリ51および送受信部52Aを一つにまとめた全体が、チップ上において、上記項目(51)〜(61)の構造を提供する一の耐タンパ領域60内に配置されて耐タンパ性が確保され、耐タンパ領域60とその外部との入出力は上記項目(21)〜(28)および(41)〜(48)に示したものに限定されている。これにより、第8実施形態の通信システム1A"においても、第7実施形態の通信システム1"と同様の作用効果を得ることができる。
なお、第8実施形態において、別途、擬似乱数の同期が外れていることを確認する手段がある場合や、擬似乱数の同期が外れていることの確認を省略しても問題ない場合は、通信装置1a"および1b"それぞれの不揮発性メモリ51,51に保持された同一の乱数表を、バーナム暗号通信の暗号鍵として用いるのではなく、新暗号鍵そのものとして用いる変形が可能である。この変形例では、バーナム暗号通信を行なう必要がないため、送受信部52Aを省略できる。
〔15〕変形例
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態では、物理乱数発生器12を用いているが、この物理乱数発生器12に代えて擬似乱数発生器や図17に示すような乱数発生器18を用いてもよい。
暗号化装置10,10A,10B,10C,10D,10C',10D',10C",10D"において、物理乱数発生器12に代え、擬似乱数発生器11,11′,11″,11a;21,21′,21″,21aとは別個の擬似乱数発生器(暗号鍵固定;図示略)を用いることにより、高価な物理乱数発生器を用いる必要がなくなり暗号化装置10,10A,10B,10C,10D,10C',10D',10C",10D"を安価に構成することが可能になるほか、完全にソフトウエアだけによる実装が可能になるという利点が得られる。
また、図17に示す乱数発生器18は、擬似乱数発生器11,11′,11″,11a;21,21′,21″,21aとは別個の擬似乱数発生器11bと、物理乱数発生器12aとをそなえて構成されている。擬似乱数発生器(第2の擬似乱数生成部,変調用擬似乱数生成部)11bは、暗号鍵Kbに基づいて、上述した物理乱数fiに代わる擬似乱数(第2の擬似乱数)fi′を生成して出力するものであり、物理乱数発生器(物理乱数生成部)12aは、上述した物理乱数発生器12と同様、物理現象に基づく物理乱数fjを生成するものである。そして、擬似乱数発生器11bの暗号鍵Kbは、物理乱数発生器12aによって生成された物理乱数fjによって決定される値に、定期的もしくは不定期に変更されるように構成されている。このとき、暗号鍵Kbを変更するタイミングを物理乱数発生器の出力値によって決定するように構成してもよい。
暗号化装置10においては物理乱数発生器12により1ビットの平文xiに対し1ビットの物理乱数fiを生成する必要があるため、高速動作可能な物理乱数発生器を用いる必要があるが、乱数発生器18における物理乱数発生器12aとしては第1実施形態のものよりも低速動作のものを用いることができる。前述した通り、高速動作可能な物理乱数発生器は高価であるが、低速動作の物理乱数発生器は低価格であるので、物理乱数発生器12に代えて図17に示す乱数発生器18を用いた場合には、安全性(暗号強度)を大きく落とすことなく、本発明の暗号化装置を、より安価に構成することが可能になる。
また、例えばパーソナルコンピュータ等を利用して本発明の暗号化装置を実現する場合には、「ある時刻にマウスポインタが指す画面上の位置」などのデータを暗号鍵として動作する擬似乱数発生器を、物理乱数発生器12に代えて用いれば、高価な物理乱数発生器を搭載することなく、物理乱数発生器を用いた場合とほぼ同等の暗号強度(安全性)を確保した暗号化装置を実現することが可能である。
一方、上述した本発明の第4実施形態の暗号化/暗号復号化技術を用いることにより、コンテンツの再生回数と課金との関係を明確にした、光ディスク等の記録媒体によるコンテンツ配給サービスを提供することが可能になる。
例えば、コンテンツ配給者が、利用者に対する課金を行ない、コンテンツを光ディスクに記録して利用者に提供する場合、コンテンツ配給者は、例えば暗号化装置10Dを光ディスクへのコンテンツ記録装置として用いる一方、利用者は、例えば暗号復号化装置20Dを光ディスク再生装置(プレーヤ)として用いる。なお、その際、第4実施形態のパケットが、一枚の光ディスクに記録されるコンテンツに対応するものとして取り扱う。
より具体的に説明すると、コンテンツ提供者は、コンテンツを暗号化装置10Dにより変調して得られた暗号化コンテンツを光ディスクの暗号化領域に記録するとともに、その光ディスクディスク表面のラベルまたは光ディスクの非暗号化領域に、識別番号(暗号鍵と一対一に対応するが暗号鍵を推定できない文字列)と、擬似乱数出力回数(もしくは何枚目の光ディスクであるかを示す情報)とを書き込み、その光ディスクを利用者に提供する。
このとき、識別番号としては、例えば識別番号用ROM31に保持された識別番号(ID番号)が読み出されて上記非暗号化領域に書き込まれる。また、擬似乱数出力回数としては、提供すべきコンテンツの最初のデータxiを変調部13で変調する際に用いられる変調用擬似乱数riの、擬似乱数発生器11からの出力回数(何番目の擬似乱数であるかを示す数値)が、カウンタ33(不揮発性メモリ34)から読み出されて上記非暗号化領域に書き込まれる。また、光ディスクの暗号化領域には、上述した暗号化コンテンツのほか、上記擬似乱数出力回数も埋め込まれている。その埋め込み位置は、第4実施形態と同様、擬似乱数発生器11によって生成される擬似乱数を用いてスクランブルされることが望ましい。
そして、利用者は、コンテンツ配給者から光ディスクを受け取ると、その光ディスクの内容(コンテンツ)を暗号復号化装置20Dにより復調して再生する。光ディスクの再生を開始する際、暗号復号化装置20Dは、非暗号化領域に書き込まれた擬似乱数出力回数を読み取り、光ディスクの枚数の抜けが有る場合、例えば複数枚の光ディスクを所定順序で再生する場合にその順序の通り再生せず1枚以上の光ディスクを飛ばして再生しようたした場合などには、利用者に対して「警告」を発する。
利用者がその「警告」に応じて、光ディスクを正しいものに替えた場合、暗号復号化装置20Dは、出力回数の確認を再度行なって再生を開始する。また、利用者が「警告」を参照した上、1枚以上の光ディスクを飛ばして再生することに同意した場合、暗号復号化装置20Dは、例えば出力回数調整部54の機能を用い、不揮発性メモリ44に対する出力回数の設定、あるいは、擬似乱数発生器21に対するクロック信号の空打ちを行なうことにより、擬似乱数発生器21から復調部22に出力される復調用擬似乱数riの出力回数を、次に再生されるべき光ディスクについての出力回数となるように調整する。これにより、変調用擬似乱数と復調用擬似乱数との対応関係を常に保持しながら、次の光ディスクにおける暗号化コンテンツを正しく復調することが可能になる。ただし、暗号復号化装置20Dの擬似乱数発生器21は、復調用擬似乱数riの生成動作のリセットおよび繰り返しを禁止するように構成されているので、飛ばされた光ディスクの暗号化コンテンツは再生することはできなくなる。
このとき、前述した通り、暗号復号化装置20Dの擬似乱数発生器21は、復調用擬似乱数riの生成動作のリセットおよび繰り返しを禁止するように構成されているので、利用者は、光ディスクのコンテンツを一度再生すると、そのコンテンツを二度と再生することができなくなる。このため、利用者が、所望のコンテンツを複数回再生することを望む場合には、コンテンツ提供者に再生回数に応じた料金を支払い、その再生回数だけ、コンテンツを繰り返し変調して暗号化コンテンツとして光ディスクに記録する。従って、コンテンツ提供者は、コンテンツの再生回数と課金との関係を明確にして、利用者に対して再生回数に応じた課金を確実に行なうことが可能になる。
なお、暗号復号化装置20Dは、光ディスクの再生を開始する際、第4実施形態とほぼ同様に、復調して暗号化領域から取り出された出力回数と、非暗号化領域に書き込まれた出力回数とを比較し、これらの出力回数が不一致の場合、光ディスクの内容に対し何らかの改竄が施されているものと認識して、その光ディスクの再生を禁止するように構成してもよい。
また、コンテンツ再生装置として用いられる暗号復号化装置20Dの耐タンパ領域60内に、暗号復号化されたデジタル信号を、さらに画像信号や音声信号にアナログ変換するための再生装置を内包すれば、暗号復号化装置20Dの耐タンパ領域60から出力される再生信号をアナログ信号とすることができるので、デジタル再生信号の複製を抑止することができ効果的である。
〔16〕その他
上述した暗号化装置10,10A〜10D,10C',10D',10C",10D"における擬似乱数発生器11,物理乱数発生器12,変調部13,15,通信路符号化部14,カウンタ33,組込み部35およびパケット化部36としての機能(全部もしくは一部の機能)や、上述した暗号復号化装置20,20A〜20D,20C',20D',20C",20D"における通信路符号復号化部23,擬似乱数発生器21,復調部22,24,カウンタ43,並べ替え部46,取出し部47,比較部48,パケット消失判断部49,パケット破棄部50および出力回数調整部54としての機能(全部もしくは一部の機能)や、上述した通信装置1a,1bにおける送受信部52および同期調整部53としての機能(全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(暗号化プログラム/暗号復号化プログラム)を実行することによって実現される。
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体からプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウエアを動作させるような場合には、そのハードウエア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とをそなえている。上記の暗号化プログラムもしくは暗号復号化プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、擬似乱数発生器11,物理乱数発生器12,変調部13,15,通信路符号化部14,カウンタ33,組込み部35およびパケット化部36,擬似乱数発生器21,通信路符号復号化部23,復調部22,24,カウンタ43,並べ替え部46,取出し部47,比較部48,パケット消失判断部49,パケット破棄部50,送受信部52,同期調整部53および出力回数調整部54としての機能(全部もしくは一部の機能)を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
〔17〕付記
(付記1)
1ビットの入力データを擬似乱数、および物理乱数により定まる、少なくとも2ビットの離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップと、
前記符号化信号を通信路符号化し暗号化データとして出力する通信路符号化ステップとを有し、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、
ことを特徴とする、暗号化方法。
(付記2)
1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップを有し、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられており、
前記変調ステップは、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4として前記符号化信号を生成する、
ことを特徴とする、暗号化方法。
(付記3)
前記物理乱数として、物理乱数によって決定される値に定期的もしくは不定期に変更される暗号鍵に基づいて生成される第2の擬似乱数を用いることを特徴とする、付記1または付記2に記載の暗号化方法。
(付記4)
1ビットの入力データを擬似乱数、および物理乱数により定まる、少なくとも2ビットの離散値に対応させる変調を行なって得られた出力を、所望の符号語に通信路符号化して得られる暗号化データであって、
前記変調に際して、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、暗号化データを、通信路符号復号化して復号信号にするステップを含み、前記変調に用いられた前記擬似乱数を生成した暗号鍵と同一の暗号鍵に基づく擬似乱数により、前記復号信号を前記入力データに復調する、
ことを特徴とする、暗号復号化方法。
(付記5)
1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる変調を行なって得られた符号化信号であって、
前記変調に際して、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4とし、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、符号化信号を、
前記変調に用いられた前記擬似乱数を生成した暗号鍵と同一の暗号鍵に基づく擬似乱数により、前記入力データに復調することを特徴とする、暗号復号化方法。
(付記6)
暗号鍵に基づく擬似乱数を生成する擬似乱数生成部と、
物理現象に基づく物理乱数を生成する物理乱数生成部と、
1ビットの入力データを擬似乱数、および物理乱数により定まる、少なくとも2ビットの離散値に対応させる変調を行なって符号化信号を得る変調部と、
前記変調部の出力を所望の符号語に通信路符号化し、暗号化データとして出力する通信路符号化部とをそなえ、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、
ことを特徴とする、暗号化装置。
(付記7)
暗号鍵に基づく擬似乱数を生成する擬似乱数生成部と、
物理現象に基づく物理乱数を生成する物理乱数生成部と、
1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる変調を行なって符号化信号を得る変調部とをそなえ、
前記変調部が、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の
状態数を4とし、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、
ことを特徴とする、暗号化装置。
(付記8)
1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップを有し、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられており、
前記変調ステップは、前記擬似乱数の状態を0,1,2,3の4状態のうちの一つとし、前記物理乱数の状態を0,1の2状態のうちの一つとし、前記離散値の状態を0,1,2,3の4状態のうちの一つとして、前記符号化信号を生成し、
前記入力データ1ビット毎に付与された通し番号をiとし、入力データ、擬似乱数、物理乱数、および離散値の組合せパターンに割り振られた番号をk(kは0から15までの整数)とし、前記入力データをxk,iとし、前記擬似乱数をrk,iとし、前記物理乱数をfk,iとし、前記離散値をsk,iとし、kが0から7までのいずれか一つの整数であるとき前記入力データxk,i=0、kが8から15までのいずれか一つの整数であるとき前記入力データxk,i=1、kが0,1,8,9のいずれか一つの整数であるとき前記擬似乱数rk,i=0、kが2,3,10,11のいずれか一つの整数であるとき前記擬似乱数rk,i=1、kが4,5,12,13のいずれか一つの整数であるとき前記擬似乱数rk,i=2、kが6,7,14,15のいずれか一つの整数であるとき前記擬似乱数rk,i=3、kが偶数であるとき前記物理乱数fk,i=0、kが奇数であるとき前記物理乱数fk,i=1とした場合、前記離散値sk,iの代表組み合わせSj=(s0,i,s1,i,s2,i,s3,i,s4,i,s5,i,s6,i,s7,i,s8,i,s9,i,s10,i,s11,i,s12,i,s13,i,s14,i,s15,i)(jは1から6までの整数)が、
1=(0,1,0,1,2,3,2,3,2,3,2,3,0,1,0,1)
2=(0,1,0,2,1,3,2,3,2,3,1,3,0,2,0,1)
3=(0,1,0,3,1,2,2,3,2,3,1,2,0,3,0,1)
4=(0,2,0,2,1,3,1,3,1,3,1,3,0,2,0,2)
5=(0,2,0,3,1,2,1,3,1,3,1,2,0,3,0,2)
6=(0,3,0,3,1,2,1,2,1,2,1,2,0,3,0,3)
であり、
前記変調ステップは、上記6種類の代表組み合わせS1〜S6のうちのいずれか一つを用いて前記符号化信号を生成する、
ことを特徴とする、暗号化方法。
(付記9)
0から3までのいずれか一つの整数としてそれぞれ与えられる2つの数値をu,vと定義するとともに、0から3までの整数のうち前記数値u,vのいずれにも選ばれなかった整数として与えられる数値をwと定義し、
前記変調ステップは、上記6種類の代表組み合わせSjのそれぞれにおける前記離散値sk,iについて、
s'2u,i=s2v,i
s'2u+1,i=s2v+1,i
s'2u+8,i=s2v+8,i
s'2u+9,i=s2v+9,i
s'2w,i=s2w,i
s'2w+1,i=s2w+1,i
s'2w+8,i=s2w+8,i
s'2w+9,i=s2w+9,i
となる入れ替えを行なって得られた組み合わせS'j=(s'0,i,s'1,i,s'2,i,s'3,i,s'4,i,s'5,i,s'6,i,s'7,i,s'8,i,s'9,i,s'10,i,s'11,i,s'12,i,s'13,i,s'14,i,s'15,i)を用いて前記符号化信号を生成する、
ことを特徴とする、付記8記載の暗号化方法。
(付記10)
0から7までの整数として与えられる数値をmと定義するとともに、0から7までの整数のうち前記数値mに選ばれなかった整数として与えられる数値をnと定義し、
前記変調ステップは、上記6種類の代表組み合わせS'jのそれぞれにおける前記離散値s'k,iについて、
s"2m+1,i=s'2m,i
s"2m,i=s'2m+1,i
s"2n,i=s'2n,i
s"2n+1,i=s'2n+1,i
となる入れ替えを行なって得られた組み合わせS"j=(s"0,i,s"1,i,s"2,i,s"3,i,s"4,i,s"5,i,s"6,i,s"7,i,s"8,i,s"9,i,s"10,i,s"11,i,s"12,i,s"13,i,s"14,i,s"15,i)を用いて前記符号化信号を生成する、
ことを特徴とする、付記9記載の暗号化方法。
(付記11)
前記擬似乱数生成部、前記物理乱数生成部、および前記変調部は、前記暗号鍵および前記擬似乱数の漏洩を抑止するとともに、前記物理乱数生成部によって生成される物理乱数の、物理的擾乱による確率分布変動を抑止する、耐タンパ領域に配置されていることを特徴とする、付記6または付記7記載の暗号化装置。
(付記12)
前記擬似乱数生成部は、前記擬似乱数の生成動作のリセットおよび繰り返しを禁止するように構成されていることを特徴とする、付記11記載の暗号化装置。
(付記13)
前記擬似乱数生成部に前記擬似乱数の生成動作を実行させるクロック信号の入力回数を前記擬似乱数の出力回数として保持し、前記耐タンパ領域外からの命令に応じて前記出力回数を前記耐タンパ領域外へ出力する、不揮発性の擬似乱数出力回数保持部と、
前記擬似乱数生成部による擬似乱数生成動作と、前記符号化信号の送信先通信装置における暗号復号化装置の復調用擬似乱数生成部による復調用擬似乱数生成動作とを同期させるために、前記擬似乱数出力回数保持部から読み出された前記出力回数に基づいて、前記擬似乱数生成部からの前記擬似乱数の出力回数を調整する同期調整部とをそなえた、
ことを特徴とする、付記12記載の暗号化装置。
(付記14)
前記送信先通信装置と同一の乱数表を保持する、不揮発性の乱数表保持部と、
前記擬似乱数出力回数保持部から読み出された前記擬似乱数の出力回数を、前記乱数表保持部に保持された前記乱数表に基づいて暗号化し暗号化同期情報として前記送信先通信装置に送信する暗号送信部と、
前記送信先通信装置から受信した暗号化同期情報を、前記乱数表保持部に保持された前記乱数表に基づいて復調用擬似乱数の出力回数に復号化する復号受信部とをそなえ、
前記同期調整部は、前記復号受信部によって復号化された、前記送信先通信装置側の前記復調用擬似乱数の出力回数が、前記擬似乱数出力回数保持部から読み出された前記擬似乱数の出力回数よりも大きい場合、前記擬似乱数生成部からの前記擬似乱数の出力回数を前記送信先通信装置側の前記復調用擬似乱数の出力回数に合わせるように調整することを特徴とする、付記13記載の暗号化装置。
(付記15)
1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる変調を行なって得られた符号化信号であって、
前記変調に際して、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4とし、
1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、符号化信号を、前記入力データに復調する暗号復号化装置であって、
前記変調に用いられた前記擬似乱数を生成した暗号鍵と同一の暗号鍵に基づく復調用擬似乱数を生成する復調用擬似乱数生成部と、
該復調用擬似乱数生成部によって生成された擬似乱数により、前記符号化信号を前記入力データに復調する復調部とをそなえた、
ことを特徴とする、暗号復号化装置。
(付記16)
前記復調用擬似乱数生成部および前記復調部は、前記暗号鍵および前記復調用擬似乱数の漏洩を防止する耐タンパ領域に配置されていることを特徴とする、付記15記載の暗号復号化装置。
(付記17)
前記復調用擬似乱数生成部は、前記復調用擬似乱数の生成動作のリセットおよび繰り返しを禁止するように構成されていることを特徴とする、付記16記載の暗号復号化装置。
(付記18)
前記復調用擬似乱数生成部に前記復調用擬似乱数の生成動作を実行させるクロック信号の入力回数を前記復調用擬似乱数の出力回数として保持し、前記耐タンパ領域外からの命令に応じて前記出力回数を前記耐タンパ領域外へ出力する、不揮発性の復調用擬似乱数出力回数保持部と、
前記復調用擬似乱数生成部による復調用擬似乱数生成動作と、前記符号化信号の送信元通信装置における暗号化装置の擬似乱数生成部による擬似乱数生成動作とを同期させるために、前記復調用擬似乱数出力回数保持部から読み出された前記出力回数に基づいて、前記復調用擬似乱数生成部からの前記復調用擬似乱数の出力回数を調整する同期調整部とをそなえた、
ことを特徴とする、付記17記載の暗号復号化装置。
(付記19)
前記送信元通信装置と同一の乱数表を保持する、不揮発性の乱数表保持部と、
前記復調用擬似乱数出力回数保持部から読み出された前記復調用擬似乱数の出力回数を、前記乱数表保持部に保持された前記乱数表に基づいて暗号化し暗号化同期情報として前記送信元通信装置に送信する暗号送信部と、
前記送信元通信装置から受信した暗号化同期情報を、前記乱数表保持部に保持された前記乱数表に基づいて擬似乱数の出力回数に復号化する復号受信部とをそなえ、
前記同期調整部は、前記復号受信部によって復号化された、前記送信元通信装置側の前記擬似乱数の出力回数が、前記復調用擬似乱数出力回数保持部から読み出された前記復調用擬似乱数の出力回数よりも大きい場合、前記復調用擬似乱数生成部からの前記復調用擬似乱数の出力回数を前記送信元通信装置側の前記擬似乱数の出力回数に合わせるように調整することを特徴とする、付記18記載の暗号復号化装置。
(付記20)
付記6,付記7,付記11〜付記14のいずれか一項に記載の暗号化装置であって、前記符号化信号の送信元通信装置にそなえられ、前記符号化信号を送信先通信装置に複数のパケットとして送信する暗号化装置と、
付記15〜付記19のいずれか一項に記載の暗号復号化装置であって、前記符号化信号の送信先通信装置にそなえられ、前記送信元通信装置の前記暗号化装置から受信した各パケットにおける前記符号化信号を前記入力データに復調する暗号復号化装置とをそなえ、
前記暗号化装置から前記暗号復号化装置に送信される各パケットのヘッダ部に、前記複数のパケットについての通し番号、または、各パケットのコンテナ部における前記符号化信号の変調時に用いられた前記擬似乱数の出力回数が記述され、
前記暗号復号化装置は、
前記暗号化装置からの前記複数のパケットを保持するパケット保持部と、
前記パケット保持部に保持された前記複数のパケットを、各パケットのヘッダ部に記述された前記通し番号または前記出力回数に従う順序に並べ替えて前記復調部に入力する並べ替え部とをそなえている、
ことを特徴とする、通信システム。
(付記21)
前記暗号化装置から前記暗号復号化装置に送信される各パケットのコンテナ部における前記符号化信号に、前記通し番号または前記出力回数が含まれ、
前記暗号復号化装置は、
各パケットのヘッダ部に記述された前記通し番号または前記出力回数と、前記復調部による前記符号化信号の復調結果に含まれる前記通し番号または前記出力回数とを比較する第1比較部と、
前記第1比較部による比較の結果、これらの通し番号または出力回数が不一致であった場合、当該パケットを破棄するパケット破棄部とをそなえている、
ことを特徴とする、付記20記載の通信システム。
(付記22)
前記暗号化装置から前記暗号復号化装置に送信される各パケットのコンテナ部における前記符号化信号に、当該パケットについて固有の認証コードとして、前記擬似乱数生成部によって生成された擬似乱数列が含まれ、
前記暗号復号化装置は、
前記復調部による前記符号化信号の復調結果に含まれる前記認証コードと、前記復調用擬似乱数生成部によって生成された、当該認証コードに対応する復調用擬似乱数列とを比較する第2比較部と、
前記第2比較部による比較の結果、これらの認証コードが不一致であった場合、当該パケットを破棄するパケット破棄部とをそなえている、
ことを特徴とする、付記20または付記21に記載の通信システム。
(付記23)
前記暗号復号化装置は、
前記複数のパケットのうちの一つを受信した後に、前記通し番号または前記出力回数に従って次に受信すべきパケットが所定時間以内に受信されない場合、当該パケットが消失したものと判断するパケット消失判断部と、
前記パケット破棄部によってパケットを破棄した場合、もしくは、前記パケット消失判断部によってパケットが消失したものと判断された場合、前記復調用擬似乱数生成部からの前記復調用擬似乱数の出力回数を、破棄されたパケットもしくは消失したと判断されたパケットの次に正常に受信されたパケットにおける前記通し番号または前記出力回数に応じた出力回数に合わせるように調整する出力回数調整部とをそなえている、
ことを特徴とする、付記21または付記22に記載の通信システム。
(付記24)
前記暗号化装置は、
前記パケット毎に含まれる前記通し番号または前記出力回数または前記認証コードの、各パケットの前記コンテナ部における格納位置を、前記擬似乱数生成部によって生成された前記擬似乱数に基づいて決定し、決定された当該格納位置に前記通し番号または前記出力回数または前記認証コードが配置されるように、前記通し番号または前記出力回数または前記認証コードを前記入力データに組み込む組込み部をそなえるとともに、
前記暗号復号化装置は、
前記復調用擬似乱数生成部によって生成された前記復調用擬似乱数に基づいて、前記復調部による復調結果から前記通し番号または前記出力回数または前記認証コードを取り出す取出し部をそなえている、
ことを特徴とする、付記21または付記22に記載の通信システム。
以上のように、本発明によれば、暗号化データに物理乱数による不規則な対応付けを付与して既知平文攻撃に対して高い安全性を保証しながら、正規受信者側では物理乱数を用いることなく擬似乱数のみで暗号化データを暗号復号化することが可能になる。このとき、本発明の暗号技術は符号により実現されるので、電波通信や電気通信において使用可能で且つ電気的なメモリや各種記録媒体にデータ保存可能であり、雑音の影響を受けることがなく、さらには通信速度への影響を最小にすることのできる暗号技術を提供できる。従って、本発明は、情報を暗号化して送受信するシステムに用いて好適であり、その有用性は極めて高いものと考えられる。
本発明の第1実施形態としての暗号化装置の構成を示すブロック図である。 本発明の第1実施形態としての暗号復号化装置の構成を示すブロック図である。 擬似乱数の状態数が2かつ物理乱数の状態数が2かつ変調出力(離散値)の状態数が2である場合(2−2−2型)の変調用3変数関数(エンコード表)の例を示す図である。 擬似乱数の状態数が2かつ物理乱数の状態数が2かつ変調出力(離散値)の状態数が4である場合(2−2−4型)の変調用3変数関数(エンコード表)の例を示す図である。 擬似乱数の状態数が4かつ物理乱数の状態数が2かつ変調出力(離散値)の状態数が4である場合(4−2−4型)の変調用3変数関数(エンコード表)の例を示す図である。 (A)は図5に示す出力の例(1)についてのエンコード表を示す図、(B)は(A)に示すエンコード表に対応するデコード表(復調用2変数関数)を示す図、(C)は(B)に示すデコード表を2進数に書き換えて示す図である。 (A)は図5に示す出力の例(7)についてのエンコード表を示す図、(B)は(A)に示すエンコード表に対応するデコード表(復調用2変数関数)を示す図、(C)は(B)に示すデコード表を2進数に書き換えて示す図である。 図6(A)に示すエンコード表について平文と擬似乱数と物理乱数と出力との対応関係を図式化して示す図である。 図7(A)に示すエンコード表について平文と擬似乱数と物理乱数と出力との対応関係を図式化して示す図である。 擬似乱数の状態数が8かつ物理乱数の状態数が2かつ変調出力(離散値)の状態数が4である場合(8−2−4型)の変調用3変数関数(エンコード表)の例を示す図である。 本発明の第2実施形態としての暗号化装置の構成を示すブロック図である。 本発明の第2実施形態としての暗号復号化装置の構成を示すブロック図である。 図11に示す暗号化装置による暗号化動作を具体的に説明するための図である。 第2実施形態の暗号化装置の変形例の構成を示すブロック図である。 第2実施形態の暗号復号化装置の変形例の構成を示すブロック図である。 図14に示す暗号化装置による暗号化動作を具体的に説明するための図である。 本実施形態において物理乱数発生器に代えて用いられる乱数発生器の構成を示すブロック図である。 ストリーム暗号を適用された一般的な送受信システムの構成を示すブロック図である。 Y−00方式量子暗号について説明するための図である。 擬似乱数の状態数が4かつ物理乱数の状態数が2かつ変調出力(離散値)の状態数が4である場合(4−2−4型)の変調用3変数関数(エンコード表)の全ての例を説明するための図である。 本発明の第3および第4実施形態としての通信システムの全体構成を示すブロック図である。 本発明の第3実施形態としての暗号化装置の構成を示すブロック図である。 本発明の第3実施形態としての暗号復号化装置の構成を示すブロック図である。 本発明の第4実施形態としての暗号化装置の構成を示すブロック図である。 本発明の第4実施形態としての暗号復号化装置の構成を示すブロック図である。 (A)は第4実施形態における認証コードおよび出力回数の入力データ(平文)への組込み例を示す図、(B)は(A)に示す入力データ(平文)をパケット化した例を示す図である。 本発明の第5および第6実施形態としての通信システムの全体構成を示すブロック図である。 本発明の第5実施形態としての暗号化装置の構成を示すブロック図である。 本発明の第5実施形態としての暗号復号化装置の構成を示すブロック図である。 本発明の第6実施形態としての暗号化装置の構成を示すブロック図である。 本発明の第6実施形態としての暗号復号化装置の構成を示すブロック図である。 本発明の第7および第8実施形態としての通信システムの全体構成を示すブロック図である。 本発明の第7実施形態としての暗号化装置の構成を示すブロック図である。 本発明の第7実施形態としての暗号復号化装置の構成を示すブロック図である。 本発明の第8実施形態としての暗号化装置の構成を示すブロック図である。 本発明の第8実施形態としての暗号復号化装置の構成を示すブロック図である。
符号の説明
1,1A,1',1A',1",1A" 通信システム
1a,1b,1a',1b',1a",1b" 通信装置(送信先通信装置/送信元通信装置)
10,10A,10B,10C,10D,10C',10D',10C",10D" 暗号化装置
11,11′,11″,11a,11b 擬似乱数発生器(擬似乱数生成部,変調用擬似乱数生成部)
12,12a 物理乱数発生器(物理乱数生成部)
13,15 変調部
14 通信路符号化部
16 切替制御部
17a,17b スイッチ
18 乱数発生器
20,20A,20B,20C,20D,20C',20D',20C",20D" 暗号復号化装置
21,21′,21″,21a 擬似乱数発生器(擬似乱数生成部,復調用擬似乱数生成部)
22,24 復調部
23 通信路符号復号化部
25 切替制御部
26a,26b スイッチ
31 識別番号用ROM
32 暗号鍵用ROM
33 カウンタ
34 不揮発性メモリ(変調用擬似乱数出力回数保持部)
35 組込み部
36 パケット化部
41 識別番号用ROM
42 暗号鍵用ROM
43 カウンタ
44 不揮発性メモリ(復調用擬似乱数出力回数保持部)
45 FIFOメモリ(パケット保持部)
46 並べ替え部
47 取出し部
48 比較部(第1比較部,第2比較部)
49 パケット消失判断部
50 パケット破棄部
51 不揮発性メモリ(乱数表保持部)
52 送受信部
52A 送受信部(暗号送信部/復号受信部)
53 同期調整部
54 出力回数調整部
60 耐タンパ領域
100 送受信システム
110 暗号化装置
111 擬似乱数発生器
112 変調部(排他的論理和生成器)
120 暗号復号化装置
121 擬似乱数発生器
122 復調部(排他的論理和生成器)

Claims (20)

  1. 1ビットの入力データを擬似乱数、および物理乱数により定まる、少なくとも2ビットの離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップと、
    前記符号化信号を通信路符号化し暗号化データとして出力する通信路符号化ステップとを有し、
    1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
    2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
    3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、
    ことを特徴とする、暗号化方法。
  2. 1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップを有し、
    1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
    2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
    3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられており、
    前記変調ステップは、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4として前記符号化信号を生成する、
    ことを特徴とする、暗号化方法。
  3. 前記物理乱数として、物理乱数によって決定される値に定期的もしくは不定期に変更される暗号鍵に基づいて生成される第2の擬似乱数を用いることを特徴とする、請求項1または請求項2に記載の暗号化方法。
  4. 1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる変調を行なって得られた符号化信号であって、
    前記変調に際して、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4とし、
    1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
    2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
    3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、符号化信号を、
    前記変調に用いられた前記擬似乱数を生成した暗号鍵と同一の暗号鍵に基づく擬似乱数により、前記入力データに復調する、
    ことを特徴とする、暗号復号化方法。
  5. 暗号鍵に基づく擬似乱数を生成する擬似乱数生成部と、
    物理現象に基づく物理乱数を生成する物理乱数生成部と、
    1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる変調を行なって符号化信号を得る変調部とをそなえ、
    前記変調部が、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4とし、
    1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
    2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
    3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、
    ことを特徴とする、暗号化装置。
  6. 1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させ、前記入力データを変調し符号化信号を生成する変調ステップを有し、
    1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
    2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
    3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられており、
    前記変調ステップは、前記擬似乱数の状態を0,1,2,3の4状態のうちの一つとし、前記物理乱数の状態を0,1の2状態のうちの一つとし、前記離散値の状態を0,1,2,3の4状態のうちの一つとして、前記符号化信号を生成し、
    前記入力データ1ビット毎に付与された通し番号をiとし、入力データ、擬似乱数、物理乱数、および離散値の組合せパターンに割り振られた番号をk(kは0から15までの整数)とし、前記入力データをxk,iとし、前記擬似乱数をrk,iとし、前記物理乱数をfk,iとし、前記離散値をsk,iとし、kが0から7までのいずれか一つの整数であるとき前記入力データxk,i=0、kが8から15までのいずれか一つの整数であるとき前記入力データxk,i=1、kが0,1,8,9のいずれか一つの整数であるとき前記擬似乱数rk,i=0、kが2,3,10,11のいずれか一つの整数であるとき前記擬似乱数rk,i=1、kが4,5,12,13のいずれか一つの整数であるとき前記擬似乱数rk,i=2、kが6,7,14,15のいずれか一つの整数であるとき前記擬似乱数rk,i=3、kが偶数であるとき前記物理乱数fk,i=0、kが奇数であるとき前記物理乱数fk,i=1とした場合、前記離散値sk,iの代表組み合わせSj=(s0,i,s1,i,s2,i,s3,i,s4,i,s5,i,s6,i,s7,i,s8,i,s9,i,s10,i,s11,i,s12,i,s13,i,s14,i,s15,i)(jは1から6までの整数)が、
    1=(0,1,0,1,2,3,2,3,2,3,2,3,0,1,0,1)
    2=(0,1,0,2,1,3,2,3,2,3,1,3,0,2,0,1)
    3=(0,1,0,3,1,2,2,3,2,3,1,2,0,3,0,1)
    4=(0,2,0,2,1,3,1,3,1,3,1,3,0,2,0,2)
    5=(0,2,0,3,1,2,1,3,1,3,1,2,0,3,0,2)
    6=(0,3,0,3,1,2,1,2,1,2,1,2,0,3,0,3)
    であり、
    前記変調ステップは、上記6種類の代表組み合わせS1〜S6のうちのいずれか一つを用いて前記符号化信号を生成する、
    ことを特徴とする、暗号化方法。
  7. 0から3までのいずれか一つの整数としてそれぞれ与えられる2つの数値をu,vと定義するとともに、0から3までの整数のうち前記数値u,vのいずれにも選ばれなかった整数として与えられる数値をwと定義し、
    前記変調ステップは、上記6種類の代表組み合わせSjのそれぞれにおける前記離散値sk,iについて、
    s'2u,i=s2v,i
    s'2u+1,i=s2v+1,i
    s'2u+8,i=s2v+8,i
    s'2u+9,i=s2v+9,i
    s'2w,i=s2w,i
    s'2w+1,i=s2w+1,i
    s'2w+8,i=s2w+8,i
    s'2w+9,i=s2w+9,i
    となる入れ替えを行なって得られた組み合わせS'j=(s'0,i,s'1,i,s'2,i,s'3,i,s'4,i,s'5,i,s'6,i,s'7,i,s'8,i,s'9,i,s'10,i,s'11,i,s'12,i,s'13,i,s'14,i,s'15,i)を用いて前記符号化信号を生成する、
    ことを特徴とする、請求項6記載の暗号化方法。
  8. 0から7までの整数として与えられる数値をmと定義するとともに、0から7までの整数のうち前記数値mに選ばれなかった整数として与えられる数値をnと定義し、
    前記変調ステップは、上記6種類の代表組み合わせS'jのそれぞれにおける前記離散値s'k,iについて、
    s"2m+1,i=s'2m,i
    s"2m,i=s'2m+1,i
    s"2n,i=s'2n,i
    s"2n+1,i=s'2n+1,i
    となる入れ替えを行なって得られた組み合わせS"j=(s"0,i,s"1,i,s"2,i,s"3,i,s"4,i,s"5,i,s"6,i,s"7,i,s"8,i,s"9,i,s"10,i,s"11,i,s"12,i,s"13,i,s"14,i,s"15,i)を用いて前記符号化信号を生成する、
    ことを特徴とする、請求項7記載の暗号化方法。
  9. 前記擬似乱数生成部、前記物理乱数生成部、および前記変調部は、前記暗号鍵および前記擬似乱数の漏洩を抑止するとともに、前記物理乱数生成部によって生成される物理乱数の、物理的擾乱による確率分布変動を抑止する、耐タンパ領域に配置されていることを特徴とする、請求項5記載の暗号化装置。
  10. 前記擬似乱数生成部は、前記擬似乱数の生成動作のリセットおよび繰り返しを禁止するように構成されていることを特徴とする、請求項9記載の暗号化装置。
  11. 前記擬似乱数生成部に前記擬似乱数の生成動作を実行させるクロック信号の入力回数を前記擬似乱数の出力回数として保持し、前記耐タンパ領域外からの命令に応じて前記出力回数を前記耐タンパ領域外へ出力する、不揮発性の擬似乱数出力回数保持部と、
    前記擬似乱数生成部による擬似乱数生成動作と、前記符号化信号の送信先通信装置における暗号復号化装置の復調用擬似乱数生成部による復調用擬似乱数生成動作とを同期させるために、前記擬似乱数出力回数保持部から読み出された前記出力回数に基づいて、前記擬似乱数生成部からの前記擬似乱数の出力回数を調整する同期調整部とをそなえた、
    ことを特徴とする、請求項10記載の暗号化装置。
  12. 前記送信先通信装置と同一の乱数表を保持する、不揮発性の乱数表保持部と、
    前記擬似乱数出力回数保持部から読み出された前記擬似乱数の出力回数を、前記乱数表保持部に保持された前記乱数表に基づいて暗号化し暗号化同期情報として前記送信先通信装置に送信する暗号送信部と、
    前記送信先通信装置から受信した暗号化同期情報を、前記乱数表保持部に保持された前記乱数表に基づいて復調用擬似乱数の出力回数に復号化する復号受信部とをそなえ、
    前記同期調整部は、前記復号受信部によって復号化された、前記送信先通信装置側の前記復調用擬似乱数の出力回数が、前記擬似乱数出力回数保持部から読み出された前記擬似乱数の出力回数よりも大きい場合、前記擬似乱数生成部からの前記擬似乱数の出力回数を前記送信先通信装置側の前記復調用擬似乱数の出力回数に合わせるように調整することを特徴とする、請求項11記載の暗号化装置。
  13. 1ビットの入力データを擬似乱数、および物理乱数により定まる離散値に対応させる変調を行なって得られた符号化信号であって、
    前記変調に際して、前記擬似乱数の状態数を4、前記物理乱数の状態数を2、前記離散値の状態数を4とし、
    1)前記符号化信号は前記擬似乱数により前記入力データに復調可能であり、
    2)前記離散値の特定の値に対応する前記入力データ、前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データの2値それぞれに対して数が等しく、
    3)前記入力データのそれぞれの値と前記離散値のそれぞれの値に対応する前記擬似乱数、および前記物理乱数の組み合わせの数は、前記入力データおよび前記離散値のいずれの組み合わせに対しても等しく対応付けられている、符号化信号を、前記入力データに復調する暗号復号化装置であって、
    前記変調に用いられた前記擬似乱数を生成した暗号鍵と同一の暗号鍵に基づく復調用擬似乱数を生成する復調用擬似乱数生成部と、
    該復調用擬似乱数生成部によって生成された擬似乱数により、前記符号化信号を前記入力データに復調する復調部とをそなえた、
    ことを特徴とする、暗号復号化装置。
  14. 前記復調用擬似乱数生成部および前記復調部は、前記暗号鍵および前記復調用擬似乱数の漏洩を防止する耐タンパ領域に配置されていることを特徴とする、請求項13記載の暗号復号化装置。
  15. 前記復調用擬似乱数生成部は、前記復調用擬似乱数の生成動作のリセットおよび繰り返しを禁止するように構成されていることを特徴とする、請求項14記載の暗号復号化装置。
  16. 前記復調用擬似乱数生成部に前記復調用擬似乱数の生成動作を実行させるクロック信号の入力回数を前記復調用擬似乱数の出力回数として保持し、前記耐タンパ領域外からの命令に応じて前記出力回数を前記耐タンパ領域外へ出力する、不揮発性の復調用擬似乱数出力回数保持部と、
    前記復調用擬似乱数生成部による復調用擬似乱数生成動作と、前記符号化信号の送信元通信装置における暗号化装置の擬似乱数生成部による擬似乱数生成動作とを同期させるために、前記復調用擬似乱数出力回数保持部から読み出された前記出力回数に基づいて、前記復調用擬似乱数生成部からの前記復調用擬似乱数の出力回数を調整する同期調整部とをそなえた、
    ことを特徴とする、請求項15記載の暗号復号化装置。
  17. 前記送信元通信装置と同一の乱数表を保持する、不揮発性の乱数表保持部と、
    前記復調用擬似乱数出力回数保持部から読み出された前記復調用擬似乱数の出力回数を、前記乱数表保持部に保持された前記乱数表に基づいて暗号化し暗号化同期情報として前記送信元通信装置に送信する暗号送信部と、
    前記送信元通信装置から受信した暗号化同期情報を、前記乱数表保持部に保持された前記乱数表に基づいて擬似乱数の出力回数に復号化する復号受信部とをそなえ、
    前記同期調整部は、前記復号受信部によって復号化された、前記送信元通信装置側の前記擬似乱数の出力回数が、前記復調用擬似乱数出力回数保持部から読み出された前記復調用擬似乱数の出力回数よりも大きい場合、前記復調用擬似乱数生成部からの前記復調用擬似乱数の出力回数を前記送信元通信装置側の前記擬似乱数の出力回数に合わせるように調整することを特徴とする、請求項16記載の暗号復号化装置。
  18. 請求項5,請求項9〜請求項12のいずれか一項に記載の暗号化装置であって、前記符号化信号の送信元通信装置にそなえられ、前記符号化信号を送信先通信装置に複数のパケットとして送信する暗号化装置と、
    請求項13〜請求項17のいずれか一項に記載の暗号復号化装置であって、前記符号化信号の送信先通信装置にそなえられ、前記送信元通信装置の前記暗号化装置から受信した各パケットにおける前記符号化信号を前記入力データに復調する暗号復号化装置とをそなえ、
    前記暗号化装置から前記暗号復号化装置に送信される各パケットのヘッダ部に、前記複数のパケットについての通し番号、または、各パケットのコンテナ部における前記符号化信号の変調時に用いられた前記擬似乱数の出力回数が記述され、
    前記暗号復号化装置は、
    前記暗号化装置からの前記複数のパケットを保持するパケット保持部と、
    前記パケット保持部に保持された前記複数のパケットを、各パケットのヘッダ部に記述された前記通し番号または前記出力回数に従う順序に並べ替えて前記復調部に入力する並べ替え部とをそなえている、
    ことを特徴とする、通信システム。
  19. 前記暗号化装置から前記暗号復号化装置に送信される各パケットのコンテナ部における前記符号化信号に、前記通し番号または前記出力回数が含まれ、
    前記暗号復号化装置は、
    各パケットのヘッダ部に記述された前記通し番号または前記出力回数と、前記復調部による前記符号化信号の復調結果に含まれる前記通し番号または前記出力回数とを比較する第1比較部と、
    前記第1比較部による比較の結果、これらの通し番号または出力回数が不一致であった場合、当該パケットを破棄するパケット破棄部とをそなえている、
    ことを特徴とする、請求項18記載の通信システム。
  20. 前記暗号化装置から前記暗号復号化装置に送信される各パケットのコンテナ部における前記符号化信号に、当該パケットについて固有の認証コードとして、前記擬似乱数生成部によって生成された擬似乱数列が含まれ、
    前記暗号復号化装置は、
    前記復調部による前記符号化信号の復調結果に含まれる前記認証コードと、前記復調用擬似乱数生成部によって生成された、当該認証コードに対応する復調用擬似乱数列とを比較する第2比較部と、
    前記第2比較部による比較の結果、これらの認証コードが不一致であった場合、当該パケットを破棄するパケット破棄部とをそなえている、
    ことを特徴とする、請求項18または請求項19に記載の通信システム。
JP2006027749A 2005-10-31 2006-02-03 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置および通信システム Active JP4829628B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006027749A JP4829628B2 (ja) 2005-10-31 2006-02-03 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置および通信システム
US11/439,367 US7471790B2 (en) 2005-10-31 2006-05-24 Encryption method, cryptogram decoding method, encryptor, cryptogram decoder, and communication system
EP06011085.5A EP1780934B1 (en) 2005-10-31 2006-05-30 Quantum cryptography encryption, decryption method apparatus and systems
CN200610093038.3A CN1959770B (zh) 2005-10-31 2006-06-19 加密方法、密文解码方法、加密器、密文解码器和通信系统

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2005317823 2005-10-31
JP2005317823 2005-10-31
JP2006027749A JP4829628B2 (ja) 2005-10-31 2006-02-03 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置および通信システム

Publications (2)

Publication Number Publication Date
JP2007148317A true JP2007148317A (ja) 2007-06-14
JP4829628B2 JP4829628B2 (ja) 2011-12-07

Family

ID=37636115

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006027749A Active JP4829628B2 (ja) 2005-10-31 2006-02-03 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置および通信システム

Country Status (4)

Country Link
US (1) US7471790B2 (ja)
EP (1) EP1780934B1 (ja)
JP (1) JP4829628B2 (ja)
CN (1) CN1959770B (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7813510B2 (en) * 2005-02-28 2010-10-12 Motorola, Inc Key management for group communications
US20060280307A1 (en) * 2005-06-10 2006-12-14 Tsuyoshi Ikushima Data transmission apparatus and data reception apparatus
US9191198B2 (en) 2005-06-16 2015-11-17 Hewlett-Packard Development Company, L.P. Method and device using one-time pad data
GB2427317B (en) * 2005-06-16 2010-05-19 Hewlett Packard Development Co Quantum key distribution apparatus & method
US8183980B2 (en) * 2005-08-31 2012-05-22 Assa Abloy Ab Device authentication using a unidirectional protocol
US7912215B2 (en) * 2006-02-07 2011-03-22 Panasonic Corporation Data transmission apparatus, data receiving apparatus and method executed thereof
GB2439771A (en) * 2006-07-05 2008-01-09 Qinetiq Ltd Clock controlled gating in quantum cryptography apparatus
JP4870495B2 (ja) * 2006-08-04 2012-02-08 パナソニック株式会社 データ送信装置
US7907670B2 (en) * 2006-08-23 2011-03-15 Panasonic Corporation Data transmitting apparatus and data receiving apparatus
US9846866B2 (en) * 2007-02-22 2017-12-19 First Data Corporation Processing of financial transactions using debit networks
JP4535119B2 (ja) * 2007-11-20 2010-09-01 沖電気工業株式会社 共通鍵生成システム、共通鍵生成方法及びそれを用いるノード
GB2457066A (en) * 2008-01-31 2009-08-05 Nec Corp Method of setting up radio bearers in a mobile communications system
WO2010019593A1 (en) 2008-08-11 2010-02-18 Assa Abloy Ab Secure wiegand communications
JP5170586B2 (ja) * 2010-10-08 2013-03-27 学校法人玉川学園 Yuen暗号用光送信装置及び受信装置、Yuen暗号光送信方法及び受信方法、並びに暗号通信システム
CN103221988B (zh) * 2010-10-26 2016-08-03 日本电信电话株式会社 代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法
CN103840937A (zh) * 2012-11-23 2014-06-04 许丰 虚拟量子加密系统
US20140270165A1 (en) * 2013-03-15 2014-09-18 Alexandre Andre DURAND Cryptographic system based on reproducible random sequences
JP6199385B2 (ja) * 2013-06-12 2017-09-20 株式会社日立製作所 高セキュリティ通信システム、並びにそれに用いる送信機及び受信機
KR102208226B1 (ko) * 2014-03-25 2021-01-27 한국전자통신연구원 송수신 방법 및 장치
CN105095795B (zh) * 2014-05-14 2020-04-17 国民技术股份有限公司 防探针攻击的芯片信号处理方法和处理系统
DE102015225651A1 (de) * 2015-12-17 2017-06-22 Robert Bosch Gmbh Verfahren und Vorrichtung zum Übertragen einer Software
EP3182638B1 (en) * 2015-12-18 2019-12-25 ID Quantique S.A. Apparatus and method for adding an entropy source to quantum key distribution systems
CN105516973B (zh) * 2016-01-21 2019-02-26 北京奇虎科技有限公司 基于RSSI隐秘通信的Zigbee初始密钥分配方法
US10452877B2 (en) 2016-12-16 2019-10-22 Assa Abloy Ab Methods to combine and auto-configure wiegand and RS485
CN106612176B (zh) * 2016-12-16 2019-09-24 中国电子科技集团公司第三十研究所 一种基于量子真随机数协商密钥协商系统及协商方法
CN107425958A (zh) * 2017-05-31 2017-12-01 中国科学院半导体研究所 保密通信装置及方法
CN108377182A (zh) * 2018-01-12 2018-08-07 电子科技大学 一种安全性强的rc4流密码生成装置及方法
CN109525560B (zh) * 2018-10-26 2020-09-25 北京捷安通科技有限公司 基于密文取非映射的信息传输方法和客户端

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0728407A (ja) * 1993-07-14 1995-01-31 Nec Corp 暗号における暗号化前処理装置および復号後処理装 置
JPH10327141A (ja) * 1997-05-08 1998-12-08 Internatl Business Mach Corp <Ibm> データ暗号化解読方法および装置
JPH1153173A (ja) * 1997-08-07 1999-02-26 Nec Corp 擬似乱数発生方法及び装置
JP2001344094A (ja) * 2000-05-31 2001-12-14 Ntt Electornics Corp 乱数発生回路
JP2002111660A (ja) * 2000-09-29 2002-04-12 Toshiba Corp 暗号通信方法及び暗号通信装置
JP2004164482A (ja) * 2002-11-15 2004-06-10 Sanyo Electric Co Ltd 乱数生成装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5515438A (en) * 1993-11-24 1996-05-07 International Business Machines Corporation Quantum key distribution using non-orthogonal macroscopic signals
FR2763193B1 (fr) 1997-05-06 1999-06-18 France Telecom Procede et dispositif de distribution quantique de cle de cryptage
GB2392063B (en) * 2002-05-31 2005-06-22 Corning Inc Method and apparatus for use in encrypted communications
JP3735591B2 (ja) 2002-06-18 2006-01-18 株式会社東芝 信号処理装置、信号処理方法、及び記憶媒体
US7403623B2 (en) 2002-07-05 2008-07-22 Universite Libre De Bruxelles High-rate quantum key distribution scheme relying on continuously phase and amplitude-modulated coherent light pulses
DE60220083T2 (de) * 2002-09-26 2008-01-10 Mitsubishi Denki K.K. Kryptographische Kommunikationsvorrichtung
US7620182B2 (en) * 2003-11-13 2009-11-17 Magiq Technologies, Inc. QKD with classical bit encryption
JP4200909B2 (ja) * 2004-01-29 2008-12-24 日本電気株式会社 乱数生成共有システム、暗号化通信装置及びそれらに用いる乱数生成共有方法
US7181011B2 (en) * 2004-05-24 2007-02-20 Magiq Technologies, Inc. Key bank systems and methods for QKD
JP4654649B2 (ja) * 2004-10-07 2011-03-23 ソニー株式会社 量子暗号通信方法、および量子暗号通信装置、並びに量子暗号通信システム
JP4124194B2 (ja) 2004-11-01 2008-07-23 日本電気株式会社 共有情報生成方法およびシステム
JP4912772B2 (ja) * 2005-09-22 2012-04-11 富士通株式会社 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置,送受信システムおよび通信システム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0728407A (ja) * 1993-07-14 1995-01-31 Nec Corp 暗号における暗号化前処理装置および復号後処理装 置
JPH10327141A (ja) * 1997-05-08 1998-12-08 Internatl Business Mach Corp <Ibm> データ暗号化解読方法および装置
JPH1153173A (ja) * 1997-08-07 1999-02-26 Nec Corp 擬似乱数発生方法及び装置
JP2001344094A (ja) * 2000-05-31 2001-12-14 Ntt Electornics Corp 乱数発生回路
JP2002111660A (ja) * 2000-09-29 2002-04-12 Toshiba Corp 暗号通信方法及び暗号通信装置
JP2004164482A (ja) * 2002-11-15 2004-06-10 Sanyo Electric Co Ltd 乱数生成装置

Also Published As

Publication number Publication date
US20070183593A1 (en) 2007-08-09
EP1780934A3 (en) 2007-07-11
CN1959770A (zh) 2007-05-09
CN1959770B (zh) 2011-04-13
JP4829628B2 (ja) 2011-12-07
EP1780934A2 (en) 2007-05-02
US7471790B2 (en) 2008-12-30
EP1780934B1 (en) 2017-03-22

Similar Documents

Publication Publication Date Title
JP4829628B2 (ja) 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置および通信システム
JP4912772B2 (ja) 暗号化方法,暗号復号化方法,暗号化装置,暗号復号化装置,送受信システムおよび通信システム
CN100555363C (zh) 加密方法、密码解码方法、加密器、密码解码器、发送/接收系统和通信系统
KR101205109B1 (ko) 메시지 인증 방법
CN100592683C (zh) 来自数字权利管理加密解密器的受保护的返回路径
US20060265595A1 (en) Cascading key encryption
US8719583B2 (en) Apparatus for verifying and for generating an encrypted token and methods for same
US5345507A (en) Secure message authentication for binary additive stream cipher systems
KR20050083566A (ko) 키공유 시스템, 공유키 생성장치 및 공유키 복원장치
KR20060020688A (ko) 개선된 안전 인증 채널
WO2005117411A1 (ja) 情報処理システムおよび方法、情報処理装置および方法、並びにプログラム
KR101365603B1 (ko) 조건부 인증 코드 삽입 방법 및 그 장치, 인증을 통한조건부 데이터 사용 방법 및 그 장치
EP1020856A2 (en) Data protection method using decryption key concealed in compliant mark
US6125183A (en) Cryptosystem for optical storage
JP4025283B2 (ja) 符号埋込方法、識別情報復元方法及び装置
WO2007043297A1 (ja) データ送信装置、及びデータ受信装置
CN108964910B (zh) 网络时间同步报文安全传输方法及装置
KR100608573B1 (ko) 데이터 복제방지 장치와 시스템 및 복제방지 방법
US20110066857A1 (en) Method for secure delivery of digital content
Kumar et al. A Secure Authentication System-Using Enhanced One Time Pad Technique
US20020196937A1 (en) Method for secure delivery of digital content
JP2001211159A (ja) コンテンツ情報復号化方法、コンテンツ情報復号化装置
Wang et al. Noise Modulation‐Based Reversible Data Hiding with McEliece Encryption
Jose et al. Comparative study on different reversible image data hiding techniques
WO2004054260A1 (en) Method and apparatus for secure delivery of data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080807

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110621

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110818

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110906

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110916

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140922

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4829628

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150