JP2008141368A - Encryption device, data distributor, and data storage device - Google Patents
Encryption device, data distributor, and data storage device Download PDFInfo
- Publication number
- JP2008141368A JP2008141368A JP2006324141A JP2006324141A JP2008141368A JP 2008141368 A JP2008141368 A JP 2008141368A JP 2006324141 A JP2006324141 A JP 2006324141A JP 2006324141 A JP2006324141 A JP 2006324141A JP 2008141368 A JP2008141368 A JP 2008141368A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- data
- ciphertext data
- key
- double
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
この発明は、平文データを暗号化して、その平文データから暗号文データを生成する暗号化装置と、暗号化装置により生成された暗号文データを配信するデータ配信装置と、暗号化装置により生成された暗号文データを蓄積するデータ蓄積装置とに関するものである。 The present invention is an encryption device that encrypts plaintext data and generates ciphertext data from the plaintext data, a data distribution device that distributes ciphertext data generated by the encryption device, and an encryption device. The present invention relates to a data storage device that stores encrypted text data.
どのようなデータでも、通信路を経由する配信や記憶媒体への記録を通じて、多数の複製が作られる可能性がある。
上記のようにデータが複製されても、そのデータが暗号化されていれば、直ちに平文データの流出に繋がる訳ではないが、万一、そのデータの暗号化を解除する際に用いる復号化鍵の流出や暗号の危殆化が発生すれば、平文データの取得が容易な状態になり、安全性の観点から好ましくない。
Any data can be copied in large numbers through distribution via a communication path or recording on a storage medium.
Even if the data is copied as described above, if the data is encrypted, the plaintext data will not be leaked immediately. However, in the unlikely event, the decryption key used to cancel the encryption of the data If data leakage or encryption compromise occurs, it becomes easy to obtain plaintext data, which is not preferable from the viewpoint of security.
そこで、暗号化装置がデータの配信や記録を行う毎に、暗号文データを再度暗号化すれば、同一の平文データであっても、毎回異なる暗号文データが生成されるため、攻撃が困難になり安全性が高まると考えられる(例えば、特許文献1参照)。
しかし、暗号化装置が二重に暗号化を行う場合、大きな処理コストがかかるため、多数のクライアントに対してデータ配信を行うサーバや、能力の限られた小型機器には搭載することが困難である。
Therefore, every time the encryption device distributes or records data, if the ciphertext data is re-encrypted, even if it is the same plaintext data, different ciphertext data is generated each time, making the attack difficult. Therefore, it is considered that safety is improved (for example, see Patent Document 1).
However, when the encryption device performs double encryption, it requires a large processing cost, so it is difficult to mount it on a server that distributes data to a large number of clients or small devices with limited capabilities. is there.
従来の暗号化装置は以上のように構成されているので、データの配信や記録を行う毎に、暗号文データを再度暗号化すれば、攻撃の困難性と安全性を高めることができる。しかし、データの暗号化処理は処理コストが大きいため、現実的には二重に暗号化処理を実施することは困難であり、十分に攻撃の困難性と安全性を高めることができないなどの課題があった。 Since the conventional encryption apparatus is configured as described above, if the ciphertext data is re-encrypted every time data is distributed or recorded, the difficulty and security of the attack can be improved. However, since data encryption processing is expensive, it is practically difficult to perform double encryption processing, and it is difficult to sufficiently increase the difficulty and security of attacks. was there.
この発明は上記のような課題を解決するためになされたもので、大きな処理コストの増加を招くことなく、攻撃の困難性と安全性を高めることができる暗号化装置、データ配信装置及びデータ蓄積装置を得ることを目的とする。 The present invention has been made in order to solve the above-described problems, and an encryption device, a data distribution device, and data storage that can increase the difficulty and security of an attack without causing a large increase in processing cost. The object is to obtain a device.
この発明に係る暗号化装置は、暗号文データの送り先数分だけ、その暗号文データの暗号化に用いる暗号化鍵を生成する鍵生成手段を設け、暗号化手段における暗号化処理より簡易な暗号化処理を実行する機能を有する二重暗号文データ生成手段が、鍵生成手段により生成された送り先数分の暗号化鍵を用いて、暗号化手段により生成された暗号文データを暗号化して、その暗号文データから送り先数分の二重暗号文データを生成するようにしたものである。 The encryption device according to the present invention is provided with key generation means for generating encryption keys used for encryption of ciphertext data for the number of destinations of the ciphertext data, and is simpler than the encryption processing in the encryption means. The double ciphertext data generation means having a function of executing the encryption process encrypts the ciphertext data generated by the encryption means using the encryption keys for the number of destinations generated by the key generation means, Double ciphertext data corresponding to the number of destinations is generated from the ciphertext data.
この発明によれば、暗号文データの送り先数分だけ、その暗号文データの暗号化に用いる暗号化鍵を生成する鍵生成手段を設け、暗号化手段における暗号化処理より簡易な暗号化処理を実行する機能を有する二重暗号文データ生成手段が、鍵生成手段により生成された送り先数分の暗号化鍵を用いて、暗号化手段により生成された暗号文データを暗号化して、その暗号文データから送り先数分の二重暗号文データを生成するように構成したので、大きな処理コストの増加を招くことなく、攻撃の困難性と安全性を高めることができる効果がある。 According to the present invention, the key generation means for generating the encryption key used for the encryption of the ciphertext data is provided for the number of destinations of the ciphertext data, and the encryption process simpler than the encryption process in the encryption means is provided. The double ciphertext data generation means having a function to execute encrypts the ciphertext data generated by the encryption means using the encryption keys for the number of destinations generated by the key generation means, and the ciphertext Since the double ciphertext data corresponding to the number of destinations is generated from the data, there is an effect that it is possible to increase the difficulty and security of the attack without causing a large increase in processing cost.
実施の形態1.
図1はこの発明の実施の形態1によるデータ配信装置を示す構成図である。
図1のデータ配信装置は平文データXを暗号化して、その平文データXから二重暗号文データZ1〜ZNを生成する暗号化装置1を実装しており、データ配信装置は、配信対象のコンテンツである平文データXのほかに、その平文データXの暗号化に用いる暗号化鍵Aと、その暗号化鍵Aに対応する復号化鍵B(暗号化の解除に用いる復号化鍵)を入力する。
FIG. 1 is a block diagram showing a data distribution apparatus according to
図において、暗号化装置1の暗号化部11は例えばAES(Advanced Encryption Standard)やDES(Data Encryption Standard)やRSA(Rivest Shamir Adleman)などの高度の暗号化処理を実行する機能を有しており、入力された暗号化鍵Aを用いて平文データXを暗号化して、その平文データXから暗号文データYを生成する処理を実施する。なお、暗号化部11は暗号化手段を構成している。
暗号化装置1の鍵生成部12は暗号文データの送り先がN個ある場合、その暗号文データの暗号化に用いるN個の暗号化鍵C1〜CNを生成するとともに、その暗号化鍵C1〜CNに対応するN個の復号化鍵D1〜DNを生成する処理を実施する。なお、鍵生成部12は鍵生成手段を構成している。
In the figure, the
When there are N destinations of the ciphertext data, the
暗号化装置1の二重暗号文データ生成部13は暗号化部11における暗号化処理より簡易な暗号化処理を実行する機能を有し、鍵生成部12により生成された暗号化鍵C1〜CNを用いて、暗号化部11により生成された暗号文データYを暗号化して、その暗号文データYからN個の二重暗号文データZ1〜ZNを生成する処理を実施する。即ち、二重暗号文データ生成部13は鍵生成部12により生成された暗号化鍵C1〜CNと暗号化部11により生成された暗号文データYの排他的論理和を演算する暗号化処理を実行して、その暗号文データYからN個の二重暗号文データZ1〜ZNを生成する処理を実施する。なお、二重暗号文データ生成部13は二重暗号文データ生成手段を構成している。
The double ciphertext
データ配信部14は入力された復号化鍵B、鍵生成部12により生成されたN個の復号化鍵D1〜DN及び二重暗号文データ生成部13により生成されたN個の二重暗号文データZ1〜ZNを各送り先に配信する処理を実施する。なお、データ配信部14はデータ配信手段を構成している。
図2はこの発明の実施の形態1によるデータ配信装置の処理内容を示すフローチャートである。
The
FIG. 2 is a flowchart showing the processing contents of the data distribution apparatus according to
次に動作について説明する。
この実施の形態1では、二重に暗号化されたコンテンツをN箇所に配信する例を説明する。なお、コンテンツは、例えば、静止画や文書などのほか、ライブ動画やライブ音声など、リアルタイムに生成されるものであってもよい。
まず、データ配信装置には、配信対象のコンテンツである平文データXのほかに、その平文データXの暗号化に用いる暗号化鍵Aと、その暗号化鍵Aに対応する復号化鍵B(暗号化の解除に用いる復号化鍵)が入力される。
Next, the operation will be described.
In the first embodiment, an example in which double encrypted content is distributed to N locations will be described. Note that the content may be generated in real time such as a live image or live audio in addition to a still image or a document.
First, in addition to the plaintext data X that is the content to be distributed, the data distribution apparatus includes an encryption key A used for encrypting the plaintext data X and a decryption key B (encryption key) corresponding to the encryption key A. (Decryption key used for deregistration) is input.
暗号化装置1の暗号化部11は、平文データXと暗号化鍵Aを入力すると、例えば、AESなどの高度の暗号化処理を実行する。
即ち、暗号化部11は、AESなどの高度の暗号化処理において、その暗号化鍵Aを用いて平文データXを暗号化することにより、その平文データXから暗号文データYを生成する(ステップST1)。
When the plaintext data X and the encryption key A are input, the
That is, the
暗号化装置1の鍵生成部12は、データ配信部14からコンテンツの送り先がN個である旨の情報を受けると、暗号化部11により生成された暗号文データYの暗号化に用いるN個の暗号化鍵C1〜CNを生成するとともに、その暗号化鍵C1〜CNに対応するN個の復号化鍵D1〜DNを生成する(ステップST2)。
ただし、この実施の形態1では、鍵生成部12が生成する暗号化鍵Cnと復号化鍵Dnは同一の鍵であり、N個の暗号化鍵Cn(=Dn)が相互に異なるようにランダムに生成するものとする。
上記のCn,Dnにおける“n”は、n=1,2,3,・・・,Nのいずれかを示す変数である。
When the
However, in the first embodiment, the encryption key C n and the decryption key D n generated by the
“N” in the above C n and D n is a variable indicating any of n = 1, 2, 3,.
暗号化装置1の二重暗号文データ生成部13は、暗号化部11が暗号文データYを生成し、鍵生成部12がN個の暗号化鍵C1〜CNを生成すると、暗号化部11における暗号化処理より簡易な暗号化処理を実行する。
即ち、二重暗号文データ生成部13は、鍵生成部12により生成されたN個の暗号化鍵C1〜CNと暗号化部11により生成された暗号文データYの排他的論理和を演算する簡易な暗号化処理を実行することにより、その暗号文データYからN個の二重暗号文データZ1〜ZNを生成する(ステップST3)。
The double ciphertext
That is, the double ciphertext
ここで、二重暗号文データ生成部13は、暗号文データYと暗号化鍵Cnの排他的論理和を演算する際、その暗号文データYのデータ長が暗号化鍵Cnより長い場合、その暗号化鍵Cnの長さをブロック長として、その暗号文データYをブロック毎に分割する。
そして、個々のブロックと暗号化鍵Cnの排他的論理和を演算することにより、その暗号文データYの全体に対する排他的論理和を求める。
一方、その暗号文データYのデータ長が暗号化鍵Cnより短い場合や、ブロック毎の排他的論理和の演算において、最終のブロックに対する排他的論理和の演算を行う場合には、その暗号文データYのデータ長、あるいは、最終ブロック長に等しい数の暗号化鍵の上位ビットによる排他的論理和を行う。
Here, the double encrypted
Then, the exclusive OR of the entire ciphertext data Y is obtained by calculating the exclusive OR of the individual blocks and the encryption key C n .
On the other hand, when the data length of the ciphertext data Y is shorter than the encryption key C n or when the exclusive OR operation is performed on the final block in the exclusive OR operation for each block, the encryption Exclusive OR is performed with the upper bits of the number of encryption keys equal to the data length of the sentence data Y or the final block length.
データ配信部14は、二重暗号文データ生成部13がN個の二重暗号文データZ1〜ZNを生成すると、例えば、インターネットを使用して、入力された復号化鍵Bと、鍵生成部12により生成されたN個の復号化鍵D1〜DNと、二重暗号文データ生成部13により生成されたN個の二重暗号文データZ1〜ZNとを各送り先に配信する(ステップST4)。
即ち、データ配信部14は、例えば、送り先であるクライアント(1)に対しては、復号化鍵Bと、復号化鍵D1と、二重暗号文データZ1とを配信し、送り先であるクライアント(2)に対しては、復号化鍵Bと、復号化鍵D2と、二重暗号文データZ2とを配信する。
また、送り先であるクライアント(N)に対しては、復号化鍵Bと、復号化鍵DNと、二重暗号文データZNとを配信する。
When the double ciphertext
That is, the
Further, the decryption key B, the decryption key DN, and the double ciphertext data Z N are distributed to the client (N) that is the destination.
ここでは、データ配信部14がインターネットを使用して、二重暗号文データZn等を各送り先に配信するものについて示したが、ISDNやPSTNなどの他の通信網を使用して、二重暗号文データZn等を各送り先に配信するようにしてもよい。
また、通信網に限らず、有線や無線を問わず、例えば、データリンクを通した伝送や、記録媒体を介した配布など、様々な手段を使用することができる。
Here, the
In addition, various means such as transmission through a data link and distribution through a recording medium can be used regardless of wired or wireless, not limited to a communication network.
以上で明らかなように、この実施の形態1によれば、暗号文データの送り先数分だけ、暗号文データYの暗号化に用いる暗号化鍵C1〜CNを生成する鍵生成部12を設け、暗号化部11における暗号化処理より簡易な暗号化処理を実行する機能を有する二重暗号文データ生成部13が、鍵生成部11により生成された送り先数分の暗号化鍵C1〜CNを用いて、暗号化部11により生成された暗号文データYを暗号化して、その暗号文データYから送り先数分の二重暗号文データZ1〜ZNを生成するように構成したので、大きな処理コストの増加を招くことなく、攻撃の困難性と安全性を高めることができる効果を奏する。
As is apparent from the above, according to the first embodiment, the
即ち、鍵生成部12により生成されたN個の暗号化鍵C1〜CNと暗号化部11により生成された暗号文データYの排他的論理和を演算する簡易な暗号化処理を実行することにより、その暗号文データYからN個の二重暗号文データZ1〜ZNを生成するので、暗号化装置1の処理負荷の増加を招くことなく(高度の暗号化処理を実行する処理部は、暗号化部11だけでよい)、二重の暗号化を施すことができるようになり、攻撃の困難性と安全性を高めることができる効果を奏する。
That is, a simple encryption process is performed for calculating the exclusive OR of the N encryption keys C 1 to C N generated by the
なお、この実施の形態1では、二重暗号文データ生成部13が簡易な暗号化処理として排他的論理和を演算するものについて示したが、簡易な暗号化処理であれば、排他的論理和の演算に限るものではなく、他の暗号化処理を実施するようにしてもよい。
ただし、非対称暗号を使用する場合には、鍵生成部12が、その暗号化方式で有効となる組み合わせにおいて、暗号化鍵C1〜CNと復号化鍵D1〜DNを生成する必要がある。
In the first embodiment, the case where the double ciphertext
However, when using asymmetric encryption, it is necessary for the
また、この実施の形態1では、暗号化部11が暗号化鍵Aを用いて平文データXを暗号化するものについて示したが、その暗号化鍵Aを定期的に変更するようにしてもよいし、暗号化鍵Aが漏洩している疑いがあるときに、その暗号化鍵Aを変更するようにしてもよい。
その暗号化鍵Aを定期的に変更すれば、安全性を高めることができる。
In the first embodiment, the
If the encryption key A is periodically changed, security can be improved.
この実施の形態1では、暗号化装置1の鍵生成部12が、データ配信部14からコンテンツの送り先がN個である旨の情報を受けると、暗号化部11により生成された暗号文データYの暗号化に用いるN個の暗号化鍵C1〜CNを生成するとともに、その暗号化鍵C1〜CNに対応するN個の復号化鍵D1〜DNを生成するものについて示したが、データ配信部14からコンテンツの送り先が追加されて、例えば、コンテンツの送り先がN+M個である旨の情報を受けると、暗号化部11により生成された暗号文データYの暗号化に用いるN+M個の暗号化鍵C1〜CN+Mを生成するとともに、その暗号化鍵C1〜CN+Mに対応するN+M個の復号化鍵D1〜DN+Mを生成するようにする。
In the first embodiment, when the
また、この実施の形態1では、暗号化装置1の鍵生成部12が、暗号文データの送り先数分だけ、暗号文データYの暗号化に用いる暗号化鍵C1〜CNを生成するものについて示したが、前回と同じ平文データXに係る暗号文データを再度同じ送り先に送信する場合には、前回と異なる暗号化鍵Cと復号化鍵Dを生成するようにしてもよい。
In the first embodiment, the
実施の形態2.
図3はこの発明の実施の形態2によるデータ蓄積装置を示す構成図である。
図3のデータ蓄積装置は既に暗号化されている暗号文データYを取得して、その暗号文データYから二重暗号文データZ1〜ZNを生成する暗号化装置2を実装しており、データ蓄積装置は、配信対象のコンテンツである暗号文データYのほかに、その暗号文データYの暗号化の解除に用いる復号化鍵Bを入力する。
Embodiment 2. FIG.
FIG. 3 is a block diagram showing a data storage apparatus according to Embodiment 2 of the present invention.
The data storage device of FIG. 3 is equipped with an encryption device 2 that acquires ciphertext data Y that has already been encrypted and generates double ciphertext data Z 1 to Z N from the ciphertext data Y. In addition to the ciphertext data Y that is the content to be distributed, the data storage device inputs a decryption key B that is used to decrypt the ciphertext data Y.
暗号化装置2のデータ取得部21は例えばスクランブル放送を受信することにより、スクランブル処理された放送データである暗号文データYを取得するとともに、その暗号文データYの暗号化の解除に用いる復号化鍵Bを取得する処理を実施する。なお、データ取得部21はデータ取得手段を構成している。
ここで、データ取得部21により取得される暗号文データYは、例えば、AESやDESやRSAなどの高度の暗号化処理が施されているものとする。
The
Here, it is assumed that the ciphertext data Y acquired by the
暗号化装置2の鍵生成部22は暗号文データの保存先がN個ある場合、暗号文データYの暗号化に用いるN個の暗号化鍵C1〜CNを生成するとともに、その暗号化鍵C1〜CNに対応するN個の復号化鍵D1〜DNを生成する処理を実施する。なお、鍵生成部22は鍵生成手段を構成している。
暗号化装置2の二重暗号文データ生成部23はデータ取得部21により取得された暗号文データYに係る暗号化処理より簡易な暗号化処理を実行する機能を有し、鍵生成部22により生成された暗号化鍵C1〜CNを用いて、データ取得部21により取得された暗号文データYを暗号化して、その暗号文データYからN個の二重暗号文データZ1〜ZNを生成する処理を実施する。即ち、二重暗号文データ生成部23は鍵生成部22により生成された暗号化鍵C1〜CNとデータ取得部21により取得された暗号文データYの排他的論理和を演算する暗号化処理を実行して、その暗号文データYからN個の二重暗号文データZ1〜ZNを生成する処理を実施する。なお、二重暗号文データ生成部23は二重暗号文データ生成手段を構成している。
The key generation unit 22 of the encryption device 2 generates N encryption keys C 1 to C N used for encryption of the ciphertext data Y when there are N storage locations of the ciphertext data, and the encryption A process of generating N decryption keys D 1 to D N corresponding to the keys C 1 to C N is performed. The key generator 22 constitutes a key generator.
The double ciphertext
二重暗号文データ記憶部24−n(n=1,2,3,・・・,N)は例えばハードディスクやDVDレコーダなど記録装置であり、二重暗号文データ生成部23により生成された二重暗号文データZnを記録する。
復号化鍵記憶部25−n(n=1,2,3,・・・,N)は例えばハードディスクやDVDレコーダなどの記録装置であってもよいが、特に着脱不可能な埋め込み型の内部記録装置であることが望ましく、鍵生成部22により生成された復号化鍵Dnを記録する。
マッピング管理部26はデータ取得部21により取得された復号化鍵B及び暗号文データYの復号化鍵が復号化鍵Bであることを記録するとともに、N個の二重暗号文データZ1〜ZNが記録されている二重暗号文データ記憶部24−1〜24−Nを管理するとともに、N個の復号化鍵D1〜DNが記録されている復号化鍵記憶部25−1〜25−Nを管理する処理を実施する。
なお、二重暗号文データ記憶部24−n、復号化鍵記憶部25−n及びマッピング管理部26からデータ保存手段が構成されている。
図4はこの発明の実施の形態2によるデータ蓄積装置の処理内容を示すフローチャートである。
The double ciphertext data storage unit 24-n (n = 1, 2, 3,..., N) is a recording device such as a hard disk or a DVD recorder. The double ciphertext data Z n is recorded.
The decryption key storage unit 25-n (n = 1, 2, 3,..., N) may be a recording device such as a hard disk or a DVD recorder. The decryption key D n generated by the key generation unit 22 is preferably recorded.
The mapping management unit 26 records that the decryption key B and the decryption key of the ciphertext data Y acquired by the
The double ciphertext data storage unit 24-n, the decryption key storage unit 25-n, and the mapping management unit 26 constitute data storage means.
FIG. 4 is a flowchart showing the processing contents of the data storage device according to the second embodiment of the present invention.
次に動作について説明する。
この実施の形態2では、二重に暗号化されたコンテンツをN箇所に蓄積する例を説明する。なお、コンテンツは、例えば、記憶媒体の読み込みにより取得されたテキストファイルのほか、IPマルチキャストのようなストリーミング配信映像や、ユニキャスト配信された映像や音楽などのコンテンツファイルなどであってもよい。
まず、データ蓄積装置には、蓄積対象のコンテンツである暗号化済みの暗号文データYのほかに、その暗号文データYの暗号化の解除に用いる復号化鍵Bが入力される。
Next, the operation will be described.
In this second embodiment, an example in which doubly encrypted content is stored in N locations will be described. The content may be, for example, a text file acquired by reading a storage medium, a streaming distribution video such as IP multicast, a content file such as a unicast video or music.
First, in addition to the encrypted ciphertext data Y that is the content to be stored, a decryption key B that is used for decrypting the ciphertext data Y is input to the data storage device.
暗号化装置2のデータ取得部21は、例えば、スクランブル放送を受信することにより、スクランブル処理された放送データである暗号文データYを取得するとともに、その暗号文データYの暗号化の解除に用いる復号化鍵Bを取得する(ステップST11)。
なお、データ取得部21により取得される暗号文データYは、例えば、AESやDESやRSAなどの高度の暗号化処理が施されている。
The
The ciphertext data Y acquired by the
暗号化装置2の鍵生成部22は、コンテンツの保存先(例えば、ハードディスク、DVDレコーダなど)がN個である場合、データ取得部21により取得された暗号文データYの暗号化に用いるN個の暗号化鍵C1〜CNを生成するとともに、その暗号化鍵C1〜CNに対応するN個の復号化鍵D1〜DNを生成する(ステップST12)。
ただし、この実施の形態2では、鍵生成部22が生成する暗号化鍵Cnと復号化鍵Dnは同一の鍵であり、N個の暗号化鍵Cn(=Dn)が相互に異なるようにランダムに生成するものとする。
The key generation unit 22 of the encryption device 2 uses N pieces of data used for encryption of the ciphertext data Y acquired by the
However, in the second embodiment, the encryption key C n and the decryption key D n generated by the key generation unit 22 are the same key, and N encryption keys C n (= D n ) are mutually connected. It shall be generated randomly so as to be different.
暗号化装置2の二重暗号文データ生成部23は、データ取得部21が暗号文データYを取得し、鍵生成部22がN個の暗号化鍵C1〜CNを生成すると、その暗号文データYに係る暗号化処理より簡易な暗号化処理を実行する。
即ち、二重暗号文データ生成部23は、鍵生成部22により生成されたN個の暗号化鍵C1〜CNとデータ取得部21により取得された暗号文データYの排他的論理和を演算する簡易な暗号化処理を実行することにより、その暗号文データYからN個の二重暗号文データZ1〜ZNを生成する(ステップST13)。
When the
That is, the double ciphertext
ここで、二重暗号文データ生成部23は、暗号文データYと暗号化鍵Cnの排他的論理和を演算する際、その暗号文データYのデータ長が暗号化鍵Cnより長い場合、その暗号化鍵Cnの長さをブロック長として、その暗号文データYをブロック毎に分割する。
そして、個々のブロックと暗号化鍵Cnの排他的論理和を演算することにより、その暗号文データYの全体に対する排他的論理和を求める。
一方、その暗号文データYのデータ長が暗号化鍵Cnより短い場合や、ブロック毎の排他的論理和の演算において、最終のブロックに対する排他的論理和の演算を行う場合には、その暗号文データYのデータ長、あるいは、最終ブロック長に等しい数の暗号化鍵の上位ビットによる排他的論理和を行う。
Here, the double encrypted
Then, the exclusive OR of the entire ciphertext data Y is obtained by calculating the exclusive OR of the individual blocks and the encryption key C n .
On the other hand, when the data length of the ciphertext data Y is shorter than the encryption key C n or when the exclusive OR operation is performed on the final block in the exclusive OR operation for each block, the encryption Exclusive OR is performed with the upper bits of the number of encryption keys equal to the data length of the sentence data Y or the final block length.
二重暗号文データ記憶部24−nは、二重暗号文データ生成部23が二重暗号文データZnを生成すると、その二重暗号文データZnを記録する(ステップST14)。
即ち、例えば、二重暗号文データ記憶部24−1が二重暗号文データZ1を記録し、二重暗号文データ記憶部24−2が二重暗号文データZ2を記録する。また、二重暗号文データ記憶部24−Nが二重暗号文データZNを記録する。
復号化鍵記憶部25−nは、鍵生成部22が復号化鍵Dnを生成すると、その復号化鍵Dnを記録する(ステップST15)。
即ち、例えば、復号化鍵記憶部25−1が復号化鍵D1を記録し、復号化鍵記憶部25−2が復号化鍵D2を記録する。また、復号化鍵記憶部25−Nが復号化鍵DNを記録する。
Double encrypted data storage unit 24-n, when the double encrypted
That is, for example, double-encrypted data storage unit 24-1 records a double encrypted data Z 1, double encrypted data storage unit 24-2 records a double encrypted data Z 2. Further, the double encrypted data storage unit 24-N records a double encrypted data Z N.
When the key generation unit 22 generates the decryption key D n , the decryption key storage unit 25-n records the decryption key D n (step ST15).
Thus, for example, the decryption key storage unit 25-1 records the decryption key D 1, the decryption key storage unit 25-2 records the decryption key D 2. Further, decryption key storage unit 25-N records a decryption key D N.
マッピング管理部26は、データ取得部21により取得された復号化鍵B及び暗号文データYの復号化鍵が復号化鍵Bであることを記録するとともに、N個の二重暗号文データZ1〜ZNとN個の復号化鍵D1〜DNの保存先を管理する(ステップST16)。
即ち、マッピング管理部26は、N個の二重暗号文データZ1〜ZNが記録されている二重暗号文データ記憶部24−1〜24−Nを管理するとともに、N個の復号化鍵D1〜DNが記録されている復号化鍵記憶部25−1〜25−Nを管理する。
The mapping management unit 26 records that the decryption key B and the decryption key of the ciphertext data Y acquired by the
That is, the mapping management unit 26 manages the double ciphertext data storage units 24-1 to 24-N in which N pieces of double ciphertext data Z 1 to Z N are recorded, and N decryptions. key D 1 to D N to manage the decryption key storing unit 25-1 to 25-N recorded.
これにより、例えば、二重暗号文データ記憶部24を構成しているハードディスクが新たに接続されたり、ハードディスクが交換されたりしても、そのハードディスクには、他のハードディスクと同じ二重暗号文データZが記録されることはなく、また、復号化鍵記憶部25は着脱不可能な埋め込み型の内部記録装置であるため、二重暗号文データ記憶部24を構成しているハードディスクが、他の暗号化装置やデータ蓄積装置に接続されても、そのハードディスクに記録されている二重暗号文データZが解析されることはない。 Thereby, for example, even if a hard disk constituting the double ciphertext data storage unit 24 is newly connected or the hard disk is replaced, the same double ciphertext data as the other hard disks is stored in the hard disk. Z is not recorded, and the decryption key storage unit 25 is a non-removable embedded internal recording device, so that the hard disk constituting the double ciphertext data storage unit 24 can be Even when connected to an encryption device or a data storage device, the double ciphertext data Z recorded on the hard disk is not analyzed.
以上で明らかなように、この実施の形態2によれば、暗号文データの保存数分だけ、暗号文データYの暗号化に用いる暗号化鍵C1〜CNを生成する鍵生成部22を設け、その暗号文データYの係る暗号化処理より簡易な暗号化処理を実行する機能を有する二重暗号文データ生成部23が、鍵生成部21により生成された保存数分の暗号化鍵C1〜CNを用いて、データ取得部21により取得された暗号文データYを暗号化して、その暗号文データYから保存数分の二重暗号文データZ1〜ZNを生成するように構成したので、大きな処理コストの増加を招くことなく、攻撃の困難性と安全性を高めることができる効果を奏する。
As is apparent from the above, according to the second embodiment, the key generation unit 22 that generates the encryption keys C 1 to C N used for encryption of the ciphertext data Y by the number of stored ciphertext data is provided. Provided, and a double ciphertext
即ち、鍵生成部22により生成されたN個の暗号化鍵C1〜CNとデータ取得部21により取得された暗号文データYの排他的論理和を演算する簡易な暗号化処理を実行することにより、その暗号文データYからN個の二重暗号文データZ1〜ZNを生成するので、暗号化装置2の処理負荷の増加を招くことなく(高度の暗号化処理を実行する処理部は、暗号化装置2には存在しない)、二重の暗号化を施すことができるようになり、攻撃の困難性と安全性を高めることができる効果を奏する。
That is, a simple encryption process is performed to calculate the exclusive OR of the N encryption keys C 1 to C N generated by the key generation unit 22 and the ciphertext data Y acquired by the
なお、この実施の形態2では、二重暗号文データ生成部23が簡易な暗号化処理として排他的論理和を演算するものについて示したが、簡易な暗号化処理であれば、排他的論理和の演算に限るものではなく、他の暗号化処理を実施するようにしてもよい。
ただし、非対称暗号を使用する場合には、鍵生成部22が、その暗号化方式で有効となる組み合わせにおいて、暗号化鍵C1〜CNと復号化鍵D1〜DNを生成する必要がある。
In the second embodiment, the double ciphertext
However, when using asymmetric encryption, it is necessary for the key generation unit 22 to generate the encryption keys C 1 to C N and the decryption keys D 1 to D N in a combination that is valid for the encryption method. is there.
また、この実施の形態2では、二重暗号文データ記憶部24及び復号化鍵記憶部25がハードディスクやDVDレコーダであるものについて示したが、ハードディスクやDVDレコーダに限るものではなく、例えば、光記憶媒体、磁気記憶媒体などの記憶装置を用いてもよい。 In the second embodiment, the double ciphertext data storage unit 24 and the decryption key storage unit 25 are hard disks and DVD recorders. However, the present invention is not limited to hard disks and DVD recorders. A storage device such as a storage medium or a magnetic storage medium may be used.
1 暗号化装置、2 暗号化装置、11 暗号化部(暗号化手段)、12 鍵生成部(鍵生成手段)、13 二重暗号文データ生成部(二重暗号文データ生成手段)、14 データ配信部(データ配信手段)、21 データ取得部(データ取得手段)、22 鍵生成部(鍵生成手段)、23 二重暗号文データ生成部(二重暗号文データ生成手段)、24−n 二重暗号文データ記憶部(データ保存手段)、25−n 復号化鍵記憶部(データ保存手段)、26 マッピング管理部(データ保存手段)。
DESCRIPTION OF
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006324141A JP2008141368A (en) | 2006-11-30 | 2006-11-30 | Encryption device, data distributor, and data storage device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006324141A JP2008141368A (en) | 2006-11-30 | 2006-11-30 | Encryption device, data distributor, and data storage device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008141368A true JP2008141368A (en) | 2008-06-19 |
Family
ID=39602411
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006324141A Pending JP2008141368A (en) | 2006-11-30 | 2006-11-30 | Encryption device, data distributor, and data storage device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008141368A (en) |
-
2006
- 2006-11-30 JP JP2006324141A patent/JP2008141368A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6017501B2 (en) | Cryptosystem | |
JP6363032B2 (en) | Key change direction control system and key change direction control method | |
JP2010124071A (en) | Communication device, communication method, and program | |
WO2010067660A1 (en) | Communication apparatus, communication method and program | |
JP2004048479A (en) | Encryption key management method of shared encryption information | |
JP4989293B2 (en) | Content distribution system | |
JP4561074B2 (en) | Information processing apparatus, information processing method, and computer program | |
JP7325689B2 (en) | Ciphertext conversion system, conversion key generation method, and conversion key generation program | |
Lei et al. | Towards efficient re-encryption for secure client-side deduplication in public clouds | |
JP2007189597A (en) | Encryption device, encryption method, decoding device, and decoding method | |
JP2008141368A (en) | Encryption device, data distributor, and data storage device | |
JP6842090B2 (en) | Communication equipment, server equipment, secret communication systems, methods, and programs | |
US20200275142A1 (en) | A method for delivering digital content to at least one client device | |
JP4875481B2 (en) | Encrypted information generating device and program thereof, secret key generating device and program thereof, distribution content generating device and program thereof, and content decrypting device and program thereof | |
KR20190136531A (en) | Video security service method and system | |
WO2010067650A1 (en) | Communication device, server, communication method, program | |
JP4576824B2 (en) | Information processing apparatus and information processing method | |
JP6949276B2 (en) | Re-encrypting device, re-encrypting method, re-encrypting program and cryptosystem | |
JP2009171016A (en) | Encrypted information generation device, its program, content generation device for distribution, its program, and content decoding device, and its program | |
JP2009171384A (en) | Encryption information generation device and its program, secret key generation device and its program, and content decryption apparatus and its program | |
WO2023199436A1 (en) | Encrypted text conversion system, encrypted text conversion method, and encrypted text conversion program | |
JP2007266722A (en) | Information processing apparatus, information processing method, and computer program | |
JP2007020025A (en) | Information processing device, information processing method, and computer program | |
WO2019093201A1 (en) | Communication terminal, server device, and program | |
JP5097145B2 (en) | Encryption system and encryption method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080704 |