JP2009188794A - Message authenticator generating device, message authenticator verifying device, message authenticator generating method, message authenticator verifying method, program, and recording medium - Google Patents

Message authenticator generating device, message authenticator verifying device, message authenticator generating method, message authenticator verifying method, program, and recording medium Download PDF

Info

Publication number
JP2009188794A
JP2009188794A JP2008027420A JP2008027420A JP2009188794A JP 2009188794 A JP2009188794 A JP 2009188794A JP 2008027420 A JP2008027420 A JP 2008027420A JP 2008027420 A JP2008027420 A JP 2008027420A JP 2009188794 A JP2009188794 A JP 2009188794A
Authority
JP
Japan
Prior art keywords
message authenticator
data
message
bit
bit string
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008027420A
Other languages
Japanese (ja)
Other versions
JP4914381B2 (en
Inventor
Miki Yasuda
幹 安田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008027420A priority Critical patent/JP4914381B2/en
Publication of JP2009188794A publication Critical patent/JP2009188794A/en
Application granted granted Critical
Publication of JP4914381B2 publication Critical patent/JP4914381B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a message authenticator generating method in which the number of calling the compressibility function exceeding m/b times does not depend on m while securing high safety. <P>SOLUTION: The message authenticator generating device includes: a padding part; a message dividing part; a first checksum calculation part; an intermediate variable calculation part; a second checksum calculation part; and a post-processor. The first checksum calculation part regards an exclusive OR of data m<SB>1</SB>, ..., m<SB>N</SB>as a first checksum S<SB>1</SB>. The intermediate variable calculation part determines a first intermediate variable v<SB>0</SB>of c bits, and repeats calculation for finding an intermediate variable v<SB>n</SB>from an intermediate variable v<SB>n-1</SB>using a bit string Δ<SB>n</SB>N times so as to find an intermediate variable v<SB>N</SB>. The second checksum calculation part regards an exclusive OR of the intermediate variable v<SB>1</SB>, ..., v<SB>N</SB>as a second checksum S<SB>2</SB>. The post-processor finds a message authenticator τ using the bit string Δ'<SB>j</SB>from the first checksum S<SB>1</SB>, the intermediate variable v<SB>N</SB>and the second checksum S<SB>2</SB>. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、通信路上または記録媒体上のデータに対し、送信者またはデータ作成者の認証が行えるようにするためのメッセージ認証子生成装置、メッセージ認証子検証装置、メッセージ認証子生成方法、メッセージ認証子検証方法、プログラム、および記録媒体に関する。   The present invention relates to a message authenticator generation device, a message authenticator verification device, a message authenticator generation method, and message authentication for enabling authentication of a sender or a data creator for data on a communication path or a recording medium. The present invention relates to a child verification method, a program, and a recording medium.

メッセージ認証では、メッセージ認証コードMACは、kビットの鍵Kと任意のビット長のデータMからメッセージ認証子τを生成する(τ←MAC(M))。送信者と受信者、またはデータ作成者とデータ利用者とは、メッセージ認証コードMACと鍵Kとを共有することで、次のように認証やデータ内容の検証を行うことができる。 In message authentication, the message authentication code MAC generates a message authenticator τ from a k-bit key K and data M having an arbitrary bit length (τ ← MAC K (M)). By sharing the message authentication code MAC and the key K, the sender and the receiver or the data creator and the data user can perform authentication and verification of the data contents as follows.

送信者またはデータ作成者は、メッセージ認証子生成装置で、鍵K(通常、鍵は1つだが、2つ以上の場合もある)とデータMからメッセージ認証子τを生成する。そして、データMとメッセージ認証子とを送信または保存する。受信者またはデータ利用者は、メッセージ認証子検証装置で、鍵KとデータMからメッセージ認証子τ’を生成する。そして、τとτ’とを比較する。τ=τ’ならば、送信者またはデータ作成者の認証、およびデータ内容の整合性が検証されたとする。τ≠τ’ならば、送信者またはデータ作成者の詐称、もしくはデータの改ざんがあると判断する。   A sender or a data creator generates a message authenticator τ from a key K (usually one key but may be two or more) and data M with a message authenticator generating device. Then, the data M and the message authenticator are transmitted or stored. The receiver or the data user generates a message authenticator τ ′ from the key K and the data M by the message authenticator verification device. Then, τ and τ ′ are compared. If τ = τ ′, it is assumed that the authentication of the sender or the data creator and the consistency of the data contents are verified. If τ ≠ τ ′, it is determined that the sender or the data creator is misrepresented or the data is falsified.

従来のメッセージ認証コードには、マークル・ダンガード反復を用いたハッシュ関数HMDを2回適用して安全性を高めたもの(非特許文献1)などがある。非特許文献1のメッセージ認証コードMAC(M)は、次式のようにメッセージ認証子τを求める。 The conventional message authentication code, is applied twice a hash function H MD using Merkle Dangado repeat that improve safety (non-patent document 1), and the like. The message authentication code MAC K (M) of Non-Patent Document 1 calculates a message authenticator τ as shown in the following equation.

Figure 2009188794
ただし、“‖”はビット列の結合を意味する記号、“0c−k”は“0”がc−k個並んだビット列を示す記号、IPADとOPADはcビットのあらかじめ定められた定数である。このメッセージ認証コードは、圧縮関数の擬似乱数性に基づく耐偽造安全性証明が可能である(非特許文献2)。図1は、式(1)の処理を行うメッセージ認証子生成装置の機能構成例を示す図である。メッセージ認証子生成装置900は、鍵パディング手段910とハッシュ手段920とを備える。鍵パディング手段910は、式(1)の1行目を実行し、kビットの鍵をdビットにする。ハッシュ手段920は、式(1)の2行目と3行目を実行し、メッセージ認証子τを出力する。図2は、ハッシュ手段920の機能構成例である。ハッシュ手段920は、パディング部921、メッセージブロック生成部922、初期設定部923、中間変数計算部924から構成されている。パディング部921は、ハッシュ関数HMDへ入力されたビット列Dを、パディングによりN×bビットのビット列Mに変換する(ただし、Nとbは正の整数)。メッセージブロック生成部922は、ビット列MをN個のbビットのメッセージブロックmに分割する(ただし、nは1以上N以下の整数)。初期設定部923は、最初の中間変数vをあらかじめ定めた定数に設定する。中間変数計算部924は、
←h(vn−1‖m) (2)
をn=1からn=Nまで繰り返し、vを求め、出力する。中間変数vはcビットのビット列であり、hは(c+b)ビットのビット列をcビットのビット列に圧縮する圧縮関数である。なお、このメッセージ認証コードに用いる圧縮関数hの場合、cとbの値に対する制約はなく、c>bでもc<bでもかまわない。また、このメッセージ認証コードは、圧縮関数の擬似乱数性に基づく耐偽造安全性証明が可能である(非特許文献2、非特許文献3)。しかし、非特許文献1のメッセージ認証コードMAC(M)の安全性は、誕生日限界と呼ばれるレベルまでしか保証されておらず、実際に誕生日攻撃に弱い。
Figure 2009188794
 However, “‖” is a symbol indicating a combination of bit strings, “0 ck ” is a symbol indicating a bit string in which “ k ” is arranged “0”, and IPAD and OPAD are predetermined constants of c bits. . This message authentication code can be forged security-proof based on the pseudo randomness of the compression function (Non-Patent Document 2). FIG. 1 is a diagram illustrating a functional configuration example of a message authenticator generation device that performs the processing of Expression (1). The message authenticator generation device 900 includes key padding means 910 and hash means 920. The key padding means 910 executes the first line of the equation (1) and changes the k-bit key to d bits. The hash unit 920 executes the second and third lines of the formula (1) and outputs a message authenticator τ. FIG. 2 is a functional configuration example of the hash unit 920. The hash means 920 includes a padding unit 921, a message block generation unit 922, an initial setting unit 923, and an intermediate variable calculation unit 924. The padding unit 921 converts the bit string D input to the hash function HMD into a bit string M * of N × b bits by padding (where N and b are positive integers). The message block generation unit 922 divides the bit string M * into N b-bit message blocks mn (where n is an integer from 1 to N). The initial setting unit 923 sets the first intermediate variable v 0 to a predetermined constant. The intermediate variable calculation unit 924
v n <-h (v n−1 ‖m n ) (2)
Are repeated from n = 1 to n = N to obtain vN and output. Intermediate variable v n is the bit string c bits, h is a compression function that compresses the bit string of (c + b) bits in the bit string of c bits. In the case of the compression function h used for this message authentication code, there are no restrictions on the values of c and b, and c> b or c <b may be used. In addition, this message authentication code can be forged security-proof based on the pseudo-randomness of the compression function (Non-Patent Document 2, Non-Patent Document 3). However, the security of the message authentication code MAC K (M) of Non-Patent Document 1 is only guaranteed to a level called the birthday limit, and is actually vulnerable to birthday attacks.

圧縮関数を用いたメッセージ認証コードであって、いわゆる誕生日限界を超えるような高い安全性を有するものには、例えば非特許文献3の構成法がある。
M. Bellare, R. Canetti, H. Krawczyk, “Keying hash functions for message authentication,” CRYPTO 1996, LNCS vol.1109, pp.1-15, Springer, Heidelberg (1996). M. Bellare, “New proofs for NMAC and HMAC: Security without collision-resistance,” CRYPTO 2006, LNCS vol.4117, pp.602-619, Springer, Heidelberg (2006). K. Yasuda, “Multilane HMAC - Security beyond the Birthday Limit,” INDOCRYPT 2007, LNCS vol.4859, pp.18-32, Springer, Heidelberg (2007). As a message authentication code using a compression function and having high security exceeding the so-called birthday limit, there is a configuration method of Non-Patent Document 3, for example.
M. Bellare, R. Canetti, H. Krawczyk, “Keying hash functions for message authentication,” CRYPTO 1996, LNCS vol.1109, pp.1-15, Springer, Heidelberg (1996). M. Bellare, “New proofs for NMAC and HMAC: Security without collision-resistance,” CRYPTO 2006, LNCS vol.4117, pp.602-619, Springer, Heidelberg (2006). K. Yasuda, “Multilane HMAC-Security beyond the Birthday Limit,” INDOCRYPT 2007, LNCS vol.4859, pp.18-32, Springer, Heidelberg (2007).

非特許文献1に示したメッセージ認証コードでは、反復方法にマークル・ダンガード反復を用いているため、mビットのデータMを処理するためには、1つのハッシュ関数で、約m/b回圧縮関数hを呼び出す(繰り返す)必要がある。そして、高い安全性を有する非特許文献3の方法は、圧縮関数を呼び出す回数がm/b回よりも多くなる。しかも、圧縮関数を呼び出す回数のm/b回よりも多い部分も、mに依存しているため、処理量が多くなるという問題があった。   In the message authentication code shown in Non-Patent Document 1, since Merkle Dungard iteration is used as the iteration method, in order to process m-bit data M, a compression function is performed about m / b times with one hash function. It is necessary to call (repeat) h. And the method of the nonpatent literature 3 which has high safety | security makes the frequency | count of calling a compression function more than m / b times. In addition, since the portion where the compression function is called more than m / b times also depends on m, there is a problem that the processing amount increases.

本発明の目的は、高い安全性を確保しながら、m/b回を超える圧縮関数を呼び出す回数がmに依存しないようなメッセージ認証子生成方法を提供することである。   An object of the present invention is to provide a message authenticator generation method in which the number of calls of a compression function exceeding m / b times does not depend on m while ensuring high security.

本発明のメッセージ認証子生成装置は、データDに対するメッセージ認証子τを出力する。メッセージ認証子生成装置は、パディング部、メッセージ分割部、第1チェックサム計算部、中間変数計算部、第2チェックサム計算部、後処理部を備える。パディング部は、データDに対して、あらかじめ定めたパディングを行うことで、b×Nビット(ただし、bはあらかじめ定めた整数、Nはb×NがデータDのメッセージ長よりも長くなる整数)のデータMを生成する。メッセージ分割部は、データMを、N個に分割し、bビットのデータm,…,mを生成する。第1チェックサム計算部は、データm,…,mの排他的論理和 The message authenticator generation device of the present invention outputs a message authenticator τ for data D. The message authenticator generation device includes a padding unit, a message division unit, a first checksum calculation unit, an intermediate variable calculation unit, a second checksum calculation unit, and a post-processing unit. The padding unit performs predetermined padding on the data D, so that b × N bits (where b is a predetermined integer and N is an integer in which b × N is longer than the message length of the data D). Data M is generated. The message dividing unit divides the data M into N pieces, and generates b-bit data m 1 ,..., M N. The first checksum calculator is an exclusive OR of the data m 1 ,..., M N

Figure 2009188794
を計算し、第1チェックサムSとする。中間変数計算部は、cビット(ただし、cはあらかじめ定めた整数)の最初の中間変数vを定め、中間変数vn−1から中間変数vを求める計算
Figure 2009188794
 It was calculated, and the first checksum S 1. The intermediate variable calculation unit determines the first intermediate variable v 0 of c bits (where c is a predetermined integer), and calculates the intermediate variable vn from the intermediate variable v n −1.

Figure 2009188794
(ただし、nは1以上N以下の整数、fはcビットの鍵kを用いてbビットのビット列をcビットのビット列に圧縮する圧縮関数、“‖”はビット列の結合を意味する記号、“0b−c”は“0”がb−c個並んだビット列、Δはbビットのあらかじめ定めたビット列)をN回繰り返して中間変数vを求める。第2チェックサム計算部は、中間変数v,…,vの排他的論理和
Figure 2009188794
 (Where n is an integer greater than or equal to 1 and less than or equal to N, f k is a compression function that compresses a b-bit bit string into a c-bit bit string using a c-bit key k, “‖” is a symbol that means a combination of bit strings, "0 b-c" is "0" b-c or aligned bit strings, delta n obtains the intermediate variable v n a b a predetermined bit string of bits) is repeated n times. Exclusive of the second checksum calculation unit intermediate variable v 1, ..., v N

Figure 2009188794
を計算し、第2チェックサムSとする。後処理部は、計算
Figure 2009188794
 It was calculated, and the second checksum S 2. The post-processing section calculates

Figure 2009188794
(ただし、Δ’はbビットのあらかじめ定めたビット列、jは1から3の整数)によってメッセージ認証子τを求める。
Figure 2009188794
 Here, the message authenticator τ is obtained by (Δ ′ j is a predetermined bit string of b bits and j is an integer of 1 to 3).

また、本発明のメッセージ認証子検証装置は、本発明のメッセージ認証子生成装置と比較部とを備え、データMとメッセージ認証子τとを入力とし、データMの検証を行う。メッセージ認証子生成装置は、データMからメッセージ認証子τ’を生成する。比較部は、メッセージ認証子τとメッセージ認証子τ’とを比較してデータMの検証結果を出力する。   The message authenticator verification device of the present invention includes the message authenticator generation device of the present invention and a comparison unit, and receives the data M and the message authenticator τ as input and verifies the data M. The message authenticator generating device generates a message authenticator τ ′ from the data M. The comparison unit compares the message authenticator τ and the message authenticator τ ′ and outputs a verification result of the data M.

本発明のメッセージ認証子生成方法によれば、mビットのデータMを処理するために、m/b回を超える圧縮関数を呼び出す回数をmに依存しない少ない回数にできる。また、高い安全性も確保できる。   According to the message authenticator generation method of the present invention, in order to process m-bit data M, the number of calls of the compression function exceeding m / b times can be reduced to a small number independent of m. Also, high safety can be secured.

以下では、説明の重複を避けるため同じ機能を有する構成部や同じ処理を行う処理ステップには同一の番号を付与し、説明を省略する。   Below, in order to avoid duplication of description, the same number is given to the structural part which has the same function, and the process step which performs the same process, and description is abbreviate | omitted.

[第1実施形態]
図3に、本発明のメッセージ認証子生成装置の機能構成例を示す。また、図4に、本発明のメッセージ認証子生成装置の処理フロー例を示す。さらに、図5に、各構成部での処理の流れを示す。メッセージ認証子生成装置100は、任意のビット長(メッセージ長)のデータDに対するメッセージ認証子τを出力する。メッセージ認証子生成装置100は、パディング部110、メッセージ分割部120、第1チェックサム計算部130、中間変数計算部140、第2チェックサム計算部150、後処理部160を備える。 [First Embodiment]
FIG. 3 shows a functional configuration example of the message authenticator generation device of the present invention. FIG. 4 shows an example of a processing flow of the message authenticator generation device of the present invention. Furthermore, FIG. 5 shows the flow of processing in each component. The message authenticator generation device 100 outputs a message authenticator τ for data D having an arbitrary bit length (message length). The message authenticator generation device 100 includes a padding unit 110, a message division unit 120, a first checksum calculation unit 130, an intermediate variable calculation unit 140, a second checksum calculation unit 150, and a post-processing unit 160.

パディング部110は、データDに対して、あらかじめ定めたパディングを行うことで、b×Nビット(ただし、bはあらかじめ定めた整数、Nはb×NがデータDのメッセージ長よりも長くなる整数)のデータMを生成する(S110)。メッセージ分割部120は、データMを、N個に分割し、bビットのデータm,…,mを生成する(S120)。第1チェックサム計算部130は、データm,…,mの排他的論理和 The padding unit 110 performs predetermined padding on the data D so that b × N bits (where b is a predetermined integer and N is an integer in which b × N is longer than the message length of the data D). ) Data M is generated (S110). The message dividing unit 120 divides the data M into N pieces, and generates b-bit data m 1 ,..., M N (S120). The first checksum calculation unit 130 performs an exclusive OR of the data m 1 ,..., M N

Figure 2009188794
を計算し、第1チェックサムSとする(S130)。中間変数計算部140は、まず、cビット(ただし、cはあらかじめ定めた整数)の最初の中間変数vを定める。例えば、c個の“0”からなるビット列とあらかじめ定めておいてもよい。n=1からn=Nまで順番に、中間変数vn−1から中間変数vを求める計算
Figure 2009188794
 It was calculated, and the first checksum S 1 (S130). The intermediate variable calculation unit 140 first determines the first intermediate variable v 0 of c bits (where c is a predetermined integer). For example, it may be determined in advance as a bit string composed of c “0” s. Calculation to obtain intermediate variable v n from intermediate variable v n −1 in order from n = 1 to n = N

Figure 2009188794
を行う。この繰り返し処理で、中間変数vを求める(S140)。ただし、nは1以上N以下の整数、fはcビットの鍵kを用いてbビットのビット列をcビットのビット列に圧縮する圧縮関数、“‖”はビット列の結合を意味する記号、“0b−c”は“0”がb−c個並んだビット列、Δはbビットのあらかじめ定めたビット列である。例えば、f(m)は、(c+b)ビットのビット列をcビットのビット列に圧縮する圧縮関数fを用いて、
(m):=f(k‖m) (9)
のように定義すればよい。また、代表的な圧縮関数には、c=160、b=512のsha1やc=256、b=512のsha256などがある(NIST, “Secure hash standard.” FIPS PUB 180-2 (2002))。
Figure 2009188794
 I do. In this repetitive processing, obtaining the intermediate variable v N (S140). Here, n is an integer of 1 to N, f k is a compression function that compresses a b-bit bit string into a c-bit bit string using a c-bit key k, “‖” is a symbol that means a combination of bit strings, “ 0 b-c "is" 0 "b-c or aligned bit stream, the delta n is a predetermined bit string of b bits. For example, f k (m) is expressed by using a compression function f that compresses a bit string of (c + b) bits into a bit string of c bits.
f k (m): = f (k‖m) (9)
Should be defined as follows. Typical compression functions include sha1 of c = 160, b = 512, sha = 256 of b = 512, and sha256 of b = 512 (NIST, “Secure hash standard.” FIPS PUB 180-2 (2002)). .

第2チェックサム計算部150は、中間変数v,…,vの排他的論理和

Figure 2009188794
を計算し、第2チェックサムSとする(S150)。後処理部160は、計算 The second checksum calculation unit 150 performs exclusive OR of intermediate variables v 1 ,..., V N.
Figure 2009188794
 It was calculated, and the second checksum S 2 (S150). The post-processing unit 160 calculates

Figure 2009188794
によってメッセージ認証子τを求める(S160)。ただし、Δ’はbビットのあらかじめ定めたビット列、jは1から3の整数である。なお、Δ,…,Δ、およびΔ’,Δ’,Δ’は互いに異なるビット列である。
Figure 2009188794
 To obtain a message authenticator τ (S160). However, Δ ′ j is a predetermined bit string of b bits, and j is an integer of 1 to 3. Note that Δ 1 ,..., Δ N and Δ ′ 1 , Δ ′ 2 , Δ ′ 3 are different bit strings.

例えば、圧縮関数がsha1やsha256のようなb=512の場合であれば、Δ,…,Δ、およびΔ’,Δ’,Δ’を次のように決めればよい。有限体GF(2)上の既約多項式x512+x12+x+x+1の剰余環によって表現される有限体GF(2)の拡大体の乗法群を考える。この乗法群において単項式x(の同値類)という元を考えると、元xは、ほとんど全ての非零元を生成するが、位数17の部分群を生成しない。一方、元x+1は位数17の部分群を生成する。そこで、まず、ビット列ΔFor example, if the compression function is b = 512 such as sha1 or sha256, Δ 1 ,..., Δ N , and Δ ′ 1 , Δ ′ 2 , Δ ′ 3 may be determined as follows. Consider a multiplicative group of extension fields of a finite field GF (2) represented by a remainder ring of the irreducible polynomial x 512 + x 12 + x 7 + x 2 +1 on the finite field GF (2). Considering the element of the monomial x (the equivalence class) in this multiplicative group, the element x generates almost all non-zero elements, but does not generate a subgroup of order 17. On the other hand, the element x + 1 generates a subgroup of order 17. Therefore, first, the bit string Δ 0 is set to

Figure 2009188794
で求められるビット列の先頭のbビットとする。そして、ビット列Δをx・Δ、ビット列Δ’をx・(x+1)・Δとする。ただし、“・”は拡大体の乗算を示す記号である。
Figure 2009188794
 The first b bits of the bit string obtained in step. Then, the bit string Δ n is set to x n · Δ 0 , and the bit string Δ ′ j is set to x N · (x + 1) j · Δ 0 . However, “·” is a symbol indicating multiplication of the extension field.

このように構成するので、本発明のメッセージ認証子生成装置は、誕生日限界を超える高い安全性を有する。また、図5から分かるように、本発明のメッセージ認証子生成装置は、b×Nビット(メッセージ長m)のデータMのメッセージ認証子τを求めるために、N+3回圧縮関数を呼び出している。つまり、圧縮関数を呼び出す回数のm/b回(N回に相当)よりも多い部分は、3回だけである。また、メッセージ長mに依存しない定数にできている。   With this configuration, the message authenticator generation device of the present invention has high security exceeding the birthday limit. Further, as can be seen from FIG. 5, the message authenticator generation device of the present invention calls the compression function N + 3 times in order to obtain the message authenticator τ of data M of b × N bits (message length m). In other words, the portion where the compression function is called more than m / b times (corresponding to N times) is only three times. The constant is not dependent on the message length m.

[第2実施形態]
図6に本発明のメッセージ認証子検証装置の機能構成例を示す。また、図7に本発明のメッセージ認証子検証装置の処理フロー例を示す。メッセージ認証子検証装置500は、第1実施形態で示したメッセージ認証子生成装置100と比較部510と記録部590を備え、データMとメッセージ認証子τが入力、検証結果が出力である。 [Second Embodiment]
FIG. 6 shows a functional configuration example of the message authenticator verification device of the present invention. FIG. 7 shows a processing flow example of the message authenticator verification device of the present invention. The message authenticator verification device 500 includes the message authenticator generation device 100, the comparison unit 510, and the recording unit 590 shown in the first embodiment, and the data M and the message authenticator τ are input and the verification result is output.

メッセージ認証子検証装置500内のメッセージ認証子生成装置100は、データDからメッセージ認証子τ’を生成する(S100)。比較部510は、メッセージ認証子τとメッセージ認証子τ’とを比較する。そして、τ=τ’ならば、送信者またはデータ作成者の認証、およびデータ内容の整合性が検証されたとする。τ≠τ’ならば、送信者またはデータ作成者の詐称、もしくはデータの改ざんがあると判断する。そして、検証結果を出力する(S510)。なお、記録部590を備えず、その他の構成部でこれらの情報を記録してもよい。   The message authenticator generation device 100 in the message authenticator verification device 500 generates a message authenticator τ ′ from the data D (S100). The comparison unit 510 compares the message authenticator τ and the message authenticator τ ′. If τ = τ ′, the authentication of the sender or the data creator and the consistency of the data contents are verified. If τ ≠ τ ′, it is determined that the sender or the data creator is misrepresented or the data is falsified. Then, the verification result is output (S510). The recording unit 590 may not be provided, and these pieces of information may be recorded by other constituent units.

このような構成なので、メッセージ認証子検証装置500でも、メッセージ認証子生成装置100と同じ効果を得ることができる。   With this configuration, the message authenticator verification device 500 can achieve the same effects as the message authenticator generation device 100.

図8に、コンピュータの機能構成例を示す。なお、本発明のメッセージ認証子生成装置およびメッセージ認証子検証装置は、コンピュータ2000の記録部2020に、本発明の各構成部としてコンピュータ2000を動作させるプログラムを読み込ませ、処理部2010、入力部2030、出力部2040などを動作させることで実現できる。また、コンピュータに読み込ませる方法としては、プログラムをコンピュータ読み取り可能な記録媒体に記録しておき、記録媒体からコンピュータに読み込ませる方法、サーバ等に記録されたプログラムを、電気通信回線等を通じてコンピュータに読み込ませる方法などがある。   FIG. 8 shows a functional configuration example of a computer. Note that the message authenticator generation device and the message authenticator verification device of the present invention cause the recording unit 2020 of the computer 2000 to read a program that causes the computer 2000 to operate as each component of the present invention, and the processing unit 2010 and the input unit 2030. This can be realized by operating the output unit 2040 or the like. In addition, as a method of causing the computer to read, the program is recorded on a computer-readable recording medium, and the program recorded on the server or the like is read into the computer through a telecommunication line or the like. There is a method to make it.

従来のメッセージ認証子生成装置の機能構成例を示す図。The figure which shows the function structural example of the conventional message authenticator production | generation apparatus. ハッシュ手段920の機能構成例を示す図。The figure which shows the function structural example of the hash means 920. FIG. 本発明のメッセージ認証子生成装置の機能構成例を示す図。The figure which shows the function structural example of the message authenticator production | generation apparatus of this invention. 本発明のメッセージ認証子生成装置の処理フロー例を示す図。The figure which shows the example of a processing flow of the message authenticator production | generation apparatus of this invention. 本発明のメッセージ認証子生成装置の各構成部での処理の流れを示す図。The figure which shows the flow of a process in each structure part of the message authenticator production | generation apparatus of this invention. 本発明のメッセージ認証子検証装置の機能構成例を示す図。The figure which shows the function structural example of the message authenticator verification apparatus of this invention. 本発明のメッセージ認証子検証装置の処理フロー例を示す図。The figure which shows the example of a processing flow of the message authenticator verification apparatus of this invention. コンピュータの機能構成例を示す図。The figure which shows the function structural example of a computer.

符号の説明Explanation of symbols

100、900 メッセージ認証子生成装置 110、921 パディング部
120 メッセージ分割部 130 チェックサム計算部
140、924 中間変数計算部 150 チェックサム計算部
160 後処理部 500 メッセージ認証子検証装置
510 比較部 590 記録部
910 鍵パディング手段 920 ハッシュ手段
922 メッセージブロック生成部 923 初期設定部 100, 900 Message authenticator generation device 110, 921 Padding unit 120 Message dividing unit 130 Checksum calculation unit 140, 924 Intermediate variable calculation unit 150 Checksum calculation unit 160 Post-processing unit 500 Message authenticator verification device 510 Comparison unit 590 Recording unit 910 Key padding means 920 Hash means 922 Message block generation section 923 Initial setting section

Claims (8)

データDに対するメッセージ認証子τを出力するメッセージ認証子生成装置であって、
前記データDに対して、あらかじめ定めたパディングを行うことで、b×Nビット(ただし、bはあらかじめ定めた整数、Nはb×NがデータDのメッセージ長よりも長くなる整数)のデータMを生成するパディング部と、
前記データMを、N個に分割し、bビットのデータm,…,mを生成するメッセージ分割部と、
前記データm,…,mの排他的論理和
Figure 2009188794
 を計算し、第1チェックサムSとする第1チェックサム計算部と、
cビット(ただし、cはあらかじめ定めた整数)の最初の中間変数vを定め、中間変数vn−1から中間変数vを求める計算
Figure 2009188794
 (ただし、nは1以上N以下の整数、fはcビットの鍵kを用いてbビットのビット列をcビットのビット列に圧縮する圧縮関数、“‖”はビット列の結合を意味する記号、“0b−c”は“0”がb−c個並んだビット列、Δはbビットのあらかじめ定めたビット列)をN回繰り返して中間変数vを求める中間変数計算部と、
中間変数v,…,vの排他的論理和
Figure 2009188794
 を計算し、第2チェックサムSとする第2チェックサム計算部と、
計算
Figure 2009188794
 (ただし、Δ’はbビットのあらかじめ定めたビット列、jは1から3の整数)によってメッセージ認証子τを求める後処理部と
を備えるメッセージ認証子生成装置。 A message authenticator generating device that outputs a message authenticator τ for data D,
By performing predetermined padding on the data D, data M of b × N bits (where b is a predetermined integer and N is an integer in which b × N is longer than the message length of the data D). A padding part for generating
A message dividing unit that divides the data M into N pieces and generates b-bit data m 1 ,..., M N ;
Exclusive OR of the data m 1 ,..., M N
Figure 2009188794
 Was calculated, and the first checksum calculator for the first checksum S 1,
Calculation for determining the first intermediate variable v 0 of c bits (where c is a predetermined integer) and determining the intermediate variable v n from the intermediate variable v n −1
Figure 2009188794
 (Where n is an integer greater than or equal to 1 and less than or equal to N, f k is a compression function that compresses a b-bit bit string into a c-bit bit string using a c-bit key k, “‖” is a symbol that means a combination of bit strings, "0 b-c" is "0" b-c or aligned bit strings, delta n is an intermediate variable calculation unit for obtaining the intermediate variable v n a b a predetermined bit string of bits) is repeated n times,
Exclusive OR of intermediate variables v 1 , ..., v N
Figure 2009188794
 And calculating a second checksum S2 as a second checksum S2,
Calculation
Figure 2009188794
 And a post-processing unit for obtaining a message authenticator τ according to (where Δ ′ j is a predetermined bit string of b bits and j is an integer of 1 to 3). 請求項1記載のメッセージ認証子生成装置であって、
前記bが512、xが有限体GF(2)上の既約多項式の剰余環によって表現される有限体GF(2)の拡大体の乗法群の元、ビット列Δ
Figure 2009188794
 で求められるビット列の先頭のbビット、“・”が拡大体の乗算を示す記号であるときに、
ビット列Δをx・Δ、ビット列Δ’をx・(x+1)・Δとする
ことを特徴とするメッセージ認証子生成装置。 The message authenticator generation device according to claim 1,
The bit string Δ 0 is an element of a multiplicative group of an extension field of a finite field GF (2) where b is 512 and x is expressed by a remainder ring of an irreducible polynomial over the finite field GF (2).
Figure 2009188794
 When the first b bits of the bit string obtained in (2), “·” is a symbol indicating multiplication of an extension field,
A message authenticator generating device characterized in that a bit string Δ n is x n · Δ 0 and a bit string Δ ′ j is x N · (x + 1) j · Δ 0 . データDとメッセージ認証子τとを入力とし、データDの検証を行うメッセージ認証子検証装置であって、
前記データDからメッセージ認証子τ’を生成する請求項1または2記載のメッセージ認証子生成装置と、
前記メッセージ認証子τと前記メッセージ認証子τ’とを比較してデータDの検証結果を出力する比較部と
を備えるメッセージ認証子検証装置。 A message authenticator verification device that receives data D and a message authenticator τ and performs verification of data D,
The message authenticator generation device according to claim 1 or 2, wherein a message authenticator τ 'is generated from the data D;
A message authenticator verification device comprising: a comparison unit that compares the message authenticator τ and the message authenticator τ ′ and outputs a verification result of data D. データDに対するメッセージ認証子τを出力するメッセージ認証子生成方法であって、
パディング部が、前記データDに対して、あらかじめ定めたパディングを行うことで、b×Nビット(ただし、bはあらかじめ定めた整数、Nはb×NがデータDのメッセージ長よりも長くなる整数)のデータMを生成するパディングステップと、
メッセージ分割部が、前記データMを、N個に分割し、bビットのデータm,…,mを生成するメッセージ分割ステップと、
第1チェックサム計算部が、前記データm,…,mの排他的論理和
Figure 2009188794
 を計算し、第1チェックサムSとする第1チェックサム計算ステップと、
中間変数計算部が、cビット(ただし、cはあらかじめ定めた整数)の最初の中間変数vを定め、中間変数vn−1から中間変数vを求める計算
Figure 2009188794
 (ただし、nは1以上N以下の整数、fはcビットの鍵kを用いてbビットのビット列をcビットのビット列に圧縮する圧縮関数、“‖”はビット列の結合を意味する記号、“0b−c”は“0”がb−c個並んだビット列、Δはbビットのあらかじめ定めたビット列)をN回繰り返して中間変数vを求める中間変数計算ステップと、
第2チェックサム計算部が、中間変数v,…,vの排他的論理和
Figure 2009188794
 を計算し、第2チェックサムSとする第2チェックサム計算ステップと、
後処理部が、計算
Figure 2009188794
 (ただし、Δ’はbビットのあらかじめ定めたビット列、jは1から3の整数)によってメッセージ認証子τを求める後処理ステップと
を有するメッセージ認証子生成方法。 A message authenticator generation method for outputting a message authenticator τ for data D,
The padding section performs predetermined padding on the data D, so that b × N bits (where b is a predetermined integer, N is an integer in which b × N is longer than the message length of the data D). ) Padding step for generating data M;
A message dividing step for dividing the data M into N pieces and generating b-bit data m 1 ,..., M N ;
The first checksum calculation unit performs an exclusive OR of the data m 1 ,..., M N
Figure 2009188794
 And calculating a first checksum S1 as a first checksum S1;
The intermediate variable calculation unit determines the first intermediate variable v 0 of c bits (where c is a predetermined integer), and calculates the intermediate variable v n from the intermediate variable v n −1.
Figure 2009188794
 (Where n is an integer greater than or equal to 1 and less than or equal to N, f k is a compression function that compresses a b-bit bit string into a c-bit bit string using a c-bit key k, “‖” is a symbol that means a combination of bit strings, "0 b-c" is "0" b-c or aligned bit strings, delta n is an intermediate variable calculation step of obtaining an intermediate variable v n a b a predetermined bit string of bits) is repeated n times,
The second checksum calculator calculates the exclusive OR of the intermediate variables v 1 ,..., V N
Figure 2009188794
 And calculating a second checksum S 2 as a second checksum S 2 ,
Post-processing section calculates
Figure 2009188794
 (Where Δ ′ j is a predetermined bit string of b bits, j is an integer from 1 to 3), and a post-processing step for obtaining a message authenticator τ. 請求項4記載のメッセージ認証子生成方法であって、
前記bが512、xが有限体GF(2)上の既約多項式の剰余環によって表現される有限体GF(2)の拡大体の乗法群の元、ビット列Δ
Figure 2009188794
 で求められるビット列の先頭のbビット、“・”が拡大体の乗算を示す記号であるときに、
ビット列Δをx・Δ、ビット列Δ’をx・(x+1)・Δとする
ことを特徴とするメッセージ認証子生成方法。 The message authenticator generation method according to claim 4, wherein
The bit string Δ 0 is an element of a multiplicative group of an extension field of a finite field GF (2) where b is 512 and x is expressed by a remainder ring of an irreducible polynomial over the finite field GF (2).
Figure 2009188794
 When the first b bits of the bit string obtained in (2), “·” is a symbol indicating multiplication of an extension field,
Message authentication code generation method characterized by the bit string Δ n x n · Δ 0, the bit string delta 'j and x N · (x + 1) j · Δ 0. データDとメッセージ認証子τとを入力とし、データDの検証を行うメッセージ認証子検証方法であって、
前記データDからメッセージ認証子τ’を生成する請求項4または5記載のメッセージ認証子生成方法の各ステップと、
比較部で、前記メッセージ認証子τと前記メッセージ認証子τ’とを比較してデータDの検証結果を出力する比較ステップと
を有するメッセージ認証子検証方法。 A message authenticator verification method for inputting data D and a message authenticator τ and verifying data D,
Each step of the message authenticator generation method according to claim 4 or 5, wherein a message authenticator τ 'is generated from the data D;
A comparison step of comparing the message authenticator τ and the message authenticator τ ′ and outputting a verification result of the data D in the comparison unit. 請求項1から3のいずれかに記載の装置として、コンピュータを動作させるプログラム。   A program for operating a computer as the apparatus according to claim 1. 請求項7記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium on which the program according to claim 7 is recorded.
JP2008027420A 2008-02-07 2008-02-07 Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, program, and recording medium Expired - Fee Related JP4914381B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008027420A JP4914381B2 (en) 2008-02-07 2008-02-07 Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008027420A JP4914381B2 (en) 2008-02-07 2008-02-07 Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, program, and recording medium

Publications (2)

Publication Number Publication Date
JP2009188794A true JP2009188794A (en) 2009-08-20
JP4914381B2 JP4914381B2 (en) 2012-04-11

Family

ID=41071589

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008027420A Expired - Fee Related JP4914381B2 (en) 2008-02-07 2008-02-07 Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, program, and recording medium

Country Status (1)

Country Link
JP (1) JP4914381B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10326589B2 (en) 2015-09-28 2019-06-18 Mitsubishi Electric Corporation Message authenticator generating apparatus, message authenticator generating method, and computer readable recording medium
CN111052670A (en) * 2017-09-01 2020-04-21 三菱电机株式会社 Encryption device, decryption device, encryption method, decryption method, encryption program, and decryption program
US11177936B2 (en) 2017-02-22 2021-11-16 Mitsubishi Electric Corporation Message authenticator generation apparatus

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003051821A (en) * 2001-05-11 2003-02-21 Lucent Technol Inc Message processing method for authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003051821A (en) * 2001-05-11 2003-02-21 Lucent Technol Inc Message processing method for authentication

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10326589B2 (en) 2015-09-28 2019-06-18 Mitsubishi Electric Corporation Message authenticator generating apparatus, message authenticator generating method, and computer readable recording medium
US11177936B2 (en) 2017-02-22 2021-11-16 Mitsubishi Electric Corporation Message authenticator generation apparatus
CN111052670A (en) * 2017-09-01 2020-04-21 三菱电机株式会社 Encryption device, decryption device, encryption method, decryption method, encryption program, and decryption program
CN111052670B (en) * 2017-09-01 2024-02-09 三菱电机株式会社 Encryption device, decryption device, encryption method, decryption method, and computer-readable storage medium

Also Published As

Publication number Publication date
JP4914381B2 (en) 2012-04-11

Similar Documents

Publication Publication Date Title
JP6519473B2 (en) Authentication encryption apparatus, authentication encryption method and program for authentication encryption
US9444619B2 (en) Generation of randomized messages for cryptographic hash functions
Albertini et al. How to abuse and fix authenticated encryption without key commitment
JP6305642B2 (en) Message authenticator generating apparatus, message authenticator generating method, and message authenticator generating program
WO2013065241A1 (en) Incremental mac tag generation device, method, and program, and message authentication device
JP2006221161A (en) Cryptographic application of cartier pairing
KR101942030B1 (en) Electronic device for performing code-based encryption supporting integrity verification of a message and operating method thereof
JP7323196B2 (en) Encryption device, encryption method, program, decryption device, decryption method
Gorbenko et al. Post-quantum message authentication cryptography based on error-correcting codes
JP6187462B2 (en) Universal hash function computing device, method and program
JP4988448B2 (en) Batch verification apparatus, program, and batch verification method
WO2020213114A1 (en) Mac tag list generation device, mac tag list verification device, method, and program
JP4914381B2 (en) Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, program, and recording medium
JP5427117B2 (en) Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, and program
Lee et al. Ciphertext-only attack on linear feedback shift register-based Esmaeili-Gulliver cryptosystem
JP2009169316A (en) Hash function operational device, signature device, program and hash function operational method
JP5528281B2 (en) Hash value arithmetic unit
Knudsen et al. Preimage and collision attacks on MD2
JP6305643B2 (en) Message authenticator generating apparatus, message authenticator generating method, and message authenticator generating program
JP4914329B2 (en) Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, program, and recording medium
US8150030B2 (en) Cryptographic hashing device and method
JP5006770B2 (en) Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, program, and recording medium
Mohanty et al. A secured cryptographic hashing algorithm
Park et al. A study on the processing and reinforcement of message digest through two-dimensional array masking
WO2017009981A1 (en) Device for generating message authenticator

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100114

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110729

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120110

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120120

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150127

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees