JP2012215813A - 暗号処理装置、および暗号処理方法、並びにプログラム - Google Patents

暗号処理装置、および暗号処理方法、並びにプログラム Download PDF

Info

Publication number
JP2012215813A
JP2012215813A JP2011207702A JP2011207702A JP2012215813A JP 2012215813 A JP2012215813 A JP 2012215813A JP 2011207702 A JP2011207702 A JP 2011207702A JP 2011207702 A JP2011207702 A JP 2011207702A JP 2012215813 A JP2012215813 A JP 2012215813A
Authority
JP
Japan
Prior art keywords
data
round
input
function
cryptographic processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011207702A
Other languages
English (en)
Other versions
JP5682525B2 (ja
Inventor
Koushi Shibuya
香士 渋谷
Toru Akishita
徹 秋下
Takanori Isobe
孝典 五十部
Taizo Shirai
太三 白井
Tsuneyoshi Hiwatari
玄良 樋渡
Atsushi MITSUDA
敦司 三津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP2011207702A priority Critical patent/JP5682525B2/ja
Application filed by Sony Corp filed Critical Sony Corp
Priority to PCT/JP2012/053930 priority patent/WO2012132620A1/ja
Priority to KR1020137024805A priority patent/KR101770874B1/ko
Priority to RU2013142989/08A priority patent/RU2598327C2/ru
Priority to CN201280014164.9A priority patent/CN103444124B/zh
Priority to US14/005,663 priority patent/US8983062B2/en
Priority to MYPI2013003197A priority patent/MY163144A/en
Priority to AU2012235129A priority patent/AU2012235129B2/en
Priority to CA2827761A priority patent/CA2827761C/en
Priority to BR112013024250A priority patent/BR112013024250A2/pt
Priority to EP12763711.4A priority patent/EP2693681A4/en
Priority to SG2013070586A priority patent/SG193544A1/en
Priority to TW101105911A priority patent/TWI552121B/zh
Publication of JP2012215813A publication Critical patent/JP2012215813A/ja
Application granted granted Critical
Publication of JP5682525B2 publication Critical patent/JP5682525B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Facsimile Transmission Control (AREA)
  • Compression, Expansion, Code Conversion, And Decoders (AREA)

Abstract

【課題】拡散(diffusion)特性を向上させた安全性の高い暗号処理を実現する。
【解決手段】データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、暗号処理部において、入力データであるnビットデータを分割数dで分割したn/dビットデータを各ラインに入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に分割し、該分割データを組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして処理を実行する。本構成により拡散特性を向上させた安全性の高い暗号処理が実現される。
【選択図】図20

Description

本開示は、暗号処理装置、および暗号処理方法、並びにプログラムに関する。さらに詳細には、共通鍵系暗号を実行する暗号処理装置、および暗号処理方法、並びにプログラムに関する。
情報化社会が発展すると共に、扱う情報を安全に守るための情報セキュリティ技術の重要性が増してきている。情報セキュリティ技術の構成要素の一つとして暗号技術があり、現在では様々な製品やシステムで暗号技術が利用されている。
暗号処理アルゴリズムには様々なものがあるが、基本的な技術の一つとして、共通鍵ブロック暗号と呼ばれるものがある。共通鍵ブロック暗号では、暗号化用の鍵と復号用の鍵が共通のものとなっている。暗号化処理、復号処理共に、その共通鍵から複数の鍵を生成し、あるブロック単位、例えば64ビット、128ビット、256ビット等のブロックデータ単位でデータ変換処理を繰り返し実行する。
代表的な共通鍵ブロック暗号のアルゴリズムとしては、過去の米国標準であるDES(Data Encryption Standard)や現在の米国標準であるAES(Advanced Encryption Standard)が知られている。他にも様々な共通鍵ブロック暗号が現在も提案され続けており、2007年にソニー株式会社が提案したCLEFIAも共通鍵ブロック暗号の一つである。
このような、共通鍵ブロック暗号のアルゴリズムは、主として、入力データの変換を繰り返し実行するラウンド関数実行部を有する暗号処理部と、ラウンド関数部の各ラウンドで適用するラウンド鍵を生成する鍵スケジュール部とによって構成される。鍵スケジュール部は、秘密鍵であるマスター鍵(主鍵)に基づいて、まずビット数を増加させた拡大鍵を生成し、生成した拡大鍵に基づいて、暗号処理部の各ラウンド関数部で適用するラウンド鍵(副鍵)を生成する。
このようなアルゴリズムを実行する具体的な構造として、線形変換部および非線形変換部を有するラウンド関数を繰り返し実行する構造が知られている。例えば代表的な構造にFeistel構造や一般化Feistel構造がある。Feistel構造や一般化Feistel構造は、データ変換関数としてのF関数を含むラウンド関数の単純な繰り返しにより、平文を暗号文に変換する構造を持つ。F関数においては、線形変換処理および非線形変換処理が実行される。なお、Feistel構造を適用した暗号処理について記載した文献としては、例えば非特許文献1、非特許文献2がある。
ブロック暗号の安全性を評価する指標のひとつとしてdiffusion(拡散)特性と呼ばれるものがある。この特性は入力データの変化を出力データに波及させる(拡散させる)特性と考えることができ、安全なブロック暗号にはこのような入力データの変化の影響をできるだけ速く出力データに伝えることが求められる。
拡散(diffusion)特性を向上させるためには、例えば、ラウンド関数の繰り返し回数を増加させるといったことが効果的であることは予測される。しかし、より少ないラウンド関数の繰り返し回数でいかに拡散(diffusion)特性を向上させるかについての技術を開示した従来技術はない。
K. Nyberg, "Generalized Feistel networks", ASIACRYPT’96, SpringerVerlag, 1996, pp.91−−104. Yuliang Zheng, Tsutomu Matsumoto, Hideki Imai: On the Construction of Block Ciphers Provably Secure and Not Relying on Any Unproved Hypotheses. CRYPTO 1989: 461−480
本開示は、例えば上述の状況に鑑みてなされたものであり、拡散(diffusion)特性を向上させた安全性の高い暗号処理装置、および暗号処理方法、並びにプログラムを提供することを目的とする。
本開示の第1の側面は、
データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
前記暗号処理部は、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する構成であり、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理装置にある。
さらに、本開示の暗号処理装置の一実施態様において、前記ラウンド関数は、ラウンド鍵を適用した演算と、非線形変換処理と、線形変換処理を含むF関数、およびF関数の出力または入力に対する他ラインのデータとの排他的論理和演算を含む。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部は、
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する、
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する、
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する、
上記(1)〜(3)の分配条件を満たす処理によって前段のラウンド演算の演算結果を次段のラウンド演算の入力として設定する。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部は、入力データの分割数dを4以上とした一般化Feistel構造を有する。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部は、ラウンド演算の出力データを有するd個のライン各々のn/dビットデータをd/2個に再分割して、d×(n/d)個の再分割データを生成し、分割数dに応じたd本のラインの異なるラインから選択したd/2個の再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部は、全出力ビットが以下に示す2つの条件を満足する拡散(diffusion)状態、すなわち、出力ビットを入力ビットの関係式として記述した場合に、
(条件1)全入力ビットが関係式に含まれる
(条件2)全入力ビットが少なくとも1度は前記ラウンド関数を通過している
上記2つの条件を満足する全拡散(full diffusion)状態を実現する構成である。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部は、前記全拡散(full diffusion)状態を4ラウンドのラウンド演算によって実現する。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部の前段のラウンド演算の出力データと次段のラウンド演算の再分割データの入出力関係を決定する接続構成は、ラウンド演算の出力データを有するラインのn/dビットデータの再分割処理によって生成されるd×(n/d)個の再分割データの組み合わせデータである(d/2)個の2n/dビットのデータセットを単位とした接続構成から選択される接続構成である。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部は、暗号化処理と復号処理の双方に適用可能なインボリーション性を有する。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部の各ラウンド演算の再分割データの再構成処理は、前段のラウンド関数入力側系列の再分割データを、予め決定した規則に従って次段の排他的論理和側系列に分配し、前段の排他的論理和側系列の再分割データを、予め決定した規則に従って次段のラウンド関数入力側系列に分配する構成である。
さらに、本開示の暗号処理装置の一実施態様において、前記暗号処理部は、入力データとしての平文を暗号文に変換する暗号化処理、または、入力データとしての暗号文を平文に変換する復号処理を実行する。
さらに、本開示の第2の側面は、
暗号処理装置において実行する暗号処理方法であり、
暗号処理部が、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行し、
前記暗号処理ステップは、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行し、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理方法にある。
さらに、本開示の第3の側面は、
暗号処理装置において暗号処理を実行させるプログラムであり、
暗号処理部に、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行させ、
前記暗号処理ステップにおいて、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行させ、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行させるプログラムにある。
なお、本開示のプログラムは、例えば、様々なプログラム・コードを実行可能な情報処理装置やコンピュータ・システムに対して例えば記憶媒体によって提供されるプログラムである。このようなプログラムを情報処理装置やコンピュータ・システム上のプログラム実行部で実行することでプログラムに応じた処理が実現される。
本開示のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
本開示の一実施例によれば、拡散(diffusion)特性を向上させた安全性の高い暗号処理が実現される。
具体的には、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、暗号処理部において、入力データであるnビットデータを分割数dで分割したn/dビットデータを各ラインに入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に分割し、該分割データを組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして処理を実行する。この構成によって、拡散(diffusion)特性を向上させた安全性の高い暗号処理が実現される。
kビットの鍵長に対応したnビット共通鍵ブロック暗号アルゴリズムを説明する図である。 図1に示すkビットの鍵長に対応したnビット共通鍵ブロック暗号アルゴリズムに対応する復号アルゴリズムを説明する図である。 鍵スケジュール部とデータ暗号化部の関係について説明する図である。 データ暗号化部の構成例について説明する図である。 SPN構造のラウンド関数の例について説明する図である。 Feistel構造のラウンド関数の一例について説明する図である。 拡張Feistel構造の一例について説明する図である。 拡張Feistel構造の一例について説明する図である。 非線形変換部の構成例について説明する図である。 線形変換処理部の構成例について説明する図である。 Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 4−lineで1段に2つのF関数を使用する一般化Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 4−lineで1段に2つのF関数を使用する一般化Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 4−lineで1段に2つのF関数を使用する一般化Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 d=6とした場合の通常の一般化Feistel構造を説明する図である。 d=6とした場合の通常の一般化Feistel構造の全拡散(full diffusion)状態となるパスの一例を示す図である。 ラウンド間の配線を変更することで分割数dが6以上の場合に、従来の構成より全拡散(full diffusion)ラウンド数を減少させた構成例を説明する図である。 ラウンド間の配線を変更することで分割数dが6以上の場合に、従来の構成より全拡散(full diffusion)ラウンド数を減少させた構成において全拡散(full diffusion)状態となるパスの一例を示す図である。 本開示の一実施例としての暗号処理構成について説明する図である。 本開示の一実施例であるd=4とした場合の例について説明する図である。 d=4の場合の本方式で全拡散(full diffusion)状態となるパスの一例を示す図である。 本開示の一実施例であるd=6とした場合の例について説明する図である。 d=6の場合の本方式で全拡散(full diffusion)状態となるパスの一例を示す図である。 d=6の場合に各n/dビットデータを2分割した構成例を示す図である。 nビット入力データの分割数d,および各n/dビットデータの分割数pにおける各全拡散(full diffusion)ラウンド数の関係の一部を示す図である。 F関数入力側データ系列と排他的論理和側データ系列とでそれぞれ異なる分割を行った構成例を示す図である。 図21に記載の構成例で拡大鍵の挿入位置を変更した構成例を示す図である。 データ分配法のより効率的な手法について説明する図である。 データ分配法のより効率的な手法について説明する図である。 データ分配法のより効率的な手法について説明する図である。 Feistel構造のインボリューション性について説明する図である。 Feistel構造のインボリューション性について説明する図である。 高い拡散(diffusion)特性を得られる4−line構造の一方式を示す図である。 インボリーション性を実現する処理について説明する図である。 4−line(d=4)の構成において、インボリーション性を有する構成の一例について説明する図である。 6−line(d=6)の構成において、インボリーション性を有する構成の一例について説明する図である。 インボリーション性を有する構成の一例について説明する図である。 インボリーション性を有する構成の一例について説明する図である。 暗号処理装置としてのICモジュール700の構成例を示す図である。
以下、図面を参照しながら本開示に係る暗号処理装置、および暗号処理方法、並びにプログラムの詳細について説明する。説明は、以下の項目に従って行う。
1.共通鍵ブロック暗号の概要
2.拡散(diffusion)特性の概要について
(2−1)拡散(diffusion)特性についての説明
(2−2)拡散(diffusion)特性を考慮したこれまでの構成例について
3.本開示に従った拡散(diffusion)特性を向上させた構成例について
4.より効率的なデータ分配法を持つ構成例について
5.インボリューション(involution)性を備えた構成例について
6.暗号処理装置の構成例について
7.本開示の構成のまとめ
[1.共通鍵ブロック暗号の概要]
まず、共通鍵ブロック暗号の概要について説明する。
(1−1.共通鍵ブロック暗号)
ここでは共通鍵ブロック暗号(以下ではブロック暗号)としては以下に定義するものを指すものとする。
ブロック暗号は入力として平文Pと鍵Kを取り、暗号文Cを出力する。平文と暗号文のビット長をブロックサイズと呼びここではnで著す。nは任意の整数値を取りうるが、通常、ブロック暗号アルゴリズムごとに、あらかじめひとつに決められている値である。ブロック長がnのブロック暗号のことをnビットブロック暗号と呼ぶこともある。
鍵のビット長をkで表す。鍵は任意の整数値を取りうる。共通鍵ブロック暗号アルゴリズムは1つまたは複数の鍵サイズに対応することになる。例えば、あるブロック暗号アルゴリズムAはブロックサイズn=128であり、k=128またはk=192またはk=256の鍵サイズに対応するという構成もありうるものとする。
平文P:nビット
暗号文C:nビット
鍵K:kビット
図1にkビットの鍵長に対応したnビット共通鍵ブロック暗号アルゴリズムEの図を示す。
暗号化アルゴリズムEに対応する復号アルゴリズムDは暗号化アルゴリズムEの逆関数E−1と定義でき、入力として暗号文Cと鍵Kを受け取り,平文Pを出力する。図2に図1に示した暗号アルゴリズムEに対応する復号アルゴリズムDの図を示す。
(1−2.内部構成)
ブロック暗号は2つの部分に分けて考えることができる。ひとつは鍵Kを入力とし、
ある定められたステップによりビット長を拡大してできた拡大鍵K'(ビット長k')を出力する「鍵スケジュール部」と、もうひとつは平文Pと鍵スケジュール部から拡大された鍵K'を受け取ってデータの変換を行い暗号文Cを出力する「データ暗号化部」である。
2つの部分の関係は図3に示される。
(1−3.データ暗号化部)
以下の実施例において用いるデータ暗号化部はラウンド関数という処理単位に分割できるものとする。ラウンド関数は入力としての2つのデータを受け取り、内部で処理を施したのち、1つのデータを出力する。入力データの一方は暗号化途中のnビットデータであり、あるラウンドにおけるラウンド関数の出力が次のラウンドの入力として供給される構成となる。もう1つの入力データは鍵スケジュールから出力された拡大鍵の一部のデータが用いられ、この鍵データのことをラウンド鍵と呼ぶものとする。またラウンド関数の総数は総ラウンド数と呼ばれ、暗号アルゴリズムごとにあらかじめ定められている値である。ここでは総ラウンド数をRで表す。
データ暗号化部の入力側から見て1ラウンド目の入力データをXとし、i番目のラウンド関数に入力されるデータをX、ラウンド鍵をRKとすると、データ暗号化部全体は図4のように示される。
(1−4.ラウンド関数)
ブロック暗号アルゴリズムによってラウンド関数はさまざまな形態をとりうる。ラウンド関数はその暗号アルゴリズムが採用する構造(structure)によって分類できる。代表的な構造としてここではSPN構造、Feistel構造、拡張Feistel構造を例示する。
(ア)SPN構造ラウンド関数
nビットの入力データすべてに対して、ラウンド鍵との排他的論理和演算、非線形変換、線形変換処理などが適用される構成。各演算の順番は特に決まっていない。図5にSPN構造のラウンド関数の例を示す。
(イ)Feistel構造
nビットの入力データはn/2ビットの2つのデータに分割される。うち片方のデータとラウンド鍵を入力として持つ関数(F関数)が適用され、出力がもう片方のデータに排他的論理和される。そののちデータの左右を入れ替えたものを出力データとする。F関数の内部構成にもさまざまなタイプのものがあるが、基本的にはSPN構造同様にラウンド鍵データとの排他的論理和演算、非線形演算、線形変換の組み合わせで実現される。図6にFeistel構造のラウンド関数の一例を示す。
(ウ)拡張Feistel構造
拡張Feistel構造はFeistel構造ではデータ分割数が2であったものを,3以上に分割する形に拡張したものである。分割数をdとすると、dによってさまざまな拡張Feistel構造を定義することができる。F関数の入出力のサイズが相対的に小さくなるため、小型実装に向いているとされる。図7にd=4でかつ、ひとつのラウンド内に2つのF関数が並列に適用される場合の拡張Feistel構造の一例を示す。また,図8にd=8でかつ,ひとつのラウンド内に1つのF関数が適用される場合の拡張Feistel構造の一例を示す。
(1−5.非線形変換処理部)
非線形変換処理部は、入力されるデータのサイズが大きくなると実装上のコストが高くなる傾向がある。それを回避するために対象データを複数の単位に分割し、それぞれに対して非線形変換を施す構成がとられることが多い。例えば入力サイズをmsビットとして、それらをsビットずつのm個のデータに分割して、それぞれに対してsビット入出力を持つ非線形変換を行う構成である。それらのsビット単位の非線形変換をS−boxと呼ぶものとする。図9に例を示す。
(1−6.線形変換処理部)
線形変換処理部はその性質上、行列として定義することが可能である。行列の要素はGF(2)の体の要素やGF(2)の要素など、一般的にはさまざまな表現ができる。図10にmsビット入出力をもち、GF(2)の上で定義されるm×mの行列により定義される線形変換処理部の例を示す。
[2.拡散(diffusion)特性の概要について]
本開示の暗号処理の説明の前に拡散(diffusion)特性の概要について説明する。
(2−1)拡散(diffusion)特性についての説明
先に簡単に説明したように、ブロック暗号の安全性を評価する指標のひとつとしてdiffusion(拡散)特性と呼ばれるものがある。この特性は入力データの変化を出力データに波及させる(拡散させる)特性と考えることができ、安全なブロック暗号にはこのような入力データの変化の影響をできるだけ速く出力データに伝えることが求められる。
以下に、「diffusion状態」,「full diffusion状態」,「full diffusionラウンド数」を定義する。
ある出力ビットを入力ビットの関係式として記述して以下の条件を満たす場合,その出力ビットは「diffusion状態」になっていると定義する。
(条件1)全入力ビットが関係式に含まれる。
(条件2)全入力ビットが少なくとも1度はラウンド関数(F関数)を通過している。
さらに、
全出力ビットが拡散(diffusion)状態になっていることを「全拡散(full diffusion)状態」と定義する。
この全拡散(full diffusion)状態を満たすために最低限必要なラウンド数(繰り返し数)を「全拡散(full diffusion)ラウンド数」と定義する。
これらの定義について、具体的な例として図11,図12に記載のFeistel構造を持つブロック暗号を用いて詳しく説明を行う。図11はFeistel構造を持つブロック暗号のラウンド関数の構成例を表し、図12はそのラウンド関数を3ラウンド繰り返す構造を表している。
図12より第i,i+1,i+2ラウンド出力の左側(第i+1,i+2,i+3入力の左側)のn/2ビットデータXi+1 ,Xi+2 ,Xi+3 ,および第i,i+1,i+2ラウンド出力の右側(第i+1,i+2,i+3入力の右側)のn/2ビットデータXi+1 ,Xi+2 ,Xi+3 はそれぞれ第iラウンド入力X ,X とラウンド鍵RK ,RK ,RK を用いて以下のように表現できる。
i+1 =F(RK ,X )(+)X
i+2 =F(RKi+1 ,Xi+1 )(+)Xi+1 =F(RKi+1 ,F(RK ,X )(+)X )(+)X
i+3 =F(RKi+2 ,Xi+2 )(+)Xi+2 =F(RKi+2 ,F(RKi+1 ,Xi+1 )(+)Xi+1 )(+)Xi+2
=F(RKi+2 ,F(RKi+1 ,F(RK ,X )(+)X )(+)X )(+)F(RK ,X )(+)X
i+1 =X
i+2 =Xi+1 =F(RK ,X )(+)X
i+3 =Xi+2 =F(RKi+1 ,Xi+1 )(+)Xi+1 =F(RKi+1 ,F(RK ,X )(+)X )(+)X
なお、上記式において、
F(K,X)はデータXをパラメータKを用いてF関数で変換したデータを表し、
(+)はビット毎の排他的論理和を表す。
i+1 は入力データX ,X を用いて表現されているが,X がF関数を通過していないため,拡散(diffusion)状態にはなっていない。Xi+2 は入力データX ,X を用いて表現され,かつそれら入力データがF関数の入力として与えられているので,拡散(diffusion)状態になっていると言える.同様にXi+3 も拡散(diffusion)状態になっていると言える。
i+1 はX のみで表現されているため,また,Xi+2 はX がF関数を通過していないため拡散(diffusion)状態にはなっていない.Xi+3 は条件を満たすため拡散(diffusion)状態となっている.
以上の結果から第i+3ラウンド出力Xi+3 ,Xi+3 はともに拡散(diffusion)状態になっているため,全拡散(full diffusion)状態であると言える。このように、図11、図12に示されるFeistel構造を持つブロック暗号の全拡散(full diffusion)ラウンド数は3ラウンドであることが分かる。
全拡散(full diffusion)状態になっていない場合、特定の出力ビットは特定の入力ビットと非線形関数(F関数)の影響を受けていないということになるため、各種攻撃に対して脆弱になることが予想される。特に拡散(diffusion)特性は不能差分攻撃、飽和攻撃といった攻撃に対する安全性を直接的に評価する指標としても用いられる。全拡散(full diffusion)ラウンド数は少ない方が拡散(diffusion)特性は高いと言える。
図13、図14に別の例を挙げる。これらの図は4−lineで1段に2つのF関数を使用する一般化Feistel構造を示している。
図15に第iラウンド目のn−bit入力Xをn/4−bitずつ4つに分割し、その4番目のn/4−bitデータ(X と表記)の一部のみに変化を与えた場合のその影響の波及を示す。
ただし、図中で太点線は入力の変化がF関数を通過しない状態で伝播しているデータを表し、太線は入力の変化が少なくとも1回F関数を通過した状態で伝播しているデータを表す。また、F関数の各出力ビットはF関数の全入力ビットの影響を受けると仮定する。このように、あらゆる入力ビットの変化を想定して,全出力ビットが影響を受けるまでのラウンド数を求めることでも全拡散(full diffusion)ラウンド数は求めることができる。実際にd=4として,1段に2つのF関数を使用する一般化Feistel構造の全拡散(full diffusion)ラウンド数は5ラウンドであることが知られている。
(2−2)拡散(diffusion)特性を考慮したこれまでの構成例について
次に、これまでに提案されている拡散(diffusion)特性を考慮した処理構成についての概要を説明する。
一般的に1段にd/2個のF関数を用いたd−line一般化Feistel構造は拡散(diffusion)特性があまりよくなく、全拡散(full diffusion)ラウンド数はd+1ラウンドになることが知られている。このことは、例えば、非特許文献3(T.Suzaki,K.Minematsu,"Improving the Generalized Feistel",FSE 2010,LNCS6147,pp.19−39,2010.)に記載がある。
図16にd=6とした場合の通常の一般化Feistel構造、図17に同構成の全拡散(full diffusion)状態となるパスの一例を示す。
非特許文献3ではこのような課題を解決するため,n/dビット毎d個に分割したデータそれぞれについてラウンド間の配線を変更することで分割数dが6以上の場合に、従来の構成より全拡散(full diffusion)ラウンド数を少なくできる構成法を提案している。
図18にd=6とした場合のこの構成法、また図19にその場合の全拡散(full diffusion)状態となるパスの一例を示す。
この構成で達成している全拡散(full diffusion)ラウンド数はd=6,8,10,12,14,16の場合にそれぞれ5,6,7,8,8,8ラウンドとなっており、通常の構成のd+1ラウンドより良い拡散(diffusion)特性が得られていることが分かる。しかしながら、この構成ではd=4の場合には効果がなく、またこれ以上全拡散(full diffusion)ラウンド数を削減することはできない。
また、非特許文献4(洲崎,角尾,久保,川幡, "一般化Feistel構造に拡散層を組み合わせた構造の提案",SCIS2008, 2008)では、n/dビット毎d個に分割したデータそれぞれについて線形演算を施すことで従来より拡散(diffusion)特性が高くなる構成を提案している。しかしながら、この構成の場合、線形演算のための実装手段が必要なため,実装コストの増大を招いてしまう。
[3.本開示に従った拡散(diffusion)特性を向上させた構成例について]
以上のような問題を鑑み、本開示では、一般化Feistel構造において,実装コストを増大させずにより高い拡散(diffusion)特性を得られるような構成法を提案する。
本構成では,まず通常の構成と同様にd−lineの一般化Feistel構造において、nビット入力データをn/dビット毎d個に分割しそれぞれF関数処理,排他的論理和処理を行う(図20:ステップ1)。
このとき、
F関数に入力されるデータ系列をF関数入力側データ系列,
排他的論理和されるデータ系列を排他的論理和側データ系列、
と呼ぶ。
その後、各系列(各ライン)において転送されるn/dビットデータ各々について、さらにd/2個に再分割する(この際の分割は等分割でなくても良い)。
各系列(各ライン)各々でd/2個に再分割されたデータを次のルールにしたがって分配する(図20:ステップ2)。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
このように分配した後、各d/2個に分割されたデータをそれぞれ1つのデータに結合する(図20:ステップ3)。
これを必要回数繰り返す。
分割数dが、d=4の場合の構成例を図20に示す。
このように構成した場合、データの分割数dによらず全拡散(full diffusion)ラウンド数4を実現することが可能になる。
本方式が分割数dに関わらず全拡散(full diffusion)を実現するラウンド数=4を満たす理由を以下に示す。
(1)第iラウンドのあらゆる入力データの変化は第i+1ラウンド目の少なくとも1つのF関数に影響を与える。
(2)第i+1ラウンド目の排他的論理和側データ系列のうち少なくとも1つはdiffusion状態となっている。
(3)第i+1ラウンド目の排他的論理和側データ系列で拡散(diffusion)状態となっているデータはさらにd/2個に分割され,第i+2ラウンド目のd/2個の全F関数に影響を与える。そのため第i+2ラウンド目の全ての排他的論理和側データ系列は拡散(diffusion)状態になる。
(4)第i+2ラウンド目の排他的論理和側データ系列は第i+3ラウンド目のF関数入力側データ系列となるため、第i+3ラウンド目のF関数入力側データ系列は全て拡散(diffusion)状態となる。また、これら拡散(diffusion)状態であるデータは第i+3ラウンド目の全てのF関数に入力されるため,その出力と排他的論理和される排他的論理和側データ系列も全て拡散(diffusion)状態となる。
以上の理由から、必ず第i+3ラウンド後、つまり4ラウンドで全拡散(full diffusion)状態になることが分かる。図21,図22を用いて具体例を示す。
図21はd=4とした場合の本方式の一例である。d=4なので,4つに分割された各n/4ビットデータをさらに2(=d/2)分割している。
第iラウンド入力X に対応する第iラウンド出力の2分割データをそれぞれY 1L,Y 1Rとし,同様にX ,X ,X についても対応する各分割データをY 2L,Y 2R,Y 3L,Y 3R,Y 4L,Y 4Rとする。これら分割データのサイズは等分割した際はn/8ビットとなる。
しかし、各ラインのデータの再分割処理は、必ずしも等分割であることは必要でない。例えば入力ビット数=256ビットし、分割数d=4である場合、
各ラインのビット数は、n/d=256/4=64ビットとなり、この再分割データは等分割すれば32ビットとなり、2つの32ビットデータが生成される。
しかし、等分割することは必須ではなく、64ビットのデータから生成する再分割データを20ビットと44ビット等、任意の組み合わせに分割してもよい。
ただし、次のラウンド演算部に入力する際には、異なるラインにおいて分割された20ビットと44ビットとの組み合わせによって分割数であるd=4個の64ビット単位のデータを再構成して各分割ラインに入力する。
すなわち分割数dの構成において、d本の各ラインにおける再分割処理においては、等分割することは必須ではないが、d本の各ラインにおける再分割の態様(分割比率)は一致させる必要がある。
このとき、第iラウンド入力データのどこかに変化を与えた場合、その影響は第i+1ラウンド目の2つのF関数のうち少なくとも1つに必ず入力される。例えば、X のLSB1ビットのみに変化を与えた場合、その影響はY 4Rのみに伝播し、次にその影響がXi+1 に伝播し、このXi+1 が第i+1ラウンド目の左側F関数に入力されることになる(図22)。入力ビットの他の位置に変化を与えた場合にも同様に考えることができ、少なくとも1つのF関数に影響が伝播することが保証される。
第i+1ラウンド目のF関数の少なくとも1つのF関数には入力の変化が影響しているので、その出力と排他的論理和されるデータは拡散(diffusion)状態となる。つまり,(Yi+1 2L,Yi+1 2R),(Yi+1 4L,Yi+1 4R)のどちらかの組は拡散(diffusion)状態となることが保証される。図22では(Yi+1 2L,Yi+1 2R)がdiffusion状態となっている例を示している。
本方式のルール2,3より、第i+1ラウンド目の出力であるYi+1 2L,Yi+1 2Rは第i+2ラウンド目の2(=d/2)個の全F関数に入力される。同様にYi+1 4L,Yi+1 4Rについても第i+2ラウンド目の全F関数に入力される。つまり、第i+1ラウンド目において(Yi+1 2L,Yi+1 2R),(Yi+1 4L,Yi+1 4R)のどちらの組が拡散(diffusion)状態となっていたとしても、第i+2ラウンド目の全F関数には拡散(diffusion)状態のデータが入力されることになる。よって、それらF関数の出力と排他的論理和されるデータYi+2 2L,Yi+2 2R,Yi+2 4L,Yi+2 4Rは全て拡散(diffusion)状態になり、これらはルール2,3よりXi+3 ,Xi+3 に供給されるため、Xi+3 ,Xi+3 も拡散(diffusion)状態となることが分かる。
これら拡散(diffusion)状態にあるXi+3 ,Xi+3 は第i+3ラウンド目のそれぞれのF関数に入力されるため、その出力と排他的論理和された結果であるYi+2 2L,Yi+2 2R,Yi+2 4L,Yi+2 4R、つまり、Xi+4 ,Xi+4 も拡散(diffusion)状態となる。
以上の結果から、本方式では、全拡散(full diffusion)ラウンド数4を満たすことが可能になる。図22はd=4の場合の本方式で全拡散(full diffusion)状態となるパスの一例を示す。この構成例では従来構成の全拡散(full diffusion)ラウンド数である5ラウンドより少ない4ラウンドを実現できていることが分かる。図22にこの構成におけるd=4の場合のfull diffusionを満たすパスの一例を示す。
また、図23にd=6とした場合の構成例、図24にその場合の全拡散(full diffusion)状態となるパスの一例を示す(図中のラウンド間置換の前後に記述されている数字は置換後にどの位置にデータが配置されているかを示すインデックスを表す)。
以上、説明した本開示に係る構成では、従来構成と比較して非常に高い拡散(diffusion)特性が得られていることが分かる。また、本開示の構成では、線形演算を含まないため、実装コストを増大させることもない。
このように、本実施例は、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、この暗号処理部において以下のようなデータの再分割と再構成を伴うラウンド演算を繰り返し実行する。
すなわち、暗号処理部は、入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。
このラウンド演算の繰り返し処理に際して、ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する。
具体的には、以下の条件を満足する再分割と再構成処理を行う。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
このような条件を満たす処理を行う。
例えば、暗号処理部は、ラウンド演算の出力データを有するd個のライン各々のn/dビットデータをd/2個に再分割して、d×(n/d)個の再分割データを生成し、分割数dに応じたd本のラインの異なるラインから選択したd/2個の再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する。
このような処理を行うことで、前述した全拡散(full diffusion)状態を満たすために最低限必要なラウンド数(繰り返し数)、すなわち、「全拡散(full diffusion)ラウンド数」を4に設定することが可能となる。
なお、前述したように、ある出力ビットを入力ビットの関係式として記述して以下の条件を満たす場合,その出力ビットは「diffusion状態」になっていると定義する。
(条件1)全入力ビットが関係式に含まれる。
(条件2)全入力ビットが少なくとも1度はラウンド関数(F関数)を通過している。
さらに、全出力ビットが拡散(diffusion)状態になっている場合が「全拡散(full diffusion)状態」である。
本開示の実施例として説明した構成例では,入力nビットをd分割したデータを転送する各ライン、すなわち(d/2)本のF関数入力側データ系列ラインと、(d/2)本の排他的論理和側系列ライン各々で転送される各n/dビットデータをそれぞれd/2個に分割した例を説明した。
これは、全拡散(full diffusion)を実現するための最小ラウンド数=4を実現するための設定である。
図25に分割数d:d=6の場合に各ラインで転送されるn/dビットデータ(n/6ビットデータ)を2分割、すなわちd/12ビットに分割してラウンド間の転送を行う構成例を示す。
しかし、ラウンド数を4に限定しなければ、全拡散(full diffusion)を実現するための分割数は、各ライン各々について(d/2)個に限定されるものではない。
入力nビットの分割数:dと、
各ライン各々の分割数:pと、
全拡散(full diffusion)を実現するためのラウント数、
これらの対応関係を示す図を図26に示す。
適切にデータ系列を分配すれば、全拡散(full diffusion)ラウンド数は、以下の式で算出できる。
ラウンド数=3+[log(d/2)]
ただし、[x]はx以上の最小の整数とする。
さらに拡張例としてF関数入力側データ系列と排他的論理和側データ系列とでそれぞれ異なる分割を行った構成を図27に示す。
図27に示す構成は、
分割数d:d=6の場合に、
(d/2)=3本のF関数入力側データ系列ラインについては、2分割、
(d/2)=3本の排他的論理和側系列ラインについては、3分割した例である。
このような構成としても、適切にデータ系列を分配すれば、全拡散(full diffusion)ラウンド数は4とすることが可能である。
また、本方式は拡大鍵(ラウンド鍵)の挿入位置によらず効果が得られる。図21に記載の構成例で拡大鍵(ラウンド鍵)の挿入位置を変更した構成例を図28に示す。
図21においては、拡大鍵(ラウンド鍵)を各F関数に挿入して適用している。
これに対して、図28に示す構成では、拡大鍵(ラウンド鍵)をF関数出力と排他的論理和側データ系列との排他的論理和演算な部に挿入している。
このような構成においても、前述の各ラウント間のデータの再分割処理による転送構成によって、全拡散(full diffusion)ラウンド数の削減が実現される。
[4.より効率的なデータ分配法を持つ構成例について]
上記の項目[3.本開示に従った拡散(diffusion)特性を向上させた構成例について]では、一般化Feistel構造において,実装コストを増大させずにより高い拡散(diffusion)特性を得られるような構成法について説明した。
すなわち、入力データであるnビットデータを分割数dで分割したn/dビットデータを各ラインに入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する構成において、ラウンド演算の出力データを有するライン各々のn/dビットデータをさらにd/2個に再分割し、この再分割データを組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして処理を実行する構成である。
以下では、上述した実施例において説明したデータ分配法のより効率的な手法について説明する。
まず、図29を参照して本実施例の基本的な構成例について説明する。
本構成では、まず前述した上記項目[3]において説明した実施例と同様、d−lineの一般化Feistel構造において、nビット入力データを分割数dに従って、n/dビット毎のd個に分割し、それぞれ、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。
i段のラウンド演算後、d個の各ライン(系列)各々のn/dビット系列をさらにそれぞれd/2個に再分割する。
i段目のラウンド演算後の、各ライン(系列)各々のd/2個に分割された出力データのデータ中、j番目のデータをY[j]と表す(ただし、jは1以上d/2以下の整数)。
同様にi+1段目のラウンド演算部における分割数:dの各ライン単位のn/dビットをそれぞれd/2個に再分割したデータ中、j番目のデータをXi+1[j]と表す(ただし、jは1以上d/2以下の整数)。
また、YY[t]をY[j]のうち、j=(d/2)s+tを満たすものを順に連結したデータとする。
ただしsは0以上(d−1)以下、tは1以上d/2以下の整数である。
具体的には、例えば、
YY[1]=Y[1]||Y[1×d/2+1]||Y[2×d/2+1]||…||Y[(d−1)×d/2+1]、
YY[2]=Y[2]||Y[1×d/2+2]||Y[2×d/2+2]||…||Y[(d−1)×d/2+2]、

YY[d/2]=Y[d/2]||Y[1×d/2+d/2]||Y[2×d/2+d/2]||…||Y[(d−1)×d/2+d/2]
となる。
同様にXX[t]をX[j]のうち、j=(d/2)s+tを満たすものを順に連結したデータとする。
ただし、
[j]は、i段目の入力データをn/dビット毎d個に分割したものをそれぞれd/2個に分割したデータのj番目のデータ、
sは0以上(d−1)以下、tは1以上d/2以下の整数である。
前記の項目[3]において説明した手法では、分配のパターンが多くなってしまい評価に時間がかかる。すなわち、前記の項目[3]において説明した手法では、以下の(1)〜(3)の条件を満足する分配パターンであればよい。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
この条件(1)〜(3)を満足する分配パターンは、多数存在する。特に入力データの分割数dが大きいような場合は分配のパターンが非常に多くなるため容易に決定できない。また、分配法によっては実装時のコストが大きくなってしまうものもある。
以下では、選択許容可能な分配パターンを予め限定し、さらに実装コストも低減できる分配法を提案する。本提案方式は前記の項目[3]で説明した分配方式をさらに改良した方式となる。
まず、i+1段目の入力データをn/dビット毎d個に分割したものをそれぞれd/2個に再分割したデータのj番目のデータXi+1[j]のうち、j=(d/2)s+tを満たすものを順に連結したデータXXi+1[t]のデータ系列を2t−1データ分だけ左に巡回シフトさせたデータ系列を、
ZZi+1[t]
とする。
具体的には、例えば、
ZZi+1[1]=XXi+1[1]<<<1となるので、
ZZi+1[1]=XXi+1[1]<<<1
=(Xi+1[1]||Xi+1[1×d/2+1]||Xi+1[2×d/2+1]||・・・||Xi+1[(d−1)×d/2+1])<<<1
=Xi+1[1×d/2+1]||Xi+1[2×d/2+1]||…||Xi+1[(d−1)×d/2+1]||Xi+1[1]
となる。
以上のように定義されたYY[j]、およびZZi+1[j]を用い、各YY[j]より重複なくひとつずつZZi+1[j]を選択し、接続することで第iラウンド目のデータから第i+1ラウンド目のデータへのデータ置換を決めることができる。
入力データの分割数d:d=6とした場合を図30に例示する。
図30での各中間変数は以下のように定義される。
なお、中間変数とは、以下の3種類のデータである。
YY[t]:i段目のd/2個に分割された出力データのうちj番目のデータY[j](ただし、jは1以上d/2以下の整数)のうち、j=(d/2)s+t(ただし、sは0以上(d−1)以下、tは1以上d/2以下の整数)を満たすものを順に連結したデータ。
XXi+1[t]:i+1段目の入力データをn/dビット毎d個に分割したものをそれぞれd/2個に分割したデータのj番目のデータXi+1[j]のうち、j=(d/2)s+t(ただし、sは0以上(d−1)以下、tは1以上d/2以下の整数)を満たすものを順に連結したデータ。
ZZi+1[t]:XXi+1[t]のデータ系列を2t−1データ分だけ左に巡回シフトさせたデータ系列。
これらの中間変数である。
図30に示すように、入力データの分割数d:d=6とした場合、
tは1以上d/2以下の整数であり、t=1,2,3の各値が設定され、
中間変数として、
i段目出力データ対応の中間変数YY[t]:YY[1]、YY[2]、YY[3]、
i+1段目のシフト前入力データ対応の中間変数XXi+1[t]:XXi+1[1]、XXi+1[2]、XXi+1[3]
i+1段目のシフト後入力データ対応の中間変数ZZi+1[t]: ZZi+1[1]、ZZi+1[2]、ZZi+1[3]
これらが以下のように算出される。
i段目出力データ対応の中間変数YY[t]:YY[1]、YY[2]、YY[3]は、以下の設定となる。
YY[1]=Y[1]||Y[4]||Y[7]||Y[10]||Y[13]||Y[16]、
YY[2]=Y[2]||Y[5]||Y[8]||Y[11]||Y[14]||Y[17]、
YY[3]=Y[3]||Y[6]||Y[9]||Y[12]||Y[15]||Y[18]、
i+1段目のシフト前入力データ対応の中間変数XXi+1[t]:XXi+1[1]、XXi+1[2]、XXi+1[3]は、以下の設定となる。
XXi+1[1]=Xi+1[1]||Xi+1[4]||Xi+1[7]||Xi+1[10]||Xi+1[13]||Xi+1[16]、
XXi+1[2]=Xi+1[2]||Xi+1[5]||Xi+1[8]||Xi+1[11]||Xi+1[14]||Xi+1[17]、
XXi+1[3]=Xi+1[3]||Xi+1[6]||Xi+1[9]||Xi+1[12]||Xi+1[15]||Xi+1[18]、
i+1段目のシフト後入力データ対応の中間変数ZZi+1[t]: ZZi+1[1]、ZZi+1[2]、ZZi+1[3]は、以下の設定となる。
ZZi+1[1]=Xi+1[4]||Xi+1[7]||Xi+1[10]||Xi+1[13]||Xi+1[16]||Xi+1[1]、
ZZi+1[2]=Xi+1[11]||Xi+1[14]||Xi+1[17]|| Xi+1[2]||Xi+1[5]||Xi+1[8]、
ZZi+1[3]=Xi+1[18]||Xi+1[3]||Xi+1[6]||Xi+1[9]||Xi+1[12]||Xi+1[15]。
ここで、図30に示すように、例えばYY[1]とZZi+1[1]を、YY[2]とZZi+1[2]をYY[3]とZZi+1[3]を接続する。この場合、図31上部の(a)に示されるようなデータ分配法となる。
また、例えばYY[1]とZZi+1[2]を、YY[2]とZZi+1[3]をYY[3]とZZi+1[1]を接続した場合は図31下部の(b)に示されるようなデータ分配法となる。
このように、本実施例の暗号処理装置の暗号処理部の設定、すなわち、前段のラウンド演算の出力データと次段のラウンド演算の再分割データの入出力関係を決定する接続構成は、ラウンド演算の出力データを有するラインのn/dビットデータの再分割処理によって生成されるd×(n/d)個の再分割データの組み合わせデータである(d/2)個の2n/dビットのデータセットを単位とした接続構成から選択される。
以上のように決められたデータ分配法は、前述した項目[3]において説明した条件、すなわち、
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
この条件(1)〜(3)を満足する。
したがって、拡散(diffusion)特性の改善が可能となる。
また、前述の項目[3]の方法では、d/2×d/2種類のデータ系列をd/2×d/2種類のデータ系列から1つずつ選んで分配する必要があったが(実際にはこの処理をさらにもう1回繰り返す必要がある)、本方式ではd/2種類のデータ系列をd/2種類のデータ系列から1つずつ選んで分配すればよいため、選択しなければならないパターンを大幅に削減できる。さらに、上記方法で選択された分配法は、データの分配について規則性があるため、実装コストを削減することが可能となる。
[5.インボリューション(involution)性を備えた構成例について]
通常のFeistel構造における暗号化関数は図32のように表現することができる。また、通常のFeistel構造における復号関数は図33のように表現することができる。
これらの図32、図33の構成から理解されるように、F関数に挿入される拡大鍵(ラウンド鍵)の順序を適切に入れ替えるだけで暗号化関数と復号関数は全く同じ関数を使用することが可能である。このように、拡大鍵(ラウンド鍵)の挿入を除き、暗号化関数と復号関数を同一構成で実現可能とした性質をインボリューション性と呼ぶ。
インボリューション性を持つ暗号処理構成においては、拡大鍵(ラウンド鍵)の順序を適切に入れ替えれば暗号化関数、復号関数を共有可能であり、復号関数を別途用意する必要はない。したがって、一般的にインボリューション性を持つ暗号は、インボリューション性を持たない暗号に比べて少ない実装コストで実装することが可能であると言える。
また、暗号化関数と復号関数で同じ関数を用いられることは、検証コストが半減できる(検証は暗号化関数、復号関数のどちらかで検証できればよい)、コードサイズが半減できる、などのメリットもある。
このように、図32、図33の分割数d=2の通常のFeistel構造では、F関数に挿入される拡大鍵(ラウンド鍵)の順序を適切に入れ替えるだけで暗号化関数と復号関数は全く同じ関数を使用することが可能であり、インボリューション性を持つ構造を容易に構成できる。
しかし、分割数:dが2以外の構成を含む一般化Feistel構造(Generalized Feistel Networks)でのインボリューション性は容易に構成可能とは言えない。
1段にd/2個のF関数を用いたd−line一般化Feistel構造のインボリューション性について考える(ただし、d>2)。
先に説明した図14に示すような4−line一般化Feistel構造では、処理ラウンド数が奇数であれば、インボリューション性を持つことが知られている。例えば3ラウンドで構成された4−line一般化Feistel構造はインボリューション性を持つ(5ラウンド構成も同様)。しかしながら処理ラウンド数が偶数の場合は、インボリューション性を持たない。
一般的にd−line一般化Feistel構造においては、構成ラウンド数を、分割数:dで割ったときの剰余が、
1、もしくは、
(d/2)+1
である場合のみインボリューション性を持つ。
例えば、図14に示す4−line一般化Feistel構造では、構成ラウンド数を、分割数d=4で割ったときの剰余が、
1、もしくは、
(d/2)+1=(4/2)+1=3
である場合のみインボリューション性を持つ。
具体的には、
構成ラウンド数=1,3,5,7,9・・・、
つまり構成ラウンド数が奇数である場合のみインボリューション性を持つ。
また、例えば、分割数d=6とした6−line一般化Feistel構造では、構成ラウンド数を、分割数d=6で割ったときの剰余が、
1、もしくは、
(d/2)+1=(6/2)+1=4
である場合のみインボリューション性を持つ。
具体的には、
構成ラウンド数=1,4,7,10,13・・・、
構成ラウンド数がこれらの数である場合のみインボリューション性を持つ。
このように、一般的にd−line一般化Feistel構造においては構成ラウンド数に関わらずインボリューション性を持つということはない。
図34は、前述の項目[3.本開示に従った拡散(diffusion)特性を向上させた構成例について]において説明したラウンド演算間のデータ再分割、再合成処理によって高い拡散(diffusion)特性を得られる4−line構造の一方式を示す図である。
この方式では、構成ラウンド数が1+3n(ただしnは0以上の整数)の場合のみインボリューション性を満たす。
構成ラウンド数は安全性、実装性能に大きな関連がある。構成ラウンド数に関わらずインボリューション性を持つような構造であれば、より柔軟にラウンド数を設定でき、安全性、実装性能を柔軟に変更できる上、インボリューション性の特性により、小型な実装も可能となる。
実装コストを増大させずにより高い拡散(diffusion)特性を得られ、さらに構成ラウンド数に関わらずインボリューション性を満たすようなラウンド間置換の構成法について説明する。
以下において説明する方式は、前記の項目[3.本開示に従った拡散(diffusion)特性を向上させた構成例について]において説明した高い拡散(diffusion)特性を得られる構成に、さらにインボリューション性を持たせる方式となる。
本方式の一例について、図35を参照して説明する。本方式は、図35に示すように、以下のステップ1〜3の処理を繰り返し実行することになる。
(ステップ1)
まず通常の構成と同様に分割数dのd−lineの一般化Feistel構造において、nビット入力データを分割数dに応じて、n/dビット毎、d個に分割し、各n/dビットを各分割ラインに入力して、それぞれF関数処理、排他的論理和処理を行う。
このとき、F関数に入力されるデータ系列をF関数入力側データ系列、排他的論理和されるデータ系列を排他的論理和側データ系列と呼ぶ。
F関数入力側データ系列のうち最も左側にあるF関数入力側データ系列をL(0)とし、例えば左側から順にL(1)、…、L((d/2)−1)と表す。
同様に排他的論理和側データ系列を例えば左側から順にR(0)、…、R((d/2)−1)と表す。
(ステップ2)
その後、各系列(ライン)の転送データであるn/dビットデータをさらにd/2個に再分割する。この再分割は、等分割でなくてもよい。
この再分割されたデータを、F関数入力側データ系列、排他的論理和側データ系列各々について、それぞれL(i)、R(i)と表現する。
iは、各系列(ライン)の識別子(番号)、
jは、1つの系列(ライン)の再分割データ各々識別子(番号)、
である。
例えば、最も左側のF関数入力データ系列をd/2個に再分割した最も左側のデータをL(0)とし、順にL(0)、…、L(0)d/2−1と表現する。
そしてそれぞれの各系列(ライン)においてd/2個に再分割されたデータを次のルールにしたがって分配する。
ル−ル(2−1)
最も左側のF関数入力データ系列、すなわちi=0のL(0)のデータを分配する。
L(0)を次のラウンド関数のR(0)に分配、
L(0)を次のラウンド関数のR(1)に分配、
同様にi=(d/2)−1までL(0)をR(i)に分配する。
すなわち、
L(0)=R(0)
L(0)=R(1)
L(0)=R(2)
・・・
となる。
ル−ル(2−2)
次にL(1)のデータを分配する。
L(1)を次のラウンド関数のR(1)に分配、
L(1)を次のラウンド関数のR(2)に分配、
同様にi=(d/2)−1までL(1)をR((i+1)mod d/2)に分配する。
ル−ル(2−3)
以下、L((d/2)−1)のデータまで、上記2と同様の処理を繰り返す。つまり、L(i)を次のラウンドのR((i+j)mod d/2)に分配する(ただし、i、jはそれぞれ0以上(d/2)−1以下)。
ル−ル(2−4)
排他的論理和側データ系列についても同様の処理を繰り返す。つまり、R(i)を次のラウンド関数のL(((d/2)+i−j)mod d/2)に分配する。ただし、i、jはそれぞれ0以上(d/2)−1以下である。
(ステップ3)
このように分配した後、各d/2個に分割されたデータをそれぞれ1つのデータに結合する。
以上の処理を、ラウント演算の実行回数に応じて必要回数繰り返す。
図36に4−line(d=4)の場合に上記処理を実行する構成の一構成例、
図37に6−line(d=6)の場合に上記処理を実行する構成の一構成例を示す。
これら、図36、図37に示す構成では、各系列(ライン)においてd/2個に再分割されたデータを上記ステップ2に示すルール(2−1)〜(2−4)に従って月のラウンドに対して再分配する構成を有する。このデータの再分割と再分配構成によって、これらの方式は構成ラウンド数に関わらずインボリューション性を持つ。
また、図38、図39は上記構成例とは異なる構成法であるが、構成ラウンド数に関わらずインボリューション性を持つ方式である。なお、先の項目[3]において説明した図21に示されている方式は、構成ラウンド数が奇数であればインボリューション性を持つ構成の一例である。
このように、暗号処理部の各ラウンド演算の再分割データの再構成処理は、前段のラウンド関数入力側系列の再分割データを、上述した予め決定した規則に従って次段の排他的論理和側系列に分配し、前段の排他的論理和側系列の再分割データを、上述した予め決定した規則に従って次段のラウンド関数入力側系列に分配する構成としている。この構成によって、同一の構成で暗号化処理と復号処理双方に適用可能なインボリューション性を持つ構成を実現することができる。
[6.暗号処理装置の構成例について]
最後に、上述した実施例に従った暗号処理を実行する暗号処理装置の実相例について説明する。
上述した実施例に従った暗号処理を実行する暗号処理装置は、暗号処理を実行する様々な情報処理装置に搭載可能である。具体的には、PC、TV、レコーダ、プレーヤ、通信機器、さらに、RFID、スマートカード、センサネットワーク機器、デンチ/バッテリー認証モジュール、健康、医療機器、自立型ネットワーク機器等、例えばデータ処理や通信処理に伴う暗号処理を実行する様々な危機において利用可能である。
本開示の暗号処理を実行する装置の一例としてのICモジュール700の構成例を図40に示す。上述の処理は、例えばPC、ICカード、リーダライタ、その他、様々な情報処理装置において実行可能であり、図40に示すICモジュール700は、これら様々な機器に構成することが可能である。
図40に示すCPU(Central processing Unit)701は、暗号処理の開始や、終了、データの送受信の制御、各構成部間のデータ転送制御、その他の各種プログラムを実行するプロセッサである。メモリ702は、CPU701が実行するプログラム、あるいは演算パラメータなどの固定データを格納するROM(Read−Only−Memory)、CPU701の処理において実行されるプログラム、およびプログラム処理において適宜変化するパラメータの格納エリア、ワーク領域として使用されるRAM(Random Access Memory)等からなる。また、メモリ702は暗号処理に必要な鍵データや、暗号処理において適用する変換テーブル(置換表)や変換行列に適用するデータ等の格納領域として使用可能である。なおデータ格納領域は、耐タンパ構造を持つメモリとして構成されることが好ましい。
暗号処理部703は、上記において説明した暗号処理構成、すなわち、例えば一般化Feistel構造や、Feistel構造を適用した共通鍵ブロック暗号処理アルゴリズムに従った暗号処理、復号処理を実行する。
なお、ここでは、暗号処理手段を個別モジュールとした例を示したが、このような独立した暗号処理モジュールを設けず、例えば暗号処理プログラムをROMに格納し、CPU701がROM格納プログラムを読み出して実行するように構成してもよい。
乱数発生器704は、暗号処理に必要となる鍵の生成などにおいて必要となる乱数の発生処理を実行する。
送受信部705は、外部とのデータ通信を実行するデータ通信処理部であり、例えばリーダライタ等、ICモジュールとのデータ通信を実行し、ICモジュール内で生成した暗号文の出力、あるいは外部のリーダライタ等の機器からのデータ入力などを実行する。
なお、上述した実施例において説明した暗号処理装置は、入力データとしての平文を暗号化する暗号化処理に適用可能であるのみならず、入力データとしての暗号文を平文に復元する復号処理にも適用可能である。
暗号化処理、復号処理、双方の処理において、上述した実施例において説明した構成を適用することが可能である。
[7.本開示の構成のまとめ]
以上、特定の実施例を参照しながら、本開示の実施例について詳解してきた。しかしながら、本開示の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本開示の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。
なお、本明細書において開示した技術は、以下のような構成をとることができる。
(1) データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
前記暗号処理部は、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する構成であり、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理装置。
(2)前記ラウンド関数は、ラウンド鍵を適用した演算と、非線形変換処理と、線形変換処理を含むF関数、およびF関数の出力または入力に対する他ラインのデータとの排他的論理和演算を含む前記(1)に記載の暗号処理装置。
(3)前記暗号処理部は、
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する、
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する、
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する、
上記(1)〜(3)の分配条件を満たす処理によって前段のラウンド演算の演算結果を次段のラウンド演算の入力として設定する前記(1)または(2)に記載の暗号処理装置。
(4)前記暗号処理部は、入力データの分割数dを4以上とした一般化Feistel構造を有する前記(1)〜(3)いずれかに記載の暗号処理装置。
(5)前記暗号処理部は、ラウンド演算の出力データを有するd個のライン各々のn/dビットデータをd/2個に再分割して、d×(n/d)個の再分割データを生成し、分割数dに応じたd本のラインの異なるラインから選択したd/2個の再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する前記(1)〜(4)いずれかに記載の暗号処理装置。
(6)前記暗号処理部は、全出力ビットが以下に示す2つの条件を満足する拡散(diffusion)状態、すなわち、出力ビットを入力ビットの関係式として記述した場合に、
(条件1)全入力ビットが関係式に含まれる
(条件2)全入力ビットが少なくとも1度は前記ラウンド関数を通過している
上記2つの条件を満足する全拡散(full diffusion)状態を実現する構成である前記(1)〜(5)いずれかに記載の暗号処理装置。
(7)前記暗号処理部は、前記全拡散(full diffusion)状態を4ラウンドのラウンド演算によって実現する前記(1)〜(6)いずれかに記載の暗号処理装置。
(8)前記暗号処理部の前段のラウンド演算の出力データと次段のラウンド演算の再分割データの入出力関係を決定する接続構成は、ラウンド演算の出力データを有するラインのn/dビットデータの再分割処理によって生成されるd×(n/d)個の再分割データの組み合わせデータである(d/2)個の2n/dビットのデータセットを単位とした接続構成から選択される接続構成である前記(1)〜(7)いずれかに記載の暗号処理装置。
(9)前記暗号処理部は、暗号化処理と復号処理の双方に適用可能なインボリーション性を有する前記(1)〜(8)いずれかに記載の暗号処理装置。
(10)前記暗号処理部の各ラウンド演算の再分割データの再構成処理は、前段のラウンド関数入力側系列の再分割データを、予め決定した規則に従って次段の排他的論理和側系列に分配し、前段の排他的論理和側系列の再分割データを、予め決定した規則に従って次段のラウンド関数入力側系列に分配する構成である前記(1)〜(9)いずれかに記載の暗号処理装置。
(11)前記暗号処理部は、入力データとしての平文を暗号文に変換する暗号化処理、または、入力データとしての暗号文を平文に変換する復号処理を実行する前記(1)〜(10)いずれかに記載の暗号処理装置。
さらに、上記した装置およびシステムにおいて実行する処理の方法や、処理を実行させるプログラムも本開示の構成に含まれる。
また、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。例えば、プログラムは記録媒体に予め記録しておくことができる。記録媒体からコンピュータにインストールする他、LAN(Local Area Network)、インターネットといったネットワークを介してプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。
なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
上述したように、本開示の一実施例の構成によれば、拡散(diffusion)特性を向上させた安全性の高い暗号処理が実現される。
具体的には、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、暗号処理部において、入力データであるnビットデータを分割数dで分割したn/dビットデータを各ラインに入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に分割し、該分割データを組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして処理を実行する。この構成によって、拡散(diffusion)特性を向上させた安全性の高い暗号処理が実現される。
700 ICモジュール
701 CPU(Central processing Unit)
702 メモリ
703 暗号処理部
704 乱数生成部
705 送受信部

Claims (13)

  1. データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
    前記暗号処理部は、
    入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する構成であり、
    ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理装置。
  2. 前記ラウンド関数は、
    ラウンド鍵を適用した演算と、非線形変換処理と、線形変換処理を含むF関数、およびF関数の出力または入力に対する他ラインのデータとの排他的論理和演算を含む請求項1に記載の暗号処理装置。
  3. 前記暗号処理部は、
    (1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する、
    (2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する、
    (3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する、
    上記(1)〜(3)の分配条件を満たす処理によって前段のラウンド演算の演算結果を次段のラウンド演算の入力として設定する請求項2に記載の暗号処理装置。
  4. 前記暗号処理部は、
    入力データの分割数dを4以上とした一般化Feistel構造を有する請求項1に記載の暗号処理装置。
  5. 前記暗号処理部は、
    ラウンド演算の出力データを有するd個のライン各々のn/dビットデータをd/2個に再分割して、d×(n/d)個の再分割データを生成し、分割数dに応じたd本のラインの異なるラインから選択したd/2個の再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する請求項1に記載の暗号処理装置。
  6. 前記暗号処理部は、
    全出力ビットが以下に示す2つの条件を満足する拡散(diffusion)状態、すなわち、出力ビットを入力ビットの関係式として記述した場合に、
    (条件1)全入力ビットが関係式に含まれる
    (条件2)全入力ビットが少なくとも1度は前記ラウンド関数を通過している
    上記2つの条件を満足する全拡散(full diffusion)状態を実現する構成である請求項1に記載の暗号処理装置。
  7. 前記暗号処理部は、
    前記全拡散(full diffusion)状態を4ラウンドのラウンド演算によって実現する請求項6に記載の暗号処理装置。
  8. 前記暗号処理部の前段のラウンド演算の出力データと次段のラウンド演算の再分割データの入出力関係を決定する接続構成は、
    ラウンド演算の出力データを有するラインのn/dビットデータの再分割処理によって生成されるd×(n/d)個の再分割データの組み合わせデータである(d/2)個の2n/dビットのデータセットを単位とした接続構成から選択される接続構成である請求項1に記載の暗号処理装置。
  9. 前記暗号処理部は、
    暗号化処理と復号処理の双方に適用可能なインボリーション性を有する請求項1に記載の暗号処理装置。
  10. 前記暗号処理部の各ラウンド演算の再分割データの再構成処理は、
    前段のラウンド関数入力側系列の再分割データを、予め決定した規則に従って次段の排他的論理和側系列に分配し、
    前段の排他的論理和側系列の再分割データを、予め決定した規則に従って次段のラウンド関数入力側系列に分配する構成である請求項9に記載の暗号処理装置。
  11. 前記暗号処理部は、
    入力データとしての平文を暗号文に変換する暗号化処理、または、
    入力データとしての暗号文を平文に変換する復号処理を実行する請求項1に記載の暗号処理装置。
  12. 暗号処理装置において実行する暗号処理方法であり、
    暗号処理部が、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行し、
    前記暗号処理ステップは、
    入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行し、
    ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理方法。
  13. 暗号処理装置において暗号処理を実行させるプログラムであり、
    暗号処理部に、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行させ、
    前記暗号処理ステップにおいて、
    入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行させ、
    ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行させるプログラム。
JP2011207702A 2011-03-28 2011-09-22 暗号処理装置、および暗号処理方法、並びにプログラム Expired - Fee Related JP5682525B2 (ja)

Priority Applications (13)

Application Number Priority Date Filing Date Title
JP2011207702A JP5682525B2 (ja) 2011-03-28 2011-09-22 暗号処理装置、および暗号処理方法、並びにプログラム
EP12763711.4A EP2693681A4 (en) 2011-03-28 2012-02-20 ENCRYPTION PROCESSING DEVICE, ENCRYPTION PROCESSING METHOD AND PROGRAM THEREFOR
RU2013142989/08A RU2598327C2 (ru) 2011-03-28 2012-02-20 Утройство для криптографической обработки данных, способ криптографической обработки данных и программа
CN201280014164.9A CN103444124B (zh) 2011-03-28 2012-02-20 加密处理装置、加密处理方法
US14/005,663 US8983062B2 (en) 2011-03-28 2012-02-20 Encryption processing device, encryption processing method, and programme
MYPI2013003197A MY163144A (en) 2011-03-28 2012-02-20 Cryptographic processing device, cryptographic processing method, and program
PCT/JP2012/053930 WO2012132620A1 (ja) 2011-03-28 2012-02-20 暗号処理装置、および暗号処理方法、並びにプログラム
CA2827761A CA2827761C (en) 2011-03-28 2012-02-20 Cryptographic processing device, cryptographic processing method, and program
BR112013024250A BR112013024250A2 (pt) 2011-03-28 2012-02-20 método e dispositivo de processamento criptográfico, programa, e, dispositivo de processamento de informação.
KR1020137024805A KR101770874B1 (ko) 2011-03-28 2012-02-20 암호 처리 장치, 암호 처리 방법, 컴퓨터로 판독가능한 기록 매체, 및 정보 처리 장치
SG2013070586A SG193544A1 (en) 2011-03-28 2012-02-20 Cyrptographic processing device, cryptographic processing method, and program
AU2012235129A AU2012235129B2 (en) 2011-03-28 2012-02-20 Encryption processing device, encryption processing method, and programme
TW101105911A TWI552121B (zh) 2011-03-28 2012-02-22 A cryptographic processing device, a cryptographic processing method and a program

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011069182 2011-03-28
JP2011069182 2011-03-28
JP2011207702A JP5682525B2 (ja) 2011-03-28 2011-09-22 暗号処理装置、および暗号処理方法、並びにプログラム

Publications (2)

Publication Number Publication Date
JP2012215813A true JP2012215813A (ja) 2012-11-08
JP5682525B2 JP5682525B2 (ja) 2015-03-11

Family

ID=46930381

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011207702A Expired - Fee Related JP5682525B2 (ja) 2011-03-28 2011-09-22 暗号処理装置、および暗号処理方法、並びにプログラム

Country Status (13)

Country Link
US (1) US8983062B2 (ja)
EP (1) EP2693681A4 (ja)
JP (1) JP5682525B2 (ja)
KR (1) KR101770874B1 (ja)
CN (1) CN103444124B (ja)
AU (1) AU2012235129B2 (ja)
BR (1) BR112013024250A2 (ja)
CA (1) CA2827761C (ja)
MY (1) MY163144A (ja)
RU (1) RU2598327C2 (ja)
SG (1) SG193544A1 (ja)
TW (1) TWI552121B (ja)
WO (1) WO2012132620A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015145964A1 (en) 2014-03-28 2015-10-01 Sony Corporation Encryption processing device, encryption processing method, and program
JP2016105123A (ja) * 2014-12-01 2016-06-09 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム
US10425226B2 (en) 2014-03-28 2019-09-24 Sony Corporation Encryption processing device and encryption processing method

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4561252B2 (ja) 2004-09-03 2010-10-13 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
CN103259656B (zh) * 2012-11-07 2016-08-31 鹤山世达光电科技有限公司 作品传输方法和系统
CN106027236B (zh) * 2016-05-20 2019-01-15 武汉天喻信息产业股份有限公司 一种抗侧信道分析的大数相减方法
US10797722B2 (en) 2016-06-10 2020-10-06 The Boeing Company System and method for providing hardware based fast and secure expansion and compression functions
US11539623B2 (en) 2020-08-31 2022-12-27 Micron Technology, Inc. Single field for encoding multiple elements
US11296995B2 (en) 2020-08-31 2022-04-05 Micron Technology, Inc. Reduced sized encoding of packet length field
US11418455B2 (en) 2020-08-31 2022-08-16 Micron Technology, Inc. Transparent packet splitting and recombining
US11360920B2 (en) 2020-08-31 2022-06-14 Micron Technology, Inc. Mapping high-speed, point-to-point interface channels to packet virtual channels
US11412075B2 (en) 2020-08-31 2022-08-09 Micron Technology, Inc. Multiple protocol header processing

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06118872A (ja) * 1992-10-09 1994-04-28 Matsushita Electric Ind Co Ltd データ撹乱装置
JP2002518713A (ja) * 1998-06-15 2002-06-25 アールエスエイ セキュリティ インコーポレイテッド データ依存性ローテーションを用いる強化型ブロック暗号
WO2009075337A1 (ja) * 2007-12-13 2009-06-18 Nec Corporation 暗号化方法及び復号化方法、装置並びにプログラム
WO2011052585A1 (ja) * 2009-10-27 2011-05-05 日本電気株式会社 暗号化装置、暗号化方法及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5351299A (en) 1992-06-05 1994-09-27 Matsushita Electric Industrial Co., Ltd. Apparatus and method for data encryption with block selection keys and data encryption keys
BR0318492A (pt) 2003-09-05 2006-09-12 Telecom Italia Spa rede dependente de chave combinatória para criptografia/decifração de dados digitais de entrada, bloco para ser usado para funções criptográficas controladas por chave secreta, método para criptografia/decifração de dados digitais de entrada, dispositivo de processamento de dados, e, dispositivo de multimìdia para armazenar e reproduzir dados digitais
JP2007192893A (ja) 2006-01-17 2007-08-02 Sony Corp 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP2007199156A (ja) 2006-01-24 2007-08-09 Sony Corp 暗号処理装置、暗号処理装置製造装置、および方法、並びにコンピュータ・プログラム
JP4882598B2 (ja) * 2006-07-28 2012-02-22 ソニー株式会社 暗号処理装置、暗号処理アルゴリズム構築方法、および暗号処理方法、並びにコンピュータ・プログラム
JP4967544B2 (ja) * 2006-09-01 2012-07-04 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP2008058830A (ja) * 2006-09-01 2008-03-13 Sony Corp データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
JP5532560B2 (ja) * 2008-08-25 2014-06-25 ソニー株式会社 データ変換装置、およびデータ変換方法、並びにプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06118872A (ja) * 1992-10-09 1994-04-28 Matsushita Electric Ind Co Ltd データ撹乱装置
JP2002518713A (ja) * 1998-06-15 2002-06-25 アールエスエイ セキュリティ インコーポレイテッド データ依存性ローテーションを用いる強化型ブロック暗号
WO2009075337A1 (ja) * 2007-12-13 2009-06-18 Nec Corporation 暗号化方法及び復号化方法、装置並びにプログラム
WO2011052585A1 (ja) * 2009-10-27 2011-05-05 日本電気株式会社 暗号化装置、暗号化方法及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6014043925; Suzaki, T. and Minematsu, K.: 'Improving the Generalized Feistel' Lecture Notes in Computer Science Vol.6147, 2010, p.19-39 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015145964A1 (en) 2014-03-28 2015-10-01 Sony Corporation Encryption processing device, encryption processing method, and program
US10425226B2 (en) 2014-03-28 2019-09-24 Sony Corporation Encryption processing device and encryption processing method
JP2016105123A (ja) * 2014-12-01 2016-06-09 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム

Also Published As

Publication number Publication date
RU2598327C2 (ru) 2016-09-20
WO2012132620A1 (ja) 2012-10-04
TW201239831A (en) 2012-10-01
MY163144A (en) 2017-08-15
CA2827761C (en) 2019-01-08
EP2693681A1 (en) 2014-02-05
SG193544A1 (en) 2013-10-30
AU2012235129A1 (en) 2013-09-05
JP5682525B2 (ja) 2015-03-11
CA2827761A1 (en) 2012-10-04
CN103444124B (zh) 2016-03-16
KR101770874B1 (ko) 2017-08-23
RU2013142989A (ru) 2015-03-27
CN103444124A (zh) 2013-12-11
KR20140006961A (ko) 2014-01-16
AU2012235129B2 (en) 2015-12-24
TWI552121B (zh) 2016-10-01
EP2693681A4 (en) 2014-11-05
US8983062B2 (en) 2015-03-17
BR112013024250A2 (pt) 2018-06-19
US20140010364A1 (en) 2014-01-09

Similar Documents

Publication Publication Date Title
JP5682525B2 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
US8731188B2 (en) Cryptographic processing apparatus and cryptographic processing method, and computer program
JP4961909B2 (ja) 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
KR101364192B1 (ko) 암호처리장치, 암호처리 알고리즘 구축방법 및 암호처리방법과 컴퓨터·프로그램
JP5682527B2 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
US8396210B2 (en) Cryptographic processing apparatus and cryptographic processing method, and computer program
TWI447683B (zh) Information processing device
JP5682526B2 (ja) データ処理装置、およびデータ処理方法、並びにプログラム
WO2009087972A1 (ja) データ送信装置、データ受信装置、これらの方法、記録媒体、そのデータ通信システム
JP2008058830A (ja) データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
JP5680016B2 (ja) 復号処理装置、情報処理装置、および復号処理方法、並びにコンピュータ・プログラム
JP5772934B2 (ja) データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
KR102157219B1 (ko) 경량 블록 암호화에 대한 고차 부채널 공격에 대응하는 방법 및 이를 이용한 장치
JP6292107B2 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141216

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141229

R151 Written notification of patent or utility model registration

Ref document number: 5682525

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees