JP2014197785A - Encryption processing circuit, decryption processing circuit, method therefor, and program therefor - Google Patents
Encryption processing circuit, decryption processing circuit, method therefor, and program therefor Download PDFInfo
- Publication number
- JP2014197785A JP2014197785A JP2013072754A JP2013072754A JP2014197785A JP 2014197785 A JP2014197785 A JP 2014197785A JP 2013072754 A JP2013072754 A JP 2013072754A JP 2013072754 A JP2013072754 A JP 2013072754A JP 2014197785 A JP2014197785 A JP 2014197785A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- value
- permutation
- selection
- mask
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、暗号化処理回路及び復号処理回路とその方法並びにそのプログラムに関し、特に、耐タンパー性を考慮した暗号化処理回路及び復号処理回路、その方法並びにそのプログラムに関する。 The present invention relates to an encryption processing circuit, a decryption processing circuit, a method thereof, and a program thereof, and more particularly to an encryption processing circuit, a decryption processing circuit, a method thereof, and a program thereof in consideration of tamper resistance.
情報の電子データ化が進む中で、情報の保護、秘匿な通信において、暗号はかかせない技術となっている。暗号はその安全性を保つために、鍵等の秘密情報が容易に推測できないようにする必要がある。鍵の全数探索や数学的に解読を行う線形解読や差分解読等といった暗号解析方法が知られている。しかし、この種の暗号解析方法により、現実的な時間で解析を行うことは不可能な状況といえる。 As information is converted into electronic data, encryption is an indispensable technology for information protection and confidential communication. In order to maintain the security of encryption, it is necessary to prevent secret information such as keys from being easily guessed. Cryptographic analysis methods such as exhaustive key search, linear decryption that performs mathematical decryption, and differential decryption are known. However, it can be said that this kind of cryptographic analysis method makes it impossible to perform analysis in a realistic time.
その一方で、携帯端末などの暗号機能を実装した装置(暗号モジュール)において、攻撃者が処理時間や消費電力、漏洩電磁波などのサイドチャネル情報を精密に測定できるとの仮定の下で、サイドチャネル情報から秘匿情報の取得を試みるサイドチャネル攻撃とその対策が大きな研究テーマとなっている。 On the other hand, in devices (encryption modules) that implement cryptographic functions such as portable terminals, side channels are assumed under the assumption that attackers can accurately measure side channel information such as processing time, power consumption, and leakage electromagnetic waves. Side-channel attacks that attempt to acquire confidential information from information and countermeasures have become a major research theme.
サイドチャネル攻撃として、暗号モジュールの消費電力を測定し、消費電力から鍵等の秘密情報を解析する電力解析攻撃がある。その中でも、複数の消費電力波形に統計処理を行うことで解析を行う、差分電力解析が特に強力な攻撃法とされている(非特許文献1)。 As a side channel attack, there is a power analysis attack that measures the power consumption of a cryptographic module and analyzes secret information such as a key from the power consumption. Among them, differential power analysis, in which analysis is performed by performing statistical processing on a plurality of power consumption waveforms, is regarded as a particularly powerful attack method (Non-Patent Document 1).
暗号モジュールにおいて、論理ゲートの遷移確率に偏りが生じる場合に、データ列の中で1となるビットの数(ハミング重み)と消費電力との間には相関があるとされている(非特許文献2)。また、予め規定された暗号化処理を所定回数実行して暗号文を生成する場合、暗号化処理前後でのレジスタのビット遷移(ハミング距離)と消費電力とに相関があるとされている(非特許文献3)。そのため、ハミング重みやハミング距離に着目することで、秘密鍵が解析できてしまう、という問題がある。 In a cryptographic module, when there is a bias in the transition probability of logic gates, it is said that there is a correlation between the number of bits that become 1 in the data string (Hamming weight) and power consumption (Non-Patent Document). 2). In addition, when generating a ciphertext by executing a predetermined encryption process a predetermined number of times, it is said that there is a correlation between register bit transition (Hamming distance) and power consumption before and after the encryption process (non- Patent Document 3). Therefore, there is a problem that the secret key can be analyzed by paying attention to the Hamming weight and the Hamming distance.
ハミング重みやハミング距離に着目した攻撃への対策手法の例として、マスキング手法が提案されている(非特許文献4)。マスキング手法では、入力値と鍵を用いて演算する際に、マスク値という乱数を入力値と鍵とともに演算する。さらに、マスク値によってマスキングされた中間値を用いてラウンド処理を行う。ラウンド処理中の非線形変換は、例えば変換テーブルを用いて行われる。非線形変換に用いるテーブルは、マスク値が変わるたびに生成される。非線形変換に用いるテーブルは、中間値にマスクがかかった値を入力とし、元の中間値を非線形変換した値にマスクをかけ直した値が出力される。中間値にマスクがかかっているため、消費電力と中間値の相関が低下する。そのため、ハミング重みなどから、秘密鍵の解析ができなくなり、安全性が高くなる。 A masking technique has been proposed as an example of a countermeasure technique against an attack focusing on the Hamming weight and the Hamming distance (Non-Patent Document 4). In the masking technique, when calculating using an input value and a key, a random number called a mask value is calculated together with the input value and the key. Further, round processing is performed using an intermediate value masked by the mask value. Nonlinear conversion during round processing is performed using, for example, a conversion table. A table used for nonlinear conversion is generated every time the mask value changes. The table used for the non-linear transformation receives a value obtained by masking the intermediate value, and outputs a value obtained by re-masking the value obtained by non-linear transformation of the original intermediate value. Since the intermediate value is masked, the correlation between the power consumption and the intermediate value decreases. For this reason, the secret key cannot be analyzed due to the Hamming weight or the like, and the security is increased.
特許文献1には、乱数によるマスキング手法の問題を解決する方法として、固定値マスク法が開示されている。固定値マスク法では、予め2つ以上の固定値をマスクとして用意する。次に、各マスクと組となるマスク付テーブルを用意する。このマスク付テーブルは、中間値に組となるマスク値がかかった値を入力とし、元の中間値を非線形変換した値に組となるマスク値をかけ直した値を出力とする。そして、暗号処理開始時に、乱数にしたがってマスクとテーブルの組を選択し、選択したマスクとテーブルを用いて暗号処理を実施する。暗号処理のたびに乱数をふり直すことで、マスク値が切り替わる。固定値としてマスク値とテーブルを用意することで、非特許文献4の手法で問題となった、処理速度の低下と、RAM(Random Access Memory)領域の増大という問題を解決することができる。
非特許文献5には、AES(Advanced Encryption Standard)における対策手法としてRotating Sboxes Masking(RSM)法が提案されている。RSM法では、固定値マスク法と同様に、複数のマスク値とマスク付のテーブル(SBOX)を用意する。暗号処理時には、これら複数のマスク値及びテーブルを並列に使用することになる。RSMでは、入力データ列をテーブルでの処理前にシフトすることで、使用するマスク値とテーブルをローテートする。テーブルでの処理後に、マスク付の出力データ列が出力される。この出力結果のデータ列を逆シフトすることで、元のデータ位置にマスク付データ列を戻す。使用するテーブルをローテートすることで、データの各バイトにかかるマスク値を入れ替えることができる。また、未使用となるマスク値とテーブルを出さないことから、回路の使用効率を高めている。
Non-Patent
特許文献2には、共通鍵暗号処理において、秘密鍵の解読防止のために必要な処理時間及び回路規模を削減するための構成として、第1の経路選択手段は、乱数発生手段が発生した乱数の値に応じて、複数の拡大鍵マスク値をランダムに並べ替え、拡大鍵演算手段は、並べ替えられた複数の拡大鍵マスク値と、拡大鍵を表すデータ列と、入力データ列との排他的論理和を生成し、第2の経路選択手段は、乱数の値に応じて第1の経路選択手段とは逆の並べ替えを行うことで、排他的論理和のデータ列を並べ替え、非線形変換手段104は、並べ替えられたデータ列の非線形変換を行って、複数の非線形変換マスク値によりマスクされたデータ列を出力し、第3の経路選択手段は、乱数の値に応じて第1の経路選択手段と同じ並べ替えを行うことで、マスクされたデータ列を並べ替える暗号化装置が開示されている。
In
以下に関連技術の分析を与える。 The analysis of related technology is given below.
非特許文献4に開示された乱数によるマスキング手法では、マスク値(乱数)が変わるたびに、非線形変換に用いるテーブルを再計算する必要がある。このため、処理速度の低下、及び、必要な記憶容量(RAM(Random Access Memory)領域)の増大、という問題がある。
In the masking method using random numbers disclosed in Non-Patent
特許文献1の手法では、複数のマスク値とテーブルをマスク値の数だけ用意しておく必要があるため、マスク値とテーブルを保存するためのROM(Read Only Memory)領域が必要となる。また、複数のマスク値とテーブルの組の中からいずれか1つを選択する構成のため、選択されなかったマスク値とテーブルは、暗号処理時には冗長部分となる。
In the method of
非特許文献5に開示されたRSM法では、マスクを保存するために、多くのROM領域を必要とする、という問題がある。RSM法では、テーブル処理後に、線形処理(ShiftRows, MixColumns, AddRoundKey)を行う。そして、それらの処理の後に、線形処理で変化したマスクを解除(アンマスク)する。さらに次のラウンド処理で使用するマスク値を改めてかけ直す作業(リマスク)が必要となる。当該アンマスク及びリマスクのためのマスク値を、ROMに記憶しておく必要がある。マスク値は、シフト幅の種類分用意する必要がある。そのため、マスク値を記憶しておくためのROM領域が大きくなる。また、アンマスクおよびリマスクを行うための処理時間と回路が必要となり、時間と回路規模の面でコストが増大する。
The RSM method disclosed in Non-Patent
特許文献2の手法においても、線形処理と非線形処理の繰り返し処理を行う場合には、前の線形処理に対するマスクを解除するためのデータ列と、複数の新たなマスク値との排他的論理和を生成するマスク演算手段を必要としており、マスクを解除するためのデータ列と新たなマスク値を記憶しておくROM領域と、マスクを解除し新たにかけ直すための処理時間と回路が必要となり、RSM同様に時間と回路規模の面でコストが増大する。
Also in the method of
したがって、本発明は、上記問題点に鑑みて創案されたものであって、その目的は、暗号処理における冗長部分を削減可能とし、処理速度を向上させ、マスク値の記憶領域を削減可能とする暗号化処理回路及び復号処理回路と、その方法並びにそのプログラムを提供することを目的とする。 Accordingly, the present invention has been made in view of the above problems, and its purpose is to enable reduction of redundant portions in cryptographic processing, increase of processing speed, and reduction of mask value storage area. It is an object to provide an encryption processing circuit, a decryption processing circuit, a method thereof, and a program thereof.
本発明によれば、
乱数を発生させる乱数発生部と、
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択部と、
複数の初期マスク値の中から、前記選択部からの前記選択値に対応した初期マスク値を選択し、選択した初期マスクと入力した平文との排他的論理和をとる初期マスク演算部と、
前記選択部からの選択値に対応したパターンの並べ替えを、入力データ列に行い、並び替えた結果を出力する第1のパーミュテーション部と、
前記第1のパーミュテーション部の出力を複数に分割した値をそれぞれ非線形変換する複数のテーブルを含む非線形変換部と、
前記非線形変換部の複数の出力値を結合したデータ列に対して、前記選択部からの前記選択値に応じて、前記第1のパーミュテーション部とは逆のパターンの並び替えを行う第2のパーミュテーション部と、
前記第2のパーミュテーション部の出力に対して線形変換を施す線形変換部と、
前記線形変換部の出力とラウンド鍵との演算を行う鍵演算部と、
を備え、
初回のラウンド処理では、前記第1のパーミュテーション部には、前記初期マスク演算部の出力が入力され、2回目以降のラウンド処理では、前記第1のパーミュテーション部には、前回のラウンド処理での前記鍵演算部の出力が入力され、
前記非線形変換部において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記第1のパーミュテーション部、非線形変換部、第2のパーミュテーション部、前記線形変換部、前記鍵演算部、による前記ラウンド処理が規定回数行われ、
複数のアンマスク値の中から、前記選択部からの前記選択値に対応したアンマスク値を選択し、選択したアンマスク値と、前記規定回数のラウンド処理終了後の前記鍵演算部の出力との排他的論理和をとり、暗号文として出力するアンマスク演算部を備えている暗号化処理回路が提供される。この暗号化処理回路においては、前記ラウンド処理を繰り返す間に、データ列に対するマスクを無効化し新たにマスクをかけ直す演算を不要としている。
According to the present invention,
A random number generator for generating random numbers;
A selection unit that sets an initial value of a selection value using the random number as an input, and updates the next selection value every time round processing ends,
An initial mask operation unit that selects an initial mask value corresponding to the selection value from the selection unit from a plurality of initial mask values, and performs an exclusive OR of the selected initial mask and the input plaintext;
A first permutation unit for rearranging the pattern corresponding to the selection value from the selection unit to the input data string and outputting the rearranged result;
A non-linear transformation unit including a plurality of tables each for non-linear transformation of a value obtained by dividing the output of the first permutation unit into a plurality of values;
A second reordering of the pattern opposite to the first permutation unit is performed on the data string obtained by combining a plurality of output values of the non-linear transformation unit according to the selection value from the selection unit. The permutation part of
A linear transformation unit that performs linear transformation on the output of the second permutation unit;
A key calculation unit for calculating the output of the linear conversion unit and a round key;
With
In the first round process, the output of the initial mask calculation unit is input to the first permutation unit. In the second and subsequent round processes, the first permutation unit receives the previous round. The output of the key calculation unit in the process is input,
In the non-linear conversion unit, the table performs non-linear conversion according to the table using a value obtained by taking an exclusive OR with a mask value on the input side with respect to the input to the table, and the non-linear conversion value Output the value obtained by taking the exclusive OR with the mask value on the output side,
The round processing by the first permutation unit, the nonlinear conversion unit, the second permutation unit, the linear conversion unit, and the key calculation unit is performed a specified number of times,
An unmask value corresponding to the selection value from the selection unit is selected from a plurality of unmask values, and the selected unmask value is exclusive of the output of the key calculation unit after completion of the specified number of round processes An encryption processing circuit including an unmask operation unit that takes a logical sum and outputs a ciphertext is provided. In this encryption processing circuit, while repeating the round processing, the operation for invalidating the mask for the data string and newly applying the mask is unnecessary.
本発明によれば、データ処理装置による暗号化処理方法であって、
乱数を発生させる乱数発生工程と、
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択工程と、
複数の初期マスク値の中から、前記選択部からの前記選択値に対応した初期マスク値を選択し、選択した初期マスクと入力したとの排他的論理和をとる初期マスク演算工程と、
前記選択工程からの選択値に対応したパターンの並べ替えを入力データ列に行い、並び替えた結果を出力する第1のパーミュテーション工程と、
前記第1のパーミュテーション工程の出力値を複数に分割した値をそれぞれ複数のテーブルで非線形変換する非線形変換工程と、
前記選択工程からの選択値に応じて、前記第1のパーミュテーション工程とは逆のパターンの並び替えを、前記非線形変換工程の複数の出力値を結合したデータ列に対して行う第2のパーミュテーション工程と、
前記第2のパーミュテーション工程の出力に対して線形変換を施す線形変換工程と、
前記線形変換工程の出力とラウンド鍵との演算を行う鍵演算工程と、
を含み、
初回のラウンド処理では、前記第1のパーミュテーション工程には、前記初期マスク演算工程の出力が入力され、
2回目以降のラウンド処理では、前記第1のパーミュテーション工程には、前回のラウンド処理での鍵演算工程の出力が入力され、
前記非線形変換工程において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記第1のパーミュテーション工程、前記非線形変換工程、前記第2のパーミュテーション工程、前記線形変換工程、前記鍵演算工程、による前記ラウンド処理が規定回数行われ、
複数のアンマスク値の中から、前記選択工程からの前記選択値に対応したアンマスク値を選択し、選択したアンマスク値と前記規定回数のラウンド処理終了後の前記鍵演算工程の出力との排他的論理和をとり、暗号文として出力するアンマスク演算工程を含む暗号化処理方法が提供される。この暗号化処理方法においては、ラウンド処理を繰り返す間にデータ列に対するマスクを無効化し新たにマスクをかけ直す演算を不要としている。
According to the present invention, an encryption processing method by a data processing apparatus,
A random number generating step for generating a random number;
A selection step of setting an initial value of a selection value using the random number as an input, and updating a next selection value every time round processing ends,
An initial mask operation step of selecting an initial mask value corresponding to the selection value from the selection unit from a plurality of initial mask values, and taking an exclusive OR of the selected initial mask and input;
A first permutation step of rearranging the pattern corresponding to the selected value from the selection step to the input data string and outputting the rearranged result;
A non-linear transformation step for non-linear transformation of a plurality of values obtained by dividing the output value of the first permutation step into a plurality of tables;
In accordance with a selection value from the selection step, a second rearrangement of the pattern opposite to the first permutation step is performed on a data string obtained by combining a plurality of output values of the nonlinear transformation step. The permutation process,
A linear transformation step for performing a linear transformation on the output of the second permutation step;
A key calculation step for calculating the output of the linear transformation step and a round key;
Including
In the first round process, the output of the initial mask calculation process is input to the first permutation process,
In the second and subsequent round processes, the output of the key calculation process in the previous round process is input to the first permutation process,
In the non-linear conversion step, the table performs non-linear conversion according to the table using a value obtained by performing an exclusive OR with a mask value on the input side with respect to the input to the table, and the non-linear converted value Output the value obtained by taking the exclusive OR with the mask value on the output side,
The round process by the first permutation step, the nonlinear transformation step, the second permutation step, the linear transformation step, and the key calculation step is performed a prescribed number of times,
An exclusive logic of selecting an unmask value corresponding to the selection value from the selection step from among a plurality of unmask values, and the output of the key operation step after the specified number of round processing ends There is provided an encryption processing method including an unmask operation step of taking a sum and outputting as ciphertext. In this encryption processing method, it is not necessary to perform an operation of invalidating a mask for a data string and applying a new mask while repeating round processing.
本発明によれば、データ処理装置に暗号化処理を実行させるプログラムであって、
乱数を発生させる乱数発生処理と、
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択処理と、
複数の初期マスク値の中から、前記選択部からの前記選択値に対応した初期マスク値を選択し、選択した初期マスクと入力したとの排他的論理和をとる初期マスク演算処理と、
前記選択処理からの選択値に対応したパターンの並べ替えを入力データ列に行い、並び替えた結果を出力する第1のパーミュテーション処理と、
前記第1のパーミュテーション処理の出力値を複数に分割した値をそれぞれ複数のテーブルで非線形変換する非線形変換処理と、
前記選択処理からの選択値に応じて、前記第1のパーミュテーション処理とは逆のパターンの並び替えを、前記非線形変換処理の複数の出力値を結合したデータ列に対して行う第2のパーミュテーション処理と、
前記第2のパーミュテーション処理の出力に対して線形変換を施す線形変換処理と、
前記線形変換処理の出力とラウンド鍵との演算を行う鍵演算処理と、
を含み、
初回のラウンド処理では、前記第1のパーミュテーション処理には、前記初期マスク演算処理の出力が入力され、
2回目以降のラウンド処理では、前記第1のパーミュテーション処理には、前回のラウンド処理での鍵演算処理の出力が入力され、
前記非線形変換処理において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記第1のパーミュテーション処理、前記非線形変換処理、前記第2のパーミュテーション処理、前記線形変換処理、前記鍵演算処理、による前記ラウンド処理が規定回数行われ、
複数のアンマスク値の中から、前記選択処理からの前記選択値に対応したアンマスク値を選択し、選択したアンマスク値と前記規定回数のラウンド処理終了後の前記鍵演算処理の出力との排他的論理和をとり、暗号文として出力するアンマスク演算処理を含む暗号化処理プログラムが提供される。この暗号化処理プログラムにおいては、ラウンド処理を繰り返す間にデータ列に対するマスクを無効化し新たにマスクをかけ直す演算を不要としている。本発明によれば、該暗号化処理プログラムを記録したコンピュータ読み出し可能な媒体(例えば半導体メモリ、磁気/光ディスク等)が提供される。
According to the present invention, a program for causing a data processing apparatus to execute encryption processing,
Random number generation processing for generating random numbers;
A selection process in which an initial value of a selection value is set using the random number as an input, and the next selection value is updated every round of round processing;
Selecting an initial mask value corresponding to the selection value from the selection unit from a plurality of initial mask values, and initial mask operation processing for taking an exclusive OR of the selected initial mask and input;
A first permutation process for rearranging the pattern corresponding to the selection value from the selection process to the input data string and outputting the rearranged result;
A non-linear transformation process that non-linearly transforms values obtained by dividing the output value of the first permutation process into a plurality of tables, respectively;
In accordance with a selection value from the selection process, a second rearrangement of the pattern opposite to the first permutation process is performed on a data string obtained by combining a plurality of output values of the nonlinear conversion process. Permutation processing,
A linear transformation process for performing a linear transformation on the output of the second permutation process;
A key operation process for calculating an output of the linear transformation process and a round key;
Including
In the first round process, the output of the initial mask calculation process is input to the first permutation process,
In the second and subsequent round processes, the first permutation process receives the output of the key calculation process in the previous round process,
In the non-linear conversion process, the table performs non-linear conversion according to the table using a value obtained by taking an exclusive OR with the mask value on the input side for the input to the table, and the non-linear converted value Output the value obtained by taking the exclusive OR with the mask value on the output side,
The round processing by the first permutation processing, the nonlinear transformation processing, the second permutation processing, the linear transformation processing, and the key calculation processing is performed a prescribed number of times,
Select an unmask value corresponding to the selection value from the selection process from among a plurality of unmask values, and exclusive logic between the selected unmask value and the output of the key operation process after the specified number of rounds have been completed There is provided an encryption processing program including unmask operation processing that takes the sum and outputs the result as ciphertext. In this encryption processing program, it is not necessary to perform an operation of invalidating a mask for a data string and applying a new mask while repeating round processing. According to the present invention, a computer-readable medium (for example, a semiconductor memory, a magnetic / optical disk, etc.) on which the encryption processing program is recorded is provided.
本発明によれば、
乱数を発生させる乱数発生部と、
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択部と、
前記選択部からの選択値に応じて、複数のアンマスク値の中からアンマスク値を選択し、選択したアンマスク値と、暗号文との排他的論理和をとるアンマスク演算部と、
初回のラウンドでは前記アンマスク演算部の出力、2回目以降のラウンドでは、前回ラウンドでの第2のパーミュテーション部での並び換え結果と、ラウンド鍵との演算を行う鍵演算部と、
前記鍵演算部の出力に対して線形変換を施す線形変換部と、
前記線形変換部の出力に対して、前記選択部からの選択値に対応したパターンの並べ替えを行い、並び替えた結果を出力する第1のパーミュテーション部と、
前記第1のパーミュテーション部の出力値を複数に分割した値をそれぞれ非線形変換する複数のテーブルを含む非線形変換部と、
前記選択部からの選択値に応じて、前記第1のパーミュテーション部とは逆のパターンの並び替えを、前記非線形変換部の複数の出力値を結合したデータ列に対して行う第2のパーミュテーション部と、
を備え、
前記非線形変換部において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記鍵演算部、前記第1のパーミュテーション部、前記非線形変換部、前記第2のパーミュテーション部によるラウンド処理が規定回数行われ、
前記選択部からの選択値に応じて複数の初期マスク値の中から初期マスク値を選択し、選択した初期マスク値と、前記規定回数のラウンド処理終了後の前記第2のパーミュテーション部での並び替え結果との排他的論理和をとる初期マスク演算部を備えた復号処理回路が提供される。この復号処理回路においては、ラウンド処理を繰り返す間にデータ列に対するマスクを無効化し新たにマスクをかけ直す演算を不要としている。
According to the present invention,
A random number generator for generating random numbers;
A selection unit that sets an initial value of a selection value using the random number as an input, and updates the next selection value every time round processing ends,
In accordance with a selection value from the selection unit, an unmask value is selected from a plurality of unmask values, and the selected unmask value and an unmask operation unit that performs exclusive OR with the ciphertext;
In the first round, the output of the unmask calculation unit, and in the second and subsequent rounds, a reordering result in the second permutation unit in the previous round, and a key calculation unit that calculates the round key;
A linear conversion unit that performs linear conversion on the output of the key calculation unit;
A first permutation unit that rearranges the pattern corresponding to the selection value from the selection unit and outputs the rearranged result with respect to the output of the linear conversion unit;
A non-linear conversion unit including a plurality of tables that non-linearly convert values obtained by dividing the output value of the first permutation unit into a plurality of values,
In accordance with a selection value from the selection unit, a second reordering of the pattern opposite to the first permutation unit is performed on a data string obtained by combining a plurality of output values of the nonlinear conversion unit. The permutation section,
With
In the non-linear conversion unit, the table performs non-linear conversion according to the table using a value obtained by taking an exclusive OR with a mask value on the input side with respect to the input to the table, and the non-linear conversion value Output the value obtained by taking the exclusive OR with the mask value on the output side,
Round processing by the key calculation unit, the first permutation unit, the non-linear conversion unit, and the second permutation unit is performed a specified number of times,
An initial mask value is selected from a plurality of initial mask values according to a selection value from the selection unit, and the selected initial mask value and the second permutation unit after the prescribed number of round processes are completed There is provided a decoding processing circuit including an initial mask operation unit that performs an exclusive OR with the rearrangement result of In this decoding processing circuit, it is not necessary to perform an operation of invalidating a mask for a data string and applying a new mask while repeating round processing.
本発明によれば、データ処理装置による復号処理方法であって、
乱数を発生させる乱数発生工程と、
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択工程と、
前記選択工程からの選択値に応じて、複数のアンマスク値の中からアンマスク値を選択し、選択したアンマスク値と、暗号文との排他的論理和をとるアンマスク演算工程と、
初回のラウンドでは前記アンマスク演算工程の出力、2回目以降のラウンドでは、前回ラウンドでの第2のパーミュテーション工程での並び換え結果と、ラウンド鍵との演算を行う鍵演算工程と、
前記鍵演算工程の出力に対して線形変換を施す線形変換工程と、
前記線形変換工程の出力に対して、前記選択工程からの選択値に対応したパターンの並べ替えを行い、並び替えた結果を出力する第1のパーミュテーション工程と、
前記第1のパーミュテーション工程の出力値を複数に分割した値をそれぞれ非線形変換する複数のテーブルを含む非線形変換工程と、
前記選択工程からの選択値に応じて、前記第1のパーミュテーション工程とは逆のパターンの並び替えを、前記非線形変換工程の複数の出力値を結合したデータ列に対して行う第2のパーミュテーション工程と、
を含み、
前記非線形変換工程において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記鍵演算工程、前記第1のパーミュテーション工程、前記非線形変換工程、前記第2のパーミュテーション工程によるラウンド処理が規定回数行われ、
前記選択工程からの選択値に応じて複数の初期マスク値の中から初期マスク値を選択し、選択した初期マスク値と、前記規定回数のラウンド処理終了後の前記第2のパーミュテーション工程での並び替え結果との排他的論理和をとる初期マスク演算工程を含む復号処理方法が提供される。この復号処理方法においては、ラウンド処理を繰り返す間にデータ列に対するマスクを無効化し新たにマスクをかけ直す演算を不要としている。
According to the present invention, there is provided a decryption processing method by a data processing apparatus,
A random number generating step for generating a random number;
A selection step of setting an initial value of a selection value using the random number as an input, and updating a next selection value every time round processing ends,
In accordance with a selection value from the selection step, an unmask value is selected from a plurality of unmask values, and the selected unmask value and an unmask operation step for taking an exclusive OR with the ciphertext;
In the first round, the output of the unmask calculation step, and in the second and subsequent rounds, the rearrangement result in the second permutation step in the previous round and the key calculation step for calculating the round key,
A linear transformation step for performing a linear transformation on the output of the key operation step;
A first permutation step of rearranging the pattern corresponding to the selection value from the selection step and outputting the rearranged result with respect to the output of the linear transformation step;
A non-linear transformation step including a plurality of tables each for non-linear transformation of values obtained by dividing the output value of the first permutation step into a plurality of values;
In accordance with a selection value from the selection step, a second rearrangement of the pattern opposite to the first permutation step is performed on a data string obtained by combining a plurality of output values of the nonlinear transformation step. The permutation process,
Including
In the non-linear conversion step, the table performs non-linear conversion according to the table using a value obtained by performing an exclusive OR with a mask value on the input side with respect to the input to the table, and the non-linear converted value Output the value obtained by taking the exclusive OR with the mask value on the output side,
Round processing by the key calculation step, the first permutation step, the nonlinear transformation step, and the second permutation step is performed a specified number of times,
An initial mask value is selected from a plurality of initial mask values according to the selection value from the selection step, and the selected initial mask value and the second permutation step after the prescribed number of round processes are completed There is provided a decoding processing method including an initial mask operation step of performing an exclusive OR with the rearrangement result of. In this decoding processing method, it is not necessary to perform an operation of invalidating a mask for a data string and applying a new mask while repeating round processing.
本発明によれば、データ処理装置に復号処理を実行させるプログラムであって、
乱数を発生させる乱数発生処理と、
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択処理と、
前記選択処理からの選択値に応じて、複数のアンマスク値の中からアンマスク値を選択し、選択したアンマスク値と、暗号文との排他的論理和をとるアンマスク演算処理と、
初回のラウンドでは前記アンマスク演算処理の出力、2回目以降のラウンドでは、前回ラウンドでの第2のパーミュテーション処理での並び換え結果と、ラウンド鍵との演算を行う鍵演算処理と、
前記鍵演算処理の出力に対して線形変換を施す線形変換処理と、
前記線形変換処理の出力に対して、前記選択処理からの選択値に対応したパターンの並べ替えを行い、並び替えた結果を出力する第1のパーミュテーション処理と、
前記第1のパーミュテーション処理の出力値を複数に分割した値をそれぞれ非線形変換する複数のテーブルを含む非線形変換処理と、
前記選択処理からの選択値に応じて、前記第1のパーミュテーション処理とは逆のパターンの並び替えを、前記非線形変換処理の複数の出力値を結合したデータ列に対して行う第2のパーミュテーション処理と、
を備え、
前記非線形変換処理において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記鍵演算処理、前記第1のパーミュテーション処理、前記非線形変換処理、前記第2のパーミュテーション処理によるラウンド処理が規定回数行われ、
前記選択処理からの選択値に応じて複数の初期マスク値の中から初期マスク値を選択し、選択した初期マスク値と、前記規定回数のラウンド処理終了後の前記第2のパーミュテーション処理での並び替え結果との排他的論理和をとる初期マスク演算処理を含む復号処理プログラムが提供される。この復号処理プログラムにおいては、ラウンド処理を繰り返す間にデータ列に対するマスクを無効化し新たにマスクをかけ直す演算を不要としている。本発明によれば、該復号処理プログラムを記録したコンピュータ読み出し可能な媒体(例えば半導体メモリ、磁気/光ディスク等)が提供される。
According to the present invention, a program for causing a data processing device to execute a decryption process,
Random number generation processing for generating random numbers;
A selection process in which an initial value of a selection value is set using the random number as an input, and the next selection value is updated every round of round processing;
In accordance with the selection value from the selection process, an unmask value is selected from a plurality of unmask values, and the selected unmask value and an unmask operation process for taking an exclusive OR with the ciphertext;
In the first round, the output of the unmask calculation process, and in the second and subsequent rounds, the reordering result in the second permutation process in the previous round and the key calculation process for calculating the round key;
A linear transformation process for performing a linear transformation on the output of the key operation process;
A first permutation process for rearranging a pattern corresponding to a selection value from the selection process and outputting a rearranged result for the output of the linear transformation process;
A non-linear transformation process including a plurality of tables each for non-linear transformation of values obtained by dividing the output value of the first permutation process into a plurality of values;
In accordance with a selection value from the selection process, a second rearrangement of the pattern opposite to the first permutation process is performed on a data string obtained by combining a plurality of output values of the nonlinear conversion process. Permutation processing,
With
In the non-linear conversion process, the table performs non-linear conversion according to the table using a value obtained by taking an exclusive OR with the mask value on the input side for the input to the table, and the non-linear converted value Output the value obtained by taking the exclusive OR with the mask value on the output side,
A round process by the key calculation process, the first permutation process, the nonlinear transformation process, and the second permutation process is performed a specified number of times,
An initial mask value is selected from a plurality of initial mask values according to the selection value from the selection process, and the selected initial mask value and the second permutation process after the prescribed number of round processes have been completed There is provided a decoding processing program including an initial mask calculation process for obtaining an exclusive OR with the rearrangement result of. This decoding processing program eliminates the need to invalidate the mask for the data string and repeat the new mask while repeating the round processing. According to the present invention, a computer-readable medium (for example, a semiconductor memory, a magnetic / optical disk, etc.) on which the decoding processing program is recorded is provided.
本発明によれば、暗号処理時における冗長部分を削減可能とし、処理速度を向上させ、マスク値の記憶領域を削減可能としている。 According to the present invention, it is possible to reduce redundant portions during encryption processing, improve processing speed, and reduce a mask value storage area.
本発明の第1の形態によれば、暗号鍵を用いて平文を複数のラウンドで暗号化する暗号化処理回路は、初期マスク演算部(1101)と、レジスタ(1200)、第1、第2のパーミュテーション部(1301、1302)、非線形変換部(1400)と、線形変換部(1500)、鍵演算部((1600)、アンマスク演算部(1102)、選択部(1700)、乱数生成部(1800)、とを備える。 According to the first aspect of the present invention, an encryption processing circuit for encrypting plaintext in a plurality of rounds using an encryption key includes an initial mask operation unit (1101), a register (1200), first, second Permutation units (1301, 1302), nonlinear transformation unit (1400), linear transformation unit (1500), key computation unit ((1600), unmask computation unit (1102), selection unit (1700), random number generation unit (1800).
初期マスク演算部(1101)は、選択部(1700)の出力値(選択値)にしたがって初期マスクテーブル(1111)から初期マスクを読み出し、読み出した初期マスクと平文との排他的論理和をとり、平文にマスクをかける。 The initial mask calculation unit (1101) reads the initial mask from the initial mask table (1111) according to the output value (selection value) of the selection unit (1700), takes an exclusive OR of the read initial mask and plaintext, Put plain text on the mask.
レジスタ(1200)は1ラウンド処理ごとの中間値を記憶する。 The register (1200) stores an intermediate value for each round process.
初回のラウンド処理では、レジスタ(1200)には、初期マスク演算部(1101)の演算結果が入力される。2回目以降のラウンド処理では、前記レジスタには、前回のラウンド処理での前記鍵演算部(1600)の出力が入力される。 In the first round process, the calculation result of the initial mask calculation unit (1101) is input to the register (1200). In the second and subsequent round processing, the output of the key calculation unit (1600) in the previous round processing is input to the register.
第1のパーミュテーション部(1301)は、レジスタ(1200)に格納されている値を入力値としてデータ列の並び替えを行う。このとき、どのような並び替えを行うかは、選択部(1700)の選択値にしたがう。 The first permutation unit (1301) rearranges the data strings using the values stored in the register (1200) as input values. At this time, what sort is performed depends on the selection value of the selection unit (1700).
非線形変換部(1400)は、複数のテーブル(マスク付き非線形変換テーブル)(S1〜St、1411〜1414)を備えている。各々のテーブル(S1〜St)(1411〜1414)において、テーブルにしたがって入力値に応じた出力値が出力される。 The non-linear conversion unit (1400) includes a plurality of tables (non-linear conversion tables with masks) (S1 to St, 1411 to 1414). In each table (S1 to St) (1411 to 1414), an output value corresponding to the input value is output according to the table.
前記非線形変換部(1400)の各テーブル(1411〜1414)は入力側のマスク(M=m1〜mt)とマスクなし非線形変換テーブル(S、1420)、出力側のマスク(N=n1〜nt)によって得られる値で構成される。テーブル(1411〜1414)の入力に対して入力側のマスク(M=m1〜mt)をかけることで入力値をマスク前の値に変換し、マスク前の値を用いてテーブル(S、1420)に従った非線形変換を行う。テーブル(S、1420)の出力に対して出力側のマスク(N=n1〜nt)をかけた値を出力する。マスク付き非線形変換テーブル(S1〜St、1411〜1414)はこの入出力の関係をテーブルとしている。 Each table (1411 to 1414) of the non-linear conversion unit (1400) includes an input side mask (M = m 1 to m t ), a non-mask non-linear conversion table (S, 1420), and an output side mask (N = n 1). ~ N t ). The input value is converted to a value before masking by applying an input side mask (M = m 1 to m t ) to the input of the table (1411-1414), and the table (S, 1420) is performed. A value obtained by multiplying the output of the table (S, 1420) by the mask on the output side (N = n 1 to n t ) is output. The masked nonlinear conversion tables (S1 to St, 1411 to 1414) use this input / output relationship as a table.
第2のパーミュテーション部(1302)は、非線形変換部(1400)の複数のテーブル(S1〜Sn)から出力される複数の値を入力し、データ列の並び替えを行う。このとき、どのような並び替えを行うかは、選択部(1700)の選択値にしたがう。なお、並び替えについては、第1のパーミュテーション部(1301)とは逆の並び替えを行う。 The second permutation unit (1302) inputs a plurality of values output from the plurality of tables (S1 to Sn) of the nonlinear conversion unit (1400), and rearranges the data strings. At this time, what sort is performed depends on the selection value of the selection unit (1700). Note that the rearrangement is performed in the reverse order to that of the first permutation unit (1301).
線形変換部(1500)は、第2のパーミュテーション部(1302)出力値の線形変換をとる。 The linear transformation unit (1500) performs linear transformation of the output value of the second permutation unit (1302).
鍵演算部(1600)は、線形変換部(1500)の出力とラウンド鍵(Ki)とを加算する(排他的論理和をとる)。 The key calculation unit (1600) adds the output of the linear conversion unit (1500) and the round key (Ki) (takes an exclusive OR).
前記第1のパーミュテーション部(1301)、前記非線形変換部(1400)、前記第2のパーミュテーション部(1302)前記線形変換部(1500)、前記鍵演算部(1600)によるラウンド処理が、規定回数行われる(例えばAES-128、AES-192、AES-256のラウンド処理回数は10回、12回、14回)。本発明によれば、該ラウンド処理を繰り返す間にデータ列に対するマスクを無効化し新たにマスクをかけ直す演算を必要としない(不要としている)。 Round processing by the first permutation unit (1301), the nonlinear transformation unit (1400), the second permutation unit (1302), the linear transformation unit (1500), and the key calculation unit (1600) is performed. The specified number of times is performed (for example, AES-128, AES-192, and AES-256 round processing times are 10 times, 12 times, and 14 times). According to the present invention, it is not necessary (unnecessary) to invalidate a mask for a data string and repeat a new mask while repeating the round process.
アンマスク演算部(1102)は、選択部(1700)の出力値(選択値)にしたがってアンマスクテーブル(1113)からアンマスク値を読み出し、ラウンド処理終了後のデータ列とアンマスク値との排他的論理和をとり、データ列のマスクを解除する。排他的論理和の結果を暗号文として出力する。 The unmask operation unit (1102) reads the unmask value from the unmask table (1113) according to the output value (selection value) of the selection unit (1700), and performs an exclusive OR operation between the data string after the round processing and the unmask value. And unmask the data string. Output the result of exclusive OR as ciphertext.
選択部(1700)は、乱数生成部(1800)の乱数値を初期値として、選択値を出力する。また、選択値はラウンド処理が1ラウンド終わるごとに更新される。 The selection unit (1700) outputs the selection value using the random number value of the random number generation unit (1800) as an initial value. Further, the selection value is updated every round of round processing.
選択値によって、前記初期マスク演算部(1101)および前記アンマスク演算部(1102)のマスク値が選択される。また、選択値によって、前記第1のパーミュテーション部(1301)および前記第2のパーミュテーション部(1302)の並び替えのパターンが選択される。 The mask values of the initial mask calculation unit (1101) and the unmask calculation unit (1102) are selected according to the selection value. Further, the rearrangement pattern of the first permutation section (1301) and the second permutation section (1302) is selected according to the selection value.
乱数生成部(1800)は、暗号処理開始時に乱数を生成し、生成した乱数を前記選択部(1700)へ出力する。乱数生成には、LFSR(LinearFeedbackShiftRegister)を利用するものや、一方向性関数を利用するもの、カオス系列を利用するもの、予めROMなどに記憶しておいた乱数を読みだすもの等、公知のものが用いられる。 The random number generation unit (1800) generates a random number at the start of encryption processing, and outputs the generated random number to the selection unit (1700). Random number generators that use LFSR (LinearFeedbackShiftRegister), those that use a one-way function, those that use chaotic sequences, or those that read random numbers stored in advance in ROM, etc. Is used.
第1、第2パーミュテーション部(1301、1302)は、複数の並び替えのパターンを持ち、どのパターンで並び替えを行うかは、前記選択部(1700)の選択値に従う。 The first and second permutation units (1301, 1302) have a plurality of rearrangement patterns, and which pattern is to be rearranged depends on the selection value of the selection unit (1700).
選択部(1700)の選択値がsvであるときの第2のパーミュテーション部(1302)の並び替えをP2sv(・)、線形変換をL(・)、選択値sv’のときの第1のパーミュテーション部1301の並び替えをP1sv’(・)とし、選択部(1700)の選択値svがあったときに、次の選択値がsv’となるとして、全てのsvに対して、前記非線形変換部(1400)の入力側マスク(M)と出力側マスク(N)に対して、次の関係を満たせる並び替えパターンを、第1、第2のパーミュテーション部(1301、1302)に持たせる。
M=P1sv'(L(P2sv(N)))
When the selection value of the selection unit (1700) is sv, the rearrangement of the second permutation unit (1302) is P2sv (•), the linear transformation is L (•), and the first is when the selection value is sv ′. The
M = P1sv '(L (P2sv (N)))
前記第1、第2パーミュテーション部(1301、1302)の並び替えのパターンでは、同じ選択値に対して、逆の並び替えを行う。これにより、前記第1のパーミュテーション部で移動したデータの位置を、前記第2のパーミュテーション部によって元の位置に戻すことができる。 In the rearrangement pattern of the first and second permutation units (1301, 1302), reverse rearrangement is performed on the same selection value. Thereby, the position of the data moved by the first permutation unit can be returned to the original position by the second permutation unit.
前記非線形変換部(1400)の入力側マスク(M)と出力側マスク(N)は次のような関係を規定しておく。前記出力側マスク値(N)を前記第2のパーミュテーション部(1302)のいずれかの並び替えパターンで並び替え、さらに並び替えたマスク値(N)を前記線形変換部(1500)で線形変換し、線形変換した結果を前記第1のパーミュテーション部(1301)のいずれかの並び替えパターンで並び替えた結果を前記入力側マスク(M)とする。 The input side mask (M) and the output side mask (N) of the nonlinear conversion unit (1400) define the following relationship. The output side mask value (N) is rearranged by any of the rearrangement patterns of the second permutation unit (1302), and the rearranged mask value (N) is linearized by the linear conversion unit (1500). A result obtained by rearranging the result of the transformation and the linear transformation by any one of the rearrangement patterns of the first permutation unit (1301) is defined as the input side mask (M).
本発明の上記形態によれば、非線形変換部において、マスク付の非線形変換テーブルを具備することで、マスクを変えるためにテーブルの再計算を行う必要性がなくなり、処理速度の低下と、記憶領域(RAM領域)の増大を抑制する。さらに、非線形変換部において、異なるマスクを持つテーブルを具備し、さらにパーミュテーションによりテーブルに入力されるデータを入れ替えることで、ラウンド処理ごとにデータの各部分にかかるマスクを入れ替える。未使用となるマスク値とテーブルを出さないことで、ROM領域及び回路規模を削減することができる。 According to the above aspect of the present invention, the non-linear conversion unit includes the non-linear conversion table with a mask, so that it is not necessary to recalculate the table to change the mask. (RAM area) increase is suppressed. Further, the nonlinear conversion unit includes a table having different masks, and further replaces the data input to the table by permutation, thereby exchanging the masks for each part of the data for each round process. By not providing unused mask values and tables, the ROM area and circuit scale can be reduced.
非線形変換部のマスク付の非線形変換テーブルにおける入力側マスク値(M)と出力側のマスク値(N)の関係を規定しておき、さらに、パーミュテーションに条件付けを行う。こうすることで、本発明によれば、ラウンドごとのアンマスクやリマスクといったマスクの作業が不要となり、作業用のマスク値をROM等の記憶装置に記憶しておくことを要しなくしている。その結果、処理速度の向上と回路規模の削減が期待できる。 The relationship between the input side mask value (M) and the output side mask value (N) in the non-linear conversion table with mask of the non-linear conversion unit is defined, and the permutation is further conditioned. Thus, according to the present invention, mask work such as unmasking and remasking for each round becomes unnecessary, and it is not necessary to store work mask values in a storage device such as a ROM. As a result, an improvement in processing speed and a reduction in circuit scale can be expected.
このように、本発明によれば、処理速度を向上させ、回路規模及びROM領域を削減しつつ、ハミング重みやハミング距離に基づくサイドチャネル攻撃による解析を困難にし、暗号モジュールの安全性を高めることができる。以下、図面を参照していくつかの実施形態を説明する。 As described above, according to the present invention, the processing speed is improved, the circuit scale and the ROM area are reduced, the analysis by the side channel attack based on the Hamming weight and the Hamming distance is made difficult, and the security of the cryptographic module is improved. Can do. Hereinafter, some embodiments will be described with reference to the drawings.
(第1の実施形態)
図1は、本発明の第1の実施形態の暗号化処理回路の構成を例示する図である。本実施形態の暗号化処理回路は、暗号化部1000と鍵生成部2000を含む。
(First embodiment)
FIG. 1 is a diagram illustrating a configuration of an encryption processing circuit according to the first embodiment of this invention. The encryption processing circuit of the present embodiment includes an
図2は、図1の暗号化部1000の構成を例示する図である。図2を参照すると、暗号化部1000は、初期マスク演算部1101、レジスタ1200、パーミュテーション部1301、1302、非線形変換部1400、線形変換部1500、鍵演算部1600、選択部1700、及び、乱数生成部1800を備えている。本明細書では、各変換部での演算として以下のような表記を用いる。
非線形変換:S(・)、
線形変換:L(・)、
パーミュテーション(1301、1302):P1(・)、P2(・)。
FIG. 2 is a diagram illustrating a configuration of the
Nonlinear transformation: S (・),
Linear transformation: L (・),
Permutation (1301, 1302): P1 (•), P2 (•).
図1を参照すると、暗号化部1000は、入力された平文と、鍵生成部2000から受け取るラウンド鍵(Ki)をもとに、データを暗号化し、暗号文を出力する。
Referring to FIG. 1, the
暗号化部1000では、図2を参照すると、初めに初期マスク演算部1101において、処理を行う。
With reference to FIG. 2, the
図3は、図2の初期マスク演算部1101の構成を例示する図である。図3を参照すると、初期マスク演算部1101は、複数の初期マスクを格納している初期マスクテーブル1111と、排他的論理和演算部(Exclusive OR:XOR)1112を備えている。初期マスクテーブル1111は、入力された選択値に基づき複数の初期マスクの中から1つを選択して出力する。排他的論理和演算部1112は、初期マスクテーブル1111から出力された初期マスクと平文との排他的論理和(bitwiseXOR:ビット毎のXOR)を演算する。初期マスクテーブル1111は、選択部1700の選択値がとり得る値の数だけ初期マスクのデータ列を格納する。
FIG. 3 is a diagram illustrating a configuration of the initial
再び、図2を参照して、次に、規定ラウンド数だけ、パーミュテーション部1301、非線形変換部1400、パーミュテーション部1302、線形変換部1500、鍵演算部1600でラウンド処理を繰り返す。なお、ラウンド処理中の中間値はレジスタ1200に格納される。
Referring to FIG. 2 again, next, round processing is repeated by the
ラウンド処理終了後、アンマスク演算部1102において処理を行う。
After the round process, the
図4は、図2のアンマスク演算部1102の構成を例示する図である。図4を参照すると、アンマスク演算部1102は、複数のアンマスクの格納しているアンマスクテーブル1113と、排他的論理和演算部1114を備えている。アンマスクテーブル1113は、入力された選択値に基づき、複数のアンマスクの中から1つを選択して出力する。排他的論理和演算部1114は、アンマスクテーブル1113から出力されたアンマスクとラウンド処理の出力結果(レジスタ1200に格納されている鍵演算部1600の出力結果)との排他的論理和(bitwiseXOR)を演算し、暗号文を出力する。アンマスクテーブル1113は、初期マスクテーブル1111と同様に、選択値がとり得る値の数だけアンマスクのデータ列を格納する。
FIG. 4 is a diagram illustrating a configuration of the
このように、図2において、初期マスク演算部1101、アンマスク演算部1102は、それぞれ、選択値に基づき、初期マスクテーブル1111、アンマスクテーブル1113からマスク値を選択し、選択したマスク値と入力データ列の排他的論理和(bitwiseXOR)を演算し、演算結果を出力する。初期マスク演算部1101では、平文と初期マスクとの排他的論理和を演算する。アンマスク演算部1102では、ラウンド処理の結果とアンマスクとの排他的論理和を演算する。
As described above, in FIG. 2, the initial
図2において、レジスタ1200は、ラウンド処理の中間値を記憶する。初回のラウンド処理では、初期マスク演算部1101の出力が記憶される。2回目以降のラウンド処理では、鍵演算部1600の出力が記憶される。
In FIG. 2, a
パーミュテーション部1301及びパーミュテーション部1302は、複数の並び替えのパターンを持ち、選択値に応じて並び替えのパターンを選択し、選択したパターンにしたがって入力データ列を並び替えて、並び替えた結果を出力する。並び替えは、ビット単位、バイト単位、及び任意のデータ長単位での並び替えがある。パーミュテーション部1301では、レジスタ1200のデータを並び替える。パーミュテーション部1302では、非線形変換部1400の出力値(Y)を並び替え、並び替えた結果(P2(Y))を出力する。
The
非線形変換部1400は、入力値(X)を非線形変換し、変換結果(Y)を出力する。
The
図5は、図2の非線形変換部1400の構成を例示する図である。図5を参照すると、非線形変換部1400は、t個(tは所定の正整数)の非線形変換テーブル(S1〜St)1411〜1414を備えている。t個の非線形変換テーブル1411〜1414へは入力値Xのうちの一部のデータx1〜xtがそれぞれ入力され、各非線形変換テーブルで非線形変換が行われる。データの一部の取り出し方としては、ビット単位、バイト単位、及び、任意のデータ長で分割され、データXは、全部でt個のデータx1〜xtに分割される。x1〜xtは互いに重ならず、x1〜xtのビット列(あるいはバイト列等)を結合(連結)することでXとなる。特に制限されないが、例えばXが32ビットのとき、例えば4ビット単位にx1はXの0〜3ビット、x2はXの4〜7ビット、・・・、x8はXの29〜31ビット等に分割する。
FIG. 5 is a diagram illustrating a configuration of the
非線形変換テーブル1411〜1414の変換結果としてt個の出力値y1〜ytが出力される。なお、非線形変換テーブル1411〜1414は、後述するように、テーブルの入力と出力にマスク演算を施すものであり、マスク付き非線形変換テーブルともいう。n個の出力値y1〜ytを結合したものが非線形変換部1400の出力値Yとなる。
As the conversion results of the non-linear conversion tables 1411 to 1414, t output values y1 to yt are output. As will be described later, the nonlinear conversion tables 1411 to 1414 perform mask operations on the input and output of the table and are also referred to as masked nonlinear conversion tables. A combination of n output values y1 to yt is the output value Y of the
図6は、図5のt個の非線形変換テーブル(S1〜St)1411〜1414の入出力の関係を例示する図である。図6を参照すると、非線形変換テーブル1411は、入力側のマスクm1と、出力側のマスクn1と、排他的論理和演算部1431と、ルックアップテーブル方式の非線形変換テーブル(S)1421と、排他的論理和演算部1435を備えている。同様に、他の非線形変換テーブル1412〜1414は、入力側のマスクm2〜mtと、出力側のマスクn2〜ntと、排他的論理和演算部1432〜1434、ルックアップテーブル方式の非線形変換テーブル(S)1422〜1424と、排他的論理和演算部1436〜1438を備えている。マスクm1〜mtのビット幅は、データx1〜xtビット幅と等しい。
FIG. 6 is a diagram illustrating the input / output relationship of the t non-linear conversion tables (S1 to St) 1411 to 1414 in FIG. Referring to FIG. 6, the nonlinear conversion table 1411 includes an input side mask m 1 , an output side mask n 1 , an exclusive OR
図6において、非線形変換テーブル(S1)1411内において、排他的論理和演算部1431は、入力値x1と入力側のマスクm1との排他的論理和(bitwise XOR) x1(XOR)m1をとる。なお、マスク値との排他的論理和をとることを、マスクをかけるともいう。
In FIG. 6, in the nonlinear conversion table (S1) 1411, the exclusive OR
非線形変換テーブル(S)1421は、排他的論理和演算部1431での排他的論理和演算結果x1(XOR)m1を入力し、該入力に非線形変換を施した変換結果S(x1(XOR)m1)を出力する。
The non-linear conversion table (S) 1421 receives the exclusive OR operation result x1 (XOR) m 1 in the exclusive OR
排他的論理和演算部1435は、非線形変換テーブル(S)1421から出力された変換結果S(x1(XOR)m1)と、出力側のマスクn1との排他的論理和S(x1(XOR)m1)(XOR)n1をとり、演算結果をy1として出力する。このように、非線形変換テーブル(S1)1411は、入力値x1をy1へ変換して出力する。他の非線形変換テーブル(S2〜Sn)1412〜1414も、S1と同様に、x2〜xtのそれぞれに対して排他的論理和、非線形変換、排他的論理和の3つの演算を行い、それぞれy2〜ytを出力する。マスクn1〜ntは、非線形変換テーブル(S)の出力のビット幅と等しい(例えばマスクm1〜mtのビット幅と等しくしてもよい)。
The exclusive OR
入力側の各マスクm1〜mtを結合(連接)したものをM、
出力側の各マスクn1〜ntを結合(連接)したものをN、
とする。
M what each mask m 1 ~m t of the input side coupled (connected),
N, which is a combination (concatenation) of the masks n 1 to n t on the output side
And
非線形変換テーブル1411をメモリ装置へ実装する場合には、入力x1に対して、
出力y1=S(x1(XOR)m1)(XOR)n1を出力する。前述したように、図6のS1〜Snの各々は、排他的論理和演算、非線形変換、排他的論理和演算を行う。
When the non-linear conversion table 1411 is mounted on the memory device, for the input x1,
Output y1 = S (x1 (XOR) m 1 ) (XOR) n 1 is output. As described above, each of S1 to Sn in FIG. 6 performs exclusive OR operation, non-linear transformation, and exclusive OR operation.
再び図2を参照すると、線形変換部1500は、パーミュテーション部1301から出力された出力値(P2(Y))を線形変換して変換結果(Z)を出力する。線形変換の関数をLとした場合、
Z=L(P2(Y))
となる。
Referring to FIG. 2 again, the
Z = L (P2 (Y))
It becomes.
鍵演算部1600は、図1の鍵生成部2000から出力されたラウンド鍵(Ki)と、線形変換部1500の出力(Z)との排他的論理和Q=Z(XOR)Ki(iは現在のラウンド数を示す)を演算する。なお、排他的論理和演算Z(XOR)KiはZとKiの加算である。
The
図7は、図2の鍵演算部1600の構成を例示する図である。図7を参照すると、鍵演算部1600は、複数の排他的論理和演算部1611〜1614を備えている。排他的論理和演算部1611は、ラウンド鍵Kiの一部であるki1と入力値Zの一部であるz1との排他的論理和z1(XOR)ki1を演算し、演算結果(加算結果)をq1として出力する。他の排他的論理和演算部1612〜1614も同様に、ラウンド鍵Kiの一部kij(j=2〜t)と入力値Zの一部zj(j=2〜t)との排他的論理和zj(XOR)kijを演算し演算結果をqj(j=2〜t)として出力する。
FIG. 7 is a diagram illustrating a configuration of the
また図2において、選択部1700は、乱数生成部1800から出力される乱数を初期値として、選択値を出力する。前記選択値は、前記初期マスク演算部1101、パーミュテーション部1301、1302、アンマスク演算部1102で用いられる。
In FIG. 2, the
選択部1700において、選択値の更新方法としては、例えば次のようなものがあげられる(ただし、以下に制限されない)。
In the
1)1ラウンドごとに1ずつ増加(減少)していき、最大値(最小値)を超えたら、最小値(最大値)へとループする方法。 1) A method of incrementing (decreasing) by 1 every round and looping to the minimum value (maximum value) when the maximum value (minimum value) is exceeded.
2)テーブルを用意しておき、現在のラウンドにおける選択値や、初期値と現在のラウンド数を引数としてテーブルから次の選択値を決定する方法。 2) A method in which a table is prepared and the next selection value is determined from the table by using the selection value in the current round or the initial value and the current round number as arguments.
3)更新式を用意しておき、現在のラウンドにおける選択値や、初期値と現在のラウンド数を引数として、次の選択値を更新式より算出する方法。 3) A method in which an update formula is prepared and the next selection value is calculated from the update formula using the selection value in the current round or the initial value and the current round number as arguments.
図2において、乱数生成部1800は暗号処理開始時に乱数を生成する。生成した乱数は選択部1700の入力となる。
In FIG. 2, a random
図1の鍵生成部2000は、入力された秘密鍵をもとに、暗号化部1000で使用するラウンド鍵(Ki)を生成する。このラウンド鍵(Ki)は図2の鍵演算部1600に入力される。
The
図8は、第1の実施形態の動作を説明するフローチャートである。図8と、図1乃至図7を参照して、本実施形態の動作を説明する。 FIG. 8 is a flowchart for explaining the operation of the first embodiment. The operation of this embodiment will be described with reference to FIG. 8 and FIGS. 1 to 7.
はじめに、平文及び秘密鍵を暗号化処理回路へ入力し、平文は図1の暗号化部1000、秘密鍵は図1の鍵生成部2000へ入力される(ステップA1)。
First, the plaintext and the secret key are input to the encryption processing circuit, and the plaintext is input to the
暗号処理が開始されたときに、図2の乱数生成部1800では乱数が生成され、乱数が選択部1700へ入力される(ステップA2)。
When the cryptographic process is started, the random
図2の選択部1700は、入力された乱数を基に、選択値を出力する(ステップA3)。
The
図2の初期マスク演算部1101において、図3の初期マスクテーブル1111より選択値にもとづいて初期マスクが選択され、平文と初期マスクとの排他的論理和が演算される。この排他的論理和演算(加算演算)により、平文にマスクをかける(ステップA4)。マスクがかかった平文は、レジスタ1200に記憶される。
2 selects an initial mask based on the selection value from the initial mask table 1111 of FIG. 3, and calculates an exclusive OR of the plaintext and the initial mask. The plaintext is masked by this exclusive OR operation (addition operation) (step A4). The plain text with the mask is stored in the
マスク処理後、ラウンド処理として、ステップA5〜A11が行われる。まず、図2のパーミュテーション部1301で選択値に基づき、データ列の並び替えを行う(ステップA5)。
After the mask processing, steps A5 to A11 are performed as round processing. First, the
次に、図2の非線形変換部1400で、パーミュテーション部1301の出力値を非線形変換し、非線形変換出力(Y)を出力する(ステップA6)。非線形変換部1400では、パーミュテーション部1301の出力値がt個に分割されx1〜xtが、非線形変換テーブル(S1〜St)1411〜1414へと入力される。これら、非線形変換テーブルはマスク付の非線形変換テーブルとなっている。非線形変換テーブル(S1)1411の結果は、x1とm1との排他的論理和を演算し、演算結果を非線形変換S(・)によって非線形変換し、非線形変換した結果とn1との排他的論理和をとった結果となる。
Next, the
ここで、ステップA4で平文にかけた初期マスク値と、m1〜mtを結合(concatenate)したマスク値M(=m1||m2||・・・||mt;ただし、||は連結(連接)を示す)とが一致する場合、図6の排他的論理和演算部1431〜1434において、初期マスクとMが相殺されることになる(一致する値同士の排他的論理和をとると、0となる)。このため、非線形変換テーブル1421〜1424は、元の平文に対して非線形変換を行うこととなる。そして、図6の排他的論理和演算部1435〜1438で、元の平文を非線形変換した結果に、n1〜ntを連結したマスクN(=n1||n2||・・・||nt)をかけることとなる。
Here, the initial mask value applied to plaintext in step A4, binding the m 1 ~m t (concatenate) the mask value M (= m 1 || m 2 || ··· || m t; however, || In the exclusive OR
図3の初期マスクテーブル1111に格納される各マスク値としてマスク値Mを並び替えた値を格納しておき、図2のパーミュテーション部1301で、初期マスクをマスク値Mの配列と一致させるように並び替えを行うことで、上記の初期マスクとMの相殺が可能となる。
A value obtained by rearranging the mask values M is stored as each mask value stored in the initial mask table 1111 in FIG. 3, and the initial mask is made to match the array of the mask values M in the
図2のパーミュテーション部1302は、選択値に基づき、非線形変換部1400の出力Yを並び替える(ステップA7)。パーミュテーション部1302で行われる並び替えはパーミュテーション部1301とは逆の並び替えである。逆の並び替えを行うことで、データの順番をパーミュテーション部1301に入力される前の順番に戻すことができる。また、データにかかっているマスクの配列が並び替えられる。
The
図2の線形変換部1500は、パーミュテーション部1302の出力値(Y’)に対して線形変換を行い、変換結果(Z)を出力する(ステップA8)。
The
図2の鍵演算部1600は、線形変換部1500の出力(Z)と、鍵生成部2000から送られてきたラウンド鍵(Ki)との排他的論理和を演算し、演算結果(Q)を出力する(ステップA9)。鍵演算部1600での演算結果(Q)は、レジスタ1200に記憶される。
2 calculates an exclusive OR of the output (Z) of the
鍵演算部1600での演算後、規定ラウンド回数、ラウンド処理を繰り返したか否か(ラウンド処理終了)の判定を行う(ステップA10)。この判定は、規定ラウンド回数に設定されたカウンタを、鍵演算部1600での演算のたびに1つカウントダウンし、カウント値が0となった時点で、ラウンド処理終了と判定してもよいし、図2の各部を制御する不図示の制御部等で制御するようにしてもよい。該判定の結果、ラウンド処理が規定回数分終わっていない場合には、選択部1700において、選択値の更新(ステップA11)を行った後、ステップA5に戻り、再び、ラウンド処理を繰り返す。一方、ラウンド処理が規定回数分終了した場合には、ステップA12へ進む。
After the calculation by the
ラウンド処理を繰り返す場合、まず、図2のパーミュテーション部1301で、図2の鍵演算部1600の結果(Q)を並び替える(P1(Q))(ステップA5)。
When repeating round processing, first, the
次に、並び替えたデータ列(P1(Q))に対して、図2の非線形変換部1400で非線形変換が行い、変換結果(Y)を出力する(ステップA6)。
Next, nonlinear transformation is performed on the rearranged data string (P1 (Q)) by the
パーミュテーション部1301の出力(P1(Q))も、入力値(X)をt個(x1〜xt)に分割したのと同様、t個に分割し、pq1〜pqtとする。特に制限されないが、例えばP1(Q)が32ビットのとき、4ビット単位にpq1はP1(Q)の0〜3ビット、pq2はP1(Q)の4〜7ビット、・・・、pq8はP1(Q)の29〜31ビット等に分割する。
The output (P1 (Q)) of the
pq1〜pqtが、図5のx1〜xtとして、各非線形変換テーブル(S1〜St)1411〜1414にそれぞれ入力され、マスク付きの非線形変換処理が行われる。 pq1 to pqt are input to the nonlinear conversion tables (S1 to St) 1411 to 1414 as x1 to xt in FIG. 5, respectively, and nonlinear conversion processing with a mask is performed.
例えば図6の非線形変換テーブル(S1)1411では、pq1とm1との排他的論理和pq1(XOR)m1を演算し、演算結果を、非線形変換S(・)によって非線形変換し(演算結果pq1(XOR)m1をテーブルに入力し、該テーブルから非線形変換した結果が読み出される)、非線形変換した結果S(pq1(XOR)m1)とn1との排他的論理和をとった結果S(pq1(XOR)m1)(XOR)n1となる。 In the non-linear conversion table (S1) 1411 in FIG. 6, for example, calculates the exclusive OR pq1 (XOR) m 1 of PQ1 and m 1, the operation result, and non-linear transformation by the nonlinear conversion S (·) (operation result pq1 (XOR) m 1 is input to the table, and the result of nonlinear transformation is read from the table), and the result of the exclusive OR of the result of nonlinear transformation S (pq1 (XOR) m 1 ) and n 1 S (pq1 (XOR) m 1 ) (XOR) n 1
ここで、1ラウンド目のステップA6(図8参照)でかけたマスクNが、1ラウンド目のパーミュテーション部1302と線形変換部1500(図2参照)、及び2ラウンド目のパーミュテーション部1301で変換された結果をN’とする。m1〜mtを結合した入力側のマスクMが、N’と一致する場合、図6の排他的論理和演算部1431〜1434において、N’とMが相殺されることになる(一致する値同士の排他的論理和をとると、0となる)。
Here, the mask N applied in step A6 (see FIG. 8) in the first round is the
このため、マスクMが、N’と一致する場合、図6の非線形変換1421〜1424は、元のデータ(マスクをかける前の値)に対して、非線形変換を行うことと等価となる。そして、図6の排他的論理和演算部1435〜1438で、元のデータを非線形変換した結果に、マスクNをかけることとなる。
Therefore, when the mask M matches N ′, the
したがって、本実施形態においては、図8のステップA6でかけたマスクNを、図2のパーミュテーション部1302、線形変換部1500、及びパーミュテーション部1301で変換した結果N’を、入力側のマスクMとして、M、Nを含めた非線形変換テーブル(S1〜Sn)1411〜1414(図5、図6参照)を実装する。
Therefore, in the present embodiment, the result N ′ obtained by converting the mask N applied in step A6 of FIG. 8 by the
こうすることで、ラウンド処理中に、線形変換部1500での線形処理等で変化してしまったマスクを一旦解除して改めてマスクをかけ直す作業(処理)を不要としている。
By doing so, the work (processing) of once canceling the mask that has been changed by the linear processing or the like in the
図2のパーミュテーション部1302では、非線形変換部1400の変換結果(Y)を選択値に基づき並び替え、並び替えた結果(P2(Y))を出力する(ステップA7)。
The
図2の線形変換部1500では、パーミュテーション部1302の出力(P2(Y))に対して線形変換を行い、変換結果(Z)を出力する(ステップA8)。
The
図2の鍵演算部1600では、線形変換部1500の出力(Z)と鍵生成部2000から送られてきたラウンド鍵(Ki)との排他的論理和を演算し、演算結果(Q)を出力する(ステップA9)。
2 calculates the exclusive OR of the output (Z) of the
ラウンド処理が規定回数行われた場合、図8のステップA10からステップA12へと進む。 When the round process has been performed a predetermined number of times, the process proceeds from step A10 to step A12 in FIG.
ラウンド処理終了後、図2のアンマスク演算部1102において、図4のアンマスクテーブル1113より選択値にもとづいてアンマスクが選択され、ラウンド処理の結果である鍵演算部1600の出力(Q)と、アンマスクとの排他的論理和を演算し、演算結果を暗号文として出力する(ステップA12)。このアンマスクとの排他的論理和は、Qにかかっているマスクを解除し、本来の暗号文Cを得るものである。
After the round process is completed, the
ラウンド処理の結果である鍵演算部1600の出力(Q)にかかるマスクは、図8のステップA6でかけられたマスクNを、パーミュテーション部1302で並び替え、線形変換部1500で変換した値N’である。したがって、アンマスク演算部1102で、Qと、アンマスク値との排他的論理和の演算をすることで、本来の暗号文Cを得ることができる。
The mask applied to the output (Q) of the
なお、暗号アルゴリズムによっては、最後のラウンドでは処理の内容が変わることがある。その場合は、最後のラウンドで、マスクNに対して行われたパーミュテーション処理及び線形処理だけをNに適用した値をアンマスク値として用いる。 Depending on the encryption algorithm, the content of processing may change in the last round. In that case, a value obtained by applying only permutation processing and linear processing performed on the mask N to N in the last round is used as the unmask value.
例えば、AESでは最後のラウンドでは、線形変換の1つであるMixColumnsが行われない。そのため、それ以外の演算である、パーミュテーションとShiftRowsのみ、マスク値Nに適用した結果が、アンマスク値となる。 For example, in AES, MixColumns, which is one of linear transformations, is not performed in the last round. For this reason, the result of applying only the permutation and ShiftRows, which are other operations, to the mask value N becomes the unmask value.
最後に暗号文Cを出力し終了となる(ステップA13)。 Finally, ciphertext C is output and the process ends (step A13).
本実施形態で用いるマスク値として、
・初期マスク、
・アンマスク、
・非線形変換テーブルの入力側のマスクM、
・非線形変換テーブルの出力側のマスクN、
がある。各マスク値の関係について説明する。
As a mask value used in this embodiment,
・ Initial mask,
・ Unmask,
・ Mask M on the input side of the nonlinear conversion table,
-Non-linear conversion table output mask N,
There is. The relationship between the mask values will be described.
初期マスク演算部1101の初期マスクテーブル1111(図3)に格納されている各初期マスクは、パーミュテーション部1301においてとり得る並び替えパターンのいずれかで並び替えることで、非線形変換テーブル(図6の1411〜1414)の入力側のマスクM(=m1||m2||・・・||mt)と等しくなる。
Each initial mask stored in the initial mask table 1111 (FIG. 3) of the initial
初期マスク演算部1101の初期マスクテーブル1111(図3)と、パーミュテーション部1301の対応付けは、選択部1700の選択値によって行われる。ある選択値svによって選択された初期マスクは、同じ選択値svで選択されたパーミュテーション部1301の並び替えパターンによって並び替えることによって、非線形変換テーブル(図6の1411〜1414)の入力側のマスクMと等しくなる。
The association between the initial mask table 1111 (FIG. 3) of the initial
アンマスク演算部1102のアンマスクテーブル1113(図4)に格納されている各アンマスクは、非線形変換テーブル(図6の1411〜1414)の出力側のマスクN(=n1||n2||・・・||nt)とをパーミュテーション部1302においてとり得る並び替えパターンのいずれかで並び替え、最後のラウンドの線形変換部1500で変換された結果とする。
Each unmask stored in the unmask table 1113 (FIG. 4) of the
アンマスクテーブル1113(図4)とパーミュテーション部1302の対応付けは選択部1700の選択値によって行われる。ある選択値svで選択されたパーミュテーション部1302の並び替えパターンによって出力側のマスクNを並び替えた場合、同じ選択値svによって選択されるアンマスクと、非線形変換テーブル(図6の1411〜1414)の出力側のマスクNが等しくなる。
The association between the unmask table 1113 (FIG. 4) and the
非線形変換テーブル(図6の1411〜1414)の出力側のマスクN(=n1||n2||・・・||nt)が、パーミュテーション部1302、線形変換部1500、及び次のラウンドのパーミュテーション部1301で変換された結果を、次のラウンドの非線形変換テーブルの入力側のマスクMとする。
The mask N (= n1 || n2 || ... | nt) on the output side of the nonlinear conversion table (1411 to 1414 in FIG. 6) includes the
非線形変換テーブル(図6の1411〜1414)の入力側と出力側のマスクMとNと、図2のパーミュテーション部1301、1302の並び替えパターン、及び選択部1700による選択値は、次のように関係づけられる。
The masks M and N on the input side and the output side of the nonlinear conversion table (1411 to 1414 in FIG. 6), the rearrangement pattern of the
選択部1700による選択値svにおいて、パーミュテーション部1302でsvに対応した並び替えパターンで並び替えられた出力側マスク(P2(N))を線形変換部1500で処理した結果L(P2(N))があり、次のラウンドでは選択値がsvからsv’に更新される。次のラウンドではパーミュテーション部1301においてsv’に対応した並び替えパターンでL(P2(N))が並び替えられる(P1(L(P2(N)))。このとき、M=P1(L(P2(N))となるように、選択値とパーミュテーションの並び替えパターン、およびMとNを設定する。
As a result of processing the output side mask (P2 (N)) rearranged by the
次に、本実施形態で行うパーミュテーションについて説明する。図2のパーミュテーション部1301、1302は、選択部1700の選択値に応じて並び替えパターンが決定される。
Next, the permutation performed in this embodiment will be described. The
パーミュテーション部1301は、データ列にかかっているマスク値と非線形変換部1400の各非線形変換テーブル1411〜1414(図6)で適用される入力側のマスクMとの対応を一致させるための並び替えを行う。そのため、選択部1700の選択値は、パーミュテーション部1301にどのような並びでマスクが入ってくるかを示している。そして、パーミュテーション部1301は、選択値に応じてレジスタ1200から入力されるデータ列を並び替える。
The
パーミュテーション部1302は、パーミュテーション部1301にて行われた並び替え処理の逆の並び替えを行い、元のデータ位置との整合をとる。このようにパーミュテーション部1302で、元のデータ位置との整合をとることで、後段の線形変換部1500での線形処理や鍵演算部1600での鍵演算において、マスクを使わない時の本来の処理に対して追加の処理を不要とすることができる。
The
また、パーミュテーション部1301、及び1302の並び替えの制限として、非線形変換部1400のマスクNからマスクMが導出できるよう(もしくはマスクMからマスクNを導出できるよう)に並び替える必要がある。
Further, as a limitation on the rearrangement of the
パーミュテーション部1302では、様々な並び替えパターンに基づいて並び替えが行われるが、いずれの並び替えパターンを、各非線形変換テーブル1411〜1414(図6)の出力側のマスクNに用いたとしても、後段の線形処理を通過後、次のラウンド処理におけるパーミュテーション部1301における並び替えによってマスクMが導出できることが必要である。
The
選択部1700の選択値がsvであるときのパーミュテーション部1302の並び替えをP2sv(・)、線形変換をL(・)、選択値sv’のときのパーミュテーション部1301の並び替えをP1sv’(・)とする。ここで、本実施形態では、選択部1700の選択値svがあったときに、次の選択値がsv’となるとして、全てのsvに対して、次の関係を満たせる並び替えパターンを、パーミュテーション部1301および1302に持たせる。
When the selection value of the
M=P1sv'(L(P2sv(N))) M = P1sv '(L (P2sv (N)))
例えば、AESに適用した場合、パーミュテーション部1301、及び1302では、4の倍数のバイトの巡回シフトによって並び替えを行い、さらに、4バイトごとに列を構成し各列の中で同じ巡回シフトによって並び替えを適用することが可能である。図9(A)乃至(D)に、AESのデータ配列に対して、上記の並び替えを行った場合の結果を示す。図9(A)は元のAESのデータ配列、(B)は、4の倍数のバイトの巡回シフトによって並び替えた結果(4*2バイト巡回シフト)、(C)は4バイトごとに列を構成し各列の中で同じ巡回シフトによって並び替えた結果(各列の中の2バイト巡回シフト)、(D)は4の倍数のバイトの巡回シフトによって並び替え、さらに、4バイトごとに列を構成し各列の中で同じ巡回シフトによって並び替えた結果(4*2バイト巡回シフト後、各列の中の2バイト巡回シフト)を示している。
For example, when applied to AES, the
ここで、本実施形態を、図10に示した比較例(マスキングを行わない暗号化処理回路の比較例1:プロトタイプ例)と比較する。図10を参照すると、この比較例は、レジスタ1200、非線形変換部1401(マスクなし)、線形変換部1500、鍵演算部1600を備えている。図10の回路に対して、図2に示した本実施形態では、初期マスク演算部1101、アンマスク演算部1102と、パーミュテーション部1301、1302、選択部1700、乱数生成部1800が追加されている。
Here, this embodiment is compared with the comparative example shown in FIG. 10 (comparative example 1: prototype example of an encryption processing circuit that does not perform masking). Referring to FIG. 10, this comparative example includes a
図10の非線形変換部1401は、本実施形態と異なり、マスクが入出力に反映されない非線形変換テーブルとされる。図11は、図10の非線形変換部1401の構成を例示する図である。非線形変換部1401は、非線形変換テーブル(S)1421〜1424を備えている。図2の非線形変換部1400において、非線形変換テーブルをメモリに実装した場合には、図10、図11の比較例と、処理時間、回路規模ともに違いはない。
Unlike the present embodiment, the
処理時間については、最初に、乱数生成と選択値出力、初期マスク演算、最後にアンマスク演算、ラウンド処理中はデータのパーミュテーションが2回ずつ、の処理時間が追加される。このうち、特に、パーミュテーション処理が、本実施形態での処理時間の増加分にあたることになる。 Regarding processing time, first, random number generation and selection value output, initial mask calculation, finally unmask calculation, and processing time of data permutation twice during round processing are added. Among these, the permutation process is particularly equivalent to an increase in the processing time in the present embodiment.
回路規模については、図2の初期マスク演算部1101、アンマスク演算部1102、パーミュテーション部1301、1302、選択部1700、乱数生成部1800、マスク値を保存するROM領域が、図10の回路構成に追加される。ただし、ROM領域については、初期マスクテーブルとアンマスクテーブルの2種類用意すればよい。
As for the circuit scale, the initial
ここで、非特許文献5に開示されたRSM法による構成と比較する。図12に、RSM法による暗号処理回路の構成例(比較例2)を示す。図12のRSM法の回路と、図2の本実施形態との相違点は、図12の比較例では、図2のパーミュテーション部1301、1302が、バレルシフト1303、1304となっている点と、MMSj+1加算部1103が追加されている点である。
Here, it compares with the structure by the RSM method disclosed by the
また、図12の非線形変換部1402のマスク配置も図2の非線形変換部1400とは異なる。図13は、RSM法の非線形変換部1402の構成を例示する図である。図14は、図13のt個の非線形変換テーブル(S1〜St)1441〜1444の構成を例示する図である。
図14のRSM法の非線形変換部1402では、入力側のマスクM={m1,m2,・・・,mt-1,mt}に対して、1つずつずらしたものが出力側のマスクN={m2,m3,・・・,mt,m1}となる。
Further, the mask arrangement of the
In the RSM method
図12のRSM法では、バレルシフトによって並び替えを行っている。RSM法では、最初に乱数によってシフトするバイト数を選択し、選択した数に応じて初期マスクの選択、及び、1ラウンド目のバレルシフト1303においてシフトする数が決定される。
In the RSM method of FIG. 12, rearrangement is performed by barrel shift. In the RSM method, first, the number of bytes to be shifted by a random number is selected, the selection of the initial mask and the number to be shifted in the first
なお、バレルシフト1304は、バレルシフト1303と逆方向に、同じ数だけシフトすることで、データ位置を元に戻している。
The
2ラウンド目以降は、バレルシフト1303、1304は、前のラウンドでシフトした数よりも1つ多い数だけのシフトを行う。もし、シフト数がデータ幅以上となった場合にはシフト数は0になる。図12のRSM法では、出力側のマスクが線形変換部1500によって変化するため、そのままでは、次のラウンドの非線形変換部1402においてマスクMによってマスクを解除して非線形変換テーブル1421〜1424(図14)で正しい処理を行うことができない。
From the second round onward, the barrel shifts 1303 and 1304 shift by one more than the number shifted in the previous round. If the shift number exceeds the data width, the shift number becomes zero. In the RSM method of FIG. 12, since the mask on the output side is changed by the
したがって、RSM法では、ラウンド処理ごとに、マスクNが線形処理で変化したものN’を一度解除し、新たに次のラウンドのマスクMをかけ直す処理を、MMSj+1加算部1103で行う。
Therefore, in the RSM method, the MMSj + 1
処理時間について比較する。図12の比較例(RSM法)の回路と比較して、本実施形態は、ラウンド処理ごとにMMSj+1加算部1103による演算処理を必要としない。そのため、ラウンド回数分の演算処理分の時間が短縮される。
Compare the processing time. Compared with the circuit of the comparative example (RSM method) in FIG. 12, the present embodiment does not require the arithmetic processing by the MMSj + 1 adding
次に、図12のRSM法による暗号処理回路の回路規模を、本実施形態と比較する。回路規模についても、MMSj+1加算部1103が、本実施形態との差分となる。したがって、MMSj+1加算部1103に関する部分だけRSM法よりも、本実施形態が回路規模が小さいことになる。
Next, the circuit scale of the cryptographic processing circuit based on the RSM method of FIG. 12 is compared with this embodiment. Regarding the circuit scale, the MMSj + 1
次に、ROM領域について比較する。図12のRSM法による暗号処理回路では、バレルシフトで何バイトシフトするかによって、初期マスクMjや途中のMMSj+1加算部1103で使用するマスクMMSj+1、最後のアンマスクMSj+nが変わってくる。例えば、AES128の場合、シフト幅のパターンが0〜15バイトの16パターンとすると、マスクの数は、3つのマスクで16個必要となり、ROM領域は、
T*16*3(T=16バイト)
分必要となる。
Next, the ROM area is compared. In the cryptographic processing circuit based on the RSM method of FIG. 12, the initial mask Mj, the mask MMSj + 1 used in the MMSj + 1
T * 16 * 3 (T = 16 bytes)
Minutes are required.
一方、本実施形態においても、図2の選択部1700の選択値のパターン数に応じて、初期マスクやアンマスクのROM領域が変わってくる。もし、選択値のパターン数をRSM法でのシフト数と同じ数にした場合、RSM法に比べて、MMSj+1加算部1103で使用するマスクMMSj+1の分だけ、ROM領域を削減することができる。例えば、AES128の場合、選択部1700の選択値のパターンが16パターンとすると、マスクの数は、2つのマスクで16個必要となり、ROM領域は、
T*16*2(T=16バイト)
分必要となる。
On the other hand, also in the present embodiment, the ROM area of the initial mask or unmask varies depending on the number of patterns of selection values of the
T * 16 * 2 (T = 16 bytes)
Minutes are required.
なお、本実施形態では、ラウンド処理のみ行い、ラウンド処理前後では初期マスクとアンマスクの演算のみ行っているが、暗号によっては、前処理や後処理を行うこともある。この場合には、初期マスク演算部1101の前後に前処理を追加したり、アンマスク演算部1102の前後に後処理を追加した構成を備えた構成としてもよい。図15の例では、ラウンド処理の前処理を行う前処理部1901を、初期マスク演算部1101とレジスタ1200の間に備えている。図16の例では、規定回数のラウンド終了後のレジスタ1200の出力を受ける後処理部1902を、アンマスク演算部1102の前段に備えている。
In this embodiment, only round processing is performed, and only the initial mask and unmask operations are performed before and after the round processing. However, depending on the encryption, pre-processing and post-processing may be performed. In this case, a configuration in which pre-processing is added before and after the initial
(実施例1)
図2等を参照して説明した前記第1の実施形態の一具体例として、128ビットAES(AES128)を用いるときの暗号化処理回路を説明する。
Example 1
As a specific example of the first embodiment described with reference to FIG. 2 and the like, an encryption processing circuit when 128-bit AES (AES128) is used will be described.
図17は、実施例1の暗号化処理回路の暗号化部の構成を例示する図である。暗号化部は、初期マスク演算部3101、アンマスク演算部3102、レジスタ3200、パーミュテーション部3301、3302、マスク付SBOXを16個備える非線形変換部3400、図2の線形変換部1500に対応するShiftRows演算部3501とMixColumns演算部3502、ラウンド鍵を排他的論理和で加算する鍵演算部3601、3602、選択部3700、乱数生成部3800とを備えている。
FIG. 17 is a diagram illustrating the configuration of the encryption unit of the encryption processing circuit according to the first embodiment. The encryption unit includes an initial
初期マスク演算部3101とアンマスク演算部3102は、それぞれ図3、図4と同じ構成を持つ。
The initial
AES128では、ラウンド処理の前に鍵加算を行う必要があるため、鍵加算用の演算部3601が、初期マスク演算部3101とレジスタ3200の間に追加されている。
In AES128, since it is necessary to perform key addition before round processing, a key
また、線形処理としては、ShiftRowsと、MixColumnssが用いられる。そのため、ShiftRows演算部3501とMixColumns演算部3502を、図2の線形処理部1500として、備えている。なお、最終ラウンドではMixColumnsでの処理は行われないため、最終ラウンドでMixColumns演算部3502を回避するための経路を設けている。
As linear processing, ShiftRows and MixColumnss are used. Therefore, the
AES128でのパーミュテーションとして、4の倍数のバイトの巡回シフトによって並び替えを行い、さらに、4バイトごとに列を構成し各列の中で同じ巡回シフトによって並び替えを行う、2種類の巡回シフトを組み合わせた並び替えを採用する。 As permutation in AES128, two types of cyclic operations are performed by performing a reordering by a cyclic shift of multiples of 4 bytes, and forming a column every 4 bytes and performing a reordering by the same cyclic shift in each column Adopt a sort that combines shifts.
AES128では16バイトのデータを1バイトずつに区切り、各バイトのデータを4x4のデータで表現することがある。本実施形態では、4の倍数のバイトの巡回シフトのことを横方向への巡回シフトとし、4バイトごとに列を構成し各列の中で同じ巡回シフトを縦方向への巡回シフトとする。 In AES128, 16 bytes of data may be divided into 1 byte, and each byte of data may be represented by 4x4 data. In the present embodiment, a cyclic shift of bytes that is a multiple of 4 is defined as a cyclic shift in the horizontal direction, a column is formed every 4 bytes, and the same cyclic shift in each column is defined as a cyclic shift in the vertical direction.
図20は、4x4で表した16バイトのデータにおける、2種類の巡回シフトを示したものである。図20(A)は元のAESのデータ配列、(B)は、4の倍数のバイトの巡回シフトによって並び替えた結果(4*2バイト巡回シフト)、(C)は4バイトごとに列を構成し各列の中で同じ巡回シフトによって並び替えた結果(各列の中の2バイト巡回シフト)、(D)は4の倍数のバイトの巡回シフトによって並び替え、さらに、4バイトごとに列を構成し各列の中で同じ巡回シフトによって並び替えた結果(4*2バイト巡回シフト後、各列の中の2バイト巡回シフト)を示している。 FIG. 20 shows two types of cyclic shifts in 16-byte data represented by 4 × 4. FIG. 20 (A) shows the original AES data array, (B) shows the result of rearrangement by a cyclic shift of multiples of 4 bytes (4 * 2 byte cyclic shift), and (C) shows a column every 4 bytes. Result of rearrangement by the same cyclic shift in each column (2-byte cyclic shift in each column), (D) is rearranged by a cyclic shift of multiples of 4 bytes, and further, every 4 bytes , And the result of rearranging by the same cyclic shift in each column (after 4 * 2 byte cyclic shift, 2 byte cyclic shift in each column) is shown.
AES128における線形変換では、あるデータ列Xに対して2種類の巡回シフトによる並び替えを行い、並び替えたP1(X)に対して線形変換を行った結果L(P(X))と、同じデータ列に対して線形変換を行い、線形変換を行った結果L(X)を2種類の巡回シフトにより並び替えた結果P2(L(X))との結果を一致させることができるためである。なお、P1(・)とP2(・)はともに2種類の巡回シフトによる並び替えであるが、縦方向及び横方向への移動量は一致してなくてもよい。 In the linear transformation in AES128, rearrangement by two kinds of cyclic shifts is performed on a certain data string X, and the result L (P (X)) is the same as the result of performing linear transformation on the rearranged P1 (X). This is because it is possible to match the result with the result P2 (L (X)) obtained by performing the linear transformation on the data string and rearranging the result L (X) of the linear transformation by two kinds of cyclic shifts. . Note that both P1 (•) and P2 (•) are rearranged by two types of cyclic shifts, but the amounts of movement in the vertical and horizontal directions do not have to match.
図17において、パーミュテーション部3301及び3302では、選択部3700による選択値Rにしたがって2種類の巡回シフトを行う。選択値Rがとり得る値はR={0,1,・・・,14,15}のいずれかとする。
In FIG. 17,
パーミュテーション部3301では、選択値Rと同じバイト位置のデータが0バイト目に来るように2種類の巡回シフトを行う。
The
図21は、以下のデータXを、それぞれの選択値R(R=0〜15)でシフトしたときのデータ位置PR(X)を示している。図21(A)は、R0〜7、図21(B)は、R=8〜15のPR(X)を示している。 FIG. 21 shows the data position P R (X) when the following data X is shifted by each selected value R (R = 0 to 15). FIG. 21A shows P R (X) of R0-7, and FIG. 21B shows R = 8-15.
パーミュテーション部3302では、3301とは逆に、0バイト目のデータが選択値Rと同じバイト位置に来るように2種類の巡回シフトを行う。
Contrary to 3301,
図22は、上記のXをそれぞれの選択値R(R=0〜15)でシフトしたときのデータ位置PR(X)を示している。 FIG. 22 shows the data position P R (X) when X is shifted by each selected value R (R = 0 to 15).
図17の非線形変換部3400の各非線形変換テーブルS1〜S16(図18参照)は1バイト単位で処理を行う。非線形変換部3400における入力側のマスク値Mおよび出力側のマスク値Nは16バイトとなり(マスク値Mは図19の[m1,m2,m3, m16]の連結、マスク値Nは図19の[n1,n2,n3, n16]の連結)、1バイトずつに区切られて、各マスク付非線形変換テーブルに対応づけられる。
Each nonlinear conversion table S1 to S16 (see FIG. 18) of the
図17の選択部3700は、乱数生成部3800が生成する乱数を受け取り、乱数を初期の選択値Rとする。
The
また、選択部3700では、ラウンド処理ごとに選択値Rの更新が行われる。本実施例における選択値Rの更新方法としては、例えば以下の方法が用いられる(ただし、以下に制限されない)。
・計算式を用意しておき、その計算式に現在の選択値、もしくは初期の乱数値と現在のラウンド数を入力して、次の選択値を求める、
・テーブルを用意しておき、現在の選択値、もしくは初期の乱数値と現在のラウンド数を引数として、次の選択値を読み出す。
The
-Prepare a calculation formula and enter the current selection value or the initial random number and the current round number into the calculation formula to obtain the next selection value.
Prepare a table and read the next selection value using the current selection value or the initial random number and the current round number as arguments.
本実施例では、現在の選択値(R)を用いて、テーブルから、次の選択値(R')を読み出す方法により、選択値を更新する。 In the present embodiment, the selection value is updated by a method of reading the next selection value (R ′) from the table using the current selection value (R).
非線形変換部3400における入力側のマスク値Mおよび出力側のマスク値N(図19参照)、および選択部3700の選択値Rの更新用のテーブルの決め方について説明する。
A method for determining a table for updating the mask value M on the input side and the mask value N on the output side (see FIG. 19) in the
非線形変換部3400における入力側のマスク値Mと出力側のマスク値Nのうち、一方は任意の値を設定できる。ここで、マスク値Nを設定した場合には、次に選択値Rと次のラウンドの選択値R’を設定する。
One of the mask value M on the input side and the mask value N on the output side in the
そして、非線形変換部3400における出力側のマスク値Nに対して、パーミュテーション部3302において選択値Rに対応する並び替えテーブルに基づき並び替えを行う。
Then, the
次に、並び替えた結果(P2R(N))に対して、線形処理として、ShiftRows演算部3501とMixColumns演算部3502で処理を行う。
Next, the rearranged result (P2 R (N)) is processed by the
線形処理を行った結果(L(P2R(N)))に対して、パーミュテーション部3301において、選択値R’に対応する並び替えテーブルに基づき並び替えを行う。この並び替えの結果を、非線形変換部3400の入力側のマスクMとする。
The
逆にMに任意の値を設定した場合は、上記とは逆の手順として、パーミュテーション部3301における並び替えの逆演算、MixColumns演算部3502での逆演算、ShiftRows演算部3501の逆演算、及びパーミュテーション部3302の並び替えの逆演算によってNを求める。
Conversely, when an arbitrary value is set in M, the reverse procedure of the rearrangement in the
次に、選択値Rの更新用のテーブルの決め方について説明する。 Next, how to determine a table for updating the selection value R will be described.
まず、非線形変換部3400における出力側のマスク値Nをパーミュテーション部3302において選択値Rによって並び替え、線形処理のShiftRows演算部3501、MixColumns演算部3502を行ったデータL(P2(N))において、Mの0バイト目のマスクが位置しているバイトをR’とする。
First, the mask value N on the output side in the
もしくは、パーミュテーション部3301においてL(P2(N))をMと同じ並びとするために必要な選択値をR’とする。この作業を、全てのRに対して行うことで、Rに対するR’を決定することができ、更新用のテーブルが完成する。
Alternatively, a selection value necessary to make L (P2 (N)) the same as M in the
乱数生成部3800は、暗号処理開始時にR={0,1,・・・,14,15}の中のいずれかの値を生成し、選択部へ出力する。
The random
本実施例で用いるマスク値(16バイト)は以下の通りとする。なお、数値は16進法で表記している。 The mask value (16 bytes) used in this embodiment is as follows. Numerical values are expressed in hexadecimal notation.
SBOX入力側マスクM={30482444cfb7dbbba1622a0b5e9dd5f4} SBOX input side mask M = {30482444cfb7dbbba1622a0b5e9dd5f4}
SBOX出力側マスクN={6afe93444801c1bbb7783e4895876cb7} SBOX output side mask N = {6afe93444801c1bbb7783e4895876cb7}
図23および図24は、図17の初期マスク演算部3101の初期マスクテーブル(図3の1111)と、アンマスク演算部3102のアンマスクテーブル(図4の1113)を示す。これらの初期マスクとアンマスクは、初期マスク演算部3101の初期マスクテーブル(図3の1111)、アンマスク演算部3102のアンマスクテーブル(図4の1113)に記憶される。
23 and 24 show an initial mask table (1111 in FIG. 3) of the initial
一方、MとNは、非線形変換部3400のSBOX(図18のS1〜S16)に事前に反映しておく。元のSBOXの関数をS(x)とした場合、反映後のSBOX St(x)(t=1〜16)は以下で与えられる。
On the other hand, M and N are reflected in advance in the SBOX (S1 to S16 in FIG. 18) of the
St(x)=S(xt(XOR)mt)(XOR)nt St (x) = S (xt (XOR) mt) (XOR) nt
ここで、m、nは、MとMの中のある1バイト分のマスク値を示す。 Here, m and n represent mask values for one byte in M and M, respectively.
マスク値の関係として、MはNに、ShiftRows,Mixcolumnsで演算した後、パーミュテーション(4バイト巡回シフト)をしたものとなる。 As a mask value relationship, M is obtained by performing permutation (4-byte cyclic shift) on N after calculating with ShiftRows and Mixcolumns.
つまり、R=0として、パーミュテーション部3302で巡回シフトし(R=0なので、シフトはしない)、ShiftRows、Mixcolumnsで演算した後、R’=4としてパーミュテーション部3301で巡回シフトしたものである。
That is, R = 0 is cyclically shifted by the permutation unit 3302 (R = 0 is not shifted), and is calculated by ShiftRows and Mixcolumns. Then, R ′ = 4 is cyclically shifted by the
本実施例では、R=0、R’=4として、マスクや選択値の更新用のテーブルを設定しているが、RとR’の組み合わせを変えることで、異なるマスクや選択値の更新用のテーブルを構築することが可能である。 In this embodiment, a table for updating masks and selection values is set with R = 0 and R ′ = 4. However, by changing the combination of R and R ′, different masks and selection values can be updated. It is possible to build a table.
初期マスクはR=0のときは、SBOX入力側マスクMと等価となり、それ以外の選択値Rの初期マスクはR=0の初期マスクM0に対して、パーミュテーション部3302で選択値Rとして巡回シフトを行ったものとなる。
When the initial mask is R = 0, it is equivalent to the SBOX input side mask M, and other initial masks of the selection value R are selected as the selection value R by the
アンマスクは、Nをパーミュテーション部3302において選択値Rで巡回シフトを行ったものに、ShiftRowsで変換したものと等価となる。
The unmasking is equivalent to the one obtained by performing the cyclic shift with the selection value R in the
また、図25は、現在の選択値R(0〜15)と次のラウンドの選択値R’の関係を表すテーブルの一例を示す。 FIG. 25 shows an example of a table representing the relationship between the current selection value R (0 to 15) and the next round selection value R ′.
図26は、図17の実施例1の動作を説明するフローチャートである。図17、図26を参照して、実施例1の動作を説明する。 FIG. 26 is a flowchart for explaining the operation of the first embodiment shown in FIG. The operation of the first embodiment will be described with reference to FIGS.
はじめに、平文及び秘密鍵を暗号化処理回路へ入力し、平文は暗号化部1000、秘密鍵は鍵生成部2000へ入力される(ステップB1)。
First, the plaintext and the secret key are input to the encryption processing circuit, the plaintext is input to the
暗号処理が開始されたときに、図2の乱数生成部3800では乱数が生成され、乱数が選択部3700へ入力される(ステップB2)。
When the encryption process is started, the random
選択部3700は、入力された乱数を基に選択値Rを出力する(ステップB3)。
The
初期マスク演算部3101において、図23の初期マスクテーブルより選択値Rにもとづいて初期マスクが選択され、平文と初期マスクとの排他的論理和が演算される。この排他的論理和演算(加算演算)により、平文にマスクをかける(ステップB4)。
In the initial
次に、鍵演算部3601において、マスクがかかった平文と、鍵生成部2000から出力されるラウンド鍵との排他的論理和をとり、演算結果をレジスタ3200へ記憶する(ステップB5)。
Next, the
鍵演算部3601での処理後、ラウンド処理として、ステップB6〜B13が行われる。なお、10ラウンド目のみ処理内容が異なるため9ラウンド目終了時に次のステップへ分岐する。
Steps B6 to B13 are performed as round processing after the processing in the
まず、パーミュテーション部3301で選択値Rに基づき、データ列の並び替えを行う(ステップB6)。
First, the
次に、非線形変換部3400で、パーミュテーション部3301の出力値を非線形変換し、非線形変換出力(Y)を出力する(ステップB7)。非線形変換部3400では、パーミュテーション部3301の出力値が16個に分割されx1〜x16が、非線形変換テーブル(S1〜S16)3411〜3414(図18参照)へと入力される。
Next, the
これら、非線形変換テーブルはマスク付の非線形変換テーブルとなっている。非線形変換テーブル(S1)3411では、図19に示すように、排他的論理和演算部3431にて、x1とm1との排他的論理和を演算し、演算結果を非線形変換テーブル3421(S(・))によって非線形変換し、排他的論理和演算部3435で非線形変換した結果とn1との排他的論理和をとり、排他的論理和演算結果を非線形変換テーブル(S1)3411の出力y1とする。
These non-linear conversion tables are non-linear conversion tables with a mask. In the non-linear conversion table (S1) 3411, as shown in FIG. 19, an exclusive OR
ここで、ステップB4で平文にかけた初期マスク値と、m1〜mtを結合(concatenate)したマスク値M(=m1||m2||・・・||mt;ただし、||は連結(連接)を示す)とが一致する。これは、選択値Rが共通であり、Mを選択値Rに基づいてパーミュテーション部3202によって並び替えたものを初期マスクテーブルに格納しているためである。初期マスクは、パーミュテーション部3202とは逆の並び替えを行うパーミュテーション部3201によって並び替えられるため、初期マスクは入力側のマスク値Mと同じ並びとなり、入力側のマスク値Mと初期マスクは一致する。 Here, the initial mask value applied to plaintext in step B4, binding the m 1 ~m t (concatenate) the mask value M (= m 1 || m 2 || ··· || m t; however, || Indicates connection (connection). This is because the selection value R is common, and M is rearranged by the permutation unit 3202 based on the selection value R and stored in the initial mask table. Since the initial mask is rearranged by the permutation unit 3201 that performs the reverse arrangement of the permutation unit 3202, the initial mask is in the same sequence as the mask value M on the input side. The masks match.
初期マスクと、非線形変換部3400での入力側のマスク値Mが相殺されるため(一致する値同士の排他的論理和をとると、0となる)、非線形変換テーブル3421〜3424は、元の平文に対して非線形変換を行うこととなる。
Since the initial mask and the mask value M on the input side in the
そして、図19の排他的論理和演算部3435〜3438において、元の平文を非線形変換した結果に、n1〜n16を連結したマスクN(=n1||n2||・・・||n16)をかけることとなる。
Then, in the exclusive OR
図17のパーミュテーション部3302では、選択値Rに基づき、非線形変換部3400の出力Yを並び替える(ステップB8)。
The
パーミュテーション部3302で行われる並び替えは、パーミュテーション部3301の並び替えとは逆である。パーミュテーション部3302で逆の並び替えを行うことで、データの順番を、パーミュテーション部3301に入力される前の順番に戻すことができる。また、データにかかっているマスクの配列が並び替えられる。
The rearrangement performed by the
次に、ShiftRows演算部3501にて、並び替えられた非線形変換の結果に対して、ShiftRows演算が行われる(ステップB9)。
Next, the
つづけて、MixColumns演算部3502にて、ShiftRows演算の結果に対して、MixColumns演算が行われる(ステップB10)。
Subsequently, the
鍵演算部3601では、MixColumns演算部3502の出力と、鍵生成部2000から送られてきたラウンド鍵との排他的論理和を演算し、演算結果を出力する(ステップB11)。演算結果はレジスタ3200に記憶される。
The
選択部3700において、例えば図25に示したテーブルにしたがって、現在の選択値Rから次の選択値R'へ更新する(ステップB12)。
In the
図17の鍵演算部3601及び選択部3700における処理後、ラウンド処理を9回繰り返したか否か(最終ラウンド処理開始)の判定を行う(ステップB13)。
After the processing in the
該判定の結果、ラウンド処理が規定回数分(9ラウンド)終わっていない場合には(ステップB13のNO分岐)、ステップB6に戻り、再び、ラウンド処理を繰り返す。 As a result of the determination, when the round process has not been completed for the specified number of times (9 rounds) (NO branch of step B13), the process returns to step B6 and the round process is repeated again.
一方、ラウンド処理が9回終了した場合には、最終ラウンド処理として、ステップB13のYES分岐先のステップB6へ進む。 On the other hand, when the round process has been completed nine times, the process proceeds to step B6, which is the YES branch destination of step B13, as the final round process.
ラウンド処理を繰り返す場合、まず、パーミュテーション部3301で、鍵演算部3601の結果を並び替える(ステップB6)。
When repeating the round process, first, the
次に、並び替えたデータ列に対して、非線形変換部3400で非線形変換を行い、変換結果を出力する(ステップB7)。
Next, non-linear conversion is performed on the rearranged data string by the
パーミュテーション部3302では、非線形変換部3400の変換結果を選択値Rに基づき並び替え、並び替えた結果を出力する(ステップB8)。
The
次に、ShiftRows演算部3501にて、並び替えられた非線形変換の結果に対して、ShiftRows演算が行われる(ステップB9)。
Next, the
つづけて、MixColumns演算部3502にて、ShiftRows演算の結果に対して、MixColumns演算が行われる(ステップB10)。
Subsequently, the
鍵演算部3601では、MixColumns演算部3502の出力と、鍵生成部2000から送られてきたラウンド鍵との排他的論理和を演算し、演算結果を出力する(ステップB11)。演算結果はレジスタ3200に記憶される。
The
選択部3700において、例えば図25に示したテーブルにしたがって、現在の選択値Rから次の選択値R'へ更新する(ステップB12)。
In the
ラウンド処理が規定回数行われた場合、ステップB12からステップB13へと進む。 When the round process has been performed a predetermined number of times, the process proceeds from step B12 to step B13.
最終ラウンド(10ラウンド目)では、ステップB13のYES分岐先のステップB6〜B9、B11がこれまでと同じように行われる。 In the final round (the 10th round), the steps B6 to B9 and B11 of the YES branch destination of step B13 are performed as before.
AESでは、最終ラウンドにおいて、MixColumns処理は行わないため、ステップB10は行われない。 In AES, MixColumns processing is not performed in the final round, so step B10 is not performed.
最終ラウンドでの鍵演算部3601での処理(ステップB11)終了後、アンマスク演算部3302にて、鍵演算部3601の処理結果と、図24に示したアンマスクテーブルの中から選択値Rが示すアンマスクとの排他的論理和を演算し、演算結果を暗号文として出力する(ステップB14)。
After the processing (step B11) in the
アンマスクは、非線形変換部3400における出力側マスク値Nを、パーミュテーション部3302において選択値Rで巡回シフトを行ったものに、ShiftRows演算部3501で変換したものと等価となる。
The unmask is equivalent to the output mask value N in the
したがって、鍵演算部3601の処理結果と、選択値Rで読み出したアンマスクとの排他的論理和を演算することで、鍵演算部3601の処理結果にかかっているマスクを解除することができ、暗号文を得ることができる。
Therefore, by calculating the exclusive OR of the processing result of the
最後に暗号文Cを出力し終了となる(ステップB15)。 Finally, ciphertext C is output and the process ends (step B15).
本実施例を適用したときのデータの遷移を、図27〜図30に示す。 Data transition when this embodiment is applied is shown in FIGS.
図27〜図30は、最初の乱数がR=0のときの遷移を示す図である(図27:ラウンド0−2、図28:ラウンド3−5、図29:ラウンド6−8、図30:ラウンド9、10)。
27 to 30 are diagrams showing transitions when the initial random number is R = 0 (FIG. 27: Round 0-2, FIG. 28: Round 3-5, FIG. 29: Round 6-8, FIG. 30). :
また、図31〜図34は、最初の乱数がR=7のときの遷移を示す図である(図31:ラウンド0−2、図32:ラウンド3−5、図33:ラウンド6−8、図34:ラウンド9、10)。
FIGS. 31 to 34 are diagrams showing transitions when the initial random number is R = 7 (FIG. 31: Round 0-2, FIG. 32: Round 3-5, FIG. 33: Round 6-8, Figure 34:
また比較例のAES128におけるデータ遷移を、図35〜図38に示す。図39に、比較例のAESの暗号化部の回路構成を示す。また、図40は図39の非線形変換部3401の構成を示す。図40の非線形変換部3401では、16個のマスクなしの非線形変換テーブルを備える。
Further, data transition in AES128 of the comparative example is shown in FIGS. FIG. 39 shows a circuit configuration of the AES encryption unit of the comparative example. FIG. 40 shows the configuration of the
図27〜図38では、以下のデータに対して処理を行っている。 27 to 38, the following data is processed.
平文={3243f6a8885a308d313198a2e0370734} Plaintext = {3243f6a8885a308d313198a2e0370734}
秘密鍵={2b7e151628aed2a6abf7158809cf4f3c} Private key = {2b7e151628aed2a6abf7158809cf4f3c}
暗号文={3925841d02dc09fbdc118597196a0b32} Ciphertext = {3925841d02dc09fbdc118597196a0b32}
SBOX入力側マスクM={30482444cfb7dbbba1622a0b5e9dd5f4} SBOX input side mask M = {30482444cfb7dbbba1622a0b5e9dd5f4}
SBOX出力側マスクN={6afe93444801c1bbb7783e4895876cb7} SBOX output side mask N = {6afe93444801c1bbb7783e4895876cb7}
なお、初期マスクテーブルは図23、アンマスクテーブルは図24に示している。 The initial mask table is shown in FIG. 23, and the unmask table is shown in FIG.
また、選択部3700における選択値Rの更新は、図25のテーブルにもとづいて行う。
The selection value R in the
なお、1ラウンド目から10ラウンド目のAfterAddInputMask、AfterSubBytes、AfterAddOutputMask、InputMask、OutputMaskは、データの遷移を示すために記載されているが、実際の処理では、StartofRoundの次のAfterPermutationR=xの値が、図17の非線形変換部3400に入力されたら、AfterAddOutputMaskの値のみが出力される。そのため、AfterAddInputMask、AfterSubBytes、InputMask、OutputMaskの値は、非線形変換部3400の変換処理では現れない。
Note that AfterAddInputMask, AfterSubBytes, AfterAddOutputMask, InputMask, and OutputMask from the first round to the tenth round are described to indicate data transition, but in actual processing, the value of AfterPermutationR = x next to StartofRound is When input to the
選択値の更新はラウンドの最後に行い、どのように遷移しているかは、AfterAddRoundKeyの下にR:x->x’の形で示している。 The selection value is updated at the end of the round, and the transition is shown in the form of R: x-> x ′ under AfterAddRoundKey.
(実施例2)
暗号として3D暗号を用いるときの暗号化処理回路を実施例2として説明する。はじめに、3D暗号を用いるときの暗号化処理回路の一般的な構成例を説明する。3D暗号とは、AESの暗号化処理を利用したアルゴリズム構造を持ち、AESが4x4の16バイト(128ビット)を処理単位としているのに対し、3D暗号では4x4x4の64バイト(512ビット)の3次元ブロックを処理単位としている。また、このブロックに対してAES的処理と3次元的ラウンド関数が追加されている(非特許文献6)。3D暗号で扱われるデータ形式を次に示す。
(Example 2)
An encryption processing circuit when 3D encryption is used as encryption will be described as a second embodiment. First, a general configuration example of an encryption processing circuit when using 3D encryption will be described. The 3D cipher has an algorithm structure that uses AES encryption processing, and AES uses 16 bytes (128 bits) of 4x4 as the processing unit, while 3D ciphers have 3 bytes of
3D暗号では4x4x4の64バイト(512ビット)の3次元ブロックが1データブロックとなる。16バイト区切りで1スライスとし、1から16バイト目が1スライス目、17から32バイト目が2スライス目、33から48バイト目が3スライス目、49から64バイト目が4スライス目となる。 In 3D encryption, a 4 × 4 × 4 64 byte (512 bit) three-dimensional block is one data block. The 1st to 16th bytes are the 1st slice, the 17th to 32nd bytes are the 2nd slice, the 33rd to 48th bytes are the 3rd slice, and the 49th to 64th bytes are the 4th slice.
図41は、3D暗号の暗号化回路の構成(参考例)を示す図である。3D暗号の暗号化回路は、レジスタ4200、非線形変換部4401、拡散関数部(θ)4501、最大距離分離行列部(π)4502、鍵演算部(AddRoundKey)4601、4602を備えている。
FIG. 41 is a diagram illustrating a configuration (reference example) of an encryption circuit for 3D encryption. The encryption circuit for 3D encryption includes a
非線形変換部4401は、入力値Xを非線形変換し、変換結果を出力値Yとして出力する。図42は非線形変換部4401の構成を例示する図である。非線形変換部4401は、64個の非線形変換テーブル(γ)4421〜4424で構成される。非線形変換テーブル(γ)4421〜4424では、AESのSBOX(SubstitutionBox)と同様の非線形変換を行う。
The
拡散関数部(θ)4501では、非線形変換部4401の出力値Yに対して拡散処理を行い、処理結果を最大距離分離行列部(π)4502へ出力する。拡散関数部(θ)4501は、拡散関数θ1又はθ2にしたがって拡散処理を行う。なお、奇数ラウンドでは、θ1による拡散を行い、偶数ラウンドではθ2による拡散を行う。
The diffusion function unit (θ) 4501 performs diffusion processing on the output value Y of the
θ1は、各スライスの中でShiftRowsを行う処理となる。θ2は、各スライスの1列目の4バイトを4列あわせたものを4x4の行列とし、その行列に対して、ShiftRowsを行う。Xに対してθ1及びθ2を適用した場合の例を下に示す。 θ1 is a process for performing ShiftRows in each slice. θ2 is a 4 × 4 matrix obtained by combining the 4 bytes of the first column of each slice, and performs ShiftRows on the matrix. An example of applying θ1 and θ2 to X is shown below.
最大距離分離行列部(π)4502では、拡散関数部(θ)4501の処理結果の各スライスと、4x4の最大距離分離行列(MDS)との積を計算する。最大距離分離行列部(π)4302で行われる計算の例として、Xの第1スライスX1との計算を示す
The maximum distance separation matrix section (π) 4502 calculates the product of each slice of the processing result of the diffusion function section (θ) 4501 and the 4 × 4 maximum distance separation matrix (MDS). As an example of calculation performed in the maximum distance separation matrix part (π) 4302, calculation with the first slice X1 of X is shown.
なお、MDS内の要素は16進数となる。ラウンド鍵演算部(AddRoundKey)4601、4602は、最大距離分離行列部(π)4502の処理結果、及び平文と512ビットのラウンド鍵との排他的論理和を演算し、演算結果を出力する。 The elements in MDS are hexadecimal numbers. Round key calculation units (AddRoundKey) 4601 and 4602 calculate the processing result of the maximum distance separation matrix unit (π) 4502 and the exclusive OR of the plaintext and the 512-bit round key, and output the calculation result.
図43は、図41の参考例の動作を説明するフローチャートである。図41、図43を参照して参考例の動作を説明する。 FIG. 43 is a flowchart for explaining the operation of the reference example of FIG. The operation of the reference example will be described with reference to FIGS.
はじめに、平文及び秘密鍵を暗号化処理回路へ入力し、平文は暗号化部1000、秘密鍵は鍵生成部2000へ入力される(ステップC1)。
First, the plaintext and the secret key are input to the encryption processing circuit, and the plaintext is input to the
鍵演算部4602で、平文とラウンド鍵Kiとの排他的論理和を演算する(ステップC2)。
The
排他的論理和後、ラウンド処理としてステップC3〜C7が行われる。 After the exclusive OR, steps C3 to C7 are performed as round processing.
まず、非線形変換部4400で、鍵演算部4601又は4602の出力結果の非線形変換を行う(ステップC3)。非線形変換部4400の内部では、非線形変換部4400への入力値を1バイトごとに分割し、非線形変換テーブル(γ)4421〜4424で非線形変換を行う。
First, the
拡散関数部(θ)4501では、奇数ラウンド目であるか否かを判断する(ステップC4)。 In the diffusion function part (θ) 4501, it is determined whether or not it is an odd-numbered round (step C4).
奇数ラウンド目の場合、非線形変換部4401の出力に対して拡散関数θ1で拡散処理を行う(ステップC5-1)。
In the case of an odd-numbered round, diffusion processing is performed on the output of the
偶数ラウンド目の場合、非線形変換部4401の出力に対して拡散関数θ2で拡散処理を行う(ステップC5-2)。
In the case of the even-numbered round, diffusion processing is performed on the output of the
最大距離分離行列部(π)4502では、拡散関数部(θ)4501の出力とMDS行列πとの演算を行う(ステップC6)。 The maximum distance separation matrix part (π) 4502 calculates the output of the diffusion function part (θ) 4501 and the MDS matrix π (step C6).
鍵演算部4601では、最大距離分離行列部(π)4502の演算結果と、鍵生成部2000で生成されたラウンド鍵との排他的論理和を演算する(ステップC2)。
The
鍵演算部4601での演算後、現在のラウンドが、21ラウンド目(次が最終ラウンド)であるか否かを判断する(ステップC7)。
After calculation by the
次が最終ラウンドではない場合には、ステップC3に戻りラウンド処理を繰り返す。次が最終ラウンドの場合、ステップC3-1へ進む。 If the next round is not the final round, the process returns to step C3 and repeats the round process. If the next round is the final round, go to Step C3-1.
22ラウンド目では、MDS行列πとの演算がスキップされる。そのため、非線形処理(ステップC3-1)、拡散処理θ2(ステップC5-2)、鍵演算部4601での処理(ステップC2)が行われる。ここでラウンド処理が終了となる。
In the 22nd round, the operation with the MDS matrix π is skipped. Therefore, non-linear processing (step C3-1), diffusion processing θ2 (step C5-2), and processing (step C2) in the
最後に、鍵演算部4601の結果を暗号文として出力して終了する(ステップC8)。
Finally, the result of the
以上の3D暗号の暗号化処理回路へ本発明を適用した実施例2を示す。図44は、実施例2の暗号化部の構成を例示する図である。図41の3D暗号の暗号化部の回路構成との相違点は、マスク演算用の初期マスク演算部4101、アンマスク演算部4102とパーミュテーション部4301、4302、選択部4700、および乱数生成部4800が追加された点と、図41の非線形変換部4401の代わりに、マスク付の非線形変換テーブル(γ1〜γ64)4411〜4414を備える非線形変換部4400を備えている点である。
A second embodiment in which the present invention is applied to the above-described 3D encryption processing circuit will be described. FIG. 44 is a diagram illustrating the configuration of the encryption unit according to the second embodiment. 41 differs from the circuit configuration of the encryption unit of the 3D encryption in FIG. 41 in that an initial
初期マスク演算部4101では初期マスクと入力データとの、アンマスク演算部4102ではアンマスクと入力データとの排他的論理和を演算する。
The initial
パーミュテーション部4301、4302では、選択値に基づき入力されたデータの並び替えを行う。なお、パーミュテーション部4302はパーミュテーション部4301とは逆の並び替えを行う。
The
非線形変換部4400は入力されたデータの非線形変換を行う。非線形変換部4400は64個のマスク付非線形変換テーブル(γ1〜γ64)4411〜4414を備える。非線形変換部4400では、入力値を1バイトずつ64個のデータに分割し、それぞれマスク付非線形変換テーブル(γ1〜γ64)4411〜4414で非線形変換処理を行う。図45は非線形変換部4400の構成を例示する図である。
A
非線形変換テーブル(γ1)4411では、1バイトの入力値とマスクm1を排他的論理和で演算した値に対して、非線形変換テーブルγで非線形変換を行い、非線形変換した結果にマスクn1を排他的論理和した値を出力値としてとる。図46は非線形変換部4400の構成である。図46は図45の各非線形変換テーブル4411〜4414の入出力の関係を示した図である。
In the non-linear conversion table (γ1) 4411, the non-linear conversion table γ performs non-linear conversion on the value obtained by calculating an exclusive OR of the 1-byte input value and the mask m 1, and sets the mask n 1 to the non-linear conversion result. The value obtained by exclusive OR is taken as the output value. FIG. 46 shows the configuration of the
実施例2のマスク値について説明する。3D暗号では奇数ラウンドと偶数ラウンドで拡散処理が変わるため、対策が必要となる。 The mask value of Example 2 will be described. In 3D encryption, the spreading process changes between odd and even rounds, so a countermeasure is required.
1つ目の対策は、奇数ラウンドと偶数ラウンドで非線形変換部を切り替える方法である。マスク値の組み合わせとして2通り用意し、それにあわせて2つの非線形変換部を用意する。非線形変換部4400A、4400Bの出力値はセレクタ4450で選択され、奇数ラウンド時には、非線形変換部4400Aの出力値が選択され、偶数ラウンド時には、非線形変換部4400Bの出力値が選択される。
The first countermeasure is a method of switching the non-linear conversion unit between odd-numbered rounds and even-numbered rounds. Two combinations of mask values are prepared, and two nonlinear conversion units are prepared accordingly. The output values of the
マスク値の設定では、入力側もしくは出力側のどちらか一方のマスクを任意に設定できる。非線形変換部4400Aの入力側マスクMaと非線形変換部4400Bの入力側マスクMbを任意に設定するか、逆に非線形変換部4400Aの出力側マスクNaと非線形変換部4400Bの出力側マスクNbを任意に設定するかの、どちらか一方の組み合わせを任意に設定が可能である。
In setting the mask value, either the input side mask or the output side mask can be set arbitrarily. The input side mask Ma of the
直前の偶数ラウンドの選択値Rと次の奇数ラウンドの選択値R’を設定した上で、非線形変換部4400Aの入力側マスクMaは、直前の偶数ラウンドでNbに対して、パーミュテーション4302、θ2、π、及びパーミュテーション4301が行われたものとする。
After setting the selection value R of the previous even round and the selection value R ′ of the next odd round, the input side mask Ma of the
これにより、偶数ラウンド中に演算が行われたNbを、次の奇数ラウンドの非線形変換部4400Aにて相殺することができる。
As a result, the Nb calculated during the even-numbered round can be canceled by the
一方、非線形変換部4400Bの入力側マスクMbは、直前の偶数ラウンドの選択値Rと次の奇数ラウンドの選択値R’を設定した上で、直前の偶数ラウンドでNaに対してパーミュテーション4302、θ1、π、及びパーミュテーション4301が行われたものとする。
On the other hand, the input side mask Mb of the
これにより、奇数ラウンド中に演算が行われたMb-Aを、次の偶数ラウンドの非線形変換部420Bにて相殺することができる。 As a result, the Mb-A that has been calculated during the odd-numbered rounds can be canceled by the next even-numbered non-linear conversion unit 420B.
また、初期マスクテーブルは、1ラウンド目には、非線形変換部4400Aが選択されるため、Maに対してパーミュテーション部4301において各選択値に対する並び替えの逆を行ったものとする。
Further, in the initial mask table, since the
一方、アンマスクテーブルは、最後の22ラウンド目には、πとの行列演算が行われないため、Nbに対して、θ2とパーミュテーション4302の各選択値の並び替えが行われた値となる。 On the other hand, since the matrix calculation with π is not performed in the last 22nd round in the unmask table, the selection values of θ2 and permutation 4302 are rearranged for Nb. .
こちらの対策では、非線形変換部を2つ用意する必要があるが、64種類のマスク値を設定することが可能となる。 In this measure, it is necessary to prepare two nonlinear conversion units, but 64 types of mask values can be set.
2つ目の対策は、Nに対してθ1とθ2のどちらの演算が行われても、結果が等しくなるように、マスクを設定するものである。設定の仕方として、最初に現在のラウンドの選択値Rと次のラウンドの選択値R’を設定する。次に、第1スライスにあたる1〜16バイト目の出力側マスクN1に任意の値を設定する。 The second countermeasure is to set a mask so that the result is the same regardless of which of θ1 and θ2 is performed on N. As a setting method, first, the selection value R of the current round and the selection value R ′ of the next round are set. Next, an arbitrary value is set to the output side mask N1 of the 1st to 16th bytes corresponding to the first slice.
第2スライスの17〜32バイト目の出力側マスクN2は、N1を12バイト巡回シフトしたものとする。 Assume that the output side mask N2 of the 17th to 32nd bytes of the second slice is obtained by cyclically shifting N1 by 12 bytes.
第3スライスの33〜48バイト目の出力側マスクN3は、N1を8バイト巡回シフトしたものとする。 Assume that the output side mask N3 of the 33rd to 48th bytes of the third slice is obtained by cyclically shifting N1 by 8 bytes.
さらに、第4スライスの49〜64バイト目の出力側マスクN4は、N1を4バイト巡回シフトしたものとする。 Further, assume that the output side mask N4 of the 49th to 64th bytes of the fourth slice is obtained by cyclically shifting N1 by 4 bytes.
続けて、入力側マスクMを求める。MはN(={N1||N2||N3||N4};ただし、||は連結(連接)を示す)に対して選択値Rでのパーミュテーション4302とθ1とπ、及び選択値R’でのパーミュテーション4301を行ったものとする。
Subsequently, an input side mask M is obtained. M is N (= {N1 || N2 || N3 || N4}; where || indicates concatenation (concatenation)), permutation 4302, θ1, and π at selected value R, and selected value It is assumed that
図48に以上の方法で設定した入力側マスクMを示す。 FIG. 48 shows the input side mask M set by the above method.
このように設定することで、1つの非線形処理部(非線形変換部)を備えるだけで、ラウンド処理を繰り返すことができる。2つ目の対策では、非線形処理部は1つですむが、マスク値は16種類のみ設定可能である。 By setting in this way, it is possible to repeat round processing only by providing one nonlinear processing unit (nonlinear conversion unit). In the second countermeasure, only one nonlinear processing unit is required, but only 16 types of mask values can be set.
次に、実施例2における、パーミュテーションについて説明する。 Next, permutation in the second embodiment will be described.
3D暗号に適用可能なパーミュテーションとして、3つのステップによる並び替えがあげられる。 Permutation applicable to 3D encryption includes rearrangement by three steps.
1ステップ目として、スライスごと巡回シフトを行う。これは、16の倍数のバイトでデータ全体を巡回シフトすることとなる。 As the first step, cyclic shift is performed for each slice. This means that the entire data is cyclically shifted by a multiple of 16 bytes.
2ステップ目として、各スライス内で、4の倍数のバイトの巡回シフトを行う。つまり、1〜16バイト目の中で、0・4・8・12バイトのいずれかの巡回シフトを、17〜32バイト目の中で、0・4・8・12バイトのいずれかの巡回シフトを行っていく。他の2つのスライスも同様に0・4・8・12バイトのいずれかの巡回シフトを行っていく。 As a second step, a cyclic shift of multiples of 4 bytes is performed in each slice. In other words, the cyclic shift of 0, 4, 8, 12 bytes in the 1st to 16th bytes, and the cyclic shift of 0, 4, 8, 12 bytes in the 17th to 32nd bytes I will go. Similarly, the other two slices are cyclically shifted to 0, 4, 8, or 12 bytes.
3ステップ目として、1〜4バイトを1列目、5〜8バイト目を2列目と4バイト単位で列を構成し、各列の内部で同じ巡回シフトを行う方法がある。 As the third step, there is a method in which 1 to 4 bytes are arranged in the first column, and the 5th to 8th bytes are arranged in units of 4 bytes and the second column, and the same cyclic shift is performed inside each column.
図49は、上記の3ステップによるパーミュテーションを示している図である。 FIG. 49 is a diagram showing permutation by the above three steps.
図50は、実施例2の動作を説明するフローチャートである。図43の比較例との相違点は、ステップC9〜15、及びC12−1が追加された点と、図43のステップC3、C3−1が、マスク付非線形変換(ステップC3−2)に変更された点である。 FIG. 50 is a flowchart for explaining the operation of the second embodiment. 43 differs from the comparative example in FIG. 43 in that steps C9 to C15 and C12-1 are added, and steps C3 and C3-1 in FIG. 43 are changed to non-linear transformation with a mask (step C3-2). This is the point.
図44、図50を使い、実施例2の動作を説明する。 The operation of the second embodiment will be described with reference to FIGS.
はじめに、平文及び秘密鍵を暗号化処理回路へ入力し、平文は暗号化部1000、秘密鍵は鍵生成部2000へ入力される(ステップC1)。
First, the plaintext and the secret key are input to the encryption processing circuit, and the plaintext is input to the
乱数生成部4800で乱数を生成し、選択部4700へ出力する(ステップC9)。
The random
選択部4700で、乱数から選択値を決定し、選択値を出力する(ステップC10)。
The
初期マスク演算部4101で、図3の初期マスクテーブル1111より選択値にもとづいて初期マスクが選択され、平文と初期マスクとの排他的論理和が演算される。この排他的論理和演算(加算演算)により、平文にマスクをかける(ステップC11)。マスクがかかった平文はレジスタ4200に記憶される。
The initial
マスク処理後、ラウンド処理として、ステップC12からステップC7が行われる。まず、図44のパーミュテーション部4301で選択値に基づき、データ列の並び替えを行う(ステップC12)。
After the mask process, steps C12 to C7 are performed as a round process. First, the
次に、非線形変換部4400で、パーミュテーション部4301の出力値を非線形変換し、非線形変換出力を出力する(ステップC3-2)。非線形変換部4400では、パーミュテーション部4301の出力値が64個に分割されx1〜x64が、非線形変換テーブルγ1〜γ64)4411〜4414へと入力される。これら、非線形変換テーブルはマスク付の非線形変換テーブルとなっている。非線形変換テーブル(γ1)4411の結果は、x1とm1との排他的論理和を演算し、演算結果を非線形変換γ(・)によって非線形変換し、非線形変換した結果とn1との排他的論理和をとった結果となる。
Next, the
パーミュテーション部4302では、選択値に基づき、非線形変換部4400の出力を並び替える(ステップC13)。パーミュテーション部4302で行われる並び替えはパーミュテーション部4301とは逆の並び替えである。逆の並び替えを行うことで、データの順番をパーミュテーション部4301に入力される前の順番に戻すことができる。また、データにかかっているマスクの配列が並び替えられる。
The permutation unit 4302 rearranges the outputs of the
拡散関数部(θ)4501では、奇数ラウンド目であるか否かを判断する(ステップC4)。 In the diffusion function part (θ) 4501, it is determined whether or not it is an odd-numbered round (step C4).
奇数ラウンド目である場合、非線形変換部4400の出力に対して拡散関数θ1で拡散処理を行う(ステップC5-1)。
In the case of the odd-numbered round, the diffusion process is performed on the output of the
偶数ラウンド目である場合、非線形変換部4400の出力に対して拡散関数θ2で拡散処理を行う(ステップC5-2)。
In the case of the even-numbered round, the diffusion process is performed on the output of the
最大距離分離行列部(π)4502では、拡散関数部(θ)4501の出力とMDS行列πとの演算を行う(ステップC6)。 The maximum distance separation matrix part (π) 4502 calculates the output of the diffusion function part (θ) 4501 and the MDS matrix π (step C6).
鍵演算部4600では、最大距離分離行列部(π)4502の演算結果と、鍵生成部2000で生成されたラウンド鍵との排他的論理和を演算する(ステップC2)。 The key calculation unit 4600 calculates an exclusive OR of the calculation result of the maximum distance separation matrix unit (π) 4502 and the round key generated by the key generation unit 2000 (step C2).
また、選択部4700において選択値の更新を行う(ステップC14)。
In addition, the
鍵演算部4600での演算、選択値の更新後、現在のラウンドが21ラウンド目(次が最終ラウンド)であるか否かを判断する(ステップC7)。 After the calculation in the key calculation unit 4600 and the update of the selection value, it is determined whether or not the current round is the 21st round (the next is the final round) (step C7).
次が最終ラウンドではない場合、ステップC12に戻りラウンド処理を繰り返す。次が最終ラウンドの場合、ステップC12-1へ進む。 If the next round is not the final round, the process returns to step C12 and repeats the round process. When the next is the final round, the process proceeds to Step C12-1.
22ラウンド目では、MDS行列πとの演算がスキップされる。そのため、マスク付非線形処理(ステップC3-2)、拡散処理θ2(ステップC5-2)、鍵演算(ステップC2)、が行われる。ここでラウンド処理が終了となる。 In the 22nd round, the operation with the MDS matrix π is skipped. Therefore, non-linear processing with a mask (step C3-2), diffusion processing θ2 (step C5-2), and key calculation (step C2) are performed. The round process ends here.
続いて、アンマスク演算部4102では、図4のアンマスクテーブル1113より選択値にもとづいてアンマスクが選択され、ラウンド処理の結果である鍵演算部4600の出力と、アンマスクとの排他的論理和を演算し、演算結果を暗号文として出力する(ステップC15)。このアンマスクとの排他的論理和は、ラウンド処理の結果にかかっているマスクを解除し、本来の暗号文を得るものである。
Subsequently, the
最後に、アンマスク演算部4102の結果を暗号文として出力して終了する(ステップC8)。
Finally, the result of the
なお、上記実施形態1、実施例1、2の各暗号化処理回路は、ハードウェア、ソフトウェア又はこれらの組合わせにより実現することができる。また、上記の暗号化処理回路その他の装置等により行なわれる暗号化処理方法も、ハードウェア、ソフトウェア又はこれらに組合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitorycomputerreadablemedium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangiblestoragemedium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(ReadOnlyMemory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(ProgrammableROM)、EPROM(ErasablePROM)、フラッシュROM、RAM(randomaccessmemory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitorycomputerreadablemedium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 The encryption processing circuits of the first embodiment and the first and second embodiments can be realized by hardware, software, or a combination thereof. The encryption processing method performed by the above-described encryption processing circuit and other devices can also be realized by hardware, software, or a combination thereof. Here, “realized by software” means realized by a computer reading and executing a program. The program can be stored and provided to a computer using various types of non-transitory computer readable media. Non-transitory computer readable media include various types of tangible storage media. Examples of non-transitory computer-readable media include magnetic recording media (for example, flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (for example, magneto-optical disks), CD-ROMs (Read Only Memory), CD-Rs, CD-R / W, semiconductor memory (for example, mask ROM, PROM (ProgrammableROM), EPROM (ErasablePROM), flash ROM, RAM (randomaccessmemory)) are included. The program may also be supplied to the computer by various types of transitory computer readable media. Examples of transitory computer readable media include electrical signals, optical signals, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.
上記の実施形態及び実施例では、暗号化処理回路について説明したが、本発明を適用して、復号処理回路(すなわち、暗号解読処理回路)も、暗号化処理回路と同様な構成とすることができる。復号処理とは、暗号化処理とは逆に、暗号文を平文に戻す処理のことである。この場合、「暗号化」は、「復号」に置き換わる。 In the above embodiments and examples, the encryption processing circuit has been described. However, by applying the present invention, the decryption processing circuit (that is, the decryption processing circuit) may have the same configuration as the encryption processing circuit. it can. The decryption process is a process for returning a ciphertext to a plaintext, contrary to the encryption process. In this case, “encryption” is replaced with “decryption”.
例えば、図1において、「暗号化部1000」は「復号部5000」に置き換わる。図1において、暗号化部1000を復号部とした場合、「暗号文」を入力とし、「平文」を出力とする。また、図2の暗号化部は、復号部に置き換わる(図51)。図52は、復号部5000の構成を示した図である。以下、図52を参照して、復号部における動作を説明する。図52において、暗号文を入力として、処理結果を平文として出力する。前記実施形態1で暗号化された暗号文は、復号部に入力され、復号部におけるアンマスク演算部5102にて、アンマスクがかけられ、レジスタ5200に記憶される。以降、ラウンド処理として、鍵演算部5600で、ラウンド鍵Kiとの加算(等価的に減算)が行われ、演算結果を線形変換部5500で線形変換する。復号部における線形変換部5500は、暗号化部における線形変換L(・)に対して逆変換L-1(・)となる。線形変換部5500で逆変換した結果を、パーミュテーション部5302で並び替える。パーミュテーション部5302での並び替えは、暗号化部のパーミュテーション部1302での並び替えとは逆とされる。並び替えた結果は、t個に分割され、非線形変換部5400のテーブル(S1〜St)に入力する。復号部におけるテーブル(S1〜St)は、暗号化部におけるテーブル(S1〜St)と入力と出力が逆となる(暗号化部におけるテーブルの出力を入力(テーブルインデックス)とし、暗号化部におけるテーブルの入力を、テーブルインデックスに対応する出力値とする)。また、復号部におけるテーブル(S1〜St)では、暗号化部におけるテーブルの出力側のマスクNを入力側のマスクとし、暗号化部におけるテーブルの入力側のマスクMを出力側のマスクとする。非線形変換部の変換した結果を、パーミュテーション部5301で並び替える。パーミュテーション部5301での並び替えは、暗号化部のパーミュテーション部1301での並び替えとは逆とされる。復号部において、規定回数のラウンド処理が繰り返されると、パーミュテーション部5301の処理結果に対して、初期マスク演算部5101で初期マスクとの演算を行うことでマスクが解除され、処理結果が平文として出力される。また、選択値の更新も、暗号化部のときとは逆となり、暗号化部では選択値svが次のラウンドではsv’に更新されていた場合、復号部では選択値sv’が次のラウンドではsvへと値が更新される。
For example, in FIG. 1, “
なお、上記の特許文献、非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各付記の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。 It should be noted that the disclosures of the above-mentioned patent documents and non-patent documents are incorporated herein by reference. Within the scope of the entire disclosure (including claims) of the present invention, the embodiments and examples can be changed and adjusted based on the basic technical concept. Further, various combinations or selections of various disclosed elements (including each element in each supplementary note, each element in each embodiment, each element in each drawing, etc.) are possible within the scope of the claims of the present invention. . That is, the present invention of course includes various variations and modifications that could be made by those skilled in the art according to the entire disclosure including the claims and the technical idea.
1000 暗号化部
1101 初期マスク演算部
1102 アンマスク演算部
1103 MMSj+1加算部
1111 初期マスクテーブル
1112 排他的論理和演算部
1113 アンマスクテーブル
1114 排他的論理和演算部
1200 レジスタ
1301 パーミュテーション部
1302 パーミュテーション部
1303 バレルシフト
1304 バレルシフト
1400 非線形変換部
1401 非線形変換部(マスクなし)
1402 非線形変換部
1411 非線形変換テーブル(S1)
1412 非線形変換テーブル(S2)
1413 非線形変換テーブル(S3)
1414 非線形変換テーブル(St)
1420、1421〜1424 非線形変換テーブル(S)
1431〜1438 排他的論理和演算部
1441 非線形変換テーブル(S1、RSM)
1442 非線形変換テーブル(S2、RSM)
1443 非線形変換テーブル(S3、RSM)
1444 非線形変換テーブル(St、RSM)
1500 線形変換部
1600 鍵演算部
1611〜1614 排他的論理和演算部
1700 選択部
1800 乱数生成部
1901 前部部
1902 後部部
2000 鍵生成部
3101 初期マスク演算部
3102 アンマスク演算部
3200 レジスタ
3301、3302 パーミュテーション部
3400 非線形変換部
3401 非線形変換部(マスクなし)
3411 非線形変換テーブル(S1)
3412 非線形変換テーブル(S2)
3413 非線形変換テーブル(S3)
3414 非線形変換テーブル(S16)
3421〜3424 非線形変換テーブル(S)
3431〜3438 排他的論理和演算部
3501 ShiftRows演算部
3502 MixColumns演算部
3601、3602 鍵演算部
3700 選択値部
3800 乱数生成部
4101 初期マスク演算部
4102 アンマスク演算部
4200 レジスタ
4301、4302 パーミュテーション部
4400、4400A、4400B、4401 非線形変換部
4411 マスク付非線形変換テーブル(γ1)
4412 マスク付非線形変換テーブル(γ2)
4413 マスク付非線形変換テーブル(γ2)
4414 マスク付非線形変換テーブル(γ64)
4411A マスク付非線形変換テーブル(γ1)
4412A マスク付非線形変換テーブル(γ64)
4411B マスク付非線形変換テーブル(γ’1)
4412B マスク付非線形変換テーブル(γ’64)
4421〜4424 非線形変換テーブル(γ)
4450 セレクタ
4501 拡散関数部(θ)
4502 最大距離分離行列部(π)
4601、4602 鍵演算部
4700 選択部
4800 乱数生成部
5000 復号部
5101 初期マスク演算部
5102 アンマスク演算部
5200 レジスタ
5301、5302 パーミュテーション部
5400 非線形変換部
5500 線形変換部
5600 鍵演算部
5700 選択値部
5800 乱数生成部
1000
1402
1412 Nonlinear conversion table (S2)
1413 Nonlinear conversion table (S3)
1414 Nonlinear Conversion Table (St)
1420, 1421-1424 Nonlinear conversion table (S)
1431 to 1438 Exclusive OR
1442 Nonlinear conversion table (S2, RSM)
1443 Nonlinear conversion table (S3, RSM)
1444 Nonlinear conversion table (St, RSM)
1500
3411 Nonlinear Conversion Table (S1)
3412 Nonlinear conversion table (S2)
3413 Nonlinear Conversion Table (S3)
3414 Nonlinear Conversion Table (S16)
3421 to 3424 Nonlinear conversion table (S)
3431 to 3438 Exclusive OR
4412 Nonlinear conversion table with mask (γ2)
4413 Nonlinear conversion table with mask (γ2)
4414 Nonlinear conversion table with mask (γ64)
4411A Nonlinear conversion table with mask (γ1)
4412A Nonlinear conversion table with mask (γ64)
4411B Nonlinear conversion table with mask (γ'1)
4412B Nonlinear conversion table with mask (γ'64)
4421 to 4424 Nonlinear conversion table (γ)
4450
4502 Maximum distance separation matrix (π)
4601, 4602
Claims (10)
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択部と、
複数の初期マスク値の中から、前記選択部からの前記選択値に対応した初期マスク値を選択し、選択した初期マスクと入力した平文との排他的論理和をとる初期マスク演算部と、
前記選択部からの選択値に対応したパターンの並べ替えを、入力データ列に行い、並び替えた結果を出力する第1のパーミュテーション部と、
前記第1のパーミュテーション部の出力を複数に分割した値をそれぞれ非線形変換する複数のテーブルを含む非線形変換部と、
前記非線形変換部の複数の出力値を結合したデータ列に対して、前記選択部からの前記選択値に応じて、前記第1のパーミュテーション部とは逆のパターンの並び替えを行う第2のパーミュテーション部と、
前記第2のパーミュテーション部の出力に対して線形変換を施す線形変換部と、
前記線形変換部の出力とラウンド鍵との演算を行う鍵演算部と、
を備え、
初回のラウンド処理では、前記第1のパーミュテーション部には、前記初期マスク演算部の出力が入力され、2回目以降のラウンド処理では、前記第1のパーミュテーション部には、前回のラウンド処理での前記鍵演算部の出力が入力され、
前記非線形変換部において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記第1のパーミュテーション部、非線形変換部、第2のパーミュテーション部、前記線形変換部、前記鍵演算部、による前記ラウンド処理が規定回数行われ、
複数のアンマスク値の中から、前記選択部からの前記選択値に対応したアンマスク値を選択し、選択したアンマスク値と、前記規定回数のラウンド処理終了後の前記鍵演算部の出力との排他的論理和をとり、暗号文として出力するアンマスク演算部を備えた、ことを特徴とする暗号化処理回路。 A random number generator for generating random numbers;
A selection unit that sets an initial value of a selection value using the random number as an input, and updates the next selection value every time round processing ends,
An initial mask operation unit that selects an initial mask value corresponding to the selection value from the selection unit from a plurality of initial mask values, and performs an exclusive OR of the selected initial mask and the input plaintext;
A first permutation unit for rearranging the pattern corresponding to the selection value from the selection unit to the input data string and outputting the rearranged result;
A non-linear transformation unit including a plurality of tables each for non-linear transformation of a value obtained by dividing the output of the first permutation unit into a plurality of values;
A second reordering of the pattern opposite to the first permutation unit is performed on the data string obtained by combining a plurality of output values of the non-linear transformation unit according to the selection value from the selection unit. The permutation part of
A linear transformation unit that performs linear transformation on the output of the second permutation unit;
A key calculation unit for calculating the output of the linear conversion unit and a round key;
With
In the first round process, the output of the initial mask calculation unit is input to the first permutation unit. In the second and subsequent round processes, the first permutation unit receives the previous round. The output of the key calculation unit in the process is input,
In the non-linear conversion unit, the table performs non-linear conversion according to the table using a value obtained by taking an exclusive OR with a mask value on the input side with respect to the input to the table, and the non-linear conversion value Output the value obtained by taking the exclusive OR with the mask value on the output side,
The round processing by the first permutation unit, the nonlinear conversion unit, the second permutation unit, the linear conversion unit, and the key calculation unit is performed a specified number of times,
An unmask value corresponding to the selection value from the selection unit is selected from a plurality of unmask values, and the selected unmask value is exclusive of the output of the key calculation unit after completion of the specified number of round processes An encryption processing circuit comprising an unmask operation unit that takes a logical sum and outputs a ciphertext.
データ列を、前記パーミュテーション部において並び替えた値に対して、前記線形変換部で線形変換した結果と、
前記データ列を、前記線形変換部で線形変換した結果に対して、前記パーミュテーション部で並び替えを行った結果と、
が互いに一致するような、並び替えパターンを持つ、ことを特徴とする請求項1記載の暗号化処理回路。 Each permutation part of the first and second permutation parts is:
A result obtained by performing linear transformation in the linear transformation unit on values rearranged in the permutation unit,
The result obtained by rearranging the data string by the permutation unit with respect to the result of linear conversion by the linear conversion unit,
2. The encryption processing circuit according to claim 1, wherein the encryption processing circuits have rearrangement patterns such that they match each other.
前記第2のパーミュテーション部で並び替えた値を前記線形変換部で線形変換し、
前記線形変換部で線形変換した結果を、前記第1のパーミュテーション部で並び替えた値を、前記非線形変換部の入力側のマスク値とする、ことを特徴とする請求項1または2記載の暗号化処理回路。 The mask values on the output side of the non-linear transformation unit are rearranged in the second permutation unit,
The values rearranged by the second permutation unit are linearly transformed by the linear transformation unit,
The value obtained by rearranging the result of linear transformation by the linear transformation unit in the first permutation unit is used as a mask value on the input side of the nonlinear transformation unit. Encryption processing circuit.
前記選択値が第2の値(sv')のときの前記第1のパーミュテーション部の並び替えをP1sv’(・)とし、前記選択部の選択値が第1の値(sv)があったときに、次の選択値が第2の値(sv')となるものとして、前記選択部での全ての選択値に対して、前記非線形変換部の入力側マスク値Mと出力側マスク値Nに対して、
M=P1sv'(L(P2sv(N)))
の関係を満たす並び替えパターンを前記第1、第2のパーミュテーション部が有する、ことを特徴とする請求項1乃至3のいずれか1項に記載の暗号化処理回路。 When the selection value of the selection unit is the first value (sv), the rearrangement of the second permutation unit is P2sv (•), the linear transformation is L (•),
When the selection value is the second value (sv ′), the rearrangement of the first permutation unit is P1sv ′ (•), and the selection value of the selection unit has the first value (sv). Assuming that the next selection value becomes the second value (sv ′), the input side mask value M and the output side mask value of the nonlinear conversion unit for all selection values in the selection unit For N
M = P1sv '(L (P2sv (N)))
4. The encryption processing circuit according to claim 1, wherein the first and second permutation units have a rearrangement pattern that satisfies the following relationship. 5.
前記第1および第2のパーミュテーション部は、4の倍数のバイトの巡回シフトによって並び替えを行い、さらに、4バイトごとに列を構成し各列の中で同じ巡回シフトによって並び替えを行う、ことを特徴とする請求項1乃至5のいずれか1項に記載の暗号化処理回路。 Targeting AES (Advanced Encryption Standard) as an encryption algorithm,
The first and second permutation units perform rearrangement by a cyclic shift of multiples of 4 bytes, and further form a column every 4 bytes and perform rearrangement by the same cyclic shift in each column. The encryption processing circuit according to any one of claims 1 to 5, wherein:
前記第1および第2のパーミュテーション部では、
第1のスライスの中で4の倍数のバイトでの巡回シフトによって並び替えを行い、さらに、4バイトごとに列を構成し各列の中で同じ巡回シフトによって並び替えを行い、
第2のスライスの中で、前記第1のスライスと同じ4の倍数のバイトでの巡回シフトによって並び替えを行い、さらに、4バイトごとに列を構成し各列の中で第1のスライスと同じ巡回シフトによって並び替えを行い、
第3のスライスの中で、前記第1のスライスと同じ4の倍数のバイトでの巡回シフトによって並び替えを行い、さらに、4バイトごとに列を構成し各列の中で第1のスライスと同じ巡回シフトによって並び替えを行い、
第4のスライスの中で、前記第1のスライスと同じ4の倍数のバイトでの巡回シフトによって並び替えを行い、さらに、4バイトごとに列を構成し各列の中で第1のスライスと同じ巡回シフトによって並び替えを行う、ことを特徴とする請求項1乃至4のいずれか1項に記載の暗号化処理回路。 For 3D encryption as an encryption algorithm,
In the first and second permutation units,
In the first slice, rearrangement is performed by cyclic shift with a multiple of 4 bytes, and further, a column is formed every 4 bytes and rearrangement is performed by the same cyclic shift in each column.
In the second slice, rearrangement is performed by a cyclic shift with the same multiple of 4 bytes as in the first slice. Further, a column is formed every 4 bytes, and the first slice in each column Sort by the same cyclic shift,
In the third slice, rearrangement is performed by a cyclic shift with the same multiple of 4 bytes as in the first slice, and a column is formed every 4 bytes, and the first slice in each column Sort by the same cyclic shift,
In the fourth slice, rearrangement is performed by a cyclic shift with the same multiple of 4 bytes as in the first slice, and a column is formed every 4 bytes, and the first slice in each column 5. The encryption processing circuit according to claim 1, wherein rearrangement is performed by the same cyclic shift.
乱数を発生させる乱数発生工程と、
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択工程と、
複数の初期マスク値の中から、前記選択部からの前記選択値に対応した初期マスク値を選択し、選択した初期マスクと入力したとの排他的論理和をとる初期マスク演算工程と、
前記選択工程からの選択値に対応したパターンの並べ替えを入力データ列に行い、並び替えた結果を出力する第1のパーミュテーション工程と、
前記第1のパーミュテーション工程の出力値を複数に分割した値をそれぞれ複数のテーブルで非線形変換する非線形変換工程と、
前記選択工程からの選択値に応じて、前記第1のパーミュテーション工程とは逆のパターンの並び替えを、前記非線形変換工程の複数の出力値を結合したデータ列に対して行う第2のパーミュテーション工程と、
前記第2のパーミュテーション工程の出力に対して線形変換を施す線形変換工程と、
前記線形変換工程の出力とラウンド鍵との演算を行う鍵演算工程と、
を含み、
初回のラウンド処理では、前記第1のパーミュテーション工程には、前記初期マスク演算工程の出力が入力され、
2回目以降のラウンド処理では、前記第1のパーミュテーション工程には、前回のラウンド処理での鍵演算工程の出力が入力され、
前記非線形変換工程において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記第1のパーミュテーション工程、前記非線形変換工程、前記第2のパーミュテーション工程、前記線形変換工程、前記鍵演算工程、による前記ラウンド処理が規定回数行われ、
複数のアンマスク値の中から、前記選択工程からの前記選択値に対応したアンマスク値を選択し、選択したアンマスク値と前記規定回数のラウンド処理終了後の前記鍵演算工程の出力との排他的論理和をとり、暗号文として出力するアンマスク演算工程と、
を含む、ことを特徴とする暗号化処理方法。 An encryption processing method by a data processing device,
A random number generating step for generating a random number;
A selection step of setting an initial value of a selection value using the random number as an input, and updating a next selection value every time round processing ends,
An initial mask operation step of selecting an initial mask value corresponding to the selection value from the selection unit from a plurality of initial mask values, and taking an exclusive OR of the selected initial mask and input;
A first permutation step of rearranging the pattern corresponding to the selected value from the selection step to the input data string and outputting the rearranged result;
A non-linear transformation step for non-linear transformation of a plurality of values obtained by dividing the output value of the first permutation step into a plurality of tables;
In accordance with a selection value from the selection step, a second rearrangement of the pattern opposite to the first permutation step is performed on a data string obtained by combining a plurality of output values of the nonlinear transformation step. The permutation process,
A linear transformation step for performing a linear transformation on the output of the second permutation step;
A key calculation step for calculating the output of the linear transformation step and a round key;
Including
In the first round process, the output of the initial mask calculation process is input to the first permutation process,
In the second and subsequent round processes, the output of the key calculation process in the previous round process is input to the first permutation process,
In the non-linear conversion step, the table performs non-linear conversion according to the table using a value obtained by performing an exclusive OR with a mask value on the input side with respect to the input to the table, and the non-linear converted value Output the value obtained by taking the exclusive OR with the mask value on the output side,
The round process by the first permutation step, the nonlinear transformation step, the second permutation step, the linear transformation step, and the key calculation step is performed a prescribed number of times,
An exclusive logic of selecting an unmask value corresponding to the selection value from the selection step from among a plurality of unmask values, and the output of the key operation step after the specified number of round processing ends An unmask operation step of taking the sum and outputting as ciphertext;
An encryption processing method comprising:
乱数を発生させる乱数発生処理と、
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択処理と、
複数の初期マスク値の中から、前記選択部からの前記選択値に対応した初期マスク値を選択し、選択した初期マスクと入力したとの排他的論理和をとる初期マスク演算処理と、
前記選択処理からの選択値に対応したパターンの並べ替えを入力データ列に行い、並び替えた結果を出力する第1のパーミュテーション処理と、
前記第1のパーミュテーション処理の出力値を複数に分割した値をそれぞれ複数のテーブルで非線形変換する非線形変換処理と、
前記選択処理からの選択値に応じて、前記第1のパーミュテーション処理とは逆のパターンの並び替えを、前記非線形変換処理の複数の出力値を結合したデータ列に対して行う第2のパーミュテーション処理と、
前記第2のパーミュテーション処理の出力に対して線形変換を施す線形変換処理と、
前記線形変換処理の出力とラウンド鍵との演算を行う鍵演算処理と、
を含み、
初回のラウンド処理では、前記第1のパーミュテーション処理には、前記初期マスク演算処理の出力が入力され、
2回目以降のラウンド処理では、前記第1のパーミュテーション処理には、前回のラウンド処理での鍵演算処理の出力が入力され、
前記非線形変換処理において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記第1のパーミュテーション処理、前記非線形変換処理、前記第2のパーミュテーション処理、前記線形変換処理、前記鍵演算処理、による前記ラウンド処理が規定回数行われ、
複数のアンマスク値の中から、前記選択処理からの前記選択値に対応したアンマスク値を選択し、選択したアンマスク値と前記規定回数のラウンド処理終了後の前記鍵演算処理の出力との排他的論理和をとり、暗号文として出力するアンマスク演算処理を含む、
ことを特徴とする暗号化処理プログラム。 A program for causing a data processing apparatus to execute encryption processing,
Random number generation processing for generating random numbers;
A selection process in which an initial value of a selection value is set using the random number as an input, and the next selection value is updated every round of round processing;
Selecting an initial mask value corresponding to the selection value from the selection unit from a plurality of initial mask values, and initial mask operation processing for taking an exclusive OR of the selected initial mask and input;
A first permutation process for rearranging the pattern corresponding to the selection value from the selection process to the input data string and outputting the rearranged result;
A non-linear transformation process that non-linearly transforms values obtained by dividing the output value of the first permutation process into a plurality of tables, respectively;
In accordance with a selection value from the selection process, a second rearrangement of the pattern opposite to the first permutation process is performed on a data string obtained by combining a plurality of output values of the nonlinear conversion process. Permutation processing,
A linear transformation process for performing a linear transformation on the output of the second permutation process;
A key operation process for calculating an output of the linear transformation process and a round key;
Including
In the first round process, the output of the initial mask calculation process is input to the first permutation process,
In the second and subsequent round processes, the first permutation process receives the output of the key calculation process in the previous round process,
In the non-linear conversion process, the table performs non-linear conversion according to the table using a value obtained by taking an exclusive OR with the mask value on the input side for the input to the table, and the non-linear converted value Output the value obtained by taking the exclusive OR with the mask value on the output side,
The round processing by the first permutation processing, the nonlinear transformation processing, the second permutation processing, the linear transformation processing, and the key calculation processing is performed a prescribed number of times,
Select an unmask value corresponding to the selection value from the selection process from among a plurality of unmask values, and exclusive logic between the selected unmask value and the output of the key operation process after the specified number of rounds have been completed Including unmasking operation that takes the sum and outputs it as ciphertext,
An encryption processing program characterized by that.
前記乱数を入力として選択値の初期値を設定し、ラウンド処理が1ラウンド終わるごとに次の選択値を更新する選択部と、
前記選択部からの選択値に応じて、複数のアンマスク値の中からアンマスク値を選択し、選択したアンマスク値と、暗号文との排他的論理和をとるアンマスク演算部と、
初回のラウンドでは前記アンマスク演算部の出力、2回目以降のラウンドでは、前回ラウンドでの第2のパーミュテーション部での並び換え結果と、ラウンド鍵との演算を行う鍵演算部と、
前記鍵演算部の出力に対して線形変換を施す線形変換部と、
前記線形変換部の出力に対して、前記選択部からの選択値に対応したパターンの並べ替えを行い、並び替えた結果を出力する第1のパーミュテーション部と、
前記第1のパーミュテーション部の出力値を複数に分割した値をそれぞれ非線形変換する複数のテーブルを含む非線形変換部と、
前記選択部からの選択値に応じて、前記第1のパーミュテーション部とは逆のパターンの並び替えを、前記非線形変換部の複数の出力値を結合したデータ列に対して行う第2のパーミュテーション部と、
を備え、
前記非線形変換部において、前記テーブルは、前記テーブルへの入力に対して入力側のマスク値と排他的論理和をとった値を用いて前記テーブルに従った非線形変換を行い、前記非線形変換した値に対して出力側のマスク値と排他的論理和をとった値を出力し、
前記鍵演算部、前記第1のパーミュテーション部、前記非線形変換部、前記第2のパーミュテーション部によるラウンド処理が規定回数行われ、
前記選択部からの選択値に応じて複数の初期マスク値の中から初期マスク値を選択し、選択した初期マスク値と、前記規定回数のラウンド処理終了後の前記第2のパーミュテーション部での並び替え結果との排他的論理和をとる初期マスク演算部を備えた、ことを特徴とする復号処理回路。 A random number generator for generating random numbers;
A selection unit that sets an initial value of a selection value using the random number as an input, and updates the next selection value every time round processing ends,
In accordance with a selection value from the selection unit, an unmask value is selected from a plurality of unmask values, and the selected unmask value and an unmask operation unit that performs exclusive OR with the ciphertext;
In the first round, the output of the unmask calculation unit, and in the second and subsequent rounds, a reordering result in the second permutation unit in the previous round, and a key calculation unit that calculates the round key;
A linear conversion unit that performs linear conversion on the output of the key calculation unit;
A first permutation unit that rearranges the pattern corresponding to the selection value from the selection unit and outputs the rearranged result with respect to the output of the linear conversion unit;
A non-linear conversion unit including a plurality of tables that non-linearly convert values obtained by dividing the output value of the first permutation unit into a plurality of values,
In accordance with a selection value from the selection unit, a second reordering of the pattern opposite to the first permutation unit is performed on a data string obtained by combining a plurality of output values of the nonlinear conversion unit. The permutation section,
With
In the non-linear conversion unit, the table performs non-linear conversion according to the table using a value obtained by taking an exclusive OR with a mask value on the input side with respect to the input to the table, and the non-linear conversion value Output the value obtained by taking the exclusive OR with the mask value on the output side,
Round processing by the key calculation unit, the first permutation unit, the non-linear conversion unit, and the second permutation unit is performed a specified number of times,
An initial mask value is selected from a plurality of initial mask values according to a selection value from the selection unit, and the selected initial mask value and the second permutation unit after the prescribed number of round processes are completed A decoding processing circuit comprising an initial mask operation unit that performs an exclusive OR with the rearrangement result of
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013072754A JP2014197785A (en) | 2013-03-29 | 2013-03-29 | Encryption processing circuit, decryption processing circuit, method therefor, and program therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013072754A JP2014197785A (en) | 2013-03-29 | 2013-03-29 | Encryption processing circuit, decryption processing circuit, method therefor, and program therefor |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014197785A true JP2014197785A (en) | 2014-10-16 |
Family
ID=52358307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013072754A Withdrawn JP2014197785A (en) | 2013-03-29 | 2013-03-29 | Encryption processing circuit, decryption processing circuit, method therefor, and program therefor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2014197785A (en) |
-
2013
- 2013-03-29 JP JP2013072754A patent/JP2014197785A/en not_active Withdrawn
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8731188B2 (en) | Cryptographic processing apparatus and cryptographic processing method, and computer program | |
US8737603B2 (en) | Cryptographic processing apparatus, cryptographic processing method, and computer program | |
Jovanovic et al. | A fault attack on the LED block cipher | |
JP4622807B2 (en) | Cryptographic processing apparatus, cryptographic processing method, and computer program | |
CN100511331C (en) | Encryption device, encryption method, and computer program thereof | |
JP5229315B2 (en) | Encryption device and built-in device equipped with a common key encryption function | |
JP6406350B2 (en) | Cryptographic processing apparatus, cryptographic processing method, and program | |
US8577023B2 (en) | Encryption processing method, apparatus, and computer program utilizing different types of S-boxes | |
KR101770874B1 (en) | Cryptographic processing device, cryptographic processing method, computer readable recording medium, and information processing device | |
JP2001324924A (en) | Device and method for ciphering, device and method for deciphering, and arithmetic operation device | |
JP5364840B2 (en) | Encryption device | |
Coron et al. | High order masking of look-up tables with common shares | |
JP2015191106A (en) | Encryption processing device, encryption processing method, and program | |
US8619985B2 (en) | Table splitting for cryptographic processes | |
JP2007192893A (en) | Encryption processing device, encryption processing method, and computer program | |
JP2015191107A (en) | Encryption processing device, encryption processing method, and program | |
JP5327493B1 (en) | Encryption processing circuit and decryption processing circuit, method and program thereof | |
JP2010044251A (en) | Hash value generator, program and hash value generation method | |
Minier et al. | Solving a symmetric key cryptographic problem with constraint programming | |
JP6089668B2 (en) | ENCRYPTION PROCESSING CIRCUIT, DECRYPTION PROCESSING CIRCUIT, METHOD THEREOF, AND PROGRAM THEREOF | |
WO2015059845A1 (en) | Encryption process circuit, decryption process circuit and methods therefor | |
Mihalkovich et al. | MPF based symmetric cipher performance comparison to AES and TDES | |
JP2014197785A (en) | Encryption processing circuit, decryption processing circuit, method therefor, and program therefor | |
WO2012060685A1 (en) | A method for linear transformation in substitution-permutation network symmetric-key block cipher | |
KR100434558B1 (en) | A fast block encryption algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160203 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20160314 |