JP2017501447A - 安全なデータ変換 - Google Patents

Abstract

データ値の暗号化された表現を使って該データ値の諸変換の安全なシーケンスを実行するシステムが開示される。システムは、入力データ値に変換を適用してその不明化された表現を得る第一の変換手段１０１を有し、前記不明化された表現はある入力変数に依存する冗長性を含む。システムは、変換を適用して変換された不明化された表現を計算するための第二の変換手段のシーケンス１０２；１１０を有する。システムはさらに、最後の不明化された変換されたデータが得られるよう変換を適用する第四の変換手段１０３を有する。システムは、最後の不明化された変換されたデータおよび前記入力データに依存する変換を適用する第五の変換手段１０４を有する。

Description

本発明はデータ値の暗号化された表現を使ってデータの変換を計算することに関する。

近年、コンピュータ動作をより安全にするために開発がなされている。たとえば、装置はある種のデータを復号することが許容されることがあるが、この能力は他の装置またはユーザーに簡単に移行可能であるべきではない。

ホワイトボックス暗号は、関数評価が事前計算された諸ルックアップテーブルによって実行される技術である。この技術は、プログラムのコードへのアクセスをもちうる攻撃者から機能を隠すために使われることができる。それらのルックアップテーブルは、テーブル検索のシーケンスが異なる諸ルックアップテーブルを使って実行されるような仕方で設計されてもよい。それらのルックアップテーブルはさらに、相続くテーブル検索の間の中間結果がランダムな全単射によってエンコードされるような仕方で設計されてもよい。ホワイトボックス技術はたとえば非特許文献１から知られている。

特許文献１は、暗号学的処理方法において使用するために好適な対応表を生成する方法であって、複数の入力データ項目および出力データ項目を表中に格納することを含み、各入力データ項目は表中で少なくとも一つの出力データ項目と関連付けられるものを開示している。各入力データ項目について、出力データ項目の少なくとも一つが、第一の補助データ項目と、入力データ項目に依存する暗号化された中間データ項目とに符号化関数を適用することによって得られる。

米国特許出願公開第2012/0300922A1号

S. Chow, P.A. Eisen, H.Johnson, and P.C. van Oorschot、"White-Box Cryptography and an AES Implementation"、Proceeding SAC 2002 Revised Papers from the 9th Annual International Workshop on Selected Areas in Cryptography, pp.250-270, Springer-Verlag London, UK

データの安全な処理を許容するシステムであって、攻撃に対して改善された保護をもつものを有することが有利であろう。

第一の側面では、本発明は、データ値の暗号化された表現を使って、i＝1,…,nであるとして、該データ値のn個の変換T_iの安全なシーケンスを実行するシステムであって：
入力データ値w₀に変換を適用してw₀の不明化された〔難読化された（obfuscated）〕表現(X₀,Y₀)を得る第一の変換手段であって、前記不明化された表現は入力変数rに依存する冗長性をもつ、手段と；
i＝1,…,n−1のそれぞれについて、

のように(X_i-1,Y_i-1)から(X_i,Y_i)を計算するよう変換

を適用する第二の変換手段と；
w_n＝G(X_i-1,Y_i-1,r)を計算することによってX_n-1,Y_n-1およびrに依存する変換Gを適用して、変換の前記シーケンスの結果を得る第三の変換手段とを有しており、

であり、
i＝0,1,…,nについて(X_i,Y_i)＝Ψ_i(w_i,σ_i)であり、Ψ_iは、(X_i,Y_i)と(w_i,σ_i)の間の一対一関係を定義するあらかじめ定義された不明化関数であり、Ψ_iは(X_i,Y_i)＝Ψ_i(w_i,σ_i)となるよう(X_i,σ_i)の任意の値を(w_i,Y_i)の値にマッピングする一対一マッピングがあるという条件を満たし；
σ₀はrに依存し；
あらかじめ決められた関数T_iおよびg_iについてi＝1,…,nについてw_i＝T_i(w_i-1)およびσ_i＝g_i(σ_i-1)であり、w₁,…,w_n-1およびσ₀,…,σ_nは当該システムによって明示的に計算されない、
システムを提供する。

ここで、演算子Aは、

である場合かつその場合にのみ「演算子

に関して線形である」と考えられる。

このシステムは、入力値を変更してシステム挙動を解析することによりシステムの内部のはたらきを解析するのが、より難しくなるという利点がある。たとえば、攻撃者による中間値（たとえば何らかのiについてのX_iまたはY_i）の変更は状態σ_nの変更を引き起こしうるからである。このため、第五の変換手段の結果は予測不可能になる。変換F(X_n,r)は、σの期待される値をX_nに存在するσに関係する情報と混合するためにrを使うからである。rとX_nに存在するσに関係する情報とがσの同じ値に対応しなければ、第五の変換手段の出力は異常になることがあり、このことはシステムを理解するために攻撃者が実行しなければならない解析を複雑にする。

第三の変換手段は、X_n＝u_n(X_n-1,Y_n-1)のような変換u_nを適用するための第四の変換手段と；w_n＝F(X_n,r)を計算することによって変換Fを適用して前記変換のシーケンスの帰結を得るための第五の変換手段を有していてもよい。ここで、

である。これは効率的な実装を許容する。変換が諸ルックアップテーブルの形で実装される場合、この特徴は低減されたメモリ・スペースでのルックアップテーブルの実装を許容する。

一例では、i＝0,1,…,nについて(X_i,Y_i)＝Ψ_i(w_i,σ_i)は次のように定義される。

ここで、

は演算子であり、
A_i、B_i、C_iおよびD_iは演算子

に関して線形な演算子であり、演算子A_nおよびD_nは可逆であり、(u,v)を

にマッピングする演算子E_iは可逆であり、
Ψ_i ^X、Ψ_i ^Y、φ_i ¹、φ_i ²は可逆なマッピングである。

不明化関数Ψ_iのこの例はシステムの比較的簡単な設計を提供する。これらの演算子Ψ_i ^XおよびΨ_i ^YはΨ_iを置換または実装するために使用されてもよい。この例では、演算子Gは、

が一般に成り立つ場合に演算子

に関して線形であると考えられる。

たとえば、演算子A_iおよびD_iはすべてのi＝0,1,…,nについて可逆な線形演算子である。

たとえば、rはw₀に等しい。これは、状態変数σ₀がw₀に依存することを意味する。入力データw₀と状態変数σ₀の間の関係は、第一の変換手段によって実装される関係を用いてこの関係を不明化することによって、たとえば値σ₀がシステム中の中間結果として計算されないような仕方でルックアップテーブルを使って入力データw₀と不明化された表現(X₀,Y₀)との間の関係を実装することによって、攻撃者に対して不明瞭なままとなりうる。

たとえば、

は

の計算量よりも小さい計算量をもつ。これは、変換Fが比較的小さな計算量をもつことを許容する。たとえば、

の計算量はnに依存しない。

たとえば、

は恒等関数である。これは、F(X_n,r)を設計するのを簡単にする。σ₀の値も、第一の変換手段におけるそのrへの依存性において暗黙的に使われるからである。

たとえば、演算子

はビット毎のXOR演算である。

たとえば、第一、第二、第三、第四および第五の変換手段のうちの少なくとも一つは、ルックアップテーブルにおいて変換された値を見出すよう構成されている。たとえば、第一、第二および第三の変換手段のそれぞれはルックアップテーブルにおいて変換された値を見出すよう構成されている。もう一つの例では、第一、第二、第四および第五の変換手段のそれぞれはルックアップテーブルにおいて変換された値を見出すよう構成されている。これらの例は、ルックアップテーブルがいかなる使用されるアルゴリズムをも隠すことを許容するため、特に安全な実装を許容する。

もう一つの側面は、データ値の暗号化された表現を使って、i＝1,…,nであるとして、該データ値にn個の変換T_iの安全なシーケンスを実行するシステムを提供する方法であって：
第一の変換手段を提供し、入力データ値w₀に変換を適用してw₀の不明化された表現(X₀,Y₀)を得るよう該第一の変換手段を構成する段階であって、前記不明化された表現(X₀,Y₀)は入力変数rに依存する冗長性を含む、段階と；
第二の変換手段を提供し、i＝1,…,n−1のそれぞれについて、

のように(X_i-1,Y_i-1)から(X_i,Y_i)を計算するよう変換

を適用するよう該第二の変換手段を構成する段階と；
第四の変換手段を提供し、X_n＝u_n(X_n-1,Y_n-1)のような変換u_nを適用するよう該第四の変換手段を構成する段階と；
第五の変換手段を提供し、w_n＝F(X_n,r)のように変換Fを適用して前記変換のシーケンスの帰結を得るよう該第五の変換手段を構成する段階であって、

である、段階とを含み、
i＝0,1,…,nについて(X_i,Y_i)＝Ψ_i(w_i,σ_i)であり、Ψ_iは、(X_i,Y_i)と(w_i,σ_i)の間の一対一関係を定義するあらかじめ定義された不明化関数であり、Ψ_iは(X_i,Y_i)＝Ψ_i(w_i,σ_i)となるような仕方で(X_i,σ_i)の任意の値を(w_i,Y_i)の値にマッピングする一対一マッピングがあるという条件を満たし；
σ₀はrに依存し；
あらかじめ決められた関数T_iおよびg_iについてi＝1,…,nについてw_i＝T_i(w_i-1)およびσ_i＝g_i(σ_i-1)であり、
前記第一の変換手段、前記第二の変換手段、前記第四の変換手段および前記第五の変換手段はw₁,…,w_n-1およびσ₀,…,σ_nの値を不明化するよう構成される、
方法を有する。

この方法は前記システムを生成することを許容する。

前記第二の変換手段を構成する段階は、前記関数

のうちの少なくとも一つの関数の少なくとも一つのルックアップテーブルを計算することを含んでいてもよい。ここで、ルックアップテーブルは

を計算することによって(X_i-1,Y_i-1)の値を(X_i,Y_i)の値にマッピングする。ここで、Ψ_i-1 ^inverseはΨ_i-1の逆関数である。このようにして、u_i〔下線付き〕を計算することに関わるアルゴリズム段階が、一つまたは複数のルックアップテーブルに隠されうる。ルックアップテーブルの使用は、上述したホワイトボックス実装を含むさらなる不明化技法を許容する。

あるいはまた、前記第二の変換手段を構成する段階は、関数u_i〔下線付き〕のうちの少なくとも一つの関数の少なくとも一つのルックアップテーブルを計算することを含んでいてもよい。ここで、ルックアップテーブルは

を計算することによって(X_i-1,Y_i-1)の値を(X_i,Y_i)の値にマッピングする。ここで、f_iは

によって定義される関数を表わし、f_i ^inverseはf_iの逆関数である。このようにして、f_i、f_i ^inverseおよびT_iを計算することに関わるアルゴリズム段階が、一つまたは複数のルックアップテーブルに隠されうる。ルックアップテーブルの使用は、上述したホワイトボックス実装を含むさらなる不明化技法を許容する。

たとえば、rはw₀に等しく、前記第三の変換手段を構成する段階は、関数Gを表わす少なくとも一つのルックアップテーブルを計算することを含む。ここで、前記少なくとも一つのルックアップテーブルは(X_i-1,Y_i-1,w₀)のタプルをw_n＝G(X_i-1,Y_i-1,w₀)の対応する値にマッピングする。関係した例において、第五の変換手段を構成する段階は、関数Fを表わす少なくとも一つのルックアップテーブルを計算することを含む。ここで、前記少なくとも一つのルックアップテーブルは(X_n,w₀)のペアをw_n＝F(X_n,w₀)の対応する値にマッピングする。これらの例において、GまたはFを計算することに関わるアルゴリズム段階が、一つまたは複数のルックアップテーブルに隠されうる。ルックアップテーブルの使用は、上述したホワイトボックス実装を含むさらなる不明化技法を許容する。

もう一つの側面によれば、データ値の暗号化された表現を使って、i＝1,…,nであるとして、該データ値にn個の変換T_iの安全なシーケンスを実行する方法であって：
入力データ値w₀に変換を適用してw₀の不明化された表現(X₀,Y₀)を得る段階であって、前記不明化された表現は入力変数rに依存する冗長性を含む、段階と；
i＝1,…,n−1のそれぞれについて、

のように(X_i-1,Y_i-1)から(X_i,Y_i)を計算するよう変換

を適用する段階と；
w_n＝G(X_i-1,Y_i-1,r)を計算することによってX_n-1,Y_n-1およびrに依存する変換Gを適用して、変換の前記シーケンスの帰結を得る段階とを含んでおり、

であり、
i＝0,1,…,nについて(X_i,Y_i)＝Ψ_i(w_i,σ_i)であり、Ψ_iは、(X_i,Y_i)と(w_i,σ_i)の間の一対一関係を定義するあらかじめ定義された不明化関数であり、Ψ_iは(X_i,Y_i)＝Ψ_i(w_i,σ_i)となるような仕方で(X_i,σ_i)の任意の値を(w_i,Y_i)の値にマッピングする一対一マッピングがあるという条件を満たし；
σ₀はrに依存し；
あらかじめ決められた関数T_iおよびg_iについてi＝1,…,nについてw_i＝T_i(w_i-1)およびσ_i＝g_i(σ_i-1)であり、
w₁,…,w_n-1およびσ₀,…,σ_nは変換を適用する上記の諸段階において不明化される、
方法が提供される。

個別的な例では、変換Gを適用する段階は、X_n＝u_n(X_n-1,Y_n-1)のような変換u_nを適用し；w_n＝F(X_n,r)のように変換Fを適用して前記変換のシーケンスの帰結を得ることを含む。ここで、

である。

もう一つの側面によれば、プロセッサ・システムに上記の方法を実行させるための命令を有するコンピュータ・プログラム・プロダクトが提供される。

当業者には、本発明の上記の特徴が有用と見なされる任意の仕方で組み合わされてもよいことが理解されるであろう。さらに、システムに関して記載された修正および変形は方法およびコンピュータ・プログラム・プロダクトに同様に適用されてもよく、方法に関して記載された修正および変形はシステムおよびコンピュータ・プログラム・プロダクトに同様に適用されてもよい。

下記では、本発明の諸側面が、図面を参照して、例によって明快にされる。図面は図的なものであり、縮尺通りに描かれていない。諸図面を通じて、同様の項目は同じ参照符号で指示されている。
変換のシーケンスを安全に実行するためのシステムのブロック図である。 安全なデータ変換のシーケンスを含む方法を示す図である。 図１に示されるシステムを提供する方法を示す図である。

多くの用途において、入力データw₀に対して変換Tを適用することが必要になる。複雑さの理由または他の理由のため、Tが、変換T₁,…,T_nを逐次適用することによって計算されることが望ましいことがある。すなわち、1≦i≦nについて、以下の計算段階：
w_i＝T_i(w_i-1)
が実行される。変換T₁,…,T_nは、この逐次反復の結果w_nがT(w₀)と等しいように選ばれる。しかしながら、たとえ悪意のあるユーザーが作業メモリへのアクセスを含め当該装置へのフル・アクセスを有する場合でも、あるいは悪意のあるユーザーがアプリケーションを解析するデバッグ・ツールを使う能力をもつ場合でも、これらの変換において使われるアルゴリズムを隠すこと、および／または中間的な値w₁,…,w_n-1が悪意のあるユーザーから隠されることが望ましいであろう。

したがって、w₁,…,w_n-1の値を明示的に計算するのではなく、代替的な値z₁,…,z_n-1が計算され、その中にそれぞれw₁,…,w_n-1の値が隠される。z₁,…,z_n-1の値はw₁,…,w_n-1よりも多くの情報ビットを含む。値z₁,…,z_n-1は冗長な状態変数σ_iの値をも表わすからである。ある好ましい例では、w_nの値はz_nおよびw₀から計算される。

以下の説明で使われるいくらかの記法を導入しておく。0≦i≦nについて、w_iの潜在的な値の集合はW_iによって記される。0≦i≦nについて、空でない「状態集合」Σ_iは状態変数σ_iの可能な値を含む。自明なものを避けるため、Σ₀は少なくとも二つの要素をもつとする。好ましくは、各Σ_iは少なくとも二つの要素をもち、より好ましくは各Σ_iは二つより多くの要素をもつ。0≦i≦n−1について、σ_i+1＝g_i(σ_i)を定義するために秘密の「次状態」関数g_i:Σ_i→Σ_i+1が選ばれる。さらに、σ₀＝s(w₀)となるような秘密の「状態導入」関数s:W_i→Σ₀が選ばれる。最後に、0≦i≦nについて、要素数|W_i|・|Σ_i|の集合Z_iおよび秘密の一対一マッピングf_i:W_i×Σ_i→Z_iが選ばれる。たとえば、Z_i＝W_i×Σ_iである。マッピングf_iは、安全なコンピューティング装置によって計算される値z_iと(w_i,σ_i)の対応する値との間の関係を記述する。ここで、w_iは処理されるデータであり、σ_iはw_iをその表現z_iにおいて不明化するのを助ける冗長な状態変数である。

0≦i≦nであるとする。定義により、z_i＝f_i(w_i,σ_i)＝f_i(T_i(w_i-1),g_i(σ_i-1))である。f_i-1は可逆なので、w_i-1およびσ_i-1を(w_i-1,σ_i-1)＝f_i-1 ^inverse(z_i-1)として計算することが可能である。結果として、まず(w_i-1,σ_i-1)＝f_i-1 ^inverse(z_i-1)を、次いでz_i＝f_i(w_i,σ_i)＝f_i(T_i(w_i-1),g_i(σ_i-1))を計算することによってz_i-1からz_iを計算することが可能である。この計算は、(w_i-1,σ_i-1)または(w_i,σ_i)の中間値を計算することなく、たとえばz_iおよび対応するz_i-1の値を表にすることによって、あるいはz_i-1からz_iを計算する関数

の別の不明化された計算によって、実行されることができる。z_iおよび対応するz_i-1、(X_i-1,Y_i-1)からの(X_i,Y_i)

z_iは、0≦i≦nについて、z_i＝(X_i,Y_i)というように二つの成分に分けられていてもよいことを注意しておく。すなわち、w_iおよびσ_iのそれぞれの情報は成分X_iおよびY_iの両方に分配されてもよい。個別的な例では、Z_i＝W_i×Σ_iであり、よってX_i∈W_iかつY_i∈Σ_iである。あるいはまた、X_iは要素数|W_i|の集合から選択され、Y_iは要素数|Σ_i|の集合から選択される。

計算は、(X₀,Y₀)＝f₀(w₀,s(w₀))を使ってw₀からz₀＝(X₀,Y₀)を計算することによって開始されてもよい。ここで、s(w₀)は入力値w₀から状態値σ₀を計算する関数を表わす。攻撃者からσ₀の値を隠すため、数s(w₀)およびf₀はたとえばルックアップテーブルにおいて組み合わされてもよい。あるいはまた、σ₀の値はw₀の代わりに別の入力データ要素rに依存してもよい。

ペアz_i＝(X_i,Y_i)が電子装置によって計算される仕方（上述）のため、これらの値z_i＝(X_i,Y_i)は入力値w₀および任意的には追加の入力要素rに依存することになる。同様に、σ_iの値（電子装置によって計算されないが）はw₀および／または任意的に追加的な入力要素rに依存する。

電子装置が上記の仕方でz_n＝(X_n,Y_n)を計算する場合、該電子装置はw_n＝f_n ^inverse(z_n)を計算することができる。しかしながら、適正な制約条件があれば、X_nおよびw₀から（および／またはσ₀がrに依存する場合にはrから）w_nを計算することも可能である。この制約条件は次のようなものである：w≠w'として任意の二つの値w∈W_nおよびw'∈W_nおよび任意のσ∈Σ_nについて、(X,Y)＝f_n(w,σ)および(X',Y')＝f_n(w',σ)であるとして、X≠X'が成り立つべきである。この性質が成り立てば、X_nおよびw₀のペア（またはX_nおよびrのペア）をw_nの対応する値にマッピングする変換、たとえばルックアップテーブルを構築することが可能である。そのような場合、Y_nを計算することは必要ない。これは、X_iおよび／またはY_iを変えることによって電子装置から情報を抽出することをより難しくしうる。

この記述では、f_iはΨ_iによって記されることもある。これらの記述はこの記述では同じ意味をもつ。よって、0≦i≦nについて、(X_i,Y_i)＝Ψ_i(w_i,σ_i)である。ここで、Ψ_iは、(X_i,Y_i)と(w_i,σ_i)の間の一対一関係を定義するあらかじめ定義された不明化関数である。Y_nの値を必要とすることなくX_nおよびσ_nに基づいてw_nを決定できるために、関数Ψ_nは、(X_n,Y_n)＝Ψ_n(w_n,σ_n)となるような仕方で(X_n,σ_n)の任意の値を(w_n,Y_n)の値にマッピングする一対一マッピングがあるという条件を満たす。そのような関数は試行錯誤によって設計されうる。

以下では、アルゴリズムのいくつかの構成要素についてより詳細な例が与えられる具体例を記述する。この例では、すべてのiについてW_i＝{0,1}^pおよびΣ_i＝{0,1}^qとなるような正の整数pおよびqがある。さらに、Z_i＝W_i×Σ_i＝{0,1}^p×{0,1}^qである。これはZ_i＝{0,1}^p+qと置くことと等価であることを注意しておく。

一層詳細な例では、先の例において選択された集合に加えて、関数f_iはf_i(w_i,σ_i)＝(X_i,Y_i)となるよう選択される。ここで、

ここで、

はビット毎のモジュロ演算を示す。A_iは{0,1}^pから{0,1}^pの上への可逆な線形マッピングである。D_iは{0,1}^qから{0,1}^qの上への可逆な線形マッピングである。B_iは{0,1}^qから{0,1}^pの上への線形マッピングである。C_iは{0,1}^pから{0,1}^qの上への線形マッピングである。関数の上付き添え字はインデックスを表わす。(u,v)を

にマッピングする線形マッピングE_iは可逆である。φ_i ¹およびΨ_i ^Xは{0,1}^p上での可逆なマッピングであり、これは非線形であってもよい。φ_i ²およびΨ_i ^Yは{0,1}^q上での可逆なマッピングであり、これは非線形であってもよい。p＝qの場合、B_iおよびC_iも可逆であることが好ましい。p≠qの場合には、線形マッピングB_iおよびC_iに対応する行列はフルの階数をもつことが好ましい。

原理的には、上記の式を使ってz_n＝(X_n,Y_n)からw_nの値を計算することが可能である。しかしながら、ある好ましい実施形態では、装置はY_nを計算せず、X_nを計算するだけである。その場合、装置はX_nおよびw₀（あるいは場合によってはr）からw_nを計算するよう構成される。

であることを注意しておく。Ψ_n ^Xは可逆なので、所与のX_nから

の値を計算することが可能である。しかしながら、σ_nはw₀（あるいは場合によってはr）から得られうるので、w₀（あるいは場合によってはr）からB_n(φ_n ²(σ_n))を計算することが可能である。この情報から、w_nが決定されることができる。好ましくは、w_nは、この段落で言及した中間結果のいずれも明かすことなく、X_nおよびw₀から直接得られる。たとえば、関係が表または複数の表に記憶されていてもよい。たとえばw_nの一つまたは複数のビットがw₀の全部のビットおよび／またはX_nの全部のビットには依存しない場合に、複数の表が使用されうる。

たとえば、

は

の計算量よりも実質的に小さい計算量をもつ。これは、比較的小さな計算量をもってX_nおよびrからw_nが計算できることを許容する。たとえば、

の計算量はnに依存しない。

たとえば、

は恒等関数である。これは、F(X_n,r)を設計するのを簡単にする。σ₀の値も、第一の変換手段におけるそのrへの依存性において暗黙的に使われるからである。

図１は、変換の安全なシーケンスを実行するためのシステムの実施形態を示している。図面において、いくつかの処理手段が長方形によって表わされており、時に長方形内に本稿で使われる対応する記号をもつ。さらに、データ要素はその変数記号および所与の長さのビット・シーケンスを象徴する描かれた配列によって示されている。しかしながら、各データ要素のビット・シーケンスの実際の長さは変えられてもよい。図面はデータ要素の実際の長さを示すものではない。システムは、適正にプログラムされたコンピュータ、スマートフォンまたはスマートカードのような単一の処理装置上で実装されてもよい。システムは、いくつかの異なる処理装置上に分散されてもよい。

システムは、入力データ値w₀を決定するためのデータ入力ユニット１１１を有する。たとえば、入力ユニット１１１は、装置の通信サブシステムを介して入力データ値を受領するよう構成される。あるいはまた、入力ユニット１１１は、内部メモリまたは外部メモリでありうるメモリから入力データ値を受領するよう構成されていてもよい。システムはさらに、入力データ値w₀に変換を適用して(X₀,Y₀)＝f₀(w₀,s(w₀))のようにw₀の不明化された表現(X₀,Y₀)を得る第一の変換手段１０１を有する。個別的な例では、w₀、σ₀＝s(w₀)、X₀およびY₀はみな同じビット数をもつデータ値である。

システムはさらに、第二の変換手段１０２を有する。第二の変換手段１０２は一つまたは複数のさらなる変換手段１１０を有する。さらなる変換手段１１０は、i＝1,…,n−1として、iの特定の値について

を実装する。第二の変換手段１０２は、一つまたは複数の反復工程において前記の不明化されたデータに前記さらなる変換手段１１０を適用するよう構成されている。より具体的には、前記さらなる変換手段１１０はi＝1,…,n−1について、

を計算する。ここで、nは実行されるべき変換の数である。前記さらなる変換手段１１０は各反復工程において異なる演算を実行してもよいことは理解されるであろう。すなわち、

は各i＝1,…,n−1について異なる演算であってもよい。しかしながら、

の一部または全部が同一の演算であることができるので、これは制限ではない。

システムはさらに、w_n＝G(X_n-1,Y_n-1,r)を計算することによってX_n-1,Y_n-1およびrに依存する変換Gを適用して、変換の前記シーケンスの帰結を得る第三の変換手段を有している。ここで、

である。ここで、GはG(X_n-1,Y_n-1,r)＝F(u_n(X_n-1,Y_n-1),r)として定義される。図１に示した例示的実施形態では、第三の変換手段は第四の変換手段１０３および第五の変換手段１０４の組み合わせとして実装される。

第四の変換手段１０３はX_n＝u_n(X_n-1,Y_n-1)となるよう変換u_nを使ってX_nを計算するよう構成されている。こうして、Y_nの計算は省略されうる。

第五の変換手段１０４は、w_n＝F(X_n,w₀)のように関数Fを使ってw_nを計算するために、第四の変換手段１０３からの値X_nと、値w₀とを受領するよう構成されている。たとえば、第五の変換手段１０４は値w₀をデータ入力ユニット１１１から受領する。

システムはさらに、第五の変換手段１０４からw_nの計算された値を受領して、w_nの該値をシステムの他のコンポーネント（図示せず）に転送するおよび／またはw_nの該値をメモリに記憶するよう構成された出力ユニット１１２を有する。たとえば、出力ユニット１１２は、データw_nの視覚化を表示装置上に表示するおよび／または該データをオーディオ装置上で再生するよう構成されていてもよい。

個別的な例では、前記第二の変換手段１０２、前記さらなる変換手段１１０の一つまたは複数および／または前記第四の変換手段はさらなるオペランド値（単数または複数）を外部源からまたはシステムの別の計算ユニットから受領してもよい。そのような場合、たとえば、関数

は

の形をもつ。ここで、(X',Y')は状態パラメータσ'をもつ別のデータ要素w'の不明化された表現を表わす。この不明化された表現は本稿で記載されるものと同様の形を有していてもよい。あるいはまた、前記さらなるオペランド値（単数または複数）は平文で提供されてもよい。すなわち、

は、w'は不明化されていないさらなるデータ要素であるとして、

の形を有していてもよい。

図１に示されるシステムの個別的な変形では、第一の変換手段１０１はさらなるパラメータr（図示せず）を受領するよう構成されていてもよく、w₀の不明化された表現(X₀,Y₀)における冗長性は上記で説明したように入力変数rに依存してもよい。そのような場合、同じさらなるパラメータrが第三の変換ユニットおよび／または第五の変換ユニット１０４にも提供され、それによりたとえば第五の変換ユニット１０４はX_nおよびrの両方に依存してw_nの値を計算することができる。

前記第一の変換手段１０１、前記第二の変換手段１０２、前記第三の変換手段、前記第四の変換手段１０３および／または前記第五の変換手段１０４はルックアップテーブルによって実装されてもよいことを注意しておく。たとえば、前記第一の変換手段１０１、前記第二の変換手段１０２の前記さらなる変換手段１１０、前記第四の変換手段１０３および／または前記第五の変換手段１０４がそれぞれ単一のルックアップテーブルによって実装されてもよい。あるいはまた、前記変換のうちの一つを一緒に実装するよう前記変換手段の一つによって協働して適用されるよう設計された複数のルックアップテーブルを使うことが可能である。任意的には、これらのルックアップテーブルは、たとえばChow et al.から知られる技法を使ってルックアップテーブルの入力および出力をエンコードすることによってさらに不明化されてもよい。ルックアップテーブルは、隠されたままであるべきである中間結果を明かすことなくいかにして変換が実行できるかの例である。該中間結果はたとえば、i＝0,…,nについてのσ_iの値であり、特に前記第一および第五の変換手段において（あるいはより一般には前記第一および第三の変換手段）役割を演じるσ₀である。

図２は、データ値の暗号化された表現を使って、i＝1,…,nであるとして、該データ値にn個の変換T_iの安全なシーケンスを実行する方法を示している。本方法は、入力データ値w₀に変換を適用してw₀の不明化された表現(X₀,Y₀)を得る段階２０１を含む。前記不明化された表現(X₀,Y₀)は入力変数rに依存する冗長性を含む。

次に、段階２０６において、i＝1と置くことによりインデックス値iが初期化される。

次に、本方法は、

のように(X_i-1,Y_i-1)から(X_i,Y_i)を計算するよう変換

を適用する段階２０２を進める。該変換を適用後、iが1だけ増加させられる。

次に、本方法は、i＝nかどうかを検査することによって反復処理が完了したかどうかを検証する段階２０３を進める。i≠nであれば、本方法はiの更新された値を用いて段階２０２を繰り返す。

段階２０３においてi＝nであれば、本方法はX_n＝u_n(X_n-1,Y_n-1)のように変換u_nを適用する段階２０４を進める。次に、本方法は、w_n＝F(X_n,r)のように変換Fを適用して変換の前記シーケンスの帰結を得る段階２０５を進める。ここで、

である。段階２０４および段階２０５は単一の段階に組み合わされてもよいことを注意しておく。

上記の方法において、記号はいくつかの例において本稿で上記に説明したとおりである。

たとえば、i＝1,…,nについて、

であり、

は演算子であり、
A_i、B_i、C_iおよびD_iは演算子

に関して線形な演算子であり、演算子A_iおよびD_iは可逆であり、(u,v)を

にマッピングする演算子E_iは可逆であり、
Ψ_i ^X、Ψ_i ^Y、φ_i ¹、φ_i ²は可逆なマッピングであり、
σ₀はrに依存し、
あらかじめ決められた関数T_iおよびg_iについてi＝1,…,nについてw_i＝T_i(w_i-1)およびσ_i＝g_i(σ_i-1)である。ここで、w₁,…,w_n-1およびσ₀,…,σ_nはシステムによって明示的に計算されない。

図３は、データ値の暗号化された表現を使って、i＝1,…,nであるとして、該データ値にn個の変換T_iの安全なシーケンスを実行するシステムを提供する方法を示している。

本方法は、第一の変換手段１０１を提供し、入力データ値w₀に変換を適用してw₀の不明化された表現(X₀,Y₀)を得るよう該第一の変換手段２０１を構成する段階３０１で始まる。前記不明化された表現(X₀,Y₀)は入力変数rに依存する冗長性を含む。

本方法は、第二の変換手段１０２を提供することを段階３０２において進める。段階３１１では、iはi＝1と設定することによってインデックス値iが初期化される。次に、段階３１０において、前記第二の変換手段１０２にさらなる変換手段１１０が含められる。このさらなる変換手段１１０は、

のように(X_i-1,Y_i-1)から(X_i,Y_i)を計算するよう変換

を適用するよう構成される。その後、インデックス値iがインクリメントされる。段階３１２では、i＝nであるかどうかが検査される。段階３１２においてi≠nであれば、本方法はiの更新された値を用いて段階３１０を繰り返す。

段階３１２においてi＝nであれば、本方法は、第四の変換手段を提供し、X_n＝u_n(X_n-1,Y_n-1)のような変換u_nを適用するよう該第四の変換手段を構成する段階３０３を進める。

次に、段階３０４において、本方法は、第五の変換手段を提供し、w_n＝F(X_n,r)のように変換Fを適用して前記変換のシーケンスの帰結を得るよう該第五の変換手段を構成することを進める。ここで、

である。

段階３０３および３０４は、上記で説明したような変換Gを適用する第三の変換手段が提供されるように組み合わされてもよい。

これらの方法段階は、前記第一の変換手段、前記第二の変換手段、前記第四の変換手段および前記第五の変換手段がw₁,…,w_n-1およびσ₀,…,σ_nの値を不明化するよう構成されるように実行される。特に、前記第一の変換手段１０１および前記第五の変換手段１０４は、たとえばX_nおよびrに基づいて（あるいはX_nおよびw₀に基づいて）最終結果w_nを直接生成する計算中のショートカットを作り出すことによって、rに（あるいは上記で説明したようにw₀に）依存するσ₀の値を不明化するよう構成される。

そのような不明化の個別的な例が、最も脆弱な諸変換について諸ルックアップテーブルを提供することによって与えられる。たとえば、前記第二の変換手段を構成する段階３０２は、前記関数

のうちの少なくとも一つの関数の少なくとも一つのルックアップテーブルを計算することを含んでいてもよい。ここで、ルックアップテーブルは(X_i-1,Y_i-1)の値を(X_i,Y_i)の値にマッピングする。このルックアップテーブルは、(X_i-1,Y_i-1)の適切な値について、

を計算することによって計算されてもよい。ここで、f_iは

によって定義される関数を表わし、f_i ^inverseはf_iの逆関数である。これら上記の式において、T_iはf_i-1 ^inverseの成分w_iのみを使い、g_iはf_i ^inverseの成分σ_iのみを使う。

前記第四の変換は、

として、上記と同様のルックアップテーブルを含んでいてもよい。ここで、T_iはf_n-1 ^inverseの成分w_n-1のみを使い、Y_nの出力値は省略される。

もう一つの例として、r＝w₀である個別的な例において、前記第一の変換を構成する段階３０１は、w₀の値を(X₀,Y₀)の対応する値にマッピングする関数のルックアップテーブルを提供することを含んでいてもよい。この関係は、上記のように、(X₀,Y₀)＝Ψ₀(w₀,s(w₀))によって与えられてもよい。ここで、s(w₀)は、w₀の値をσ₀にマッピングする秘密のマッピングである。表にされたw₀の値および(X₀,Y₀)の対応する値を提供することによって、システムはσ₀の値を計算することなく変換を適用しうる。

上記のより個別的な例によれば、第一の変換手段のルックアップテーブルによって実装される関係は次式によって与えられてもよい。

r＝w₀であるもう一つの例では、前記第五の変換を構成する段階３０４は、関数Fのルックアップテーブルを提供することを含んでいてもよい。この表は(X_n,w₀)のペアをw_n＝F(X_n,w₀)の対応する値にマッピングしてもよい。

rがw₀とは別個の異なる入力値である場合について同様の表が用意されてもよい。

データ値の暗号化された表現を使って該データ値の諸変換の安全なシーケンスを実行するシステムが提供されてもよい。システムは、入力データ値に変換を適用してその不明化された表現を得る第一の変換手段を有し、前記不明化された表現はある入力変数に依存する冗長性を含む。システムは、変換を適用して変換された不明化された表現を計算するための第二の変換手段のシーケンスを有する。システムはさらに、最後の不明化された変換されたデータが得られるよう変換を適用する第四の変換手段を有する。システムは、最後の不明化された変換されたデータおよび前記入力データに依存する変換を適用する第五の変換手段を有する。

本発明の一部または全部の側面は、ソフトウェア、特にコンピュータ・プログラム・プロダクトの形で実装されるのに好適でありうる。そのようなコンピュータ・プログラム・プロダクトはソフトウェアが記憶されている記憶媒体を含みうる。そのような記憶媒体は、たとえば光ディスク、磁気ディスクまたはフラッシュ・メモリを含んでいてもよい。また、コンピュータ・プログラムは、光ファイバー・ケーブルまたは空気のような伝送媒体によって搬送される光信号または電磁信号のような信号によって表現されてもよい。コンピュータ・プログラムは部分的にまたは完全に、コンピュータ・システムによって実行されるのに好適な、ソース・コード、オブジェクト・コードまたは擬似コードの形をもちうる。たとえば、コードは、一つまたは複数のプロセッサによって直接実行可能であってもよい。あるいはまた、コードは一つまたは複数のプロセッサによって実行されるインタープリタによってインタープリットされてもよい。本稿に記載されるシステムの諸部分がソフトウェアの形で実装されてもよいことは理解されるであろう。さらに、本稿に記載される方法段階は、部分的または完全にソフトウェアで実装されてもよい。ソフトウェアは、サブルーチンによって編成されてもよい。サブルーチンは、スタンドアローンの実行可能なプログラムをなすよう組み合わされてもよい。あるいはまた、サブルーチンは動的にリンク可能なライブラリとして編成されてもよい。該動的にリンク可能なライブラリからのサブルーチンを使うメイン・プログラム実行可能ファイルが提供されてもよい。本稿に記載される処理段階および／またはシステム・コンポーネントのそれぞれは、それが動的にリンクされるライブラリにあってもあるいは実行可能ファイルにあっても、実行可能コードによって表現されてもよい。機能の一部または全部がオペレーティング・システムの一部として実装されてもよく、何らかの機能が動的にリンクされるライブラリにおいて実装されてもよく、何らかの機能がアプリケーション・プログラム・ファイルとして実装されてもよい。

本稿に記載される例および実施形態は、本発明を限定するのではなく例解するはたらきをする。当業者は、請求項の範囲から外れることなく、代替的な実施形態を設計できるであろう。請求項において括弧に入れた参照符号があったとしても請求項の範囲を限定するものと解釈してはならない。請求項または明細書において別個のエンティティとして記述される項目が、記載される諸項目の特徴を組み合わせる単一のハードウェアまたはソフトウェア項目として実装されてもよい。

Claims (14)

1. データ値の暗号化された表現を使って、i＝1,…,nであるとして、該データ値w₀のn個の変換T_iの安全なシーケンスを実行するシステムであって：
   入力データ値w₀に変換を適用してw₀の不明化された表現(X₀,Y₀)を得る第一の変換手段であって、前記不明化された表現(X₀,Y₀)は入力変数rに依存する冗長性をもつ、手段と；
   i＝1,…,n−1のそれぞれについて、
   

   

   のように(X_i-1,Y_i-1)から(X_i,Y_i)を計算するよう変換
   

   

   を適用する第二の変換手段と；
   w_n＝G(X_i-1,Y_i-1,r)を計算することによってX_n-1,Y_n-1およびrに依存する変換Gを適用して、変換の前記シーケンスの帰結を得る第三の変換手段とを有しており、
   

   

   であり、
   i＝0,1,…,nについて(X_i,Y_i)＝Ψ_i(w_i,σ_i)であり、Ψ_iは、(X_i,Y_i)と(w_i,σ_i)の間の一対一関係を定義するあらかじめ定義された不明化関数であり、Ψ_iは(X_i,Y_i)＝Ψ_i(w_i,σ_i)となるよう(X_i,σ_i)の任意の値を(w_i,Y_i)の値にマッピングする一対一マッピングがあるという条件を満たし；
   σ₀はrに依存し；
   あらかじめ決められた関数T_iおよびg_iについてi＝1,…,nについてw_i＝T_i(w_i-1)およびσ_i＝g_i(σ_i-1)であり、
   前記第一の変換手段、前記第二の変換手段および前記第三の変換手段はw₁,…,w_n-1およびσ₀,…,σ_nの値を不明化するよう構成されている、
   システム。
2. 前記第三の変換手段は、
   X_n＝u_n(X_n-1,Y_n-1)のような変換u_nを適用するための第四の変換手段と；
   w_n＝F(X_n,r)を計算することによってX_nおよびrに依存する変換Fを適用してw_nの値を得るための第五の変換手段とを有する、
   請求項１記載のシステム。
3. i＝0,1,…,nについて(X_i,Y_i)＝Ψ_i(w_i,σ_i)
   

   

   として定義され、
   

   

   は演算子であり、
   A_i、B_i、C_iおよびD_iは演算子
   

   

   に関して線形な演算子であり、演算子A_nおよびD_nは可逆であり、(u,v)を
   

   

   にマッピングする演算子E_iは可逆であり、
   Ψ_i ^X、Ψ_i ^Y、φ_i ¹、φ_i ²は可逆なマッピングである、
   請求項１記載のシステム。
4. 演算子
   

   

   はビット毎のXOR演算である、請求項３記載のシステム。
5. rはw₀に等しい、請求項１記載のシステム。
6. 

   は恒等関数である、請求項１記載のシステム。
7. 前記第一、第二および第三の変換手段のうちの少なくとも一つは、少なくとも一つの事前計算されたルックアップテーブルによって実装される、請求項１記載のシステム。
8. データ値の暗号化された表現を使って、i＝1,…,nであるとして、該データ値にn個の変換T_iの安全なシーケンスを実行するシステムを提供する方法であって：
   第一の変換手段を提供し、入力データ値w₀に変換を適用してw₀の不明化された表現(X₀,Y₀)を得るよう該第一の変換手段を構成する段階であって、前記不明化された表現(X₀,Y₀)は入力変数rに依存する冗長性を含む、段階と；
   第二の変換手段を提供し、i＝1,…,n−1のそれぞれについて、
   

   

   のように(X_i-1,Y_i-1)から(X_i,Y_i)を計算するよう変換
   

   

   を適用するよう該第二の変換手段を構成する段階と；
   第三の変換手段を提供し、w_n＝G(X_i-1,Y_i-1,r)を計算することによってX_n-1,Y_n-1およびrに依存する変換Gを適用して、変換の前記シーケンスの帰結を得るよう該第三の変換手段を構成する段階とを含み、
   

   

   であり、
   i＝0,1,…,nについて(X_i,Y_i)＝Ψ_i(w_i,σ_i)であり、Ψ_iは、(X_i,Y_i)と(w_i,σ_i)の間の一対一関係を定義するあらかじめ定義された不明化関数であり、Ψ_iは(X_i,Y_i)＝Ψ_i(w_i,σ_i)となるような仕方で(X_i,σ_i)の任意の値を(w_i,Y_i)の値にマッピングする一対一マッピングがあるという条件を満たし；
   σ₀はrに依存し；
   あらかじめ決められた関数T_iおよびg_iについてi＝1,…,nについてw_i＝T_i(w_i-1)およびσ_i＝g_i(σ_i-1)であり、
   前記第一の変換手段、前記第二の変換手段および前記第三の変換手段はw₁,…,w_n-1およびσ₀,…,σ_nの値を不明化するよう構成される、
   方法。
9. 前記第一の変換手段を構成する段階は、w₀の値の(X₀,Y₀)の対応する値へのマッピングを表わす少なくとも一つのルックアップテーブルを計算することを含む、請求項８記載の方法。
10. 前記第二の変換手段を構成する段階は、前記関数
    

    

    のうちの少なくとも一つの関数の少なくとも一つのルックアップテーブルを計算することを含み、前記ルックアップテーブルは
    

    

    を計算することによって(X_i-1,Y_i-1)の値を(X_i,Y_i)の値にマッピングし、Ψ_i-1 ^inverseはΨ_i-1の逆関数である、
    請求項８記載の方法。
11. (X_I,Y_i)＝Ψ_i(w_I,σ_I)は
    

    

    として定義され、
    

    

    は演算子であり、
    A_i、B_i、C_iおよびD_iは演算子
    

    

    に関して線形な演算子であり、演算子A_nおよびD_nは可逆であり、(u,v)を
    

    

    にマッピングする演算子E_iは可逆であり、
    Ψ_i ^X、Ψ_i ^Y、φ_i ¹、φ_i ²は可逆なマッピングであり、
    前記第二の変換手段を構成する段階は、関数
    

    

    のうちの少なくとも一つの関数の少なくとも一つのルックアップテーブルを計算することを含み、前記ルックアップテーブルは
    

    

    を計算することによって(X_i-1,Y_i-1)の値を(X_i,Y_i)の値にマッピングし、ここで、f_iは
    

    

    によって定義される関数を表わし、f_i-1 ^inverseはf_i-1の逆関数である、
    請求項８記載の方法。
12. rはw₀に等しく、前記第三の変換手段を構成する段階は、関数Gを表わす少なくとも一つのルックアップテーブルを計算することを含み、前記少なくとも一つのルックアップテーブルは(X_i-1,Y_i-1,w₀)のタプルをw_n＝G(X_i-1,Y_i-1,w₀)の対応する値にマッピングする、請求項８記載の方法。
13. データ値の暗号化された表現を使って、i＝1,…,nであるとして、該データ値にn個の変換T_iの安全なシーケンスを実行する方法であって：
    入力データ値w₀に変換を適用してw₀の不明化された表現(X₀,Y₀)を得る段階であって、前記不明化された表現は入力変数rに依存する冗長性を含む、段階と；
    i＝1,…,n−1のそれぞれについて、
    

    

    のように(X_i-1,Y_i-1)から(X_i,Y_i)を計算するよう変換
    

    

    を適用する段階と；
    w_n＝G(X_i-1,Y_i-1,r)を計算することによってX_n-1,Y_n-1およびrに依存する変換Gを適用して、変換の前記シーケンスの帰結を得る段階とを含んでおり、
    

    

    であり、
    i＝0,1,…,nについて(X_i,Y_i)＝Ψ_i(w_i,σ_i)であり、Ψ_iは、(X_i,Y_i)と(w_i,σ_i)の間の一対一関係を定義するあらかじめ定義された不明化関数であり、Ψ_iは(X_i,Y_i)＝Ψ_i(w_i,σ_i)となるような仕方で(X_i,σ_i)の任意の値を(w_i,Y_i)の値にマッピングする一対一マッピングがあるという条件を満たし；
    σ₀はrに依存し；
    あらかじめ決められた関数T_iおよびg_iについてi＝1,…,nについてw_i＝T_i(w_i-1)およびσ_i＝g_i(σ_i-1)であり、w₁,…,w_n-1およびσ₀,…,σ_nは変換を適用する上記の諸段階において不明化される、
    方法。
14. プロセッサ・システムに請求項７ないし１３のうちいずれか一項記載の方法を実行させるための命令を有するコンピュータ・プログラム。

Images