JP2762470B2 - 暗号化処理方法およびその方法を用いたicカード装置 - Google Patents
暗号化処理方法およびその方法を用いたicカード装置Info
- Publication number
- JP2762470B2 JP2762470B2 JP63196542A JP19654288A JP2762470B2 JP 2762470 B2 JP2762470 B2 JP 2762470B2 JP 63196542 A JP63196542 A JP 63196542A JP 19654288 A JP19654288 A JP 19654288A JP 2762470 B2 JP2762470 B2 JP 2762470B2
- Authority
- JP
- Japan
- Prior art keywords
- exclusive
- output
- register
- operation means
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【発明の詳細な説明】 産業上の利用分野 本発明はデータの秘匿と認証を必要とする機器間の暗
号通信に関するものである。
号通信に関するものである。
従来の技術 従来、この種の暗号化処理方法は、第6図に示すよう
になっていた。第6図において、41はデータの送信を行
う第1の機器、42はデータの受信を行う第2の機器、43
は平文ブロック格納手段、44は送信データが第三者によ
り不正に改ざんされていないかを検査するためのチェッ
クコード(以下、認証子と記す)を生成するための第1
の認証子生成手段、45は暗号化手段、46は暗号化手段45
の逆演算を施す復号化手段、47は第1の認証子生成手段
44と同じ演算を施す第2の認証子生成手段、48は復元ブ
ロック格納手段、49は比較手段である。ここでブロック
とは、一回に通信を行うデータの一塊を指すものとす
る。
になっていた。第6図において、41はデータの送信を行
う第1の機器、42はデータの受信を行う第2の機器、43
は平文ブロック格納手段、44は送信データが第三者によ
り不正に改ざんされていないかを検査するためのチェッ
クコード(以下、認証子と記す)を生成するための第1
の認証子生成手段、45は暗号化手段、46は暗号化手段45
の逆演算を施す復号化手段、47は第1の認証子生成手段
44と同じ演算を施す第2の認証子生成手段、48は復元ブ
ロック格納手段、49は比較手段である。ここでブロック
とは、一回に通信を行うデータの一塊を指すものとす
る。
以上のように構成された暗号化処理方法について、以
下その動作を説明する。まず、第1の機器41は、第1の
認証子生成手段44を用いて、平文ブロック格納手段43に
格納されている平文ブロックから第1の認証子を生成す
る。この第1の認証子は、送信データが第三者によって
不正に改ざんされていないか(一般にメッセージ認証と
呼ぶ)を第2の機器42(受信側)が検査するためのもの
であり、第1の認証子生成手段44は、平文ブロックのデ
ータの全ビットを入力とする縮約型(出力のビット長が
入力のビット長より短い)の演算を行う。生成された第
1の認証子は、第7図に示すように、平文ブロックに連
結され、暗号化手段45に出力される。ここで、51は平文
ブロックであり、nビット(暗号化処理を施す単位)ご
とに分割されたデータ列M1,M2,M3から成る。52はmビッ
トの長さを持つ第1の認証子(A)である。暗号化手段
45は、平文ブロック51と第1の認証子52を暗号化し、第
2の機器42に送信する。一方、第2の機器42は、復号化
手段46を用いて送られてきたデータを復号化し、得られ
たデータを第8図に示すように復元ブロック(M1′,M
2′,M3′)61とmビットの長さを持つ比較データ
(A′)62に分割する。復号化手段46は、復元ブロック
(M1′,M2′,M3′)61を復元ブロック格納手段48に格納
し、比較データ(A′)62を比較手段49に出力する。比
較手段49は、これを第1の入力とする。次に第2の機器
42は、第2の認証子生成手段47を用いて、復元ブロック
格納手段48に格納されている復元ブロックから第2の認
証子を生成し、比較手段49に出力する。比較手段49は、
これを第2の入力として前記第1の入力と比較し、一致
するか否かによって、受信データが正当なものか、もし
くは第3者により改ざんされたものかを判断する。ま
た、第1の機器41と第2の機器42の間の通信線上のデー
タは暗号化されているため、第三者がこれを盗聴したも
のとしても、解読は困難である。このように、メッセー
ジの秘匿とメッセージ認証が可能となる。
下その動作を説明する。まず、第1の機器41は、第1の
認証子生成手段44を用いて、平文ブロック格納手段43に
格納されている平文ブロックから第1の認証子を生成す
る。この第1の認証子は、送信データが第三者によって
不正に改ざんされていないか(一般にメッセージ認証と
呼ぶ)を第2の機器42(受信側)が検査するためのもの
であり、第1の認証子生成手段44は、平文ブロックのデ
ータの全ビットを入力とする縮約型(出力のビット長が
入力のビット長より短い)の演算を行う。生成された第
1の認証子は、第7図に示すように、平文ブロックに連
結され、暗号化手段45に出力される。ここで、51は平文
ブロックであり、nビット(暗号化処理を施す単位)ご
とに分割されたデータ列M1,M2,M3から成る。52はmビッ
トの長さを持つ第1の認証子(A)である。暗号化手段
45は、平文ブロック51と第1の認証子52を暗号化し、第
2の機器42に送信する。一方、第2の機器42は、復号化
手段46を用いて送られてきたデータを復号化し、得られ
たデータを第8図に示すように復元ブロック(M1′,M
2′,M3′)61とmビットの長さを持つ比較データ
(A′)62に分割する。復号化手段46は、復元ブロック
(M1′,M2′,M3′)61を復元ブロック格納手段48に格納
し、比較データ(A′)62を比較手段49に出力する。比
較手段49は、これを第1の入力とする。次に第2の機器
42は、第2の認証子生成手段47を用いて、復元ブロック
格納手段48に格納されている復元ブロックから第2の認
証子を生成し、比較手段49に出力する。比較手段49は、
これを第2の入力として前記第1の入力と比較し、一致
するか否かによって、受信データが正当なものか、もし
くは第3者により改ざんされたものかを判断する。ま
た、第1の機器41と第2の機器42の間の通信線上のデー
タは暗号化されているため、第三者がこれを盗聴したも
のとしても、解読は困難である。このように、メッセー
ジの秘匿とメッセージ認証が可能となる。
発明が解決しようとする課題 このような従来の構成では、第1,第2の機器41,42
は、暗号化手段45あるいは復号化手段46に加え、認証子
生成手段44あるいは47を備える必要があるため、部品点
数(ソフトウェアで実現する場合はプログラムサイズ)
および処理速度の点で問題点があった。特に、これらの
機器41,42が、例えばICカードのような内部資源が限ら
れた機器である場合、部品点数(またはプログラムサイ
ズ)は大きな障害となる。
は、暗号化手段45あるいは復号化手段46に加え、認証子
生成手段44あるいは47を備える必要があるため、部品点
数(ソフトウェアで実現する場合はプログラムサイズ)
および処理速度の点で問題点があった。特に、これらの
機器41,42が、例えばICカードのような内部資源が限ら
れた機器である場合、部品点数(またはプログラムサイ
ズ)は大きな障害となる。
このような問題点を解決する一つの対策として、認証
子生成手段44,47に、一般に知られた伝送誤り検出符号
(例えば、水平パリティ)のような簡易な演算を用いる
方法が考えられる。認証子が一般に知られた演算で生成
されたものであっても、通信線上には暗号化された形で
出力されるため、第三者による簡単な攻撃に対しては安
全である。しかし、このような方法には、以下に示すよ
うな欠点がある。平分ブロック(M1,M2,M3)51に対する
暗文をC1,C2,C3とし、認証子をAとする。ここで、認証
子Aは水平パリティによって生成されたものとする。悪
意を持つ第三者が通信線上の暗文のC2とC3を入れ替え
て、C1,C3,C2と改ざんしたとすると、受信側が復元した
結果はM1,M3,M2となる。ところが、この改ざんされた受
信ブロックに対する水平パリティもAとなるため、この
ような第三者による改ざんを検出することができない。
この改ざんは、認証子Aを水平パリティによって生成し
たことにより有効となる攻撃手段である。暗号化手段45
にCBC(Cipher Block Chaining)モードを用いて暗号化
処理を複雑にしても、上述したような改ざんを検出する
ことはできない。このように、認証子生成手段44,47
に、一般に知られている簡易な演算を用いた場合、その
演算に係る特定の攻撃が可能となる。したがって、認証
子生成手段44,47は秘密であり、かつ入力データを撹乱
する度合いが高い演算を用いなければならない。したが
って、メッセージの秘匿と認証を行う場合、必然的に部
品点数が増え、処理速度が遅くなる傾向にあった。
子生成手段44,47に、一般に知られた伝送誤り検出符号
(例えば、水平パリティ)のような簡易な演算を用いる
方法が考えられる。認証子が一般に知られた演算で生成
されたものであっても、通信線上には暗号化された形で
出力されるため、第三者による簡単な攻撃に対しては安
全である。しかし、このような方法には、以下に示すよ
うな欠点がある。平分ブロック(M1,M2,M3)51に対する
暗文をC1,C2,C3とし、認証子をAとする。ここで、認証
子Aは水平パリティによって生成されたものとする。悪
意を持つ第三者が通信線上の暗文のC2とC3を入れ替え
て、C1,C3,C2と改ざんしたとすると、受信側が復元した
結果はM1,M3,M2となる。ところが、この改ざんされた受
信ブロックに対する水平パリティもAとなるため、この
ような第三者による改ざんを検出することができない。
この改ざんは、認証子Aを水平パリティによって生成し
たことにより有効となる攻撃手段である。暗号化手段45
にCBC(Cipher Block Chaining)モードを用いて暗号化
処理を複雑にしても、上述したような改ざんを検出する
ことはできない。このように、認証子生成手段44,47
に、一般に知られている簡易な演算を用いた場合、その
演算に係る特定の攻撃が可能となる。したがって、認証
子生成手段44,47は秘密であり、かつ入力データを撹乱
する度合いが高い演算を用いなければならない。したが
って、メッセージの秘匿と認証を行う場合、必然的に部
品点数が増え、処理速度が遅くなる傾向にあった。
本発明はこのような課題に鑑み、高度なセキュリティ
を保ちながら、少ない部品点数(またはプログラムサイ
ズ)で、しかも高速にメッセージの秘匿ならびに認証を
行うことができる暗号化処理方法を提供することを目的
とするものである。
を保ちながら、少ない部品点数(またはプログラムサイ
ズ)で、しかも高速にメッセージの秘匿ならびに認証を
行うことができる暗号化処理方法を提供することを目的
とするものである。
課題を解決するための手段 この課題を解決するために本発明は、少なくともデー
タの送信を行う第1の機器と、この第1の機器からデー
タを受信する第2の機器とを備え、前記第1の機器は、
nビットの平文を入力してnビットの暗文を出力する暗
号化手段と、第1のレジスタと、第2のレジスタと、第
1の排他的論理和演算手段と第2の排他的論理和演算手
段とを有し、前記第2の機器は、前記暗号化手段と対を
なす復号化手段と、第3のレジスタと、第4のレジスタ
と、第3の排他的論理和演算手段と、第4の排他的論理
和演算手段と、比較手段とを有し、前記第1の排他的論
理和演算手段は、平文ブロックをnビットごとに分割し
た複数個のnビットデータのうちの一つと前記第1のレ
ジスタの内容に排他的論理和演算を施して前記暗号化手
段に出力し、前記暗号化手段は、前記第1の排他的論理
和演算手段からの出力に秘密の演算を施して前記第2の
排他的論理和演算手段に出力し、前記第2の排他的論理
和演算手段は、前記暗号化手段からの前記出力と前記第
2のレジスタの内容に排他的論理和演算を施して前記第
3の排他的論理和演算手段に出力し、前記第3の排他的
論理和演算手段は、前記第2の排他的論理和演算手段か
らの前記出力と前記第3のレジスタの内容に排他的論理
和演算を施して前記復号化手段に出力し、前記復号化手
段は、前記第3の排他的論理和演算手段からの出力に秘
密の演算を施して前記第4の排他的論理和演算手段に出
力し、前記第4の排他的論理和演算手段は、前記復号化
手段からの出力と前記第4のレジスタの内容に排他的論
理和演算を施し、かつ、前記第1,第2,第3,第4のレジス
タには、それぞれ前記暗号化手段の前記出力、前記nビ
ットデータ、前記第4の排他的論理和演算手段の前記出
力、前記第3の排他的論理和演算手段の前記出力、また
はそれぞれ前記暗号化手段の前記出力、前記第1の排他
的論理和演算手段の前記出力、前記復号化手段の前記出
力、前記第3の排他的論理和演算手段の前記出力、また
は、それぞれ前記第2の排他的論理和演算手段の前記出
力、前記第1の排他的論理和演算手段の前記出力、前記
復号化手段の前記出力、前記第3の排他的論理和演算手
段への前記入力、または、それぞれ前記第2の排他的論
理和演算手段の前記出力、前記nビットデータ、前記第
4の排他的論理和演算手段の前記出力、前記第3の排他
的論理和演算手段への前記入力が格納され、さらに、前
記比較手段が、前記第4の排他的論理和演算手段の出力
と、前記第1の機器および前記第2の機器が共通に保持
している基準値とを比較する構成としたものである。
タの送信を行う第1の機器と、この第1の機器からデー
タを受信する第2の機器とを備え、前記第1の機器は、
nビットの平文を入力してnビットの暗文を出力する暗
号化手段と、第1のレジスタと、第2のレジスタと、第
1の排他的論理和演算手段と第2の排他的論理和演算手
段とを有し、前記第2の機器は、前記暗号化手段と対を
なす復号化手段と、第3のレジスタと、第4のレジスタ
と、第3の排他的論理和演算手段と、第4の排他的論理
和演算手段と、比較手段とを有し、前記第1の排他的論
理和演算手段は、平文ブロックをnビットごとに分割し
た複数個のnビットデータのうちの一つと前記第1のレ
ジスタの内容に排他的論理和演算を施して前記暗号化手
段に出力し、前記暗号化手段は、前記第1の排他的論理
和演算手段からの出力に秘密の演算を施して前記第2の
排他的論理和演算手段に出力し、前記第2の排他的論理
和演算手段は、前記暗号化手段からの前記出力と前記第
2のレジスタの内容に排他的論理和演算を施して前記第
3の排他的論理和演算手段に出力し、前記第3の排他的
論理和演算手段は、前記第2の排他的論理和演算手段か
らの前記出力と前記第3のレジスタの内容に排他的論理
和演算を施して前記復号化手段に出力し、前記復号化手
段は、前記第3の排他的論理和演算手段からの出力に秘
密の演算を施して前記第4の排他的論理和演算手段に出
力し、前記第4の排他的論理和演算手段は、前記復号化
手段からの出力と前記第4のレジスタの内容に排他的論
理和演算を施し、かつ、前記第1,第2,第3,第4のレジス
タには、それぞれ前記暗号化手段の前記出力、前記nビ
ットデータ、前記第4の排他的論理和演算手段の前記出
力、前記第3の排他的論理和演算手段の前記出力、また
はそれぞれ前記暗号化手段の前記出力、前記第1の排他
的論理和演算手段の前記出力、前記復号化手段の前記出
力、前記第3の排他的論理和演算手段の前記出力、また
は、それぞれ前記第2の排他的論理和演算手段の前記出
力、前記第1の排他的論理和演算手段の前記出力、前記
復号化手段の前記出力、前記第3の排他的論理和演算手
段への前記入力、または、それぞれ前記第2の排他的論
理和演算手段の前記出力、前記nビットデータ、前記第
4の排他的論理和演算手段の前記出力、前記第3の排他
的論理和演算手段への前記入力が格納され、さらに、前
記比較手段が、前記第4の排他的論理和演算手段の出力
と、前記第1の機器および前記第2の機器が共通に保持
している基準値とを比較する構成としたものである。
作 用 この構成により、メッセージの秘匿と認証に同じメカ
ニズムを用いることができ、部品点数(またはプログラ
ムサイズ)を削減できる。さらに、送信側においてはメ
ッセージの暗号化と認証子の生成を、また受信側におい
てはメッエージの復号化と認証子の検査を一度に行うこ
とによって、高速化を実現できることとなる。
ニズムを用いることができ、部品点数(またはプログラ
ムサイズ)を削減できる。さらに、送信側においてはメ
ッセージの暗号化と認証子の生成を、また受信側におい
てはメッエージの復号化と認証子の検査を一度に行うこ
とによって、高速化を実現できることとなる。
実施例 第1図は本発明の一実施例による暗号化処理方法のブ
ロック図である。第1図において、1はデータの送信を
行う第1の機器、2はデータの受信を行う第2の機器で
あり、第1の機器1はICカード装置においては端末、第
2の機器2はICカードとなるが、以後も第1,第2の機器
で説明を続ける。3は平文ブロック格納手段、4はnビ
ットデータを入力してnビットデータを出力する秘密の
暗号化手段、5は第1のレジスタ、6は第2のレジス
タ、7は第1の排他的論理和演算手段、8は第2の排他
的論理和演算手段、9は第1の暗号化手段4に対応する
秘密の復号化手段、10は第3のレジスタ、11は第4のレ
ジスタ、12は第3の排他的論理和演算手段、13は第4の
排他的論理和演算手段、14は復元ブロック格納手段、15
は比較手段、16,17は第1の機器1と第2の機器2が共
通に有するnビットの固定パターン(P)、18は固定パ
ターン(P)17と比較される比較データである。また、
下表1は、本実施例において、通信が正常に行われた場
合の各要所のデータ値を示す。尚、表1中の+記号は、
排他的論理和演算を示す。
ロック図である。第1図において、1はデータの送信を
行う第1の機器、2はデータの受信を行う第2の機器で
あり、第1の機器1はICカード装置においては端末、第
2の機器2はICカードとなるが、以後も第1,第2の機器
で説明を続ける。3は平文ブロック格納手段、4はnビ
ットデータを入力してnビットデータを出力する秘密の
暗号化手段、5は第1のレジスタ、6は第2のレジス
タ、7は第1の排他的論理和演算手段、8は第2の排他
的論理和演算手段、9は第1の暗号化手段4に対応する
秘密の復号化手段、10は第3のレジスタ、11は第4のレ
ジスタ、12は第3の排他的論理和演算手段、13は第4の
排他的論理和演算手段、14は復元ブロック格納手段、15
は比較手段、16,17は第1の機器1と第2の機器2が共
通に有するnビットの固定パターン(P)、18は固定パ
ターン(P)17と比較される比較データである。また、
下表1は、本実施例において、通信が正常に行われた場
合の各要所のデータ値を示す。尚、表1中の+記号は、
排他的論理和演算を示す。
以下、第1図および表1に従い、本実施例について説
明を行う。以下の説明において、+記号は排他的論理和
演算を意味するものとする。まず初期状態として、第1,
第4のレジスタ5,11には同じ値J0が格納され、第2,第3
のレジスタ6,10には同じ値Iが格納されている。第1の
機器1は、平文ブロック格納手段3に格納されている平
文ブロックを暗号化の単位であるnビットごとに分割す
る。こうして得られた複数のnビットデータ列をM1,M2,
M3とする(固定パターン(P)16に関しては後述す
る)。その先頭のnビットデータM1を第1の排他的論理
和演算手段7に出力する。第1の排他的論理和演算手段
7は、前記nビットデータM1と第1のレジスタ5内のデ
ータ(初期値J0)の排他的論理和を計算し、その結果M1
+J0を暗号化手段4に出力する。暗号化手段4は、第1
の排他的論理和演算手段7からの前記入力M1+J0に暗号
化処理を施し、その結果J1=E(M1+J0)を第2の排他
的論理和演算手段8に出力する。第2の排他的論理和演
算手段8は、暗号化手段4からの前記入力J1と第2のレ
ジスタ6内のデータ(初期値I)の排他的論理和を計算
し、その結果J1+Iを第2の機器2に送信する。暗号化
手段4の撹乱が十分であれば、復号化手段9を持たない
第三者が、通信データ(暗文)J1+1=E(M1+J0)+
Iから平文M1を求めることは極めて困難である。このよ
うにして、メッセージの秘匿が可能となる。
明を行う。以下の説明において、+記号は排他的論理和
演算を意味するものとする。まず初期状態として、第1,
第4のレジスタ5,11には同じ値J0が格納され、第2,第3
のレジスタ6,10には同じ値Iが格納されている。第1の
機器1は、平文ブロック格納手段3に格納されている平
文ブロックを暗号化の単位であるnビットごとに分割す
る。こうして得られた複数のnビットデータ列をM1,M2,
M3とする(固定パターン(P)16に関しては後述す
る)。その先頭のnビットデータM1を第1の排他的論理
和演算手段7に出力する。第1の排他的論理和演算手段
7は、前記nビットデータM1と第1のレジスタ5内のデ
ータ(初期値J0)の排他的論理和を計算し、その結果M1
+J0を暗号化手段4に出力する。暗号化手段4は、第1
の排他的論理和演算手段7からの前記入力M1+J0に暗号
化処理を施し、その結果J1=E(M1+J0)を第2の排他
的論理和演算手段8に出力する。第2の排他的論理和演
算手段8は、暗号化手段4からの前記入力J1と第2のレ
ジスタ6内のデータ(初期値I)の排他的論理和を計算
し、その結果J1+Iを第2の機器2に送信する。暗号化
手段4の撹乱が十分であれば、復号化手段9を持たない
第三者が、通信データ(暗文)J1+1=E(M1+J0)+
Iから平文M1を求めることは極めて困難である。このよ
うにして、メッセージの秘匿が可能となる。
一方、第2の機器2は以下のようにして、受信データ
(暗文)J1+Iから平文M1を復元する。第2の機器2
は、第3の排他的論理和演算手段12を用いて、送られて
きた前記データJ1+Iと第3のレジスタ10内のデータ
(初期値I)の排他的論理和を計算し、その結果(J1+
I)+I=J1を復号化手段9に出力する。復号化手段9
は、送られてきた前記データJ1=E(M1+J0)に復号化
処理を施し、その結果M1+J0を第4の排他的論理和演算
手段13に出力する。第4の排他的論理和演算手段13は、
複合化手段9からの前記入力M1+J0と第4のレジスタ11
内のデータ(初期値J0)の排他的論理和を計算すること
により、(M1+J0)+J0=M0(元の平文)を復元し、復
元ブロック格納手段14に格納する。その後、第1の機器
1は、初期値J0に換えて、暗号化手段4の前記出力J1を
第1のレジスタ5に格納し、初期値Iに換えて平文M1を
第2のレジスタ6に格納する。同様に、第2の機器2
は、初期値J0に代えて、第3の排他的論理和演算手段12
の出力J1を第4のレジスタ11に格納し、初期値Iに換え
て復元したデータM1を第3のレジスタ10に格納する。し
たがって、通信中のデータが偶発的あるいは意図的な変
更を受けない限り、第1のレジスタ5と第4のレジスタ
11、および第2のレジスタ6と第3のレジスタ10にはそ
れぞれ常に同じ値が格納されることになる。以上のよう
な、先頭のnビットデータM1に対する処理をM2,M3に対
しても同様に繰り返すことにより、復元フロック格納手
段14に復元された元のデータが順に格納されていく。こ
の暗号利用モードは、一般にCBCモードとして知られる
ものを変形したものである。すなわち、送信側にはCBC
モードのフィードバック機能にフィードフォワード機能
を付加し、受信側をその対称形としたものである。送信
側がフィードバック機能を有することによって、先行す
るデータの内容が後続のデータの暗号化出力に影響を及
ぼすため、第1のレジスタ5の初期値J0の値を変えるこ
とにより、同じ送信データM1,M2,M3に対しても、暗号化
手段4の出力が異なるなどの効果が得られる。これはCB
Cモードそのものが有する特徴であるが、送信側にフィ
ードフォワード機能を付加する(すなわち、受信側にそ
れと対称なフィードバック機能を付加する)ことによ
り、復号化と同時にメッセージの認証を行えるという効
果が生まれる。これについては、後に詳しく述べる。
(暗文)J1+Iから平文M1を復元する。第2の機器2
は、第3の排他的論理和演算手段12を用いて、送られて
きた前記データJ1+Iと第3のレジスタ10内のデータ
(初期値I)の排他的論理和を計算し、その結果(J1+
I)+I=J1を復号化手段9に出力する。復号化手段9
は、送られてきた前記データJ1=E(M1+J0)に復号化
処理を施し、その結果M1+J0を第4の排他的論理和演算
手段13に出力する。第4の排他的論理和演算手段13は、
複合化手段9からの前記入力M1+J0と第4のレジスタ11
内のデータ(初期値J0)の排他的論理和を計算すること
により、(M1+J0)+J0=M0(元の平文)を復元し、復
元ブロック格納手段14に格納する。その後、第1の機器
1は、初期値J0に換えて、暗号化手段4の前記出力J1を
第1のレジスタ5に格納し、初期値Iに換えて平文M1を
第2のレジスタ6に格納する。同様に、第2の機器2
は、初期値J0に代えて、第3の排他的論理和演算手段12
の出力J1を第4のレジスタ11に格納し、初期値Iに換え
て復元したデータM1を第3のレジスタ10に格納する。し
たがって、通信中のデータが偶発的あるいは意図的な変
更を受けない限り、第1のレジスタ5と第4のレジスタ
11、および第2のレジスタ6と第3のレジスタ10にはそ
れぞれ常に同じ値が格納されることになる。以上のよう
な、先頭のnビットデータM1に対する処理をM2,M3に対
しても同様に繰り返すことにより、復元フロック格納手
段14に復元された元のデータが順に格納されていく。こ
の暗号利用モードは、一般にCBCモードとして知られる
ものを変形したものである。すなわち、送信側にはCBC
モードのフィードバック機能にフィードフォワード機能
を付加し、受信側をその対称形としたものである。送信
側がフィードバック機能を有することによって、先行す
るデータの内容が後続のデータの暗号化出力に影響を及
ぼすため、第1のレジスタ5の初期値J0の値を変えるこ
とにより、同じ送信データM1,M2,M3に対しても、暗号化
手段4の出力が異なるなどの効果が得られる。これはCB
Cモードそのものが有する特徴であるが、送信側にフィ
ードフォワード機能を付加する(すなわち、受信側にそ
れと対称なフィードバック機能を付加する)ことによ
り、復号化と同時にメッセージの認証を行えるという効
果が生まれる。これについては、後に詳しく述べる。
次に、認証子の生成方法について、第2図を参照しな
がら説明する。第2図は認証子の生成手順を示した説明
図であり、21は平文ブロック(M1,M2,M3)、16は第1図
に示した固定パターン(P)、22は第1のレジスタ5の
初期値J0、23〜26は暗号化手段4で実行される暗号化処
理、27〜30は第1の排他的論理和演算手段7で実行され
る排他的論理和演算、31は第2のレジスタ6に格納され
るデータM3、32は第2の排他的論理和演算手段8で実行
される排他的論理和演算、33は最終的に生成される認証
子である。平文ブロック(M1,M2,M3)21と固定パターン
(P)16は連結されている。まず、平文ブロック21の先
頭のnビットデータ(M1)と初期値(J0)22の排他的論
理和27を計算し、それに対して暗号化処理23を行う。次
に、その結果と第2番目のnビットデータ(M2)の排他
的論理和28を計算し、それに対して暗号化処理24を行
う。これを第3番目のnビットデータ(M3)および固定
パターン(P)に対して同様に繰り返した後、その結果
と、その時点での第2のレジスタ6の値(M3)31との排
他的論理和32を計算し、最終的に認証子33を得る。これ
はCBCモードを利用した認証子の生成手段であり、次に
示すような認証子生成手段の条件を満たしている。
がら説明する。第2図は認証子の生成手順を示した説明
図であり、21は平文ブロック(M1,M2,M3)、16は第1図
に示した固定パターン(P)、22は第1のレジスタ5の
初期値J0、23〜26は暗号化手段4で実行される暗号化処
理、27〜30は第1の排他的論理和演算手段7で実行され
る排他的論理和演算、31は第2のレジスタ6に格納され
るデータM3、32は第2の排他的論理和演算手段8で実行
される排他的論理和演算、33は最終的に生成される認証
子である。平文ブロック(M1,M2,M3)21と固定パターン
(P)16は連結されている。まず、平文ブロック21の先
頭のnビットデータ(M1)と初期値(J0)22の排他的論
理和27を計算し、それに対して暗号化処理23を行う。次
に、その結果と第2番目のnビットデータ(M2)の排他
的論理和28を計算し、それに対して暗号化処理24を行
う。これを第3番目のnビットデータ(M3)および固定
パターン(P)に対して同様に繰り返した後、その結果
と、その時点での第2のレジスタ6の値(M3)31との排
他的論理和32を計算し、最終的に認証子33を得る。これ
はCBCモードを利用した認証子の生成手段であり、次に
示すような認証子生成手段の条件を満たしている。
(1) 認証子が平文ブロックのデータの全ビットに依
存している。
存している。
(2) 平文をm、認証子生成手段をf、その認証子を
a=f(m)とする時、 f(m)=f(x) を満足するxを求めることが極めて困難である。ここ
で、以上に述べた第2図の認証子生成手順は、第1図で
示したデータの暗号化手順の一部と全く同一のものであ
り、認証子の生成処理とデータの暗号化処理を同時に行
うことができる。すなわち、第2図の暗号化処理23〜26
の出力が、第1図における暗号化手段4の出力に相当
し、第2の排他的論理和演算手段8を経て、第2の機器
2に送信される。特に、第2図の認証子33は、第1図に
おける固定パターン(P)16に対する第2の排他的論理
和演算手段8の出力となる。
a=f(m)とする時、 f(m)=f(x) を満足するxを求めることが極めて困難である。ここ
で、以上に述べた第2図の認証子生成手順は、第1図で
示したデータの暗号化手順の一部と全く同一のものであ
り、認証子の生成処理とデータの暗号化処理を同時に行
うことができる。すなわち、第2図の暗号化処理23〜26
の出力が、第1図における暗号化手段4の出力に相当
し、第2の排他的論理和演算手段8を経て、第2の機器
2に送信される。特に、第2図の認証子33は、第1図に
おける固定パターン(P)16に対する第2の排他的論理
和演算手段8の出力となる。
最後に、認証子の検査の方法について説明する。表1
に示す通り、正常に通信が行われた場合は、比較データ
18は固定パターン(P)17に等しくなる。一方、例え
ば、平文M2に対する通信線上のデータが改ざんされた場
合の各要所のデータ値を表2に示す。この場合、まず平
文M2に対する復元文がM2に一致しないため、次の平文M3
に対する第3のレジスタ10の値はM2と異なった値となる
(本実施例の場合は、第4のレジスタ11の値もJ2と異な
る)。したがって、平文M3に対する復元文もM3に一致し
ない。これは、第2の機器2(受信側)がフィードフォ
ワード機能を有することによる効果である。同様にし
て、固定パターン(P)16に対する復元文も固定パター
ン(P)16(すなわち固定パターン(P)17)と異なっ
た値となる。以上のことから、比較手段15により、比較
データ18と固定パターン17を比較することによって、メ
ッセージ認証が可能となることがわかる。比較データ18
は復元処理で得られる復元ブロック格納手段14内の最終
データであるため、メッセージの復元と認証を同時に行
えることとなる。
に示す通り、正常に通信が行われた場合は、比較データ
18は固定パターン(P)17に等しくなる。一方、例え
ば、平文M2に対する通信線上のデータが改ざんされた場
合の各要所のデータ値を表2に示す。この場合、まず平
文M2に対する復元文がM2に一致しないため、次の平文M3
に対する第3のレジスタ10の値はM2と異なった値となる
(本実施例の場合は、第4のレジスタ11の値もJ2と異な
る)。したがって、平文M3に対する復元文もM3に一致し
ない。これは、第2の機器2(受信側)がフィードフォ
ワード機能を有することによる効果である。同様にし
て、固定パターン(P)16に対する復元文も固定パター
ン(P)16(すなわち固定パターン(P)17)と異なっ
た値となる。以上のことから、比較手段15により、比較
データ18と固定パターン17を比較することによって、メ
ッセージ認証が可能となることがわかる。比較データ18
は復元処理で得られる復元ブロック格納手段14内の最終
データであるため、メッセージの復元と認証を同時に行
えることとなる。
以上に述べたように、送信側では暗号化処理と認証子
生成処理を同じメカニズムで一度に行い、受信側では復
号化処理と認証子の検査処理を同じメカニズムで一度に
行なうことにより、部品点数(またはプログラムサイ
ズ)を削減し、処理速度を大幅に向上することができ
る。尚、本実施例による構成ブロックと全く同じものを
用いて、第1〜4のレジスタ5,6,10,11の各入力部を改
造することにより、第3〜5図に示すような、本実施例
と同じ効果を有する暗号化処理方法を提供することがで
きる。第3図〜第5図において、1〜18は全て第1図と
同一のものである。
生成処理を同じメカニズムで一度に行い、受信側では復
号化処理と認証子の検査処理を同じメカニズムで一度に
行なうことにより、部品点数(またはプログラムサイ
ズ)を削減し、処理速度を大幅に向上することができ
る。尚、本実施例による構成ブロックと全く同じものを
用いて、第1〜4のレジスタ5,6,10,11の各入力部を改
造することにより、第3〜5図に示すような、本実施例
と同じ効果を有する暗号化処理方法を提供することがで
きる。第3図〜第5図において、1〜18は全て第1図と
同一のものである。
つまり、第3図に示すものは、前記第1,第2,第3,第4
のレジスタ5,6,10,11に、それぞれ前記暗号化手段4の
前記出力、前記第1の排他的論理和演算手段7の前記出
力、前記復号化手段9の前記出力、前記第3の排他的論
理和演算手段12の前記出力が印加されるものとしたもの
で、また第4図のものは第1〜第4のレジスタ5,6,10,1
1にそれぞれ前記第2の排他的論理和演算手段8の前記
出力、前記第1の排他的論理和演算手段7の前記出力、
前記復号化手段9の前記出力、前記第3の排他的論理和
演算手段12への入力が印加されるものとしたもので、第
5図のものは第1〜第4のレジスト5,6,10,11にそれぞ
れ前記第2の排他的論理和演算手段8の前記出力、前記
nビットデータ、前記第4の排他的論理和演算手段13の
前記出力、前記第3の排他的論理和演算手段12の前記入
力が格納されるようにしたものである。
のレジスタ5,6,10,11に、それぞれ前記暗号化手段4の
前記出力、前記第1の排他的論理和演算手段7の前記出
力、前記復号化手段9の前記出力、前記第3の排他的論
理和演算手段12の前記出力が印加されるものとしたもの
で、また第4図のものは第1〜第4のレジスタ5,6,10,1
1にそれぞれ前記第2の排他的論理和演算手段8の前記
出力、前記第1の排他的論理和演算手段7の前記出力、
前記復号化手段9の前記出力、前記第3の排他的論理和
演算手段12への入力が印加されるものとしたもので、第
5図のものは第1〜第4のレジスト5,6,10,11にそれぞ
れ前記第2の排他的論理和演算手段8の前記出力、前記
nビットデータ、前記第4の排他的論理和演算手段13の
前記出力、前記第3の排他的論理和演算手段12の前記入
力が格納されるようにしたものである。
発明の効果 以上のように本発明によれば、メッセージの秘匿と認
証にCBCモードを利用した同じメカニズムを用いること
によって、高度なセキュリティを保ちながら、必要とな
る部品点数(またはプログラムサイズ)を削減すること
ができる。さらに、メッセージの秘匿と認証を一度に行
なうことによって、従来の方法に比べ大幅な高速化が可
能となる。
証にCBCモードを利用した同じメカニズムを用いること
によって、高度なセキュリティを保ちながら、必要とな
る部品点数(またはプログラムサイズ)を削減すること
ができる。さらに、メッセージの秘匿と認証を一度に行
なうことによって、従来の方法に比べ大幅な高速化が可
能となる。
第1図は本発明の一実施例による暗号化処理方法の説明
をするブロック図、第2図は本発明の一実施例による認
証子の生成手順を示す説明図、第3図,第4図,第5図
はそれぞれ本発明の他の実施例による暗号化処理方法を
説明するブロック図、第6図は従来の暗号化処理方法を
説明するブロック図、第7図,第8図は従来の暗号化処
理方法における送信データおよび受信データを示す図で
ある。 1……第1の機器、2……第2の機器、3……平文ブロ
ック格納手段、4……暗号化手段、5……第1のレジス
タ、6……第2のレジスタ、7……第1の排他的論理和
演算手段、8……第2の排他的論理和演算手段、9……
復号化手段、10……第3のレジスタ、11……第4のレジ
スタ、12……第3の排他的論理和演算手段、13……第4
の排他的論理和演算手段、14……復元ブロック格納手
段、15……比較手段、16,17……固定パターン、18……
比較データ、33……認証子。
をするブロック図、第2図は本発明の一実施例による認
証子の生成手順を示す説明図、第3図,第4図,第5図
はそれぞれ本発明の他の実施例による暗号化処理方法を
説明するブロック図、第6図は従来の暗号化処理方法を
説明するブロック図、第7図,第8図は従来の暗号化処
理方法における送信データおよび受信データを示す図で
ある。 1……第1の機器、2……第2の機器、3……平文ブロ
ック格納手段、4……暗号化手段、5……第1のレジス
タ、6……第2のレジスタ、7……第1の排他的論理和
演算手段、8……第2の排他的論理和演算手段、9……
復号化手段、10……第3のレジスタ、11……第4のレジ
スタ、12……第3の排他的論理和演算手段、13……第4
の排他的論理和演算手段、14……復元ブロック格納手
段、15……比較手段、16,17……固定パターン、18……
比較データ、33……認証子。
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 昭61−21641(JP,A) 高木伸哉、伊藤守「ICカードを用い たセキュリティメカニズムの検討」1989 年電子情報通信学会春季全国大会講演論 文集 分冊1 P.1−408 川村信一、神竹孝至、水谷博之「IC カードを用いた取引証明法」情報処理学 会研究報告、Vol.86,No.51, p.30.8.1〜30.8.8 (58)調査した分野(Int.Cl.6,DB名) H04L 9/00 - 9/38 G09C 1/00 - 5/00 JICSTファイル(JOIS)
Claims (2)
- 【請求項1】少なくともデータの送信を行う第1の機器
と、この第1の機器からデータを受信する第2の機器と
を備え、前記第1の機器は、nビットの平文を入力して
nビットの暗文を出力する暗号化手段と、第1のレジス
タと、第2のレジスタと、第1の排他的論理和演算手段
と第2の排他的論理和演算手段とを有し、前記第2の機
器は、前記暗号化手段と対をなす復号化手段と、第3の
レジスタと、第4のレジスタと、第3の排他的論理和演
算手段と、第4の排他的論理和演算手段と、比較手段と
を有し、前記第1の排他的論理和演算手段は、平文ブロ
ックをnビットごとに分割した複数個のnビットデータ
のうちの一つと前記第1のレジスタの内容に排他的論理
和演算を施して前記暗号化手段に出力し、前記暗号化手
段は、前記第1の排他的論理和演算手段からの出力に秘
密の演算を施して前記第2の排他的論理和演算手段に出
力し、前記第2の排他的論理和演算手段は、前記暗号化
手段からの出力と前記第2のレジスタの内容に排他的論
理和演算を施して前記第3の排他的論理和演算手段に出
力し、前記第3の排他的論理和演算手段は、前記第2の
排他的論理和演算手段からの出力と前記第3のレジスタ
の内容に排他的論理和演算を施して前記復号化手段に出
力し、前記復号化手段は、前記第3の排他的論理和演算
手段からの出力に秘密の演算を施して前記第4の排他的
論理和演算手段に出力し、前記第4の排他的論理和演算
手段は、前記復号化手段からの出力と前記第4のレジス
タの内容に排他的論理和演算を施し、かつ、前記第1,第
2,第3,第4のレジスタには、それぞれ前記暗号化手段の
前記出力、前記nビットデータ、前記第4の排他的論理
和演算手段の前記出力、前記第3の排他的論理和演算手
段の前記出力、またはそれぞれ前記暗号化手段の前記出
力、前記第1の排他的論理和演算手段の前記出力、前記
復号化手段の前記出力、前記第3の排他的論理和演算手
段の前記出力、またはそれぞれ前記第2の排他的論理和
演算手段の前記出力、前記第1の排他的論理和演算手段
の前記出力、前記復号化手段の前記出力、前記第3の排
他的論理和演算手段への入力、またはそれぞれ前記第2
の排他的論理和演算手段の前記出力、前記nビットデー
タ、前記第4の排他的論理和演算手段の前記出力、前記
第3の排他的論理和演算手段への前記入力が格納され、
さらに、前記比較手段は、前記第4の排他的論理和演算
手段の出力と、前記第1の機器および前記第2の機器が
共通に保持している基準値とを比較することを特徴とす
る暗号化処理方法。 - 【請求項2】請求項1記載の暗号化処理方法を用いたIC
カード装置。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63196542A JP2762470B2 (ja) | 1988-08-05 | 1988-08-05 | 暗号化処理方法およびその方法を用いたicカード装置 |
| DE68922847T DE68922847T2 (de) | 1988-07-13 | 1989-07-13 | Übertragungsvorrichtung. |
| PCT/JP1989/000706 WO1990000781A1 (en) | 1988-07-13 | 1989-07-13 | Communication equipment |
| EP89908247A EP0403656B1 (en) | 1988-07-13 | 1989-07-13 | Communication equipment |
| KR1019900700534A KR940000297B1 (ko) | 1988-07-13 | 1989-07-13 | 통신기기 |
| US07/465,210 US5109152A (en) | 1988-07-13 | 1989-07-13 | Communication apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63196542A JP2762470B2 (ja) | 1988-08-05 | 1988-08-05 | 暗号化処理方法およびその方法を用いたicカード装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0244390A JPH0244390A (ja) | 1990-02-14 |
| JP2762470B2 true JP2762470B2 (ja) | 1998-06-04 |
Family
ID=16359472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP63196542A Expired - Fee Related JP2762470B2 (ja) | 1988-07-13 | 1988-08-05 | 暗号化処理方法およびその方法を用いたicカード装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2762470B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1157020C (zh) * | 1997-04-23 | 2004-07-07 | 松下电器产业株式会社 | 提高了安全性的密码处理装置 |
-
1988
- 1988-08-05 JP JP63196542A patent/JP2762470B2/ja not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| 川村信一、神竹孝至、水谷博之「ICカードを用いた取引証明法」情報処理学会研究報告、Vol.86,No.51,p.30.8.1〜30.8.8 |
| 高木伸哉、伊藤守「ICカードを用いたセキュリティメカニズムの検討」1989年電子情報通信学会春季全国大会講演論文集 分冊1 P.1−408 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0244390A (ja) | 1990-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR940000297B1 (ko) | 통신기기 | |
| US5815573A (en) | Cryptographic key recovery system | |
| US5319705A (en) | Method and system for multimedia access control enablement | |
| US5661807A (en) | Authentication system using one-time passwords | |
| EP0725511B1 (en) | Method for data encryption/decryption using cipher block chaining (CBC) and message authentication codes (MAC) | |
| US4918728A (en) | Data cryptography operations using control vectors | |
| US4206315A (en) | Digital signature system and apparatus | |
| US6292896B1 (en) | Method and apparatus for entity authentication and session key generation | |
| US8595508B2 (en) | Method of secure encryption | |
| JP2746352B2 (ja) | 遠隔位置に設置したコンピュータによる通信のための機密防護通信システム及び方法 | |
| CN107196763A (zh) | Sm2算法协同签名及解密方法、装置与系统 | |
| EP0983541B1 (en) | Method and apparatus for signing and sealing objects | |
| JP2004534333A (ja) | コンピュータネットワークにおける分散データ処理に関する統合された保護方法及びシステム | |
| US7894608B2 (en) | Secure approach to send data from one system to another | |
| US6088456A (en) | Data encryption technique | |
| Preneel et al. | Key recovery attack on ANSI X9. 19 retail MAC | |
| JP2762470B2 (ja) | 暗号化処理方法およびその方法を用いたicカード装置 | |
| CN116527236B (zh) | 一种加密卡的信息变更验证方法及系统 | |
| JP2001203687A (ja) | データ伝送方法 | |
| JPH0827812B2 (ja) | 電子取引方法 | |
| Mitchell et al. | A remark on hash functions for message authentication | |
| JPH0244391A (ja) | 暗号化処理方法およびその方法を用いたicカード装置 | |
| JPH02165186A (ja) | Icカード装置 | |
| KR19990027040A (ko) | 암호화 방법 및 장치 | |
| JPH02112345A (ja) | 圧縮暗号方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |