JP4828082B2 - 対称キー暗号用の置換ボックス - Google Patents

対称キー暗号用の置換ボックス Download PDF

Info

Publication number
JP4828082B2
JP4828082B2 JP2002507567A JP2002507567A JP4828082B2 JP 4828082 B2 JP4828082 B2 JP 4828082B2 JP 2002507567 A JP2002507567 A JP 2002507567A JP 2002507567 A JP2002507567 A JP 2002507567A JP 4828082 B2 JP4828082 B2 JP 4828082B2
Authority
JP
Japan
Prior art keywords
permutations
probability
box
permutation
linear
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002507567A
Other languages
English (en)
Other versions
JP2004502965A5 (ja
JP2004502965A (ja
Inventor
ペトルス エル エイ ロールス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2004502965A publication Critical patent/JP2004502965A/ja
Publication of JP2004502965A5 publication Critical patent/JP2004502965A5/ja
Application granted granted Critical
Publication of JP4828082B2 publication Critical patent/JP4828082B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Complex Calculations (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、一群の置換(permutation)に基づく置換ボックス(Sボックス)の形態の非線形演算を用いて、入力データボックスを出力データボックスに暗号的に変換する方法に関する。
【0002】
【従来の技術】
デジタルオーディオ及び/又はビデオの分野における暗号のアプリケーションは益々重要になってきている。これらのアプリケーションは、コンテンツ暗号化/復号及びアクセス管理機能を含む。斯様なアプリケーションに対し、良く知られているブロック暗号DESを使用することができる。DESは、16ラウンド(巡回)からなるフェイステル(Feistel)暗号である。各ラウンドにおいて、先ず、データの右半部の32ビットが48ビットに拡張される。次に、これら48ビットに対し、56ビットのDESキーからスケジューリングアルゴリズムを用いて算出される48ビットのラウンドキーがモジュロ2でビット毎に加算される。次いで、Sボックスのレイヤが、当該データに対して非線形演算を実行する。DESにおいては、該Sボックスレイヤは、8個の並列な6/4ビットSボックスからなる。即ち、上記Sボックスの各々は、6ビット入力ブロックをSボックス当たり1つの固定のマッピングテーブルを用いて4ビット出力ブロックに変換する。該ボックスレイヤの出力は32ビットのデータブロックであり、該ブロックに対してビット置換(bit-permutation)が実行される。上記Sボックス置換はDESにおける唯一の非線形演算であり、その安全保護(セキュリティ)に高度に貢献する。DESの欠点は、その56ビットなる小さなキーの寸法にあり、高いレベルの安全保護を提供するには今日では不十分であると考えられる。しかしながら、上記の16個の48ビットラウンドキーを算出するために、異なるキースケジューリングアルゴリズムと組み合わされた長いキーを使用することにより、全数(exhaustive)キー検索は避けることができる。公開文献で公表されたDESに対する2つの最も強力な攻撃は、広い範囲のブロック暗号に適用することができるような一般的攻撃である差分及び線形暗号解読である。DESは、キーの長さ及び/又はキースケジューリングアルゴリズムを変更することによっては、これらの攻撃に対して十分に強化することはできないことが示されている。しかしながら、上記アルゴリズムのラウンド関数の(即ち、Sボックスの)変更は、これらの攻撃に対する強さに著しく影響を与えることができる。
【0003】
【発明が解決しようとする課題】
本発明の目的は、良好な暗号特性を有するSボックスを設計することにある。
【0004】
また、本発明の他の目的は、斯様なSボックスをハードウェア及びソフトウェアで効率的に実施化することができ、消費者向け電子用途に広く使用することができるようにすることにある。
【0005】
【課題を解決するための手段】
上記本発明の目的を達成するため、上記Sボックス用の置換(permutation)は所定の群の置換から動的に選択される。好ましくは、上記群の各置換は、特に差分的又は線形な暗号解読等の既知の攻撃に対して最適な耐性を提供するように選択される。上記置換を(擬似)ランダムに選択することにより、当該システムは、各Sボックスが単一の固定の置換からなるようなシステムに較べて、暗号的に一層強くすることができる。群からの置換の選択は、高速且つ価格有効的に実行することができる。
【0006】
従属請求項2の構成に記載されると共に、従属請求項3及び6に更に詳細に記載されているように、置換の1つにおける暗号的弱点は、上記群の他の置換の少なくとも1つにおける対応する強度により補償される。上記弱点は、例えば、所定の最大確率を有する非自明(non-trivial)な差分的及び/又は線形な特性に現れる。この方法の長所は、敵が、未知の(ラウンド)キー(又は複数のキー)に対する仮定なしでは、差分的又は線形な攻撃を斯様な特性に基づいて行うことができない点にある。
【0007】
従属請求項4の構成に記載されているように、上記弱点は完全に補償される。
【0008】
従属請求項10の構成に記載されているように、好ましくは、上記置換の選択はラウンドキーの制御の下で実施される。これらラウンドキーを発生するアルゴリズム(即ち、キースケジューリングアルゴリズム)は、所望の程度の擬似ランダム性を得るように選択することができる。斯かる選択に関しラウンドキーを使用する利点は、上記置換がラウンドキーの計算の間に上記群から選択される点にある。効率性の理由で、これは、通常は及び好ましくは、各キー及び該キーを用いて処理されるべき(即ち暗号化されるべき)全てのデータについて、1回実施される。このようにして、暗号化/復号アルゴリズムは、各Sボックスに対して単一の固定の置換のみからなるようなSボックスに基づくシステムと同様に効率的とすることができる。
【0009】
本発明の、これら及び他の態様は図面に示す実施例から明らかとなり、斯かる実施例を参照して解説されるであろう。
【0010】
【発明の実施の形態】
本発明を説明する目的のため、当該暗号システムを電子コードブック(ECB)モードにおけるブロック暗号として説明する。当業者であれば、本システムを他のモードにおいても同様に使用することができるであろう。これらは、DES用の標準のFIPS動作モード、即ち暗号ブロック連鎖(CBC)、暗号フィードバック(CFB)及び出力フィードバック(OFB)動作モードを含む。更に、当該システムは、擬似乱数発生器、メッセージ認証コード(MAC)及び操作検出コード(MDC)用の既知の構成においても使用することができる。
【0011】
該暗号装置は、デジタル入力ブロックを得るための入力端子を有している。該デジタル入力ブロックMは如何なるサイズであってもよい。該装置は、更に、上記デジタル入力ブロックをデジタル出力ブロックに変換する暗号プロセッサを有している。有利には、該デジタル出力ブロックは上記デジタル入力ブロックと略等しい長さを有するものとする。該装置は、上記デジタル出力ブロックを出力するための出力端子を有している。好ましい実施例においては、上記暗号プロセッサは上記デジタル入力ブロックをキービットと組み合わせる(マージする)ことにより該デジタル入力ブロックをデジタル出力ブロックに変換し、これら入力ブロック及びキーに非線形に依存するような出力ブロックを生成する。上記キー(又はキースケジューラに供給する初期キー)を得るために、当該暗号装置は第2入力端子を有している。該暗号装置が、PCのような通常のコンピュータを用いて、又は専用の暗号化/復号装置を用いて実施化することができることは理解されるであろう。上記デジタル入力ブロックは、通信ネットワークを介して、ハードディスク若しくはフロッピー(R)ディスクのようなデータ記憶媒体から、又はユーザにより直接入力されること等の種々の方法により得ることができる。同様に、上記デジタル出力ブロックは、通信ネットワークを介して、データ記憶媒体上に記憶される、又はユーザに対して表示される等の種々の方法により出力することができる。好ましくは、この目的のためには安全な手段が用いられるようにする。上記暗号プロセッサは、例えばパーソナルコンピュータに使用されているような通常のプロセッサとすることができるが、専用の暗号プロセッサであってもよい。該プロセッサは、通常、適切なプログラム(ファームウェア)の制御の下で作動されて、本発明によるアルゴリズムのステップを実行する。斯様なコンピュータプログラム製品は、通常、ハードディスク又はROMのようなバックグラウンド記憶部からロードされる。該コンピュータプログラム製品は、CD−ROMのような記憶媒体上で、又は公衆インターネット等のネットワークを介して配信された後、上記バックグラウンド記憶部に記憶することができる。暗号キーのような敏感な情報は、好ましくは、安全な方法で配信及び記憶されるようにする。このようにする技術は広く知られており、これ以上は説明しない。当該暗号装置は、部分的に又は全体として、スマートカード上で実施化することができる。
【0012】
上記暗号プロセッサにより実行される本発明によるSボックスの非線形演算を、例示的な適用例として、ブロック暗号におけるラウンド関数fの形で説明する。当業者は、非線形関数それ自体は、他の暗号システムにおいても同様に、及び以下に詳述するもの以外の他の暗号にも使用することができるであろう。
【0013】
表記及び定義:
以下の表記が例示的アルゴリズムの説明において使用される。Z2 nを、座標的加算モジュロ2(排他的論理和又はXORとも呼ばれる)として定義される加算[+]:Z2 nxZ2 n→Z2 nによる長さn(n≧1)の全ての二進ベクトルの集合とする。例えば、(1,0,1,0)及び(0,1,1,0)はZ2 4の要素であり、(1,0,1,0)[+](0,1,1,0) = (1,1,0,0)である。nが偶数であり、x∈Z2 nであれば、x(L)∈Z2 n/2及びx(R)∈Z2 n/2がxの左半部及び右半部と各々定義される。例えば、x=(1,0,1,1,0,0,1,0)∈Z2 8であれば、X(L)=(1,0,1,1)∈Z2 4及びx(R)=(0,0,1,0)∈Z2 4となる。記号‖はベクトルの連結を示すために使用され、例えばx=(x(L)‖x(R))となる。ベクトルx∈Z2 nの要素(ビットとも呼ばれる)は左から右へと零からn-1まで番号が振られる。即ち、x =:(x0,x1,x2,…,xn-1)となる。内積・:Z2 nxZ2 n→Z2は、全てのx,y∈Z2 nに対して、x・y=Σi=0,1, ,n-1xiyi∈Z2として定義される。
【0014】
ブロック暗号構造:
例示的なブロック暗号はフェイステル暗号であり、(DESのように)16ラウンドからなる。ブロック長は64ビットに等しく、キーの長さは128ビットに等しい。キーK∈Z2 128の下での平テキストX∈Z2 64から、その暗号テキストC∈Z2 64への電子コードブック(ECB)モードでの暗号化は、C=E(K,X)により示される。
【0015】
ラウンド関数はfで示され、Z2 40xZ2 32からZ2 32へのマッピング(写像)である。このラウンド関数は、本発明の非線形Sボックス演算を組み込むもので、以下に詳細に説明する。該ラウンド関数の第1入力引数はラウンドキーKi∈Z2 40である(ここで、iはラウンド番号i=1、2、…、16を示す)。これらのラウンドキーは128ビットのキーKから所謂キースケジューリングアルゴリズムにより算出される。如何なる好適なキースケジューリングアルゴリズムを使用することもでき、詳細には説明しない。第2入力引数は、ラウンドi後の即時結果の右半部である。この即時結果は、X=:(X0 (R)‖X0 (L))の場合、Xi∈Z2 64(i=0,1,…,16)により示される。
【0016】
この表記を用いた場合、暗号テキストC∈Z2 64の計算は、図1に示すように下記のステップからなる:
1.i = 1,2, ... ,15に関し、Xi (R) = Xi-1 (L) [+]f(Ki, Xi-1 (R))を計算し、Xi (L) = Xi-1 (R) を設定する。
【0017】
2.X16 (L) = X15 (L) [+]f(K16, X15 (R))を計算し、X16 (R) = X15 (R)を設定する。暗号テキストはC := (X16 (L) ‖X16 (R))と定義される。
【0018】
図1Aは、最初の15ラウンド(i=1,2,…,15)に対して使用される暗号構造を示している。図1Bは、最後の第16ラウンドを示している。図1Aの前のラウンドに比較して、図1Bにおける異常な入れ替えに注意されたい。これは、フェイステル構成において通常に実施される。何故なら、この場合、復号アルゴリズム(即ち、X=E-1(K,C)の計算)は暗号化アルゴリズム(逆の順番のラウンドキーによる)と同じであるからである。暗号的な意味では何の意味も有さない。
【0019】
ラウンド関数:
図2は、当該ラウンド関数fの好ましい実施例の全体のブロック図を示している。先ず、当該ラウンドキーの例えば32ビットなる一部が、ステップ210においてデータビットに加算される。次に、ステップ220において、Sボックスが非線形置換を実行して、好ましくは差分及び線形暗号解析に対して最適な(ローカルな)耐性を与える。加えて、好ましくは、所定の最大確率を持つ非自明(non-trivial)な(ローカルな)特性が、以下に詳述するように(ラウンド)キーに依存するものとされる。最後に、ステップ230において、線形変換が用いられ、複数ラウンドにわたる高度な分散を与える。如何なる好適な線形変換を使用することもできる。該線形変換は本発明の要旨ではないので、詳細には説明しない。
【0020】
フェイステル構造は、ラウンド関数の全射性(surjectivity)に何の制限も課さない。しかしながら、好ましくは、ラウンド関数は固定の(ラウンド)キーに対する全ての選択に関して全単射的(bijective)であるとする。これは、ラウンド関数の非一様性に基づく攻撃を防止する。
【0021】
図3は、本発明によるSボックスを組み込んだ好ましい構成を詳細に示している。この例示的なシステムにおいては、ラウンド関数fはZ2 40xZ2 32からZ2 32へのマッピングである。第1入力引数はラウンドキーKi∈Z2 40であり、第2入力引数は中間結果Xi-1の右半部である。出力は、f(Ki,Xi-1 (R))∈Z2 32により示される。この図において、Ki (1)∈Z2 32及びKi (2)∈Z2 8は、Ki=:(Ki (1)‖Ki (2))と定義される。ステップ210において、キーの加算が実行され、ステップ220においてキー依存型の置換ボックス(Sボックス)レイヤが後続する。この例では、該Sボックスレイヤは8個の小さなSボックス(S、S、S、…、S)からなり、各ボックスはデータブロックの1/8に作用する。該Sボックス変換はZ2 8xZ2 32からZ2 32へのマッピングであり、ラウンドiにおける第1入力引数はラウンドキーKi (2)であり、第2入力引数は上記キー加算の結果、即ちXi-1 (R)[+]Ki (1)である。該Sボックス変換の32ビット出力はS(Ki (2),Xi-1 (R)[+]Ki (1))により示される。このマッピングの詳細は後述する。最後に、ステップ230においてZ2 32からZ2 32への適切な線形変換が適用される。この場合、入力はS(Ki (2),Xi-1 (R)[+]Ki (1))により示され、出力はL(S(Ki (2),Xi-1 (R)[+]Ki (1)))により示される。この表記を用いると、上記関数fは:
f(Ki,Xi-1 (R))=L(S(Ki (2),Xi-1 (R)[+]Ki (1)))
となる。
【0022】
Sボックス:
本発明によれば、Sボックスはデータの置換を実施する。ここで述べる好ましい実施例においては、Sボックスは4ビット副ブロックに対して作用する。他のサイズの副ブロックを使用することもできることが分かるであろう。本発明によれば、各Sボックスに対して少なくとも2つの所定の置換(permutation)の組が使用され、当該Sボックスが使用される前に、その都度、これら置換のうちの1つが(擬似)ランダムに選択される。好ましくは、この選択のために上記ラウンドキーが使用される。好ましい実施例においては、各Sボックスには2つの置換が関連づけられ、両置換のうちの何れが使用されるかを選択するために上記ラウンドキーの1つの所定ビットが使用される。4ビットの副ブロックに対して作用するもののような、比較的小さなSボックスを使用することは、通常、各々が少なくとも2つの非線形置換の対応する組に関連づけられる並列なSボックスの行を必要とする。32ビットブロックに作用すると共に4ビットのSボックスを使用するようなブロック暗号の好ましい実施例においては、8個のSボックスが並列に使用され、これらボックスの各々は2つの置換からなる。この実施例に関しては、以下の表記が使用される。該Sボックス変換の第1入力引数K (2)におけるビットをk (i)(j = 0,1, …,7)、即ちK (2) =:(k (i), k (i),…,k (i))により示すものとする。ベクトルN (i)∈Z (j = 0,1,…,7)は、Xi−1 (R)[+]K (1) =:(N (i) ‖ N (i) ‖… ‖N (i))により定義される。該Sボックスのマッピングは、8個のマッピングの連結S : Z x Z →Z (j = 0,1,...,7)からなる。第1入力引数はキービットk (i)であり、これは、Sに関する2つの置換のうちの何れが使用されるかを選択する。第2入力引数はN (i)であり、これは、Sに対する選択された4ビット置換に関する入力である。この置換の対応する4ビット出力は、当該Sボックスの出力でもあり、S(k (i), N (i))により示される。この表記を用いると、関数Sは:
S(K (2),Xi−1 (R)[+]K (1)) = ( S(k (i),N (i))‖S(k (i), N (i))‖...‖S(k (i), N (i)))
により与えられる。
【0023】
置換の差分及び線形特性
好ましくは、下記の設計規準が個々の置換に対して使用されるようにする。
【0024】
1.差分暗号解読に対する耐性:XOR分配テーブル内の最大の非自明な値は所定の最大値に等しい。4ビット置換を仮定すると、この最大値は4である。即ち、各々の非自明差分特性は最大で1/4の確率を持つ。差分特性及びXOR分配テーブルの思想は広く知られている。例えば、斯かる思想は、1991年のジャーナル・オブ・クリプトロジーの第4(1)巻、第3〜72頁における“DES型暗号システムの差分暗号解読”にBiham及びShamirにより1991年に最初に公開記載された。
【0025】
2.線形暗号解読に対する耐性:線形近似テーブルにおける最大の非自明絶対値は所定の最大値に等しい。4ビット置換を仮定した場合、この最大値は4である。即ち、各々の非自明線形特性は1/4と3/4との間の確率を持つ。線形特性及び線形近似テーブルの思想は、広く知られている。該思想は、最初に、Matuiにより公開記載された。該記載は、1995年、スプリンジャ、LNCS950、ユーロクリプト94の第341〜355頁におけるE. Bihamの“Matsuiの線形暗号解読について”に示されている。
【0026】
各置換は、好ましくは、これらの要件の両者を満たすようにする。上記規準を4ビット非線形置換に関して詳述する。これらの規準が4ビット置換に対して最適であること、即ち、4より小さい値の最大の非自明XOR分散テーブル値を持つ4ビット置換が存在しないこと、及び4より小さいような、その線形近似テーブルにおける最大の非自明絶対値をもつ4ビット置換が存在しないことを証明することができる。
【0027】
上記規準を満たす置換は、置換をランダムに発生し、発生された該置換が上記規準を満たすかを判定することにより作成することができる。適切な置換が発見されるまでの全数検索、又は(数学的)構築方法を用いるような他の適切な技術を使用することもできる。構築方法の1つの特別な例は、自身に零がマップされる、2要素の有限フィールドにおける反転マッピングに基づくもので、1994年、スプリンジャ、LNCS765、ユーロクリプト93の第55〜64頁におけるK. Nybergの“暗号用の差分的に一様なマッピング”で見付けることができる。nが偶数として、この方法に従って構築されるnビットSボックスにより満たされる対応する規準は、下記により与えられる:
【0028】
1.差分暗号解読に対する耐性:XOR分散テーブルにおける最大の非自明値は4に等しい。即ち、各々の非自明な差分特性は最大で4/2の確率を持つ。
【0029】
2.線形暗号解読に対する耐性:線形近似テーブルにおける最大の非自明絶対値は2n/2に等しい。即ち、各々の非自明な線形特性は、1/2−1/2n/2と1/2+1/2n/2との間の確率を有する。
【0030】
これらの規準が4ビット置換に関して上述したものを一般化することが容易に分かる。nビットSボックスの全入力要素及び/又は全出力要素に対する如何なる可逆アフィン(affine)マッピング(Z2 n上の)の適用も、その線形近似テーブルにおける最大の非自明なXOR値又は最大の非自明な絶対値に影響を及ぼさないことは良く知られている。このようにして、上述した規準を満たす多数のSボックスを単一のSボックスから構築することができる。
【0031】
本発明によれば、Sボックスは少なくとも2つの非線形置換に関連づけられる。当該組における置換は、これら置換が互いの弱点を補償するように選択されている。これを、差分的及び線形的特性に関して各々詳細に説明する。1つのSボックス、例えば下記の2つの置換を伴うS、を用いて追加の規準を説明する:
【表1】
Figure 0004828082
【0032】
行0及び1は、列番号により規定される入力に対応する、2つの置換の出力を示す。以下においては、これら2つの置換を、各々、P及びPにより示す。入力及び出力は共に16進表記で示す。例えば、第1置換が選択され(即ち、k0 (i) = 0)、及びN0 (i) = 3の場合、出力は9に等しくなる。即ち、S0(0,3) = 9となる。同様に、S0(1,3) = fとなる。各Sボックスが当該ボックスに固有の2つの置換に関連づけられるような8個の並列なSボックスを仮定すると、合計で16個の異なる置換を発生しなければならない。好ましくは、これら置換の各々が上述した全ての規準を満たすものとする。本発明によれば、1つのSボックスに組として属する置換も、下記に示す規準の少なくとも一方、好ましくは両方を満たすようにする。
【0033】
置換の組の差分特性:
1つのSボックスに関する1組の置換は下記の規準を満足する:
これら置換のうちの1つにおける非自明な差分特性が最大の確率を有するなら、この差分特性は他方の置換のうちの少なくとも1つにおいて低い確率を有する。
【0034】
このようにして、上記置換のうちの一方における弱点が他方の置換の1つにおける強さにより補償される。好ましくは、上記の低い確率を零として、弱点を最適に補償する。従って、1つのSボックスに対する1対の4ビット置換に関する好ましい規準は、2つの置換の一方における非自明な差分特性が1/4の確率を有する場合、この差分特性は他方の置換において確率0を有するというものになる。即ち、Sボックスの各々の非自明な(ラウンド)キーに非依存な差分特性は最大で1/8の確率を有する。
【0035】
上述した2つの置換P及びPが、この規準を満たしていることを示すために、それらのXOR分散テーブルを以下に示す。PのXOR分散テーブルにおける行α及び列βのエントリ(α,β∈Z2 4の場合)はXi α , βにより示され、
i α , β := #{ x ∈ Z2 4 | Pi(x) [+] Pi(x [+] α) = β}, i = 0,1
と定義される。即ち、Xi α , β は、置換Pに対して対応する出力対において差分βを生じさせるような差αを持つ入力対の数に等しい。
【表2】
Figure 0004828082
【0036】
所与の(ローカルな)差分特性に関する確率、即ち入力差αが出力差βを生じさせる(α→βで示す)確率は、対応するエントリを該所与の入力差を持つ入力対の数により除算することにより見付けることができる。この入力対の合計数は、4ビット置換に対しては16に等しいので、α→βの確率はXi α , β/16により与えられる。これらのテーブルの最初の行及び列におけるエントリは、自明な特性、即ち確率1での0→0、を表し、これは置換に対して常に成り立つ。全ての他の(非自明な)差分特性が1/4以下の確率を有していることは容易に分かる。何故なら、全ての他のエントリに対する最大値は両置換に対して4に等しいからである。
【表3】
Figure 0004828082
【0037】
補償効果は、例えば、両置換に関して特性7→5を考察することにより見ることができる。Pに関しては、7→5の確率はX0 7,5/16 = 1/4に等しく、Pに関しては、この確率はX1 7,5/16 = 0により与えられる。好ましくは、この補償は可能な限り多数の要素に対して生じるものとする。当該例においては、このことは、4なる最大XOR差分値を持つ全ての要素に関して成り立つ。置換を発生し且つ判定する良く知られた技法を用いて、当業者ならば、4ビット置換に関し8個の斯様な置換対を2〜3日で作成することができる。他の例として、上記規準を満たす置換P0 *及びP1 *の異なる対を、P及びPから、これらの置換の両者の出力に例えばアフィン変換を適用することにより構築することができる。これは、Z及びベクトルb∈X2 4に対して非特異(non-singular)な4x4マトリクスAを選択すると共に、全てのx ∈ Z2 4に対してP0 *(x) := P0(x)A[+]b及びP1 *(x) := P1(x)A[+]bを定義することにより実行することができる。このようにして、各々が上述した規準を満たすような322560の異なる(配列された)置換対を構築することができることを容易に検証することができる。これらの変換の1つはZ2 4→Z2 4の恒等(identity)マッピング、即ちP0 *=P及びP1 *=Pであることに注意すべきである。
【0038】
置換の組の線形特性:
1つのSボックスに関する置換の組は下記規準を満たす:
当該置換のうちの1つにおける非自明な線形特性が1/2からの最大絶対差を伴う確率を有している場合、この線形特性は、他の置換の少なくとも1つにおいて1/2に一層近い確率を有する。
【0039】
このようにして、上記置換のうちの1つにおける弱点が他の置換の1つにおける強さにより補償されることが分かる。好ましくは、上記他の置換の1つにおける対応する確率を1/2に等しくして、弱点を最適に補償する。従って、1つのSボックスに関する1対の4ビット置換に対する好ましい規準は、2つの置換のうちの一方における線形特性が確率1/4又は3/4を有する場合、この線形特性は他方の置換では確率1/2を有する、即ちSボックスの各々の(ラウンド)キーとは独立な線形特性は3/8と5/8との間の確率を有するというものである。
【0040】
上述した2つの置換P及びPが、この規準を満たしていることを示すために、それらの線形近似テーブルを以下に示す。Pの線形近似テーブルにおける行α及び列βのエントリ(α,β∈Z2 4の場合)は、Li α , β により示され、
i α , β := #{ x ∈ Z2 4 | x・α = Pi(x)・β}−8, i = 0,1
と定義される。即ち、置換Pに対し、Li α , β は、αにより定義される入力ビットに対する線形関係がβ−8により定義される対応する出力ビットに対する線形関係に等しいような入力の数を表し、これは4ビット置換に対する理想的な数である(もっと一般的には、nビット置換に対する理想値は2n-1である)。
【表4】
Figure 0004828082
【0041】
所与の(ローカルな)線形特性に関する確率、即ちαにより規定される入力ビットに対する線形関係がβにより規定される出力ビットに対する線形関係に等しい(α→βで示す)確率は、1/2+Li α , β /16に等しい。これらのテーブルの最初の行及び列におけるエントリは、自明な特性、即ち確率1での0→0、を表し、これは置換に対して常に成り立つことに注意されたい。全ての他の(非自明な)差分特性が1/4と3/4との間の確率を有していることは容易に分かる。何故なら、全ての他のエントリに対する最小及び最大値は、両置換に対して−4及び4に各々等しいからである。
【表5】
Figure 0004828082
【0042】
補償効果は、例えば、両置換に関して線形特性2→3を考察することにより見ることができる。Pに関しては、2→3の確率は1/2+L0 , /16 = 3/4に等しく、Pに関しては、この確率は1/2+L1 , /16 = 1/2により与えられる。好ましくは、この補償は可能な限り多数の要素に対して生じるものとする。当該例においては、このことは、4なる最大絶対値を持つ全ての要素に関して成り立つ。置換を発生し且つ判定する良く知られた技法を用いて、当業者ならば、4ビット置換に関し8個の斯様な置換対を2〜3日で作成することができる。他の例として、上記規準を満たす置換P0 *及びP1 *の異なる対を、P及びPから、これらの置換の両者の出力に例えばアフィン変換を適用することにより構築することができる。これは、Z及びベクトルb∈X2 4に対して非特異な4x4マトリクスAを選択すると共に、全てのx ∈ Z2 4に対してP0 *(x) := P0(x)A[+]b及びP1 *(x) := P1(x)A[+]bを定義することにより実行することができる。このようにして、各々が上述した規準を満たすような322560の異なる(配列された)対の置換を構築することができることを容易に検証することができる。これらの変換の1つはZ2 4→Z2 4の恒等マッピング、即ちP0 *=P及びP1 *=Pであることに注意すべきである。
【図面の簡単な説明】
【図1A】 図1Aは、非線形演算を含む暗号の1つのラウンドを示す。
【図1B】 図1Bも、非線形演算を含む暗号の1つのラウンドを示す。
【図2】 図2は、ラウンド関数のステップを示す。
【図3】 図3は、上記ラウンド関数のSボックスレイヤの詳細を示す。

Claims (10)

  1. 入力データブロックを出力データブロックに暗号的に変換するシステムにおいて、該システムが、
    − 前記入力データブロックを入力する入力端子と、
    − Sボックスに関連づけられた少なくとも2つの置換の所定の組を記憶する記憶部と、
    ― 置換に基づくSボックスを用いて前記入力データブロックに非線形処理を実行する暗号プロセッサであって、該プロセッサが、前記Sボックスを使用する前にその都度、該Sボックスに関連づけられた前記記憶された置換の組から置換を擬似ランダムに選択するように作用するようなプロセッサと、
    − 前記の処理された入力データブロックを出力する出力端子と、
    含み、
    前記置換の組が、該組の置換のうちの1つにおける暗号的弱点が前記組の他の置換の少なくとも1つにおける対応する暗号的強さにより少なくとも部分的に補償されるように形成されていることを特徴とするシステム。
  2. 請求項1に記載のシステムにおいて、前記データブロックはn個のデータビットからなり、前記置換の組の各要素はZ2 nで表される2個の要素の組に対する置換であり、この組における各置換の各々の非自明な差分特性は最大でpdiffの確率を有し、前記置換の組は、前記置換のうちの何れかにおけるpdiffなる確率を持つ各非自明な差分特性に関して、この差分特性が前記組の他の置換の少なくとも1つにおいてpdiffより小さな確率を有するように選択された置換により形成されることを特徴とするシステム
  3. 請求項に記載のシステムにおいて、前記差分特性が前記置換の少なくとも1つにおいて零に等しい確率を有していることを特徴とするシステム
  4. 請求項に記載のシステムにおいて、n=4及びpdiff=1/4であることを特徴とするシステム
  5. 請求項1に記載のシステムにおいて、前記データブロックはn個のデータビットからなり、前記置換の組の各要素はZ2 nで表される2個の要素の組に対する置換であり、この組における各置換の各々の非自明な線形特性は少なくとも1/2−plin最大で1/2+plinの確率を有し、前記置換の組は、前記置換のうちの何れかにおける1/2−plin又は1/2+plinなる確率を持つ各非自明な線形特性に関して、この線形特性が前記組の他の置換の少なくとも1つにおいて1/2に近い確率を有するように選択された置換により形成されることを特徴とするシステム
  6. 請求項に記載のシステムにおいて、前記線形特性が前記置換の少なくとも1つにおいて1/2に等しい確率を有していることを特徴とするシステム
  7. 請求項に記載のシステムにおいて、n=4及びplin=1/4であることを特徴とするシステム
  8. 請求項1に記載のシステムにおいて、前記置換の組が2つの置換からなることを特徴とするシステム
  9. 請求項1に記載のシステムにおいて、前記置換の選択を暗号キーの制御の下で実行するステップを含んでいることを特徴とするシステム
  10. 請求項に記載のシステムにおいて、前記置換の組が2つの置換からなり、前記置換の選択が前記暗号キーの1ビットの制御の下で実行されることを特徴とするシステム
JP2002507567A 2000-07-04 2001-06-25 対称キー暗号用の置換ボックス Expired - Lifetime JP4828082B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP00202326 2000-07-04
EP00202326.5 2000-07-04
PCT/EP2001/007187 WO2002003605A1 (en) 2000-07-04 2001-06-25 Substitution-box for symmetric-key ciphers

Publications (3)

Publication Number Publication Date
JP2004502965A JP2004502965A (ja) 2004-01-29
JP2004502965A5 JP2004502965A5 (ja) 2008-09-04
JP4828082B2 true JP4828082B2 (ja) 2011-11-30

Family

ID=8171736

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002507567A Expired - Lifetime JP4828082B2 (ja) 2000-07-04 2001-06-25 対称キー暗号用の置換ボックス

Country Status (8)

Country Link
US (1) US7043016B2 (ja)
EP (1) EP1303941B1 (ja)
JP (1) JP4828082B2 (ja)
KR (1) KR100889465B1 (ja)
CN (1) CN1193537C (ja)
AU (1) AU2001269086A1 (ja)
TW (1) TW527811B (ja)
WO (1) WO2002003605A1 (ja)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7564970B2 (en) * 2004-08-12 2009-07-21 Cmla, Llc Exponential data transform to enhance security
US8077861B2 (en) * 2004-08-12 2011-12-13 Cmla, Llc Permutation data transform to enhance security
US7577250B2 (en) * 2004-08-12 2009-08-18 Cmla, Llc Key derivation functions to enhance security
GB2379587B (en) * 2001-09-10 2003-08-20 Simon Alan Spacey A method and apparatus for securing electronic information
US20030068038A1 (en) * 2001-09-28 2003-04-10 Bedros Hanounik Method and apparatus for encrypting data
DE10149191C2 (de) * 2001-10-05 2003-12-18 Infineon Technologies Ag Verfahren und Vorrichtung zum Ermitteln von Ursprungsausgangsdaten aus Ursprungseingangsdaten auf der Basis einer kryptographischen Operation
IL147287A0 (en) * 2001-12-25 2002-08-14 Yissum Res Dev Co Method and apparatus for controlling atmospheric conditions
JP2005527853A (ja) * 2002-05-23 2005-09-15 アトメル・コーポレイション 高度暗号化規格(aes)のハードウェア暗号法エンジン
KR20050092698A (ko) * 2002-12-13 2005-09-22 코닌클리즈케 필립스 일렉트로닉스 엔.브이. 라인달 블록 암호의 서브바이트 함수를 실행하는 장치 및방법과 데이터 암호화 및 해독 장치
JP2004212828A (ja) * 2003-01-08 2004-07-29 Sony Corp 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
US7415616B2 (en) * 2004-01-21 2008-08-19 National Institute Of Information And Communications Technology Cipher strength evaluation apparatus
KR100800468B1 (ko) * 2004-01-29 2008-02-01 삼성전자주식회사 저전력 고속 동작을 위한 하드웨어 암호화/복호화 장치 및그 방법
KR20070093963A (ko) * 2004-09-24 2007-09-19 시냅틱 래버러토리즈 리미티드 대입 박스들
JP4622807B2 (ja) * 2005-03-25 2011-02-02 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP2008058830A (ja) * 2006-09-01 2008-03-13 Sony Corp データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
JP5050454B2 (ja) * 2006-09-01 2012-10-17 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
US8750254B2 (en) 2006-12-21 2014-06-10 Palo Alto Research Center Incorporated Dynamic frame scheduling based on permutations of sub-channel identifiers
EP2167141B1 (en) * 2007-07-11 2016-12-21 Stokely-Van Camp, Inc. Active sterilization zone for container filling
EP2051387A1 (en) 2007-10-15 2009-04-22 CoreOptics, Inc., c/o The Corporation Trust Center Receiver, interleaving and deinterleaving circuit and method
KR100969961B1 (ko) 2007-12-20 2010-07-15 한국전자통신연구원 블록 암호 아리아의 치환 연산 장치 및 방법
WO2009095838A1 (en) * 2008-01-31 2009-08-06 Koninklijke Philips Electronics N.V. Securing a smart card
KR101657062B1 (ko) 2008-03-05 2016-09-13 이르데토 비.브이. 화이트―박스 구현
CN101257383B (zh) * 2008-03-28 2010-06-09 中国科学院软件研究所 一种快速的s盒透明阶检测方法
US8098816B2 (en) * 2008-10-17 2012-01-17 Qualcomm Incorporated Apparatus and method for evaluating a cipher structure's resistance to cryptanalysis
JP4687775B2 (ja) * 2008-11-20 2011-05-25 ソニー株式会社 暗号処理装置
KR101186335B1 (ko) 2008-12-15 2012-09-27 한국전자통신연구원 하이브리드 방식의 치환박스 연산장치를 포함하는 아리아 암복호화 장치 및 방법.
FR2941342B1 (fr) * 2009-01-20 2011-05-20 Groupe Des Ecoles De Telecommunications Get Ecole Nat Superieure Des Telecommunications Enst Circuit de cryptographie protege contre les attaques en observation, notamment d'ordre eleve.
FR2949887B1 (fr) * 2009-09-04 2013-02-08 Oberthur Technologies Procede de traitement cryptographique de donnees
CN101719823B (zh) * 2009-10-30 2012-07-11 中国科学院软件研究所 一种实现密码算法中的s-盒线性变换的方法
KR101601684B1 (ko) * 2011-05-18 2016-03-09 한국전자통신연구원 부채널 공격에 대응하는 대칭키 암호 알고리즘 구현 방법
CN104012031B (zh) * 2011-12-22 2017-07-21 英特尔公司 用于执行jh加密散列的指令
CN104011709B (zh) * 2011-12-22 2018-06-05 英特尔公司 在256位数据路径中执行jh加密散列的指令
CN103546282B (zh) * 2012-07-12 2016-10-05 黄宜豊 具有三维运算、反馈控制与动态替换盒设计的加密方法
CN103888245A (zh) * 2012-12-20 2014-06-25 北京握奇数据系统有限公司 一种智能卡的s盒随机化方法和系统
US20150222421A1 (en) * 2014-02-03 2015-08-06 Qualcomm Incorporated Countermeasures against side-channel attacks on cryptographic algorithms
US9602273B2 (en) * 2015-05-06 2017-03-21 Nxp B.V. Implementing key scheduling for white-box DES implementation
JP6890589B2 (ja) 2015-12-15 2021-06-18 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. 計算デバイス及び方法
CN105610585A (zh) * 2016-03-14 2016-05-25 北京三未信安科技发展有限公司 一种支持密码运算的微处理器、方法及系统
US10404667B2 (en) 2016-11-17 2019-09-03 Bank Of America Corporation Secure, autonomous file encryption and decryption
CN108170203B (zh) * 2018-02-02 2020-06-16 清华大学 用于可重构处理系统的查表算子及其配置方法
US20200145187A1 (en) * 2019-12-20 2020-05-07 Intel Corporation Bit-length parameterizable cipher
US11580234B2 (en) 2019-06-29 2023-02-14 Intel Corporation Implicit integrity for cryptographic computing
US11575504B2 (en) 2019-06-29 2023-02-07 Intel Corporation Cryptographic computing engine for memory load and store units of a microarchitecture pipeline
CN110807438B (zh) * 2019-11-11 2020-10-30 电子科技大学 一种基于空排列的生理信号非线性特征提取方法
CN111756521B (zh) * 2020-06-25 2022-05-27 桂林电子科技大学 基于Feistel-SP结构的密码S盒设计方法
US11669625B2 (en) 2020-12-26 2023-06-06 Intel Corporation Data type based cryptographic computing
US11610004B2 (en) * 2021-04-14 2023-03-21 Bank Of America Corporation System for implementing enhanced file encryption technique

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0863097A (ja) * 1994-08-04 1996-03-08 Northern Telecom Ltd データを暗号化するための対称暗号化方法およびシステム
JPH10153955A (ja) * 1996-11-25 1998-06-09 Nippon Signal Co Ltd:The 暗号装置
JP2004506246A (ja) * 2000-08-03 2004-02-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 対称鍵暗号のための線形変換

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4972476A (en) * 1989-05-11 1990-11-20 Nathans Robert L Counterfeit proof ID card having a scrambled facial image
KR0153758B1 (ko) * 1995-12-26 1998-11-16 양승택 입출력 변화 공격과 선형 공격에 안전한 대치회로 생성기 및 생성방법
KR100389902B1 (ko) * 1997-06-23 2003-09-22 삼성전자주식회사 차분해독법과선형해독법에대하여안전성을보장하는고속블럭암호화방법
US6182216B1 (en) * 1997-09-17 2001-01-30 Frank C. Luyster Block cipher method
GB2329557B (en) * 1997-09-19 2002-05-01 Motorola As Method and apparatus for viterbi decoding of punctured codes
US6038317A (en) * 1997-12-24 2000-03-14 Magliveras; Spyros S. Secret key cryptosystem and method utilizing factorizations of permutation groups of arbitrary order 2l
US6243470B1 (en) * 1998-02-04 2001-06-05 International Business Machines Corporation Method and apparatus for advanced symmetric key block cipher with variable length key and block
US6075865A (en) * 1998-07-01 2000-06-13 Tecsec Incorporated Cryptographic communication process and apparatus
EP2173036B1 (en) * 1998-08-17 2014-05-14 Dtvg Licensing, Inc Turbo code interleaver with near optimal performance
US7346161B2 (en) * 2000-01-26 2008-03-18 Fujitsu Limited Method and apparatus for designing cipher logic, and a computer product

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0863097A (ja) * 1994-08-04 1996-03-08 Northern Telecom Ltd データを暗号化するための対称暗号化方法およびシステム
JPH10153955A (ja) * 1996-11-25 1998-06-09 Nippon Signal Co Ltd:The 暗号装置
JP2004506246A (ja) * 2000-08-03 2004-02-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 対称鍵暗号のための線形変換

Also Published As

Publication number Publication date
CN1193537C (zh) 2005-03-16
EP1303941B1 (en) 2012-12-19
WO2002003605A1 (en) 2002-01-10
US7043016B2 (en) 2006-05-09
KR20020041810A (ko) 2002-06-03
KR100889465B1 (ko) 2009-03-20
TW527811B (en) 2003-04-11
JP2004502965A (ja) 2004-01-29
US20020027987A1 (en) 2002-03-07
CN1383648A (zh) 2002-12-04
EP1303941A1 (en) 2003-04-23
AU2001269086A1 (en) 2002-01-14

Similar Documents

Publication Publication Date Title
JP4828082B2 (ja) 対称キー暗号用の置換ボックス
US5745577A (en) Symmetric cryptographic system for data encryption
Jakimoski et al. Chaos and cryptography: block encryption ciphers based on chaotic maps
JP5646612B2 (ja) 中間データ変更を使用する構成可能な鍵を用いるホワイトボックス暗号システム
US7715553B2 (en) Encrypting a plaintext message with authentication
JP5079204B2 (ja) 対称鍵暗号のための線形変換
Isobe et al. All subkeys recovery attack on block ciphers: Extending meet-in-the-middle approach
US20120121083A1 (en) Encryption apparatus and method
Manjula et al. Constructing key dependent dynamic S-Box for AES block cipher system
Alabdulrazzaq et al. Performance evaluation of cryptographic algorithms: DES, 3DES, blowfish, twofish, and threefish
Chaitra et al. A survey on various lightweight cryptographic algorithms on FPGA
Alemami et al. Advanced approach for encryption using advanced encryption standard with chaotic map
Lu Cryptanalysis of block ciphers
Patil et al. An enhancement in international data encryption algorithm for increasing security
Ooi et al. Cryptanalysis of s-des
Sharma et al. Cryptography Algorithms and approaches used for data security
EP1001398B1 (en) Ciphering apparatus
Sharma et al. Comparative analysis of block key encryption algorithms
Hong et al. Improved preimage attacks on hash modes of 8-round AES-256
KUMAR et al. Secure and Efficient Diffusion Layers for Block Ciphers.
Salman New method for encryption using mixing advanced encryption standard and blowfish algorithms
Aoki A middletext distinguisher for full CLEFIA-128
El-Morshedy et al. Cryptographic Algorithms for Enhancing Security in Cloud Computing.
Ali et al. Never Underestimate Substitution Cipher with Diffusion
Aoki A property for full CLEFIA-128 detected by a middletext distinguisher under the known-key setting

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080624

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110426

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110818

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110914

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140922

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4828082

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term