JP6273225B2 - 暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラム - Google Patents

暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラム Download PDF

Info

Publication number
JP6273225B2
JP6273225B2 JP2015036191A JP2015036191A JP6273225B2 JP 6273225 B2 JP6273225 B2 JP 6273225B2 JP 2015036191 A JP2015036191 A JP 2015036191A JP 2015036191 A JP2015036191 A JP 2015036191A JP 6273225 B2 JP6273225 B2 JP 6273225B2
Authority
JP
Japan
Prior art keywords
state
result
block
calculation
exclusive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015036191A
Other languages
English (en)
Other versions
JP2016157054A (ja
Inventor
悠 佐々木
悠 佐々木
幹 安田
幹 安田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015036191A priority Critical patent/JP6273225B2/ja
Publication of JP2016157054A publication Critical patent/JP2016157054A/ja
Application granted granted Critical
Publication of JP6273225B2 publication Critical patent/JP6273225B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、追加認証データ付きの認証暗号を実行する暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラムに関する。
追加認証データ付認証暗号とは、メッセージMの秘匿および、Mと追加認証データAの認証(改ざん検知)を同時に行う共通鍵暗号プリミティブである。暗号化関数と復号関数の2つの関数から構成される。追加認証データ認証暗号では、受信者と送信者はあらかじめ秘密の鍵Kを共有しておく。送信者は、メッセージM、追加認証データAに加えて、暗号化関数を呼び出すたびに変化する値(ナンスと呼ばれる)Nを選択する。暗号化関数は、M,A,Nに対応する暗号文CとタグTを生成し、(C,T,A,N)の組を受信者に送る。受信者は(C,T,A,N)を受け取るが、この時点でこれらの値が悪意ある第三者によって改ざんされていないという保証がない。受信者は受け取った(C,T,A,N)と自分が保有するKを用いて復号関数を計算する。復号関数は、メッセージM’とタグT’を計算する。計算して得られたT’と受信したTが同じ値であれば、受け取った(C,T,A,N)は正しい値であると判断し、復号されたメッセージとしてM’を出力する。T≠T’であれば、復号に失敗した(データが改ざんされた)という結果を出力する。
非特許文献1に記載されているSPONGEWRAPは、認証暗号の暗号化関数と復号関数の構成法である。保証したい安全性レベル(ビット数)に比べて比較的大きなサイズの置換(bijective map)を用いて暗号化関数、復号関数を構成するという特徴を持つ。
<SPONGEWRAP>
SPONGEWRAPの暗号化関数は、ステートと呼ばれるbビットのデータを、bビットの置換f:{0,1}→{0,1}と入力データ(N,A,M)と鍵Kを用いて繰り返しアップデートを行いながらCとTを計算する。またbビットのステートは、レートと呼ばれるrビットと、キャパシティと呼ばれるc(=b−r)ビットに分割される。暗号化関数の計算の際、ステートの値は予め定められた初期値IVと呼ばれるbビットの値に初期化され(例えばIV=0)、fによりbビットの置換が行われ、ステートが更新される。暗号化関数の具体的な計算手順は以下の手順1から手順4で説明される通りである。図1に、SPONGEWRAPの暗号化での計算構造を示す。
<手順1>
鍵Kをr−1ビット毎に分割する。最終ブロックでは10*パディングと呼ばれるパディング処理を施す。具体的には、最終ブロックのビット長がr−1ビットより短い場合には、1ビットの値“1”を与し、その後r−1ビットになるまでビット“0”を付与する。最終ブロックのビット長が丁度r−1ビットの場合には、次のブロックの先頭のビットとして 1 ビットの値“1”を与し、その後r−1ビットになるまでビット“0”を付与する。
Kをr−1ビット毎に分割したそれぞれの値に、フレームビットと呼ばれる1ビットの値を連結し、rビットにする。具体的には、最初のブロックから最終ブロックの一つ手前のブロックまではフレームビットを“0”とし、最終ブロックのみフレームビットを“1”とする。bビットのステートのうちレート部分のrビットに対し、Kとフレームビットを連結したrビットの値との排他的論理和を計算し、置換fを計算する。fの出力を新たなステート値とする。この操作をKの最終ブロックが排他的論理和されるまで続ける。なお、この処理まではあらかじめ行っておくことができるので、手順1までを初期化と呼んでもよい。
<手順2>
ナンスNと追加認証データAを連結し、r−1ビット毎に分割する。最終ブロックに対しては10*パディングを施す。NとAの連結をr−1ビット毎に分割したそれぞれの値に、1ビットのフレームビットを連結し、rビットにする。具体的には、最初のブロックから最終ブロックの一つ手前のブロックまではフレームビットを“0”とし、最終ブロックのみフレームビットを“1”とする。bビットのステートのうち、レート部分のrビットに対し、NもしくはAとフレームビットを連結した rビットの値との排他的論理和を計算し、置換fを計算する。fの出力を新たなステート値とする。この操作をN,Aの最終ブロックが排他的論理和されるまで続ける。
<手順3>
メッセージMをr−1ビット毎に分割する。最終ブロックに対しては10*パディングを施す。Mの連結をr−1ビット毎に分割したそれぞれの値に、1ビットのフレームビットを連結し、rビットにする。具体的には、最初のブロックから最終ブロックの一つ手前のブロックまではフレームビットを“1”とし、最終ブロックのみフレームビットを“0”とする。
bビットのステートのうち、レート部分のrビットに対し、Mとフレームビットを連結した r ビットの値との排他的論理和を計算する。計算された rビットを暗号文のrビットとして出力する。ステートに対し置換fを計算し、fの出力を新たなステート値とする。この操作をMの最終ブロックが排他的論理和されるまで続ける。Mのサイズがrの倍数でない場合、最終ブロックは端数分のみを暗号文として出力し、ステートに排他的論理和する。
<手順4>
bビットのステートのうち、レート部分のrビットをタグのrビットとして出力する。ステートに対し置換fを計算し、fの出力を新たなステート値とする。この操作をタグのビット数に達するまで続ける。タグ長がrの倍数でない場合、最後のrビットの出力を必要な端数に切り捨ててタグの出力とする。
<復号>
SPONGEWRAPの復号関数は、暗号化関数とほぼ同様の計算を行う。図2に、SPONGEWRAPの復号での計算構造を示す。ステートはIVに初期化され、暗号化関数の手順1,2同じ処理を行う。手順3は暗号化関数と異なっており、bビットのステートのうち、レート部分のrビットとCのrビットの排他的論理和をとり、パディングやフレームビット付与の逆手順を通した値をM’のr−1ビットとする。bビットのステートのうち、レート部分のrビットをCのrビットに置き換え、置換fを計算する。fの出力を新たなステート値とする。この操作をCの最終ブロックが排他的論理和されるまで続ける。Cの最終ブロックのサイズがrの倍数でない場合、端数分のみをM’の生成とステートの置き換えに利用する。手順3終了後、暗号化関数の手順4と同じ処理を行い、タグT’を得る。計算したT’と受け取ったTを比較し、同じ値であればM’を復号されたメッセージとして出力する。一致しなかった場合は、復号に失敗したという結果を出力する。
<donkeySponge>
非特許文献2に示されたdonkeySpongeは、SPONGEWRAPの追加認証データ処理部分を利用してメッセージ認証コードを計算する方法である。図3にdonkeySpongeの計算構造を示す。メッセージ認証コードを生成する目的では、鍵Kおよび入力Aをbビットステートの全ビットに排他的論理和をしても安全性を損なうことが無く、効率的に入力データを処理することができる。
<monkeyDuplex>
非特許文献2に示されたmonkeyDuplexは、SPONGEWRAPのKとNの処理方法に工夫を加え、より効率的な計算を可能にする方法である。Kのcビットまでを、IVのcビットのキャパシティ部分とする。もしくは、Kのcビットまでと、別に定義されたcビット定数との排他的論理和をIVのcビットのキャパシティ部分とする。いずれの方法も、暗号化関数,復号関数で手順 1(Kの処理)におけるfの計算関数を少なくすることができるため、計算効率が上昇する。なお、Kがcビットに満たない場合、適切なパディングによりIVのcビットがすべて定義されるようにする。
また、Nのrビットまでを、IVのrビットのレート部分とする。もしくは、Nのrビットまでと、別に定義されたrビット定数との排他的論理和をIVのrビットのレート部分とする。手順2におけるfの計算関数を少なくすることができるため、計算効率が上昇する。なお、Nがrビットに満たない場合、適切なパディングによりIVのrビットがすべて定義されるようにする。monkeyDuplexによるステートの初期化およびK,Nの処理を図 4に示す。
Guido Bertoni, Joan Daemen, Michael Peeters and Gilles Van Assche,"Duplexing the Sponge: Single-Pass Authenticated Encryption and Other Applications", SAC 2011, (eds.) Ali Miri and Serge Vaudenay, LNCS, Vol. 7118, pages 320-337, Springer, 2012. Guido Bertoni, Joan Daemen, Michael Peeters and Gilles Van Assche,"Permutation-based encryption, authentication and authenticated encryption", Workshop Records of DIAC 2012.
しかしながら、SPONGEWRAPでは、追加認証データAをr−1ビットごとに処理するため、置換演算fの回数が多くなり非効率である。そこで、本発明は、置換演算fの演算回数を少なくすることを目的とする。
本発明の暗号化システムは、暗号化装置と復号装置を有する。まず、Kを暗号化装置と復号装置の両方で共有する秘密鍵、Aを追加認証データ、Mをメッセージ、Cを暗号文、Tをタグ、K,A,Mをビット列、Nをすべてのビットが“0”のビット列を除くビット列、r,c,b,P,Qを1以上の整数、b=r+c、pを1以上P以下の整数、qを1以上Q以下の整数、Sをあらかじめ定めた1以上の整数、sを1以上S以下の整数、fをbビットの置換演算、gを0〜2−1の整数からなる有限体の元と0と1以外のあらかじめ定めた定数との有限体上での乗算とする。また、ステートを、あらかじめ定められたrビットがレート部分、cビットがキャパシティ部分であるbビットのビット列とする。
暗号化装置は、暗号化用初期値設定部、メッセージ分割部、暗号化用追加認証データ分割部、暗号化部、暗号化用タグ計算部、出力部を備える。暗号化用初期値設定部は、Nを選択し、NとKを用いてbビットの暗号化用初期値を生成し、暗号化用初期値をfにより置換した結果をステートとする。メッセージ分割部は、メッセージMを、パディングを用いてrビットごとのメッセージブロックm,…,mに分割する。暗号化用追加認証データ分割部は、追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する。
暗号化部は、P=Qの場合は、次の(1)〜(3)を実行する。
(1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=P−1まで繰り返す。
(2)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(3)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める。
暗号化部は、P>Qの場合は、次の(1)〜(4)を実行する。
(1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=Qまで繰り返す。
(2)P−1≧Q+1ならば、ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=Q+1からp=P−1まで繰り返す。
(3)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするともに、ステートのレート部分を当該計算の結果に置き換える。キャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める。
暗号化部は、P<Qの場合は、次の(1)〜(4)を実行する。
(1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=Pまで繰り返す。
(2)P+1≦Q−1ならば、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、q=P+1からq=Q−1まで繰り返す。
(3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める。
暗号化用タグ計算部は、S=1の場合はステートのレート部分からタグTを求める。S≧2の場合は、ステートのレート部分をタグブロックtとする。S≧2の場合はさらに、ステートをfにより置換した結果を新たなステートとし、そのレート部分をタグブロックtとする処理をs=2からs=Sまで繰り返す。そして、タグブロックt,…,tを用いてタグTを求める。出力部は、C,T,A,Nの組を出力する。
復号装置は、入力部、復号用初期値設定部、暗号文分割部、復号用追加認証データ分割部、復号部、復号用タグ計算部、検証部を備える。入力部は、C,T,A,Nの組を取得する。復号用初期値設定部は、NとKを用いてbビットの復号用初期値を生成し、前記復号用初期値をfにより置換した結果をステートとする。暗号文分割部は、暗号文Cを、rビットごとの暗号ブロックd,…,dに分割する。復号用追加認証データ分割部は、追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する。
復号部は、P=Qの場合は、次の(1)〜(3)を実行する。
(1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=P−1まで繰り返す。
(2)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(3)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする。
復号部は、P>Qの場合は、次の(1)〜(4)を実行する。
(1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=Qまで繰り返す。
(2)P−1≧Q+1ならば、ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=Q+1からp=P−1まで繰り返す。
(3)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換える。キャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする。
復号部は、P<Qの場合は、次の(1)〜(4)を実行する。
(1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=Pまで繰り返す。
(2)P+1≦Q−1ならば、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、q=P+1からq=Q−1まで繰り返す。
(3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする。
復号用タグ計算部は、S=1の場合はステートのレート部分からタグT’を求める。S≧2の場合は、ステートのレート部分をタグブロックt’とする。S≧2の場合はさらに、ステートをfにより置換した結果を新たなステートとしてレート部分をタグブロックt’とする処理をs=2からs=Sまで繰り返す。そして、タグブロックt’,…,t’を用いてタグT’を求める。検証部は、タグTとタグT’とを比較する。
SPONGEWRAPでは、追加認証データAとメッセージMを順番にr−1ビットごとに処理するため、|A|/(r−1)+|M|/(r−1)回数程度の置換演算fを行う必要があった。本発明の暗号化システムでは、キャパシティ部分に対して排他的論理和の計算を行っても、その結果を分からない状態にすれば安全な暗号化を実現できることを利用して、キャパシティ部分と追加認証データAとの排他的論理和の計算と、レート部分とメッセージMとの排他的論理和の計算を並列に行う。さらに、追加認証データAに対する処理とメッセージMに対する処理が異なるので、処理対象のデータが追加認証データAかメッセージMかを判別するために必要なフレームビットが不要となる。よって、追加認証データAはcビットごとに処理でき、メッセージMはrビットごとに処理できる。したがって、置換演算fを行う回数を、|A|/cと|M|/rの大きい方程度にできる。つまり、置換演算fの演算回数を少なくできる。なお、||はビット列のビット数を示す記号である。
SPONGEWRAPの暗号化での計算構造を示す図。 SPONGEWRAPの復号での計算構造を示す図。 donkeySpongeの計算構造を示す図。 monkeyDuplexによるステートの初期化およびK,Nの処理を示す図。 本発明の暗号化システムの機能構成例を示す図。 本発明の暗号化でのP=Qの場合の計算構造の例を示す図。 本発明の暗号化でのP>Qの場合の計算構造の例を示す図。 本発明の暗号化でのP<Qの場合の計算構造の例を示す図。 本発明の復号でのP=Qの場合の計算構造の例を示す図。 本発明の復号でのP>Qの場合の計算構造の例を示す図。 本発明の復号でのP<Qの場合の計算構造の例を示す図。 本発明の暗号化装置の処理フローを示す図。 本発明の復号装置の処理フローを示す図。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
図5に本発明の暗号化システムの機能構成例を示す。図6は本発明の暗号化でのP=Qの場合の計算構造の例を示す図、図7は本発明の暗号化でのP>Qの場合の計算構造の例を示す図、図8は本発明の暗号化でのP<Qの場合の計算構造の例を示す図である。なお、図7,8では初期値設定部110とタグ計算部150の計算構造の部分は省略しているが、図6と同じ計算構造である。図9は本発明の復号でのP=Qの場合の計算構造の例を示す図、図10は本発明の復号でのP>Qの場合の計算構造の例を示す図、図11は本発明の復号でのP<Qの場合の計算構造の例を示す図である。なお、図10,11では初期値設定部210とタグ計算部250の計算構造の部分は省略しているが、図9と同じ計算構造である。また、図12は本発明の暗号化装置の処理フロー、図13は本発明の復号装置の処理フローを示す図である。実施例1の暗号化システムは、ネットワーク800を介して接続された暗号化装置100と復号装置200で構成される。まず、Kを暗号化装置と復号装置の両方で共有する秘密鍵、Aを追加認証データ、Mをメッセージ、Cを暗号文、Tをビット数Lのタグ、K,A,Mをビット列、Nをすべてのビットが“0”のビット列を除くビット列、r,c,b,P,Qを1以上の整数、b=r+c、pを1以上P以下の整数、qを1以上Q以下の整数、Sをあらかじめ定めた1以上の整数、sを1以上S以下の整数、fをbビットの置換演算、gを0〜2−1の整数からなる有限体の元と0と1以外のあらかじめ定めた定数との有限体上での乗算、||をビット列のビット数を示す記号とする。また、ステートを、あらかじめ定められたrビットがレート部分、cビットがキャパシティ部分であるbビットのビット列とする。
<暗号化装置>
暗号化装置100は、初期値設定部110、メッセージ分割部120、追加認証データ分割部130、暗号化部140、タグ計算部150、出力部190を備える。初期値設定部110は、Nを選択し、NとKを用いてbビットの初期値を生成し、初期値をfにより置換した結果をステートとする(S110)。例えば、初期値設定部110は、初期値として、レート部分にNを埋め込み、キャパシティ部分にKを埋め込めばよい。「埋め込む」とは、例えば、Nのビット数がrより小さいときはパディングによってrビットにした上でレート部分にすることを意味している。また、Nのビット数がrよりも大きい場合はNからrビットを切り出す、もしくはハッシュ関数などを用いてrビットに変換してレート部分にしてもよい。fはSPONGEWRAPで説明した置換と同じであり、あらかじめ暗号化装置100と復号装置200との間で定めておく。図6〜8では、110を付した点線で囲まれた部分が初期値設定部に相当する。
メッセージ分割部120は、メッセージMを、パディングを用いてrビットごとのメッセージブロックm,…,mに分割する(S120)。パディングには10*パディングを用いればよい。例えば、ビット数がrビットの整数倍(P倍)になるようにメッセージMにパディングを行い、rビットごとに分割することでメッセージブロックm,…,mを生成すればよい。Pは|M|/rを下回らない整数となる。図6〜8では、120を付した点線で囲まれた部分がメッセージ分割部に相当する。
追加認証データ分割部130は、追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する(S130)。同様に、パディングには10*パディングを用いればよい。例えば、ビット数がcビットの整数倍(Q倍)になるように追加認証データAにパディングを行い、cビットごとに分割することで追加認証データブロックa,…,aを生成すればよい。Qは|A|/cを下回らない整数となる。図6〜8では、130を付した点線で囲まれた部分がメッセージ分割部に相当する。
暗号化部140では、ステートのレート部分とメッセージブロックmとの排他的論理和の計算を行い、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和の計算を行う。この処理1回ごとに置換演算fを行い、すべてのメッセージブロックと追加認証データブロックについての処理が終了するまで繰り返す。そして、最後にキャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。また、上述のレート部分とメッセージブロックmとの排他的論理和の計算の結果を暗号ブロックdとし、暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める(S140)。「排他的論理和」はビット単位の排他的論理和であり、同じ位置のビット同士の排他的論理和を行う演算である。例えば、ビット列“10100”とビット列“00110”との排他的論理和の結果は“10010”である。「結合処理を用いて暗号文Cを求める」とは、単に暗号ブロックd,…,dを結合して暗号文Cとすること、および、結合した上でパディング部分を取り除いて暗号文Cとすることを含む意味である。図6〜8では、140を付した点線で囲まれた部分が暗号化部に相当する。
暗号化部140の処理を、P=Q、P>Q、P<Qの3つに場合分けして詳細に説明する。暗号化部140は、P=Qの場合は、次の(1)〜(3)を実行する(図6参照)。
(1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=P−1まで繰り返す。
(2)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(3)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める。
暗号化部140は、P>Qの場合は、次の(1)〜(4)を実行する(図7参照)。
(1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=Qまで繰り返す。
(2)P−1≧Q+1ならば(PとQの差が2以上ならば)、ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=Q+1からp=P−1まで繰り返す。つまり、PとQとの差が1の場合はこの処理は行わない。
(3)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするともに、ステートのレート部分を当該計算の結果に置き換える。キャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める。
暗号化部140は、P<Qの場合は、次の(1)〜(4)を実行する(図8参照)。
(1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=Pまで繰り返す。
(2)P+1≦Q−1ならば(PとQの差が2以上ならば)、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、q=P+1からq=Q−1まで繰り返す。
(3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める。
タグ計算部150は、S=1の場合はステートのレート部分からタグTを求める。S≧2の場合は、ステートのレート部分をタグブロックtとする。S≧2の場合はさらに、ステートをfにより置換した結果を新たなステートとし、そのレート部分をタグブロックtとする処理をs=2からs=Sまで繰り返す。そして、タグブロックt,…,tを用いてタグTを求める(S150)。S=1の場合は、レート部分をそのままタグTとしてもよいし、レート部の中からビット数Lだけを切り出してタグTとしてもよい。S≧2の場合は、例えば、タグブロックt,…,tを結合した結果をタグTとしてもよいし、タグブロックt,…,tを結合した結果からビット数Lよりも多いビット分を切り捨てて(ビット数L分を切り出して)タグTとしてもよい。また、各タグブロックtから所定のビットを切り出した後、それらを結合してタグTとしてもよい。なお、Sは、r×SがタグTのビット数L以上となるようにあらかじめ定めておけばよい。図6〜8では、150を付した点線で囲まれた部分がタグ計算部に相当する。出力部190は、C,T,A,Nの組を出力する(S190)。出力されたC,T,A,Nの組が復号装置200に送信される。
<復号装置>
復号装置200は、入力部290、初期値設定部210、暗号文分割部220、追加認証データ分割部230、復号部240、タグ計算部250、検証部260を備える。入力部290は、C,T,A,Nの組を取得する(S290)。
初期値設定部210は、NとKを用いてbビットの初期値を生成し、初期値をfにより置換した結果をステートとする(S210)。例えば、初期値設定部210は、初期値として、レート部分にNを埋め込み、キャパシティ部分にKを埋め込めばよい。図9〜11では、210を付した点線で囲まれた部分が初期値設定部に相当する。
暗号文分割部220は、暗号文Cを、rビットごとの暗号ブロックd,…,dに分割する(S220)。暗号ブロックd,…,dへの分割は、暗号化装置100の暗号化部140が行った結合処理の逆を行う。図9〜11では、220を付した点線で囲まれた部分がメッセージ分割部に相当する。
追加認証データ分割部230は、追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する(S230)。パディングには10*パディングを用いればよい。図9〜11では、230を付した点線で囲まれた部分が追加認証データ分割部に相当する。
復号部240では、ステートのレート部分と暗号ブロックdとの排他的論理和の計算を行い、レート部分を暗号ブロックdに置き換え、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和の計算を行う。この処理1回ごとに置換演算fを行い、すべての暗号ブロックと追加認証データブロックについての処理が終了するまで繰り返す。そして、最後にキャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。また、上述のレート部分と暗号ブロックdとの排他的論理和の計算の結果をメッセージブロックm’とし、メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする(S240)。図9〜11では、240を付した点線で囲まれた部分が復号部に相当する。
復号部240の処理を、P=Q、P>Q、P<Qの3つに場合分けして詳細に説明する。復号部240は、P=Qの場合は、次の(1)〜(3)を実行する(図9参照)。
(1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=P−1まで繰り返す。
(2)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(3)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする。
復号部240は、P>Qの場合は、次の(1)〜(4)を実行する(図10参照)。
(1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=Qまで繰り返す。
(2)P−1≧Q+1ならば(PとQの差が2以上ならば)、ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=Q+1からp=P−1まで繰り返す。
(3)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換える。キャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする。
復号部240は、P<Qの場合は、次の(1)〜(4)を実行する(図11参照)。
(1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換える。ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、p=1からp=Pまで繰り返す。
(2)P+1≦Q−1ならば(PとQの差が2以上ならば)、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換える。その後、fにより置換した結果を新たなステートとする。これらの処理を、q=P+1からq=Q−1まで繰り返す。
(3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換える。その後、fにより置換した結果を新たなステートとする。
(4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする。
タグ計算部250は、S=1の場合はステートのレート部分からタグT’を求める。S≧2の場合は、ステートのレート部分をタグブロックt’とする。S≧2の場合はさらに、ステートをfにより置換した結果を新たなステートとしてレート部分をタグブロックt’とする処理をs=2からs=Sまで繰り返す。そして、タグブロックt’,…,t’を用いてタグT’を求める(S250)。図9〜11では、250を付した点線で囲まれた部分がタグ計算部に相当する。検証部260は、タグTとタグT’とを比較する(S260)。復号装置200は、T=T’のときはメッセージM’を復号されたメッセージとする。T≠T’のときは復号に失敗したという結果を出力する。
<効果>
SPONGEWRAPでは、追加認証データAとメッセージMを順番にr−1ビットごとに処理するため、|A|/(r−1)+|M|/(r−1)回数程度の置換演算fを行う必要があった。本発明の暗号化システムでは、キャパシティ部分に対して排他的論理和の演算を行っても、その結果を分からない状態にすれば暗号化の安全性を確保できることに着目している。そして、暗号化部140と復号部240の処理中でgの演算を行うことなどによって、結果が分からないようにしている。よって、本発明の暗号化システムによれば、キャパシティ部分と追加認証データAとの排他的論理和の計算と、レート部分とメッセージMとの排他的論理和の計算を並列に行うことができる。さらに、追加認証データAに対する処理とメッセージMに対する処理が異なるので、処理対象のデータが追加認証データAかメッセージMかを判別するために必要なフレームビットが不要となる。よって、追加認証データAはcビットごとに処理でき、メッセージMはrビットごとに処理できる。したがって、置換演算fを行う回数を、|A|/cと|M|/rの大きい方程度にできる。つまり、置換演算fの演算回数を少なくできる。
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
100 暗号化装置 110,210 初期値設定部
120 メッセージ分割部 130,230 追加認証データ分割部
140 暗号化部 150,250 タグ計算部
190 出力部 200 復号装置
220 暗号文分割部 240 復号部
260 検証部 290 入力部
800 ネットワーク

Claims (6)

  1. 暗号化装置と復号装置を有する暗号化システムであって、
    Kを前記暗号化装置と前記復号装置の両方で共有する秘密鍵、Aを追加認証データ、Mをメッセージ、Cを暗号文、Tをタグ、K,A,Mをビット列、Nをすべてのビットが“0”のビット列を除くビット列、r,c,b,P,Qを1以上の整数、b=r+c、pを1以上P以下の整数、qを1以上Q以下の整数、Sをあらかじめ定めた1以上の整数、sを1以上S以下の整数、fをbビットの置換演算、gを0〜2−1の整数からなる有限体の元と0と1以外のあらかじめ定めた定数との有限体上での乗算とし、
    ステートを、あらかじめ定められたrビットがレート部分、cビットがキャパシティ部分であるbビットのビット列とし、
    前記暗号化装置は、
    Nを選択し、NとKを用いてbビットの暗号化用初期値を生成し、前記暗号化用初期値をfにより置換した結果をステートとする暗号化用初期値設定部と、
    メッセージMを、パディングを用いてrビットごとのメッセージブロックm,…,mに分割するメッセージ分割部と、
    追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する暗号化用追加認証データ分割部と、
    P=Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=P−1まで繰り返し、
    (2)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (3)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求め、
    P>Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Qまで繰り返し、
    (2)P−1≧Q+1ならば、ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=Q+1からp=P−1まで繰り返し、
    (3)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするともに、ステートのレート部分を当該計算の結果に置き換え、さらにキャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求め、
    P<Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Pまで繰り返し、
    (2)P+1≦Q−1ならば、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、q=P+1からq=Q−1まで繰り返し、
    (3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める
    暗号化部と、
    S=1の場合はステートのレート部分からタグTを求め、S≧2の場合は、ステートのレート部分をタグブロックtとし、さらに、ステートをfにより置換した結果を新たなステートとしてレート部分をタグブロックtとする処理をs=2からs=Sまで繰り返し、タグブロックt,…,tを用いてタグTを求める暗号化用タグ計算部と、
    C,T,A,Nの組を出力する出力部と、
    を備え、
    前記復号装置は、
    C,T,A,Nの組を取得する入力部と、
    NとKを用いてbビットの復号用初期値を生成し、前記復号用初期値をfにより置換した結果をステートとする復号用初期値設定部と、
    暗号文Cを、rビットごとの暗号ブロックd,…,dに分割する暗号文分割部と、
    追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する復号用追加認証データ分割部と、
    P=Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=P−1まで繰り返し、
    (2)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (3)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とし、
    P>Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Qまで繰り返し、
    (2)P−1≧Q+1ならば、ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=Q+1からp=P−1まで繰り返し、
    (3)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換え、キャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とし、
    P<Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Pまで繰り返し、
    (2)P+1≦Q−1ならば、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、q=P+1からq=Q−1まで繰り返し、
    (3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする
    復号部と、
    S=1の場合はステートのレート部分からタグT’を求め、S≧2の場合は、ステートのレート部分をタグブロックt’とし、さらに、ステートをfにより置換した結果を新たなステートとしてレート部分をタグブロックt’とする処理をs=2からs=Sまで繰り返し、タグブロックt’,…,t’を用いてタグT’を求める復号用タグ計算部と、
    タグTとタグT’とを比較する検証部と
    を備える
    暗号化システム。
  2. Kを暗号化装置と復号装置の両方で共有する秘密鍵、Aを追加認証データ、Mをメッセージ、Cを暗号文、Tをタグ、K,A,Mをビット列、Nをすべてのビットが“0”のビット列を除くビット列、r,c,b,P,Qを1以上の整数、b=r+c、pを1以上P以下の整数、qを1以上Q以下の整数、Sをあらかじめ定めた1以上の整数、sを1以上S以下の整数、fをbビットの置換演算、gを0〜2−1の整数からなる有限体の元と0と1以外のあらかじめ定めた定数との有限体上での乗算とし、
    ステートを、あらかじめ定められたrビットがレート部分、cビットがキャパシティ部分であるbビットのビット列とし、
    Nを選択し、NとKを用いてbビットの初期値を生成し、前記初期値をfにより置換した結果をステートとする初期値設定部と、
    メッセージMを、パディングを用いてrビットごとのメッセージブロックm,…,mに分割するメッセージ分割部と、
    追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する追加認証データ分割部と、
    P=Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=P−1まで繰り返し、
    (2)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (3)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求め、
    P>Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Qまで繰り返し、
    (2)P−1≧Q+1ならば、ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=Q+1からp=P−1まで繰り返し、
    (3)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするともに、ステートのレート部分を当該計算の結果に置き換え、さらにキャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求め、
    P<Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Pまで繰り返し、
    (2)P+1≦Q−1ならば、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、q=P+1からq=Q−1まで繰り返し、
    (3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める
    暗号化部と、
    S=1の場合はステートのレート部分からタグTを求め、S≧2の場合は、ステートのレート部分をタグブロックtとし、さらに、ステートをfにより置換した結果を新たなステートとしてレート部分をタグブロックtとする処理をs=2からs=Sまで繰り返し、タグブロックt,…,tを用いてタグTを求めるタグ計算部と、
    C,T,A,Nの組を出力する出力部と、
    を備える暗号化装置。
  3. Kを暗号化装置と復号装置の両方で共有する秘密鍵、Aを追加認証データ、Mをメッセージ、Cを暗号文、Tをタグ、K,A,Mをビット列、Nをすべてのビットが“0”のビット列を除くビット列、r,c,b,P,Qを1以上の整数、b=r+c、pを1以上P以下の整数、qを1以上Q以下の整数、Sをあらかじめ定めた1以上の整数、sを1以上S以下の整数、fをbビットの置換演算、gを0〜2−1の整数からなる有限体の元と0と1以外のあらかじめ定めた定数との有限体上での乗算とし、
    ステートを、あらかじめ定められたrビットがレート部分、cビットがキャパシティ部分であるbビットのビット列とし、
    C,T,A,Nの組を取得する入力部と、
    NとKを用いてbビットの初期値を生成し、前記初期値をfにより置換した結果をステートとする初期値設定部と、
    暗号文Cを、rビットごとの暗号ブロックd,…,dに分割する暗号文分割部と、
    追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する追加認証データ分割部と、
    P=Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=P−1まで繰り返し、
    (2)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (3)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とし、
    P>Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Qまで繰り返し、
    (2)P−1≧Q+1ならば、ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=Q+1からp=P−1まで繰り返し、
    (3)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換え、キャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とし、
    P<Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Pまで繰り返し、
    (2)P+1≦Q−1ならば、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、q=P+1からq=Q−1まで繰り返し、
    (3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする
    復号部と、
    S=1の場合はステートのレート部分からタグT’を求め、S≧2の場合は、ステートのレート部分をタグブロックt’とし、さらに、ステートをfにより置換した結果を新たなステートとしてレート部分をタグブロックt’とする処理をs=2からs=Sまで繰り返し、タグブロックt’,…,t’を用いてタグT’を求めるタグ計算部と、
    タグTとタグT’とを比較する検証部と
    を備える復号装置。
  4. 暗号化装置と復号装置を用いた暗号化方法であって、
    Kを前記暗号化装置と前記復号装置の両方で共有する秘密鍵、Aを追加認証データ、Mをメッセージ、Cを暗号文、Tをタグ、K,A,Mをビット列、Nをすべてのビットが“0”のビット列を除くビット列、r,c,b,P,Qを1以上の整数、b=r+c、pを1以上P以下の整数、qを1以上Q以下の整数、Sをあらかじめ定めた1以上の整数、sを1以上S以下の整数、fをbビットの置換演算、gを0〜2−1の整数からなる有限体の元と0と1以外のあらかじめ定めた定数との有限体上での乗算とし、
    ステートを、あらかじめ定められたrビットがレート部分、cビットがキャパシティ部分であるbビットのビット列とし、
    前記暗号化装置が、
    Nを選択し、NとKを用いてbビットの暗号化用初期値を生成し、前記暗号化用初期値をfにより置換した結果をステートとする暗号化用初期値設定ステップと、
    メッセージMを、パディングを用いてrビットごとのメッセージブロックm,…,mに分割するメッセージ分割ステップと、
    追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する暗号化用追加認証データ分割ステップと、
    P=Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=P−1まで繰り返し、
    (2)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (3)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求め、
    P>Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Qまで繰り返し、
    (2)P−1≧Q+1ならば、ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=Q+1からp=P−1まで繰り返し、
    (3)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするともに、ステートのレート部分を当該計算の結果に置き換え、さらにキャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求め、
    P<Qの場合は、
    (1)ステートのレート部分とメッセージブロックmとの排他的論理和を計算し、当該計算の結果をrビットの暗号ブロックdとするとともに、ステートのレート部分を当該計算の結果に置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Pまで繰り返し、
    (2)P+1≦Q−1ならば、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、q=P+1からq=Q−1まで繰り返し、
    (3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)暗号ブロックd,…,dの結合処理を用いて暗号文Cを求める
    暗号化ステップと、
    S=1の場合はステートのレート部分からタグTを求め、S≧2の場合は、ステートのレート部分をタグブロックtとし、さらに、ステートをfにより置換した結果を新たなステートとしてレート部分をタグブロックtとする処理をs=2からs=Sまで繰り返し、タグブロックt,…,tを用いてタグTを求める暗号化用タグ計算ステップと、
    C,T,A,Nの組を出力する出力ステップと、
    を実行し、
    前記復号装置が、
    C,T,A,Nの組を取得する入力ステップと、
    NとKを用いてbビットの復号用初期値を生成し、前記復号用初期値をfにより置換した結果をステートとする復号用初期値設定ステップと、
    暗号文Cを、rビットごとの暗号ブロックd,…,dに分割する暗号文分割ステップと、
    追加認証データAを、パディングを用いてcビットごとの追加認証データブロックa,…,aに分割する復号用追加認証データ分割ステップと、
    P=Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=P−1まで繰り返し、
    (2)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (3)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とし、
    P>Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Qまで繰り返し、
    (2)P−1≧Q+1ならば、ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=Q+1からp=P−1まで繰り返し、
    (3)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするともに、ステートのレート部分を暗号ブロックdに置き換え、キャパシティ部分のcビットを0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とし、
    P<Qの場合は、
    (1)ステートのレート部分と暗号ブロックdとの排他的論理和を計算し、当該計算の結果をrビットのメッセージブロックm’とするとともに、ステートのレート部分を暗号ブロックdに置き換え、さらにステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、p=1からp=Pまで繰り返し、
    (2)P+1≦Q−1ならば、ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算してキャパシティ部分を当該計算の結果に置き換えた上で、fにより置換した結果を新たなステートとする処理を、q=P+1からq=Q−1まで繰り返し、
    (3)ステートのキャパシティ部分と追加認証データブロックaとの排他的論理和を計算した結果を0〜2−1の整数からなる有限体の元として扱ってgによる乗算を行い、キャパシティ部分を当該乗算で得られたビット列に置き換えた上で、fにより置換した結果を新たなステートとする処理を行い、
    (4)メッセージブロックm’,…,m’からパディングで付加されたビットを取り除いた結合をしてメッセージM’とする
    復号ステップと、
    S=1の場合はステートのレート部分からタグT’を求め、S≧2の場合は、ステートのレート部分をタグブロックt’とし、さらに、ステートをfにより置換した結果を新たなステートとしてレート部分をタグブロックt’とする処理をs=2からs=Sまで繰り返し、タグブロックt’,…,t’を用いてタグT’を求める復号用タグ計算ステップと、
    タグTとタグT’とを比較する検証ステップと
    を実行する
    暗号化方法。
  5. 請求項2記載の暗号化装置としてコンピュータを機能させるための暗号化プログラム。
  6. 請求項3記載の復号装置としてコンピュータを機能させるための復号プログラム。
JP2015036191A 2015-02-26 2015-02-26 暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラム Active JP6273225B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015036191A JP6273225B2 (ja) 2015-02-26 2015-02-26 暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015036191A JP6273225B2 (ja) 2015-02-26 2015-02-26 暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラム

Publications (2)

Publication Number Publication Date
JP2016157054A JP2016157054A (ja) 2016-09-01
JP6273225B2 true JP6273225B2 (ja) 2018-01-31

Family

ID=56825946

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015036191A Active JP6273225B2 (ja) 2015-02-26 2015-02-26 暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラム

Country Status (1)

Country Link
JP (1) JP6273225B2 (ja)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005114870A (ja) * 2003-10-03 2005-04-28 Japan Science & Technology Agency 暗号通信システム
JPWO2006019152A1 (ja) * 2004-08-19 2008-05-08 株式会社日立製作所 メッセージ認証子生成装置、メッセージ認証子検証装置、およびメッセージ認証子生成方法
US8121284B2 (en) * 2006-03-14 2012-02-21 Nec Corporation Information processing system, information processing method, and information processing program
WO2011068996A1 (en) * 2009-12-04 2011-06-09 Cryptography Research, Inc. Verifiable, leak-resistant encryption and decryption
SG194203A1 (en) * 2011-05-10 2013-11-29 Univ Nanyang Tech Devices for computer-based generating of a mixing matrix for cryptographic processing of data, encrypting devices, methods for computer-based generating of a mixing matrix for cryptographic processing of data and encrypting methods
JP5852518B2 (ja) * 2012-06-18 2016-02-03 日本電信電話株式会社 認証暗号化装置、認証復号装置、およびプログラム
TWI510046B (zh) * 2013-07-04 2015-11-21 Univ Nat Cheng Kung 認證式加解密方法
US10403173B2 (en) * 2013-08-13 2019-09-03 Fiske Software, Llc NADO cryptography using one-way functions

Also Published As

Publication number Publication date
JP2016157054A (ja) 2016-09-01

Similar Documents

Publication Publication Date Title
EP2526505B1 (en) Device and method for obtaining a cryptographic key
JP5710460B2 (ja) 暗号化鍵生成装置およびプログラム
CN105721156B (zh) 对数据进行编码和数字签名的方法和相关设备
JP6588048B2 (ja) 情報処理装置
JPWO2007126049A1 (ja) プログラム難読化システム、プログラム難読化装置及びプログラム難読化方法
JP6305642B2 (ja) メッセージ認証子生成装置、メッセージ認証子生成方法及びメッセージ認証子生成プログラム
CN110493201B (zh) 一种数据的处理方法、装置和系统
KR101942030B1 (ko) 메시지에 대한 무결성 검증이 지원되는 부호 기반의 암호화가 가능한 전자 장치 및 그 동작 방법
CN107534549B (zh) 可读存储介质、用于数据流字块加密的方法及系统
US20190363891A1 (en) Encryption device and decryption device
JP6273226B2 (ja) 暗号化システム、認証システム、暗号化装置、復号装置、認証子生成装置、検証装置、暗号化方法、認証方法
WO2017063986A1 (en) A cryptographic device and an encoding device
JP6273224B2 (ja) 暗号化システム、暗号化装置、復号装置、暗号化方法
CN113132078B (zh) 一种基于同态承诺的区块链隐私保护方法及区块链系统
WO2020188906A1 (ja) 署名装置、検証装置、署名方法、検証方法、署名プログラム及び検証プログラム
JP6059159B2 (ja) シェア変換システム、シェア変換方法、プログラム
JP6273225B2 (ja) 暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラム
JP6273223B2 (ja) 暗号化システム、暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号プログラム
JP6797337B2 (ja) メッセージ認証装置、メッセージ認証方法及びメッセージ認証プログラム
JP6629461B2 (ja) 回路秘匿装置、秘密計算システムおよびプログラム
Omote et al. D2-POR: direct repair and dynamic operations in network coding-based proof of retrievability
JP6830867B2 (ja) 追加データ付き認証暗号システム、復号装置、追加データ付き認証暗号方法、およびプログラム
JP2017038336A (ja) 復号方法
Gorke et al. Cloud storage file recoverability
US20230113612A1 (en) Apparatus and Method for Generating Physical Unclonable Function (PUF) Based Challenge Response Pair

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171226

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180105

R150 Certificate of patent or registration of utility model

Ref document number: 6273225

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150