JP6292107B2 - 暗号処理装置、および暗号処理方法、並びにプログラム - Google Patents

暗号処理装置、および暗号処理方法、並びにプログラム Download PDF

Info

Publication number
JP6292107B2
JP6292107B2 JP2014242845A JP2014242845A JP6292107B2 JP 6292107 B2 JP6292107 B2 JP 6292107B2 JP 2014242845 A JP2014242845 A JP 2014242845A JP 2014242845 A JP2014242845 A JP 2014242845A JP 6292107 B2 JP6292107 B2 JP 6292107B2
Authority
JP
Japan
Prior art keywords
round
data
unit
processing
replacement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014242845A
Other languages
English (en)
Other versions
JP2016105123A (ja
Inventor
香士 渋谷
香士 渋谷
孝典 五十部
孝典 五十部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2014242845A priority Critical patent/JP6292107B2/ja
Publication of JP2016105123A publication Critical patent/JP2016105123A/ja
Application granted granted Critical
Publication of JP6292107B2 publication Critical patent/JP6292107B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本開示は、暗号処理装置、および暗号処理方法、並びにプログラムに関する。さらに詳細には、共通鍵系暗号を実行する暗号処理装置、および暗号処理方法、並びにプログラムに関する。
情報化社会が発展すると共に、扱う情報を安全に守るための情報セキュリティ技術の重要性が増してきている。情報セキュリティ技術の構成要素の一つとして暗号技術があり、現在では様々な製品やシステムで暗号技術が利用されている。
暗号処理アルゴリズムには様々なものがあるが、基本的な技術の一つとして、共通鍵ブロック暗号と呼ばれるものがある。共通鍵ブロック暗号では、暗号化用の鍵と復号用の鍵が共通のものとなっている。暗号化処理、復号処理共に、その共通鍵から複数の鍵を生成し、あるブロック単位、例えば64ビット、128ビット、256ビット等のブロックデータ単位でデータ変換処理を繰り返し実行する。
代表的な共通鍵ブロック暗号のアルゴリズムとしては、過去の米国標準であるDES(Data Encryption Standard)や現在の米国標準であるAES(Advanced Encryption Standard)が知られている。他にも様々な共通鍵ブロック暗号が現在も提案され続けており、2007年にソニー株式会社が提案したCLEFIAも共通鍵ブロック暗号の一つである。
なお、共通鍵ブロック暗号について開示した従来技術として、例えば特許文献1(特開2012−215813号公報)等がある。
このような、共通鍵ブロック暗号のアルゴリズムは、主として、入力データの変換を繰り返し実行するラウンド関数実行部を有する暗号処理部と、ラウンド関数部の各ラウンドで適用するラウンド鍵を生成する鍵スケジュール部とによって構成される。鍵スケジュール部は、秘密鍵であるマスター鍵(主鍵)に基づいて、まずビット数を増加させた拡大鍵を生成し、生成した拡大鍵に基づいて、暗号処理部の各ラウンド関数部で適用するラウンド鍵(副鍵)を生成する。
このようなアルゴリズムを実行する具体的な構造として、線形変換部および非線形変換部を有するラウンド関数を繰り返し実行する構造が知られている。例えば代表的な構造として、SPN(Substitution−Permutation Network)構造、Feistel構造、拡張Feistel構造(GFN:Generalized Feistel Network)等がある。
これらは、いずれも線形変換部および非線形変換部を有するラウンド関数を繰り返し実行して平文を暗号文に変換する構造を持つ。
特開2012−215813号公報
暗号処理装置に求められる要素としては、安全性、すなわち、暗号アルゴリズムや秘密鍵の解読を試みる攻撃として差分攻撃、線形攻撃等に対する耐性がある。すなわち様々な攻撃が行われてもアルゴリズムや秘密鍵を解読することが困難であるという安全性が求められる。
さらに、暗号処理装置に求められる要素として、高速処理性能や、実装性能、すなわち過度な複雑性を持たないハードウェア実装やソフトウェア実装が可能であることが求められる。
本開示は、例えば上述の状況に鑑みてなされたものであり、安全性を損なうことなく、高速処理を可能とした暗号処理装置、および暗号処理方法、並びにプログラムを提供することを目的とする。
本開示の第1の側面は、
入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
前記暗号処理部は、
入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する初期置換部と、
前記初期置換部の出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行するメイン処理関数実行部と、
前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する最終置換部を有し、
前記メイン処理関数実行部は、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する構成を有する暗号処理装置にある。
さらに、本開示の第2の側面は、
暗号処理装置において実行する暗号処理方法であり、
暗号処理部が、入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行し、
前記暗号処理ステップは、
初期置換部が、入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する初期置換処理ステップと、
メイン処理関数実行部が、前記初期置換部が出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行するメイン処理関数実行ステップと、
最終置換部が、前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する最終置換処理ステップを有し、
前記メイン処理関数実行ステップにおいては、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する処理を実行する暗号処理方法にある。
さらに、本開示の第3の側面は、
暗号処理装置において暗号処理を実行させるプログラムであり、
暗号処理部に、入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行させ、
前記プログラムは、前記暗号処理ステップにおいて、
初期置換部に、入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成させ、
メイン処理関数実行部に、前記初期置換部が出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行させ、
最終置換部に、前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成させ、
前記メイン処理関数実行ステップにおいては、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する処理を実行させるプログラムにある。
なお、本開示のプログラムは、例えば、様々なプログラム・コードを実行可能な情報処理装置やコンピュータ・システムに対して例えば記憶媒体によって提供されるプログラムである。このようなプログラムを情報処理装置やコンピュータ・システム上のプログラム実行部で実行することでプログラムに応じた処理が実現される。
本開示のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
本開示の一実施例の構成によれば、安全性が高く処理速度を向上させた暗号処理構成が実現される。
具体的には、入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有する。暗号処理部は、各ラインの入力データの再分割データ単位の置換処理を実行する初期置換部と、初期置換部の出力に対してラウンド演算を繰り返し実行するメイン処理関数実行部と、メイン処理関数実行部の出力データに対する再分割データ単位の置換を実行する最終置換部を有する。メイン処理関数実行部は、前段のラウンド関数実行部の出力の置換処理を行なわず後段のラウンド関数実行部に出力する。
本構成により、安全性が高く、かつ高速処理の可能な暗号処理構成が実現される。
なお、本明細書に記載された効果はあくまで例示であって限定されるものではなく、また付加的な効果があってもよい。
kビットの鍵長に対応したnビット共通鍵ブロック暗号アルゴリズムを説明する図である。 図1に示すkビットの鍵長に対応したnビット共通鍵ブロック暗号アルゴリズムに対応する復号アルゴリズムを説明する図である。 鍵スケジュール部と暗号処理部の関係について説明する図である。 暗号処理部の構成例について説明する図である。 SPN構造のラウンド関数の例について説明する図である。 Feistel構造のラウンド関数の一例について説明する図である。 拡張Feistel構造の一例について説明する図である。 拡張Feistel構造の一例について説明する図である。 非線形変換部の構成例について説明する図である。 線形変換部の構成例について説明する図である。 SPN型のF関数を持つFeistel構造(Basic Feistel Network)について説明する図である。 SPS型のF関数を持つFeistel構造(Basic Feistel Network)について説明する図である。 SPS型のF関数を持つFeistel構造(Basic Feistel Network)であり、ラウンド鍵の入力位置を変更した構成について説明する図である。 分割数d=4とした拡張Feistel構造(GFN:General Feistel Network)について説明する図である。 Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 4−lineで1段に2つのF関数を使用する一般化Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 4−lineで1段に2つのF関数を使用する一般化Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 4−lineで1段に2つのF関数を使用する一般化Feistel構造を持つブロック暗号における拡散(diffusion)状態を説明する図である。 d=6とした場合の通常の一般化Feistel構造を説明する図である。 d=6とした場合の通常の一般化Feistel構造の全拡散(full diffusion)状態となるパスの一例を示す図である。 ラウンド間の配線を変更することで分割数dが6以上の場合に、従来の構成より全拡散(full diffusion)ラウンド数を減少させた構成例を説明する図である。 ラウンド間の配線を変更することで分割数dが6以上の場合に、従来の構成より全拡散(full diffusion)ラウンド数を減少させた構成において全拡散(full diffusion)状態となるパスの一例を示す図である。 ラウンド間置換構成を有する暗号処理構成について説明する図である。 ラウンド間置換構成を有する分割数d=4とした場合の例について説明する図である。 分割数d=4の場合で全拡散(full diffusion)状態となるパスの一例を示す図である。 分割数d=6とした場合の例について説明する図である。 d=6の場合の本方式で全拡散(full diffusion)状態となるパスの一例を示す図である。 d=6の場合に各(n/d)ビットデータを2分割した構成例を示す図である。 nビット入力データの分割数d,および各(n/d)ビットデータの分割数pにおける各全拡散(full diffusion)ラウンド数の関係の一部を示す図である。 F関数入力側データ系列と排他的論理和側データ系列とでそれぞれ異なる分割を行った構成例を示す図である。 図25に記載の構成例で拡大鍵の挿入位置を変更した構成例を示す図である。 データ分割を伴うラウンド間置換(RP)の実行構成例について説明する図である。 データ分割を伴うラウンド間置換(RP)の実行構成例について説明する図である。 データ分割を伴うラウンド間置換(RP)の実行構成例について説明する図である。 本開示の暗号処理装置における暗号処理部の構成例について説明する図である。 本開示の暗号処理装置の初期置換部の構成と処理について説明する図である。 本開示の暗号処理装置のメイン処理関数実行部の構成と処理について説明する図である。 本開示の暗号処理装置のメイン処理関数実行部の構成と処理について説明する図である。 本開示の暗号処理装置の最終置換部の構成と処理について説明する図である。 本開示の暗号処理装置の最終置換部の構成と処理について説明する図である。 本開示の暗号処理装置における暗号処理部の構成例について説明する図である。 暗号処理装置としてのICモジュール700の構成例を示す図である。 暗号処理実行機能を有するスマートフォンの構成例を示す図である。
以下、図面を参照しながら本開示に係る暗号処理装置、および暗号処理方法、並びにプログラムの詳細について説明する。説明は、以下の項目に従って行う。
1.共通鍵ブロック暗号の概要
2.Feistel構造および拡張Feistel構造(GFN)の具体的構成例について
3.拡散(diffusion)特性の概要について
4.拡散(diffusion)特性を向上させるラウンド間置換(RP:RoundP Permutation)を適用した構成例について
5.初期置換と最終置換を設定してラウンド間置換を省略し高速処理を可能とした構成例について
6.暗号処理装置の構成例について
7.本開示の構成のまとめ
[1.共通鍵ブロック暗号の概要]
まず、共通鍵ブロック暗号の概要について説明する。
(1−1.共通鍵ブロック暗号)
ここでは共通鍵ブロック暗号(以下ではブロック暗号と呼ぶ場合がある)は以下に定義するものを指すものとする。
ブロック暗号は入力として平文Pと鍵Kを取り、暗号文Cを出力する。平文と暗号文のビット長をブロックサイズと呼び、例えばブロックサイズ=nとする。nは任意の整数値を取りうるが、通常、ブロック暗号アルゴリズムごとに、あらかじめひとつに決められている値である。ブロック長がnのブロック暗号のことをnビットブロック暗号と呼ぶこともある。
鍵のビット長をkで表す。鍵は任意の整数値を取りうる。共通鍵ブロック暗号アルゴリズムは1つまたは複数の鍵サイズに対応することになる。例えば、あるブロック暗号アルゴリズムAはブロックサイズn=128であり、k=128またはk=192またはk=256の鍵サイズに対応するという構成もありうるものとする。
平文P:nビット
暗号文C:nビット
鍵K:kビット
図1にkビットの鍵長に対応したnビット共通鍵ブロック暗号アルゴリズムEの図を示す。
暗号化アルゴリズムEに対応する復号アルゴリズムDは暗号化アルゴリズムEの逆関数E−1と定義でき、入力として暗号文Cと鍵Kを受け取り,平文Pを出力する。図2に図1に示した暗号アルゴリズムEに対応する復号アルゴリズムDの図を示す。
(1−2.内部構成)
ブロック暗号は2つの部分に分けて考えることができる。ひとつは秘密鍵Kを入力とし、ある定められたステップにより暗号処理部の各ラウンドで適用するラウンド鍵を出力する「鍵スケジュール部」と、もうひとつは平文Pと鍵スケジュール部からラウンド鍵を入力してデータ変換を行い暗号文Cを出力する「暗号処理部」である。
2つの部分の関係は図3に示される。
なお、暗号処理部は、暗号文Cを入力して平文Pを出力する復号処理も実行可能な構成である場合が多い。この場合も、鍵スケジュール部から供給されるラウンド鍵を適用した復号処理を実行する。
2つの部分の関係は図3に示される。
(1−3.暗号処理部)
以下の実施例において用いる暗号処理部はラウンド関数という処理単位に分割できるものとする。ラウンド関数は入力データに対して所定のデータ変換を施し、変換データを出力する。ラウンド関数に対する入力データは、例えば暗号化途中のnビットデータである。あるラウンドにおけるラウンド関数の出力が次のラウンドの入力として供給される構成となる。また、ラウンド関数の一構成として、鍵スケジュール部から出力された鍵に基づいて生成されるラウンド鍵との演算構成が含まれる。具体的には暗号化途中のnビットデータとラウンド鍵との排他的論理和演算が行われる。
またラウンド関数の総数は総ラウンド数と呼ばれ、暗号アルゴリズムごとにあらかじめ定められている値である。
暗号処理部の入力側から見て1ラウンド目の入力データをXとし、i番目のラウンド関数に入力されるデータをX、ラウンド鍵をRKとすると、暗号処理部全体は図4のように示される。
(1−4.ラウンド関数)
ブロック暗号アルゴリズムによってラウンド関数はさまざまな形態をとりうる。ラウンド関数はその暗号アルゴリズムが採用する構造(structure)によって分類できる。代表的な構造としてここではSPN(Substitution−Permutation Network)構造、Feistel構造(Basic Feistel Network)、拡張Feistel構造(GFN:General Feistel Network)を例示する。
(ア)SPN(Substitution−Permutation Network)構造ラウンド関数
nビットの入力データすべてに対して、ラウンド鍵との排他的論理和演算、非線形変換、線形変換処理などが適用される構成。各演算の順番は特に決まっていない。図5にSPN構造のラウンド関数の例を示す。線形変換部をP層(Permutation−layer)と呼ぶこともある。
(イ)Feistel構造(Basic Feistel Network)
nビットの入力データはn/2ビットの2つのデータに分割される。うち片方のデータとラウンド鍵を入力として持つ関数(F関数)が適用され、出力がもう片方のデータに排他的論理和される。そののちデータの左右を入れ替えたものを出力データとする。F関数の内部構成にもさまざまなタイプのものがあるが、基本的にはSPN構造同様にラウンド鍵データとの排他的論理和演算、非線形演算、線形変換の組み合わせで実現される。図6にFeistel構造のラウンド関数の一例を示す。
(ウ)拡張Feistel構造(GFN:General Feistel Network)
拡張Feistel構造(GFN:General Feistel Network)はFeistel構造(Basic Feistel Network)ではデータ分割数が2であったものを,3以上に分割する形に拡張したものである。分割数をdとすると、dによってさまざまな拡張Feistel構造を定義することができる。F関数の入出力のサイズが相対的に小さくなるため、小型実装に向いているとされる。図7にd=4でかつ、ひとつのラウンド内に2つのF関数が並列に適用される場合の拡張Feistel構造の一例を示す。また,図8にd=8でかつ,ひとつのラウンド内に1つのF関数が適用される場合の拡張Feistel構造の一例を示す。
(1−5.非線形変換部)
非線形変換部は、入力されるデータのサイズが大きくなると実装上のコストが高くなる傾向がある。それを回避するために対象データを複数の単位に分割し、それぞれに対して非線形変換を施す構成がとられることが多い。例えば入力サイズをmsビットとして、それらをsビットずつのm個のデータに分割して、それぞれに対してsビット入出力を持つ非線形変換を行う構成である。それらのsビット単位の非線形変換実行部をSボックス(S−box)と呼ぶ。Sボックス(S−box)の例を図9に示す。
図9に示す例は、msビットからなる入力データを、m個のsビットデータに分割し、各分割データを、各々sビットの非線形変換処理を実行するm個のSボックスに入力して、各Sボックスの出力を連結してmsビットの非線形変換結果を得る構成である。
(1−6.線形変換部)
線形変換部はその性質上、行列として定義することが可能である。行列の要素は拡大体GF(2)の体の要素やGF(2)の要素など、一般的にはさまざまな表現ができる。図10にmsビット入出力をもち、GF(2)の上で定義されるm×mの行列により定義される線形変換部の例を示す。
[2.Feistel構造および拡張Feistel構造(GFN)の具体的構成例について]
次に、Feistel構造および拡張Feistel構造(GFN)の具体的構成例について説明する。
図11〜図14に以下の各構成例を示す。
(a)図11:SPN型のF関数を持つFeistel構造(Basic Feistel Network)
(b)図12:SPS型のF関数を持つFeistel構造(Basic Feistel Network)
(c)図13:SPS型のF関数を持つFeistel構造(Basic Feistel Network)であり、ラウンド鍵の入力位置を変更した構成
(d)図14:分割数d=4とした拡張Feistel構造(GFN:General Feistel Network)
図11は、(a)SPN型のF関数を持つFeistel構造(Basic Feistel Network)の構成例である。
暗号処理対象となるnビットの平文Pは、各々が(n/2)ビットのP[0]とP[1]の2つのデータに分割される。
データP[0]にラウンド鍵RKが入力されるラウンド関数Fを適用し、その結果と、データP[1]とを、ビット単位で排他的論理和(XOR)演算を実行する。
この結果を次のラウンドの左入力とし、P[0]を右入力とする。以降規定の回数(r回)ラウンド関数を繰り返し適用し、最終出力Cを得る。この構成では全てのラウンドでラウンド関数(F関数)は同じものを用いる。
ラウンド関数F内を詳しく見ると、まずラウンド関数に入力されたデータはラウンド鍵RKとビット単位で排他的論理和(XOR)がなされる。その結果がX((n/2)ビット)となる。Xは、各々が(n/2m)ビットのm個のsビットデータに分割される。sビット=(n/2m)ビットである。
各sビットデータを、それぞれx1、x2、・・・、xmとする。
X=x1||x2||・・・||xm
である。
xiはそれぞれsビット入出力の非線形変換部S(Sボックス)に入力される。非線形変換部Sの出力をそれぞれz1、z2、・・・、zmとする。
Z=z1||z2||・・・||zm
である。
Zは、線形変換部を構成するm×m行列Mに入力され、ここで、行列Mを適用した行列演算による線形変換処理が実行される。
この線形変換結果が、(n/2)ビットの最終出力Yとなる。
Y=y1||y2||・・・||ym
である。
図12は、(b)SPS型のF関数を持つFeistel構造(Basic Feistel Network)の構成例である。
暗号処理対象となるnビットの平文Pは、各々が(n/2)ビットのP[0]とP[1]の2つのデータに分割される。
データP[0]にラウンド鍵RKが入力されるラウンド関数Fを適用し、その結果と、データP[1]とを、ビット単位で排他的論理和(XOR)演算を実行する。
この結果を次のラウンドの左入力とし、P[0]を右入力とする。以降規定の回数(r回)ラウンド関数を繰り返し適用し、最終出力Cを得る。この構成では全てのラウンドでラウンド関数(F関数)は同じものを用いる。
ラウンド関数F内を詳しく見ると、まずラウンド関数に入力されたデータはラウンド鍵RK1とビット単位で排他的論理和(XOR)がなされる。その結果がX((n/2)ビット)となる。Xは、各々が(n/2m)ビットのm個のsビットデータに分割される。sビット=(n/2m)ビットである。
各sビットデータを、それぞれx1、x2、・・・、xmとする。
X=x1||x2||・・・||xm
である。
xiはそれぞれsビット入出力の非線形変換部S(Sボックス)に入力される。非線形変換部Sの出力をそれぞれz1、z2、・・・、zmとする。
Z=z1||z2||・・・||zm
である。
Zは、線形変換部を構成するm×m行列Mに入力され、ここで、行列Mを適用した行列演算による線形変換処理が実行される。
この線形変換結果は(n/2)ビットデータであり、この(n/2)ビットデータが、さらにラウンド鍵RK2とビット単位で排他的論理和(XOR)がなされる。その結果が、各々が(n/2m)ビットのm個のsビットデータに分割される。sビット=(n/2m)ビットである。
各sビットデータが、それぞれsビット入出力の非線形変換部S(Sボックス)に入力される。非線形変換部Sの出力の連結データが(n/2)ビットの最終出力Yとなる。
Y=y1||y2||・・・||ym
である。
図13は、(c)SPS型のF関数を持つFeistel構造(Basic Feistel Network)であり、ラウンド鍵の入力位置を変更した構成例である。
暗号処理対象となるnビットの平文Pは、各々が(n/2)ビットのP[0]とP[1]の2つのデータに分割される。
データP[0]にラウンド鍵RKが入力されないラウンド関数Fを適用し、その結果と、データP[1]と、ラウンド鍵を、ビット単位で排他的論理和(XOR)演算を実行する。
この結果を次のラウンドの左入力とし、P[0]を右入力とする。以降規定の回数(r回)ラウンド関数を繰り返し適用し、最終出力Cを得る。この構成では全てのラウンドでラウンド関数(F関数)は同じものを用いる。
ラウンド関数F内を詳しく見ると、まずラウンド関数に入力されたデータはX((n/2)ビット)である。Xは、各々が(n/2m)ビットのm個のsビットデータに分割される。sビット=(n/2m)ビットである。
各sビットデータを、それぞれx1、x2、・・・、xmとする。
X=x1||x2||・・・||xm
である。
xiはそれぞれsビット入出力の非線形変換部S(Sボックス)に入力される。非線形変換部Sの出力をそれぞれz1、z2、・・・、zmとする。
Z=z1||z2||・・・||zm
である。
Zは、線形変換部を構成するm×m行列Mに入力され、ここで、行列Mを適用した行列演算による線形変換処理が実行される。
この線形変換結果は(n/2)ビットデータであり、この(n/2)ビットデータが、さらに各々(n/2m)ビットのm個のsビットデータに分割される。sビット=(n/2m)ビットである。
各sビットデータが、それぞれsビット入出力の非線形変換部S(Sボックス)に入力される。非線形変換部Sの出力の連結データが(n/2)ビットの最終出力Yとなる。
Y=y1||y2||・・・||ym
である。
図14は、(d)分割数d=4とした拡張Feistel構造(GFN:General Feistel Network)の構成例である。
この構造はFeistel構造(Basic Feistel Network)を拡張したものである。図11〜図13を参照して説明したFeistel構造(Basic Feistel Network)では暗号処理対象となるデータ系列を1/2に分割するが、拡張Feistel構造(GFN)では任意の数(ここでは4)に分割する。
この方式では、入出力のサイズnが等しいならば、Feistel構造(Basic Feistel Network)と比較して、F関数の入出力サイズを小さくすることができるので、よりコンパクトにF関数を実装することが可能になる。
F関数の内部構造としては様々な構造を利用可能であり、例えば、前述した図11〜13に示すF関数の構成等を利用することができる。
[3.拡散(diffusion)特性の概要について]
本開示の暗号処理の説明の前に拡散(diffusion)特性の概要について説明する。
(3−1)拡散(diffusion)特性についての説明
ブロック暗号の安全性を評価する指標のひとつとしてdiffusion(拡散)特性と呼ばれるものがある。この特性は入力データの変化を出力データに波及させる(拡散させる)特性と考えることができ、安全なブロック暗号にはこのような入力データの変化の影響をできるだけ速く出力データに伝えることが求められる。
以下に、「diffusion状態」,「full diffusion状態」,「full diffusionラウンド数」を定義する。
ある出力ビットを入力ビットの関係式として記述して以下の条件を満たす場合,その出力ビットは「diffusion状態」になっていると定義する。
(条件1)全入力ビットが関係式に含まれる。
(条件2)全入力ビットが少なくとも1度はラウンド関数(F関数)を通過している。
さらに、
全出力ビットが拡散(diffusion)状態になっていることを「全拡散(full diffusion)状態」と定義する。
この全拡散(full diffusion)状態を満たすために最低限必要なラウンド数(繰り返し数)を「全拡散(full diffusion)ラウンド数」と定義する。
これらの定義について、具体的な例として図15,図16に記載のFeistel構造を持つブロック暗号を用いて詳しく説明を行う。図15はFeistel構造を持つブロック暗号のラウンド関数の構成例を表し、図16はそのラウンド関数を3ラウンド繰り返す構造を表している。
図16において、第i,i+1,i+2ラウンド出力の左側(第i+1,i+2,i+3入力の左側)のn/2ビットデータXi+1 ,Xi+2 ,Xi+3 ,および第i,i+1,i+2ラウンド出力の右側(第i+1,i+2,i+3入力の右側)のn/2ビットデータXi+1 ,Xi+2 ,Xi+3 はそれぞれ第iラウンド入力X ,X とラウンド鍵RK ,RK ,RK を用いて以下のように表現できる。
i+1 =F(RK ,X )(+)X
i+2 =F(RKi+1 ,Xi+1 )(+)Xi+1 =F(RKi+1 ,F(RK ,X )(+)X )(+)X
i+3 =F(RKi+2 ,Xi+2 )(+)Xi+2 =F(RKi+2 ,F(RKi+1 ,Xi+1 )(+)Xi+1 )(+)Xi+2
=F(RKi+2 ,F(RKi+1 ,F(RK ,X )(+)X )(+)X )(+)F(RK ,X )(+)X
i+1 =X
i+2 =Xi+1 =F(RK ,X )(+)X
i+3 =Xi+2 =F(RKi+1 ,Xi+1 )(+)Xi+1 =F(RKi+1 ,F(RK ,X )(+)X )(+)X
なお、上記式において、
F(K,X)はデータXをパラメータKを用いてF関数で変換したデータを表し、
(+)はビット毎の排他的論理和を表す。
i+1 は入力データX ,X を用いて表現されているが,X がF関数を通過していないため,拡散(diffusion)状態にはなっていない。Xi+2 は入力データX ,X を用いて表現され,かつそれら入力データがF関数の入力として与えられているので,拡散(diffusion)状態になっていると言える.同様にXi+3 も拡散(diffusion)状態になっていると言える。
i+1 はX のみで表現されているため,また,Xi+2 はX がF関数を通過していないため拡散(diffusion)状態にはなっていない.Xi+3 は条件を満たすため拡散(diffusion)状態となっている.
以上の結果から第i+3ラウンド出力Xi+3 ,Xi+3 はともに拡散(diffusion)状態になっているため,全拡散(full diffusion)状態であると言える。このように、図15、図16に示されるFeistel構造を持つブロック暗号の全拡散(full diffusion)ラウンド数は3ラウンドであることが分かる。
全拡散(full diffusion)状態になっていない場合、特定の出力ビットは特定の入力ビットと非線形関数(F関数)の影響を受けていないということになるため、各種攻撃に対して脆弱になることが予想される。特に拡散(diffusion)特性は不能差分攻撃、飽和攻撃といった攻撃に対する安全性を直接的に評価する指標としても用いられる。全拡散(full diffusion)ラウンド数は少ない方が拡散(diffusion)特性は高いと言える。
図17、図18に別の例を挙げる。これらの図は4−lineで1段に2つのF関数を使用する拡張Feistel構造を示している。
図19に第iラウンド目のn−bit入力Xをn/4−bitずつ4つに分割し、その4番目のn/4−bitデータ(X と表記)の一部のみに変化を与えた場合のその影響の波及を示す。
ただし、図中で太点線は入力の変化がF関数を通過しない状態で伝播しているデータを表し、太線は入力の変化が少なくとも1回F関数を通過した状態で伝播しているデータを表す。また、F関数の各出力ビットはF関数の全入力ビットの影響を受けると仮定する。このように、あらゆる入力ビットの変化を想定して,全出力ビットが影響を受けるまでのラウンド数を求めることでも全拡散(full diffusion)ラウンド数は求めることができる。実際にd=4として,1段に2つのF関数を使用する拡張Feistel構造の全拡散(full diffusion)ラウンド数は5ラウンドであることが知られている。
(3−2)拡散(diffusion)特性を考慮したこれまでの構成例について
次に、これまでに提案されている拡散(diffusion)特性を考慮した処理構成についての概要を説明する。
一般的に1段にd/2個のF関数を用いたd−line拡張Feistel構造は拡散(diffusion)特性があまりよくなく、全拡散(full diffusion)ラウンド数はd+1ラウンドになることが知られている。
図20にd=6とした場合の通常の拡張Feistel構造、図21に同構成の全拡散(full diffusion)状態となるパスの一例を示す。
(n/d)ビット毎d個に分割したデータそれぞれについてラウンド間の配線を変更するラウンド間置換を実行することで分割数dが6以上の場合に、従来の構成より全拡散(full diffusion)ラウンド数を少なくできる。
図22にd=6とした場合のこの構成法、また図23にその場合の全拡散(full diffusion)状態となるパスの一例を示す。
この構成で達成している全拡散(full diffusion)ラウンド数はd=6,8,10,12,14,16の場合にそれぞれ5,6,7,8,8,8ラウンドとなっており、通常の構成のd+1ラウンドより良い拡散(diffusion)特性が得られていることが分かる。しかしながら、この構成ではd=4の場合には効果がなく、またこれ以上全拡散(full diffusion)ラウンド数を削減することはできない。
また、(n/d)ビット毎d個に分割したデータそれぞれについて線形演算を施すことで従来より拡散(diffusion)特性を高くする構成についての提案もある。しかしながら、この構成の場合、線形演算のための実装手段が必要なため,実装コストの増大を招いてしまう。
[4.拡散(diffusion)特性を向上させるラウンド間置換(RP:RoundP Permutation)を適用した構成例について]
次に、拡散(diffusion)特性を向上させるラウンド間置換(RoundP Permutation)を適用した構成例について説明する。
なお、以下において説明する構成は、本出願人の先の特許出願である特願2011−207702(特開2012−215813号公報)に記載されている構成である。
拡張Feistel構造において,実装コストを増大させずにより高い拡散(diffusion)特性を得られるような構成として、ラウンド間置換(RoundP Permutation)を適用した構成例である。
本構成では,まず通常の構成と同様にd−lineの拡張Feistel構造において、nビット入力データを(n/d)ビット毎d個に分割しそれぞれF関数処理,排他的論理和処理を行う(図24:ステップ1)。
このとき、
F関数に入力されるデータ系列をF関数入力側データ系列,
排他的論理和されるデータ系列を排他的論理和側データ系列、
と呼ぶ。
その後、各系列(各ライン)において転送される(n/d)ビットデータ各々について、さらに再分割する(この際の分割は等分割でなくても良い)。
各系列(各ライン)各々で再分割されたデータを次のルールにしたがって分配する(図24:ステップ2)。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)再分割されたデータ系列は次のラウンド関数のデータ系列にそれぞれ重複なく分配する
このように分配した後、再分割されたデータをそれぞれ1つのデータに結合する(図24:ステップ3)。
これを必要回数繰り返す。
分割数dが、d=4の場合の構成例を図24に示す。
このように構成した場合、データの分割数dによらず全拡散(full diffusion)ラウンド数4を実現することが可能になる。
本方式が分割数dに関わらず全拡散(full diffusion)を実現するラウンド数=4を満たす理由を以下に示す。
(1)第iラウンドのあらゆる入力データの変化は第i+1ラウンド目の少なくとも1つのF関数に影響を与える。
(2)第i+1ラウンド目の排他的論理和側データ系列のうち少なくとも1つはdiffusion状態となっている。
(3)第i+1ラウンド目の排他的論理和側データ系列で拡散(diffusion)状態となっているデータはさらに分割され,第i+2ラウンド目の全F関数に影響を与える。そのため第i+2ラウンド目の全ての排他的論理和側データ系列は拡散(diffusion)状態になる。
(4)第i+2ラウンド目の排他的論理和側データ系列は第i+3ラウンド目のF関数入力側データ系列となるため、第i+3ラウンド目のF関数入力側データ系列は全て拡散(diffusion)状態となる。また、これら拡散(diffusion)状態であるデータは第i+3ラウンド目の全てのF関数に入力されるため,その出力と排他的論理和される排他的論理和側データ系列も全て拡散(diffusion)状態となる。
以上の理由から、必ず第i+3ラウンド後、つまり4ラウンドで全拡散(full diffusion)状態になることが分かる。図25,図26を用いて具体例を示す。
図25はd=4とした場合の本方式の一例である。d=4なので,4つに分割された各n/4ビットデータをさらに2(=d/2)分割している。
第iラウンド入力X に対応する第iラウンド出力の2分割データをそれぞれY 1L,Y 1Rとし,同様にX ,X ,X についても対応する各分割データをY 2L,Y 2R,Y 3L,Y 3R,Y 4L,Y 4Rとする。これら分割データのサイズは等分割した際はn/8ビットとなる。
しかし、各ラインのデータの再分割処理は、必ずしも等分割であることは必要でない。例えば入力ビット数=256ビットし、分割数d=4である場合、
各ラインのビット数は、n/d=256/4=64ビットとなり、この再分割データは等分割すれば32ビットとなり、2つの32ビットデータが生成される。
しかし、等分割することは必須ではなく、64ビットのデータから生成する再分割データを20ビットと44ビット等、任意の組み合わせに分割してもよい。
ただし、次のラウンド演算部に入力する際には、異なるラインにおいて分割された20ビットと44ビットとの組み合わせによって分割数であるd=4個の64ビット単位のデータを再構成して各分割ラインに入力する。
すなわち分割数dの構成において、d本の各ラインにおける再分割処理においては、等分割することは必須ではないが、d本の各ラインにおける再分割の態様(分割比率)は一致させる必要がある。
このとき、第iラウンド入力データのどこかに変化を与えた場合、その影響は第i+1ラウンド目の2つのF関数のうち少なくとも1つに必ず入力される。例えば、X のLSB1ビットのみに変化を与えた場合、その影響はY 4Rのみに伝播し、次にその影響がXi+1 に伝播し、このXi+1 が第i+1ラウンド目の左側F関数に入力されることになる(図26)。入力ビットの他の位置に変化を与えた場合にも同様に考えることができ、少なくとも1つのF関数に影響が伝播することが保証される。
第i+1ラウンド目のF関数の少なくとも1つのF関数には入力の変化が影響しているので、その出力と排他的論理和されるデータは拡散(diffusion)状態となる。つまり,(Yi+1 2L,Yi+1 2R),(Yi+1 4L,Yi+1 4R)のどちらかの組は拡散(diffusion)状態となることが保証される。図26では(Yi+1 2L,Yi+1 2R)がdiffusion状態となっている例を示している。
本方式のルール2,3より、第i+1ラウンド目の出力であるYi+1 2L,Yi+1 2Rは第i+2ラウンド目の2(=d/2)個の全F関数に入力される。同様にYi+1 4L,Yi+1 4Rについても第i+2ラウンド目の全F関数に入力される。つまり、第i+1ラウンド目において(Yi+1 2L,Yi+1 2R),(Yi+1 4L,Yi+1 4R)のどちらの組が拡散(diffusion)状態となっていたとしても、第i+2ラウンド目の全F関数には拡散(diffusion)状態のデータが入力されることになる。よって、それらF関数の出力と排他的論理和されるデータYi+2 2L,Yi+2 2R,Yi+2 4L,Yi+2 4Rは全て拡散(diffusion)状態になり、これらはルール2,3よりXi+3 ,Xi+3 に供給されるため、Xi+3 ,Xi+3 も拡散(diffusion)状態となることが分かる。
これら拡散(diffusion)状態にあるXi+3 ,Xi+3 は第i+3ラウンド目のそれぞれのF関数に入力されるため、その出力と排他的論理和された結果であるYi+2 2L,Yi+2 2R,Yi+2 4L,Yi+2 4R、つまり、Xi+4 ,Xi+4 も拡散(diffusion)状態となる。
以上の結果から、本方式では、全拡散(full diffusion)ラウンド数4を満たすことが可能になる。図26はd=4の場合の本方式で全拡散(full diffusion)状態となるパスの一例を示す。この構成例では従来構成の全拡散(full diffusion)ラウンド数である5ラウンドより少ない4ラウンドを実現できていることが分かる。図26にこの構成におけるd=4の場合のfull diffusionを満たすパスの一例を示す。
また、図27にd=6とした場合の構成例、図28にその場合の全拡散(full diffusion)状態となるパスの一例を示す(図中のラウンド間置換の前後に記述されている数字は置換後にどの位置にデータが配置されているかを示すインデックスを表す)。
以上、説明した構成では、従来構成と比較して非常に高い拡散(diffusion)特性が得られていることが分かる。また、この構成では、線形演算を含まないため、実装コストを増大させることもない。
このように、本出願人の先の特許出願である特願2011−207702(特開2012−215813号公報)に記載した構成は、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、この暗号処理部において以下のようなデータの再分割と再構成を伴うラウンド演算を繰り返し実行する。
すなわち、暗号処理部は、入力データであるnビットデータを分割数dで分割した(n/d)ビットデータを前記各ラインに入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。
このラウンド演算の繰り返し処理に際して、ラウンド演算の出力データを有するラインの(n/d)ビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個の(n/d)ビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する。
具体的には、以下の条件を満足する再分割と再構成処理を行う。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
このような条件を満たす処理を行う。
例えば、暗号処理部は、ラウンド演算の出力データを有するd個のライン各々の(n/d)ビットデータをd/2個に再分割して、d×(d/2)個の再分割データを生成し、分割数dに応じたd本のラインの異なるラインから選択したd/2個の再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個の(n/d)ビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する。
このような処理を行うことで、前述した全拡散(full diffusion)状態を満たすために最低限必要なラウンド数(繰り返し数)、すなわち、「全拡散(full diffusion)ラウンド数」を4に設定することが可能となる。
なお、前述したように、ある出力ビットを入力ビットの関係式として記述して以下の条件を満たす場合,その出力ビットは「diffusion状態」になっていると定義する。
(条件1)全入力ビットが関係式に含まれる。
(条件2)全入力ビットが少なくとも1度はラウンド関数(F関数)を通過している。
さらに、全出力ビットが拡散(diffusion)状態になっている場合が「全拡散(full diffusion)状態」である。
説明した構成例は,入力nビットをd分割したデータを転送する各ライン、すなわち(d/2)本のF関数入力側データ系列ラインと、(d/2)本の排他的論理和側系列ライン各々で転送される各(n/d)ビットデータをそれぞれd/2個に分割した例である。
これは、全拡散(full diffusion)を実現するための最小ラウンド数=4を実現するための設定である。
図29に分割数d:d=6の場合に各ラインで転送される(n/d)ビットデータ(n/6ビットデータ)を2分割、すなわちd/12ビットに分割してラウンド間の転送を行う構成例を示す。
しかし、ラウンド数を4に限定しなければ、全拡散(full diffusion)を実現するための分割数は、各ライン各々について(d/2)個に限定されるものではない。
入力nビットの分割数:dと、
各ライン各々の分割数:pと、
全拡散(full diffusion)を実現するためのラウンド数、
これらの対応関係を示す図を図30に示す。
適切にデータ系列を分配すれば、全拡散(full diffusion)ラウンド数は、以下の式で算出できる。
ラウンド数=3+[log(d/2)]
ただし、[x]はx以上の最小の整数とする。
さらに拡張例としてF関数入力側データ系列と排他的論理和側データ系列とでそれぞれ異なる分割を行った構成を図31に示す。
図31に示す構成は、
分割数d:d=6の場合に、
(d/2)=3本のF関数入力側データ系列ラインについては、2分割、
(d/2)=3本の排他的論理和側系列ラインについては、3分割した例である。
このような構成としても、適切にデータ系列を分配すれば、全拡散(full diffusion)ラウンド数は4とすることが可能である。
また、本方式は拡大鍵(ラウンド鍵)の挿入位置によらず効果が得られる。図25に記載の構成例で拡大鍵(ラウンド鍵)の挿入位置を変更した構成例を図32に示す。
図25においては、拡大鍵(ラウンド鍵)を各F関数に挿入して適用している。
これに対して、図32に示す構成では、拡大鍵(ラウンド鍵)をF関数出力と排他的論理和側データ系列との排他的論理和演算な部に挿入している。
このような構成においても、前述の各ラウンド間のデータの再分割処理による転送構成によって、全拡散(full diffusion)ラウンド数の削減が実現される。
[5.初期置換と最終置換を設定してラウンド間置換を省略し高速処理を可能とした構成例について]
上述した各ラウンド間において、データの再分割処理を伴うラウンド間置換(RP)を実行する構成、すなわち、ラウンド演算の出力データを有するラインの(n/d)ビットデータを、さらに複数に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個の(n/d)ビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する構成では、データ分割を伴わないラウンド置換処理より、さらに拡散性能を高めた処理が可能となる。
すなわち、データ分割を伴うラウンド間置換(RP)によって、拡散性能が向上し、安全性が飛躍的に向上する。
この構成をハードウェア実装する場合は、配線の変更のみでデータ分割を伴うラウンド間置換(RP)を実現できるため、実装コストはかからない。
しかしながら、ソフトウェアで実装する場合には、ラウンド間置換(RP)処理の実装コストが高くなるという問題がある。具体的には、複雑な処理アルゴリズムを実行することが必要となり、アルゴリズム構築のコストや、処理時間の増大をもたらすという問題がある。
以下、これらの問題を解決した構成について説明する。
具体的には、初期置換と最終置換を設定してラウンド間置換を省略し高速処理を可能とした構成例である。
まず、上述したデータ分割を伴うラウンド間置換(RP)の実行構成について、図33〜図35を参照してまとめて説明する。
すなわち、ラウンド演算の出力データを有するラインの(n/d)ビットデータを再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個の(n/d)ビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する構成について、図33〜図35を参照してまとめて説明する。
図33〜図35は、いずれも、拡散特性を高めるラウンド間置換(RP)、すなわちラウンド間において、データの再分割を伴うラウンド間置換(RP)を適用した拡張Feistel(GFN)構造の構成例である。いずれも分割数d=4である。
図33に示す構成は、F関数にラウンド鍵を入力する構成である。
図34に示す構成は、F関数後の排他的論理和(XOR)部においてラウンド鍵を入力する構成である。
図33、図34に示すRPは、ラウンド間置換(RP)実行部である。具体的には、図35に示すような置換が実行される。
図35の構成では、ラウンド鍵入力処理を省略して示しているが、図33に示すようにF関数に対する入力、あるいは、図34に示すようにF関数後の入力、いずれかの態様でラウンド鍵の入力が実行される。
図33〜図35に示すようにラウンド間でデータの再分割を伴うラウンド間置換(RP)を実行することによって、安全性を飛躍的に高めることが可能である。
しかしながら、このデータ再分割を伴うラウンド間置換(RP)は、前述したようにソフトウェアで実装する場合、ラウンド間置換(RP)処理の実装コストが高くなる。具体的には、複雑な処理アルゴリズムを実行することが必要となり、アルゴリズム構築のコストや、処理時間の増大をもたらすという問題がある。
以下に詳細を説明する。
第iラウンド入力(x0(i),x1(i),x2(i),x3(i))から、
第iラウンド出力(x0(i+1),x1(i+1),x2(i+1),x3(i+1))
を得るために必要な演算の一例を以下に示す。
X0(i)〜X3(i)は、第iラウンド入力を構成する4分割データ中の各分割データ、左端0〜右端3の各分割データを示す。
X0(i+1)〜X3(i+1)は、第iラウンド出力(=第(i+1)ラウンド入力)を構成する4分割データ中の各分割データ、左端0〜右端3の各分割データを示す。
また、以下の説明において、
A(+)B
は、AとBのビット毎の排他的論理和(XOR)演算、
F(X0(i))
は、データX0(i)に対するF関数の適用演算、
を表すものとする。
以下の2つのラウンド間置換における演算について、順次、説明する。
(1)データ再分割を伴わない従来型のラウンド間置換
(2)データ再分割を伴うラウンド間置換
(1)データ再分割を伴わない従来型のラウンド間置換
まず、データ再分割を伴わない従来型のラウンド間置換を実行する場合の演算処理について説明する。
第iラウンド入力を、(x0(i),x1(i),x2(i),x3(i))、
第iラウンド出力を、(x0(i+1),x1(i+1),x2(i+1),x3(i+1))
とする。
第iラウンド出力:(x0(i+1),x1(i+1),x2(i+1),x3(i+1)の各々は、以下の演算によって算出される。
x0(i+1)←F(x0(i))(+)x1(i)
x1(i+1)←x2(i)
x2(i+1)←F(x2(i))(+)x3(i)
x3(i+1)←x0(i)
上記演算において、必要な演算は、
F関数演算=2回、
排他的論理和(XOR)演算=2回
である。
(2)データ再分割を伴うラウンド間置換
次に、データ分割を伴うラウンド間置換を実行する場合の演算処理について説明する。
第iラウンド入力を、(x0(i),x1(i),x2(i),x3(i))、
第iラウンド出力を、(x0(i+1),x1(i+1),x2(i+1),x3(i+1))
とする。
第iラウンド出力:(x0(i+1),x1(i+1),x2(i+1),x3(i+1)の各々は、以下の演算によって算出される。
t0←F(x0(i))(+)x1(i)
t1←F(x2(i))(+)x3(i)
x0(i+1)←(t0 & maskH)(+)(t1 & maskL)
x1(i+1)←(x2(i) & maskH)(+)(x0(i) & maskL)
x2(i+1)←(t1 & maskH)(+)(t0 & maskL)
x3(i+1)←(x0(i) & maskH)(+)(x2(i) & maskL)
ただし、上記式において、
&は、AND演算、
maskHは、n/4ビット中の上位n/8ビットのみ1としたデータ(残りは0)
maskLは、n/4ビット中の下位n/8ビットのみ1としたデータ(残りは0)
である。
上記演算において、必要な演算は、
F関数演算=2回、
排他的論理和(XOR)演算=6回、
AND演算=8回
である。
このように、データ再分割を伴うラウンド間置換を実行する場合の演算量は、データ再分割を伴わないラウンド間置換を実行する場合に比較して増大することになる。
従って、ソフトウェアで実装する場合の実装コストが高くなる。具体的には、複雑な処理アルゴリズムを実行することが必要となり、アルゴリズム構築のコストや、処理時間の増大をもたらすという問題がある。
この問題を解決した構成例について、図36以下を参照して説明する。
図36は、上記問題を解決した暗号処理装置の暗号処理部全体構成を説明する図である。
暗号処理部は、拡張Feistel(GFN)構成を有し、図36に示すように、以下の各構成要素を有する。
初期置換部(IP)301、
メイン処理関数実行部(GR)302、
最終置換部(FP(T))303、
図36に示す暗号処理部の例は、nビット入力、nビット出力の暗号処理部であり、総ラウンド数はRである。
総ラウンド数R=4S+T
である。
ただし、T<4、すなわちT=0〜3のいずれかである。
これらのRラウンドは、すべてメイン処理関数実行部(GR)302に含まれる。
メイン処理関数実行部(GR)302は、後述する基本4ラウンドをS回、繰り返し、さらにTラウンド、総計R(=4S+T)ラウンドのラウンド演算を実行する。
メイン処理関数実行部(GR)302に対するnビット入力は、初期置換部(IP)301から出力される。
初期置換部(IP)301は、暗号処理対象データであるnビットを入力して、初期置換(IP:Initial Permutation)を実行して、初期置換結果としてのnビットを生成して、メイン処理関数実行部(GR)302に入力する。
メイン処理関数実行部(GR)302からのnビット出力は、最終置換部(FP(T))303に入力される。
最終置換部(FP(T))303は、メイン処理関数実行部(GR)302からのnビット出力に対して、最終置換(FP:Final Permutation)を実行して、最終置換結果としてのnビットを生成して出力する。
なお、最終置換部(FP(T))303の実行する置換処理は、メイン処理関数実行部(GR)302の実行するラウンド演算数、具体的にはTの数に応じて異なる設定となる。
T=0〜3の各T値に応じた4種類の置換が実行される。
初期置換部(IP)301の具体的構成例を図37に示す。
なお、以下に説明する例は、図36に示す暗号処理部が、分割数d=4の拡張Feistel(GFN)構成を有する場合の構成例である。
図37に示すように、暗号処理対象データはnビットであり、まず、入力nビットは、分割数d=4の拡張Feistel(GFN)構成に従って4分割され、4つの(n/4)ビットに分離される。
さらに、初期置換部(IP)301において、各(n/4)ビットの各々が上位(n/8)ビットと、下位(n/8)ビットに分割される。
初期置換部(IP)301の入力を、(x0,x1,x2,x3)、
初期置換部(IP)301の出力を、(y0,y1,y2,y3)
とする。
初期置換部(IP)301の出力(y0,y1,y2,y3)の各々は、以下の演算によって算出される。
y0←(x2 & maskH)(+)(x0 & maskL)
y1←(x0 & maskH)(+)(x2 & maskL)
y2←x1
y3←x3
ただし、上記式において、
(+)は排他的論理和(XOR)演算、
&は、AND演算、
maskHは、n/4ビット中の上位n/8ビットのみ1としたデータ(残りは0)
maskLは、n/4ビット中の下位n/8ビットのみ1としたデータ(残りは0)
である。
上記演算において、必要な演算は、
排他的論理和(XOR)演算=2回、
AND演算=4回
である。
次に図38〜図39を参照して、メイン処理関数実行部(GR)302の構成について説明する。
図36に示す暗号処理部の例は、nビット入力、nビット出力の暗号処理部であり、総ラウンド数はRである。
総ラウンド数R=4S+T
である。
ただし、T<4、すなわちT=0〜3のいずれかである。
これらのRラウンドは、すべてメイン処理関数実行部(GR)302に含まれる。
メイン処理関数実行部(GR)302は、図38に示す基本4ラウンドをS回、繰り返し、さらに、Tラウンド、総計R(=4S+T)ラウンドのラウンド演算を実行する。
T=0の場合は、図38に示す基本4ラウンドをS回繰り返す。
T=1の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドを実行する。
T=2の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドと基本第2ラウンドを実行する。
T=3の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドと、基本第2ラウンドと、基本第3ラウンドを実行する。
図38に示すように、基本第1ラウンドから、基本第4ラウンドまでの複数のラウンド演算において、ラウンド間の置換(RP:Round Permutation)は実行されない。
すなわち、メイン処理関数実行部(GR)302において実行するR(=4S+T)回のラウンド演算において、ラウンド間の入出力データの置換処理は行われない。
このため、置換処理の処理コストが全く発生しない。具体的には、例えばソフトウェア実装した場合に、ラウンド間の置換処理演算が不要となり、高速処理が実現されることになる。
図38に示す基本第1ラウンドから基本第4ラウンドまでの基本4ラウンド演算を実行する場合の、
基本4ラウンド演算の入力を、(x0,x1,x2,x3)、
基本4ラウンド演算の出力を、(y0,y1,y2,y3)、
とする。
また、第2基本ラウンドの出力(=第3基本ラウンドの入力)を、(z0,z1,z2,z3)とする。
基本4ラウンド演算の出力を、(y0,y1,y2,y3)の各々は、以下の演算によって算出される。
z0←F((x1 & maskH)(+)(x0 & maskL))(+)x2、
z1←F((x0 & maskH)(+)(x1 & maskL))(+)x3、
z2←F((z0 & maskH)(+)(z1 & maskL))(+)x0、
z3←F((z1 & maskH)(+)(z0 & maskL))(+)x1、
y0←F((y2 & maskH)(+)(y3 & maskL))(+)z2、
y1←F((y3 & maskH)(+)(y2 & maskL))(+)z3
y2←F((z3 & maskH)(+)(z2 & maskL))(+)y0、
y3←F((z2 & maskH)(+)(z3 & maskL))(+)y1、
ただし、上記式において、
(+)は排他的論理和(XOR)演算、
&は、AND演算、
Fは、F関数演算
maskHは、n/4ビット中の上位n/8ビットのみ1としたデータ(残りは0)
maskLは、n/4ビット中の下位n/8ビットのみ1としたデータ(残りは0)
である。
上記演算において、必要な演算は、
F関数演算=8回
排他的論理和(XOR)演算=16回、
AND演算=16回
である。
前述したように、メイン処理関数実行部(GR)302は、図38に示す基本4ラウンドをS回、繰り返し、さらに、Tラウンド、総計R(=4S+T)ラウンドのラウンド演算を実行する。
T=0の場合は、図38に示す基本4ラウンドをS回繰り返す。
T=1の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドを実行する。
T=2の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドと基本第2ラウンドを実行する。
T=3の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドと、基本第2ラウンドと、基本第3ラウンドを実行する。
図39に、
ラウンド数=11
ラウンド数=12
ラウンド数=13
これらの各ラウンド数の設定とした暗号処理部におけるメイン処理関数実行部(GR)302の構成例を示す。
図39(a)は、G11(R=11)の構成、すなわち、ラウンド数=11の場合のメイン処理関数実行部(GR)302の構成例である。R=11=4×2+3であり、T=3となる。
T=3の場合、図38に示す基本4ラウンドを2回繰り返した後、図38に示す基本第1ラウンドと、基本第2ラウンドと、基本第3ラウンドを実行する。
図39(b)は、G12(R=12)の構成、すなわち、ラウンド数=12の場合のメイン処理関数実行部(GR)302の構成例である。R=12=4×3であり、T=0となる。
T=0の場合、図38に示す基本4ラウンドを3回繰り返す構成となる。
図39(c)は、G13(R=13)の構成、すなわち、ラウンド数=13の場合のメイン処理関数実行部(GR)302の構成例である。R=13=4×3+1であり、T=1となる。
T=1の場合、図38に示す基本4ラウンドを3回繰り返した後、図38に示す基本第1ラウンドを実行する。
次に、図36に示す暗号処理部構成中の最後の構成である最終置換部(FP(T))303の具体的構成例について、図40、図41を参照して説明する。
最終置換部(FP(T))303は、メイン処理関数実行部(GR)302からのnビット出力に対して、最終置換(FP:Final Permutation)を実行して、最終置換結果としてのnビットを生成して出力する。
なお、最終置換部(FP(T))303の実行する置換処理は、メイン処理関数実行部(GR)302の実行するラウンド演算数、具体的にはTの数に応じて異なる設定となる。
T=R mod 4=0〜3の各値に応じた4種類の置換を実行する。
図40、図41には、以下の各T値に応じた4種類の最終置換部(FP(T))303の構成例を示している。
(a)T=0(R mod 4=0)の場合の最終置換部(FP(0))303の構成
(b)T=1(R mod 4=1)の場合の最終置換部(FP(1))303の構成
(c)T=2(R mod 4=2)の場合の最終置換部(FP(2))303の構成
(d)T=3(R mod 4=3)の場合の最終置換部(FP(3))303の構成
最終置換部(FP(T))303の入力を、(x0,x1,x2,x3)、
最終置換部(FP(T))303の出力を、(y0,y1,y2,y3)
とする。
以下、図40〜図41に示す各構成における最終置換部(FP(T))303の出力(y0,y1,y2,y3)の各々を出力する演算について説明する。
まず、図40(a)に示す、
(a)T=0の場合の最終置換部(FP(0))303の構成
において、最終置換部(FP(0))303の出力(y0,y1,y2,y3)の各々を出力する演算は、以下の演算となる。
y0←(x0 & maskH)(+)(x3 & maskL)
y1←(x1 & maskH)(+)(x0 & maskL)
y2←(x3 & maskH)(+)(x2 & maskL)
y3←(x2 & maskH)(+)(x1 & maskL)
ただし、上記式において、
(+)は排他的論理和(XOR)演算、
&は、AND演算、
maskHは、n/4ビット中の上位n/8ビットのみ1としたデータ(残りは0)
maskLは、n/4ビット中の下位n/8ビットのみ1としたデータ(残りは0)
である。
上記演算において、必要な演算は、
排他的論理和(XOR)演算=4回、
AND演算=8回
である。
次に、図40(b)に示す、
(b)T=1の場合の最終置換部(FP(1))303の構成
において、最終置換部(FP(1))303の出力(y0,y1,y2,y3)の各々を出力する演算は、以下の演算となる。
y0←(x2 & maskH)(+)(x0 & maskL)
y1←(x0 & maskH)(+)(x2 & maskL)
y2←(x1 & maskH)(+)(x1 & maskL)
y3←(x3 & maskH)(+)(x3 & maskL)
上記演算において、必要な演算は、
排他的論理和(XOR)演算=4回、
AND演算=8回
である。
次に、図41(c)に示す、
(c)T=2の場合の最終置換部(FP(2))303の構成
において、最終置換部(FP(2))303の出力(y0,y1,y2,y3)の各々を出力する演算は、以下の演算となる。
y0←(x3 & maskH)(+)(x2 & maskL)
y1←(x2 & maskH)(+)(x1 & maskL)
y2←(x0 & maskH)(+)(x3 & maskL)
y3←(x1 & maskH)(+)(x0 & maskL)
上記演算において、必要な演算は、
排他的論理和(XOR)演算=4回、
AND演算=8回
である。
次に、図41(d)に示す、
(d)T=3の場合の最終置換部(FP(3))303の構成
において、最終置換部(FP(3))303の出力(y0,y1,y2,y3)の各々を出力する演算は、以下の演算となる。
y0←(x1 & maskH)(+)(x1 & maskL)
y1←(x3 & maskH)(+)(x3 & maskL)
y2←(x2 & maskH)(+)(x0 & maskL)
y3←(x0 & maskH)(+)(x2 & maskL)
上記演算において、必要な演算は、
排他的論理和(XOR)演算=4回、
AND演算=8回
である。
本開示の暗号処理装置の暗号処理部の構成について、再度、まとめて説明する。
本開示の暗号処理装置の暗号処理部は、図36を参照して説明したように、拡張Feistel(GFN)構成を有し、以下の各構成要素を有する。
初期置換部(IP)301、
メイン処理関数実行部(GR)302、
最終置換部(FP(T))303、
分割数d=4の構成を持つ拡張Feistel(GFN)構成では、上記の各処理部は、以下の構成を有する。
初期置換部(IP)301は、図37を参照して説明した構成を有する。
メイン処理関数実行部(GR)302は、図38、図39を参照して説明したように、ラウンド数に応じて異なる設定となる。
ラウンド数を、
R=4S+T
とした場合、
メイン処理関数実行部(GR)302は、図38に示す基本4ラウンドをS回、繰り返し、さらに、Tラウンド、総計R(=4S+T)ラウンドのラウンド演算を実行する。
T=0の場合は、図38に示す基本4ラウンドをS回繰り返す。
T=1の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドを実行する。
T=2の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドと基本第2ラウンドを実行する。
T=3の場合は、図38に示す基本4ラウンドをS回繰り返した後、図38に示す基本第1ラウンドと、基本第2ラウンドと、基本第3ラウンドを実行する。
最終置換部(FP(T))303は、メイン処理関数実行部(GR)302の設定ラウンド数Rに応じて異なる設定となる。具体的には、R mod 4=T=0〜3の設定に応じて図40〜図41に示す(a)〜(d)のいずれかの構成を持つ。
具体的なラウンド数設定構成を持つ暗号処理部の構成例について、図42を参照して説明する。図42には、以下のラウンド数設定の暗号処理部構成例を示している。
(1)ラウンド数R=25
(2)ラウンド数R=31
(1)ラウンド数R=25は、
初期置換部(IP)301、
ラウンド数R=25のメイン処理関数実行部(GR=G25)302、
最終置換部(FP(T)=FP(1))303、
これらの構成を持つ。
この構成では、ラウンド数R=25=4×6+1
であり、T=R mod 4=1となる。
メイン処理関数実行部(GR=G25)302は、図38に示す基本4ラウンドを6回繰り返した後、図38に示す基本第1ラウンドを実行する。
また、最終置換部(FP(T)=FP(1))303は、図40(b)に示す構成を持つ。
なお、このラウンド数R=25の設定は、ソニー株式会社の開発した暗号アルゴリズムであるPiccolo−80の設定ラウンド数に等しい。
また、図42(1)に示す構成は、Piccolo−80と同様の入出力が可能な暗号処理アルゴリズムとなる。
Piccolo−80では、初期置換や、最終置換を実行せず、図35を参照して説明したラウンド間置換を実行する構成である。従って、ソフトウェア実装とした場合、ラウンド間置換処理の処理時間が大きくなってしまうという欠点がある。
しかし、本開示の処理では、ラウンド間置換が必要なくなり、処理時間の高速化が可能となる。本開示の処理では、初期置換と最終置換が発生するが、これらの置換処理は、初期1回、最終1回のみの処理であり、全体の暗号処理の処理時間にもたらす影響は小さい。
図35に示すラウンド間置換を設定したラウンド数R=25のPiccolo−80において必要となる演算と、本開示の構成において必要となる演算処理について比較する。
本開示の構成は、図42(1)に示す構成であり、ラウンド間置換のないラウンド数R=25のメイン処理関数実行部(GR)302と、初期置換部(IP)301と最終置換部(FP(1))302からなる構成である。
ラウンド数R=25のPiccolo−80において必要となる演算は、先に図35を参照して説明した1ラウンドにおいて必要となる演算の25倍となる。
1ラウンドにおいて必要となる演算は、先に図35を参照して説明したように、
第iラウンド入力を、(x0(i),x1(i),x2(i),x3(i))、
第iラウンド出力を、(x0(i+1),x1(i+1),x2(i+1),x3(i+1))
とした場合、以下の演算処理となる。
第iラウンド出力:(x0(i+1),x1(i+1),x2(i+1),x3(i+1)の各々は、以下の演算によって算出される。
t0←F(x0(i))(+)x1(i)
t1←F(x2(i))(+)x3(i)
x0(i+1)←(t0 & maskH)(+)(t1 & maskL)
x1(i+1)←(x2(i) & maskH)(+)(x0(i) & maskL)
x2(i+1)←(t1 & maskH)(+)(t0 & maskL)
x3(i+1)←(x0(i) & maskH)(+)(x2(i) & maskL)
ただし、上記式において、
&は、AND演算、
maskHは、n/4ビット中の上位n/8ビットのみ1としたデータ(残りは0)
maskLは、n/4ビット中の下位n/8ビットのみ1としたデータ(残りは0)
である。
上記演算において、必要な演算は、
F関数演算=2回、
排他的論理和(XOR)演算=6回、
AND演算=8回
である。
ラウンド数R=25のPiccolo−80において必要となる演算は、上記の25倍となる。すなわち、
F関数演算=2回×25=50回、
排他的論理和(XOR)演算=6回×25=130回、
AND演算=8回×25=200回
である。
一方、本開示の構成は、図42(1)に示す構成であり、ラウンド間置換のないラウンド数R=25のメイン処理関数実行部(GR)302と、初期置換部(IP)301と最終置換部(FP(1))302からなる構成である。
初期置換部(IP)301において必要となる演算は、先に図37を参照して説明したように、以下の演算である。
y0←(x2 & maskH)(+)(x0 & maskL)
y1←(x0 & maskH)(+)(x2 & maskL)
y2←x1
y3←x3
上記演算において、必要な演算は、
排他的論理和(XOR)演算=2回、
AND演算=4回
である。
また、メイン処理関数実行部(GR)302では、ラウンド数25の設定であり、先に図38を参照して説明した4ラウンド分の演算の約6.25倍の演算処理が必要となる。
先に図38を参照して説明した4ラウンド分の演算において、必要な演算は、
F関数演算=8回
排他的論理和(XOR)演算=16回、
AND演算=16回
である。
ラウンド数25の設定としたメイン処理関数実行部(GR)302では、この4ラウンド分の演算の約6.25倍の演算処理が必要となる。従って、以下の演算処理が必要となる。
F関数演算=8回×6.25=50回
排他的論理和(XOR)演算=16回×6.25=100回、
AND演算=16回×6.25=100回
である。
さらに、最終置換部(FP(1))303において必要となる演算は、先に図40(b)を参照して説明した演算であり、以下の演算となる。
y0←(x2 & maskH)(+)(x0 & maskL)
y1←(x0 & maskH)(+)(x2 & maskL)
y2←(x1 & maskH)(+)(x1 & maskL)
y3←(x3 & maskH)(+)(x3 & maskL)
上記演算において、必要な演算は、
排他的論理和(XOR)演算=4回、
AND演算=8回
である。
これらの結果から、図42(1)に示す構成、すなわち、ラウンド間置換のないラウンド数R=25のメイン処理関数実行部(GR)302と、初期置換部(IP)301と最終置換部(FP(1))302からなる構成において必要となる演算は、以下の各演算(1)〜(3)の加算結果となる。
(1)初期置換部(IP)301において必要となる演算
排他的論理和(XOR)演算=2回、
AND演算=4回
(2)ラウンド数25の設定としたメイン処理関数実行部(GR)302において必要となる演算、
F関数演算=8回×6.25=50回
排他的論理和(XOR)演算=16回×6.25=100回、
AND演算=16回×6.25=100回
(3)最終置換部(FP(1))303において必要となる演算
排他的論理和(XOR)演算=4回、
AND演算=8回
これらの総計は以下の通りである。
F関数演算=50回、
排他的論理和(XOR)演算=2+100+4=106回、
AND演算=4+100+8=112回
前述したように、ラウンド数R=25のPiccolo−80において必要となる演算は、以下の通りである。
F関数演算=2回×25=50回、
排他的論理和(XOR)演算=6回×25=130回、
AND演算=8回×25=200回
である。
F関数演算数は、いずれも50回であり、同一であるが、排他的論理和(XOR)演算と、AND演算数は、本開示の構成の方がはるかに少なくなる。
この結果として、暗号処理演算の高速化、特にソフトウェアウ実装した場合の演算ステップ数の減少による高速化が実現される。
次に、図42に示す(2)ラウンド数R=31の設定例について説明する。
(2)ラウンド数R=31の暗号処理部は、
初期置換部(IP)301、
ラウンド数R=31のメイン処理関数実行部(GR=G31)302、
最終置換部(FP(T)=FP(3))303、
これらの構成を持つ。
この構成では、ラウンド数R=31=4×7+3
であり、T=R mod 4=3となる。
メイン処理関数実行部(GR=G31)302は、図38に示す基本4ラウンドを7回繰り返した後、図38に示す基本第1ラウンド〜基本第3ラウンドを実行する。
また、最終置換部(FP(T)=FP(1))303は、図41(d)に示す構成を持つ。
なお、このラウンド数R=31の設定は、ソニー株式会社の開発した暗号アルゴリズムであるPiccolo−128の設定ラウンド数に等しい。
また、図42(2)に示す構成は、Piccolo−128と同様の入出力が可能な暗号処理アルゴリズムとなる。
Piccolo−128では、初期置換や、最終置換を実行せず、図35を参照して説明したラウンド間置換を実行する構成である。従って、ソフトウェア実装とした場合、ラウンド間置換処理の処理時間が大きくなってしまうという欠点がある。
しかし、本開示の処理では、ラウンド間置換が必要なくなり、処理時間の高速化が可能となる。本開示の処理では、初期置換と最終置換が発生するが、これらの置換処理は、初期1回、最終1回のみの処理であり、全体の暗号処理の処理時間にもたらす影響は小さい。
図35に示すラウンド間置換を設定したラウンド数R=31のPiccolo−128において必要となる演算と、本開示の構成において必要となる演算処理について比較する。
本開示の構成は、図42(2)に示す構成であり、ラウンド間置換のないラウンド数R=31のメイン処理関数実行部(GR)302と、初期置換部(IP)301と最終置換部(FP(1))302からなる構成である。
ラウンド数R=31のPiccolo−128において必要となる演算は、先に図35を参照して説明した1ラウンドにおいて必要となる演算の31倍となる。
すなわち、
F関数演算=2回×31=62回、
排他的論理和(XOR)演算=6回×31=186回、
AND演算=8回×31=248回
である。
一方、本開示の構成は、図42(1)に示す構成であり、ラウンド間置換のないラウンド数R=25のメイン処理関数実行部(GR)302と、初期置換部(IP)301と最終置換部(FP(1))302からなる構成である。
初期置換部(IP)301において必要となる演算は、先に図37を参照して説明したように、必要な演算は、
排他的論理和(XOR)演算=2回、
AND演算=4回
である。
また、メイン処理関数実行部(GR)302では、ラウンド数31の設定であり、先に図38を参照して説明した4ラウンド分の演算の約7.75倍の演算処理が必要となる。
従って、以下の演算処理が必要となる。
F関数演算=8回×7.75=62回
排他的論理和(XOR)演算=16回×7.75=124回、
AND演算=16回×7.75=124回
である。
さらに、最終置換部(FP(1))303において必要となる演算は、先に図41(d)を参照して説明した演算であり、必要な演算は、
排他的論理和(XOR)演算=4回、
AND演算=8回
である。
これらの結果から、図42(2)に示す構成、すなわち、ラウンド間置換のないラウンド数R=31のメイン処理関数実行部(GR)302と、初期置換部(IP)301と最終置換部(FP(1))302からなる構成において必要となる演算は、以下の各演算(1)〜(3)の加算結果となる。
(1)初期置換部(IP)301において必要となる演算
排他的論理和(XOR)演算=2回、
AND演算=4回
(2)ラウンド数31の設定としたメイン処理関数実行部(GR)302において必要となる演算、
F関数演算=8回×7.75=62回
排他的論理和(XOR)演算=16回×7.75=124回、
AND演算=16回×7.75=124回
(3)最終置換部(FP(1))303において必要となる演算
排他的論理和(XOR)演算=4回、
AND演算=8回
これらの総計は以下の通りである。
F関数演算=62回、
排他的論理和(XOR)演算=2+124+4=130回、
AND演算=4+124+8=136回
前述したように、ラウンド数R=31のPiccolo−128において必要となる演算は、以下の通りである。
F関数演算=2回×31=62回、
排他的論理和(XOR)演算=6回×31=186回、
AND演算=8回×31=248回
である。
F関数演算数は、いずれも62回であり、同一であるが、排他的論理和(XOR)演算と、AND演算数は、本開示の構成の方がはるかに少なくなる。
この結果として、暗号処理演算の高速化、特にソフトウェアウ実装した場合の演算ステップ数の減少による高速化が実現される。
[6.暗号処理装置の構成例について]
最後に、上述した実施例に従った暗号処理を実行する暗号処理装置の構成例について説明する。
上述した実施例に従った暗号処理を実行する暗号処理装置は、暗号処理を実行する様々な情報処理装置に搭載可能である。具体的には、PC、TV、レコーダ、プレーヤ、通信機器、さらに、RFID、スマートカード、センサネットワーク機器、デンチ/バッテリー認証モジュール、健康・医療機器、自立型ネットワーク機器等、例えばデータ処理や通信処理に伴う暗号処理を実行する様々な機器において利用可能である。
本開示の暗号処理を実行する装置の一例としてのICモジュール800の構成例を図43に示す。上述の処理は、例えばPC、ICカード、リーダライタ、スマートフォンやウェアラブルデバイス等の様々な情報処理装置において実行可能であり、図43に示すICモジュール800は、これら様々な機器に構成することが可能である。
図43に示すCPU(Central processing Unit)801は、暗号処理の開始や、終了、データの送受信の制御、各構成部間のデータ転送制御、その他の各種プログラムを実行するプロセッサである。メモリ802は、CPU801が実行するプログラム、あるいは演算パラメータなどの固定データを格納するROM(Read−Only−Memory)、CPU801の処理において実行されるプログラム、およびプログラム処理において適宜変化するパラメータの格納エリア、ワーク領域として使用されるRAM(Random Access Memory)等からなる。また、メモリ802は暗号処理に必要な鍵データや、暗号処理において適用する変換テーブル(置換表)や変換行列に適用するデータ等の格納領域として使用可能である。なおデータ格納領域は、耐タンパ構造を持つメモリとして構成されることが好ましい。
暗号処理部803は、上記において説明した暗号処理構成を有しい、共通鍵ブロック暗号処理アルゴリズムに従った暗号処理、復号処理を実行する。
なお、ここでは、暗号処理手段を個別モジュールとした例を示したが、このような独立した暗号処理モジュールを設けず、例えば暗号処理プログラムをROMに格納し、CPU801がROM格納プログラムを読み出して実行するように構成してもよい。
乱数発生器804は、暗号処理に必要となる鍵の生成などにおいて必要となる乱数の発生処理を実行する。
送受信部805は、外部とのデータ通信を実行するデータ通信処理部であり、例えばリーダライタ等、ICモジュールとのデータ通信を実行し、ICモジュール内で生成した暗号文の出力、あるいは外部のリーダライタ等の機器からのデータ入力などを実行する。
なお、上述した実施例において説明した暗号処理装置は、入力データとしての平文を暗号化する暗号化処理に適用可能であるのみならず、入力データとしての暗号文を平文に復元する復号処理にも適用可能である。
暗号化処理、復号処理、双方の処理において、上述した実施例において説明した構成を適用することが可能である。
図44は、本開示に係る暗号処理を実行するスマートフォン900の概略的な構成の一例を示すブロック図である。スマートフォン900は、プロセッサ901、メモリ902、ストレージ903、外部接続インタフェース904、カメラ906、センサ907、マイクロフォン908、入力デバイス909、表示デバイス910、スピーカ911、無線通信インタフェース913、アンテナスイッチ914、アンテナ915、バス917、バッテリー918及び補助コントローラ919を備える。
プロセッサ901は、例えばCPU(Central Processing Unit)又はSoC(System on Chip)であってよく、スマートフォン900のアプリケーションレイヤ及びその他のレイヤの機能を制御し、また、暗号処理を制御する。メモリ902は、RAM(Random Access Memory)及びROM(Read Only Memory)を含み、プロセッサ901により実行されるプログラム及びデータを記憶する。また、メモリ902は、暗号処理に必要な鍵データや、暗号処理において適用する変換テーブル(置換表)や変換行列に適用するデータ等の格納領域として使用可能である。なおデータ格納領域は、耐タンパ構造を持つメモリとして構成されることが好ましい。ストレージ903は、半導体メモリ又はハードディスクなどの記憶媒体を含み得る。外部接続インタフェース904は、メモリーカード又はUSB(Universal Serial Bus)デバイスなどの外付けデバイスをスマートフォン900へ接続するためのインタフェースである。
カメラ906は、例えば、CCD(Charge Coupled Device)又はCMOS(Complementary Metal Oxide Semiconductor)などの撮像素子を有し、撮像画像を生成する。センサ907は、例えば、測位センサ、ジャイロセンサ、地磁気センサ及び加速度センサなどのセンサ群を含み得る。マイクロフォン908は、スマートフォン900へ入力される音声を音声信号へ変換する。カメラ906で生成された画像や、センサ907で取得されたセンサデータ、マイクロフォン908で取得した音声信号などは、プロセッサ901により暗号化され無線通信インタフェース913を介して他の装置に送信されてもよい。入力デバイス909は、例えば、表示デバイス910の画面上へのタッチを検出するタッチセンサ、キーパッド、キーボード、ボタン又はスイッチなどを含み、ユーザからの操作又は情報入力を受け付ける。表示デバイス910は、液晶ディスプレイ(LCD)又は有機発光ダイオード(OLED)ディスプレイなどの画面を有し、スマートフォン900の出力画像を表示する。スピーカ911は、スマートフォン900から出力される音声信号を音声に変換する。
無線通信インタフェース913は、無線通信を実行し、典型的には、ベースバンドプロセッサ、RF(Radio Frequency)回路及びパワーアンプなどを含み得る。無線通信インタフェース913は、通信制御プログラムを記憶するメモリ、当該プログラムを実行するプロセッサ及び関連する回路を集積したワンチップのモジュールであってもよい。無線通信インタフェース913は、無線LAN方式に加えて、近距離無線通信方式、近接無線通信方式又はセルラ通信方式などの他の種類の無線通信方式をサポートしてもよい。
バス917は、プロセッサ901、メモリ902、ストレージ903、外部接続インタフェース904、カメラ906、センサ907、マイクロフォン908、入力デバイス909、表示デバイス910、スピーカ911、無線通信インタフェース913及び補助コントローラ919を互いに接続する。バッテリー918は、図中に破線で部分的に示した給電ラインを介して、図44に示したスマートフォン900の各ブロックへ電力を供給する。補助コントローラ919は、例えば、スリープモードにおいて、スマートフォン900の必要最低限の機能を動作させる。
なお、上述した実施例において説明したスマートフォンにおける暗号処理は、入力データとしての平文を暗号化する暗号化処理に適用可能であるのみならず、入力データとしての暗号文を平文に復元する復号処理にも適用可能である。
暗号化処理、復号処理、双方の処理において、上述した実施例において説明した構成を適用することが可能である。
また、図44に示すスマートフォン900に図43に示すICモジュール800を搭載し、上述した実施例に従った暗号処理をICモジュール800において実行する構成としてもよい。
[7.本開示の構成のまとめ]
以上、特定の実施例を参照しながら、本開示の実施例について詳解してきた。しかしながら、本開示の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本開示の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。
なお、本明細書において開示した技術は、以下のような構成をとることができる。
(1) 入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
前記暗号処理部は、
入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する初期置換部と、
前記初期置換部の出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行するメイン処理関数実行部と、
前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する最終置換部を有し、
前記メイン処理関数実行部は、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する構成を有する暗号処理装置。
(2) 前記メイン処理関数実行部は、kラウンドからなる基本ラウンドを繰り返し実行する構成である(1)に記載の暗号処理装置。
(3) 前記最終置換部は、前記メイン処理関数実行部において実行するラウンド数に応じて異なる置換処理を実行する構成である(1)または(2)に記載の暗号処理装置。
(4) 前記メイン処理関数実行部は、メイン処理関数実行部において実行するラウンド数Rを、R=Sk+Tとしたとき、
kラウンドからなる基本ラウンドをS回繰り返し実行し、前記kラウンドからなる基本ラウンドを先行ラウンドから、Tラウンド分、実行する(1)〜(3)いずれかに記載の暗号処理装置。
(5) 前記最終置換部は、前記メイン処理関数実行部において実行するラウンド数T=R mod kに応じて異なる置換処理を実行する構成である(4)に記載の暗号処理装置。
(6) 前記メイン処理関数実行部は、kラウンドからなる基本ラウンドを繰り返し実行する構成であり、
各基本ラウンドは、異なるライン上のデータの一部を組み合わせた合成データを入力するF関数実行部を有する構成である(1)〜(5)いずれかに記載の暗号処理装置。
(7) 前記F関数実行部は、線形変換部と非線形変換部を有する構成である(6)に記載の暗号処理装置。
(8) 前記メイン処理関数実行部は、前記F関数実行部からの出力と、ライン上のデータとの排他的論理和(XOR)演算部を有する構成である(6)または(7)に記載の暗号処理装置。
(9) 前記メイン処理関数実行部は、前記F関数実行部、または前記排他的論理和(XOR)演算部において、ラウンド鍵との演算を実行する構成である(8)に記載の暗号処理装置。
(10) 前記暗号処理部は、拡張Feistel構造(GFN:Generalized Feistel Network)を有する(1)〜(9)いずれかに記載の暗号処理装置。
(11) 前記暗号処理部は、
入力データとしての平文を暗号文に変換する暗号化処理、または、
入力データとしての暗号文を平文に変換する復号処理を実行する(1)〜(10)いずれかに記載の暗号処理装置。
(12) 暗号処理装置において実行する暗号処理方法であり、
暗号処理部が、入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行し、
前記暗号処理ステップは、
初期置換部が、入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する初期置換処理ステップと、
メイン処理関数実行部が、前記初期置換部が出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行するメイン処理関数実行ステップと、
最終置換部が、前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する最終置換処理ステップを有し、
前記メイン処理関数実行ステップにおいては、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する処理を実行する暗号処理方法。
(13) 暗号処理装置において暗号処理を実行させるプログラムであり、
暗号処理部に、入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行させ、
前記プログラムは、前記暗号処理ステップにおいて、
初期置換部に、入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成させ、
メイン処理関数実行部に、前記初期置換部が出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行させ、
最終置換部に、前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成させ、
前記メイン処理関数実行ステップにおいては、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する処理を実行させるプログラム。
また、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。例えば、プログラムは記録媒体に予め記録しておくことができる。記録媒体からコンピュータにインストールする他、LAN(Local Area Network)、インターネットといったネットワークを介してプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。
なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
上述したように、本開示の一実施例の構成によれば、安全性が高く処理速度を向上させた暗号処理構成が実現される。
具体的には、入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有する。暗号処理部は、各ラインの入力データの再分割データ単位の置換処理を実行する初期置換部と、初期置換部の出力に対してラウンド演算を繰り返し実行するメイン処理関数実行部と、メイン処理関数実行部の出力データに対する再分割データ単位の置換を実行する最終置換部を有する。メイン処理関数実行部は、前段のラウンド関数実行部の出力の置換処理を行なわず後段のラウンド関数実行部に出力する。
本構成により、安全性が高く、かつ高速処理の可能な暗号処理構成が実現される。
301 初期置換部
302 メイン処理関数実行部
303 最終置換部
700 暗号処理装置
720 鍵スケジュール部
721 ラウンド鍵供給部
722 鍵レジスタ
723 鍵変換部
725 定数供給部
750 暗号処理部
751 排他的論理和部
752 非線形変換部
753 線形変換部
800 ICモジュール
801 CPU(Central processing Unit)
802 メモリ
803 暗号処理部
804 乱数生成部
805 送受信部
900 スマートフォン
901 プロセッサ
902 メモリ
903 ストレージ
904 外部接続インタフェース
906 カメラ
907 センサ
908 マイクロフォン
909 入力デバイス
910 表示デバイス
911 スピーカ
913 無線通信インタフェース
914 アンテナスイッチ
915 アンテナ
917 バス
918 バッテリー
919 補助コントローラ

Claims (10)

  1. 入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
    前記暗号処理部は、
    入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する初期置換部と、
    前記初期置換部の出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行するメイン処理関数実行部と、
    前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する最終置換部を有し、
    前記メイン処理関数実行部は、kラウンドからなる基本ラウンドを繰り返し実行する構成であり、
    各基本ラウンドは、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する構成を有し、異なるライン上のデータの一部を組み合わせた合成データを入力するF関数実行部を有する構成であり、
    前記最終置換部は、前記メイン処理関数実行部において実行するラウンド数に応じて異なる置換処理を実行する構成である暗号処理装置。
  2. 前記メイン処理関数実行部は、メイン処理関数実行部において実行するラウンド数Rを、R=Sk+Tとしたとき、
    kラウンドからなる基本ラウンドをS回繰り返し実行し、前記kラウンドからなる基本ラウンドを先行ラウンドから、Tラウンド分、実行する請求項1に記載の暗号処理装置。
  3. 前記最終置換部は、前記メイン処理関数実行部において実行するラウンド数T=R mod kに応じて異なる置換処理を実行する構成である請求項2に記載の暗号処理装置。
  4. 前記F関数実行部は、線形変換部と非線形変換部を有する構成である請求項1に記載の暗号処理装置。
  5. 前記メイン処理関数実行部は、前記F関数実行部からの出力と、ライン上のデータとの排他的論理和(XOR)演算部を有する構成である請求項1に記載の暗号処理装置。
  6. 前記メイン処理関数実行部は、前記F関数実行部、または前記排他的論理和(XOR)演算部において、ラウンド鍵との演算を実行する構成である請求項5に記載の暗号処理装置。
  7. 前記暗号処理部は、拡張Feistel構造(GFN:Generalized Feistel Network)を有する請求項1に記載の暗号処理装置。
  8. 前記暗号処理部は、
    入力データとしての平文を暗号文に変換する暗号化処理、または、
    入力データとしての暗号文を平文に変換する復号処理を実行する請求項1に記載の暗号処理装置。
  9. 暗号処理装置において実行する暗号処理方法であり、
    暗号処理部が、入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行し、
    前記暗号処理ステップは、
    初期置換部が、入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する初期置換処理ステップと、
    メイン処理関数実行部が、前記初期置換部が出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行するメイン処理関数実行ステップと、
    最終置換部が、前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する最終置換処理ステップを有し、
    前記メイン処理関数実行ステップにおいては、
    kラウンドからなる基本ラウンドを繰り返し実行し、
    各基本ラウンドにおいて、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する処理を実行するとともに、異なるライン上のデータの一部を組み合わせた合成データをF関数実行部に入力してデータ変換を行い、
    前記最終置換処理ステップにおいては、
    前記メイン処理関数実行ステップにおいて実行するラウンド数に応じて異なる置換処理を実行する暗号処理方法。
  10. 暗号処理装置において暗号処理を実行させるプログラムであり、
    暗号処理部に、入力データを複数ラインに分割し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行させ、
    前記プログラムは、前記暗号処理ステップにおいて、
    初期置換部に、入力データであるnビットデータをライン数に相当する分割数dで分割したd個の(n/d)ビットデータを、さらに再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成させ、
    メイン処理関数実行部に、前記初期置換部が出力するd個の(n/d)ビットデータをd本のライン各々に入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行するメイン処理関数実行ステップを実行させ、
    最終置換部に、前記メイン処理関数実行部の出力するd個の(n/d)ビットデータを、再分割して、再分割データ単位の置換処理を実行して、新たなd個の(n/d)ビットデータを生成する最終置換処理ステップを実行させ、
    前記メイン処理関数実行ステップにおいては、
    kラウンドからなる基本ラウンドを繰り返し実行させ、
    各基本ラウンドにおいて、前段のラウンド関数実行部の出力するd個の(n/d)ビットデータに対する置換処理を行なうことなく、そのまま後段のラウンド関数実行部のd本の入力ラインに出力する処理を実行させるとともに、異なるライン上のデータの一部を組み合わせた合成データをF関数実行部に入力してデータ変換を行わせ、
    前記最終置換処理ステップにおいては、
    前記メイン処理関数実行ステップにおいて実行するラウンド数に応じて異なる置換処理を実行させるプログラム。
JP2014242845A 2014-12-01 2014-12-01 暗号処理装置、および暗号処理方法、並びにプログラム Active JP6292107B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014242845A JP6292107B2 (ja) 2014-12-01 2014-12-01 暗号処理装置、および暗号処理方法、並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014242845A JP6292107B2 (ja) 2014-12-01 2014-12-01 暗号処理装置、および暗号処理方法、並びにプログラム

Publications (2)

Publication Number Publication Date
JP2016105123A JP2016105123A (ja) 2016-06-09
JP6292107B2 true JP6292107B2 (ja) 2018-03-14

Family

ID=56102730

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014242845A Active JP6292107B2 (ja) 2014-12-01 2014-12-01 暗号処理装置、および暗号処理方法、並びにプログラム

Country Status (1)

Country Link
JP (1) JP6292107B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3012732B2 (ja) * 1992-02-20 2000-02-28 富士通エフ・アイ・ピー株式会社 ブロック暗号処理装置
JP3492988B2 (ja) * 2000-07-12 2004-02-03 日本電信電話株式会社 データ変換装置及びそのプログラム記録媒体
JP4882598B2 (ja) * 2006-07-28 2012-02-22 ソニー株式会社 暗号処理装置、暗号処理アルゴリズム構築方法、および暗号処理方法、並びにコンピュータ・プログラム
JP5682525B2 (ja) * 2011-03-28 2015-03-11 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム

Also Published As

Publication number Publication date
JP2016105123A (ja) 2016-06-09

Similar Documents

Publication Publication Date Title
JP6406350B2 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
US9363074B2 (en) Encryption processing apparatus, encryption processing method, and computer program
US8165288B2 (en) Cryptographic processing apparatus and cryptographic processing method, and computer program
US10205589B2 (en) Encryption processing device and encryption processing method
JP5682525B2 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
US8396210B2 (en) Cryptographic processing apparatus and cryptographic processing method, and computer program
US9515818B2 (en) Multi-block cryptographic operation
JP5268609B2 (ja) 暗号処理装置及び演算方法
US9083507B2 (en) Data processing device, data processing method, and program
JP2008058830A (ja) データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
JP2012215816A (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
JP5652363B2 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
WO2015146430A1 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
JP6287785B2 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
WO2016059870A1 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
JP5680016B2 (ja) 復号処理装置、情報処理装置、および復号処理方法、並びにコンピュータ・プログラム
JP6292107B2 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
WO2015146432A1 (ja) 暗号処理装置、および暗号処理方法、並びにプログラム
US20180054307A1 (en) Encryption device
JP5772934B2 (ja) データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
Kalpana et al. VLSI implementation of scalable encryption algorithm for different text and processor size

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170201

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171114

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180129

R151 Written notification of patent or utility model registration

Ref document number: 6292107

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151