JP6877889B2 - 暗号化装置、暗号化方法、復号化装置、及び復号化方法 - Google Patents

暗号化装置、暗号化方法、復号化装置、及び復号化方法 Download PDF

Info

Publication number
JP6877889B2
JP6877889B2 JP2016078386A JP2016078386A JP6877889B2 JP 6877889 B2 JP6877889 B2 JP 6877889B2 JP 2016078386 A JP2016078386 A JP 2016078386A JP 2016078386 A JP2016078386 A JP 2016078386A JP 6877889 B2 JP6877889 B2 JP 6877889B2
Authority
JP
Japan
Prior art keywords
function
encryption
input
round
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016078386A
Other languages
English (en)
Other versions
JP2017187724A (ja
Inventor
孝典 五十部
孝典 五十部
ボグダノフ アンドレイ
ボグダノフ アンドレイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Danmarks Tekniskie Universitet
Sony Corp
Sony Group Corp
Original Assignee
Danmarks Tekniskie Universitet
Sony Corp
Sony Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Danmarks Tekniskie Universitet, Sony Corp, Sony Group Corp filed Critical Danmarks Tekniskie Universitet
Priority to JP2016078386A priority Critical patent/JP6877889B2/ja
Priority to US15/255,693 priority patent/US10277391B2/en
Publication of JP2017187724A publication Critical patent/JP2017187724A/ja
Application granted granted Critical
Publication of JP6877889B2 publication Critical patent/JP6877889B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)

Description

本開示は、暗号化装置、暗号化方法、復号化装置、及び復号化方法に関する。
従来、例えば下記の非特許文献1,2には、既存のブロック暗号をホワイトボックスモデルにおいても安全であるように変換する方法が記載されている。非特許文献1,2に記載された方法は、既存のアルゴリズム(DES,AES)のホワイトボックス実装に関し、演算を大きなテーブル参照に変換し、秘密鍵をテーブルに埋め込むことで、内部演算が外部から見られても安全性を保障する技術に関する。
非特許文献1,2に記載された方法では、秘密鍵の値はテーブルの中に含まれるため、鍵付のテーブルが生成される。そして、各テーブルの安全性を上げるために、テーブルの前後には、秘密の非線形関数が加えられる。また、暗号化アルゴリズムEの前後には、エクスターナルエンコーディング(External Encoding)として、関数INと関数OUTが加えられる。
また、下記の非特許文献3には、Decompositionが難しいと期待されている問題でtableを構成し、ホワイトボックスモデルにおいても安全なブロック暗号を構成する方法が記載されている。具体的に、非特許文献に記載された方法は、ホワイトボックス用のテーブルを秘密の非線形関数(S layer)と秘密の線形関数(A layer)を重ねて構成させる方法であり、具体的には、3層の秘密の線形関数(A
layer)と2層の秘密の非線形関数(S layer)から構成される。
S. Chow, P. Eisen, H. Johnson, P.C. van Oorschot "A white-box DESimplementation for DRM applications. " DRM 2002 S. Chow, P. Eisen, H. Johnson, P.C. van Oorschot "White-BoxCryptography and an AES Implementation?" SAC 2002 A. Biryukov, C. Bouillaguet, D. Khovratovich:"CryptographicSchemes Based on the ASASA Structure: Black-Box, White-Box, and Public-Key",ASIACRYPT 2014
しかし、非特許文献1,2に記載された方法では、安全性を上げるために、暗号化関数Eの入出力にエクスターナルエンコーディングとして新たな関数を付加する必要があり、エクスターナルエンコーディングを無くすと安全性が大幅に低下する問題がある。また、オリジナルの暗号化関数Eとは異なる関数になる。さらに、例えエクスターナルエンコーディングを付加したとしても、Practicalな攻撃方法が提案されている。
より具体的には、非特許文献1,2に記載された技術はAES,DESに対するホワイトボックス技術であるが、エクスターナルエンコーディングを用いた場合,ホワイトボックスモデルでの暗号化は、異なる暗号アルゴリズムになってしまう。このため、純粋な意味でAESのホワイトボックス実装とは言えず、異なる暗号アルゴリズムを本質的には実装していることになる。更に、エンコーディングされた平文を元に戻す際に、同一デバイス内の他のセキュアドメインでエンコーディングされた平文から正規の平文に戻す作業が必要である。つまり、ホワイトボックス実装が必要な環境において、セキュアに演算できる領域が必要ということであり、ホワイトボックスモデルとは矛盾しており、アプリケーションが限定される問題がある。また、エクスターナルエンコーディングを用いない場合は、一番初めと最後のラウンドにエクスターナルエンコーディングを一部用いることができず、安全性が大きく低下する問題がある。例えエクスターナルエンコーディングを付加したとしても、Practicalな攻撃方法が提案されている。
また、非特許文献3に記載された方法では、定量的に安全性を評価できない問題があり、Practicalな攻撃方法が既に提案されている。繰り返し段数を増やすことで安全性を上げるアプローチも考えられるが、秘密の非線形関数(S layer)と秘密の線形関数(A layer)を重ねて関数を構成する方法に関しては研究の歴史が浅く、定量的に安全性を評価することは困難である。
そこで、ホワイトボックスモデルにおいて、秘密鍵の秘匿性を保障し、安全に暗号化演算をすることが望まれていた。
本開示によれば、入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化するデータ暗号化部を備え、複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいて入力値を暗号化するテーブル化された暗号化関数を有する、暗号化装置が提供される。
また、本開示によれば、入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化することを備え、複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数により入力値を暗号化する、暗号化方法が提供される。
また、本開示によれば、入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うデータ復号化部を備え、複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数により入力値を暗号化する、復号化装置が提供される。
また、本開示によれば、入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うことを備え、複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数によりにより入力値を暗号化する、復号化方法が提供される。
以上説明したように本開示によれば、ホワイトボックスモデルにおいて、鍵の秘匿性を実現でき,安全な暗号化演算により、データの秘匿性を高めることが可能となる。
なお、上記の効果は必ずしも限定的なものではなく、上記の効果とともに、または上記の効果に代えて、本明細書に示されたいずれかの効果、または本明細書から把握され得る他の効果が奏されてもよい。
共通鍵ブロック暗号を示す模式図である。 暗号化を行うブロック(暗号関数E)の内部構成を示す模式図である。 Feistel構造を示す模式図である。 SPN構造を示す模式図である。 共通鍵ブロック暗号によって構成されるブラックボックスモデルを示す模式図である。 共通鍵ブロック暗号によって構成されるホワイトボックスモデルを示す模式図である。 本実施形態に係る暗号化技術の概要を示す模式図である。 具体例(B)、具体例(C)、具体例(D)、具体例(E)のそれぞれについいて、全体構成、F関数/S関数の種類、テーブルサイズ可変の可否、を示す模式図である。 暗号タイプに応じた処理を示すフローチャートである。 具体例(B)を示す模式図である。 F関数の構成を示す模式図である。 図10において、n=n’=128、c=1、d=16の場合の全体構成を示す模式図である。 図12の例のF関数の構成を示している。 図10において、n=128、c=1、d=8の場合の全体構成を示す模式図である。 図10において、n=128、c=1、d=4の場合の全体構成を示す模式図である。 図10において、n=128、c=3、d=16の場合の全体構成を示す模式図である。 1つのラウンド内に2つF関数がある例であって、n=128、d=4の例を示す模式図である。 具体例(C)を示す模式図である。 図18に示したS関数のそれぞれの構成を示す模式図である。 図18において、n=128、d=8の場合を示す模式図である。 具体例(D)を示す模式図である。 具体例(E)を示す模式図である。 本実施形態に係る暗号化による安全性を説明するための模式図である。 本実施形態に係る暗号化による安全性を説明するための模式図である。 著作権保護技術(DRM:Digital Rights Management)への適用例を示す模式図である。 図25をより詳細に示す模式図である。 NFCのエミュレーションを利用した支払システムへの適用例を示す模式図である。 図27をより詳細に示す模式図である。 メモリリークに対しても安全な方式を示す模式図である。 サイドチャンネル攻撃に対して安全な暗号化の例を示す模式図である。
以下に添付図面を参照しながら、本開示の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
なお、説明は以下の順序で行うものとする。
1.前提となる技術
2.本実施形態の概要
3.具体的構成例
3.1.具体例(B)
3.2.具体例(C)
3.3.具体例(D)
3.4.具体例(E)
4.復号化のための構成例
5.既存技術との相違
5.1.既存技術1との違い
5.2.既存技術2との違い
6.本実施形態に係る暗号化による安全性について
7.本実施形態が適用されるアプリケーションの例
1.前提となる技術
暗号化と復号化に同じ鍵を用いる共通鍵ブロック暗号の技術が知られている。図1は、共通鍵ブロック暗号を示す模式図であって、kビットの鍵長に対応したnビット共通鍵ブロック暗号アルゴリズムEを示している。暗号化の際には、平文P(nビット)からkビットの秘密鍵Kを用いて暗号関数Eにより暗号文C(nビット)が生成される。復号化の際には、暗号文C(nビット)からkビットの秘密鍵Kを用いて復号関数D(=E−1)により平文P(nビット)が生成される。このような共通鍵ブロック暗号では、例えば図1中に示すような通信路にデータが伝送される場合に、盗聴者(以下、攻撃者とも称する)に対して平文の秘匿性を実現できる。
平文Pと暗号文Cのビット長をブロックサイズと称し、ここではnで表す。nは任意の整数値を取りうるが、通常、ブロック暗号アルゴリズムごとに予め1つに決められている。ブロック長がnのブロック暗号のことをnビットブロック暗号と称する場合がある。秘密鍵Kのビット長をkで表し、鍵のビット長kは任意の整数値を取りうる。共通鍵ブロック暗号アルゴリズムは、1つまたは複数の鍵サイズに対応することになる。例えば、あるブロック暗号アルゴリズムAはブロックサイズn=128であり、k=128、またはk=192、またはk=256の鍵サイズに対応するという構成もあり得る。
暗号化アルゴリズムEに対応する復号アルゴリズムDは、暗号化アルゴリズムEの逆関数E−1と定義でき、入力として暗号文Cと鍵Kを受け取り、平文Pを出力する。
図2は、暗号化を行うブロック(暗号関数E)の内部構成を示す模式図である。暗号関数Eは、鍵スケジュール部100とデータ暗号化部200とから構成される。鍵スケジュール部100は、秘密鍵Kを入力とし、ある定められたステップによりビット長を拡大してできた拡大鍵K’(ビット長k’)を出力する。データ暗号化部200は、平文Pを受け取り、鍵スケジュール部から拡大された拡大鍵K’を受け取ってデータの変換を行い、暗号文Cを出力する。データ暗号化部200は、拡大鍵K’から得られるラウンド関数を繰り返し処理することで、暗号化を行う。
データ暗号化部200は、処理単位であるラウンド関数に分割できるものとする。ラウンド関数は入力として2つのデータを受け取り、内部で処理を施したのち、1つのデータを出力する。入力データの一方は暗号化途中のnビットデータであり、あるラウンドにおけるラウンド関数の出力が次のラウンド関数の入力として供給される。入力データの他方は鍵スケジュール部100から出力された拡大鍵K’の一部のデータであり、この鍵データのことをラウンド鍵と称する。また、ラウンド関数の総数を総ラウンド数と称する。総ラウンド数は、暗号アルゴリズムごとに予め定められている値である。ここでは、総ラウンド数をRで表す。データ暗号化部200の入力側から1ラウンド目の入力データをXとし、i番目のラウンド関数に入力されるデータをXi、ラウンド鍵をRKiとすると、データ暗号化部200の構成は図2のように示される。
ブロック暗号アルゴリズムに応じてラウンド関数はさまざまな形態を取り得る。ラウンド関数はその暗号アルゴリズムが採用する構造によって分類できる。代表的な構造として、ここではSPN構造、Feistel構造、拡張Feistel構造を例示する。
図3は、Feistel構造を示す模式図である。また、図4は、SPN構造を示す模式図である。図3に示すFeistel構造の基本的な構成例では、各ラウンド関数において、nビットの入力データXが上位n/2ビットと下位n/2ビットに分割され、各ラインのデータのサイズはn/2ビットとなる。ここで、F関数には上位n/2ビットが入力されて、n/2ビットが出力される。この出力は下位n/2ビットにそれぞれ排他的論理和される。その後、データの左右を入れ替えたものを出力データXi+1とする。F関数は非線形関数をもとに構成される。SPN構造とは異なり、F関数は置換である必要はない。一般的に、F関数は、ブロック暗号から生成されることはなく、計算の軽い非線形演算で生成されるが、本実施形態では、F関数をブロック暗号から生成する。
拡張Feistel構造(一般化Feistel構造)は、Feistel構造ではデータ分割数が2であったものを3以上に分割する形に拡張したものである。分割数をdとすると、分割数dによって様々な拡張Feistel構造を定義することができる。F関数の入出力のサイズが相対的に小さくなるため、小型実装に向いている。また、各ラウンド関数において、複数のF関数を持つことができる。
後述する図17では、d=4であり、且つ1つのラウンド内に2つのF関数が並列に適用される場合の拡張Feistel構造の一例を示している。この例では、第1F関数と第2F関数の各々において、RK1とRK2を鍵入力とする。また、後述する図14では、d=8であり、且つ1つのラウンド内に1つのF関数が適用される場合の拡張Feistel構造の一例を示している。この例では、F関数への入力サイズがn/8ビットであり、F関数からの出力サイズが7n/8ビットであり、出力は7つのn/8ビットのデータに分割され、残りの7つの16ビットデータに排他的論理和される。なお、n=128 bitとする。
また、図4に示すSPN構造の基本的な構成例では、nビットの入力データの全てに対して、ラウンド鍵との排他的論理和演算、非線形変換、線形変換処理などが適用される。非線形変換部をS層(Substitution-layer)、線形変換部をP層(Permutation-layer)と称し、それぞれは置換(全単射関数)である。各ラウンド関数において、nビットの入力データXiがd通りのデータに分割され、各ラインのデータのサイズはn/d[bit]となる。ここで、非線形変換演算をS関数と定義し、各データ毎にn/d[bit]の入出力の非線形変換演算S層(Substitution-layer)が実行される。その後、線形変換P層(Permutation-layer)としてnビットの入出力線形変換Lが実行される。なお、線形変換演算をL関数と定義する。
ブロック暗号の安全性モデルとして、ブラックボックスモデルとホワイトボックスモデルがある。図5は、共通鍵ブロック暗号によって構成されるブラックボックスモデルを示す模式図である。ブラックボックスモデルでは、秘密鍵を求めようとする攻撃者の能力が、ブロック暗号の入出力を認識して自由にコントロール可能であるが、攻撃者はブロック暗号の中間値は認識できない。つまり、ブラックボックスモデルは、攻撃者がブロック暗号アルゴリズムの入力、出力である平文P、暗号文Cにしかアクセスすることができない安全性モデルである。攻撃者による攻撃は、攻撃者が平文Pと暗号文Cのペアの値を知っているのみである既知平文暗号文攻撃と、これに加えて攻撃者が値自体を自由にコントロールできる選択平文暗号文攻撃に分けることができる。ブラックボックスモデルでは,暗号演算自体は安全に実行され、攻撃者が暗号の中間値を見たり、改ざんすることができないことを想定している。ハードウェアサポートなどを利用し、暗号演算の耐タンパ性が保障できている場合等が対応する。ブラックボックス用の暗号アルゴリズムの実装方法をブラックボックス実装と称する。このようなブラックボックスモデルでは、攻撃者に秘密鍵を知られないように安全に設計することが可能である。ブラックボックスモデルにおいては、ブロック暗号は、秘密鍵Kを求めることが計算量的に困難であり(鍵回復攻撃耐性)、ブロック暗号と擬似ランダム鍵付置換を識別するのが計算量的に困難である(識別攻撃耐性)ように設計される。ブラックボックスモデルで安全なブロック暗号は、例えば、AES,CLEFIA,PRESENT,Piccoloなどの暗号化技術により実現可能である。
図6は、共通鍵ブロック暗号によって構成されるホワイトボックスモデルを示す模式図である。ホワイトボックスモデルは、ブラックボックスモデルよりも強い攻撃者を想定した安全性モデルであり、攻撃者がブロック暗号アルゴリズムの入力、出力である平文P、暗号文Cのみならず、演算の中間値にも自由にアクセスできる。ホワイトボックスモデルでは、攻撃者はブロック暗号の入力である平文P、暗号文Cを自由にコントロールでき、更に攻撃者が演算中の任意の中間値を見ることや、改ざんできることを想定している。ハードウェアのサポートがないオールソフトウェアなどの、実装上の制約により、耐タンパが保障できないケースに対応している。また、バッファオーバーフロー等の実装上の脆弱性やマルウェア等により中間値が漏れてしまう場合にも対応する。ホワイトボックス用の暗号アルゴリズムの実装方法をホワイトボックス実装と称する。ホワイトボックス実装によれば、ソフトウエアのみでブロック暗号を構成することも可能である。
このように、ホワイトボックスモデルでは、攻撃者の能力が、ブロック暗号の入出力を認識して自由にコントロール可能であり、ブロック暗号の中間値を認識して自由にコントロール可能である。ホワイトボックスモデルにおいては、攻撃者が鍵Kを求めることは計算量的に困難であることが求められる。また、鍵Kを求める変わりにコード自体を直接用いて大きな鍵として用いる攻撃(code liftingと呼ばれる)に対しての耐性も求められる。ブロック暗号の中間値を攻撃者が認識可能なホワイトボックスモデルでは、このような攻撃に対して定量的な安全性をもつ必要がある。
2.本実施形態の概要
本実施形態では、上述したホワイトボックスモデルにおいて、信頼できない実行環境において、安全に暗号復号を行う技術、秘密鍵を守る技術を提案する。信頼できない環境として、秘密鍵を安全に保管できない場合、暗号演算の中間値を攻撃者が認識できる場合が挙げられる。
図7は、本実施形態に係る暗号化技術の概要を示す模式図であって、基本となる構成例(A)に係る暗号化装置を示している。ブロック暗号Eを複数のテーブル300から構成し、各テーブルをブラックボックスモデルで安全なブロック暗号E’(内部ブロック暗号)として構成する。これにより、安全なブロック暗号Eを構成することができる。ホワイトボックス実装では、ブロック暗号E’からなる部品の一部、または全てをテーブル化して実装する。ブロック暗号E’のアルゴリズムはユーザが自由に選択可能とする。なお、暗号化装置は、CPUなどの中央演算処理装置と、これを機能させるためのプログラムから構成することができる。この場合に、そのプログラムは、暗号化装置が備えるメモリなどの記録媒体に格納されることができる。また、ブロック暗号を構成するテーブルは、暗号化装置が備える記録媒体に格納されることができる。
このように、本実施形態の基本となる構成例(A)では、ブラックボックスモデルで安全なブロック暗号E’を構成要素(部品)として、ホワイトボックスモデルで安全なブロック暗号Eを構成する。内部ブロック暗号E’のアルゴリズムは、ユーザが自由に選択でき、入力として受け取る。ホワイトボックス実装では、内部ブロック暗号E’ベースの関数を鍵に依存させ、一部もしくは全てがテーブルで実装される。つまり、鍵スケジュール部100から出力された拡大鍵K’により内部ブロック暗号E’を生成してテーブル化する。テーブル化することにより、その都度暗号化演算が行われる場合と比較して、鍵の秘匿性を大幅に高めることできる。
また、構成例(A)の具体例(B)として、ブロック暗号EがFeistel構造からなり、一種類の入出力サイズのF関数から構成され、F関数は内部ブロック暗号E’をもとに生成される。ここでF関数は、内部ブロック暗号E’の入力の一部を固定、出力の一部を破棄することによってE’から変換される。ホワイトボックス実装では、F関数すべてがテーブルで実装される。
また、構成例(A)の具体例(C)として、ブロック暗号EがSPN構造からなり、一種類の入出力サイズのS関数から構成され、S関数は内部ブロック暗号E’をもとに生成される。ここでS関数は、同じサイズの内部ブロック暗号から構成される。ホワイトボックス実装では、S関数すべてがテーブルで実装される。
また、構成例(A)の具体例(D)として、ブロック暗号Eが拡張Feistel構造からなり、複数種類の入出力サイズのF関数から構成され、F関数は内部ブロック暗号E’をもとに生成される。ここで、F関数は、内部ブロック暗号の入力の一部を固定、出力の一部を破棄することによって生成される。ホワイトボックス実装では、一部若しくは全てがテーブル実装される。
また、構成例(A)の具体例(E)として、ブロック暗号EがSPN構造からなり、複数種類の入出力サイズのS関数から構成され、S関数は内部ブロック暗号E’をもとに生成する。ここで、S関数は、同じサイズの内部ブロック暗号から構成される。ホワイトボックス実装では、一部若しくは全てがテーブル実装される。
図8は、具体例(B)、具体例(C)、具体例(D)、具体例(E)のそれぞれについいて、全体構成、F関数/S関数の種類、テーブルサイズ可変の可否、を示す模式図である。
また、図9は、暗号タイプに応じた処理を示すフローチャートである。図9において、先ずステップS10では、内部ブロック暗号E’に鍵Kを依存させ、鍵付関数E’を生成する。次のステップS12では、暗号タイプを判定し、Feistel構造の場合はステップS14へ進む。ステップS14では、F関数をE’から生成する。次のステップS16では、F関数をテーブル化する。次のステップS18では、Feistel構成でテーブルを接続し、暗号関数Eを生成する。
また、ステップS12でSPN構造の場合はステップS20へ進み、S関数をE’から生成する。次のステップS22では、S関数をテーブル化する。次のステップS24では、SPN構成でテーブルを接続し、暗号関数Eを生成する。ステップS18,S24の後はステップS26へ進み、テーブルベースの関数からコード生成を行う。これにより、ホワイトボックス暗号化コードが生成される。
3.具体的構成例
以下では、具体例(B)、具体例(C)、具体例(D)、具体例(E)の構成例とその効果について詳細に説明する。ここで、内部ブロック暗号E’は、n’ビットブロック暗号であり、ブラックボックスモデルにおいて安全であるものとする。
3.1.具体例(B)
図10は、具体例(B)を示す模式図であって、一般化Feistel構造による構成例を示している。図10に示す例では、nビットの入力データXiがd通りのデータに分割され、各ラインのデータのサイズはn/dビットとなる。ここで、F関数はc×n/d bit入力、(d−c)×(n/d)(=n−(c×n/d))[bit]出力で、c通りのラインのデータが入力され、出力はd−c通りのn/d[bit]のデータに分割され、残りのd−c通りのラインにそれぞれ排他的論理和される。F関数は内部ブロック暗号E’をもとに構成される。ここでE’のブロックサイズn’が、n’>(d−c)×(n/d) かつ n’>c×(n/d)を満たすものとする(条件1)。図10に示すように、ブロック暗号E’へ入力されたビットの値は、排他論理和により得られたビットの値よりも下位ビットとして出力される。
図11は、F関数の構成を示す模式図である。n’ビットの内部ブロック暗号E’から、c×n/d[bit]入力、(d−c)×(n/d)[bit]出力のF関数の構成方法は以下の通りである。先ず、図11に示すように、内部ブロック暗号E’の入力n’[bit]のうち、任意のn’−(c×n/d)[bit]を定数値(例えばall 0)に固定し、入力サイズをc×n/dにする。次に、出力の任意の(c×n/d)[bit]を破棄(disregard)することにより、出力サイズをn’−(c×n/d)にする。このような、内部ブロック暗号E’に対する一部の入力ビット固定、出力の一部破棄により、条件1を満たす任意の内部ブロック暗号E’からF関数を構成する。テーブル化により、F関数はn’ビットの入出力に対応するテーブルから構成される。例えば、8ビットの入出力の場合、入力値(0〜255)に対して出力値を対応付けしたテーブルが生成される。このテーブルに対し、一部の入力ビット固定、出力の一部破棄を行うことで、8ビット入力、120ビット出力などの入出力ビット数の調整を行うことができる。ここで、各ラウンドにおいてF関数を変更するため、n’−(c×n/d)ビットの出力にラウンド固有の定数を排他論理和(XOR)する。例えば、ラウンド固有の定数は、例えばラウンド数とし、ラウンド数をXORする。ラウンド数4の場合は4をXORすることになる。但し、この排他論理和はテーブル参照後に行われるため、この演算自体はテーブルには含めない。これにより、一通りのF関数テーブルで、ラウンド毎に異なるF関数を表現することができる。従って、各ラウンド関数のF関数自体は共通に構成することも可能であり、テーブルを格納するメモリ領域を大幅に削減することができる。
図12〜図15は、具体的な構成例を示す模式図である。図12はn=n’=128、c=1、d=16の場合の全体構成を示しており、図13は、図12の例のF関数の構成を示している。また、図14は、n=128、c=1、d=8の場合、図15はn=128、c=1、d=4の場合、図16はn=128、c=3、d=16の場合、をそれぞれ示している。
図17は、1つのラウンド内に2つF関数がある例であって、n=128、d=4の例を示す模式図である。以上の全ての例において、F関数は、ホワイトボックス実装ではテーブル実装される。図12、図14、図15、図16の例において、テーブルサイズ(F関数のサイズ)は、それぞれ、約3.84[byte]、918[Kbyte]、51.5[Gbyte]、218[Mbyte]程度である。
3.2.具体例(C)
図18は、具体例(C)を示す模式図であって、SPN構造による構成例を示している。図18に示す例では、nビットの入力データXiがd通りのデータに分割され、各ラインのデータのサイズはn/d[bit]である。ここで、各データ毎にn/d[bit]の入出力のS関数による演算(非線形変換演算S層(Substitution-layer))が実行される。その後、L関数による演算(線形変換P層(Permutation-layer))としてn−bit入出力線形変換が実行される。ここで、S関数とL関数(入出力線形変換L)は全単射関数であり、L関数はラウンド定数演算を含む。S関数は、内部ブロック暗号E’をもとに構成されるが、S関数は全単射関数である必要があり、図11のように内部ブロック暗号E’の入力ビット固定、出力の一部の破棄による変換では構成することができない。このため、n/d[bit]のブロック暗号を用いる必要がある。よって、内部ブロック暗号E’のブロックサイズn’の条件は、n’=n/dとなる(条件2)。
図19は、図18に示したS関数のそれぞれの構成を示す模式図である。図19に示すように、S関数を構成する内部ブロック暗号E’の入出力のサイズは、共にn/d[bit]である。従って、例えば、8ビットの入出力の場合、入力値(0〜255)に対して出力値を対応付けしたテーブルが生成され、このテーブルによりS関数の演算が行われる。線形変換演算を行うL関数は、例えば正方行列から構成される。S関数の入出力が8ビットの場合、S関数からの8ビットの出力がL関数に入力され、8ビットの値に対して8×8のマトリクスの正方行列を乗算することで、8ビットの値がL関数から出力される。このように、L関数は、S関数からの出力値を拡散する機能を有する。
図20は、具体的な構成例を示す模式図であって、n=128、d=8の場合を示している。S関数は、ホワイトボックス実装ではテーブル実装される。図20のテーブルサイズは約256[byte]程度である。S関数の場合も、図11に示したF関数の場合と同様に、各S関数を変更するため、S関数の出力にラウンド固有の定数をXORすることができる。これにより、S関数自体を共通にすることができるため、テーブルを格納するメモリ領域を大幅に削減することができる。
3.3.具体例(D)
図21は、具体例(D)を示す模式図であって、変形Feistel構造による構成例を示している。図21に示す例では、nビットの入力データがd通りのデータに分割され、各ラインのデータのサイズはn/dであり、サイズの異なる4種類のF関数から構成されている。初めのラウンドではn/d[bit]入力、(n−n/d)[bit]出力のF関数、2番目のラウンドでは2n/d[bit]入力、(n−2n/d)[bit]出力のF関数、3番目のラウンドでは3n/d[bit]入力、(n−3n/d)[bit]出力のF関数、4番目のラウンドでは4n/d[bit]入力、(n−4n/d)[bit]出力のF関数が用いられる。この4ラウンドを基本として、任意ラウンド繰り返す。図11で示した方法と同様に、任意のサイズのF関数は、内部ブロック暗号E’から生成され、出力にラウンド定数がXORされる。
ホワイトボックス実装では、ユーザの求めるコード(テーブルサイズ)に応じて、これらのうちの一部若しくは全てがテーブルで実装される。n=128、d=16の場合は、それぞれのラウンドのF関数のテーブルサイズは、初めのラウンドでは約3.84[byte]、2番目のラウンドでは918[Kbyte]、3番目のラウンドでは218[Mbyte]、4番目のラウンドでは51.5[Gbyte]となる。ユーザの要求に応じて、どのF関数をテーブル実装するか選択することにより、全体のコードサイズを調整可能である。例えば、4番目のラウンド関数はテーブル化せずに関数演算をその都度行うようにすれば、全体のコードサイズを抑えることができる。
3.4.具体例(E)
図22は、具体例(E)を示す模式図であって、変形SPN構造による構成例を示している。図22に示す例では、nビットの入力データがd通りのデータに分割され、各ラインのデータのサイズはn/dであり、サイズの異なる3種類のS関数から構成されている。各ラウンドのS層は、n/d[bit]の入出力、2n/d[bit]の入出力、4n/d[bit]の入出力、のS関数が用いられる。ホワイトボックス実装では、ユーザの求めるコード(テーブルサイズ)に応じて、これらの一部若しくは全てがテーブルで実装される。例えば。n=128、d=8で、8[bit]、16[bit]、32[bit]のデータが実装されている場合を考える。それぞれのテーブルサイズは、256[byte]、132[Kbyte]、17.2[Gbyte]となる。ユーザの要求に応じて、どのS関数をテーブル実装するか選択することにより、全体のコードサイズを調整可能である。
本実施形態によれば、ホワイトボックスモデルにおいて、key extractionの安全性は内部ブロック暗号E’のブラックボックスモデルでの鍵回復問題の安全性に帰着する。これは、ホワイトボックス実装において、内部ブロック暗号E’がテーブル実装されていることによるもので、攻撃者はホワイトモデルにおいても、テーブルの入出力にしかアクセスできない。これは、内部ブロック暗号E’のブラックボックスモデルとマッチする。内部状態(内部ブロック暗号E’)に信頼性の高い暗号(例えばAES)を用ることで、ホワイトボックスモデルについても、内部ブロック暗号E’のブラックボックスモデルの鍵回復と同等の安全性を有することができる。
また、攻撃者は、鍵を知らない限りテーブルサイズを小さくすることはできない(Space-hardness)。内部ブロック暗号E’の鍵の情報を知らない限り、攻撃者はE’をテーブル演算以外で計算することはできない。このため、与えられたテーブルより小さいものに変換することはできない。これは、攻撃者がcode lifting攻撃する際に、大容量のデータが必要なことを意味している。データサイズに比例してコード抜き取りに必要な時間は増加するため、code lifting作業を非常に時間のかかる作業にしている。更に、もしコード全体自体をとったとしても、そのサイズを圧縮することができず、コード配布の際に大容量のデータを送付する必要があり、配布のリスクを低減することが可能である。
また、external encodingについても、External Encodingなしで安全性を保障可能である。
更に、実装要求に応じた様々なサイズのテーブルを構成することが可能である。具体例(B)、具体例(C)によれば、分割数dの値を変更することにより、任意のテーブルサイズのアルゴリズムを構成することができる。また、具体例(D)、具体例(E)によれば、分割数dの値、又は使用するF関数、S関数のサイズを適切に複数選択することで、同じアルゴリズムで複数のテーブルサイズの実装が可能となる。
また、ユーザは、内部ブロック暗号E’を自由に選択できる。内部ブロック暗号E’は、入出力サイズの条件(条件1、条件2)を満たす限り、自由に選択することが可能である。ブラックボックスで用いる場合、テーブル実装は不要で内部演算を直接演算できる。この場合、内部ブロック暗号E’を適切に選択することで、さまざまな実装ニーズに応えることが可能である。例えば、AESを内部ブロック暗号E’として使用し、AES−NIを用いることにより、ソフトウェアで非常に高速に実装でき、且つキャッシュタイミング攻撃に対しても安全に実装できる。また、ソフトウェアで軽量な暗号Piccolo,Prideを用いることにより、RAMサイズ等の実装制約が大きい環境でも実装可能である。
4.復号化のための構成例
上述したように、暗号化アルゴリズムEに対応する復号アルゴリズムDは、暗号化アルゴリズムEの逆関数E−1と定義でき、入力として暗号文Cと鍵Kを受け取り、平文Pを出力する。復号アルゴリズムDにおいても、ブラックボックス実装によりテーブルを構成することで、ブラックボックスモデルと同等の安全性を確保することが可能である。
5.既存技術との相違
以下では、本実施形態に係る技術と、前述した非特許文献1,2に記載された方法(既存技術1とする)、非特許文献3に記載された方法(既存技術3とする)との相違について説明する。
5.1.既存技術1との違い
既存技術1は、既存のAES,DES等のアルゴリズムの実装方法であり、ホワイトボックス用暗号技術ではなく、ホワイトボックスモデルに対して安全ではないことが既に示されている。従って、ホワイトボックスモデルにおける安全性を大幅に向上した本実施形態に係る技術とは相違する。
5.2.既存技術2との違い
既存技術2では、内部ブロック暗号E’を自由に選ぶことはできず、内部ブロック暗号E’は予め決められているASASA構造に限定される。本実施形態では、ブラックボックスモデルで安全なブロック暗号でも安全性を満たすことを示し、内部ブロック暗号E’は、入出力サイズの条件(条件1、条件2)を満たす限り、自由に選択することが可能である。
これにより、ブラックボックス実装において、実装環境や求められる安全性に応じて、内部ブロック暗号E’を自由に選択可能となる。例えば、AESを内部ブロック暗号E’として使い、AES−NIを用いることにより、ソフトウェアで非常に高速な実装を行うことができ、且つキャッシュタイミング攻撃に対しても安全に実装できる。また、ソフトウェアで軽量な暗号Piccolo,Prideを用いることにより、RAMサイズ等の実装制約が大きい環境でも実装可能である。また、ASASA構造はホワイトボックスモデルにおいては安全ではないが、本実施形態に係る方法では、ホワイトボックスモデルに対しても安全性を保障することが可能である。
6.本実施形態に係る暗号化による効果について
図23は、本実施形態に係る暗号化による安全性を説明するための模式図であって、図11に示したFeistel構造によるF関数をAESにより構成した例を示している。上述したように、ホワイトボックスモデルでは、攻撃者はテーブルの入出力にアクセス可能である。内部ブロック暗号E’のブラックボックスモデルと同じテーブルから鍵を求める問題(ホワイトボックスモデル)は、AESの鍵回復攻撃(ブラックボックスモデル)と等しい。従って、本実施形態に係る暗号化によれば、AESの鍵回復攻撃(ブラックボックスモデル)と同等の安全性を確保することが可能である。ホワイトボックスモデルにおいて、安全性は内部ブロック暗号E’のブラックボックスモデルでの鍵回復問題の安全性に帰着する。攻撃者は、鍵を知らない限りテーブルサイズを小さくすることはできない(Space-hardness)。
図24は、本実施形態に係る暗号化による安全性を説明するための模式図であって、攻撃者が攻撃する際に必要となるデータ量を示している。攻撃のためには、非常に多くのデータを入手しなければ秘密鍵Kを取得することはできない。具体的には、128 bit鍵と比較した場合、104.4〜1010.5倍のデータ量が必要である。また、攻撃者がデータを入手できたとしても、圧縮することができないので、不正に配布する際に大容量のデータであるため抑止力になる。
また、本実施形態によれば、実装要求に応じた様々なサイズのテーブルを構成することが可能である。具体例(B),(C)の構成では、分割数dの数を変更することにより、任意のテーブルサイズのアルゴリズムを構成することができる。また、具体例(D),(E)の構成では、分割数dの数や使われるF関数、S関数のサイズを適切に複数選択することで、同じアルゴリズムで複数のテーブルサイズの実装が可能である。更に、テーブルの内部演算をユーザが自由に選択可能であり、ブラックボックス実装において最適なものを選択することが可能である。
7.本実施形態が適用されるアプリケーションの例
本実施形態に係る技術は、図1に示したような通信路におけるデータの秘匿性を実現する他、様々なアプリケーションに適用することができる。以下では、幾つかのアプリケーションの例を説明する。
図25は、著作権保護技術(DRM:Digital Rights Management)への適用例を示す模式図である。図25に示すように、クラウド上のコンテンツサーバ400で暗号化を行い、コンテンツ(暗号文C)がコンテンツサーバ400からユーザデバイス410へ配信される。ユーザデバイス410は、パーソナルコンピュータ(PC)、スマートフォンなどの電子機器である。コンテンツ(暗号文C)はユーザデバイス410において復号される。
図26は、図25をより詳細に示す模式図である。コンテンツサーバ400は、ホワイトボックス暗号化関数により映画、音楽などのコンテンツを暗号化する。また、コンテンツサーバ400では、ライセンス生成器402によりライセンスを生成し、暗号化されたコンテンツと共にユーザデバイス410へ送る。ユーザデバイス410は、送られたライセンスをライセンス検証器412により検証し、ライセンスの検証に成功した場合は、ホワイトボックス復号関数により、暗号化されたコンテンツを復号する。
図25及び図26に示したような著作権保護技術では、ユーザデバイス410でコンテンツを復号する必要がある。この場合、仮に鍵Kが露呈した場合、コンテンツの不正配布に繋がる。つまり、暗号化が安全でない環境では、ユーザデバイス410が信頼できない環境となる。本実施形態によれば、悪意のあるユーザがコンテンツの秘密鍵Kを取得することを、ホワイトボックス暗号化技術により確実に防止することが可能である。
図27は、NFCのエミュレーションを利用した支払システムへの適用例を示す模式図である。図27に示すように、このシステムでは、NFCの読取装置420にユーザデバイス430を近づけてエミュレーションを行う。ユーザデバイス430は、ホストCPU432、NFCコントローラ434、セキュアエレメント436を有する。
図28は、図27をより詳細に示す模式図である。クラウド上のサーバ440は、ユーザの証明用の情報(Credential information)と、支払情報(Payment information)を有する。ユーザデバイス430は、モバイル機器などの電子機器であり、サーバ440と暗号化通信を行い、証明用の情報をやり取りする。また、ユーザデバイス430は、読取装置420と暗号化通信を行い、証明用の情報をやり取りする。暗号化通信では、本実施形態に係るホワイトボックス暗号化により暗号化が行われる。このため、ユーザデバイス430は、ホワイトボックス暗号関数、復号関数を備えている。ホワイトボックス暗号化により暗号化を行うことで、支払いに関する証明のデータを守ることができ、ユーザデバイス430がセキュアエレメント436を備えていなくてもNFCのエミュレーションが可能となる。
図29は、メモリリークに対しても安全な方式を示す模式図である。このシステムでは、ソフトウェアの脆弱性(buffer overflow, heart bleed)やマルウェアにより、メモリが攻撃者にリークした場合も、安全性を保障する。マルウェアやメモリリークの脆弱性のあるデバイス445において、ホワイトボックス暗号化方式が有するSpace hardnessの性質により、数キロバイト、数ギガバイト以上のデータが漏れない限り安全性は低下しない。図29の例において、コードサイズをTとすると、T/4以上のデータが漏れない限り安全性は低下しない。なお、Space hardnessとは、一定以上のサイズのメモリが漏れない限り暗号の安全性を保障できる技術である。この方法は、内部ネットワークから外部ネットワークからの通信量を制限している場合に特に有効である。
図30は、サイドチャンネル攻撃に対して安全な暗号化の例を示す模式図である。ホワイトボックス暗号化方式は、通常はソフトウェア用であるが、Reconfigurable Hardware (FPGA)で実装することにより、ハードウェアでサイドチャンネルに安全な暗号方式として使うことができる。例えば図30に示すICカード450など、ハードウェアでサイドチャンネル攻撃を受ける可能性のあるデバイスにおいて、特に有効である。
以上、添付図面を参照しながら本開示の好適な実施形態について詳細に説明したが、本開示の技術的範囲はかかる例に限定されない。本開示の技術分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本開示の技術的範囲に属するものと了解される。
また、本明細書に記載された効果は、あくまで説明的または例示的なものであって限定的ではない。つまり、本開示に係る技術は、上記の効果とともに、または上記の効果に代えて、本明細書の記載から当業者には明らかな他の効果を奏しうる。
なお、以下のような構成も本開示の技術的範囲に属する。
(1) 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化するデータ暗号化部を備え、
複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいて入力値を暗号化するテーブル化された暗号化関数を有する、暗号化装置。
(2) 前記暗号化関数には、前記ラウンド関数へ入力されるビットのうちの一部が入力され、
前記暗号化関数は、前記暗号化関数へ入力可能なビットの一部を固定値とし、前記暗号化関数の出力値の一部を破棄することで、前記暗号化関数へ入力可能なビット数から前記暗号化関数へ入力されたビット数の差分に相当するビット数の出力値を出力する、前記(1)に記載の暗号化装置。
(3) 前記ラウンド関数は、前記ラウンド関数へ入力されるビットのうち前記暗号化関数に入力されなかったビットと、前記暗号化関数からの前記出力値のビットの排他論理和を演算する、前記(2)に記載の暗号化装置。
(4) 前記ラウンド関数は、前記暗号化関数へ入力されたビットの値と前記排他論理和により得られたビットの値を出力する、前記(3)に記載の暗号化装置。
(5) 前記ラウンド関数は、前記暗号化関数へ入力されたビットの値を前記排他論理和により得られたビットの値よりも下位ビットとして出力する、前記(4)に記載の暗号化装置。
(6) 前記ラウンド関数の出力と予め定められた所定値との排他論理和を演算し、得られた値を次のラウンド関数への入力又は前記データ暗号化部の出力とする、前記(2)〜(5)のいずれかに記載の暗号化装置。
(7) 1の前記ラウンド関数が複数の前記暗号化関数を有する、前記(1)に記載の暗号化装置。
(8) 複数の前記ラウンド関数において、後段のラウンド関数ほど前記暗号化関数に大きなビットの入力値が入力される、前記(2)〜(6)のいずれかに記載の暗号化装置。
(9) 1の前記ラウンド関数が複数の前記暗号化関数を有し、
前記ラウンド関数へ入力されるビットが分割されて複数の前記暗号化関数へ入力され、
複数の前記暗号化関数は非線形演算を行い、
前記ラウンド関数は、複数の前記暗号化関数による前記非線形演算の結果を線形変換演算して出力する、前記(1)に記載の暗号化装置。
(10) 複数の前記暗号化関数のそれぞれにおいて、入力されるビット数と出力されるビット数が同一である、前記(9)に記載の暗号化装置。
(11) 複数の前記暗号化関数のそれぞれに入力されるビット数が異なる、前記(9)又は(10)に記載の暗号化装置。
(12) 前記暗号化関数は、前記データ暗号化部に対応する秘密鍵から生成される拡張鍵によって暗号化を行う、前記(1)〜(11)のいずれかに記載の暗号化装置。
(13) 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化することを備え、
複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数により入力値を暗号化する、暗号化方法。
(14) 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うデータ復号化部を備え、
複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数により入力値を暗号化する、復号化装置。
(15) 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うことを備え、
複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数によりにより入力値を暗号化する、復号化方法。
100 データ暗号化部
300 テーブル

Claims (14)

  1. 入力値を順次に暗号化処理する複数のラウンド関数で構成され、複数の該ラウンド関数の少なくとも一部がテーブル化された暗号化関数であり、前段のラウンド関数から出力され後段のラウンド関数に入力される中間値を外部から認識できないブラックボックスモデルとして入力値を暗号化するデータ暗号化部を備え
    前記暗号化関数には、前記ラウンド関数へ入力されるビットのうちの一部が入力され、
    前記暗号化関数は、前記暗号化関数へ入力可能なビットの一部を固定値とし、前記暗号化関数の出力値の一部を破棄することで、前記暗号化関数へ入力可能なビット数から前記暗号化関数へ入力されたビット数の差分に相当するビット数の出力値を出力する、暗号化装置。
  2. 前記ラウンド関数は、前記ラウンド関数へ入力されるビットのうち前記暗号化関数に入力されなかったビットと、前記暗号化関数からの前記出力値のビットの排他論理和を演算する、請求項に記載の暗号化装置。
  3. 前記ラウンド関数は、前記暗号化関数へ入力されたビットの値と前記排他論理和により得られたビットの値を出力する、請求項に記載の暗号化装置。
  4. 前記ラウンド関数は、前記暗号化関数へ入力されたビットの値を前記排他論理和により得られたビットの値よりも下位ビットとして出力する、請求項に記載の暗号化装置。
  5. 前記ラウンド関数の出力と予め定められた所定値との排他論理和を演算し、得られた値を次のラウンド関数への入力又は前記データ暗号化部の出力とする、請求項1に記載の暗号化装置。
  6. 1の前記ラウンド関数が複数の前記暗号化関数を有する、請求項1に記載の暗号化装置。
  7. 複数の前記ラウンド関数において、後段のラウンド関数ほど前記暗号化関数に大きなビットの入力値が入力される、請求項に記載の暗号化装置。
  8. 1の前記ラウンド関数が複数の前記暗号化関数を有し、
    前記ラウンド関数へ入力されるビットが分割されて複数の前記暗号化関数へ入力され、
    複数の前記暗号化関数は非線形演算を行い、
    前記ラウンド関数は、複数の前記暗号化関数による前記非線形演算の結果を線形変換演算して出力する、請求項1に記載の暗号化装置。
  9. 複数の前記暗号化関数のそれぞれにおいて、入力されるビット数と出力されるビット数が同一である、請求項に記載の暗号化装置。
  10. 複数の前記暗号化関数のそれぞれに入力されるビット数が異なる、請求項に記載の暗号化装置。
  11. 前記暗号化関数は、前記データ暗号化部に対応する秘密鍵から生成される拡張鍵によって暗号化を行う、請求項1に記載の暗号化装置。
  12. 暗号化装置で実行される暗号化方法であって、
    入力値を順次に暗号化処理する複数のラウンド関数で構成され、複数の該ラウンド関数の少なくとも一部がテーブル化された暗号化関数であり、前段のラウンド関数から出力され後段のラウンド関数に入力される中間値を外部から認識できないブラックボックスモデルとして入力値を暗号化し、
    前記暗号化関数には、前記ラウンド関数へ入力されるビットのうちの一部が入力され、
    前記暗号化関数は、前記暗号化関数へ入力可能なビットの一部を固定値とし、前記暗号化関数の出力値の一部を破棄することで、前記暗号化関数へ入力可能なビット数から前記暗号化関数へ入力されたビット数の差分に相当するビット数の出力値を出力する、暗号化方法。
  13. 入力値を順次に暗号化処理する複数のラウンド関数で構成され、複数の該ラウンド関数の少なくとも一部がテーブル化された暗号化関数であり、前段のラウンド関数から出力され後段のラウンド関数に入力される中間値を外部から認識できないブラックボックスモデルとして入力値を暗号化する暗号化処理の逆演算により復号を行うデータ復号化部を備え
    前記暗号化関数には、前記ラウンド関数へ入力されるビットのうちの一部が入力され、
    前記暗号化関数は、前記暗号化関数へ入力可能なビットの一部を固定値とし、前記暗号化関数の出力値の一部を破棄することで、前記暗号化関数へ入力可能なビット数から前記暗号化関数へ入力されたビット数の差分に相当するビット数の出力値を出力する、復号化装置。
  14. 復号化装置で実行される復号化方法であって、
    入力値を順次に暗号化処理する複数のラウンド関数で構成され、複数の該ラウンド関数の少なくとも一部がテーブル化された暗号化関数であり、前段のラウンド関数から出力され後段のラウンド関数に入力される中間値を外部から認識できないブラックボックスモデルとして入力値を暗号化する暗号化処理の逆演算により復号を行い、
    前記暗号化関数には、前記ラウンド関数へ入力されるビットのうちの一部が入力され、
    前記暗号化関数は、前記暗号化関数へ入力可能なビットの一部を固定値とし、前記暗号化関数の出力値の一部を破棄することで、前記暗号化関数へ入力可能なビット数から前記暗号化関数へ入力されたビット数の差分に相当するビット数の出力値を出力する、復号化方法。
JP2016078386A 2016-04-08 2016-04-08 暗号化装置、暗号化方法、復号化装置、及び復号化方法 Active JP6877889B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016078386A JP6877889B2 (ja) 2016-04-08 2016-04-08 暗号化装置、暗号化方法、復号化装置、及び復号化方法
US15/255,693 US10277391B2 (en) 2016-04-08 2016-09-02 Encryption device, encryption method, decryption device, and decryption method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016078386A JP6877889B2 (ja) 2016-04-08 2016-04-08 暗号化装置、暗号化方法、復号化装置、及び復号化方法

Publications (2)

Publication Number Publication Date
JP2017187724A JP2017187724A (ja) 2017-10-12
JP6877889B2 true JP6877889B2 (ja) 2021-05-26

Family

ID=59998242

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016078386A Active JP6877889B2 (ja) 2016-04-08 2016-04-08 暗号化装置、暗号化方法、復号化装置、及び復号化方法

Country Status (2)

Country Link
US (1) US10277391B2 (ja)
JP (1) JP6877889B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3651142A4 (en) * 2017-08-10 2021-03-24 Sony Corporation ENCRYPTION DEVICE, ENCRYPTION METHOD, DECCRYPTION DEVICE, AND DECryption METHOD
EP3667647B1 (en) * 2017-08-10 2024-09-25 Sony Group Corporation Encryption device, encryption method, decryption device, and decryption method
US10140612B1 (en) * 2017-12-15 2018-11-27 Clover Network, Inc. POS system with white box encryption key sharing
CN108111622B (zh) * 2017-12-29 2021-10-29 北京梆梆安全科技有限公司 一种下载白盒库文件的方法、装置及系统
US11206130B2 (en) * 2018-07-31 2021-12-21 Nxp B.V. Customizing cryptographic keys between multiple hosts
KR102169369B1 (ko) * 2019-10-31 2020-10-23 국민대학교산학협력단 경량 블록 암호화에 대한 1차 부채널 공격에 대응하는 방법 및 이를 이용한 장치
US11811938B2 (en) * 2019-12-20 2023-11-07 Micro Focus Llc Tokenization of arbitrary data types
CN113111317B (zh) * 2021-04-20 2022-10-04 西安电子科技大学 基于白盒clefia加密方法的软件篡改检测方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3600454B2 (ja) * 1998-08-20 2004-12-15 株式会社東芝 暗号化・復号装置、暗号化・復号方法、およびそのプログラム記憶媒体
JP3505482B2 (ja) * 2000-07-12 2004-03-08 株式会社東芝 暗号化装置、復号装置及び拡大鍵生成装置、拡大鍵生成方法並びに記録媒体
JP4882598B2 (ja) * 2006-07-28 2012-02-22 ソニー株式会社 暗号処理装置、暗号処理アルゴリズム構築方法、および暗号処理方法、並びにコンピュータ・プログラム
JP5023624B2 (ja) * 2006-09-01 2012-09-12 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
KR101715027B1 (ko) * 2009-03-10 2017-03-22 이르데토 비.브이. 입력 의존형 인코딩들을 이용한 화이트-박스 암호화 시스템
EP2362573A1 (en) * 2010-02-19 2011-08-31 Irdeto B.V. Device and method for establishing secure trust key
US10015009B2 (en) * 2015-11-25 2018-07-03 Nxp B.V. Protecting white-box feistel network implementation against fault attack

Also Published As

Publication number Publication date
US10277391B2 (en) 2019-04-30
JP2017187724A (ja) 2017-10-12
US20170294148A1 (en) 2017-10-12

Similar Documents

Publication Publication Date Title
JP6877889B2 (ja) 暗号化装置、暗号化方法、復号化装置、及び復号化方法
JP7078631B2 (ja) 暗号化装置、暗号化方法、復号化装置、及び復号化方法
US8966279B2 (en) Securing the implementation of a cryptographic process using key expansion
JP7031580B2 (ja) 暗号化装置、暗号化方法、復号化装置、及び復号化方法
US9143317B2 (en) Protecting against white box attacks using column rotation
Debnath et al. Brief review on journey of secured hash algorithms
EP2922235B1 (en) Security module for secure function execution on untrusted platform
KR20170097509A (ko) 화이트 박스 암호화 기반의 연산 방법 및 그 방법을 수행하는 보안 단말
Reyad et al. Key-based enhancement of data encryption standard for text security
JP7078630B2 (ja) 暗号化装置、暗号化方法、復号化装置、及び復号化方法
Widiasari Combining advanced encryption standard (AES) and one time pad (OTP) encryption for data security
Almoysheer et al. Enhancing Cloud Data Security using Multilevel Encryption Techniques.
KR20190049875A (ko) 테이블 기반 구현에서의 차수 2 이상의 dca 공격에 대응하는 방법
Chaloop et al. Enhancing Hybrid Security Approach Using AES And RSA Algorithms
US10567159B2 (en) CMAC computation using white-box implementations with external encodings
Sharma et al. Cryptography Algorithms and approaches used for data security
KR102319699B1 (ko) 안티-인버전 함수를 이용한 화이트박스 암호 인코딩 장치 및 방법
CN111602367B (zh) 用于保护在使白盒密码算法安全的对策中使用的熵源的方法
Kumar et al. Handling secure healthcare data streaming using R2E algorithm
JP6631989B2 (ja) 暗号化装置、制御方法、及びプログラム
Rasna et al. Comparison of Security Signing Data Authentication Integrity in Combination of Digest And AES Message Algorithm
Shrivas et al. Added Advanced Encryption Standard (A-Aes): With 512 Bits Data Block And 512, 768 And 1024 Bits Encryption Key
Anbazhagan et al. ENHANCED PRIVACY PRESERVING USING MULTILEVEL ENCRYPTION TECHNIQUE
Almasri et al. Improving Security Measures of E-Learning Database
Sabapathy Venkatachalapathy Improvising Jumbling Salting algorithm using even or odd technique

Legal Events

Date Code Title Description
A80 Written request to apply exceptions to lack of novelty of invention

Free format text: JAPANESE INTERMEDIATE CODE: A80

Effective date: 20160506

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190208

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190214

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190307

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20190515

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190522

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20190708

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190708

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200310

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200610

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201201

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210301

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210406

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210428

R150 Certificate of patent or registration of utility model

Ref document number: 6877889

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150