JP7078630B2 - 暗号化装置、暗号化方法、復号化装置、及び復号化方法 - Google Patents

暗号化装置、暗号化方法、復号化装置、及び復号化方法 Download PDF

Info

Publication number
JP7078630B2
JP7078630B2 JP2019535612A JP2019535612A JP7078630B2 JP 7078630 B2 JP7078630 B2 JP 7078630B2 JP 2019535612 A JP2019535612 A JP 2019535612A JP 2019535612 A JP2019535612 A JP 2019535612A JP 7078630 B2 JP7078630 B2 JP 7078630B2
Authority
JP
Japan
Prior art keywords
function
encryption
input
round
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019535612A
Other languages
English (en)
Other versions
JPWO2019031025A1 (ja
Inventor
孝典 五十部
玄良 樋渡
アンドレイ ボグダノフ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Danmarks Tekniskie Universitet
Sony Corp
Sony Group Corp
Original Assignee
Danmarks Tekniskie Universitet
Sony Corp
Sony Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Danmarks Tekniskie Universitet, Sony Corp, Sony Group Corp filed Critical Danmarks Tekniskie Universitet
Publication of JPWO2019031025A1 publication Critical patent/JPWO2019031025A1/ja
Application granted granted Critical
Publication of JP7078630B2 publication Critical patent/JP7078630B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/588Random number generators, i.e. based on natural stochastic processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Description

本開示は、暗号化装置、暗号化方法、復号化装置、及び復号化方法に関する。
従来、下記の非特許文献1,2には、暗号化の中間値にマスキングと呼ばれる処理を施すことで、中間値と消費電力との依存関係を無くし、サイドチャネル攻撃に対する安全性を向上させることを想定した技術が記載されている。
また、下記の特許文献3,4には、ホワイトボックスモデルで安全な暗号化方式が記載されている。
J-S Coron, "Higher Order Masking of Look-up Tables" EUROCRYPTO2014 T. S. Messerges, "Securing the AES Finalists Against PowerAnalysis Attacks", FSE 2000 A. Bogdanov and T. Isobe, "Whitebox Cryptography Revisited:Space-hard Cipher", ACM CCS 2015 A. Bogdanov; T. Isobe; Elmar Tischhauser, "Towards PracticalWhitebox cryptography: Optimizing Efficiency and Space Hardness", ASIACRYPT2016
しかし、非特許文献1,2に記載された方法は、中間値と消費電力の依存関係の一部しか無くすことができないため、事前に想定した特定の攻撃(d-th order attack)に対しては証明可能な安全性を有するものの、特定の攻撃以外(d+1-th order attack)に対しての安全性を確保することができなかった。つまり、非特許文献1,2に記載された方法は、想定した攻撃レベルに応じて、性能を犠牲にした上で対策を施すことは可能であるが、想定を超えた攻撃に対しては耐性を確保することができなかった。
また、非特許文献1,2に記載された方法では、マスキングの処理を施すことにより処理負荷が非常に高くなるため、処理速度が遅くなり、実装性能が非常に悪くなる問題がある。具体的に、非特許文献1,2に記載された方法では、一般的な暗号化技術であるAESと比較すると、処理速度が数10倍から数1000倍程度になる問題がある。
一方、非特許文献3,4に記載された方法では、攻撃者は暗号鍵を取得することはできないが、暗号化関数がテーブルで構成されるため、暗号鍵と等価なテーブルを攻撃者が取得した場合は、安全性を確保することができない問題がある。
そこで、サイドチャネル攻撃に対して安全であり、且つ処理負荷を抑制することができる暗号化演算が望まれていた。
本開示によれば、入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化するデータ暗号化部を備え、複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいて入力値を暗号化するテーブル化された暗号化関数を有し、前記暗号化関数が乱数により更新される、暗号化装置が提供される。
また、本開示によれば、入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化することを備え、複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数により入力値を暗号化し、前記暗号化関数が乱数により更新される、暗号化方法が提供される。
また、本開示によれば、入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うデータ復号化部を備え、複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数であって乱数により更新される前記暗号化関数により入力値を暗号化する、復号化装置が提供される。
また、本開示によれば、入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うことを備え、複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数であって乱数により更新される前記暗号化関数によりにより入力値を暗号化する、復号化方法が提供される。
以上説明したように本開示によれば、サイドチャネル攻撃に対して安全であり、且つ処理負荷を抑制することが可能となる。
なお、上記の効果は必ずしも限定的なものではなく、上記の効果とともに、または上記の効果に代えて、本明細書に示されたいずれかの効果、または本明細書から把握され得る他の効果が奏されてもよい。
共通鍵ブロック暗号を示す模式図である。 暗号化を行うブロック(暗号関数E)の内部構成を示す模式図である。 Feistel構造を示す模式図である。 SPN構造を示す模式図である。 共通鍵ブロック暗号によって構成されるブラックボックスモデルを示す模式図である。 共通鍵ブロック暗号によって構成されるホワイトボックスモデルを示す模式図である。 本実施形態に係る暗号化技術の概要を示す模式図である。 具体例(B)、具体例(C)、具体例(D)、具体例(E)のそれぞれについいて、全体構成、F関数/S関数の種類、テーブルサイズ可変の可否、を示す模式図である。 暗号タイプに応じた処理を示すフローチャートである。 具体例(B)を示す模式図である。 F関数の構成を示す模式図である。 図10において、n=n’=128、c=1、d=16の場合の全体構成を示す模式図である。 図12の例のF関数の構成を示している。 図10において、n=128、c=1、d=8の場合の全体構成を示す模式図である。 図10において、n=128、c=1、d=4の場合の全体構成を示す模式図である。 図10において、n=128、c=3、d=16の場合の全体構成を示す模式図である。 1つのラウンド内に2つF関数がある例であって、n=128、d=4の例を示す模式図である。 具体例(C)を示す模式図である。 図18に示したS関数のそれぞれの構成を示す模式図である。 図18において、n=128、d=8の場合を示す模式図である。 具体例(D)を示す模式図である。 具体例(E)を示す模式図である。 本実施形態に係る暗号化による安全性を説明するための模式図である。 本実施形態に係る暗号化による安全性を説明するための模式図である。 ブラックボックスモデル、ホワイトボックスモデルに対して、グレイボックスモデルの特徴を示す模式図である。 ホワイトボックスモデルで安全なブロック暗号から、グレイボックスモデルで安全なブロック暗号を生成する概要を示す模式図である。 テーブルの更新方法を示す模式図である。 図3に示したFeistel構造の基本的な構成例において、乱数によりF関数を更新する例を示す模式図である。 図15に示した具体的な構成例において、乱数によりF関数を更新する例を示す模式図である。 図20に示したようなSPN構造による構成例において、乱数によりS関数を更新する例を示す模式図である。 著作権保護技術(DRM:Digital Rights Management)への適用例を示す模式図である。 図31をより詳細に示す模式図である。 NFCのエミュレーションを利用した支払システムへの適用例を示す模式図である。 図33をより詳細に示す模式図である。 メモリリークに対しても安全な方式を示す模式図である。 サイドチャネル攻撃に対して安全な暗号化の例を示す模式図である。
以下に添付図面を参照しながら、本開示の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
なお、説明は以下の順序で行うものとする。
1.前提となる技術
2.本実施形態の概要
3.具体的構成例
3.1.具体例(B)
3.2.具体例(C)
3.3.具体例(D)
3.4.具体例(E)
4.ホワイトボックスモデルに係る暗号化による効果について
5.グレイボックスモデルで安全な構成
6.復号化のための構成例
7.既存技術との相違
8.本実施形態が適用されるアプリケーションの例
1.前提となる技術
暗号化と復号化に同じ鍵を用いる共通鍵ブロック暗号の技術が知られている。図1は、共通鍵ブロック暗号を示す模式図であって、kビットの鍵長に対応したnビット共通鍵ブロック暗号アルゴリズムEを示している。暗号化の際には、平文P(nビット)からkビットの秘密鍵Kを用いて暗号関数Eにより暗号文C(nビット)が生成される。復号化の際には、暗号文C(nビット)からkビットの秘密鍵Kを用いて復号関数D(=E-1)により平文P(nビット)が生成される。このような共通鍵ブロック暗号では、例えば図1中に示すような通信路にデータが伝送される場合に、盗聴者(以下、攻撃者とも称する)に対して平文の秘匿性を実現できる。
平文Pと暗号文Cのビット長をブロックサイズと称し、ここではnで表す。nは任意の整数値を取りうるが、通常、ブロック暗号アルゴリズムごとに予め1つに決められている。ブロック長がnのブロック暗号のことをnビットブロック暗号と称する場合がある。秘密鍵Kのビット長をkで表し、鍵のビット長kは任意の整数値を取りうる。共通鍵ブロック暗号アルゴリズムは、1つまたは複数の鍵サイズに対応することになる。例えば、あるブロック暗号アルゴリズムAはブロックサイズn=128であり、k=128、またはk=192、またはk=256の鍵サイズに対応するという構成もあり得る。
暗号化アルゴリズムEに対応する復号アルゴリズムDは、暗号化アルゴリズムEの逆関数E-1と定義でき、入力として暗号文Cと鍵Kを受け取り、平文Pを出力する。
図2は、暗号化を行うブロック(暗号関数E)の内部構成を示す模式図である。暗号関数Eは、鍵スケジュール部100とデータ暗号化部200とから構成される。鍵スケジュール部100は、秘密鍵Kを入力とし、ある定められたステップによりビット長を拡大してできた拡大鍵K’(ビット長k’)を出力する。データ暗号化部200は、平文Pを受け取り、鍵スケジュール部から拡大された拡大鍵K’を受け取ってデータの変換を行い、暗号文Cを出力する。データ暗号化部200は、拡大鍵K’から得られるラウンド関数を繰り返し処理することで、暗号化を行う。
データ暗号化部200は、処理単位であるラウンド関数に分割できるものとする。ラウンド関数は入力として2つのデータを受け取り、内部で処理を施したのち、1つのデータを出力する。入力データの一方は暗号化途中のnビットデータであり、あるラウンドにおけるラウンド関数の出力が次のラウンド関数の入力として供給される。入力データの他方は鍵スケジュール部100から出力された拡大鍵K’の一部のデータであり、この鍵データのことをラウンド鍵と称する。また、ラウンド関数の総数を総ラウンド数と称する。総ラウンド数は、暗号アルゴリズムごとに予め定められている値である。ここでは、総ラウンド数をRで表す。データ暗号化部200の入力側から1ラウンド目の入力データをXとし、i番目のラウンド関数に入力されるデータをXi、ラウンド鍵をRKiとすると、データ暗号化部200の構成は図2のように示される。
ブロック暗号アルゴリズムに応じてラウンド関数はさまざまな形態を取り得る。ラウンド関数はその暗号アルゴリズムが採用する構造によって分類できる。代表的な構造として、ここではSPN構造、Feistel構造、拡張Feistel構造を例示する。
図3は、Feistel構造を示す模式図である。また、図4は、SPN構造を示す模式図である。図3に示すFeistel構造の基本的な構成例では、各ラウンド関数において、nビットの入力データXが上位n/2ビットと下位n/2ビットに分割され、各ラインのデータのサイズはn/2ビットとなる。ここで、F関数には上位n/2ビットが入力されて、n/2ビットが出力される。この出力は下位n/2ビットにそれぞれ排他的論理和される。その後、データの左右を入れ替えたものを出力データXi+1とする。F関数は非線形関数をもとに構成される。SPN構造とは異なり、F関数は置換である必要はない。一般的に、F関数は、ブロック暗号から生成されることはなく、計算の軽い非線形演算で生成されるが、本実施形態では、F関数をブロック暗号から生成する。
拡張Feistel構造(一般化Feistel構造)は、Feistel構造ではデータ分割数が2であったものを3以上に分割する形に拡張したものである。分割数をdとすると、分割数dによって様々な拡張Feistel構造を定義することができる。F関数の入出力のサイズが相対的に小さくなるため、小型実装に向いている。また、各ラウンド関数において、複数のF関数を持つことができる。
後述する図17では、d=4であり、且つ1つのラウンド内に2つのF関数が並列に適用される場合の拡張Feistel構造の一例を示している。この例では、第1F関数と第2F関数の各々において、RK1とRK2を鍵入力とする。また、後述する図14では、d=8であり、且つ1つのラウンド内に1つのF関数が適用される場合の拡張Feistel構造の一例を示している。この例では、F関数への入力サイズがn/8ビットであり、F関数からの出力サイズが7n/8ビットであり、出力は7つのn/8ビットのデータに分割され、残りの7つの16ビットデータに排他的論理和される。なお、n=128 bitとする。
また、図4に示すSPN構造の基本的な構成例では、nビットの入力データの全てに対して、ラウンド鍵との排他的論理和演算、非線形変換、線形変換処理などが適用される。非線形変換部をS層(Substitution-layer)、線形変換部をP層(Permutation-layer)と称し、それぞれは置換(全単射関数)である。各ラウンド関数において、nビットの入力データXiがd通りのデータに分割され、各ラインのデータのサイズはn/d[bit]となる。ここで、非線形変換演算をS関数と定義し、各データ毎にn/d[bit]の入出力の非線形変換演算S層(Substitution-layer)が実行される。その後、線形変換P層(Permutation-layer)としてnビットの入出力線形変換Lが実行される。なお、線形変換演算をL関数と定義する。
ブロック暗号の安全性モデルとして、ブラックボックスモデルとホワイトボックスモデルがある。図5は、共通鍵ブロック暗号によって構成されるブラックボックスモデルを示す模式図である。ブラックボックスモデルでは、秘密鍵を求めようとする攻撃者の能力が、ブロック暗号の入出力を認識して自由にコントロール可能であるが、攻撃者はブロック暗号の中間値は認識できない。つまり、ブラックボックスモデルは、攻撃者がブロック暗号アルゴリズムの入力、出力である平文P、暗号文Cにしかアクセスすることができない安全性モデルである。攻撃者による攻撃は、攻撃者が平文Pと暗号文Cのペアの値を知っているのみである既知平文暗号文攻撃と、これに加えて攻撃者が値自体を自由にコントロールできる選択平文暗号文攻撃に分けることができる。ブラックボックスモデルでは,暗号演算自体は安全に実行され、攻撃者が暗号の中間値を見たり、改ざんすることができないことを想定している。ハードウェアサポートなどを利用し、暗号演算の耐タンパ性が保障できている場合等が対応する。ブラックボックス用の暗号アルゴリズムの実装方法をブラックボックス実装と称する。このようなブラックボックスモデルでは、攻撃者に秘密鍵を知られないように安全に設計することが可能である。ブラックボックスモデルにおいては、ブロック暗号は、秘密鍵Kを求めることが計算量的に困難であり(鍵回復攻撃耐性)、ブロック暗号と擬似ランダム鍵付置換を識別するのが計算量的に困難である(識別攻撃耐性)ように設計される。ブラックボックスモデルで安全なブロック暗号は、例えば、AES,CLEFIA,PRESENT,Piccoloなどの暗号化技術により実現可能である。
図6は、共通鍵ブロック暗号によって構成されるホワイトボックスモデルを示す模式図である。ホワイトボックスモデルは、ブラックボックスモデルよりも強い攻撃者を想定した安全性モデルであり、攻撃者がブロック暗号アルゴリズムの入力、出力である平文P、暗号文Cのみならず、演算の中間値にも自由にアクセスできる。ホワイトボックスモデルでは、攻撃者はブロック暗号の入力である平文P、暗号文Cを自由にコントロールでき、更に攻撃者が演算中の任意の中間値を見ることや、改ざんできることを想定している。ハードウェアのサポートがないオールソフトウェアなどの、実装上の制約により、耐タンパが保障できないケースに対応している。また、バッファオーバーフロー等の実装上の脆弱性やマルウェア等により中間値が漏れてしまう場合にも対応する。ホワイトボックス用の暗号アルゴリズムの実装方法をホワイトボックス実装と称する。ホワイトボックス実装によれば、ソフトウェアのみでブロック暗号を構成することも可能である。
このように、ホワイトボックスモデルでは、攻撃者の能力が、ブロック暗号の入出力を認識して自由にコントロール可能であり、ブロック暗号の中間値を認識して自由にコントロール可能である。ホワイトボックスモデルにおいては、攻撃者が鍵Kを求めることは計算量的に困難であることが求められる。また、鍵Kを求める変わりにコード自体を直接用いて大きな鍵として用いる攻撃(code liftingと呼ばれる)に対しての耐性も求められる。ブロック暗号の中間値を攻撃者が認識可能なホワイトボックスモデルでは、このような攻撃に対して定量的な安全性をもつ必要がある。
2.本実施形態の概要
本実施形態では、上述したホワイトボックスモデルにおいて、信頼できない実行環境において、安全に暗号復号を行う技術、秘密鍵を守る技術を提案する。信頼できない環境として、秘密鍵を安全に保管できない場合、暗号演算の中間値を攻撃者が認識できる場合が挙げられる。
図7は、本実施形態に係る暗号化技術の概要を示す模式図であって、基本となる構成例(A)に係る暗号化装置を示している。ブロック暗号Eを複数のテーブル300から構成し、各テーブルをブラックボックスモデルで安全なブロック暗号E’(内部ブロック暗号)として構成する。これにより、安全なブロック暗号Eを構成することができる。ホワイトボックス実装では、ブロック暗号E’からなる部品の一部、または全てをテーブル化して実装する。ブロック暗号E’のアルゴリズムはユーザが自由に選択可能とする。なお、暗号化装置は、CPUなどの中央演算処理装置と、これを機能させるためのプログラムから構成することができる。この場合に、そのプログラムは、暗号化装置が備えるメモリなどの記録媒体に格納されることができる。また、ブロック暗号を構成するテーブルは、暗号化装置が備える記録媒体に格納されることができる。
このように、本実施形態の基本となる構成例(A)では、ブラックボックスモデルで安全なブロック暗号E’を構成要素(部品)として、ホワイトボックスモデルで安全なブロック暗号Eを構成する。内部ブロック暗号E’のアルゴリズムは、ユーザが自由に選択でき、入力として受け取る。ホワイトボックス実装では、内部ブロック暗号E’ベースの関数を鍵に依存させ、一部もしくは全てがテーブルで実装される。つまり、鍵スケジュール部100から出力された拡大鍵K’により内部ブロック暗号E’を生成してテーブル化する。テーブル化することにより、その都度暗号化演算が行われる場合と比較して、鍵の秘匿性を大幅に高めることできる。
また、構成例(A)の具体例(B)として、ブロック暗号EがFeistel構造からなり、一種類の入出力サイズのF関数から構成され、F関数は内部ブロック暗号E’をもとに生成される。ここでF関数は、内部ブロック暗号E’の入力の一部を固定、出力の一部を破棄することによってE’から変換される。ホワイトボックス実装では、F関数すべてがテーブルで実装される。
また、構成例(A)の具体例(C)として、ブロック暗号EがSPN構造からなり、一種類の入出力サイズのS関数から構成され、S関数は内部ブロック暗号E’をもとに生成される。ここでS関数は、同じサイズの内部ブロック暗号から構成される。ホワイトボックス実装では、S関数すべてがテーブルで実装される。
また、構成例(A)の具体例(D)として、ブロック暗号Eが拡張Feistel構造からなり、複数種類の入出力サイズのF関数から構成され、F関数は内部ブロック暗号E’をもとに生成される。ここで、F関数は、内部ブロック暗号の入力の一部を固定、出力の一部を破棄することによって生成される。ホワイトボックス実装では、一部若しくは全てがテーブル実装される。
また、構成例(A)の具体例(E)として、ブロック暗号EがSPN構造からなり、複数種類の入出力サイズのS関数から構成され、S関数は内部ブロック暗号E’をもとに生成する。ここで、S関数は、同じサイズの内部ブロック暗号から構成される。ホワイトボックス実装では、一部若しくは全てがテーブル実装される。
図8は、具体例(B)、具体例(C)、具体例(D)、具体例(E)のそれぞれについいて、全体構成、F関数/S関数の種類、テーブルサイズ可変の可否、を示す模式図である。
また、図9は、暗号タイプに応じた処理を示すフローチャートである。図9において、先ずステップS10では、内部ブロック暗号E’に鍵Kを依存させ、鍵付関数E’を生成する。次のステップS12では、暗号タイプを判定し、Feistel構造の場合はステップS14へ進む。ステップS14では、F関数をE’から生成する。次のステップS16では、F関数をテーブル化する。次のステップS18では、Feistel構成でテーブルを接続し、暗号関数Eを生成する。
また、ステップS12でSPN構造の場合はステップS20へ進み、S関数をE’から生成する。次のステップS22では、S関数をテーブル化する。次のステップS24では、SPN構成でテーブルを接続し、暗号関数Eを生成する。ステップS18,S24の後はステップS26へ進み、テーブルベースの関数からコード生成を行う。これにより、ホワイトボックス暗号化コードが生成される。
3.具体的構成例
以下では、具体例(B)、具体例(C)、具体例(D)、具体例(E)の構成例とその効果について詳細に説明する。ここで、内部ブロック暗号E’は、n’ビットブロック暗号であり、ブラックボックスモデルにおいて安全であるものとする。
3.1.具体例(B)
図10は、具体例(B)を示す模式図であって、一般化Feistel構造による構成例を示している。図10に示す例では、nビットの入力データXiがd通りのデータに分割され、各ラインのデータのサイズはn/dビットとなる。ここで、F関数はc×n/d bit入力、(d-c)×(n/d)(=n-(c×n/d))[bit]出力で、c通りのラインのデータが入力され、出力はd-c通りのn/d[bit]のデータに分割され、残りのd-c通りのラインにそれぞれ排他的論理和される。F関数は内部ブロック暗号E’をもとに構成される。ここでE’のブロックサイズn’が、n’>(d-c)×(n/d) かつ n’>c×(n/d)を満たすものとする(条件1)。図10に示すように、ブロック暗号E’へ入力されたビットの値は、排他論理和により得られたビットの値よりも下位ビットとして出力される。
図11は、F関数の構成を示す模式図である。n’ビットの内部ブロック暗号E’から、c×n/d[bit]入力、(d-c)×(n/d)[bit]出力のF関数の構成方法は以下の通りである。先ず、図11に示すように、内部ブロック暗号E’の入力n’[bit]のうち、任意のn’-(c×n/d)[bit]を定数値(例えばall 0)に固定し、入力サイズをc×n/dにする。次に、出力の任意の(c×n/d)[bit]を破棄(disregard)することにより、出力サイズをn’-(c×n/d)にする。このような、内部ブロック暗号E’に対する一部の入力ビット固定、出力の一部破棄により、条件1を満たす任意の内部ブロック暗号E’からF関数を構成する。テーブル化により、F関数はn’ビットの入出力に対応するテーブルから構成される。例えば、8ビットの入出力の場合、入力値(0~255)に対して出力値を対応付けしたテーブルが生成される。このテーブルに対し、一部の入力ビット固定、出力の一部破棄を行うことで、8ビット入力、120ビット出力などの入出力ビット数の調整を行うことができる。ここで、各ラウンドにおいてF関数を変更するため、n’-(c×n/d)ビットの出力にラウンド固有の定数を排他論理和(XOR)する。例えば、ラウンド固有の定数は、例えばラウンド数とし、ラウンド数をXORする。ラウンド数4の場合は4をXORすることになる。但し、この排他論理和はテーブル参照後に行われるため、この演算自体はテーブルには含めない。これにより、一通りのF関数テーブルで、ラウンド毎に異なるF関数を表現することができる。従って、各ラウンド関数のF関数自体は共通に構成することも可能であり、テーブルを格納するメモリ領域を大幅に削減することができる。
図12~図15は、具体的な構成例を示す模式図である。図12はn=n’=128、c=1、d=16の場合の全体構成を示しており、図13は、図12の例のF関数の構成を示している。また、図14は、n=128、c=1、d=8の場合、図15はn=128、c=1、d=4の場合、図16はn=128、c=3、d=16の場合、をそれぞれ示している。
図17は、1つのラウンド内に2つF関数がある例であって、n=128、d=4の例を示す模式図である。以上の全ての例において、F関数は、ホワイトボックス実装ではテーブル実装される。図12、図14、図15、図16の例において、テーブルサイズ(F関数のサイズ)は、それぞれ、約3.84[byte]、918[Kbyte]、51.5[Gbyte]、218[Mbyte]程度である。
3.2.具体例(C)
図18は、具体例(C)を示す模式図であって、SPN構造による構成例を示している。図18に示す例では、nビットの入力データXiがd通りのデータに分割され、各ラインのデータのサイズはn/d[bit]である。ここで、各データ毎にn/d[bit]の入出力のS関数による演算(非線形変換演算S層(Substitution-layer))が実行される。その後、L関数による演算(線形変換P層(Permutation-layer))としてn-bit入出力線形変換が実行される。ここで、S関数とL関数(入出力線形変換L)は全単射関数であり、L関数はラウンド定数演算を含む。S関数は、内部ブロック暗号E’をもとに構成されるが、S関数は全単射関数である必要があり、図11のように内部ブロック暗号E’の入力ビット固定、出力の一部の破棄による変換では構成することができない。このため、n/d[bit]のブロック暗号を用いる必要がある。よって、内部ブロック暗号E’のブロックサイズn’の条件は、n’=n/dとなる(条件2)。
図19は、図18に示したS関数のそれぞれの構成を示す模式図である。図19に示すように、S関数を構成する内部ブロック暗号E’の入出力のサイズは、共にn/d[bit]である。従って、例えば、8ビットの入出力の場合、入力値(0~255)に対して出力値を対応付けしたテーブルが生成され、このテーブルによりS関数の演算が行われる。線形変換演算を行うL関数は、例えば正方行列から構成される。S関数の入出力が8ビットの場合、S関数からの8ビットの出力がL関数に入力され、8ビットの値に対して8×8のマトリクスの正方行列を乗算することで、8ビットの値がL関数から出力される。このように、L関数は、S関数からの出力値を拡散する機能を有する。
図20は、具体的な構成例を示す模式図であって、n=128、d=8の場合を示している。S関数は、ホワイトボックス実装ではテーブル実装される。図20のテーブルサイズは約256[byte]程度である。S関数の場合も、図11に示したF関数の場合と同様に、各S関数を変更するため、S関数の出力にラウンド固有の定数をXORすることができる。これにより、S関数自体を共通にすることができるため、テーブルを格納するメモリ領域を大幅に削減することができる。
3.3.具体例(D)
図21は、具体例(D)を示す模式図であって、変形Feistel構造による構成例を示している。図21に示す例では、nビットの入力データがd通りのデータに分割され、各ラインのデータのサイズはn/dであり、サイズの異なる4種類のF関数から構成されている。初めのラウンドではn/d[bit]入力、(n-n/d)[bit]出力のF関数、2番目のラウンドでは2n/d[bit]入力、(n-2n/d)[bit]出力のF関数、3番目のラウンドでは3n/d[bit]入力、(n-3n/d)[bit]出力のF関数、4番目のラウンドでは4n/d[bit]入力、(n-4n/d)[bit]出力のF関数が用いられる。この4ラウンドを基本として、任意ラウンド繰り返す。図11で示した方法と同様に、任意のサイズのF関数は、内部ブロック暗号E’から生成され、出力にラウンド定数がXORされる。
ホワイトボックス実装では、ユーザの求めるコード(テーブルサイズ)に応じて、これらのうちの一部若しくは全てがテーブルで実装される。n=128、d=16の場合は、それぞれのラウンドのF関数のテーブルサイズは、初めのラウンドでは約3.84[byte]、2番目のラウンドでは918[Kbyte]、3番目のラウンドでは218[Mbyte]、4番目のラウンドでは51.5[Gbyte]となる。ユーザの要求に応じて、どのF関数をテーブル実装するか選択することにより、全体のコードサイズを調整可能である。例えば、4番目のラウンド関数はテーブル化せずに関数演算をその都度行うようにすれば、全体のコードサイズを抑えることができる。
3.4.具体例(E)
図22は、具体例(E)を示す模式図であって、変形SPN構造による構成例を示している。図22に示す例では、nビットの入力データがd通りのデータに分割され、各ラインのデータのサイズはn/dであり、サイズの異なる3種類のS関数から構成されている。各ラウンドのS層は、n/d[bit]の入出力、2n/d[bit]の入出力、4n/d[bit]の入出力、のS関数が用いられる。ホワイトボックス実装では、ユーザの求めるコード(テーブルサイズ)に応じて、これらの一部若しくは全てがテーブルで実装される。例えば。n=128、d=8で、8[bit]、16[bit]、32[bit]のデータが実装されている場合を考える。それぞれのテーブルサイズは、256[byte]、132[Kbyte]、17.2[Gbyte]となる。ユーザの要求に応じて、どのS関数をテーブル実装するか選択することにより、全体のコードサイズを調整可能である。
本実施形態によれば、ホワイトボックスモデルにおいて、key extractionの安全性は内部ブロック暗号E’のブラックボックスモデルでの鍵回復問題の安全性に帰着する。これは、ホワイトボックス実装において、内部ブロック暗号E’がテーブル実装されていることによるもので、攻撃者はホワイトモデルにおいても、テーブルの入出力にしかアクセスできない。これは、内部ブロック暗号E’のブラックボックスモデルとマッチする。内部状態(内部ブロック暗号E’)に信頼性の高い暗号(例えばAES)を用ることで、ホワイトボックスモデルについても、内部ブロック暗号E’のブラックボックスモデルの鍵回復と同等の安全性を有することができる。
また、攻撃者は、鍵を知らない限りテーブルサイズを小さくすることはできない(Space-hardness)。内部ブロック暗号E’の鍵の情報を知らない限り、攻撃者はE’をテーブル演算以外で計算することはできない。このため、与えられたテーブルより小さいものに変換することはできない。これは、攻撃者がcode lifting攻撃する際に、大容量のデータが必要なことを意味している。データサイズに比例してコード抜き取りに必要な時間は増加するため、code lifting作業を非常に時間のかかる作業にしている。更に、もしコード全体自体をとったとしても、そのサイズを圧縮することができず、コード配布の際に大容量のデータを送付する必要があり、配布のリスクを低減することが可能である。
また、external encodingについても、External Encodingなしで安全性を保障可能である。
更に、実装要求に応じた様々なサイズのテーブルを構成することが可能である。具体例(B)、具体例(C)によれば、分割数dの値を変更することにより、任意のテーブルサイズのアルゴリズムを構成することができる。また、具体例(D)、具体例(E)によれば、分割数dの値、又は使用するF関数、S関数のサイズを適切に複数選択することで、同じアルゴリズムで複数のテーブルサイズの実装が可能となる。
また、ユーザは、内部ブロック暗号E’を自由に選択できる。内部ブロック暗号E’は、入出力サイズの条件(条件1、条件2)を満たす限り、自由に選択することが可能である。ブラックボックスで用いる場合、テーブル実装は不要で内部演算を直接演算できる。この場合、内部ブロック暗号E’を適切に選択することで、さまざまな実装ニーズに応えることが可能である。例えば、AESを内部ブロック暗号E’として使用し、AES-NIを用いることにより、ソフトウェアで非常に高速に実装でき、且つキャッシュタイミング攻撃に対しても安全に実装できる。また、ソフトウェアで軽量な暗号Piccolo,Prideを用いることにより、RAMサイズ等の実装制約が大きい環境でも実装可能である。
4.ホワイトボックスモデルに係る暗号化による効果について
図23は、本実施形態に係るホワイトボックスモデル暗号化による安全性を説明するための模式図であって、図11に示したFeistel構造によるF関数をAESにより構成した例を示している。上述したように、ホワイトボックスモデルでは、攻撃者はテーブルの入出力にアクセス可能である。内部ブロック暗号E’のブラックボックスモデルと同じテーブルから鍵を求める問題(ホワイトボックスモデル)は、AESの鍵回復攻撃(ブラックボックスモデル)と等しい。従って、本実施形態に係る暗号化によれば、AESの鍵回復攻撃(ブラックボックスモデル)と同等の安全性を確保することが可能である。ホワイトボックスモデルにおいて、安全性は内部ブロック暗号E’のブラックボックスモデルでの鍵回復問題の安全性に帰着する。攻撃者は、鍵を知らない限りテーブルサイズを小さくすることはできない(Space-hardness)。
図24は、本実施形態に係る暗号化による安全性を説明するための模式図であって、攻撃者が攻撃する際に必要となるデータ量を示している。攻撃のためには、非常に多くのデータを入手しなければ秘密鍵Kを取得することはできない。具体的には、128 bit鍵と比較した場合、104.4~1010.5倍のデータ量が必要である。また、攻撃者がデータを入手できたとしても、圧縮することができないので、不正に配布する際に大容量のデータであるため抑止力になる。
また、本実施形態によれば、実装要求に応じた様々なサイズのテーブルを構成することが可能である。具体例(B),(C)の構成では、分割数dの数を変更することにより、任意のテーブルサイズのアルゴリズムを構成することができる。また、具体例(D),(E)の構成では、分割数dの数や使われるF関数、S関数のサイズを適切に複数選択することで、同じアルゴリズムで複数のテーブルサイズの実装が可能である。更に、テーブルの内部演算をユーザが自由に選択可能であり、ブラックボックス実装において最適なものを選択することが可能である。
5.グレイボックスモデルで安全な構成
本実施形態では、以上説明したホワイトボックスモデルで安全なブロック暗号に対し、グレイボックスモデルで安全となるように構成を一部変更する。グレイボックスモデルでは、攻撃者は、ホワイトボックスモデルのように演算の中間値を得ることはできないが、サイドチャネル情報を得ることができる。サイドチャネル情報として、電力の情報、演算のタイミングの情報、チップをプローブして得られる情報、暗号演算中に強い電磁波等を入力して誤動作させた際に得られる情報、等が挙げられる。これらのサイドチャネル情報は、演算の中間値そのものではないが、攻撃者により中間値を予測するために利用可能である。
図25は、ブラックボックスモデル、ホワイトボックスモデルに対して、グレイボックスモデルの特徴を示す模式図である。ブラックボックスモデル、グレイボックスモデル、ホワイトボックスモデルのいずれにおいても、攻撃者は入力値及び出力値を見ることができる。また、ブラックボックスモデルでは、攻撃者は暗号化の中間値を見ることができないが、ホワイトボックスモデルでは、攻撃者は暗号化の中間値をも見ることができる。また、グレイボックスモデルでは、上述のように攻撃者がサイドチャネル情報から中間値を予測することができる。従って、グレイボックスモデルでは、攻撃者は中間値を部分的に見ることができる。従って、図25に示すように、攻撃者の能力は、ホワイトボックスモデルが最も高く、グレイボックスモデル、ブラックボックスモデルの順で低くなる。
グレイボックスモデルでは、攻撃者の能力がホワイトボックスモデルよりも低く、グレイボックスモデルによれば、上述したブロック暗号は安全ではなく、サイドチャネル攻撃によりテーブルが復元されてしまう可能性がある。テーブルが復元されると、暗号鍵は判らないものの、暗号文が復元されてしまうことになる。このため、ホワイトボックスモデルの安全性を保ちつつ、グレイボックスモデルの安全性を保つことが求められる。
このため、本実施形態では、上述したホワイトボックスモデルで安全なブロック暗号から、サイドチャネル攻撃に安全な暗号(グレイボックスモデルで安全な暗号)を生成する。図26は、ホワイトボックスモデルで安全なブロック暗号から、グレイボックスモデルで安全なブロック暗号を生成する概要を示す模式図である。図26に示すように、ホワイトボックスモデルでは使用できないが、グレイボックスモデルでは使用できる乱数を用いてテーブルを動的に更新することで、グレイボックスモデルで安全なブロック暗号を生成する。これにより、テーブルの取得を目的とするグレイボックスモデルの攻撃者がテーブルを取得できないようにすることが可能である。
図27は、テーブルの更新方法を示す模式図である。図27では、1つのF関数(テーブル)を示している。F関数へのデータの入力サイズはninとし、F関数からのデータの出力サイズはnoutとする。テーブルを更新する際には、noutビットの乱数routを生成し、ninビットの乱数rinを選択する。入力に対し乱数rinとの排他的論理和をとり、その結果がF関数に入力される。また、F関数からの出力に対し、乱数routとの排他的論理和をとり、その結果が出力される。これにより、F関数(F(i))は、以下のようにF’(i)に更新される。
F’(i)=F(i^rin)^rout
ここで、F関数(テーブル)を更新したとしても、関数全体の機能を保持しておく必要がある。このため、乱数routがキャンセルされるように乱数rinを選択する。図28は、図3に示したFeistel構造の基本的な構成例において、乱数によりF関数を更新する例を示す模式図である。更新後のFeistel構造では、各F関数の入力と乱数r inとの排他的論理和が演算され、各F関数の出力と乱数r outとの排他的論理和が演算される。ここで、ラウンド数はx+1となる。
上述のように、各F関数の出力は、乱数r outとの排他的論理和が演算される。一方、入力側の乱数rinは、図28の左側に示す更新前のFeistel構造と、右側に示す更新後のFeistel構造を等価にするため、その値が調整される。前提として、平文Pを2つに分割して得られるデータP,Pのうち、Pは乱数r inとの排他的論理和が演算される。入力側の乱数のうち、r inのみは調整により得られるものではなく、出力側の乱数r outと同様に任意の乱数とされる。
図28において、入力側の乱数r in,r in,r in,r in,・・・,r inは、以下のように算出される。
in=r out
in=r In^r out

in=r in^r out

in=r in^r out

・・・
in=rx-2 in^rx-1 out
例えば、図28の更新後のFeistel構造において、r inの値を調整する場合、各F関数への入力が更新前のFeistel構造の各F関数への入力と一致する必要がある。更新後のFeistel構造において、Pは乱数r inとの排他的論理和が演算されており、排他的論理和は2回繰り返すと元のデータに戻るため、F0関数への入力前に再びr inとの排他的論理和が演算されることで、F0関数への入力は更新前のFeistel構造と一致する。同様に、更新後のFeistel構造において、F1関数への入力については、F0関数からの出力と入力Pに対してr outが排他的論理和されているため、F1関数への入力前に再びr outとの排他的論理和が演算されることで、F0関数への入力は更新前のFeistel構造と一致する。従って、r in=r outとなる。
同様に、更新後のFeistel構造において、F2関数への入力については、r inが排他的論理和される以前のデータの流れ(図28中に破線の矢印A1で示す)では、更新前のFeistel構造のデータの流れと比較すると、r Inとr outによりデータがマスクされていることが判る。排他的論理和は2回繰り返すと元のデータに戻るため、r in=r In^r outとしてF2関数へ入力されるデータとr inとの排他的論理和をとることで、更新前のFeistel構造のF2関数への入力と一致する。
以上のようにして、上述のような乱数r in,r in,r in,r in,・・・,r inを算出することができる。
なお、図28に示すように、更新後のFeistel構造の最終的な出力値は、C^r in,C^r in^r outとなり、更新前のFeistel構造の最終的な出力値Cに対してマスクr inがかかり、Cに対してマスクr in^r outがかかっている。このため、これらのマスクを除くことで、更新前のFeistel構造と同じ出力値C,Cを得ることができる。
図29は、図15に示した具体的な構成例において、乱数によりF関数を更新する例を示す模式図である。更新方法は、図28の例と同様である。図29においても、F関数の出力側の乱数r out,r out,r out,r out,r out,r out,・・・に対して、入力側の乱数r in,r in,r in,r in,・・・,r inを調整することで、乱数により更新する前の図15の構成と等価にすることができる。
例えば、図29の構成において、F2関数への入力については、r inが排他的論理和される以前のデータの流れ(図29中に矢印A2で示す)では、乱数により更新されていない図15のデータの流れと比較すると、r outとr outによりデータがマスクされていることが判る。排他的論理和は2回繰り返すと元のデータに戻るため、r in=r out^r outとしてF2関数へ入力されるデータとr inとの排他的論理和をとることで、更新前の図15の構成のF2関数への入力と一致する。他のF関数への入力側についても同様の手法で乱数r in,r in,r in,r in,・・・,r inを求めると、以下の通りとなる。
in=r out
in=r out^r out
in=r out^r out^r out
in=r out^r out^r out^r in
in=r out^r out^r out^r in
in=r x-1 out^r x-2 out^r x-3 out^rx-4 in
図29においても、乱数によりF関数を更新した後の最終的な出力値にはマスクがかかっているが、マスクを除くことで、更新前の構成と同じ出力値を得ることができる。
図30は、図20に示したようなSPN構造による構成例において、乱数によりS関数を更新する例を示す模式図である。各S関数の前後には、乱数が排他的論理和される。この際、r-1ラウンド目のS関数の出力側の乱数r r-1 out,r r-1 out,r r-1 out,r r-1 outとrラウンド目のS関数の入力側の乱数r in,r in,r in,r inとの間には、以下の関係が成立する。なお、図30では、図20のL関数を記号Mで表している。これにより、r-1ラウンド目のS関数の出力側の乱数r r-1 out,r r-1 out,r r-1 out,r r-1 outをrラウンド目のS関数の入力側の乱数r in,r in,r in,r inでキャンセルすることができる。
Figure 0007078630000001
次に、上述した手法により更新された関数(テーブル)の安全性について説明する。図27に示すF関数において、更新前のF関数は疑似ランダム関数であるものとし、iランド目のr in,r outは乱数であるものとする。なお、擬似ランダム関数とは、攻撃者が真のランダム関数と疑似ランダム関数の双方の入出力にアクセスできたとしても、攻撃者がどちらの関数かを識別できない関数をいう。
図27において、更新されたF’(i)も疑似ランダム関数である。また、更新されたF’(i)からr in,r outの情報が漏れることはない。そして、更新されたF’(i)から更新前のF関数の情報が漏れることはない。従って、更新毎にランダムな関数(テーブル)を生成することができる。
次に、更新のタイミングについて説明する。乱数による関数の更新は、データが入力される毎に行っても良いか、処理負荷を下げるためには、攻撃者がテーブルを回復できない範囲で更新の頻度を下げることが望ましい。
ここで、X通りのテーブルを攻撃者が回復するためには、少なくともX回の暗号演算が必要である。また、ホワイトボックスモデルで安全なブロック暗号は、テーブルエントリの1/4以下を攻撃者に取得されても安全である。従って、テーブルのエントリ数を2としたときに、2n-2の実行毎にテーブルの更新を行えば良い。これにより、テーブルの1/4以下が攻撃者に取得される可能性はあるが、安全性を確実に保つことができる。
6.復号化のための構成例
上述したように、暗号化アルゴリズムEに対応する復号アルゴリズムDは、暗号化アルゴリズムEの逆関数E-1と定義でき、入力として暗号文Cと鍵Kを受け取り、平文Pを出力する。復号アルゴリズムDにおいても、ブラックボックス実装によりテーブルを構成することで、ブラックボックスモデルと同等の安全性を確保することが可能である。
7.既存技術との相違
以下では、本実施形態に係る技術と、前述した非特許文献1,2に記載された方法(既存技術1とする)、非特許文献3,4に記載された方法(既存技術2とする)との相違について説明する。
既存技術1は、中間値と消費電力の依存関係の一部しか無くすことができないため、事前に想定した1st and 2nd order attackなどの特定の攻撃(d-th order attack)に対しては証明可能な安全性を有するものの、3rd order attackなどの特定の攻撃以外(d+1-th order attack)に対しての安全性を確保することができない。つまり、既存技術1は、限定された攻撃に対しての対策技術に過ぎない。
また、既存技術1では、マスキングの処理を施すことにより処理負荷が非常に高くなるため、処理速度が遅くなり、実装性能が非常に悪くなる問題がある。既存技術1では、一般的な暗号化技術であるAESと比較すると、処理速度が数10倍から数1000倍程度になる問題がある。
また、既存技術2では、攻撃者が暗号鍵を取得することはできないものの、攻撃者が暗号鍵と実質的に等価であるテーブルの情報を取得した場合は安全性を保つことができない。
一方、本実施形態に係る乱数により暗号化関数を更新する手法では、サイドチャネル攻撃を含むあらゆる攻撃に対して耐性を確保することができる。また、処理負荷に関しても、基本的に暗号化関数に乱数を付加することで構成できるため、既存技術1よりも大幅に低い処理負荷で実現が可能である。
8.本実施形態が適用されるアプリケーションの例
本実施形態に係る技術は、図1に示したような通信路におけるデータの秘匿性を実現する他、様々なアプリケーションに適用することができる。以下では、幾つかのアプリケーションの例を説明する。
図31は、著作権保護技術(DRM:Digital Rights Management)への適用例を示す模式図である。図31に示すように、クラウド上のコンテンツサーバ400で暗号化を行い、コンテンツ(暗号文C)がコンテンツサーバ400からユーザデバイス410へ配信される。ユーザデバイス410は、パーソナルコンピュータ(PC)、スマートフォンなどの電子機器である。コンテンツ(暗号文C)はユーザデバイス410において復号される。
図32は、図31をより詳細に示す模式図である。コンテンツサーバ400は、ホワイトボックス暗号化関数により映画、音楽などのコンテンツを暗号化する。また、コンテンツサーバ400では、ライセンス生成器402によりライセンスを生成し、暗号化されたコンテンツと共にユーザデバイス410へ送る。ユーザデバイス410は、送られたライセンスをライセンス検証器412により検証し、ライセンスの検証に成功した場合は、ホワイトボックス復号関数により、暗号化されたコンテンツを復号する。
図31及び図32に示したような著作権保護技術では、ユーザデバイス410でコンテンツを復号する必要がある。この場合、仮に鍵Kが露呈した場合、コンテンツの不正配布に繋がる。つまり、暗号化が安全でない環境では、ユーザデバイス410が信頼できない環境となる。本実施形態によれば、悪意のあるユーザがコンテンツの秘密鍵Kを取得することを、ホワイトボックス暗号化技術により確実に防止することが可能である。
図33は、NFCのエミュレーションを利用した支払システムへの適用例を示す模式図である。図33に示すように、このシステムでは、NFCの読取装置420にユーザデバイス430を近づけてエミュレーションを行う。ユーザデバイス430は、ホストCPU432、NFCコントローラ434、セキュアエレメント436を有する。
図34は、図33をより詳細に示す模式図である。クラウド上のサーバ440は、ユーザの証明用の情報(Credential information)と、支払情報(Payment information)を有する。ユーザデバイス430は、モバイル機器などの電子機器であり、サーバ440と暗号化通信を行い、証明用の情報をやり取りする。また、ユーザデバイス430は、読取装置420と暗号化通信を行い、証明用の情報をやり取りする。暗号化通信では、本実施形態に係るホワイトボックス暗号化により暗号化が行われる。このため、ユーザデバイス430は、ホワイトボックス暗号関数、復号関数を備えている。ホワイトボックス暗号化により暗号化を行うことで、支払いに関する証明のデータを守ることができ、ユーザデバイス430がセキュアエレメント436を備えていなくてもNFCのエミュレーションが可能となる。
図35は、メモリリークに対しても安全な方式を示す模式図である。このシステムでは、ソフトウェアの脆弱性(buffer overflow, heart bleed)やマルウェアにより、メモリが攻撃者にリークした場合も、安全性を保障する。マルウェアやメモリリークの脆弱性のあるデバイス445において、ホワイトボックス暗号化方式が有するSpace hardnessの性質により、数キロバイト、数ギガバイト以上のデータが漏れない限り安全性は低下しない。図35の例において、コードサイズをTとすると、T/4以上のデータが漏れない限り安全性は低下しない。なお、Space hardnessとは、一定以上のサイズのメモリが漏れない限り暗号の安全性を保障できる技術である。この方法は、内部ネットワークから外部ネットワークからの通信量を制限している場合に特に有効である。
図36は、サイドチャネル攻撃に対して安全な暗号化の例を示す模式図である。ホワイトボックス暗号化方式は、通常はソフトウェア用であるが、Reconfigurable Hardware (FPGA)で実装することにより、ハードウェアでサイドチャネルに安全な暗号方式として使うことができる。例えば図36に示すICカード450など、ハードウェアでサイドチャネル攻撃を受ける可能性のあるデバイスにおいて、特に有効である。
以上、添付図面を参照しながら本開示の好適な実施形態について詳細に説明したが、本開示の技術的範囲はかかる例に限定されない。本開示の技術分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本開示の技術的範囲に属するものと了解される。
また、本明細書に記載された効果は、あくまで説明的または例示的なものであって限定的ではない。つまり、本開示に係る技術は、上記の効果とともに、または上記の効果に代えて、本明細書の記載から当業者には明らかな他の効果を奏しうる。
なお、以下のような構成も本開示の技術的範囲に属する。
(1) 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化するデータ暗号化部を備え、
複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいて入力値を暗号化するテーブル化された暗号化関数を有し、
前記暗号化関数が乱数により更新される、暗号化装置。
(2) 前記暗号化関数の入力値に第1の係数が排他論理和され、前記暗号化関数の出力値に第2の係数が排他論理和され、少なくとも前記第2の係数が乱数である、前記(1)に記載の暗号化装置。
(3) 前記第1の係数は、前記出力値に前記第2の係数が排他論理和されたことによる前記データ暗号化部の変化を打ち消す値に調整される、前記(2)に記載の暗号化装置。
(4) 任意のラウンドの前記暗号化関数の前記第1の係数は、当該任意のラウンドより前のラウンドの前記出力値に前記第2の係数が排他論理和されたことによる当該任意のラウンドの前記暗号化関数への前記入力値の変化を打ち消す値に調整される、前記(3)に記載の暗号化装置。
(5) 前記暗号化関数には、前記ラウンド関数へ入力されるビットのうちの一部が入力され、
前記暗号化関数は、前記暗号化関数へ入力可能なビットの一部を固定値とし、前記暗号化関数の出力値の一部を破棄することで、前記暗号化関数へ入力可能なビット数から前記暗号化関数へ入力されたビット数の差分に相当するビット数の出力値を出力する、前記(1)に記載の暗号化装置。
(6) 前記ラウンド関数は、前記ラウンド関数へ入力されるビットのうち前記暗号化関数に入力されなかったビットと、前記暗号化関数からの前記出力値のビットの排他論理和を演算する、前記(5)に記載の暗号化装置。
(7) 前記ラウンド関数は、前記暗号化関数へ入力されたビットの値と前記排他論理和により得られたビットの値を出力する、前記(6)に記載の暗号化装置。
(8) 前記ラウンド関数は、前記暗号化関数へ入力されたビットの値を前記排他論理和により得られたビットの値よりも下位ビットとして出力する、前記(7)に記載の暗号化装置。
(9) 前記ラウンド関数の出力と予め定められた所定値との排他論理和を演算し、得られた値を次のラウンド関数への入力又は前記データ暗号化部の出力とする、前記(5)~(8)のいずれかに記載の暗号化装置。
(10) 1の前記ラウンド関数が複数の前記暗号化関数を有する、前記(1)~(9)のいずれかに記載の暗号化装置。
(11) 複数の前記ラウンド関数において、後段のラウンド関数ほど前記暗号化関数に大きなビットの入力値が入力される、前記(5)~(9)のいずれかに記載の暗号化装置。
(12) 1の前記ラウンド関数が複数の前記暗号化関数を有し、
前記ラウンド関数へ入力されるビットが分割されて複数の前記暗号化関数へ入力され、
複数の前記暗号化関数は非線形演算を行い、
前記ラウンド関数は、複数の前記暗号化関数による前記非線形演算の結果を線形変換演算して出力する、前記(1)~(11)のいずれかに記載の暗号化装置。
(13) 複数の前記暗号化関数のそれぞれにおいて、入力されるビット数と出力されるビット数が同一である、前記(12)に記載の暗号化装置。
(14) 複数の前記暗号化関数のそれぞれに入力されるビット数が異なる、前記(9)又は(13)に記載の暗号化装置。
(15) 前記暗号化関数は、前記データ暗号化部に対応する秘密鍵から生成される拡張鍵によって暗号化を行う、前記(1)~(14)のいずれかに記載の暗号化装置。
(16) 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化することを備え、
複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数により入力値を暗号化し、
前記暗号化関数が乱数により更新される、暗号化方法。
(17) 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うデータ復号化部を備え、
複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数であって乱数により更新される前記暗号化関数により入力値を暗号化する、復号化装置。
(18) 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うことを備え、
複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数であって乱数により更新される前記暗号化関数によりにより入力値を暗号化する、復号化方法。
200 データ暗号化部
300 テーブル

Claims (18)

  1. 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化するデータ暗号化部を備え、
    複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいて入力値を暗号化するテーブル化された暗号化関数を有し、
    前記暗号化関数が乱数により更新される、暗号化装置。
  2. 前記暗号化関数の入力値に第1の係数が排他論理和され、前記暗号化関数の出力値に第2の係数が排他論理和され、少なくとも前記第2の係数が乱数である、請求項1に記載の暗号化装置。
  3. 前記第1の係数は、前記出力値に前記第2の係数が排他論理和されたことによる前記データ暗号化部の変化を打ち消す値に調整される、請求項2に記載の暗号化装置。
  4. 任意のラウンドの前記暗号化関数の前記第1の係数は、当該任意のラウンドより前のラウンドの前記出力値に前記第2の係数が排他論理和されたことによる当該任意のラウンドの前記暗号化関数への前記入力値の変化を打ち消す値に調整される、請求項3に記載の暗号化装置。
  5. 前記暗号化関数には、前記ラウンド関数へ入力されるビットのうちの一部が入力され、
    前記暗号化関数は、前記暗号化関数へ入力可能なビットの一部を固定値とし、前記暗号化関数の出力値の一部を破棄することで、前記暗号化関数へ入力可能なビット数から前記暗号化関数へ入力されたビット数の差分に相当するビット数の出力値を出力する、請求項1に記載の暗号化装置。
  6. 前記ラウンド関数は、前記ラウンド関数へ入力されるビットのうち前記暗号化関数に入力されなかったビットと、前記暗号化関数からの前記出力値のビットの排他論理和を演算する、請求項5に記載の暗号化装置。
  7. 前記ラウンド関数は、前記暗号化関数へ入力されたビットの値と前記排他論理和により得られたビットの値を出力する、請求項6に記載の暗号化装置。
  8. 前記ラウンド関数は、前記暗号化関数へ入力されたビットの値を前記排他論理和により得られたビットの値よりも下位ビットとして出力する、請求項7に記載の暗号化装置。
  9. 前記ラウンド関数の出力と予め定められた所定値との排他論理和を演算し、得られた値を次のラウンド関数への入力又は前記データ暗号化部の出力とする、請求項1に記載の暗号化装置。
  10. 1の前記ラウンド関数が複数の前記暗号化関数を有する、請求項1に記載の暗号化装置。
  11. 複数の前記ラウンド関数において、後段のラウンド関数ほど前記暗号化関数に大きなビットの入力値が入力される、請求項5に記載の暗号化装置。
  12. 1の前記ラウンド関数が複数の前記暗号化関数を有し、
    前記ラウンド関数へ入力されるビットが分割されて複数の前記暗号化関数へ入力され、
    複数の前記暗号化関数は非線形演算を行い、
    前記ラウンド関数は、複数の前記暗号化関数による前記非線形演算の結果を線形変換演算して出力する、請求項1に記載の暗号化装置。
  13. 複数の前記暗号化関数のそれぞれにおいて、入力されるビット数と出力されるビット数が同一である、請求項12に記載の暗号化装置。
  14. 複数の前記暗号化関数のそれぞれに入力されるビット数が異なる、請求項12に記載の暗号化装置。
  15. 前記暗号化関数は、前記データ暗号化部に対応する秘密鍵から生成される拡張鍵によって暗号化を行う、請求項1に記載の暗号化装置。
  16. 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化することを備え、
    複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数により入力値を暗号化し、
    前記暗号化関数が乱数により更新される、暗号化方法。
  17. 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うデータ復号化部を備え、
    複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数であって乱数により更新される前記暗号化関数により入力値を暗号化する、復号化装置。
  18. 入力値を順次に暗号化処理する複数のラウンド関数の少なくとも一部がテーブル化され、前記ラウンド関数の入出力値を外部から認識可能なホワイトボックスモデルにより暗号化する暗号化処理の逆演算により復号を行うことを備え、
    複数の前記ラウンド関数のそれぞれは、入出力値を外部から認識可能であり中間値は外部から認識できないブラックボックスモデルにおいてテーブル化された暗号化関数であって乱数により更新される前記暗号化関数によりにより入力値を暗号化する、復号化方法。
JP2019535612A 2017-08-10 2018-05-28 暗号化装置、暗号化方法、復号化装置、及び復号化方法 Active JP7078630B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017156144 2017-08-10
JP2017156144 2017-08-10
PCT/JP2018/020341 WO2019031025A1 (ja) 2017-08-10 2018-05-28 暗号化装置、暗号化方法、復号化装置、及び復号化方法

Publications (2)

Publication Number Publication Date
JPWO2019031025A1 JPWO2019031025A1 (ja) 2021-02-04
JP7078630B2 true JP7078630B2 (ja) 2022-05-31

Family

ID=65271411

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019535612A Active JP7078630B2 (ja) 2017-08-10 2018-05-28 暗号化装置、暗号化方法、復号化装置、及び復号化方法

Country Status (5)

Country Link
US (1) US11269993B2 (ja)
EP (1) EP3651142A4 (ja)
JP (1) JP7078630B2 (ja)
CN (1) CN111373464B9 (ja)
WO (1) WO2019031025A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021025631A1 (en) * 2019-08-05 2021-02-11 Securify Bilisim Teknolojileri Ve Guvenligi Egt. Dan. San. Ve Tic. Ltd. Sti. A method for generating digital signatures
JP7383949B2 (ja) * 2019-09-20 2023-11-21 富士電機株式会社 情報処理装置及びプログラム
CN113757909B (zh) * 2021-11-08 2022-02-08 国网浙江省电力有限公司绍兴供电公司 基于量子加密技术的空调集群控制方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012520589A (ja) 2009-03-10 2012-09-06 イルデト・コーポレート・ビー・ヴイ 入力に依存する符号化を用いたホワイトボックス暗号システム
US20170141911A1 (en) 2015-11-13 2017-05-18 Nxp B.V. Split-and-merge approach to protect against dfa attacks
JP2017187724A (ja) 2016-04-08 2017-10-12 ソニー株式会社 暗号化装置、暗号化方法、復号化装置、及び復号化方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5023624B2 (ja) * 2006-09-01 2012-09-12 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
US8422668B1 (en) * 2006-12-15 2013-04-16 Spansion Llc Table lookup operation on masked data
KR101744748B1 (ko) * 2011-01-05 2017-06-09 한국전자통신연구원 화이트박스 암호 테이블을 이용한 콘텐츠 보호 장치, 콘텐츠 암호화 및 복호화 장치
JP5682527B2 (ja) * 2011-03-28 2015-03-11 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム
US9015838B1 (en) * 2012-05-30 2015-04-21 Google Inc. Defensive techniques to increase computer security
US9294266B2 (en) * 2013-06-27 2016-03-22 Qualcomm Incorporated Method and apparatus to encrypt plaintext data
JP2015191107A (ja) * 2014-03-28 2015-11-02 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム
US9898623B2 (en) * 2014-03-31 2018-02-20 Stmicroelectronics S.R.L. Method for performing an encryption with look-up tables, and corresponding encryption apparatus and computer program product
US9455833B2 (en) * 2014-04-28 2016-09-27 Nxp B.V. Behavioral fingerprint in a white-box implementation
SG10201405852QA (en) * 2014-09-18 2016-04-28 Huawei Internat Pte Ltd Encryption function and decryption function generating method, encryption and decryption method and related apparatuses
DE102014016548A1 (de) * 2014-11-10 2016-05-12 Giesecke & Devrient Gmbh Verfahren zum Testen und zum Härten von Softwareapplikationen
US10699030B2 (en) * 2014-12-30 2020-06-30 Cryptography Research Inc. Determining cryptographic operation masks for improving resistance to external monitoring attacks
KR101989956B1 (ko) * 2015-10-29 2019-06-17 삼성에스디에스 주식회사 암호화 장치 및 방법
US10015009B2 (en) * 2015-11-25 2018-07-03 Nxp B.V. Protecting white-box feistel network implementation against fault attack
EP3188401B1 (en) * 2015-12-29 2019-12-18 Secure-IC SAS Method and system for protecting a cryptographic operation
JP6135804B1 (ja) * 2016-06-01 2017-05-31 富士電機株式会社 情報処理装置、情報処理方法及びプログラム
KR101924067B1 (ko) * 2016-10-28 2019-02-22 삼성에스디에스 주식회사 암호화 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012520589A (ja) 2009-03-10 2012-09-06 イルデト・コーポレート・ビー・ヴイ 入力に依存する符号化を用いたホワイトボックス暗号システム
US20170141911A1 (en) 2015-11-13 2017-05-18 Nxp B.V. Split-and-merge approach to protect against dfa attacks
JP2017187724A (ja) 2016-04-08 2017-10-12 ソニー株式会社 暗号化装置、暗号化方法、復号化装置、及び復号化方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BOGDANOV, A. and ISOBE, T.,White-box Cryptography Revisited: Space-Hard Ciphers,Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security,米国,ACM,2015年10月12日,Pages 1058-1069

Also Published As

Publication number Publication date
CN111373464B9 (zh) 2023-09-26
CN111373464A (zh) 2020-07-03
CN111373464B (zh) 2023-06-06
JPWO2019031025A1 (ja) 2021-02-04
EP3651142A1 (en) 2020-05-13
US11269993B2 (en) 2022-03-08
US20210165875A1 (en) 2021-06-03
WO2019031025A1 (ja) 2019-02-14
EP3651142A4 (en) 2021-03-24

Similar Documents

Publication Publication Date Title
JP6877889B2 (ja) 暗号化装置、暗号化方法、復号化装置、及び復号化方法
JP7078631B2 (ja) 暗号化装置、暗号化方法、復号化装置、及び復号化方法
US8325928B2 (en) Security countermeasure for power analysis attacks
KR102413846B1 (ko) Sbox를 이용하는 암호화 프로세스를 고차 부채널 공격으로부터 보호하기 위한 방법
US9515820B2 (en) Protection against side channels
JP2005266810A (ja) マスキング方法が適用されたデータ暗号処理装置、aes暗号システム及びaes暗号方法
JP7078630B2 (ja) 暗号化装置、暗号化方法、復号化装置、及び復号化方法
US10630462B2 (en) Using white-box in a leakage-resilient primitive
Almoysheer et al. Enhancing Cloud Data Security using Multilevel Encryption Techniques.
CN111602367B (zh) 用于保护在使白盒密码算法安全的对策中使用的熵源的方法
EP3832945A1 (en) System and method for protecting memory encryption against template attacks
EP2940677A1 (en) Method for including an implicit integrity or authenticity check into a white-box implementation
KR101026647B1 (ko) 통신 보안 시스템 및 그 방법과 이에 적용되는 키 유도 암호알고리즘
KR20090079664A (ko) 아리아 마스킹 방법 및 이를 이용한 아리아 암호 장치 및방법
Lin et al. Software Tamper Resistance Based on White-Box SMS4 Implementation
CN117768099A (zh) 一种数据处理方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
AA64 Notification of invalidation of claim of internal priority (with term)

Free format text: JAPANESE INTERMEDIATE CODE: A241764

Effective date: 20200602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200928

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220519

R150 Certificate of patent or registration of utility model

Ref document number: 7078630

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150