JP7347501B2 - Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム - Google Patents

Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム Download PDF

Info

Publication number
JP7347501B2
JP7347501B2 JP2021514734A JP2021514734A JP7347501B2 JP 7347501 B2 JP7347501 B2 JP 7347501B2 JP 2021514734 A JP2021514734 A JP 2021514734A JP 2021514734 A JP2021514734 A JP 2021514734A JP 7347501 B2 JP7347501 B2 JP 7347501B2
Authority
JP
Japan
Prior art keywords
matrix
group test
tag list
mac
test matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021514734A
Other languages
English (en)
Other versions
JPWO2020213114A1 (ja
JPWO2020213114A5 (ja
Inventor
一彦 峯松
典史 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020213114A1 publication Critical patent/JPWO2020213114A1/ja
Publication of JPWO2020213114A5 publication Critical patent/JPWO2020213114A5/ja
Application granted granted Critical
Publication of JP7347501B2 publication Critical patent/JP7347501B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator

Description

本発明は、MACタグリスト生成装置、MACタグリスト検証装置、MACタグリスト生成方法、MACタグリスト検証方法及びプログラムに関する。
メッセージ認証コード(以下、単に、「メッセージ認証」あるいは“MAC”と記す。)とは、メッセージに対して秘密鍵を知るものだけが計算できるタグを付与することで、メッセージが正当であることを保証する技術である。例えばメッセージ認証を用いれば、秘密鍵を共有した2者の通信において、通信の間に行われた、第三者による改ざんを検知することが可能となる。具体的には、送信者がメッセージとタグを受信者に送ったとき、受信者側では受け取ったメッセージからタグを計算し、受信したタグとの一致を確認することで、メッセージが正当な送信者から送られたものかどうかを判断できる。このタグを「認証タグ」又は「MACタグ」と呼ぶ。
MACの基本的な入出力について説明する。秘密鍵Kを共有する2者AliceとBobを考え、AliceからBobへメッセージMを送ることを考える。この場合、AliceはMに対してKを用いたMAC関数 MAC_Kを適用し、認証タグT=MAC_K(M)を求め、Bobに対し、(M,T)を送信する。
Bobが受信した情報を(M’,T’)とすると、Bobは、T’とMAC_K(M’)との一致を確認することで、メッセージがAliceから送られたものかどうかを判断する。T’とMAC_K(M’)との一致を確認することで、受け取ったメッセージ(M’,T’)がAliceのそもそも送った(メッセージ、認証タグ)の対であるかがわかり、改ざんの有無をチェック可能である。
このようなメッセージ認証方式の一例として、非特許文献1[CMAC]や非特許文献2の[HMAC]がある。
一般的なメッセージ認証を用いる場合、メッセージ中の改ざんされた位置に関して情報を得ることは不可能である。これは、改ざんが行われた場合、認証タグの値は正しい値とは異なるランダムな値となるからである。
これに対して、メッセージの全体に一度MAC関数を適用するのではなく、メッセージを任意の部分に分割し、それらの部分ごとにMAC関数を適用することで、部分ごとのチェックが可能となり、メッセージに対する改ざん位置を完全に特定することが可能となる。例えばメッセージMがm個のアイテムM[1],...,M[m]からなる場合、T[1]=MAC_K(M[1]),T[2]=MAC_K(M[2]),...,T[m]=MAC_K(M[m])をそれぞれ計算する。その上で、メッセージと認証タグのセット(M,T[1],...,T[m])を送信すればよい。
ハードディスク上のデータに対し、ファイルごとや、ディスクセクターごとにMACをとることがこの方法の例として挙げられる。しかしながら、この方法はm個のアイテムに対してm個のタグが生成されるため、保存すべきデータ量の増加が大きいという問題がある。
一方、非特許文献3[GAT05]に記載されているように、メッセージを、互いに重なりを許し、長さも異なる複数の部分系列に分解し、この部分系列ごとにMACを適用するというアプローチがある。
[例1]
例えば、メッセージMが7個のアイテムからなるとき、(M[1],M[2],...,M[7])を
S[1] = (M[1],M[2],M[3],M[4])
S[2] = (M[1],M[2],M[5],M[6])
S[3] = (M[1],M[3],M[5],M[7])
という3つの部分系列に分解し、それぞれに対してMACを適用し3つのタグ
T[1]=MAC(S[1]),...,T[3]=MAC(S[3])
を計算したとする。
この場合、アイテムごとにMACを適用する場合に7個必要であったタグの数を、3つに減らすことが可能となる。さらに、検証時における各(T[i],S[i])に対する検証結果を2値(0ならMACが正しい、1なら改ざん)のB[i]で表現すると、ある時点でメッセージMに対してMACタグのチェックを行った結果が
B[1]=0,
B[2]=1,
B[3]=0,
の場合、M[6]が改ざんされたと特定できる。より正確には、この例では任意の1アイテムの改ざんであれば改ざんされたアイテムの特定が可能である。
この性質をより一般に言えば、部分系列の取り方を工夫することにより、改ざんされたアイテム数が所与のしきい値以下のときには、改ざんされたアイテムまで特定することが可能であるということを示している。
どのような部分系列にメッセージMを分解し、またそのテストの結果、どのような改ざんアイテム特定が可能になるかは、組み合わせグループテスト(CGT)と呼ばれる組み合わせ問題、特に非適応的組み合わせグループテスト(NCGT)と密接に関連がある。ここで、CGT、NCGTはそれぞれCombinatorial Group Testing、Non-adaptive CGTの略である。非特許文献3[GAT05]、非特許文献4[Min15]では、これらのテストについての検討がなされている。m個のアイテム、t個のテストからなるCGTでは、t行m列の2値行列H(ここではテスト行列と呼ぶ)を構成し、Hに従ってテストを行う。Hのi行j列目の要素が1であれば、番目のテストで番目のアイテムをテストに含める、ということを指している。
例えば、データベースシステムへの適用といった実用面を考えた場合、現実的なシステムの制約などから、不正を行う者が一度に大量のアイテムを改ざんすることは考えにくい。従って、上述したCGTとMACを組み合わせることにより、タグの総数を抑えつつ、現実的に起こりうる改ざんに対し、その場所を特定可能なデータベースシステムを構築することが可能となる。なお、通常のMACと同様に、CGTとMACを組み合わせた場合、任意の改ざんに対して、改ざんがあったという事実を検出可能という性質は変わらない。
なお、非特許文献5[CJS09]に記載のCorruption-localizing hashのように、鍵のないハッシュ関数をMACの代わりに用いた場合でも、ハッシュ値をメッセージと別の安全な場所に保存するという前提のもとでは同様の効果が望める。また改ざんされたアイテムの特定にいたらなくとも、改ざんされた範囲を絞ることは一般に可能である。
次にテスト行列の構成方法について述べる。mアイテムに対して高々d個の改ざんを効率よく特定したい場合、テスト行列がd-disjunctという性質を満たせばよいということが知られている。
具体的には、t行m列2値行列Hがd-disjunctであるとは、Hの任意のd列のブール和(ビットごとの論理和)をXとしたときに、残りのm-d列のどの1列もXに含まれないことを指す。
これはすなわちXで1が立つ行インデックス集合をI(S)とすれば、残りのm-d列から選んだ任意の1列Yについて、I(Y)がI(X)の部分集合でないことを指す。
所与のd,mについてd-disjunct行列の最小の行数(すなわち高々dアイテムの改ざんを特定可能な最小のテスト数)t_min (d,m)については、
(式1)t_min(d,m)=O(d log m)
であることが知られている。これを達成する方法はd=1ではよく知られており、ハミング符号のパリティ検査行列などから構成可能である。
例えば、上述の[例1]はm=7でのそのような例であり、対応する1-disjunct行列は、
(式2)
[1 1 1 1 0 0 0]
[1 1 0 0 1 1 0]
[1 0 1 0 1 0 1]
となる。
一方d>1での構成方法は、いくつか知られているが、一般に最適な方式は構築が難しいことが知られている。例えばO(d log m)を一般に達成する方式として非特許文献6[PR08]が知られているが、オーダでなく定数まで含めた実際の効率は不明である。また、mに対してある程度大きいdについては非自明な(すなわち単位行列でない)d-disjunct行列の構築は理論上不可能であることが知られている。
その他、特許文献1に、改ざんの有無だけではなく改ざんされた位置に関する情報を得ることができるというメッセージ認証コード(MAC)のタグリスト生成装置が開示されている。同文献によると、このタグリスト生成装置は、m個(mは正の整数)のアイテムM[1]・・・[m]から構成されるメッセージを入力するメッセージ入力部と、グループテスト行列生成部と、タグリスト生成部を備える。そして、グループテスト行列生成部は、生成するメッセージ認証コードのタグ数s(sは正の整数)について、組み合わせグループテストを定めるs行m列のグループテスト行列を生成する。また、タグリスト生成部は、前記グループテスト行列と、可変長入力固定長出力の擬似ランダム関数と、固定長入出力のTweak付き擬似ランダム関数と、を用いて、前記メッセージに関するs個のタグからなるタグリストを生成する。そして、前記タグリスト生成部は、前記メッセージをなすm個のアイテムM[1]・・・M[m]それぞれに関するタグの計算を、途中の計算結果を共有しつつ並行に行う、と記載されている。
特許文献2には、効率的に帯域増加を防止することができるという認証付暗号化装置の一例が開示されている。また、同文献には、過去に生成した値とは異なるnビットの初期ベクトルN(固定長値、nonce)を生成する初期ベクトル生成手段(固定長値生成部)を備える構成が開示されている(特許文献2の図1参照)。
特許文献3には、認証タグ生成の計算量の増大を抑えることのできるという認証タグ生成装置が開示されている。同文献によると、この認証タグ生成装置は、入力したメッセージを該メッセージに関する組み合わせグループテストを表すグループテスト行列にしたがって分割した部分系列の各アイテムに対して、ハッシュ関数を演算する。そして、認証タグ生成装置は、各ハッシュ値をコンバイナで結合演算した値から、前記部分系列の認証タグを生成する。そして、前記認証タグ生成装置のコンバイナでは、空系列のアイテムのハッシュ値を演算の単位元として前記各ハッシュ値を結合演算する。
また、非特許文献7[HS18]は、集約ノードAがd-disjunct行列に従ってタグの部分和を複数求めて送信することを提案する文献である。また、非特許文献8[BGR95]は、タグ生成に用いるMAC関数を提案する文献である。また、非特許文献9[M96]は、d-disjunct行列を構築する方法を紹介している文献である。
また、非特許文献10~12は、AES(Advanced Encryption Standard)などのブロック暗号を用いたブロック暗号利用モードを持つTweakableブロック暗号の例である。
特開2017-73716号公報 国際公開第2016/067524号 国際公開第2018/193507号
[CMAC],SP 800-38B, "Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication",(May 2005). [HMAC],M. Bellare, R. Canetti, H. Krawczyk, "Keying hash functions for message authentication", CRYPTO 1996, pp.1-15, Springer, Heidelberg (1996). [GAT05],Michael T. Goodrich, Mikhail J. Atallah, Roberto Tamassia, "Indexing Information for Data Forensics",Applied Cryptography and Network Security, Third International Conference, ACNS 2005, New York, NY, USA, June 7-10, 2005, Proceedings. 2005 Lecture Notes in Computer Science ISBN 3-540-26223-7, pp. 206-221. [Min15],Kazuhiko Minematsu, "Efficient Message Authentication Codes with Combinatorial Group Testing", ESORICS 2015. Lecture Notes in Computer Science, vol 9326. ISBN 978-3-319-24174-6. [CJS09],Giovanni Di Crescenzo, Shaoquan Jiang, Reihaneh Safavi-Naini, "Corruption-Localizing Hashing",Computer Security - ESORICS 2009, 14th European Symposium on Research in Computer Security, Saint-Malo, France, September 21-23, 2009. Proceedings. Springer 2009 Lecture Notes in Computer Science ISBN 978-3-642-04443-4, pp. 489-504. [PR08],Ely Porat, Amir Rothschild、 "Explicit Non-adaptive Combinatorial Group Testing Schemes" ICALP (1) 2008: 748-759. [HS18],Shoichi Hirose and Junji Shikata, "Non-adaptive Group-Testing Aggregate MAC Scheme",ISPEC 2018, IACR ePrint 2018/448., インターネット〈URL:https://eprint.iacr.org/2018/448〉 [BGR95],Mihir Bellare, Roch Guerin and Phillip Rogaway, "XOR MACs: New Methods for Message Authentication Using Finite Pseudorandom Functions", CRYPTO ’95. [M96],Anthony Macula, "A simple construction of d-disjunct matrices with certain constant weights", Discrete Mathematics 162 (1996) page 311-312. [LRW],Moses Liskov and Ronald L. Rivest and David A. Wagner, "Tweakable Block Ciphers", CRYPTO 2002, Lecture Notes in Computer Science 2442, Springer 2002. [XEX],Phillip Rogaway, "Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC", ASIACRYPT 2004, LNCS 3329, Springer 2004. [SKINNY],Christof Beierle andJeremy Jean and Stefan Kolbl and Gregor Leander and Amir Moradi and Thomas Peyrin and Yu Sasaki and Pascal Sasdrich and Siang Meng Sim, "The SKINNY Family of Block Ciphers and Its Low-Latency Variant MANTIS", CRYPTO 2016, LNCS 9815, Springer 2016.
以下の分析は、本発明によって与えられたものである。本発明の第1の課題は、改ざんの有無だけでなく改ざんされた位置に関して情報を得られるようなメッセージ認証を、非特許文献3[GAT05]、非特許文献4[Min15]等の手法よりもさらに効率よく構築することである。
具体的には、非特許文献3[GAT05]、非特許文献4[Min15]等の手法では、非適応組み合わせグループテスト(NCGT)の理論から、タグ生成に用いるテスト行列を直接構成している。典型的には、非特許文献3[GAT05]、非特許文献4[Min15]等の手法では、d-disjunct行列によりテスト行列を構成するため、d-disjunct行列を構成困難なパラメータ(d,およびアイテム数m,テスト数t)については効果的な手法を実現できない、という問題点がある。
一方、背景技術で述べたように、d=1の場合の最適な行列構成方法はよく知られているが、d>1の場合の最適な構成方法は知られておらず、また、dがある程度大きくなると、そもそも非自明な、すなわちt<mであるようなd-disjuct行列が存在しないことも知られている。
本発明の目的は、改ざんの有無だけでなく改ざんされた位置に関して情報を得られるようなメッセージ認証のさらなる効率化に貢献できるMACタグリスト生成装置、MACタグリスト検証装置、MACタグリスト生成方法、MACタグリスト検証方法及びプログラムを提供することを目的とする。
第1の視点によれば、メッセージ認証コード(MAC)の対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージ M=(M[1],...,M[m])を入力するメッセージ入力部と、生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するためのグループテスト行列生成部と、復号可能な線形グループテストMAC適用部と、前記復号可能な線形グループテストMAC適用部により生成されたMACタグリストを出力するMACタグリスト出力部と、を備えるMACタグリスト生成装置が提供される。そして、復号可能な線形グループテストMAC適用部は、前記メッセージMについて、前記グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fと、前記グループテスト行列Hの行インデックスをTweakとしたTweakableブロック暗号Gを用いて、前記グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、前記擬似ランダム関数Fに前記M[j]と前記インデックスjとを入力し、得られた前記擬似ランダム関数Fの出力のすべての和をとり、i番目の中間タグS[i]とし、前記iをTweakとしたTweakableブロック暗号GのTweakable暗号化関数で前記中間タグS[i]を暗号化して得られた出力を、i(i=1,...,t)番目のテストに対応するタグT[i]とする処理を、すべての=1,...,tについて行い、MACタグリストT=(T[1],...,T[t])を生成する。
第2の視点によれば、メッセージ認証コード(MAC)を用いたMACタグリスト検証の対象となるm個のアイテムからなるメッセージM=(M[1],...,M[m])と、t個のMACのリストであるMACタグリストT=(T[1],...,T[t])とを入力するメッセージ入力部と、t行m列のグループテスト行列Hを生成するとともに、複数の2値グループテスト行列Hの行インデックスの部分集合であるテスト行列拡大ルールRを出力するグループテスト行列生成および拡大部と、MACタグリストT=(T[1],...,T[t])の要素T[i]を、iをTweakとしたTweakableブロック暗号Gの復号関数で復号した結果を中間タグS[i]とする処理をすべてのi=1,...,tについて行い中間タグリストS=(S[1],...,S[t])を得るタグ復号部と、復号可能な線形グループテスト中間タグ生成部と、中間タグリスト拡大部と、中間タグリスト検証部と、前記中間タグリスト検証部が出力する検証結果を出力する検証結果出力部とを備えるMACタグリスト検証装置が提供される。そして、前記復号可能な線形グループテスト中間タグ生成部は、前記グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fとを用いて、i(i=1,...,t)番目のテストに対応する検証用中間タグS[i]の生成を、前記グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、前記擬似ランダム関数Fに、M[j]とインデックスjとを入力し、得られたFの出力のすべての和をとり、i番目の検証用中間タグS[i]とする処理を、すべての=1,...,tについて行い、検証用中間タグリストS=(S[1],...,S[t])を生成する。前記中間タグリスト拡大部は、前記中間タグリストSと、前記検証用中間タグリストSと、テスト行列拡大ルールRと、を用いて、前記テスト行列拡大ルールRが指定する行インデックスの部分集合に対応してSとSをそれぞれで線形結合を行い、拡大中間タグリストexS、検証用拡大中間タグリストexSを出力する。そして、前記中間タグリスト検証部は、前記拡大中間タグリストexSと前記検証用拡大中間タグリストexSとを比較してメッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力する。
第3の視点によれば、メッセージ認証コード(MAC)の対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージ M=(M[1],...,M[m])を入力するステップと、生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するステップと、前記メッセージMについて、前記グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fと、前記グループテスト行列Hの行インデックスをTweakとしたTweakableブロック暗号Gを用いて、前記2値グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、前記擬似ランダム関数Fに前記M[j]と前記インデックスjとを入力し、得られた前記擬似ランダム関数Fの出力のすべての和をとり、i番目の中間タグS[i]とし、前記iをTweakとしたTweakableブロック暗号GのTweakable暗号化関数で前記中間タグS[i]を暗号化して得られた出力を、i(i=1,...,t)番目のテストに対応するタグT[i]とする処理を、すべての=1,...,tについて行いMACタグリストT=(T[1],...,T[t])を生成するステップと、前記復号可能な線形グループテストMAC適用手段が求めたMACタグリストを出力するステップと、を含むMACタグリスト生成方法が提供される。本方法は、上記したメッセージMを入力として、MACタグリストを出力するコンピュータという、特定の機械に結びつけられている。
第4の視点によれば、メッセージ認証コード(MAC)を用いたMACタグリスト検証の対象となるm個のアイテムからなるメッセージM=(M[1],...,M[m])と、t個のMACのリストであるMACタグリストT=(T[1],...,T[t])とを入力するステップと、t行m列のグループテスト行列Hを生成するとともに、複数の2値グループテスト行列Hの行インデックスの部分集合であるテスト行列拡大ルールRを出力するステップと、MACタグリストT=(T[1],...,T[t])の要素T[i]を、iをTweakとしたTweakableブロック暗号Gの復号関数で復号した結果を中間タグS[i]とする処理をすべてのi=1,...,tについて行い中間タグリストS=(S[1],...,S[t])を得るステップと、前記メッセージMについて、前記グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fとを用いて、i(i=1,...,t)番目のテストに対応する検証用中間タグS[i]の生成を、前記グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、前記擬似ランダム関数Fに、M[j]とインデックスjとを入力し、得られたFの出力のすべての和をとり、i番目の検証用中間タグS[i]とする処理を、すべてのj=1,...,tについて行い、検証用中間タグリストS=(S[1],...,S[t])を生成するステップと、前記中間タグリストSと、前記検証用中間タグリストSと、テスト行列拡大ルールRと、を用いて、前記テスト行列拡大ルールRが指定する行インデックスの部分集合に対応してSとSをそれぞれで線形結合を行い、拡大中間タグリストexS、検証用拡大中間タグリストexSを出力するステップと、前記拡大中間タグリストexSと前記検証用拡大中間タグリストexSとを比較してメッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力するステップと、前記中間タグリスト検証手段が出力する検証結果を出力するステップと、を含むMACタグリスト検証方法が提供される。本方法は、上記したメッセージM及びMACタグリストTを入力として、検証結果を出力するコンピュータという、特定の機械に結びつけられている。
第5の視点によれば、上記したMACタグリスト生成装置及びMACタグリスト検証装置の機能を実現するためのコンピュータプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジトリーな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、改ざんの有無だけでなく改ざんされた位置に関して情報を得られるようなメッセージ認証のさらなる効率化を達成することが可能となる。
本発明の第1の実施形態のMACタグリスト生成装置の構成を示す図である。 本発明の第1の実施形態のMACタグリスト生成装置の動作を表したフローチャートである。 本発明の第1の実施形態のMACタグリスト生成装置の各部のデータの流れを示す図である。 本発明の第2の実施形態のMACタグリスト検証装置の構成を示す図である。 本発明の第2の実施形態のMACタグリスト検証装置の動作を表したフローチャートである。 本発明の第2の実施形態のMACタグリスト検証装置の各部のデータの流れを示す図である。 本発明の第1、第2の実施形態の構成をストレージシステムに適用した例を示す図である。 可変長入力の擬似ランダム関数FとTweakableブロック暗号Gを用いたMAC関数の一例を示した図である。 m=4アイテム、t=3テストのMACタグリストを生成する構成の一例を示す図である。 m=4アイテム、t=3テストのMACタグリストを検証する構成の一例を示す図である。 本発明を実施可能なコンピュータの構成を示す図である。
[第1の実施形態]
続いて、本発明の第1の実施形態のMACタグリスト生成装置について図面を参照して詳細に説明する。以下、特に断りのない限り、1ブロックの長さをnビットとする。
図1は、本発明の第1の実施形態のMACタグリスト生成装置の構成を示す図である。図1を参照すると、メッセージ入力部101と、グループテスト行列生成部102と、復号可能な線形グループテストMAC適用部103と、MACタグリスト出力部104と、を備えたMACタグリスト生成装置10が示されている。
メッセージ入力部101は、対象となるメッセージMを入力する手段である。このようなメッセージ入力部101は、例えばキーボードなどの文字入力装置や他の装置からデータを受信する通信インタフェースにより実現できる。
以下の説明では、メッセージMがm個の個別のアイテムM[1],...,M[m]より構成されているものとする。それぞれのアイテムは長さが異なってよいし、値が同じものがあってもよい。例えば、それぞれのアイテムは、ハードディスクの1セクタの内容であったり、データベースの1エントリであったり、あるいは文章情報の1キャラクタであってもよい。
グループテスト行列生成部102は、改ざん位置特定のための組み合わせグループテストを生成する。具体的には、グループテスト行列生成部102は、テストの数(すなわちMACの数)tと、特定可能な改ざんアイテムの数の最大値dに応じて、t行m列の2値行列Hを生成する。この行列Hの構成は任意であるが、例えば既存のd-disjunct行列DのGF(2)基底とすることが可能である。すなわち、行列Hは、d-disjunct行列Dの線形独立な行ベクトル全体からなる行列、あるいは、線形独立な行ベクトル全体へ行基本操作(行同士の和)を行って得られる行列ということができる。
[例2]
一例として、以下の行列を考える。
[1 1 0 0]
[1 0 1 0]
[0 1 1 0]
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]
上記[例2]は、6行4列の行列であり、2-disjunctである。6>4であるためテスト行列としては不適格、すなわち自明な、アイテムごとにタグをとる方式のほうが4つのタグで済むため優れている。しかしながら、上記行列のGF(2)基底は、
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]
となるため、3つのタグで2アイテムの特定が可能となる。
なお、m=4,d=2 のときは非自明(行数<列数となる)な2-disjunct行列は存在しないことが知られているため、非特許文献3[GAT05]、非特許文献4[Min15]、非特許文献7[HS18]では意味のある方式構築は不可能である。
復号可能な線形グループテストMAC適用部103は、メッセージM=(M[1],...,M[m])について、t行m列グループテスト行列Hが指定する方法でt個のMACタグを生成する。
MACタグの生成には可変長入力固定長出力の擬似ランダム関数(pseudorandom function,PRF)Fと、Tweakableブロック暗号(Tweakable block cipher, TBC)Gを用いる。このTweakableブロック暗号Gは、行列Hの行インデックスをTweakとしたTweakableブロック暗号である。
上記擬似ランダム関数Fは、AESなどの標準的なブロック暗号やSHA-2などのハッシュ関数を用いて構成される疑似ランダム関数、例えば、CMACやHMACとすることも可能である(非特許文献1、2参照)。
また、Tweakableブロック暗号GもAESなどのブロック暗号を用いたブロック暗号利用モード(例えば、非特許文献10[LRW]のLRWモードや、非特許文献11[XEX]のXEXモード)を用いることが可能である。また、Tweakableブロック暗号Gとして、専用設計のTweakableブロック暗号(例えば、非特許文献12[SKINNY])のSKINNYなどを用いることも可能である。
以下の説明では、簡単のため、擬似ランダム関数Fの出力長及びTweakableブロック暗号Gのブロック長は等しいものとする。但し、擬似ランダム関数Fの出力長及びTweakableブロック暗号Gのブロック長が異なる場合は、擬似ランダム関数F、Tweakableブロック暗号Gの出力へ適宜パディングや短縮を用いて長さを合わせることができる。また、擬似ランダム関数FとTweakableブロック暗号Gとは異なる鍵を用いた異なる暗号プリミティブであってもよいし、適当な鍵生成関数やブロック暗号利用モードを用いて、同一のブロック暗号で同一の鍵を用いて生成してもよい。
図8は、行列Hのi番目の行ベクトルH[i]がi番目のテストでどのアイテムをMACタグ計算に含めるかを示す。具体的には、H[i]で1が立つすべてののインデックスjについて、M[j]とjを連結してFに入力し、F(M[j],j)を得る。各jについてすべてのF(M[j],j)の和(例えば排他的論理和)をとる。さらにこのすべてのF(M[j],j)の和と、iとをGへ入力して得られた値をi番目のテストに対応するMAC値T[i]とする。
復号可能な線形グループテストMAC適用部103は、上記の計算をすべてのi=1,...,tについて行い、MACタグリストT=(T[1],...,T[t])を生成する。
ここで、各MACタグの計算は、テストごとに個別に行うのではなく、非特許文献4[Min15]と同様に、途中の計算結果を共有しつつ並列に行うことで、大幅に効率よく計算することも可能である(図8、9参照)。図9は、m=4アイテム、t=3テストでのMACタグリストの生成の例を示している。図9の例では、破線で囲った部分を計算することで、3つのタグからなるタグリストを計算することが可能となっている。
上記した復号可能な線形グループテストMACは、Fが擬似ランダム関数であり、Gが安全なTweakableブロック暗号(Tweakable疑似ランダム置換)であれば、任意のメッセージについてMACタグを攻撃者が予測することは困難である。したがってMACタグの改ざんも困難とある。
MACタグリスト出力部104は、復号可能な線形グループテストMAC適用部103が出力するMACタグリストを、コンピュータディスプレイやプリンターなどへ出力する。
以上のようなMACタグリスト生成装置10はCPUとメモリとディスクにより実現可能である。MACタグリスト生成装置の各処理ユニットは、プログラムをディスクに格納しておき、このプログラムをCPU上で動作させることにより実現することができる(図11参照)。
続いて、図2のフローチャートを参照して、第1の実施形態の全体の動作について詳細に説明する。まず、メッセージ入力部101が、対象となるm個のアイテムからなるメッセージMを入力する(図2のステップ1)。
次に、グループテスト行列生成部102が、t行m列の2値行列であるグループテスト行列Hを生成する(図2のステップ2)。
次に、復号可能な線形グループテストMAC適用部103が、グループテスト行列Hを参照して、t個のMACタグからなるMACタグリストTを生成する(図2のステップ3)。具体的には、前記t個のMACタグは、擬似ランダム関数FとTweakableブロック暗号Gとを用いた復号可能な線形グループテストMACをMへ適用して生成される。
最後に、MACタグリスト出力部104が得られたMACタグリストTを出力する(図2のステップ4)。
上記のように動作するMACタグリスト生成装置10は、以下のように要約することができる。以下、図3を参照して説明する。
メッセージ入力部101は、MACの対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージを入力する。
グループテスト行列生成部102は、生成するMACの数sについて、組み合わせグループテストのパラメータであるt行m列の2値グループテスト行列Hを生成する。
前記メッセージM及び2値グループテスト行列Hは、復号可能な線形グループテストMAC適用部103に入力される。
復号可能な線形グループテストMAC適用部103は、メッセージMについて、グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fと、Tweakableブロック暗号Gと、を用いて、i(i=1,...,t)番目のテストに対応するタグT[i]を生成する。具体的には、復号可能な線形グループテストMAC適用部103は、グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、M[j]とインデックスjを擬似ランダム関数Fに入力する。そして、復号可能な線形グループテストMAC適用部103は、擬似ランダム関数Fに入力して得られた出力すべての和をとり、i番目の中間タグS[i]とする。さらに、復号可能な線形グループテストMAC適用部103は、iをTweakとしたTweakable暗号化関数Gで中間タグS[i]を暗号化し、得られた出力をタグT[i]とする。復号可能な線形グループテストMAC適用部103は、すべての=1,...,tについて、上記MACタグT[i]の計算を行うことで、MACタグリストT=(T[1],...,T[t])を生成する(図8、9参照)。
そして、MACタグリスト出力部104は、復号可能な線形グループテストMAC適用部が求めたMACタグリストTを出力する。
以上のような、第1の実施形態の効果は、第2の実施形態のMACタグリスト検証装置と合わせて説明する。
[第2の実施形態]
続いて、本発明の第2の実施形態として、本発明の第1の実施形態と対をなすMACタグリスト検証装置について図面を参照して詳細に説明する。図4は、第2の実施形態のMACタグリスト検証装置の構成を示すブロック図である。図4を参照すると、メッセージ入力部201と、グループテスト行列生成および拡大部202と、タグ復号部203と、復号可能な線形グループテスト中間タグ生成部204と、中間タグリスト拡大部205と、中間タグリスト検証部206と、検証結果出力部207と、を備えた構成が示されている。
メッセージ入力部201は、対象となるメッセージMと、第1の実施形態のMACタグリスト生成装置10の出力するMACタグリストTとを入力する手段である。このようなメッセージ入力部201は、例えばキーボードなどの文字入力装置や他の装置からデータを受信する通信インタフェースにより実現できる。
第1の実施形態と同じく、ここでは、メッセージMがm個の個別のアイテムM=(M[1],...,M[m])より構成されているものとする。
グループテスト行列生成および拡大部202は、第1の実施形態のMACタグリスト生成装置10のグループテスト行列生成部102が生成するものと同じ行列Hと、テスト行列拡大ルールRを生成する。テスト行列拡大ルールRは、行列Hを基底とした、より行数の多い行列を生成するために必要となるルールである。具体的には、テスト行列拡大ルールRは、行列Hの行インデックスの部分集合である、v個(但し、v>t)の要素で構成されている。
タグ復号部203は、MACタグリストT=(T[1],...,T[t])をそれぞれTweakableブロック暗号Gの復号関数で復号し、中間タグS[i]=G-1(i,T[1])を得て、中間タグリストS=(S[1],...,S[t])を出力する。なお、以下、Tweakableブロック暗号 Gによる、Tweakをi、平文をMとした暗号化処理をG(i,M)と表記し、Tweakをi、暗号文をCとした復号処理をG-1(i, )と表記する。
復号可能な線形グループテスト中間タグ生成手段204は、第1の実施形態における復号可能な線形グループテストMAC適用手段103からGによる暗号化の処理を省いた処理をメッセージM、テスト行列Hについて行い、検証用中間タグリストS=(S[1],...,S[t])として出力する。
中間タグリスト拡大部205は、テスト行列拡大ルールRに従って、検証用MACタグリストSの要素を線形結合し、拡大することで検証用拡大MACタグリストexSを生成する。
ここで、テスト行列拡大ルールRは、v(但し、v>t)個の要素R[1],...,R[v]からなり、各R[i]は{1,...,t}の部分集合である。
このとき、検証用拡大MACタグリストはexS=(exS[1],...,exS[v])と表され、例えばR[1]={1,2,4}であれば、exS[1]=S[1]+S[2]+S[4]となる。
中間タグリスト拡大部205は、メッセージ入力部201から入力されたMACタグリストTの要素も同様にテスト行列拡大ルールRに従って線形結合し、拡大することで拡大MACタグリストexS=(exS[1],...,exS[v])を生成する。そして、中間タグリスト拡大部205は、中間タグリスト検証部206に、拡大MACタグリストexSと検証用拡大MACタグリストexSとを出力する。
中間タグリスト検証部206は、検証用拡大MACタグリストexSと、拡大MACタグリストexSとを、グループテスト行列Hおよびテスト行列拡大ルールRを用いて比較することで、メッセージMを検証する。具体的には、中間タグリスト検証部206は、検証用拡大MACタグリストexSと、拡大MACタグリストexSとの比較により、メッセージMに対する改ざんの有無を判定する。さらに、中間タグリスト検証部206は、改ざんがあったと判定した場合、改ざんされたアイテムを特定し、検証結果出力部207に、そのインデックスを出力する。
ここで、中間タグリスト検証部206によるメッセージ検証動作の仕組みについて説明する。
まず、グループテスト行列Hをテスト行列拡大ルールRにより拡大した行列、すなわちR=(R[1],...,R[v])について、R[i]が指定する行列Hの行の線形結合をi行目とするv(v>t)行m列行列を拡大テスト行列exHとする。
ここで、拡大テスト行列exHのi行目をexH[i]とすると、
(式3)
exH[i]=XOR_{i:i∈R[i]}H[i]
となる(XOR_Sは集合Sに含まれるものすべてについての排他的論理和)。なお、グループテスト行列Hそのものもテストとして用いることが自然であり、その場合、exHはHを含む。
これは例えば、R[i]={i} for t=1,…,tとして実現することが可能である。
このとき、exS=(exS[1],...,exS[v])とexS=(exS[1],...,exS[v])について、両者のエントリごとの差をとる。そして、差がゼロのケースを0、非ゼロとなるケースを1とした2値ベクトルB=(B[1],...,B[v])を作り、Bに対し、拡大テスト行列exHを用いた所定の手続きに基づき結果を出力する。
具体的には、Bのエントリがすべて0であった場合、中間タグリスト検証部206は改ざんがないと判定し、それ以外の場合は全体において、少なくとも一つのアイテムに改ざんがあると判定し、改ざんされたアイテムの特定を行う。より具体的には、中間タグリスト検証部206は、B[i]=0となるすべてのi=1,...,vについて、exHのi行目ベクトルV=(V[1],...,V[m])をとりだし、V[j]=1となるすべてのj=1,...,mについてM[j]を改ざんなしと判定する。
中間タグリスト検証部206は、以上の処理を行い、改ざんなしと判定されなかったアイテムすべてを改ざんありと判定し、そのインデックスすべてを出力する。改ざんがない場合にはどのインデックスも出力されない。
グループテストにおいて、この手続きは拡大テスト行列exHをテスト行列とした場合のナイーブデコーダ(naive decoder)と呼ばれる処理に相当する。
拡大テスト行列exHがd-disjunctであれば、上記の手続きにより、改ざんされたアイテムの数がd以下の場合、すべての改ざんされたアイテムを特定することが可能である。
また、非特許文献5[CJS09]に記載のように、改ざんなしと判定されたアイテムが実際は改ざんされていたということは起きないため、所望のdについてd-disjunctでない場合であっても、一般に、改ざんの可能性がある範囲を狭めることができるという効果がある。
検証結果出力部207は、中間タグリスト検証部206の出力する、改ざんされたアイテムのインデックスの情報をコンピュータディスプレイやプリンターなどへ出力する。
以上のようなMACタグリスト検証装置20はCPUとメモリとディスクにより実現可能である。MACタグリスト生成装置の各処理ユニットは、プログラムをディスクに格納しておき、このプログラムをCPU上で動作させることにより実現することができる(図11参照)。
続いて、図5のフローチャートを参照して、第2の実施形態の全体の動作について詳細に説明する。まず、メッセージ入力部201が、対象となるm個のアイテムからなるメッセージMと、MACタグリストTとを入力する(図5のステップ101)。
次に、グループテスト行列生成および拡大部202が、t行m列の2値行列であるグループテスト行列Hとテスト行列拡大ルールRを生成する(図5のステップ102)。
次に、タグ復号部203が、MACタグリストTの各タグT[1],...,T[t]をTweakableブロック暗号Gの復号関数で復号し、中間タグS[1],...,S[t]を得て、中間タグリストS=(S[1],...,S[t])を作成する(図5のステップ103)。
次に、復号可能な線形グループテスト中間タグ生成部204が、グループテスト行列Hを参照して、メッセージMに対して、擬似ランダム関数Fを用いた線形グループテストMACの中間タグ生成を行い、検証用中間タグリストS=(S[1],...,S[t])を生成する(図5のステップ104)。
次に、中間タグリスト拡大部205が、MACタグリストSと検証用MACタグリストSとの双方をテスト行列拡大ルールRに従って線形結合をとることで拡大し、それぞれ拡大MACタグリストexSと検証用拡大MACタグリストexSを生成する(図5のステップ105)。
次に、中間タグリスト検証部206が、拡大中間タグリストexSと検証用拡大中間タグリストexSの要素ごとの比較結果と、テスト行列Hの行を拡大ルールRに従って拡大した拡大テスト行列exHとを用いて、メッセージM中の改ざんされたアイテムのインデックス集合を出力する(図5のステップ106)。
最後に、検証結果出力部207は、検証結果として、中間タグリスト検証部206にて検出された改ざんされたアイテムのインデックス集合を出力する(図5のステップ107)。
上記のように動作するMACタグリスト検証装置20は、以下のように要約することができる。以下、図6を参照して説明する。
メッセージ入力部201は、MACタグリスト検証の対象となる、m個のアイテムからなるメッセージM=(M[1],...,M[m])とt個のMACのリストであるMACタグリストT=(T[1],...,T[t])を入力する。
グループテスト行列生成および拡大部202は、t行m列の2値グループテスト行列Hを生成する。さらに、グループテスト行列生成および拡大部202は、グループテスト行列Hの行インデックスの部分集合である、v個(但し、v>t)の要素R[i]で構成されたテスト行列拡大ルールRを出力する。
タグ復号部203は、MACタグリストT=(T[1],...,T[t])の要素T[i]を、iをTweakとしたTweakableブロック暗号Gの復号関数で復号した結果を中間タグS[i]とする。タグ復号部203は、すべてのi=1,...,tについて中間タグS[i]の計算を行い、中間タグリストS=(S[1],...,S[t])を得る。
復号可能な線形グループテスト中間タグ生成部204は、メッセージMについて、グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fを用いて、i(i=1,...,t)番目のテストに対応する検証用中間タグS[i]を生成する。具体的には、復号可能な線形グループテスト中間タグ生成部204は、グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、M[j]とインデックスjを擬似ランダム関数Fに入力し、得られたFの出力のすべての和をとり、i番目の検証用中間タグS[i]とする。復号可能な線形グループテスト中間タグ生成部204は、すべての=1,...,tについて、検証用中間タグS[i]の計算を行い、検証用中間タグリストS=(S[1],...,S[t])を生成する。
中間タグリスト拡大部205は、中間タグリストSと検証用中間タグリストSとテスト行列拡大ルールRとを用いて、Rが指定する行インデックスの部分集合に対応してSとSをそれぞれで線形結合を行い、拡大中間タグリストexS、検証用拡大中間タグリストexSを出力する。
中間タグリスト検証部206は、拡大中間タグリストexSと検証用拡大中間タグリストexSとを比較して、メッセージMの中の各アイテムの検証および改ざん位置の特定を行い、検証結果として出力する。
そして、検証結果出力部207は、中間タグリスト検証部206から出力された検証結果を出力する。
以上のような、第1、第2の実施形態によれば、組み合わせグループテストを用いて改ざん位置を特定するメッセージ認証において、非特許文献3[GAT05]、非特許文献4[Min15]などの手法よりもタグの数を削減できるという効果が奏出される。その理由は、非特許文献3[GAT05]、非特許文献4[Min15]ではt行m列テスト行列に従って生成したt個のタグのみを改ざん特定に用いていたのに対して、第1、第2の実施形態では、タグの線形結合も改ざん特定に用いるように構成したことにある。従来技術ではタグが入力メッセージについて疑似ランダム関数を適用した出力となっているために、タグの線形結合は何の有用な情報ももたらさない。
また、非特許文献3[GAT05]、非特許文献4[Min15]では、タグが入力メッセージについて疑似ランダム関数を適用した出力となっているために、タグの線形結合は何の有用な情報ももたらさない。一方、第1、第2の実施形態では、復号可能なTweakableブロック暗号によって中間タグの値を暗号化してタグを生成することにより、タグを復号して得られる中間タグがある種の線形性を持っており、これにより中間タグどうしの和を新たなテストとして用いることが可能である。
例えば第1の実施形態において、Tweakableブロック暗号Gによる、Tweakをi、平文をMとした暗号化処理をG(i, M)と表記し、Tweakをi、暗号文をCとした復号処理をG-1(i, M)と表記する。このときG-1(i,G(i,M))=Mが任意のiとMで成立する。
Tweakableブロック暗号は非特許文献10[LRW]で定義されている。Tweakableブロック暗号は通常のブロック暗号の入出力(平文M,鍵K,暗号文C)に加えて、Tweakと呼ばれる付加的情報tを持つ。鍵とtweakの対を指定することで暗号化と復号が可能となる。tweakは鍵とは異なり公開可能な値である。
次に、第1の実施形態において、Hの1行目が(1100...0)と2行目が(01100...0)であったとすると、対応するタグは、
T[1]=G(1,S[1]),S[1]=F(M[1],1)+F(M[2],2)
T[2]=G(2,S[2]),S[2]=F(M[2],2)+F(M[3],3)
となる(+はビットごとの排他的論理和を表す)。
ここで排他的論理和の性質により
S[1]+S[2]=F(M[1],1)+F(M[3],3)
となるため、中間タグの和S[1]+S[2]は(M[1],M[3])に改ざんがあるかどうかを検証する(実質的な)タグとして機能する。
これはT[1],T[2]のみを用いた改ざん同定では得られない情報である。例えば T[1]とT[2]のみを用いた通常の検証では、T[1],T[2]ともに検証NGとなり、M[2]が改ざんされたのか、あるいはM[1]とM[3]が改ざんされたのかの二つの可能性が残されている場合、これ以上の切り分けは不可能である。一方、本実施形態では、S[3]=S[1]+S[2]を求め、もしS[3]の検証がOKであった場合にはM[2]が改ざんされたと特定できることになる。
具体的な手続きとしては、検証者は(M,T)を受信したのち、タグリストT=(T[1],T[2])の各要素をそれぞれG-1で以下のように復号し、中間タグリストS=(S[1],S[2])を得る:
S[1]=G-1(1,T[1])
S[2]=G-1(2,T[2])
併せて、受信したメッセージM=(M[1],M[2],M[3])から検証用中間タグリストS=(S[1],S[2])を得る:
[1]=F(M[1],1)+F(M[2],2)
[2]=F(M[2],2)+F(M[3],3)
そして、新たな中間タグS[3]、検証用中間タグS[3]の値を求める:
S[3]=S[1]+S[2]
[3]=S[1]+S[2]
これによりS[1]と S[1],S[2]とS[2]、そしてS[3]とS[3]のそれぞれの比較が可能となる。
また、テスト行列拡大ルールRは、どのタグの和をとるかを指示するものであり、グループテスト行列Hの行インデックスの部分集合を要素とした集合である。上の例ではテスト行列拡大ルールRの要素として集合{1,2}があることに相当する。
より一般的には、非特許文献3[GAT05]、非特許文献4[Min15]に記載のグループテスト行列Hを用いるならば、第1、第2の実施形態ではグループテスト行列HのGF(2)基底H_b(basis over GF(2))を用いることができる。
H_bの行数はもとのグループテスト行列Hの線形独立な行の数(すなわち行列のランク)であり、最悪でも元の行数と一致するため、行数の削減(すなわち送信するタグリストの要素数の削減)が期待できる。
また、実質的に、グループテスト行列HのGF(2)基底H_bからグループテスト行列Hと同じテストが実行可能であるため、改ざんアイテムの特定能力は、グループテスト行列Hを用いる非特許文献3[GAT05]、非特許文献4[Min15]等の方式と同等である。
なお、第1、第2の実施形態で用いるタグ生成の関数は、非特許文献8[BGR95]に記載のXOR-MACの変種と捉えることができる。ただし、非特許文献8[BGR95]は単体のMAC関数の提案であり、グループテストの利用や改ざんアイテムの特定に関する記載はない。
以上のような第1、第2の実施形態の構成は、図7に示すようなストレージシステムに好適に適用することができる。即ち、大規模ストレージ(Large Storage(DB))に格納されたメッセージMについて、復号可能な線形グループテストMAC適用部(Linear Deterministic CGTMAC tagging)にて、MACタグリストの生成を行う構成が、第1の実施形態のMACタグリスト生成装置10に相当する。そして、これらについて、復号可能な線形グループテスト中間タグ生成部(Linear Deterministic CGTMAC intermediate tagging)にて検証用中間タグリストSを作成し、中間タグリストS及び検証用MACタグリストSについてそれぞれテスト行列拡大ルールRを用いて、拡大MACタグリストexS、検証用拡大MACタグリストexSを作成し、改ざんの有無や場所を特定する構成が、第2の実施形態のMACタグリスト検証装置20に相当する。
[第3の実施形態]
続いて、上記した第1、第2の実施形態におけるグループテスト行列Hに変更を加えた第3の実施形態について説明する。
[例2]で示したMaculaの行列を一般的にすると、以下のように生成される。
正の整数a,bについて(a,b)=a!/(a-b)!b!をa個からb個選択する場合の数とし、((a,b))を集合{1,2,...,a}の大きさbの部分集合の全体とする。
このとき、Macula行列はパラメータ(n,k,d)に対して、(n,d)x(n,k)行列であり、適当な順序で列と行のインデックスを((n,d))の要素と((n,k))の要素に対応させたうえで、ある((n,d))の要素Dが((n,k))の要素KについてDがKに含まれるときに、行列の(D,K)エントリを1とし、それ以外を0とするものである。
非特許文献9[M96]に示されているように、Macula行列はd-disjunctである。
[例2]で示した行列の行インデックスを入れ替えて得られる
[1 1 0 0]
[1 0 1 0]
[0 1 1 0]
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]
は、このMacula行列のパラメータ(n=4,k=3,d=2)に相当し、従って2-disjunctである。
このGF(2)基底がテスト行列Hとなる。GF(2)基底は一般に一意ではない。なお、[例2]に従った行インデックスのもとで、拡大テスト行列exH、テスト行列H、拡大ルールRを記述すると以下のようになる。
・拡大テスト行列exH
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]
[1 1 0 0]
[1 0 1 0]
[0 1 1 0]
・テスト行列H
[1 0 0 1]
[0 1 0 1]
[0 0 1 1]
・拡大ルールR
拡大ルールRはテスト行列Hの行の和でexHの行列の各行を表現するので、以下のようになる。
R=(R[1],...,R[6]),
R[1]={1}
R[2]={2}
R[3]={3}
R[4]={1,2}
R[5]={1,3}
R[6]={2,3}
したがって、アイテム数m=4,テスト数t=3で2アイテムの改ざん特定が可能となっている。
このようにパラメータによってMacula行列の行数が列数より大きい、すなわちそのままではd-disjunct行列として無意味なものであっても、[例2]のように、そのGF(2)基底を用いることで、列数より小さいテスト行列を構成することが可能である。
第3の実施形態は、以下のように要約される。上記したMACタグリスト生成装置10のグループテスト行列生成部102及びMACタグリスト検証装置20のグループテスト行列生成および拡大部202は、以下にて規定されるグループテスト行列Hを生成する。
具体的には、t行m列のグループテスト行列Hは、正の整数のパラメータ(n,k,d)を持つMacula行列で構成される。即ち、正の整数a,bについて(a,b)=a!/(a-b)!b!をa個からb個選択する場合の数とし、((a,b))を集合{1,2,...,a}の大きさbの部分集合の全体とする。そして、このグループテスト行列Hは、(n,d)行(n,k)列2値行列であり、適当な順序で列と行のインデックスを((n,d))の要素と((n,k))の要素に対応させたうえで、ある((n,d))の要素Dが((n,k))の要素Kについて、要素Dが要素Kに含まれるときに、行列の(D,K)エントリを1とし、それ以外を0とする、という行列の有限体GF(2)上の基底からなる。
[第4の実施形態]
続いて、上記した第1、第2の実施形態におけるグループテスト行列Hに変更を加えた第4の実施形態について図面を参照して説明する。
第4の実施形態におけるt行m列のグループテスト行列Hは、ある整数rについてm=2-1とし、グループテスト行列Hをテスト行列拡大ルールRで拡大した行列exHが、m+1行m+1列のアダマール行列Had(r)から1行目と1列目を削除し、1と-1からなるエントリのうち、-1を0で置き換えた行列(これをmodHad(r)と表記する)となるものである。
グループテスト行列Hは、modHad(r)の基底となる部分行列(一般に複数存在する)を選べばよく、テスト行列拡大ルールRは、この部分行列の行和でmodHad(r)をなすように選ばれる。このときtはr+1となる。
[例3]例えばr=3であれば、Had(r)は
[1 1 1 1 1 1 1 1]
[1 -1 1 -1 1 -1 1 -1]
[1 1 -1 -1 1 1 -1 -1]
[1 -1 -1 1 1 -1 -1 1]
[1 1 1 1 -1 -1 -1 -1]
[1 -1 1 -1 -1 1 -1 1]
[1 1 -1 -1 -1 -1 1 1]
[1 -1 -1 1 -1 1 1 -1]
となり、
modHad(r)、すなわちexHは
[0 1 0 1 0 1 0]
[1 0 0 1 1 0 0]
[0 0 1 1 0 0 1]
[1 1 1 0 0 0 0]
[0 1 0 0 1 0 1]
[1 0 0 0 0 1 1]
[0 0 1 0 1 1 0]
となる。
グループテスト行列Hは、この基底の一つである
[0 1 0 1 0 1 0]
[1 0 0 1 1 0 0]
[0 0 1 1 0 0 1]
[1 1 1 0 0 0 0]
となり、対応するテスト行列拡大ルールRは({1},{2},{3},{4},{2,3,4},{1,3,4},{1,2,4})となる。
この拡大したテスト行列exHは任意のr>1について2-disjunctであり、従って2アイテム改ざんをr+1=log m+1タグで同定することが可能である。
本実施形態によれば、このようにほぼlog mのテスト数を用いて2アイテムまでの改ざんを同定でき、2-disjunct行列そのものをグループテスト行列Hとして用いる方式よりも大幅に効率が向上されることになる。
第4の実施形態は、以下のように要約される。上記したMACタグリスト生成装置10のグループテスト行列生成部102及びMACタグリスト検証装置20のグループテスト行列生成および拡大部202は、以下にて規定されるグループテスト行列Hを生成する。
ある整数r>1についてm=2-1,t=rを満たし、m+1行m+1列のアダマール行列Had(r)から第1行目と第1列目を削除し、さらにアダマール行列の要素である-1と1のうち、-1を0とすることで得られるm行m列バイナリ行列modHad(r)をとり、グループテスト行列Hはこの行列の有限体GF(2)上の基底からなり、テスト行列拡大ルールRは、グループテスト行列Hをテスト行列拡大ルールRに従って行の拡大を行った場合にmodHad(r)となる。
[第5の実施形態]
続いて、上記した第1、第2の実施形態におけるグループテスト行列Hに変更を加えた第5の実施形態について説明する。
第5の実施形態におけるグループテスト行列Hは、正整数sについて行数と列数が共に2(2s)+2+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、前記正方行列Pは、有限体GF(2)を座標成分とする2次元射影空間上のすべての点と直線から定まる接続行列であり、テスト行列拡大ルールRによって生成されるテストベクトルを前記正方行列Pの全ての行ベクトルとする。
前記正方行列Pの各行は、前記有限体GF(2)を座標成分とする2次元射影空間における2(2s)+2+1個の点に対応し、Pの各列は2次元射影空間内の2(2s)+2+1個の直線に対応する。Pの第(i,j)成分は、2次元射影空間の第i番目の点を第j番目の直線が通過する場合に限って1とし、そうでない場合は0とする。Pの一次独立な行ベクトル数tはt=3+1であって、これらPの一次独立な行ベクトルからなる(3+1)×(2(2s)+2+1)行列がグループテスト行列Hとなる。正方行列Pは(2)-disjunctであり、テスト行列拡大ルールRによって生成されるテストベクトル全体を前記正方行列Pの全ての行ベクトルとすることにより、2個以下の改ざん位置を特定することができる。
[例4]
例えばs=1の時、有限体GF(2)を座標成分とする2次元射影空間の点の数と直線の数は共に7であり、7個の点の各々に対して7個の直線の各々が通過するか否かによって定められる接続行列は次の[数1]のように計算される。
[数1]
Figure 0007347501000001
Pの第1行から第4行の4つの行ベクトルは一次独立であって、この4つの行ベクトルからなる4×7行列をグループテスト行列Hとし、テスト行列拡大ルールRによって生成されるテスト行列をPとすれば、行列Pは2-disjunctであるため、2個以下の改ざん位置を特定可能となる。
表1は、本実施形態により生成されるテスト行列のサイズをs=1から13まで示したものである。第2カラムは正方行列Pの行数(列数)であり、ランク、閾値はそれぞれPのランクとdisjunctパラメータを表す。すなわちランクx、閾値yであれば、グループテスト行列Hは行数xで、テスト行列拡大ルールRにより拡大されたグループテスト行列H(すなわちH)は、y-disjunctとなっている。
[表1]
Figure 0007347501000002
第5の実施形態は、以下のように要約される。上記したMACタグリスト生成装置10のグループテスト行列生成部102及びMACタグリスト検証装置20のグループテスト行列生成および拡大部202は、以下にて規定されるグループテスト行列Hを生成する。
グループテスト行列Hが、正整数sについて行数と列数が共に2(2s)+2+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、前記正方行列Pは、有限体GF(2)を座標成分とする2次元射影空間上の点と直線によって定まる接続行列であり、テスト行列拡大ルールRによって生成されるテストベクトルが前記正方行列Pの全ての行ベクトルである。
[第6の実施形態]
続いて、上記した第1、第2の実施形態におけるグループテスト行列Hに変更を加えた第6の実施形態について説明する。
第6の実施形態におけるグループテスト行列Hは、正整数sと3以上2+1以下の整数rについて、行数がr×(2-1)+1、列数が2(2s)-1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、前記行列A_rは、有限体GF(2)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2-1)+1個の点と、それらの点のいずれかを通過する2(2s)-1+r本の直線によって定まる接続行列であり、テスト行列拡大ルールRによって生成されるテストベクトルを前記行列A_rの全ての行ベクトルとする。
A_rの第(i,j)成分は、2次元アフィン空間の前記r×(2-1)+1個の点からなる集合の第i番目の点を、前記2(2s)-1+r本の直線の集合における第j番目の直線が通過する場合に限って1とし、そうでない場合は0とする。行列A_rの一次独立な行ベクトル数tは次式[数2]で与えられる。
[数2]
Figure 0007347501000003
行列A_rのt個の一次独立な行ベクトルからなるt×(2^(2s)-1+r)行列がグループテスト行列Hとなる。行列A_rは(r-2)-disjunctであり、テスト行列拡大ルールRによって生成されるテストベクトル全体を前記行列A_rの全ての行ベクトルとすることにより、r-2個以下の改ざん位置を特定することができる。
[例5]
例えばs=2の時、有限体GF(4)を座標成分とする2次元アフィン平面において、原点を通過する3本の直線上にある合計10個の点について、それらのいずれかを通過する直線は18本あり、これの直線が前記10個の点を通過するか否かによって定められる接続行列は次の[数3]のように計算される。
[数3]
Figure 0007347501000004
A_3の第1行から第8行の8つの行ベクトルは一次独立であって、この8つの行ベクトルからなる8×18行列をグループテスト行列Hとし、テスト行列拡大ルールRによって生成されるテスト行列をA_3とすれば、A_3は1-disjunctであるため、本実施形態により1個の改ざん位置を特定可能となる。
下記[表2]は本発明により生成される行列A_rのサイズをr=2+1に固定し、s=1から13まで示したものである。[表1]と同様に第2カラム、第3カラムはA_rの行数と列数であり、ランク、閾値はそれぞれA_rのランクとdisjunctパラメータを表す。すなわちランクx,閾値yであれば、グループテスト行列Hは行数xで、テスト行列拡大ルールRにより拡大されたテスト行列A_r(すなわちH)はy-disjunctとなっている。
[表2]
Figure 0007347501000005
第6の実施形態は、以下のように要約される。上記したMACタグリスト生成装置10のグループテスト行列生成部102及びMACタグリスト検証装置20のグループテスト行列生成および拡大部202は、以下にて規定されるグループテスト行列Hを生成する。
グループテスト行列Hが、正整数sと3以上2+1以下の整数rについて、行数がr×(2-1)+1、列数が2(2s)-1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、前記行列A_rは、有限体GF(2)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2-1)+1個の点と、それらの点のいずれかを通過する2(2s)-1+r本の直線によって定まる接続行列であり、前記テスト行列拡大ルールRによって生成されるテストベクトルが前記行列A_rの全ての行ベクトルである。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示した装置構成、各要素の構成、回路の表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「A及び/又はB」は、A及びBの少なくともいずれかという意味で用いる。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。
また、上記した第1~第6の実施形態に示した手順は、MACタグリスト生成装置10及びMACタグリスト検証装置20の構成装置として機能するコンピュータ(図11の9000)に、これらの装置としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図11のCPU(Central Processing Unit)9010、通信インタフェース9020、メモリ9030、補助記憶装置9040を備える構成に例示される。すなわち、図11のCPU9010にて、タグリスト計算プログラムやタグリスト検証プログラムを実行し、その補助記憶装置9040等に保持された各計算パラメータの更新処理を実施させればよい。
また、上記した実施形態において、グループテスト行列Hが、すべての要素が1である行を含んでいることが好ましい。全ての要素が1である行を含んでいるグループテスト行列Hを用いることで、改ざん個所特定の目的だけでなく、選択平文攻撃を行う攻撃者に対するMACとしての安全性も保証される。上記した実施形態の変形実施形態として、グループテスト行列生成部102又はグループテスト行列生成および拡大部202がそのような行を持つグループテスト行列Hを生成する構成も採用可能である。
即ち、上記した第1~第6の実施形態に示した各装置の各部(処理手段、機能)は、これらの装置に搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点によるMACタグリスト生成装置参照)
[第2の形態]
上記したMACタグリスト生成装置において、前記グループテスト行列Hとして、
正の整数a,bについて(a,b)=a!/(a-b)!b!をa個からb個選択する場合の数とし、
((a,b))を集合{1,2,...,a}の大きさbの部分集合の全体としたうえで、
(n,d)×(n,k)2値行列であり、適当な順序で列と行のインデックスを((n,d))の要素と((n,k))の要素に対応させたうえで、ある((n,d))の要素Dが((n,k))の要素Kについて、
前記要素Dが前記要素Kに含まれるときに、
前記グループテスト行列Hの(D,K)エントリを1とし、それ以外を0とする行列の有限体GF(2)上の基底からなる、正の整数のパラメータ(n,k,d)を持つMacula行列を用いることができる。
[第3の形態]
上記したMACタグリスト生成装置において、
ある整数r>1についてm=2-1,t=rを満たし、
m+1行m+1列のアダマール行列Had(r)から第1行目と第1列目を削除し、さらに行列要素である-1と1のうち、-1を0とすることで得られるm行m列バイナリ行列modHad(r)をとり、前記グループテスト行列Hはこの行列の有限体GF(2)上の基底からなり、
前記テスト行列拡大ルールRは、前記グループテスト行列Hを前記テスト行列拡大ルールRに従って行の拡大を行った場合にmodHad(r)とすることができる。
[第4の形態]
上記したMACタグリスト生成装置において、
グループテスト行列Hが、正整数sについて行数と列数が共に2(2s)+2+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、
前記正方行列Pは、有限体GF(2)を座標成分とする2次元射影空間上の点と直線によって定まる接続行列であり、
前記テスト行列拡大ルールRによって生成されるテストベクトルが前記正方行列Pの全ての行ベクトルであってもよい。
[第5の形態]
上記したMACタグリスト生成装置において、
前記グループテスト行列Hが、正整数sと3以上2+1以下の整数rについて、行数がr×(2-1)+1、列数が2(2s)-1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、
前記行列A_rは、有限体GF(2)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2-1)+1個の点と、それらの点のいずれかを通過する2(2s)-1+r本の直線によって定まる接続行列であり、
前記テスト行列拡大ルールRによって生成されるテストベクトルが前記行列A_rの全ての行ベクトルであってもよい。
[第6の形態]
(上記第2の視点によるMACタグリスト検証装置参照)
[第7の形態]
(上記第3の視点によるMACタグリスト生成方法参照)
[第8の形態]
(上記第4の視点によるMACタグリスト検証方法参照)
[第9の形態]
(上記第5の視点によるコンピュータプログラム参照)
なお、上記第6~第9の形態は、第1の形態と同様に、第2~第5の形態に展開することが可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
本発明は、無線もしくは有線のデータ通信、あるいは、データベース、ファイルシステム、ウィルススキャン、バージョン管理システムにおける改ざんの検知と改ざん位置特定といった用途に適用できる。
10 MACタグリスト生成装置
20 MACタグリスト検証装置
101 メッセージ入力部
102 グループテスト行列生成部
103 復号可能な線形グループテストMAC適用部
104 MACタグリスト出力部
201 メッセージ入力部
202 グループテスト行列生成および拡大部
203 タグ復号部
204 復号可能な線形グループテスト中間タグ生成部
205 中間タグリスト拡大部
206 中間タグリスト検証部
207 検証結果出力部
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置

Claims (8)

  1. メッセージ認証コード(MAC)の対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージ M=(M[1],...,M[m])を入力するメッセージ入力部と、
    生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するためのグループテスト行列生成部と、
    前記メッセージMについて、前記グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fと、前記グループテスト行列Hの行インデックスをTweakとしたTweakableブロック暗号Gを用いて、
    前記グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、前記擬似ランダム関数Fに前記M[j]と前記インデックスjとを入力し、得られた前記擬似ランダム関数Fの出力のすべての和をとり、i番目の中間タグS[i]とし、
    前記iをTweakとしたTweakableブロック暗号GのTweakable暗号化関数で前記中間タグS[i]を暗号化して得られた出力を、i(i=1,...,t)番目のテストに対応するタグT[i]とする処理を、すべてのi=1,...,tについて行い、MACタグリストT=(T[1],...,T[t])を生成する復号可能な線形グループテストMAC適用部と、
    前記復号可能な線形グループテストMAC適用部により生成されたMACタグリストを出力するMACタグリスト出力部と、を備える
    ことを特徴とするMACタグリスト生成装置。
  2. 前記グループテスト行列Hは、
    正の整数a,bについて(a,b)=a!/(a-b)!b!をa個からb個選択する場合の数とし、
    ((a,b))を集合{1,2,...,a}の大きさbの部分集合の全体としたうえで、
    (n,d)×(n,k)2値行列であり、適当な順序で列と行のインデックスを((n,d))の要素と((n,k))の要素に対応させたうえで、ある((n,d))の要素Dが((n,k))の要素Kについて、
    前記要素Dが前記要素Kに含まれるときに、
    前記グループテスト行列Hの(D,K)エントリを1とし、それ以外を0とする行列の有限体GF(2)上の基底からなる、正の整数のパラメータ(n,k,d)を持つMacula行列である請求項1のMACタグリスト生成装置。
  3. ある整数r>1についてm=2-1,t=r+1を満たし、
    m+1行m+1列のアダマール行列Had(r)から第1行目と第1列目を削除し、さらに行列要素である-1と1のうち、-1を0とすることで得られるm行m列バイナリ行列modHad(r)をとり、前記グループテスト行列Hは、前記m行m列バイナリ行列の有限体GF(2)上の基底からなり、
    テスト行列拡大ルールRは、前記グループテスト行列Hを前記テスト行列拡大ルールRに従って行の拡大を行った場合にmodHad(r)となる請求項1のMACタグリスト生成装置。
  4. グループテスト行列Hが、正整数sについて行数と列数が共に2(2s)+2+1の正方行列Pの一次独立なt個の行ベクトルからなる部分行列であって、
    前記正方行列Pは、有限体GF(2)を座標成分とする2次元射影空間上の点と直線によって定まる接続行列であり、
    テスト行列拡大ルールRによって生成されるテストベクトルが前記正方行列Pの全ての行ベクトルである請求項1のMACタグリスト生成装置。
  5. 前記グループテスト行列Hが、正整数sと3以上2+1以下の整数rについて、行数がr×(2-1)+1、列数が2(2s)-1+rの行列A_rにおける一次独立なt個の行ベクトルからなる部分行列であって、
    前記行列A_rは、有限体GF(2)を座標成分とする2次元アフィン空間の原点を通過する予め指定したr本の直線上にあるr×(2-1)+1個の点と、それらの点のいずれかを通過する2(2s)-1+r本の直線によって定まる接続行列であり、
    テスト行列拡大ルールRによって生成されるテストベクトルが前記行列A_rの全ての行ベクトルである請求項1のMACタグリスト生成装置。
  6. 前記グループテスト行列生成部は、すべての要素が1である行を含んだグループテスト行列Hを生成する請求項1から5いずれか一のMACタグリスト生成装置。
  7. メッセージ認証コード(MAC)の対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージ M=(M[1],...,M[m])を入力するステップと、
    生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成するステップと、
    前記メッセージMについて、前記グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fと、前記グループテスト行列Hの行インデックスをTweakとしたTweakableブロック暗号Gを用いて、
    前記グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、前記擬似ランダム関数Fに前記M[j]と前記インデックスjとを入力し、得られた前記擬似ランダム関数Fの出力のすべての和をとり、i番目の中間タグS[i]とし、
    前記iをTweakとしたTweakableブロック暗号GのTweakable暗号化関数で前記中間タグS[i]を暗号化して得られた出力を、i(i=1,...,t)番目のテストに対応するタグT[i]とする処理を、すべてのi=1,...,tについて行いMACタグリストT=(T[1],...,T[t])を生成するステップと、
    前記MACタグリストを出力するステップと、を含むMACタグリスト生成方法。
  8. メッセージ認証コード(MAC)の対象となるm個のアイテムM[1],...,M[m]から構成されるメッセージ M=(M[1],...,M[m])を入力する処理と、
    生成する前記MACの数s(sは正の整数)について、組み合わせグループテストのパラメータであるt行m列のグループテスト行列Hを生成する処理と、
    前記メッセージMについて、前記グループテスト行列Hと、可変長入力固定長出力の擬似ランダム関数Fと、前記グループテスト行列Hの行インデックスをTweakとしたTweakableブロック暗号Gを用いて、
    前記グループテスト行列Hのi行目で1が立つすべての列のインデックスj(j=1,...,m)について、前記擬似ランダム関数Fに前記M[j]と前記インデックスjとを入力し、得られた前記擬似ランダム関数Fの出力のすべての和をとり、i番目の中間タグS[i]とし、
    前記iをTweakとしたTweakableブロック暗号GのTweakable暗号化関数で前記中間タグS[i]を暗号化して得られた出力を、i(i=1,...,t)番目のテストに対応するタグT[i]とする処理を、すべてのi=1,...,tについて行いMACタグリストT=(T[1],...,T[t])を生成するステップと、
    前記MACタグリストを出力する処理と、をコンピュータに実行させるプログラム。
JP2021514734A 2019-04-18 2019-04-18 Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム Active JP7347501B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/016582 WO2020213114A1 (ja) 2019-04-18 2019-04-18 Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム

Publications (3)

Publication Number Publication Date
JPWO2020213114A1 JPWO2020213114A1 (ja) 2020-10-22
JPWO2020213114A5 JPWO2020213114A5 (ja) 2022-01-19
JP7347501B2 true JP7347501B2 (ja) 2023-09-20

Family

ID=72837146

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021514734A Active JP7347501B2 (ja) 2019-04-18 2019-04-18 Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム

Country Status (3)

Country Link
US (1) US11824993B2 (ja)
JP (1) JP7347501B2 (ja)
WO (1) WO2020213114A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7347501B2 (ja) * 2019-04-18 2023-09-20 日本電気株式会社 Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム
WO2023162151A1 (ja) * 2022-02-25 2023-08-31 日本電気株式会社 データ保管装置、データ保管方法及び、プログラム
CN117097559B (zh) * 2023-10-17 2023-12-19 天津德科智控股份有限公司 Eps转向角度报文传输验证方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016063512A1 (ja) 2014-10-23 2016-04-28 日本電気株式会社 Macタグリスト生成装置、macタグリスト検証装置、macタグリスト生成方法、macタグリスト検証方法およびプログラム記録媒体
JP2017073716A (ja) 2015-10-09 2017-04-13 日本電気株式会社 タグリスト生成装置、タグリスト検証装置、タグリスト更新装置、タグリスト生成方法及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7200227B2 (en) * 2001-07-30 2007-04-03 Phillip Rogaway Method and apparatus for facilitating efficient authenticated encryption
WO2009020060A1 (ja) * 2007-08-06 2009-02-12 Nec Corporation 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム
JPWO2016067524A1 (ja) 2014-10-30 2017-08-10 日本電気株式会社 認証付暗号化装置、認証付復号装置、認証付暗号システム、認証付暗号化方法、プログラム
CN108028756B (zh) 2015-09-28 2019-04-09 三菱电机株式会社 消息认证码生成装置、消息认证码生成方法和记录介质
US9794062B2 (en) * 2015-10-08 2017-10-17 The Boeing Company Scrambled tweak mode of blockciphers for differential power analysis resistant encryption
JP6632959B2 (ja) 2016-12-02 2020-01-22 Kddi株式会社 検証システム、検証方法及び検証プログラム
US11251965B2 (en) 2017-04-17 2022-02-15 Nec Corporation Authentication tag generation apparatus, authentication tag verification apparatus, method and program
JP7347501B2 (ja) * 2019-04-18 2023-09-20 日本電気株式会社 Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016063512A1 (ja) 2014-10-23 2016-04-28 日本電気株式会社 Macタグリスト生成装置、macタグリスト検証装置、macタグリスト生成方法、macタグリスト検証方法およびプログラム記録媒体
JP2017073716A (ja) 2015-10-09 2017-04-13 日本電気株式会社 タグリスト生成装置、タグリスト検証装置、タグリスト更新装置、タグリスト生成方法及びプログラム

Also Published As

Publication number Publication date
WO2020213114A1 (ja) 2020-10-22
US20220173909A1 (en) 2022-06-02
JPWO2020213114A1 (ja) 2020-10-22
US11824993B2 (en) 2023-11-21

Similar Documents

Publication Publication Date Title
Bernstein Grover vs. mceliece
JP5462636B2 (ja) 平文メッセージを暗号化する方法及び装置
JP7347501B2 (ja) Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム
US8180048B2 (en) Method and system for computational transformation
Le et al. NC-Audit: Auditing for network coding storage
JP6386198B1 (ja) 暗号化装置及び復号装置
JP6171649B2 (ja) 暗号化装置、復号装置、暗号化方法および暗号化プログラム
WO2013065241A1 (ja) インクリメンタルmacタグ生成装置、方法及びプログラム並びにメッセージ認証装置
Alkandari et al. Cryptographic hash function: A high level view
Kumar et al. A survey on current key issues and status in cryptography
AlAhmad et al. Broad view of cryptographic hash functions
US11463235B2 (en) Encryption device, encryption method, program, decryption device, and decryption method
Preston Applying Grover's Algorithm to Hash Functions: A Software Perspective
JP6743702B2 (ja) Macタグリスト生成装置、macタグリスト検証装置、macタグリスト生成方法、macタグリスト検証方法およびプログラム
JP2017073716A (ja) タグリスト生成装置、タグリスト検証装置、タグリスト更新装置、タグリスト生成方法及びプログラム
Minematsu et al. Symmetric-key corruption detection: When XOR-MACs meet combinatorial group testing
Ha et al. A secure deduplication scheme based on data popularity with fully random tags
Faraoun Design of fast one-pass authenticated and randomized encryption schema using reversible cellular automata
Alslman et al. Enhanced and authenticated cipher block chaining mode
JP7107381B2 (ja) Macタグリスト生成装置、macタグリスト検証装置、集約mac検証システム及び方法
Gligoroski et al. On the importance of the key separation principle for different modes of operation
Di Crescenzo et al. Cryptographic password obfuscation
WO2022239163A1 (ja) 認証暗号化装置、認証復号装置、認証暗号システム、方法及びコンピュータ可読媒体
Sivasubramanian A comparative analysis of Post-Quantum Hash-based Signature Algorithm
Wu et al. Two new message authentication codes based on APN functions and stream ciphers

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211015

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230120

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230620

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20230628

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230821

R151 Written notification of patent or utility model registration

Ref document number: 7347501

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151