JPH07107085A - メッセージ確認方法及び通信システム - Google Patents

メッセージ確認方法及び通信システム

Info

Publication number
JPH07107085A
JPH07107085A JP6177838A JP17783894A JPH07107085A JP H07107085 A JPH07107085 A JP H07107085A JP 6177838 A JP6177838 A JP 6177838A JP 17783894 A JP17783894 A JP 17783894A JP H07107085 A JPH07107085 A JP H07107085A
Authority
JP
Japan
Prior art keywords
message
polynomial
remainder
bits
sender
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP6177838A
Other languages
English (en)
Other versions
JP2579440B2 (ja
Inventor
Amir Herzberg
アミア・ハーツバーグ
Hugo M Krawczyk
ヒューゴ・マリオ・クロージック
Shay Kutten
シェイ・クッテン
Yishay Mansour
イーシェイ・マンソーア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH07107085A publication Critical patent/JPH07107085A/ja
Application granted granted Critical
Publication of JP2579440B2 publication Critical patent/JP2579440B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3026Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to polynomials generation, e.g. generation of irreducible polynomials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/125Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/20Manipulating the length of blocks of bits, e.g. padding or block truncation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【目的】 侵害者によるメッセージの改ざんに対して2
進加法的ストリーム暗号システムのための高速で安全な
メッセージ認証を提供する。 【構成】 第1段階では、送受信者間でキーが安全に交
換される。このキーは次数nの2進既約多項式p(x)
である。又、送信者及び受信者は秘密のランダム・ビッ
トのストリームから成る暗号化キーを共有する。第2段
階では、伸長メッセージを生成するために、送信者が単
一の「1」のビットを先頭に、n個のビット「0」を末
尾にメッセージMに付加する。送信者はキー多項式p
(x)による伸長メッセージ多項式の除算をし、その多
項式剰余を暗号化する。送信者はメッセージMと暗号化
剰余を送信する。第3段階では、受信者は、受信暗号化
剰余を復号し、先頭「1」とその剰余と受信メッセージ
Mからなるビット・ストリームM'の2進多項式表現と
キー多項式p(x)の間の除算の剰余を計算する。その
剰余がゼロであるときのみ受信者は受信メッセージMを
真正として受け入れる。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、メッセージの受信者に
メッセージの保全性(すなわち、受信メッセージが高い
確率で送信メッセージと同一であること)を確認できる
ようにするための方法に関し、特にストリーム暗号によ
って暗号化されたメッセージの保全性を保護し、かつ悪
意ある侵害者による改ざんに対し当該メッセージを保護
する方法に関するものである。また、本発明は、送信者
と受信者との間の同期が失われたときこれを検出する機
能を有し、それにより再同期を可能にする。
【0002】
【従来の技術】認証は、任意の人または物が有効である
または真正であるということを証明するプロセスであ
る。コンピュータ・システムや通信ネットワークにおい
て、認証はデータ・セキュリティの重要な部分である。
認証方式は全て、1または複数のパラメタの有効性を検
査するものである。例えば、人物の身元の認証では、申
し立てた身元(ID)を有する当該人物によって秘密の
または忘れにくいパラメタが与えられるような検査が必
要である。その与えられたパラメタの有効性を検査する
ことによってシステムはその人物が申し立て通りの人物
であるか否かを決定することができる。
【0003】メッセージ認証は、メッセージの受信者が
メッセージの保全性を確認できるプロセスである。すな
わち、受信メッセージが送信した時点でのメッセージと
(高い確率で)同一であることを確認することである。
巡回冗長符号(cyclic redundancy codes:CRC)は
通信ネットワークでの誤り検出に広く用いられている。
そのような符号は多項式の除算によって生成される。し
かしながら、CRCを用いたメッセージ認証は、通常セ
キュリティとは無関係の送信データに対して行われてい
るが、故意でない変更を検出する手段でしかない。セキ
ュリティのためには、改ざんされたことが検出されるこ
となく送信元と宛先のアドレスとを含むメッセージ内容
を悪意のある侵入者が改ざんするのを防ぐような機構が
必要である。CRCのような標準的な機構は、固定的で
ありかつ周知の手順であるため、悪意のある介入に対処
することはできない。したがって、いずれの侵入者も任
意のメッセージを選んで認証してしまうことができる。
【0004】M. O. Rabinは、「Fingerprinting by Ran
dom Polynomials」, Tech. Rep. TR-15-81, Center for
Research in Computing Technology, Harvard Univ.,
Cambridge, Mass.(1981)の中で、CRCのように、基
本的な認証演算として多項式除算を用いた指紋関数を提
案した。Rabin法では、検査合計(check-sum)は送信さ
れず、それゆえ当該検査合計は上記メッセージを認証す
るのに利用できない。
【0005】暗号は、送信メッセージを認証するための
高いレベルの安全な手段を与える。しかしながら、ある
メッセージ暗号化法が副産物としてある保全性検査を可
能とするが、一方、加法的ストリーム暗号システムとい
う共通キー暗号化法はメッセージ認証に全く有効ではな
い。したがって、他の暗号化法を用いるときより、メッ
セージ認証機構の必要性は大きい。実は、これらの暗号
化法を用いるとき、暗号化後でさえメッセージを改ざん
するのは非常に容易である。実際、Cが上記メッセージ
Mに対応する暗号文であるならば(すなわち、C=E
(M)。ただし、Eは暗号化関数。)、C exor
M’=E(M exor M’)であるから、C ex
or M’がM exor M’に対応する暗号文とな
る。ここで、記号「exor」はビット毎の排他的論理和演
算を表す。したがって、暗号化メッセージMに途中で割
り込むことによって、復号化アルゴリズムによって気付
かれることなしに容易に当該メッセージの内容をM e
xor M’に変更することができる。安全なメッセー
ジ認証法は暗号化データの改ざんを高い確率で検出でき
なければならない。
【0006】さらに、上記認証プロセス(平文に対して
行われるプロセス、すなわち暗号化前と復号化後とに行
われるプロセス)は、復号化が正しいことの証明とし
て、ストリーム暗号システムの中で送信者と受信者との
間の暗号化・復号化の同期を確認するのに不可欠な機能
を果たす。そのようなシステムでは、当該送信者及び当
該受信者は自分達の状態の変化の同期をとる必要があ
る。そうでなければ、正しい復号化は不可能である.さ
らに、高いデータ伝送速度を維持するために上記認証法
は非常に高速でなければならない。
【0007】
【発明が解決しようとする課題】本発明の目的は、悪意
のある侵害者による、上記送信元と宛先アドレスとを含
む上記メッセージへの改ざんに対して保護する2進加法
的ストリーム暗号システムのための高速で安全なメッセ
ージ認証を提供することである。
【0008】本発明のもう一つの目的は、上記送信者と
上記受信者との間の同期が失われたことを検出し、再同
期を可能とする安全なメッセージ認証システムを提供す
ることである。
【0009】
【課題を解決するための手段】本発明によると、通信シ
ステムの中で送信者から受信者へ送信されるメッセージ
の信憑性を確認する上記方法は3つのステージに分けら
れる。当該送信者と当該受信者との間で通信前にとられ
る行為と、メッセージを送信するプロセスの中での当該
送信者によってとられる行為、及びメッセージを認証す
るために当該メッセージ受信時に当該受信者によってと
られる行為である。第1ステージでは、当該送信者と当
該受信者との間でキーが秘密に交換される。このキーは
次数nの2進(binary)既約多項式p(x)である。さ
らに、当該送信者及び当該受信者は秘密でランダムまた
は疑似ランダムなビットのストリームから成る暗号化キ
ーを共有する。第2ステージでは、当該送信者は伸長メ
ッセージM’を生成するために、先頭の非ゼロ・ストリ
ング(これは最も簡単な場合単一の「1」でよい)と末
尾のnビットとをMへ付加する。本発明の実施にあたっ
てはこの伸長メッセージは当該メッセージ・ビットに対
応する係数を有する多項式として観測される。好適例で
は、当該末尾nビットが全てゼロであるが、その代わり
にnビットの任意のストリングSを使用することも可能
である。もし当該メッセージの長さが既知でかつ暗号的
に確認されるならば、先頭の非ゼロ・ストリング,言い
換えるなら先頭の「1」のビットは必要ない。当該送信
者はそれから当該送信者と当該受信者とで交換した当該
キー多項式p(x)で上記伸長メッセージM’を除算す
ることによって多項式剰余を計算する。当該送信者は計
算された剰余を暗号化する。本発明の好適例では、当該
剰余のビット並びに送信者と受信者とによって共有され
ている秘密のビット・ストリームの間でビット毎の排他
的論理和演算を行うことによってその暗号化がなされ
る。当該送信者はそれから上記メッセージMと当該暗号
化剰余とを送信する。当該メッセージMをも暗号化する
か否かは任意であるが、本発明による認証プロセスには
これは必要ない。
【0010】第3ステージでは、上記受信者によって受
信時に送信された暗号化剰余が復号化される。再び、本
発明の好適例では、この復号化は、上記剰余のビット並
びに上記通信者間で共有された秘密のビット・ストリー
ムの間のビット毎の排他的論理和演算を用いて行われ
る。当該受信者はそれから組み合わされたビット・スト
リームM’を得るために上記受信メッセージMの末尾に
上記復号化剰余を付加する。当該受信者は、当該ビット
・ストリームM’の2進多項式表現並びに当該送信者と
当該受信者とで交換された上記キー多項式p(x)の間
の除算の剰余を計算する。当該受信者は計算された剰余
がゼロのときにのみ真正であるとして受信メッセージM
を受け入れる。
【0011】本発明の好適例では上記剰余を暗号化(及
び復号化)するのにランダムまたは疑似ランダム・ビッ
ト・ストリームと共にビット毎の排他的論理和関数を用
いるが、他の暗号化法を用いることもできる。しかしな
がら、本発明の重要な特徴はこの2進加法的ストリーム
暗号システムを用いることにより上記システムが安全性
を確認できることである。
【0012】
【実施例】本発明の実施にあたっては、上記通信者間で
まず初めに暗号化関数E(・)で使用いられる暗号化キ
ーを交換する。本発明の特に有益な点は、当該関数E
(・)がストリーム暗号の暗号化法にもなり得ることで
ある。しかしながら、他の種類の暗号化法も用いられ得
る。当該通信者間はまた体(フィールド:field)GF
(2)(0と1という2つの要素からなる体)上の次数
nの多項式p(x)をも交換する。当該多項式p(x)
はランダムに(すなわち一様の確率で)体GF(2)上
の次数nの全ての既約多項式の中から選ばれる。nの値
は通信者間で既知のセキュリティ・パラメタである。そ
れは望ましいセキュリティレベルによる実施によって選
ばれる。暗号化キーと多項式p(x)とは両方とも秘密
に交換される。
【0013】Mは2進表現M=ML-1,...M1,M0
を有する長さLのメッセージとして定義される。M
(x)=xL+ML-1L-1+...+M1x+M0はGF
(2)上の次数Lの多項式であって,先頭の係数が1で
あり他の係数はメッセージMに対応するものとする。例
えば、M=001101ならば、M(x)=x6+x3
2+1となる。ここでx6は先頭の「1」の係数を示し
ている。
【0014】図、特に図1を参照しながら、通信システ
ムの中での上記送信者の基本構成を示していく。上記送
信メッセージMをボックス11に概念的に図示する。当
該メッセージのコピーがシリアルまたはパラレルに、メ
ッセージMのビット数より大きいビット位置数を有する
仮想バッファ12(ハードウェア・レジスタでない方が
望ましい)にロードされる。本好適例では、仮想バッフ
ァ12は,Lをメッセージの長さとすると、L+n+1
ステージを有しており、予め「1」にセットされた先頭
のビット位置と予め「0」にセットされたn個の下位ビ
ット位置を含む。多項式xnによってメッセージM
(x)を(2進で)乗算する効果をもたらす、L+nク
ロック・パルスによるメッセージMの仮想バッファ12
へのシフトは当業者には自明であろう.仮想バッファ1
2の中のこの伸長メッセージM’に対してはそれから乱
数多項式p(x)を用いた演算ユニット13で剰余演算
が行われる。望ましい剰余演算ユニット13は以下で図
5を参照してより詳しく記述される。その後、計算され
た剰余は送信者と受信者との間で交換された暗号キーを
用いた安全な暗号装置14において暗号化される。当該
暗号化剰余はそれから別の仮想バッファ15の中の上記
メッセージと連結され、仮想バッファ15の内容はそれ
から受信者に送信される。
【0015】上記暗号化が加法的ストリーム暗号として
実施される場合には、上記暗号化キーは、データと排他
的論理和演算するためのランダム・ビット・ストリン
グ、またはデータと排他的論理和演算される疑似ランダ
ム・ビットの生成のための疑似乱数生成器の種(seed)
である。暗号疑似乱数生成器は文献により周知のもので
ある。例えば、Henry Baker and Fred Piper, 「Cipher
Systems」, John Wileyand Sons(1982)を参照された
い。また、安全なキー交換法も技術的によく知られたも
のである。例えば、J. G. Steiner et al., 「Kerbero
s: An Authentication Service for Open Network Syst
ems」, Usenix Conference Proceedings,Winter 1988を
参照されたい。
【0016】図2は、上記通信システムの中の受信者の
基本構成を示している。ここではmと表している受信メ
ッセージと、eと表している暗号化剰余とが仮想バッフ
ァ21に入力される。この受信暗号化剰余eは交換され
た暗号化キーを用いて安全な暗号装置22で復号化され
る。ここではrと表される復号化剰余は当該受信メッセ
ージmと連結され、先頭の「1」のビットが別の仮想バ
ッファ23で予めセットされる。ここでも、これが最も
簡単な場合であってその先頭の「1」のビットが非ゼロ
・ストリングであることは自明であろう。したがって、
伸長受信メッセージm’が伸長メッセージM’に対応し
て仮想バッファ23に形成され、この多項式m’に対し
ては上記ランダム多項式p(x)を用いた演算ユニット
24で剰余演算が行われる。再び、望ましい剰余演算ユ
ニット24は、剰余演算ユニット13と同様に、以下で
図5により詳しく記述される。プロセッサ25は上記剰
余演算の結果を検査し、結果がゼロなら認証されたとし
て当該メッセージを受け入れる。そうでなければ無効と
してメッセージを拒絶する。
【0017】ここで図3を参照しながら、メッセージM
に対し上記送信者によって行われるステップが記述され
る。送信のために関数ブロック31に入力される個々の
メッセージMに対し、当該メッセージは、一般にM
(x)×xnと定義される伸長多項式M’を生成するた
めに関数ブロック32で伸長される。好適例では、この
伸長ステップは33で当該伸長多項式M’を作るために
先頭の「1」のビットと末尾のn個の「0」のビットを
付加する。第1ステップは上記多項式p(x)による当
該多項式M(x)×xnの除算の剰余を関数ブロック3
4で計算するためのものである。r(x)は結果として
得られる剰余多項式であり、r(M)はr(x)の係数
に対応するnビットのストリングである。当該ストリン
グr(M)は先頭に複数のゼロを有してもよい。r
(M)は検査合計と呼ばれる。上記送信者によって行わ
れる第2ステップはE(r(M))を得るために上記暗
号化関数E(・)を用いた関数ブロック35で検査合計
ストリングr(M)を暗号化するためのものである。そ
の目的はストリーム暗号のための認証を提供するためで
あるから、この暗号化は検査合計と「キー伸長」ビット
・ストリームとの排他的論理和によって行われる。他の
暗号化法もまた使用し得る。次に、送信者はストリング
36を形成するメッセージの保全性を確認するためにメ
ッセージMにストリングE(r(M))を付加し、関数
ブロック37で両者を送信する。当該メッセージは暗号
化されていてもよいし平文でもよい。
【0018】次に図4を参照し、受信された個々のメッ
セージmに対する上記受信者による受信41で行われる
ステップを記述する。上述のように、送信されたストリ
ングはメッセージMと送信者によって生成された暗号化
剰余であるストリングE(r(M))を含む。受信スト
リングは42で表されるが、暗号化剰余を表すストリン
グはここではeと表される。まず初めに、受信者はrを
得るために関数ブロック43でeを復号化する。ここ
で、受信された対m、eは送信者によって送信されたM
とE(r(M))とに対応する。Mが暗号化形式で送信
されれば、mも復号化される。次に、受信者は当該スト
リングrを44でmの末尾に連結し、伸長メッセージ
m’を生成するために先頭の「1」のビットを付加す
る。連結されたストリング44はm’で表され、m’
(x)はm’に対応する体GF(2)上の多項式を表
す。すなわち、その先頭の係数は「1」で他の係数は
m’のビットに対応する。受信者はそれからキー多項式
p(x)によるm’(x)の除算の剰余を関数ブロック
45で計算する。その結果がゼロか否かを決定するため
に決定ブロック46で検査が行われる。この剰余がゼロ
(ゼロ多項式)であれば、認証は成功である。すなわ
ち、メッセージmは正しい送信メッセージMとして関数
ブロック48で受け入れられる。そうでなければ、メッ
セージmの有効性は関数ブロック47で拒絶される。
【0019】送信前にメッセージが暗号化される場合、
上記平文メッセージに基づき上記検査合計ストリングが
計算され、当該メッセージに連結されて、その結果のデ
ータ(メッセージ及び検査合計)が一単位として暗号化
される。同様に、受信時に、復号化が連結されたデータ
に対し一単位として行われ、保全性が検査される。
【0020】メッセージと対応する(暗号化された)検
査合計が変更なしに受信されれば、認証は成功する。暗
号化関数が2進加法的ストリーム暗号であれば、(a)
当該暗号化を破ることができなくて、かつ(b)上記キ
ー多項式p(x)を知らない侵害者によってなされる、
メッセージ及び検査合計の変更あるいはメッセージまた
は検査合計の変更が、Lを当該メッセージの長さとし、
nをセキュリティ・パラメタとすると、L/(2n)の
確率で検出される。例えば、L=30,000及びn=
37に対し、この確率は1/(4×106)より小さ
い。上述のことは、上記侵害者がメッセージと対応する
暗号化検査合計の対をいくつか見ていたとしても成立す
る。言い換えれば、上記暗号システムが安全であるかぎ
りは、上記メッセージ認証もまた安全である。上記方法
はいずれの暗号化関数にも応用可能であるが、本発明は
2進加法的ストリーム暗号を用いて実施されるのが望ま
しい。
【0021】送信者及び受信者の双方で実行される基本
演算は多項式除算剰余の演算である。これについて、次
に説明する、図5に示された主要構成をもつ簡単なハー
ドウェア回路により実現される。アキュムレータと呼ば
れるシフト・レジスタ51及び制御レジスタ52は、両
方ともnステージを有しており、剰余を生成するのに用
いられる。アキュムレータ51のステージは、n個の排
他的論理和ゲート53によって互いに接続される。制御
レジスタ52はプログラム可能(すなわちメモリからロ
ード可能)で、上記多項式p(x)の省略される先頭の
係数を除いた他の係数を含む。データ・ビットはアキュ
ムレータ51を通して流され、シフト・レジスタの最終
ステージで帰還ビットが生成される。この帰還ビット
は、n個のANDゲート54のイネーブル入力に接続さ
れており、それらのゲートは「1」の帰還ビットによっ
てイネーブル状態とされるとき、排他的論理和ゲート5
3の対応するものに制御レジスタの内容を供給する。し
たがって、帰還ビットに依存して、制御レジスタ52に
蓄えられたp(x)のビットとアキュムレータ51の現
在の内容との間で排他的論理和演算が実行される。
【0022】検査合計(すなわち認証ストリング)を計
算するために、アキュムレータ51は、「1」に初期化
される最初の(左端の)ステージを除いて、全てゼロを
含むように初期化される。それから、データ・ビット
は、Lをデータ・ビットの数とし、nをアキュムレータ
の長さとすると、アキュムレータ51を通してL+nク
ロック・パルスだけシフトされる。アキュムレータ51
の(L+nシフトのあとの)最終的な内容が、検査合計
の値である。第1アキュムレータ・ステージを「1」へ
初期化することは先頭の「1」と共に認証されるメッセ
ージMを伸長する効果を有しており、それ故メッセージ
Mへのこのビットの明示的な加算を避けているというこ
とを注記しておく。同様に、(L個のデータ・ビットが
当該アキュムレータを通してシフトされた後)n個の特
別なパルスによってシフトすることはメッセージMをn
個の末尾の「0」で伸長する効果を有する。
【0023】受信者側の認証を確認するプロセスも同様
に、同じハードウェア装置を用いる。検査する目的のた
めに、メッセージと検査合計の連結は(長さL+nの)
唯一のストリングである。アキュムレータは予め初期化
され(すなわち最初のセルに「1」、それ以外にゼ
ロ)、連結ストリングがアキュムレータ51を通して当
該アキュムレータの内容が検査された後、L+nシフト
だけ流れる。それが全てゼロを含むなら、上記認証は成
功である。そうでなければ,誤りが検出される。
【0024】言い換えれば、上記アキュムレータは、最
初のn−1ステージのデータの最初のn−1ビットと最
後のステージの「1」とを含むように(例えば並列的
に)初期化され得る。この場合、L+1シフトは検査合
計を計算するのに十分である。上記ランダム既約多項式
p(x)を選択するのは通常、既約性検査(irreducibi
lity testing)の従来技術を用いてソフトウェアにより
行われる。ハードウェアによる高速実施もまた可能であ
る。長さnは、上記システムのメッセージの長さに依存
して固定されるべきであり、既約性検査を容易にするた
めにそれを素数に選んだ方がよい。そのような検査は文
献では既知となっている。
【0025】上記メッセージの末尾にn個の「0」を付
加する代わりとして、nビットの任意のストリングSを
付加することがある。そのような場合、メッセージの確
認は上述のように行われるが、上記アキュムレータの最
終ステージとゼロとを比較する代わりに同じストリング
Sと比較する。
【0026】キー多項式p(x)を変更するか否か、及
びそれをどのくらいの頻度で行うかは、暗号化関数の信
頼性とキーを秘密にしておける可能性とに依存する。固
定であるがランダムに選択される多項式もまた使用でき
る。この場合、より効率的にできるあるいはより低価格
で実施できる特定の多項式に対し、ハードウェアを構築
することが可能である。しかしながら、これには、侵害
者がハードウェア自体からその多項式を導くことが不可
能であることが必要である。それにはまた、質の高い暗
号化関数が必要である。そうでなければ長期間の使用の
後、情報の部分的漏れがp(x)の値に関して多すぎる
ほどの情報を与えることになる。いったん多項式が侵害
者に知られると、上記認証法は役に立たないものにな
る。
【0027】上記メッセージ認証機構はシフト・レジス
タを用いて実施されるから、これらと同一のまたはその
他のシフト・レジスタがストリーム暗号システム自体を
実施するために用いることができる。この構造は簡単で
あるので、高速アプリケーションの利用を可能とし、ハ
ードウェアのコストを低くするという付随的な利点をも
つ。本発明の好適例は、CRCの高速実施例に関する既
存の知識を利用するが、CRCが通常標準として定義さ
れるという制限はない。とりわけ、本発明は、データ・
ストリームのビット順序を入れ替える必要がある剰余演
算の高速化のために並列化技術を用い得る。そのような
入れ替えはCRC標準仕様に従わない。
【0028】本発明は、ストリーム暗号システムと共に
用いられるとき、通信者間に彼らの暗号化ストリーム中
の同期の欠如を発見する方法を提供する。実際、この同
期が失われると、(たとえこの同期の欠如が悪意のある
介入によって引き起こされたとしても)暗号化メッセー
ジは非常に高い確率で認証機構において失敗する。その
ような場合、当該通信者間は使用される特定の通信プロ
トコルに従ってメッセージの再送及び(または)再同期
の状態に入ることを試みることができる。例えば、新し
い秘密暗号化キーを交換することによって再同期が行わ
れる。
【0029】本発明は2進多項式(すなわち体GF
(2)上の多項式)の点から記述されてきたが、より一
般の場合、本発明は、異なる有限体Fからの記号を成分
とするメッセージを考慮することによって用いることが
できる。この場合、上記既約多項式p(x)と上記剰余
演算との両方がその体F上で実行される。また、伸長す
る1と0は体F上の1と0として考えられるべきであ
る。
【0030】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0031】(1)通信システムにおいて、送信者から
受信者へ送信されるメッセージの信憑性を確認する方法
であって、(a)上記送信者と上記受信者との間で、暗
号化キーと次数nの既約多項式p(x)とを秘密に交換
するステップと、(b)上記送信者によって送信される
個々のメッセージMに対し、先頭に非ゼロ・ストリング
と末尾にnビットを上記メッセージMに付加し、上記メ
ッセージMのビットに対応する係数を有する多項式に対
応する伸長メッセージM’を生成するステップと、
(c)上記ステップ(a)で交換された上記多項式p
(x)による、上記ステップ(b)で生成された上記伸
長メッセージM’に対応する上記多項式の除算から、結
果として生じる多項式剰余rを計算するステップと、
(d)上記ステップ(a)で交換された上記暗号化キー
を用いて、上記ステップ(c)で計算された上記剰余を
暗号化するステップと、(e)上記メッセージと上記ス
テップ(d)で暗号化された上記剰余を送信するステッ
プと、(f)上記ステップ(a)で交換された上記暗号
化キーを用いて、送信された上記暗号化された剰余を、
受信時に上記受信者により復号するステップと、(g)
上記ステップ(f)で復号された剰余と受信メッセージ
mとを連結し、先頭に非ゼロ・ストリングを付加し、伸
長受信メッセージm’を生成するステップと、(h)上
記伸長受信メッセージm’の多項式表現と上記ステップ
(a)で交換された上記多項式p(x)との間の除算の
剰余rを計算するステップと、(i)上記ステップ
(h)で計算された上記剰余が予め決められた値である
場合のみ、上記受信メッセージmを真正であるとして受
け入れるステップとを含むメッセージ確認方法。 (2)ステップ(b)が、上記非ゼロ・ストリングとし
て先頭にビット「1」を付加することにより実行され
る、(1)記載のメッセージ確認方法。 (3)ステップ(b)が、上記nビットとしてn個の
「0」を末尾に付加することにより実行され、ステップ
(i)の上記予め決められた値がゼロである(1)記載
のメッセージ確認方法。 (4)ステップ(b)が、上記nビットとして任意のス
トリングSを末尾に付加することにより実行され、ステ
ップ(i)の上記予め決められた値が上記ストリングS
である(1)記載のメッセージ確認方法。 (5)上記メッセージM及び多項式の係数が、非2進有
限体F上の要素として考えられ、上記ステップ(c)及
びステップ(h)とにおける上記多項式剰余演算が体F
上の要素として考えられ、上記ステップ(c)と上記ス
テップ(h)とにおける上記多項式剰余演算が上記体F
で実行される、(1)記載のメッセージ確認方法。 (6)上記ステップ(d)と上記ステップ(f)が、上
記剰余のビットと上記送信者及び上記受信者によって共
有された秘密のビットのストリームとの間のビット毎の
排他的論理和演算により実行される、(1)記載のメッ
セージ確認方法。 (7)上記秘密のビットのストリームが、ランダム又は
疑似ランダムである、(6)記載のメッセージ確認方
法。 (8)上記ステップ(e)の前に上記メッセージMを上
記送信者により暗号化するステップと、上記受信したメ
ッセージmの末尾に上記ステップ(f)で復号した剰余
を付加する前に、メッセージmを上記受信者により復号
するステップとをさらに含む(1)記載のメッセージ確
認方法。 (9)送信者と受信者との間で暗号化キーと次数nの既
約多項式p(x)とが秘密に交換されている通信システ
ムであって、上記送信者によって送信されるメッセージ
Mを含む第1バッファであって、先頭に非ゼロ・ストリ
ングと末尾にnビットを付加し、上記メッセージのビッ
トに対応する係数を有する多項式に対応する伸長メッセ
ージM’を生成する上記第1バッファと、上記多項式p
(x)により上記伸長メッセージM’に対応する上記多
項式の除算から、結果として生じる多項式剰余rを計算
する第1除算器と、上記剰余rを上記暗号化キーで暗号
化する第1暗号装置と、上記メッセージMと上記第1暗
号装置からの暗号化された上記剰余を送信する送信器
と、送信されたメッセージmと暗号化された剰余を受信
する受信器と、上記暗号化キーを用いて、送信された暗
号化剰余を復号する第2暗号装置と、上記復号された剰
余を受信されたメッセージmとを連結し、先頭に非ゼロ
・ストリングを付加し、伸長された受信メッセージm’
を生成する第2バッファと、上記伸長された受信メッセ
ージm’による多項式表現と上記多項式p(x)との除
算の剰余rを計算する第2除算器と、上記第2除算器に
より計算された剰余が所定の値である場合にのみ、上記
受信メッセージを真正として受け入れるプロセッサとを
有する通信システム。 (10)非ゼロ・ストリングとして先頭に「1」のビッ
トが付加されることを特徴とする(9)記載の通信シス
テム。 (11)n個の「0」を上記末尾のnビットとして付加
し、上記プロセッサは上記所定の値がゼロである場合に
上記受信メッセージを真正として受け入れることを特徴
とする(9)記載の通信システム。 (12)任意のストリングSを上記末尾のnビットとし
て付加し、上記プロセッサは上記所定の値が上記ストリ
ングSである場合に上記受信メッセージを真正として受
け入れることを特徴とする(9)記載の通信システム。 (13)上記第1及び第2除算器が、nステージを有す
るアキュムレータ・レジスタであって、上記アキュムレ
ータは、「1」に初期化された第1ステージを除きすべ
てゼロを含むように初期化され、データ・ビットは、L
+nクロック・パルスで上記アキュムレータ・レジスタ
を通してシフトされ、Lがデータ・ビット数である上記
アキュムレータと、各々が上記アキュムレータ・レジス
タの隣接するステージ間に配置された複数の排他的論理
和ゲートと、nステージを有し、上記多項式キーp
(x)をロード可能な制御レジスタと、複数のANDゲ
ートであって、上記アキュムレータ・レジスタの最終ス
テージの出力により使用可能になるように接続され、上
記制御レジスタのステージの対応する1つから入力を受
信し、上記ANDゲートの各々の出力は、上記排他的論
理和ゲートの対応する1つに供給される上記ANDゲー
トとを有する(9)記載の通信システム。
【0032】
【発明の効果】本発明によって、悪意のある侵害者によ
るメッセージの改ざんに対抗して保護する2進加法的ス
トリーム暗号システムのための高速で安全なメッセージ
認証が可能となる。さらに、再同期を可能にするために
送信者と受信者との間の同期が失われたことを検出する
安全なメッセージ認証システムが実現される。
【図面の簡単な説明】
【図1】送信者の構成を示したブロック図である。
【図2】受信者の構成を示したブロック図である。
【図3】個々のメッセージに対し、送信者が行う作業の
流れ図である。
【図4】個々のメッセージに対し、受信者が行う作業の
流れ図である。
【図5】多項式除算剰余の計算に用いるハードウェアの
論理回路のブロック図である。
【符号の説明】
11 メッセージM 12 仮想バッファ 13 剰余演算ユニット 14 暗号装置 15 仮想バッファ 21 仮想バッファ 22 暗号装置 23 仮想バッファ 24 剰余演算ユニット 25 プロセッサ 31 仮想バッファ 32 関数ブロック・伸長 33 仮想バッファ 34 関数ブロック・剰余演算 35 関数ブロック・暗号化 36 仮想バッファ 37 関数ブロック・送信 41 関数ブロック・受信 42 仮想バッファ 43 関数ブロック・復号化 44 仮想バッファ 45 剰余演算ユニット 46 決定ブロック・結果がゼロか 47 関数ブロック・無効メッセージとして拒絶 48 関数ブロック・有効メッセージとして受入れ 51 アキュムレータ 52 制御レジスタ 53 排他的論理和ゲート 54 ANDゲート
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ヒューゴ・マリオ・クロージック アメリカ合衆国10463 ニューヨーク州、 リバーデイル、ネザーランド・アベニュ ー、アパートメント・ファイブゼロワン 2600 (72)発明者 シェイ・クッテン アメリカ合衆国07866 ニュー・ジャージ ー州、ロックアウェイ、レノックス・スト リート 41 (72)発明者 イーシェイ・マンソーア イスラエル、テルアビブ、アリストボル・ ストリート 6

Claims (13)

    【特許請求の範囲】
  1. 【請求項1】通信システムにおいて、送信者から受信者
    へ送信されるメッセージの信憑性を確認する方法であっ
    て、 (a)上記送信者と上記受信者との間で、暗号化キーと
    次数nの既約多項式p(x)とを秘密に交換するステッ
    プと、 (b)上記送信者によって送信される個々のメッセージ
    Mに対し、先頭に非ゼロ・ストリングと末尾にnビット
    を上記メッセージMに付加し、上記メッセージMのビッ
    トに対応する係数を有する多項式に対応する伸長メッセ
    ージM’を生成するステップと、 (c)上記ステップ(a)で交換された上記多項式p
    (x)による、上記ステップ(b)で生成された上記伸
    長メッセージM’に対応する上記多項式の除算から、結
    果として生じる多項式剰余rを計算するステップと、 (d)上記ステップ(a)で交換された上記暗号化キー
    を用いて、上記ステップ(c)で計算された上記剰余を
    暗号化するステップと、 (e)上記メッセージと上記ステップ(d)で暗号化さ
    れた上記剰余を送信するステップと、 (f)上記ステップ(a)で交換された上記暗号化キー
    を用いて、送信された上記暗号化された剰余を、受信時
    に上記受信者により復号するステップと、 (g)上記ステップ(f)で復号された剰余と受信メッ
    セージmとを連結し、先頭に非ゼロ・ストリングを付加
    し、伸長受信メッセージm’を生成するステップと、 (h)上記伸長受信メッセージm’の多項式表現と上記
    ステップ(a)で交換された上記多項式p(x)との間
    の除算の剰余rを計算するステップと、 (i)上記ステップ(h)で計算された上記剰余が予め
    決められた値である場合のみ、上記受信メッセージmを
    真正であるとして受け入れるステップとを含むメッセー
    ジ確認方法。
  2. 【請求項2】ステップ(b)が、上記非ゼロ・ストリン
    グとして先頭にビット「1」を付加することにより実行
    される、請求項1記載のメッセージ確認方法。
  3. 【請求項3】ステップ(b)が、上記nビットとしてn
    個の「0」を末尾に付加することにより実行され、 ステップ(i)の上記予め決められた値がゼロである請
    求項1記載のメッセージ確認方法。
  4. 【請求項4】ステップ(b)が、上記nビットとして任
    意のストリングSを末尾に付加することにより実行さ
    れ、 ステップ(i)の上記予め決められた値が上記ストリン
    グSである請求項1記載のメッセージ確認方法。
  5. 【請求項5】上記メッセージM及び多項式の係数が、非
    2進有限体F上の要素として考えられ、上記ステップ
    (c)及びステップ(h)とにおける上記多項式剰余演
    算が体F上の要素として考えられ、上記ステップ(c)
    と上記ステップ(h)とにおける上記多項式剰余演算が
    上記体Fで実行される、請求項1記載のメッセージ確認
    方法。
  6. 【請求項6】上記ステップ(d)と上記ステップ(f)
    が、上記剰余のビットと上記送信者及び上記受信者によ
    って共有された秘密のビットのストリームとの間のビッ
    ト毎の排他的論理和演算により実行される、請求項1記
    載のメッセージ確認方法。
  7. 【請求項7】上記秘密のビットのストリームが、ランダ
    ム又は疑似ランダムである、請求項6記載のメッセージ
    確認方法。
  8. 【請求項8】上記ステップ(e)の前に上記メッセージ
    Mを上記送信者により暗号化するステップと、 上記受信したメッセージmの末尾に上記ステップ(f)
    で復号した剰余を付加する前に、メッセージmを上記受
    信者により復号するステップとをさらに含む請求項1記
    載のメッセージ確認方法。
  9. 【請求項9】送信者と受信者との間で暗号化キーと次数
    nの既約多項式p(x)とが秘密に交換されている通信
    システムであって、 上記送信者によって送信されるメッセージMを含む第1
    バッファであって、 先頭に非ゼロ・ストリングと末尾にnビットを付加し、
    上記メッセージのビットに対応する係数を有する多項式
    に対応する伸長メッセージM’を生成する上記第1バッ
    ファと、 上記多項式p(x)により上記伸長メッセージM’に対
    応する上記多項式の除算から、結果として生じる多項式
    剰余rを計算する第1除算器と、 上記剰余rを上記暗号化キーで暗号化する第1暗号装置
    と、 上記メッセージMと上記第1暗号装置からの暗号化され
    た上記剰余を送信する送信器と、 送信されたメッセージmと暗号化された剰余を受信する
    受信器と、 上記暗号化キーを用いて、送信された暗号化剰余を復号
    する第2暗号装置と、 上記復号された剰余を受信されたメッセージmとを連結
    し、先頭に非ゼロ・ストリングを付加し、伸長された受
    信メッセージm’を生成する第2バッファと、 上記伸長された受信メッセージm’による多項式表現と
    上記多項式p(x)との除算の剰余rを計算する第2除
    算器と、 上記第2除算器により計算された剰余が所定の値である
    場合にのみ、上記受信メッセージを真正として受け入れ
    るプロセッサとを有する通信システム。
  10. 【請求項10】非ゼロ・ストリングとして先頭に「1」
    のビットが付加されることを特徴とする請求項9記載の
    通信システム。
  11. 【請求項11】n個の「0」を上記末尾のnビットとし
    て付加し、上記プロセッサは上記所定の値がゼロである
    場合に上記受信メッセージを真正として受け入れること
    を特徴とする請求項9記載の通信システム。
  12. 【請求項12】任意のストリングSを上記末尾のnビッ
    トとして付加し、上記プロセッサは上記所定の値が上記
    ストリングSである場合に上記受信メッセージを真正と
    して受け入れることを特徴とする請求項9記載の通信シ
    ステム。
  13. 【請求項13】上記第1及び第2除算器が、 nステージを有するアキュムレータ・レジスタであっ
    て、 上記アキュムレータは、「1」に初期化された第1ステ
    ージを除きすべてゼロを含むように初期化され、 データ・ビットは、L+nクロック・パルスで上記アキ
    ュムレータ・レジスタを通してシフトされ、 Lがデータ・ビット数である上記アキュムレータと、 各々が上記アキュムレータ・レジスタの隣接するステー
    ジ間に配置された複数の排他的論理和ゲートと、 nステージを有し、上記多項式キーp(x)をロード可
    能な制御レジスタと、 複数のANDゲートであって、 上記アキュムレータ・レジスタの最終ステージの出力に
    より使用可能になるように接続され、上記制御レジスタ
    のステージの対応する1つから入力を受信し、 上記ANDゲートの各々の出力は、上記排他的論理和ゲ
    ートの対応する1つに供給される上記ANDゲートとを
    有する請求項9記載の通信システム。
JP6177838A 1993-09-08 1994-07-29 メッセージ確認方法及び通信システム Expired - Lifetime JP2579440B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/118,080 US5345507A (en) 1993-09-08 1993-09-08 Secure message authentication for binary additive stream cipher systems
US118080 1993-09-08

Publications (2)

Publication Number Publication Date
JPH07107085A true JPH07107085A (ja) 1995-04-21
JP2579440B2 JP2579440B2 (ja) 1997-02-05

Family

ID=22376412

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6177838A Expired - Lifetime JP2579440B2 (ja) 1993-09-08 1994-07-29 メッセージ確認方法及び通信システム

Country Status (3)

Country Link
US (1) US5345507A (ja)
EP (1) EP0644676A3 (ja)
JP (1) JP2579440B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002543667A (ja) * 1999-04-26 2002-12-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 効果的なキー長制御方法及び装置
JP2005512247A (ja) * 2001-12-10 2005-04-28 イレクトラニク、デイタ、システィムズ、コーパレイシャン ネットワークユーザ認証システムおよび方法
JP2011160228A (ja) * 2010-02-01 2011-08-18 Kddi Corp 認証付きストリーム暗号の暗号化装置、認証付きストリーム暗号の復号化装置、暗号化方法、復号化方法およびプログラム
JP2011160229A (ja) * 2010-02-01 2011-08-18 Kddi Corp 認証付きストリーム暗号の暗号化装置、認証付きストリーム暗号の復号化装置、暗号化方法、復号化方法およびプログラム

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0823331A (ja) * 1994-07-07 1996-01-23 Murata Mach Ltd 暗号化通信方法及び装置
FR2755558B1 (fr) * 1996-11-04 1999-01-22 Centre Nat Rech Scient Procede de decorrelation de donnees
CA2210199A1 (en) * 1997-07-11 1999-01-11 Mitel Corporation Method and apparatus for the generation of non-linear confusion data
US6076163A (en) * 1997-10-20 2000-06-13 Rsa Security Inc. Secure user identification based on constrained polynomials
US6918034B1 (en) * 1999-09-29 2005-07-12 Nokia, Corporation Method and apparatus to provide encryption and authentication of a mini-packet in a multiplexed RTP payload
DE10001855A1 (de) * 2000-01-18 2001-07-19 Siemens Ag Verfahren, System zur Übermittlung von Daten von einem Sender zu einem Empfänger und Sender bzw. Empfänger hierzu
EP1556749A1 (en) * 2002-06-18 2005-07-27 Honeywell International, Inc. Master dongle for a secured data communications network
AU2005230066A1 (en) * 2004-03-31 2005-10-20 Nec Corporation Padding application method guaranteeing safety of encryption method
KR100601706B1 (ko) * 2004-10-15 2006-07-18 삼성전자주식회사 Drm 시스템에 있어서 시스템 키를 공유하고 생성하는방법 및 장치
WO2006130615A2 (en) * 2005-05-31 2006-12-07 Tricipher, Inc. Secure login using single factor split key asymmetric cryptography and an augmenting factor
KR100736047B1 (ko) 2005-07-28 2007-07-06 삼성전자주식회사 무선 네트워크 장치 및 이를 이용한 인증 방법
US8572382B2 (en) * 2006-05-15 2013-10-29 Telecom Italia S.P.A. Out-of band authentication method and system for communication over a data network
US8036380B2 (en) * 2006-12-14 2011-10-11 Telefonaktiebolaget L M Ericsson (Publ) Efficient data integrity protection
JP5251520B2 (ja) * 2007-02-02 2013-07-31 日本電気株式会社 分散情報生成装置、復元装置、復元結果検証装置、秘密情報分散システム、方法およびプログラム
DE102009000322A1 (de) * 2009-01-20 2010-07-22 Robert Bosch Gmbh Nichtlinear rückgekoppeltes Schieberegister sowie Verfahren zur nichtlinearen Signaturbildung
DE102009027086A1 (de) * 2009-06-23 2010-12-30 Robert Bosch Gmbh Vorrichtung und Verfahren zur Bildung einer Signatur
US8462939B2 (en) * 2010-12-07 2013-06-11 King Fahd University Of Petroleum And Minerals RNS-based cryptographic system and method
US8345876B1 (en) 2012-03-06 2013-01-01 Robert Samuel Sinn Encryption/decryption system and method
WO2015197128A1 (en) * 2014-06-27 2015-12-30 Telefonaktiebolaget L M Ericsson (Publ) Generating cryptographic checksums
CN106688204B (zh) * 2014-08-19 2020-04-24 瑞典爱立信有限公司 生成加密校验和的方法、认证消息的方法及其设备
CN107592968B (zh) * 2015-05-04 2021-05-11 瑞典爱立信有限公司 生成密码校验和
DE102016219926A1 (de) * 2016-10-13 2018-04-19 Siemens Aktiengesellschaft Verfahren, Sender und Empfänger zum Authentisieren und zum Integritätsschutz von Nachrichteninhalten

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4351982A (en) * 1980-12-15 1982-09-28 Racal-Milgo, Inc. RSA Public-key data encryption system having large random prime number generating microprocessor or the like
US4797921A (en) * 1984-11-13 1989-01-10 Hitachi, Ltd. System for enciphering or deciphering data
US4685132A (en) * 1985-07-30 1987-08-04 Sperry Corporation Bent sequence code generator
US4771463A (en) * 1986-12-05 1988-09-13 Siemens Transmission Systems, Inc. Digital scrambling without error multiplication
US4860353A (en) * 1988-05-17 1989-08-22 General Instrument Corporation Dynamic feedback arrangement scrambling technique keystream generator
US5054066A (en) * 1988-11-16 1991-10-01 Grumman Corporation Error correcting public key cryptographic method and program
US5220606A (en) * 1992-02-10 1993-06-15 Harold Greenberg Cryptographic system and method

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002543667A (ja) * 1999-04-26 2002-12-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 効果的なキー長制御方法及び装置
JP4668428B2 (ja) * 1999-04-26 2011-04-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 効果的なキー長制御方法及び装置
JP2005512247A (ja) * 2001-12-10 2005-04-28 イレクトラニク、デイタ、システィムズ、コーパレイシャン ネットワークユーザ認証システムおよび方法
JP4864289B2 (ja) * 2001-12-10 2012-02-01 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. ネットワークユーザ認証システムおよび方法
JP2011160228A (ja) * 2010-02-01 2011-08-18 Kddi Corp 認証付きストリーム暗号の暗号化装置、認証付きストリーム暗号の復号化装置、暗号化方法、復号化方法およびプログラム
JP2011160229A (ja) * 2010-02-01 2011-08-18 Kddi Corp 認証付きストリーム暗号の暗号化装置、認証付きストリーム暗号の復号化装置、暗号化方法、復号化方法およびプログラム

Also Published As

Publication number Publication date
US5345507A (en) 1994-09-06
JP2579440B2 (ja) 1997-02-05
EP0644676A2 (en) 1995-03-22
EP0644676A3 (en) 1995-08-23

Similar Documents

Publication Publication Date Title
JP2579440B2 (ja) メッセージ確認方法及び通信システム
RU2340108C2 (ru) Эффективное шифрование и аутентификация для систем обработки данных
US7277548B2 (en) Cryptographic method and computer program product for use in wireless local area networks
US20020159598A1 (en) System and method of dynamic key generation for digital communications
US8744078B2 (en) System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths
JPH09312643A (ja) 鍵共有方法及び暗号通信方法
Paar et al. Message authentication codes (MACs)
MAQABLEH Analysis and design security primitives based on chaotic systems for ecommerce
Dubrova et al. Cryptographically secure CRC for lightweight message authentication
Banoth et al. Classical and Modern Cryptography for Beginners
KR100551992B1 (ko) 어플리케이션 데이터의 암호화 및 복호화 방법
US20040039918A1 (en) Secure approach to send data from one system to another
Rajasekar et al. Introduction to classical cryptography
Benaloh et al. The private communication technology (pct) protocol
Klima et al. Side channel attacks on CBC encrypted messages in the PKCS# 7 format
Mitchell Error oracle attacks on cbc mode: Is there a future for cbc mode encryption?
US20040139321A1 (en) Method for authenticating a message
Rogobete et al. Hashing and Message Authentication Code Implementation. An Embedded Approach.
US11838424B2 (en) Authenticated encryption apparatus with initialization-vector misuse resistance and method therefor
JP2000004223A (ja) 暗号・認証システム
CN114039720B (zh) 一种基于lfsr哈希的无条件安全的认证加密方法
Birrane, III et al. RFC 9173: Default Security Contexts for Bundle Protocol Security (BPSec)
Rath et al. Cryptography and network security lecture notes
Barlow Symmetric encryption with multiple keys: techniques and applications
Oszywa et al. Combining message encryption and authentication