JPH07107085A - メッセージ確認方法及び通信システム - Google Patents
メッセージ確認方法及び通信システムInfo
- Publication number
- JPH07107085A JPH07107085A JP6177838A JP17783894A JPH07107085A JP H07107085 A JPH07107085 A JP H07107085A JP 6177838 A JP6177838 A JP 6177838A JP 17783894 A JP17783894 A JP 17783894A JP H07107085 A JPH07107085 A JP H07107085A
- Authority
- JP
- Japan
- Prior art keywords
- message
- polynomial
- remainder
- bits
- sender
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 47
- 238000004891 communication Methods 0.000 title claims description 21
- 238000012790 confirmation Methods 0.000 title claims description 16
- 235000002020 sage Nutrition 0.000 claims 1
- 230000006870 function Effects 0.000 description 28
- 230000008569 process Effects 0.000 description 8
- 239000000654 additive Substances 0.000 description 7
- 230000000996 additive effect Effects 0.000 description 7
- 230000006837 decompression Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010009944 Colon cancer Diseases 0.000 description 1
- AZFKQCNGMSSWDS-UHFFFAOYSA-N MCPA-thioethyl Chemical compound CCSC(=O)COC1=CC=C(Cl)C=C1C AZFKQCNGMSSWDS-UHFFFAOYSA-N 0.000 description 1
- 239000006227 byproduct Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
- H04L9/0662—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3026—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to polynomials generation, e.g. generation of irreducible polynomials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/125—Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/20—Manipulating the length of blocks of bits, e.g. padding or block truncation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【目的】 侵害者によるメッセージの改ざんに対して2
進加法的ストリーム暗号システムのための高速で安全な
メッセージ認証を提供する。 【構成】 第1段階では、送受信者間でキーが安全に交
換される。このキーは次数nの2進既約多項式p(x)
である。又、送信者及び受信者は秘密のランダム・ビッ
トのストリームから成る暗号化キーを共有する。第2段
階では、伸長メッセージを生成するために、送信者が単
一の「1」のビットを先頭に、n個のビット「0」を末
尾にメッセージMに付加する。送信者はキー多項式p
(x)による伸長メッセージ多項式の除算をし、その多
項式剰余を暗号化する。送信者はメッセージMと暗号化
剰余を送信する。第3段階では、受信者は、受信暗号化
剰余を復号し、先頭「1」とその剰余と受信メッセージ
Mからなるビット・ストリームM'の2進多項式表現と
キー多項式p(x)の間の除算の剰余を計算する。その
剰余がゼロであるときのみ受信者は受信メッセージMを
真正として受け入れる。
進加法的ストリーム暗号システムのための高速で安全な
メッセージ認証を提供する。 【構成】 第1段階では、送受信者間でキーが安全に交
換される。このキーは次数nの2進既約多項式p(x)
である。又、送信者及び受信者は秘密のランダム・ビッ
トのストリームから成る暗号化キーを共有する。第2段
階では、伸長メッセージを生成するために、送信者が単
一の「1」のビットを先頭に、n個のビット「0」を末
尾にメッセージMに付加する。送信者はキー多項式p
(x)による伸長メッセージ多項式の除算をし、その多
項式剰余を暗号化する。送信者はメッセージMと暗号化
剰余を送信する。第3段階では、受信者は、受信暗号化
剰余を復号し、先頭「1」とその剰余と受信メッセージ
Mからなるビット・ストリームM'の2進多項式表現と
キー多項式p(x)の間の除算の剰余を計算する。その
剰余がゼロであるときのみ受信者は受信メッセージMを
真正として受け入れる。
Description
【0001】
【産業上の利用分野】本発明は、メッセージの受信者に
メッセージの保全性(すなわち、受信メッセージが高い
確率で送信メッセージと同一であること)を確認できる
ようにするための方法に関し、特にストリーム暗号によ
って暗号化されたメッセージの保全性を保護し、かつ悪
意ある侵害者による改ざんに対し当該メッセージを保護
する方法に関するものである。また、本発明は、送信者
と受信者との間の同期が失われたときこれを検出する機
能を有し、それにより再同期を可能にする。
メッセージの保全性(すなわち、受信メッセージが高い
確率で送信メッセージと同一であること)を確認できる
ようにするための方法に関し、特にストリーム暗号によ
って暗号化されたメッセージの保全性を保護し、かつ悪
意ある侵害者による改ざんに対し当該メッセージを保護
する方法に関するものである。また、本発明は、送信者
と受信者との間の同期が失われたときこれを検出する機
能を有し、それにより再同期を可能にする。
【0002】
【従来の技術】認証は、任意の人または物が有効である
または真正であるということを証明するプロセスであ
る。コンピュータ・システムや通信ネットワークにおい
て、認証はデータ・セキュリティの重要な部分である。
認証方式は全て、1または複数のパラメタの有効性を検
査するものである。例えば、人物の身元の認証では、申
し立てた身元(ID)を有する当該人物によって秘密の
または忘れにくいパラメタが与えられるような検査が必
要である。その与えられたパラメタの有効性を検査する
ことによってシステムはその人物が申し立て通りの人物
であるか否かを決定することができる。
または真正であるということを証明するプロセスであ
る。コンピュータ・システムや通信ネットワークにおい
て、認証はデータ・セキュリティの重要な部分である。
認証方式は全て、1または複数のパラメタの有効性を検
査するものである。例えば、人物の身元の認証では、申
し立てた身元(ID)を有する当該人物によって秘密の
または忘れにくいパラメタが与えられるような検査が必
要である。その与えられたパラメタの有効性を検査する
ことによってシステムはその人物が申し立て通りの人物
であるか否かを決定することができる。
【0003】メッセージ認証は、メッセージの受信者が
メッセージの保全性を確認できるプロセスである。すな
わち、受信メッセージが送信した時点でのメッセージと
(高い確率で)同一であることを確認することである。
巡回冗長符号(cyclic redundancy codes:CRC)は
通信ネットワークでの誤り検出に広く用いられている。
そのような符号は多項式の除算によって生成される。し
かしながら、CRCを用いたメッセージ認証は、通常セ
キュリティとは無関係の送信データに対して行われてい
るが、故意でない変更を検出する手段でしかない。セキ
ュリティのためには、改ざんされたことが検出されるこ
となく送信元と宛先のアドレスとを含むメッセージ内容
を悪意のある侵入者が改ざんするのを防ぐような機構が
必要である。CRCのような標準的な機構は、固定的で
ありかつ周知の手順であるため、悪意のある介入に対処
することはできない。したがって、いずれの侵入者も任
意のメッセージを選んで認証してしまうことができる。
メッセージの保全性を確認できるプロセスである。すな
わち、受信メッセージが送信した時点でのメッセージと
(高い確率で)同一であることを確認することである。
巡回冗長符号(cyclic redundancy codes:CRC)は
通信ネットワークでの誤り検出に広く用いられている。
そのような符号は多項式の除算によって生成される。し
かしながら、CRCを用いたメッセージ認証は、通常セ
キュリティとは無関係の送信データに対して行われてい
るが、故意でない変更を検出する手段でしかない。セキ
ュリティのためには、改ざんされたことが検出されるこ
となく送信元と宛先のアドレスとを含むメッセージ内容
を悪意のある侵入者が改ざんするのを防ぐような機構が
必要である。CRCのような標準的な機構は、固定的で
ありかつ周知の手順であるため、悪意のある介入に対処
することはできない。したがって、いずれの侵入者も任
意のメッセージを選んで認証してしまうことができる。
【0004】M. O. Rabinは、「Fingerprinting by Ran
dom Polynomials」, Tech. Rep. TR-15-81, Center for
Research in Computing Technology, Harvard Univ.,
Cambridge, Mass.(1981)の中で、CRCのように、基
本的な認証演算として多項式除算を用いた指紋関数を提
案した。Rabin法では、検査合計(check-sum)は送信さ
れず、それゆえ当該検査合計は上記メッセージを認証す
るのに利用できない。
dom Polynomials」, Tech. Rep. TR-15-81, Center for
Research in Computing Technology, Harvard Univ.,
Cambridge, Mass.(1981)の中で、CRCのように、基
本的な認証演算として多項式除算を用いた指紋関数を提
案した。Rabin法では、検査合計(check-sum)は送信さ
れず、それゆえ当該検査合計は上記メッセージを認証す
るのに利用できない。
【0005】暗号は、送信メッセージを認証するための
高いレベルの安全な手段を与える。しかしながら、ある
メッセージ暗号化法が副産物としてある保全性検査を可
能とするが、一方、加法的ストリーム暗号システムとい
う共通キー暗号化法はメッセージ認証に全く有効ではな
い。したがって、他の暗号化法を用いるときより、メッ
セージ認証機構の必要性は大きい。実は、これらの暗号
化法を用いるとき、暗号化後でさえメッセージを改ざん
するのは非常に容易である。実際、Cが上記メッセージ
Mに対応する暗号文であるならば(すなわち、C=E
(M)。ただし、Eは暗号化関数。)、C exor
M’=E(M exor M’)であるから、C ex
or M’がM exor M’に対応する暗号文とな
る。ここで、記号「exor」はビット毎の排他的論理和演
算を表す。したがって、暗号化メッセージMに途中で割
り込むことによって、復号化アルゴリズムによって気付
かれることなしに容易に当該メッセージの内容をM e
xor M’に変更することができる。安全なメッセー
ジ認証法は暗号化データの改ざんを高い確率で検出でき
なければならない。
高いレベルの安全な手段を与える。しかしながら、ある
メッセージ暗号化法が副産物としてある保全性検査を可
能とするが、一方、加法的ストリーム暗号システムとい
う共通キー暗号化法はメッセージ認証に全く有効ではな
い。したがって、他の暗号化法を用いるときより、メッ
セージ認証機構の必要性は大きい。実は、これらの暗号
化法を用いるとき、暗号化後でさえメッセージを改ざん
するのは非常に容易である。実際、Cが上記メッセージ
Mに対応する暗号文であるならば(すなわち、C=E
(M)。ただし、Eは暗号化関数。)、C exor
M’=E(M exor M’)であるから、C ex
or M’がM exor M’に対応する暗号文とな
る。ここで、記号「exor」はビット毎の排他的論理和演
算を表す。したがって、暗号化メッセージMに途中で割
り込むことによって、復号化アルゴリズムによって気付
かれることなしに容易に当該メッセージの内容をM e
xor M’に変更することができる。安全なメッセー
ジ認証法は暗号化データの改ざんを高い確率で検出でき
なければならない。
【0006】さらに、上記認証プロセス(平文に対して
行われるプロセス、すなわち暗号化前と復号化後とに行
われるプロセス)は、復号化が正しいことの証明とし
て、ストリーム暗号システムの中で送信者と受信者との
間の暗号化・復号化の同期を確認するのに不可欠な機能
を果たす。そのようなシステムでは、当該送信者及び当
該受信者は自分達の状態の変化の同期をとる必要があ
る。そうでなければ、正しい復号化は不可能である.さ
らに、高いデータ伝送速度を維持するために上記認証法
は非常に高速でなければならない。
行われるプロセス、すなわち暗号化前と復号化後とに行
われるプロセス)は、復号化が正しいことの証明とし
て、ストリーム暗号システムの中で送信者と受信者との
間の暗号化・復号化の同期を確認するのに不可欠な機能
を果たす。そのようなシステムでは、当該送信者及び当
該受信者は自分達の状態の変化の同期をとる必要があ
る。そうでなければ、正しい復号化は不可能である.さ
らに、高いデータ伝送速度を維持するために上記認証法
は非常に高速でなければならない。
【0007】
【発明が解決しようとする課題】本発明の目的は、悪意
のある侵害者による、上記送信元と宛先アドレスとを含
む上記メッセージへの改ざんに対して保護する2進加法
的ストリーム暗号システムのための高速で安全なメッセ
ージ認証を提供することである。
のある侵害者による、上記送信元と宛先アドレスとを含
む上記メッセージへの改ざんに対して保護する2進加法
的ストリーム暗号システムのための高速で安全なメッセ
ージ認証を提供することである。
【0008】本発明のもう一つの目的は、上記送信者と
上記受信者との間の同期が失われたことを検出し、再同
期を可能とする安全なメッセージ認証システムを提供す
ることである。
上記受信者との間の同期が失われたことを検出し、再同
期を可能とする安全なメッセージ認証システムを提供す
ることである。
【0009】
【課題を解決するための手段】本発明によると、通信シ
ステムの中で送信者から受信者へ送信されるメッセージ
の信憑性を確認する上記方法は3つのステージに分けら
れる。当該送信者と当該受信者との間で通信前にとられ
る行為と、メッセージを送信するプロセスの中での当該
送信者によってとられる行為、及びメッセージを認証す
るために当該メッセージ受信時に当該受信者によってと
られる行為である。第1ステージでは、当該送信者と当
該受信者との間でキーが秘密に交換される。このキーは
次数nの2進(binary)既約多項式p(x)である。さ
らに、当該送信者及び当該受信者は秘密でランダムまた
は疑似ランダムなビットのストリームから成る暗号化キ
ーを共有する。第2ステージでは、当該送信者は伸長メ
ッセージM’を生成するために、先頭の非ゼロ・ストリ
ング(これは最も簡単な場合単一の「1」でよい)と末
尾のnビットとをMへ付加する。本発明の実施にあたっ
てはこの伸長メッセージは当該メッセージ・ビットに対
応する係数を有する多項式として観測される。好適例で
は、当該末尾nビットが全てゼロであるが、その代わり
にnビットの任意のストリングSを使用することも可能
である。もし当該メッセージの長さが既知でかつ暗号的
に確認されるならば、先頭の非ゼロ・ストリング,言い
換えるなら先頭の「1」のビットは必要ない。当該送信
者はそれから当該送信者と当該受信者とで交換した当該
キー多項式p(x)で上記伸長メッセージM’を除算す
ることによって多項式剰余を計算する。当該送信者は計
算された剰余を暗号化する。本発明の好適例では、当該
剰余のビット並びに送信者と受信者とによって共有され
ている秘密のビット・ストリームの間でビット毎の排他
的論理和演算を行うことによってその暗号化がなされ
る。当該送信者はそれから上記メッセージMと当該暗号
化剰余とを送信する。当該メッセージMをも暗号化する
か否かは任意であるが、本発明による認証プロセスには
これは必要ない。
ステムの中で送信者から受信者へ送信されるメッセージ
の信憑性を確認する上記方法は3つのステージに分けら
れる。当該送信者と当該受信者との間で通信前にとられ
る行為と、メッセージを送信するプロセスの中での当該
送信者によってとられる行為、及びメッセージを認証す
るために当該メッセージ受信時に当該受信者によってと
られる行為である。第1ステージでは、当該送信者と当
該受信者との間でキーが秘密に交換される。このキーは
次数nの2進(binary)既約多項式p(x)である。さ
らに、当該送信者及び当該受信者は秘密でランダムまた
は疑似ランダムなビットのストリームから成る暗号化キ
ーを共有する。第2ステージでは、当該送信者は伸長メ
ッセージM’を生成するために、先頭の非ゼロ・ストリ
ング(これは最も簡単な場合単一の「1」でよい)と末
尾のnビットとをMへ付加する。本発明の実施にあたっ
てはこの伸長メッセージは当該メッセージ・ビットに対
応する係数を有する多項式として観測される。好適例で
は、当該末尾nビットが全てゼロであるが、その代わり
にnビットの任意のストリングSを使用することも可能
である。もし当該メッセージの長さが既知でかつ暗号的
に確認されるならば、先頭の非ゼロ・ストリング,言い
換えるなら先頭の「1」のビットは必要ない。当該送信
者はそれから当該送信者と当該受信者とで交換した当該
キー多項式p(x)で上記伸長メッセージM’を除算す
ることによって多項式剰余を計算する。当該送信者は計
算された剰余を暗号化する。本発明の好適例では、当該
剰余のビット並びに送信者と受信者とによって共有され
ている秘密のビット・ストリームの間でビット毎の排他
的論理和演算を行うことによってその暗号化がなされ
る。当該送信者はそれから上記メッセージMと当該暗号
化剰余とを送信する。当該メッセージMをも暗号化する
か否かは任意であるが、本発明による認証プロセスには
これは必要ない。
【0010】第3ステージでは、上記受信者によって受
信時に送信された暗号化剰余が復号化される。再び、本
発明の好適例では、この復号化は、上記剰余のビット並
びに上記通信者間で共有された秘密のビット・ストリー
ムの間のビット毎の排他的論理和演算を用いて行われ
る。当該受信者はそれから組み合わされたビット・スト
リームM’を得るために上記受信メッセージMの末尾に
上記復号化剰余を付加する。当該受信者は、当該ビット
・ストリームM’の2進多項式表現並びに当該送信者と
当該受信者とで交換された上記キー多項式p(x)の間
の除算の剰余を計算する。当該受信者は計算された剰余
がゼロのときにのみ真正であるとして受信メッセージM
を受け入れる。
信時に送信された暗号化剰余が復号化される。再び、本
発明の好適例では、この復号化は、上記剰余のビット並
びに上記通信者間で共有された秘密のビット・ストリー
ムの間のビット毎の排他的論理和演算を用いて行われ
る。当該受信者はそれから組み合わされたビット・スト
リームM’を得るために上記受信メッセージMの末尾に
上記復号化剰余を付加する。当該受信者は、当該ビット
・ストリームM’の2進多項式表現並びに当該送信者と
当該受信者とで交換された上記キー多項式p(x)の間
の除算の剰余を計算する。当該受信者は計算された剰余
がゼロのときにのみ真正であるとして受信メッセージM
を受け入れる。
【0011】本発明の好適例では上記剰余を暗号化(及
び復号化)するのにランダムまたは疑似ランダム・ビッ
ト・ストリームと共にビット毎の排他的論理和関数を用
いるが、他の暗号化法を用いることもできる。しかしな
がら、本発明の重要な特徴はこの2進加法的ストリーム
暗号システムを用いることにより上記システムが安全性
を確認できることである。
び復号化)するのにランダムまたは疑似ランダム・ビッ
ト・ストリームと共にビット毎の排他的論理和関数を用
いるが、他の暗号化法を用いることもできる。しかしな
がら、本発明の重要な特徴はこの2進加法的ストリーム
暗号システムを用いることにより上記システムが安全性
を確認できることである。
【0012】
【実施例】本発明の実施にあたっては、上記通信者間で
まず初めに暗号化関数E(・)で使用いられる暗号化キ
ーを交換する。本発明の特に有益な点は、当該関数E
(・)がストリーム暗号の暗号化法にもなり得ることで
ある。しかしながら、他の種類の暗号化法も用いられ得
る。当該通信者間はまた体(フィールド:field)GF
(2)(0と1という2つの要素からなる体)上の次数
nの多項式p(x)をも交換する。当該多項式p(x)
はランダムに(すなわち一様の確率で)体GF(2)上
の次数nの全ての既約多項式の中から選ばれる。nの値
は通信者間で既知のセキュリティ・パラメタである。そ
れは望ましいセキュリティレベルによる実施によって選
ばれる。暗号化キーと多項式p(x)とは両方とも秘密
に交換される。
まず初めに暗号化関数E(・)で使用いられる暗号化キ
ーを交換する。本発明の特に有益な点は、当該関数E
(・)がストリーム暗号の暗号化法にもなり得ることで
ある。しかしながら、他の種類の暗号化法も用いられ得
る。当該通信者間はまた体(フィールド:field)GF
(2)(0と1という2つの要素からなる体)上の次数
nの多項式p(x)をも交換する。当該多項式p(x)
はランダムに(すなわち一様の確率で)体GF(2)上
の次数nの全ての既約多項式の中から選ばれる。nの値
は通信者間で既知のセキュリティ・パラメタである。そ
れは望ましいセキュリティレベルによる実施によって選
ばれる。暗号化キーと多項式p(x)とは両方とも秘密
に交換される。
【0013】Mは2進表現M=ML-1,...M1,M0
を有する長さLのメッセージとして定義される。M
(x)=xL+ML-1xL-1+...+M1x+M0はGF
(2)上の次数Lの多項式であって,先頭の係数が1で
あり他の係数はメッセージMに対応するものとする。例
えば、M=001101ならば、M(x)=x6+x3+
x2+1となる。ここでx6は先頭の「1」の係数を示し
ている。
を有する長さLのメッセージとして定義される。M
(x)=xL+ML-1xL-1+...+M1x+M0はGF
(2)上の次数Lの多項式であって,先頭の係数が1で
あり他の係数はメッセージMに対応するものとする。例
えば、M=001101ならば、M(x)=x6+x3+
x2+1となる。ここでx6は先頭の「1」の係数を示し
ている。
【0014】図、特に図1を参照しながら、通信システ
ムの中での上記送信者の基本構成を示していく。上記送
信メッセージMをボックス11に概念的に図示する。当
該メッセージのコピーがシリアルまたはパラレルに、メ
ッセージMのビット数より大きいビット位置数を有する
仮想バッファ12(ハードウェア・レジスタでない方が
望ましい)にロードされる。本好適例では、仮想バッフ
ァ12は,Lをメッセージの長さとすると、L+n+1
ステージを有しており、予め「1」にセットされた先頭
のビット位置と予め「0」にセットされたn個の下位ビ
ット位置を含む。多項式xnによってメッセージM
(x)を(2進で)乗算する効果をもたらす、L+nク
ロック・パルスによるメッセージMの仮想バッファ12
へのシフトは当業者には自明であろう.仮想バッファ1
2の中のこの伸長メッセージM’に対してはそれから乱
数多項式p(x)を用いた演算ユニット13で剰余演算
が行われる。望ましい剰余演算ユニット13は以下で図
5を参照してより詳しく記述される。その後、計算され
た剰余は送信者と受信者との間で交換された暗号キーを
用いた安全な暗号装置14において暗号化される。当該
暗号化剰余はそれから別の仮想バッファ15の中の上記
メッセージと連結され、仮想バッファ15の内容はそれ
から受信者に送信される。
ムの中での上記送信者の基本構成を示していく。上記送
信メッセージMをボックス11に概念的に図示する。当
該メッセージのコピーがシリアルまたはパラレルに、メ
ッセージMのビット数より大きいビット位置数を有する
仮想バッファ12(ハードウェア・レジスタでない方が
望ましい)にロードされる。本好適例では、仮想バッフ
ァ12は,Lをメッセージの長さとすると、L+n+1
ステージを有しており、予め「1」にセットされた先頭
のビット位置と予め「0」にセットされたn個の下位ビ
ット位置を含む。多項式xnによってメッセージM
(x)を(2進で)乗算する効果をもたらす、L+nク
ロック・パルスによるメッセージMの仮想バッファ12
へのシフトは当業者には自明であろう.仮想バッファ1
2の中のこの伸長メッセージM’に対してはそれから乱
数多項式p(x)を用いた演算ユニット13で剰余演算
が行われる。望ましい剰余演算ユニット13は以下で図
5を参照してより詳しく記述される。その後、計算され
た剰余は送信者と受信者との間で交換された暗号キーを
用いた安全な暗号装置14において暗号化される。当該
暗号化剰余はそれから別の仮想バッファ15の中の上記
メッセージと連結され、仮想バッファ15の内容はそれ
から受信者に送信される。
【0015】上記暗号化が加法的ストリーム暗号として
実施される場合には、上記暗号化キーは、データと排他
的論理和演算するためのランダム・ビット・ストリン
グ、またはデータと排他的論理和演算される疑似ランダ
ム・ビットの生成のための疑似乱数生成器の種(seed)
である。暗号疑似乱数生成器は文献により周知のもので
ある。例えば、Henry Baker and Fred Piper, 「Cipher
Systems」, John Wileyand Sons(1982)を参照された
い。また、安全なキー交換法も技術的によく知られたも
のである。例えば、J. G. Steiner et al., 「Kerbero
s: An Authentication Service for Open Network Syst
ems」, Usenix Conference Proceedings,Winter 1988を
参照されたい。
実施される場合には、上記暗号化キーは、データと排他
的論理和演算するためのランダム・ビット・ストリン
グ、またはデータと排他的論理和演算される疑似ランダ
ム・ビットの生成のための疑似乱数生成器の種(seed)
である。暗号疑似乱数生成器は文献により周知のもので
ある。例えば、Henry Baker and Fred Piper, 「Cipher
Systems」, John Wileyand Sons(1982)を参照された
い。また、安全なキー交換法も技術的によく知られたも
のである。例えば、J. G. Steiner et al., 「Kerbero
s: An Authentication Service for Open Network Syst
ems」, Usenix Conference Proceedings,Winter 1988を
参照されたい。
【0016】図2は、上記通信システムの中の受信者の
基本構成を示している。ここではmと表している受信メ
ッセージと、eと表している暗号化剰余とが仮想バッフ
ァ21に入力される。この受信暗号化剰余eは交換され
た暗号化キーを用いて安全な暗号装置22で復号化され
る。ここではrと表される復号化剰余は当該受信メッセ
ージmと連結され、先頭の「1」のビットが別の仮想バ
ッファ23で予めセットされる。ここでも、これが最も
簡単な場合であってその先頭の「1」のビットが非ゼロ
・ストリングであることは自明であろう。したがって、
伸長受信メッセージm’が伸長メッセージM’に対応し
て仮想バッファ23に形成され、この多項式m’に対し
ては上記ランダム多項式p(x)を用いた演算ユニット
24で剰余演算が行われる。再び、望ましい剰余演算ユ
ニット24は、剰余演算ユニット13と同様に、以下で
図5により詳しく記述される。プロセッサ25は上記剰
余演算の結果を検査し、結果がゼロなら認証されたとし
て当該メッセージを受け入れる。そうでなければ無効と
してメッセージを拒絶する。
基本構成を示している。ここではmと表している受信メ
ッセージと、eと表している暗号化剰余とが仮想バッフ
ァ21に入力される。この受信暗号化剰余eは交換され
た暗号化キーを用いて安全な暗号装置22で復号化され
る。ここではrと表される復号化剰余は当該受信メッセ
ージmと連結され、先頭の「1」のビットが別の仮想バ
ッファ23で予めセットされる。ここでも、これが最も
簡単な場合であってその先頭の「1」のビットが非ゼロ
・ストリングであることは自明であろう。したがって、
伸長受信メッセージm’が伸長メッセージM’に対応し
て仮想バッファ23に形成され、この多項式m’に対し
ては上記ランダム多項式p(x)を用いた演算ユニット
24で剰余演算が行われる。再び、望ましい剰余演算ユ
ニット24は、剰余演算ユニット13と同様に、以下で
図5により詳しく記述される。プロセッサ25は上記剰
余演算の結果を検査し、結果がゼロなら認証されたとし
て当該メッセージを受け入れる。そうでなければ無効と
してメッセージを拒絶する。
【0017】ここで図3を参照しながら、メッセージM
に対し上記送信者によって行われるステップが記述され
る。送信のために関数ブロック31に入力される個々の
メッセージMに対し、当該メッセージは、一般にM
(x)×xnと定義される伸長多項式M’を生成するた
めに関数ブロック32で伸長される。好適例では、この
伸長ステップは33で当該伸長多項式M’を作るために
先頭の「1」のビットと末尾のn個の「0」のビットを
付加する。第1ステップは上記多項式p(x)による当
該多項式M(x)×xnの除算の剰余を関数ブロック3
4で計算するためのものである。r(x)は結果として
得られる剰余多項式であり、r(M)はr(x)の係数
に対応するnビットのストリングである。当該ストリン
グr(M)は先頭に複数のゼロを有してもよい。r
(M)は検査合計と呼ばれる。上記送信者によって行わ
れる第2ステップはE(r(M))を得るために上記暗
号化関数E(・)を用いた関数ブロック35で検査合計
ストリングr(M)を暗号化するためのものである。そ
の目的はストリーム暗号のための認証を提供するためで
あるから、この暗号化は検査合計と「キー伸長」ビット
・ストリームとの排他的論理和によって行われる。他の
暗号化法もまた使用し得る。次に、送信者はストリング
36を形成するメッセージの保全性を確認するためにメ
ッセージMにストリングE(r(M))を付加し、関数
ブロック37で両者を送信する。当該メッセージは暗号
化されていてもよいし平文でもよい。
に対し上記送信者によって行われるステップが記述され
る。送信のために関数ブロック31に入力される個々の
メッセージMに対し、当該メッセージは、一般にM
(x)×xnと定義される伸長多項式M’を生成するた
めに関数ブロック32で伸長される。好適例では、この
伸長ステップは33で当該伸長多項式M’を作るために
先頭の「1」のビットと末尾のn個の「0」のビットを
付加する。第1ステップは上記多項式p(x)による当
該多項式M(x)×xnの除算の剰余を関数ブロック3
4で計算するためのものである。r(x)は結果として
得られる剰余多項式であり、r(M)はr(x)の係数
に対応するnビットのストリングである。当該ストリン
グr(M)は先頭に複数のゼロを有してもよい。r
(M)は検査合計と呼ばれる。上記送信者によって行わ
れる第2ステップはE(r(M))を得るために上記暗
号化関数E(・)を用いた関数ブロック35で検査合計
ストリングr(M)を暗号化するためのものである。そ
の目的はストリーム暗号のための認証を提供するためで
あるから、この暗号化は検査合計と「キー伸長」ビット
・ストリームとの排他的論理和によって行われる。他の
暗号化法もまた使用し得る。次に、送信者はストリング
36を形成するメッセージの保全性を確認するためにメ
ッセージMにストリングE(r(M))を付加し、関数
ブロック37で両者を送信する。当該メッセージは暗号
化されていてもよいし平文でもよい。
【0018】次に図4を参照し、受信された個々のメッ
セージmに対する上記受信者による受信41で行われる
ステップを記述する。上述のように、送信されたストリ
ングはメッセージMと送信者によって生成された暗号化
剰余であるストリングE(r(M))を含む。受信スト
リングは42で表されるが、暗号化剰余を表すストリン
グはここではeと表される。まず初めに、受信者はrを
得るために関数ブロック43でeを復号化する。ここ
で、受信された対m、eは送信者によって送信されたM
とE(r(M))とに対応する。Mが暗号化形式で送信
されれば、mも復号化される。次に、受信者は当該スト
リングrを44でmの末尾に連結し、伸長メッセージ
m’を生成するために先頭の「1」のビットを付加す
る。連結されたストリング44はm’で表され、m’
(x)はm’に対応する体GF(2)上の多項式を表
す。すなわち、その先頭の係数は「1」で他の係数は
m’のビットに対応する。受信者はそれからキー多項式
p(x)によるm’(x)の除算の剰余を関数ブロック
45で計算する。その結果がゼロか否かを決定するため
に決定ブロック46で検査が行われる。この剰余がゼロ
(ゼロ多項式)であれば、認証は成功である。すなわ
ち、メッセージmは正しい送信メッセージMとして関数
ブロック48で受け入れられる。そうでなければ、メッ
セージmの有効性は関数ブロック47で拒絶される。
セージmに対する上記受信者による受信41で行われる
ステップを記述する。上述のように、送信されたストリ
ングはメッセージMと送信者によって生成された暗号化
剰余であるストリングE(r(M))を含む。受信スト
リングは42で表されるが、暗号化剰余を表すストリン
グはここではeと表される。まず初めに、受信者はrを
得るために関数ブロック43でeを復号化する。ここ
で、受信された対m、eは送信者によって送信されたM
とE(r(M))とに対応する。Mが暗号化形式で送信
されれば、mも復号化される。次に、受信者は当該スト
リングrを44でmの末尾に連結し、伸長メッセージ
m’を生成するために先頭の「1」のビットを付加す
る。連結されたストリング44はm’で表され、m’
(x)はm’に対応する体GF(2)上の多項式を表
す。すなわち、その先頭の係数は「1」で他の係数は
m’のビットに対応する。受信者はそれからキー多項式
p(x)によるm’(x)の除算の剰余を関数ブロック
45で計算する。その結果がゼロか否かを決定するため
に決定ブロック46で検査が行われる。この剰余がゼロ
(ゼロ多項式)であれば、認証は成功である。すなわ
ち、メッセージmは正しい送信メッセージMとして関数
ブロック48で受け入れられる。そうでなければ、メッ
セージmの有効性は関数ブロック47で拒絶される。
【0019】送信前にメッセージが暗号化される場合、
上記平文メッセージに基づき上記検査合計ストリングが
計算され、当該メッセージに連結されて、その結果のデ
ータ(メッセージ及び検査合計)が一単位として暗号化
される。同様に、受信時に、復号化が連結されたデータ
に対し一単位として行われ、保全性が検査される。
上記平文メッセージに基づき上記検査合計ストリングが
計算され、当該メッセージに連結されて、その結果のデ
ータ(メッセージ及び検査合計)が一単位として暗号化
される。同様に、受信時に、復号化が連結されたデータ
に対し一単位として行われ、保全性が検査される。
【0020】メッセージと対応する(暗号化された)検
査合計が変更なしに受信されれば、認証は成功する。暗
号化関数が2進加法的ストリーム暗号であれば、(a)
当該暗号化を破ることができなくて、かつ(b)上記キ
ー多項式p(x)を知らない侵害者によってなされる、
メッセージ及び検査合計の変更あるいはメッセージまた
は検査合計の変更が、Lを当該メッセージの長さとし、
nをセキュリティ・パラメタとすると、L/(2n)の
確率で検出される。例えば、L=30,000及びn=
37に対し、この確率は1/(4×106)より小さ
い。上述のことは、上記侵害者がメッセージと対応する
暗号化検査合計の対をいくつか見ていたとしても成立す
る。言い換えれば、上記暗号システムが安全であるかぎ
りは、上記メッセージ認証もまた安全である。上記方法
はいずれの暗号化関数にも応用可能であるが、本発明は
2進加法的ストリーム暗号を用いて実施されるのが望ま
しい。
査合計が変更なしに受信されれば、認証は成功する。暗
号化関数が2進加法的ストリーム暗号であれば、(a)
当該暗号化を破ることができなくて、かつ(b)上記キ
ー多項式p(x)を知らない侵害者によってなされる、
メッセージ及び検査合計の変更あるいはメッセージまた
は検査合計の変更が、Lを当該メッセージの長さとし、
nをセキュリティ・パラメタとすると、L/(2n)の
確率で検出される。例えば、L=30,000及びn=
37に対し、この確率は1/(4×106)より小さ
い。上述のことは、上記侵害者がメッセージと対応する
暗号化検査合計の対をいくつか見ていたとしても成立す
る。言い換えれば、上記暗号システムが安全であるかぎ
りは、上記メッセージ認証もまた安全である。上記方法
はいずれの暗号化関数にも応用可能であるが、本発明は
2進加法的ストリーム暗号を用いて実施されるのが望ま
しい。
【0021】送信者及び受信者の双方で実行される基本
演算は多項式除算剰余の演算である。これについて、次
に説明する、図5に示された主要構成をもつ簡単なハー
ドウェア回路により実現される。アキュムレータと呼ば
れるシフト・レジスタ51及び制御レジスタ52は、両
方ともnステージを有しており、剰余を生成するのに用
いられる。アキュムレータ51のステージは、n個の排
他的論理和ゲート53によって互いに接続される。制御
レジスタ52はプログラム可能(すなわちメモリからロ
ード可能)で、上記多項式p(x)の省略される先頭の
係数を除いた他の係数を含む。データ・ビットはアキュ
ムレータ51を通して流され、シフト・レジスタの最終
ステージで帰還ビットが生成される。この帰還ビット
は、n個のANDゲート54のイネーブル入力に接続さ
れており、それらのゲートは「1」の帰還ビットによっ
てイネーブル状態とされるとき、排他的論理和ゲート5
3の対応するものに制御レジスタの内容を供給する。し
たがって、帰還ビットに依存して、制御レジスタ52に
蓄えられたp(x)のビットとアキュムレータ51の現
在の内容との間で排他的論理和演算が実行される。
演算は多項式除算剰余の演算である。これについて、次
に説明する、図5に示された主要構成をもつ簡単なハー
ドウェア回路により実現される。アキュムレータと呼ば
れるシフト・レジスタ51及び制御レジスタ52は、両
方ともnステージを有しており、剰余を生成するのに用
いられる。アキュムレータ51のステージは、n個の排
他的論理和ゲート53によって互いに接続される。制御
レジスタ52はプログラム可能(すなわちメモリからロ
ード可能)で、上記多項式p(x)の省略される先頭の
係数を除いた他の係数を含む。データ・ビットはアキュ
ムレータ51を通して流され、シフト・レジスタの最終
ステージで帰還ビットが生成される。この帰還ビット
は、n個のANDゲート54のイネーブル入力に接続さ
れており、それらのゲートは「1」の帰還ビットによっ
てイネーブル状態とされるとき、排他的論理和ゲート5
3の対応するものに制御レジスタの内容を供給する。し
たがって、帰還ビットに依存して、制御レジスタ52に
蓄えられたp(x)のビットとアキュムレータ51の現
在の内容との間で排他的論理和演算が実行される。
【0022】検査合計(すなわち認証ストリング)を計
算するために、アキュムレータ51は、「1」に初期化
される最初の(左端の)ステージを除いて、全てゼロを
含むように初期化される。それから、データ・ビット
は、Lをデータ・ビットの数とし、nをアキュムレータ
の長さとすると、アキュムレータ51を通してL+nク
ロック・パルスだけシフトされる。アキュムレータ51
の(L+nシフトのあとの)最終的な内容が、検査合計
の値である。第1アキュムレータ・ステージを「1」へ
初期化することは先頭の「1」と共に認証されるメッセ
ージMを伸長する効果を有しており、それ故メッセージ
Mへのこのビットの明示的な加算を避けているというこ
とを注記しておく。同様に、(L個のデータ・ビットが
当該アキュムレータを通してシフトされた後)n個の特
別なパルスによってシフトすることはメッセージMをn
個の末尾の「0」で伸長する効果を有する。
算するために、アキュムレータ51は、「1」に初期化
される最初の(左端の)ステージを除いて、全てゼロを
含むように初期化される。それから、データ・ビット
は、Lをデータ・ビットの数とし、nをアキュムレータ
の長さとすると、アキュムレータ51を通してL+nク
ロック・パルスだけシフトされる。アキュムレータ51
の(L+nシフトのあとの)最終的な内容が、検査合計
の値である。第1アキュムレータ・ステージを「1」へ
初期化することは先頭の「1」と共に認証されるメッセ
ージMを伸長する効果を有しており、それ故メッセージ
Mへのこのビットの明示的な加算を避けているというこ
とを注記しておく。同様に、(L個のデータ・ビットが
当該アキュムレータを通してシフトされた後)n個の特
別なパルスによってシフトすることはメッセージMをn
個の末尾の「0」で伸長する効果を有する。
【0023】受信者側の認証を確認するプロセスも同様
に、同じハードウェア装置を用いる。検査する目的のた
めに、メッセージと検査合計の連結は(長さL+nの)
唯一のストリングである。アキュムレータは予め初期化
され(すなわち最初のセルに「1」、それ以外にゼ
ロ)、連結ストリングがアキュムレータ51を通して当
該アキュムレータの内容が検査された後、L+nシフト
だけ流れる。それが全てゼロを含むなら、上記認証は成
功である。そうでなければ,誤りが検出される。
に、同じハードウェア装置を用いる。検査する目的のた
めに、メッセージと検査合計の連結は(長さL+nの)
唯一のストリングである。アキュムレータは予め初期化
され(すなわち最初のセルに「1」、それ以外にゼ
ロ)、連結ストリングがアキュムレータ51を通して当
該アキュムレータの内容が検査された後、L+nシフト
だけ流れる。それが全てゼロを含むなら、上記認証は成
功である。そうでなければ,誤りが検出される。
【0024】言い換えれば、上記アキュムレータは、最
初のn−1ステージのデータの最初のn−1ビットと最
後のステージの「1」とを含むように(例えば並列的
に)初期化され得る。この場合、L+1シフトは検査合
計を計算するのに十分である。上記ランダム既約多項式
p(x)を選択するのは通常、既約性検査(irreducibi
lity testing)の従来技術を用いてソフトウェアにより
行われる。ハードウェアによる高速実施もまた可能であ
る。長さnは、上記システムのメッセージの長さに依存
して固定されるべきであり、既約性検査を容易にするた
めにそれを素数に選んだ方がよい。そのような検査は文
献では既知となっている。
初のn−1ステージのデータの最初のn−1ビットと最
後のステージの「1」とを含むように(例えば並列的
に)初期化され得る。この場合、L+1シフトは検査合
計を計算するのに十分である。上記ランダム既約多項式
p(x)を選択するのは通常、既約性検査(irreducibi
lity testing)の従来技術を用いてソフトウェアにより
行われる。ハードウェアによる高速実施もまた可能であ
る。長さnは、上記システムのメッセージの長さに依存
して固定されるべきであり、既約性検査を容易にするた
めにそれを素数に選んだ方がよい。そのような検査は文
献では既知となっている。
【0025】上記メッセージの末尾にn個の「0」を付
加する代わりとして、nビットの任意のストリングSを
付加することがある。そのような場合、メッセージの確
認は上述のように行われるが、上記アキュムレータの最
終ステージとゼロとを比較する代わりに同じストリング
Sと比較する。
加する代わりとして、nビットの任意のストリングSを
付加することがある。そのような場合、メッセージの確
認は上述のように行われるが、上記アキュムレータの最
終ステージとゼロとを比較する代わりに同じストリング
Sと比較する。
【0026】キー多項式p(x)を変更するか否か、及
びそれをどのくらいの頻度で行うかは、暗号化関数の信
頼性とキーを秘密にしておける可能性とに依存する。固
定であるがランダムに選択される多項式もまた使用でき
る。この場合、より効率的にできるあるいはより低価格
で実施できる特定の多項式に対し、ハードウェアを構築
することが可能である。しかしながら、これには、侵害
者がハードウェア自体からその多項式を導くことが不可
能であることが必要である。それにはまた、質の高い暗
号化関数が必要である。そうでなければ長期間の使用の
後、情報の部分的漏れがp(x)の値に関して多すぎる
ほどの情報を与えることになる。いったん多項式が侵害
者に知られると、上記認証法は役に立たないものにな
る。
びそれをどのくらいの頻度で行うかは、暗号化関数の信
頼性とキーを秘密にしておける可能性とに依存する。固
定であるがランダムに選択される多項式もまた使用でき
る。この場合、より効率的にできるあるいはより低価格
で実施できる特定の多項式に対し、ハードウェアを構築
することが可能である。しかしながら、これには、侵害
者がハードウェア自体からその多項式を導くことが不可
能であることが必要である。それにはまた、質の高い暗
号化関数が必要である。そうでなければ長期間の使用の
後、情報の部分的漏れがp(x)の値に関して多すぎる
ほどの情報を与えることになる。いったん多項式が侵害
者に知られると、上記認証法は役に立たないものにな
る。
【0027】上記メッセージ認証機構はシフト・レジス
タを用いて実施されるから、これらと同一のまたはその
他のシフト・レジスタがストリーム暗号システム自体を
実施するために用いることができる。この構造は簡単で
あるので、高速アプリケーションの利用を可能とし、ハ
ードウェアのコストを低くするという付随的な利点をも
つ。本発明の好適例は、CRCの高速実施例に関する既
存の知識を利用するが、CRCが通常標準として定義さ
れるという制限はない。とりわけ、本発明は、データ・
ストリームのビット順序を入れ替える必要がある剰余演
算の高速化のために並列化技術を用い得る。そのような
入れ替えはCRC標準仕様に従わない。
タを用いて実施されるから、これらと同一のまたはその
他のシフト・レジスタがストリーム暗号システム自体を
実施するために用いることができる。この構造は簡単で
あるので、高速アプリケーションの利用を可能とし、ハ
ードウェアのコストを低くするという付随的な利点をも
つ。本発明の好適例は、CRCの高速実施例に関する既
存の知識を利用するが、CRCが通常標準として定義さ
れるという制限はない。とりわけ、本発明は、データ・
ストリームのビット順序を入れ替える必要がある剰余演
算の高速化のために並列化技術を用い得る。そのような
入れ替えはCRC標準仕様に従わない。
【0028】本発明は、ストリーム暗号システムと共に
用いられるとき、通信者間に彼らの暗号化ストリーム中
の同期の欠如を発見する方法を提供する。実際、この同
期が失われると、(たとえこの同期の欠如が悪意のある
介入によって引き起こされたとしても)暗号化メッセー
ジは非常に高い確率で認証機構において失敗する。その
ような場合、当該通信者間は使用される特定の通信プロ
トコルに従ってメッセージの再送及び(または)再同期
の状態に入ることを試みることができる。例えば、新し
い秘密暗号化キーを交換することによって再同期が行わ
れる。
用いられるとき、通信者間に彼らの暗号化ストリーム中
の同期の欠如を発見する方法を提供する。実際、この同
期が失われると、(たとえこの同期の欠如が悪意のある
介入によって引き起こされたとしても)暗号化メッセー
ジは非常に高い確率で認証機構において失敗する。その
ような場合、当該通信者間は使用される特定の通信プロ
トコルに従ってメッセージの再送及び(または)再同期
の状態に入ることを試みることができる。例えば、新し
い秘密暗号化キーを交換することによって再同期が行わ
れる。
【0029】本発明は2進多項式(すなわち体GF
(2)上の多項式)の点から記述されてきたが、より一
般の場合、本発明は、異なる有限体Fからの記号を成分
とするメッセージを考慮することによって用いることが
できる。この場合、上記既約多項式p(x)と上記剰余
演算との両方がその体F上で実行される。また、伸長す
る1と0は体F上の1と0として考えられるべきであ
る。
(2)上の多項式)の点から記述されてきたが、より一
般の場合、本発明は、異なる有限体Fからの記号を成分
とするメッセージを考慮することによって用いることが
できる。この場合、上記既約多項式p(x)と上記剰余
演算との両方がその体F上で実行される。また、伸長す
る1と0は体F上の1と0として考えられるべきであ
る。
【0030】まとめとして、本発明の構成に関して以下
の事項を開示する。
の事項を開示する。
【0031】(1)通信システムにおいて、送信者から
受信者へ送信されるメッセージの信憑性を確認する方法
であって、(a)上記送信者と上記受信者との間で、暗
号化キーと次数nの既約多項式p(x)とを秘密に交換
するステップと、(b)上記送信者によって送信される
個々のメッセージMに対し、先頭に非ゼロ・ストリング
と末尾にnビットを上記メッセージMに付加し、上記メ
ッセージMのビットに対応する係数を有する多項式に対
応する伸長メッセージM’を生成するステップと、
(c)上記ステップ(a)で交換された上記多項式p
(x)による、上記ステップ(b)で生成された上記伸
長メッセージM’に対応する上記多項式の除算から、結
果として生じる多項式剰余rを計算するステップと、
(d)上記ステップ(a)で交換された上記暗号化キー
を用いて、上記ステップ(c)で計算された上記剰余を
暗号化するステップと、(e)上記メッセージと上記ス
テップ(d)で暗号化された上記剰余を送信するステッ
プと、(f)上記ステップ(a)で交換された上記暗号
化キーを用いて、送信された上記暗号化された剰余を、
受信時に上記受信者により復号するステップと、(g)
上記ステップ(f)で復号された剰余と受信メッセージ
mとを連結し、先頭に非ゼロ・ストリングを付加し、伸
長受信メッセージm’を生成するステップと、(h)上
記伸長受信メッセージm’の多項式表現と上記ステップ
(a)で交換された上記多項式p(x)との間の除算の
剰余rを計算するステップと、(i)上記ステップ
(h)で計算された上記剰余が予め決められた値である
場合のみ、上記受信メッセージmを真正であるとして受
け入れるステップとを含むメッセージ確認方法。 (2)ステップ(b)が、上記非ゼロ・ストリングとし
て先頭にビット「1」を付加することにより実行され
る、(1)記載のメッセージ確認方法。 (3)ステップ(b)が、上記nビットとしてn個の
「0」を末尾に付加することにより実行され、ステップ
(i)の上記予め決められた値がゼロである(1)記載
のメッセージ確認方法。 (4)ステップ(b)が、上記nビットとして任意のス
トリングSを末尾に付加することにより実行され、ステ
ップ(i)の上記予め決められた値が上記ストリングS
である(1)記載のメッセージ確認方法。 (5)上記メッセージM及び多項式の係数が、非2進有
限体F上の要素として考えられ、上記ステップ(c)及
びステップ(h)とにおける上記多項式剰余演算が体F
上の要素として考えられ、上記ステップ(c)と上記ス
テップ(h)とにおける上記多項式剰余演算が上記体F
で実行される、(1)記載のメッセージ確認方法。 (6)上記ステップ(d)と上記ステップ(f)が、上
記剰余のビットと上記送信者及び上記受信者によって共
有された秘密のビットのストリームとの間のビット毎の
排他的論理和演算により実行される、(1)記載のメッ
セージ確認方法。 (7)上記秘密のビットのストリームが、ランダム又は
疑似ランダムである、(6)記載のメッセージ確認方
法。 (8)上記ステップ(e)の前に上記メッセージMを上
記送信者により暗号化するステップと、上記受信したメ
ッセージmの末尾に上記ステップ(f)で復号した剰余
を付加する前に、メッセージmを上記受信者により復号
するステップとをさらに含む(1)記載のメッセージ確
認方法。 (9)送信者と受信者との間で暗号化キーと次数nの既
約多項式p(x)とが秘密に交換されている通信システ
ムであって、上記送信者によって送信されるメッセージ
Mを含む第1バッファであって、先頭に非ゼロ・ストリ
ングと末尾にnビットを付加し、上記メッセージのビッ
トに対応する係数を有する多項式に対応する伸長メッセ
ージM’を生成する上記第1バッファと、上記多項式p
(x)により上記伸長メッセージM’に対応する上記多
項式の除算から、結果として生じる多項式剰余rを計算
する第1除算器と、上記剰余rを上記暗号化キーで暗号
化する第1暗号装置と、上記メッセージMと上記第1暗
号装置からの暗号化された上記剰余を送信する送信器
と、送信されたメッセージmと暗号化された剰余を受信
する受信器と、上記暗号化キーを用いて、送信された暗
号化剰余を復号する第2暗号装置と、上記復号された剰
余を受信されたメッセージmとを連結し、先頭に非ゼロ
・ストリングを付加し、伸長された受信メッセージm’
を生成する第2バッファと、上記伸長された受信メッセ
ージm’による多項式表現と上記多項式p(x)との除
算の剰余rを計算する第2除算器と、上記第2除算器に
より計算された剰余が所定の値である場合にのみ、上記
受信メッセージを真正として受け入れるプロセッサとを
有する通信システム。 (10)非ゼロ・ストリングとして先頭に「1」のビッ
トが付加されることを特徴とする(9)記載の通信シス
テム。 (11)n個の「0」を上記末尾のnビットとして付加
し、上記プロセッサは上記所定の値がゼロである場合に
上記受信メッセージを真正として受け入れることを特徴
とする(9)記載の通信システム。 (12)任意のストリングSを上記末尾のnビットとし
て付加し、上記プロセッサは上記所定の値が上記ストリ
ングSである場合に上記受信メッセージを真正として受
け入れることを特徴とする(9)記載の通信システム。 (13)上記第1及び第2除算器が、nステージを有す
るアキュムレータ・レジスタであって、上記アキュムレ
ータは、「1」に初期化された第1ステージを除きすべ
てゼロを含むように初期化され、データ・ビットは、L
+nクロック・パルスで上記アキュムレータ・レジスタ
を通してシフトされ、Lがデータ・ビット数である上記
アキュムレータと、各々が上記アキュムレータ・レジス
タの隣接するステージ間に配置された複数の排他的論理
和ゲートと、nステージを有し、上記多項式キーp
(x)をロード可能な制御レジスタと、複数のANDゲ
ートであって、上記アキュムレータ・レジスタの最終ス
テージの出力により使用可能になるように接続され、上
記制御レジスタのステージの対応する1つから入力を受
信し、上記ANDゲートの各々の出力は、上記排他的論
理和ゲートの対応する1つに供給される上記ANDゲー
トとを有する(9)記載の通信システム。
受信者へ送信されるメッセージの信憑性を確認する方法
であって、(a)上記送信者と上記受信者との間で、暗
号化キーと次数nの既約多項式p(x)とを秘密に交換
するステップと、(b)上記送信者によって送信される
個々のメッセージMに対し、先頭に非ゼロ・ストリング
と末尾にnビットを上記メッセージMに付加し、上記メ
ッセージMのビットに対応する係数を有する多項式に対
応する伸長メッセージM’を生成するステップと、
(c)上記ステップ(a)で交換された上記多項式p
(x)による、上記ステップ(b)で生成された上記伸
長メッセージM’に対応する上記多項式の除算から、結
果として生じる多項式剰余rを計算するステップと、
(d)上記ステップ(a)で交換された上記暗号化キー
を用いて、上記ステップ(c)で計算された上記剰余を
暗号化するステップと、(e)上記メッセージと上記ス
テップ(d)で暗号化された上記剰余を送信するステッ
プと、(f)上記ステップ(a)で交換された上記暗号
化キーを用いて、送信された上記暗号化された剰余を、
受信時に上記受信者により復号するステップと、(g)
上記ステップ(f)で復号された剰余と受信メッセージ
mとを連結し、先頭に非ゼロ・ストリングを付加し、伸
長受信メッセージm’を生成するステップと、(h)上
記伸長受信メッセージm’の多項式表現と上記ステップ
(a)で交換された上記多項式p(x)との間の除算の
剰余rを計算するステップと、(i)上記ステップ
(h)で計算された上記剰余が予め決められた値である
場合のみ、上記受信メッセージmを真正であるとして受
け入れるステップとを含むメッセージ確認方法。 (2)ステップ(b)が、上記非ゼロ・ストリングとし
て先頭にビット「1」を付加することにより実行され
る、(1)記載のメッセージ確認方法。 (3)ステップ(b)が、上記nビットとしてn個の
「0」を末尾に付加することにより実行され、ステップ
(i)の上記予め決められた値がゼロである(1)記載
のメッセージ確認方法。 (4)ステップ(b)が、上記nビットとして任意のス
トリングSを末尾に付加することにより実行され、ステ
ップ(i)の上記予め決められた値が上記ストリングS
である(1)記載のメッセージ確認方法。 (5)上記メッセージM及び多項式の係数が、非2進有
限体F上の要素として考えられ、上記ステップ(c)及
びステップ(h)とにおける上記多項式剰余演算が体F
上の要素として考えられ、上記ステップ(c)と上記ス
テップ(h)とにおける上記多項式剰余演算が上記体F
で実行される、(1)記載のメッセージ確認方法。 (6)上記ステップ(d)と上記ステップ(f)が、上
記剰余のビットと上記送信者及び上記受信者によって共
有された秘密のビットのストリームとの間のビット毎の
排他的論理和演算により実行される、(1)記載のメッ
セージ確認方法。 (7)上記秘密のビットのストリームが、ランダム又は
疑似ランダムである、(6)記載のメッセージ確認方
法。 (8)上記ステップ(e)の前に上記メッセージMを上
記送信者により暗号化するステップと、上記受信したメ
ッセージmの末尾に上記ステップ(f)で復号した剰余
を付加する前に、メッセージmを上記受信者により復号
するステップとをさらに含む(1)記載のメッセージ確
認方法。 (9)送信者と受信者との間で暗号化キーと次数nの既
約多項式p(x)とが秘密に交換されている通信システ
ムであって、上記送信者によって送信されるメッセージ
Mを含む第1バッファであって、先頭に非ゼロ・ストリ
ングと末尾にnビットを付加し、上記メッセージのビッ
トに対応する係数を有する多項式に対応する伸長メッセ
ージM’を生成する上記第1バッファと、上記多項式p
(x)により上記伸長メッセージM’に対応する上記多
項式の除算から、結果として生じる多項式剰余rを計算
する第1除算器と、上記剰余rを上記暗号化キーで暗号
化する第1暗号装置と、上記メッセージMと上記第1暗
号装置からの暗号化された上記剰余を送信する送信器
と、送信されたメッセージmと暗号化された剰余を受信
する受信器と、上記暗号化キーを用いて、送信された暗
号化剰余を復号する第2暗号装置と、上記復号された剰
余を受信されたメッセージmとを連結し、先頭に非ゼロ
・ストリングを付加し、伸長された受信メッセージm’
を生成する第2バッファと、上記伸長された受信メッセ
ージm’による多項式表現と上記多項式p(x)との除
算の剰余rを計算する第2除算器と、上記第2除算器に
より計算された剰余が所定の値である場合にのみ、上記
受信メッセージを真正として受け入れるプロセッサとを
有する通信システム。 (10)非ゼロ・ストリングとして先頭に「1」のビッ
トが付加されることを特徴とする(9)記載の通信シス
テム。 (11)n個の「0」を上記末尾のnビットとして付加
し、上記プロセッサは上記所定の値がゼロである場合に
上記受信メッセージを真正として受け入れることを特徴
とする(9)記載の通信システム。 (12)任意のストリングSを上記末尾のnビットとし
て付加し、上記プロセッサは上記所定の値が上記ストリ
ングSである場合に上記受信メッセージを真正として受
け入れることを特徴とする(9)記載の通信システム。 (13)上記第1及び第2除算器が、nステージを有す
るアキュムレータ・レジスタであって、上記アキュムレ
ータは、「1」に初期化された第1ステージを除きすべ
てゼロを含むように初期化され、データ・ビットは、L
+nクロック・パルスで上記アキュムレータ・レジスタ
を通してシフトされ、Lがデータ・ビット数である上記
アキュムレータと、各々が上記アキュムレータ・レジス
タの隣接するステージ間に配置された複数の排他的論理
和ゲートと、nステージを有し、上記多項式キーp
(x)をロード可能な制御レジスタと、複数のANDゲ
ートであって、上記アキュムレータ・レジスタの最終ス
テージの出力により使用可能になるように接続され、上
記制御レジスタのステージの対応する1つから入力を受
信し、上記ANDゲートの各々の出力は、上記排他的論
理和ゲートの対応する1つに供給される上記ANDゲー
トとを有する(9)記載の通信システム。
【0032】
【発明の効果】本発明によって、悪意のある侵害者によ
るメッセージの改ざんに対抗して保護する2進加法的ス
トリーム暗号システムのための高速で安全なメッセージ
認証が可能となる。さらに、再同期を可能にするために
送信者と受信者との間の同期が失われたことを検出する
安全なメッセージ認証システムが実現される。
るメッセージの改ざんに対抗して保護する2進加法的ス
トリーム暗号システムのための高速で安全なメッセージ
認証が可能となる。さらに、再同期を可能にするために
送信者と受信者との間の同期が失われたことを検出する
安全なメッセージ認証システムが実現される。
【図1】送信者の構成を示したブロック図である。
【図2】受信者の構成を示したブロック図である。
【図3】個々のメッセージに対し、送信者が行う作業の
流れ図である。
流れ図である。
【図4】個々のメッセージに対し、受信者が行う作業の
流れ図である。
流れ図である。
【図5】多項式除算剰余の計算に用いるハードウェアの
論理回路のブロック図である。
論理回路のブロック図である。
11 メッセージM 12 仮想バッファ 13 剰余演算ユニット 14 暗号装置 15 仮想バッファ 21 仮想バッファ 22 暗号装置 23 仮想バッファ 24 剰余演算ユニット 25 プロセッサ 31 仮想バッファ 32 関数ブロック・伸長 33 仮想バッファ 34 関数ブロック・剰余演算 35 関数ブロック・暗号化 36 仮想バッファ 37 関数ブロック・送信 41 関数ブロック・受信 42 仮想バッファ 43 関数ブロック・復号化 44 仮想バッファ 45 剰余演算ユニット 46 決定ブロック・結果がゼロか 47 関数ブロック・無効メッセージとして拒絶 48 関数ブロック・有効メッセージとして受入れ 51 アキュムレータ 52 制御レジスタ 53 排他的論理和ゲート 54 ANDゲート
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ヒューゴ・マリオ・クロージック アメリカ合衆国10463 ニューヨーク州、 リバーデイル、ネザーランド・アベニュ ー、アパートメント・ファイブゼロワン 2600 (72)発明者 シェイ・クッテン アメリカ合衆国07866 ニュー・ジャージ ー州、ロックアウェイ、レノックス・スト リート 41 (72)発明者 イーシェイ・マンソーア イスラエル、テルアビブ、アリストボル・ ストリート 6
Claims (13)
- 【請求項1】通信システムにおいて、送信者から受信者
へ送信されるメッセージの信憑性を確認する方法であっ
て、 (a)上記送信者と上記受信者との間で、暗号化キーと
次数nの既約多項式p(x)とを秘密に交換するステッ
プと、 (b)上記送信者によって送信される個々のメッセージ
Mに対し、先頭に非ゼロ・ストリングと末尾にnビット
を上記メッセージMに付加し、上記メッセージMのビッ
トに対応する係数を有する多項式に対応する伸長メッセ
ージM’を生成するステップと、 (c)上記ステップ(a)で交換された上記多項式p
(x)による、上記ステップ(b)で生成された上記伸
長メッセージM’に対応する上記多項式の除算から、結
果として生じる多項式剰余rを計算するステップと、 (d)上記ステップ(a)で交換された上記暗号化キー
を用いて、上記ステップ(c)で計算された上記剰余を
暗号化するステップと、 (e)上記メッセージと上記ステップ(d)で暗号化さ
れた上記剰余を送信するステップと、 (f)上記ステップ(a)で交換された上記暗号化キー
を用いて、送信された上記暗号化された剰余を、受信時
に上記受信者により復号するステップと、 (g)上記ステップ(f)で復号された剰余と受信メッ
セージmとを連結し、先頭に非ゼロ・ストリングを付加
し、伸長受信メッセージm’を生成するステップと、 (h)上記伸長受信メッセージm’の多項式表現と上記
ステップ(a)で交換された上記多項式p(x)との間
の除算の剰余rを計算するステップと、 (i)上記ステップ(h)で計算された上記剰余が予め
決められた値である場合のみ、上記受信メッセージmを
真正であるとして受け入れるステップとを含むメッセー
ジ確認方法。 - 【請求項2】ステップ(b)が、上記非ゼロ・ストリン
グとして先頭にビット「1」を付加することにより実行
される、請求項1記載のメッセージ確認方法。 - 【請求項3】ステップ(b)が、上記nビットとしてn
個の「0」を末尾に付加することにより実行され、 ステップ(i)の上記予め決められた値がゼロである請
求項1記載のメッセージ確認方法。 - 【請求項4】ステップ(b)が、上記nビットとして任
意のストリングSを末尾に付加することにより実行さ
れ、 ステップ(i)の上記予め決められた値が上記ストリン
グSである請求項1記載のメッセージ確認方法。 - 【請求項5】上記メッセージM及び多項式の係数が、非
2進有限体F上の要素として考えられ、上記ステップ
(c)及びステップ(h)とにおける上記多項式剰余演
算が体F上の要素として考えられ、上記ステップ(c)
と上記ステップ(h)とにおける上記多項式剰余演算が
上記体Fで実行される、請求項1記載のメッセージ確認
方法。 - 【請求項6】上記ステップ(d)と上記ステップ(f)
が、上記剰余のビットと上記送信者及び上記受信者によ
って共有された秘密のビットのストリームとの間のビッ
ト毎の排他的論理和演算により実行される、請求項1記
載のメッセージ確認方法。 - 【請求項7】上記秘密のビットのストリームが、ランダ
ム又は疑似ランダムである、請求項6記載のメッセージ
確認方法。 - 【請求項8】上記ステップ(e)の前に上記メッセージ
Mを上記送信者により暗号化するステップと、 上記受信したメッセージmの末尾に上記ステップ(f)
で復号した剰余を付加する前に、メッセージmを上記受
信者により復号するステップとをさらに含む請求項1記
載のメッセージ確認方法。 - 【請求項9】送信者と受信者との間で暗号化キーと次数
nの既約多項式p(x)とが秘密に交換されている通信
システムであって、 上記送信者によって送信されるメッセージMを含む第1
バッファであって、 先頭に非ゼロ・ストリングと末尾にnビットを付加し、
上記メッセージのビットに対応する係数を有する多項式
に対応する伸長メッセージM’を生成する上記第1バッ
ファと、 上記多項式p(x)により上記伸長メッセージM’に対
応する上記多項式の除算から、結果として生じる多項式
剰余rを計算する第1除算器と、 上記剰余rを上記暗号化キーで暗号化する第1暗号装置
と、 上記メッセージMと上記第1暗号装置からの暗号化され
た上記剰余を送信する送信器と、 送信されたメッセージmと暗号化された剰余を受信する
受信器と、 上記暗号化キーを用いて、送信された暗号化剰余を復号
する第2暗号装置と、 上記復号された剰余を受信されたメッセージmとを連結
し、先頭に非ゼロ・ストリングを付加し、伸長された受
信メッセージm’を生成する第2バッファと、 上記伸長された受信メッセージm’による多項式表現と
上記多項式p(x)との除算の剰余rを計算する第2除
算器と、 上記第2除算器により計算された剰余が所定の値である
場合にのみ、上記受信メッセージを真正として受け入れ
るプロセッサとを有する通信システム。 - 【請求項10】非ゼロ・ストリングとして先頭に「1」
のビットが付加されることを特徴とする請求項9記載の
通信システム。 - 【請求項11】n個の「0」を上記末尾のnビットとし
て付加し、上記プロセッサは上記所定の値がゼロである
場合に上記受信メッセージを真正として受け入れること
を特徴とする請求項9記載の通信システム。 - 【請求項12】任意のストリングSを上記末尾のnビッ
トとして付加し、上記プロセッサは上記所定の値が上記
ストリングSである場合に上記受信メッセージを真正と
して受け入れることを特徴とする請求項9記載の通信シ
ステム。 - 【請求項13】上記第1及び第2除算器が、 nステージを有するアキュムレータ・レジスタであっ
て、 上記アキュムレータは、「1」に初期化された第1ステ
ージを除きすべてゼロを含むように初期化され、 データ・ビットは、L+nクロック・パルスで上記アキ
ュムレータ・レジスタを通してシフトされ、 Lがデータ・ビット数である上記アキュムレータと、 各々が上記アキュムレータ・レジスタの隣接するステー
ジ間に配置された複数の排他的論理和ゲートと、 nステージを有し、上記多項式キーp(x)をロード可
能な制御レジスタと、 複数のANDゲートであって、 上記アキュムレータ・レジスタの最終ステージの出力に
より使用可能になるように接続され、上記制御レジスタ
のステージの対応する1つから入力を受信し、 上記ANDゲートの各々の出力は、上記排他的論理和ゲ
ートの対応する1つに供給される上記ANDゲートとを
有する請求項9記載の通信システム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US08/118,080 US5345507A (en) | 1993-09-08 | 1993-09-08 | Secure message authentication for binary additive stream cipher systems |
US118080 | 1993-09-08 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH07107085A true JPH07107085A (ja) | 1995-04-21 |
JP2579440B2 JP2579440B2 (ja) | 1997-02-05 |
Family
ID=22376412
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP6177838A Expired - Lifetime JP2579440B2 (ja) | 1993-09-08 | 1994-07-29 | メッセージ確認方法及び通信システム |
Country Status (3)
Country | Link |
---|---|
US (1) | US5345507A (ja) |
EP (1) | EP0644676A3 (ja) |
JP (1) | JP2579440B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002543667A (ja) * | 1999-04-26 | 2002-12-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 効果的なキー長制御方法及び装置 |
JP2005512247A (ja) * | 2001-12-10 | 2005-04-28 | イレクトラニク、デイタ、システィムズ、コーパレイシャン | ネットワークユーザ認証システムおよび方法 |
JP2011160228A (ja) * | 2010-02-01 | 2011-08-18 | Kddi Corp | 認証付きストリーム暗号の暗号化装置、認証付きストリーム暗号の復号化装置、暗号化方法、復号化方法およびプログラム |
JP2011160229A (ja) * | 2010-02-01 | 2011-08-18 | Kddi Corp | 認証付きストリーム暗号の暗号化装置、認証付きストリーム暗号の復号化装置、暗号化方法、復号化方法およびプログラム |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0823331A (ja) * | 1994-07-07 | 1996-01-23 | Murata Mach Ltd | 暗号化通信方法及び装置 |
FR2755558B1 (fr) * | 1996-11-04 | 1999-01-22 | Centre Nat Rech Scient | Procede de decorrelation de donnees |
CA2210199A1 (en) * | 1997-07-11 | 1999-01-11 | Mitel Corporation | Method and apparatus for the generation of non-linear confusion data |
US6076163A (en) * | 1997-10-20 | 2000-06-13 | Rsa Security Inc. | Secure user identification based on constrained polynomials |
US6918034B1 (en) * | 1999-09-29 | 2005-07-12 | Nokia, Corporation | Method and apparatus to provide encryption and authentication of a mini-packet in a multiplexed RTP payload |
DE10001855A1 (de) * | 2000-01-18 | 2001-07-19 | Siemens Ag | Verfahren, System zur Übermittlung von Daten von einem Sender zu einem Empfänger und Sender bzw. Empfänger hierzu |
EP1556749A1 (en) * | 2002-06-18 | 2005-07-27 | Honeywell International, Inc. | Master dongle for a secured data communications network |
AU2005230066A1 (en) * | 2004-03-31 | 2005-10-20 | Nec Corporation | Padding application method guaranteeing safety of encryption method |
KR100601706B1 (ko) * | 2004-10-15 | 2006-07-18 | 삼성전자주식회사 | Drm 시스템에 있어서 시스템 키를 공유하고 생성하는방법 및 장치 |
WO2006130615A2 (en) * | 2005-05-31 | 2006-12-07 | Tricipher, Inc. | Secure login using single factor split key asymmetric cryptography and an augmenting factor |
KR100736047B1 (ko) | 2005-07-28 | 2007-07-06 | 삼성전자주식회사 | 무선 네트워크 장치 및 이를 이용한 인증 방법 |
US8572382B2 (en) * | 2006-05-15 | 2013-10-29 | Telecom Italia S.P.A. | Out-of band authentication method and system for communication over a data network |
US8036380B2 (en) * | 2006-12-14 | 2011-10-11 | Telefonaktiebolaget L M Ericsson (Publ) | Efficient data integrity protection |
JP5251520B2 (ja) * | 2007-02-02 | 2013-07-31 | 日本電気株式会社 | 分散情報生成装置、復元装置、復元結果検証装置、秘密情報分散システム、方法およびプログラム |
DE102009000322A1 (de) * | 2009-01-20 | 2010-07-22 | Robert Bosch Gmbh | Nichtlinear rückgekoppeltes Schieberegister sowie Verfahren zur nichtlinearen Signaturbildung |
DE102009027086A1 (de) * | 2009-06-23 | 2010-12-30 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Bildung einer Signatur |
US8462939B2 (en) * | 2010-12-07 | 2013-06-11 | King Fahd University Of Petroleum And Minerals | RNS-based cryptographic system and method |
US8345876B1 (en) | 2012-03-06 | 2013-01-01 | Robert Samuel Sinn | Encryption/decryption system and method |
WO2015197128A1 (en) * | 2014-06-27 | 2015-12-30 | Telefonaktiebolaget L M Ericsson (Publ) | Generating cryptographic checksums |
CN106688204B (zh) * | 2014-08-19 | 2020-04-24 | 瑞典爱立信有限公司 | 生成加密校验和的方法、认证消息的方法及其设备 |
CN107592968B (zh) * | 2015-05-04 | 2021-05-11 | 瑞典爱立信有限公司 | 生成密码校验和 |
DE102016219926A1 (de) * | 2016-10-13 | 2018-04-19 | Siemens Aktiengesellschaft | Verfahren, Sender und Empfänger zum Authentisieren und zum Integritätsschutz von Nachrichteninhalten |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4351982A (en) * | 1980-12-15 | 1982-09-28 | Racal-Milgo, Inc. | RSA Public-key data encryption system having large random prime number generating microprocessor or the like |
US4797921A (en) * | 1984-11-13 | 1989-01-10 | Hitachi, Ltd. | System for enciphering or deciphering data |
US4685132A (en) * | 1985-07-30 | 1987-08-04 | Sperry Corporation | Bent sequence code generator |
US4771463A (en) * | 1986-12-05 | 1988-09-13 | Siemens Transmission Systems, Inc. | Digital scrambling without error multiplication |
US4860353A (en) * | 1988-05-17 | 1989-08-22 | General Instrument Corporation | Dynamic feedback arrangement scrambling technique keystream generator |
US5054066A (en) * | 1988-11-16 | 1991-10-01 | Grumman Corporation | Error correcting public key cryptographic method and program |
US5220606A (en) * | 1992-02-10 | 1993-06-15 | Harold Greenberg | Cryptographic system and method |
-
1993
- 1993-09-08 US US08/118,080 patent/US5345507A/en not_active Expired - Fee Related
-
1994
- 1994-07-29 JP JP6177838A patent/JP2579440B2/ja not_active Expired - Lifetime
- 1994-09-05 EP EP94113889A patent/EP0644676A3/en not_active Withdrawn
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002543667A (ja) * | 1999-04-26 | 2002-12-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 効果的なキー長制御方法及び装置 |
JP4668428B2 (ja) * | 1999-04-26 | 2011-04-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 効果的なキー長制御方法及び装置 |
JP2005512247A (ja) * | 2001-12-10 | 2005-04-28 | イレクトラニク、デイタ、システィムズ、コーパレイシャン | ネットワークユーザ認証システムおよび方法 |
JP4864289B2 (ja) * | 2001-12-10 | 2012-02-01 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | ネットワークユーザ認証システムおよび方法 |
JP2011160228A (ja) * | 2010-02-01 | 2011-08-18 | Kddi Corp | 認証付きストリーム暗号の暗号化装置、認証付きストリーム暗号の復号化装置、暗号化方法、復号化方法およびプログラム |
JP2011160229A (ja) * | 2010-02-01 | 2011-08-18 | Kddi Corp | 認証付きストリーム暗号の暗号化装置、認証付きストリーム暗号の復号化装置、暗号化方法、復号化方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
US5345507A (en) | 1994-09-06 |
JP2579440B2 (ja) | 1997-02-05 |
EP0644676A2 (en) | 1995-03-22 |
EP0644676A3 (en) | 1995-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2579440B2 (ja) | メッセージ確認方法及び通信システム | |
RU2340108C2 (ru) | Эффективное шифрование и аутентификация для систем обработки данных | |
US7277548B2 (en) | Cryptographic method and computer program product for use in wireless local area networks | |
US20020159598A1 (en) | System and method of dynamic key generation for digital communications | |
US8744078B2 (en) | System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths | |
JPH09312643A (ja) | 鍵共有方法及び暗号通信方法 | |
Paar et al. | Message authentication codes (MACs) | |
MAQABLEH | Analysis and design security primitives based on chaotic systems for ecommerce | |
Dubrova et al. | Cryptographically secure CRC for lightweight message authentication | |
Banoth et al. | Classical and Modern Cryptography for Beginners | |
KR100551992B1 (ko) | 어플리케이션 데이터의 암호화 및 복호화 방법 | |
US20040039918A1 (en) | Secure approach to send data from one system to another | |
Rajasekar et al. | Introduction to classical cryptography | |
Benaloh et al. | The private communication technology (pct) protocol | |
Klima et al. | Side channel attacks on CBC encrypted messages in the PKCS# 7 format | |
Mitchell | Error oracle attacks on cbc mode: Is there a future for cbc mode encryption? | |
US20040139321A1 (en) | Method for authenticating a message | |
Rogobete et al. | Hashing and Message Authentication Code Implementation. An Embedded Approach. | |
US11838424B2 (en) | Authenticated encryption apparatus with initialization-vector misuse resistance and method therefor | |
JP2000004223A (ja) | 暗号・認証システム | |
CN114039720B (zh) | 一种基于lfsr哈希的无条件安全的认证加密方法 | |
Birrane, III et al. | RFC 9173: Default Security Contexts for Bundle Protocol Security (BPSec) | |
Rath et al. | Cryptography and network security lecture notes | |
Barlow | Symmetric encryption with multiple keys: techniques and applications | |
Oszywa et al. | Combining message encryption and authentication |