JPH07152319A - 暗号化装置 - Google Patents
暗号化装置Info
- Publication number
- JPH07152319A JPH07152319A JP5299303A JP29930393A JPH07152319A JP H07152319 A JPH07152319 A JP H07152319A JP 5299303 A JP5299303 A JP 5299303A JP 29930393 A JP29930393 A JP 29930393A JP H07152319 A JPH07152319 A JP H07152319A
- Authority
- JP
- Japan
- Prior art keywords
- input
- mod
- data
- output value
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【目的】モンゴメリー法を用いて入出力値の範囲を変え
ずにP=A・B・R-1 mod N の剰余乗算を実行するこ
とを可能とし、効率的に剰余乗算を実行して暗号化を行
う暗号化装置を提供する。 【構成】0<N<2n ,0≦A,B<2N,R=2n+2
という条件で動作する剰余乗算回路100において、乗
算器101は、入力値AとBの乗算を実行する。乗算器
102は、乗算器101の出力と設定されたパラメータ
N及びRより定まる[(N-1 mod R) mod R]との乗
算を行い、Mを出力する。乗算器103は出力Mと設定
されたパラメータNとの乗算を行い、これをM×Nを出
力する。加算器104は、乗算器1の出力と、乗算器1
03の出力とを足し合わせ、シフトレジスタ104は、
これをn+2ビット左方向へシフトし、出力P=(A×
B+M×N)/Rを出力する。
ずにP=A・B・R-1 mod N の剰余乗算を実行するこ
とを可能とし、効率的に剰余乗算を実行して暗号化を行
う暗号化装置を提供する。 【構成】0<N<2n ,0≦A,B<2N,R=2n+2
という条件で動作する剰余乗算回路100において、乗
算器101は、入力値AとBの乗算を実行する。乗算器
102は、乗算器101の出力と設定されたパラメータ
N及びRより定まる[(N-1 mod R) mod R]との乗
算を行い、Mを出力する。乗算器103は出力Mと設定
されたパラメータNとの乗算を行い、これをM×Nを出
力する。加算器104は、乗算器1の出力と、乗算器1
03の出力とを足し合わせ、シフトレジスタ104は、
これをn+2ビット左方向へシフトし、出力P=(A×
B+M×N)/Rを出力する。
Description
【0001】
【産業上の利用分野】本発明は、例えばコンピュータネ
ットワークにおけるホームバンク,ファームバンク,電
子メール及び電子会議などの様々な通信サービスにおい
て暗号通信を行うための暗号化装置に関する。更には、
剰余乗算を用いる暗号方式(自乗余剰暗号,RSA 暗号,
エルガマル暗号等)、鍵共有方式(DH型鍵共有方式,ID
-based鍵共有方式等)、零知識証明方式等を用いて暗号
通信を行う暗号化装置に関する。
ットワークにおけるホームバンク,ファームバンク,電
子メール及び電子会議などの様々な通信サービスにおい
て暗号通信を行うための暗号化装置に関する。更には、
剰余乗算を用いる暗号方式(自乗余剰暗号,RSA 暗号,
エルガマル暗号等)、鍵共有方式(DH型鍵共有方式,ID
-based鍵共有方式等)、零知識証明方式等を用いて暗号
通信を行う暗号化装置に関する。
【0002】
【従来の技術】近年、コンピュータネットワークを用い
た情報通信システムの急速な進展とともに、データ内容
の保護を目的とする暗号技術の重要性が高まっている。
特に、コンピュータネットワークの高速化・大容量化が
進展する中で、高速な暗号技術が不可欠になりつつあ
る。
た情報通信システムの急速な進展とともに、データ内容
の保護を目的とする暗号技術の重要性が高まっている。
特に、コンピュータネットワークの高速化・大容量化が
進展する中で、高速な暗号技術が不可欠になりつつあ
る。
【0003】なかでも、剰余乗算は種々の暗号技術に用
いられている重要な演算である。この剰余乗算を用いた
暗号方式として、以下のような種々の例を挙げることが
できる。
いられている重要な演算である。この剰余乗算を用いた
暗号方式として、以下のような種々の例を挙げることが
できる。
【0004】暗号方式には秘密鍵暗号方式と公開鍵暗号
方式があることが知られている。これらのうち、公開鍵
暗号方式では暗号化鍵と復号鍵とが異なり、暗号化鍵は
公開し、復号鍵は受信者が秘密に保持するもので、公開
された暗号化鍵から復号鍵を推定するのが困難なように
なっているものである。その公開鍵暗号方式としてRS
A暗号やエルガマル暗号などの余剰乗算に基づく暗号が
よく用いられている。これらの暗号は、秘密通信機能の
他に認証と呼ばれるもう1つの用途があることが注目さ
れている。認証とは、通信文の送信者が正しいかどうか
を検査する機能であり、ディジタル署名とも呼ばれてい
る。これらの暗号を用いたディジタル署名では、送信者
のみが知っている秘密の署名が可能であり、偽造できな
いので安全であり認証通信として金融機関などで多く用
いられている。一方、同一の鍵を送信者と受信者が秘密
に共有する秘密鍵暗号方式の中にも、自乗余剰と呼ばれ
る剰余乗算に用いた演算に基づく乱数が用いられてい
る。
方式があることが知られている。これらのうち、公開鍵
暗号方式では暗号化鍵と復号鍵とが異なり、暗号化鍵は
公開し、復号鍵は受信者が秘密に保持するもので、公開
された暗号化鍵から復号鍵を推定するのが困難なように
なっているものである。その公開鍵暗号方式としてRS
A暗号やエルガマル暗号などの余剰乗算に基づく暗号が
よく用いられている。これらの暗号は、秘密通信機能の
他に認証と呼ばれるもう1つの用途があることが注目さ
れている。認証とは、通信文の送信者が正しいかどうか
を検査する機能であり、ディジタル署名とも呼ばれてい
る。これらの暗号を用いたディジタル署名では、送信者
のみが知っている秘密の署名が可能であり、偽造できな
いので安全であり認証通信として金融機関などで多く用
いられている。一方、同一の鍵を送信者と受信者が秘密
に共有する秘密鍵暗号方式の中にも、自乗余剰と呼ばれ
る剰余乗算に用いた演算に基づく乱数が用いられてい
る。
【0005】また、以上の秘密鍵暗号方式及び公開鍵暗
号方式は鍵配送方式または鍵共有方式と呼ばれる技術と
ともに用いられることが多い。鍵配送方式としては、Di
ffieとHellman によるDH型鍵配送方式がよく知られて
いるが、この方式も剰余乗算を用いて演算を行う。さら
に、鍵共有方式としてID-based鍵共有方式が注目されて
いるが、種々の鍵共有方式において剰余乗算が用いられ
ている。
号方式は鍵配送方式または鍵共有方式と呼ばれる技術と
ともに用いられることが多い。鍵配送方式としては、Di
ffieとHellman によるDH型鍵配送方式がよく知られて
いるが、この方式も剰余乗算を用いて演算を行う。さら
に、鍵共有方式としてID-based鍵共有方式が注目されて
いるが、種々の鍵共有方式において剰余乗算が用いられ
ている。
【0006】他に、暗号技術には零知識照明と呼ばれる
ものがある。これは自分がある知識を持っていること
を、その内容をいっさい告げることなく(=零知識)、
相手に納得させる(=証明)方法である。これにも、剰
余乗算に基づく種々の手法がある。
ものがある。これは自分がある知識を持っていること
を、その内容をいっさい告げることなく(=零知識)、
相手に納得させる(=証明)方法である。これにも、剰
余乗算に基づく種々の手法がある。
【0007】これらの詳細については池野信一,小山謙
二著の“現代暗号理論”(電子情報通信学会(198
6))及び辻井重男,笠原正雄著の“暗号と情報セキュ
リティ”(昭晃堂(1990))等に詳しく説明されて
いる。
二著の“現代暗号理論”(電子情報通信学会(198
6))及び辻井重男,笠原正雄著の“暗号と情報セキュ
リティ”(昭晃堂(1990))等に詳しく説明されて
いる。
【0008】以上より、効率的な剰余乗算回路及び方法
が構成できれば、種々の暗号システムを効率よく実現で
きることになる。
が構成できれば、種々の暗号システムを効率よく実現で
きることになる。
【0009】P=A・B・R-1 mod Nの剰余乗算(R
はNと互いに素な整数)を効率的に演算する方法として
モンゴメリー法(Montgomery,P.L.: “Modular multilic
ation without trial division ”Math. of Computatio
n,Vol.44,1985,pp,519-521)と呼ばれる手法が知られて
いる。モンゴメリー法は次に示すように除算を行うこと
なしに剰余乗算を計算することができる。
はNと互いに素な整数)を効率的に演算する方法として
モンゴメリー法(Montgomery,P.L.: “Modular multilic
ation without trial division ”Math. of Computatio
n,Vol.44,1985,pp,519-521)と呼ばれる手法が知られて
いる。モンゴメリー法は次に示すように除算を行うこと
なしに剰余乗算を計算することができる。
【0010】[モンゴメリー法の説明]モンゴメリーに
よって導かれた定理は、 『NとRを互いに素な整数とし、N’=−N-1 mod R
とするとき、任意の整数T,(T+M・N)/Rは、 (T+M・N)/R=T・R-1 mod N ‥‥‥‥‥ (1式) ただし、M=T・N’mod R という関係を満足する』 というものである。
よって導かれた定理は、 『NとRを互いに素な整数とし、N’=−N-1 mod R
とするとき、任意の整数T,(T+M・N)/Rは、 (T+M・N)/R=T・R-1 mod N ‥‥‥‥‥ (1式) ただし、M=T・N’mod R という関係を満足する』 というものである。
【0011】従って、モンゴメリー法によれば、剰余乗
算:P=A・B・R-1 mod Nを実行する場合、Nに対
して素である整数Rを用いて、 P=A・B・R-1 mod N=(A・B+M・N)/R ‥‥ (2) ただし、M=A・B・N’mod R ‥‥ (3) のようにして行うことができる。
算:P=A・B・R-1 mod Nを実行する場合、Nに対
して素である整数Rを用いて、 P=A・B・R-1 mod N=(A・B+M・N)/R ‥‥ (2) ただし、M=A・B・N’mod R ‥‥ (3) のようにして行うことができる。
【0012】ここで、Nが奇数の場合、R=2r (rは
任意の整数)とすればRはNに対して素な整数になる。
この場合、Rによる除算はビットシフトのみで済むの
で、(2)式の演算は乗算と加算のみによって簡単に実
行できる。
任意の整数)とすればRはNに対して素な整数になる。
この場合、Rによる除算はビットシフトのみで済むの
で、(2)式の演算は乗算と加算のみによって簡単に実
行できる。
【0013】
【発明が解決しようとする課題】しかし、上述のモンゴ
メリー法では剰余乗算の出力値の範囲が入力値の値の範
囲より大きくなる場合が発生する。例えば、入力A,B
の値の範囲をそれぞれ 0≦A,B<N として、上述の(2式)及び(3式)で示されるモンゴ
メリー法の演算、 P=(A・B+M・N)/R=(C+M)・N/R ただし、C=A・B/N を実行する。
メリー法では剰余乗算の出力値の範囲が入力値の値の範
囲より大きくなる場合が発生する。例えば、入力A,B
の値の範囲をそれぞれ 0≦A,B<N として、上述の(2式)及び(3式)で示されるモンゴ
メリー法の演算、 P=(A・B+M・N)/R=(C+M)・N/R ただし、C=A・B/N を実行する。
【0014】この場合、C+M>Rであれば(C+M)
/R>1となるので、 P=(A・B+M・N)/R>N となる。即ち、0≦A,B<Nの入力に対して、P>N
の値が出力される場合がある。
/R>1となるので、 P=(A・B+M・N)/R>N となる。即ち、0≦A,B<Nの入力に対して、P>N
の値が出力される場合がある。
【0015】このため、モンゴメリー法を実現する回路
もしくは方法によって剰余乗算を繰り返すことは困難と
なる。また、暗号化手法で一般に用いられる剰余乗算の
演算は、 Q=A・B mod N である。このような剰余乗算を実現するにはモンゴメリ
ー法を複数回繰り返す必要があるため、モンゴメリー法
だけを用いてこの演算を効率的に実行することは困難で
あった。
もしくは方法によって剰余乗算を繰り返すことは困難と
なる。また、暗号化手法で一般に用いられる剰余乗算の
演算は、 Q=A・B mod N である。このような剰余乗算を実現するにはモンゴメリ
ー法を複数回繰り返す必要があるため、モンゴメリー法
だけを用いてこの演算を効率的に実行することは困難で
あった。
【0016】本発明は上記の問題点に鑑みてなされたも
のであり、モンゴメリー法を用いて入出力値の範囲を変
えずにP=A・B・R-1 mod Nの剰余乗算を実行する
ことを可能とし、効率的に剰余乗算を実行して暗号化を
行う暗号化装置を提供することを第1の目的とする。
のであり、モンゴメリー法を用いて入出力値の範囲を変
えずにP=A・B・R-1 mod Nの剰余乗算を実行する
ことを可能とし、効率的に剰余乗算を実行して暗号化を
行う暗号化装置を提供することを第1の目的とする。
【0017】更に、Q=A・B mod Nの剰余乗算をモ
ンゴメリー法により効率的に実行して暗号化を行う暗号
化装置を提供することを第2の目的とする。
ンゴメリー法により効率的に実行して暗号化を行う暗号
化装置を提供することを第2の目的とする。
【0018】
【課題を解決するための手段】上記の第1の目的を達成
するための本発明の暗号化装置は以下の構成を備えてい
る。即ち、剰余乗算を用いて入力したデータを暗号化す
る暗号化装置であって、P=A×B×R-1 mod N で表
される剰余乗算を、P=(A×B+M×N)/R(ここ
で、M=A×B×N’mod R,N’=−N-1mod R)を
実行することにより出力値Pを獲得する演算手段と、前
記演算手段におけるパラメータN及びRをそれぞれN<
2n ,R=2n+2 (ここでnは任意の整数)に設定して
提供する提供手段と、暗号化すべきデータA,Bをそれ
ぞれ、A≧0,B<2Nの範囲で入力する入力手段と、
前記入力手段により入力されたデータA,Bについて、
前記演算手段より得られた出力値Pを用いて暗号化デー
タを獲得する暗号化手段とを備える。
するための本発明の暗号化装置は以下の構成を備えてい
る。即ち、剰余乗算を用いて入力したデータを暗号化す
る暗号化装置であって、P=A×B×R-1 mod N で表
される剰余乗算を、P=(A×B+M×N)/R(ここ
で、M=A×B×N’mod R,N’=−N-1mod R)を
実行することにより出力値Pを獲得する演算手段と、前
記演算手段におけるパラメータN及びRをそれぞれN<
2n ,R=2n+2 (ここでnは任意の整数)に設定して
提供する提供手段と、暗号化すべきデータA,Bをそれ
ぞれ、A≧0,B<2Nの範囲で入力する入力手段と、
前記入力手段により入力されたデータA,Bについて、
前記演算手段より得られた出力値Pを用いて暗号化デー
タを獲得する暗号化手段とを備える。
【0019】又、上記第2の目的を達成するための本発
明による暗号化装置は以下の構成を備えている。即ち、
剰余乗算を用いて入力したデータを暗号化する暗号化装
置であって、P=A×B×R-1 mod N で表される剰余
乗算を、P=(A×B+M×N)/R(ここで、M=A
×B×N’mod R,N’=−N-1mod R)を実行するこ
とにより出力値Pを獲得する第1演算手段と、前記第1
演算手段で用いられた出力値Pを用いて、Q=(P×R
R +M’×N)/R(ここで、RR =R2 mod N,M’
=P×RR ×N’mod R)を実行し、出力値Qを得る第
2演算手段と、前記演算手段におけるパラメータN及び
RをそれぞれN<2n ,R=2n+2 (ここでnは任意の
整数であり、RとNは互いに素な整数)に設定して提供
する提供手段と、暗号化すべきデータA,Bをそれぞ
れ、A≧0,B<2Nの範囲で入力する入力手段と、前
記入力手段により入力されたデータA,Bについて、前
記第1及び第2演算手段により得られた出力値Qを剰余
乗算A×B mod N の結果として用いて暗号化データを
獲得する暗号化手段とを備える。
明による暗号化装置は以下の構成を備えている。即ち、
剰余乗算を用いて入力したデータを暗号化する暗号化装
置であって、P=A×B×R-1 mod N で表される剰余
乗算を、P=(A×B+M×N)/R(ここで、M=A
×B×N’mod R,N’=−N-1mod R)を実行するこ
とにより出力値Pを獲得する第1演算手段と、前記第1
演算手段で用いられた出力値Pを用いて、Q=(P×R
R +M’×N)/R(ここで、RR =R2 mod N,M’
=P×RR ×N’mod R)を実行し、出力値Qを得る第
2演算手段と、前記演算手段におけるパラメータN及び
RをそれぞれN<2n ,R=2n+2 (ここでnは任意の
整数であり、RとNは互いに素な整数)に設定して提供
する提供手段と、暗号化すべきデータA,Bをそれぞ
れ、A≧0,B<2Nの範囲で入力する入力手段と、前
記入力手段により入力されたデータA,Bについて、前
記第1及び第2演算手段により得られた出力値Qを剰余
乗算A×B mod N の結果として用いて暗号化データを
獲得する暗号化手段とを備える。
【0020】
【作用】上記の第1の目的を達成するための構成によれ
ば、P=A×B×R-1 mod Nで表される剰余乗算を、
P=(A×B+M×N)/R(ここで、M=A×B×
N’mod R,N’=−N-1mod R)にて実行するに際し
て、パラメータN及びRをそれぞれN<2n ,R=2
n+2 (ここでnは任意の整数)に設定し、暗号化すべき
データA,Bはそれぞれ、A≧0,B<2Nの範囲で入
力することにより、出力値Pが常に入力値A,Bの範囲
内で得られる。これを用いて暗号化を行うので効率のよ
い暗号化が可能である。
ば、P=A×B×R-1 mod Nで表される剰余乗算を、
P=(A×B+M×N)/R(ここで、M=A×B×
N’mod R,N’=−N-1mod R)にて実行するに際し
て、パラメータN及びRをそれぞれN<2n ,R=2
n+2 (ここでnは任意の整数)に設定し、暗号化すべき
データA,Bはそれぞれ、A≧0,B<2Nの範囲で入
力することにより、出力値Pが常に入力値A,Bの範囲
内で得られる。これを用いて暗号化を行うので効率のよ
い暗号化が可能である。
【0021】又、上記の第2の目的を達成するための構
成によれば、P=A×B×R-1 modN で表される剰余
乗算を、P=(A×B+M×N)/R(ここで、M=A
×B×N’mod R,N’=−N-1mod R)にて実行する
に際して、パラメータN及びRをそれぞれN<2n ,R
=2n+2 (ここでnは任意の整数)に設定し、暗号化す
べきデータA,Bはそれぞれ、A≧0,B<2Nの範囲
で入力することにより、出力値Pが常に入力値A,Bの
範囲内で得られる。更に、この出力値Pと、上記のパラ
メータR,Nより得られるRR ( =R2 mod N)とを
入力値として(P×RR +M’×N)/R(ここでM’
=P×RR ×N’mod R)を演算する。このようにし
て、入力値A,Bに対して剰余乗算の出力値Q(=A×
B mod N)が入力値A,Bの範囲内で得られる。そし
て、これを用いて暗号化を行うので効率のよい暗号化が
可能である。
成によれば、P=A×B×R-1 modN で表される剰余
乗算を、P=(A×B+M×N)/R(ここで、M=A
×B×N’mod R,N’=−N-1mod R)にて実行する
に際して、パラメータN及びRをそれぞれN<2n ,R
=2n+2 (ここでnは任意の整数)に設定し、暗号化す
べきデータA,Bはそれぞれ、A≧0,B<2Nの範囲
で入力することにより、出力値Pが常に入力値A,Bの
範囲内で得られる。更に、この出力値Pと、上記のパラ
メータR,Nより得られるRR ( =R2 mod N)とを
入力値として(P×RR +M’×N)/R(ここでM’
=P×RR ×N’mod R)を演算する。このようにし
て、入力値A,Bに対して剰余乗算の出力値Q(=A×
B mod N)が入力値A,Bの範囲内で得られる。そし
て、これを用いて暗号化を行うので効率のよい暗号化が
可能である。
【0022】
【実施例】以下に添付の図面を参照して本発明の好適な
実施例について説明する。
実施例について説明する。
【0023】<実施例1>図1は本実施例の暗号システ
ムの構成を表す図である。本例では図1に示す如くn対
nの通信系における暗号システムについて説明する。1
は通信網であり、本例ではローカルエリアネットワーク
(LAN)のような局所的な通信網、または電話回線の
ような大域的な通信網を表す。2-1〜2-nは通信機であ
り、利用者がアクセスする端末と通信網1とを接続する
(以後通信機を総称する場合は通信機2と記する)。3
-1〜3-nは端末装置であり、利用者はこれを用いてデー
タの作成等を行う(以後、端末装置を総称する場合は端
末装置3と記する)。
ムの構成を表す図である。本例では図1に示す如くn対
nの通信系における暗号システムについて説明する。1
は通信網であり、本例ではローカルエリアネットワーク
(LAN)のような局所的な通信網、または電話回線の
ような大域的な通信網を表す。2-1〜2-nは通信機であ
り、利用者がアクセスする端末と通信網1とを接続する
(以後通信機を総称する場合は通信機2と記する)。3
-1〜3-nは端末装置であり、利用者はこれを用いてデー
タの作成等を行う(以後、端末装置を総称する場合は端
末装置3と記する)。
【0024】4-1〜4-nは暗号装置であり、送信すべき
データを入力してこれを暗号化して出力する(以後暗号
装置を総称する場合は暗号装置4と記する)。ここで、
暗号装置4は、通信機2に内蔵されていたり(暗号装置
4-1)、または通信機2と通信網1の間に挿入されてい
たり(暗号装置4-2)、通信機2に接続された端末装置
3に内蔵されていたり(暗号装置4-3)する。また、暗
号装置4が通信機に接続されていなくても、ICカード
のような携帯用の装置に暗号装置を内蔵し、必要なとき
に通信機2または端末装置3と接続して用いることも可
能である。これらの通信機2または端末装置3を用いる
利用者は、本実施例による剰余乗算回路を有する暗号装
置によって、秘密通信や認証通信及び鍵共有,零知識証
明などの暗号通信を行う。
データを入力してこれを暗号化して出力する(以後暗号
装置を総称する場合は暗号装置4と記する)。ここで、
暗号装置4は、通信機2に内蔵されていたり(暗号装置
4-1)、または通信機2と通信網1の間に挿入されてい
たり(暗号装置4-2)、通信機2に接続された端末装置
3に内蔵されていたり(暗号装置4-3)する。また、暗
号装置4が通信機に接続されていなくても、ICカード
のような携帯用の装置に暗号装置を内蔵し、必要なとき
に通信機2または端末装置3と接続して用いることも可
能である。これらの通信機2または端末装置3を用いる
利用者は、本実施例による剰余乗算回路を有する暗号装
置によって、秘密通信や認証通信及び鍵共有,零知識証
明などの暗号通信を行う。
【0025】また、上述の図1の如き通信系以外にも本
暗号システムは適用可能である。例えば、図2は本実施
例の暗号システムを記憶系に適用した状態を表す図であ
る。同図において5は磁気ディスクであり、アクセス装
置6-1〜6-nより転送された暗号化データを記憶する。
6-1〜6-nはアクセス装置であり、暗号装置4により暗
号化されたたデータを磁気ディスク5に格納する。この
ように、通信系と同様に記憶系においても利用者は本実
施例の演算回路及び方法を用いた暗号装置によって個別
に暗号システムを利用することができる。
暗号システムは適用可能である。例えば、図2は本実施
例の暗号システムを記憶系に適用した状態を表す図であ
る。同図において5は磁気ディスクであり、アクセス装
置6-1〜6-nより転送された暗号化データを記憶する。
6-1〜6-nはアクセス装置であり、暗号装置4により暗
号化されたたデータを磁気ディスク5に格納する。この
ように、通信系と同様に記憶系においても利用者は本実
施例の演算回路及び方法を用いた暗号装置によって個別
に暗号システムを利用することができる。
【0026】次に、上述の式(2)において入力値と出
力値の範囲を等しくするために以下の条件にて入力値及
びパラメータを定める。この条件とは、 『入力値A及びBをそれぞれ0≦A,B<2Nとし、パ
ラメータN及びRをそれぞれ0<N<2n ,R=2n+1
(nは任意の整数)とすると、式(2)から得られるP
の範囲は0≦P<2Nとなる。』 である。
力値の範囲を等しくするために以下の条件にて入力値及
びパラメータを定める。この条件とは、 『入力値A及びBをそれぞれ0≦A,B<2Nとし、パ
ラメータN及びRをそれぞれ0<N<2n ,R=2n+1
(nは任意の整数)とすると、式(2)から得られるP
の範囲は0≦P<2Nとなる。』 である。
【0027】上述の条件は、以下の如く証明される。即
ち、 『R=2n+2 とすると式(3)よりM<2n+2 となり、
ここで、N<2n であるから、2N+M/2<Rとな
る.よって、0≦A,B<2Nより P=(A・B+M・N)/R<(2N+M/2)・2N
/R<2Nとなる.ここで式(2),(3)より0≦P
であるので、0≦P<2N』 となる。
ち、 『R=2n+2 とすると式(3)よりM<2n+2 となり、
ここで、N<2n であるから、2N+M/2<Rとな
る.よって、0≦A,B<2Nより P=(A・B+M・N)/R<(2N+M/2)・2N
/R<2Nとなる.ここで式(2),(3)より0≦P
であるので、0≦P<2N』 となる。
【0028】以上より、0<N<2n ,0≦A,B<2
N,R=2n+2 (nは任意の整数)の条件が満たされて
いればモンゴメリー法により出力されるPは入力値A,
Bの範囲と同じく0≦P<2Nとすることができる。よ
って、上述のような条件を満たすN,A,B,Rの整数
を設定する回路と、上述のような条件を満たすN,A,
B,Rの整数を演算する回路を用いてモンゴメリー法に
よる剰余乗算を実行することにより、常に入力値の範囲
内に納まる剰余乗算の結果Pを得ることができる。
N,R=2n+2 (nは任意の整数)の条件が満たされて
いればモンゴメリー法により出力されるPは入力値A,
Bの範囲と同じく0≦P<2Nとすることができる。よ
って、上述のような条件を満たすN,A,B,Rの整数
を設定する回路と、上述のような条件を満たすN,A,
B,Rの整数を演算する回路を用いてモンゴメリー法に
よる剰余乗算を実行することにより、常に入力値の範囲
内に納まる剰余乗算の結果Pを得ることができる。
【0029】図3は実施例1の剰余乗算回路の構成例を
表すブロック図である。同図において、100は剰余乗
算回路を示す。乗算器101は、入力値AとBの乗算を
実行する。ここで、入力値A,Bは端末装置3で生成さ
れ、通信網1もしくは磁気ディスク5に暗号化して転送
すべきデータである。
表すブロック図である。同図において、100は剰余乗
算回路を示す。乗算器101は、入力値AとBの乗算を
実行する。ここで、入力値A,Bは端末装置3で生成さ
れ、通信網1もしくは磁気ディスク5に暗号化して転送
すべきデータである。
【0030】又、乗算器102は、乗算器101の出力
(A×B)と設定されたパラメータN及びRより定まる
[(N-1 mod R) mod R]との乗算を行い、これを
出力する(出力M)。乗算器103は出力Mと設定され
たパラメータNとの乗算を行い、これを出力する(M×
N)。加算器104は、乗算器1の出力(A×B)と、
乗算器103の出力(M×N)とを足し合わせる。更
に、シフトレジスタ104は、加算器103からの出力
データをn+2ビット左方向へシフトすることにより、
1/Rn+2 を実行する。シフトレジスタ104より出力
P=((A×B)+(M×N))/Rn+2 が出力され
る。尚、110及び111はそれぞれ、[(N-1 mod
R) mod R]及びNという定数を出力する定数発生回
路である。
(A×B)と設定されたパラメータN及びRより定まる
[(N-1 mod R) mod R]との乗算を行い、これを
出力する(出力M)。乗算器103は出力Mと設定され
たパラメータNとの乗算を行い、これを出力する(M×
N)。加算器104は、乗算器1の出力(A×B)と、
乗算器103の出力(M×N)とを足し合わせる。更
に、シフトレジスタ104は、加算器103からの出力
データをn+2ビット左方向へシフトすることにより、
1/Rn+2 を実行する。シフトレジスタ104より出力
P=((A×B)+(M×N))/Rn+2 が出力され
る。尚、110及び111はそれぞれ、[(N-1 mod
R) mod R]及びNという定数を出力する定数発生回
路である。
【0031】以上のような簡単な回路構成により剰余乗
算回路が実現できる。更に、入力値A,B及びパラメー
タR,Nを上述の条件に従って設定することで、出力値
Pが常に入力値A及びBの範囲に納まるようになる。従
って、暗号装置4が剰余乗算を複数回実行することが必
要な暗号化手法を用いても、この剰余乗算回路100を
暗号装置4に適用することが可能となる。従って、剰余
乗算を効率的に利用できる暗号システムを構成すること
ができる。
算回路が実現できる。更に、入力値A,B及びパラメー
タR,Nを上述の条件に従って設定することで、出力値
Pが常に入力値A及びBの範囲に納まるようになる。従
って、暗号装置4が剰余乗算を複数回実行することが必
要な暗号化手法を用いても、この剰余乗算回路100を
暗号装置4に適用することが可能となる。従って、剰余
乗算を効率的に利用できる暗号システムを構成すること
ができる。
【0032】<実施例2>上記実施例1における剰余乗
算回路では、モンゴメリー法を用いた剰余乗算において
出力値Pを常に入力値A及びBの範囲に納めることを実
現している。実施例2では、暗号化によく用いられるQ
=A・B mod Nの剰余乗算を上述の剰余乗算回路を用
いて実現するものである。
算回路では、モンゴメリー法を用いた剰余乗算において
出力値Pを常に入力値A及びBの範囲に納めることを実
現している。実施例2では、暗号化によく用いられるQ
=A・B mod Nの剰余乗算を上述の剰余乗算回路を用
いて実現するものである。
【0033】モンゴメリー法を用いて上述の出力Qを得
るためには、以下の2式を連続して行う必要がある。即
ち、 P=A・B・R-1 mod N=(A・B+M1・N)/R (4) Q=P・RR ・R-1 mod N=(P・RR +M2・N)/R (5) ただし、M1=A・B・N’mod R, M2=P・RR ・N’mod R, RR =R2 mod N である。
るためには、以下の2式を連続して行う必要がある。即
ち、 P=A・B・R-1 mod N=(A・B+M1・N)/R (4) Q=P・RR ・R-1 mod N=(P・RR +M2・N)/R (5) ただし、M1=A・B・N’mod R, M2=P・RR ・N’mod R, RR =R2 mod N である。
【0034】この場合、式(4)の出力Pは実施例1か
ら0≦P<2Nであり、定義から0≦RR <N<2Nで
ある。よって、式(5)の各パラメータも実施例1の条
件を満足するので、出力値Pと設定値RR より、モンゴ
メリー法を実行する実施例1と同一構成の剰余乗算回路
によって剰余乗算Qを演算することができる。
ら0≦P<2Nであり、定義から0≦RR <N<2Nで
ある。よって、式(5)の各パラメータも実施例1の条
件を満足するので、出力値Pと設定値RR より、モンゴ
メリー法を実行する実施例1と同一構成の剰余乗算回路
によって剰余乗算Qを演算することができる。
【0035】図4は実施例2における出力値Qを得るた
めの剰余乗算回路の構成例である。同図に示されるよう
に前述の剰余乗算回路100を2つシリーズに接続した
構成により出力値Qが得られる。ここでは説明の便宜
上、後段の剰余乗算回路の参照番号を100’として説
明する。200は定数発生器であり、パラメータN及び
Rより得られるRR を発生し、剰余乗算回路100’に
入力する。入力A及びBにより得られる剰余乗算回路1
00の出力Pと定数発生器200の出力RR とを剰余乗
算回路100’に入力すると、乗算器102よりM2が
得られ、前述の式(5)で表された出力Qが得られる。
めの剰余乗算回路の構成例である。同図に示されるよう
に前述の剰余乗算回路100を2つシリーズに接続した
構成により出力値Qが得られる。ここでは説明の便宜
上、後段の剰余乗算回路の参照番号を100’として説
明する。200は定数発生器であり、パラメータN及び
Rより得られるRR を発生し、剰余乗算回路100’に
入力する。入力A及びBにより得られる剰余乗算回路1
00の出力Pと定数発生器200の出力RR とを剰余乗
算回路100’に入力すると、乗算器102よりM2が
得られ、前述の式(5)で表された出力Qが得られる。
【0036】尚、上記の実施例2では出力Qを得るのに
2つの剰余乗算回路100を2つ用いたがこれに限られ
ない。例えば、図5に示す如くセレクタ301及びセレ
クタ302を用いて、1つの剰余乗算回路100にて構
成することも可能である。
2つの剰余乗算回路100を2つ用いたがこれに限られ
ない。例えば、図5に示す如くセレクタ301及びセレ
クタ302を用いて、1つの剰余乗算回路100にて構
成することも可能である。
【0037】図5は実施例2の変形例の構成を表すブロ
ック図である。セレクタ301は入力値Aもしくは剰余
乗算回路100の出力値(P)のいずれかを選択してラ
ッチし、剰余乗算回路100に出力する。セレクタ30
2は入力値Bもしくは定数発生器200の出力(RR )
のいずれかを選択してラッチし、剰余乗算回路100に
出力する。セレクト信号303は不図示のCPUや、適
切な回路により発生されるセレクタ301,302の切
替信号である。このセレクト信号303は、入力値A,
Bの取り込みタイミングにてセレクタ301,302に
それぞれ入力値A,Bを選択、ラッチさせる。従って、
剰余乗算回路100は出力値Pを出力する。次に、セレ
クト信号303により、セレクタ301,302はそれ
ぞれ出力値Pと定数RR を選択、ラッチする。従って、
このときの剰余乗算回路100への入力は出力値Pと定
数RR になるので、剰余乗算回路100からは出力値Q
が得られる。
ック図である。セレクタ301は入力値Aもしくは剰余
乗算回路100の出力値(P)のいずれかを選択してラ
ッチし、剰余乗算回路100に出力する。セレクタ30
2は入力値Bもしくは定数発生器200の出力(RR )
のいずれかを選択してラッチし、剰余乗算回路100に
出力する。セレクト信号303は不図示のCPUや、適
切な回路により発生されるセレクタ301,302の切
替信号である。このセレクト信号303は、入力値A,
Bの取り込みタイミングにてセレクタ301,302に
それぞれ入力値A,Bを選択、ラッチさせる。従って、
剰余乗算回路100は出力値Pを出力する。次に、セレ
クト信号303により、セレクタ301,302はそれ
ぞれ出力値Pと定数RR を選択、ラッチする。従って、
このときの剰余乗算回路100への入力は出力値Pと定
数RR になるので、剰余乗算回路100からは出力値Q
が得られる。
【0038】以上のような剰余乗算回路を図1に示すよ
うな暗号システムに用いることによって剰余乗算を効率
的に実行できる暗号システムを構成できる。
うな暗号システムに用いることによって剰余乗算を効率
的に実行できる暗号システムを構成できる。
【0039】以上説明したように、上記の各実施例によ
れば、モンゴメリー法の入出力値の範囲を同じにして剰
余乗算を実行することができる。これによって、モンゴ
メリー法の繰り返しによる演算を効率的に実行すること
が可能となり、モンゴメリー法を利用した剰余乗算を用
いた種々の暗号システムが効率的に構成できる。
れば、モンゴメリー法の入出力値の範囲を同じにして剰
余乗算を実行することができる。これによって、モンゴ
メリー法の繰り返しによる演算を効率的に実行すること
が可能となり、モンゴメリー法を利用した剰余乗算を用
いた種々の暗号システムが効率的に構成できる。
【0040】又、上述の式(2)〜(5)は整数演算で
あるので、剰余乗算を実現するための演算回路及び手法
は上述の実施例に示したものに限られるものではない。
例えば、CPU等を用いてソフトウエアにより演算を行
うことでも簡単に実現できることは明かである。
あるので、剰余乗算を実現するための演算回路及び手法
は上述の実施例に示したものに限られるものではない。
例えば、CPU等を用いてソフトウエアにより演算を行
うことでも簡単に実現できることは明かである。
【0041】尚、本発明は、複数の機器から構成される
システムに適用しても1つの機器からなる装置に適用し
ても良い。また、本発明はシステム或いは装置に本発明
により規定される処理を実行させるプログラムを供給す
ることによって達成される場合にも適用できることはい
うまでもない。
システムに適用しても1つの機器からなる装置に適用し
ても良い。また、本発明はシステム或いは装置に本発明
により規定される処理を実行させるプログラムを供給す
ることによって達成される場合にも適用できることはい
うまでもない。
【0042】
【発明の効果】以上説明したように、本発明によれば、
モンゴメリー法を用いて、入出力値の範囲を変えずにP
=A・B・R-1 mod Nの剰余乗算を実行することが可
能となる。従って、剰余乗算を用いた暗号化を効率的に
行う暗号化装置が得られる。
モンゴメリー法を用いて、入出力値の範囲を変えずにP
=A・B・R-1 mod Nの剰余乗算を実行することが可
能となる。従って、剰余乗算を用いた暗号化を効率的に
行う暗号化装置が得られる。
【0043】更に、Q=A・B mod Nの剰余乗算をモ
ンゴメリー法により効率的に実行することが可能とな
り、剰余乗算を用いた暗号化を効率的に行う暗号化装置
が得られる。
ンゴメリー法により効率的に実行することが可能とな
り、剰余乗算を用いた暗号化を効率的に行う暗号化装置
が得られる。
【0044】
【図1】本実施例の暗号システムの構成を表す図であ
る。
る。
【図2】本実施例の暗号システムを記憶系に適用した状
態を表す図である。
態を表す図である。
【図3】実施例1の剰余乗算回路の構成例を表すブロッ
ク図である。
ク図である。
【図4】実施例2における出力値Qを得るための剰余乗
算回路の構成例である。
算回路の構成例である。
【図5】実施例2の変形例の構成を表すブロック図であ
る。
る。
1 通信網 2 通信機 3 端末装置 4 暗号装置 5 磁気ディスク 6 アクセス装置 100,100’ 剰余乗算回路 101,102,103 乗算器 104 加算器 105 シフトレジスタ 110,111,200 定数発生器 301,302 セレクタ 303 セレクト信号
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/06 9/14
Claims (4)
- 【請求項1】 剰余乗算を用いて入力したデータを暗号
化する暗号化装置であって、 P=A×B×R-1 mod N で表される剰余乗算を、P=
(A×B+M×N)/R(ここで、M=A×B×N’mo
d R,N’=−N-1mod R)を実行することにより出力
値Pを獲得する演算手段と、 前記演算手段におけるパラメータN及びRをそれぞれN
<2n ,R=2n+2 (ここでnは任意の整数)に設定し
て提供する提供手段と、 暗号化すべきデータA,Bをそれぞれ、A≧0,B<2
Nの範囲で入力する入力手段と、 前記入力手段により入力されたデータA,Bについて、
前記演算手段より得られた出力値Pを用いて暗号化デー
タを獲得する暗号化手段とを備えることを特徴とする暗
号化装置。 - 【請求項2】 剰余乗算を用いて入力したデータを暗号
化する暗号化装置であって、 P=A×B×R-1 mod N で表される剰余乗算を、P=
(A×B+M×N)/R(ここで、M=A×B×N’mo
d R,N’=−N-1mod R)を実行することにより出力
値Pを獲得する第1演算手段と、 前記第1演算手段で用いられた出力値Pを用いて、Q=
(P×RR +M’×N)/R(ここで、RR =R2 mod
N,M’=P×RR ×N’mod R)を実行し、出力値Q
を得る第2演算手段と、 前記演算手段におけるパラメータN及びRをそれぞれN
<2n ,R=2n+2 (ここでnは任意の整数であり、R
とNは互いに素な整数)に設定して提供する提供手段
と、 暗号化すべきデータA,Bをそれぞれ、A≧0,B<2
Nの範囲で入力する入力手段と、 前記入力手段により入力されたデータA,Bについて、
前記第1及び第2演算手段により得られた出力値Qを剰
余乗算A×B mod N の結果として用いて暗号化データ
を獲得する暗号化手段とを備えることを特徴とする暗号
化装置。 - 【請求項3】 前記第1及び第2演算手段に用いられる
回路が同一の回路構成であり、これら2つの回路がシリ
ーズに接続されていることを特徴とする請求項2に記載
の暗号化装置。 - 【請求項4】 前記第1及び第2演算手段で用いられる
回路が同一の演算回路であり、 前記入力手段により入力された暗号化すべきデータA及
びB、もしくは、前記第1演算手段より得られた出力値
P及び前記提供手段により提供されたパラメータより得
られるRR のいずれかの数値の組を選択して前記演算回
路に入力する選択手段を更に備え、 前記選択手段により暗号化すべきデータA及びBを前記
演算回路に入力提供することに前記第1演算手段を実行
し、前記選択手段により前記第1演算手段より得られた
出力値P及び前記提供手段により提供されたパラメータ
より得られたR R を入力することにより、前記第2演算
手段を実行することを特徴とする請求項2に記載の暗号
化装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5299303A JPH07152319A (ja) | 1993-11-30 | 1993-11-30 | 暗号化装置 |
| US08/350,110 US5666419A (en) | 1993-11-30 | 1994-11-29 | Encryption device and communication apparatus using same |
| EP94308810A EP0656709B1 (en) | 1993-11-30 | 1994-11-29 | Encryption device and apparatus for encryption/decryption based on the Montgomery method using efficient modular multiplication |
| DE69434422T DE69434422T2 (de) | 1993-11-30 | 1994-11-29 | Verfahren und Anordnung zur Verschlüsselung/Entschlüsselung auf der Basis des Montgomery-Verfahrens unter Verwendung von effizienter modularer Multiplikation |
| AT94308810T ATE299631T1 (de) | 1993-11-30 | 1994-11-29 | Verfahren und anordnung zur verschlüsselung/entschlüsselung auf der basis des montgomery-verfahrens unter verwendung von effizienter modularer multiplikation |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5299303A JPH07152319A (ja) | 1993-11-30 | 1993-11-30 | 暗号化装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH07152319A true JPH07152319A (ja) | 1995-06-16 |
Family
ID=17870793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5299303A Pending JPH07152319A (ja) | 1993-11-30 | 1993-11-30 | 暗号化装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH07152319A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005013243A1 (ja) * | 2003-07-31 | 2005-02-10 | Fujitsu Limited | モンゴメリ乗算剰余における変換パラメータの計算装置、方法およびそのプログラム |
| KR100486697B1 (ko) * | 1998-05-26 | 2005-06-16 | 삼성전자주식회사 | 모듈러연산장치및그방법 |
-
1993
- 1993-11-30 JP JP5299303A patent/JPH07152319A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100486697B1 (ko) * | 1998-05-26 | 2005-06-16 | 삼성전자주식회사 | 모듈러연산장치및그방법 |
| WO2005013243A1 (ja) * | 2003-07-31 | 2005-02-10 | Fujitsu Limited | モンゴメリ乗算剰余における変換パラメータの計算装置、方法およびそのプログラム |
| JPWO2005013243A1 (ja) * | 2003-07-31 | 2006-09-28 | 富士通株式会社 | モンゴメリ乗算剰余における変換パラメータの計算装置、方法およびそのプログラム |
| US7792893B2 (en) | 2003-07-31 | 2010-09-07 | Fujitsu Limited | Device and method for calculating conversion parameter of montgomery modular multiplication and program therefor |
| JP4616169B2 (ja) * | 2003-07-31 | 2011-01-19 | 富士通株式会社 | モンゴメリ乗算剰余における変換パラメータの計算装置、方法およびそのプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0656709B1 (en) | Encryption device and apparatus for encryption/decryption based on the Montgomery method using efficient modular multiplication | |
| US5442707A (en) | Method for generating and verifying electronic signatures and privacy communication using elliptic curves | |
| EP1467512B1 (en) | Encryption process employing chaotic maps and digital signature process | |
| US6490352B1 (en) | Cryptographic elliptic curve apparatus and method | |
| Harn | Public-key cryptosystem design based on factoring and discrete logarithms | |
| AU677269B2 (en) | A cryptographic method | |
| JP3862500B2 (ja) | 直接埋め込み方式による高速楕円曲線暗号化の方法と装置 | |
| US5497423A (en) | Method of implementing elliptic curve cryptosystems in digital signatures or verification and privacy communication | |
| US7961874B2 (en) | XZ-elliptic curve cryptography with secret key embedding | |
| US5581616A (en) | Method and apparatus for digital signature authentication | |
| US6243467B1 (en) | Method of elliptic curve cryptographic digital signature generation and verification using reduced base tau expansion in non-adjacent form | |
| CN109039640B (zh) | 一种基于rsa密码算法的加解密硬件系统及方法 | |
| EP0936776B1 (en) | A network system using a threshold secret sharing method | |
| CN110049013B (zh) | 一种基于sm2和rsa加密算法的加解密系统及工作方法 | |
| Tahat et al. | A new RSA public key encryption scheme with chaotic maps | |
| EP0952697B1 (en) | Elliptic curve encryption method and system | |
| US6111952A (en) | Asymmetrical cryptographic communication method and portable object therefore | |
| US7062043B1 (en) | Method of elliptic curve digital signature using coefficient splitting | |
| US7248692B2 (en) | Method of and apparatus for determining a key pair and for generating RSA keys | |
| JP3302043B2 (ja) | 暗号通信方法及びそのシステム | |
| US6772184B2 (en) | Method for efficient modular division over prime integer fields | |
| US7024559B1 (en) | Method of elliptic curve digital signature using expansion in joint sparse form | |
| US20020124031A1 (en) | Method for efficient computation of point doubling operation of elliptic curve point scalar multiplication over finite fields F(2m) | |
| JP3396693B2 (ja) | 暗号化/復号化装置と公開鍵暗号化システム | |
| JP3123820B2 (ja) | 有限可換群における演算器 |