JPH1091066A - 擬似ランダムビット列生成器及びそれを使用する暗号通信方法 - Google Patents
擬似ランダムビット列生成器及びそれを使用する暗号通信方法Info
- Publication number
- JPH1091066A JPH1091066A JP8245157A JP24515796A JPH1091066A JP H1091066 A JPH1091066 A JP H1091066A JP 8245157 A JP8245157 A JP 8245157A JP 24515796 A JP24515796 A JP 24515796A JP H1091066 A JPH1091066 A JP H1091066A
- Authority
- JP
- Japan
- Prior art keywords
- random bit
- pseudo
- bit string
- feedback shift
- exclusive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 従来の複数のフィードバックレジスタを用い
た擬似ランダムビット列生成器の欠点であった短い周期
性を改善しながら、複数のフィードバックレジスタを用
いた擬似ランダムビット列生成器の簡素な回路構成と安
全性の尊重を目的とした、擬似ランダムビット列生成器
及びそれを使用する暗号通信方法を提供する。 【解決手段】 互いに素の長さを持つ複数のフィードバ
ックシフトレジスタ(2ビット,3ビット,…)と、複
数のフィードバックシフトレジスタを選択する選択回路
Hと、選択されたフィードバックシフトレジスタの出力
の排他的論理和をとる排他的論理和回路とを備え、Se
edを送ることなく攻撃に強い暗号化を達成する。
た擬似ランダムビット列生成器の欠点であった短い周期
性を改善しながら、複数のフィードバックレジスタを用
いた擬似ランダムビット列生成器の簡素な回路構成と安
全性の尊重を目的とした、擬似ランダムビット列生成器
及びそれを使用する暗号通信方法を提供する。 【解決手段】 互いに素の長さを持つ複数のフィードバ
ックシフトレジスタ(2ビット,3ビット,…)と、複
数のフィードバックシフトレジスタを選択する選択回路
Hと、選択されたフィードバックシフトレジスタの出力
の排他的論理和をとる排他的論理和回路とを備え、Se
edを送ることなく攻撃に強い暗号化を達成する。
Description
【0001】
【発明の属する技術分野】本発明は擬似ランダムビット
列生成器、特に暗号通信に使用される擬似ランダムビッ
ト列生成器及びそれを使用する暗号通信方法に関するも
のである。
列生成器、特に暗号通信に使用される擬似ランダムビッ
ト列生成器及びそれを使用する暗号通信方法に関するも
のである。
【0002】
【従来の技術】情報化社会が発達した現代、データ通信
を行なう際には、情報を安全に運用する技術すなわち情
報セキュリティ技術の重要性が増してきている。特に、
データ秘匿に関する暗号は、その実現や解読等種々の研
究が行なわれている。秘匿性を伴うデータ通信や最近発
展のめざましい通信ネットワークにおける回線暗号装置
では、一般にストリーム暗号が用いられており、ISO
の国際規格IS−9160(物理レイヤ暗号装置に対す
る相互運用要求事項)においても、回線暗号装置で用い
る暗号としては、1ビットまたは8ビット(1文字)ご
とのストリーム暗号を使うように規定している。
を行なう際には、情報を安全に運用する技術すなわち情
報セキュリティ技術の重要性が増してきている。特に、
データ秘匿に関する暗号は、その実現や解読等種々の研
究が行なわれている。秘匿性を伴うデータ通信や最近発
展のめざましい通信ネットワークにおける回線暗号装置
では、一般にストリーム暗号が用いられており、ISO
の国際規格IS−9160(物理レイヤ暗号装置に対す
る相互運用要求事項)においても、回線暗号装置で用い
る暗号としては、1ビットまたは8ビット(1文字)ご
とのストリーム暗号を使うように規定している。
【0003】ストリーム暗号の一種としてバーナム暗号
法があるが、この方式は原理が簡単で且つキーストリー
ムが使い捨てなため、安全性の高い暗号法として良く用
いられている。この暗号法の一番の関心事は、キースト
リームを如何にして生成するかであるが、これに真の物
理的ランダムビット列を用いた場合には理論的に解析が
不可能な唯一の暗号となる。しかし、一般にバーナム暗
号法では、通信文と同じ量だけのキーストリームを別の
送信先に送ることは非現実的であることから、ランダム
ビット列として真の物理的ランダムビット列は用いずに
比較的簡単な方法で生成した擬似ランダムビット列を用
いる。従って、この擬似ランダムビット列の性質が、暗
号の強度を大きく左右することになる。
法があるが、この方式は原理が簡単で且つキーストリー
ムが使い捨てなため、安全性の高い暗号法として良く用
いられている。この暗号法の一番の関心事は、キースト
リームを如何にして生成するかであるが、これに真の物
理的ランダムビット列を用いた場合には理論的に解析が
不可能な唯一の暗号となる。しかし、一般にバーナム暗
号法では、通信文と同じ量だけのキーストリームを別の
送信先に送ることは非現実的であることから、ランダム
ビット列として真の物理的ランダムビット列は用いずに
比較的簡単な方法で生成した擬似ランダムビット列を用
いる。従って、この擬似ランダムビット列の性質が、暗
号の強度を大きく左右することになる。
【0004】擬似ランダムビット列の生成には、比較的
短い秘密鍵(70ビット程度)から長い擬似ランダムビ
ット列を生成する必要があるが、その手段として従来、 1.線形フィードバックシフトレジスタ(Linear Feedb
ack Shift Register:LFSR)を組み合わせた方法 2.DES(Data Encrtption Standard:DES)暗号
装置等を用いる方法 3.LFSRと論理素子を組み合わせた非線形結合によ
る方法 4.クロック制御型の擬似ランダムビット系列生成器
(Clock-Controlled Generator:CCG)を用いる方法
等が用いられてきた。
短い秘密鍵(70ビット程度)から長い擬似ランダムビ
ット列を生成する必要があるが、その手段として従来、 1.線形フィードバックシフトレジスタ(Linear Feedb
ack Shift Register:LFSR)を組み合わせた方法 2.DES(Data Encrtption Standard:DES)暗号
装置等を用いる方法 3.LFSRと論理素子を組み合わせた非線形結合によ
る方法 4.クロック制御型の擬似ランダムビット系列生成器
(Clock-Controlled Generator:CCG)を用いる方法
等が用いられてきた。
【0005】
【発明が解決しようとする課題】しかしながら、1.は
良好な擬似ランダムビット列をもつM系列(Maximum-le
ngth linear feedback shift register sequence:最大
周期系列)が含まれるが暗号用擬似ランダムビット列と
してみれば安全性は弱く、レジスタのステージ数をnと
した場合、わずか2nの既知平文とそれに対応する暗号
文があれば秘密鍵であるレジスタの初期値とタップ列が
解析的に解読されてしまう(既知平文攻撃)。また、
2.は別の暗号アルゴリズムとして設計されたブロック
暗号方式の暗号法であるが、出力の一部をキーストリー
ムとすることにより擬似ランダムビット列生成器に適用
できる。しかし、アルゴリズムが複雑で多数の換字,置
換による構成のため解析的攻撃に強いが回路が複雑にな
る。また、3.は製造仕様が非公開であるので量産が困
難であり、たとえ公開型であるとしても、高次の非線形
結合を得るために秘密鍵(Seed) が大きくなる等の欠点
がある。
良好な擬似ランダムビット列をもつM系列(Maximum-le
ngth linear feedback shift register sequence:最大
周期系列)が含まれるが暗号用擬似ランダムビット列と
してみれば安全性は弱く、レジスタのステージ数をnと
した場合、わずか2nの既知平文とそれに対応する暗号
文があれば秘密鍵であるレジスタの初期値とタップ列が
解析的に解読されてしまう(既知平文攻撃)。また、
2.は別の暗号アルゴリズムとして設計されたブロック
暗号方式の暗号法であるが、出力の一部をキーストリー
ムとすることにより擬似ランダムビット列生成器に適用
できる。しかし、アルゴリズムが複雑で多数の換字,置
換による構成のため解析的攻撃に強いが回路が複雑にな
る。また、3.は製造仕様が非公開であるので量産が困
難であり、たとえ公開型であるとしても、高次の非線形
結合を得るために秘密鍵(Seed) が大きくなる等の欠点
がある。
【0006】そこで、これらの欠点を補うために、複数
のフィードバックレジスタを用いた擬似ランダムビット
列生成器の研究が行われている。この擬似ランダムビッ
ト列生成器はSeedの数が少なく、簡単な構成により
安全性の比較的高い擬似ランダムビット系列が得られる
特徴を持つ。しかし、系列のランダム性は持ち得るが、
短い周期を有するので最近の画像データ等の大きなデー
タ通信には対応できなくなってきた。
のフィードバックレジスタを用いた擬似ランダムビット
列生成器の研究が行われている。この擬似ランダムビッ
ト列生成器はSeedの数が少なく、簡単な構成により
安全性の比較的高い擬似ランダムビット系列が得られる
特徴を持つ。しかし、系列のランダム性は持ち得るが、
短い周期を有するので最近の画像データ等の大きなデー
タ通信には対応できなくなってきた。
【0007】本発明は、従来の複数のフィードバックレ
ジスタを用いた擬似ランダムビット列生成器の欠点であ
った短い周期性を改善しながら、複数のフィードバック
レジスタを用いた擬似ランダムビット列生成器の簡素な
回路構成と安全性の尊重を目的とした、擬似ランダムビ
ット列生成器及びそれを使用する暗号通信方法を提供す
る。
ジスタを用いた擬似ランダムビット列生成器の欠点であ
った短い周期性を改善しながら、複数のフィードバック
レジスタを用いた擬似ランダムビット列生成器の簡素な
回路構成と安全性の尊重を目的とした、擬似ランダムビ
ット列生成器及びそれを使用する暗号通信方法を提供す
る。
【0008】
【課題を解決するための手段】この課題を解決するため
に、本発明の擬似ランダムビット列生成器は、ランダム
ビット列を使用する暗号通信において使用される擬似ラ
ンダムビット列生成器であって、互いに素の長さを持つ
複数のフィードバックシフトレジスタと、該複数のフィ
ードバックシフトレジスタを選択する選択手段と、選択
されたフィードバックシフトレジスタの出力の排他的論
理和をとる排他的論理和手段とを備えることを特徴とす
る。
に、本発明の擬似ランダムビット列生成器は、ランダム
ビット列を使用する暗号通信において使用される擬似ラ
ンダムビット列生成器であって、互いに素の長さを持つ
複数のフィードバックシフトレジスタと、該複数のフィ
ードバックシフトレジスタを選択する選択手段と、選択
されたフィードバックシフトレジスタの出力の排他的論
理和をとる排他的論理和手段とを備えることを特徴とす
る。
【0009】ここで、前記複数のフィードバックシフト
レジスタの出力の排他的論理和をとる第2の排他的論理
和手段と、該第2の排他的論理和手段の出力に基づい
て、前記選択手段による前記複数のフィードバックシフ
トレジスタの選択を変更する選択変更手段とを更に備え
る。また、前記複数のフィードバックシフトレジスタの
フィードバック値を変更するフィードバック変更手段を
更に備える。
レジスタの出力の排他的論理和をとる第2の排他的論理
和手段と、該第2の排他的論理和手段の出力に基づい
て、前記選択手段による前記複数のフィードバックシフ
トレジスタの選択を変更する選択変更手段とを更に備え
る。また、前記複数のフィードバックシフトレジスタの
フィードバック値を変更するフィードバック変更手段を
更に備える。
【0010】又、本発明の暗号通信方法は、擬似ランダ
ムビット列生成器を使用する暗号通信方法であって、前
記擬似ランダムビット列生成器が、互いに素の長さを持
つ複数のフィードバックシフトレジスタと、該複数のフ
ィードバックシフトレジスタを選択する選択手段と、選
択されたフィードバックシフトレジスタの出力の排他的
論理和をとる排他的論理和手段とを備え、送信側では、
フィードバックシフトレジスタの選択データを受信側で
復号されるデータに変換し、前記選択データを用いた前
記擬似ランダムビット列生成器で暗号化して受信側に送
り、受信側では、受信データを以前の選択データにより
選択されたフィードバックシフトレジスタを使用して復
号し、復号されたデータを新たな選択データとして以降
の受信データを復号することを特徴とする。
ムビット列生成器を使用する暗号通信方法であって、前
記擬似ランダムビット列生成器が、互いに素の長さを持
つ複数のフィードバックシフトレジスタと、該複数のフ
ィードバックシフトレジスタを選択する選択手段と、選
択されたフィードバックシフトレジスタの出力の排他的
論理和をとる排他的論理和手段とを備え、送信側では、
フィードバックシフトレジスタの選択データを受信側で
復号されるデータに変換し、前記選択データを用いた前
記擬似ランダムビット列生成器で暗号化して受信側に送
り、受信側では、受信データを以前の選択データにより
選択されたフィードバックシフトレジスタを使用して復
号し、復号されたデータを新たな選択データとして以降
の受信データを復号することを特徴とする。
【0011】
<本実施の形態の擬似ランダムビット列生成器の原理>
図1に、複数のフィードバックシフトレジスタを用いた
擬似ランダムビット列生成器の基本回路構成例を示す。
図1に、複数のフィードバックシフトレジスタを用いた
擬似ランダムビット列生成器の基本回路構成例を示す。
【0012】図1では、擬似ランダムビット列生成器と
して適当なレジスタ数として、例えば2〜19の素の長
さを持つ8つのフィードバックシフトレジスタ(Feedba
ck Shift Register :FSR)を用い、FSRの出力を
排他的論理和結合する。動作原理としては、まず各段の
FSRに初期値として種(Seed)を入力する。Se
edのサイズは2+3+5+…+17+19=77ビッ
トである。通信の際に、各段のFSRをシフトさせると
各段の左端から‘0’か‘1’が出力され、排他的論理
和回路でこれら出力の排他的論理和を取った出力が、得
られるビット列となる。
して適当なレジスタ数として、例えば2〜19の素の長
さを持つ8つのフィードバックシフトレジスタ(Feedba
ck Shift Register :FSR)を用い、FSRの出力を
排他的論理和結合する。動作原理としては、まず各段の
FSRに初期値として種(Seed)を入力する。Se
edのサイズは2+3+5+…+17+19=77ビッ
トである。通信の際に、各段のFSRをシフトさせると
各段の左端から‘0’か‘1’が出力され、排他的論理
和回路でこれら出力の排他的論理和を取った出力が、得
られるビット列となる。
【0013】この回路の出力K[t]は、各レジスタの
tステップ時の出力をr2 [t],r3 [t],r5
[t],…,r17[t],r19[t]とした場合、 K[t]=r2 [t](+) r3 [t](+) r5 [t](+) …(+) r17[t] (+) r19[t] …(1) と表せる。
tステップ時の出力をr2 [t],r3 [t],r5
[t],…,r17[t],r19[t]とした場合、 K[t]=r2 [t](+) r3 [t](+) r5 [t](+) …(+) r17[t] (+) r19[t] …(1) と表せる。
【0014】上記擬似ランダムビット列生成器は、回路
構成がFSRと排他的論理和により結合した回路なの
で、出力される系列は一定の値を最大値とする周期を持
つ。各段のFSRが素の長さのために、各FSRからの
出力が程よく組み合わされて効率よい周期が得られる特
徴を持ち、最大周期Sは各段のFSRのビット数の積に
より式(2)で表すことができる。
構成がFSRと排他的論理和により結合した回路なの
で、出力される系列は一定の値を最大値とする周期を持
つ。各段のFSRが素の長さのために、各FSRからの
出力が程よく組み合わされて効率よい周期が得られる特
徴を持ち、最大周期Sは各段のFSRのビット数の積に
より式(2)で表すことができる。
【0015】 S=2×3×5×7×11×13×17×19 =9699690≒107 …(2) <周期性の改善例>上記図1の擬似ランダムビット列生
成器は、FSRの結合のため既知平文攻撃に弱い。その
ため上記図1の擬似ランダムビット列生成器を基本に、
補助回路として1つの非線形FSRを付加し、またそれ
に付随する8つの論理積、さらにもう1組の排他的論理
和を用いて図2に示す擬似ランダムビット列生成器を構
成する。
成器は、FSRの結合のため既知平文攻撃に弱い。その
ため上記図1の擬似ランダムビット列生成器を基本に、
補助回路として1つの非線形FSRを付加し、またそれ
に付随する8つの論理積、さらにもう1組の排他的論理
和を用いて図2に示す擬似ランダムビット列生成器を構
成する。
【0016】図2の破線部内が上記図1の基本擬似ラン
ダムビット列生成器である。図2の回路は、基本擬似ラ
ンダムビット列生成器の出力系列と、そこから生成した
系列をタップ列とする補助回路Hの内部状態との結合に
より、ビット列を発生させようとするものである。出力
キーストリームK[t]は、補助回路のレジスタHの最
右ビットの状態をh[t]とすると、式(3),(4)
により出力系列を定式化できる。尚、S[t]は図2の
基本擬似ランダムビット列生成器から出力される系列と
し、補助回路Hをnビット構成とする。
ダムビット列生成器である。図2の回路は、基本擬似ラ
ンダムビット列生成器の出力系列と、そこから生成した
系列をタップ列とする補助回路Hの内部状態との結合に
より、ビット列を発生させようとするものである。出力
キーストリームK[t]は、補助回路のレジスタHの最
右ビットの状態をh[t]とすると、式(3),(4)
により出力系列を定式化できる。尚、S[t]は図2の
基本擬似ランダムビット列生成器から出力される系列と
し、補助回路Hをnビット構成とする。
【0017】 K[t]=h[t−n+1]・r2 [t]+h[t−n+2]・r3 [t] +…+h[t−1]・r17[t]+h[t]・r19[t](mod2) …(3) K[t+1]=h[t−n+1]+h[t−n+2]・h[t−n+3] +h[t]+S[t](mod2) …(4) 図2の周期性が改善された擬似ランダムビット列生成器
は、基本擬似ランダムビット列生成器と補助回路Hとか
らなるため、その周期は基本擬似ランダムビット列生成
器の合成周期と補助回路の内部状態の周期との最小公倍
数で与えられる。
は、基本擬似ランダムビット列生成器と補助回路Hとか
らなるため、その周期は基本擬似ランダムビット列生成
器の合成周期と補助回路の内部状態の周期との最小公倍
数で与えられる。
【0018】補助回路の周期TH は補助回路Hの最右ビ
ットh[t]の周期と等しく、h[t]は補助回路Hの
内部状態とS[t]によって与えられるので、S[t]
の周期TS の倍数の時点n1 TS における補助回路Hの
状態が過去のTS の倍数の時点n2 TS (n2 <n1 )
の状態と一致したとき、以下同じ系列が補助回路Hの入
力となる。従ってTH はTS の倍数となり、擬似ランダ
ムビット列生成器の合成周期はTS と等しいので、結局
キーストリームの周期Tk は、Cを1〜2n までのある
値として式(5)で表すことができる。
ットh[t]の周期と等しく、h[t]は補助回路Hの
内部状態とS[t]によって与えられるので、S[t]
の周期TS の倍数の時点n1 TS における補助回路Hの
状態が過去のTS の倍数の時点n2 TS (n2 <n1 )
の状態と一致したとき、以下同じ系列が補助回路Hの入
力となる。従ってTH はTS の倍数となり、擬似ランダ
ムビット列生成器の合成周期はTS と等しいので、結局
キーストリームの周期Tk は、Cを1〜2n までのある
値として式(5)で表すことができる。
【0019】 Tk =C・TS(bit)(C=1〜2n ) …(5) 尚、Cの値はSeedに大きく依存するので、例えばS
eedを動的に変化させる構成を付加すると、更に周期
を長くできる。 <秘匿性の改善例>上記いずれの擬似ランダムビット列
生成器を使用した暗号通信においても、Seedを送信
側から受信側に送る必要があるため、例えSeedを暗
号化して送ったとしても、複雑な暗号化は伝送効率を低
めるので簡単な暗号化となり、一旦Seedが解読され
ると、暗号文の秘匿性が著しく低下する。また、See
dを送らずに送信側と受信側とで同じSeedを用意す
るようにしても、やはり暗号文の秘匿性が著しく低下す
る。
eedを動的に変化させる構成を付加すると、更に周期
を長くできる。 <秘匿性の改善例>上記いずれの擬似ランダムビット列
生成器を使用した暗号通信においても、Seedを送信
側から受信側に送る必要があるため、例えSeedを暗
号化して送ったとしても、複雑な暗号化は伝送効率を低
めるので簡単な暗号化となり、一旦Seedが解読され
ると、暗号文の秘匿性が著しく低下する。また、See
dを送らずに送信側と受信側とで同じSeedを用意す
るようにしても、やはり暗号文の秘匿性が著しく低下す
る。
【0020】図3は、上記秘匿性の低下を防ぎ、秘匿性
の改善をした擬似ランダムビット列生成器の一例であ
る。図3の構成においては、Seedを公開し、補助回
路Hによりソフト的に通信毎に使用するFSRを選択
し、この選択データ(補助回路Hにセットしたデータ)
を暗号化して送信側から受信側に送るようにする。
の改善をした擬似ランダムビット列生成器の一例であ
る。図3の構成においては、Seedを公開し、補助回
路Hによりソフト的に通信毎に使用するFSRを選択
し、この選択データ(補助回路Hにセットしたデータ)
を暗号化して送信側から受信側に送るようにする。
【0021】このようにすれば、上記例では選択データ
は8ビットであるので、複雑な暗号化を行っても伝送効
率を低めることはない。又、通信毎にビット列生成が変
化するので、攻撃に対しても強い。尚、本例の場合は、
FSRを2ビットから19ビットの8つでなく、更に増
加するのが好ましい。又、補助回路Hはシフトレジスタ
であっても良い。
は8ビットであるので、複雑な暗号化を行っても伝送効
率を低めることはない。又、通信毎にビット列生成が変
化するので、攻撃に対しても強い。尚、本例の場合は、
FSRを2ビットから19ビットの8つでなく、更に増
加するのが好ましい。又、補助回路Hはシフトレジスタ
であっても良い。
【0022】尚、図2及び図3の回路は複合されても使
用される。 <暗号通信システムの構成及び動作例>秘密鍵暗号方式
として代表的なDES暗号やFEAL暗号(Fast Data E
ncipherment Algorithm)、或いは公開鍵暗号方式のほと
んどがブロック単位に暗号/複号化される、いわゆるブ
ロック暗号方式(block cipher)に属している。それに対
して、ストリーム暗号(stream cipher) と呼ばれるクラ
シカルな方式が存在する。上記複数のフィードバックレ
ジスタを用いた擬似ランダムビット列生成器はブロック
暗号方式に適用されても効果を挙げるが、本例では特の
効果の著しいバーナム暗号法というストリーム暗号の一
種に適用した例を示す。
用される。 <暗号通信システムの構成及び動作例>秘密鍵暗号方式
として代表的なDES暗号やFEAL暗号(Fast Data E
ncipherment Algorithm)、或いは公開鍵暗号方式のほと
んどがブロック単位に暗号/複号化される、いわゆるブ
ロック暗号方式(block cipher)に属している。それに対
して、ストリーム暗号(stream cipher) と呼ばれるクラ
シカルな方式が存在する。上記複数のフィードバックレ
ジスタを用いた擬似ランダムビット列生成器はブロック
暗号方式に適用されても効果を挙げるが、本例では特の
効果の著しいバーナム暗号法というストリーム暗号の一
種に適用した例を示す。
【0023】ストリーム暗号とは、平文1ビット(或い
は数ビット)とキーストリーム(出力鍵系列)の1ビッ
ト(数ビット)から暗号系列1ビット(或いは数ビッ
ト)が生成され、ブロック暗号のようにブロック単位で
暗号/複号化されるのではなく、ビット単位で暗号/複
号化処理がなされる。このキーストリーム発生に真の物
理的ランダムビット列を用いた場合、理論的に解析が不
可能な唯一の暗号となる。
は数ビット)とキーストリーム(出力鍵系列)の1ビッ
ト(数ビット)から暗号系列1ビット(或いは数ビッ
ト)が生成され、ブロック暗号のようにブロック単位で
暗号/複号化されるのではなく、ビット単位で暗号/複
号化処理がなされる。このキーストリーム発生に真の物
理的ランダムビット列を用いた場合、理論的に解析が不
可能な唯一の暗号となる。
【0024】ストリーム暗号に属する暗号法の1つにバ
ーナム暗号法(Vernam chipher)が存在する。バーナム暗
号法は、キーストリームを使い捨てとすることにより暗
号強度を高めている。このキーストリームに真の物理的
ランダムビット列を用いた場合、理論的に解析が不可能
な唯一の暗号となる。しかしバーナム暗号法では、通信
文と同量のキーストリームを送信先に送信することは非
現実的なため、真の物理的ランダムビット列は用いず、
一般に比較的簡単な方法により生成した擬似ランダムビ
ット列を用いる。従って、この擬似ランダムビット列の
性質が暗号システム全体の強度を大きく左右することに
なり、最近では種々の擬似ランダムビット列生成器の提
案、解読研究が進められている。
ーナム暗号法(Vernam chipher)が存在する。バーナム暗
号法は、キーストリームを使い捨てとすることにより暗
号強度を高めている。このキーストリームに真の物理的
ランダムビット列を用いた場合、理論的に解析が不可能
な唯一の暗号となる。しかしバーナム暗号法では、通信
文と同量のキーストリームを送信先に送信することは非
現実的なため、真の物理的ランダムビット列は用いず、
一般に比較的簡単な方法により生成した擬似ランダムビ
ット列を用いる。従って、この擬似ランダムビット列の
性質が暗号システム全体の強度を大きく左右することに
なり、最近では種々の擬似ランダムビット列生成器の提
案、解読研究が進められている。
【0025】バーナム暗号法は、1917年に電信用暗
号として開発されたストリーム暗号の一種で、通信ネッ
トワークにおける秘匿通信によく用いられている。換字
暗号暗号(平文を他の文字等に変換する暗号)の鍵を十
分に長いランダムビット列とすると無条件に完全な暗号
を構成できることから、送信者側で平文(通信文)をキ
ーストリーム(ランダムビット列)で1ビットずつ論理
演算を施して暗号化し、受信者側で暗号文を同じ鍵で複
号化するものである。また、このランダムビット列によ
る論理演算を通信速度と同期させることにより、暗号/
複号化時間を無視することができ、高速なデータ通信が
行える利点を持つ。このシステムの構成を図4に示す。
号として開発されたストリーム暗号の一種で、通信ネッ
トワークにおける秘匿通信によく用いられている。換字
暗号暗号(平文を他の文字等に変換する暗号)の鍵を十
分に長いランダムビット列とすると無条件に完全な暗号
を構成できることから、送信者側で平文(通信文)をキ
ーストリーム(ランダムビット列)で1ビットずつ論理
演算を施して暗号化し、受信者側で暗号文を同じ鍵で複
号化するものである。また、このランダムビット列によ
る論理演算を通信速度と同期させることにより、暗号/
複号化時間を無視することができ、高速なデータ通信が
行える利点を持つ。このシステムの構成を図4に示す。
【0026】平文のビット系列をM=m1 m2 …とし、
鍵のビット系列をk=k1 k2 …とすると、暗号文のビ
ット系列C=c1 c2 …は、 ci =(mi +ki )mod2 (i=1,2,…) …(6) となる。modでの和は排他的論理和のことからである
から、(+) を用いて、上式は、 ci =mi(+)ki …(7) と表される。復号化は同じ鍵を用いて、 mi =ci(+)ki =mi(+)ki(+)ki =mi …(8) となる。(ここで、ki が‘0’,‘1’に関わらず、
ki(+)k i =0が成立することになる。) バーナム暗号法は鍵が独立したランダムビット列であれ
ば、平文に対して暗号文はランダムビット列となる。メ
ッセージ長と同じ長さのランダムビット系列を関係者以
外には分からないよう生成し、かつ送受信者間で共有し
合うことができれば、安全な暗号通信を行うことができ
る。バーナム暗号法においては安全上、キーストリーム
を使い捨てにすることによって、暗号強度を保っている
ため、キーストリームの長さは、メッセージ長よりも長
くなくてはならない。このキーストリームに真の物理的
ランダムビット列を用いた場合、このシステムは解析が
不可能な唯一の暗号法となる。しかし、超機密データを
通信する場合を除き、実際問題として平文の量と同じ量
のキーストリームを別に送信先に送るのは非現実的であ
り、鍵系列の保管にも問題がある。
鍵のビット系列をk=k1 k2 …とすると、暗号文のビ
ット系列C=c1 c2 …は、 ci =(mi +ki )mod2 (i=1,2,…) …(6) となる。modでの和は排他的論理和のことからである
から、(+) を用いて、上式は、 ci =mi(+)ki …(7) と表される。復号化は同じ鍵を用いて、 mi =ci(+)ki =mi(+)ki(+)ki =mi …(8) となる。(ここで、ki が‘0’,‘1’に関わらず、
ki(+)k i =0が成立することになる。) バーナム暗号法は鍵が独立したランダムビット列であれ
ば、平文に対して暗号文はランダムビット列となる。メ
ッセージ長と同じ長さのランダムビット系列を関係者以
外には分からないよう生成し、かつ送受信者間で共有し
合うことができれば、安全な暗号通信を行うことができ
る。バーナム暗号法においては安全上、キーストリーム
を使い捨てにすることによって、暗号強度を保っている
ため、キーストリームの長さは、メッセージ長よりも長
くなくてはならない。このキーストリームに真の物理的
ランダムビット列を用いた場合、このシステムは解析が
不可能な唯一の暗号法となる。しかし、超機密データを
通信する場合を除き、実際問題として平文の量と同じ量
のキーストリームを別に送信先に送るのは非現実的であ
り、鍵系列の保管にも問題がある。
【0027】そこで実用上、擬似ランダムビット列を適
当な長さのSeedから生成し、それをバーナム暗号法
に適用するのが一般的である。そのため通信者以外の第
三者から見て、解読が不能な乱数であり、かつ通信者同
士は共通のキーストリームを生成する手法を共有してい
なくてはならない。暗号文は、実際には第三者からの解
読の危機にさらされていることを考慮に入れる必要があ
る。そのため擬似ランダムビット列生成器を構築するた
めには、以下の3種類の暗号解読攻撃法を解決しなくて
はならない。
当な長さのSeedから生成し、それをバーナム暗号法
に適用するのが一般的である。そのため通信者以外の第
三者から見て、解読が不能な乱数であり、かつ通信者同
士は共通のキーストリームを生成する手法を共有してい
なくてはならない。暗号文は、実際には第三者からの解
読の危機にさらされていることを考慮に入れる必要があ
る。そのため擬似ランダムビット列生成器を構築するた
めには、以下の3種類の暗号解読攻撃法を解決しなくて
はならない。
【0028】 1.暗号文のみによる攻撃(ciphertext-only attack) 2.既知平文攻撃(known-plaintext attack) 3.選択平文攻撃(chosen-plaintext attack) 1.は最も一般的な解読法であり、暗号解読者は、暗号
化アルゴリズムや平文の言語、通信文の話題(頻度の多
い語句)などを知っているかも知れないが、基本的には
暗号文からのみ秘密の平文や鍵を決定しなければならな
い。また2.では、暗号解読者はいくつかの暗号文と平
文のペアを知っており、その知識を利用して秘密の鍵を
決定し、任意の暗号文に対応した平文を決定する。3.
では、暗号解読者が選んだ平文を正規の送信者に暗号化
させ、その平文に対応した暗号文を手に入れることがで
きる状況での解読である。これは、暗号解読者にとって
最も好ましい状況である。
化アルゴリズムや平文の言語、通信文の話題(頻度の多
い語句)などを知っているかも知れないが、基本的には
暗号文からのみ秘密の平文や鍵を決定しなければならな
い。また2.では、暗号解読者はいくつかの暗号文と平
文のペアを知っており、その知識を利用して秘密の鍵を
決定し、任意の暗号文に対応した平文を決定する。3.
では、暗号解読者が選んだ平文を正規の送信者に暗号化
させ、その平文に対応した暗号文を手に入れることがで
きる状況での解読である。これは、暗号解読者にとって
最も好ましい状況である。
【0029】ところで、すべての暗号は実際には多くの
時間や資源を用いれば、原理的に解読されてしまう。従
って、現実的な計算量で解読できるかどうかが、暗号の
安全性を議論する上で重要なポイントであり、現代暗号
研究の関心事の一つである。現実的に利用可能な資源と
最良の解読アルゴリズムを用いても妥当な時間内に解読
できなければ、その暗号は計算量的に安全(computation
aly secure) 、または強い(strong)と呼べる。
時間や資源を用いれば、原理的に解読されてしまう。従
って、現実的な計算量で解読できるかどうかが、暗号の
安全性を議論する上で重要なポイントであり、現代暗号
研究の関心事の一つである。現実的に利用可能な資源と
最良の解読アルゴリズムを用いても妥当な時間内に解読
できなければ、その暗号は計算量的に安全(computation
aly secure) 、または強い(strong)と呼べる。
【0030】このことから、擬似ランダムビット列生成
器の構築には、一方向性関数の性質を以て前述の3つの
攻撃法に対処しなくてはならない。つまり、Seedよ
りキーストリームの生成は比較的容易ではあるが、キー
ストリームからSeedを計算することは困難でなくて
はならない。本例の擬似ランダムビット列生成器を使用
する通信システムでは、図5に示すような手順で暗号通
信を行うことにより、直接Seedを送ることなく、あ
るいはSeedが公開されている場合でも攻撃に強い暗
号通信が実現できる。
器の構築には、一方向性関数の性質を以て前述の3つの
攻撃法に対処しなくてはならない。つまり、Seedよ
りキーストリームの生成は比較的容易ではあるが、キー
ストリームからSeedを計算することは困難でなくて
はならない。本例の擬似ランダムビット列生成器を使用
する通信システムでは、図5に示すような手順で暗号通
信を行うことにより、直接Seedを送ることなく、あ
るいはSeedが公開されている場合でも攻撃に強い暗
号通信が実現できる。
【0031】図5では、まず、ステップS1で補助回路
Hに生成される擬似ランダムビット列の周期が1回の送
信データを越えるように、FSRの新規の選択データを
セットする。ステップS2で送信データの先頭位置に、
選択されたFSRによる擬似ランダムビット列で暗号化
されたデータが、受信側で復号された時に送信側のFS
Rの選択データとなるように計算されたデータを付加し
て、送信データを送る。尚、受信側の選択データは最新
の送信時に送信側から送った選択データになっていると
する。初めての送信相手には全FSRが選択されている
として選択データを送信するようにしてもよいし、秘匿
性を完全にするには、初めての通信相手には双方に秘密
裏に最初の受信時の選択データを配送するようにするの
が好ましい。
Hに生成される擬似ランダムビット列の周期が1回の送
信データを越えるように、FSRの新規の選択データを
セットする。ステップS2で送信データの先頭位置に、
選択されたFSRによる擬似ランダムビット列で暗号化
されたデータが、受信側で復号された時に送信側のFS
Rの選択データとなるように計算されたデータを付加し
て、送信データを送る。尚、受信側の選択データは最新
の送信時に送信側から送った選択データになっていると
する。初めての送信相手には全FSRが選択されている
として選択データを送信するようにしてもよいし、秘匿
性を完全にするには、初めての通信相手には双方に秘密
裏に最初の受信時の選択データを配送するようにするの
が好ましい。
【0032】受信側では、ステップS3で先頭位置の選
択データを復号し、その復号された選択データを補助回
路Hにセットすると共に、送信相手に対応して次の受信
時に使用するために記憶する。次に、ステップS4で続
く受信データを復号する。尚、上記例では時間tの同期
については述べなかったが、時間tも暗号化して送るこ
とにより、より攻撃に強い暗号通信が実現できる。又、
上記暗号通信例は、秘匿性を高めることに注目して提案
したが、構内通信等の秘匿性が多少低くても良い場合
は、単にSeedや選択データをそのまま、あるいは簡
単な暗号化を行って、送受信側で互いに通知する方式で
あっても、本発明の擬似ランダムビット列生成器は有用
である。
択データを復号し、その復号された選択データを補助回
路Hにセットすると共に、送信相手に対応して次の受信
時に使用するために記憶する。次に、ステップS4で続
く受信データを復号する。尚、上記例では時間tの同期
については述べなかったが、時間tも暗号化して送るこ
とにより、より攻撃に強い暗号通信が実現できる。又、
上記暗号通信例は、秘匿性を高めることに注目して提案
したが、構内通信等の秘匿性が多少低くても良い場合
は、単にSeedや選択データをそのまま、あるいは簡
単な暗号化を行って、送受信側で互いに通知する方式で
あっても、本発明の擬似ランダムビット列生成器は有用
である。
【0033】
【発明の効果】本発明により、従来の複数のフィードバ
ックレジスタを用いた擬似ランダムビット列生成器の欠
点であった短い周期性を改善しながら、複数のフィード
バックレジスタを用いた擬似ランダムビット列生成器の
簡素な回路構成と安全性の尊重を目的とした、擬似ラン
ダムビット列生成器及びそれを使用する暗号通信方法を
提供できる。
ックレジスタを用いた擬似ランダムビット列生成器の欠
点であった短い周期性を改善しながら、複数のフィード
バックレジスタを用いた擬似ランダムビット列生成器の
簡素な回路構成と安全性の尊重を目的とした、擬似ラン
ダムビット列生成器及びそれを使用する暗号通信方法を
提供できる。
【図1】本実施の形態の基本擬似ランダムビット列生成
器の構成例を示す図である。
器の構成例を示す図である。
【図2】本実施の形態の周期性を改善した擬似ランダム
ビット列生成器の構成例を示す図である。
ビット列生成器の構成例を示す図である。
【図3】本実施の形態の秘匿性を改善した擬似ランダム
ビット列生成器の構成例を示す図である。
ビット列生成器の構成例を示す図である。
【図4】本実施の形態のバーナム暗号法を説明する図で
ある。
ある。
【図5】本実施の形態の擬似ランダムビット列生成器を
使用した暗号通信システムの動作手順例を示すフローチ
ャートである。
使用した暗号通信システムの動作手順例を示すフローチ
ャートである。
Claims (4)
- 【請求項1】 ランダムビット列を使用する暗号通信に
おいて使用される擬似ランダムビット列生成器であっ
て、 互いに素の長さを持つ複数のフィードバックシフトレジ
スタと、 該複数のフィードバックシフトレジスタを選択する選択
手段と、 選択されたフィードバックシフトレジスタの出力の排他
的論理和をとる排他的論理和手段とを備えることを特徴
とする擬似ランダムビット列生成器。 - 【請求項2】 前記複数のフィードバックシフトレジス
タの出力の排他的論理和をとる第2の排他的論理和手段
と、 該第2の排他的論理和手段の出力に基づいて、前記選択
手段による前記複数のフィードバックシフトレジスタの
選択を変更する選択変更手段とを更に備えることを特徴
とする請求項1記載の擬似ランダムビット列生成器。 - 【請求項3】 前記複数のフィードバックシフトレジス
タのフィードバック値を変更するフィードバック変更手
段を更に備えることを特徴とする請求項1または2記載
の擬似ランダムビット列生成器。 - 【請求項4】 擬似ランダムビット列生成器を使用する
暗号通信方法であって、 前記擬似ランダムビット列生成器が、互いに素の長さを
持つ複数のフィードバックシフトレジスタと、該複数の
フィードバックシフトレジスタを選択する選択手段と、
選択されたフィードバックシフトレジスタの出力の排他
的論理和をとる排他的論理和手段とを備え、 送信側では、フィードバックシフトレジスタの選択デー
タを受信側で復号されるデータに変換し、前記選択デー
タを用いた前記擬似ランダムビット列生成器で暗号化し
て受信側に送り、 受信側では、受信データを以前の選択データにより選択
されたフィードバックシフトレジスタを使用して復号
し、復号されたデータを新たな選択データとして以降の
受信データを復号することを特徴とする暗号通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP24515796A JP3358953B2 (ja) | 1996-09-17 | 1996-09-17 | 擬似ランダムビット列生成器及びそれを使用する暗号通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP24515796A JP3358953B2 (ja) | 1996-09-17 | 1996-09-17 | 擬似ランダムビット列生成器及びそれを使用する暗号通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH1091066A true JPH1091066A (ja) | 1998-04-10 |
| JP3358953B2 JP3358953B2 (ja) | 2002-12-24 |
Family
ID=17129470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP24515796A Expired - Lifetime JP3358953B2 (ja) | 1996-09-17 | 1996-09-17 | 擬似ランダムビット列生成器及びそれを使用する暗号通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3358953B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009527012A (ja) * | 2006-02-15 | 2009-07-23 | ジェイクリプト リミテッド | 暗号乱数発生器にシードを与えるための方法及び装置 |
| JP2010503883A (ja) * | 2006-09-13 | 2010-02-04 | アストリウム・リミテッド | 乱数発生 |
| JP2010250472A (ja) * | 2009-04-14 | 2010-11-04 | Mega Chips Corp | メモリコントローラ、メモリ制御装置、メモリ装置、メモリ情報保護システムおよびメモリ制御装置の制御方法 |
| JP2012100078A (ja) * | 2010-11-02 | 2012-05-24 | Kddi Corp | ストリーム暗号の暗号化装置、ストリーム暗号の暗号化方法およびプログラム |
| US8826042B2 (en) | 2009-04-14 | 2014-09-02 | Megachips Corporation | Memory controller, memory control apparatus, memory device, memory information protection system, control method for memory control apparatus, and control method for memory device |
| JP2014175796A (ja) * | 2013-03-07 | 2014-09-22 | Osaki Electric Co Ltd | 秘匿通信方法 |
-
1996
- 1996-09-17 JP JP24515796A patent/JP3358953B2/ja not_active Expired - Lifetime
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009527012A (ja) * | 2006-02-15 | 2009-07-23 | ジェイクリプト リミテッド | 暗号乱数発生器にシードを与えるための方法及び装置 |
| JP2013242584A (ja) * | 2006-02-15 | 2013-12-05 | Jaycrypto Ltd | 暗号乱数発生器にシードを与えるための方法及び装置 |
| JP2010503883A (ja) * | 2006-09-13 | 2010-02-04 | アストリウム・リミテッド | 乱数発生 |
| JP2010250472A (ja) * | 2009-04-14 | 2010-11-04 | Mega Chips Corp | メモリコントローラ、メモリ制御装置、メモリ装置、メモリ情報保護システムおよびメモリ制御装置の制御方法 |
| US8826042B2 (en) | 2009-04-14 | 2014-09-02 | Megachips Corporation | Memory controller, memory control apparatus, memory device, memory information protection system, control method for memory control apparatus, and control method for memory device |
| JP2012100078A (ja) * | 2010-11-02 | 2012-05-24 | Kddi Corp | ストリーム暗号の暗号化装置、ストリーム暗号の暗号化方法およびプログラム |
| JP2014175796A (ja) * | 2013-03-07 | 2014-09-22 | Osaki Electric Co Ltd | 秘匿通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3358953B2 (ja) | 2002-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4828068B2 (ja) | コンピュータで効率的な線形フィードバック・シフト・レジスタ | |
| US7200232B2 (en) | Method and apparatus for symmetric-key decryption | |
| EP0635956B1 (en) | Encryption apparatus, communication system using the same and method therefor | |
| US5483598A (en) | Message encryption using a hash function | |
| US20070174374A1 (en) | Pseudorandom number generator and pseudorandom number generation program | |
| JPH0918469A (ja) | 暗号通信装置、システム及び暗号装置 | |
| Lamba | Design and analysis of stream cipher for network security | |
| US20020159588A1 (en) | Cryptography with unconditional security for the internet, commercial intranets, and data storage | |
| JP2009088641A (ja) | 送受信方法、通信システムおよび送信装置 | |
| JP3358953B2 (ja) | 擬似ランダムビット列生成器及びそれを使用する暗号通信方法 | |
| JP3695526B2 (ja) | 暗号鍵更新方法 | |
| JP3358954B2 (ja) | 擬似ランダムビット列生成器及びそれを使用する暗号通信方法 | |
| EP1456997B1 (en) | System and method for symmetrical cryptography | |
| Abd Zaid et al. | Survey on modern cryptography | |
| Kadry et al. | An improvement of RC4 cipher using vigenère cipher | |
| JPH1117673A (ja) | 共通鍵暗号通信方法及びその通信ネットワーク | |
| KR100388059B1 (ko) | 비대칭키 암호 알고리즘을 이용한 데이터 암호화 시스템및 그 방법 | |
| RU2277759C2 (ru) | Способ формирования ключа шифрования-дешифрования | |
| JP3202544B2 (ja) | 暗号通信装置及び暗号化装置 | |
| Khan et al. | Robust symmetric cryptography using plain–text variant session key | |
| JP2002252610A (ja) | 暗号装置および復号装置並びに公開鍵暗号方式および公開鍵復号方式 | |
| JPH04335730A (ja) | 暗号送信装置、暗号受信装置、暗号通信システム | |
| JP2000004223A (ja) | 暗号・認証システム | |
| JPH09149025A (ja) | 暗号通信方法及び暗号通信システム | |
| Barlow | Symmetric encryption with multiple keys: techniques and applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20020902 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111011 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111011 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141011 Year of fee payment: 12 |
|
| EXPY | Cancellation because of completion of term |