JPWO2008018303A1 - 調整機能付きブロック暗号装置と方法とプログラム - Google Patents
調整機能付きブロック暗号装置と方法とプログラム Download PDFInfo
- Publication number
- JPWO2008018303A1 JPWO2008018303A1 JP2008528775A JP2008528775A JPWO2008018303A1 JP WO2008018303 A1 JPWO2008018303 A1 JP WO2008018303A1 JP 2008528775 A JP2008528775 A JP 2008528775A JP 2008528775 A JP2008528775 A JP 2008528775A JP WO2008018303 A1 JPWO2008018303 A1 JP WO2008018303A1
- Authority
- JP
- Japan
- Prior art keywords
- offset
- block cipher
- block
- tweak
- plaintext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 52
- 238000004364 calculation method Methods 0.000 claims abstract description 60
- 230000008569 process Effects 0.000 claims description 28
- 238000012545 processing Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 description 79
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000010365 information processing Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000004904 shortening Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- XEBWQGVWTUSTLN-UHFFFAOYSA-M phenylmercury acetate Chemical compound CC(=O)O[Hg]C1=CC=CC=C1 XEBWQGVWTUSTLN-UHFFFAOYSA-M 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000004148 unit process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本発明の目的は、ブロック暗号を用いた、高速かつ理論的安全性を持つ調整機能付きブロック暗号化装置を提供することである。平文Mとtweakの組を入力する入力手段(100)と、ある固定平文(定数const)をブロック暗号で暗号化した値(E(K,const))とtweakとの和をとり、その結果(E(K,const)+tweak)を部分ブロック暗号(G)で暗号化した値(G(Ksub,E(K,const)+tweak))をオフセットとして出力するオフセット計算手段(101)と、オフセットと平文Mとの和をとり該ブロック暗号Eで暗号化し、その結果(E(K,M+offset))と該オフセットとの和(E(K,M+offset)+offset)をとり暗号文(C)として出力する内部暗号化手段(102)と、該暗号文を出力する出力手段(103)と、を備えている。
Description
(関連出願)本願は、先の日本特許出願2006−218558号(2006年8月10日出願)の優先権を主張するものであり、前記先の出願の全記載内容は、本書に引用をもって繰込み記載されているものとみなされる。
本発明は、ブロック暗号技術に関し、特にブロック暗号と、ブロック暗号の一部の処理との組合せによる汎用的で高速な調整機能付きブロック暗号装置、および方法とプログラムに関する。
本発明は、ブロック暗号技術に関し、特にブロック暗号と、ブロック暗号の一部の処理との組合せによる汎用的で高速な調整機能付きブロック暗号装置、および方法とプログラムに関する。
調整機能付きブロック暗号とは、通常のブロック暗号が持つ入出力である(平文、暗号文、鍵)以外に、「tweak」と呼ばれる調整値を持つブロック暗号のことである。
調整機能付きブロック暗号においては、調整値が異なる二つのブロック暗号の出力が、調整値と入力が攻撃者に既知であっても、その攻撃者には互いに独立でランダムな値に見えることが要求される。この性質が満たされるとき、調整機能付きブロック暗号は安全であるという。
tweakと同様な補助入力を持つブロック暗号は、従来いくつか提案されてきたが、安全性などについて厳密な要求は定義されていなかった。
調整機能付きブロック暗号の形式的な定義は、非特許文献1において最初になされた。
また非特許文献1において、理論的に安全な調整機能付きブロック暗号が通常のブロック暗号の運用モード(以後、単に「モード」と略記する)として得られる、つまり、ブロック暗号をブラックボックスとして用いた変換として得られるということが示された。
但し、ここでいう理論的安全性とは、あるブロック暗号のモードとして得られる調整機能付きブロック暗号の安全性が、元となるブロック暗号の安全性に帰着できる、つまり安全なブロック暗号を用いる限り、得られる調整機能付きブロック暗号も安全である、ということを指す。
さらに、安全性の定義には、
(I)攻撃者が選択平文攻撃(chosen−plaintext attack, 「CPA」という)のみ可能な場合の安全性と、
(II)選択平文攻撃と選択暗号文攻撃(chosen−ciphertext attack, 「CCA」)とを組み合わせて実行可能な場合の安全性、
の2種類がある。(I)を「CPA−security」と呼び、(II)を「CPA/CCA−security」と呼ぶ。
(I)攻撃者が選択平文攻撃(chosen−plaintext attack, 「CPA」という)のみ可能な場合の安全性と、
(II)選択平文攻撃と選択暗号文攻撃(chosen−ciphertext attack, 「CCA」)とを組み合わせて実行可能な場合の安全性、
の2種類がある。(I)を「CPA−security」と呼び、(II)を「CPA/CCA−security」と呼ぶ。
安全な調整機能付きブロック暗号は、高度な暗号化機能の実現のための鍵となる技術であることが知られている。
例えば、非特許文献3では、
・CPA/CCA−securityを有する調整機能付きブロック暗号を用いると、大変効率のよい認証機能付き暗号化が実現できることや、
・CPA−securityを有する調整機能付きブロック暗号を用いると効率のよい、並列実行可能なメッセージ認証コードが実現できること
が指摘されている。
・CPA/CCA−securityを有する調整機能付きブロック暗号を用いると、大変効率のよい認証機能付き暗号化が実現できることや、
・CPA−securityを有する調整機能付きブロック暗号を用いると効率のよい、並列実行可能なメッセージ認証コードが実現できること
が指摘されている。
また、CPA/CCA−securityを有する調整機能付きブロック暗号は、ディスクセクタ暗号化などのストレージ暗号化のための必須の技術であることも知られている。
ここでは、非特許文献1で提案されたモードを、「LRWモード」と呼ぶことにする。このLRWモードの図を図7に示す。
LRWモードにおいては、ブロック暗号以外に、ある鍵つき関数f(K,*)が必要となる。
f(K,*)は、セキュリティパラメータをe(eは0以上1以下)としたとき、
任意のc,x,x’(但しxとx’は異なる)、
について確率Pr[f(K,x)+f(K,x’)=c]
が、e以下であるという性質をもつ必要がある。
任意のc,x,x’(但しxとx’は異なる)、
について確率Pr[f(K,x)+f(K,x’)=c]
が、e以下であるという性質をもつ必要がある。
但し、+は排他的論理和をあらわす。
この性質を持つとき、
f(K,*)は、「e−almost XOR universal 」、略して、「e−AXU」であるという。
f(K,*)は、「e−almost XOR universal 」、略して、「e−AXU」であるという。
e−AXU関数はユニバーサルハッシュ関数の一種である。e−AXU関数は、有限体上の多項式演算や、非特許文献2などで提案されている方式で実現可能である。
これらは特定の実装環境においては、一般的なブロック暗号より数倍高速である。
しかしながら、どのような計算機環境でも実装可能であり、かつ、ブロック暗号よりも高速であるe−AXU関数は知られていない。
このため、e−AXU関数が高速に実装可能な環境でないと有効でない、ということが問題となる。
また、ブロック暗号とe−AXU関数という、二つの部品を実装するため、ブロック暗号のみを使う場合と比べてプログラムのサイズが一般に大きくなるということも問題となる。
一方、ブロック暗号のみを用いる調整機能付きブロック暗号として、非特許文献3にあるXEXモードも知られている。図8(A)に、XEXモード(XEX construction)を示す。
図8(A)において、mulはある基数をb、tweak2を指数とした場合の有限体上の積演算*を示す。
すなわち、オフセットは、
b^{tweak2}*E(K1,tweak1)
となっている。
b^{tweak2}*E(K1,tweak1)
となっている。
このオフセットは、tweak2をインクリメントするとき、すなわち、直前のtweak2の値へ1を足すだけのとき、1回のビットシフトと、1回の定数の排他的論理和のみで計算できる、という利点を持つ。
つまり、オフセットの計算は、ブロック暗号の暗号化と比べて、極めて短時間で実行可能で、結果として、1ブロックの暗号化に、ほぼ1ブロック分のブロック暗号による暗号化の計算量しか必要としない。
しかし、ある時点でのtweakは、直前のtweakをインクリメントしたものにしかできないため、XEXモードは、認証機能付き暗号化などには応用が可能であるが、ストレージ暗号化などいくつかの用途には適していない。
なお、XEXモードと類似したモードを用いた認証機能付き暗号化は、OCBモードとして特許文献1に記載されている。また、XEXモードそのものを利用した認証機能付き暗号化は、OCB1モードとして、非特許文献3に記載されている。
一方、一般的に、e−AXU関数はどの入力についてもほぼ同等の計算量で出力を求めることができるため、上記XEXモードの制約は、一般的に、LRWモードには存在しない。
この問題は、図8(A)において、tweak1を定数に固定し、tweak2のみをtweakとして扱うことで、形式的には解決できるが、今度は、オフセットの計算に、1ブロックの暗号化の計算量を必要とすることになる。
したがって、この場合のXEXモードは、1ブロックの暗号化に、2ブロック分のブロック暗号による暗号化の計算量を必要とすることになる。
LRWモードとXEXモードの両方とも、CPA/CCA−securityを有するが、もし、LRWモードとXEXモードにおいて、オフセットによる2回目の排他的論理和を省くと、得られるモードは、CPA−securityのみを有するモードとなる。
CPA−securityの方が安全性の概念としては弱いが、前述のように、CPA−securityでもいくつかの用途には十分であることが知られている。
また、XEXモードについて、オフセットによる2回目の排他的論理和を省いたモードは、非特許文献3において、XEモードとして定義されている。図8(B)に、XEモード(XE construction)を示す。
Moses Liskov, Ronald L. Rivest, David Wagner: Tweakable Block Ciphers. Advances in Cryptology − CRYPTO 2002, 22nd Annual International Cryptology Conference, Santa Barbara, California, USA, August 18−22, 2002, Proceedings. Lecture Notes in Computer Science 2442 Springer 2002, pp. 31−46.
S. Halevi and H. Krawczyk, MMH:Software Message Authentication in the Gbit/second rates, Fast Software Encryption, 4th Internatioanl Workshop, FSE ’97, Lecture Notes in Computer Science; Vol. 1267, Feb. 1997
Phillip Rogaway: Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC. Advances in Cryptology −ASIACRYPT 2004, 10th International Conference on the Theory and Application of Cryptology and Information Security, Jeju Island, Korea, December 5−9,2004, Proceedings. Lecture Notes in Computer Science 3329 Springer 2004, pp. 16−31
J. Daemen and V. Rijmen, AES Proposal: Rijndael, AES submission, 1998. インターネット<URL:http://csrc.nist.gov/CryptoToolkit/aes/rijndael/Rijndael.pdf>
S. Park, S. H. Sung, S. Lee, and J. Lim, Improving the Upper Bound on the Maximum Differential and the Maximum Linear Hull Probability for SPN Structure and AES, International Workshop, FSE 2003, Lecture Notes in Computer Science; Vol. 2887, Feb. 2003
米国特許第7,046,802号明細書
なお、上記非特許文献1〜5と特許文献1の全開示内容はその引用をもって本書に繰込み記載する。
上記した従来の手法は下記記載の課題を有している(本発明者の分析結果による)。
上記した従来の手法は下記記載の課題を有している(本発明者の分析結果による)。
ブロック暗号のみを用いて調整機能付きブロック暗号を実現する従来のXEXモードとXEモードは、
・tweakの更新に1ブロック暗号化の計算量を要するか、
・tweakがインクリメンタルにしか更新できない、という、いずれかの問題点を有することである。
・tweakの更新に1ブロック暗号化の計算量を要するか、
・tweakがインクリメンタルにしか更新できない、という、いずれかの問題点を有することである。
また、ブロック暗号と高速なe−AXU関数を組み合わせたLRWモードは、実装できる環境が限定されるということである。これは、あらゆる環境で高速に動作するe−AXU関数は知られていないことによる。また、仮に実装できる環境だとしても、ブロック暗号とe−AXU関数の両方を実装するためにプログラムサイズが大きくなるからである。
したがって、本発明の目的は、ブロック暗号とその一部の部品を組み合わせて、tweakの任意の更新を1ブロック暗号化よりも少ない計算量で実行可能とするとともに、事前処理や使用するメモリ量の点でも効率のよい、理論的安全性を有する調整機能付きブロック暗号化装置、方法、プログラムを提供することにある。
本願で開示される発明は、前記目的を達成するため、概略以下の構成とされる。
本発明の第1の調整機能付きブロック暗号化装置は、平文とtweakの組を入力する入力手段と、ある固定平文をブロック暗号で暗号化した値と該tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算手段と、該オフセットと該平文との和をとり該ブロック暗号で暗号化し、その結果と該オフセットとの和をとり暗号文として出力する内部暗号化手段と、該暗号文を出力する出力手段と、を備えている。
また本発明の第2の調整機能付きブロック暗号化装置は、平文とtweakの組を入力する入力手段と、ある固定平文をブロック暗号で暗号化した値と該tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算手段と、該オフセットと該平文との和をとり該ブロック暗号で暗号化し、その結果を出力する内部暗号化手段と、該暗号文を出力する出力手段とを備えている。
本発明の第3の調整機能付きブロック暗号化装置は、前記第1又は第2の調整機能付きブロック暗号装置において、前記内部暗号化手段と前記オフセット計算手段が用いるブロック暗号がAES(Advanced Encryption Standard)であり、前記オフセット計算手段が用いる部分ブロック暗号がAESの段関数の4段の繰り返しである。
本発明の第4の調整機能付きブロック暗号化装置は、前記第1又は第2の調整機能付きブロック暗号化装置において、ブロック暗号と、該ブロック暗号の段関数を利用した処理とを用いる。
本発明に係る第1のプログラムは、調整機能付きブロック暗号化装置を構成するコンピュータに、
平文とtweakの組を入力装置から入力する処理と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算処理と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し、その結果と前記オフセットとの和をとり暗号文として出力する内部暗号化処理と、
前記暗号文を出力装置から出力する処理と、
を実行させるプログラムよりなる。
平文とtweakの組を入力装置から入力する処理と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算処理と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し、その結果と前記オフセットとの和をとり暗号文として出力する内部暗号化処理と、
前記暗号文を出力装置から出力する処理と、
を実行させるプログラムよりなる。
本発明に係る第2のプログラムは、調整機能付きブロック暗号化装置を構成するコンピュータに、
平文とtweakの組を入力装置から入力する処理と、
ある固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算処理と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し暗号文として出力する内部暗号化処理と、
前記暗号文を出力装置から出力する処理と、
を実行させるプログラムよりなる。
平文とtweakの組を入力装置から入力する処理と、
ある固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算処理と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し暗号文として出力する内部暗号化処理と、
前記暗号文を出力装置から出力する処理と、
を実行させるプログラムよりなる。
本発明に係る第3のプログラムにおいて、前記内部暗号化処理と、前記オフセット計算処理で用いられるブロック暗号が、AESであり、前記オフセット計算処理で用いられる前記部分ブロック暗号が、AESの段関数の4段の繰り返しである。
本発明に係る第4のプログラムにおいて、前記ブロック暗号と、前記ブロック暗号の段関数を利用した処理とを用いる。
本発明に係る第1の方法は、コンピュータによる調整機能付きブロック暗号化方法であって、
平文とtweakの組を入力装置から入力する工程と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算工程と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し、その結果と前記オフセットとの和をとり暗号文として出力する内部暗号化工程と、
前記暗号文を出力装置から出力する工程と、
を含む。
平文とtweakの組を入力装置から入力する工程と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算工程と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し、その結果と前記オフセットとの和をとり暗号文として出力する内部暗号化工程と、
前記暗号文を出力装置から出力する工程と、
を含む。
本発明に係る第2の方法は、コンピュータによる調整機能付きブロック暗号化方法であって、
平文とtweakの組を入力装置から入力する工程と、
ある固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算工程と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し暗号文として出力する内部暗号化工程と、
前記暗号文を出力装置から出力する工程と、
を含む。
平文とtweakの組を入力装置から入力する工程と、
ある固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算工程と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し暗号文として出力する内部暗号化工程と、
前記暗号文を出力装置から出力する工程と、
を含む。
本発明に係る第3の方法において、前記内部暗号化工程と、前記オフセット計算工程で用いられるブロック暗号が、AESであり、前記オフセット計算工程で用いられる前記部分ブロック暗号が、AESの段関数の4段の繰り返しである。
本発明に係る第4の方法において、前記ブロック暗号と、前記ブロック暗号の段関数を利用した処理とを用いる。
本発明の第5の調整機能付きブロック暗号化装置は、平文とtweakの組を入力する入力手段と、ある固定平文をブロック暗号で暗号化した値と該tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算手段と、前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果を暗号文として出力するか、前記ブロック暗号で暗号化した結果と前記オフセットとの和をとって暗号文として出力するかを、前記tweakの値によって決定する内部暗号化手段を備えている。
本発明に係る第5のプログラムは、調整機能付きブロック暗号化装置を構成するコンピュータに、
平文とtweakの組を入力装置から入力する処理と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算処理と、
前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果を暗号文として出力するか、前記ブロック暗号で暗号化した結果と前記オフセットとの和をとって暗号文として出力するかを、前記tweakの値によって決定する内部暗号化処理と、
前記暗号文を出力装置から出力する処理と、
を実行させるプログラムよりなる。
平文とtweakの組を入力装置から入力する処理と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算処理と、
前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果を暗号文として出力するか、前記ブロック暗号で暗号化した結果と前記オフセットとの和をとって暗号文として出力するかを、前記tweakの値によって決定する内部暗号化処理と、
前記暗号文を出力装置から出力する処理と、
を実行させるプログラムよりなる。
本発明に係る第5の方法は、コンピュータによる調整機能付きブロック暗号化方法であって、
平文とtweakの組を入力装置から入力する工程と、
ある固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算工程と、
前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果を暗号文として出力するか、前記ブロック暗号で暗号化した結果と前記オフセットとの和をとって暗号文として出力するかを、前記tweakの値によって決定する内部暗号化工程と、
前記暗号文を出力装置から出力する工程と、
を含む。
平文とtweakの組を入力装置から入力する工程と、
ある固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算工程と、
前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果を暗号文として出力するか、前記ブロック暗号で暗号化した結果と前記オフセットとの和をとって暗号文として出力するかを、前記tweakの値によって決定する内部暗号化工程と、
前記暗号文を出力装置から出力する工程と、
を含む。
本発明の第1の効果は、一般的に知られる代数的なe−AXU関数を用いたLRWモードよりもプログラムサイズを小さくすることができる、ということである。
その理由は、本発明においては、LRWモードで必要なe−AXU関数の代わりに、ブロック暗号の一部をブロック暗号そのものと組み合わせて用いているためである。本発明において、その他に必要な演算は排他的論理和などの極めて単純な関数のみである。これにより、実質ブロック暗号のみで実現が可能となっている。
本発明の第2の効果は、XEXモードでは不可能であるtweakの任意の更新を、高速に実行することができる、ということである。
その理由は、本発明においては、tweakの更新を行い新たなオフセットを計算するにあたり、ブロック暗号の一部の処理だけを必要とする構成としたためである。なお、本発明においては、定数平文の暗号化も必要となるが、これは、事前に計算してメモリに置いておくことが可能であるため、tweakの更新時には計算は不要である。
本発明の第3の効果は、既知のブロック暗号に適用したとき、用いるブロック暗号の部分によっては、従来のモードと同等の理論的安全性を有するように構成することができるということである。
その理由は、本発明で用いるブロック暗号の一部分の平均最大差分確率と、それに関連したある種の差分確率とが十分小さい場合には、本発明が理論的安全性を有することが証明できるからである。
10 調整機能付きブロック暗号化装置
20 調整機能付きブロック暗号化装置
30 調整機能付きブロック暗号化装置
100 入力手段
101 オフセット計算手段
102 内部暗号化手段
103 出力手段
200 入力手段
201 オフセット計算手段
202 内部暗号化手段
203 出力手段
300 入力手段
301 オフセット計算手段
302 内部暗号化手段
303 出力手段
20 調整機能付きブロック暗号化装置
30 調整機能付きブロック暗号化装置
100 入力手段
101 オフセット計算手段
102 内部暗号化手段
103 出力手段
200 入力手段
201 オフセット計算手段
202 内部暗号化手段
203 出力手段
300 入力手段
301 オフセット計算手段
302 内部暗号化手段
303 出力手段
上記した発明についてさらに詳細に説述すべく、添付図面を参照して説明する。本発明は、ブロック暗号の一部分から導出されるブロック単位の処理と、ブロック暗号そのものとを組み合わせて、調整機能付きブロック暗号を構成する。前者の処理としては、ブロック暗号の短縮段、つまり段関数の何回かの繰り返しによる置換を用いるのが典型的である。この置換処理とブロック暗号そのものとを組み合わせて、XEXモードでは不可能な、tweakの任意の更新を可能とする高速な調整機能付きブロック暗号を構成する。
ブロック暗号の一部分から導出される置換処理を用いる場合は、tweakとある定数平文を入力としたブロック暗号の出力との和をとり、これを置換処理に入力することで、オフセットと呼ばれる中間変数を求める。
通常のブロック暗号の入力と出力へこのオフセットを足して暗号化処理することで、調整機能付きブロック暗号が得られる。この方式は、ブロック暗号が安全であり、ブロック暗号の一部分から導出される置換処理のいくつかの種類の差分確率が小さい場合には、選択平文・暗号文攻撃に対して、理論的に安全な調整機能付きブロック暗号となる。
図1は、本発明の一実施形態の構成(construction)を示す図である。図1を参照すると、ある固定平文(定数)をブロック暗号Eで暗号化し(但し、KはEの鍵)、tweakとの和をとり、その結果を、部分ブロック暗号Gで暗号化し(KsubはGの鍵)、これをオフセットとし、このオフセットと平文Mとの和をとりブロック暗号Eで暗号化し、その結果とオフセットとの和を暗号文Cとする。部分ブロック暗号Gは、ブロック暗号Eの一部分である。
また、本発明の第2の実施形態においては、図4に示すように、該オフセットと平文Mとの和をとりブロック暗号Eで暗号化し、その結果を暗号文Cとする。本発明において、ブロック暗号の出力側へのオフセットの加算を省略した場合には、選択平文攻撃に安全な調整機能付きブロック暗号となる。
また、本発明の第3の実施形態においては、図9に示すように、オフセットと平文Mとの和をとりブロック暗号Eで暗号化し、その結果を暗号文Cとするか、その結果とオフセットとの和を暗号文Cとするかtweakの値によって選択する。本発明において、あるtweakの値においてブロック暗号の出力側へのオフセットの加算を省略した場合には、そのtweakにおいては選択平文攻撃に安全な調整機能付きブロック暗号となり、そのほかのtweakにおいては、選択平文・暗号文攻撃に安全な調整機能付きブロック暗号となる。
本発明において、ブロック暗号として、AESを使い、その一部の処理として、AESの4段短縮段を用いた場合には、1ブロックの暗号化にAESの段関数を14段必要とする。一方、任意のtweakの更新が可能な、ブロック暗号のみによるモードがXEXモードの変形として得られるが、これは、1ブロックの暗号化に、AESの段関数を20段必要とする。よって、本発明の方式の方が1.4倍高速となる。以下実施例に即して説明する。
図2は、本発明の第1の実施例の調整機能付きブロック暗号化装置の装置構成を示すブロック図である。
図2を参照すると、本実施例の調整機能付きブロック暗号化装置10は、入力手段100と、オフセット計算手段101と、内部暗号化手段102と、出力手段103とを備えている。なお、調整機能付きブロック暗号化装置10は、不図示のCPUとメモリとディスク装置等を備えた情報処理装置により実現可能である。調整機能付きブロック暗号化装置10の各手段は、プログラムを記憶装置又は記憶媒体に格納しておき、このプログラムを、主記憶等にロードしCPU上で動作させることにより実現することができる。
次に、調整機能付きブロック暗号化装置10を構成する各手段について説明する。
入力手段100は、暗号化の対象となる平文と、tweakを入力する手段である。これは例えばキーボードなどの文字入力装置により実現される。
オフセット計算手段101は、tweakに依存したオフセット値offsetを計算する手段である。オフセット計算手段101は、次式(1)の計算を行う。ブロックサイズがnビットの場合、tweakもnビットで、この処理はnビット入力、nビット出力の鍵付き関数である。
offset=G(Ksub,E(K,const)+tweak) ・・・(1)
上式(1)において、
+は排他的論理和、
Eはnビットブロックのブロック暗号、
KはEの鍵、
constは任意の定数nビット値、
である。
上式(1)において、
+は排他的論理和、
Eはnビットブロックのブロック暗号、
KはEの鍵、
constは任意の定数nビット値、
である。
また上式(1)のGは、Eの一部分であり、Gの一つ目の引数を鍵、二つ目の引数を入力としたある鍵付きのnビット関数、もしくはnビット置換である。例えばEがあるラウンド関数をr回繰り返す構造の場合、Gは、同じラウンド関数を、r以下の整数sについてs回繰り返す(このときのGをブロック暗号の「短縮段」と呼ぶ)としてよい。但し、KとKsubは、それぞれ独立であるとする。その長さは、必ずしも一致しなくてよい。さらに、Ksubは定数としてもよい。
式(1)における、E(K,const)は、事前に計算し、記憶しておくことが可能である。
Gに対する条件は3つある。
条件の1つとして、次式(2)で示されるG(Ksub,*)の最大平均差分確率が
・十分小さいこと、もしくは、
・十分小さいということが高い信頼性を持って推測できること
がある。
・十分小さいこと、もしくは、
・十分小さいということが高い信頼性を持って推測できること
がある。
max{Pr(G(Ksub,X)+G(Ksub,X+a)=b)} ・・・(2)
但し、式(2)において、最大値(max)は、すべての非ゼロのaと、全ての(ゼロを含む)bについてとられる。また確率空間は、鍵Ksubと、nビットの一様乱数であるXとによって定義される。もし、鍵Ksubが定数cに固定されている場合には、確率空間は、Xによってのみ定義される。
但し、式(2)において、最大値(max)は、すべての非ゼロのaと、全ての(ゼロを含む)bについてとられる。また確率空間は、鍵Ksubと、nビットの一様乱数であるXとによって定義される。もし、鍵Ksubが定数cに固定されている場合には、確率空間は、Xによってのみ定義される。
残る2つの条件として、同様に、以下の式(3)と式(4)で示される値も、十分小さい、もしくは、十分小さいということが高い信頼性を持って推測できること、が必要である。
max{Pr(G(Ksub,X)=b)} ・・・(3)
max{Pr(G(Ksub,X)+X=b)} ・・・(4)
但し、式(3)と式(4)において、最大値(max)は、全ての(ゼロを含む)bについてとられる。また、確率空間は鍵Ksubと、nビットの一様乱数であるXとによって定義される。もし鍵Ksubが定数cに固定されている場合には、確率空間はXによってのみ定義される。
max{Pr(G(Ksub,X)+X=b)} ・・・(4)
但し、式(3)と式(4)において、最大値(max)は、全ての(ゼロを含む)bについてとられる。また、確率空間は鍵Ksubと、nビットの一様乱数であるXとによって定義される。もし鍵Ksubが定数cに固定されている場合には、確率空間はXによってのみ定義される。
近年のブロック暗号は差分攻撃と線形攻撃に対する耐性を持たせるために、Gをラウンド関数の何段かの繰り返しとした場合に、式(2)で示される最大平均差分確率と最大平均線形確率を小さくすることを念頭において設計されていることが多い。
また、いくつかのブロック暗号では、実際に最大平均差分確率と最大平均線形確率が小さいと証明されている場合がある。例として、非特許文献5では、非特許文献4のブロック暗号AESでは、4段の繰り返しが高々2の−113乗の最大平均差分確率を持つことが示されている。
また、
・式(3)の確率は、Gが置換の場合には、理論最小値(ブロックサイズがnなら2の−n乗)を持つことと、
・式(4)で示される確率が線形確率と関連するために、線形攻撃に対する耐性を持ったブロック暗号のラウンド関数の適切な回数の繰り返しでは十分小さい値を持つと期待できること、
から、安全なブロック暗号の短縮段をGとして用いることで、安全性に対して高い信頼性をもって、本発明の実施例を構築することが可能である。
・式(3)の確率は、Gが置換の場合には、理論最小値(ブロックサイズがnなら2の−n乗)を持つことと、
・式(4)で示される確率が線形確率と関連するために、線形攻撃に対する耐性を持ったブロック暗号のラウンド関数の適切な回数の繰り返しでは十分小さい値を持つと期待できること、
から、安全なブロック暗号の短縮段をGとして用いることで、安全性に対して高い信頼性をもって、本発明の実施例を構築することが可能である。
内部暗号化手段102は、オフセット計算手段101の出力するオフセット値と平文とを用いて暗号文を生成する手段である。平文をMとし、オフセット計算手段101の出力するオフセット値をoffsetとすると、内部暗号化手段102の出力する暗号文は次式(5)で与えられる。
E(K,M+offset)+offset ・・・(5)
但し、
Eはブロック暗号、
KはEの鍵であり、
+は排他的論理和を表す。
但し、
Eはブロック暗号、
KはEの鍵であり、
+は排他的論理和を表す。
出力手段103は、内部暗号化手段102が出力したされた暗号文をコンピュータディスプレイやプリンターなどへ出力する手段である。
本発明の第1の実施例の動作について図2及び図3の流れ図を参照して詳細に説明する。
まず、入力手段100へ平文とtweakを入力し(図3のステップA1)、tweakを用いてオフセット計算手段101が、式(1)に従ってoffsetを求める(図3のステップA2)。
次にオフセット計算手段101が出力したoffsetと平文を用いて内部暗号化手段102は暗号文を求める(図3のステップA3)。
最後に暗号文を出力する(図3のステップA4)。
次に、本発明の第2の実施例について説明する。図5は、本発明の第2の実施例の調整機能付きブロック暗号化装置の構成を示すブロック図である。
本実施例の調整機能付きブロック暗号化装置20は、入力手段200と、オフセット計算手段201と、内部暗号化手段202と、出力手段203とを備えている。調整機能付きブロック暗号化装置20は、図2の前記第1の実施例と同様、不図示のCPUとメモリとディスク装置等を備えた情報処理装置により実現可能である。調整機能付きブロック暗号化装置20の各手段は、プログラムを記憶装置又は記憶媒体に格納しておき、このプログラムを、主記憶等にロードしCPU上で動作させることにより実現することができる。
入力手段200と、オフセット計算手段201と、出力手段203は、それぞれ前記第1の実施例の入力手段100と、オフセット計算手段101と、出力手段103と同じである。
内部暗号化手段202は、オフセット計算手段201の出力するオフセット値と平文とを用いて暗号文を生成する手段である。平文をMとし、オフセット計算手段201の出力するオフセット値をoffsetとすると、内部暗号化手段202の出力する暗号文は、次式(6)で与えられる。
E(K,M+offset) ・・・(6)
但し、
Eはブロック暗号、
KはEの鍵であり、
+は排他的論理和を表す。
但し、
Eはブロック暗号、
KはEの鍵であり、
+は排他的論理和を表す。
本発明の第2の実施例の全体の動作について、図5と図6の流れ図を参照して詳細に説明する。
まず、入力手段200へ平文とtweakを入力し(図6のステップB1)、tweakを用いてオフセット計算手段201が式(1)に従ってoffsetを求める(図6のステップB2)。
次にオフセット計算手段201が出力したoffsetと平文を用いて内部暗号化手段202は暗号文を求める(図6のステップB3)。
最後に暗号文を出力する(図6のステップB4)。
次に、本発明の第3の実施例について説明する。図10は、本発明の第3の実施例の調整機能付きブロック暗号化装置の構成を示すブロック図である。
図10を参照すると、本実施例の調整機能付きブロック暗号化装置30は、入力手段300と、オフセット計算手段301と、内部暗号化手段302と、出力手段303とを備えている。調整機能付きブロック暗号化装置30は、図2の前記第1の実施例と同様、不図示のCPUとメモリとディスク装置等を備えた情報処理装置により実現可能である。調整機能付きブロック暗号化装置30の各手段は、プログラムを記憶装置又は記憶媒体に格納しておき、このプログラムを、主記憶等にロードしCPU上で動作させることにより実現することができる。
入力手段300と、オフセット計算手段301と、出力手段303は、それぞれ、前記第1の実施例の入力手段100と、オフセット計算手段101と、出力手段103と同じである。
内部暗号化手段302は、オフセット計算手段301の出力するオフセット値と平文とを用いて暗号文を生成する手段である。平文をMとし、オフセット計算手段301の出力するオフセット値をoffsetとすると、内部暗号化手段302の出力する暗号文は、次式(7)で与えられる。
E(K,M+offset)+sel(tweak, offset) ・・・(7)
但し、
Eはブロック暗号、
KはEの鍵であり、
+は排他的論理和を表す。
但し、
Eはブロック暗号、
KはEの鍵であり、
+は排他的論理和を表す。
selは、tweakの値によってoffsetもしくは全ゼロを出力する関数である。selがいずれを出力するかを判断するロジックは、あらかじめ決められているものとする。例えば、tweakの最下位ビットの値が0ならoffsetを、1なら全ゼロを出力する、としてもよい。
また、selの出力が全ゼロの場合、全ゼロを足しても結果は変わらないため、和をとる処理が省略できる。
本発明の第3の実施例の全体の動作について、図10と図11の流れ図を参照して詳細に説明する。
まず、入力手段300へ平文とtweakを入力し(図11のステップC1)、tweakを用いてオフセット計算手段301が式(1)に従ってoffsetを求める(図11のステップC2)。
次にオフセット計算手段301が出力したoffsetと平文およびsel(tweak, offset)を用いて内部暗号化手段302は暗号文を求める(図11のステップC3)。
最後に暗号文を出力する(図11のステップC4)。
上記した実施例の作用効果について説明する。
LRWモードで必要なe−AXU関数の代わりに、ブロック暗号の一部をブロック暗号そのものと組み合わせて用いているため、一般的に知られる代数的なe−AXU関数を用いたLRWモードよりもプログラムサイズ、構成を小さくすることができる。本発明において、その他に必要な演算は、排他的論理和などの極めて単純な関数のみである。これにより、実質、ブロック暗号のみで実現が可能となっている。
XEXモードでは不可能であるtweakの任意の更新を、高速に実行することができる。その理由は、本発明においては、tweakの更新を行い新たなオフセットを計算するにあたり、ブロック暗号の一部の処理だけを必要とする構成としたためである。なお、本発明においては、定数平文の暗号化も必要となるが、これは、事前に計算してメモリに置いておくことが可能であるため、tweakの更新時には計算は不要である。
例として、非特許文献4に記載のブロック暗号AESと、AESの段関数の4回の繰り返し(4段AES)とを用いた場合、AESのXEXモード(但し、図8(A)のtweak2を固定し、任意のtweakの更新を可能としたバージョンで)よりも約1.4倍高速となる。
既知のブロック暗号に適用したとき、用いるブロック暗号の部分によっては、従来のモードと同等の理論的安全性を有するように構成することができる。
その理由は、本発明で用いるブロック暗号の一部分の平均最大差分確率と、それに関連したある種の差分確率とが十分小さい場合には、本発明は理論的安全性を有することが証明できるからである。
ここで、ブロック暗号の段関数の数回の繰り返しが小さい平均最大差分確率を持つことは、差分攻撃に十分な安全性を持つブロック暗号の必須条件と言えるため、近年提案されたブロック暗号の多くがこの性質を持つように設計されていることに注意されたい。具体的には、前述の例のように4段AESを用いる場合を考えると、4段AESが十分小さい平均最大差分確率を持つことが非特許文献5に記載されている。
また、求められるその他の種類の差分確率についても十分小さいことが分かっている。
このため、4段AESとAESを組み合わせて用いる場合には、本発明による調整機能付きブロック暗号の安全性はAESの安全性に帰着できることが証明可能である。
また、差分確率の最大値が厳密には証明できないような複雑な構造を用いて本発明を実現した場合でも、差分確率の最大値が十分小さいと信じられる場合には、その信頼度に応じた安全性の保証を与えることができる。
AESの4段を部品として用いること自体は、先願(特願2006−004812号;本願出願時未公開)に記載されているが、これはメッセージ認証コードへの応用を目的としたものであり、本発明とは目的も使用方法も異なっている。
本発明によれば、無線もしくは有線のデータ通信における認証と暗号化といった用途や、ストレージ上のデータの暗号化と改ざん防止といった用途に適用できる。
以上、本発明を上記実施例に即して説明したが、本発明は上記実施例の構成にのみ制限されるものでなく、本発明の範囲内で当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。
本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。
Claims (19)
- 平文とtweakの組を入力する入力手段と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算手段と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し暗号文として出力する内部暗号化手段と、
前記暗号文を出力する出力手段と、
を含む、ことを特徴とする調整機能付きブロック暗号化装置。 - 前記内部暗号化手段は、前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果と前記オフセットとの和をとり暗号文として出力する、ことを特徴とする請求項1記載の調整機能付きブロック暗号化装置。
- 前記内部暗号化手段は、前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果を暗号文として出力するか、前記ブロック暗号で暗号化した結果と前記オフセットとの和をとって暗号文として出力するかを、前記tweakの値によって決定する、ことを特徴とする請求項1記載の調整機能付きブロック暗号化装置。
- 請求項1乃至3のいずれか1項に記載の調整機能付きブロック暗号化装置において、
前記内部暗号化手段と、前記オフセット計算手段で用いられるブロック暗号が、AESであり、
前記オフセット計算手段で用いられる前記部分ブロック暗号が、AESの段関数の4段の繰り返しである、ことを特徴とする調整機能付きブロック暗号化装置。 - 請求項1乃至3のいずれか1項に記載の調整機能付きブロック暗号化装置において、
前記ブロック暗号と、前記ブロック暗号の段関数を利用した処理とを用いる、ことを特徴とする調整機能付きブロック暗号化装置。 - 調整機能付きブロック暗号化装置を構成するコンピュータに、
平文とtweakの組を入力装置から入力する処理と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算処理と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し暗号文として出力する内部暗号化処理と、
前記暗号文を出力装置から出力する処理と、
を実行させるプログラム。 - 請求項6に記載のプログラムにおいて、
前記内部暗号化処理は、前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果と前記オフセットとの和をとり暗号文として出力する、ことを特徴とするプログラム。 - 請求項6に記載のプログラムにおいて、
前記内部暗号化処理は、前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果を暗号文として出力するか、前記ブロック暗号で暗号化した結果と前記オフセットとの和をとって暗号文として出力するかを、前記tweakの値によって決定する、ことを特徴とするプログラム。 - 請求項6乃至8のいずれか1項に記載のプログラムにおいて、
前記内部暗号化処理と、前記オフセット計算処理で用いられるブロック暗号が、AESであり、
前記オフセット計算処理で用いられる前記部分ブロック暗号が、AESの段関数の4段の繰り返しである、ことを特徴とするプログラム。 - 請求項6乃至8のいずれか1項に記載のプログラムにおいて、
前記ブロック暗号と、前記ブロック暗号の段関数を利用した処理とを用いる、ことを特徴とするプログラム。 - コンピュータによる調整機能付きブロック暗号化方法であって、
平文とtweakの組を入力装置から入力する工程と、
所定の固定平文をブロック暗号で暗号化した値と前記tweakとの和をとり、その結果を部分ブロック暗号で暗号化しオフセットとして出力するオフセット計算工程と、
前記オフセットと前記平文との和をとり前記ブロック暗号で暗号化し暗号文として出力する内部暗号化工程と、
前記暗号文を出力装置から出力する工程と、
を含む、ことを特徴とする調整機能付きブロック暗号化方法。 - 前記内部暗号化工程は、前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果と前記オフセットとの和をとり暗号文として出力する、ことを特徴とする請求項11記載の調整機能付きブロック暗号化方法。
- 前記内部暗号化工程は、前記オフセットと前記平文との和を前記ブロック暗号で暗号化した結果を暗号文として出力するか、前記ブロック暗号で暗号化した結果と前記オフセットとの和をとって暗号文として出力するかを、前記tweakの値によって決定する、ことを特徴とする請求項11記載の調整機能付きブロック暗号化方法。
- 請求項11乃至13のいずれか1項に記載の調整機能付きブロック暗号化方法において、
前記内部暗号化工程と、前記オフセット計算工程で用いられるブロック暗号が、AESであり、
前記オフセット計算工程で用いられる前記部分ブロック暗号が、AESの段関数の4段の繰り返しである、ことを特徴とする調整機能付きブロック暗号化方法。 - 請求項11乃至13のいずれか1項に記載の調整機能付きブロック暗号化方法において、
前記ブロック暗号と、前記ブロック暗号の段関数を利用した処理とを用いる、ことを特徴とする調整機能付きブロック暗号化方法。 - 前記入力手段は、平文Mとtweakを入力し、
前記オフセット計算手段は、ブロックサイズをnビットとし、tweakをnビットとした場合、
定数constをブロック暗号Eで暗号化した値と入力したtweakとの和
E(K,const)+tweak ・・・(A.1)
(但し、上式(A.1)において、
+は排他的論理和、
Eはnビットブロックのブロック暗号、
KはEの鍵、
constはnビットの任意の値の定数)
を計算し、
次に、offset(オフセット)を、nビット入力、nビット出力の関数G
G(Ksub,E(K,const)+tweak) ・・・(A.2)
(但し、上式(A.2)において、
Gは、ブロック暗号Eの一部分(部分ブロック暗号)であり、Gの一つ目の引数を鍵、二つ目の引数を入力とした鍵付きのnビット関数、もしくはnビット置換であり、ブロック暗号Eがあるラウンド関数をr回繰り返す構造の場合、Gは、同じラウンド関数を、r以下の整数sについてs回繰り返し、
鍵KsubとKは、それぞれ独立とし、その長さは、必ずしも一致しなくてよく、また、Ksubは定数としてもよい。
E(K,const)+tweakは、上式(A.1)の計算結果である。)
によって求め、
前記内部暗号化手段は、前記offsetと前記平文Mとの和をとり、前記ブロック暗号Eで暗号化した値
E(K,M+offset) ・・・(A.3)
(但し、上式(A.3)において、
Eはブロック暗号、
KはEの鍵であり、
+は排他的論理和)
を、暗号文Cとして出力する、ことを特徴とする請求項1記載の調整機能付きブロック暗号化装置。 - 前記入力手段は、平文Mとtweakを入力し、
前記オフセット計算手段は、ブロックサイズをnビットとし、tweakをnビットとした場合、
定数constをブロック暗号Eで暗号化した値と入力したtweakとの和
E(K,const)+tweak ・・・(A.1)
(但し、上式(A.1)において、
+は排他的論理和、
Eはnビットブロックのブロック暗号、
KはEの鍵、
constはnビットの任意の値の定数)
を計算し、
次に、offset(オフセット)を、nビット入力、nビット出力の関数G
G(Ksub,E(K,const)+tweak) ・・・(A.2)
(但し、上式(A.2)において、
Gは、ブロック暗号Eの一部分(部分ブロック暗号)であり、Gの一つ目の引数を鍵、二つ目の引数を入力とした鍵付きのnビット関数、もしくはnビット置換であり、ブロック暗号Eがあるラウンド関数をr回繰り返す構造の場合、Gは、同じラウンド関数を、r以下の整数sについてs回繰り返し、
鍵KsubとKは、それぞれ独立とし、その長さは、必ずしも一致しなくてよく、また、Ksubは定数としてもよい。
E(K,const)+tweakは、上式(A.1)の計算結果である。)
によって求め、
前記内部暗号化手段は、前記offsetと前記平文Mとの和をとり前記ブロック暗号Eで暗号化した値と前記offsetとの和
E(K,M+offset)+offset ・・・(A.4)
(但し、上式(A.4)において、
Eはブロック暗号、
KはEの鍵であり、
+は排他的論理和)
を、暗号文Cとして出力する、ことを特徴とする請求項2記載の調整機能付きブロック暗号化装置。 - 関数Gは、次式(A.5)で示されるG(Ksub,*)の最大平均差分確率が十分小さいこと、もしくは十分小さいということが高い信頼性を持って推測でき、さらに、次式(A.6)と次式(A.7)で示される値も十分小さいか、もしくは、十分小さいということが高い信頼性を持って推測できるという条件をみたす、
max{Pr(G(Ksub,X)+G(Ksub,X+a)=b)} ・・・(A.5)
(但し、上式(A.5)において、
最大値(max)は、すべての非ゼロのaと、全ての(ゼロを含む)bについてとられ、確率空間は、鍵Ksubと、nビットの一様乱数であるXとによって定義され、鍵Ksubが定数cに固定されている場合には、Xによってのみ定義される)、
max{Pr(G(Ksub,X)=b)} ・・・(A.6)
max{Pr(G(Ksub,X)+X=b)} ・・・(A.7)
(但し、上式(A.6)と上式(A.7)において、
最大値(max)は、全ての(ゼロを含む)bについてとられ、
確率空間は、鍵Ksubと、nビットの一様乱数であるXとによって定義され、鍵Ksubが定数cに固定されている場合には、Xによってのみ定義される。)
ことを特徴とする請求項16又は17記載の調整機能付きブロック暗号化装置。 - 定数constをブロック暗号Eで暗号化した値E(K,const)は、事前に計算され記憶装置に記憶されている、ことを特徴とする請求項16又は17記載の調整機能付きブロック暗号化装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008528775A JP5182091B2 (ja) | 2006-08-10 | 2007-07-27 | 調整機能付きブロック暗号装置と方法とプログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006218558 | 2006-08-10 | ||
| JP2006218558 | 2006-08-10 | ||
| JP2008528775A JP5182091B2 (ja) | 2006-08-10 | 2007-07-27 | 調整機能付きブロック暗号装置と方法とプログラム |
| PCT/JP2007/064749 WO2008018303A1 (fr) | 2006-08-10 | 2007-07-27 | Dispositif de chiffrage de bloc équipé d'une fonction d'ajustement, procédé et programme |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2008018303A1 true JPWO2008018303A1 (ja) | 2009-12-24 |
| JP5182091B2 JP5182091B2 (ja) | 2013-04-10 |
Family
ID=39032837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008528775A Expired - Fee Related JP5182091B2 (ja) | 2006-08-10 | 2007-07-27 | 調整機能付きブロック暗号装置と方法とプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8189770B2 (ja) |
| JP (1) | JP5182091B2 (ja) |
| WO (1) | WO2008018303A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9432181B2 (en) | 2012-04-24 | 2016-08-30 | Nec Corporation | Device, method, and program for format-preserving encryption, and device, method, and program for decryption |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009109884A1 (en) * | 2008-03-05 | 2009-09-11 | Koninklijke Philips Electronics N.V. | Cryptographic system |
| US8526602B2 (en) | 2008-04-15 | 2013-09-03 | Nec Corporation | Adjustment-value-attached block cipher apparatus, cipher generation method and recording medium |
| JP5333450B2 (ja) * | 2008-08-29 | 2013-11-06 | 日本電気株式会社 | 調整値付きブロック暗号化装置、方法及びプログラム並びに復号装置、方法及びプログラム |
| US8437472B2 (en) * | 2009-02-27 | 2013-05-07 | Red Hat, Inc. | Strengthened key schedule for arcfour |
| US20120314857A1 (en) * | 2010-02-24 | 2012-12-13 | Kazuhiko Minematsu | Block encryption device, block decryption device, block encryption method, block decryption method and program |
| US8468365B2 (en) * | 2010-09-24 | 2013-06-18 | Intel Corporation | Tweakable encryption mode for memory encryption with protection against replay attacks |
| JP5365750B2 (ja) | 2011-01-31 | 2013-12-11 | 日本電気株式会社 | ブロック暗号化装置、復号装置、暗号化方法、復号方法およびプログラム |
| JP6077421B2 (ja) * | 2013-08-21 | 2017-02-08 | Kddi株式会社 | 記憶装置、記憶システムおよびプログラム |
| US9571270B2 (en) | 2013-11-29 | 2017-02-14 | Portland State University | Construction and uses of variable-input-length tweakable ciphers |
| US9405919B2 (en) * | 2014-03-11 | 2016-08-02 | Qualcomm Incorporated | Dynamic encryption keys for use with XTS encryption systems employing reduced-round ciphers |
| KR102447476B1 (ko) | 2015-08-20 | 2022-09-27 | 삼성전자주식회사 | 암복호 장치, 그것을 포함하는 저장 장치 및 그것의 암복호 방법 |
| US11438137B2 (en) * | 2017-09-01 | 2022-09-06 | Mitsubishi Electric Corporation | Encryption device, decryption device, encryption method, decryption method, and computer readable medium |
| JP6797337B2 (ja) * | 2018-08-30 | 2020-12-09 | 三菱電機株式会社 | メッセージ認証装置、メッセージ認証方法及びメッセージ認証プログラム |
| EP4064607B1 (en) | 2020-02-06 | 2023-10-18 | Mitsubishi Electric Corporation | Encryption device, decryption device, encryption method, decryption method, encryption program, and decryption program |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7046802B2 (en) * | 2000-10-12 | 2006-05-16 | Rogaway Phillip W | Method and apparatus for facilitating efficient authenticated encryption |
| US7007050B2 (en) * | 2001-05-17 | 2006-02-28 | Nokia Corporation | Method and apparatus for improved pseudo-random number generation |
| US7200227B2 (en) * | 2001-07-30 | 2007-04-03 | Phillip Rogaway | Method and apparatus for facilitating efficient authenticated encryption |
| US20040131182A1 (en) * | 2002-09-03 | 2004-07-08 | The Regents Of The University Of California | Block cipher mode of operation for constructing a wide-blocksize block cipher from a conventional block cipher |
-
2007
- 2007-07-27 WO PCT/JP2007/064749 patent/WO2008018303A1/ja active Application Filing
- 2007-07-27 JP JP2008528775A patent/JP5182091B2/ja not_active Expired - Fee Related
- 2007-07-27 US US12/310,040 patent/US8189770B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9432181B2 (en) | 2012-04-24 | 2016-08-30 | Nec Corporation | Device, method, and program for format-preserving encryption, and device, method, and program for decryption |
Also Published As
| Publication number | Publication date |
|---|---|
| US8189770B2 (en) | 2012-05-29 |
| JP5182091B2 (ja) | 2013-04-10 |
| WO2008018303A1 (fr) | 2008-02-14 |
| US20090196416A1 (en) | 2009-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5182091B2 (ja) | 調整機能付きブロック暗号装置と方法とプログラム | |
| JP4735644B2 (ja) | メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体 | |
| JP5402632B2 (ja) | 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム | |
| JP6519473B2 (ja) | 認証暗号装置、認証暗号方法および認証暗号用プログラム | |
| US6751319B2 (en) | Block cipher method | |
| JP5704159B2 (ja) | ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラム | |
| US8526602B2 (en) | Adjustment-value-attached block cipher apparatus, cipher generation method and recording medium | |
| US9800406B2 (en) | Technologies for modifying a first cryptographic cipher with operations of a second cryptographic cipher | |
| US20100067686A1 (en) | Shared key block cipher apparatus, its method, its program and recording medium | |
| JP5333450B2 (ja) | 調整値付きブロック暗号化装置、方法及びプログラム並びに復号装置、方法及びプログラム | |
| WO2010024003A1 (ja) | 倍ブロック長ブロック暗号化装置、復号装置、暗号化方法及び復号方法、及びそのプログラム | |
| US8891761B2 (en) | Block encryption device, decryption device, encrypting method, decrypting method and program | |
| WO2012141189A1 (ja) | 暗号化方法、暗号化装置および暗号化プログラム | |
| Raddum | More dual rijndaels | |
| WO2022254511A1 (ja) | 暗号装置、方法、及びプログラム | |
| US20100128870A1 (en) | Pseudo-random number generation device, program, and method for stream encoding | |
| Jean et al. | Analysis of the CAESAR candidate Silver | |
| JP5488608B2 (ja) | ブロック暗号装置、ブロック暗号化方法およびプログラム | |
| JP5293612B2 (ja) | 暗号化装置、復号装置、暗号化方法、復号方法およびプログラム | |
| JPWO2009034929A1 (ja) | 暗号化方法、暗号装置及び暗号処理プログラム | |
| KR20030001888A (ko) | 키를 사용하지 않고 블록 정보만을 이용하는 암호알고리즘 설계 방법 | |
| JP2020134730A (ja) | ブロック暗号装置、ブロック暗号方法およびプログラム | |
| JP2010134247A (ja) | 共通鍵ブロック暗号評価装置、共通鍵ブロック暗号評価方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100611 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120925 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121218 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121231 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5182091 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160125 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |