JPWO2009020060A1 - 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム - Google Patents

共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム Download PDF

Info

Publication number
JPWO2009020060A1
JPWO2009020060A1 JP2009526432A JP2009526432A JPWO2009020060A1 JP WO2009020060 A1 JPWO2009020060 A1 JP WO2009020060A1 JP 2009526432 A JP2009526432 A JP 2009526432A JP 2009526432 A JP2009526432 A JP 2009526432A JP WO2009020060 A1 JPWO2009020060 A1 JP WO2009020060A1
Authority
JP
Japan
Prior art keywords
block
bit
cipher
bits
common key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009526432A
Other languages
English (en)
Other versions
JP5402632B2 (ja
Inventor
一彦 峯松
一彦 峯松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009526432A priority Critical patent/JP5402632B2/ja
Publication of JPWO2009020060A1 publication Critical patent/JPWO2009020060A1/ja
Application granted granted Critical
Publication of JP5402632B2 publication Critical patent/JP5402632B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

任意のブロックサイズsに対応するストレージ用途に適したブロック暗号の提供。共通鍵ブロック暗号化装置は、可変長sビットの平文に鍵付き置換を行って、固定長nビットの第1のブロック(XA)と、s−nビットの第2のブロック(XB)と、を生成し、第1のブロック(XA)を入力として、tweakを使用するnビットブロックtweakableブロック暗号(TWB)を用いて第3のブロック(YA)を生成する。次に、共通鍵ブロック暗号化装置は、少なくとも既知平文攻撃に対し理論的安全性を有する任意の暗号を用いて、第3のブロック(YA)と第1のブロック(XA)との群演算結果からs−nビットの乱数ブロック(Z)を生成する。最後に、共通鍵ブロック暗号化装置は、乱数ブロック(Z)及び第2のブロック(XB)の群演算結果と、第3のブロック(YA)とに対し鍵付き置換を行って、nビットの第5のブロック(CA)と、s−nビットの第6のブロック(CB)と、を生成し、sビットの暗号文を得る。(図1)

Description

[関連出願の記載]
本発明は、日本国特許出願:特願2007−204132号(2007年8月6日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラムに関し、特に、IEEEのSecurity in Storage Working Groupで標準化が検討されているディスクセクタ向けの暗号化に適した共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラムに関する。
ブロック暗号やハッシュ関数等を部品とし、新たな暗号を構成するアプローチが数多く知られている。例えばハードディスク等のストレージの暗号化においては、暗号化データのセクタ単位での処理を容易とするために、標準的なブロックサイズ(128bitなど)のブロック暗号を用いてセクタのサイズに対応した、より大きなブロックサイズ(512bit等)をターゲットブロックサイズとするブロック暗号を構成する研究が行われている。
通常、このような暗号部品の組合せにおいては、部品の選択平文攻撃への安全性が、できあがった暗号の十分な安全性を確保するために必要とされてきた。十分な安全性とは、対象がブロック暗号であれば選択平文攻撃への安全性、若しくは、選択平文攻撃と選択暗号文攻撃を任意に組み合わせた攻撃(以降、単に選択暗号文攻撃と言う)への安全性であり、ストリーム暗号であれば、初期ベクトル(Initial vector,以下、「IV」と略する。)を攻撃者が選択できるというモデルのもとでの選択平文攻撃への安全性である。
選択平文攻撃、若しくは、選択暗号文攻撃に対し安全な部品のみを用い、理論的に安全性が保証できるよう構成された暗号では、そのスループット(単位時間当たりの処理量)は、部品のスループットを上回ることはできない。これに対して、選択平文/暗号文攻撃に安全な部品のみを用いるのではなく、より弱い定義の安全性の基準を満たす部品と組み合わせるアプローチが非特許文献1[BIB−ARV]に記載されている。
非特許文献1[BIB−ARV]では、高い安全性を持つが比較的遅い暗号処理と、比較的弱い安全性のみを持つが高速な暗号処理とを組み合わせて、高い安全性と高速な動作を達成することが提案されている。より具体的には、非特許文献1[BIB−ARV]は、IVを入力としたブロック暗号の出力を別の決定的関数funcで拡大することにより、IV付き加法的ストリーム暗号を構成することが提案されている。この場合、ブロック暗号が選択平文攻撃に安全であり、funcが安全な擬似乱数生成器であれば、構成されたIV付き加法的ストリーム暗号もまた選択IV攻撃について安全であることが示されている。
ここでの擬似乱数生成器とは、ランダムな入力において、入力が未知の一様乱数ならばその出力が一様乱数と計算量的に判別困難な関数のことを指し、入力を適応的に選択しながら出力の乱数性を判定する選択平文攻撃に対する安全性までは、求められていない。
従って、擬似乱数生成器は、選択平文攻撃に安全な部品より高速に動作することが期待できる。実際、上記非特許文献1[BIB−ARV]のアプローチは、対象のIV付き加法的ストリーム暗号のスループットを関数funcのスループットと漸近的には同じにするものである。
非特許文献1[BIB−ARV]は、あくまでストリーム暗号の構築がゴールであったが、ブロック暗号における同様のアプローチが非特許文献2[BIB−HYB]で示されている。より具体的には、非特許文献2[BIB−HYB]においては、選択平文攻撃と選択暗号文攻撃の組み合わせ(以下、「選択暗号文攻撃」と略する。)に対し安全なブロック暗号と、既知平文攻撃に対し安全な暗号(必ずしもブロック暗号とは限らない。)とを組み合わせ、任意の大きいブロックサイズのブロック暗号を構成する手法が示されている。
なお、非特許文献2[BIB−HYB]では、最終的に構成される暗号が選択平文攻撃のみに対する安全性を持つ方法(PRP;Pseudo−Random Permutation)と、選択暗号文攻撃への安全性を持つ方法(SPRP;Strong Pseudo−Random Permutation)が示されているが、以下、後者の方法(SPRP)を、nビットブロックの選択暗号文攻撃に安全なブロック暗号Eと、nビット入力、可変長出力の既知平文攻撃に安全な暗号Fを用いて実現する場合を考える。
まず、上記暗号Fは、nビット入出力の既知平文攻撃に安全な暗号を非特許文献3[BIB−ICT]に記載のICT(Increasing Chain Tree)モード等で動作させることで実現できることが知られている。従って、非特許文献2[BIB−HYB]の方法でnmビットブロックサイズの選択暗号文攻撃に安全なブロック暗号を構成する場合、暗号Eを2回、暗号Fを1回コールして、(m−2)nビットの出力を得ることとなっている。
既知平文攻撃が選択暗号文攻撃よりも弱い攻撃であることから、暗号Eよりも暗号Fの方が単位出力ブロックあたりの計算量において高速であることが期待できる。このため、非特許文献2[BIB−HYB]の方法のスループットは漸近的には暗号Fのスループットと一致する。
非特許文献2[BIB−HYB]が実現する、選択暗号文攻撃に安全な大きなブロックサイズのブロック暗号は、コンピュータ上のファイル等の暗号化に有用であるが、一般的なストレージ暗号化としては、さらに、tweakと呼ばれるブロック暗号に対する付加的パラメータが必要となることがある。
tweakは、ストレージが複数の個別の領域に分割されているとき等に有用である。例えば、ハードディスクの暗号化においては、ディスクはセクタと呼ばれる一般的に512byteの単位に分けられており、暗号化の際には、セクタ毎に暗号化することになる。しかしどのセクタも同一の鍵を用いて暗号化することは、異なるセクタにある同一情報の存在を漏らすため、好ましくない。そこで、tweakをセクタ番号とし、tweakが異なれば同一の平文でもまったく異なる暗号文となるような暗号化が行われる。
このような性質を持つパラメータは従来いくつかのブロック暗号で取り入れられていたが、理論的には非特許文献4[BIB−LRW]にて定式化されている。また、一般のtweakを持たないnビットブロック暗号からnビットのtweakableなブロック暗号を構成する手法は、非特許文献4[BIB−LRW]のほか非特許文献5[BIB−XEX]で示されている。ここで、あるtweak付きのブロック暗号が、非特許文献5[BIB−LRW]の定義に基づく安全性を満たすとき、そのブロック暗号はtweakbleであると呼ばれる。
また、nビットブロック暗号のみを用いて、n以上の整数sについてtweakableなsビットブロック暗号を構成する方法は、非特許文献6[BIB−HCTR]や非特許文献7[BIB−HCH]に記載の方法が知られている。これらの方法は、選択暗号文攻撃に安全なブロック暗号をブラックボックスとして用いており、その選択暗号文攻撃への安全性は使用するブロック暗号の選択暗号文攻撃への安全性に帰着される。
また、非特許文献8[BIB−MMH]には、Multimodular Hash Functionを用いて、AXU(Almost−XOR−Universal)ハッシュ関数を実現する方法が記載されている。
非特許文献9[BIB−POLY]には、有限体上での積を高速に行うアルゴリズムが記載されている。
非特許文献10[BIB−AES]には、選択暗号文攻撃に安全なブロック暗号の一例が記載されている。
非特許文献11[BIB−GIL]には、ブロック暗号の修正カウンターモードが記載されている。
非特許文献12[BIB−SEAL]には、ストリーム暗号SEALが記載されている。非特許文献13[BIB−LEX]には、非特許文献10[BIB−AES]のAESをベースとしたストリーム暗号LEXが記載されている。
[BIB−ARV] W. Aiello, S. Rajagopalan and R. Venkatesan, High−Speed Pseudorandom Number Generation with Small Memory, Fast Software Encryption, 6th InternationalWorkshop, FSE’99, Lecture Notes in Computer Science; Vol. 1636, Mar. 1999 [BIB−HYB] Kazuhiko Minematsu, Yukiyasu Tsunoo, Hybrid Symmetric Encryption Using Known−Plaintext Attack−Secure Componets.pp.242−260, Information Security and Cryptology−ICISC 2002, 5th International Conference Seoul, Korea, November 28−29, 2002. Lecture Notes in Computer Science 2587 Springer 2003, ISBN 3−540−00716−4 [BIB−ICT] U. Maurer and J. Sjoedin, From Known−Plaintext to Chosen−Ciphertext Security, Cryptology ePrint Archive 2006/071, http://eprint.iacr.org/2006/071.pdf [BIB−LRW] M. Liskov, R. Rivest, and D. Wagner, Tweakable Block Ciphers, Advances in Cryptology− CRYPTO’02, LNCS 2442, pp. 31−46, 2002. [BIB−XEX] P. Rogaway, Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC., Advances in Cryptology− ASIACRYPT’04. LNCS 3329, pp. 16−31, 2004. [BIB−HCTR] Peng Wang, Dengguo Feng, Wenling Wu, HCTR: A Variable−Input−Length Enciphering Mode, pp. 175−188, Information Security and Cryptology, First SKLOIS Conference, CISC 2005, Proceedings. Lecture Notes in Computer Science 3822 Springer 2005. [BIB−HCH] Debrup Chakraborty, Palash Sarkar, HCH: A New Tweakable Enciphering Scheme Using the Hash−Encrypt−Hash Approach, pp. 287−302, Progress in Cryptology − INDOCRYPT 2006, Proceedings. Lecture Notes in Computer Science 4329 Springer 2006. [BIB−MMH] S. Halevi and H. Krawczyk, MMH:Software Message Authentication in the Gbit/second Rates, Fast Software Encryption, 4th Internatioanl Workshop, FSE ’97, Lecture Notes in Computer Science; Vol. 1267, Springer 1997 pp.172−189 [BIB−POLY] The Poly1305−AES Message Authentication Code, D.J.Bernstein, Fast SoftwareEncryption, FSE 2005, Lecture notes in computer science 3557, pp.32−49, Springer, 2005. [BIB−AES] J. Daemen, V. Rijmen, "AES Proposal: Rijndael", AES submission, 1998. [BIB−GIL] Henri Gilbert, The Security of "One−Block−to−Many" Modes of Operation, FSE 2003, Lecture notes in computer science 2887, pp.376−395, 2003. [BIB−SEAL] P. Rogaway and D. Coppersmith, A Software−Optimized Encryption Algorithm, Fast Software Encryption, 1st Internatioanl Workshop, FSE ’93, Lecture Notes in Computer Science; Vol. 809, Feb. 1993. [BIB−LEX]Alex Biryukov, "A new 128 bit key stream cipher : LEX", ECRYPT eStream project candidate. http://www.ecrypt.eu.org/stream/ciphers/lex/lex.pdf
なお、上記非特許文献1〜13の全開示内容はその引用をもって本書に繰込み記載する。以下の分析は、本発明によって与えられたものである。
上記した非特許文献2[BIB−HYB]のSPRPにより、選択暗号文攻撃に安全な大きなブロックサイズのブロック暗号を構成することが可能であるが、同文献には、tweakは示されておらず、tweakableな暗号を構成できないという問題点がある。
更に、非特許文献2[BIB−HYB]のSPRPでは、1ブロックの暗号化に際して、暗号Eをコールする回数が2回となり、特に、ブロックサイズが比較的小さい場合において、相対的に暗号Eのコール回数が多くなり、速度向上の妨げとなる可能性がある。
本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、選択暗号文攻撃に安全なnビットブロック暗号Eと、既知平文攻撃に安全なnビット入力、可変長出力の暗号Fと、を用いて、選択暗号文攻撃への安全性を持ち、tweakable、かつ、上記暗号Eのコール回数を削減できる共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラムを提供することにある。
本発明の第1の視点によれば、可変長sビットの平文を入力とし、下記処理を行って、sビットの暗号文を出力する共通鍵ブロック暗号化装置が提供される。第1のハッシュ手段は、可変長sビットの平文に鍵付き置換を行って、固定長nビットの第1のブロックと、s−nビットの第2のブロックと、を出力する。第1の暗号処理手段は、前記第1のブロックを入力として、tweakを使用するnビットブロックtweakableブロック暗号を用いて暗号化した第3のブロックを出力する。第2の暗号処理手段は、前記第3のブロックと前記第1のブロックとの群演算結果を入力とし、少なくとも既知平文攻撃に対し理論的安全性を有する任意の暗号を用いてs−nビットの乱数ブロックを生成する。第2のハッシュ手段は、前記乱数ブロック及び前記第2ブロックの群演算結果と、前記第3のブロックとに対し鍵付き置換を行って、nビットの第5のブロックと、s−nビットの第6のブロックと、を出力する。最後に、前記第5、第6のブロックを連結してsビットの暗号文が出力される。
本発明の第2の視点によれば、下記処理を行って、データを暗号化してストレージに書き込む共通鍵ブロック暗号化方法が提供される。まず、ストレージに接続されたコンピュータが、可変長sビットの平文に鍵付き置換を行って、固定長nビットの第1のブロックと、s−nビットの第2のブロックと、を出力する。次に、前記コンピュータが、前記第1のブロックを入力として、tweakを使用するnビットブロックtweakableブロック暗号を用いて暗号化した第3のブロックを出力する。次に、前記コンピュータが、前記第3のブロックと前記第1のブロックとの群演算結果を入力とし、少なくとも既知平文攻撃に対し理論的安全性を有する任意の暗号を用いてs−nビットの乱数ブロックを生成する。次に、前記コンピュータが、前記乱数ブロック及び前記第2ブロックの群演算結果と、前記第3のブロックとに対し鍵付き置換を行って、nビットの第5のブロックと、s−nビットの第6のブロックと、を出力する。最後に、前記コンピュータが、前記第5、第6のブロックを連結してsビットの暗号文を前記ストレージに書き込む。
本発明の第3の視点によれば、コンピュータに下記処理を実行させて、データを暗号化してストレージに書き込ませるプログラムが提供される。まず、sビットの平文に鍵付きsビット置換を行って得られるビット列から得たnビットの第1のブロックを入力として、tweakを使用するnビットブロックtweakableブロック暗号を用いて暗号化する第1の暗号化処理が実行される。次に、可変長sビットの平文に鍵付き置換を行って、固定長nビットの第1のブロックと、s−nビットの第2のブロックと、を出力する処理が実行される。次に、前記第1のブロックを入力として、tweakを使用するnビットブロックtweakableブロック暗号を用いて暗号化した第3のブロックを出力する処理が実行される。次に、前記第3のブロックと前記第1のブロックとの群演算結果を入力とし、少なくとも既知平文攻撃に対し理論的安全性を有する任意の暗号を用いてs−nビットの乱数ブロックを生成する処理が実行される。次に、前記乱数ブロック及び前記第2ブロックの群演算結果と、前記第3のブロックとに対し鍵付き置換を行って、nビットの第5のブロックと、s−nビットの第6のブロックと、を出力するが実行される。最後に、前記第5、第6のブロックを連結してsビットの暗号文を前記ストレージに書き込む処理が実行される。
本発明によれば、非特許文献2[BIB−HYB]に記載されたブロック暗号よりも、効率のよい暗号を実現することが可能となる。その理由は、事前処理を除いた暗号Eの呼び出し回数はターゲットのブロックサイズに拘わらず1回で済むためである。ブロックサイズが十分に大きいときには、Eの呼び出し回数1回の差はごくわずかであるが、ストレージ暗号化においては、ターゲットのブロックサイズは、比較的小さく、また、暗号Eは暗号Fよりも求められる安全性が高いため、暗号Fよりも大幅に遅い処理時間であると考えられ、従ってEの呼び出し回数の差は効率に寄与すると考えられる。
また、本発明によれば、n以上の任意のブロックサイズに対してtweakableなブロック暗号を構成することが可能になる。この点においても、本発明は、ディスクセクタ暗号化に求められる技術要件を満たしており。非特許文献2[BIB−HYB]よりも汎用性の面で優れているということができる。
本発明の第1の実施形態に係る共通鍵ブロック暗号化装置の構成を表したブロック図である。 本発明の第1の実施形態に係る共通鍵ブロック暗号化装置における処理の流れを表した流れ図である。 本発明の第2の実施形態に係る共通鍵ブロック暗号化装置の構成を表したブロック図である。
符号の説明
101 平文入力手段
102 第1のハッシュ手段
103 単位ブロックtweakable暗号化手段(第1の暗号処理手段)
104、104a 擬似乱数生成手段(第2の暗号処理手段)
105 第2のハッシュ手段
106 暗号文出力手段
続いて、本発明の好適な実施形態について、図面を参照して詳細に説明する。以下の本発明の実施形態では、ターゲットとなるブロックサイズをs(sはn以上の整数)とした場合で説明する。また、PA、XA、YA、CAブロックはnビットとし、PB、XB、YB、CBブロックはs−nビットとする。
[第1の実施形態]
図1は、本発明の第1の実施形態に係る共通鍵ブロック暗号化装置の構成を表したブロック図である。図1を参照すると、本発明の第1の実施形態に係る共通鍵ブロック暗号化装置は、平文入力手段101と、第1のハッシュ手段102と、単位ブロックtweakable暗号化手段103と、擬似乱数生成手段104と、第2のハッシュ手段105と、暗号文出力手段106と、を含んで構成される。このうち、第1のハッシュ手段102と、単位ブロックtweakable暗号化手段103と、擬似乱数生成手段104と、第2のハッシュ手段105の各手段及び図1中に表された群演算処理は、コンピュータを上記した各手段として機能させるプログラムによって実現することができる。
平文入力手段101は、tweak値twと、暗号化される対象となるsビットの平文(PAブロックとPBブロック)を入力する手段である。平文入力手段101は、例えばキーボード等の文字入力装置により実現される。tweakableである必要がない場合は、tweak値の入力は不要であり、常に固定の値とすればよい。
第1のハッシュ手段102は、平文入力手段101より入力されたsビットの平文をPAブロックとPBブロックとに分割し、nビットのXAブロック(第1のブロック)とs−nビットのXBブロック(第2のブロック)とを生成する。このとき、第1のハッシュ手段102は、sビットの異なる2つの平文について、それぞれのXAブロックでの衝突がごく小さい確率でのみ起きるような鍵付きのsビット置換を行う。
入力されたsビットの平文の先頭(左側)nビットを取り出す関数をleft、残る(右側)s−nビットを取り出す関数をrightとし、第1のハッシュ手段102をG1で表すと、G1は、鍵付きのsビット置換であり、G1の鍵がKHのときの入力xに対する出力をG1[KH](x)とすると、任意の異なる二入力x、x’についてleft(G1[KH](x))=left(G1[KH](x’))、となる確率が小さいことが必要である。
第1のハッシュ手段102は、例えば、AXUハッシュ関数によるフェイステル型置換により実現可能である。AXUハッシュ関数とは、異なる入力での出力の和がほぼ一様に分布することを特徴とする鍵付き関数であり、一般にユニバーサルハッシュ関数と呼ばれる関数の一種である。AXUハッシュ関数は、例えば、有限体の積や、非特許文献8[BIB−MMH]に記載のMultimodular Hash Functionを使うことで実現可能である。
上記引用をもって、上記非特許文献8に記載されているAXUハッシュ関数及び該関数を用いたフェイステル型置換は、本書に繰込み記載されているものとする。
具体的には、s−nビット入力、nビット出力のAXUハッシュ関数をH1とした場合、入力xについて第1のハッシュ手段102の出力は、次の[数1]で表される。なお、[数1]のleft(x)がPAブロック、right(x)がPBブロック及びXBブロックに、そしてleft(x)+H1(right(x))がXAブロックに対応する。また、[数1]中の+記号はビット毎の排他的論理和を表すものとする。
Figure 2009020060
上記[数1]において、H1はAXUハッシュ関数であればよいが、ごく単純な代数的アルゴリズムで実現することが可能である。整数mについてs=nmの場合、例えばright(x)をnビットベクトルr_1,...,r_{m−1}を用いてright(x)=(r_1,...,r_{m−1})と表した場合、H1はnビットの鍵KHを用いるとして、KHを変数とし、r_1,...,r_{m−1}を係数とした有限体GF(2)上の多項式計算により実現可能である。
具体的な例として、次の[数2]を示す。[数2]中のmul(a,b)はaとbの有限体上の積を表し、KH{i}はKHの有限体上でのi乗を指す。有限体上での積を高速に行うアルゴリズムは、例えば、非特許文献9の[BIB−POLY]に示されている。
上記引用をもって、上記非特許文献9に記載されている有限体上での積を高速に行うアルゴリズムは、本書に繰込み記載されているものとする。
Figure 2009020060
なお、sがnの整数倍でない場合は、任意のパディングを行い、長さをnの整数倍にした後、上記[数2]へ入力すればよい。
第1のハッシュ手段102の鍵KHは、独立な乱数でもよいが、tweakableブロック暗号を使用することもできる。この場合、平文入力手段101が常に生成しないtweak値(予約語とされている固定tweak値)kvについて任意の定数を暗号化し、得られた暗号文から生成することができる。
単位ブロックtweakable暗号化手段103は、平文入力手段101が出力するtweak値twを用いて、XAブロック(第1のブロック)の暗号Eによる暗号文であるYAブロック(第3のブロック)を生成する手段である。具体的には、tweakableブロック暗号をTWBとし、その鍵をKBとしたとき、平文xをtweak値twについて暗号化した結果は、暗号文y=TWB[KB](tw,x)で表される。従って、YAブロックは、TWB[KB](tw,XAブロック)となる。
上記tweakableブロック暗号は、非特許文献10[BIB−AES]に記載のAES等の選択暗号文攻撃に安全なブロック暗号や、そのシリアル連結等を、非特許文献4[BIB−LRW]や非特許文献5[BIB−XEX]に記載の暗号運用モードで動作させることで実現可能である。非特許文献4[BIB−LRW]や非特許文献5[BIB−XEX]に記載の暗号運用モードは、先に述べたように、選択暗号文攻撃に安全なtweakableでないnビットブロック暗号を、選択暗号文攻撃に安全なnビットtweakableブロック暗号に変換するものである。
上記引用をもって、上記非特許文献10に記載されているAES等の選択暗号文攻撃に安全なブロック暗号及び上記非特許文献4、5に記載されている各種暗号運用モードは、それぞれ本書に繰込み記載されているものとする。
擬似乱数生成手段104はXAブロック(第1のブロック)とYAブロック(第3のブロック)の和、若しくは、任意の群演算の結果を入力とし、s−nビットのZブロック(乱数ブロック)を生成する手段(第2の暗号処理手段)である。擬似乱数生成手段104は、少なくとも既知平文攻撃に対し安全であることが求められる。「既知平文攻撃に対し安全である」とは、攻撃者がランダムに入力(例えば、XAブロックとYAブロックの和)を与えるもとで、Zブロックを得たときに、Zブロックと真の乱数との判別が困難となることが求められればよい。
擬似乱数生成手段104で用いる鍵は、上記単位ブロックtweakable暗号化手段103が用いる鍵とは独立であることが求められる。一般に乱数生成器の出力長は入力長nより大幅に長くなるが、擬似乱数生成手段104の上記処理においても、選択平文攻撃、若しくは、選択暗号文攻撃に安全なブロック暗号E’を用いることが可能である。入力をx(XAブロックとYAブロックの和、あるいは、群演算結果)とすると、擬似乱数生成手段104の出力は、次の[数3]で表される。
Figure 2009020060
上記[数3]中のKB’は、ブロック暗号E’の鍵である。また、単位ブロックtweakable暗号化手段103が鍵KBを用いている場合、KB’はKBと独立でなければならない。例えば、単位ブロックtweakable暗号化手段103が、非特許文献4[BIB−LRW]や非特許文献5[BIB−XEX]に記載の暗号運用モードで、tweakableでないnビットブロック暗号Eをtweakableに変換して実現している場合、ブロック暗号E’とブロック暗号Eは同じブロック暗号アルゴリズムであっても、異なるアルゴリズムであってもよい。但し、この場合でも鍵KB’は、鍵KBとは独立でなければならない。
また、上記[数3]中のc(i)は互いに異なる固定nビット値を表し、+は排他的論理和を表す。なお、s/nが整数でない場合は、s/nより大きい最小の整数をceilとし、(E’[KB’](c(1)+x), E’[KB’](c(2)+x), ... ,E’[KB’](c(ceil)+x))の最初のs−nビットを取り出せばよい。
上記[数3]は、ブロック暗号E’のカウンターモードと呼ばれる。また、OFBモード(出力フィードバックモード)を用いて、次の[数4]を出力してもよい。
Figure 2009020060
第2のハッシュ手段105は、YAブロック(第3のブロック)と、Zブロック及びXBブロックとの和、若しくは、任意の群演算して得られるYBブロック(第4のブロック)から、CAブロック(第5のブロック)、CBブロック(第6のブロック)を出力する手段である。第2のハッシュ手段105は、第1のハッシュ手段102と同じ関数でよく、鍵は独立な乱数か、第1のハッシュ手段102が用いる値と同じでよい。
暗号文出力手段106は、第2のハッシュ手段105より出力された暗号文(CAブロック、CBブロック)を連結して、暗号文として出力する手段である。具体的には、本発明に係るブロック暗号化方法を実行するコンピュータのディスプレイ装置やプリンタ等により構成できる。
続いて、上記第1の実施形態に係る共通鍵ブロック暗号化装置の動作について図面を参照して説明する。
図2は、本発明の第1の実施形態に係る共通鍵ブロック暗号化装置における処理の流れを表した流れ図である。図2を参照すると、まず、平文入力手段101が、tweak値twと、平文(PAブロック、PBブロック)の入力を受け付けする(ステップA1)。
次に、第1のハッシュ手段102が、平文入力手段101より入力された平文をPAブロック、PBブロックとに分割し、例えば、[数1]に示す式を用いて、XAブロックとXBブロックを生成する(ステップA2)。
次に、単位ブロックtweakble暗号化手段103が、tweak値tw、鍵KHによりtweakableブロック暗号を用いて、XAブロックを暗号化して、YAブロックを生成する(ステップA3)。
次に、擬似乱数生成手段104が、ステップA2で求めたXAブロックと、ステップA3で求めたYAブロックとの和、あるいは、任意の群演算の結果からZブロックを生成する(ステップA4)。
次に、ステップA4で求めたZブロック及びステップA2で求めたXBブロックとを加算してYBブロックを生成し(ステップA5)、更に、第2のハッシュ手段105が、YBブロックと、ステップA3で求めたYAブロックと、を用いて、例えば、[数1]に示す式を用いて、暗号文(CAブロック、CBブロック)を生成する(ステップA6)。
最後に、暗号文出力手段106が、暗号文(CAブロック、CBブロック)を出力する(ステップA7)。
以上のようにして、事前処理を除き、上記tweakableブロック暗号を1回コールすることにより、nビットより大きいsビットで選択暗号文攻撃に安全な暗号文を得ることが可能となる。また、上記実施形態の構成によれば、ターゲットとするブロックサイズはnビット以上の任意のサイズであればよく、高い汎用性が得られている。
更に、上記実施形態でも説明したとおり、本発明は、単一のブロック暗号Eのみで構成することもできる。この場合、暗号EのカウンターモードやOFBモード等(暗号Eの選択暗号文攻撃への安全性に依拠した)既知平文攻撃への安全性が保証されたモードで暗号Fを実現可能である(但し、独立な鍵KE’を用いる。)。またこのとき、ターゲットがnmビットブロックであり、事前処理を除いた暗号Eの呼び出し回数は、1(暗号E)+m−1(暗号E’)=m回となる。敵の選択暗号文攻撃がq回行われる場合、独立な鍵KE’によるブロック暗号のカウンターモード、若しくは、OFBモードを用いる場合の安全性指標(advantageと呼ばれ、小さいほど高い安全性を有する)は、約(mq)/2である。これは(mq)が十分に2より小さければ、どんな選択暗号文攻撃も成功する確率が無視できるほど小さいことを意味する。
一方、非特許文献6[BIB−HCTR]のHCTRを、単一のブロック暗号Eのみで構成した場合の暗号Eのコール回数は、上記と同じくm回であるが、HCTRの安全性指標は、約(mq)/2(mq)となり、本発明の安全性指標(mq)/2より大幅に大きい(安全性の低い)値となる。これは、本発明の暗号Fに相当する部分が、HCTRにおいてはEと同じ鍵によるブロック暗号のカウンターモードで構成されていることに起因する。
更に、非特許文献7[BIB−HCH]のHCHも、上記HCTRと類似しているが、tweakableでないブロック暗号Eを、カウンターモードではなく、非特許文献11[BIB−GIL]に記載の修正カウンターモードで用いることにより、安全性が(s=nmのとき)約(mq)/2となっている。但し、HCHの修正カウンターモードは、カウンターモードへの入力を先に暗号化するものであるため、カウンターモードに比べ、常に1回の余分な暗号Eのコールが発生し、暗号Eのコール回数はm+1回となる。
以上のように、本発明は、単一のブロック暗号Eのみで実現した場合であっても、(mq)/2の安全性と(事前処理を除いた)、m回の暗号Eのコールとを同時に達成するという、非特許文献6[BIB−HCTR]のHCTRと、非特許文献7[BIB−HCH]のHCHではそれぞれ達成できなかった利点がある。この利点は主に、単位ブロックtweakable暗号化手段103と擬似乱数生成手段104が独立の鍵を使用する点に依拠するものである。
[第2の実施形態]
続いて、上記第1の実施形態の擬似乱数生成手段104に変更を加えた本発明の第2の実施形態について説明する。図3は、本発明の第2の実施形態に係る共通鍵ブロック暗号化装置の構成を表したブロック図である。図3を参照すると、本発明の第2の実施形態に係る共通鍵ブロック暗号化装置は、平文入力手段101と、第1のハッシュ手段102と、単位ブロックtweakable暗号化手段103と、擬似乱数生成手段104aと、第2のハッシュ手段105と、暗号文出力手段106と、を含んで構成される。
図3の平文入力手段101と、第1のハッシュ手段102と、単位ブロックtweakable暗号化手段103と、第2のハッシュ手段105と、暗号文出力手段106は、第1の実施形態の各手段と同じであるため説明を省略し、以下、擬似乱数生成手段104aにおける擬似乱数Zブロックの生成処理ついて詳細に説明する。
擬似乱数生成手段104aは、XAブロックとYAブロックの和、もしくは任意の群演算の結果、を入力として擬似乱数Zブロックを生成する手段(第2の暗号処理手段)である。擬似乱数生成手段104aは、先にも述べたとおり、既知平文攻撃に安全であることが求められる。すなわち攻撃者がランダムに入力(例えば、XAブロックとYAブロックの和)を与えるもとで、Zブロックを得たときに、Zブロックと真の乱数との判別が困難となることが求められればよい。
本実施形態では、乱数発生器として、選択暗号文攻撃に安全なtweakableブロック暗号TWBを用いる。TWBの鍵をKBとして、メッセージxのtweak値twによる暗号文をy=TWB[KB](tw,x)とすると、例えば擬似乱数生成手段104aの出力は、次の[数5]で表される。なお、[数5]の入力xは、(XAブロックとYAブロックの和、あるいは、群演算結果)となる。
Figure 2009020060
上記[数5]は、上記した第1の実施形態のブロック暗号E’のカウンターモードに相当する。同様に、擬似乱数生成手段104aは、上記した第1の実施形態のブロック暗号E’のOFBモードに相当する次の[数6]を出力してもよい。
Figure 2009020060
上記[数5]、[数6]のrvは、平文入力手段101がtweak値として常に出力しないユニークなtweak値である。また、鍵KB及び固定tweak値kvにてtweakableブロック暗号TWBで定数を暗号化した結果から第1のハッシュ手段102の鍵が生成されている場合は、rvはkvとも異なる。
なお、[数5]、[数6]はs/nが整数であるものとしているが、s/nが整数でない場合は、s/nより大きい最小の整数をceilとし、[数5]を次の[数7]のように書き換えて、最初のs−nビットを取り出せばよい。[数6]も同様である。
Figure 2009020060
上記のように、擬似乱数生成手段は、鍵KBを同一としながら、ユニークなtweak値rvにて動作するtweakableブロック暗号TWBによっても構成することが可能である。そして、tweak値の集合が重ならないように構成されているため、上記第1の実施形態と同等の(mq)/2(mq)の安全性指標と、暗号Eのコール回数mも達成されている。
[第3の実施形態]
続いて、上記第1の実施形態の擬似乱数生成手段としてストリーム暗号を用いる本発明の第3の実施形態について説明する。本実施形態の構成も、擬似乱数生成手段を除いて、第1の実施形態の各手段と同じであるため説明を省略し、以下、擬似乱数生成手段における擬似乱数Zブロックの生成処理について詳細に説明する。
本実施形態の擬似乱数生成手段(図1の104)は、ストリーム暗号を用いて、XAブロックとYAブロックの和、もしくは任意の群演算の結果、を入力として擬似乱数Zブロックを生成する手段(第2の暗号処理手段)である。より具体的には、擬似乱数生成手段(図1の104)は、nビットのIVを受け付ける加法的ストリーム暗号で、既知IV攻撃に安全であることが求められる。例えば、非特許文献12[BIB−SEAL]に記載のストリーム暗号SEALにより擬似乱数生成手段(図1の104)を実現することが可能である。
また、単位ブロックtweakable暗号化手段(図1の103)で非特許文献10に記載のAESを使用する場合には、ストリーム暗号として、非特許文献13[BIB−LEX]に記載のストリーム暗号LEXを使用することも可能である。この場合、AESに加えて、新たにストリーム暗号を実装するコストが実質的に無くなるという利点が生じる。
上記ストリーム暗号の鍵としては、独立な乱数を用いることも可能であるし、単位ブロックtweakable暗号化手段(図1の103)が用いるtweakableブロック暗号をTWB、その鍵をKBとしたとき、(TWB[KB](rv,c1),TWB[KB](rv,c2),...,TWB[KB](rv,cs))から生成してもよい。ここでc1,...,csは互いに異なるs個のnビットの定数であり、またrvは、上記した第2の実施形態のrvに相当する平文入力手段(図1の101)が常に出力しないtweak値である。ただし、第1のハッシュ手段(図1の102)の鍵KHがTWBの固定tweak値kvによるw個の定数d1,d2,...,dwの暗号化から生成されている場合(つまり、KHが(TWB[KB](kv,d1),TWB[KB](kv,d2),...,TWB[KB](kv,dw))から生成されている)は、rvがkvと異なるか、rvがkvと等しい場合は、s+w個の定数c1,c2,..,cs,d1,d2,...,dwが互いに異なるかのいずれかを満たさなければならない。
上記のように、擬似乱数生成手段は、既知IV攻撃に安全なストリーム暗号によっても構成することが可能である。
以上、本発明の好適な実施形態を説明したが、本発明は、上記した各実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。
例えば、また、擬似乱数生成手段(図1の104)は、非特許文献3[BIB−ICT]のICTモードを利用することで、出力幅が固定された小さい値である、既知平文攻撃に安全な関数(例えば、既知平文攻撃に安全なブロック暗号)から実現することも可能である。
本発明によれば、2者間で暗号化通信を行うシステムや、映画や音楽などのコンテンツを安全に配信するシステム、また、コンピュータサーバ上のデータを安全に運用するためのファイル暗号化といった用途に適用できる。
以上の記載は、実施形態に基づいて行ったが、本発明は、上記実施形態に限定されるものではない。
本発明の全開示(請求の範囲を含む)の枠内において、更にその基本的技術思想に基づいて、実施態様ないし実施形態の変更・調整が可能である。また本発明の請求の範囲(クレーム)の枠内において、種々開示要素の多様な組合せ・置換ないし選択が可能である。
本発明の更なる課題・目的及び展開形態は、クレームを含む本発明の全開示事項からも、明らかにされる。

Claims (16)

  1. 可変長sビットの平文に鍵付き置換を行って、固定長nビットの第1のブロックと、s−nビットの第2のブロックと、を出力する第1のハッシュ手段と、
    前記第1のブロックを入力として、tweakを使用するnビットブロックtweakableブロック暗号を用いて暗号化した第3のブロックを出力する第1の暗号処理手段と、
    前記第3のブロックと前記第1のブロックとの群演算結果を入力とし、少なくとも既知平文攻撃に対し理論的安全性を有する任意の暗号を用いてs−nビットの乱数ブロックを生成する第2の暗号処理手段と、
    前記乱数ブロック及び前記第2ブロックの群演算結果と、前記第3のブロックとに対し鍵付き置換を行って、nビットの第5のブロックと、s−nビットの第6のブロックと、を出力する第2のハッシュ手段と、を備え、
    前記第5、第6のブロックを連結してsビットの暗号文を出力すること、
    を特徴とする共通鍵ブロック暗号化装置。
  2. 前記第2の暗号処理手段は、前記第3のブロックの出力に使用される鍵とは異なる、独立な鍵を用いてカウンターモードで動作し乱数ブロックを生成するnビットブロック暗号により構成される請求項1に記載の共通鍵ブロック暗号化装置。
  3. 前記第2の暗号処理手段は、前記第3のブロックの出力に使用される鍵とは異なる、独立な鍵を用いて出力フィードバック(OFB)モードで動作し乱数ブロックを生成するnビットブロック暗号により構成される請求項1に記載の共通鍵ブロック暗号化装置。
  4. 前記第2の暗号処理手段は、
    前記第3のブロックの出力に使用されるtweak値twとは異なる固定tweak値rvを設定した前記nビットブロックtweakableブロック暗号を用いて乱数ブロックを生成すること、
    を特徴とする請求項1に記載の共通鍵ブロック暗号化装置。
  5. 前記第2の暗号処理手段は、nビットブロック暗号をtweakableに変える暗号運用モードで動作させることにより、前記乱数ブロックを生成すること、
    を特徴とする請求項4に記載の共通鍵ブロック暗号化装置。
  6. 前記第2の暗号処理手段は、前記固定tweak値rvによりnビットブロックtweakableブロック暗号をカウンターモードで動作させることにより乱数ブロックを生成する請求項4、5に記載の共通鍵ブロック暗号化装置。
  7. 前記第2の暗号処理手段は、前記固定tweak値rvによりnビットブロックtweakableブロック暗号を出力フィードバック(OFB)モードで動作させることにより乱数ブロックを生成する請求項4、5に記載の共通鍵ブロック暗号化装置。
  8. 前記第2の暗号処理手段は、Initial Vectorとして前記第1、第3のブロックの群演算の結果を入力し、s−nビットの鍵ストリームを出力する加法的ストリーム暗号を用いてs−nビットの乱数ブロックを生成すること、
    を特徴とする請求項1に記載の共通鍵ブロック暗号化装置。
  9. 前記加法的ストリーム暗号の鍵は、前記第3のブロックの出力に使用されるtweak値twとは異なる固定tweak値rvを用いるnビットブロックtweakableブロック暗号を用いて生成されること、
    を特徴とする請求項8に記載の共通鍵ブロック暗号化装置。
  10. 前記加法的ストリーム暗号の鍵は、nビットブロック暗号をtweakableに変える暗号運用モードで動作させることにより生成されること、
    を特徴とする請求項9に記載の共通鍵ブロック暗号化装置。
  11. 前記第1の暗号処理手段は、nビットブロック暗号をtweakableに変える暗号運用モードで動作させることにより、前記第3のブロックの生成を行うこと、
    を特徴とする請求項1乃至10いずれか一に記載の共通鍵ブロック暗号化装置。
  12. 前記第1のハッシュ手段は、sビットの平文のうちのs−nビットを前記第2のブロックとし、該第2のブロックをハッシュ関数を用いて圧縮した結果と、sビットの平文のうちのnビットブロックと、の和を第1のブロックとして出力し、
    前記第2のハッシュ手段は、前記第4のブロックをハッシュ関数を用いて圧縮した結果及び前記第3のブロックとの和を前記CAブロックとし、前記第4のブロックを前記CBブロックとして出力する請求項1乃至11いずれか一に記載の共通鍵ブロック暗号化装置。
  13. 前記ハッシュ関数として、nビットの秘密鍵を変数とした有限体GF(2)上の多項式ハッシュ関数を用い、
    前記第1、第2のハッシュ手段は、パディングにより、入力の長さをnの整数倍にそろえて入力する請求項12に記載の共通鍵ブロック暗号化装置。
  14. 前記第1の暗号処理手段で用いるtweak値が固定されていること、
    を特徴とする請求項1乃至13いずれか一に記載の共通鍵ブロック暗号化装置。
  15. データを暗号化してストレージに書き込む際に、
    可変長sビットの平文に鍵付き置換を行って、固定長nビットの第1のブロックと、s−nビットの第2のブロックと、を出力するステップと、
    前記第1のブロックを入力として、tweakを使用するnビットブロックtweakableブロック暗号を用いて暗号化した第3のブロックを出力するステップと、
    前記第3のブロックと前記第1のブロックとの群演算結果を入力とし、少なくとも既知平文攻撃に対し理論的安全性を有する任意の暗号を用いてs−nビットの乱数ブロックを生成するステップと、
    前記乱数ブロック及び前記第2ブロックの群演算結果と、前記第3のブロックとに対し鍵付き置換を行って、nビットの第5のブロックと、s−nビットの第6のブロックと、を出力するステップと、
    前記第5、第6のブロックを連結してsビットの暗号文を前記ストレージに書き込むステップと、を含むこと、
    を特徴とする共通鍵ブロック暗号化方法。
  16. sビットの平文に鍵付きsビット置換を行って得られるビット列から得たnビットの第1のブロックを入力として、tweakを使用するnビットブロックtweakableブロック暗号を用いて暗号化する第1の暗号化処理と、
    可変長sビットの平文に鍵付き置換を行って、固定長nビットの第1のブロックと、s−nビットの第2のブロックと、を出力する処理と、
    前記第1のブロックを入力として、tweakを使用するnビットブロックtweakableブロック暗号を用いて暗号化した第3のブロックを出力する処理と、
    前記第3のブロックと前記第1のブロックとの群演算結果を入力とし、少なくとも既知平文攻撃に対し理論的安全性を有する任意の暗号を用いてs−nビットの乱数ブロックを生成する処理と、
    前記乱数ブロック及び前記第2ブロックの群演算結果と、前記第3のブロックとに対し鍵付き置換を行って、nビットの第5のブロックと、s−nビットの第6のブロックと、を出力する処理と、
    前記第5、第6のブロックを連結してsビットの暗号文を前記ストレージに書き込む処理と、をコンピュータに実行させ、データを暗号化してストレージに書き込むためのプログラム。
JP2009526432A 2007-08-06 2008-08-01 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム Expired - Fee Related JP5402632B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009526432A JP5402632B2 (ja) 2007-08-06 2008-08-01 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2007204132 2007-08-06
JP2007204132 2007-08-06
PCT/JP2008/063847 WO2009020060A1 (ja) 2007-08-06 2008-08-01 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム
JP2009526432A JP5402632B2 (ja) 2007-08-06 2008-08-01 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2009020060A1 true JPWO2009020060A1 (ja) 2010-11-04
JP5402632B2 JP5402632B2 (ja) 2014-01-29

Family

ID=40341294

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009526432A Expired - Fee Related JP5402632B2 (ja) 2007-08-06 2008-08-01 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム

Country Status (3)

Country Link
US (1) US8577032B2 (ja)
JP (1) JP5402632B2 (ja)
WO (1) WO2009020060A1 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009081975A1 (ja) * 2007-12-26 2009-07-02 Nec Corporation 暗号化装置、復号装置、暗号化方法、復号方法およびプログラム
WO2010024003A1 (ja) * 2008-08-29 2010-03-04 日本電気株式会社 倍ブロック長ブロック暗号化装置、復号装置、暗号化方法及び復号方法、及びそのプログラム
US8687802B2 (en) * 2009-03-30 2014-04-01 The Regents Of The University Of California Method and system for accelerating the deterministic enciphering of data in a small domain
JP5365750B2 (ja) * 2011-01-31 2013-12-11 日本電気株式会社 ブロック暗号化装置、復号装置、暗号化方法、復号方法およびプログラム
US9571270B2 (en) 2013-11-29 2017-02-14 Portland State University Construction and uses of variable-input-length tweakable ciphers
CN103812658B (zh) * 2014-01-21 2018-01-16 沈阳工业大学 一种基于流密码的安全通信协议
KR101516574B1 (ko) * 2014-02-21 2015-05-04 한국전자통신연구원 형태보존 암호화를 위한 가변길이 블록암호 장치 및 방법
US20170041133A1 (en) * 2014-04-28 2017-02-09 Ichiro KAZAWA Encryption method, program, and system
WO2017056150A1 (ja) 2015-09-28 2017-04-06 三菱電機株式会社 メッセージ認証子生成装置、メッセージ認証子生成方法及びメッセージ認証子生成プログラム
US20230125560A1 (en) * 2015-12-20 2023-04-27 Peter Lablans Cryptographic Computer Machines with Novel Switching Devices
WO2017164882A1 (en) 2016-03-24 2017-09-28 Hewlett Packard Enterprise Development Lp Text encryption
US9614668B1 (en) * 2016-09-14 2017-04-04 ISARA Corporation Conversion schemes for cryptography systems
US11177936B2 (en) 2017-02-22 2021-11-16 Mitsubishi Electric Corporation Message authenticator generation apparatus
CN107526963A (zh) * 2017-08-30 2017-12-29 深圳市风云实业有限公司 密钥查找设备、方法和计算机可读存储介质
US10454681B1 (en) 2017-11-17 2019-10-22 ISARA Corporation Multi-use key encapsulation processes
US10061636B1 (en) 2017-12-22 2018-08-28 ISARA Corporation Conversion schemes for public key cryptosystems
US10031795B1 (en) 2017-12-22 2018-07-24 ISARA Corporation Using conversion schemes in public key cryptosystems
EP3584989B1 (en) * 2018-06-18 2023-09-27 Secure-IC SAS Tweakable block ciphers for secure data encryption
KR102565442B1 (ko) 2018-10-26 2023-08-16 삼성에스디에스 주식회사 암호 알고리즘 생성 장치 및 방법, 암호화 장치 및 방법
KR102565443B1 (ko) * 2018-10-26 2023-08-16 삼성에스디에스 주식회사 암호 알고리즘 생성 장치 및 방법, 암호화 장치 및 방법
JP7347501B2 (ja) * 2019-04-18 2023-09-20 日本電気株式会社 Macタグリスト生成装置、macタグリスト検証装置、方法及びプログラム
EP4064607B1 (en) 2020-02-06 2023-10-18 Mitsubishi Electric Corporation Encryption device, decryption device, encryption method, decryption method, encryption program, and decryption program
WO2022031563A1 (en) * 2020-08-01 2022-02-10 Ntt Research Inc. Enhanced security for existing public key infrastructure

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6104811A (en) 1996-08-16 2000-08-15 Telcordia Technologies, Inc. Cryptographically secure pseudo-random bit generator for fast and secure encryption
US5949884A (en) * 1996-11-07 1999-09-07 Entrust Technologies, Ltd. Design principles of the shade cipher
JP3864675B2 (ja) * 2000-03-09 2007-01-10 株式会社日立製作所 共通鍵暗号装置
US7227951B2 (en) 2001-11-06 2007-06-05 Ntt Docomo, Inc. Enhanced ANSI X9.17 pseudorandom number generators with forward security
US20040131182A1 (en) * 2002-09-03 2004-07-08 The Regents Of The University Of California Block cipher mode of operation for constructing a wide-blocksize block cipher from a conventional block cipher
WO2006064763A1 (ja) * 2004-12-17 2006-06-22 Nec Corporation 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号化プログラム
JP2007086421A (ja) 2005-09-22 2007-04-05 Hitachi Ltd 特定コードを回避する暗号化装置および暗号化方法

Also Published As

Publication number Publication date
WO2009020060A1 (ja) 2009-02-12
US20110211691A1 (en) 2011-09-01
US8577032B2 (en) 2013-11-05
JP5402632B2 (ja) 2014-01-29

Similar Documents

Publication Publication Date Title
JP5402632B2 (ja) 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及びプログラム
JP4735644B2 (ja) メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体
JP5141558B2 (ja) 共通鍵ブロック暗号化装置、その方法、そのプログラム、及び記録媒体
US11546135B2 (en) Key sequence generation for cryptographic operations
JP6035459B2 (ja) 暗号化装置、復号化装置、及びプログラム
Iyer et al. A novel idea on multimedia encryption using hybrid crypto approach
JP7031580B2 (ja) 暗号化装置、暗号化方法、復号化装置、及び復号化方法
JP6007975B2 (ja) フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム
CN109714154B (zh) 一种代码体积困难白盒安全模型下的白盒密码算法的实现方法
JP5365750B2 (ja) ブロック暗号化装置、復号装置、暗号化方法、復号方法およびプログラム
Murtaza et al. Fortification of aes with dynamic mix-column transformation
Singh et al. An ordeal random data encryption scheme (ORDES)
Soe et al. Performance analysis of data encryption standard (DES)
Kadry et al. An improvement of RC4 cipher using vigenère cipher
EP3996321A1 (en) Method for processing encrypted data
Verma et al. Improvement in the performance and security of advanced encryption standard using AES algorithm and comparison with blowfish
Azzawi Enhancing the encryption process of advanced encryption standard (AES) by using proposed algorithm to generate S-Box
Labbi et al. Symmetric encryption algorithm for RFID systems using a dynamic generation of key
Verma et al. Design and Development of Robust Algorithm for Cryptography using Improved AES Technique
Khalil et al. Modify PRESENT Algorithm by New technique and key Generator by External unit
Abbaas et al. Hybrid Efficient Stream Cipher KeyGenerator Based on LFSR's and Chaotic Map
Özkaynak et al. Fast software implementation of des for lightweight platforms
Khaleel et al. A Comparative Performance Analysis of Modified DÓ § mÓ § si’ s Cryptosystem and Data Encryption Standard
Venkatesan et al. Generating strong keys using modified Huffman tree approach
Bahaa-Eldin Intelligent systems for information security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110712

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131014

R150 Certificate of patent or registration of utility model

Ref document number: 5402632

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees