JPWO2013121710A1 - Evaluation apparatus, evaluation method, and evaluation program - Google Patents

Evaluation apparatus, evaluation method, and evaluation program Download PDF

Info

Publication number
JPWO2013121710A1
JPWO2013121710A1 JP2014500076A JP2014500076A JPWO2013121710A1 JP WO2013121710 A1 JPWO2013121710 A1 JP WO2013121710A1 JP 2014500076 A JP2014500076 A JP 2014500076A JP 2014500076 A JP2014500076 A JP 2014500076A JP WO2013121710 A1 JPWO2013121710 A1 JP WO2013121710A1
Authority
JP
Japan
Prior art keywords
information
amount
random number
basic information
pseudo
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014500076A
Other languages
Japanese (ja)
Other versions
JP5858503B2 (en
Inventor
照夫 齊藤
照夫 齊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solution Innovators Ltd
Original Assignee
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Solution Innovators Ltd filed Critical NEC Solution Innovators Ltd
Priority to JP2014500076A priority Critical patent/JP5858503B2/en
Publication of JPWO2013121710A1 publication Critical patent/JPWO2013121710A1/en
Application granted granted Critical
Publication of JP5858503B2 publication Critical patent/JP5858503B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/26Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

評価装置500は、フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、記憶されている基礎情報に基づいて基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価する。評価装置は、基礎情報のうちの、1回の更新処理にて基礎情報を更新するための情報、及び、1回の生成処理にて擬似乱数を生成するための情報の量である処理基礎情報量Uと擬似乱数情報量mと鍵情報量Lとを受け付け(501)、処理基礎情報量Uから擬似乱数情報量mを減じた値U−mと鍵情報量Lとに基づいて擬似乱数生成器が安全であるか否かを判定する(502)。The evaluation apparatus 500 includes: a generation process that generates pseudo-random numbers based on basic information stored in a storage device that includes a feedback shift register; and an update process that updates basic information based on the stored basic information. By alternately repeating, the security of the pseudo random number generator that generates the pseudo random number sequence based on the key information is evaluated. The evaluation device is processing basic information that is an amount of information for updating the basic information in one update process and information for generating a pseudo-random number in one generation process. An amount U, a pseudorandom information amount m, and a key information amount L are received (501), and a pseudorandom number is generated based on a value U−m obtained by subtracting the pseudorandom information amount m from the processing basic information amount U and the key information amount L. It is determined whether the vessel is safe (502).

Description

本発明は、擬似乱数生成器の安全性を評価する評価装置に関する。   The present invention relates to an evaluation apparatus for evaluating the safety of a pseudorandom number generator.

擬似乱数を生成する擬似乱数生成器が知られている。この種の擬似乱数生成器の一つとして、特許文献1に記載の擬似乱数生成器は、フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返す。これにより、擬似乱数生成器は、鍵情報に基づく疑似乱数列を生成する。例えば、鍵情報は、基礎情報の初期値を生成するために用いられる。   A pseudo-random number generator that generates pseudo-random numbers is known. As one of this type of pseudo-random number generator, the pseudo-random number generator described in Patent Document 1 generates a pseudo-random number based on basic information stored in a storage device including a feedback shift register; An update process for updating the basic information based on the basic information stored in the storage device is alternately repeated. Thereby, the pseudo-random number generator generates a pseudo-random number sequence based on the key information. For example, the key information is used to generate an initial value of basic information.

また、擬似乱数生成器に対する推測決定攻撃が知られている。推測決定攻撃は、生成される擬似乱数が既知である場合に、記憶装置に記憶されている基礎情報を仮定し、その仮定した基礎情報に基づいて生成される擬似乱数が、既知の擬似乱数と一致するか否かに基づいて、真の基礎情報を特定する攻撃である。   In addition, a guess decision attack on a pseudo random number generator is known. In the guess decision attack, when the generated pseudo random number is known, the basic information stored in the storage device is assumed, and the pseudo random number generated based on the assumed basic information is changed to the known pseudo random number. It is an attack that identifies true basic information based on whether or not they match.

推測決定攻撃に対する安全性を評価するための評価手法として、非特許文献1に一例が記載されている。   An example is described in Non-Patent Document 1 as an evaluation method for evaluating the safety against a guess decision attack.

特開2009−265961号公報JP 2009-259661 A

井手口恒太、渡辺大、「推測決定攻撃に対する安全性評価の一手法」、暗号と情報セキュリティシンポジウム、SCIS2008、2008年1月、3A1−4Kota Ideguchi, Dai Watanabe, “A Method for Security Evaluation Against Guidance Decision Attacks”, Symposium on Cryptography and Information Security, SCIS2008, January 2008, 3A1-4

しかしながら、上記評価手法は、擬似乱数生成器の安全性を評価するために要する計算負荷が、擬似乱数生成器が有する記憶装置の記憶容量が大きくなるほど大きくなる。従って、上記評価手法が適用された評価装置によれば、擬似乱数生成器の安全性を評価するために要する計算負荷が過大になってしまう場合が生じる、という問題があった。   However, in the evaluation method, the calculation load required for evaluating the safety of the pseudo random number generator increases as the storage capacity of the storage device included in the pseudo random number generator increases. Therefore, according to the evaluation apparatus to which the evaluation method is applied, there is a problem that the calculation load required for evaluating the safety of the pseudorandom number generator may be excessive.

このため、本発明の目的は、上述した課題である「擬似乱数生成器の安全性を評価するために要する計算負荷が過大になってしまう場合が生じること」を解決することが可能な評価装置を提供することにある。   For this reason, the object of the present invention is to provide an evaluation apparatus that can solve the above-described problem that "the calculation load required for evaluating the safety of the pseudo-random number generator may become excessive" Is to provide.

かかる目的を達成するため本発明の一形態である評価装置は、
フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価する装置である。In order to achieve such an object, an evaluation apparatus according to one aspect of the present invention provides:
A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. It is an apparatus for evaluating the safety of a pseudo random number generator that generates a pseudo random number sequence based on key information by repeating alternately.

更に、この評価装置は、
上記記憶装置に記憶されている基礎情報のうちの、1回の上記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の上記生成処理において上記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、上記擬似乱数の情報の量である擬似乱数情報量mと、上記鍵情報の量である鍵情報量Lと、を受け付ける情報量受付手段と、
上記受け付けられた処理基礎情報量Uから、上記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、上記受け付けられた鍵情報量Lと、に基づいて、上記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する判定手段と、
を備える。Furthermore, this evaluation device
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process An information amount receiving means for receiving a processing basic information amount U which is an amount of information used, a pseudo random number information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information; ,
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudo-random information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo-random information amount U is used. A determination means for determining whether the random number generator is safe against the speculative decision attack;
Is provided.

また、本発明の他の形態である評価方法は、
フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価する方法である。An evaluation method according to another embodiment of the present invention is as follows.
A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. This is a method for evaluating the safety of a pseudo random number generator that generates a pseudo random number sequence based on key information by repeating alternately.

更に、この評価方法は、
上記記憶装置に記憶されている基礎情報のうちの、1回の上記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の上記生成処理において上記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、上記擬似乱数の情報の量である擬似乱数情報量mと、上記鍵情報の量である鍵情報量Lと、を受け付け、
上記受け付けられた処理基礎情報量Uから、上記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、上記受け付けられた鍵情報量Lと、に基づいて、上記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する方法である。Furthermore, this evaluation method is
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process Receiving a processing basic information amount U which is an amount of information used, a pseudo random information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information;
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudo-random information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo-random information amount U is used. This is a method for determining whether or not the random number generator is safe against the guess-decision attack.

また、本発明の他の形態である評価プログラムは、
情報処理装置に、
フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価させるためのプログラムである。An evaluation program according to another embodiment of the present invention is
In the information processing device,
A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. It is a program for evaluating the safety of a pseudo random number generator that generates a pseudo random number sequence based on key information by repeating alternately.

更に、この評価プログラムは、
上記情報処理装置に、
上記記憶装置に記憶されている基礎情報のうちの、1回の上記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の上記生成処理において上記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、上記擬似乱数の情報の量である擬似乱数情報量mと、上記鍵情報の量である鍵情報量Lと、を受け付け、
上記受け付けられた処理基礎情報量Uから、上記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、上記受け付けられた鍵情報量Lと、に基づいて、上記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する、処理を実行させるためのプログラムである。In addition, this evaluation program
In the information processing apparatus,
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process Receiving a processing basic information amount U which is an amount of information used, a pseudo random information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information;
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudo-random information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo-random information amount U is used. This is a program for executing a process for determining whether or not the random number generator is safe against a guess decision attack.

本発明は、以上のように構成されることにより、擬似乱数生成器の安全性を評価するために要する計算負荷を低減することができる。   By configuring as described above, the present invention can reduce the calculation load required for evaluating the safety of the pseudorandom number generator.

本発明の第1実施形態に係る評価装置の構成を表すブロック図である。It is a block diagram showing the structure of the evaluation apparatus which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係る疑似乱数生成器の構成を表すブロック図である。It is a block diagram showing the structure of the pseudorandom number generator which concerns on 1st Embodiment of this invention. 擬似乱数生成器の機能の概要を示したブロック図である。It is the block diagram which showed the outline | summary of the function of the pseudorandom number generator. NLSv2と呼ばれる擬似乱数生成器の機能の概要を示した説明図である。It is explanatory drawing which showed the outline | summary of the function of the pseudorandom number generator called NLSv2. MUGIと呼ばれる擬似乱数生成器の機能の概要を示した説明図である。It is explanatory drawing which showed the outline | summary of the function of the pseudorandom number generator called MUGI. SNOW1.0と呼ばれる擬似乱数生成器の機能の概要を示した説明図である。It is explanatory drawing which showed the outline | summary of the function of the pseudorandom number generator called SNOW1.0. SNOW2.0と呼ばれる擬似乱数生成器の機能の概要を示した説明図である。It is explanatory drawing which showed the outline | summary of the function of the pseudorandom number generator called SNOW2.0. Sosemanukと呼ばれる擬似乱数生成器の機能の概要を示した説明図である。It is explanatory drawing which showed the outline | summary of the function of the pseudorandom number generator called Sosemanuk. Sosemanukと呼ばれる擬似乱数生成器の機能の概要を示した説明図である。It is explanatory drawing which showed the outline | summary of the function of the pseudorandom number generator called Sosemanuk. Sosemanukと呼ばれる擬似乱数生成器の機能の概要を示した説明図である。It is explanatory drawing which showed the outline | summary of the function of the pseudorandom number generator called Sosemanuk. Sosemanukと呼ばれる擬似乱数生成器の機能の概要を示した説明図である。It is explanatory drawing which showed the outline | summary of the function of the pseudorandom number generator called Sosemanuk. 本発明の第2実施形態に係る評価装置の構成を表すブロック図である。It is a block diagram showing the structure of the evaluation apparatus which concerns on 2nd Embodiment of this invention.

以下、本発明に係る、評価装置、評価方法、及び、評価プログラム、の各実施形態について図1〜図12を参照しながら説明する。   Hereinafter, embodiments of an evaluation apparatus, an evaluation method, and an evaluation program according to the present invention will be described with reference to FIGS.

<第1実施形態>
(構成)
図1に示したように、第1実施形態に係る評価装置100は、情報処理装置である。なお、評価装置100は、パーソナル・コンピュータ、携帯電話端末、PHS(Personal Handyphone System)、PDA(Personal Data Assistance、Personal Digital Assistant)、スマートフォン、カーナビゲーション端末、又は、ゲーム端末等であってもよい。<First Embodiment>
(Constitution)
As shown in FIG. 1, the evaluation apparatus 100 according to the first embodiment is an information processing apparatus. Note that the evaluation device 100 may be a personal computer, a mobile phone terminal, a PHS (Personal Handyphone System), a PDA (Personal Data Assistance, a Personal Digital Assistant), a smartphone, a car navigation terminal, or a game terminal.

評価装置100は、図示しない中央処理装置(CPU;Central Processing Unit)、記憶装置(メモリ及びハードディスク駆動装置(HDD;Hard Disk Drive))、入力装置(本例では、キーボード、及び、マウス)、及び、出力装置(本例では、ディスプレイ)を備える。   The evaluation device 100 includes a central processing unit (CPU; Central Processing Unit) (not shown), a storage device (memory and a hard disk drive (HDD)), an input device (a keyboard and a mouse in this example), and And an output device (in this example, a display).

評価装置100は、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。本例では、評価装置100は、擬似乱数生成器の安全性を評価する。   The evaluation device 100 is configured to realize a function described later when the CPU executes a program stored in the storage device. In this example, the evaluation apparatus 100 evaluates the safety of the pseudorandom number generator.

ここで、擬似乱数生成器について説明する。
図2に示したように、擬似乱数生成器200は、フィードバックシフトレジスタ201と、第1の変換処理部202と、メモリ203と、マルチプレクサ204と、第2の変換処理部205と、バッファ206と、第3の変換処理部207と、を備える。Here, the pseudorandom number generator will be described.
As shown in FIG. 2, the pseudo-random number generator 200 includes a feedback shift register 201, a first conversion processing unit 202, a memory 203, a multiplexer 204, a second conversion processing unit 205, a buffer 206, , A third conversion processing unit 207.

本例では、フィードバックシフトレジスタ201は、線形帰還シフトレジスタ(LFSR;Linear Feedback Shift Register)である。フィードバックシフトレジスタ201は、複数のレジスタブロックを含む。複数のレジスタブロックのそれぞれは、予め定められた単位ビット数のビットを記憶する。単位ビット数は、例えば、32、又は、64等である。なお、フィードバックシフトレジスタ201に記憶されている情報は、第1の基礎情報と呼ばれる。   In the present example, the feedback shift register 201 is a linear feedback shift register (LFSR; Linear Feedback Shift Register). The feedback shift register 201 includes a plurality of register blocks. Each of the plurality of register blocks stores a predetermined number of unit bits. The number of unit bits is, for example, 32 or 64. Note that the information stored in the feedback shift register 201 is referred to as first basic information.

メモリ203は、複数のメモリブロックを含む。複数のメモリブロックのそれぞれは、予め定められた単位ビット数のビットを記憶する。単位ビット数は、例えば、32、又は、64等である。本例では、フィードバックシフトレジスタ201の単位ビット数と、メモリ203の単位ビット数と、は等しい。なお、メモリ203に記憶されている情報は、第2の基礎情報と呼ばれる。   The memory 203 includes a plurality of memory blocks. Each of the plurality of memory blocks stores a predetermined number of unit bits. The number of unit bits is, for example, 32 or 64. In this example, the number of unit bits of the feedback shift register 201 is equal to the number of unit bits of the memory 203. Note that the information stored in the memory 203 is referred to as second basic information.

また、フィードバックシフトレジスタ201及びメモリ203は、記憶装置を構成している。記憶装置に記憶されている情報(即ち、第1の基礎情報及び第2の基礎情報)は、基礎情報と呼ばれる。なお、記憶装置は、フィードバックシフトレジスタ201のみにより構成されていてもよい。また、フィードバックシフトレジスタ201は、線形帰還シフトレジスタに代えて、非線形帰還シフトレジスタであってもよい。   The feedback shift register 201 and the memory 203 constitute a storage device. Information (that is, first basic information and second basic information) stored in the storage device is called basic information. Note that the storage device may be configured only by the feedback shift register 201. Further, the feedback shift register 201 may be a non-linear feedback shift register instead of the linear feedback shift register.

第1の変換処理部202は、第1の変換処理を実行する。第1の変換処理は、フィードバックシフトレジスタ201に記憶されている第1の更新処理基礎情報を予め定められた方式に従って第1の更新後基礎情報に変換し、変換後の第1の更新後基礎情報をフィードバックシフトレジスタ201へ出力する処理である。   The first conversion processing unit 202 executes a first conversion process. The first conversion processing converts the first update processing basic information stored in the feedback shift register 201 into first updated basic information according to a predetermined method, and converts the first updated basic information after conversion. This is a process for outputting information to the feedback shift register 201.

第1の更新処理基礎情報は、フィードバックシフトレジスタ201に含まれる複数のレジスタブロックに記憶されている情報(第1の基礎情報)のうちの、予め定められたレジスタブロックに記憶されている情報である。また、第1の更新後基礎情報の量(データサイズ、又は、ビット数)は、1つのレジスタブロックに記憶される情報の量と同じである。   The first update processing basic information is information stored in a predetermined register block among information (first basic information) stored in a plurality of register blocks included in the feedback shift register 201. is there. Further, the amount (data size or number of bits) of the first updated basic information is the same as the amount of information stored in one register block.

フィードバックシフトレジスタ201は、第1の更新後基礎情報が出力される際、各レジスタブロックに記憶されている情報を、複数のレジスタブロックを直列に並べた場合における一端側にて隣接するレジスタブロックに記憶されている情報に更新するとともに、当該一端を構成するレジスタブロックに記憶されている情報を、出力された第1の更新後基礎情報に更新する。   When the first updated basic information is output, the feedback shift register 201 transfers the information stored in each register block to the register block adjacent to one end when a plurality of register blocks are arranged in series. While updating to the stored information, the information stored in the register block constituting the one end is updated to the output first updated basic information.

マルチプレクサ204は、フィードバックシフトレジスタ201に記憶されている第2の更新処理基礎情報、及び、メモリ203に記憶されている第3の更新処理基礎情報、の一部を第4の更新処理基礎情報として第2の変換処理部205へ出力する。   The multiplexer 204 uses a part of the second update processing basic information stored in the feedback shift register 201 and the third update processing basic information stored in the memory 203 as fourth update processing basic information. The data is output to the second conversion processing unit 205.

第2の更新処理基礎情報は、フィードバックシフトレジスタ201に含まれる複数のレジスタブロックに記憶されている情報(第1の基礎情報)のうちの、予め定められたレジスタブロックに記憶されている情報である。また、第3の更新処理基礎情報は、メモリ203に含まれる複数のメモリブロックに記憶されている情報(第2の基礎情報)のうちの、予め定められたメモリブロックに記憶されている情報である。   The second update processing basic information is information stored in a predetermined register block among information (first basic information) stored in a plurality of register blocks included in the feedback shift register 201. is there. The third update processing basic information is information stored in a predetermined memory block among information (second basic information) stored in a plurality of memory blocks included in the memory 203. is there.

第2の変換処理部205は、第2の変換処理を実行する。第2の変換処理は、マルチプレクサ204により出力された第4の更新処理基礎情報、及び、メモリ203に記憶されている第5の更新処理基礎情報、を予め定められた方式に従って第2の更新後基礎情報に変換し、変換後の第2の更新後基礎情報をメモリ203へ出力する処理である。   The second conversion processing unit 205 executes a second conversion process. In the second conversion process, the fourth update process basic information output from the multiplexer 204 and the fifth update process basic information stored in the memory 203 are updated after the second update according to a predetermined method. This is a process of converting to basic information and outputting the converted second updated basic information to the memory 203.

第5の更新処理基礎情報は、メモリ203に含まれる複数のメモリブロックに記憶されている情報(第2の基礎情報)のうちの、予め定められたメモリブロックに記憶されている情報である。   The fifth update processing basic information is information stored in a predetermined memory block among information (second basic information) stored in a plurality of memory blocks included in the memory 203.

メモリ203は、メモリ203に含まれる複数のメモリブロックのうちの予め定められたメモリブロックに記憶されている情報を、第2の変換処理部205により出力された第2の更新後基礎情報に更新する。   The memory 203 updates the information stored in a predetermined memory block among the plurality of memory blocks included in the memory 203 to the second updated basic information output by the second conversion processing unit 205. To do.

バッファ206は、フィードバックシフトレジスタ201に記憶されている第1の生成処理基礎情報、及び、メモリ203に記憶されている第2の生成処理基礎情報を記憶する。
第3の変換処理部207は、第3の変換処理を実行する。第3の変換処理は、バッファ206に記憶されている情報を、予め定められた方式に従って、擬似乱数としての出力情報に変換し、変換後の出力情報を出力する処理である。本例では、出力情報の量は、1つのレジスタブロックに記憶されている情報の量、及び、1つのメモリブロックに記憶されている情報の量と同じである。The buffer 206 stores the first generation processing basic information stored in the feedback shift register 201 and the second generation processing basic information stored in the memory 203.
The third conversion processing unit 207 executes a third conversion process. The third conversion process is a process of converting the information stored in the buffer 206 into output information as a pseudo random number according to a predetermined method and outputting the converted output information. In this example, the amount of output information is the same as the amount of information stored in one register block and the amount of information stored in one memory block.

擬似乱数生成器200は、記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すように構成される。これにより、擬似乱数生成器200は、鍵情報に基づく疑似乱数列を生成する。   The pseudo-random number generator 200 generates a pseudo-random number based on the basic information stored in the storage device, and updates the basic information based on the basic information stored in the storage device. Are alternately repeated. Thereby, the pseudo random number generator 200 generates a pseudo random number sequence based on the key information.

例えば、擬似乱数生成器200は、鍵情報に基づいて基礎情報の初期値を生成するように構成される。また、擬似乱数生成器200は、第1の変換処理、第2の変換処理、及び、第3の変換処理の少なくとも1つにおいて、鍵情報を用いるように構成されていてもよい。   For example, the pseudorandom number generator 200 is configured to generate an initial value of basic information based on key information. The pseudorandom number generator 200 may be configured to use key information in at least one of the first conversion process, the second conversion process, and the third conversion process.

また、本例では、擬似乱数生成器200は、クロック信号に同期して作動するように構成される。即ち、擬似乱数生成器200は、クロック信号における1つのクロック周期において、1回の更新処理と、1回の生成処理と、を実行するように構成される。   In this example, the pseudo random number generator 200 is configured to operate in synchronization with the clock signal. That is, the pseudorandom number generator 200 is configured to execute one update process and one generation process in one clock cycle of the clock signal.

更新処理は、第1の更新処理と、第2の更新処理と、を含む。
第1の更新処理は、上述したように、第1の変換処理部202が第1の変換処理を実行し、且つ、フィードバックシフトレジスタ201が、第1の変換処理部202により出力された第1の更新後基礎情報に基づいて、各レジスタブロックに記憶されている情報を更新する処理である。The update process includes a first update process and a second update process.
As described above, in the first update processing, the first conversion processing unit 202 executes the first conversion processing, and the feedback shift register 201 is output from the first conversion processing unit 202. This is a process for updating the information stored in each register block based on the updated basic information.

第2の更新処理は、上述したように、第2の変換処理部205が第2の変換処理を実行し、且つ、メモリ203が、第2の変換処理部205により出力された第2の更新後基礎情報に基づいて、各メモリブロックに記憶されている情報を更新する処理である。   As described above, in the second update process, the second conversion processing unit 205 executes the second conversion process, and the memory 203 outputs the second update output by the second conversion processing unit 205. This is a process for updating the information stored in each memory block based on the post-basic information.

また、生成処理は、上述したように、第3の変換処理部207が第3の変換処理を実行する処理である。   In addition, as described above, the generation process is a process in which the third conversion processing unit 207 executes the third conversion process.

このように、擬似乱数生成器200は、更新処理において、フィードバックシフトレジスタ201に記憶されている第1の基礎情報が、当該第1の基礎情報のみに基づいて更新され、且つ、メモリ203に記憶されている第2の基礎情報が、当該第2の基礎情報と第1の基礎情報とに基づいて更新されるように構成される、と言うことができる。   As described above, the pseudo-random number generator 200 updates the first basic information stored in the feedback shift register 201 based on only the first basic information and stores it in the memory 203 in the update process. It can be said that the second basic information being configured is configured to be updated based on the second basic information and the first basic information.

また、擬似乱数生成器200は、生成処理において、フィードバックシフトレジスタ201に記憶されている第1の基礎情報と、メモリ203に記憶されている第2の基礎情報と、に基づいて擬似乱数を生成するように構成される、と言うことができる。   In addition, the pseudo random number generator 200 generates pseudo random numbers based on the first basic information stored in the feedback shift register 201 and the second basic information stored in the memory 203 in the generation process. It can be said that it is configured to.

なお、擬似乱数生成器200により生成された擬似乱数は、ストリーム暗号方式における鍵ストリームとして用いられてもよい。即ち、擬似乱数生成器200は、生成した擬似乱数を鍵ストリームとして用いる暗号化装置の一部を構成していてもよい。   Note that the pseudo-random number generated by the pseudo-random number generator 200 may be used as a key stream in the stream encryption method. That is, the pseudo random number generator 200 may constitute a part of an encryption device that uses the generated pseudo random number as a key stream.

ところで、擬似乱数生成器200の安全性は、擬似乱数生成器200により生成された擬似乱数を鍵ストリームとして用いるストリーム暗号方式の安全性と対応している。従って、第1実施形態に係る評価装置100によれば、当該ストリーム暗号方式を用いる暗号装置の安全性を評価するために要する計算負荷を低減することもできる。   By the way, the security of the pseudo random number generator 200 corresponds to the security of the stream encryption method using the pseudo random number generated by the pseudo random number generator 200 as a key stream. Therefore, according to the evaluation apparatus 100 according to the first embodiment, it is possible to reduce the calculation load required for evaluating the security of the encryption apparatus using the stream encryption method.

(推測決定攻撃)
次に、推測決定攻撃について説明する。図3は、擬似乱数生成器200の機能の概要を示したブロック図である。擬似乱数生成器200の機能は、記憶装置G1と、更新処理実行部G2と、生成処理実行部G3と、を含む。(Guess decision attack)
Next, the guess decision attack will be described. FIG. 3 is a block diagram showing an outline of the functions of the pseudorandom number generator 200. The function of the pseudorandom number generator 200 includes a storage device G1, an update process execution unit G2, and a generation process execution unit G3.

即ち、記憶装置G1は、フィードバックシフトレジスタ201及びメモリ203に対応している。更新処理実行部G2は、更新処理を実行する。生成処理実行部G3は、生成処理を実行する。   That is, the storage device G1 corresponds to the feedback shift register 201 and the memory 203. The update process execution unit G2 executes an update process. The generation process execution unit G3 executes a generation process.

ここでは、説明を簡単にするために、記憶装置G1が、8つの記憶ブロック(レジスタブロック又はメモリブロック)s〜sを備える場合を想定する。また、更新処理基礎情報が、記憶ブロックs及び記憶ブロックsに記憶されている情報であり、生成処理基礎情報が、記憶ブロックs及び記憶ブロックsに記憶されている情報である場合を想定する。Here, in order to simplify the description, it is assumed that the storage device G1 includes eight storage blocks (register blocks or memory blocks) s 0 to s 7 . Further, the update process basic information is information stored in the storage block s 2 and the storage block s 5 , and the generation process basic information is information stored in the storage block s 2 and the storage block s 4. Is assumed.

ここで、更新処理基礎情報は、1回の更新処理において基礎情報を更新するために用いられる情報である。また、生成処理基礎情報は、1回の生成処理において擬似乱数を生成するために用いられる情報である。また、処理基礎情報は、基礎情報のうちの、更新処理基礎情報及び生成処理基礎情報の少なくとも一方に含まれる情報である。即ち、処理基礎情報は、記憶ブロックs、記憶ブロックs、及び、記憶ブロックsに記憶されている情報である。Here, the update process basic information is information used to update the basic information in one update process. The generation process basic information is information used for generating a pseudo random number in one generation process. The processing basic information is information included in at least one of the update processing basic information and the generation processing basic information in the basic information. That is, the processing basic information is information stored in the storage block s 2 , the storage block s 4 , and the storage block s 5 .

先ず、推測決定攻撃においては、処理基礎情報の一部が仮定される。例えば、記憶ブロックs及び記憶ブロックsに記憶されている情報(仮定部分)が仮定される。そして、仮定部分と、既知の擬似乱数と、を用いることにより、処理基礎情報のうちの残余(仮定部分以外)の部分(非仮定部分、即ち、記憶ブロックsに記憶されている情報)が逆算される。First, in the guess decision attack, a part of the processing basic information is assumed. For example, information (assumed part) stored in the storage block s 4 and the storage block s 5 is assumed. Then, by using the assumed part and the known pseudo-random number, the remainder (other than the assumed part) of the processing basic information (non-assumed part, that is, information stored in the storage block s 2 ) is obtained. It is calculated backward.

その後、同様の処理を繰り返すことにより、記憶装置G1に記憶されている情報のすべてが特定される。そして、更に、同様の処理を繰り返すことにより、鍵情報を特定することができる。   Thereafter, by repeating the same processing, all the information stored in the storage device G1 is specified. Further, the key information can be specified by repeating the same processing.

ところで、推測決定攻撃における最初のステップにおいては、処理基礎情報のうちの、判定基準量U−mを有する部分(仮定部分)を仮定する必要がある。ここで、判定基準量U−mは、処理基礎情報量Uから擬似乱数情報量mを減じた値である。処理基礎情報量Uは、処理基礎情報の量である。また、擬似乱数情報量mは、擬似乱数の情報の量である。   By the way, in the first step in the speculative decision attack, it is necessary to assume a part (assumed part) having the determination reference amount Um in the processing basic information. Here, the determination reference amount U-m is a value obtained by subtracting the pseudo random number information amount m from the processing basic information amount U. The processing basic information amount U is the amount of processing basic information. The pseudo random number information amount m is the amount of pseudo random number information.

ところで、仮定部分と既知の擬似乱数とから非仮定部分を逆算する処理は、仮定部分の量が大きくなるほど多くなる回数だけ実行される。従って、推測決定攻撃における最初のステップにおける計算負荷は、判定基準量U−mが大きくなるほど大きくなる。   By the way, the process of calculating back the non-assumed part from the assumed part and the known pseudo-random number is executed as many times as the amount of the assumed part increases. Therefore, the calculation load in the first step in the guess determination attack increases as the determination reference amount U-m increases.

ところで、擬似乱数生成器200に対して、すべての鍵情報のそれぞれを入力することにより、擬似乱数を生成させ、生成された擬似乱数と既知の擬似乱数とが一致しているか否かに基づいて、鍵情報を特定する攻撃(総当たり攻撃、又は、鍵の全数探索等とも呼ばれる)に要する計算負荷は、鍵情報量Lが大きくなるほど大きくなる。   By the way, by inputting each key information to the pseudo-random number generator 200, a pseudo-random number is generated, and based on whether the generated pseudo-random number matches a known pseudo-random number. The calculation load required for an attack that specifies key information (also called a brute force attack or a total number search of keys) increases as the key information amount L increases.

従って、判定基準量U−mと、鍵情報量Lと、に基づいて、擬似乱数生成器200が推測決定攻撃に対して安全である(即ち、推測決定攻撃に要する計算負荷が総当たり攻撃に要する計算負荷以上である)か否かを十分に高い精度にて判定することができる。   Therefore, based on the determination reference amount U-m and the key information amount L, the pseudo random number generator 200 is safe against the guess decision attack (that is, the calculation load required for the guess decision attack is the brute force attack). It can be determined with sufficiently high accuracy whether or not the calculation load is higher than the required calculation load.

(機能)
次に、評価装置100の機能について説明する。図1は、評価装置100の機能を表すブロック図である。評価装置100の機能は、情報量受付部(情報量受付手段)101と、判定部(判定手段)102と、出力部103と、を含む。(function)
Next, functions of the evaluation apparatus 100 will be described. FIG. 1 is a block diagram illustrating functions of the evaluation apparatus 100. The function of the evaluation apparatus 100 includes an information amount receiving unit (information amount receiving unit) 101, a determination unit (determination unit) 102, and an output unit 103.

情報量受付部101は、処理基礎情報量Uと、擬似乱数情報量mと、鍵情報量Lと、を受け付ける。
処理基礎情報量Uは、記憶装置に記憶されている基礎情報のうちの、更新処理基礎情報及び生成処理基礎情報の量である。即ち、処理基礎情報量Uは、基礎情報のうちの、更新処理基礎情報及び生成処理基礎情報の少なくとも一方に含まれる情報の量である。The information amount receiving unit 101 receives the processing basic information amount U, the pseudo random number information amount m, and the key information amount L.
The processing basic information amount U is the amount of update processing basic information and generation processing basic information among the basic information stored in the storage device. That is, the processing basic information amount U is the amount of information included in at least one of the update processing basic information and the generation processing basic information in the basic information.

ここで、更新処理基礎情報は、1回の更新処理において基礎情報を更新するために用いられる情報である。即ち、本例では、更新処理基礎情報は、基礎情報のうちの、第1の更新処理基礎情報、第2の更新処理基礎情報、第3の更新処理基礎情報、及び、第5の更新処理基礎情報の少なくとも1つに含まれる情報である。   Here, the update process basic information is information used to update the basic information in one update process. That is, in this example, the update process basic information includes the first update process basic information, the second update process basic information, the third update process basic information, and the fifth update process basic information among the basic information. Information included in at least one of the information.

また、生成処理基礎情報は、1回の生成処理において擬似乱数を生成するために用いられる情報である。即ち、本例では、生成処理基礎情報は、基礎情報のうちの、第1の生成処理基礎情報、及び、第2の生成処理基礎情報の少なくとも1つに含まれる情報である。
また、擬似乱数情報量mは、擬似乱数の情報の量である。鍵情報量Lは、鍵情報の量である。The generation process basic information is information used for generating a pseudo random number in one generation process. That is, in this example, the generation processing basic information is information included in at least one of the first generation processing basic information and the second generation processing basic information in the basic information.
The pseudo random number information amount m is the amount of pseudo random number information. The key information amount L is the amount of key information.

本例では、情報量受付手段101は、入力装置を介してユーザによって入力された情報を受け付ける。なお、情報量受付手段101は、外部の装置から情報を受信することにより情報を受け付けるように構成されていてもよい。   In this example, the information amount receiving unit 101 receives information input by the user via the input device. The information amount accepting unit 101 may be configured to accept information by receiving information from an external device.

判定部102は、情報量受付部101により受け付けられた処理基礎情報量Uから、情報量受付部101により受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mを取得(算出)する。   The determination unit 102 obtains a determination reference amount U-m that is a value obtained by subtracting the pseudo-random information amount m received by the information amount receiving unit 101 from the processing basic information amount U received by the information amount receiving unit 101 ( calculate.

更に、判定部102は、取得された判定基準量U−mが、情報量受付部101により受け付けられた鍵情報量L以上であるか否かを判定する。   Further, the determination unit 102 determines whether or not the acquired determination reference amount U-m is equal to or greater than the key information amount L received by the information amount reception unit 101.

そして、判定部102は、判定基準量U−mが鍵情報量L以上であると判定された場合、擬似乱数生成器200が推測決定攻撃に対して安全であると判定する。一方、判定部102は、判定基準量U−mが鍵情報量Lよりも小さいと判定された場合、擬似乱数生成器200が推測決定攻撃に対して安全でないと判定する。   Then, when the determination unit 102 determines that the determination reference amount U-m is equal to or greater than the key information amount L, the determination unit 102 determines that the pseudo random number generator 200 is safe against the guess determination attack. On the other hand, when the determination unit 102 determines that the determination reference amount Um is smaller than the key information amount L, the determination unit 102 determines that the pseudo random number generator 200 is not safe against the guess decision attack.

このように、判定部102は、判定基準量U−mと、鍵情報量Lと、に基づいて擬似乱数生成器200が推測決定攻撃に対して安全であるか否かを判定する、と言うことができる。   As described above, the determination unit 102 determines whether or not the pseudo random number generator 200 is safe against the guess decision attack based on the determination reference amount U-m and the key information amount L. be able to.

出力部103は、判定部102による判定の結果を表す判定結果情報を、出力装置を介して出力する。   The output unit 103 outputs determination result information representing the result of determination by the determination unit 102 via the output device.

次に、擬似乱数生成器200に対する処理基礎情報量Uについて、具体例を参照しながら説明する。   Next, the processing basic information amount U for the pseudorandom number generator 200 will be described with reference to a specific example.

図4に示したように、NLSv2と呼ばれる擬似乱数生成器200が知られている(例えば、非特許文献2を参照)。
Philip Hawkes、Cameron McDonald、Michael Paddon、Gregory G. Rose、Miriam Wiggers de Vries、「Specification for NLSv2」、The eSTREAM Finalists 2008、Lecture Notes in Computer Science、Springer、2008年、Vol. 4986、pp.57-68 As shown in FIG. 4, a pseudo-random number generator 200 called NLSv2 is known (see, for example, Non-Patent Document 2).
Philip Hawkes, Cameron McDonald, Michael Paddon, Gregory G. Rose, Miriam Wiggers de Vries, "Specification for NLSv2", The eSTREAM Finalists 2008, Lecture Notes in Computer Science, Springer, 2008, Vol. 4986, pp. 57-68

この擬似乱数生成器200においては、処理基礎情報は、8個の記憶ブロック(レジスタブロック又はメモリブロック)に記憶されている情報である。具体的には、記憶ブロックA1〜A2に記憶されている情報は、更新処理基礎情報を構成する。また、記憶ブロックB1〜B4に記憶されている情報は、生成処理基礎情報を構成する。また、記憶ブロックAB1〜AB2に記憶されている情報は、更新処理基礎情報を構成するとともに、生成処理基礎情報を構成する。   In this pseudo random number generator 200, the basic processing information is information stored in eight storage blocks (register blocks or memory blocks). Specifically, the information stored in the storage blocks A1 and A2 constitutes update processing basic information. Further, the information stored in the storage blocks B1 to B4 constitutes generation processing basic information. Further, the information stored in the storage blocks AB1 and AB2 constitutes update process basic information and constitutes generation process basic information.

従って、この擬似乱数生成器200においては、各記憶ブロックに記憶されるビットの数(単位ビット数)が32である場合、処理基礎情報量Uは、256(=8×32)ビットである。   Therefore, in the pseudo random number generator 200, when the number of bits (number of unit bits) stored in each storage block is 32, the processing basic information amount U is 256 (= 8 × 32) bits.

また、図5に示したように、MUGIと呼ばれる擬似乱数生成器200が知られている(例えば、非特許文献3を参照)。
Dai Watanabe、Soichi Furuya、Hirotaka Yoshida、Kazuo Takaragi、Bart Preneel、「A New Keystream Generator MUGI」、FSE 2002、Lecture Notes in Computer Science、Springer、2002年、Vol. 2365、pp.179-194 Also, as shown in FIG. 5, a pseudo random number generator 200 called MUGI is known (see, for example, Non-Patent Document 3).
Dai Watanabe, Soichi Furuya, Hirotaka Yoshida, Kazuo Takaragi, Bart Preneel, `` A New Keystream Generator MUGI '', FSE 2002, Lecture Notes in Computer Science, Springer, 2002, Vol. 2365, pp.179-194

この擬似乱数生成器200においては、処理基礎情報は、10個の記憶ブロックに記憶されている情報である。具体的には、記憶ブロックA1〜A7に記憶されている情報は、更新処理基礎情報を構成する。また、記憶ブロックAB1〜AB3に記憶されている情報は、更新処理基礎情報を構成するとともに、生成処理基礎情報を構成する。   In this pseudo random number generator 200, the basic processing information is information stored in 10 storage blocks. Specifically, the information stored in the storage blocks A1 to A7 constitutes update process basic information. Further, the information stored in the storage blocks AB1 to AB3 constitutes update process basic information and constitutes generation process basic information.

従って、この擬似乱数生成器200においては、各記憶ブロックに記憶されるビットの数(単位ビット数)が32である場合、処理基礎情報量Uは、320(=10×32)ビットである。   Therefore, in the pseudo random number generator 200, when the number of bits (number of unit bits) stored in each storage block is 32, the processing basic information amount U is 320 (= 10 × 32) bits.

また、図6に示したように、SNOW1.0と呼ばれる擬似乱数生成器200が知られている(例えば、非特許文献4を参照)。
Patrik Ekdahl、Thomas Johansson、「SNOW - a new stream cipher」、Proceedings of first NESSIE Workshop、Heverlee、Belgium、2000年 Also, as shown in FIG. 6, a pseudo random number generator 200 called SNOW1.0 is known (see, for example, Non-Patent Document 4).
Patrik Ekdahl, Thomas Johansson, "SNOW-a new stream cipher", Proceedings of first NESSIE Workshop, Heverlee, Belgium, 2000

この擬似乱数生成器200においては、処理基礎情報は、6個の記憶ブロックに記憶されている情報である。具体的には、記憶ブロックA1〜A2に記憶されている情報は、更新処理基礎情報を構成する。また、記憶ブロックAB1〜AB4に記憶されている情報は、更新処理基礎情報を構成するとともに、生成処理基礎情報を構成する。   In this pseudo random number generator 200, the basic processing information is information stored in six storage blocks. Specifically, the information stored in the storage blocks A1 and A2 constitutes update processing basic information. Further, the information stored in the storage blocks AB1 to AB4 constitutes update process basic information and constitutes generation process basic information.

従って、この擬似乱数生成器200においては、各記憶ブロックに記憶されるビットの数(単位ビット数)が32である場合、処理基礎情報量Uは、192(=6×32)ビットである。   Therefore, in the pseudo random number generator 200, when the number of bits (number of unit bits) stored in each storage block is 32, the processing basic information amount U is 192 (= 6 × 32) bits.

また、図7に示したように、SNOW2.0と呼ばれる擬似乱数生成器200が知られている(例えば、非特許文献5を参照)。
Patrik Ekdahl、Thomas Johansson、「A New Version of the Stream Cipher SNOW」、Selected Areas inCryptography 2002、Lecture Notes in Computer Science、Springer、2003年、Vol. 2595、pp.47-61 Further, as shown in FIG. 7, a pseudo-random number generator 200 called SNOW 2.0 is known (see, for example, Non-Patent Document 5).
Patrik Ekdahl, Thomas Johansson, "A New Version of the Stream Cipher SNOW", Selected Areas in Cryptography 2002, Lecture Notes in Computer Science, Springer, 2003, Vol. 2595, pp. 47-61

この擬似乱数生成器200においては、処理基礎情報は、6個の記憶ブロックに記憶されている情報である。具体的には、記憶ブロックA1〜A2に記憶されている情報は、更新処理基礎情報を構成する。また、記憶ブロックAB1〜AB4に記憶されている情報は、更新処理基礎情報を構成するとともに、生成処理基礎情報を構成する。   In this pseudo random number generator 200, the basic processing information is information stored in six storage blocks. Specifically, the information stored in the storage blocks A1 and A2 constitutes update processing basic information. Further, the information stored in the storage blocks AB1 to AB4 constitutes update process basic information and constitutes generation process basic information.

従って、この擬似乱数生成器200においては、各記憶ブロックに記憶されるビットの数(単位ビット数)が32である場合、処理基礎情報量Uは、192(=6×32)ビットである。   Therefore, in the pseudo random number generator 200, when the number of bits (number of unit bits) stored in each storage block is 32, the processing basic information amount U is 192 (= 6 × 32) bits.

また、図8〜図11に示したように、Sosemanukと呼ばれる擬似乱数生成器200が知られている(例えば、非特許文献6を参照)。
Come Berbain、Olivier Billet、Anne Canteaut、Nicolas Courtois、Henri Gilbert、Louis Goubin、Aline Gouget、Louis Granboulan、Cedric Lauradoux、Marine Minier、Thomas Pornin、Herve Sibert、「Sosemanuk, a Fast Software-Oriented Stream Cipher」、The eSTREAMFinalists 2008、Lecture Notes in Computer Science、Springer、2008年、Vol. 4986、pp.98-118 Also, as shown in FIGS. 8 to 11, a pseudorandom number generator 200 called “Sosemanuk” is known (for example, see Non-Patent Document 6).
Come Berbain, Olivier Billet, Anne Canteaut, Nicolas Courtois, Henri Gilbert, Louis Goubin, Aline Gouget, Louis Granboulan, Cedric Lauradoux, Marine Minier, Thomas Pornin, Herve Sibert, `` Sosemanuk, a Fast Software-Oriented Stream Cipher '', the eSTREA 2008, Lecture Notes in Computer Science, Springer, 2008, Vol. 4986, pp. 98-118

この擬似乱数生成器200は、クロック信号における、連続する4つのクロック周期において、1回の更新処理と、1回の生成処理と、を実行するように構成される。   The pseudo-random number generator 200 is configured to execute one update process and one generation process in four consecutive clock cycles in the clock signal.

第1のクロック周期において、図8に示したように、擬似乱数生成器200は、記憶ブロックA1〜A3に記憶されている情報を、第1のクロック周期に後続する第2のクロック周期における基礎情報を更新するために用いる。更に、第1のクロック周期において、図8に示したように、擬似乱数生成器200は、記憶ブロックAB1〜AB4に記憶されている情報を、第2のクロック周期における基礎情報を更新するために用いるとともに、擬似乱数を生成するために用いる。   In the first clock cycle, as shown in FIG. 8, the pseudo-random number generator 200 uses the information stored in the storage blocks A1 to A3 as the basis for the second clock cycle following the first clock cycle. Used to update information. Further, in the first clock cycle, as shown in FIG. 8, the pseudo-random number generator 200 updates the information stored in the storage blocks AB1 to AB4 with the basic information in the second clock cycle. Used to generate pseudo-random numbers.

従って、第1のクロック周期においては、記憶ブロックA1〜A3に記憶されている情報は、更新処理基礎情報を構成する。また、第1のクロック周期においては、記憶ブロックAB1〜AB4に記憶されている情報は、更新処理基礎情報を構成するとともに、生成処理基礎情報を構成する。即ち、第1のクロック周期においては、記憶ブロックA1〜A3,AB1〜AB4に記憶されている情報は、処理基礎情報を構成する。   Therefore, in the first clock cycle, the information stored in the storage blocks A1 to A3 constitutes update processing basic information. Further, in the first clock cycle, information stored in the storage blocks AB1 to AB4 constitutes update process basic information and constitutes generation process basic information. That is, in the first clock cycle, the information stored in the storage blocks A1 to A3 and AB1 to AB4 constitutes processing basic information.

更に、第2のクロック周期において、図9に示したように、擬似乱数生成器200は、記憶ブロックA4〜A5,C2に記憶されている情報を、第2のクロック周期に後続する第3のクロック周期における基礎情報を更新するために用いる。更に、第2のクロック周期において、図9に示したように、擬似乱数生成器200は、記憶ブロックC1,C5〜C7に記憶されている情報を、第3のクロック周期における基礎情報を更新するために用いるとともに、擬似乱数を生成するために用いる。   Further, in the second clock cycle, as shown in FIG. 9, the pseudo random number generator 200 converts the information stored in the storage blocks A4 to A5 and C2 into the third clock cycle following the second clock cycle. Used to update basic information in the clock period. Further, in the second clock cycle, as shown in FIG. 9, the pseudo random number generator 200 updates the basic information in the third clock cycle with the information stored in the storage blocks C1, C5 to C7. And used to generate pseudo-random numbers.

なお、記憶ブロックC1〜C7に記憶されている情報は、第1のクロック周期において処理基礎情報を構成する情報(即ち、記憶ブロックA1〜A3,AB1〜AB4に記憶されている情報)に基づいて取得される。従って、第2のクロック周期においては、記憶ブロックA4,A5に記憶されている情報は、更新処理基礎情報を構成する。即ち、記憶ブロックA4,A5に記憶されている情報は、処理基礎情報を構成する。   Note that the information stored in the storage blocks C1 to C7 is based on information constituting the processing basic information in the first clock cycle (that is, information stored in the storage blocks A1 to A3 and AB1 to AB4). To be acquired. Therefore, in the second clock cycle, the information stored in the storage blocks A4 and A5 constitutes update processing basic information. That is, the information stored in the storage blocks A4 and A5 constitutes processing basic information.

更に、第3のクロック周期において、図10に示したように、擬似乱数生成器200は、記憶ブロックA6,C9,C13に記憶されている情報を、第3のクロック周期に後続する第4のクロック周期における基礎情報を更新するために用いる。更に、第3のクロック周期において、図10に示したように、擬似乱数生成器200は、記憶ブロックC8,C14〜C16に記憶されている情報を、第4のクロック周期における基礎情報を更新するために用いるとともに、擬似乱数を生成するために用いる。   Further, in the third clock cycle, as shown in FIG. 10, the pseudo-random number generator 200 converts the information stored in the storage blocks A6, C9, and C13 into the fourth clock cycle following the third clock cycle. Used to update basic information in the clock period. Further, in the third clock cycle, as shown in FIG. 10, the pseudo random number generator 200 updates the basic information in the fourth clock cycle with the information stored in the storage blocks C8, C14 to C16. And used to generate pseudo-random numbers.

なお、記憶ブロックC8〜C16に記憶されている情報は、第1のクロック周期及び第2のクロック周期において処理基礎情報を構成する情報(即ち、記憶ブロックA1〜A5,AB1〜AB4に記憶されている情報)に基づいて取得される。従って、第3のクロック周期においては、記憶ブロックA6に記憶されている情報は、更新処理基礎情報を構成する。即ち、記憶ブロックA6に記憶されている情報は、処理基礎情報を構成する。   The information stored in the storage blocks C8 to C16 is stored in the information constituting the processing basic information in the first clock cycle and the second clock cycle (that is, stored in the storage blocks A1 to A5 and AB1 to AB4). Information). Therefore, in the third clock cycle, the information stored in the storage block A6 constitutes update processing basic information. That is, the information stored in the storage block A6 constitutes processing basic information.

更に、第4のクロック周期において、図11に示したように、擬似乱数生成器200は、記憶ブロックA7,C18,C23に記憶されている情報を、第4のクロック周期に後続する第1のクロック周期における基礎情報を更新するために用いる。更に、第4のクロック周期において、図11に示したように、擬似乱数生成器200は、記憶ブロックC17,C24〜C26に記憶されている情報を、第1のクロック周期における基礎情報を更新するために用いるとともに、擬似乱数を生成するために用いる。   Further, in the fourth clock cycle, as shown in FIG. 11, the pseudo random number generator 200 uses the information stored in the storage blocks A7, C18, and C23 as the first clock following the fourth clock cycle. Used to update basic information in the clock period. Further, in the fourth clock cycle, as shown in FIG. 11, the pseudo-random number generator 200 updates the basic information in the first clock cycle with the information stored in the storage blocks C17, C24 to C26. And used to generate pseudo-random numbers.

なお、記憶ブロックC17〜C26に記憶されている情報は、第1のクロック周期、第2のクロック周期、及び、第3のクロック周期において処理基礎情報を構成する情報(即ち、記憶ブロックA1〜A6,AB1〜AB4に記憶されている情報)に基づいて取得される。従って、第4のクロック周期においては、記憶ブロックA7に記憶されている情報は、更新処理基礎情報を構成する。即ち、記憶ブロックA7に記憶されている情報は、処理基礎情報を構成する。   Note that the information stored in the storage blocks C17 to C26 is information constituting the processing basic information in the first clock cycle, the second clock cycle, and the third clock cycle (that is, the storage blocks A1 to A6). , AB1 to AB4). Therefore, in the fourth clock cycle, the information stored in the storage block A7 constitutes update processing basic information. That is, the information stored in the storage block A7 constitutes processing basic information.

このように、この擬似乱数生成器200においては、処理基礎情報は、11個の記憶ブロックに記憶されている情報である。上述したように、記憶ブロックA1〜A7に記憶されている情報は、更新処理基礎情報を構成する。また、記憶ブロックAB1〜AB4に記憶されている情報は、更新処理基礎情報を構成するとともに、生成処理基礎情報を構成する。   Thus, in this pseudo random number generator 200, the processing basic information is information stored in 11 storage blocks. As described above, the information stored in the storage blocks A1 to A7 constitutes update processing basic information. Further, the information stored in the storage blocks AB1 to AB4 constitutes update process basic information and constitutes generation process basic information.

従って、この擬似乱数生成器200においては、各記憶ブロックに記憶されるビットの数(単位ビット数)が32である場合、処理基礎情報量Uは、352(=11×32)ビットである。   Therefore, in the pseudo random number generator 200, when the number of bits (number of unit bits) stored in each storage block is 32, the processing basic information amount U is 352 (= 11 × 32) bits.

また、この擬似乱数生成器200は、第4のクロック周期において、各記憶ブロックに記憶されている情報の量の4倍の量を有する擬似乱数(出力情報)を生成する。即ち、この擬似乱数生成器200においては、各記憶ブロックに記憶されるビットの数(単位ビット数)が32である場合、擬似乱数情報量mは、128(=4×32)ビットである。   The pseudo random number generator 200 generates a pseudo random number (output information) having an amount four times the amount of information stored in each storage block in the fourth clock cycle. That is, in the pseudo random number generator 200, when the number of bits (unit bit number) stored in each storage block is 32, the pseudo random number information amount m is 128 (= 4 × 32) bits.

(作動)
次に、上述した評価装置100の作動について説明する。
先ず、評価装置100は、ユーザにより入力された、処理基礎情報量Uと、擬似乱数情報量mと、鍵情報量Lと、を受け付ける。次いで、評価装置100は、受け付けられた処理基礎情報量Uから、受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mを取得(算出)する。(Operation)
Next, the operation of the evaluation apparatus 100 described above will be described.
First, the evaluation apparatus 100 receives the processing basic information amount U, the pseudo random number information amount m, and the key information amount L input by the user. Next, the evaluation apparatus 100 acquires (calculates) a determination reference amount U-m that is a value obtained by subtracting the received pseudorandom information amount m from the received processing basic information amount U.

そして、評価装置100は、取得された判定基準量U−mが、受け付けられた鍵情報量L以上であるか否かを判定する。   Then, the evaluation apparatus 100 determines whether or not the acquired determination reference amount Um is greater than or equal to the accepted key information amount L.

次いで、評価装置100は、判定基準量U−mが鍵情報量L以上であると判定された場合、擬似乱数生成器200が推測決定攻撃に対して安全であると判定する。一方、評価装置100は、判定基準量U−mが鍵情報量Lよりも小さいと判定された場合、擬似乱数生成器200が推測決定攻撃に対して安全でないと判定する。   Next, when it is determined that the determination reference amount Um is equal to or greater than the key information amount L, the evaluation device 100 determines that the pseudo random number generator 200 is safe against the guess decision attack. On the other hand, when it is determined that the determination reference amount Um is smaller than the key information amount L, the evaluation apparatus 100 determines that the pseudo random number generator 200 is not safe against the guess decision attack.

そして、評価装置100は、判定の結果を表す判定結果情報を、出力装置を介して出力する。   And the evaluation apparatus 100 outputs the determination result information showing the result of determination via an output device.

以上、説明したように、本発明の第1実施形態に係る評価装置100によれば、擬似乱数生成器200の安全性を十分に高い精度にて判定しながら、擬似乱数生成器200の安全性を評価するために要する計算負荷を低減することができる。   As described above, according to the evaluation apparatus 100 according to the first embodiment of the present invention, the safety of the pseudorandom number generator 200 is determined while determining the safety of the pseudorandom number generator 200 with sufficiently high accuracy. It is possible to reduce the calculation load required to evaluate

なお、第1実施形態に係る評価装置100においては、1つのレジスタブロックに記憶されている情報の量と、1つのメモリブロックに記憶されている情報の量と、生成される擬似乱数の情報の量と、は同じであった。ところで、1つのレジスタブロックに記憶されている情報の量と、1つのメモリブロックに記憶されている情報の量と、生成される擬似乱数の情報の量と、は、互いに異なる量であってもよい。また、1つのレジスタブロックに記憶されている情報の量と、1つのメモリブロックに記憶されている情報の量と、生成される擬似乱数の情報の量と、のうちの任意の1つが、他の2つと異なる量であってもよい。   Note that, in the evaluation apparatus 100 according to the first embodiment, the amount of information stored in one register block, the amount of information stored in one memory block, and the information of the generated pseudorandom numbers The amount was the same. By the way, the amount of information stored in one register block, the amount of information stored in one memory block, and the amount of generated pseudo-random information may be different from each other. Good. In addition, any one of the amount of information stored in one register block, the amount of information stored in one memory block, and the amount of pseudorandom number information generated is The amount may be different from the above two.

<第2実施形態>
次に、本発明の第2実施形態に係る評価装置について図12を参照しながら説明する。
第2実施形態に係る評価装置500は、
フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価する装置である。Second Embodiment
Next, an evaluation apparatus according to a second embodiment of the present invention will be described with reference to FIG.
An evaluation apparatus 500 according to the second embodiment
A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. It is an apparatus for evaluating the safety of a pseudo random number generator that generates a pseudo random number sequence based on key information by repeating alternately.

更に、この評価装置500は、
上記記憶装置に記憶されている基礎情報のうちの、1回の上記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の上記生成処理において上記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、上記擬似乱数の情報の量である擬似乱数情報量mと、上記鍵情報の量である鍵情報量Lと、を受け付ける情報量受付部(情報量受付手段)501と、
上記受け付けられた処理基礎情報量Uから、上記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、上記受け付けられた鍵情報量Lと、に基づいて、上記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する判定部(判定手段)502と、
を備える。Furthermore, this evaluation apparatus 500 is
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process An information amount receiving unit that receives a processing basic information amount U that is the amount of information to be used, a pseudo random number information amount m that is the amount of pseudorandom information, and a key information amount L that is the amount of key information. Information receiving means) 501,
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudo-random information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo-random information amount U is used. A determination unit (determination means) 502 that determines whether or not the random number generator is safe against a guess-decision attack;
Is provided.

ところで、推測決定攻撃においては、先ず、処理基礎情報のうちの、判定基準量U−mを有する部分(仮定部分)が仮定される。そして、仮定部分と、既知の擬似乱数と、を用いることにより、処理基礎情報のうちの仮定部分以外の部分(非仮定部分)が逆算される。従って、この段階までの、推測決定攻撃における計算負荷は、判定基準量U−mによりよく表される。   By the way, in the speculative decision attack, first, a portion (assumed portion) having the determination reference amount Um in the processing basic information is assumed. Then, by using the assumed part and the known pseudo-random number, a part other than the assumed part (non-assumed part) in the processing basic information is calculated backward. Therefore, the calculation load in the guess decision attack up to this stage is well represented by the determination reference amount U-m.

ところで、擬似乱数生成器に対して、すべての鍵情報のそれぞれを入力することにより、擬似乱数を生成させ、生成された擬似乱数と既知の擬似乱数とが一致しているか否かに基づいて、鍵情報を特定する攻撃(総当たり攻撃、又は、鍵の全数探索等とも呼ばれる)に要する計算負荷は、鍵情報量Lによりよく表される。   By the way, by inputting each of all the key information to the pseudo-random number generator, the pseudo-random number is generated, and based on whether or not the generated pseudo-random number matches the known pseudo-random number, The computational load required for an attack that specifies key information (also called a brute force attack or a total number search of keys) is often represented by a key information amount L.

従って、上記構成によれば、擬似乱数生成器の安全性を十分に高い精度にて判定しながら、擬似乱数生成器の安全性を評価するために要する計算負荷を低減することができる。   Therefore, according to the above configuration, it is possible to reduce the calculation load required to evaluate the safety of the pseudorandom number generator while determining the safety of the pseudorandom number generator with sufficiently high accuracy.

以上、上記実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成及び詳細に、本願発明の範囲内において当業者が理解し得る様々な変更をすることができる。   Although the present invention has been described with reference to the above embodiment, the present invention is not limited to the above-described embodiment. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.

なお、上記各実施形態において評価装置100の各機能は、CPUがプログラム(ソフトウェア)を実行することにより実現されていたが、回路等のハードウェアにより実現されていてもよい。   In each of the above-described embodiments, each function of the evaluation apparatus 100 is realized by the CPU executing a program (software), but may be realized by hardware such as a circuit.

また、上記各実施形態においてプログラムは、記憶装置に記憶されていたが、コンピュータが読み取り可能な記録媒体に記憶されていてもよい。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。   In each of the above embodiments, the program is stored in the storage device, but may be stored in a computer-readable recording medium. For example, the recording medium is a portable medium such as a flexible disk, an optical disk, a magneto-optical disk, and a semiconductor memory.

また、上記実施形態の他の変形例として、上述した実施形態及び変形例の任意の組み合わせが採用されてもよい。   Further, any other combination of the above-described embodiment and modification examples may be adopted as another modification example of the above-described embodiment.

<付記>
上記実施形態の一部又は全部は、以下の付記のように記載され得るが、以下には限られない。<Appendix>
A part or all of the above embodiment can be described as the following supplementary notes, but is not limited thereto.

(付記1)
フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価する評価装置であって、
前記記憶装置に記憶されている基礎情報のうちの、1回の前記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の前記生成処理において前記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、前記擬似乱数の情報の量である擬似乱数情報量mと、前記鍵情報の量である鍵情報量Lと、を受け付ける情報量受付手段と、
前記受け付けられた処理基礎情報量Uから、前記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、前記受け付けられた鍵情報量Lと、に基づいて、前記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する判定手段と、
を備える評価装置。(Appendix 1)
A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. An evaluation device for evaluating the safety of a pseudo-random number generator that generates a pseudo-random number sequence based on key information by repeating alternately,
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process An information amount receiving means for receiving a processing basic information amount U which is an amount of information used, a pseudo random number information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information; ,
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudorandom information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo A determination means for determining whether the random number generator is safe against the speculative decision attack;
An evaluation apparatus comprising:

ところで、推測決定攻撃においては、先ず、処理基礎情報のうちの、判定基準量U−mを有する部分(仮定部分)が仮定される。そして、仮定部分と、既知の擬似乱数と、を用いることにより、処理基礎情報のうちの仮定部分以外の部分(非仮定部分)が逆算される。従って、この段階までの、推測決定攻撃における計算負荷は、判定基準量U−mによりよく表される。   By the way, in the speculative decision attack, first, a portion (assumed portion) having the determination reference amount Um in the processing basic information is assumed. Then, by using the assumed part and the known pseudo-random number, a part other than the assumed part (non-assumed part) in the processing basic information is calculated backward. Therefore, the calculation load in the guess decision attack up to this stage is well represented by the determination reference amount U-m.

ところで、擬似乱数生成器に対して、すべての鍵情報のそれぞれを入力することにより、擬似乱数を生成させ、生成された擬似乱数と既知の擬似乱数とが一致しているか否かに基づいて、鍵情報を特定する攻撃(総当たり攻撃、又は、鍵の全数探索等とも呼ばれる)に要する計算負荷は、鍵情報量Lによりよく表される。   By the way, by inputting each of all the key information to the pseudo-random number generator, the pseudo-random number is generated, and based on whether or not the generated pseudo-random number matches the known pseudo-random number, The computational load required for an attack that specifies key information (also called a brute force attack or a total number search of keys) is often represented by a key information amount L.

従って、上記構成によれば、擬似乱数生成器の安全性を十分に高い精度にて判定しながら、擬似乱数生成器の安全性を評価するために要する計算負荷を低減することができる。   Therefore, according to the above configuration, it is possible to reduce the calculation load required to evaluate the safety of the pseudorandom number generator while determining the safety of the pseudorandom number generator with sufficiently high accuracy.

(付記2)
付記1に記載の評価装置であって、
前記判定手段は、前記判定基準量U−mが、前記鍵情報量L以上である場合、前記擬似乱数生成器が推測決定攻撃に対して安全であると判定するように構成された評価装置。(Appendix 2)
The evaluation apparatus according to attachment 1, wherein
The evaluation device configured to determine that the pseudo-random number generator is safe against a guess decision attack when the determination reference amount Um is equal to or greater than the key information amount L.

ところで、判定基準量U−mが鍵情報量L以上である場合、推測決定攻撃に要する計算負荷が、総当たり攻撃に要する計算負荷以上であると言うことができる。従って、上記構成によれば、擬似乱数生成器の安全性を十分に高い精度にて判定することができる。   By the way, when the determination reference amount Um is equal to or greater than the key information amount L, it can be said that the calculation load required for the guess decision attack is equal to or greater than the calculation load required for the brute force attack. Therefore, according to the above configuration, the safety of the pseudorandom number generator can be determined with sufficiently high accuracy.

(付記3)
付記1又は付記2に記載の評価装置であって、
前記記憶装置は、更に、メモリを備え、
前記基礎情報は、前記フィードバックシフトレジスタに記憶されている第1の基礎情報と、前記メモリに記憶されている第2の基礎情報と、を含み、
前記擬似乱数生成器は、前記更新処理において、前記フィードバックシフトレジスタに記憶されている第1の基礎情報が、当該第1の基礎情報のみに基づいて更新され、且つ、前記メモリに記憶されている第2の基礎情報が、当該第2の基礎情報と前記第1の基礎情報とに基づいて更新されるように構成された評価装置。(Appendix 3)
The evaluation apparatus according to Supplementary Note 1 or Supplementary Note 2, wherein
The storage device further includes a memory,
The basic information includes first basic information stored in the feedback shift register and second basic information stored in the memory,
In the update process, the pseudo random number generator updates the first basic information stored in the feedback shift register based only on the first basic information, and stores the first basic information in the memory. An evaluation device configured to update second basic information based on the second basic information and the first basic information.

(付記4)
付記3に記載の評価装置であって、
前記擬似乱数生成器は、前記生成処理において、前記フィードバックシフトレジスタに記憶されている第1の基礎情報と、前記メモリに記憶されている第2の基礎情報と、に基づいて前記擬似乱数を生成するように構成された評価装置。(Appendix 4)
The evaluation apparatus according to attachment 3, wherein
The pseudo random number generator generates the pseudo random number based on first basic information stored in the feedback shift register and second basic information stored in the memory in the generation process. An evaluation device configured to:

(付記5)
付記1乃至付記4のいずれかに記載の評価装置であって、
前記擬似乱数生成器により生成された擬似乱数は、ストリーム暗号方式における鍵ストリームとして用いられる、評価装置。(Appendix 5)
An evaluation apparatus according to any one of appendix 1 to appendix 4,
The evaluation device, wherein the pseudo-random number generated by the pseudo-random number generator is used as a key stream in a stream encryption method.

ところで、擬似乱数生成器の安全性は、擬似乱数生成器により生成された擬似乱数を鍵ストリームとして用いるストリーム暗号方式の安全性と対応している。従って、上記のように構成された評価装置によれば、当該ストリーム暗号方式を用いる暗号装置の安全性を評価するために要する計算負荷を低減することもできる。   By the way, the security of the pseudo random number generator corresponds to the security of the stream encryption method using the pseudo random number generated by the pseudo random number generator as a key stream. Therefore, according to the evaluation apparatus configured as described above, it is possible to reduce the calculation load required for evaluating the security of the encryption apparatus using the stream encryption method.

(付記6)
フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価する評価方法であって、
前記記憶装置に記憶されている基礎情報のうちの、1回の前記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の前記生成処理において前記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、前記擬似乱数の情報の量である擬似乱数情報量mと、前記鍵情報の量である鍵情報量Lと、を受け付け、
前記受け付けられた処理基礎情報量Uから、前記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、前記受け付けられた鍵情報量Lと、に基づいて、前記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する、評価方法。(Appendix 6)
A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. An evaluation method for evaluating the safety of a pseudo random number generator that generates a pseudo random number sequence based on key information by repeating alternately,
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process Receiving a processing basic information amount U which is an amount of information used, a pseudo random number information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information;
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudorandom information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo An evaluation method that determines whether a random number generator is safe against guess-decision attacks.

(付記7)
付記6に記載の評価方法であって、
前記判定基準量U−mが、前記鍵情報量L以上である場合、前記擬似乱数生成器が推測決定攻撃に対して安全であると判定するように構成された評価方法。(Appendix 7)
The evaluation method according to attachment 6, wherein
An evaluation method configured to determine that the pseudo-random number generator is safe against a guess decision attack when the determination reference amount U-m is equal to or greater than the key information amount L.

(付記8)
情報処理装置に、
フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価させるための評価プログラムであって、
前記情報処理装置に、
前記記憶装置に記憶されている基礎情報のうちの、1回の前記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の前記生成処理において前記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、前記擬似乱数の情報の量である擬似乱数情報量mと、前記鍵情報の量である鍵情報量Lと、を受け付け、
前記受け付けられた処理基礎情報量Uから、前記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、前記受け付けられた鍵情報量Lと、に基づいて、前記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する、処理を実行させるための評価プログラム。(Appendix 8)
In the information processing device,
A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. An evaluation program for evaluating the safety of a pseudo random number generator that generates a pseudo random number sequence based on key information by repeating alternately,
In the information processing apparatus,
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process Receiving a processing basic information amount U which is an amount of information used, a pseudo random number information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information;
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudorandom information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo An evaluation program for executing a process for determining whether or not the random number generator is safe against a guess decision attack.

(付記9)
付記8に記載の評価プログラムであって、
前記判定基準量U−mが、前記鍵情報量L以上である場合、前記擬似乱数生成器が推測決定攻撃に対して安全であると判定するように構成された評価プログラム。(Appendix 9)
An evaluation program according to attachment 8, wherein
An evaluation program configured to determine that the pseudo-random number generator is safe against a guess decision attack when the determination reference amount U-m is equal to or greater than the key information amount L.

なお、本発明は、日本国にて2012年2月15日に特許出願された特願2012−030469の特許出願に基づく優先権主張の利益を享受するものであり、当該特許出願に記載された内容は、全て本明細書に含まれるものとする。   In addition, this invention enjoys the benefit of the priority claim based on the patent application of Japanese Patent Application No. 2012-030469 for which it applied for a patent in Japan on February 15, 2012, and was described in the said patent application. The contents are all included in this specification.

本発明は、擬似乱数生成器の安全性を評価する評価装置等に適用可能である。   The present invention can be applied to an evaluation apparatus for evaluating the safety of a pseudorandom number generator.

100 評価装置
101 情報量受付部
102 判定部
103 出力部
200 擬似乱数生成器
201 フィードバックシフトレジスタ
202 第1の変換処理部
203 メモリ
204 マルチプレクサ
205 第2の変換処理部
206 バッファ
207 第3の変換処理部
500 評価装置
501 情報量受付部
502 判定部DESCRIPTION OF SYMBOLS 100 Evaluation apparatus 101 Information amount reception part 102 Determination part 103 Output part 200 Pseudorandom number generator 201 Feedback shift register 202 1st conversion process part 203 Memory 204 Multiplexer 205 2nd conversion process part 206 Buffer 207 3rd conversion process part 500 Evaluation Device 501 Information Amount Accepting Unit 502 Determination Unit

Claims (9)

フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価する評価装置であって、
前記記憶装置に記憶されている基礎情報のうちの、1回の前記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の前記生成処理において前記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、前記擬似乱数の情報の量である擬似乱数情報量mと、前記鍵情報の量である鍵情報量Lと、を受け付ける情報量受付手段と、
前記受け付けられた処理基礎情報量Uから、前記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、前記受け付けられた鍵情報量Lと、に基づいて、前記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する判定手段と、
を備える評価装置。A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. An evaluation device for evaluating the safety of a pseudo-random number generator that generates a pseudo-random number sequence based on key information by repeating alternately,
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process An information amount receiving means for receiving a processing basic information amount U which is an amount of information used, a pseudo random number information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information; ,
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudorandom information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo A determination means for determining whether the random number generator is safe against the speculative decision attack;
An evaluation apparatus comprising: 請求項1に記載の評価装置であって、
前記判定手段は、前記判定基準量U−mが、前記鍵情報量L以上である場合、前記擬似乱数生成器が推測決定攻撃に対して安全であると判定するように構成された評価装置。The evaluation device according to claim 1,
The evaluation device configured to determine that the pseudo-random number generator is safe against a guess decision attack when the determination reference amount Um is equal to or greater than the key information amount L. 請求項1又は請求項2に記載の評価装置であって、
前記記憶装置は、更に、メモリを備え、
前記基礎情報は、前記フィードバックシフトレジスタに記憶されている第1の基礎情報と、前記メモリに記憶されている第2の基礎情報と、を含み、
前記擬似乱数生成器は、前記更新処理において、前記フィードバックシフトレジスタに記憶されている第1の基礎情報が、当該第1の基礎情報のみに基づいて更新され、且つ、前記メモリに記憶されている第2の基礎情報が、当該第2の基礎情報と前記第1の基礎情報とに基づいて更新されるように構成された評価装置。The evaluation apparatus according to claim 1 or 2, wherein
The storage device further includes a memory,
The basic information includes first basic information stored in the feedback shift register and second basic information stored in the memory,
In the update process, the pseudo random number generator updates the first basic information stored in the feedback shift register based only on the first basic information, and stores the first basic information in the memory. An evaluation device configured to update second basic information based on the second basic information and the first basic information. 請求項3に記載の評価装置であって、
前記擬似乱数生成器は、前記生成処理において、前記フィードバックシフトレジスタに記憶されている第1の基礎情報と、前記メモリに記憶されている第2の基礎情報と、に基づいて前記擬似乱数を生成するように構成された評価装置。An evaluation apparatus according to claim 3, wherein
The pseudo random number generator generates the pseudo random number based on first basic information stored in the feedback shift register and second basic information stored in the memory in the generation process. An evaluation device configured to: 請求項1乃至請求項4のいずれかに記載の評価装置であって、
前記擬似乱数生成器により生成された擬似乱数は、ストリーム暗号方式における鍵ストリームとして用いられる、評価装置。An evaluation apparatus according to any one of claims 1 to 4,
The evaluation device, wherein the pseudo-random number generated by the pseudo-random number generator is used as a key stream in a stream encryption method. フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価する評価方法であって、
前記記憶装置に記憶されている基礎情報のうちの、1回の前記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の前記生成処理において前記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、前記擬似乱数の情報の量である擬似乱数情報量mと、前記鍵情報の量である鍵情報量Lと、を受け付け、
前記受け付けられた処理基礎情報量Uから、前記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、前記受け付けられた鍵情報量Lと、に基づいて、前記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する、評価方法。A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. An evaluation method for evaluating the safety of a pseudo random number generator that generates a pseudo random number sequence based on key information by repeating alternately,
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process Receiving a processing basic information amount U which is an amount of information used, a pseudo random number information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information;
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudorandom information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo An evaluation method that determines whether a random number generator is safe against guess-decision attacks. 請求項6に記載の評価方法であって、
前記判定基準量U−mが、前記鍵情報量L以上である場合、前記擬似乱数生成器が推測決定攻撃に対して安全であると判定するように構成された評価方法。The evaluation method according to claim 6, wherein
An evaluation method configured to determine that the pseudo-random number generator is safe against a guess decision attack when the determination reference amount U-m is equal to or greater than the key information amount L. 情報処理装置に、
フィードバックシフトレジスタを備える記憶装置に記憶されている基礎情報に基づいて擬似乱数を生成する生成処理と、当該記憶装置に記憶されている基礎情報に基づいて当該基礎情報を更新する更新処理と、を交互に繰り返すことにより、鍵情報に基づく疑似乱数列を生成する擬似乱数生成器の安全性を評価させるための評価プログラムであって、
前記情報処理装置に、
前記記憶装置に記憶されている基礎情報のうちの、1回の前記更新処理において当該基礎情報を更新するために用いられる情報、及び、1回の前記生成処理において前記擬似乱数を生成するために用いられる情報の量である処理基礎情報量Uと、前記擬似乱数の情報の量である擬似乱数情報量mと、前記鍵情報の量である鍵情報量Lと、を受け付け、
前記受け付けられた処理基礎情報量Uから、前記受け付けられた擬似乱数情報量mを減じた値である判定基準量U−mと、前記受け付けられた鍵情報量Lと、に基づいて、前記擬似乱数生成器が推測決定攻撃に対して安全であるか否かを判定する、処理を実行させるための評価プログラム。In the information processing device,
A generation process for generating a pseudo-random number based on basic information stored in a storage device including a feedback shift register, and an update process for updating the basic information based on basic information stored in the storage device. An evaluation program for evaluating the safety of a pseudo random number generator that generates a pseudo random number sequence based on key information by repeating alternately,
In the information processing apparatus,
Of the basic information stored in the storage device, information used for updating the basic information in one update process, and generating the pseudo-random number in one generation process Receiving a processing basic information amount U which is an amount of information used, a pseudo random number information amount m which is an amount of information of the pseudo random number, and a key information amount L which is an amount of the key information;
Based on the determination reference amount U-m, which is a value obtained by subtracting the received pseudorandom information amount m from the received processing basic information amount U, and the received key information amount L, the pseudo An evaluation program for executing a process for determining whether or not the random number generator is safe against a guess decision attack. 請求項8に記載の評価プログラムであって、
前記判定基準量U−mが、前記鍵情報量L以上である場合、前記擬似乱数生成器が推測決定攻撃に対して安全であると判定するように構成された評価プログラム。An evaluation program according to claim 8, wherein
An evaluation program configured to determine that the pseudo-random number generator is safe against a guess decision attack when the determination reference amount U-m is equal to or greater than the key information amount L.
JP2014500076A 2012-02-15 2013-01-29 Evaluation apparatus, evaluation method, and evaluation program Active JP5858503B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014500076A JP5858503B2 (en) 2012-02-15 2013-01-29 Evaluation apparatus, evaluation method, and evaluation program

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2012030469 2012-02-15
JP2012030469 2012-02-15
JP2014500076A JP5858503B2 (en) 2012-02-15 2013-01-29 Evaluation apparatus, evaluation method, and evaluation program
PCT/JP2013/000443 WO2013121710A2 (en) 2012-02-15 2013-01-29 Evaluation device, evaluation method, and evaluation programme

Publications (2)

Publication Number Publication Date
JPWO2013121710A1 true JPWO2013121710A1 (en) 2015-05-11
JP5858503B2 JP5858503B2 (en) 2016-02-10

Family

ID=48984865

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014500076A Active JP5858503B2 (en) 2012-02-15 2013-01-29 Evaluation apparatus, evaluation method, and evaluation program

Country Status (2)

Country Link
JP (1) JP5858503B2 (en)
WO (1) WO2013121710A2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09251376A (en) * 1996-03-14 1997-09-22 Nippon Telegr & Teleph Corp <Ntt> Safety evaluation device for pseudo random number generator for password/verification
WO2006100801A1 (en) * 2005-03-23 2006-09-28 Kddi Corporation Key stream encryption device, method, and program
JP2006285830A (en) * 2005-04-04 2006-10-19 National Institute Of Information & Communication Technology Intensity evaluation device for pseudo-random number generator and coder

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09251376A (en) * 1996-03-14 1997-09-22 Nippon Telegr & Teleph Corp <Ntt> Safety evaluation device for pseudo random number generator for password/verification
WO2006100801A1 (en) * 2005-03-23 2006-09-28 Kddi Corporation Key stream encryption device, method, and program
JP2006285830A (en) * 2005-04-04 2006-10-19 National Institute Of Information & Communication Technology Intensity evaluation device for pseudo-random number generator and coder

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015036882; 丹羽 朗人、栃窪 孝也: '"擬似乱数検証ツールの開発"' コンピュータセキュリティシンポジウム2003 第2003巻、第15号, 20031029, p.629-634, 社団法人情報処理学会 *

Also Published As

Publication number Publication date
JP5858503B2 (en) 2016-02-10
WO2013121710A2 (en) 2013-08-22

Similar Documents

Publication Publication Date Title
JP3696209B2 (en) Seed generation circuit, random number generation circuit, semiconductor integrated circuit, IC card and information terminal device
CN112152777B (en) Homomorphic cryptographic operation-oriented key conversion method, system, equipment and readable storage medium
KR20100127789A (en) Digital random number generator based on digitally-controlled oscillators
JP5929905B2 (en) Order-preserving encryption system, apparatus, method, and program
WO2006098015A1 (en) Data converting apparatus and data converting method
JPH1153173A (en) Method and device for generating pseudo-random number
CN115051798A (en) Random number generation method and device, electronic equipment and storage medium
CN111008407A (en) Encryption circuit for performing virtual encryption operations
JP2015177329A (en) information processing apparatus, information processing method and computer program
WO2019043921A1 (en) Encryption device, decryption device, encryption method, decryption method, encryption program, and decryption program
JP2002229445A (en) Modulator exponent device
JP5858503B2 (en) Evaluation apparatus, evaluation method, and evaluation program
JP5427117B2 (en) Message authenticator generation device, message authenticator verification device, message authenticator generation method, message authenticator verification method, and program
Sadkhan et al. Simulink based implementation of developed A5/1 stream cipher cryptosystems
JP6194136B2 (en) Pseudorandom number generation device and pseudorandom number generation program
CN115632782B (en) Random number generation method, system and equipment based on SM4 counter mode
KR20200087708A (en) Verifiable computing for approximate computation
JP3803664B2 (en) Random number generation circuit, semiconductor integrated circuit, IC card and information terminal device
CN114448613B (en) Physical layer key generation method and device of communication system and electronic equipment
JP4857230B2 (en) Pseudorandom number generator and encryption processing device using the same
JP2018092010A (en) Encryption device and encryption method, encryption program, key generation device, key generation method, and key generation program
JP2011119985A (en) Encryption and decryption method
JP5916246B2 (en) Cryptographic evaluation apparatus, cryptographic evaluation method, and cryptographic evaluation program
CN116055039B (en) Random number generation method and device based on block cipher algorithm
JP2013037290A (en) Information processing system, information processing method, and program

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151023

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151210

R150 Certificate of patent or registration of utility model

Ref document number: 5858503

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150