KR20060003328A - 향상된 ｃｆｍ 모드 시스템 - Google Patents

Abstract

블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 방법으로서, 그 방법은, n(n은 0보다 큰 정수)개의 평문 블록을 수신하는 단계;

를 초기값과 동일하게 설정하는 단계; 및 n개의 평문 블록의 각각의 평문 블록에 대하여,

를 계산하고

를 계산함으로써 n개의 암호문 블록을 생성하는 단계를 포함하는데, 여기서, 0 < i ≤ n이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수이다. 관련 장치 및 방법도 제공된다.

암호화, 복호화, 평문, 암호문, 해시, 비트, 클리어

Description

향상된 ＣＦＭ 모드 시스템{IMPROVED CFM MODE SYSTEM}

본 발명은 일반적으로는 블록 사이퍼 시스템에 관한 것이고, 구체적으로는 CFM 모드에서의 블록 사이퍼 시스템에 관한 것이다.

블록 사이퍼는, 사이퍼 피드백 모드(CFM)에서의 블록 사이퍼의 사용처럼, 당업계에 주지되어 있고, 사이퍼 피드 백(CFB)로도 알려져 있다. 원래, CFM 모드는 주지의 DES 시스템의 동작의 모드로 정의되어 있다; 예를 들어, 아래의 레퍼런스를 참고하라:

1. NIST, FIPS Publication 81: DES Modes of Operation, 1980, 인터넷 사이트 csrc.nist.gov/publications/fips/fips81/fips81.htm에서 입수할 수 있다.

2. ANSI, American National Standard X3.106-1983(R1966): Data Encryption Algorithm, Modes of Operations for the, 1983.

인터넷 사이트 www.rsasecurity.com/rsalabs/faq/2-1-4-4.html에서 CFM 모드의 간단한 설명을 구할 수 있다.

상기 및 본 명세서를 통하여 언급된 모든 레퍼런스의 개시는 여기에 참고문헌으로 편입되어 있다.

본 발명은 향상된 블록 사이퍼 시스템을 제공하려는 것으로서, 특별히 하드웨어-기반 암호화 및 복호화에만 유용한 것은 아니며, 특히 디지털 콘텐트의 암호화 및 복호화에 유용하다.

일반적으로, 디지털 콘텐트를 암호화 및 복호화하는 디바이스는 데이터의 암호화 및 복호화 모두를 수행하여야 한다. 바람직하게는, 하드웨어 설계를 간소화하고 하드웨어 게이트 카운트를 최소화하기 위해, 본 발명의 발명자는 아래의 요구사항이 충족되어야 하는 것이 바람직하다고 믿고 있다:

1. 바람직하게는, 하드웨어에서 암호화 엔진은 블록 사이퍼의 한 방향에 대해서만 제공되어야 한다.

2. 암호화될/복호화될 데이터(이하 "데이터"라 함)는 복수의 패킷으로 이루어져 있다. 패킷의 암호화/복호화는 이전의 어떠한 패킷 또는 패킷들과도 관련되어서는 안된다. 다시 말하면, 복호화시 하나의 패킷으로부터 다른 하나로의 어떠한 "체인잉"도 금지된다. "체인잉"을 금지하는 전형적인 이유는, 복호화될 물리적 스트림은 전형적으로 다중 논리적 스트림으로부터 멀티플렉싱되고, 그래서, 임의의 "체인잉" 정보는 각각의 논리적 스트림에 대해 독립적으로 저장 및 관리되어야 하기 때문이다; 그러한 "중압적인" 요구사항은 회피되어야 함을 당업자는 알고 있을 것이다.

3. 암호화/복호화 키는 패킷들이 도달하는 것보다 덜 자주 변경된다; 따라서, 많은 패킷들은 동일한 키로 암호화된다.

4. 패킷 암호화 및 복호화는 하나의 패스에서 수행되어야 한다.

5. 패킷의 특정 비트는 암호화 및 복호화에 의해 영향받지 않아야 한다. 즉, 특정 비트는 클리어 상태로 머물러야 한다; 클리어 상태에 머물러야 하는 비트, 바이트 또는 데이터는 "머스트 스테이 클리어(Must Stay Clear)" 또는 "MSC" 비트, 바이트 또는 데이터라 표현되기도 한다. 특정 비트가 암호화 및 복호화에 의해 영향받지 않을 것을 요구하는 이유는 스트림에 대한 어떤 정보가 복호화 이전이라도 클리어 상태로 이용될 수 있게 하기 위해서이다. 예를 들어, 앞서 말한 일반성을 제한하는 것은 아니지만, MPEG-2 트랜스포트 스트림에 있어서는 각각의 패킷 중 처음의 4개의 바이트들이 클리어 상태에 머물러 있는데; 처음의 4개의 바이트들은 디멀티플렉싱에 필요한 정보; 패킷이 암호화되어 있는지에 관한 정보; 패킷이 암호화되어 있다면, 패킷이 짝수 키로 암호화되어 있는지 홀수 키로 암호화되어 있는지에 관한 정보; 및 당업계에 주지되어 있는 바와 같은 다른 정보;를 제공한다. 어떤 패킷에 있어서는, 헤더는 패킷의 첫 부분이 리시버에 필요한 특정 다른 정보를 제공하는 "적응 필드"임을 나타낸다; 그러한 정보도 항상 클리어 상태로 머물러야 한다. 옵션으로서, 브로드캐스터는 예를 들어 퍼스널 비디오 레코더(PVR) 시스템에서의 서치를 더 용이하게 하기 위해 비디오 정보의 부분까지도 클리어 상태로 송신하도록 선택할 수 있다.

종래기술의 암호화 시스템은 상기 요구사항을 부분적으로만 다루고 있다; 특히, 요구사항 1은 다루고 있지 않다.

이제 도 1A 및 도 1B를 참조하면, CFM 모드에서 동작하는 종래기술의 브록 사이퍼 시스템의 간소화된 블록 다이어그램이 예시되어 있다. 도 1A는 암호화를 예시하고 있는 한편, 도 1B는 복호화를 예시하고 있다. 당업자는, 요구사항 4 없이, CFM 모드에서 임의의 적절한 블록 사이퍼를 사용하는 것이 가능함을 알고 있을 것이다.

여기서, 0 < i ≤ 프로세싱되고 있는 블록의 수.

가, 각각, 평문 및 암호문의 i번째 블록인 경우에, E는 임의의 적절한 블록 모드 사이퍼이고, K는 키이고, IV는 초기값인데, 옵션으로서, 공개적으로 알려진 초기값으로 이루어질 수도 있다.

대응하는 복호화 방법은:

여기서, 0 < i ≤ 프로세싱되고 있는 블록의 수.

당업계에 주지되어 있는 바와 같이, CFM 모드는, 블록 사이퍼가 스트림 사이퍼인 것처럼 사용되도록 함으로써, 블록 대 블록 기반으로보다는 바이트 대 바이트 기반 또는 나아가 비트 대 비트 기반으로 프로세싱이 일어날 수 있게 하려는 것이다.

본 발명은, 그 바람직한 실시예에 있어서, 상기 요구사항을 더 잘 다루도록 의도된 향상된 블록 사이퍼 시스템을 제공한다.

따라서, 본 발명에 의하면, 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 방법이 제공되는데, 그 방법은, n(n은 0보다 큰 정수)개의 평문 블록을 수신하는 단계,

를 초기값과 동일하게 설정하는 단계, 및, n개의 평문 블록의 각각의 평문 블록에 대하여,

를 계산하고

를 계산함으로써 n개의 암호문 블록을 생성하는 단계를 포함하는데, 여기서, 0 < i ≤ n이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수이다.

나아가, 본 발명의 바람직한 실시예에 의하면, M은 암호화되지 않아야 하는 비트를 나타내는 표준에 따라 선택된다.

더 나아가, 본 발명의 바람직한 실시예에 의하면, 표준은 이하의 오디오 표준, 비디오 표준 및 오디오-비디오 표준 중 하나를 포함한다.

또한, 본 발명의 바람직한 실시예에 의하면, 표준은 MPEG-2를 포함한다.

또한, 본 발명의 다른 바람직한 실시예에 의하면, 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 방법이 제공되는데, 그 방법은, n(n은 0보다 큰 정수)개의 평문 블록 및 초기값(IV)을 수신하는 단계,

를 계산하고

를 계산하는 단계, 및, n개의 평문 블록의 각각의 평문 블록에 대하여,

를 계산하고

를 계산함으로써 n개의 암호문 블록을 생성하는 단계를 포함하는데, 여기서, 0 < i ≤ n이고, H는 해시 함수이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수이다.

나아가, 본 발명의 바람직한 실시예에 의하면, H는 SHA1을 포함한다.

더 나아가, 본 발명의 바람직한 실시예에 의하면,

는

를 포함한다.

또한, 본 발명의 바람직한 실시예에 의하면, M은 암호화되지 않아야 하는 비트를 나타내는 표준에 따라 선택된다.

또한, 본 발명의 바람직한 실시예에 의하면, 표준은 이하의 오디오 표준, 비디오 표준 및 오디오-비디오 표준 중 하나를 포함한다.

또한, 본 발명의 바람직한 실시예에 의하면, 표준은 MPEG-2를 포함한다.

또한, 본 발명의 다른 바람직한 실시예에 의하면, 스트림 모드에서 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 방법에 있어서,

는 i번째 평문 블록을 나타내고,

는 i번째 암호문 블록을 나타내는 경우에, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되지 않아야 하는 것이면

를 출력으로 선택하는 단계를 포함하는 개선점이 제공된다.

나아가, 본 발명의 바람직한 실시예에 의하면, 스트림 모드는 CFM 모드를 포함한다.

또한, 본 발명의 다른 바람직한 실시예에 의하면, 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 장치가 제공되는데, 적어도 하나의 평문 블록은 n(n은 0보다 큰 정수)개의 평문 블록을 포함하고, 적어도 하나의 암호문 블록은 n개의 암호문 블록을 포함하고, 그 장치는,

를 초기값과 동일하게 설정하는 초기화 유닛, 및, n개의 평문 블록의 각각의 평문 블록에 대하여,

를 계산하고

를 계산하도록 동작하는 계산 유닛을 포함하는데, 여기서, 0 < i ≤ n이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수이다.

또한, 본 발명의 다른 바람직한 실시예에 의하면, 블록 사이퍼(E), 키(K), 및 초기값(IV)을 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 장치가 제공되는데, 적어도 하나의 평문 블록은 n(n은 0보다 큰 정수)개의 평문 블록을 포함하고, 적어도 하나의 암호문 블록은 n개의 암호문 블록을 포함하고, 그 장치는,

를 계산하는 제1 계산 유닛,

를 계산하는 제2 계산 유닛, 및, n개의 평문 블록의 각각의 평문 블록에 대하여,

를 계산하고

를 계산하도록 동작하는 제3 계산 유닛을 포함하는데, 여기서, 0 < i ≤ n이고, H는 해시 함수이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수이다.

또한, 본 발명의 또다른 바람직한 실시예에 의하면, 스트림 모드에서 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 장치에 있어서,

는 i번째 평문 블록을 나타내고,

는 i번째 암호문 블록을 나타내는 경우에, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되지 않아야 하는 것이면

를 출력으로 선택하도록 동작하는 선택기 유닛을 포함하는 개선점이 제공된다.

또한, 본 발명의 또다른 바람직한 실시예에 의하면, 블록 사이퍼(E) 및 키(K)를 사용하여 암호화된 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 방법이 제공되는데, 그 방법은, n(n은 0보다 큰 정수)개의 암호문 블록을 수신하는 단계,

를 초기값과 동일하게 설정하는 단계, 및, n개의 암호문 블록의 각각의 암호문 블록에 대하여,

를 계산하고

를 계산하고

를 계산함으로써 n개의 평문 블록을 생성하는 단계를 포함하는데, 여기서, 0 < i ≤ n이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되어 있지 않으면 M의 첫번째 인수를 선택하고 비트

가 암호화되어 있으면 M의 두번째 인수를 선택하는 선택기 함수이다.

나아가, 본 발명의 바람직한 실시예에 의하면, M은 암호화되어 있지 않은 비트를 나타내는 표준에 따라 선택된다.

더 나아가, 본 발명의 바람직한 실시예에 의하면, 표준은 이하의 오디오 표준, 비디오 표준 및 오디오-비디오 표준 중 하나를 포함한다.

또한, 본 발명의 바람직한 실시예에 의하면, 표준은 MPEG-2를 포함한다.

또한, 본 발명의 다른 바람직한 실시예에 의하면, 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 방법이 제공되는데, 그 방법은, n(n은 0보다 큰 정수)개의 암호문 블록 및 초기값(IV)을 수신하는 단계,

를 계산하고,

를 계산하고, n개의 암호문 블록의 각각의 암호문 블록에 대하여,

를 계산하고

를 계산하고,

를 계산함으로써 n개의 평문 블록을 생성하는 단계를 포함하는데, 여기서, 0 < i ≤ n이고, H는 해시 함수이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되어 있지 않으면 M의 첫번째 인수를 선택하고 비트

가 암호화되어 있으면 M의 두번째 인수를 선택하는 선택기 함수이다.

나아가, 본 발명의 바람직한 실시예에 의하면, H는 SHA1을 포함한다.

더 나아가, 본 발명의 바람직한 실시예에 의하면,

는

를 포함한다.

또한, 본 발명의 바람직한 실시예에 의하면, M은 암호화되어 있지 않은 비트를 나타내는 표준에 따라 선택된다.

또한, 본 발명의 바람직한 실시예에 의하면, 표준은 이하의 오디오 표준, 비디오 표준 및 오디오-비디오 표준 중 하나를 포함한다.

또한, 본 발명의 바람직한 실시예에 의하면, 표준은 MPEG-2를 포함한다.

또한, 본 발명의 다른 바람직한 실시예에 의하면, 스트림 모드에서 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 방법에 있어서,

는 복수의 평문 블록의 i번째 평문 블록을 나타내고,

는 복수의 암호문 블록의 i번째 암호문 블록을 나타내는 경우에, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되어 있지 않으면,

를 출력으로 선택하는 단계를 포함하는 개선점이 제공된다.

나아가, 본 발명의 바람직한 실시예에 의하면, 스트림 모드는 CFM 모드를 포함한다.

또한, 본 발명의 다른 바람직한 실시예에 의하면, 블록 사이퍼(E) 및 키(K)를 사용하여 암호화된 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 장치가 제공되는데, 적어도 하나의 암호문 블록은 n(n은 0보다 큰 정수)개의 암호문 블록을 포함하고, 적어도 하나의 평문 블록은 n개의 평문 블록을 포함하고, 그 장치는,

를 초기값과 동일하게 설정하는 초기화 유닛, 및, n개의 암호문 블록의 각각의 암호문 블록에 대하여,

를 계산하고

를 계산하고,

를 계산하도록 동작하는 계산 유닛을 포함하는데, 여기서, 0 < i ≤ n이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되어 있지 않으면 M의 첫번째 인수를 선택하고 비트

가 암호화되어 있으면 M의 두번째 인수를 선택하는 선택기 함수이다.

또한, 본 발명의 다른 바람직한 실시예에 의하면, 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 장치가 제공되는데, 적어도 하나의 암호문 블록은 n(n은 0보다 큰 정수)개의 암호문 블록을 포함하고, 적어도 하나의 평문 블록은 n개의 평문 블록을 포함하고, 그 장치는,

를 계산하는 제1 계산 유닛,

를 계산하는 제2 계산 유닛, 및, n개의 암호문 블록의 각각의 암호문 블록에 대하여,

를 계산하고

를 계산하고

를 계산하도록 동작하는 제3 계산 유닛을 포함하는데, 여기서, 0 < i ≤ n이고, H는 해시 함수이고,

는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고, M은, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되어 있지 않으면 M의 첫번째 인수를 선택하고 비트

가 암호화되어 있으면 M의 두번째 인수를 선택하는 선택기 함수이다.

또한, 본 발명의 또다른 바람직한 실시예에 의하면, 스트림 모드에서 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 장치에 있어서,

는 복수의 평문 블록의 i번째 평문 블록을 나타내고,

는 복수의 암호문 블록의 i번째 암호문 블록을 나타내는 경우에, 블록

의 각각의 비트

에 대하여, 비트

가 암호화되어 있지 않으면

를 출력으로 선택하도록 동작하는 선택기 유닛을 포함하는 개선점이 제공된다.

본 발명은 첨부 도면을 참조하여 이하의 상세한 설명으로부터 더 완전하게 이해되고 인식될 것이다.

도 1A 및 도 1B는 CFM 모드에서 동작하는 종래기술의 블록 사이퍼 시스템의 간소화된 블록 다이어그램 예시도;

도 2A 및 도 2B는 본 발명의 제1 바람직한 실시예에 따라 구축되어 동작하는 블록 사이퍼 시스템의 간소화된 블록 다이어그램 예시도; 및

도 3A 및 도 3B는 본 발명의 제2 바람직한 실시예에 따라 구축되어 동작하는 블록 사이퍼 시스템의 간소화된 블록 다이어그램 예시도.

바람직한 실시예의 상세한 설명

본 발명의 제1 바람직한 실시예에 의하면, 일반적으로 CFM에 기반한 블록 사이퍼 시스템으로서, 상기 요구사항 4를 충족시키도록 변형된 것이 제공된다. 바람직하게는, 그 변형은 다음과 같다:

여기서, 0 ＜ i ≤ 프로세싱되고 있는 블록의 수.

블록

의 각각의 비트

에 대하여, M은 평문의 현재 비트가 암호화되 어야 하는지 아닌지에 의존하여 그 첫번째 인수(이 경우에서는

)와 그 두번째 인수(이 경우에서는

) 중 선택한다. 비트

에 대하여, 함수(M; 여기서는 "선택기 함수"라 하고 당업계에서는 멀티플렉서라 알려져 있기도 함)의 결과는 평문의 모든 선행하는 블록에, 그리고 암호화되어 있지 않은 현재 블록

에서의 평문의 그 선행하는 비트에 의존할 수 있다.

도 2A, 2B, 3A 및 3B를 참조하여 이하 더 상세하게 설명되는 바와 같이 M은 어느 비트가 암호화되어야 하는지 또는 암호화되지 않아야 하는지를 특정하는 동작상의 요구사항에 기초하여 선택된다.

대응하는 기술법은 다음과 같다:

여기서, 0 ＜ i ≤ 프로세싱되고 있는 블록의 수.

당업자는 제1 바람직한 실시예가 블록 사이퍼의 통상적인 사용에 비해 다음과 같은 취약점을 갖는다는 것을 알고 있을 것이다. 동일한 키(K)로 암호화된 모 든 패킷에 대하여, 첫번째 블록

은 동일한 패드

로 XOR에 의해 암호화될 것인데, 그 방법은 안전하지 않다. 더 일반적으로, 수개의 패킷이 존재하고 그 패킷의 처음의 n개의 블록이 동일하고 (n+1)번째의 블록이 다른 경우에, 그들 패킷의 XOR 패드는 (n+1)번째 블록까지는 동일하고 (n+2)번째 블록으로부터 이후로는 다를 것이다.

그럼에도 불구하고, 권한없는 자가 콘텐트의 적은 부분을 복호화하는 것을 더 용이하게 하는 것이 위험하지 않고 비디오- 및 오디오- 스트림에서처럼 패킷 사이에 많은 가변성이 존재하는 상황에서는, 상기 취약점은 허용될 수 있을 것이다.

이제, 상기 일반성을 제한하는 것은 아니지만, (ISO/IEC 13818-1, Information technology-Generic coding of moving pictures and associated audio information: Systems에 설명된) MPEG-2에서와 같은 MPEG 트랜스포트 스트림의 특정 경우가 고려될 것이다. MPEG-2는 단지 예로서 제공되는 것이지 제한의 의미가 아님을 당업자는 알고 있을 것이다.

이제 도 2A 및 도 2B를 참조하면, 본 발명의 제1 바람직한 실시예에 따라 구축되어 동작하는 블록 사이퍼 시스템의 간소화된 블록 다이어그램이 예시되어 있다. 도 2A 및 도 2B는 MPEG-2 시스템에서 사용된 본 발명의 제1 바람직한 실시예의 특정 경우를 예시하고 있다. 도 2A는 암호화를 예시하고 있는 한편, 도 2B는 복호화를 예시하고 있다. 도 2A 및 도 2B는 상기 및 이하의 논의를 참조하여 자명하다.

MPEG-2에 있어서, 각각의 트랜스포트 패킷은 188 바이트로 이루어져 있다. 처음의 4개의 바이트(바이트 0-3)는 패킷 헤더를 포함하고 있다. 처음의 4개의 바이트는 항상 클리어 상태에 머물러야 하는 MSC 바이트이다; 즉, 처음의 4개의 바이트는 암호화되어서는 안된다. MPEG-2 업계에 주지되어 있는 바와 같이, 그들 바이트에서의 비트 중 하나에 의존하여, 클리어 상태에 머물러야 하는(MSC) 헤더 직후에 부가적인 적응 필드가 존재할 수 있다; 그러한 경우에 있어서, 바이트 4는 적응 필드의 길이를 담고 있다. 패킷의 나머지 부분은 암호화/복호화되어야 한다.

예를 들어 주지된 종래기술의 AES(FIPS Publication 197, November 26, 2001, Announcing the Advanced Encryption Standard(AES)에 설명되어 있고 인터넷 사이트 csrc.nist.gov/publications/fips/fips197/fips-197.pdf에서 입수할 수 있음)가 (16-바이트 블록에 대하여) 블록 사이퍼로서 사용된다면, 각각의 패킷은 4개의 처음의 바이트 이전에 (옵션으로서, 공개적으로 알려져 있을 수도 있는) 4-바이트 IV로 패딩될 수 있다; 이러한 4-바이트 IV는 16-바이트 IV

에 부가되어 있다.

암호화 후에,

의 4개의 처음의 바이트는 폐기될 것이다; 따라서, 처음의 4개의 바이트가 암호화되어야 하는지는 문제가 아니다.

본 발명의 제1 바람직한 실시예보다 공격에 더 강하다고 발명자가 생각하고 있는 본 발명의 제2 바람직한 실시예에 의하면,

의 클리어 부분은 초기값으로 믹싱된다. 상기 일반성을 제한하는 것은 아니지만, 예로서, 다음과 같은 방법이 사용될 수 있다:

여기서, 0 ＜ i ≤ 프로세싱되고 있는 블록의 수.

본 발명은 아래의 식의 사용에 국한되는 것은 아니라고 인식된다.

그보다는,

의 임의의 적절한 해시 함수가 사용될 수 있다. 일반적으로, 적절한 해시 함수(H)에 대하여:

예를 들어, 상기 일반성을 제한하는 것은 아니지만, 주지의 SHA1 해시 함수가 사용될 수 있다. SHA1 해시 함수는, 예를 들어, 이하의 2개의 간행물에 설명되어 있다.

FIPS PUB 180-1, "Secure Hash Standard"라는 제목으로 1995년 4월 17일 발 행되었고, 인터넷상의 www.itl.nist.gov/fipspubs/fip180-1.htm에서 입수할 수 있다;

RFC 3174, "US Secure Hash Algorithm 1 (SHA1)"이라는 제목으로 2001년 9월 발행되었고, 인터넷상의 www.ietf.org/rfc/rfc3174.txt?number=3174에서 입수할 수 있다.

대응하는 기술법은:

여기서, 0 ＜ i ≤ 프로세싱되고 있는 블록의 수.

본 발명의 제2 바람직한 실시예에 있어서, 첫번째 블록의 다른 첫 클리어 부분을 갖는 임의의 2개의 패킷은 완전하게 다른 XOR 패드를 가질 것이라는 것을 당업자는 잘 알 것이다. 따라서, 동일한 XOR 패드를 갖는 패킷의 수는, 첫번째 블록만에 대해서조차도, 감소하여서, 본 발명의 제1 바람직한 실시예를 참조하여 상기된 취약점을 사용하는 것을 더 어렵게 만들 것이다.

상기 일반성을 제한하는 것은 아니지만, 상기한 바와 같이, MPEG-2의 특정 경우가 본 발명의 제2 바람직한 실시예와 연관하여 고려될 것이다. MPEG-2는 단지 예로서 제공되는 것이지 제한의 의미가 아님을 당업자는 알고 있을 것이다.

이제 도 3A 및 도 3B를 참조하면, 본 발명의 제2 바람직한 실시예에 따라 구축되어 동작하는 블록 사이퍼 시스템의 간소화된 블록 다이어그램이 예시되어 있다. 도 3A 및 도 3B는 MPEG-2 시스템에서 사용된 본 발명의 제2 바람직한 실시예의 특정 경우를 예시하고 있다. 도 3A는 암호화를 예시하고 있는 한편, 도 3B는 복호화를 예시하고 있다. 도 3A 및 도 3B는 상기 및 이하의 논의를 참조하여 자명하다.

도 3A 및 도 3B에 있어서, 함수(F)로서는 XOR 함수의 특정 예가 묘사되어 있지만, 상기한 바와 같이, 본 발명은 XOR 함수의 사용에 국한되는 것은 아님을 알 것이다.

도 2A 및 도 2B를 참조하여 MPEG-2의 특정 경우에 대해 상기 논의한 것은 도 3A 및 도 3B에도 적용된다.

명료화를 위해 별개의 실시예의 상황으로 설명된 본 발명의 다양한 특징은 하나의 실시예로 결합되어 제공될 수도 있음을 알 것이다. 반대로, 간결함을 위해 하나의 실시예의 상황으로 설명된 본 발명의 다양한 특징은 별개로 또는 임의의 적합한 하위 발명들로 제공될 수도 있다.

본 발명이 특정되어 도시되고 상기된 것에 의해 국한되는 것은 아님을 당업자는 알고 있을 것이다. 오히려, 본 발명의 범위는 이하의 청구범위에 의해서만 정해진다.

Claims (30)

1. 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 방법으로서, 그 방법은,

   n(n은 0보다 큰 정수)개의 평문 블록을 수신하는 단계;

   

   를 초기값과 동일하게 설정하는 단계; 및

   n개의 평문 블록의 각각의 평문 블록에 대하여,

   

   를 계산하고

   

   를 계산함으로써 n개의 암호문 블록을 생성하는 단계를 포함하고,

   여기서, 0 < i ≤ n이고,

   

   는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

   

   는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고,

   M은, 블록

   

   의 각각의 비트

   

   에 대하여, 비트

   

   가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

   

   가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수인 것을 특징으로 하는 방법.
2. 제1항에 있어서, M은 암호화되지 않아야 하는 비트를 나타내는 표준에 따라 선택되는 것을 특징으로 하는 방법.
3. 제2항에 있어서, 표준은 오디오 표준, 비디오 표준 및 오디오-비디오 표준 중 하나를 포함하는 것을 특징으로 하는 방법.
4. 제3항에 있어서, 표준은 MPEG-2를 포함하는 것을 특징으로 하는 방법.
5. 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 방법으로서, 그 방법은,

   n(n은 0보다 큰 정수)개의 평문 블록 및 초기값(IV)을 수신하는 단계;

   

   를 계산하는 단계;

   

   를 계산하는 단계; 및

   n개의 평문 블록의 각각의 평문 블록에 대하여,

   

   를 계산하고

   

   를 계산함으로써 n개의 암호문 블록을 생성하는 단계를 포함하고,

   여기서, 0 < i ≤ n이고,

   H는 해시 함수이고,

   

   는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

   

   는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고,

   M은, 블록

   

   의 각각의 비트

   

   에 대하여, 비트

   

   가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

   

   가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수인 것을 특징으로 하는 방법.
6. 제5항에 있어서, H는 SHA1을 포함하는 것을 특징으로 하는 방법.
7. 제5항에 있어서,

   

   는

   

   를 포함하는 것을 특징으로 하는 방법.
8. 제5항 내지 제7항 중 어느 한 항에 있어서, M은 암호화되지 않아야 하는 비트를 나타내는 표준에 따라 선택되는 것을 특징으로 하는 방법.
9. 제8항에 있어서, 표준은 오디오 표준, 비디오 표준 및 오디오-비디오 표준 중 하나를 포함하는 것을 특징으로 하는 방법.
10. 제9항에 있어서, 표준은 MPEG-2를 포함하는 것을 특징으로 하는 방법.
11. 스트림 모드에서 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 방법에 있어서,

    

    는 i번째 평문 블록을 나타내고,

    

    는 i번째 암호문 블록을 나타내고,

    블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되지 않아야 하는 것이면

    

    를 출력으로 선택하는 단계를 포함하는 것을 특징으로 하는 방법.
12. 제11항에 있어서, 스트림 모드는 CFM 모드를 포함하는 것을 특징으로 하는 방법.
13. 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 장치로서, 적어도 하나의 평문 블록은 n(n은 0보다 큰 정수)개의 평문 블록을 포함하고, 적어도 하나의 암호문 블록은 n개의 암호문 블록을 포함하고, 그 장치는,

    

    를 초기값과 동일하게 설정하는 초기화 유닛; 및

    n개의 평문 블록의 각각의 평문 블록에 대하여,

    

    를 계산하고

    

    를 계산하도 록 동작하는 계산 유닛을 포함하고,

    여기서, 0 < i ≤ n이고,

    

    는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

    

    는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고,

    M은, 블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

    

    가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수인 것을 특징으로 하는 장치.
14. 블록 사이퍼(E), 키(K), 및 초기값(IV)을 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 장치로서, 적어도 하나의 평문 블록은 n(n은 0보다 큰 정수)개의 평문 블록을 포함하고, 적어도 하나의 암호문 블록은 n개의 암호문 블록을 포함하고, 그 장치는,

    

    를 계산하는 제1 계산 유닛;

    

    를 계산하는 제2 계산 유닛; 및

    n개의 평문 블록의 각각의 평문 블록에 대하여,

    

    를 계산하고

    

    를 계산하도 록 동작하는 제3 계산 유닛을 포함하고,

    여기서, 0 < i ≤ n이고,

    H는 해시 함수이고,

    

    는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

    

    는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고,

    M은, 블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되지 않아야 하는 것이면 M의 첫번째 인수를 선택하고 비트

    

    가 암호화되어야 하는 것이면 M의 두번째 인수를 선택하는 선택기 함수인 것을 특징으로 하는 장치.
15. 스트림 모드에서 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 평문 블록으로부터 적어도 하나의 암호문 블록을 생성하는 장치에 있어서,

    

    는 i번째 평문 블록을 나타내고,

    

    는 i번째 암호문 블록을 나타내고,

    블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되지 않아야 하는 것이면

    

    를 출력으로 선택하도록 동작하는 선택기 유닛을 포함하는 것을 특징으로 하는 장치.
16. 블록 사이퍼(E) 및 키(K)를 사용하여 암호화된 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 방법으로서, 그 방법은,

    n(n은 0보다 큰 정수)개의 암호문 블록을 수신하는 단계;

    

    를 초기값과 동일하게 설정하는 단계; 및

    n개의 암호문 블록의 각각의 암호문 블록에 대하여,

    

    를 계산하고

    

    를 계산하고

    

    를 계산함으로써 n개의 평문 블록을 생성하는 단계를 포함하고,

    여기서, 0 < i ≤ n이고,

    

    는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

    

    는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고,

    M은, 블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되어 있지 않으면 M의 첫번째 인수를 선택하고 비트

    

    가 암호화되어 있으면 M의 두번째 인수를 선택하는 선택기 함수인 것을 특징으로 하는 방법.
17. 제16항에 있어서, M은 암호화되어 있지 않은 비트를 나타내는 표준에 따라 선택되는 것을 특징으로 하는 방법.
18. 제17항에 있어서, 표준은 오디오 표준, 비디오 표준 및 오디오-비디오 표준 중 하나를 포함하는 것을 특징으로 하는 방법.
19. 제18항에 있어서, 표준은 MPEG-2를 포함하는 것을 특징으로 하는 방법.
20. 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 방법으로서, 그 방법은,

    n(n은 0보다 큰 정수)개의 암호문 블록 및 초기값(IV)을 수신하는 단계;

    

    를 계산하는 단계;

    

    를 계산하는 단계; 및

    n개의 암호문 블록의 각각의 암호문 블록에 대하여,

    

    를 계산하고

    

    를 계산하고,

    

    를 계산함으로써 n개의 평문 블록을 생성하는 단계를 포함하고,

    여기서, 0 < i ≤ n이고,

    H는 해시 함수이고,

    

    는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

    

    는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고,

    M은, 블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되어 있지 않으면 M의 첫번째 인수를 선택하고 비트

    

    가 암호화되어 있으면 M의 두번째 인수를 선택하는 선택기 함수인 것을 특징으로 하는 방법.
21. 제20항에 있어서, H는 SHA1을 포함하는 것을 특징으로 하는 방법.
22. 제20항에 있어서,

    

    는

    

    를 포함하는 것을 특징으로 하는 방법.
23. 제20항 내지 제22항 중 어느 한 항에 있어서, M은 암호화되어 있지 않은 비트를 나타내는 표준에 따라 선택되는 것을 특징으로 하는 방법.
24. 제23항에 있어서, 표준은 오디오 표준, 비디오 표준 및 오디오-비디오 표준 중 하나를 포함하는 것을 특징으로 하는 방법.
25. 제24항에 있어서, 표준은 MPEG-2를 포함하는 것을 특징으로 하는 방법.
26. 스트림 모드에서 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 방법에 있어서,

    

    는 복수의 평문 블록의 i번째 평문 블록을 나타내고,

    

    는 복수의 암호문 블록의 i번째 암호문 블록을 나타내고,

    블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되어 있지 않으면,

    

    를 출력으로 선택하는 단계를 포함하는 것을 특징으로 하는 방법.
27. 제26항에 있어서, 스트림 모드는 CFM 모드를 포함하는 것을 특징으로 하는 방법.
28. 블록 사이퍼(E) 및 키(K)를 사용하여 암호화된 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 장치로서, 적어도 하나의 암호문 블록은 n(n은 0보다 큰 정수)개의 암호문 블록을 포함하고, 적어도 하나의 평문 블록은 n개의 평문 블록을 포함하고, 그 장치는,

    

    를 초기값과 동일하게 설정하는 초기화 유닛; 및

    n개의 암호문 블록의 각각의 암호문 블록에 대하여,

    

    를 계산하고

    

    를 계산하고,

    

    를 계산하도록 동작하는 계산 유닛을 포함하고,

    여기서, 0 < i ≤ n이고,

    

    는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

    

    는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고,

    M은, 블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되어 있지 않으면 M의 첫번째 인수를 선택하고 비트

    

    가 암호화되어 있으면 M의 두번째 인수를 선택하는 선택기 함수인 것을 특징으로 하는 장치.
29. 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 장치로서, 적어도 하나의 암호문 블록은 n(n은 0보다 큰 정수)개의 암호문 블록을 포함하고, 적어도 하나의 평문 블록은 n개의 평문 블록을 포함하고, 그 장치는,

    

    를 계산하는 제1 계산 유닛;

    

    를 계산하는 제2 계산 유닛; 및

    n개의 암호문 블록의 각각의 암호문 블록에 대하여,

    

    를 계산하고

    

    를 계산하고

    

    를 계산하도록 동작하는 제3 계산 유닛을 포함하고,

    여기서, 0 < i ≤ n이고,

    H는 해시 함수이고,

    

    는 n개의 평문 블록의 i번째 평문 블록을 나타내고,

    

    는 n개의 암호문 블록의 i번째 암호문 블록을 나타내고,

    M은, 블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되어 있지 않으면 M의 첫번째 인수를 선택하고 비트

    

    가 암호화되어 있으면 M의 두번째 인수를 선택하는 선택기 함수인 것을 특징으로 하는 장치.
30. 스트림 모드에서 블록 사이퍼(E) 및 키(K)를 사용하여 적어도 하나의 암호문 블록으로부터 적어도 하나의 평문 블록을 생성하는 장치에 있어서,

    

    는 복수의 평문 블록의 i번째 평문 블록을 나타내고,

    

    는 복수의 암호문 블록의 i번째 암 호문 블록을 나타내고,

    블록

    

    의 각각의 비트

    

    에 대하여, 비트

    

    가 암호화되어 있지 않으면

    

    를 출력으로 선택하도록 동작하는 선택기 유닛을 포함하는 것을 특징으로 하는 장치.

Images