TW201203000A - Cryptographic operation apparatus, storage apparatus, and cryptographic operation method - Google Patents

Description

201203000 六、發明說明： 【發明所屬之技術領域】 一般而言，本實施形態係關於一種加密演算裝置、記憶 裝置及加密演算方法。 本專利申請案主張2010年6月22曰申請之曰本專利申請 案編號2010-141473之優先權，該先前申請案中之全部揭 示内容以引用的方式併入本文中。 【先前技術】 對稱密鑰方式之加密演算法係以使預先規定之長度（區 塊長度）之資料隱匿化為目的而設計者，於該狀態下無法 進行較區塊長度更長之資料之隱匿化。然而，開發有：即 便於欲隱匿化之資料長於區塊長度之情形時，亦可使用對 稱密鑰方式之加密演算法進行較區塊長度更長之資料之隱 匿化之類的演算方法；或生成用以進行原本之資料之竄改 檢測之認證碼（authentication code)的演算方式等。如此將 以對稱密鑰加密方式作為基礎而用於各種用途之加密演算 方法稱為分組密碼演算模式（Block Cipher Modes of Operation) ° 作為該分組密碼演算模式之一，有作為對保存於儲存裝 置中之資料之隱匿化進行特殊化而設計之使用模式之XTS (Xor-Encrypt-Xor-based Tweaked CodeBook with CipherText Stealing)，該標準係由 IEEE(The Institute of Electrical and Electronics Engineers，電機電子工程師學會）P1619所規定 (參照 SP800-3 8E/IEEE-Std-16 19-2007)。 153929.doc 201203000 於XTS模式中，係使用為將輸入資料加密而使用之密鑰 資料#1、及用以生成資料初始遮罩值之密鑰資料#2之2種 密鑰資料，進行加密及解密。於XTS模式之加密演算中， 最初使用被稱為Tweak Value之值及密鑰資料#2而生成初 始遮罩值。作為Tweak Value，通常使用儲存裝置之區段 編號。 【發明内容】 本發明之實施形態係提供一種可高速地實施加密演算之 加密演算裝置。 根據實施形態，加密演算裝置之特徵在於：其係使用資 料加密用之第i密鑰資料及初始遮罩值生成用之第2密鑰資 料，針對每個第i資料單元進行加密演算者，其包含初始 遮罩值生成部，該初始遮罩值生成部根據上述第2密鑰資 料、及針對每個大於上述第1料單元之上述第2資料單元 所規定之資料資訊，而生成初始遮罩值。χ，該加密演算 裝置包含：遮罩值更新部，其根據初始遮罩值而針對每個 上述第】資料單元生成遮罩值；及遞罩值保持部其保持 上述初始遮罩值及上述遮罩值更新部所生成之遮罩值，並 將所保持之遮罩值輸出至資料加密演算部H該加密 演算裝置包含與初始遮罩值生成部不同之資料加密 部’其根據上述第】資料單元之輸入資料、上述第！密输資 料及自口上述遮罩值保持部輸出之遮罩值，而生成將上述第 1資料單元之輸入資料加密之加密資料。 根據本發明之實施形態，提供—種可高速地實施加密演 153929.doc 201203000 算之加密演算裝置。 【實施方式】 以下’參照隨附圖式，對眘 — 貫知t L之加达、演算裝置、年 憶裝置及加密演算方法進行蝉 ° 丄+ 仃洋細說明。再者，本發明並不 由該貫施形態所限定。 圖1係表示本實施形態之加麥笪 加在，臾异電路（加密演算裝置）

之功能構成例之圖。如圖1所千，太杳# w A 固所不本貫施形態之加密演算 電路包含初始遮罩值生成用加密核心（初始遮罩值生成 部川、資料演算用加密核心（資料加密演算部）12_卜12_ N、遮罩值保持電路（遮罩值保持部）13、遮罩值更新電路 (遮罩值更新部）14、及選擇3|15、' 伴窃16又，初始遮罩值生 成用加密核心（初始遮罩值生成用演算部）丨丨包含初始遮罩 值保持電路21，資料演算用加密核心(資料用加密演算 I5 )12 k(k 1 2、…、N)包含遮罩值保持電路（演算用遮罩 值保持部）22-k。 本實施形態之加密演算用電路丨係組入用以非揮發性地 記憶資料之記憶裝置（儲存裝置）中之電路。組入有本實施 形態之加密演算用電路1之記憶裝置例如為NAND(反及閘） 型半導體記憶裝置或磁碟裝置等，且對記憶方式並無限 定。 圖2係表示本實施形態之記憶裝置之功能構成例之圖。 如圖2所示，本實施形態之記憶裝置包含記憶部2、本實施 形態之加密演算電路1、介面電路3及韌體部4，且將自例 如電腦OS(〇Perating System，作業系統）5輸入之寫入對象 153929.doc 201203000 之資料加密並進行記憶。 本實施形態之記憶裝置係將所輸入之寫入對象之資料加 密後儲存於記憶部2中，於讀出儲存於記憶部2中之資料 時，將所讀出之資料解密並進行輸出。記憶部2係 閃記憶體等非揮發性地記憶資料之記憶裝置。 介面電路3係根據來自電腦OS 5之資料寫入要求，將自 電腦OS 5輸入之資料寫入至記憶部2，且根據來自電腦〇s 5之資料讀出要求’讀出記憶於記憶部2中之資料。又，介 面電路3係於向記憶部2寫入時，指示加密演算電路丨將寫 入對象之資料加密，於自記憶部2讀出時，指示加密演算 電路1將讀出之資料解密。即，介面電路3係控制資料之讀 出及寫入、與加密及解密之控制部。 又’於本實施形態中，以區塊單位進行向記憶部2之寫 入’針對每個區塊將輸入資料加密而生成加密資料。1個 區塊之大小並無限制，此處作為一例，將i個區塊設為丨28. bit(位元）。又’由複數個區塊構成1個區段，此處作為一 例’將1個區段設為512位元組*再者，1個區段之資料量 亦可為5 12位元組以外’此處將1個區段設為i個區塊之整 數倍。 繼而’對本實施形態之動作進行說明。再者，於本實施 形態中，作為寫入至記憶部2之資料之加密方式，使用 XTS模式之加密方式（以下，稱為XTS)。此處，作為用於 生成初始遮罩值之Tweak Value，使用區段編號。又，於 XTS之加密演算中，使用將用以生成初始遮罩值之密瑜資 153929.doc 201203000 料與用於資料加密之密鑰資料#2作為1組之密鑰資訊。 *亥密錄資訊能夠以任意單元預先規定，然此處將記憶部2 分割成複數個區域，針對每個分割之區域使用相同之密鑰 資汛。例如，於128 GB之容量之情形時，每32 GB使用相 • 同之密鑰資訊。因此，屬於同一區域内之區段使用相同之 • 密鑰資訊。介面電路3係保持密鑰資訊與區域之對應、及 區域與該區域内之區段編號之對應，並掌握針對每個區段 編號所使用之密鑰資訊。 此處，對XTS之一般性的加密演算處理進行說明◦圖3 係表示XTS之加密演算順序之一例之流程圖。圖3係表示 對1個區段（區段編號i(i為〇以上之整數））進行加密處理之情 形。於對複數個區段連續地進行加密處理之情形時，更新 區段編號並重複進行圖3所示之處理。 首先，根據區段編號i及密鑰資料#2(Key2)，基於以下之 式（1)實施初始遮罩值T〇之生成處理，並將j初始化為〇(步 驟S1)。再者，AESenc()表示作為對稱密鑰加密演算處理 之 1種即 AES(Advanced Encryption Standard，進階加密標 準）之加密演算處理’ aj(j=0、1、2、…、m-丨）表示有限域 ，之本原元素（primitive element)。m為構成1個區段之區塊 .數。 T0=AESenc(Key2，i)xa0 (1) 繼而，開始資料加密演算，首先，算出對應於第〗個區 塊之輸入資料（加密對象資料）P』與Tj之互斥或pp(步驟S2)。 繼而’使用PP與密鑰資料#l(Keyl)，依據以下之式算出 153929.doc 201203000 CC(步驟S3)，進而求出加密資料q作為（：(：與丁』之互斥或 (步驟S4)。 CC=AESenc(Keyl，pp) (2) 是否為區段之最後之區 繼而，判斷是否為(即 塊）（步驟S5)，於之情形時（步驟S5,㈣，結束該區 段之加密處理。於非為j=m]之情形時（步驟5，n〇)，將』加 U步驟S6)，並依據以下之式（3)而更新（步驟s7)後，返回 至步驟S2。 η=Τ[丨 xaj·丨(3) 如上所述，於XTS之加密演算中，如步㈣旧示，❹ 始遮罩值之生成時實施加密演算。又使用該演算結果即 初始遮罩值’進行如步驟S2〜步驟S4所示之用以將輸入資 料（寫入資料）加密之演算。步驟S1與步驟s3之加密演算 (AESenc〇)僅輸入值不同，除此以外為相同之演算。因 此，於使用1個力。密核心'進行演算之情形時，t按照每一 步驟實施圖3所示之處理。因此，在結束初始遮罩值之生 成之前，無法實施對於輸入資料之加密處理。又，於連續 地寫入對應於複數個區段之資料之情形時，即便備齊用以 生成對應於下一個區段之初始遮罩值所必需之資訊，但若 加密處理中之區段之資料之加密演算尚未結束，則仍無法 開始下一個區段之初始遮罩值之生成處理。 —相對於此，於本實施形態中’包含與對輸入資料進行加 密演算（對應於步驟S2)之加密核心（資料演算用加密核心 12·1〜12-N)不同之初始遮罩值生成用加密核心u，從而即 153929.doc 201203000 便於上一個區段之輸入資料之加密演算尚未結束之情形 時’一旦備齊初始遮罩值生成所必需之資訊，則立即開始 初始遮罩值之生成處理’並將處理結果保持於初始遮罩值 保持電路2 1中。因此，於開始下一個區段之輸入資料之加 社演算時’只要參照所保持之初始遮罩值即可，因此可縮 短等待初始遮罩值之生成之時間。 進而，於本實施形態中，亦包含複數個對輸入資料進行 加密演算（對應於步驟S2)之加密核心（資料演算用加密核心 12-1〜12-N) ’且並行地實施每個區塊之加密演算（步驟§2〜 步驟S4)。因此’與使用i個加密核心之情形相比可縮短 對於輸入資料之加密演算之處理時間。再者，此時若將處 理對象之區塊編號設為j，則於上述步驟S2中，j=〇時使用 初始遮罩值（T〇)，j^1時使用步驟S7令所更新之遮罩值

Tj。 生成該遮罩值Tj之演算係只要生成Tq，則可不等待步驟 S2〜步驟S4之處理而按τ丨、I、…、之順序依序生成。 於本實施形態中，遮罩值更新電路14係更新該遮罩值乃， 並，差由選擇器15而儲存於遮罩值保持電路丨3中。繼而，根 據’丨面電路3之指不，將儲存於遮罩值保持電路13中之遮 罩值Tj儲存於進行第j個區塊之加密演算之資料演算用加密 核〜12-j(此處作為一例，將進行第』個區塊之加密演算之 資料廣算用加密核心設為資料演算用加密核心12_』)之遮罩 值保持電路22-j中。 繼而，若將遮罩值Tj儲存至遮罩值保持電路22_〗中，則 153929.doc 201203000 )丨面電路3指示遮罩值更新電路14進行遮罩值之更新（τ川 之生成）。繼而’根據介面電路3之指示，將儲存於遮罩值 保持電路13中之遮罩值Tj + 1儲存至進行第j + 1個區塊之加密 廣算之資料演算用加密核心12-(j +1)之遮罩值保持電路22_ (j + Ι)中。其後，依序更新遮罩值，並儲存至所對應之資料 决算用加密核心12-1〜12-N之遮罩值保持電路22-1〜22-N 中。繼而’若介面電路3接收輸入資料及密鑰資料#1並指 示啟動’則資料演算用加密核心12-j使用儲存於遮罩值保 持電路22-j中之遮罩值丁」進行步驟S2〜步驟S4之加密演算。 如上所述’本實施形態之資料演算用加密核心121〜12_ N係進行步驟S2〜步驟S4之加密演算。圖4係表示資料演算 用加密核心12-1之構成例之圖。本實施形態之資料演算用 加密核心12-1例如包含：遮罩值保持電路22-1，其保持遮 罩值Tj;第1互斥或計算電路u，其算出遮罩值丁」與輸入資 料Pj之互斥或PP ;加密演算電路24，其根據PP及密鑰資料 #1而實施XTS之加密演算（對稱密鑰加密演算），求出CC ; 及第2互斥或計算電路25，其算出加密資料q作為CC與遮 罩值Tj之互斥或。資料演算用加密核心12-2〜12-N之構成 亦與資料演算用加密核心12-1之構成相同。再者，資料演 算用加密核心12-1〜12-N之構成並不限定於此，只要可實 施相同之演算，則可為任意構成。 關於資料演算用加密核心1 2-1與處理對象區塊之對應， 例如可預先建立對應關係為自區段之最初之區塊起依序由 資料演算用加密核心12-1、資料演算用加密核心12-2、… 153929.doc 201203000 進行處理’亦可由介面電路3於每:域理時自未進 :資枓演算用加密核心12]〜12_N中選擇對每個區塊進行 處理之加密核心。 進而’藉由包含該初始遮罩值生成用加密核心u，而亦 可使解密演算處理高速化。以下，對解密演算進行說明。 於xts中，在進行解密演算處理時’實施與加密演算時之 初始遮罩值生成處理相同之處理。即’於解密演算時亦實 施與步驟81相同之加密演算’求出丁。。繼而，於將加密資 料q作為輸入資料之解密演算中，作為步驟s2,，係算出q 與乃之互斥或(：(：。進而，作為步驟S3，，係進行以下之式 ⑷所示之演算。再者，AESdec()表示AEs之解密演算。工 PP=AESdec(Key 1 > CC) (4) 繼而，作為步驟S4，，係求出PP與τ」之互斥或p。繼而 藉由進行與加密演算處理之步驟S5〜步驟S7相同之處理 而實施每個區塊之解密處理。 如上所述，於解密演算處理中亦實施步驟S1之處理（解 密密鑰之生成處理），因此初始遮罩值生成用加密核心u 可實施解密演算處理中之步驟81之處理。進而，關於加密 資料之解密處理步驟S2·〜步驟S4,，僅將步驟s3,之演算自 加密演算變為解密演算，且其後之演算僅輸入不同，除此 以外為相同之演算。因此，資料演算用加密核心12_丨〜12_ N不僅可實施加密演算亦可實施解密演算。又，亦可使初 始遮罩值生成用加密核心11於加密演算及解密演算中丘 用’且包含與資料演算用加密核心丨2_丨〜丨2_N不同之並行 153929.doc 201203000 實施解密演算之複數個資料演算用加密核心。 於本實施形態之資料演算用力口密核心12小亦進行解密演 算之情形時，例如上述加密演算電路24亦具有進行解密演 算之功能，上述第1互斥或計算電路23算出Cj與Tj之互斥哎 CC ’加密演算電路24進行使用cc及密鑰資料之 解密演算而算出PP，第2互斥或電路25求出pp與Tj之互斥 或P。再者，亦可包含與加密演算部不同之解密演算部， 且解密演算部進行使用CC及密鑰資料#1之解密演算。 於解密演算處理中’與資料演算用之加密核心不同之初 始遮罩值生成用加密核心丨丨亦實施解密演算處理中之步驟 S1之處理，藉此於與加密演算處理同樣地連續處理複數個 區段之情形時，一旦備齊步驟S1之處理所必需之資訊，便 可立即進行步驟S1之演算。因此，可縮短直至輸入資料 (解密演算時為加密資料）之解密演算開始為止之時間。 圖5係表示本實施形態之記憶裝置之寫入及讀出順序之 一例的流程圖。首先，對寫入順序進行說明。本實施形態 之介面電路3等待自電腦〇s 5之輸入（步驟S21)，若接收資 料寫入要求（步驟S22)，則指示韌體部4取得與有寫入要求 之資料之邏輯位址相對應之區段編號，並自韌體部4接收 對應於邏輯位址之區段編號（步驟S23)。 再者’電腦OS 5係向記憶裝置通知資料寫入要求（或讀 出要求）’並且將寫入對象（讀出對象）之資料輸入至記憶裝 置（介面電路3)。再者’寫入對象之資料之邏輯位址可自電 flfejOS 5心示，亦可由介面電路3決定。又，動體部4保持有 153929.doc -12- 201203000 邏輯位址與區段編號之對應，根據來自介面電路3之指示 而輸出對應於邏輯位址之區段編號。 繼而’介面電路3係將所取得之區段編號（Tweak Vaiue) 及對應於所取得之區段編號之密鑰資料#2設定於初始遮罩 值生成用加密核心11中（步驟S24)，並啟動初始遮罩值生 成用加密核心11(步驟S25) » 初始遮罩值生成用加密核心丨丨係於演算結束後，將演算 ，，-σ果（初始遮罩值）寫入至初始遮罩值保持電路21 (步驟 S26)。介面電路3係藉由遮罩值更新信號，而將寫入至初 始遮罩值保持電路21中之初始遮罩值寫入至遮罩值保持電 路13(步驟S27)。具體而言，介面電路3將遮罩值更新信號 輸入至選擇器15，藉此選擇器15將寫人至初始遮軍值保持 電路21中之初始遮罩值輸出至遮罩值保持電路η，遮罩值 保持電路13保持所輸入之值。 一繼而，介面電路3係將輸入資料（寫入對象資料）、密鑰 及加密之指示信號輸人至與輸人資料之區塊編號相 演算用加密核心12七並啟動該核心（步驟S28)。再 者，此處關於解密演算，亦由資料演算用加密核心12 卜^加以實施，演算用加密核心12_h2_n係於輪- 力:二:：了之情形時進行加密演算，於輸入有解密之 曰彳σ旎之情形時進行解密演算。 二介面電路3係於啟動資料演算用加密核心 錯存於遮罩值保持電路13中之遮罩值τ•寫 演算用加密核心〗9 & φ 值·)寫入至資料 "-J之遮罩值保持電路22-j，且對於 153929.doc -13· 201203000 值更新電路14指示遮罩值之更新，並指示選擇器15將更新 後之遮罩值丁」+1儲存至遮罩值保持電路13(步驟S29)。 繼而，介面電路3判斷步驟S28中之輸入資料是否為與區 段之最後的區塊相對應之輸入資料（步驟S3〇)，於並非為 最後之輸入資料之情形時（步驟S3〇，No)，將區塊編號j增 加1 ’並返回至步驟S28，實施關於下一區塊之處理。 於判斷為步驟S28中之輸入資料為與區段之最後的區塊 相對應之輸入資料之情形時（步驟S3〇，Yes)，介面電路3 進一步判斷是否繼而進行區段之寫入處理（是否繼續寫 入）（步驟S31)。於進行下一個區段之寫入處理之情形時（步 驟S31 ’ Yes)，返回至步驟S23，實施下一個區段之寫入處 理》又，於步驟S31中判斷為不進行下一個區段之寫入處 理之情形時（步驟S30，No)，返回至步驟S2卜 圖6係表示本實施形態之處理時序之概念之一例的圖。 於圖6中’各構成要素名所示之橫線表示處理時間。於該 處理時序例中，表示針對複數個區段連續地進行寫入處理 即加密演算之例。再者’於圖6中，表示由資料加密用演 算核心叫將各區段之最初之區塊進行加密處理、由資料 加密用演算核心12_2處理下一 卜個&塊··· ’以此類推按照編 號順序進行處理之示例。 如圖6所示’初始遮罩值生成用加密核心U係針對每個 區段生成初始值遮罩值，而如 所 即便上一個區段 :科之加密演算尚未結束’亦可算出下一個區段 值。又，於向資料加密用演算核心叫輪入下-個區段之 153929.doc 201203000 輸入資料之時間點，由於初始遮軍值之計算已結束，故而 -旦備齊輸入資肖，便可立即開始加密演算。進而，由於 資料加密用演算核心12.h2_n進行並行處理，故而可高 速地進行加密演算。再者，圖6乃表示處理時序之概令， 各處理時間之相對關係等與實際不同。又，圖6之處理時 序為一例，各自之處理時序並^限定於此，只要為可實施 初始遮罩值生成用加密核心"與資料加密用演算核心12_ 1 12 N之並仃處理、資料加密用演算核心間之 並行處理之時序，則可為任意處理時序。 之Γ士二對寫入處理之情形進行了說明，但於自記憶部2 …料之讀出處理之情形時，亦實施與圖5相同之處 理於4出處理之情形時，於步驟s22中取代寫入要求 接收讀出要求。又，於步驟S28中，將

至資料演算用加密核心12如又，於步驟似中，自 2讀出解密對象之加密資料並作為輸入資料。 P 料^^面電路3對選擇器16指示選擇作為輸出資料之資 斤:用加密核心21]〜12.N。選擇器⑽據指示 並輸出來自資料洁瞀田 ^ 遊擇 之任— ' ^ Π达、核心21-1〜12_N之輸出資料中 I 。並且，介自電路3係於資料寫入處理 時，將自選擇器16輸出鈐 ^ _處理之情形時，將自:擇=二至_^ 至電腦0S5e 自選擇㈣輸出之輸出資料輪出 心之外另於本實知形態中’在資料之加密演算用之加密核 具備初始遮革值生成用加密核心U，且進而具備 153929.doc •15· 201203000 複數個資料加密演算用之加密核心（資料演算用加密核心 12-1〜12-N)，而針對每個區塊並行處理資料之加密演算。 因此，可使資料之加密演算高速化，並且不論資料之加密 演算之進展情形如何’皆可於任意時序生成初始遮罩值及 解密密输’進而可隱藏初始遮罩值生成處理及解密密錄生 成處理又，藉由设為由各資料演算用加密核心12-1〜12-N保持遮罩值之電路構成，而成為下述加密電路：可不影 響處理中之資料演算而於任意時序更新初始遮罩值，且可 使不同區段之資料混合存在而進行加密/解密演算。 對本發明之若干實施形態進行了說明，#該等實施形態 係作為示例而提出|，並非意纟限定發明之範圍。該等新 穎之實施形態能夠以其他各種形態進行實施，可於不脫離 發明之主旨之範圍内進行各種省略、置換、變更。該等實 施形態及其變形包含於發明之範圍或主旨β，並且包含於 申請專利範圍中所記載之發明及其均等之範圍内。 【圖式簡單說明】 圖1係表^實施形態之加密演算用f路之料構成例之 圖。 圖2係表示實施形態之記憶裝置之功能構成例之圖。 圖3係表示XTS之加密演算順序之—例之流程圖。 請表示資料演算用加密核心之功能構成例之圖。 圖5係表示實施形態之記憶裝置之寫入及讀出順序之— 例的流程圖。 圖6係表示實施形態之處理時序之概念之一例的圖。 153929.doc -16· 201203000 【主要元件符號說明】 1 加密演算電路 2 記憶部 3 介面電路 4 韌體部 5 電腦OS 11 初始遮罩值生成用加密核心 12-1 〜12-N 資料演算用加密核心 13 、 22-1〜22-N 遮罩值保持電路 14 遮罩值更新電路 15、16 選擇器 21 初始遮罩值保持電路 23 第1互斥或計算電路 24 加密演算電路 25 第2互斥或計算電路 S1〜S7 、 S21〜S31 步驟 153929.doc -17-

Claims (1)

1. 201203000 七、申請專利範圍： 1. - =加密演算裝置，其特徵在於：其係、❹資料加密用 之第1密錄資料及初始遮罩值生成用之第2密餘資料 對母個第1資料單元進行加密演算者，其包含： • 初始遮罩值生成部’其根據上述第2密鑰資料、及 '、對每個大於上述第1資料單元之第2資料單元所規定之資 料資訊而生成初始遮罩值； 遮罩值更新部’其根據上述初始遮罩值而針對每個上 述第1資料單元生成遮罩值； 個上 遮罩值保持部，其保持上述初始遮罩值及上述遮罩值 更新部所生成之遮罩值’並輸出所保持之遮罩值；及 資枓加密演算部’其根據上述第i資料單元之輸入資 Η上述第旧錄資料、及自上述遮罩值保持部輸出之 Γ!:，而生成將上述第1資料單元之輸入資料加密之 加被資料。 2.如請求項1之加密演篡 廿a Α 密演算部，^^置’其包含複數個上述資料加 上述遮罩值保持部係針對每個上述資料加密演算部， ^出與上述資料加密演算部作為處理對象之上述輸入資 料相對應的遮罩值。 3·如請求項1之加密演算裝置，其中 上述遮罩值更新部係藉由進行有限域之乘法運算而生 成上述遮罩值。 4·如請求項1之加密演算裝置’其中上述資料加密演算部 153929.doc 201203000 包含： 次算用遮罩值保持部’其保持自上述遮罩值保持部輸 入之上述遮罩值； =互斥或計算部，其算出上述演算用遮罩值保持部 演算結Γ上述料值與上述輸人資料之互斥或作為第1 加密演算部， 資料而實施特定 算結果；及 其根據上述第1演算結果及上述第丨密鑰 之對稱密鑰加密演算，藉此算出第2演 弟2互斥或計算部 丹异出-χ-Α木▲浹异踎禾興上述； 算用遮罩值保持部所保持之上述遮罩值之互斥或作為_ 述加密資料。 - 5.如請求項1之加密演算裝置，其中 上述加密資料係寫人至用以非揮發性地記憶 憶裝置中， ° 將上述第2資料單元設為上述記憶裝置之區段，將上 述第！資料單it設為上述記憶裝置之區塊，且將上述資 料貧Λ设為區段編號。 6·如請求項1之加密演算裝置，其中 上述資料加密演算部係接收指示加密演算或解密演算 ^指示信號之輸人，於上述指示信號為指示加密演算之 七號之情形時’生成將上述輸入資料加密之上述加密資 料於上述指不仏號為指示解密演算之信號之情形時， 實施將上述輸入資料解密之解密演算。 153929.doc 201203000 7. 如請求項1之加密演算裝置，其中 將上述加密演算設為XTS模式之加密演算。 8. —種記憶裝置，其特徵在於包含： 記憶部，其用以將記憶對象資料非揮發性地記憶； 加费演异裝置，其使用資料加密用之第i密鑰資料及 初始遮罩值生成用之第2密瑜資料，針對每個第1資料單 元進行加密演算；及 控制。卩，其向上述初始遮罩值生成部輸入上述第2密 鑰資料、及針對每個大於上述第丨資料單元之第2資料單 兀所規疋之資料資訊，向上述加密演算裝置輸入上述第 1密鑰貝料及加密對象之上述第丨資料單元之輸入資料， 且將上述加密演算裝置所生成之加密資料寫入至上述記 憶部； 上述加密演算部包含： 初始遮罩值生成部， 其根據自上述控制部輸入之上域

   更可邵所生成之遮罩值， ’並輸出所保持之遮罩佶：月

   I53929.doc 201203000 之輸入資料加密之加密資料。 9.如請求項8之記憶裝置，其中 上述資料加密演算部係接收指示加密演算或解密演算 :指示信號之輸入’於上述指示信號為指示加密演算之 信號之情形時，生成將上述輸入資料加密之上述加密資 料’於上述指示信號為指示解密演算之信號之情形時， 實施將上述輸入資料解密之解密演算， 上述控制部係'於進行向上述記憶部之資料寫人處理之 =時1指示加密演算之實施之上述指示信號輸入至 :加密演算部’向上述初始遮罩值生成部輸入上 ’向上m寅算裝置輸入 述第1密鍮資料及加密對象之第2單元之輸入資料，並 :::上：加密演算裝置所生成之加密資料寫入至上述記 ;:二方面’ί將指示實施解密演算之上述指示信 . 述加密决算部’進行自上述記憶部之資料讀 ..^ 時’讀出上述加密資料，向上述初始遮罩 值生成部輸入上述第2密餘眘粗好μ +欠 口遮罩 ^ I笫2莕鑰資科及上述資料資訊，向上 =㈣Μ置輸人上述第】密錄資料及所讀出之上述 ίο. σ資科，且輸出上述加密演算裝置之解密演算妹果。 :密演算方法，其特徵在於:其係使用資:二 對每：：資料及初始遮軍值生成用之第2密錄資料，針 對母個第1資料單元 密演算方法， $仃力“算之加密演算裝置之加 上述加密演算裝置包含生成初始遮罩值之初始遞罩生 153929.doc 201203000 成部、保持遮罩值之遮罩值料部、進行遮罩值之更新 之遮罩值更新部、及進行資料之加密演算之資料加密演 算部， 、 上述初始遮罩生成部根據上述第2密餘資料、及針對 每個大於上述第1資料單元之第2資料單元所規定之資料 資訊而生成初始遮罩值， 上述遮罩值更新部根據上述初始遮罩值而針對每個上 述第1資料單元生成遮罩值， 上述遮罩值保持部保持上述初始遮罩值及針對每個上 述第1資料早凡所生成之遮罩值，並將所保持之遮罩值 輸出至上述資料加密演算部， 上述資料加岔演算部根據上述第i資料單元之輸入資 料、上述第1密鑰f料及被輸出至自身之上述遮罩值， 而生成將上述第1資料單元之輸入資料加密之加密資 料。 1 1 · 12. 13. 如請求項10之加密演算方法，其中 上述加密演算裝置包含複數個上述資料加密演算部， 上述遮罩值保持部係針對每個上述資料加密演算部， 輸出與上述資料加密演算部作為處理對象之上述輸1資 料相對應的遮罩值。 如請求項10之加密演算方法，其中 上述遮罩值更新部係藉由進行有限域之乘法運算而生 成上述遮罩值。 如請求項10之加密演算方法，其中 153929.doc 201203000 上述資料加密演算部係 '、寺自上述遮罩值保持部輸人之上述遮罩值， 算出上述演算用遮罩值保持部所保持之上述遮罩值與 上述輸入資料之互斥Μ Μ旧㈣L 根據上述第1演算結果及上述第1密鑰資料而實施特定 十稱密鑰加密演算，藉此算出第2演算結果， 算出上述第2演算結果與上述演算用遮罩值保持部所 保持之上述遮罩值之互斥或作為上述加密資料。 14.如請求項1〇之加密演算方法其中 it加密資料係寫入至用以非揮發性地記憶資料之記 憶装置， 將上述第2資料單元設為上述記憶裝置之區段，將上 述第1資料單元設為上述記憶裝置之區塊，且將上述資 料資sfl设為區段編號。 15·如請求項10之加密演算方法，其中 由上述資料加密演算部接收指示加密演算或解密演算 之指示信號之輸入，於上述指示信號為指示加密演算之 信號之情形時，生成將上述輸入資料加密之上述加密資 料，於上述指示信號為指示解密演算之信號之情形時， 實施將上述輸入資料解密之解密演算。 153929.doc