WO1998054687A1

WO1998054687A1 - Processeur cryptographique, carte de circuits integres et procede de traitement cryptographique

Info

Publication number: WO1998054687A1
Application number: PCT/JP1998/001898
Authority: WO
Inventors: Mitsuru Matsui; Toshio Tokita
Original assignee: Mitsubishi Denki Kabushiki Kaisha
Priority date: 1997-05-30
Filing date: 1998-04-24
Publication date: 1998-12-03
Also published as: NO990429L; KR20000029634A; NO990429D0; EP0923062B1; EP0923062A1; DE69840014D1; US6466669B1; EP0923062A4; TW375720B; CA2372915A1; AU7081198A; AU717746B2; CA2372915C; NO326299B1; CA2261161C; JPH10333569A; CN1228183A; HK1021585A1; JP3088337B2; CA2261161A1

Description

明細書暗号処理装置、 I Cカード及び暗号処理方法技術分野

この発明は、暗号処理装置に関するものであり、特に、 I C (インテグレーテッド ·サーキット）カード等に用いられる小型暗号処理装置に関するものである。背景技術

この発明の従来の技術として、秘密鍵（共通鍵）喑号系のブロック喑号である米国商用暗号の D E S (D a t a E n c r y p t i o n S t a n d a r d) を用いて説明する。

D E Sの詳細な処理内容は、例えば、 H a n s E b e r 1 "A H i g h— s p e e d DE S I mp l e me n t a t i o n f o r e t w o r k Ap p l i c a t i o n s 、 Ad v a n c e s i n C r y p t o 1 o g y -CRYPTO ' 92、 L e c t u r e N o t e s i n c omp u t e r S c i e n c e 740、 S p r i n g e r— V e r l a g. に記載されている。

図 1 8は、 DE S暗号アルゴリズムのフローチャートである。

図 1 8において、 1 00 1〜 1 004はデータ変換処理を行う関数 F による演算、 1 0 1 1〜 1 0 1 4はビット毎の排他的論理和演算である。尚、初期転置、最終転置は省略してある。

動作について説明する。

2 X nビット（ D E Sの場合 2 X 3 2ビット）の入力データ 1 050 が 2つの nビットデータ 1 0 5 1， 1 05 2に分割される。 nビットデータ 1 0 5 1は、そのまま nビットデータ 1 0 5 3として出力されるとともに、関数 F 1 00 1に入力され、データ変換される。関数 F 1 00 1から出力されたデータは、他方の nビットデータ 1 0 5 2と排他的論理和演算 1 0 1 1によりビット毎に排他的論理和演算され、 nビットデ —タ 1 0 54が出力される。

以下同様に、関数 F 1 002, 1 003, 1 004、排他的論理和演算 1 0 1 2， 1 0 1 3, 1 0 1 4まで演算処理が繰り返され、出力データ 1 0 5 5， 1 056が出力される。この 2つの nビットデータは合成され、 2 nビットデータ 1 05 7として出力される。

図 1 9は、図 1 8で示された DE S暗号フローチャートと同等なデータ変換処理を実現する喑号処理装置の一例である。

図 1 9において、 1 1 0 1及ぴ 1 1 02はデータを保持するレジスタ A及びレジスタ B、 1 1 0 3及び 1 1 04はデータを選択するセレクタ A及びセレクタ B、 1 1 0 5はデータ変換として関数 Fを演算する関数 F演算回路、 1 1 06は排他的論理和回路、 1 20 1， 1 202は11ビット入力データ A， B、 1 203, 1 204は nビット出力データ A， Bである。

動作を説明する。

2 X nビット（D E Sの場合 2 X 3 2ビット）の入力データが、 nビットの 2つの入力データ A 1 20 1，入力データ B 1 202に分割される。 2つの入力データは、それぞれセレクタ A 1 1 03及びセレクタ B 1 1 04によって選択され、レジスタ A 1 1 0 1及びレジスタ B 1 1 0 2に保持される。次に、レジスタ A 1 1 0 1に保持されたデータは、セレクタ A l 1 03及びセレクタ B 1 1 04にフィードバックされるとともに、関数 F演算回路 1 1 05に入力されデータ変換された後、レジスタ B 1 1 02に保持されたデータと排他的論理和回路 1 1 06において排他的論理和演算される。この結果は、セレクタ A 1 1 0 3及びセレクタ B 1 1 0 4にフィードバックされる。

次に、セレクタ A 1 1 0 3においては排他的論理和回路 1 1 0 6の結果が選択され、セレクタ Bにおいてはレジスタ A 1 1 0 1に保持されていたデータが選択され、それぞれレジスタ A 1 0 0 1及びレジスタ B 1 0 0 2に新たに保持される。以下同様に、図 1 8における関数 F 1 0 0 2， 1 0 0 3， 1 0 0 4力、ら排他的論理和演算 1 0 1 2， 1 0 1 3， 1 0 1 4まで必要回数だけ処理がループされ、出力データ A 1 2 0 3及び出力データ B 1 2 04が出力される。尚、 D E Sの場合は、 1 6回である。

尚、本従来技術の詳細については、例えば、 H a n s E b e r 1 A H i g h— s p e e d D E S I mp l e m e n t a t i o n f o r N e t w o r k A p p l i c a t i o n s " , Ad v a n c e s i n C r y p t o l o g y— C RY P TO ' 9 2、 L e c t u r e N o t e s i n c o mp u t e r S c i e n c e 7 4

0、 S p r i n g e r— V e r l a g . に記載されてレ、る。

上記のような方式による暗号処理装置は、同様な構成を持つ関数 Fが繰り返し処理される構成を持つ場合、 1つの回路を繰り返し利用することで実現処理回路を効率的に構成することができる。そのため、回路規模を削減することが可能となり、低消費電力化も可能であった。しかし、関数 Fがその内部により小さい処理要素の繰り返し構造を持つ場合には、これまでの暗号処理装置の構成では、回路規模の削減やそれに伴う低消費電力化には効率的ではないという問題があった。

この発明は、上記のような問題を解決するためになされたもので、同様な構成を持つ関数 Fが繰り返し処理される構成を持ち、かつ、関数 F がその内部により小さい処理要素の繰り返し構造を持つ場合に、喑号処理装置を効率的に構成し、回路規模の削減や消費電力の低下が可能となる暗号処理装置を得ることを目的としている。発明の開示

この発明に係る暗号処理装置は、入力データに対して第 1の演算回路により第 1のデータ変換処理を複数回行う暗号処理装置において、前記第 1の演算回路は、更に第 2のデータ変換処理を複数回行うループ処理回路を有し、

前記ループ処理回路は、第 2の演算回路、データ保持回路、選択回路により処理ループを構成し、

前記第 2の演算回路は、前記第 2のデータ変換処理を行い、前記データ保持回路は、前記第 2のデータ変換処理が行われたデータを一時的に保持し、

前記選択回路は、当該ループ処理回路による第 2のデータ変換処理を終了させるか継続させるかを選択することを特徴とする。

前記第 2の演算回路は、

前記第 2の演算回路に入力されたデータを第 1の分割データと第 2の分割データに分けるデータ分割回路と、

前記第 1の分割データをデータ変換する第 3の演算回路と、前記第 3の演算回路の出力データと前記第 2の分割データをビット毎に排他的論理和演算する排他的論理和回路と、

前記排他的論理和回路の出力データと前記第 2の分割データを結合するデータ結合回路を有することを特徴とする。

前記選択回路は、第 1の演算回路による第 1のデータ変換処理を行うデータと、データ保持回路が保持するデータとを入力し、当該ループ処理回路による処理を継続させる場合にデータ保持回路が保持するデータを選択することを特徴とする。

前記選択回路は、当該処理ループ回路による処理を開始する場合に、第 1の演算回路による第 1のデータ変換処理を行うデータを選択することを特徴とする。

前記暗号処理装置は、更に、

第 1の演算回路による第 1のデータ変換処理を行うデータを交互に保持するレジスタ Aとレジスタ Bと、

第 1の演算回路で第 1のデータ変換処理が行われたデータと、レジスタ Aとレジスタ Bに保持されたデータをそれぞれビット毎に排他的論理和演算する 2つの排他的論理和回路と、

入力データと、第 1の演算部で第 1のデータ変換処理が行われたデータと排他的論理和回路で排他的論理和演算が行われたデータとのいずれかを選択して、レジスタ Aとレジスタ Bに保持するセレクタ Aとセレクタ Bと

を備え、

前記選択回路は、レジスタ Aとレジスタ Bを交互に選択して当該処理ループ回路による処理を開始することを特徴とする。

前記第 1の演算回路は、処理ループ部により第 2のデータ変換処理が行われたデータに対して、更に、第 2のデータ変換処理とは異なるデータ変換を行い出力することを特徴とする。

前記第 2の演算回路は、

選択回路から同一のデータを入力する m ( m≥ 1 ) 個の関数演算回路と、

m個の関数演算回路で演算されたデータを入力して 1つを選択する m 入力 1出力セレクタと

を備えたことを特徴とする。前記暗号処理装置は、

前記選択回路から出力されたデータに対してデータ変換を行う関数演算部と、

前記関数演算部で演算されたデータと選択回路から出力されたデータとを入力して、いずれか一方のデータを出力するセレクタを備えたことを特徴とする。

この発明に係る暗号処理方法は、入力データに対して第 1の演算ステップにより第 1のデータ変換処理を複数回行う暗号処理方法において、前記第 1の演算ステツプは、更に第 2のデータ変換処理を複数回行うループ処理ステップを有し、

前記ループ処理ステップは、

前記第 2のデータ変換処理を行う第 2の演算ステップと、

前記第 2のデータ変換処理が行われたデータを一時的に保持するデータ保持ステップと、

当該ループ処理ステップによる第 2のデータ変換処理を終了させるか継続させるかを選択する選択ステップを有することを特徴とする。前記第 2の演算ステップは、

前記第 2の演算ステップに入力されたデータを第 1の分割データと第 2の分割データに分けるデータ分割ステップと、

前記第 1の分割データをデータ変換する第 3の演算ステップと、前記第 3の演算ステップの出力データと前記第 2の分割データをビット毎に排他的論理和演算する排他的論理和ステップと、

前記排他的論理和ステップの出力データと前記第 2の分割データを結合するデータ結合ステップを有することを特徴とする。

この発明に係る I Cカードは、リーダー · ライターとデータの通信を行う I C (インテグレーテッド 'サーキット）カードであって、前記リーダー · ライターから前記データを受信するデータ受信回路と前記リーダー · ライターに前記データを送信するデータ送信回路と、前記データを暗号処理する前述したこの発明の暗号処理装置を有することを特徴とする。

この発明に係る I Cカードは、リーダー · ライターとデータの通信を行う I Cカードであって、

前記リーダー · ライターから前記データを受信するデータ受信回路と前記リーダー · ライターに前記データを送信するデータ送信回路と、前記データを暗号処理する前述したこの発明の暗号処理装置を有することを特徴とする。図面の簡単な説明

図 1は、本発明の実施の形態 1に係る暗号化アルゴリズムを示す図でめる。

図 2は、本発明の実施の形態 1に係る暗号化アルゴリズムに用いられる関数の構成を示す図である。

図 3は、本発明の実施の形態 1に係る暗号処理装置の基本構成を示すブロック図である。

図 4は、本発明の実施の形態 1に係る暗号処理装置の基本的動作の一例を示すフローチヤ一ト図である。

図 5は、本発明の実施の形態 1に係る暗号処理装置の基本的動作の一例を示すフローチャート図である。

図 6は、本発明の実施の形態 1に係る暗号化アルゴリズムに用いられる関数の構成を示す図である。図 7は、本発明の実施の形態 1に係る暗号化アルゴリズムを示す図である。

図 8は、本発明の実施の形態 1に係る暗号化アルゴリズムに用いられる関数の構成を示す図である。

図 9は、本発明の実施の形態 1に係る第 2の演算回路の構成を示すブ口ック図である。

図 1 0は、本発明の実施の形態 2に係る暗号化アルゴリズムを示する図である。

図 1 1は、本発明の実施の形態 2に係る暗号化アルゴリズムに用いられる関数の構成を示す図である。

図 1 2は、本発明の実施の形態 2に係る暗号処理装置の基本構成を示すブロック図である。

図 1 3は、本発明の実施の形態 2に係る暗号処理装置の基本的動作の一例を示すフローチヤ一ト図である。

図 1 4は、本発明の実施の形態 2に係る暗号処理装置の基本的動作の一例を示すフローチヤ一ト図である。

図 1 5は、本発明の実施の形態 2に係る暗号処理装置の基本的動作の一例を示すフローチヤ一ト図である。

図 1 6は、本発明の実施の形態 3に係る通信システムの基本構成を示すブロック図である。

図 1 7は、本発明の実施の形態 3に係る I Cの基本構成を示すブロック図である。

図 1 8は、従来の技術における暗号化アルゴリズムを示する図である図 1 9は、従来の技術における喑号処理装置の基本構成を示すブロック図である。発明を実施するための最良の形態

実施の形態 1 .

この発明の一実施の形態である暗号処理装置について、図 1〜図 3を用いて説明する。

図 1は、この発明の一実施の形態である暗号処理装置における暗号処理アルゴリズムのフローチヤ一トを示したものである。

図 1において、 1 0 1〜 1 0 4はデータ変換処理を行う関数 Fによる演算、 1 1 1〜1 1 4はビット毎の排他的論理和演算である。

図 2は、関数 Fによる演算の構成を示したものであり、 3つの関数 f

2 0 1〜 2 0 3と 1つの関数 g 2 1 1による演算により構成される。動作について説明する。

2 X nビットの入力データ 1 5 0が上位と下位の 2つの nビットデータ 1 5 1， 1 5 2に分割される。 nビットデータ 1 5 1は、そのまま n ビットデータ 1 5 3として出力されるとともに、関数 F 1 0 1によりデータ変換される。関数 F 1 0 1から出力されたデータは、他方の nビットデータ 1 5 2と排他的論理和演算 1 1 1においてビット毎に排他的論理和演算され、 nビットデータ 1 5 4が出力される。関数 Fにおいては、関数 f 2 0 1〜2 0 3による演算が 3回繰り返された後に、関数 g 2 1 1による演算が行われ出力される。

以下同様に、関数 F 1 0 2， 1 0 3 , 1 0 4、排他的論理和演算 1 1 2， 1 1 3， 1 1 4まで演算が繰り返され、 nビットデータ 1 5 5， 1 5 6が出力される。この 2つの nビットデータが合成され、 2 nビットデータ 1 5 7が出力される。

図 3は、図 1，図 2で説明したデータ変換アルゴリズムを実現する暗号処理装置の概略構成図を示したものである。図 3において、 30 1 , 302及び 30 3はデータを保持するレジスタ A，レジスタ B，レジスタ C、 3 1 1， 3 1 2及び 3 1 3はデータを選択するセレクタ A，セレクタ B，セレクタ C、 3 2 1 と 3 22はビット毎の排他的論理和回路、 3 23は関数 Fの演算を行う構成要素の 1つである関数 f 演算回路、 3 24は関数 Fの演算を行う構成要素の 1つである関数 g演算回路である。

レジスタ C 303、セレクタ C 3 1 3、関数 f 演算回路 32 3、関数 g演算回路 3 24により第 1の演算回路 1 00を構成する。レジスタ C 3 0 3、セレクタ C 3 1 3、関数 f 演算回路 3 2 3によりループ処理回路 200を構成する。

図 4，図 5は、図 3の回路の動作を説明するフローチャートである。図 4，図 5を用いて動作を説明する。

関数 Fによる演算は、関数 f 演算回路 3 2 3による処理を 3回、関数 g演算回路 3 24による処理を 1回行うことによりなされる。

図 1における第 1段目のデータ変換処理について説明する。

2 X nビットの入力データは、 2つの nビットデータに分割され、入力データ A3 5 1及び入力データ B 3 5 2として入力される。入力されたデータは、セレクタ A3 1 1セレクタ B 3 1 2において選択され、それぞれレジスタ A 30 1及びレジスタ B 3 0 2に保持される（ステップ 4 _ 1 ) 。

次に、セレクタ C 3 1 3において、奇数段目の処理か偶数段目の処理かが判断され（ステップ 4一 2) 、レジスタ A 3 0 1に保持されたデ一タが選択され（ステップ 4一 4) 、この選択されたデータは関数 f 演算回路 3 2 3によりデータ変換される（ステップ 4一 6) 。関数 f 演算回路 3 23より出力されたデータは、レジスタ C 3 03に保持される（ステツプ 4一 7) 。これにより、関数 f 演算回路による処理の 1回目が終了する。

つづいて、セレクタ C 3 1 3において、レジスタ C 3 0 3に保持されたデータが選択され（ステップ 4— 8 ) 、この選択されたデータが関数 f 演算回路 3 2 3により変換される（ステップ 4一 6 ) 。関数 f 演算回路 3 2 3より出力されたデータは、レジスタ C 3 0 3に保持される（ステツプ 4— 7 ) 。これにより、関数 f 演算回路による処理の 2回目が終了する。

更に、セレクタ C 3 1 3において、レジスタ C 3 0 3に保持されたデータが選択される（ステップ 4— 8 ) 。そして、この選択されたデータは、関数 f 演算回路 3 2 3によりデータ変換され（ステップ 4一 6 ) 、出力データがレジスタ C 3 0 3に保持される（ステップ 4— 7 ) 。これにより、関数 f 演算回路 3 2 3による処理の 3回目が終了する。

次に、セレクタ C 3 1 3において、レジスタ C 3 0 3に保持されたデータが選択される（ステップ 4— 9 ) 。この選択されたデータは関数 g 演算回路 3 2 4によりデータ変換されて出力される（ステップ 4— 1 0 ) 。以上で、関数 Fによる演算が終了する。

次に、奇数段目の処理か偶数段目の処理かが判断され（ステップ 4一 1 1 ) 、関数 g演算回路 3 2 4から出力されたデータがフィードバックされ、レジスタ B 3 0 2に保持されたデータと排他的論理和回路 3 2 2 において排他的論理和が演算される（ステップ 4一 1 4 ) 。その出力データがセレクタ B 3 1 2において選択され、この選択されたデータがレジスタ B 3 0 2に保持される（ステップ 4 _ 1 5 ) 。以上で、第 1段目のデータ変換処理が完了する。

次に、第 2段目のデータ変換処理について説明する。

偶数段目の処理であることが判断され（ステップ 4— 2 ) 、セレクタ

C 3 1 3において、レジスタ B 3 0 2に保持されたデータが選択される (ステップ 4一 3 ) 。次に、この選択されたデータは、関数 f 演算回路 3 2 3によりデータ変換され（ステップ 4一 6 ) 、出力データがレジスタ C 3 0 3に保持される（ステップ 4— 7 ) 。これにより、関数 f 演算回路による処理の 1回目が終了する。

つづいて、セレクタ C 3 1 3において、レジスタ C 3◦ 3に保持されたデータが選択され（ステップ 4— 8 ) 、この選択されたデータは関数 f 演算回路 3 2 3によりデータ変換され（ステップ 4一 6 ) 、出力データがレジスタ C 3 0 3に保持される（ステップ 4一 7 ) 。これにより、関数 f 演算回路 3 2 3による処理の 2回目が終了する。

更に、セレクタ C 3 1 3において、レジスタ C 3 0 3に保持されたデータが選択される（ステップ 4一 8 ) 。次に、この選択されたデータは、関数 f 演算回路 3 2 3によりデータ変換され（ステップ 4一 6 ) 、出力データがレジスタ C 3 0 3に保持される（ステップ 4— 7 ) 。これにより、関数 f 演算回路 3 2 3による処理の 3回目が終了する。

次に、セレクタ C 3 1 3において、レジスタ C 3 0 3に保持されたデータが選択され（ステップ 4一 9 ) 、この選択されたデータは関数 g演算回路 3 2 4によりデータ変換される（ステップ 4— 1 0 ) 。以上で、関数 Fによる演算が終了する。

次に、偶数段目の処理であることが判断され（ステップ 4一 1 1 ) 、関数 g演算回路 3 2 4より出力されたデータがフィードバックされ、レジスタ A 3 0 1に保持されたデータと排他的論理和回路 3 2 1において排他的論理和演算がなされる（ステップ 4一 1 2 ) 。その出力データがセレクタ A 3 1 1において選択され、この選択されたデータがレジスタ A 3 0 1に保持される（ステップ 4一 1 3 ) 。以上で、第 2段目のデータ変換処理が完了する。

以下、この第 1段目のデータ変換処理及び第 2段目の変換処理と同等な処理を交互に必要段数繰り返す。

最後に、最終段目のデータ変換処理の結果として、レジスタ A 3 0 1 及びレジスタ B 3 0 2で保持されているデータを出力データ A 3 5 3，出力データ B 3 5 4として出力する（ステップ 4— 1 9 ) 。

以上のように、この発明によれば、レジスタ C 3 0 3とセレクタ C 3

1 3を用いることにより、構成要素としての 1つの関数 f 演算回路 3 2 3を繰り返し使用するので、関数 f 演算回路 3 2 3を 1つ持てばよく、関数 f 演算回路 3 2 3を 3つ持つ必要がないので、回路規模を削減することが可能である。

特に、暗号処理のデータ変換に用いられる関数 F (関数関数 g ) は、暗号強度の高い関数が用いられるため、非常に複雑な構成をとることが知られており、本発明に基づく回路規模の削減の効果は非常に大きくなる。

また、この発明によれば、レジスタ A 3 0 1，レジスタ B 3 0 2 , レジスタ C 3 0 3，セレクタ A 3 1 1 , セレクタ B 3 1 2，セレクタ C 3 1 3は、常に動作する必要はなく、必要に応じて動作すれば処理を実現することが可能であるため、装置の低消費電力化を実現することが可能となる。

従って、本発明を I Cカードのような小型の装置として使用する場合に、特に大きな効果を奏することが可能となる。尚、本発明は、 I C力一ドのみならず、 I Cカードのリーダー · ライターにも利用することも可能である。

尚、関数 Fは、上記の構成に限定されるものではない。例えぱ、関数 Fが図 6に示すように、関数 f の繰り返しのみで構成されている場合は、図 3において関数 gは必要がなく、図 7に示すように、セレクタ C 3 1 3で選択されたデータを直接フィードバックすればよい。また、図 8に示すように、関数 f 演算回路 3 23が m個（mは 1つ又はそれ以上）の関数により、任意の順で構成されるような場合は、図 9 に示すように、図 3における関数 f 演算回路 3 2 3に相当する部分に、前述の m個の関数を並列にならべ、そのおのおのにセレクタ C 3 1 3からのデータを入力し、それらの出力を m入力 1出力の選択を行うセレクタの入力とし、適切な 1つの出力データを選択してレジスタ C 3 03に保持させ、これを前述の m個の関数の任意の順に相当するだけ繰り返すことによって構成することも可能である。

実施の形態 2.

この発明の他の一実施の形態である暗号処理装置について、図 1 0〜図 1 4を用いて説明する。

図 1 0は、 M I S TY暗号アルゴリズムのフローチヤ一トを示している。

M I S TYの処理の詳しい内容については、例えば、松井充 "プロック暗号アルゴリズム M I S TY" 、電子情報通信学会、信学技報 I S EC 9 6— 1 1 ( 1 9 9 6 - 07) に詳細が記載されている。

図 1 0において、 5 0 1〜506は関数 F Lによる演算、 5 1 1〜5 1 4は関数 FOによる演算、 5 2 1〜5 24は排他的論理和演算である図 1 1は、図 1 0における関数 FO 5 1 1〜5 1 4による演算の構成を示している。

図 1 1に示してあるように、 M I S T Yでは関数 F O 5 1 1〜 5 1 4 の処理として、関数 F I 6 0 1〜603と排他的論理和演算 6 1 1〜6 1 3を中心とした変換処理を 3段繰り返すようになっている。

図 1 2は、図 1 0及ぴ図 1 1で示される M I S T Yのデータ変換の処理を本発明を用いて構成した暗号処理装置の一実施の形態である。次に、図 1 0，図 1 1における暗号アルゴリズムの動作を説明する。まず、 2 X nビットの入力データ 5 5 0が上位と下位の nビットの 2 つのデータに分割され、入力データ A 5 5 1及び入力データ B 5 5 2として入力される。 M I S T Yの場合は、 n = 3 2である。 nビット入力データ 5 5 1は、関数 F L 5 0 1によりデータ変換されて後、そのまま nビットデータ 5 5 3として出力されるとともに、関数 F O 5 1 1によりデータ変換される。関数 F O 5 1 1により演算処理されたデータは、他方の nビット入力データ 5 5 2が関数 F L 5 0 2によりデータ変換された出力データと、排他的論理和演算 5 2 1においてビット毎に排他的論理和演算され、 nビットデータ 5 5 4が出力される。関数 F Oにおいては、関数 F I 6 0 1〜6 0 3と排他的論理和演算 6 1 1〜6 1 3により演算がなされる。即ち、入力された 2 mビットデータ（nビット） 6 5 0が 2つの mビットデータ 6 5 1 と 6 5 2に分けられる。データ 6 5 1は、関数 F I によりデータ変換されて後、データ 6 5 2と排他的論理和演算 6 1 1によりビット毎に排他的論理和演算され、データ 6 5 3として出力される。データ 6 5 2は、データ 6 5 4としてそのまま出力される。以下同様の動作を全部で 3段繰り返し、 2つの mビットデータを併せ、 2 mビット（nビット）データ 6 5 5として出力される。

次に、 2段目の処理について説明する。

第 1段目の出力データ 5 5 4は、そのまま出力されると同時に、関数

F O 5 1 2によりデータ変換される。関数 F O 5 1 2の出力データは、もう一方の nビットデータ 5 5 3と排他的論理和演算 5 2 2において、ビット毎に排他的論理和が演算され出力される。

以下 1段目と 2段目と同様なデータ変換が必要段数繰り返され、 nビットデータ 5 5 7， 5 5 8が出力され、最後に、また F L関数 5 0 5， 5 0 6により変換され、上位、下位が入れ換えられて、この 2つの nビットデータが合成され、 2 nビットデータ 5 5 9が出力される。

図 1 2は、図 1 0，図 1 1で説明したデータ変換アルゴリズムを実現する暗号処理装置の概略構成図を示したものである。

図 1 2において、 7 0 1， 702, 703はレジスタ A，レジスタ B ，レジスタ C、 7 1 1 , 7 1 2, 7 1 3, 7 1 4はセレクタ A，セレクタ B，セレクタ C，セレクタ D、 7 2 1 , 7 2 2, 7 2 3は排他的論理和回路、 7 24はデータ変換を行う闋数 F I演算回路、 7 25はデータ変換を行う関数 F L演算回路、 7 5 1は入力データ A、 7 5 2は入力デ一タ 8、 7 5 3は出力データ A、 7 54は出力データ Bである。

ここで、レジスタ C 70 3, セレクタ C 7 1 3、関数 F I演算回路 7

24、排他的論理和回路 7 2 3により第 1のデータ変換を行う第 1の演算回路 1 0 1を構成する。また、レジスタ C 703, セレクタ C 7 1 3 、関数 F I演算回路 7 24、排他的論理和回路 7 2 3によりループ処理回路 20 1を構成する。

図 1 3〜図 1 5は、図 1 2に示された暗号処理装置の動作を説明するフローチヤ一トである。

図 1 3〜図 1 5を用いて動作を説明する。

まず、 2 X nビットの入力データは、 nビットの 2つのデータに分割され、入力データ A 7 5 1及び入力データ B 75 2として入力される。 M I STYの場合は、 n= 3 2である。入力されたデータは、セレクタ A 7 1 1 , セレクタ B 7 1 2において選択され、それぞれレジスタ A 7 0 1及びレジスタ B 702に保持される（ステップ 8— 1 ) 。

次に、セレクタ C 7 1 3において、奇数段目の処理か偶数段目の処理かが判断され（ステップ 8— 2) 、レジスタ A 70 1に保持されたデータが選択される（ステップ 8— 3) 。次に、この選択されたデータが関数 F L演算回路 7 25においてデータ変換され（ステップ 8— 4) 、出力データがセレクタ D 7 1 4において選択される（ステップ 8— 5) 。更に、この選択されたデータがセレクタ A 7 1 1において選択され（ステツプ 8— 6) 、レジスタ A 70 1に保持される（ステップ 8— 7) 。次に、セレクタ C 7 1 3において、レジスタ B 7 0 2に保持されたデータが選択される（ステップ 8— 8) 。この選択されたデータが関数 F L演算回路 7 2 5においてデータ変換され（ステップ 8— 9) 、出力データがセレクタ D 7 1 4において選択される（ステップ 8— 1 0) 。更に、この選択されたデータがセレクタ B 7 1 2において選択され（ステップ 8— 1 1 ) 、レジスタ Bに保持される（ステップ 8— 1 2) 。次に、セレクタ C 7 1 3において、レジスタ A 7 0 1に保持されたデータが選択される（ステップ 8— 1 3) 。次に、この選択されたデータ (2 Xmビット）は、 mビットずつに分けられ、一方の mビットのデータは、そのまま出力データとして出力される。他方の mビットデータは、' 関数 F I演算回路 7 24に入力されデータ変換されて後、排他的論理和回路 7 2 3において、もう一方の mビットデータとビット毎の排他的論理和演算され、これら 2つの出力データが合成される（ステップ 8—

1 4) 。出力データは、レジスタ C 7 03に保持される（ステップ 8—

1 5) 。これにより、 1回目の関数 F I演算回路 7 24を中心とした処理が完了する。

次に、セレクタ C 7 1 3において、レジスタ C 703に保持されたデータが選択される（ステップ 8— 1 6) 。この選択されたデータ（2 X mビット）は、 mビットずつに分けられ、一方の mビットのデータは、そのまま出力データとして出力される。他方の mビットデータは、関数 F I演算回路 7 24に入力されデータ変換されて後、排他的論理和回路 7 2 3において、もう一方の mビットデータとビット毎の排他的論理和演算され、これら 2つの出力データが合成される（ステップ 8— 1 4) 。出力データは、レジスタ C 703に保持される（ステップ 8— 1 5) 。これにより、 2回目の関数 F I演算回路 7 24を中心とした処理が完了する。

次に、セレクタ C 7 1 3において、レジスタ C 703に保持されたデータが選択される（ステップ 8— 1 6) 。この選択されたデータ（2 X mビット）は、 mビットずつに分けられ、一方の mビットのデータは、そのまま出力データとして出力される。他方の mビットデータは、関数 F I演算回路 7 24に入力されデータ変換されて後、排他的論理和回路 7 2 3において、もう一方の mビットデータとビット毎の排他的論理和演算され、これら 2つの出力データが合成される（ステップ 8— 1 4) 。出力データは、レジスタ C 70 3に保持される（ステップ 8— 1 5) 。これにより、 3回目の関数 F I演算回路 7 24を中心とした処理が完了する。

次に、セレクタ C 7 1 3において、レジスタ C 7 03に保持されたデータが選択され（ステップ 8— 1 6) 、この選択されたデータがセレクタ D 7 1 4において選択される（ステップ 8— 1 8) 。次に、奇数段目の処理か偶数段目の処理かが判断され（ステップ 8— 1 9) 、この選択されたデータがフィードバックされ、レジスタ B 7 02に保持されたデータと排他的論理和回路 7 22において、排他的論理和演算を取られる (ステップ 8— 20) 。その出力データがセレクタ B 7 1 2において選択され（ステップ 8— 2 1 ) 、この選択されたデータがレジスタ B 70 2に保持される（ステップ 8— 22) 。以上で、第 1段目のデータ変換処理が完了する。

次に、図 1 0における 2段目のデータ変換処理に相当するデータ変換処理を行う。

まず、セレクタ C 7 1 3において、偶数段目の処理であることが判断され（ステップ 8— 2 ) 、レジスタ B 7 0 2に保持されたデータが選択される（ステップ 8— 2 4 ) 。

この選択されたデータ（2 X mビット）は、 mビットずつに分けられ、一方の mビットのデータは、そのまま出力データとして出力される。他方の mビットデータは、関数 F I演算回路 7 2 4に入力されデータ変換されて後、排他的論理和回路 7 2 3において、もう一方の mビットデータとビット毎の排他的論理和演算され、これら 2つの出力データが合成される（ステップ 8— 1 4 ) 。出力データは、レジスタ C 7 0 3に保持される（ステップ 8— 1 5 ) 。これにより、 1回目の関数 F I演算回路 7 2 4を中心とした処理が完了する。

次に、セレクタ C 7 1 3において、レジスタ C 7 0 3に保持されたデータが選択される（ステップ 8— 1 6 ) 。この選択されたデータ（2 X mビット）は mビットずつに分けられ、一方の mビットのデータは、そのまま出力データとして出力される。他方の mビットデータは、関数 F I演算回路 7 2 4に入力されデータ変換されて後、排他的論理和回路 7 2 3において、もう一方の mビットデータとビット毎の排他的論理和演算され、これら 2つの出力データが合成される（ステップ 8— 1 4 ) 。出力データは、レジスタ C 7 0 3に保持される（ステップ 8— 1 5 ) 。これにより、 2回目の関数 F I演算回路 7 2 4を中心とした処理が完了する。

次に、セレクタ C 7 1 3において、レジスタ C 7 0 3に保持されたデータが選択される（ステップ 8— 1 6 ) 。この選択されたデータ（2 X mビット）は mビットずつに分けられ、一方の mビットのデータは、そのまま出力データとして出力される。他方の mビットデータは、関数 F I演算回路 7 2 4に入力されデータ変換されて後、排他的論理和回路 7 2 3において、もう一方の mビットデータとビット毎の排他的論理和演算され、これら 2つの出力データが合成される（ステップ 8 _ 1 4) 。出力データは、レジスタ C 703に保持される（ステップ 8— 1 5) 。これにより、 3回目の関数 F I演算回路 7 24を中心とした処理が完了する。

次に、セレクタ C 7 1 3において、レジスタ C 70 3に保持されたデータが選択され（ステップ 8— 1 6) 、この選択されたデータがセレクタ D 7 1 4において選択される（ステップ 8— 1 8) 。次に、偶数段目の処理であることが判断され（ステップ 8— 1 9) 、この選択されたデータがフィードノくックされ、レジスタ A 70 1に保持されたデータと排他的論理和回路 72 1においてビット毎に排他的論理和演算される（ステツプ 8— 2 5) 。その出力データがセレクタ A 7 1 1において選択され（ステップ 8— 26) 、この選択されたデータがレジスタ A 70 1に保持される（ステップ 8— 2 7) 。以上で、第 2段目のデータ変換処理が完了する。

以下、この第 1段目のデータ変換処理及び第 2段目の変換処理と同等な処理を交互に必要段数繰り返す。 M I STYは、第 8段目の変換処理と同等な処理を行うところまで行う。

次に、ステップ 8— 28の処理を行う。ステップ 8— 28は、上記ステツプ 8 _ 3〜8— 1 2を実行する。まず、セレクタ C 7 1 3において、レジスタ A 70 1に保持されたデータが選択される（ステップ 8— 3 ) 。次に、この選択されたデータが関数 F L演算回路 7 2 5においてデータ変換され（ステップ 8— 4) 、出力データがセレクタ D 7 1 4において選択される（ステップ 8— 5) 。更に、この選択されたデータがセレクタ A7 1 1において選択され（ステップ 8— 6) 、レジスタ A70 1に保持される（ステップ 8— 7) 。

次に. セレクタ C 7 1 3において、レジスタ B 702に保持されたデータが選択される（ステップ 8— 8 ) 。この選択されたデータが関数 F L演算回路 7 2 5においてデータ変換され（ステップ 8— 9 ) 、出力データがセレクタ D 7 1 4において選択される（ステップ 8— 1 0 ) 。更に、この選択されたデータがセレクタ B 7 1 2において選択され（ステップ 8— 1 1 ) 、レジスタ Bに保持される（ステップ 8— 1 2 ) 。最後に、レジスタ A 7 0 1及びレジスタ B 7 0 2で保持されているデータを出力データ A 7 5 3，出力データ B 7 5 4として出力する（ステップ 8— 2 9 ) 。

本実施の形態によれば、各段の関数 F O 5 1 1〜 5 1 4が図 1 1に示されるような構成を持つ場合であっても、関数 F I演算回路を 3つ、排他的論理和回路を 3つ持つ必要がなく、関数 F I演算回路を 1つ、排他的論理和回路を 1つ持てばよいので、回路規模を削減することが可能となる。また、暗号化アルゴリズムが図 1 0に示されるような構成を持つ場合であっても、関数 F L 5 0 1〜5 0 4を実現する回路部分を複数持つ必要がなく、関数 F L演算回路を 1つ持てばよいので、同様に回路規模の削減が可能となる。

本実施の形態である M I S T Yの場合、関数 F I , 関数 F Lは、暗号強度の高い関数を用いるため、非常に複雑な構成をとる。従って、本発明に基づく回路規模の削減の効果は非常に大きなものとなる。

また、本実施形態の動作の説明で明らかなように、レジスタ A〜レジスタ C、セレクタ A〜セレクタ Dは、常に動作する必要はなく、必要に応じて動作すれば、処理を実現することが可能である。これは、低消費電力化の実現においても非常に大きな効果を奏する。

実施の形態 3.

図 1 6と図 1 7は、この発明の一実施の形態である通信システムの概略構成図を示したものである。

図 1 6と図 1 7において、 9 1はリーダー ' ライター、 9 2は 1 じ ( インテグレーテッド ·サーキット）カード、 9 3は I Cカード 9 2の I 。である。 I C 9 3は構成要素として、 94は通信データの送受信を行う送受信回路、 9 5は装置の制御等を行う C PU (セントラル .プロセッシング .ユニット）、 ₉ 6はデータ、プログラム等が記憶されるメモリ、 9 7は通信データの暗号 ·復号化処理を行う暗号処理装置である。 I C 9 3は構成要素として、送受信回路 94、 C PU 9 5、メモリ 9 6 、喑号処理装置 9 7を有する。

暗号処理装置 9 7には、実施の形態 1又は実施の形態 2に記載された暗号処理装置が利用される。

この通信システムの通信においては、喑号化されたデータが通信される。即ち、 I Cカード 9 2は、暗号処理装置 9 7により暗号化されたデータを送受信回路 94によりリーダー ' ライター 9 1に送信する。また、リーダー · ライター 9 1から送信されたデータを送受信回路 94により受信し、この受信データを暗号処理装置 9 7で複号化することにより通信を行う。

尚、リーダー ' ライター 9 1 と I Cカード 9 2の通信は、接触 ·非接触のどちらであってもよレ、。産業上の利用可能性

以上のように、この発明によれば、暗号化されたデータを通信する通信システムにおいて、暗号処理装置の回路規模の削減及び低消費電力化を実現することが可能となる。

また、更に、 I Cカードに、この発明の喑号処理装置を用いることにより、効率的な I Cの構成が可能となり回路規模の削減及び低消費電力化の実現された I Cカードを得ることが可能となる。

Claims

請求の範囲

1 . 入力データに対して第 1の演算回路により第 1のデータ変換処理を複数回行う暗号処理装置において、

前記第 1の演算回路は、更に第 2のデータ変換処理を複数回行うループ処理回路を有し、

前記選択回路は、当該ループ処理回路による第 2のデータ変換処理を終了させるか継続させるかを選択することを特徴とする暗号処理装置。

2 . 前記第 2の演算回路は、

前記第 2の演算回路に入力されたデータを第 1 の分割データと第 2の分割データに分けるデータ分割回路と、

前記排他的論理和回路の出力データと前記第 2の分割データを結合するデータ結合回路を有することを特徴とする請求項 1記載の暗号処理装

3 . 前記選択回路は、第 1の演算回路による第 1のデータ変換処理を行うデータと、データ保持回路が保持するデータとを入力し、当該ループ処理回路による処理を継続させる場合にデータ保持回路が保持するデータを選択することを特徴とする請求項 1記載の暗号処理装

4 . 前記選択回路は、当該処理ループ回路による処理を開始する場合に、第 1の演算回路による第 1のデータ変換処理を行うデータを選択することを特徴とする請求項 3記載の暗号処理装置。

5 . 前記暗号処理装置は、更に、

を備え、

前記選択回路は、レジスタ Aとレジスタ Bを交互に選択して当該処理ループ回路による処理を開始することを特徴とする請求項 4記載の暗号処理装置。

6 . 前記第 1の演算回路は、処理ループ部により第 2のデ —タ変換処理が行われたデータに対して、更に、第 2のデータ変換処理とは異なるデータ変換を行い出力することを特徴とする請求項 1記載の暗号処理装置。

7 . 前記第 2の演算回路は、

を備えたことを特徴とする請求項 1記載の暗号処理装置。

8 . 前記暗号処理装置は、

前記関数演算部で演算されたデータと選択回路から出力されたデータとを入力して、いずれか一方のデータを出力するセレクタを備えたことを特徴とする請求項 2記載の暗号処理装置。

9 . 入力データに対して第 1の演算ステップにより第 1のデータ変換処理を複数回行う暗号処理方法において、

前記第 1の演算ステップは、更に第 2のデータ変換処理を複数回行うループ処理ステップを有し、

前記ループ処理ステップは、

前記第 2のデータ変換処理を行う第 2の演算ステップと、

当該ループ処理ステップによる第 2のデータ変換処理を終了させるか継続させるかを選択する選択ステップを有する暗号処理方法。

1 0 . 前記第 2の演算ステップは、

前記第 2の演算ステツプに入力されたデータを第 1の分割データと第 2の分割データに分けるデータ分割ステップと、

前記第 1の分割データをデータ変換する第 3の演算ステップと、前記第 3の演算ステツプの出力データと前記第 2の分割データをビット毎に排他的論理和演算する排他的論理和ステップと、

前記排他的論理和ステップの出力データと前記第 2の分割データを結合するデータ結合ステップを有することを特徴とする請求項 9記載の暗号処理方法。

1 1 . リーダー · ライターとデータの通信を行う I C (インテグレーテッド ·サーキット）カードであって、

前記リーダー · ライターから前記データを受信するデータ受信回路と、

前記リーダー · ライターに前記データを送信するデータ送信回路と、前記データを暗号処理する請求項 1に記載の暗号処理装置を有することを特徴とする I cカード。

1 2 . リーダー · ライターとデータの通信を行う I Cカードであって、

前記リ一ダー ' ライターから前記データを受信するデータ受信回路と前記リーダー · ライターに前記データを送信するデータ送信回路と、前記データを暗号処理する請求項 2に記載の暗号処理装置を有することを特徴とする I Cカード。