WO1999000783A1 - Dispositif de chiffrement - Google Patents

Description

明細書

技術分野

この発明は、 データの通信または保持において、 データを秘匿するための暗号 化装置、 特に、 秘密鍵の制御のもとでデータをブロック単位で暗号化または復号 を行う共通鍵暗号方式による暗号化装置に関するものである。

従来の技術

データを秘匿するための暗号化装置に含まれる代表的な共通鍵暗号方式には、 米国連邦標準喑号である DE S (Data Encryption Standard) 喑号がある。 図 1は、 D E S暗号の機能構成を示す。 D E S暗号では、 5 6ビットの秘密鍵 を用い、 6 4ビットのデータブロック単位に暗号化または復号を行う。 図 1にお いて、 暗号化処理は、 平文 Pの 6 4ビットを初期変転部 1 1において初期転値で 変換した後、 3 2ビットごとのブロックデータ L。， R。に分割される。 ブロックデ —タ R。 は図 2に第 i段ラウンド処理部 1 4 i (i=0, 1, ·■·, 15) のものとして示す 関数演算部 （ラウンド関数と呼ばれている） 1 2へ入力され、 4 8ビットの拡大 鍵 k。 の制御のもとに f(R。， ko) に変換される。 この変換データ f(R。， ko) とブ ロックデータ L。 との排他的論理和を X O R回路 1 3でとり、 その出力とブロッ クデータ R。 とを入れ替えて、 次のブロックデータし， とする。 即ち、

Li = R。 （1)

である。

このように 2つのブロックデータし。， R。を入力として演算部 1 2と排他的論理 和回路 1 3とデータの入れ替え （スワップ） とによりし， R_tを出力する第 0段ラ ゥンド処理部 1 4。 が構成され、 同じようなラウンド処理部 1 4 〜1 4₁₅が縦 続的に設けられる。 第 i段ラウンド処理部 1 4 i による処理を第 i段のラウンド 処理と呼ぶことにする。 ただし、 i=0，' 15 である。 つまり各ラウンド処理部 1 4 i (0≤ i < 1 5) では、

R_{i +} ,= Li Θί (Ri, ki)

の処理が行われ、 最後に R₁₆， L₁₆を統合して 64ビットにした後、 最終転値部 1 5において最終転値で変換して暗号文 64ビットを出力する。 復号処理におい ては、 関数 f に入力する拡大鍵 k。， ki, ···, k₁₄₎ k₁₅の順序だけを逆転させて、 k_15> k₁₄, ···, ki, k。の順に入力するようにする点を除けば、 暗号化処理と同じ 手順で実行できる。 その場合、 最終段ラウンド処理部 1 4₁₅のスワップ出力し ₆，

R₁₆を、 図に示すように更にスワップするように構成することにより、 復号処理 において暗号文を初期転置 1 1に入力して図 1の処理を実行することにより、 最 終転置 1 5の出力に平文がそのまま得られる。 勿論、 最終段ラウンド処理部 14 ₁₅の出力をスワップしないで最終転置 1 5にデータを与える構成としても全く同 じである。 なお、 拡大鍵 k。， k ···, k", k₁₅は、 暗号化処理とは別の拡大鍵生 成ルーチン 1 6で 56ビットの秘密鍵が 48ビットの拡大鍵 1 6個の計 768 ビッ トに拡大されることによって生成される。

関数演算内部 1 2の処理は、 図 2に示すように行われる。 まず、 3 2ビッ トの ブロックデータ Ri は拡大転値部 1 7で 48ビットデータ E(Ri) に変換される。 これに拡大鍵 k i とで排他的論理和を XOR回路 1 8で取り、 48ビッ トデ一タ E(Ri)®kiに変換した後、 8個の 6ビットごとのサブブロックデータに分割する。 この 8個のサブブロックデータはそれぞれ異なる S- box S 〜S_S に入力され、 各々が 4ビッ トの出力を得る。 なお、 この S_box S (j=l, ···, 8) は 6ビッ トの入 力データから 4ビッ トの出力データに変換する非線形変換テ一ブルであり、 DE S喑号の本質的な安全性を担っている部分である。 S- box Si 〜S_S の 8つの出 力データは、 再び連結されて 32ビットデータになった後、 転置変換部 1 9を経 て、 図 8に示されるように、 Li と排他的論理和される関数 f の出力 f(Ri, ki) となる。

次に、 暗号解読法について述べる。 DE S暗号を始めとする従来の共通鍵暗号 方式についてはさまざまな方面から暗号解読が試みられており、 そのなかでも、 極めて効果的な解読法であるのが E. Biham及び A. Shamirによって提案された 分角? ¾fi法 ( "Differential Cryptana丄 ysis of DES— like し ryptosystems. Pr oceedings of CRYPTO' 90) と松井によって提案された線形解読法 （ "DES喑号 の線形解読法 （ I ) ， " 1 993年暗号と情報セキュリティシンポジウム SCIS93 -3C) である。

差分解読法は、 2つのデータ X， X* の差分を

ΔΧ= X θ X* (3)

としたとき、 解読者が入手している平文 ·暗号文の 2組を以下の式に適用して、 最終ラウンドにおける拡大鍵 k₁₅を求めることを目的としている。 図 1の暗号化 処理において、 既知の第 1平文を入力したときの各ラウンド処理部 14 i での入 カブロックデータをし， Riとし、 既知の第 2平文を入力したときの各ラウンド処 理部 1 4 ' での入力ブロックデータをじ R とする。 これら第 1及び第 2平文 が入力されたときの出力暗号文がそれぞれ既知であるとする。 上記式（3) の定義 により

である。 なので、

が成立し、 これら 2つの式の両辺の排他的論理和を取ると

ARi₆ = ALi5 ®f (Lie, k₁₅)®f (L₁₆ Φ厶し₆, k₁₅) (6)

が得られ、 その両辺と AR₁₄ = AL₁₅ との排他的論理和を取ることにより次の式が 得られる ：

f (Li6, k₁₅)®f ((Lis Θ AL₁₆), kis) = ARi6 Θ ARi₄ (7) このとき、 L₁₆， ALie, ARie は暗号文から得られるデータであるので既知の情 報である。 このため、 解読者が AR₁₄を正しく求めることができるならば、 上式 は k₁₅のみが未知定数となり、 既知の平文 ·暗号文の組を用いて k₁₅に関する全 数探索を行うことで、 解読者は必ず正しい ₅を見つけだすことができる。 一方、 △ R "についてみてみると、 この値は中間差分値であるため、 一般には求めるこ とが困難である。 そこで、 0ラウンド目から最終ラウンドの一つ前までのラウン ド目までにおいて、 各ラウンドが確率 _{P i} で

ARi + i = AL> θ Δ {f (ARi)} 厶 L_{i + 1} = AR_{i + 1} (8) のように近似されるとおく。 ここでのポイントは、 ある A R i が入力されたとき、 拡大鍵 の値に関わらず、 確率 _{P i} で Δ{ί'(ΔΙ^)} を予測できるということに ある。 このように近似できるのは、 Δ{ί·(ΔΙ^)} に影響を与えるのが非線形な変 換である S- box の部分だけであり、 しかも S-box において、 入力差分によっては 差分出力の分布に極めて大きな偏りが生じるためである。 例えば、 S-box S , で は、 入力差分" 110100"のとき、 1/4 の確率で出力差分" 0010Ίこ変換されるためで ある。 そこで、 各々の S - box が確率 p _{s i}で入力差分と出力差分との関係が予測で きるとおき、 これらを組み合わせることで各ラウンドの近似を求める。 更に、 各 ラウンドでの近似を連結していくことで、 AR_{1 4}は確率 P=n_Pi で Δし。， AR₀ (AL 0, AR。 は平文から得られるデータであるので既知の情報である） から求められ ることになる。 なお、 この確率 Pが大きいほど、 暗号解読が容易である。 このよ うにして、 拡大鍵 k ₁₅が求められると、 今度は 1段少ない 1 5段 DES喑号とみ なして、 同様の手法で、 拡大鍵 k₁₄を求めていくということを繰り返して、 最終 的に拡大鍵 k。 まで求めていく。

Biham らによると、 この解読法では、 2⁴⁷組の選択された既知平文 '暗号文の 組があれば DE S暗号を解読できるとしている。

また、 線形解読法は、 以下の線形近似式を構成し、 解読者が入手している平文 •暗号文の組による最尤法を用いて拡大鍵を求めることを目的としている。

(Lo, Ro) · r(L。， Ro)e(Li 6 , Ri e) · Γ (Li e, Ri ₆)

= (k。， ki, ···， ki ₅) · Γ (ko, k!, ···， ki s) (9)

ただし、 Γ (X)は Xの特定のビット位置を選択するベク トルを表し、 マスク値とレ、 ラ。

線形近似式の役割は、 暗号アルゴリズム内部を線形表現で近似的に置き換え、 平文 ·暗号文の組に関する部分と拡大鍵に関する部分とに分離することにある。 つまり、 平文 ·暗号文の組に関して、 平文の特定のビット位置の値と暗号文の特 定のビット位置の値との全ての排他的論理和が一定値となり、 その値は拡大鍵の 特定のビット位置の値の排他的論理和に等しくなることを表している。 従って、 解読者は (Lo, Ro) · Γ (Lo, Ro)e(Li 6, Ri ₆) · Γ (Li e, Ri e)

の情報から

(ko, ki, ···, ki s) - T (ko, kl, ···, kis) ( 1ビット）

の情報が得られるということになる。 このとき、 （L。， Ro), (Li e, R_{1 6})はそれぞ れ平文 ·暗号文のデータであるので既知の情報である。 このため、 解読者が Γ(Χ Ro) , Γ (し R, ₆), r(k。， kl, ···, ki s) を正しく求めることができるなら ば、 （k。， ki, ···, ki s) . r(k。， ki, '··， kis) ( 1 ビッ ト） を求めることができ る。

DE S喑号では、 非線形な変換が行われるのは S- box においてだけであり、 従 つて S- box についてのみ線形表現ができれば、 容易に線形近似式が構成できる。 そこで、 各々の S_box S i が確率 p _s iで線形表現できるとおく。 ここでのポイン トは、 S-box に対する入力マスク値が与えられたとき、 確率 p _{s i}でその出力マス ク値を予測できるということにある。 これは、 非線形変換テーブルである S - box において、 入力マスク値によっては差分マスク値の分布に極めて大きな偏りが生 じるためにおこる。 例えば、 S- box S s では、 入力マスク値" 010000"のとき、 3/ 16の確率で出力マスク値" 1111"が予測されるためである。 これら S - box における マスク値を組み合わせることによって、 各ラウンドが確率 P i で入力マスク値と 出力マスク値のあいだに線形近似することができ、 各ラウンドでの線形近似を連 結していくことで、 r(L。， Ro), Γ (Li e, Ri e), Γ (ko, ki, ···, k, ₅) は確率

で求められることになる。 なお、 この確率 Pが大きレ、ほど、 暗号解読が容易であ る。

松井によると、 この解読法で、 2⁴³組の既知平文 .暗号文の組を用いて、 DE S暗号の解読に成功している。

さて、 上記の解読法に対抗するためには、 確率 Pが十分に小さくなればよい。 このため、 確率 Pを小さくするための提案がさまざま行われており、 なかでも従 来の暗号方式において、 もっとも簡単に安全性を高めるための方法がラウンド数 を増やすことであった。 例えば、 DE S暗号を 3つつなげた Triple- DES暗号は、 実質的に DESのラウンド数を 1 6段から 48段に増やした暗号方式であり、 確 率 Pは、 D E S喑号よりもはるかに小さい。 - しかし、 上記の解読法に対抗するための対策として、 ラウンド数を増加させる ことは、 暗号装置の規模が大きくなり、 データの処理量も増加することになる。 例えば、 ラウンド数を 3倍に増やせば、 暗号化処理量も 3倍になる。 つまり、 現 在の D E S暗号の暗号化速度は Pentium P Cクラスで約 10Mbpsであるため、 Trip le- D E S暗号ともなると約 3. 5Mbps まで暗号化速度が低下する。 一方で、 ネッ トワークやコンピュータなどは年々高速化しており、 暗号化装置もそれらの高速 化に対応したものが望まれている。 このため、 従来の暗号装置では、 それらの高 速化の要求に対して、 安全性と高速性を同時に満たすことはきわめて困難な状況 になっている。

この発明の目的は、 上記の点を鑑みなされたもので、 ラウンド段数を増加させ ることなく安全性条件を満たすような暗号装置を提供することにある。

発明の開示

この発明では、 特に非線形関数部において、 非線形関数部の入力データに鍵記 憶部に保持された鍵データに基づいて線形変換を行う鍵依存線形変換部と、 この 鍵依存線形変換部の出力データを複数個のビッ ト列に分割する分割部と、 これら 分割された各ビット列に非線形変換をそれぞれ行う第 1の非線形変換部と、 その 第 1の非線形変換部の各々の出力ビッ ト列間で線形変換を行う第 1の線形変換部 と、 その第 1の線形変換部の出力ビッ ト列の一部またはすべてに非線形変換を行 う第 2の非線形変換部と、 その第 2の非線形変換部の出力ビッ ト列をその非線形 関数部の出力データに結合する結合部とを備えることを特徴とする。

更に安全性を向上させるには、 上記結合部の出力データを上記非線形関数部の 出力データに線形変換を行う第 2の線形変換部を備えることを特徴とする。

また、 上記第 1の線形変換部または上記第 2の線形変換部、 もしくはその両方 の部が、 データの線形変換を行うときに、 上記鍵記憶部に保持された鍵データに 基づいて線形変換を行う鍵依存線形変換部であることを特徴とする。

この発明によれば、 S- box における確率が p s p _b く 1であるとき （p _b は S-box の最大差分又は線形確率） 、 各ラウンドを近似するときの確率は p i ≤p b ² (ただし、 差分解読法の場合は関数 f への入力差分が 0でないとき、 線形解読 法の場合は関数 f での出力マスク値が 0でないとき） となることが保証される。 また、 関数 f が全単射 （入力が異なれば出力が必ず異なる） であるとき、 暗号方 式のラウンド数を 3 mとすると、 暗号方式としての確率は P≤ p i ^{2 m}≤ p _b ^{4 m}とな る。 一般に、 暗号方式では P < 2— ^{6 4} であれば差分解読法や線形解読法に対して 安全とされるため、 m〉-16/ {log₂ ( p _b ) }を満たせばよく、 p _b ^ 2— ⁴であれば D E S暗号の 1 6ラウンドよりも少ないラゥンド数で安全性を確保できる。 なお安全 性の確率は _mラウンドの倍数ごとに変化する。

この発明によれば、 差分解読法や線形解読法に対する安全性を比較的少ないラ ゥンド数で確保できるため、 安全性と低処理量を両立させた暗号装置を提供する ことが可能になる。 図面の簡単な説明

図 1は従来の D E S暗号装置の機能構成を示す図。

図 2は図 1中の f 関数演算部 1 2の具体的機能構成を示す図。

図 3はこの発明の実施例 1の機能構成を示す図。

図 4は実施例 1における非線形関数部 304 の詳細な機能構成例を示す図。 図 5は図 4中の鍵依存線形変換部 347 の具体例を示す図。

図 6はこの発明の実施例 2の機能構成を示す図。

図 7 Aは実施例 2における非線形関数部 304 の詳細な機能構成を示す図。 図 7 Bはこの非線形関数部 304 における線形変換部 354 の具体例を示す図。 図 8はこの発明の実施例 3の機能構成を示す図。

図 9は実施例 3における非線形関数部 304 の詳細な機能構成を示す図。 発明を実施する最良の形態

実施例 1

以下、 この発明の一実施例を図面を用いて説明する。

図 3は、 この発明の一実施例を示す暗号装置における、 暗号化処理手順の機能 構成を示したものである。 この発明による暗号装置においても、 入力データを 2 つのブロックデータし。， R。に分割し、 それらを順次ラウンド処理する n段に従属 接続されたラウンド処理部 3 8。〜3 8 _n— が設けられ、 各ラウンド処理部 3 8 i (i=0, Ι, ···,η-1) は図 1のラウンド関数部 1 2に対応する非線形関数部 304 と、 図 1の XOR回路 1 3に対応する線形演算部 305 と、 交換部 306 とから構成され ている。

平文に相当する入力データ Ρを入力部 301 から暗号装置内に入力する。 予め、 鍵入力部 320 から入力されたデータに基づいて鍵データ生成部 321 により鍵デー タ

{fk; ko 0, ki 0, k20； ko , ki , k≤ ； …； ko ， ki ， k₂ ek} が生成され、 鍵記憶部 322 に保持される。 入力平文データ Pは鍵記憶部 322 に保 持されている鍵データ ί kによる鍵依存初期線形変換部 302 で変換された後、 初 期分割部 303 で 2つのブロックデータし。， R。に分割される。 例えば 6 4ビッ トの データが 3 2ビットづつのブロックデータ ， R。に分割される。 プロックデータ Ro は、 鍵記憶部 322 に保持されている鍵データ k。。， k ₁₀, k ₂。と共に第 0段 ラウンド処理部 3 8。 の非線形関数部 304 に入力され、 変換処理によりデータ Y 。 に変換される。 データ Y。 とプロックデータ L。 は線形演算部 305 で演算され てデ一タ 。* に変換される。 データ Lo* とブロックデータ R。 は交換部 306 でデ ータ位置の交換 （スワップ） が行われ、 。， 。* とされ、 し， が次の 第 1段ラウンド処理部 3 8 に入力される。

以下、 第 i段ラウンド処理部 3 8 i (ί = 1, ···,η- 1) において、 2つの入力ブロッ クデータし， Riについて上記と同様の処理を繰り返し行う。 即ち、 第 i段ラウン ド処理部 3 8 i においては、 2つのブロックデータし， Riのうちの、 データ Ri は、 鍵記憶部 322 に保持されている鍵データ k _{0 i}， k _{l i t} と共に非線形関数 部 304 に入力され、 非線形関数部 304 で変換処理を受け、 データ Yi に変換され る。 データ Yi とブロックデータ L i は線形演算部 305 で演算されてデータし* に変換される。 データ とデータ Ri は交換部 306 でデータ位置の交換が行わ れ、 L_{i +}

* のように交換される。 線形演算部 305 は例えば排他的 論理和演算を行うものである。

暗号方式としての安全性を確保するための適切な繰り返し回数を nとすると、 ラウンド処理部 38。〜38_n による繰り返し処理の結果、 データし， R_nが得られる。 このデータし， R_nを最終結合部 307 で 1つのブロックデータに結合し、 つまり例 えば 3 2ビットの各し， R_nをビット結合して 64ビットのデータとし、 その後、 鍵記憶部 322 に保持されている鍵データ e kを使って鍵依存最終線形変換部 308 で変換し、 出力部 309 から暗号文として出力データ Cを出力する。

復号については、 暗号化処理手順と逆の手順をたどることによって、 暗号文 C から平文 Pが得られる。 例えば図 3において入力データの代りに暗号文データを 入力し、 鍵データを図 3とは逆に、 ek， ko , kl , k₂ , …， koi, ki !, k₂₁， koo, k₁₀， k-2 o, fk を順次与えればよレ、。

図 4は、 各ラウンド処理部 3 8 ! に使用されている非線形関数部 304 の機能構 成を示す。 第 i段ラウンド処理部 3 8 の入カブ口ックデータ R i は、 鍵記憶部 322 に保持されている鍵データ k。 k! i, k_{2 i} と共に非線形関数部 304 への入力 データとなる。 ブロックデータ Ri は、 鍵データ k。iを使用した鍵依存線形変換 部 341 によりデータ Ri* に線形変換される。 データ Ri* は分割部 342 において例 えば 8ビットづつの 4つのデータ in。， ini, in₂, in₃にビット分割される。 4つ のデータ in。， im, in in_sは、 それぞれ非線形変換部 343， 344， 345, 346にお いて、 データ mid。。， midoi, mido2, mid。₃に非線形変換された後、 鍵依存線形変 換部 347 に入力される。

鍵依存線形変換部 347 は、 図 5に示すようにこの例ではそれぞれが少なく とも 1つの排他的論理和を含む 4つの処理系列 3 0。〜 3 0₃から構成され、 これら処 理系列はそれらの排他的論理和により互いに論理結合されている。 各処理系列に おいて他の処理系列のデータと線形演算 （排他的論理和） を行うことにより、 そ れぞれの処理系列において均質化されたデータを生成し、 図 5の例では更に鍵デ ータ k iにより線形処理される。 即ち、 データ mid。。， midoi, mid。2， mid。₃はそ れぞれ処理系列 3 0。 〜3 0₃ に入力され、 処理系列 3 0 において入力データ mid。。と mid。！との排他的論理和が XOR 3 1 , によりとられ、 また処理系列 3 0 2 において入力データ mid。₂と mid。₃の排他的論理和が XOR 3 1₂ によりとられ、 更に XOR 3 1 1 の出力と XOR 3 12 の出力の排他的論理和が X O R 3 2₂ に よりとられる。 XOR 3 1 ! の出力と XOR 3 2₂ の出力との排他的論理和が X O R 3 3！ によりとられ、 XOR 3 3 ! の出力と入力データ mido。 の排他的論理 和が XOR 34。 によりとられ、 XOR 3 2₂ の出力と入力データ mid。 ₃ との排 他的論理和が XOR 3 4₃ によりとられる。 更に、 XOR 3 4。 ， 3 3 ， 3 2 2 , 3 43 のそれぞれの出力と鍵データ i。， ki i i, k_{l i 2}， k_{l i 3}との排他的論理 和が XOR 3 5。 〜3 5₃ によりとられて、 それぞれ mid₁₀， midi i, mid₁₂， mid ュ ₃が出力される。 つまり処理系列 3 0。〜3 Osの入力データ mid。。， midoi, mid。

2 , mid。₃は相互に関連づけられた後、 それぞれ鍵データ i。， k!i!, kl 12, kl _{i 3} に依存した線形変換が行われる。 論理式で示すと次式

midi 0 = midoo ®mido 2 miclo s ®ki i 0

mid 11

®raido s ®ki i i

midi 2 = mi do o ®mido i ©mi do 2 ©mi do 3 ®ki i 2

midi 3 =mido 00mid_o 1 mi do 2 ®ki 3 (11) の論理演算がなされる。 これらの式から明らかなように、 鍵依存線形変換部 34 の各処理系列の出力には少なくとも 2つ以上の他の系列の入力データがこの例で は排他的論理和の形で含まれており、 従って、 各系列の出力データには 4つの入 力デ一タのうち、 2つ以上の成分が含まれるように均質化されている。

これら出力データ mic o, midi !, mid₁₂, mid₁₃は、 それぞれの処理系列 3 0。 〜30s に設けられた図 4に示す非線形変換部 348 ， 349， 350, 351 において、 データ out。， outi, out 2, out₃に非線形変換された後、 それぞれの処理系列の出 力データとして結合部 352 に与えられ、 一つのブロックデータ Yi* に結合される。 つまり、 例えば 4つの 8ビットデータが 1つの 3 2ビットデータにビッ ト結合さ れる。 このデータ Yi* は、 鍵依存線形変換部 353 において鍵データ k_{2 i}によりデ ータ Yi に線形変換され、 非線形関数部 304 からの出力データ Yi が生成される。 非線形変換部 343〜346， 348〜351のそれぞれは、 例えば D E S暗号における 1つ の S- box と同様のもので、 それぞれ入力データに応じた異つた出力データを出力 する例えば ROMで構成される。

非線形変換部 343〜346は 4つ並列に配置されており、 それらの変換処理は相互 に関連していないため、 これらを並列実行することが可能であり、 従って、 これ らの数が増加することによる処理時間の増大を並列処理により対処できる。 非線 形変換部 348〜351についても同様のことがいえる。 各段のラウンド処理部 3 8 を構成する線形演算部 305 (図 3 ) 、 線形変換部 3 41, 347, 353 (図 4 ) などの処理に要する時間は S_box と同様な非線形変換部 34 3〜346， 348〜351等の処理に要する時間に比べてかなり短いので、 暗号化処理に 要する時間は使用される S - box 或いは非線形変換部の数にほぼ比例する。 ところ 、 非線形変換部 348〜351については、 鍵依存線形変換部 347 が前述のように複 数の入力データを各出力に均質化して出力するため、 鍵依存線形変換部 347 、 例えば図 5のように特定の線形変換であることが予めわかっている場合には、 非 線形変換部 348〜 351の何れか 1つ或いは複数を省略し、 対応するデータをそのま ま結合部 352 に与えても、 差分解読法及び線形解読法に対する安全性が低下しな いようにすることができ、 非線形変換を省略した分だけ暗号化処理量を削減でき る。 例えば、 鍵依存線形変換部 347 が図 5で表されているとき、 非線形変換部 34 9， 350を省略し、 データ mid , mich ₂をそのまま結合部 352 に入力しても差分解 読法及び線形解読法に対する安全性は低下しない一方で、 暗号化速度が約 3 3 % 向上する。 つまり鍵依存線形変換部 347 が予め決っている場合は差分解読法、 線 形解読法に対しては非線形変換部 348〜351の 1つ或いは複数はその存在が安全性 に関係ない場合があり、 その非線形変換は省略できる。

なお、 図 3において、 鍵データ生成部 321 による鍵データ {fk， k。。， 。， k- o , ko i , k i k _{2 1} , · · · , ko , k i , k₂ , ek}の生成は図 1の D E S 喑号の拡大鍵生成アルゴリズム 1 6と同様に行うことができる。

上記のように構成された暗号装置の場合、 例えば、 非線形変換部 343〜346， 34 8〜351の各 1つづつが差分解読法及び線形解読法に対して確率 p _b = 2— ⁶で近似表 現できるように設計されているならば、 各段のラウンド処理部 3 8 は非線形変 換を必ず 2回行うため、 即ち、 変換部 343〜346の処理と変換部 348〜351の処理を 縦続して行うため、 確率 _{P i}≤2— ^{1 2} で近似表現することができ、 暗号装置全体と してはラウンド数 nを n = 3 mとして、 確率 P≤2—^{2 4 m} で近似表現できることに なる。 ここで、 例えば m = 4 (ラウンド数 1 2段） とすると、 ^{9 6}となり、 D E Sのラウンド数 1 6より少ないラウンド数で安全条件 Pく 2— ^{6 4}を満たし、 差分 解読法及び線形解読法に対して十分安全な暗号装置となる。 即ち、 この発明は、 従来のラウンド関数演算部 1 2 (図 1 ) 内において非線形変換を縦続して 2回行 うように構成することにより、 暗号解読に対し安全性を倍に高めることができる。 鍵依存初期線形変換部 302 、 鍵依存最終線形変換部 308 、 鍵依存線形変換部 34 7， 353は鍵に依存する線形変換部であるため、 差分解読法及び線形解読法以外の 解読法に対しても十分な安全性を兼ね備え、 もっとも安全性を重視した暗号装置 である。

なお、 この発明はこの例に特定されるだけでなく、 例えば高速性を望むのであ れば、 後述の実施例のようにこれら鍵依存初期線形変換部 302 、 鍵依存最終線形 変換部 308 、 鍵依存線形変換部 353 については、 そのいずれか、 もしくはすべて を省略することが可能である。 この場合、 差分解読法及び線形解読法に対する安 全性は低下しない一方で、 削除した分だけ暗号化処理速度の向上が望める。 ただ し他の解読法に対しては弱くなるおそれはある。 また、 鍵依存初期線形変換部 30 2 、 鍵依存最終線形変換部 308 、 鍵依存線形変換部 347， 353のいずれか、 もしく はすべてを鍵に依存しない線形変換部に変更することも可能である。 この場合、 差分解読法及び線形解読法以外の解読法に対しても安全性が低下しない一方で、 インプリメントを最適化することにより、 暗号化処理速度の向上が望める。 なお、 線形変換部としては、 ビット位置を予め決めた関係で入れかえる転置、 予め決め たビット数だけ回転シフトするなどを行う。 鍵依存線形変換部は、 鍵データに応 じたビット数だけ回転シフトする、 あるいは、 鍵データとの排他的論理和演算を ^？亍うものなどである。

実施例 2

図 6は、 図 3の第 1実施例の非線形関数部 304 (図 4 ) における 2段目の 4つ の非線形変換部 348〜351のうち、 中央の 2つを省略した実施例を示す。 この実施 例では更に、 図 3における鍵依存初期線形変換部 302 と鍵依存最終線形変換部 30 8 も省略している。

平文に相当する入力データ Pを入力部 301 から暗号装置内に入力する。 入力デ ータ Pは初期分割部 303 で 2つのブロックデータし。， R。に分割される。 ブロック データ R。 は、 鍵記憶部 322 に保持されている鍵データ k。。， k₂。と共に第 0段ラ ゥンド処理部 3 8。 の非線形関数部 304 に入力され、 非線形関数部 304 で変換処 理を受けて、 データ Y。 に変換される。 データ Υ。 とデータ L。 は線形演算部 30 5 で演算され、 データ L。* に変換される。 データ L。* とデータ R。 は交換部 306 でデータ位置のスワップが行われ、 し=1？。， R!=Lo* とされる。 以下、 第 i段ラ ゥンド処理部 3 8 i (i=l, "',η- 1) において 2つのデータ Li， Riについて上記と同 様の処理を繰り返し行う。 即ち、 2つのデータし， Riについて、 データ Ri は、 鍵記憶部 322 に保持されている鍵データ k。i， k_{2 i}と共に非線形関数部 304 に入力 され、 非線形関数部 304 で変換処理を受けて、 データ Yi に変換される。 データ Yi とデータ L i は線形演算部 305 で演算され、 データし * に変換される。 デー タし* とデータ Ri は交換部 306 でデータ位置の交換が行われ、 L_{i + 1}=Ri， R_{i + 1} = Li* のように変換される。

暗号方式としての安全性を確保するための適切な繰り返し回数を nとすると、 nラウンドの繰り返し処理の結果、 データし， R_nが得られる。 このデータし， R_n を最終結合部 307 で結合した後、 出力部 309 から暗号文として出力データ Cを出 力する。

復号については、 暗号化処理手順と逆の手順をたどることによって、 暗号文 C から平文 Pが得られる。

図 7Aは、 図 6の実施例における第 i段ラウンド処理部 3 8 i の非線形関数部 304 の機能構成を示す。 前段からの入力データ Ri は、 鍵記憶部 322 に保持され ている鍵データ k。i， k_{2 i}と共に非線形関数部 304 への入力データとなる。 データ は、 鍵依存線形変換 341 において、 データ k。iによりデータ Ri* に線形変換 される。 次に、 デ一タ Ri* は分割部 342 において 4つのデータ in。 ， in, ， in₂ ， in₃ に分割される。 4つのデータ in。 ， i ， in₂ ， in₃ は、 それぞれ非線形変 換部 343， 344， 345, 346において、 データ mid。。， midoi, mid。₂， mid。₃に非線形 変換された後、 線形変換部 354 に入力される。 線形変換部 354 では、 例えば図 7 Bに示すように 4つの処理系列 3 0。〜3 0 s間でデータ相互に関連づけるように 変換される。 これは図 5中の鍵データとの論理演算を省略した場合と同じ例であ り、 下記の式で表わせる。

midi 0 = midoo ®mido2 ®mido3

midi l = midos ®midos

midi 2 = midoo ®midoi ®mido2 ®midos midi 3 = midoo ®mido l ®mido2 (12)

この線形変換で、 均質化されたデータ mic 。， mid: _{1 (} mic mid₁₃が生成され、 そのうちのデータ mid_{1 Q}， mid₁₃は、 それぞれ非線形変換部 348， 351において、 デ ータ out。， out₃に非線形変換された後、 結合部 352 において、 4つのデータ out。， midn, mid outs が 1つのデータ Yi* に結合される。 最後に、 データ Yi* は、 データ k_{2 i}による鍵依存線形変換部 353 において、 データ Yi に線形変換され、 非線形関数部 304 からの出力データ Yi が生成される。

非線形変換部 343〜346は 4つ並列に配置されており、 その変換処理は相互に関 連していないため、 これらは並列実行が可能である。 また、 非線形変換部 348， 3 51についても同様のことがいえる。 この実施例では、 各非線形関数部 304 内の 2 段目の非線形変形部が外側の 2つ （348， 351) だけに減らされているため、 それ だけ暗号化又は復号化処理量を削減することができる。

なお、 鍵データ k i は、 鍵入力部 320 から暗号装置内に入力された鍵情報 K e yから鍵データ生成部 321 によって変換され、 鍵記憶部 322 に保持されたデータ である。

上記のように構成された暗号装置の場合、 例えば、 非線形変換部 343〜346， 34 8， 351が差分解読法及び線形解読法に対して確率 p _b =2— ⁶で近似表現できるよう に設計されているならば、 実施例 1と同様に各ラウンドは確率 P i≤2— ¹² で近似 表現することができ、 暗号装置全体としてはラウンド数 nを n=3mとして、 確率 p ≤2"^24m で近似表現できることになる。 ここで、 例えば m=4 (ラウンド数 1 2 段） とすると、 P≤2_⁹⁶となり、 差分解読法及び線形解読法に対して十分安全な 暗号装置となる。

また、 鍵依存線形変換部 353 があるため、 差分解読法と線形解読法以外の解読 法に対しても安全性にマージンがある構造であり、 かつ実施例 1よりも構造が簡 素化されているため、 処理量が軽減されている。 つまり、 安全性と低処理量のバ ランスを重視した暗号装置である。

実施例 3

図 8は、 図 6の第 2実施例の非線形関数部 304 において鍵依存線形変換部 353 を省略した実施例を示す。 平文に相当する入力データ Pを入力部 301 から暗号装 置内に入力する。 入力データ Pは初期分割部 303 で 2つのプロックデータ L。， Ro に分割される。 プロックデータ R。 は、 鍵記憶部 322 に保持されている鍵データ k 0 と共に第 0段ラゥンド処理部 38。 の非線形関数部 304 に入力され、 非線形 関数部 304 で変換処理を受けて、 データ Y。 に変換される。 データ Υ。 とデータ Lo は線形演算部 305 で演算され、 データ L。* に変換される。 データ L。* とデー タ尺。 は交換部 306 でデータ位置の交換が行われ、 し=1？。， R, =Lo* のように変 換される。 以下、 第 i段ラウンド処理部 38 i では、 2つの入力ブロックデータ し， Riについて上記と同様の処理を繰り返し行う。 即ち、 2つのデータし， に ついて、 データ Ri は、 鍵記憶部 322 に保持されている鍵データ k i と共に非線 形関数部 304 に入力され、 非線形関数部 304 で変換処理を受けて、 データ Yi に 変換される。 データ Yi とデータ Li は線形演算部 305 で演算され、 データし * に変換される。 データし* とデータ Ri は交換部 306 でデータ位置の交換が行わ れ、 L_{i +}

とされ、 ブロックデータ R_{i +} i が出力される。 暗号方式としての安全性を確保するための適切な繰り返し回数を nとすると、 繰り返し処理の結果、 データし， R_nが得られる。 このデータし， R_nを最終結合部 307 で結合した後、 出力部 309 から暗号文として出力データ Cを出力する。

復号については、 暗号化処理手順と逆の手順をたどることによって、 暗号文 C から平文 Pが得られる。

図 9は、 図 8の実施例における非線形関数部 304 の機能構成を示す。 非線形関 数部 304 への入力データ Ri は、 鍵記憶部 322 に保持されている鍵データ k i と 共に鍵依存線形変換 341 への入力となる。 データ は、 鍵依存線形変換 341 に おいて、 鍵データ k i によりデータ Ri* に線形変換される。 次に、 データ Ri* は 分害 ij部 342 において 4つのデータ in。， in ， in₂, in₃に分割される。 4つのデ一 タ in。， im, in in₃は、 それぞれ非線形変換部 343， 344, 345, 346において、 データ mid。。， midoi, micl。₂， mid。₃に非線形変換された後、 線形変換部 354 に入 力される。 線形変換部 354 では、 例えば実施例 2の図 7 Bと同じように、

midi 0 = midoo ®mido 2 ®mido 3

midi i = midoa midos

midi 2 = mido o ®mido l ®mido 2 ®mido 3 midi 3 = midoo ©midoi ©mido2 (13) に線开変換し、 データ mi o, mid! i, mid₁₂， mid_{l s}を生成する。 ついで、 データ midio, mid₁₃は、 それぞれ非線形変換部 348， 351において、 データ out。， out₃に 非線形変換された後、 結合部 352 において、 4つのデータ out。， raidn, mid₁₂， out₃が 1つのデータに結合され、 非線形関数部 304 からの出力データ Yi が生成 される。

非線形変換部 343〜346は 4つ並列に配置されており、 その変換処理は相互に関 連していないため、 これらは並列実行が可能である。 また、 非線形変換部 348， 3 51についても同様のことがいえる。

なお、 鍵データ k i は、 鍵入力部 320 から暗号装置内に入力された鍵情報 Key から鍵データ生成部 321 によって変換され、 鍵記憶部 322 に保持されたデータで ある。

上記のように構成された暗号装置の場合、 例えば、 非線形変換部 343〜346， 34 8, 351が差分解読法及び線形解読法に対して確率 p _b=2— ⁶で近似表現できるよう に設計されているならば、 各ラウンドは確率 P i≤2— ¹² で近似表現することがで き、 暗号装置全体としてはラウンド数 nを n=3mとして、 確率 P≤2— ^24m で近似表 現できることになる。 ここで、 例えば m=4 (ラウンド数 1 2段） とすると、 P≤ 2一⁹⁶となり、 差分解読法及び線形解読法に対して十分安全な暗号装置となる。 また、 差分解読法及び線形解読法に対して十分な安全性を確保するために最低 限必要な部しか実行しない構造であるため、 処理量が軽減されており、 かつ暗号 化又は復号化速度もそれだけ改善されている。

上述において、 非線形関数部 304 中の各分割部 342 は 4分割に限らず、 任意の 複数に分割してもよい。 なお、 4分割の場合においては、 第 2の非線形変換部は 図 7 A及び図 9に示したように 2つのみとすることができる。

上述した第 2及び第 3実施例で示した非線形関数部 304 (ラウンド関数） にお ける非線形変換部が 6個 （343〜346, 348, 351) の場合について、 1ラウンド段 当たりの安全強度と、 安全性条件を満たすラウンド段数と、 それに必要な処理量 (ステップ数） を図 1及び 2に示した DE S暗号装置の場合と比較して次の表に 示す。 ただし、 この発明の実施例では DE Sの S- box に対応する非線形変換部 34 3 〜346 への入力データの全ビッ ト数を 3 2とし、 従って、 各非線形変換部への 入力データは 8ビットとしたため、 これとサイズを合わせるため、 0 £ 3の各5- box のサイズを 8ビットとし、 従って S - box の数を 4個として比較した。

比較表

この表からわかるように、 1段当たりの S- box の個数 （非線形変換部の数） が, この発明の方が D E Sより多いにもかかわらず、 この発明の 1ラウンド段当たり の安全性強度は D E Sの 2倍となっている。 そのため安全性条件を満たすための ラウンド段数は D E Sの場合より少なくなつており、 またその安全性に必要な処 理量 （ステップ数） も少なくなつている。 発明の効果

以上、 詳細に説明したように、 この発明によれば、 非線形関数部で入力データ を複数に分割し、 かつそれぞれ非線形変換を行い、 その後、 相互に線形交換を行 い、 更に少くとも一部を非線形変換することによりデータの通信または保持にお いてデータを秘匿するための暗号装置について、 安全性が高い暗号装置を提供す ることができる。

Claims

請求の範囲

1 . 鍵データを使って非線形変換を行う複数段のラウンド処理により入力データ を順次処理して暗号化する暗号化装置であり、

入力データを 2つのプロックデータに分割する初期分割部と、

鍵データを保持する鍵記憶部と、

上記 2つのプロックデータが入力され、 上記鍵データを使い順次処理を行う縦 続接続された複数段のラウンド処理部と、

縦続接続された上記複数のラウンド処理部の最終段から出力される 2つのプロ ックデ一タを 1つのデータに結合し、 その結合データを出力する最終結合部と、 を含み、

各段の上記ラゥンド処理部は：

前段から入力された 2つのプロックデータの一方に対し、 上記鍵記憶部に保持 された鍵データに依存したデータ変換処理を行う非線形関数部と、

上記非線形関数部の出力データと、 入力された上記 2つのプロックデータの他 方とを線形演算する線形演算部と、

上記線形演算部の出力データと上記非線形関数部への入力プロックデータとを 交換し、 交換された 2つのデータを次段の上記ラウンド処理部に 2つの入カブ口 ックデ一タとして与える交換部と、

を含み、

上記非線形関数部は：

入力されたデータに上記鍵記憶部に保持された鍵データに基づいて線形変換を 行い、 変換データを生成する鍵依存線形変換部と、

上記鍵依存線形変換部からの変換データを複数個のビット列に分割する分割部 と、

これらのビット列をそれぞれ非線形変換して変換データを出力する複数の第 1 非線形変換部と、

上記複数の第 1非線形変換部からの変換データ間で線形変換を行い、 均質化さ れた複数のデータを複数の系列にそれぞれ出力する第 1の線形変換部と、 上記複数の系列の少なくとも 1つに設けられ、 対応する上記第 1線形変換部か らの上記均質化されたデータに非線形変換を行い、 変換データをその系列のデー タとして出力する第 2の非線形変換部と、

上記複数の系列からのデータを結合して上記非線形関数部の出力データとする 結合部と、

を含む。

2 . 請求項 1に記載の暗号装置において、 上記第 1の線形変換部は、 上記均質化 された複数のデータを上記鍵記憶部に保持された鍵データに基づいて線形変換し、 上記複数の系列のデータとして出力する鍵依存線形演算部を含む。

3 . 請求項 1又は 2に記載の暗号装置において、 上記結合部の出力データを線形 変換して上記非線形関数部の出力データとする第 2の線形変換部が設けられてい る。

4 . 請求項 3に記載の暗号装置において、 上記第 2の線形変換部は、 上記鍵記憶 部に保持された鍵データに基づいて線形変換を行う線形変換部である。

5 . 請求項 4に記載の暗号装置において、 上記第 1線形変換部は、 各上記系列に 少なくとも 1つ設けられ、 その系列のデータと他の系列のデータとの排他的論理 和演算により上記均質化されたデータをその系列に出力する排他的論理和を含む。

6 . 請求項 1乃至 5のいずれかに記載の暗号装置において、 上記入力データに線 形変換を行って上記初期分割部へ供給する初期線形変換部が設けられている。

7 . 請求項 6に記載の暗号装置において、 上記初期線形変換部は上記鍵記憶部に 保持された鍵データに基づいて線形変換を行う変換部である。

8 . 請求項 1乃至 7のいずれかに記載の暗号装置において、 上記最終結合部の出 力データに線形変換を行って暗号装置の出力とする最終線形変換部が設けられて レヽる。

9 . 請求項 8に記載の暗号装置において、 上記最終線形変換部は上記鍵記憶部に 保持された鍵データに基づいて線形変換を行う変換部である。

1 0 . 請求項 1乃至 9のいずれかに記載の暗号装置において、 上記複数の系列は 第 1、 第 2、 第 3及び第 4系列の順に次配列された 4系列である。

1 1 . 請求項 1 0に記載の喑号装置において、 上記第 2非線形変換部は上記 4つ の系列のそれぞれに設けられている。

1 2 . 請求項 1 0に記載の暗号装置において、 上記第 2非線形変換部は上記第 1 及び第 4系列にそれぞれ設けられている。

1 3 . 請求項 1 2に記載の暗号装置において、 上記第 1線形変換部は：

上記第 2系列に設けられ、 上記第 1系列のデータと第 2系列のデータの排他的 論理和を演算する第 1排他的論理和と、

上記第 3系列に設けられ、 上記第 4系列のデータと第 3系列のデータの排他的 論理和を演算する第 2排他的論理和と、

上記第 3系列に設けられ、 上記第 2排他的論理和の出力と上記第 1排他的論理 和の出力との排他的論理和を演算する第 3排他的論理和と、

上記第 2系列に設けられ、 上記第 1排他的論理和の出力と上記第 3排他的論理 和の出力との排他的論理和を演算する第 4排他的論理和と、

上記第 1系列に設けられ、 上記第 1系列のデータと上記第 4排他的論理和の出 力との排他的論理和を演算する第 5排他的論理和と、

上記第 4系列に設けられ、 上記第 4系列のデータと上記第 3排他的論理和の出 力との排他的論理和を演算する第 6排他的論理和と、

を含む。