WO1999038143A1 - Convertisseur de donnees et support d'enregistrement sur lequel est enregistre un programme d'execution de conversion de donnees - Google Patents

Description

明細書

データ変換装置及びそれを実施するプログラムが記録された記録媒体 技術分野

この発明は、 データの通信または蓄積において、 データを秘匿するための暗号 化装置に用いられるデータ変換装置、 特に、 秘密鍵の制御のもとでデータをプロ ック単位で暗号化または復号を行う共通鍵暗号方式による暗号化装置に適するデ 一タ変換装置及びそのデータ変換装置により実行するプログラムを記録した記録 媒体に関する。

従来の技術

高速かつ安全な共通鍵暗号を構成するために、 暗号化対象のデータを適当な長 さのプロックに分割し、 そのデータプロック毎に暗号化する方法をプロック暗号 と呼ぶ。 通常、 ブロック暗号は、 暗号化の対象である入力データを攪乱するため のデータ拡散部と、 喑号装置に入力された秘密の共通鍵 （以降ではこの鍵を主鍵 と呼ぶ） を入力としてデータ拡散部が利用する一連の副鍵を生成するための鍵ス ケジュール部とから構成されている。 データを秘匿するためのこのようなデータ 変換装置に使用される代表的な共通鍵暗号方式には、 米国連邦標準暗号である D E S (Data Encryption Standard) 暗号力ある。

図 1は、 D E S喑号の機能構成を示す。 D E S暗号では、 6 4ビッ トの秘密鍵 (うち 8ビッ トはパリティに用いられる） を用い、 6 4ビッ トのデ一タブロック 単位に暗号化または復号を行う。 図 1において、 暗号化処理は、 データ拡散部 1 0において平文 Mの 6 4ビットを初期転置部 1 1において初期転置で変換した後、 3 2ビットごとのブロックデータし。， R。に分割される。 次に、 ブロックデータ R₀は 図 2の第 iラウンド処理部 1 4； (i-0, 1, · · ·, 15) に示すデータ変換部である関数 演算部 （ラウンド関数とも呼ばれる） 1 2へ入力され、 ⁴ 8ビットの副鍵 k。の制御 のもとに f (R₀， k₍₎) に変換される。 この変換データ f (R。， k₀) とブロックデータ L₀ との排他的論理和を X O R回路 1 3でとり、 更に、 その出力値とブロックデータ R„ とを入れ替えて、 次のブロックデータし，， R,とする。 即ち、

R, -L₍₎®f (R„, k。） L| =R()

である。 ここで Θは排他的論理和を表わすものとする。 このように 2つのブロック データ L₍,， R。を入力として演算部 12と排他的論理和回路 1 3とデータの入れ替え

(スワップ） とにより L,， R,を出力する第 0段ラウンド処理部 14。 が構成され、 同じようなラウンド処理部 14,〜14_|5 が縦続的に設けられる。 第 i段ラウンド処理 部 14 ; による処理を第 i段のラウンド処理と呼ぶことにする。 ただし、 i=0, 1， ···, 15 である。 つまり各ラウンド処理部 14 , (0≤ i≤ 15) では、

R₁₊₁ =L_ief(R_i, k,)

L_i+1 =

の処理が行われ、 最後に R_lfi， し_1(¾を統合して64ビッ トにした後、 最終転置部 1 5 において最終転置で変換して暗号文 64ビットを出力する。 なお、 最終転置部 1 5は初期転置部 1 1の逆変換に相当する。

復号処理においては、 関数 f (関数演算部 12) に入力する副鍵 k。， k,,---^,,, k₁₅の順序だけを逆転させて、 k₁₅， k_H, ···, k,， k。の順に入力するようにする点を除 けば、 暗号化処理と同じ手順で実行できる。 その場合、 最終段ラウンド処理部 14₁₅ のスワップ出力し R_lfiを、 図に示すように更にスワップするように構成すること により、 復号処理において暗号文を初期転置 1 1に入力して図 1の処理を実行す ることにより、 最終転置 1 5の出力に平文がそのまま得られる。 鍵スケジュール 部 20は、 拡大鍵生成ルーチン 1 6で 64ビッ トの主鍵から 8ビット分のパリテ ィビッ トを除いた 56ビッ トを左右 28ビッ トずつの鍵データに分割し、 それら 各 28ビットの左右鍵データに対し 1 6段の並び替え処理を行い、 各段の並び替 え処理結果の左右鍵データ （計 56ビット） を縮約転置によりデータ拡散部 1 0 の対応するラウンドに与える 1 6個の 48ビッ卜の副鍵 k。， k„ ···, k,„ k_isとして 生成する。

関数演算内部 1 2の処理は、 図 2に示すように行われる。 まず、 32ビッ トの ブロックデータ は拡大転置部 1 7で 48ビットデータ E(R に変換される。 こ れに副鍵 kiとで排他的論理和を X0R回路 1 8で取り、 48ビットデータ E(Ri)eki に変換した後、 8個の 6ビッ トごとのサブブロックデータに分割する。 この 8個 のサブブロックデータはそれぞれ異なる S-box S„〜S₇に入力され、 各々が 4ビッ トの出力を得る。 なお、 この S- box Sj (j=0, 1, ···, 7) は 6ビッ トの入力データか ら 4ビットの出力データに変換する非線形変換テーブルであり、 DE S暗号の本 質的な安全性を担っている部分である。 S-box S₍₎〜S₇の 8つの出力データは、 再 び連結されて 32ビットデータになった後、 転置変換部 1 9を経て、 図 2に示さ れるように関数演算部 1 2の出力 ， ） となる。 この出力は、 図 1に示され るように、 L,と排他的論理和されて R_i+1となる。

次に、 暗号解読法について述べる。 DE S暗号を始めとする従来の共通鍵暗号 方式についてはさまざまな方面から暗号解読が試みられており、 そのなかでも、 極めて効果的な解読法は、 E. Biham および A. Shamirによって "Differential Cr yptanalysis of DES- like Cryptosystems, Journal of Cryptology, Vol.4, No. 1, pp.3-72に提案された差分解読法と、 松井によって "Linear Cryptanalysis Me thod for DES cipher, Advances in Cryptology - EUROCRYPT 93 (Lecture Notes i n Computer Science 765), pp.386-397 に提案された線形解読法である。

DES暗号に対する差分解読法は、 2つのデータ X， X*の差分を

ΔΧ = ΧθΧ*

としたとき、 解読者が入手している平文 ·暗号文の 2組を以下の式に適用して、 最終ラウンド 14_1Sにおける副鍵 k_l5 を求めることを目的としている。 図 1の暗号化 処理において、 第 1及び第 2平文を入力したときの各ラウンド処理部 14_; での入 カブロックデータを（し R ， （じい ）とする。 上記差分の定義により次式

厶し1 = ©

AR_i=R_jeR*_i

が成立する。 図 1において、 し : R_H,

なので次式

R₁₆=L_ls®f(R₁₅, k₁₅)

R*_lfi=L*₁₅ef(R*₁₅, k₁₅)

が成立し、 これら 2つの式の両辺の排他的論理和をとると次式

AR₁₆=AL_I5®f(L_lfi, k₁₅) ef(L_lfieAL_lfi) k_I5)

が得 れ その両辺と ΔΙ^=Δί₁₅との排他的論理和をとることにより次の式が得ら れる ：

f (L_lfi， k_l5) ©f (L₁₆eAL,_B, k₁₅) = AR_lfi®A R,,

このとき、 L_1S, Δし _1B， AR_1B は暗号文から得られるデータであるので入手済みの情 報である。 このため、 解読者が厶 R_H を正しく求めることができるならば、 上式は k_ls のみが未知定数となり、 入手済みの平文 ·暗号文の組を用いて k,₅ に関する全 数探索を行うことで、 解読者は必ず正しい k,₅を見つけだすことができる。 従って、 副鍵 k₁₅が求まってしまえば、 残り 8 (即ち 56- 48) ビットは総当たりでも簡単に求 まってしまう。

一方、 AR_H についてみてみると、 この値は中間差分値であるため、 一般には求 めることが困難である。 そこで、 第 0ラウンドから最終ラウンドの一つ前までの 第 1 4段ラウンドまでにおいて、 各ラウンド （段） が確率 _{P i}で次式

△ R_{i+ 1} = l _i ®A {f ( AR j ) }

△ L_i+1 = AR_i+1

のように近似されるとおく。 ここでのポイントは、 ある Δ が入力されたとき、 副鍵 k ,の値に関わらず、 確率 で Δ ^ ( Δ ）}を予測できるということにある。 こ のように近似できるのは、 非線形な変換である S - box において、 入力差分によつ ては差分出力の分布に極めて大きな偏りが生じるためである。 例えば、 S-box S₍₁で は、 入力差分" 110100 'のとき、 1/4 の確率で出力差分" 0010(₂) "に変換されるため である。 そこで、 各々の S- box が確率 p_si で入力差分と出力差分との関係が予測で きるとおき、 これらを組み合わせることで各ラウンドの近似を求める。 更に、 各 ラウンドでの近似を連結していくことで、 ΔΙ^ は確率 P=n_i=(l ^Ki _{P i} で AL₍,， A R₍₎ ( Δ L„, ΔΙ^は平文から得られるデータであるので入手済みの情報である） から求めら れることになる。 なお、 この確率 Ρが大きいほど、 暗号解読が容易である。 この ようにして、 副鍵 k₁₅が求められると、 今度は 1段少ない 1 5段 D E S暗号とみな して、 同様の手法で、 副鍵 k_Mを求めていくということを繰り返して、 最終的に副 鍵 k。まで求めていく。

この解読法による暗号解読が成功するかどうかは確率 Pに依存し、 この値が大 きいほど成功しやすい。 Bi ham らによると、 この解読法では、 2 '¹⁷組の解読者が選 択した既知平文 ·暗号文の組を入手できれば D E S暗号を解読できるとしている。 また、 D E S暗号に対する線形解読法は、 以下の線形近似式を構成し、 解読者 が入手している平文 ·暗号文の組による最尤法を用いて副鍵を求めることを目的 としている。

(し')， R。） r (L。， R₀) ®(L_lfi, R,«) Γ (L₁₆₍ R₁₆)

= (k₍₎, k , , ···， k ） Γ (k₀, k , , ···， k,_s)

ただし、 Γ (Χ) は Xの特定のビッ ト位置を選択するベク トルを表し、 マスク値と いう。

線形近似式の役割は、 暗号アルゴリズム内部を線形表現で近似的に置き換え、 平文 ·暗号文の組に関する部分と副鍵に関する部分とに分離することにある。 つ まり、 平文 ·暗号文の組に関して、 平文の特定のビット位置の値と暗号文の特定 のビッ ト位置の値との全ての排他的論理和が一定値となり、 その値は副鍵の特定 のビッ ト位置の値の排他的論理和に等しくなることを表している。 従って、 解読 者は

(し。， R。） r (し。， R₀) e(L_lfi, R₁₆) r (L_lfi) R₁₆)

の情報から

(k_fl, k„ · ··, k_l5) Γ (k₍₎, k„ ···， k ） ( 1 ビット）

の情報が得られるということになる。 このとき、 （し。， R。）， （L_lfi, R₁₆)はそれぞれ平 文 ·暗号文のデータであるので入手済みの情報である。 このため、 解読者が r (L₀， R。）， Γ (L₁₆, R₁₆) , T (k。， k„ ···, k₁₅) を正しく求めることができるならば、 （k₀， k„ ···, k_ls) Γ (k₀, k„ ·'·， k,₅) ( 1 ビット） を求めることができる。

D E S暗号では、 非線形な変換が起きる部分は S- box しかないため、 S-box に ついてのみ線形表現ができれば、 容易に線形近似式が構成できる。 そこで、 各々 の S- box が確率 p_si で線形表現できるとおく。 ここでのポイントは、 S - box に対す る入力マスク値が与えられたとき、 確率 P_si でその出力マスク値を予測できるとい うことにある。 これは、 非線形変換テーブルである S - box において、 入力マスク 値によっては差分マスク値の分布に極めて大きな偏りが生じるためにおこる。 例 えば、 S-box S₄では、 入力マスク値" 010000 'のとき、 3/16の確率で出力マスク値 " 111 1 (₂) "が予測されるためである。 これら S- box におけるマスク値を組み合わせ ることによって、 各ラウンドが確率 _{P i}で入力マスク値と出力マスク値との線形表 現ができ、 各ラウンドでの線形表現を連結していくことで、 Γ (し。， R。）， r (L_{l fi}, R ₁₆)， r (k。， k„ · · · , k₁₅) は確率

で求められることになる。 なお、 この確率 Pが大きいほど、 暗号解読が容易であ る。

松井によると、 この解読法で、 2 '¹³組の既知平文 '暗号文の組を用いて、 D E S 喑号の解読に成功している。

さて、 上記の解読法に対抗するためには、 確率 Pが十分に小さくなればよい。 このため、 確率 Pを小さくするための提案がさまざま行われており、 なかでも従 来の暗号方式において、 もっとも簡単に安全性を高めるための方法がラウンド数 (段数） を増やすことであった。 例えば、 D E S暗号を 3つつなげた Triple - DES 喑号は、 実質的に D E Sのラウンド数を 1 6段から 4 8段に増やした暗号方式で あり、 確率 Pは、 D E S喑号よりもはるかに小さレ、。

しかし、 上記の解読法に対抗するための対策として、 ラウンド数 （段数） を増 加させることは、 暗号化速度を犠牲にすることになる。 例えば、 ラウンド数を 3 倍に増やせば、 暗号化速度は 1 /3 になる。 つまり、 現在の D E S暗号の暗号化速 度は Pentium PCクラスで約 1 O Mbpsであるため、 Triple— DES 暗号ともなると約 3. 5Mbps まで暗号化速度が低下する。 一方で、 ネットワークやコンピュータなどは 年々高速化しており、 データ変換装置もそれらの高速化に対応したものが望まれ ている。 このため、 従来のデータ変換装置では、 それらの高速化の要求に対して、 安全性と高速性を同時に満たすことはきわめて困難な状況になっている。

また、 上述のように、 差分解読法や線形解読法では最終ラウンドの副鍵が求め られる。 D E S暗号の場合、 最終ラウンドの副鍵が求められてしまうと、 そこか ら容易に主鍵が求められてしまうという欠点があるため、 鍵スケジュール部 2 0 の副鍵と主鍵の対応関係を更に複雑にすることで、 安全性を向上する方法が米国 特許 No. 4， 850， 019に提案されている。 その原理的構成を図 3に示す。 上記米国特 許では、 データ拡散部（fk)を用いて主鍵から副鍵を生成することで、 例えばデー タ拡散部（fk)を用いて主鍵から副鍵を生成することで、 例えば副鍵が求まつたと しても簡単には主鍵が求まらないことを期待している。

上記米国特許で示されている鍵スケジュール部 2 0の概要を図 3を参照して次 に説明する。拡大鍵生成ルーチン 21はそれぞれ鍵拡散部 22。〜22、_/2 を有する N/2 (例 えば N=16) 段の鍵処理部 21。〜21、_/2„,から成る。 各鍵処理部 21j (j=0, 1 , · ' ·, Ν/2 - 1) は与えられた各 3 2ビットの入力左右鍵データを拡散処理し、 その出力左右鍵デ ータは左右が入れ替えられて次段の鍵処理部 21_j+1 に左右鍵データとして入力され る。 初段を除く各鍵処理部 21」 は排他的論理和部 23』 を有し、 前段の鍵処理部 21j_, の入力左鍵データと出力左データの排他的論理和を演算し、 その演算結果を鍵拡 散部 22」 に与える。 鍵処理部 21jの入力左鍵データは鍵拡散部 22」 で排他的論理和 2 3」 の出力により拡散され次段の入力右鍵データとして出力され、 鍵処理部 21」. の 入力右鍵データは次段の入力左鍵データとして出力される。 各鍵拡散部 22」 の出力 はビット分割されて 2つの副鍵 Q_2j, Q_2j+1 (即ち k,.， k_i+1)として図 1の対応する第 i= 2jラウンド処理段と第 i+l=2j+lラウンド処理段に与えられる。

6 4ビッ トの主鍵はそれぞれ 3 2ビットの左右鍵データに分割され、 初段の鍵 処理部 21。 において左鍵データを右鍵データで鍵拡散部 22。 により拡散して拡散左 鍵データとし、 この拡散左鍵データと右鍵データの左右を入れ替えて左右鍵デー タとして次段の鍵処理部 21, に与える。 鍵処理部 21。〜21_Ν/2— ,の鍵拡散部 22„〜22_N/2— ,の出力は副鍵 k_Q 〜！ として図 1に示したデータ拡散部 1 0の対応するラウンド 1 4。〜 1 4 _N_,に与えられる。

しかしながら、 図 3の拡大鍵生成ルーチン 21において、 各鍵拡散部 22」· は 2つの 入力データから 1対の鍵データ （副鍵 」·， Q_2j+1) を生成出力する関数であり、 これ ら 2つの入力データの一方と、 出力データとが判明すれば、 他方の入力データを 知ることができる性質を備えているとき、 仮に 3対の副鍵 Q_2j— ₂， Q_2J -, ; Q_2J, Q , ; Q _2jt2, Q_2j+3 が判明したと仮定すると、第 j+1段の鍵拡散部 22_j+1において、その出力（副 鍵 Q_2j+2， Q_2j+:s) と、 一方の入力デ―タ （副鍵 ¾ ， Q_2j-,) がわかっているので、 他の 入力データ （即ち排他的論理和部 23_{j+ 1}の出力データ） を求めることができ、 その 求めたデータと排他的論理和部 23_J+iの一方の入力データである副鍵 Q_2j, Q_2j とか ら排他的論理和部 23_j の他方の入力データである前段 （第 j段） の鍵拡散部 22」の 入力、 即ち、 3段前 （第 j_2段） の鍵拡散部 22」_₂の出力である副鍵 Q_2j_,， Q_2j_₃ が求 まる。 この様な操作を順次繰り返すことで、 データ拡散部 1 0におけるデータを 解析すること無しに、 鍵スケジュール部 2 0におけるデータのみを解析すること で全ての副鍵を決定できてしまう。 ここでは連続した 3段分の副鍵が求まると全 ての副鍵が求まることを指摘したが、 連続 2段分の副鍵を知っている場合には、 隣接する他の 1段分の副鍵を総当たりで推定することでも、 攻撃に成功する。 図 1のラウンド処理の最終段を i=N とすると、 差分解読法及び線形解読法では、 副鍵 k_N，kwが求まりやすい。 それらを使って上述のように鍵スケジュール部 21にお ける鍵データの解析を行うことにより全ての副鍵が求まる可能性がある。

この発明の第 1の目的は、 ラウンド関数 ί (関数演算部） を安全性と高速性を 同時に満たすような構造にすることによって、 ラウンド数 （段数） を大幅に增加 させることなく安全性を確保し、 かつ高速な暗号化処理が可能となるようなデー タ変換装置及びデータ変換を実施するプログラムを記録した記録媒体を提供する ことにある。

この発明の第 2の目的は、 一部の副鍵が知られた場合においても、 鍵スケジュ —ル部を解析するだけでは他の副鍵及び主鍵が簡単には求まらないような鍵スケ ジュール部を実現することである。

発明の開示

この発明の第 1の目的を達成するため、 特に非線形関数部において、 非線形関 数部の入力データに対し鍵記憶部に蓄積された第 1鍵データに基づいて線形変換 を行う第 1鍵依存線形変換部と、 その第 1鍵依存線形部の出力データを η個のサ ブデータに分割する分割部と、 これらの各サブデータに非線形変換を行う第 1非 線形変換部と、 その第 1非線形変換部の各々の出力サブデータに対し第²鍵デ— タに基づいて線形変換を行う第 2鍵依存線形変換部と、 その第 2鍵依存線形変換 部の出力サブデ一タに非線形変換を行う第 2非線形変換部と、 その第 2非線形変 換部の出カサブブロックを結合して非線形関数部の出力データとする結合部とを 備えており、 上記第 2鍵依存線形変換手段は、 その入力に対し n X n行列で規定 される排他的論理和を行う線形変換部を含んでいることを特徴とする。

この発明によれば、 第 1及び第 2非線形変換部における差分確率 ·線形確率が p ( < 1 ) であるとき、 各段を近似するときの差分確率 ·線形確率は P i≤p² (た だし、 差分解読法では関数 f (非線形関数部） への入力差分が 0でないとき、 線 形解読法では関数 f での出力マスク値が 0でないとき） となることが保証される。 また、 闋数 f が全単射であるとき、 暗号装置の段数を 3 1 "とすると、 暗号装置と しての確率は？≤ ≤ となる。 更に、 特に n = 4の場合の第 2鍵依存線形変換 部が 4つのサブデータから選んだ 3つと鍵データの 4分割の 1つの排他的論理和 の全ての組合せを演算する構造を有するならば、 各段を近似するときの確率は _Pi≤ p 暗号装置としての確率は Ρ≤ρΛ≤ρ となる。 η = 8の場合の第 2鍵依存線形変 換部が 8つのサブデータから選んだ 6つ又は 5つと、 鍵データの 8分割の 1つと の排他的論理和の全ての組み合わせを演算する構造を有するならば、 格段を近似 するときの確率は _Pi≤p⁵となり、 暗号装置としての確率は Ρ < ρ^< ρ¹⁽'"·となる。 また、 第 1および第 2非線形変換部はそれぞれの手段が完全に並列処理できる ような配置となっているため、 高速化に寄与する。

ゆえに、 差分解読法や線形解読法に対する安全性を有した高速な非線形関数を 構成でき、 安全性と高速性を両立させたデータ変換装置を提供することが可能に なる。

この発明の第 2の目的を達成するため、 鍵スケジュール装置において、 鍵拡散 部 （関数 と同様の働きをする G関数部を用い、 G関数部の出力である L成分 が記憶部に一旦記憶され、 必要な個数だけ L成分を求めた後に、 それぞれの L成 分から出来るだけ均一に必要となる情報を抽出して副鍵を生成するデータ抽出機 能を備えた H関数部が設けられる。 更に、 G関数部の出力である L成分からそれ ぞれの副鍵として使用される部分情報が H関数部で抽出され、 記憶部に記憶され、 必要な個数の L成分から部分情報を抽出することで副鍵が生成される。 図面の簡単な説明 図 1は従来の D E S暗号装置の機能構成を示す図。

図 2は図 1中の f 関数演算部 1 2の具体的機能構成を示す図。

図 3は図 2における拡大鍵生成ルーチン 21の構成例を示す図。

図 4はこの発明の第 1実施例の機能構成を示す図。

図 5は第 1実施例における非線形関数部 304 の詳細な機能構成例を示す図。 図 6は図 5における最適線形変換部を決めるための非線形関数部の基本構成図。 図 7は図 5中の第 2鍵依存線形変換部 347 の具体例を示す図。

図 8 Aは第 2実施例における非線形変換部 343 の等価的機能構成を示す図。 図 8 Bは第 2実施例における非線形変換部 344 の等価的機能構成を示す図。 図 8 Cは第 2実施例における非線形変換部 345 の等価的機能構成を示す図。 図 8 Dは第 2実施例における非線形変換部 346 の等価的機能構成を示す図。 図 9はこの発明の第 2実施例における第 2鍵依存線形変換部 347 の機能構成を 示す図。

図 1 0は実施例 3における非線形関数部 343 の機能構成を示す図。

図 1 1はデータ変換処理をコンピュータで実施する処理手順を示すフローチヤ ―ト。

図 1 2は図 1 1におけるステップ S 3の詳細な処理手順を示すフローチャート。 図 1 3はこの発明の第 4実施例の機能構成を示す図。

図 1 4は図 1 3における非線形関数部 304 の機能構成を示す図。

図 1 5 Aは探索演算を削減するため限定した構成の線形変換部を示す図。

図 1 5 8は図1 5 Aにおける 1つの変換ボックスの構成を示す図。

図 1 6は探索アルゴリズムにより決定した線形変換部 344Aの構成例を示す図。 図 1 7は第 4実施例における図 1 4中の第 2鍵依存線形変換部 344 の機能構成 例を示す図。

図 1 8は第 4実施例における図 1 4中の第 2鍵依存線形変換部 344 の他の機能 構成を示す図。

図 1 9は第 4実施例における図 1 4中の第 2鍵依存線形変換部 344 の更に他の 機能構成を示す図。 図 2 0 Aは第 5実施例における非線形変換部 343。'の機能構成を示す図。

図 2 0 Bは非線形変換部 343,'の機能構成を示す図。

図 2 0 Cは非線形変換部 343₇'の機能構成を示す図。

図 2 1は第 5実施例における第 2鍵依存線形変換部 344 の機能構成を示す図。 図 2 2は記録媒体に記録されたデータ処理手順プログラムを実行する構成を示 す図。

図 2 3 Aはこの発明による鍵生成スケジュールの原理機能構成を示すプロック 図。

図 2 3 Bはこの発明による他の鍵生成スケジュールの原理機能構成を示すプロ ック図。

図 2 4は図 2 3 A又は 2 3 B中の中間鍵生成部 230 の機能構成例を示すプロッ ク図。

図 2 5はこの発明を図 3の鍵スケジュール部に適用した場合の図 2 4中の G関 数部 2 2の機能的構成を示すプロック図。

図 2 6はこの発明を図 3の鍵スケジュール部に適用した場合の図 2 3 A中の副 鍵生成部 240 の機能的構成を示すブロック図。

図 2 7はこの発明を図 3の鍵スケジュール部に適用した場合の図 2 3 B中の副 鍵生成部 250 の機能的構成例を示すブロック図 （この実施例では副鍵生成部がビ ット抽出機能をそなえた H関数部をその一部に含む）

図 2 8はこの発明を 1 2 8ビットを 1つのプロックとする Feistel型暗号に適用 できるように応用した場合の G関数部 22の機能的構成を示すプロック図。

発明を実施する最良の形態

第 1実施例

以下、 この発明の一実施例を図面を用いて説明する。

図 4は、 この発明の一実施例を示すデータ変換装置における、 暗号化処理手順 の機能構成を示したものである。 データ変換装置は、 データ拡散部 1 0と鍵スケ ジュール部 2 0とから構成され、 この発明によるデータ変換装置においても、 デ ータ拡散部 1 0には入力データを左、 右ブロックデータし。， R。に分害 ijし、 それらを 順次ラウンド処理する N段に縦続接続されたラウンド処理部 38。〜38\_,が設けられ、 各ラウンド処理部 38 (1=0, 1，···， N-1)は図 1のラウンド関数部 1 2に対応する非線 形関数部 304 と、 図 1の X0R回路 1 3に対応する線形演算部 305 と、 交換部 306 とから構成されている。

平文に相当する入力データ Mを入力部 301 から暗号装置内に入力する。 鍵スケ ジュール部 2 0は、 鍵入力部 320 と、 鍵データ生成部 321 と、 鍵記憶部 322 とか ら構成され、 予め、 鍵入力部 320 から入力されたデータ （主鍵 K ) に基づいて鍵 データ生成部 321 により複数の鍵データ （副鍵）

{ fk ; k₀₀， k₀₁, k₀₂ ; k₁₀, k_n, k₁； · · ' ; k_(N— ₁₎₀， k₍ __{]) p} ^(_N D₂ ; ek }

が生成され、 鍵記憶部 322 に保持される。 入力平文データ Mは、 鍵記憶部 322 に 蓄積されている鍵データ fkによる初期鍵依存変換部 302 で変換された後、 初期分 割部 303 で左、 右ブロックデータ L_fl， R„に分害リされる。 例えば 6 4ビッ トのデータ が 3 2ビッ 卜ずつのブロックデータし。， R。にビット分割される。 初期鍵依存変換部 302 では、 例えば鍵データ fkと入力データ Mとの排他的論理和や鍵データ fkによ る入力データ Mのビッ トローテーション （ビット回転） などの線形変換、 もしく は乗算などを組み合わせた非線形変換が行われる。

右ブロックデータ R。は、 鍵記憶部 322 に蓄積されている鍵データ k。₍₎， k₀₁ , と ともにこの発明により特徴的に構成された非線形関数部 304 に入力され、 非線形 関数部 304 で非線形変換処理によりデータ Y。に変換される。 データ Y。と左ブロック データし。は線形演算部 305 で線形演算されてデータ L。*に変換される。 データ L。*と データ R。は交換部 306 でデータ位置の交換 （スワップ） が行われ、 し,— R„， R,— とされ、 L,， が次の第 1段ラウンド処理部 38, に入力される。

以下、 第 i段ラウンド処理部 38i (i=0， 1， · ' ·，Ν- 1)において、 2つの入力ブロック データし について上記と同様の処理を繰り返し行う。 即ち、 左、 右ブロックデ ータし R;について、 データ は、 鍵記憶部 322 に蓄積されている鍵データ k^ ki,, k.₂ とともに非線形関数部 304 に入力され、 非線形関数部 304 で非線形変換処理が 行われて、 データ Yiに変換される。 データ Yiとデータし _;は線形演算部 305 で演算さ れてデータし に変換される： デ一タ * とデータ は交換部 306 でデータ位置の交 換が行われ、 しい,— ， Rw—し のように交換される。 線形演算部 305 は例えば排 他的論理和演算を行うものである。

暗号化を行うためのデータ変換装置としての安全性を確保するための適切な操 り返し回数 （ラウンド回数） を Nとすると、 ラウンド処理部 Βδ^ βδ^による繰り 返し処理の結果、 左、 右ブロックデータし、， R、が得られる。 このデータレ， R、を最 終結合部 307 で結合し、 つまり例えば 3 2ビットの各し、， R、をビッ ト結合して 6 4 ビットのデータとし、 その後、 鍵記憶部 322 に蓄積されている鍵データ ekによる 最終鍵依存変換部 308 で変換し、 出力部 309 から暗号文として出力データ Cを出 力する。

復号については、 暗号化処理手順と逆の手順をたどることによって、 暗号文 C から平文 Mが得られる。 特に、 最終鍵依存変換部 308 、 初期鍵依存変換部 302 の逆変換になっているならば、 図 4において入力データの代りに暗号文データを 入力し、 鍵データを図 4とは逆に、 ek, k(、— ,)。， k (、— ， k (、― _{1) 2}， · · · , k₁₀， k_u, k₁₂， k₀ o, k。,， k。₂， fkを順次与えればよい。

次に、 非線形関数部 304 の内部を詳細に説明する。 図 5は、 非線形関数部 304 の内部の機能構成を抜き出して示したものである。

第 i段ラウンド処理部 38j の入カブ口ックデータ R,は、 鍵記憶部 322 に蓄積され ている鍵データ k_i(,， k_n， k_i2 とともに非線形関数部 304 への入力データとなる。 ブ ロックデータ は、 鍵データ k_i0 による第 1鍵依存線形変換部 341 により例えば排 他的論理和がとられてデータ

に線形変換される。 次に、 この変換され たデータ I は分割部 342 において例えば 8ビットづつの 4つのデータ in。， in,, i n„ in:,にビット分割される： 4つのデータ in„, in,, in₂， in₃は、 それぞれ非線形 変換部 343₍,， 343,, 343₂, 343:,において、 データ mid_m)， mid。い mid₀₂, mid。_:!に非線形 変換された後、 第 2鍵依存線形変換部 344 に入力される。

第 2鍵依存線形変換部 344 では、 4つのデータ系統から入力されたデータ mid₀₍₁， mid₀₁, mid₀₂, mid_n:iを系統間で互いに線形処理 （排他的論理和） して新たな 4つの 系統のデータとし、 更にそれらの系列のデータを鍵データ k の 4つの部分により それぞれ線形処理 （排他的論理和） して 4つの系統のデータ mid₁₍₎， mid, ,, mid,,, m id_1:,を出力する。 これら 4つのデータは非線形変換部 345。， 34δ 345,, 345_:iに入力 され、 それぞれデータ out₀, out,, out₂, out:,とされる。 これら 4つの出力データ は結合部 346 で結合されてデータ Υ,·* とされ、 更に第 3鍵依存線形変換部 347 にお いてデータ丫 と鍵データ k_i2 との線形処理によりデータ を生成して出力する。 上述の第 2鍵依存線形変換部 344 は、 データ mid。„， mi d₀₁， mi d。₂， mi d_Mに対応し て設けられたデータ処理系統 30。， 30„ 30„ 30:, 間でこの発明によるアルゴリズム に従ってデータの排他的論理和をとることにより、 図 4のデータ変換装置のラウ ンド数を増やさずに安全性を高めるよう構成される。 図 4のデータ拡散装置の差 分解読及び線形解読に対する安全性は、 各ラウンドの非線形関数部 304 の構成に 依存し、 特に図 5に示す非線形関数部 304 のが図 6に示すような基本構成のとき、 mビットの入力データがそれぞれ与えられる n個の非線形変換部 （S- box) から成 る第 1非線形変換部 343 と、 それらの n個の出力を線形変換する線形変換部 344A と、 その n個の mビット出力をそれぞれ非線形変換する n個の非線形変換部 （S - b ox) から成る第 2非線形変換部 345 とによって安全性が決まる。 特に、 いかにし て差分解読及び線形解読に対する耐性が強い最適な線形変換部 344Aを構成するか が重要である。 この発明によれば、 線形変換部 344Aを {0， 1 }上の n x n行列 Pとし て表現し、 その行列 Pの要素を最大差分確率 '線形確率 P、 qが最小となるよう に決定していくことにより、 最適な線形変換部 344Aを構成する。 ただし、 第 2鍵 依存線形変換部 344 に含まれる副鍵 k_uによる変換部は行列 Pにより決定した線形 変換部 344Aに対し図 7に示すように鍵依存変換部 344Bとして付加することとする。 なお、 " 最適である" とは、 上記の構造を有する線形変換部 344Aの中で差分解 読♦線形解読に対する耐性が最も強くなるということであり、 必ずしも他の指標、 例えばァバランシュ性などについても最適であることを意味するわけではない。 し力 し、 経験的にいえば、 一般に段数 （ラウンド数） を増やすだけでも差分解読 ' 線形解読以外の攻撃を容易に回避できる—方、 差分解読 ·線形解読については注 意深くラウンド関数の特性を検討しなければ段数を多少増やしただけで攻撃を回 避できるかどうかはわからない。 そこで、 この発明では、 ラウンド関数の差分解 読 ·線形解読に対する耐性を最も重視し、 最適な線形変換部 344Aを求める c この発明によれば、 図 6において上述のように線形変換部 344Aを {0, 1}上の ηχ η行列 Ρとして表現する。 この行列 Ρは、 mビッ ト単位での線形変換であり、 そ の線形変換部 344Aが排他的論理和 X0R だけで構成できることを意味する。 即ち、 この変換を次式 z'i=㊉ (1)

j=0 で表すことができる。 特に、 m= 8の場合はバイ ト単位での線形変換となり、 ヮ ード幅が 8ビッ ト以上のいずれのプラットフオームにおいても効率的な実装が可 能となる。

例えば n = 4の場合の具体例として、 次式

で表される 4x4行歹 IJP,.: を説明する。 行列 P_E を用いて構成したラウンド関数は 以下の性質を有する。 ただし S - box は全単射であると仮定する。 上記行列式によ り規定される ζ'。， ζ' „ ζ' ₂, ζ , はそれぞれ以下の演算を表している。

ζ' ₀ = 0·ζ₀θ1·ζ,Θΐ·ζ₂Θΐ·ζ_:) = ζ₁Θζ₂Θζ₃ (3—1)

ζ' ,= 1·ζ₀Θθ·ζ,θ1·ζ₂Θΐ·ζ_:) = ζ₀θζ,θζ_;! ό~2)

ζ' ₂= 1·ζ₀θ1·ζ₁Θΐ·ζ₂Φθ·ζ:, = ζ₀€)ζ₁φζ₂ (3-3)

ζ'；, = 1 ·ζ₀θ1 ·ζ , θΐ -ζ.,θΐ ·ζ_;, = ζ₀θζ, φζ₂θζ_:! (3-4)

差分解読及び線形解読に対するラウンド関数の耐性は、 active s-box の最少個 数 n_d, n, から決めることができ、 これらの値は行列 Pを決定した時点で決まる値 である （付録参照） 。 差分解読法では入力差分値 Δχが非零である S- box を active s-box と呼び、 線形解読法では出力マスク値 ryが非零である s- box を active s - box と呼ぶ。

一般に、 ある行列 Pが与えられたとき、 それに対応する線形変換部 344Aの構成 は複数存在する： なぜなら、 行列 Pは線形変換部 344Aの入力データと出力データ との関係を表しているだけであり、 線形変換部 344Aの具体的構成を規定している わけではない。 線形変換部 344Aの構成が異なっても、 線形変換部 344Aの入力デー タと出力データとの関係を表す行列 Pが同じであるならば、 それらは同じ特性を 持つものと判断できる。 従って、 以下では差分解読及び線形解読に対する耐性が 高く、 かつァバランシュ性がよくなるような行列 Pを決めた後に線形変換部 344A の構成を決めることにする。 その方が、 線形変換部 344Aの個々の構成について最 適な特性を有するかどうかを調べて選択していくより効率よく、 最適な特性を有 する線形変換部 344Aを見つけることができるためである。

n x n行列 Pの要素は、 差分特性に注目して以下の探索アルゴリズムによって決 定される。

Step 1 ：安全性閾値 T (Tは 2≤T≤nなる整数） を設定する。

Step 2：ハミング重みが T-1 以上となる列べク トルの集合 Cを用意する。 具体 的には要素" の数が T-1 以上の n次元列べク トルを n個以上用意する。

Step 3：集合 Cから n個の列べク トルの組 P_eを選択する。 全ての組の検査を完了 するまで以下の処理を繰り返す。

Step 3- 1 ：列べク トルの組 P_cについて、 n_dを求める。 このことを n_d (P_c)と表 す。

Step 3-2： n_d (P_c)≥T ならば、 その η個の列べク トルで構成される行列 P_c を候補行列として採用する。

Step 4：全ての候補行列の中で、 最大の η,,の値を与えた行列 Pと n_d (P)の値を出 力する。

上記探索アルゴリズムによる候補行列を採用するならば、 n_dが T以上の値を持つ ことが保証される。 n_dが最大となるような行列 Pを求めるには上記探索アルゴリズ ムを実行する毎に Tを T=n， η - 1 , · · · , 3, 2 の順に 1ずつ減らしていくことで、 効 率よく行列 Ρを発見できる。

上記探索アルゴリズムにおいて、 差分解読及び線形解読に対しある程度満足い く耐性が得られるのであれば、 Step 3 - 2まで実行して n_d (P_c)≥Tとなる行列を目的 とする行列 Pとして使用してもよレ、 c あるいは、 Step 1を実行し、 St印 2でハミ ング重みが T - 1以上となるベタ トルを n個選択し、 それにより構成した行列 Pcを目 的とする行列 Pとして使用してもよレ、 ₃

線形変換部 344Aの入力マスク値は、 線形変換部 344Aの出力マスク値の排他的論 理和によって表現可能であるので、 差分特性の場合と同様に、 ある行列として表 現できる。 幾つかの線形変換部 344Aの構成について、 差分特性に注目した行列と 線形表現に注目した行列との関係を調べた結果、 以下の 2つの予測ができた。

予測 1 ：線形変換部 344Aが {0, 1 }上の η χ η行列 Pで与えられたとする。 このと き、 線形変換部 344Αの入力差分値 Δ _Ζと出力差分値 Δ ζ'との関係 （差分値パス） は行列 Ρで与えられ、 入力マスク値 Γ ζと出力マスク値 Γ ζ' との関係 （マスク値パ ス） は転置行列 ^ΤΡで与えられる。 即ち、

と表すことができる。

予測 2 ：行列 Ρを用いた差分値パスにおける active s- boxの最少個数 n_dと行列 P の転置行列'¹ Pを用いたマスク値パスにおける act i ve _S-boxの最少個数 n】は同じであ る。

上記予想 2から、 前述の探索アルゴリズムによる候補行列を採用するならば、 n, も T以上の値を持つ。 例えば先の行列 P_Rの場合、 差分値パスに対する行列 P_Eと、 マ スク値パスに対する行列 は以下のようになる。

この 2つの行列について、 それぞれ n_d=3, 1^=3であることを証明することができる (付録参照） 。

行列 pが与えられたとき、 それに対応する線形変換部 344Aの構成を決めるアル ゴリズムを以下に示す。 ここでは、 (1) 排他的論理和（XOR) の個数を最少にする、 又は

(2) 同じような副構成が繰り返し現れる、

を満たすようにする。

Step 1 :行列 Pにおいて、 2つの行を選択し、 一方の行 （a行） にもう一方の 行 （b行） を加える （基本演算と呼ぶ） 。

Step 2：基本演算のみを用いて、 行列 Pが単位行列 Iになるまで行を選択し、 基本演算を行うことを繰り返し、 そのときに行った基本演算の回数を数え、 基本 演算の回数が最少となるような行列変形手順を求める。

Step 3：線形変換部 344Aを構成するために、 Step 2で求めた変形手順の逆順に、 そのときの基本演算で選択した a行、 b行に相当する Aライン、 Bラインとの X0R 結線を行う。

この様にして決められた線形変換部 344Aを有する第 2鍵依存形線形変換部 344 の具体例を例えば図 7に示す。 線形変換部 344Aにおいて、 データ " mid。 mid ₀₂, mid_o;! はそれぞれ処理系 30。 〜30_:ί に入力され、 処理系 30。 で mid₀₀ と mid₀₁ との 排他的論理和が X0R回路 31。 でとられ、 また処理系 30₂ で mid₀₂ と XOR回路 31。の出 力との排他的論理和が X0R回路 31₂ でとられ、 更にその回路 31₂の出力は処理系 30, の X0R回路 31₁で1^ 01。₁ との排他的論理和がとられる。

処理系 30_:i で XOR回路 31。 の出力と mid。_:i との排他的論理和が X0R回路 31_:ίでとら れ、 処理系 30, で X0R回路 3 の出力と XOR回路 31₃ の出力との排他的論理和が X0R 回路 32, でとられ、 処理系 30。で X0R回路 32, の出力と X0R回路 31_n の出力との排他 的論理和が X0R回路 32„ でとられる。

X0R回路 32₍,， 32„ 31„ 31_:,の各出力と副鍵データ k_{i l0}, k_{n i}, k_U2， k_{i l:!}との各排他 的論理和が 鍵依存変換部 344Bの X0R回路 35₍,〜35_:!でそれぞれとられて、 それぞれ m id,₀, mid,,, mid₁ , mid _iを出力する。 つまりデータ mid, mid_m， mid₀₂, mid。：,は相 互に関連づけられた後、 それぞれ各 8ビットの副鍵データ k ， k_i ， k,_{l 2}, k_{l i:!} に 依存した線形変換が行われる。 論理式で示すと下記の論理演算がなされる。

mid₁₍₎=mid_ooemid_o20mid_o:iek_{i ui} (7-1)

midn

(7 - 2)

なお、 副鍵 k,,は 4つのデータ k_il(l， k_jM , k_il , k_il:iで構成されている- 図 5に示したように、 次に、 これらデータ mid₁₍,， mid_u, mid₁₂， mid,：,は、 それそ' れ非線形変換部 345₀， 345,, 345 , 345:,において、 データ out。， out,, out₂， ou に 非線形変換された後、 結合部 346 において、 一つのデータ丫 に結合される。 つま り例えば 4つの 8ビッ卜のデータが 1つの 3 2ビットデータにビット結合される。 最後に、 データ Y は、 鍵データ k_i2による第 3鍵依存線形変換部 347 において、 例 えばデータ Yi* を k_i2ビッ ト左ローテーションによりデータ に線形変換され、 非線 形関数部 304 からの出力データ が生成される。 非線形変換部 343。〜343_:s， 345₍₁ 〜 345；, のそれぞれは、 例えば DE S暗号の S-box のようなものであり、 例えば R〇 Mにより構成され、 それぞれ入力データをアドレスとして入力し、 対応するデー タを読み出すものである。

ここで、 非線形変換部 343。〜343₃は 4つ並列に配置されており、 その変換処理は 相互に関連していないため、 これらは並列実行が可能である。 また、 非線形変換 部 345_n〜345_:,についても同様のことがいえる。 このため、 これら両非線形変換はそ れぞれ 1ステップ （非線形関数部 304 としては合計 2ステツプ） で実行すること ができる。 また、 非線形変換部 343„〜343_:,， 345。〜345₃の差分確率 '線形確率が p とすると、 第 2鍵依存線形変換部 344 に図 7に示したものを用いた場合、 非線形 関数部 304 全体における差分確率 '線形確率は P'¹ となる。 従って、 データ変換装 置全体では段数 （ラウンド数） を 3rとして確率 P≤p^8l_で近似表現でき、 例えば r = 4 (段数 1 2段） とすると P≤p^:i2である。 これは D E S暗号に換算すると 4 8段以 上に相当し、 差分解読法および線形解読法に対して十分安全なデータ変換装置と なる。

なお、 鍵データ fk， k₀₀, k₍₎„ k₍₎₂， k₁₀, k,„ k₁₂， ···， k(_N— ₁₎₀， k (、—山， k (、― ₁₎₂， ek は 図 4において鍵生成スケジュール部 2 0の鍵入力部 320 から入力された主鍵情報 K _ey から鍵データ生成部 321 によって変換され、 鍵記憶部 322 に蓄積されたデータ である。 鍵データ生成部 321 による鍵データの生成は、 図 1に示した D E S暗号 の拡大鍵生成ルーチン部 21と同様に構成してもよいし、 あるいは図 3に示した宮 口らの拡大鍵生成ルーチン部 21と同様に構成してもよレ、。

図 4に示した初期鍵依存変換部 302 、 最終鍵依存変換部 308 、 及び図 5に示し た各非線形関数部 304 内の鍵依存線形変換部 341， 344, 347 は鍵に依存する線形 変換部であるため、 差分解読法および線形解読法以外の解読法に対しても十分な 安全性を兼ね備え、 最も安全性を重視した暗号装置である。

なお、 この発明はこの例に特定されるだけでなく、 例えば高速性を望むのであ れば、 これら初期鍵依存変換部 302 、 最終鍵依存変換部 308 、 鍵依存線形変換部 3 41 , 344， 347 については、 そのいずれか 1つを削除する、 又は鍵に依存しない変 換手段に変更することが可能である。 この場合、 差分解読法および線形解読法に 対する安全性をそれほど低下させることなく暗号化処理速度の向上が望める。

第 2実施例

図 4に示した第 1実施例と同様の構成を有するデータ変換装置において、 図 5 に示す非線形関数部 304 として他の機能構成を用いた別の実施例を説明する。 こ の実施例は、 図 5における非線形変換部 343。， 343,, 343 _> 343₃の代わりに、 それ ぞれ例えば 8ビットの入力 in₍₁〜in₃に対して 3 2ビットの拡大データ MID。₀, MID_n„ ID₀₂₎ MID_0;iを非線形変換により出力する等価的に図 8 A〜 8 Dで示す非線形変 換部 343。'〜343:,'を使用し、 鍵依存線形変換部 344 として図 9に示すものを使用す る。

図 5に示したのと同様にデータ は、 鍵記憶部 322 に蓄積されている鍵データ ki 。， _ku， k_i2と共に非線形関数部 304 への入力データとなる。 データ は、 鍵データ 。による第 1鍵依存線形変換部 341 で、 例えば排他的論理和によりデータ θΐ^。に線形変換される。 次に、 データ I は分割部 342 において 4つのデータ in„， in,, in₂， in_:iに分割される。 4つのデータ in。， in,, in₂， in:,は、 それぞれ図 8 A 〜 8 Dに示す非線形変換部³⁴³。'， 343,' , 343； , 343； において、 データ MID₀₀， MI D₀₁, MID₀₂, MID_raに非線形変換される。 第 1実施例では、 非線形変換部 343₀が mビ ット入力 in_nに対し、 mビットのデータ mid。。を出力したのに対し、 ここでは、 非線 形変換部 343。'は、 第 1実施例の図 5における非線形変換部 343。 と同じ mビットの データ mid_(m を上位 mビットとして出力すると共に、 下位 mビッ トに固定データ" 0 0· · ·0( を出力するよう構成された S - box を有し、 その上位 mビッ トデータ mi d,,,, を布線により 3系統に出力すると共に mビットの" 00· · ·0_ω"を出力するよう構成さ れている。 即ち、 非線形変換部 343。'は mビットのデータ in。 を 4mビットのデータ

MID₀₀= Lmid₀₀, 00· ··0₍₂₎， mid₀₀, mid₀₍₎] (8-1)

に変換する手段である。 同様に、 非線形変換部 343, 343； , 343, はそれぞれ in, in₂, in₃ か

MID_0I― L00- - -0₍₂₎, mid₀₁, mid₀₁， mid₀₁] (8-2)

MID₀ = [mid₀₂, mid₀₂， mid₀₂, 00- ··0₍₂₎] (8-3)

ID_(I3= [mid_o:i, mid_0;j, 00· · ·0₍₂₎， mid₍₎₃] (8-4)

に変換する手段である。 式（8-1 )で表されるデータ MID。。 の決め方は、 予め図 7の 線形変換部 344Aにおいてデータ mid_M 以外のデータ mid₀₁, mid₀₂, mid_0;! 全てをそれ ぞれ" 00· · ·0(₂)〃とおいた場合に線形変換部 344Aの出力 4系統に得られるデータ全体 を MID。。 とすればよい。 以下同様にして式 (8-1) , (8-2) , (8-3) で表されるデータ MID₀₁₎ MID₍₎₂, MID_o:! についてもそれぞれ容易に決めることができる。 これら非線形 変換部 343„' 〜343₃'はそれぞれデータ in。， in,, in₂， in₃ をアドレスとし、 デ一タ M ID, MID₀„ MID ID₍₎, を直接読み出す変換テーブルとしてメモリにより構成し てもよい。

次いで、 これらデータ MID。。〜MID。₃は図 9に示す鍵データ k„による第 2鍵依存線 形変換部 344 に入力される。 MID。₀と MID_0Iは X0R回路 41で排他的論理和がとられ、 ID。₂と MID。₃は X0R回路 42で排他的論理和がとられ、 X0R回路 41， 42の両出力の排他 的論理和が X0R回路 4 3でとられ、 X0R回路 4 3の出力と鍵データ k_uとの排他的論 理和が X0R回路 4 4でとられる。 X0R回路 4 4の出力 MID,は各 mビットの出力 mid„,， mid,,, mid₁₂, mid ,にビット分割されて出力される。 結局、 この第 2鍵依存線形変 換部 344 は次式

の演算で入力を線形変換する。

この線形変換演算による出力 MID,二 [mi d,₀， mid_n, mid₁₂， mid₁₃]の成分はそれぞ れ次式で表される ：

m 1 d , ₀ = m 1 d₀₀ em i d₀₂ ©m 1 d_fl;! ek j ( 10-1)

mid₁₂=mid₀₀®mid₀₁®mid₍₎₂®k_{i l2} (10-3)

mid_i:i=mid_oo0mi d_oi®mid_o 0k_{i i:i} (10-4)

これは、 図 7における線形変換式 (7- 1)〜（7- 4)と等価な線形変換である。 このよ うにして第 1実施例と同じデータ mid₁₍,， mid_u， mid₁ , mi d₁₃が生成される。 なお、 k„は 4つのデータ k_{i l0}， k_{i n}, k_i , k_{i l3}で構成されている。

次いで、 データ mid_in， mi d, ,, mid,₂, mid _!は、 図 5に示したのと同様にそれぞれ 非線形変換部 345。， 345,, 345₂, 345_:! において、 データ out。， out ,, out₂, out₃に 非線形変換された後、 結合部 346 において、 4つのデータ out。， out,, out₂, out_:i が 1つのデータ Υ,.* に結合される。 最後に、 データ Y は、 鍵データ k_i2による第 3 鍵依存線形変換部 347 において、 例えば k_i2ビット左ローテーションによりデータ Y iに線形変換され、 非線形関数部 304 力 の出力データ Υ,.が生成される。

図 8 A〜8 D、 9に示した第 2実施例において、 図 8 A〜 8 Dの非線形変換部 3 43。〜343_:i は第 1実施例と同様にそれぞれ各 8ビッ トのデータ^ 〜^^ を出力 する S- box のみで構成し、 図 8 A〜 8 Dで示した布線と 8ビットの" 00' · '0"を出力 するレジスタを図 9の鍵依存線形変換部 344 内に設け、 その中でデータ MID。(,〜MID

03 を生成するようにしてもよレ、。

この第 2実施例における第 2鍵依存線形変換部 344 では、 図 9に示したように 4つ排他的論理和により図 7と等価な線形変換 （図 7では排他的論理和の個数は 1 0個） を実現しているため、 第 1実施例より高速な変換が可能になる。

また、 第 1実施例と同様に、 非線形変換部 343。〜343:, と 345。〜345₃ は 4つずつ 並列に配置されており、 その非線形変換処理は相互に関連していないため、 これ らはすべて並列実行が可能である。 更に、 非線形変換部 343₀〜343_:!， 345。〜345_:! の 差分確率 ·線形確率が Pとすると、 非線形関数部 304 全体における差分確率 ·線 形確率は P ⁴ となる。

第 _3実施例 第 1実施例と同様に、 図 4に示す機能構成を有するデータ変換装置において、 その非線形関数部 304 の内部の機能構成として更に別のものを用いた実施例を説 明する。

図 5に示したように例えば 3 2ビッ卜のデータ は、 鍵記憶部 322 に蓄積されて いる鍵データ k_i()， k_n, k_i2 とともに非線形関数部 304 へ入力される。 データ は、 鍵データ k_in による第 1鍵依存線形変換部 341 で、 例えば排他的論理和によりデー タ I -R,.®!^ に線形変換される。 次に、 データ I は分割部 342 において例えば 8 ビットの 4つのデータ in(,， in,, in₂， in_:iに分割される。

非線形変換部 343。 において、 例えば図 1 0に示すように、 in。は更に例えば 4ビ ットの 2つのサブブロック in。₍）と in_Q,に分割された後、 in。_nはサブ非線形変換部 5 1によりデータ mid,に変換され、 また in。,との排他的論理和が X0R回路 5 2でとら れ、 その出力 in₍₎₍,@in(„はサブ非線形変換部 5 3によりデータ mid。。,に変換される。 ついで、 これら出力 mid₍₎₀₀と mid₀₀₁の排他的論理和力 ¾0R回路 5 4でとられ、 その X0R 回路 5 4の出力と mid^を統合して mid。。に変換する。 つまり、 非線形変換部 343。は 入力 in。を 2つのサブブロックに分割し、 これら 2つのサブブロックについて、 そ れぞれ線形変換と非線形変換を行い、 その 2つの出カサブブ口ックを統合して非 線形変換部の出力とする。 同様に、 in, in₂ in:,についても、 それぞれ 2つの非線 形変換部と 2つの排他的論理和回路とよりなる図 1 0に示した機能構成の非線形 変換部 343,， 343₂， 343₃ を用いて、 データ mid₀₁， mid mid_0;i に変換する。

変換されたデータ mid。₍,， mid₀₁， mid₀₂, mid₀₃は、 図 7に示した鍵データ k„による 第 2鍵依存線形変換部 344 に入力される。 この変換部 344 によりそれぞれ前述の 式（7-1)〜（7-4)の演算が行われる。

次いで、 データ mid,。は、 非線形変換部 345_n においても、 例えば図 1 0に示した のと同様の機能構成により、 更に 2つのサブブロック mid₁₀₀と mid_IOiに分割され、 m id₁₍₎。はサブ非線形変換部 5 1によりデータ out₀。に変換され、 一方、 データ mid と mid₁₍₎₁は X0R回路 5 2により排他的論理和がとられ、 その出力 mid_1M@mid_imは非線形 変換部 5 3によりデータ outwに変換される。 ついで、 データ out。。と outo,の排他的 論理和が X0R回路 5 4によりとられ、 その出力 out₀₀®out₀₁と out₀₁ ^統合して out⁽⁾ に変換する。 同様に、 mi d_u， mi d₁₂, mi d_1:,についても、 それぞれ 2つのサブ非線形 変換部 5 1， 5 3と 2つの排他的論理和回路 5 2， 5 4とよりなる図 1 0に示し たのと同様の機能構成の非線形変換部 345,， 345 , 345₃ によりデータ out out₂， out_;1に変換される。

これら非線形変換された 4つのデータ out。， out ,, out₂, out₃は、 結合部 346 に おいて一つのデータ Yi* に結合される。 最後に、 データ Y は、 鍵データ k_{i 2}による 第 3鍵依存線形変換部 347 において、 例えば k_i2ビット左ローテーションによりデ 一タ丫₁に線形変換され、 非線形関数部 304 力^の出力データ Yiが生成される。

この様に、 この第 3実施例においては、 非線形変換部 343。〜343₃， 345。〜345₃で は、 それぞれその内部で入力データが 2つのデータに分割されて 2つのサブ非線 形変換部 （図 1 0では 5 1 , 5 3 ) により非線形変換される。 このため、 これら 1 6個の各非線形変換部がそれぞれ极うことのできる 2倍のビッ ト長を、 非線形 変換部 343。〜343₃， 345。〜345₃ への入力データとすることができる。 例えば、 サブ 非線形変換部 5 1 , 5 3を 8ビット長の S-box とすると、 非線形変換部 343。〜343₃， 345。〜345_:i への各入力データは 1 6ビット長となり、 非線形変換関数 304 への入 力データは 6 4ビット長となる。 これにより、 図 4の構成を有するデータ変換装 置として、 ブロック長を 128 ビットとすることができる。

また、 サブ非線形変換部 5 1 , 5 3対応のものは 8つずつ並列に配置されてお り、 その非線形変換処理は相互に関連していないため、 これらはすべて並列実行 が可能である。 更に、 サブ非線形変換部 5 1， 5 3の差分確率 ·線形確率が pと すると、 非線形関数部 304 全体における差分確率 ·線形確率は p ⁴ となる。

上述において第 1鍵依存線形変換部 341 , 第 2鍵依存線形変換部 344 及び第 3鍵 依存線形変換部 347 は必ずしも鍵依存とすることなく、 つまり鍵データを入力す ることなく、 サブデータ内での線形変換を行ってもよい。

前述の各実施例ではハ一ドウエア構成として説明したが、 そのデータ処理をプ ログラムに従って実行するソフトウェアにより実現してもよレ、。 例えば、 その処 理手順の要部をフ口一チャートとして図 1 1に示す。 図 1 1は図 4の処理全体に 対応する処理手順を表している _c ステップ S 1 ：処理繰り返し回数を表す変数 iを 0に初期化する。

ステップ S 2 ：入力平文を初期変換してから左右ブロックデータ Li, ₍ に分割 する。

ステップ S 3 ：副鍵 を使って非線形関数により右プロックデータ を処理して ブロックデータ Y|を生成する。

ステップ S 4 ：左ブロックデータ をブロックデータ で線形処理してブロック データじ i を生成する。

ステップ S 5 ：右ブロックデータ を新しい左ブロックデータ 1^とし、 ブロック データ を新しい右プロックデータ とする。

ステップ S 6 ： iを 1だけインクリメントする。

ステップ S 7 ： iが Nに達したか判定し、 達してなければステップ S 3に戻り、 前述と同様の処理ステップ S 3〜S 7を繰り返す。

ステップ S 8 ：前ステップ S 7で iが Nに達していると判定されると、 左右デ ータし;， を結合し、 更に最終変換した結果を拡散データ Cとして出力する。 図 1 1のステップ S 3の処理の詳細は図 5の非線形関数部 304 による処理に対 応し、 その処理手順を図 1 2に示す。

ステップ S 3 1 ：右データ に対し第 1の鍵依存線形変換を行い、 データ と する。

ステップ S 3 2 ：データ を mビットずつ n分割してデータ in。， inい…， in_n_, を生成する （例えば m=8, rv=4である） 。

ステップ S 3 3 ：データ in。， in,, …， in_n_, をそれぞれア ドレスとして n個の 第 1の S-box からそれぞれデータ mid。₀, mid₀„ …， mid_()(n_₀ を読み出す。

ステップ S 3 4 ：デ一タ mi d^ mid^-D に対し副鍵 k を使った鍵依存線形変換 を行い、 テータ raid₁₀〜mid_{1 (n}—！)を生成する。

ステップ S 3 5 ：データ mid,。〜mid_{1 (n}— _υ をそれぞれアドレスとして η個の第²の S-box 力 らデータ out₀〜out_n— , を読み出す。

ステップ S 3 6 ：データ out。〜out„— , を結合してデータ Υ を得る。

ステップ S 3 7 ：データ Γ, に対し、 第 3の鍵依存線形変換を行ってデータ Y,を 生成し、 出力する。

上記ステップ S 3 4の演算は、 式（7- 1)〜（7 - 4)による演算でもよいし、 又は式（8 - 1)〜（8- 4)の定義を使った式（9) による演算でもよい。 更に、 図 1 1ではステツ プ S 3乃至 S 7をラウンド数だけ繰り返し実行する処理手順の場合を示したが、 図 3に示した N段のラウン

それぞれの処理をそのままプログ ラム化してこの発明のデータ拡散を実現してもよい。 第 4実施例

前述の図 4に示した第 1実施例は、 その非線形関数部 304 (図 5 ) の第 2鍵依 存線形変換部 344 を構成する図 6で説明した基本線形変換部 344Aを 4 x 4の行列で 表す場合 （即ち、 4入力、 4出力の場合） の実施例であつたが、 以下に示す第 4 実施例では、 線形変換部 344Aを 8 X 8行列で表す場合について説明する。

図 1 3は、 この発明の第 4実施例を示すデータ変換装置における、 暗号化処理 手順の機能構成を示したものである。 この構成自体は図 4に示した第 1実施例の ものと同じである力 異なる点は、 データのビット数と、 非線形関数部 304 にお けるデータの分割数 nである。

入力データ Mは、 鍵記憶部 322 に蓄積されている鍵データ fkによる初期鍵依存 変換部 302 で変換された後、 初期分割部 303 で左、 右ブロックデータし。， R„ に分 割される。 例えば 128 ビットのデータが 6 4ビットずつのブロックデータし。， R₀ に分割される。 初期鍵依存変換部 302 では、 例えば鍵データ fkと入力データ Mと の排他的論理和や鍵データ fkによる入力データ Mのビットローテーション （ビッ ト回転） などの線形変換、 もしくは乗算などを組み合わせた非線形変換などが行 われる。

右ブロックデータ R。は、 鍵記憶部 322 に蓄積されている鍵データ k。。， k₀₁, k₀₂ と ともに非線形関数部 304 に入力され、 非線形関数部 304 で非線形変換処理が行わ れてデータ γ。に変換される。 データ γ。とデータ L。は線形演算部 305 で線形演算され てデータし。 *に変換ざれる。 データし。 *とデータ R。は交換部 ³06 でデータ位置の交換 が行われ、 L— R(,， R,—し とされ、 Lい R,が次の第 1段ラウンド処理部 381 に入力 される。

以下、 第 i段ラウンド処理部 38_; (i=0, 1 , ' · ·, Ν- 1)において、 左右ブロックデータ L„ R,について上記と同様の処理を繰り返し行う。 即ち、 左右ブロックデータし,.， i について、 右ブロックデータ は、 鍵記憶部 322 に蓄積されている鍵データ k_i(), k ， k_i2と共に非線形関数部 304 に入力され、 非線形関数部 304 で非線形変換処 理が行われて、 プロックデータ Υ,·に変換される。 ブロックデータ Yiと は線形演算 部 305 で演算されてデータし に変換される。 データし とデータ は交換部 306 で データ位置の交換が行われ、 し R_i+,—し_;*のように交換される。 線形演算部 3 05 は例えば排他的論理和演算を行うものである。

データ変換装置としての安全性を確保するための適切なラウンド繰り返し回数 を Nとすると、 繰り返し処理の結果、 左右ブロックデータし、， R、が得られる。 こ れらのブロックデータ ， R_Nを最終結合部 307 で結合し、 つまり例えば各 6 4ビ ットのブロックデータし、， R、を結合して 128 ビットのデータとし、 その後、 鍵記 憶部 322 に蓄積されている鍵データ ekによる最終鍵依存変換部 308 で変換し、 出 力部 309 から暗号文として拡散データ Cを出力する。

復号については、 暗号化処理手順と逆の手順をたどることによって、 暗号文 C から平文 Mが得られる。 特に、 最終鍵依存変換部 308 が初期鍵依存変換部 302 の 逆変換になっているならば、 図 1 3において入力データの代りに暗号文データを 入力し、 鍵データを図 1 3とは逆に、 ek, k(_N— _υο， k₍ _₀„ k_(N-1)2, · · ·, k₁₀, k,„ k₁₂， k()₀， k_{01 >} k。₂， fkを順次与えればよい。

次に、 非線形関数部 304 の内部を詳細に説明する。 図 1 4は、 非線形関数部 304 の内部の機能構成を抜き出して示したものである。

右ブロックデータ は、 鍵記憶部 322 に蓄積されている鍵データ k_i0, k_u, k_i2と 共に非線形関数部 304 への入力データとなる。 右ブロックデータ は、 副鍵データ k_inによる第 1鍵依存線形変換部 341 、 例えば排他的論理和によりデータ

Ri④ ki ₀に線形変換される。 この変換されたデータ I は分割部 342 において例えば n = 8個のデ一タ in。， in,, in₂, …， in₇ に分割される。 8つのデータ in_G 〜in₇ は、 それぞれ非線形変換部 343。〜343₇において、 データ mid₀₀〜mid₀₇ に非線形変換さ れた後、 鍵データ k„による第 2鍵依存線形変換部 344 に入力される。

第 2鍵依存線形変換部 344 では、 8つのデータ系統から入力されたデータ mid_n(l， mid₀₁, mid₀, ··■, mid。₇を系統間で互いに線形処理 （排他的論理和） して新たな 8 つの系統のデータとし、 更にそれらの系列のデータを鍵データ k_n の 8つの部分に よりそれぞれ線形処理 （排他的論理和） して 8つの系統のデータ mid₁₍,， mid,,, mid ₁₂， …， mid₁₇を出力する。 これら 8つのデータは非線形変換部 345。， 345,, 345 , ···, 345₇に入力され、 それぞれデータ out₀， outい out₂, ···, out₇とされる。 これ ら 8つの出力データは結合部 346 で結合されてデータ丫 とされ、 更に第 3鍵依存 線形変換部 347 においてデータ丫 と鍵データ k_i2 との線形処理によりデータ を 生成して出力する。

第 2鍵依存線形変換部 344 は、 図 6で説明したと同様に ηχη行列で表される線 形変換部 344Αを含んでおり、 この第 4実施例では η = 8である。 ただし、 線形変 換部は全単射であると仮定する。 即ち、 mnk(P)=8である。 以下に、 第 1実施例で 説明したと同様に、 n_dが最大となるような 8x8行列 Pを求める。 ここでは、 安全 閾値 Tを T=8, 7， .... と順次減らし、 各値毎に以下のアルゴリズムを実行する。

Step 1 ：安全閾値 T (Tは 2≤T≤nなる整数） を設定する。

Step 2：ハミング重みが T-1以上となる列べク トルの集合 Cを用意する。

Step 3：集合 Cから 8個の列べクトルの組 Pcを選択する。 このとき、 rank(P_c)≠ 8ならば、 その P_cは候補としなレ、。

Step 3-1 ： P_tに対する n_dを以下のようにして求める。

•任意の 2列 （a,b列） について

n_d0=2 + min#{(tia,t_ib) | t_ia① t_ib≠ 0， 0≤i<8}

(a,b)

•任意の 3列 （a, b，。列） について

ndi =3+ min #{(ti_a，t )|t_ia®t_ib®t_ic≠0，0≤iく 8}

(a, b, c) n_d2=3₊ min #{(t_ia, t_ib, t_ic) | (0,0,0),(1，U)を除く， 0≤i<8}

(a,b，c) •任意の 4列 （a, b, c, d列） について

(0.0,0,1), (0,0,1,0), (0,1,0,0), (1,0.0.0) ₀ <:_<8i nd3 ^{= 4+} min ^(( ， ， ） (0,I,1

fa, b, c,d) ，1),(I,0,U)，（1，1,0,1)，（1,I,1,0) ， ⁼ n_d4 =4+ min #{(t_ia， t_ib， t_ic，t_id)|(o，o,o,o)，（i,i，o，o),(o,リ, ι),(ι,ο,ι,ι)を除く，0≤i<8}

(a,b, c，d) n_d5 = 4+ min #{(t_ia， t_ib, t_ic，t_id)|(o，o,o，o)'(i,o，i,o),(o，i,リ) ,αι,ο,ι)を除く ,0≤i<8}

(a, b, c， d) n_d6 = + min #{(t_ia， t_ib， t_ic，t_id)i(o，o，o，o)，(i,o,o,i),(o,i，i，i), ,i,i,o)を除く ,0≤i<8}

(a, b， c, d) n_d7 =4+ min ^( ，^，^， ^(。'。，。，。 。 ^'( 丄り， ，リを除く ,0≤i<8}

(a, b, c，d) n_d8 =4+ min #{(t_ia, t_ib, ^,^)|(ο,ο'ο，ο),(ο,ι，ο,ι)，（ι'ο，ι,"，（ι,ι,ι,ο)を除く，0≤i<8}

(a, b， c，d) n_d9 = 4 + min #{(t_ia, t_ib， t_ic，t_id)|(o,o，o,o),(o,o，i，i), ( ,ο,ι)， ι，ι，ο)を除く，0≤i<8}

(a, b, c,d)

• n_d = min{n_di |0≤i≤9}

直感的にいえば、 式 n_d。〜n_d9 は、 第 1非線形変換部 343 の active s- box の個数 (右辺第 1項） が決められたとき、 第 2非線形変換部 345 で最小いくつ以上 （右 辺第 2項） の s- boxが activeになり、 そのときの active s- box の合計がいくつ以 上 （左辺） になるのかを表している。 例えば、 第 1非線形変換部 343で 2つの acti ve s - box がある場合、 その差分値をそれぞれ Δζ₈， Δζ„ と表すことができる。 こ のとき、

[厶 z' _i] = [t_iilAz_a®t_ihAz_h] (0≤i<8) (11)

となる。 特に、 Az_a=Az_h とすると、

[厶 z'

(0≤i<8) (12)

となる。 従って、 この場合の active s - box の最少個数は n_d。 で与えられることに なる。

上述の探索アルゴリズムにより、 行列 Pを探索した結果、 n_d 6=Tとなるような 行列は存在せず、 また、 n_d=5 ^となる行列は 10080個存在した。 その結果、 これら の行列 Pを用いたラウンド関数の差分解読法に対する耐性は p≤p となる。 また、 線形解読法に対する耐性も q≤q_s ⁵ となる。

上記の 10080 個の行列 Pについて、 その構成を決める。 全数探索的に構成を決 めることは例えば 1 6個の X0R結線を使うとして、 （8 Χ 7) ¹⁽^ 2^∞ 程度の計算量が必 要であり、 実行不可能である。 そこで、 図 1 5 Αに示すように、 線形変換部 344A の内部が 8入力 4出力のボックス B1〜B4で構成される構造に限定する。 各ボック スの内部構成は図 1 5 Bに示すように、 4つの X0R回路で構成されており、 全ての 入力ラインが 1回ずつ X0R回路を通過するのもとする。 従って、 線形変換部 344A全 体では、 1 6個の X0R回路で構成されることになる。 このとき、 （4 X 3 X 2 X 1 ) ¹ 2^{1 8}程度の計算量となり、 十分に全数探索が実行可能となる。

図 1 5 Aでは左右各 4系統のラインに対し 4つの変換ボックス B1〜B4が交互に 揷入されているが、 これらのラインは任意に選択した 4ラインと、 その残りの 4 ラインに決めてよい。 各変換ボックスにはそれが挿入されている 4ラインからの 入力と、 残りの 4ラインからの入力が与えられ、 変換結果を前者の 4ラインに出 力する。

上述の探索アルゴリズムにより得た 10080個の行列のうち、 図 1 5の構造を満 たしつつ、 1 6回の基本演算 （X0R)で単位行列 I となるものがあるかどうかを探 索した結果、 5 7個の構成が見つかった。 その中の 1つの行列 Pを次に示す。

P 二 (13)

この行列を使用した線形変換部 344Aの構成例を非線形変換部 343, 345 と共に図 1 6に示す。 図に示すように、 第 1非線形変換部 343 を構成する 8個の S- box から の 8ラインの左右 4系統のラインに対し、 4つの変換ボックス B 1〜B4が交互に揷 入されており、 その結果、 各ラインには 2個の X0R回路が挿入されている。 第 1実施例において 4 X 4行列の場合に与えたと同様の予測、 即ち図 1 6で構 成された線形変換部 344Aにおいて、 マスク値パスに対する行列が行列 Pの転置行 列となっていること、 及び n,=5 となることが正しく成立するかを以下のように確 認することができる。 図 1 6で構成された線形変換部 344Aに、 付録に定理 2で示 す concatenation rules を用いて線形パスを構成することによって、 マスク値パ スに対する行列¹ Pは以下のように求められる。

このことから、 行列 ^TPが行列 Pの転置行列となっていることがわかる。 更 acti ve s-box の最少個数を調べると、 n,=5となることが確認できる。

図 1 7は、 上述のようにして決定された線形変換部 344Aと、 更に鍵変換部 344B とを含む第 2鍵依存線形変換部 344 の具体例を示す。

鍵変換部 344Bは鍵データ k_{i l(>}, k_{i U}, k_{i l2}, · · ·, k_{i l7}と線形変換部の出力との排他的 論理和演算を X0R回路 63„, 63,， 63„■··, 63₇で行い、出力データ mid₁₍,， mid, ,, mid,,,

…， mid₁₇を出力するように構成されている。 例えば、 図 1 7に示すような機能 的構成により、 次の演算がなされる。

mid_]()=mid₀₁®mi d₀₂®mi d₀₃®mi d_0il®m i d_o50m ι d₀₆Sk j , ₀ (15-1)

mid,, =mi d_on®mid_O20mi d_0:i®mid₀₅®mi d_0fi®mi d₀₇®k_u , (15-2)

mi d_l2 = mi d₀₀®mi d_ol0mi d₀₃®mi d_0i)®mi d₀₆®mi d₀₇®k_{i l2} (15-3)

mi d , ., = m i d_Q0®m i d_n , Θηι i d_n 0.2®、 m i dュ„ 0₄.1®、 m i d_nR®m i d_n7®k (15-4)

mid,, =mid₀₍₁®mi d_n,®mi d_n:i®mi d_n o,r®mid₀₅®k (15 - 5)

mi d , ; = m i d_O(10m id_n,0mi d_n.©m i d_ns®m i d_oe®k (15-6)

mi d,« = mi d_n,©mi d ^J _n02 mi d₀,®mi d_0B®mi d₀₇®k (15-7)

mid,₇=mid_n(,emi d₍₁.,®mi d₀₃®mi d₀₁®mi d₀₇®k 、i l7 (15-8) この演算により、 データ mid,。， mid,,, mid₁₂₎ …， mid₁₇を生成する。 なお、 副鍵 k_uは 8つのデータ k_il0, k_iU, k_il2， ···， k_il7で構成されている。 図 1 7において、 m id₀。〜！ nid。₇はそれぞれ系路 60_u〜60₇に入力される。

系路 60,， 60₅, 60₆， 60₇上の X0R回路 61 61₅, 61₆, 61₇でそれぞれ rnido,と mid₍₎。、 m id₀₅と mid_(ll、 mid。_Hと mid。₂、 mid。₇と mid。_:,との各排他的論理和算がなされる。

系路 60。， 60,, 60 60_:i上の X0R回路 61_(|， 61,, 61₂， 61_:,でそれぞれ mid。。と X0R回路 61_fiの出力、 mid₀,と X0R回路 61₇の出力、 mid,)₂と X0R回路 61₄の出力、 mid(_):iと X0R回路 6 1₅との出力の各排他的論理和算がなされる。

系路 60,， 60₅， 60₆, 60₇上の回路 62,, 62₅, 62_B, 62₇で、 それぞれ X0R回路 61₃と 6 の各出力、 X0R回路 61。と 61₅の各出力、 X0R回路 61,と 61₆の各出力、 X0R回路 61₂と 61₇ の各出力の排他的論理和算がなされる。

系路 60。， 60„ 60₂， 60:,上の X0R回路 62。， 62„ 62₂， 62₃で、 それぞれ X0R回路 61。 と 62.,の各出力、 X0R回路 61, と 62₅の各出力、 X0R回路 61₂と 62^の各出力、 X0R回路 61:,と 62₇の各出力排他的論理和算がなされる。

更に、 系路 60。〜60₇上の X0R回路 63₍₎〜63₇で、 X0R回路 62。〜62₇の各出力と鍵デ ータ k_ilu〜k_il7との排他的論理和算がそれぞれとられ、 系路 60。〜60₇からそれぞれ 出力 mid₁₀〜mid₁₇が出力される。 つまり出力 mid₁₀〜mid_1:!は、 入力 mid₀„〜mid₀₇力 ら選んだ 6つと鍵データとの排他的論理和算がなされ、 出力 mid_H〜mid₁₇は入力 mi d。。〜！ nid_fl7から選んだ 5つと鍵データとの排他的論理和算がなされる。

次いで、 データ mid_lu, mid,,, mid₁₂, ···, mid₁₇は、 図 1 4でそれぞれ非線形変換 部 345。， 345,， 345₂, ■··, 345₇において、 データ out。， out,, out_2> ···, out?に非 線形変換された後、 結合部 346 において、 8つのデータ out。， out,, out_2> ···, ou t₇は 1つのデータ丫 に結合される。 最後に、 データ丫 は、 鍵デ一タ k_i2による第 3 鍵依存線形変換部 347 において、 例えば ビット左ローテーションによりデータ Yiに線形変換され、 非線形関数部 304 からの出力データ Y,が生成される。

非線形変換部 343。〜343₇， 345。〜345₇のそれぞれは、 例えば D E S暗号の S- box のようなものであり、 例えば ROMにより構成され、 それぞれ入力データをアド レスとして入力し、 対応するデータを読み出すものである。 ここで、 非線形変換部 343_(|〜343₇は 8つ並列に配置されており、 その非線形変換 処理は相互に関連していないため、 これらはすべて並列実行が可能である。 また、 非線形変換部 345。〜345₇についても同様のことがいえる。 このため、 非線形変換は それぞれ 1ステップ （合計 2ステツプ） で実行することができる。

また、 非線形変換部 343。〜343₇の差分確率 ·線形確率が pとすると、 第 2鍵依存 線形変換部 344 に図 1 7に示した線形変換を用いた場合、 非線形関数部 304 全体 における差分確率 ·線形確率は P⁵となる。 従って、 データ変換装置全体では段数を 3 rとして確率 P≤ で近似表現でき、 例えば !· = 4 (段数 1 2段） とすると P≤p '¹⁽⁾である。 これは D E S暗号に換算すると 60段以上に相当し、 差分解読法お よび線形解読法に対して十分安全なデータ変換装置となる。 なお、 第 2の鍵依存 線形変換部 344 として図 1 7に示したもの以外の線形変換手段を用いることもで きる。 その例を図 1 8に示す。 この場合は下記の演算がなされる。

mi d₁₀ = mi d₀₁®mi d₀₂©mid₀₁®mi d₀₅®mi d₀₆©mi d_o70k_no (16-1)

mid_H

d₀₂®mi d_0:!㊉ m i d_M® i d_ofi0kj , , (16 - 2)

mid₁₂=mi d₀₀®m id₀₁®mi d_o:i©m i d₀₄@m i d₀₅€>m i d₀₆④ k i _{{ 2} (16-3)

mid₁₃=mi d_0Q®m i d_o;i©m id₀„8mi d_n6©m i d₀₇®ki ₁₃ ( 1り - 4)

m i d , .j = m i d₀₀©m i d₀₂®m i d_0:t®m i d₀₅em i d_0B®m i d₀₇®kj , (16-5)

mi d ₁₅ = mi d₀₀®mi d_oiemi d_O20mi d₀₅©m i d₀₆®k_{{ 15} (16-6)

mid₁₆=mi d₀₀®mi d_0l®mi d₀₂©mi d_o;!0mi d_M®mi d_o70ki (16-7)

mid₁₇=mi d₀₀®ra i d₀₂®m i d _i®m i d₀₅®m i d_o70k _s , ₇ (16 - 8)

あるいは、 図 1 9に示す回路構成としてもよく の場合は下記の演算がなさ れる。

mid₁₀=mi d₀₀®mi d₀₁®mi d_0i]©mi d₀₅®mi d₀₆©k_uo (17-1)

mid_u =mid₀₁®mi d_o;!®mi d₀₁®mi d₀₅®mi d_O70k_n , (17-2)

mid₁₂=mi d₀₀®mid₀₂®mi d₀₁©mid₀₆®mi d₀₁®k_{i 12} (17-3)

raid, ._¾ = 1111 d₀₂©m i d_n:(®mi d_os®m i d_0fi©rai d₀₇® k (17-4)

raid_H=mi d_on0mid_ol®mi d_∞®mi d₀₅©mi d_O60mi d₀₇®k_i (17-5)

mid₁₅=mid₀₁®mi d₀₂®mi d₀₃®mid₀₄®mi d_O60mi d₀₇©k_{n 5} (17 - 6) mi d_lfi=mid₀₀®mid₀₁®mi d₀₂®mi d₀₁©mi d₀₅Smi d₀₇©k _{f 16} ( 17-7)

mid_{I 7}=mi d₍₎₍,®mid_Q2©rai d_O3®mid_o10mi d₀,-®mi d_ft6©k_{n 7} ( 17-8)

第 2鍵依存線形変換部 344 は図 1 7〜1 9の演算から明らかなように、 8つの 入力データ mid。。， mid₀₁, mid₀₂, · · ·, mid。₇のうち、 それぞれ 6つの入力データから 生成した 4つの出力データと、 それぞれ 5つの入力データから生成した 4つの出 力データの合計 8つの出力データ midw, mid,,, mid₁₂, …， mid₁₇を生成するような 鍵依存線形変換であり、 かつ 8つの各入力データ mid。_Q， mid。い mid₀₂, · · ·, が 少なくとも 4つ以上の他の系統の出力データに影響を与える （例えば図 1 7の例 であれば、 入力データ mid₀₀は 6つの出力テ一タ mid_u， mid₁₂, mid₁₃, mid₁₄, mid₁₅, niid₁₇に影響を与える） ような線形変換であれば、 図 1 7の例について述べたと同 様に、 非線形関数部 304 全体における差分確率 ·線形確率は p ⁵となる。

鍵ァータ {fk, k。。， k。い k。₂, k₁₀₎ k_u, k₁₂,… , k_(N_₁₎₀, k_(N— _υい k(_N— ₁₎₂, ek}は、 王 鍵情報 k e yが入力部 320 より鍵データ生成部 321 に入力され、 この鍵データ生 成部 321 によって変換され、 鍵記憶部 322 に蓄積されたデータである。

鍵デ一タ生成部 321 による鍵データの生成は図 1に示した D E S喑号の拡大鍵 生成ルーチン部 2 1と同様に構成してもよいし、 あるいは米国特許 Νο· 4， 850. 019 に示されている拡大鍵生成部と同様に構成してもよい。

また、 初期鍵依存変換部 302 、 最終鍵依存変換部 308 、 鍵依存線形変換部 341, 344, 347は鍵に依存する線形変換手段であるため、 差分解読法および線形解読法 以外の解読法に対しても十分な安全性を兼ね備えたデータ変換装置である。

なお、 第 4実施例はこの例に特定されるだけでなく、 例えば高速性を望むので あれば、 これら初期鍵依存変換部 302 、 最終鍵依存変換部 308 、 鍵依存線形変換 部 341, 344, 347について、 そのいずれかを削除する、 または鍵に依存しない変換 手段に変更することが可能である。 この場合、 差分解読法および線形解読法に対 する安全性をそれほど低下させることなく、 暗号化処理速度の向上が望める。 第 5実施例

図 1 3に示した第 4実施例と同様の構成を有するデータ変換装置において、 非 線形関数部 304 の機能構成の変形例を用いた実施例を説明する。 第 5実施例の基 本構成は、 図 1 3に示した第 4実施例と同様である。 異なる点は、 その非線形関 数部 304 を示す図 1 4において、 非線形変換部 343。〜343₇の構成を、 図 8A〜8 D に示した第 2実施例における非線形変換部 343。'， 343/, 343； , 343； 等と同様に 変形し、 拡大データを出力する構成とした点である。 また、 第 2鍵依存線形変換 部 344 の構成を、 図 9に示したものと同様の構成としている。

図 1 3に示したように、 右ブロックデータ は、 鍵記憶部 322 に蓄積されている 鍵データ k_i0, k ， k_i2 と共に非線形関数部 304 への入力データとなる。 データ は、 第 1鍵依存線形変換部 341 において、 図 1 4で示したのと同様に鍵データ k,.。と例 えば排他的論理和がとられ、

に線形変換される。 次に、 データ R は分割部 342 において 8つのデータ in。， in,, in₂, ···, in₇ に分割される。 8つの データ in₍₎, in,, in₂,…， in₇ は、 それぞれ非線形変換部 343。'， 343；, 343；, ···, 343； において、 データ MID MID₀₁₍ MID。₂， ··'， MID₀₇に非線形変換される。 非線形 変換部 343。'は、 mビッ トのデータ in(, を 8 Xmビットのデータ

MID(_m= [00···0₍₂₎, mid₍₎₀, mid₀₀, mid₀₀, mid₀₀, mid₀₀, 00···0₍₂₎, mid₀₀] (18-1) に変換するよう構成されている。 即ち、 非線形変換部 343。'は、 例えば図 2 OAに 示すように、 上位 mビットに第 4実施例の図 1 4における非線形変換部 343₍₁と同じ mid。。を出力し、 下位 mビットに" 00···0(₂)〃を出力する S - box 343₍,を有し、 布線によ りデ一タ mid_Q„を 6系統に分岐して出力すると共に、 〃00 0(₂)"を 2系統に分岐して 出力する。

非線形変換部 343, 'は図 20 Bに示すように、 上位 mビットにデータ mid₀₁を出力 し、 下位 mビットに" 00···0(₂)〃を出力する S- box を有し、 布線によりデータ mid₀₎を 6系統に分岐して出力すると共に、 mビットデータ" 00···0"を 2系統に分岐して出 力する。 以下、 非線形変換部 343₂'〜343₇'も同様に構成され、 図²0 Cに非線形変 換部 343₇'の構成を示すが、 その説明は省略する。 これらの非線形変換部 343,'〜34 3/は、 それぞれデータ in,〜in₇を以下のデータ MIDw MIDn?に変換する。

ID₀₁=[mid₀₁, 00···0₍₂₎， mid。い mid。い mid。い mid。い mid。い 00···0_ω] (18 - 2)

MID₍₁₂= [mid。₂， mid₀₂, 00···0(₂₎, mid₀₂, 00···0₍₂₎, mid₀₂, mid。₂， mid₀₂] (18 - 3) MID_o;i= [mid_o:s, mid。₃, mid。₃, 00···0₍₂), mid_o:i, 00···0₍₂₎, mid_o;i, mid₀J (18 - 4) MID_{0 )}= [mid_{0 l}, 00· · ·0₍₂₎, mid₀₁, mid_01> mid₀.„ 00· · ·0₍₂₎, 00· · ·0₍₂₎, mid₀.,] (18—5) MID。₅= [mid₀₅, mid₍₎₅₎ 00· · ·0₍₂)， mid₀₅₎ mid₀₅, mid。₅, 00· . ·0 ), 00〜0₍₂₎] (18-6) MID₀₆= [mid_0fi, mid_ofi, mid_0fi, 00···0(₂), 00·· ·0(₂₎， mid₀₆, mid₀₆, 00· · ·0₍₂₎] (18一 7) MID_n7= [00· · '0₍₂₎， mid_0Y, mid₀₇， mid₀₇, 00·· ·0₍₂₎, 00· · ·0₍₂₎, mid₀₇, mid₀₇] (18 - 8) これらのデータ MID。_n〜MID。₇は、 第 2実施例において式 (8-1)〜（8-4)について説 明したと同様な手法により予め決めることができる。 即ち、 データ MID。oは、 図 1 7に示す線形変換部 344Aにおいて、 データ mid。。 以外の全てのデータ mic^ mic^を それぞれ" 00···0(₂₎〃と設定した場合に、 線形変換部 344Αの 8系統 60。〜60₇の出力に 得られるデータのセットである。 データ MID。,は、 データ mid_ni以外の全てのデータ m id₀。， mid。₂〜mid。₇をそれぞれ" 00·· ·0 と設定した場合に、 線形変換部 344Αの 8系 統 60。〜60₇の出力に得られるデータのセットである。 以下、 データ MID。₂〜MID。7につ いても同様である。 これら非線形変換部 343。'〜343/はそれぞれデータ in₍₎〜in₇を アドレスとし、 データ MID₍₎₍,〜MID。₇を直接読み出す変換テーブルとしてメモリによ り構成してもよい。

次いで、 図 2 1に示すように、 データ MID。。〜MID。₇は鍵データ k„による第 2鍵依 存線形変換部 344 に入力される。 第 2鍵依存線形変換部 344 は、 入力データを 2つずつ互いに排他的論理和をとる X0R回路 ,〜^.,と、 それらの出力を 2つ ずつ互いに排他的論理和をとる X0R回路 42,, 42₂と、 それらの排他的論理和を とる X0R回路 4 3と、 その出力と鍵データ k_uとの排他的論理和をとる X0R回路 4 4とから構成されている。 これにより、

MID^MIDooeMIDo.eMIDo^MIDo^MIDo.eMIDoseMIDoeeMIDn^ki, (19) が演算される。 この出力 MID,は 8個のブロックに分割され、 データ mid,。， mid,,, m id₁₂,••'. mid として出力される。 結局、 第 2鍵依存線形変換部 344 による線形変換 は、 mビットのサブブロック単位として表すと次のようになる ：

mid₁₀=mid_oiemi d。₂0mi d_o;!0mi d_ol®mid_o50mi d₀₆®k_{i l()} (20— 1 )

mi d, ! =mid₀₀®mi d₀₂®mi d₀₃®mi d₀₅®mid₀₆®mid₀₇ek_n , (20—2)

(20一 3)

mi d _n = mi d_onemi d_()iemi d₀₂emi d_oiemi d₀₅emi d₀₇eki , _;i (20—4) nii di.i

dMiSki H (20 - 5)

mi d ₁₅ = m i d_on©m i d₀ , Θπι i d₀₂®m i d_O50m i d_n6®k j ₁₅ (20-6)

mid_Hi = mi d₀ , ©m i d_o20m i d_o:i®m i d_ofi0m i d_n70k_{i l6} (20 - 7)

mi di₇ = mid_no0mi d₀₂9mi d_0;i®mid_ni©mi d_O70k_{i l7} (20-8)

これは図 1 7で説明した線形変換を表す式（15- 1)〜（15-8)と等価な線形変換であ る。 これにより、 第 4実施例と同じデータ mid,,, mid₁₂, · · ·, mid₁₇を生成す る。 なお、 副鍵データ k_uは 8つのデータ k_{i in}, k , k_{i l2}, · · ·, k_{i l 7}で構成されてい る。

次いで、 データ mid,。， mid,,, mid₁₂, · · ·, mid,₇は、 それぞれ図 1 4中の非線形変 換部 345。， 345,, 345₂,…， 345₇において、 データ out₀, out,, out …， out₇に非線 形変換された後、 結合部 346 において、 8つのデータ out。， out,, out , · · ·, out₇ が 1つのデータ Yi*に結合される。 最後に、 データ Yi*は、 鍵データ k_i2による第 3鍵 依存線形変換部 347 において、 例えば k_i2ビット左ローテーションによりデータ Yi に線形変換され、 非線形関数部 304 からの出力データ Yiが生成される。

図 2 1に示すように、 第 2鍵依存線形変換部 344 では、 排他的論理和の個数が 8つで図 17と等価な線形変換 （図 1 7では排他的論理和の個数は 2 4個） を実現 しているため、 第 4実施例より高速な変換が可能になる。

また、 第 4実施例と同様に、 非線形変換部 343_(>'〜343₇'と 345₍₎〜345₇は⁸つずつ 並列に配置されており、 その非線形変換処理は相互に関連していないため、 これ らはすべて並列実行が可能である。さらに、非線形変換部 343。'〜343₇'の差分確率 · 線形確率を pとすると、 非線形関数部 304 全体における差分確率 '線形確率は p ⁵ となる。

なお上述において、 第 2 (鍵依存） 線形変換部 344 は鍵 ことなく、 この入力 サブデータ内の排他的論理和等によってもよい。 つまり図 1 7の X0R63。〜63₇、 こ れと対応する図 1 8， 1 9， 2 1路部分を省略してもよレ、。

また、 上述において、 第 1鍵依存線形変換部 341， 第 2鍵依存線形変換部 344 及 び第 3鍵依存線形変換部 347 は必ずしも鍵依存とすることはなく、 つまり、 鍵デ ータを入力すくことなく、 サブデータ内での線形変換を行ってもよい。 上述の第 4及び第 5実施例によるデータ拡散処理は、 その処理手順を表すプロ グラムをコンピュータで実行することにより実現してもよい。 その場合の処理手 順は図 1 1及び 1 2に示すものと同様なので説明を省略する。

図 2 2は、 第 1〜第 5実施例で説明したデータ拡散処理手順を表すプログラム を予め記録媒体に記録しておき、 そのプログラムを読み出してこの発明のデータ 拡散を実施する構成例を示す。 中央演算装置 （C P U) 110 、 リードオンリーメ モリ （R OM) 120, ランダムアクセスメモリ （R AM) 130， 記憶装置 （例えば ハードディスク H D) 140, I/Oインタフェース 150， 及びこれらを互いに接続する バス 160 は一般的なコンピュータ 100 を構成している。 この発明によるデータ拡 散処理を実施するプログラムは、 例えば記録媒体としてのハードディスク 140 に 格納されている。 R OM120 にはそれぞれの S- box が表として格納されている。 データ拡散処理を実行する際に、 R AM130 にそのプログラムをハードディスク 1 40 から読み込み、 インタフェース 150 を介して平文 Mが入力されると C P U 110 の制御のもとにプログラムが実行され、 生成された拡散デ一タ Cがインタフエ一 ス 150 を介して出力される。

データ拡散処理を実行するプログラムは記録媒体としての任意の外部記憶装置 1 80 に格納したものを使用してもよい。 その場合、 ドライバ 170 を介して外部記憶 装置 180 からプログラムをハードディスク 140 に一旦移して使用する力 \ R AMI 30 に転送して使用することができる。

出力された拡散データ Cは、 図示してないが、 例えば通信回線やインターネッ トを介して送出されると、 共通鍵を有している者のみがこの拡散データ cを復号 することができる。 この発明により拡散されたデータ cは差分解読法及び線形解 読法に対し強い耐性を有しているので、 より安全な情報の送信が実現できる。 ところで、 前述の各実施例において、 鍵生成スケジュール部を図 3と同様に構 成すると、 データ拡散部 1 0で kjと k_i+l として使用する副鍵が、 鍵スケジュール部 2 0中の鍵拡散部 21jの出力 ¾と ₊, (ただし i=2jとする） になっていた。 一方、 差分解読法や線形解読法で求まる可能性の高い副鍵は k、と k、_,であるから、 これら の情報を用いてデータ拡散部を組み合わせることで、 他の副鍵を求めやすくなつ ていた。

そこで、 前述の各実施例を代表する図 4のデータ変換装置において、 以下の実 施例では副鍵を生成する鍵生成スケジユール部 2 0で実施される鍵生成アルゴリ ズムを、 より複雑にすることでこの問題を解決する。 以下の実施例では、 少なく とも、 副鍵 と k_vlが求まっても、 他のデータ拡散部の出力に関する多くの情報が 洩れないようにするために、 図 3に示した鍵拡散部 22 (図 3中の関数 f J と同様 の働きをする G関数部を用いることのほかに、 鍵生成についての第 1の観点によ れば、 G関数部の出力である L成分が記憶部に一旦記憶され、 必要な個数だけ L 成分を求めた後に、 それぞれの L成分から出来るだけ均一に必要となる情報を抽 出して副鍵を生成するデータ抽出機能を備えた H関数部が設けられる。 また、 第 2の観点によれば、 G関数部の出力である L成分からそれぞれの副鍵として使用 される部分情報が H関数部で抽出され、 記憶部に記憶され、 必要な個数の L成分 から部分情報を抽出することで副鍵が生成される。

D E Sの場合、 主鍵のビット位置を入れ換えるだけで副鍵を生成していたので、 鍵スケジュール処理は高速であった。 しかし、 副鍵の部分情報が知られると、 直 ちに主鍵の対応する情報が分かってしまう問題があった。

主鍵と副鍵の関係を複雑にするために、 鍵スケジュールの処理量が大幅には増 加しないように、 かつ鍵スケジュール部のプログラム規模が増加しないようにす るために、 デ一タ拡散部で使用する F関数あるいは F関数を構成するサブルーチ ン （以下ではこれらの関数を f と書く） を利用することでデータ拡散関数 G関数 を構成して、 G関数を繰り返し呼び出す、 つまり繰り返し用いることで、 複数個 の中間値 Lを生成する。

G関数は、 2つの入力成分 (Υ, V)によって動作し、 3つの出力成分（し， Υ, V)を 生成することとする。 Y成分のビット数は主鍵 Kのビット数と一致するか、 それ よりも大きいものとする。

G関数は、 データ拡散部に副鍵を供給するために、 必要な回数 （M回） 繰り返 し呼び出されて、 M個の L成分を生成する （0≤ j ≤M-1) 。 j回目に呼び出され た G関数の出力を （L」， Yj， vj) と表すと、 この値の一部は（j+1) 回目に呼び出さ れる G関数の入力 （Y_j+I

) として利用される ₍ で、 Y。 はその

—部に Κを含んだ値であり、 ν„ は予め定められた値 （例えば 0) とする。

与えられた主鍵 Κに対し、 副鍵 ki ( i =0, 1, 2， ···, N-l) を以下のように定め る。

(しい (Y„ v,))=G(Y₀, v。） (21)

( ,， （Y_j+い v_j+,))=G(Y_{j) Vj})

= 2, ···, M-l) (22)

k; =H(i, L„ L₂₎ ···, L_M )

( i =0, 1, 2, ···, N - 1) (23)

ここで、 H関数は、 副鍵の添字 iおよび関数 Gの出力である M個の L成分を入力 して、 それぞれのし」から必要に応じて iによって決められたビット位置の情報を 抽出するものである。

第 6の実施例

図 23 Aに図 4で示した鍵生成スケジュール部 20に適用する第 6実施例の鍵 生成スケジュール部の原理構成を示す。 主鍵 Kは中間鍵生成部 220 に入力され、 中間鍵生成部 220 は縦続的に動作する複数 （M段） の G関数部を有し、 中間鍵し， 〜し M を生成し、 これら中間鍵は記憶部 230 に記憶される。 記憶部 230 に記憶され た中間鍵 L, 〜し _Mは副鍵生成部 240 で H関数部にもとづき副鍵 が生成される。 各 部の構成作用を以下に具体的に説明する。

この例では、 先に指摘した宫口らの米国特許で示されているデータランダム化 部を利用することを想定して、 先に示した図 8の鍵スケジュール部の安全性を高 める装置である。 宫口らの米国特許で示されている鍵スケジュール部 （図 3) で N =16の場合にこの実施例を適用する場合について説明する。

図 3では 8 (=N/2)段のデータ拡散部によって 1 6個の Q成分を入手する。 ここ では、 それぞれの Q成分を Q」 と表わす。 各 Q」は 1 6ビットである。 副鍵生成部 24 0 ではそれぞれの Q;成分の第 1ビット目の値から副鍵 k。 を構成し、 それぞれの 成分の第 2ビット目の値から副鍵 k, を構成し、 一般にそれぞれの 成分の第 i ビ ット目の値から副鍵 ， を構成する。 すなわち、 Qj成分の第 iビット目を Q」[i] と 表すと、 副鍵 は次式で示される。

ki_, = (Q,[i], Q₂[i], ···, Qj[i]， …， Q₁₆[i]) (24)

ここで、 1 ≤ i , j ≤ 1 6に注意。

先に示した G関数、 H関数の枠組で、 ここに述べた処理方法を見直すと以下の とおりである。 ここで、 Υ」 は 6 4ビッ トの値であり、 Y_; ^L は Υ」 の上位 3 2ビッ ト の値、 Y/ は Υ」.の下位 3 2ビットの値を表している。

入力（Υ」， v」）に対する G関数の出力を

(L (Yj ))

_Vj) (0≤ j ≤7) (25)

と表すと、 その出力結果（ ,，（Y_j+1, ν^))は次式により得る _c

(26)

副鍵 は i とし, 〜 の関数として次式で示される。

k _l =H (i, L„ L₂， ···, L₈) (29)

この H関数は、 各し」 をビットごとに分割して（ΐ ^ω， t ²⁾, -, t ⁱ²⁾)と表したとき 副鍵 を

(ί)

k, = (t t₈ ⁽ⁱ⁾, ^M+i))

( 1 ≤ i ≤16) (30)

と構成する。

なおこの方法では、 最大 1 6個の副鍵が得られるので、 宮口らの米国特許で示 されている喑号アルゴリズムでは、 8段の F関数から構成した場合にまで対応で さる。

図 2 3 Aの中間鍵生成部 220 の構成を図 2 4を用いて説明する。 G関数部 22 - 1 〜22 - 8が縦続的に構成され、 その初段の G関数部 22 - 1に主鍵 Kが Y。 として、 また 定数 ν。 が入力され、 各 j段目の G関数部 22 - jは、 Yj— , と _Vj— , が入力され、 Υ,— , が 攪乱されて、 出力し」 ， Υ」 ， を出力し、 し」が中間鍵として出力され、 Y」， vj が 次段の G関数部 22 -（j+l)へ供給される。 つまり Y₀ =Κ、 ν₍₎ = 0と設定した後に G 関数部 22を 8回呼び出す。 G関数部の構成を図 2 5に示す。 .この構成に対し、 以 下の処理を j = 0カゝら j = 7まで繰り返す。

ステップ 1 ： Υ」 と V, を G関数部 22 -（j+1)に入力すると、 図 25中のデータ分割 装置 221 を用いて を 2つのブロック（Y ， Y/)に分割する。

ステップ 2 ： Y を v_j+1 として出力する。 また、 Y」^L をデータ拡散部（f_k) 222 に入 力する。

ステップ 3 ： Y をデータ入換器 224 に入力する。 また、 Y/ と を排他的論理 和回路 223 に入力して Υ/®ν」 を演算し、 その結果をデータ拡散部（f_k) 222 に入力す る。

ステップ 4 ： Y と

を入力として受けとるとデータ拡散部 f_k 222 は、 その 計算結果を L_j+1 として出力すると同時に、 データ入換器 224 に入力する。

ステップ 5 ：データ入換器 224 は、 Y とデータ拡散部（f_k) 222 の計算結果 L_j+1 を入力として受けとると、 を Y_j+1 ^L 、 L_j+, を Y_j+,^K とし、 Y_J+1 = (Y_j+1 ^L, ）と連結 して出力する。

G関数部 22-1〜22- 8が出力した 8個のし」 を、 一旦、 記憶部 230 (図 23 A) に 記憶する。

次に、 副鍵生成部 240 としての H関数部の構成を図 26を用いて説明する。 H 関数部 240 は、 記憶部 230 から 8個の L成分し， 〜L„ を読みだしたのちに以下を実 行する。

ステップ 1 ：記憶部 230 から各し」 を読みだしてビッ ト分割器 241 に入力してそ れぞれ、 各 1ビットずつ

t ²), ···, t )）=Lj (j = l, 2, …， 8) (31)

に分割する。

ステップ 2 ： (t,"),

t₂ ⁽ⁱ⁾, t₂ ^(ls+i)， ···, t₈ ⁽ⁱ⁾, t_K('^fiii))をビッ ト結合器 242 に入力して副鍵

k_s =(t,⁽ⁱ⁾ ₎ ΐ,^(1β+ί), t₂ ⁽ⁱ⁾, t₂ ^(lfi+i) ₍ ···, t₈ ⁽ⁱ)， t₈ ^(lfi+ )

2, ···, 16) (32) を得る。

第 7の実施例 上記第 6実施例と同じ副鍵を出力する別の実施例を図 23 B、 図 24、 図 25、 図 27を参照して説明する。

図 2 3 Bに示すように、 中間鍵生成部 220 で複数の中間鍵し」 が生成される。 中 間鍵生成部 220 は図 2 3 Aのそれと同様であり、 つまり図 2 4に示したように複 数の G関数部 22よりなる。 この G関数部 22で中間鍵し」 が生成されるごとに、 その 中間鍵し」 は、 副鍵生成部 250 で、 副鍵 の i と のビッ ト位置 qとにより決まる ビット位置の情報が、 のビット位置 qの情報 k_iqとして選出され、 記憶部 260 に 記憶される。

つまり中間鍵生成部 220 と副鍵生成部 250 とにより以下のステップ 1からステ ップ 7までを、 j=0から j=7まで繰り返すことになる。

ステップ 1 ： Yj と を G関数部 22 -（j+1)に入力すると、 データ分割装置 221 を 用いて Υ」 を 2つのブロック（Y ， Y )に分割する。

ステップ 2 ： Yj¹ を v_j+1 として出力する。 また、 Y をデータ拡散部（fk)222 に 入力する。

ステップ 3 ： Y をデータ入換器 224 に入力する。 また、 Y と ν」 を排他的論理 和回路 223 に入力して Y/㊉ ν」 を入手後にデータ拡散部（f_k)222 に入力する。

ステップ 4 ： ¥ · と Y ®_Vj を入力として受けとるとデータ拡散部（f_k)222 は、 そ の計算結果を L_j+| として副鍵生成部 250 (図 2 3 B) に入力すると同時に、 デー タ入換器 224 に入力する。

ステップ 5 ：データ入換器 224 は、 Y/ とデータ拡散部（f_k) 222 の計算結果 L_j+I を入力として受けとると、 Y/ を Y_j+1' L_J+1 を Y とし Y_j+1 = (Yj, ', Yj ）と連結し て出力する。

ステップ 6 ：副鍵生成部 250 は図 2 7に示すようにし」 をビッ ト分割器 251 に入 力して下記のように 1ビットごとに

(1 '>, tj(²)， ···, ί/^{3 )}) =^ ( j =1, 2, ·'·, 8) (33)

に分割して、 情報分配器 252 に入力する。

ステップ 7 ：情報分配器 252 に入力されたビッ ト列（tj⁽¹⁾， t/²⁾ _; …， t ²⁾)はパ ラメ一々 iに対して のビッ ト位置 qにより決まるし」 のビット位置の情報が、 のビット位置 qの情報とされ、

k, =(t,⁽ⁱ⁾, t,⁰⁶*⁰, t₂ ⁾, t₂ ^(lfi+i), '··, t«⁽ⁱ), t_K ^(,B+i)) (34) となるように、 副鍵 ごとに 1 6個に分割された記憶部 260 にし」 ごとに記憶する。 ステップ 8 ：それぞれのお に 1 6ビッ トの情報が設定されると、 つまり副鍵 が生成されるとその値を出力する（i = l， 2, ···, 16)。

第 8実施例

この実施例では鍵スケジュールを構成する際に、 装置規模またはプログラムス テツプ数削減のため、 暗号化で用いられている関数 ίを用いる方法を説明する。 この例でも先に示した G関数、 Η関数の枠組で、 説明する。

G関数に入力（Y」， _Vj)が与えられたときの出力を

(L_j+1, (Y_j+1> ν^,))=0(Υ^ V (0≤ j ≤7)

と表し、 その出力を

((Y ¹), Yj⁽²⁾, Υ ³⁾, Yj")), Vj)→

T(l) T(2) T(3) T(4) X Γ_ίγ '((11)) γ γ((22)) γ(3) _Υ( )Λ _V . ΐΛ ) ^ j+1， j+1 'し j+1，し j+1 ^Yjj++11'' +1， +Ι' +1リ， ^vj+iJ (35 とする。 ここで、

l， 2， 3, 4) (36) τ( )

V； (37)

¾ = f(r;;»)eY;;i (i = l, 2, 3， 4) (38)

v = L⁽⁴⁾ (39) と定める。 また、

ki =H(i， しい L₂, ···, L₈) (40)

においては、 q_i+4j =I^) (i = 0, 1, 2， 3) (41)

(t ⁰)， ¹)，…, ⁷)) = _qi (i=0, 1, ···, 31) (42) . , _ (_t([>/2]) _t([i/2]) _t([i/2]) ) _{i = 0} ! ... _] -_{) (4} )

^K(i+D ~ V0+(imod2)' ^l2+(imod2)-"' ^l30+(imod2)/ ^{u u}， ' ^l0) 、" と定める。 ただし、 式 (43)における [i/2]は を表すものとする。

この手順を図 2 8及び図 2 6を使って説明する。 ステップ 1 ： f のビット幅だけ、 0123456789abcdefl01112.... (hex) の上位か ら同一ビット数取りだした値を v_n として設定する。

ステップ 2 ：主鍵 Kを Y。 に設定する。

中間鍵生成 以下の手順を j = 0, 1, 2, ···, 7について繰り返す。

ステップ 1 ：入力 Υ」 を 4つに等分割し（Y ⁰, Y ²), Yj⁽³⁾, Υ」⁽'¹⁾)とする。

ステップ 2 ：データ拡散器 611〜614を用レ、 i = l， 2, 3， 4 に対して、 Yw⁽ⁱ) = f(Y をそれぞれ算出する。

ステップ 3 ： _Vj と L_j+1(⁽') を同一視する。

ステップ 4 ：データ拡散器 621〜624を用い i = 2, 3, 4, に対して、 f(L_j+I ⁽ⁱ— ") を演算し、 その演算結果を排他的論理和回路 63i に入力して Y_j+1 ⁽ⁱ⁾との排他的論理 和演算を行ってし f ( , '))ΘΥ " を得る。

ステップ 5 ： Y_j+I と（Y_j+I(')， Y_jt,^<2), Y_j+i(^:!)， Y_J+i('))を同一視する。

ステップ 6 ： L_J+1 と（L_J+1 ⁽¹⁾, L_j+1(²)， L ³)， し ')）を同一視する。

ステップ 7 ： v_j+,

とおく。

副鍵生成： 第 6実施例と同様にして、 式（43)を実現し、 k,， k₂, ···, k、 ( ≤16) を得る。

なお、 上記実施例は上記例に囚われることなく

(1) Y_Q のサイズが、 Kより大きい場合は、 Y。 の一部を Κとし、 残りを定数で埋 める。

(2) ν₍₎ として、 任意の定数とする。

(3) それぞれの文字のビット幅を整合性が取れる範囲で任意に設定する。

(4) f を暗号化に用いるのに利用した関数以外のものを使う。

(5) Hを計算する際にし i の一部を使わない、 つまり副鍵 ^ の数が少なく、 L」 の ビッ ト数が多い場合は、 そのような状態になる。

(6) Hを計算する際に、 第 6実施例と同様のものを使う。

(7) Gを計算する際に第 6実施例と同様のものを使う。

(8) 第 7実施例と同様にして、 中間鍵の全てを生成することなく 1つの中間鍵 が生成されるごとに記憶部 260 の の対応ビット位置に計算結果を格納する。 などとしても実行可能である。

中間鍵生成部 220 、 副鍵生成部 240 、 250 は図 2 2に示したコンピュータによ りプログラムを読出し実行するようにしてもよレ、。 発明の効果

以上、 詳細に説明したように、 この発明によれば、 データを秘匿するための暗 号化装置に用いるためのデータ変換装置について、 安全性と高速性を同時に満た すような構造にすることによって、 段数を大幅に増加させることなく安全性を確 保し、 かつ高速な暗号化処理が可能となるようなデータ変換装置を提供すること ができる。 これにより、 秘密鍵の制御のもとでデータをブロック単位で暗号化ま たは復号を行う共通鍵暗号方式による暗号化装置に有用である。

また、 この発明による鍵生成スケジュールによれば、 第 6および第 7の実施例 では、 k₆， k₇, k₈₎ k_fl) k_I()， k,,が判明した場合でも、 それぞれの L」成分の 1 2ビッ ト分 （例えば、 第 6, 7, 8, 9， 10, 11 , 22, 23, 24, 25, 26, 27ビット目） が求 まっただけであるから、 D E Sおよび宮ロらの米国特許で示されている鍵スケジ ユール部の安全性に関する問題は解決されている。 付録

# {a i cond} ：条件 condを満たす集合 aの個数。

厶 χ， Γ χ : χの差分値、 Xのマスク値。

a*b： aと bのビット毎の論理積に対する偶数パリティ値。

線形変換部： Ρ = [ΐ,_Ί]， t_{ij e} {0, 1 }， 0 < i, j < n - 1 線形変換部の入力 ： ζ = ^τ[ζ(,， ···，Ζ ], _ZieGF(2つ， 0≤i≤n- 1

線形変換部の出力 ： ζ' =^τ[ζ' ·'，ζ'

z' _ieGF(2つ， 0≤i≤n - 1

[定義 1 ] Δχ, Δγ, Γχ, ry が与えられたとき、 s - box の差分確率 DP^s(Ax→ Δγ)と線形確率 LP^s(ry→rx)を以下のように定める ：

DP^s(Ax→Ay) -#{xeGF (2 | s (x) +s (χ+ Δ x) = Δ y } IT

LP^s(r_y→rx) = (2x#{xeGF(2") ix»rx = s(x).ry}/2^m-l)²

[定義 2] s-box の最大差分確率 p_sと最大線形確率 q_sを以下のように定める。

p_s= max DP^s(Ax→ Ay)

Δχ≠0,Δν q_s= max LP^s(ry→ Fx)

Tx,ry≠0

[定義 3] 差分解読法では入力差分値 Δχ が非零である s- box 、 線形解読法で は出力マスク値 r_y が非零である s - box のことを active s-bo と呼ぶ。

[定義 4] 2 - round SPN構造で構成されるラウンド関数において、 Δχ， Ay, Γ χ, ry が与えられたとき、 差分確率 ρ(Δχ→Δγ)と線形確率 q(ry→r_X)を以下の ように定める。 ρ(Δχ→ Δν) q(ry→ Γχ)

ここで、

…， Δχ_η— であり、 Δγ, Γχ, Γγ も同様である。 更に、 ρ (厶 z→Az' i)は、 各 iに対して、 Δζ が線形変換部によって

に変換されることを 表しているものとする。 即ち、 全ての iに対して、 ョ厶 ζ' ,. s. ΐ.ρ(Δζ→·Δζ' i)= 1である。 ρ(Γζ'→Γζ も同様である。

[定義 5] 2-round SPN構造で構成されるラウンド関数の最大差分確率 Pと最大 線形確率 qを以下のように定める。

= max ρ(Δχ - Ay)

Δχ≠0,Δ>' q = max q(ry→ Γχ)

「x，「y≠0

[定義 6] 2 - round SPN構造に対して、 全ての s - box が全単射である時、 差分解 読法と線形解読法における active s-box の最少個数 n_d, n,は以下のように与えら れる。

n_d -min[H_w(Az) + H_w(Az')]

η, = min[H_w(rz) + H_w(rz')]

ここで、

H_w(z) =#{0≤i<n！ Zi≠0}

とする。 また、 Δζ， Γζ は線形変換部の入力差分値と入力マスク値を表し、 Δζ', Γζ' は線形変換部の出力差分値と出力マスク値を表す。

[定理 1 ] 2 - round SPN構造のラウンド関数における最大差分確率 pと最大線形 確率 qは以下の関係式を満たす。

P≤Ps"^d 及び q≤q_s ^n|

[Proof sketch]

差分解読法の場合について考える。 定義 2と定義 3より、 active s-box におけ る差分確率は p_s以下である。 従って、 ある Δχ, Δγ における active s-box の個数 を n_dz とすると、 そのときのラウンド関数の差分確率は、 定義 4より、 p_s ⁿ'^lz以下と なる。 一方、 n_dを active s-box の最少個数とすると、 全ての Δχ, Ay に対して ≤n_dz) p_s≤lであるから、

Vn_dzp ^dz ≤ P_s"^d

となる。 従って、 このラウンド関数における最大差分確率 Pは、 p≤p ^dである。 同様のこと力;、 線形解読法の場合についてもいえ、 q≤q_s ^nlが導かれる。

じ疋理 2] Concatenation Rules

Χ-Ι (γ, Ζ)を、 データ Xがデータ Υとデータ Ζの 2つのデータに同じく複製され ることを表すとする。 即ち、 Χ = Υ = Ζ が成立する。 このとき、 以下の関係が成立 する ：

Χ = ΥΘΖ → ΔΧ=ΔΥ®ΔΖ， ΓΧ=ΓΥ=ΓΖ (XOR operation)

ΧΗ (Υ, Ζ) → ΔΧ=ΔΥ=ΑΖ， ΓΧ= ΓΥΘΓΖ (Branch operation)

[差分解読法及び線形解読法に対する耐性]

定理 1の式で示したように、 差分解読法及び線形解読法に対するラウンド関数 の耐性は、 active s-box の最少個数 n_d, から決めることができる。 例えば、 行 列 Ρ_Εが表す線形変換は全単射であるので、 Η Δζ) 2ならば Η„(Δζ' )≥1であり、

ることから、 active s-box の個数が 2にな ることはあり得ないので、 n_d 3となる。 ところで、 例えば、

Δζ,=

となり、 active s— box の個数は、 Η (Δζ)+Η Δζ' )=3である。 従って、 n_d=3となるので、 定理 1より このラウンド関数の耐性は p p である。 また n,についても同様の議論ができ、 n,= 3, q≤q であることが示せる。

Claims

請求の範囲

1 . 複数の鍵データを保持する鍵記憶手段と、 上記複数の鍵データが与えられ、 それぞれ鍵依存の非線形変換を行う非線形関数部をそれぞれ含む縦続接続された 複数のラウンド処理部とを含み、 入力データを鍵データに依存して別のデータに 変換するデータ変換装置であり、 各上記ラウンド処理部の上記非線形関数部は： 上記ラウンド処理部への入力データを、 上記鍵記憶手段に蓄積された第 1鍵デ ータに基づレ、て線形変換を行う第 1鍵依存線形変換手段と、

上記第 1鍵依存線形変換手段の出力データを η個のサブデータに分割する分割 手段と、 ηは 4以上の正数であり、

上記 η個のサブデータのそれぞれに非線形変換を行う第 1非線形変換手段と、 上記鍵記憶手段に蓄積された第 2鍵データと、 上記第 1非線形変換手段の各々 の出力サブデータとで線形変換を行う第 2鍵依存線形変換手段と、

上記第 2鍵依存線形変換手段の η個の出力サブデータのそれぞれに非線形変換 を行う第 2非線形変換手段と、 及び

上記第 2非線形変換手段の η個の出力サブデータを結合して上記非線形関数手 段の出力とする結合手段、

とを含み、 上記第 2鍵依存線形変換手段は、 その入力に対し η X η行列で規定さ れる排他的論理和を行う線形変換層を含んでいる。

2 . 請求項 1記載のデータ変換装置において、

上記入力データを二つの部分データに分割する初期分割手段と、

上記部分データの一つを入力とする上記非線形関数手段と、

上記非線形関数手段の出力データを残りの部分データの一つに作用させる線形 演算手段と、

二つの部分データを一つの出力データに結合する最終結合手段、

とを備える。

3 . 請求項 2に記載のデータ変換装置において、

上記入力データに変換を行って上記初期分割手段へ供給する初期変換手段を備 えることを特徴とするデータ変換装置。

4 . 請求項 2又は 3に記載のデータ変換装置において、 上記最終結合手段の 出力データに変換を行って上記データ変換装置の出力データとする最終変換手段 を備えることを特徴とするデータ変換装置。

5 . 請求項 3又は 4に記載のデータ変換装置において、 上記初期変換手段及 び上記最終変換手段の少くとも一方は、 上記鍵記憶手段に蓄積された鍵データに 基づいて変換を行う鍵依存変換手段であることを特徴とするデータ変換装置。

6 . 請求項 1乃至 5のいずれか 1つに記載のデータ変換装置において、

上記非線形関数手段は、 上記鍵記憶手段に蓄積された第 3鍵データにより上記 結合手段の出力データを線形変換して上記非線形関数手段の出力とする第 3鍵依 存線形変換手段を備えることを特徴とするデータ変換装置。

7 . 請求項 1乃至 6のいずれか 1つに記載のデータ変換装置において、

上記第 1鍵依存線形変換手段、 上記第 2鍵依存線形変換手段、 上記第 3鍵依存 線形手段のいずれかは、 固定された線形変換を行う線形変換手段であることを特 徴とするデータ変換装置。

8 . 請求項 1乃至 7のいずれか 1つに記載のデータ変換装置において、

上記第 1非線形変換手段及び上記第 2非線形変換手段は、 その各入力サブデー タを、 二つのサブブロックに分割する手段と、 その分割された二つのサブブロッ クに対し、 それぞれ線形変換を行う手段と、 非線形変換を行う手段とを縦続的に 行う手段と、 その縦続的に行う手段の各変換出カサブブ口ックを統合して対応入 力サブデータに対する非線形変換出力サブデータとする手段を備えていることを 特徴とするデータ変換装置。

9 . 請求項 1乃至 8のいずれか 1つに記載のデータ変換装置において、 上記 n X n行列は、 予め決定した安全性閾値 Tに対し、 それぞれがハミング重み T-1 以 上となる n個の列べクトルから構成されている。

1 0 . 請求項 9に記載のデータ変換装置において、 上記行列は、 上記ハミング 重みが T-1 以上となる列ベクトルから構成された複数の行列の候補から、 最大の n _dを与えるものとして選択されたものであり、 上記 n_dは active s - boxの最少個数で ある。

1 1. 請求項 1乃至 1 0のいずれか 1つに記載のデータ変換装置において、 上 記 n X n行列は 4 X 4行列である。

1 2. 請求項 1 1に記載のデータ変換装置において、

上記第 2線形変換手段は、 上記第 1非線形変換手段よりの 4つの出力 Al， A2, A

3, A4を入力して、

Β1=Α1ΘΑ3ΘΑ4

Β2=Λ2ΘΑ3ΘΑ4

Β3=Α1ΘΑ2ΘΑ3

Β4=Α1ΘΑ2ΘΑ4

をそれぞれ演算して、 データ ， Β2, Β3, Β4を出力する手段であることを特徴と するデータ変換装置。

1 3. 請求項 1 2に記載のデータ変換装置において、

上記第 2線形変換手段は鍵依存線形変換手段であつて、 上記鍵記憶手段よりの 鍵データ k2=[k21， k22, k23, k24] も入力され、 上記 Bl， B2， B3, B4を得る演算 に、 それぞれ k21, k22, k23, k24も排他的論理和算されることを特徴とするデー タ変換装置。

14. 請求項 1 1に記載のデータ変換装置において、

上記第 1非線形変換手段は上記分割手段よりの 4個の各 mビットのサブデータ i nl， in2， in3， in4の inlを 4mビットの MI1 = [Al, 00···0₍₂₎, Al, Al]に変換する手 段と、 in2を 4mビットの ΜΙ2=[00···0(₂), Α2, Α2, Α2]に変換する手段と、 in3を 4m ビットの MI3=[A3, A3, A3, 00··'0(₂)〕に変換する手段と、 in4を 4mビットの MI4= [A

4, Α4， 00〜0_ω, Α4]に変換する手段とよりなり、

上記第 2線形変換手段は、上記第 1非線形変換手段よりのデータ Mil, MI2, MI3, MI4を入力して、 Β = ΜΙ1®ΜΙ2ΘΜΙ3ΘΜΙ4を演算し、 Β=[Β1, Β2, Β3, Β4]を出力す る手段であることを特徴とするデータ変換装置。

1 5. 請求項 1 4に記載のデータ変換装置において、

上記第 2線形変換手段は鍵依存線形変換手段であって、 上記鍵記憶手段よりの 4 mド トの鍵データ k2も入力され、 上記 Bの演算に k2も排他的論理和算される ことを特徴とするデータ変換装置。

1 6. 請求項 1乃至 1 0のいずれか 1つに記載のデータ変換装置において、 上 記 n X n行列は 8 X 8行列である。

1 7. 請求項 1 6に記載のデータ変換装置において、

上記第 2線形変換手段は、 その 8つの出力サブデータ B1〜B8を、 上記第 1非線 形変換手段の 8つの出力サブデータ Λ1， Α2, ···, Α8のうち、 6つのサブデータの 排他的論理和算により 4つの出力サブデータ Bl, Β2, Β3， Β4を得、 上記 8つの出 力サブデータ中の 5つのサブデータの排他的論理和算により 4つの出力サブデー タ Β5， Β6, Β7, Β8を得る手段であることを特徴とするデータ変換装置。

1 8. 請求項 1 7に記載のデータ変換装置において、 上記第 2線形変換手段は 鍵依存線形変換手段であって、 上記鍵記憶手段に蓄積された鍵データ k2=[k21， k 22， k23, k24, K25, k26， k27, k28]も入力され、 上記出力サブデータ [Bl， B2, B 3, B4, B5， B6, B7, B8]を得る排他的論理和算にそれぞれ、 鍵データ k21, k22, k 23， k24， k25, k26， k27, k28が排他的論理和されることを特徴とするデータ変換

1 9. 請求項 1 6に記載のデータ変換装置において、

上記第 1非線形変換手段は、 上記分割手段よりの 8個の各 mビットのサブデー タ inl〜in8をそれぞれ 8mビットのデータ

ΜΙ1 = [00···0₍₂₎, Λ1, Al, Al, Al, A1, 00···0₍₂₎, Al]、

ΜΙ2=[Α2, 00···0₍₂₎, Α2， Α2, Α2, Α2, Α2， 00···0₍₂₎]、

ΜΙ3=[Α3, A3, 00···0_ω, A3, 00···0₍₂₎， A3, A3, Α3]、

ΜΙ4=[Α4, Α4, Α4， 00···0(₂₎， Α4, 00···0(₂₎， Α4, Α4]、

ΜΙ5=[Α5， 00···0₍₂₎, Α5， Α5, Α5， 00···0₍₂₎， 00···0₍₂₎, Α5]、

ΜΙ6二 [Α6， Α6, 00···0₍₂₎, Α6, Α6, Α6， 00···0₍₂₎, 00···0₍₂₎]、

ΜΙ7=[Α7, Α7, Α7， 00···0₍₂₎, 00···0(₂₎， Α7， Α7， 00·'·0(₂)]、 及び

Ι8=[00···0_<2), Α8, Α8, Α8, 00···0₍₂₎， 00···0₍₂₎， Α8， Α8]

に変換する手段であり、

上記第 2線形変換手段は、 上記第 1非線形変換手段よりのデータ ΜΙ1〜ΜΙ8を入 力して、 Β = ΜΠ®ΜΙ2®ΜΙ3ΦΜΙ4㊉ ΜΙ5ΦΜΙ6㊉ ΜΙ7ΦΜΙ8を演算し、 Β= [Β1, Β2, Β3, Β 4, Β5, Β6, Β7, Β8]を出力する手段であることを特徴とするデータ変換装置：

2 0 . 請求項 1 9に記載のデータ変換装置において、

上記第 2線形変換手段は鍵依存線形変換手段であつて、 上記鍵記憶手段の 8mビ ットの鍵データ k2も入力され、 上記 Bの演算に k2も排他的論理和算されることを 特徴とするデータ変換装置。

2 1 . 鍵記憶手段に保持された複数の鍵データが与えられ、 それぞれ鍵依存の 非線形変換を行う非線形関数処理を含むラウンド処理を複数回縦続して実行する ことにより、 入力データを鍵データに依存して別のデータに変換するデータ変換 プログラムが記録された記録媒体であり、 各上記ラウンド処理の上記非線形関数 処理は：

上記ラウンド処理部への入力データを、 上記鍵記憶手段に保持された第 1鍵デ ータに基づいて線形変換を行う第 1鍵依存線形変換ステツプと、

上記第 1鍵依存線形変換ステツプによる出力データを n個のサブデータに分割 する分割ステップと、 nは 4以上の整数であり、

上記 n個のサブデータのそれぞれに非線形変換を行う第 1非線形変換ステップ と、

第 2鍵データと、 上記第 1非線形変換ステップの出力サブデータとで線形変換 を行う第 2鍵依存線形変換ステップと、

上記第 2鍵依存線形変換ステツプによる n個の出力サブデータのそれぞれに第 2の非線形変換を行う第 2非線形変換ステップと、 及び

上記第 2非線形変換ステップによる n個の出力サブデータを結合して上記非線 形関数処理結果として出力する結合ステップ、

とを含み、

上記第 2鍵依存線形変換ステップは、 その入力に対し n X n行列で規定される 排他的論理和を行う排他的論理和線形変換ステップを含んでいる。

2 2 . 請求項 2 1に記載の記録媒体において、 上記データ変換プログラムは、 ヒ記入力データを二つの部分データに分割する初期分割ステップと、 δδ 上記部分デ一タの一つを入力とする上記非線形関数処理を行うステップと、 上記非線形関数処理ステップの出力データを残りの部分データの一つに作用さ せる線形演算ステップと、

二つの部分データを一つの出力データに結合する最終結合ステップ、 とを含む。

2 3 . 請求項 2 2に記載の記録媒体において、 上記データ変換プログラムは、 上記入力データに変換を行って上記初期分割ステップへ供給する初期変換ステツ プを含む。

2 4 . 請求項 2 2又は 2 3に記載の記録媒体において、 上記データ変換プログ ラムは 上記最終結合ステップの出力データに変換を行って上記データ変換出力 データとする最終変換ステップを含む。

2 5 . 請求項 2 3又は 2 4に記載の記録媒体において、 上記データ変換プログ ラムの、 上記初期変換ステップ及び上記最終変換ステップの少くとも一方は、 鍵 データに基づいて変換を行う鍵依存変換ステップである。

2 6 . 請求項 2 1乃至 2 5のいずれか 1つに記載の記録媒体において、

上記非線形関数処理ステップは、 上記鍵保持手段に保持された第 3鍵データに より上記結合ステツプの出力データを線形変換して上記非線形関数処理ステツプ の出力とする第 3鍵依存線形変換ステップを含む。

2 7 . 請求項 2 1乃至 2 8のいずれか 1つに記載の記録媒体において、

上記第 1鍵依存線形変換ステップ、 上記第 2鍵依存線形変換ステップ、 上記第 3鍵依存線形変換ステップのいずれかは、 固定された線形変換を行う線形変換ス テツプである。

2 8 . 請求項 2 1乃至 2 7のいずれか 1つに記載の記録媒体において、

上記第 非線形変換ステツプ及び上記第 2非線形変換ステツプは、 その各入力 サブデータを、 二つのサブブロックに分割するステップと、 その分割された二つ のサブプロックに対し、 それぞれ線形変換を行う処理と、 非線形変換を行う処理 とを縦続的に行うステップと、 その縦続的に行うステップの各変換出カサブブ口 、ソクを統合して対応入力サブデータに対する非線形変換出力サブデータとするス テツプを含む。

2 9 . 請求項 2 1乃至 2 8のいずれか 1つに記載の記録媒体において、 上記 _n X n行列は、 予め決定した安全性閾値 Tに対し、 それぞれがハミング重み T - 1 以 上となる n個の列べク トルから構成されている。

3 0 . 請求項 2 9に記載の記録媒体において、 上記行列は、 上記ハミング重み カ^- 1 以上となる列べク トルから構成された複数の行列の候補から、 最大の n_dを 与えるものとして選択されたものであり、 上記 n_dは acti ve s- boxの最少個数であ る。

3 1 . 請求項 2 1から 3 0のいずれかに記載の記録媒体において、 上記 n X n 行列は 4 X 4行列である。

3 2 . 請求項 3 1に記載の記録媒体において、

上記第 2線形変換ステップは、 上記第 1非線形変換ステップょりの 4つの出力 A 1， A2, A3, A4を入力して、

Β1 =Α1ΘΑ3ΘΑ4

Β2 =Α2ΘΑ3ΘΑ4

Β3 = Α1θΑ2ΘΑ3

Β4 = Α1ΘΑ2ΘΑ4

をそれぞれ演算して、 データ Bl， Β2， Β3, Β4を出力するステツブである。

3 3 · 請求項 3 2に記載の記録媒体において、

上記第 2線形変換ステップは鍵依存線形変換ステップであつて、 上記鍵記憶手 段よりの鍵データ k2= [k21， k22, k23, k24] も入力され、 上記 Bl， B2, B3, B4を 得る演算に、 それぞれ k21， k22, k23， k24も排他的論理和算される。

3 4 . 請求項 3 2又は 3 3に記載の記録媒体において、

上記第 1非線形変換ステップは上記分割ステップよりの 4個の各 mビッ トのサ ブデータ inl， in2， in3, in4の inlを 4mビッ トの Mi l = [Α1， 00· · ·0₍₂₎, Al, Al ]に変 換するステップと、 in2を 4mビッ トの ΜΙ2= [00·· ·0(₂₎, Α2， Α2， Α2]に変換するステ ップと、 in3を 4mビットの ΜΙ3= [Α3， A3, A3, 00· · ·0₍₂₎ ]に変換するステップと、 in 4を 4mビ、、ノ トの MI4= [A4, A4, 00· · '0(₂), Α4]に変換するステップとよりなり、 上記第 2線形変換ステップは、 上記第 1非線形変換ステップよりのデータ Mil, MI2, I3, MI4を入力して、 Β = ΜΙ1ΘΜΙ2®ΜΙ3®ΜΙ4を演算し、 Β=[Β1, Β2, Β3, Β4] を出力するステップである。

35. 請求項 34に記載の記録媒体において、

上記第 2線形変換ステップは鍵依存線形変換ステップであって、 上記鍵記憶手 段よりの 4mビットの鍵データ k2も入力され、 上記 Bの演算に k2も排他的論理和算 される。

36. 請求項 2 1乃至 30のいずれか 1つに記載の記録媒体において、 上記 n

X n行列は 8 X 8行列である。

37. 請求項 36に記載の記録媒体において、

上記第 2線形変換ステップは、 その 8つの出力サブデータ B1〜B8を、 上記第 1 非線形変換ステップの 8つの出力サブデータ Al， A2, ···, A8のうち、 6つのサブ データの排他的論理和算により 4つの出力サブデータ Bl， B2, B3, B4を得、 上記 8つの出力サブデータ中の 5つのサブデータの排他的論理和算により 4つの出力 サブデータ B5, B6, B7, B8を得るステップである。

38. 請求項 37に記載の記録媒体において、 上記第 2線形変換ステツプは鍵 依存線形変換ステップであって、 上記鍵記憶手段に蓄積された鍵データ k2=[k21, k22, k23, k24, K25, k26， k27， k28]も入力され、 上記出力サブデータ [Bl， B2， B3, Β4， Βδ, Β6, Β7， Β8]を得る排他的論理和算にそれぞれ、 鍵データ k21, k22, k23, k24， k25， k26， k27, k28が排他的論理和される。

39. 請求項 37又は 38に記載の記録媒体において、

上記第 1非線形変換ステップは、 上記分割ステップよりの 8個の各 mビットの サブデ一タ inl〜in8をそれぞれ 8mビットのデータ

ΜΙ1 = [00···0(か Al, Al, Al, Al, A1, 00···0₍₂₎， Al]、

ΜΙ2=[Α2, 00···0_{( ))} Α2, Α2, Α2， Α2， Α2, 00···0(₂)]、

ΜΙ3=[Λ3, A3, 00···0_(2)> A3, 00···0(₂₎， A3, A3, A3],

ΜΙ4=[Α4, Α4, Α4, 00···0₍₂₎， Α4， 00···0₍₂₎， Α4, Α4]、

ΜΙ5=[Α5, 00-·0_ω, Α5， Α5， Α5， 00···0₍₂), 00···0₍₂₎， Α5]、 MI6=[A6, A6, 00···0_{( )}, A6, A6, A6, 00···0₍₂₎， 00···0₍₂₎]、 Ι7=[Α7, Α7， Α7, 00···0₍₂₎， 00···0₍₂₎， Α7， Α7， 00···0₍₂₎]、 及び ΜΙ8=[00···0₍₂₎, Α8, Α8, Α8， 00···0₍₂₎, 00···0₍₂₎, Α8, Α8]

に変換するステップであり、

上記第 2線形変換ステップは、 上記第 1非線形変換ステップよりのデータ Mil〜

MI8を入力して、

Β = ΜΙ1ΘΜΙ2ΘΜΙ3ΘΜΙ4ΘΜΙ5ΘΜΙ6ΘΜΙ7ΘΜΙ8

を演算し、 Β=[Β1, Β2, Β3, Β4， Β5, Β6， Β7, Β8]を出力するステップである。

40. 請求項 39に記載の記録媒体において、

上記第 2線形変換ステップは鍵依存線形変換ステップであつて、 上記鍵記憶手 段の 8mビットの鍵データ k2も入力され、 上記 Bの演算に k2も排他的論理和算され る。

41. 請求項 1乃至 20のいずれか 1つのデータ変換装置において、 更に、 主鍵 Kが入力され、 縦続的に動作する M段からなり、 各段より中間値し _j+1 (j =

0, 1, ···, M-l) 成分を生成する G関数手段と、

その G関数手段の出力である各中間値し」.成分を一旦記憶しておくための中間値 記憶手段と、

複数個のし」成分から N個の副鍵を生成し、 上記鍵記憶手段に上記複数の鍵デー タとして記憶する部分情報抽出機能を備えた H関数手段、

とを含み、

上記 G関数手段は、 上記主鍵 Kを、 Y。 の少なくとも一部として取り込み、 j+1 段目が （j = 0， 1, ···, M-l) j段目の出力 （し j， Yj , ν」） 中の Υ」 と ν」 を入力し、 その入力を拡散して、 L_j+,， Y_jt| ， v_jt, を出力し、 を Kとする手段であり、 上記 H関数手段は、 i (i = l, 2, ···, N) と上記中間値記憶手段のしい 1₂, ···, L_M とを入力とし、 iによって決められたビット位置の情報を ， …， より抽出 する副鍵 ki を出力し、 上記副鍵は上記複数の鍵データとして上記鍵記憶手段に蓄 積される。

42. 請求項 1乃至 20のいずれか 1つに記載のデータ変換装置において、 更 主鍵 Kが入力され、 縦続的に動作する Μ段からなり、 各段より中間値 （j = 0, 1, …， M-1) 成分を生成する G関数手段と、

その G関数手段で生成された複数個の L」成分から副鍵を生成する部分情報抽出 機能を備えた H関数手段と、

その H関数手段の出力を副鍵 に対応する値として記憶しておくための中間値 記憶手段、

とを含み、

上記 G関数手段は、 上記主鍵 Kを、 Y。 の少なくとも一部として取り込み、 j+1 段目が j段目の出力 （L」， Υ」， v」） 中の Y」， _Vjを入力し、 その入力を拡散して L_j+,， Y_j+1， v_j+I を出力する手段であり、

上記 H関数手段は、 i， q， Lj ( 1≤ i≤N , 1≤ j ≤M, l q ki のビッ ト数） を入力として、 し」から、 iと qによって決められたビット位置情報を抽出 して、 副鍵 のビット位置 qの情報とする手段であり、 上記副鍵は上記複数の鍵 データとして上記鍵記憶手段に記憶される。

4 3 . 請求項 4 1又は 4 2に記載のデータ変換装置において、 上記 G関数手段は、 入力された Υ」を 2つのブロック（Y ， Y )に分割し、 Yj¹'を v_j+1として出力するデ一タ 分割手段と、

上記 Y と上記 とから Y/®_Vjを演算する排他的論理和手段と、

上記 Y と上記排他的論理和手段の出力とがあたえられ、 それらを互いに拡散し た結果を L_j+ として出力するデータ拡散手段と、

上記 Y を Y_j+1 ^Lとし、 上記 ,を Y とし、 これら Y_j+1 ^Lと Y を互いに連結して Y_{j+ I}=

(Y_j+1 ^L, Y_j+l ^R)として出力するデータ入れ換え手段、

とを含む。

4 4 . 請求項 4 1に記載のデータ変換装置において、 上記 H関数手段は、 上記中間値記憶手段から読み出した各し」を各 1ビットずつ

"j"), t ²), ·· ·, t )）= し」 ( 1，2, ·'·，Μ)

に分割するビット分割手段と、 得られた（ ^ω， t,^{( +i)}, t₂ ⁽ⁱ⁾, t₂(、⁺ⁱ⁾, ···, t"⁽ⁱ⁾ Cを結合して副鍵

1, ― (i) _† (N+i) ₊ (i) _f (N+i) ... (i) _†

l\i I 1 2 M M

(i = l,2, ·'·,Ν)

を出力するビット結合手段、

とを含む。

45. 請求項 42に記載のデータ変換装置において、 上記 Η関数手段は、 上記各し」を各 1ビッ トずつ

(tj⁽¹⁾, ί ²⁾, …， t;²⁾) = L. (j=l，2, ·'·,Μ)

に分割するビット分割手段と、

上記ビッ ト（ ⁽¹⁾， t ²⁾, ··', t から iに対して のビット位置 qにより決ま るし」のビット位置の情報が、 のビット位置となるよう結合して副鍵

=(^ _t ， _{t +i)}， ... _t、,_(i)， _{t +i))}

(i = l，2， '··,Ν)

を出力するビット結合手段、

とを含む。

46. 請求項 4 1又は 42に記載のデータ変換装置において、

上記 G関数手段は次の演算処理、

(L_j+1, (Y_j+1,

v」） (0≤ j ≤M- 1) において、 出力結果を

((γ (1)， γ (2), γ (3)， _ν,)_→ „ 1¾,1^),[( ， ，^)， ₊₁]) ここで、

l, 2, 3, 4)

Lし⁽ j⁰+⁾i = v ^vJ

Lし _Ί ⁽ iⁱ+₊ ⁾l1

l, 2, 3, 4)

v Vj+l一 - ^ L⁽j⁴+⁾I

を実行する手段であり、

上記 H関数手段は次の演算処理

=H(i, L„ し ₂, ···, L_M) において、

q l4₄i,+₊j_l =Lつ⁽; +₊+1;) (i=0, 1, 2, 3)

(t[°),t ),...,t )) = _qi (i = 0， 1, 31) k_/. - (_t([i/2]) _†([i/2]) _†([i/2]) ) - _n , ... _N_

^K(i+1) - \^l0+(imod2)'^L2+(imod2)'-'^l30+(imod2)/ "一り' 丄' ' を実行する手段である。

47. 主鍵から副鍵をスケジュールする装置であって、

主鍵 Kが入力され、 縦続的に動作する M段からなり、 各段より中間値 L」 (j = 0, 1, …， M-1) 成分を生成する G関数手段と、

その G関数手段の出力である各中間値し」成分を一旦記憶しておくための中間値 記憶手段と、

複数個のし」成分から N個の副鍵を生成する部分情報抽出機能を備えた H関数手 段、

とを含み、

上記 G関数手段は、 上記生鍵 Kを、 Y。 の少なくとも一部として取り込み、 j+1 段目が （j = 0， 1, ···, M-1) j段目の出力 （1^， Yj， ν 中の と Vj を入力し、 その入力を拡散して、 し _j+1 ， Y_j+, ， v_j+1 を出力し、 を Kとする手段であり、 上記 H関数手段は、 i (i = l， 2, ···, N) と上記中間値記憶手段の L L₂， ···， L_M とを入力とし、 iによって決められたビット位置の情報をし,， …， L_M より抽出 する副鍵 を出力する手段であることを特徴とする暗号鍵スケジュール装置。

48. 主鍵から副鍵をスケジュールする装置であって、

主鍵 Kが入力され、 縦続的に動作する M段からなり、 各段より中間値し」 （j = 0， 1, ···, M-1) 成分を生成する G関数手段と、

その G関数手段で生成された複数個のし」成分から副鍵を生成する部分情報抽出 機能を備えた H関数手段と、

その H関数手段の出力を副鍵 k,. に対応する値として記憶しておくための中間値 記憶手段、 とを含み、

上記 G関数手段は、 上記主鍵 Kを、 Y„ の少なくとも一部として取り込み、 j +1 段目が j段目の出力 （し」， Υ」， _Vj) 中の ， _Vjを入力し、 その入力を拡散して Y_j+ v_j+1 を出力する手段であり、

上記 H関数手段は、 i q L」 ( 1≤ i≤N, 1≤ j ≤M, l ^q ^k; のビッ ト数） を入力として、 し」 から、 i と qによって決められたビッ ト位置情報を抽出 して、 副鍵 のビット位置 qの情報とする手段であることを特徴とする暗号鍵ス ケジュール装置。

49. 請求項 47又は 48に記載の装置において、 上記 G関数手段は、

入力された Υ」を 2つのブロック , Y/)に分割し、 Yj^Lを v_j+1として出力するデータ 分割手段と、

上記 Y/と上記 _Vjとから Y/e_Vjを演算する排他的論理和手段と、

上記 Y と上記排他的論理和手段の出力とがあたえられ、 それらを互いに拡散し た結果を L_j+,しとして出力するデータ拡散手段と、

上記 を Yw¹'とし、 上記し _j+1を Y とし、 これら Y_j+1 ^Lと Υ」 を互いに連結して Y_j+1=

(Y_j+1 ^L, Υ」 ）として出力するデータ入れ換え手段、

とを含む。

50. 請求項 47に記載の装置において、 上記 H関数手段は、

上記中間値記憶手段から読み出した各 Ljを各 1ビットずつ

(t ¹), t ²⁾, ···, ΐ/^2Ν)) = し」 （j=l,2, ·'· Μ)

に分割するビット分割手段と、

得られた ")， t,^{( +i)}, t₂ ⁽ⁱ), t '·) C t_M ⁽、'^+i>)を結合して副鍵

(i) (N+i) i) N+i

k,= (t,⁽ⁱ⁾, t (N+i)

M M

(i = l 2, '··,Ν)

を出力するビット結合手段、

とを含む。

51. 請求項 48に記載の装置において、 上記 Η関数手段は、

上記各 を各 1ビットずつ (tj⁽¹⁾, t ²), ···, t ^{2 )}) = L_J (j=l,2, ---,M)

に分割するビット分割手段と、

上記ビッ ト （t ¹), t ^2>， ···, (²、)） 力、ら iに対して のビッ ト位置 qにより決 まるし jのビット位置の情報が、 ^のビット位置となるよう結合して副鍵

(t,⁽ⁱ⁾, t,^<N+i), t₂ ⁽ⁱ⁾, t₂(、⁺ⁱ⁾ ·'· t_M ⁽ⁱ⁾, t_M ^(N+i))

(i = l 2, ·'·,Ν)

を出力するビッ ト結合手段、

とを含む。

5 2. 請求項 47又は 48に記載の装置において、

上記 G関数手段は次の演算処理、

(L_j+1, (Y_j+„

ν」） (0≤ j ≤M- 1 ) において、 出力結果を

( ), Υ」(²), Υ

( (1) _τ(2) τ(3) _T(4)_{U Y}(1) γ(2) _γ(3) _γ(4) ·,) \^^Lj+l， ^Lj+いし j+1， ^Lj+】）， l( ^Yj+1 ' ^Yj+1 ' ^Yj+1， ^Yj+1 ^V j+1 i) ここで、 Y =f(Y;り） (i = l, 2, 3, 4)

L (i)

つ' i¹+₊l₁ =一 f(L⁽ j;:+il))ノ®Y '_J^₊l (i = l 2, 3. 4)

v = L⁽⁴⁾ を実行する手段であり、

上記 H関数手段は次の演算処理

^ =H(i, しい し ₂， ···, L_M)

において、 ( =0, 1 2

いi： , 3) (t;⁰⁾,t ⁾,...,ti⁷)) = q_i (i = 0 1 31) レ 一 i_t([iZ2]) _t([i/2]) _t([i/2]) ) _{(i=Q }} ... _N__1} (i+1) -\^t0+(imod2)'^l2+(imod2)'-'^l30+(imod2)/ を実行する手段である。

5 3 . 主鍵 Kを入力して複数の副鍵 ki ( i = 1 , · · ·, N) を生成する暗号鍵ス ケジュール装置をコンピュータにより実行させるためのプログラムを記録した記 録媒体であって、

上記プログラムは、 Y。 としての主鍵 Κと定数 ν。 とを入力として入力を拡散処理 することを縦続的に複数回繰返し、 各拡散処理ごとに中間鍵し」 （j = l, 2, · · · , M) を出力する中間鍵生成処理と、

上記各生成された中間鍵し」 を記憶部に記憶する処理と、

上記記憶部に所定数の中間鍵 L, 〜L_M が記憶されると、 副鍵 ki の iによって決 まる各ビッ ト位置の L, 〜L_M における情報を抽出して副鍵 ^ を生成する副鍵生成 処理と、

を上記コンピュータにより実行させることを特徴とする記録媒体。

5 4 . 主鍵 Kを入力して複数の副鍵 （i = l , 2, · · ·, N) を生成する暗号鍵ス ケジュール装置をコンピュータにより実行させるためのプログラムを記録した記 録媒体であって、

上記プログラムは、

Y₀ としての主鍵 Κと定数 ν。 とを入力として、 入力を拡散処理することを縦続的 に複数回繰返し、 各拡散処理ごとに中間鍵 (j = l, 2, · · ·, M) を出力する中間 鍵生成処理と、

上記各中間鍵 が生成されるごとに、 副鍵 の i と、 k_; のビット位置 _qとに より決まるし」 のビット位置の情報を k,. のビット位置の情報として抽出して、 記憶 部に記憶する処理と、

上記記憶部内の各副鍵 ^ の各ビット位置の情報が決まると、 その副鍵 ki を出力 する処理と、

を処理.コンピュータにより実行させることを特徴とする記録媒体。