WO2004032098A1

WO2004032098A1 - 疑似乱数発生方法及び疑似乱数発生器

Info

Publication number: WO2004032098A1
Application number: PCT/JP2003/008794
Authority: WO
Inventors: Masakatsu Morii; Yoshiaki Shiraishi
Original assignee: Kobayashi, Akira
Priority date: 2002-10-07
Filing date: 2003-07-10
Publication date: 2004-04-15
Also published as: AU2003252595A1; JPWO2004032098A1; US20060039558A1; CN1714377A; JP4052480B2

Abstract

出力系列がM系列のビット列をs個ごとにサンプルしたビット列は、そのM系列の1周期分のビット数mと導出値sが互いに素であるときは、他の構成を有する線形フィードバックシフトレジスタのM系列になり、また、パートイキャンプマッセイアルゴリズムによって、少なくとも2周期分以上のビット数を有するビット列から最小で等価の線形フィードバックシフトレジスタを求めることができることを利用して、初期値に基づき線形フィードバックシフトレジスタ11の構成を容易かつ動的に変更する。

Description

明細書

疑似乱数発生方法及び疑似乱数発生器 [発明の属する技術分野]

本発明は、暗号通信やデジタル署名などで利用する疑似乱数を発生させる疑似乱数発生方法や、疑似乱数発生器、乱数発生プログラムに関する。

[従来の技術]

従来より、有線や無線により情報通信を行う際に、内容が第三者に漏れないように情報を暗号ィ匕して送信することが行われている。この暗号化方式の一つに逐次暗号方式（ストリーム暗号方式）がある。逐次暗号方式は、送信側と受信側で同一の疑似乱数を発生させ、送信側は疑似乱数のビット列と平文のビット列とを用いて暗号文のビット列を作成し暗号文として受信側に送出し、受信側は送信側から受信した暗号文のビット列と疑似乱数のビット列とを用いて平文のビット列を求め平文に復号化するものである。

第 1 6図は、従来の逐次暗号方式を説明する図である。送信側の暗号化装置 1 0 0は、疑似乱数発生器 1 0 1と論理演算処理部 1 0 2を有しており、受信側の復号化装置 1 1 0は、疑似乱数発生器 1 1 1と論理演算処理部 1 1 2を有している。

暗号化装置 1 0 0の疑似乱数発生器 1 0 1と複号化装置 1 1 0の疑似乱数発生器 1 1 1は、同一の秘密鍵を与えることによって互いに全く同一の疑似乱数を発生する論理構造を有している。また、暗号化装置 1 0 0の論理演算処理部 1 0 2 と復号化装置 1 1 0の論理演算処理部 1 1 2は、ビット単位で排他的論理和の演算処理を行う。

第 1 7図は、暗号化装置 1 0 0の疑似乱数発生器 1 0 1を説明する図である。尚、復号化装置 1 1 0の疑似乱数発生器 1 1 1については、暗号化装置 1 0 0の疑似乱数発生器 1 0 1と同一の構成を有するのでその詳細な説明を省略する。疑似乱数発生器 1 0 1は、非線形コンパイナ型の疑似乱数発生器（Nonlinear Combiner Generator) であり、第 1 7図に示すように、並列に配置した複数の線形フィードパックシフトレジスタ（Linear Feedback Shift Register;LFSR) 1 0 3と、非線形変換部 104とを有しており、各線形フィ一ドバックシフトレジスタ 103から出力したビット列を非線形変換して疑似乱数を発生させる。本従来例では、各線形フィ一ドバックシフトレジスタ 103は、 1回のシフト動作でそれぞれ 1ビット（Χ1、 Χ2、 · · · X_L) を出力し、非線形変換部 104は、各線形フィードバックシフトレジスタ 103から入力されたビット列をもとに 1ビットの疑似乱数を出力する構成を有している。 .

第 18図は、一般的な線形フィードパックシフトレジスタ 103の構成を簡単に説明する図である。線形フィ一ドパックシフトレジスタ 103は、 1ビットの情報を記憶できる複数のシフトレジスタ 105と、複数の排他的論理和演算回路 106とを有し、各シフトレジスタ 105の出力と各排他的論理和演算回路 10 6の一方の入力との間にはフィードバックタップ 107が接続されている。フィードバックタップ 107 ( C _n—い C _n-2、 · · · C _n) は、 1のとき結線を示し、

0のとき断線を示し、それぞれが予め 1または 0に定められている。

このシフトレジスタ 105の個数を nとすると、 1つのシフトレジスタ 105 に注目したとき、出力系列の最大周期は、（2 ^Λ n) — 1となることが知られており、この系列を M系列という。（尚、「2 ^Λ η」は、 2の η乗（2^η) を意味する。以下、指数部分は、その前に「^Λ」を付して示す。 )

例えば、第 14図に示す線形フィ一ドパックシフトレジスタ 103の場合、 Μ 系列を生成する特性多項式は、以下の式で表される。

C (X) = (X ^ η) + c _η_₁ (X ^Λ (η— 1) ) + · . - + c _XX+ 1 上記の特性多項式で第 1項目の指数 nは線形フィ一ドバックシフトレジスタ 1 03の次数、すなわちシフトレジスタの個数を示し、 2項目以降の指数部分は、フィードバックタップによる結線位置を示している。上記の式に示す特性多項式が原始多項式となるようにすれば、線形フィ一ドバックシフトレジスタは、 M系列を出力する。

このような従来の非線形コンパイナ型疑似乱数発生器は、ビット単位の論理演算を基にした簡単なロジックで構成できるので、いわゆるハードウェアでの実装に適していると考えられている。

尚、従来より、線形フィードバックシフトレジスタからの出力を排他的論理和等の演算処理によって変更することが提案されている（例えば、特許文献 1参照。）。【特許文献 1】

特開平 6— 3 4 2 2 5 7号

【発明が解決しょうとする課題】

(第 1の解決課題）

しかしながら、線形フィードバックシフトレジスタ 1 0 3は、シフトレジスタ数の 2倍の出力を観測することで、線形フィ一ドバックシフトレジスタ 1 0 3の構成、すなわちシフトレジスタ数及び結線位置と、初期値の全てを特定することが可能である。したがって、構成が固定された線形フィードバックシフトレジスタ 1 0 3をそのまま疑似乱数努生器 1 0 1に用いるには、暗号強度が弱く、安全性に問題がある。

また、線形フィードバックシフトレジスタ 1 0 3は、特性多式の変更によりシフトレジスタの結線位置や結線数を変更すると、線形フィ一ドバックシフトレジスタの出力が M系列ではなく短周期となって暗号強度が低下するおそれがあることから、特性多項式は予め M系列を出力する値に固定されており、線形フィードパックシフトレジスタの構成を簡単に変更することはできないと考えられている。

(第 2の解決課題）

また、従来の非線形コンパイナ型疑似乱数発生器は、線形フィードバックシフトレジスタ 1 0 3で 1ビット単位の演算を連続して繰り返し実行しなければならない。このような処理は、ハードウェアでは得意とするところであり、比較的高速に処理できるが、ソフトウェアでは苦手とするものであり、ハードウェアの場合と比較して処理速度が極端に遅くなる。

一方、非線形変換部 1 0 4は、論理積や排他的論理和などの単純な演算を実行している。したがって、線形フィードバックシフトレジスタ 1 0 3のスループットが、非線形変換部 1 0 4のスループットよりも下回り、発生器全体の中で乱数ビット列を出力する部分、すなわち線形フィードバックシフトレジスタ 1 0 3がボトルネックになってしまう。このため、従来の非線形コンバイナ型疑似乱数発生器は、ソフトウェアで実装した場合にはハードウェアで実装した場合よりも全体のスループットが低下するという問題があり、ソフトウエアでは使用することが困難であった。

また、疑似乱数の暗号強度を十分に確保するためには、線形フィードパックシフトレジスタ 1 0 3のシフトレジスタ 1 0 5の数や、線形フィ一ドバックシフトレジスタ 1 0 3の個数をある程度の数以上必要とする。しかし、スループットは、線形フィ一ドバックシフトレジスタ 1 0 3のシフトレジスタ 1 0 5の数が増加するほど、或いは線形フィードバックシフトレジスタ 1 0 3の個数が増加するほど低くなるという、相反する関係にある。したがって、高い暗号強度を確保しつつ、高いスループットを実現することは困難であった。

本発明は、上述の第 1及び第 2の解決課題の少なくとも一方を解決すべくなされたものであり、その目的は、強い暗号強度を維持しつつ線形フィードパックシフトレジスタの構成を容易かつ動的に変更することができ、また、十分に高い暗号強度を確保しつつ、より高いスループットを実現できる疑似乱数発生方法等を提供することにある。

[課題を解決するための手段]

上記課題を解決する請求項 1に記載の発明による疑似乱数努生方法は、 n個のシフトレジスタを有し、 1周期分のビット数が（2 ^Λ η ) — 1個となるビット列を出力可能な線形フィ一ドバックシフトレジスタの初期値を設定する第 1ステツプと、所定の演算処理により初期値から線形フィードバックシフトレジスタの 1 周期分のビット数と互いに素である導出値を求める第 2ステップと、導出値と線形フィードパックシフトレジスタの 1周期分のビット数を 2倍以上した値とを乗算して、第 1線形フィードバックシフトレジスタにより出力させるビット列のビット数を算出する第 3ステップと、その算出したビット数分のビット列を線形フイードバックシフトレジスタから初期値をもとに出力させる第 4ステップと、その出力したビット列から導出値の間隔ごとにビット列を取り出して新ビット列を生成する第 5ステップと、その新ビット列を出力可能な構成に線形フィードバックシフトレジスタの構成を再構成する第 6ステップと、再構成した後の線形フィ一ドバックシフトレジスタから初期値をもとに疑似乱数を発生させる第 7ステツプと、を有することを特徵とする。この発明は、出力系列が M系列のビット列を s個ごとにサンプルしたビット列は、その M系列の 1周期分のビット数（= ( 2 ^Λ η ) —1 ) と導出値が互いに素であるときには、他の構成を有する線形フィードバックシフトレジスタの Μ系列を構成し、また、少なくとも 2周期分以上のビット数を有するビット列から線形フィードパックシフトレジスタを求めることができることを利用するものである。この発明によると、 η個のシフトレジスタを有し、 1周期分のビット数が（2 ^Λ η ) 一 1個となるビット列を出力可能な線形フィードバックシフトレジスタの初期値を設定し、所定の演算処理により初期値から線形フィードバックシフトレジスタの 1周期分のビット数と互いに素である導出値を求める。

そして、導出値と線形フィードパックシフトレジスタの 1周期分のビット数を 2倍以上した値とを乗算して、第 1線形フィ一ドバックシフトレジスタにより出力させるビット列のビット数を算出し、その算出したビット数分のビット列を線形フィードバックシフトレジスタから初期値をもとに出力させ、その出力したビット列から導出値の間隔ごとにビット列を取り出して新ビット列を生成する。そして、その新ビット列を出力可能な構成に線形フィードバックシフトレジスタの構成を再構成し、再構成した後の線形フィードバックシフトレジスタから初期値をもとに疑似乱数を発生させる。

これによれば、線形フィードパックシフトレジスタの構成を初期値に基づいて動的に変更することができ、変更後の線形フィードバックシフトレジスタから Μ 系列のビット列を出力させることができる。したがって、解読者は、疑似乱数発生器から出力される疑似乱数に基づいて再構成前の線形フィードバックシフトレジスタの構成を得ることができず、初期値や秘密鍵も解読することができない。この結果、高い暗号強度を得ることができ、情報の秘匿性を保つことができる。請求項 2の発明は、請求項 1に記載の疑似乱数発生方法において、初期値に対してハッシュ関数を施してハッシュ値を求め、そのハッシュ値に最も近似した素数を導出値として採用することを特徴とする。

この発明によると、初期値に対してハッシュ関数を施してハッシュ値を求め、そのハッシュ値に最も近似した素数を導出値として採用するので、導出値の推定困難度を高めることができ、より高度な秘匿性を得ることができる。請求項 3の発明は、請求項 1または 2に記載の疑似乱数発生方法において、線形フィードバックシフトレジスタの再構成は、パーレイキャンプマッセイァルゴリズムを用いて行われることを特徴とする。

この発明は、少なくとも 2周期分以上のビット数を有するビット列から線形フイードバックシフトレジスタを求めることができるという、パーレイキャンプマッセィアルゴリズムを利用するものである。

請求項 4の発明は、請求項 1〜 3のいずれかに記載の疑似乱数発生方法において、第 6ステップの発明は、発生させた疑似乱数を非線形変換する第 7ステップを有することを特徴とする。この発明によると、発生させた疑似乱数を非線形変換するので、疑似乱数に非線形 1·生を与えることができ、暗号強度を更に向上させることができる。

請求項 5に記載の発明による疑似乱数宪生器は、 n個のシフトレジスタを有し、 1周期分のビット数が（ 2 ^Λ n ) — 1個となるビット列を出力可能な線形フィ一ドバックシフトレジスタと、秘密鍵に基づき線形フィ一ドバックシフトレジスタの初期値を設定する初期値設定手段と、所定の演算処理により初期値から線形フイードバックシフトレジスタの 1周期分のビット数と互いに素である導出値を求める導出値算出手段と、線形フィ一ドパックシフトレジスタの 1周期分のビット. 数を 2倍以上した値と導出値とを乗算して、第 1線形フィードパックシフトレジスタにより出力させるビット列のビット数を算出するビット数算出手段と、その算出したビット数分のビット列を線形フィードバックシフトレジスタから初期値をもとに出力させるビット列出力手段と、その出力したビット列から導出値の間隔ごとにビット列を取り出して新ビット列を生成する新ビット列生成手段と、その新ビット列を出力可能な構成に線形フィードパックシフトレジスタの構成を再構成する線形フィードバックシフトレジスタ再構成手段と、再構成後の線形フィ一ドバックシフトレジスタから初期値をもとに疑似乱数を発生させる疑似乱数発生手段と、を有することを特徴とする。

この発明は、出力系列が M系列のビット列を s個ごとにサンプルしたビット列は、その M系列の 1周期分のビット数（ ( 2 ^ η ) 一 1 ) と導出値 sが互いに素であるときには、他の構成を有する線形フィードバックシフトレジスタの Μ系列を構成し、また、少なくとも 2周期分以上のビット数を有するビット列から線形フィ一ドパックシフトレジスタを求めることができることを利用するものである。

この発明によると、 n個のシフトレジスタを有し、 1周期分のビット数が（2 ^Λ η ) 一 1個となるビット列を出力可能な線形フィ一ドバックシフトレジスタの初期値を設定し、所定の演算処理により初期値から線形フィードパックシフトレジスタの 1周期分のビット数と互いに素である導出値を求める。

そして、導出値と線形フィードパックシフトレジスタの 1周期分のビット数を 2倍以上した値とを乗算して、第 1線形ブイ一ドバックシフトレジスタにより出力させるビット列のビット数を算出し、その算出したビット数分のビット列を線形フィードバックシフトレジスタから初期値をもとに出力させ、その出力したビット列から導出値の間隔ごとにビット列を取り出して新ビット列を生成する。そして、その新ビット列を出力可能な構成に線形フィードパックシフトレジスタの構成を再構成し、再構成した後の線形フィードパックシフトレジスタから初期値をもとに疑似乱数を発生させる。

これによれば、線形フィードバックシフトレジスタの構成を初期値に基づレヽて動的に変更することができ、変更後の線形フィ一ドバックシフトレジスタから Μ 系列のビット列を出力させることができる。したがって、解読者は、疑似乱数発生器から出力される疑似乱数に基づいて再構成前の線形フィードバックシフトレジスタの構成を得ることができず、初期値や秘密鍵も解読することができない。この結果、高い暗号強度を得ることができ、情報の秘匿性を保つことができる。請求項 6に記載の発明は、請求項 5に記載の疑似乱数発生器において、線形フイードバックシフトレジスタ再構成手段の代わりに、新ビット列を出力可能な構成を有する第 2の線形フィードバックシフトレジスタを生成する線形フィ一ドバックシフトレジスタ生成手段を設け、疑似乱数発生手段は、第 2の線形フィードパックシフトレジスタによつて初期値をもとに疑似乱数を発生させることを特徴とする。この発明によると、線形フィードバックシフトレジスタを第 1の線形フイードパックシフトレジスタと第 2の線形フィ一ドパックシフトレジスタの 2つに分けることができ、より秘匿性の向上を図ることができる。請求項 7に記載の発明による疑似乱数発生器は、秘密鍵に基づいて所定ビット数を有する選択用乱数ビット列を出力する選択用乱数ビット列出力手段と、選択用乱数ビット列よりも大きなビット数を有する増幅乱数ビット列を予め複数格納した乱数テーブルと、選択用乱数ビット列出力手段から出力された選択用乱数ビット列を用いて乱数テーブルを参照することにより、乱数テーブル内の複数の增幅乱数ビット列の中から該当する増幅乱数ビット列を選択可能な増幅乱数ビット列選択手段と、増幅乱数ビット列選択手段により選択された増幅乱数ビット列を非線形関数によつて非線形変換し疑似乱数として出力する非線形変換手段と、を有することを特徴とする。

この発明によると、秘密鍵に基づいて所定のビット数を有する選択用乱数ビット列を出力させ、その選択用乱数ビット列を用いて乱数テーブルを参照することにより、乱数テーブル内の複数の増幅乱数ビット列の中から該当する増幅乱数ビット列を選択し、非線形変換手段によって非線形変換して疑似乱数として出力させるので、小さなビット列を有する選択用乱数ビット列に基づいて、より大きなビット数を有する増幅乱数ビット列を得ることができる。

したがって、非線形変換手段に入力される乱数ビット列をより大きなビット数を有するものにすることができる。これにより、従来、ボトルネックとなっていた非線形変換手段よりも上流側の乱数ビット列を出力する部分のスループットを向上させ、非線形変換手段のスループットに近づけることができ、疑似乱数発生器全体のスループットを高速化することができる。

請求項 8に記載の発明は、請'求項 7に記載の疑似乱数発生器において、秘密鍵が与えられることにより秘密鍵に基づいて増幅乱数ビット列を発生させ、乱数テ一ブルに格納して、乱数テーブルの初期設定を行う乱数テーブル初期設定手段を有することを特徴とする。

この発明によると、秘密鍵が与えられることにより秘密鍵に基づいて増幅乱数ビット列を発生させ、乱数テーブルに格納して、乱数テーブルの初期設定を行うので、秘密鍵を変更するごとに乱数テーブル内の初期値を変更することができる。したがって、暗号強度を増大させることができる。

請求項 9に記載の発明は、請求項 7または 8に記載の疑似乱数発生器において、選択用乱数ビット列出力手段が複数設けられ、乱数テーブルが各選択用乱数ビット列出力手段にそれぞれ対応するように設けられ、増幅乱数ビット列選択手段が各選択用乱数ビット列出力竽段から各々出力された各選択用乱数ビット列を用いて各選択用乱数ビット列出力手段ごとに対応する乱数テーブルをそれぞれ参照し、各乱数テーブル内からそれぞれ該当する増幅乱数ビット列を選択し、非線形変換手段が各增幅乱数ビット列選択手段によつて各乱数テーブルから選択された各增幅乱数ビット列を用いて非線形関数により非線形変換し疑似乱数として出力することを特徴とする。

この発明によると、各選択用乱数ビット列出力手段からそれぞれ選択用乱数ビット列が出力され、各選択用乱数ビット列を用いて各乱数テーブルがそれぞれ参照され、その参照により各乱数テーブルから選択された各増幅乱数ビット列を用いて非線形関数により非線形変換することによって疑似乱数を発生させるので、従来はポトルネックとなっていた乱数ビット列を出力する部分のスループットを向上させることができ、疑似乱数発生器全体のスループットを高速化することができる。

請求項 1 0に記載の発明は、請求項 9に記載の疑似乱数発生器において、各選択用乱数ビット列出力手段ごとにそれぞれ複数の乱数テーブルを設け、増幅乱数ビット列選択手段により各乱数テーブル内から選択された各增幅乱数ビット列を選択用乱数ビット列出力手段ごとに排他的論理和演算して非線形変換手段に出力する排他的論理和演算処理手段を有することを特徴とする。

この発明によると、各乱数テーブルから選択された各增幅乱数ビット列が選択用乱数ビット列出力手段ごとに排他的論理和演算してから非線形変換手段に出力されるので、増幅乱数ビット列発生手段によって発生させた乱数ビット列をそのまま用いたものよりも、暗号強度を増大させることができる。

請求項 1 1に記載の発明は、請求項 9または 1 0に記載の疑似乱数発生器において、所定のタイミングで各乱数テーブル同士の入れ替えを行う乱数テーブル入れ替え手段を有することを特徴とする。

この発明によると、，所定のタイミングで各乱数テーブル同士の入れ替えを行うので、参照元となる乱数テーブルを変更することができる。したがって、固定されたものよりも暗号強度を増大させることができる。

請求項 1 2に記載の発明は、請求項 1 1に記載の疑似乱数発生器において、乱数テ一ブル入れ替え手段が、各乱数テ一ブルを参照するために必要な選択用乱数ビット列を選択用乱数ビット列出力手段が出力するごとに、各乱数テーブル同士の入れ替えを行うことを特徴とする。

この発明は、上述の請求項に記載した所定のタイミングの一具体例を示したものである。これによると、各乱数テーブルを参照するために必要な選択用乱数ビット列を選択用乱数ビット列出力手段が出力するごとに各乱数テーブル同士の入れ替えを行う。したがって、短いサイクルで参照元となる乱数テーブルを変更することができ、暗号強度を更に増大させることができる。

請求項 1 3に記載の発明は、請求項 1 1または 1 2に記載の疑似乱数発生器において、乱数テーブル入れ替え手段は、各乱数テーブルの個数と等しい個数の乱数テーブル入れ替え用乱数を発生させ、乱数テーブル入れ替え用乱数を乱数テーブルのテーブル番号として各乱数テーブルに付与し、テーブル番号をもとに予め設定された規則に従つて乱数テーブルの順番を入れ替えることを特徴とする。この発明は、上述の乱数テ一ブル入れ替え手段についての具体的な一例を示したものである。これによると、乱数テーブル入れ替え用乱数を発生させ、乱数テ一ブルのテーブル番号として各乱数テーブルに付与し、その付与したテーブル番号をもとに乱数テーブルの順番を入れ替える。したがって、乱数テーブルの順番を簡単かつ迅速に入れ替えることができ、非線形変換手段よりも上流側のスループットを向上させ、非線形 ^換手段のスループットに近づけることができ、疑似乱数発生器全体のスループットを高速化することができる。

請求項 1 4に記載の発明は、コンピュータを以下の手段として機能させるための疑似乱数発生プログラムであり、秘密鍵に基づいて所定ビット数を有する選択用乱数ビット列を出力させる選択用乱数ビット列出力手段と、選択用乱数ビット列よりも大きなビット数を有する増幅乱数ビット列を予め複数格納した乱数テーブルと、選択用乱数ビット列出力手段から出力された選択用乱数ビット列を用いて前記乱数テーブルを参照することにより、前記乱数テーブル内の複数の増幅乱数ビット列の中から該当する増幅乱数ビット列を選択可能な増幅乱数ビット列選択手段と、増幅乱数ビット列選択手段により選択された增幅乱数ビット列を非線形関数によって非線形変換し疑似乱数として出力する非線形変換手段として機能させるためのプログラムである。

したがって、非線形変換手段に入力される乱数ビット列をより大きなビット数を有するものにすることができる。これにより、従来は、ボトルネックとなっていた非線形変換手段よりも上流側の乱数ビット列を出力する部分のスループットを向上させ、非線形変換部のスループットに近づけることができ、疑似乱数発生器全体のスループットを高速化することができる。

請求項 1 5に記載の発明は、請求項 1 4に記載の疑似乱数発生プロダラムにおいて、秘密鍵が与えられることにより秘密鍵に基づいて増幅乱数ビット列を発生させ、乱数テーブルに格納して、乱数テーブルの初期設定を行う乱数テーブル初期設定手段としてコンピュータを機能させることを特徴とする。

請求項 1 6に記載の発明は、請求項 1 4または 1 5に記載の疑似乱数発生プログラムにおいて、選択用乱数ビット列出力手段は、複数設けられ、乱数テーブルは、各選択用乱数ビット列出力手段にそれぞれ対応するように設けられ、増幅乱数ビット列選択手段は、各選択用乱数ビット列出力手段から各々出力された各選択用乱数ビット列を用いて各選択用乱数ビット列出力手段ごとに対応する乱数テ一ブルをそれぞれ参照し、各乱数テーブル内からそれぞれ該当する増幅乱数ビット列を選択し、非線形変換手段は、各増幅乱数ビット列選択手段によって各乱数テーブルから選択された各増幅乱数ビット列を用いて非線形関数により非線形変換し疑似乱数として出力することを特徴とする。

この発明によると、各選択用乱数ビット列出力手段からそれぞれ選択用乱数ビット列が出力され、各選択用乱数ビット列を用いて各乱数テーブルがそれぞれ参照され、その参照により各乱数テーブルから選択された各増幅乱数ビット列を用レ、て非線形関数により非線形変换することによつて疑似乱数を発生させるので、従来はポトルネックとなっていた非線形変換手段よりも上流側の乱数ビット列を出力する部分のスループットを向上させ、非線形変換手段のスループットに近づけることができ、疑似乱数発生器全体のスループットを高速化することができる。請求項 1 7に記載の発明は、請求項 1 6に記載の疑似乱数発生プログラムにおいて、各選択用乱数ビット列出力手段ごとにそれぞれ複数の乱数テーブルを設け、増幅乱数ビット列選択手段により各乱数テーブル内から選択された各増幅乱数ビット列を選択用乱数ビット列出力手段ごとに排他的論理和演算して非線形変換手段に出力する排他的論理和演算処理手段としてコンピュータを機能させることを特徴とする。 ·

この発明によると、各乱数テーブルから選択された各増幅乱数ビット列が選択用乱数ビット列出力手段ごとに排他的論理和演算してから非線形変換手段に出力されるので、増幅乱数ビット列発生手段によって発生させた乱数ビット列をそのまま用いたものよりも、暗号強度を増大させることができる。

請求項 1 8に記載の発明は、請求項 1 6または 1 7に記載の疑似乱数発生プログラムにおいて、所定のタイミングで前記各乱数テーブル同士の入れ替えを行う乱数テーブル入れ替え手段としてコンピュータを機能させることを特徴とする。この発明によると、所定のタイミングで各乱数テーブル同士の入れ替えを行うので、参照元となる乱数テーブルを変更することができる。したがって、固定されたものよりも暗号強度を増大させることができる。

請求項 1 9に記載の発明は、請求項 1 8に記載の疑似乱数発生プログラムにおいて、乱数テーブル入れ替え手段は、各乱数テーブルを参照するために必要な選択用乱数ビット列を選択用乱数ビット列出力手段が出力するごとに、各乱数テーブル同士の入れ替えを行うことを特徴とする。この発明は、上述の請求項に記載した所定のタイミングの一具体例を示したものである。これによると、各乱数テーブルを参照するために必要な選択用乱数ビット列を選択用乱数ビット列出力手段が出力するごとに各乱数テーブル同士の入れ替えを行う。したがって、短いサイクルで参照元となる乱数テーブルを変更することができ、暗号強度を更に増大させることができる。

請求項 2 0に記載の発明は、請求項 1 8または 1 9に記載の疑似乱数発生プログラムにおいて、乱数テーブル入れ替え手段は、各乱数テーブルの個数と等しい個数の乱数テ一プル入れ替え用乱数を発生させ、乱数テ一ブル入れ替え用乱数を乱数テーブルのテーブル番号として各乱数テーブルに付与し、テーブル番号をもとに予め設定された規則に従って乱数テーブルの順番を入れ替えることを特徴とする。

この発明は、上述の乱数テーブル入れ替え手段についての具体的な一例を示したものである。これによると、乱数テーブル入れ替え用乱数を発生させ、乱数テ一ブルのテーブル番号として各乱数テーブルに付与し、その付与したテーブル番号をもとに乱数テーブルの順番を入れ替える。したがって、乱数テーブルの順番を簡単かつ迅速に入れ替えることができ、非線形変換手段よりも上流側のスループットを向上させ、非線形変換手段のスループットに近づけることができ、疑似乱数発生器全体のスループットを高速化することができる。

[発明の実施の形態]

(第 1の実施の形態）

次に、本発明の第 1の実施の形態について図に基づいて説明する。

第 1図は、本実施の形態における疑似乱数発生器 1を説明する図である。本実施の形態では、非線形コンパイナ型の疑似乱数発生器 1を例に説明する。

疑似乱数発生器 1は、利用者から与えられる秘密鍵に基づいて初期値を設定する初期値設定部（図示せず）と、初期値設定部から受け取った初期値をもとに疑似乱数を生成する複数の疑似乱数生成部 1 0と、これら複数の疑似乱数生成部 1 0の出力側に各々接続され、各疑似乱数生成部 1 0から出力される疑似乱数を非線形変換する非線形変換部 2 0を有している。

初期値設定部は、利用者から与えられる秘密鍵をビット列に変換し、疑似乱数生成部 1 0の数に分割して、後述する疑似乱数生成部 1 0の線形フィ一ドパックシフトレジスタ 1 1にそれぞれ割り当てる初期値を生成する処理を行う。

疑似乱数生成部 1 0は、 L個が互いに並列に配置されており、それぞれ線形フイードパックシフトレジスタ 1 1と、線形フィ一ドパックシフトレジスタ再構成手段 1 2を有している。

線形フィ一ドバックシフトレジスタ 1 1は、従来技術で説明したものと同様に、 1ビットの情報を記憶できる n個のシフトレジスタと.、、排他的論理和演算回路を有している。そして、本実施の形態では、 1周期分のビット数が（2 ^Λ η ) — 1個となるビット歹 IJ、いわゆる M系列を出力可能な構成に予め設定されている。第 2図は、本実施の形態における線形フィードバックシフトレジスタ 1 1の初期多項式を例示するものである。初期多項式は、 M系列を出力するように予め設定されている特性多項式であり、 1項目の指数部（第 2図では「^Λ」で表している）がシフトレジスタの個数を示し、 2項目以降の指数部が排他的論理和演算回路に接続された結線位置を示している。例えば、 1段目の線形フィードバックシフトレジスタ l l ( L F S R l ) は、 1 3 1個のシフトレジスタを有し、 8番目、 3番目、 2番目のシフトレジスタがフィードバックタップによって排他的論理和演算回路に接続されていることを示している。尚、本実施の形態では、シフトレジスタの個数 nは、全て素数個に設定されている。

線形フィ一ドバックシフトレジスタ再構成手段 1 2は、線形フィ一ドバックシフトレジスタ 1 1の構成を秘密鍵によって動的に変更して再構成するものである。具体的には、出力系列が M系列のビット列を s個ごとにサンプルした新ビット列は、 M系列の 1周期分のビット数 m (= ( 2 ^ n) —1 ) と導出値 sとが互いに素であるとき、すなわち、 1以外の共通の約数を持たないときは、他の構成を有する線形フィードバックシフトレジスタの M系列になり、また、パーレイキャンプマッセイアルゴリズムによって、少なくとも 2周期分以上のビット数を有するビット列から、そのビット列を出力可能な等価で最小の線形フィードパックシフトレジスタの特性多項式を求めることができることを利用して、線形フィ一ドパックシフトレジスタ 1 1の再構成を行う。

線形フィードパックシフトレジスタ再構成手段 1 2は、初期値設定部によって与えられた初期値から導出値 Sを算出し、導出値 Sと線形フィードバックシフトレジスタ 11の 1周期分のビット数 m (= (2 ^ η) —1) を 2倍した値 2mとを乗算し、線形フィードバックシフトレジスタ 11から出力させるビット列のビット数 2msを算出する。

' そして、初期値をもとに,線形フィ一ドバックシフトレジスタ 11から 2ms個のビット列を出力させ、その 2ms個のビット列から導出値 sの間隔ごとにビット列を取り出して新ビット列を生成し、その新ビット列を用いてバーレイキャンプマッセイアルゴリズムにより線形フィードバックシフトレジスタ 11の構成を変更する。

尚、本実施の形態では、線形フィードバックシフトレジスタ 11から出力させるビット列のビット数が 2ms個である場合を例に説明しているが、新ビット列のビット数が 2 m個以上であれば、等価な最小の線形フィ一ドバックシフトレジスタを求めることができるので、 2m s個以上であればよい。

バーレイキャンプマッセィァルゴリズムとは、線形フィ一ドバックシフトレジスタ 11のシフトレジスタの個数 n (線形複雑度）の 2倍以上のビット数を有するビット列を入手することで、そのビット列を出力可能な等価な最小の線形フィ一ドバックシフトレジスタを得ることができるというァルゴリズムである。バーレイキャンプマッセイアルゴリズムについては、例えば、文献 1 「暗号理論入門 (第 2版）」、共立出版社、岡本栄司著、 2002年 4月 10日発行、に詳細に説明されている。

次に、上記構成を有する疑似乱数発生器 1の動作について第 3図のフローチヤ一トを用いて以下に説明する。

まず最初に、初期値設定部によって初期値が設定される（ステップ S 1) 。初期値は、利用者から与えられる秘密鍵を所定の演算処理によつて分割することによって設定される。

例えば、秘密鍵の長さが 16バイトで「ABCDEFGHI JKLMNOPJ であり、疑似乱数生成部 10が 8段の場合には、初期値は下記のように設定される。

LFSR1 AB + X' FF' 埋め込み文字 (P a d d i n g) LF SR 2 CD + X' F F' 埋め込み文字 (P a d d i n g)

LFSR3 EF + X' F F' 埋め込み文字 (P a d d i n g)

LF SR4 GH + X' F F' 埋め込み文字 (P a d d i n g)

LFSR5 I J +X' F F' 埋め込み文字 (P a d d i n g)

LFSR6 KL + X' F F' 埋め込み文字 (P a d d i n g)

LF SR 7 MN + X' F F' 埋め込み文字 (P a d d i n g)

LF SR 8 OP + X' F F' 埋め込み文字 (P a d d i n g)

ここでは、初期値は、秘密鍵「ABCDEFGHI JKLMN〇P」を、「A B」、「CD」、 · · ·、「OP」 'の 2文字ずつに分割し、残りのシフトレジスタを埋め込み文字（P a d d i n g) で埋めることによって設定される。尚、上述の初期値設定方法は、実施例の一つであり、他の方法によつて設定してもよ、。初期値設定部において秘密鍵から初期値が設定されると、各初期値は、各疑似乱数生成部 10にそれぞれ入力され、線形フィ一ドパックシフトレジスタ 11のシフトレジスタ内にセットされる。

次に、線形フィ一ドバックシフトレジスタ再構成手段 12によって、線形フィードバックシフトレジスタ 1 1の構成を再構成する処理が行われる（ステップ S 2〜ステップ S 6) 。

ここでは、まず、所定の演算処理により初期値から線形フィ一ドバックシフトレジスタ 11の 1周期分のビット数 mと互いに素である導出値 sを算出する（ステツプ S 2 ) 。導出値 sは、初期値に対して、例えば MD 5 (Message Digest 5) などのハッシュ関数を施してハッシュ値を求め、そのハッシュ値に最も近似した素数が採用される。したがって、導出値の推定困難度を高めることができ、より高度な秘匿性を得ることができる。尚、導出値 sは、初期値から求めることができ、かつビット数 mと互いに素であればよく、上記の算出方法によって求められるものに限定されない。但し、秘匿性を維持するために、上記所定の演算処理は、一方向性を満足しうる演算処理でなければならない。

導出値 sを算出すると、次に、線形フィードバックシフトレジスタ 11から出力させるビット列のビット数 2m sを算出する（ステップ S 3) 。線形フィードバックシフトレジスタ 11から出力させるビット列のビット数 2 m sは、線形フイードパックシフトレジスタ 1 1の 1周期分のビット数 m (= ( 2 " η ) —1 ) を 2倍した値と、導出値 sとを乗算することによって求められる。

そして次に、線形フィードバックシフトレジスタ 1 1から初期値をもとに 2 m s個のビット数を有するビット列を出力させ（ステップ S 4 ) 、そのビット列から新ビット列を生成する（ステップ S 5 ) 。新ビット列は、 2 m s個のビット列力ら導出値 _sの間隔ごとに取り出したビット列によって構成され、そのビット数は 2 m個となる。

ここで、出力系列が M系列のビット列を s個ごとにサンプルしたビット歹 IJは、その M系列の 1周期分のビット数 mと導出値 sとが互いに素であれば、他の構成を有する線形フィードバックシフトレジスタの M系列となることから、この新ビット歹も、 M系列となる。

そして、その新ビット列に基づいて線形フィードバックシフトレジスタ 1 1の構成を再構成する（ステップ S 6 ) 。線形フィードバックシフトレジスタ 1 1の再構成は、バーレイキャンプマッセイアルゴリズムを用いて行われる。バーレイキャンプマッセイアルゴリズムによれば、少なくとも 2周期分以上のビット数を有するビット列があれば、かかるビット列を出力可能な等価で最小の線形フィードバックシフトレジスタを求めることができるので、 2 m個のビット数を有する新ビット列から薪たな線形フィードバックシフトレジスタの特性多項式を導出して、再構成を行う。

再構成後の線形フィードバックシフトレジスタ 1 1は、再構成前と同一の次数及び異なる結線の特性多項式を有し、同一の初期値を与えた場合に、再構成前と異なる M系列を出力可能な構成を有する。

線形フィ一ドバックシフトレジスタ再構成手段 1 2による線形フィ―ドバックシフトレジスタ 1 1の再構成が終了すると、再構成された線形フィ一ドバックシフトレジスタ 1 1から初期値をもとに疑似乱数を発生させる処理が行われる（ステツプ S 7 ) 。これにより、疑似乱数生成部 1 0から再構成前とは異なる M系列の疑似乱数が発生される。

各疑似乱数生成部 1 0から出力された疑似乱数は、それぞれ非線形変換部 2 0 に入力され、非線形変換部 2 0で所定の非線形関数 f ( x ) に基づいて非線形変換される（ステップ S 8 ) 。これにより、疑似乱数に非線形性を与えることができ、暗号強度を更に向上させることができる。

上記構成を有する疑似乱数発生器 1によれば、線形フィ一ドバックシフトレジスタ 1 1の構成を初期値に基づいて容易かつ動的に変更することができ、変更後も M系列を出力させることができる。したがって、解読者は、再構成前の線形フイードバックシフトレジスタの構成を取得することができない。これにより、従来、線形フィードバックシフトレジスタの構成が既知であることを前提に成り立つていた既存の暗号解読法は、成立しなくなる。したがって、高い喑号強度を得ることができ、情報の秘匿性を保つことができる。

尚、上述の実施の形態では、非線形コンパイナ型の疑似乱数発生器 1を例に説明したが、非線形コンパイナ型に限定されるものではなく、線形フィードパックシフトレジスタを用いる疑似乱数発生器であればよく、例えばプロック型暗号方式に用いられる疑似乱数発生器に用いてもよい。

また、上記のステップ S 6で、新ビット列に基づいて線形フィードパックシフトレジスタ 1 1の構成を再構成する代わりに、新ビット列を出力可能な構成を有する第 2の線形フィードバックシフトレジスタを生成し、ステップ S 7で、その第 2の線形フィ一ドパックシフトレジスタによって初期値をもとに疑似乱数を発生させてもよい。これによれば、線形フィードパックシフトレジスタを 2つに分けることができ、より秘匿性の向上を図ることができる。また、第 1の実施の形態における疑似乱数発生器 1は、ソフトウェアやハードウエアのいずれによって構成してもよい。

(第 2の実施の形態）

次に、本発明の第 2の実施の形態について図に基づいて説明する。

第 4図は、第 2の実施の形態における疑似乱数発生器 1の機能を概略的に示す説明図である。本実施の形態における疑似乱数発生器 1は、疑似乱数発生プログラムをコンピュータハードウェア上で実行することによって実現される非線形コンパイナ型の疑似乱数発生器 1である。尚、本実施の形態では、暗号化装置（従来技術を参照）に組み込まれた場合のものを例に説明し、復号化装置のものについては同様であるのでその詳細な説明を省略する。疑似乱数発生器 1は、第 4図に示すように、乱数ビット列出力部 5 0と、乱数ビット列増幅部 6 0と、非線形変換部 8 0を有している。乱数ビット列出力部 5 0は、 α個の選択用乱数ビット列出力手段 5 1を備えている。選択用乱数ビット列出力手段 5 1 〜5 1 _αは、利用者から与えられる L kビットの秘密鍵 Kをもとに N iビットを有する選択用乱数ビット列を連続して出力するものであり、例えば線形フィードバックシフトレジスタによつて構成される。

乱数ビット列増幅部 6 0は、 N iビットの選択用乱数ビット列を与えることにより N iビットよりも大きなビット数である N oビットの増幅乱数ビット列を出力するように構成されており、乱数テーブル部 6 1と排他的論理和演算処理手段 6 3を備えている。

乱数テーブル部 6 1は、（ 2 八 N i ) 個の乱数ビット列を格納した α Χ β (以下、単に「a j3」と記す）個の乱数テーブル 6 2によって構成されている。そして、第 4図に示すように、各選択用乱数ビット列出力手段 5 1ごとに ;3 (複数）個の乱数テーブル 6 2が対応するように設けられている。第 5図は、一の乱数テ一ブルの構成を説明する概略図である。各乱数テーブル 6 2は、第 5図に示すように、（2 ^Λ Ν ί ) 個でかつ 0〜（2 ^Λ Ν ί ) _ 1のインデックス番号が付与されたインデックス部 R iと、各インデックス番号に一対一で対応して設けられ上述の増幅乱数ビット列を格納可能なビット列格納部 R oを有している。

そして、乱数ビット列出力部 5 0の選択用乱数ビット列出力手段 5 1力ら出力された選択用乱数ビット列を引数として、該当するインデックス部 R iのインデックス番号を選択し、そのインデックス番号に対応する乱数ビット列格納部 R o から N oビットの増幅乱数ビット列を選択できるように構成されている。

排他的論理和演算処理手段 6 3は、乱数テーブル 6 S i e 2 _α の参照によつて抽出された α 個の増幅乱数ビット列を各選択用乱数ビット列出力手段 5 1ごとに排他的論理和演算処理し、 α個の増幅乱数ビット列とし、非線形変換部 8 0 に出力するように構成されている。これにより、乱数テーブル 6 2 〜 6 2 ^から読み出した増幅乱数ビット列をそのまま非線形変換部 8 0に出力するのではなく、暗号強度が増幅乱数ビット列そのものに依存することを防止し、暗号強度を更に向上させている。第 6図は、乱数ビット列増幅部 6 0内に構成される各構成要素を説明する概念図である。上述の乱数ビット列増幅部 6 0は、第 6図に示すように、その内部機構として増幅乱数ビット列選択手段 6 4を備えている。增幅乱数ビット列選択手段 6 4は、各選択用乱数ビット列出力手段 5 1 ! - 5 1 _αから出力された選択用乱数ビット列を引数として各乱数テーブル 6 2 〜 6 2 をそれぞれ参照し、引数と等しい値を有するインデックス番号に対応するビット列格納部 R oから増幅乱数ビット列をそれぞれ選択するように構成されている。

また、乱数ビット列增幅部 6 0は、乱数テーブル部 6 1の初期設定を行う乱数テーブル初期設定手段 6 5と、その乱数テーブル初期設定手段 6 5により乱数テ一ブル部 6 1内に設定される増幅乱数ビット列を発生させる増幅乱数ビット列発生手段 6 6を備えている。

乱数テーブル初期設定手段 6 5は、増幅乱数ビット列発生手段 6 6によって発生させた乱数ビット列を N oビットごとに分割して各乱数テーブル 6 2 6 2 _{α 0}の全ての乱数ビット列格納部 R oに格納する処理を行うものであり、本実施の形態では、第 1番目の選択用乱数ビット列出力手段 5 1 に対応する乱数テーブル 6 2 から第 a番目の選択用乱数ビット列出力手段 5 1 _αに対応する乱数テープル 6 2 まで順番に格納するように構成されている。 '

増幅乱数ビット列発生手段 6 6は、秘密鍵 Κをもとに乱数ビット列を出力するものであり、本実施の形態では、 R C 4 S y p p e t r i c S t r e a p C i p h e r (R S A D a t a S e c u r i t y I n c .製）を用いている。し力し、通常の線形フィードパックシフトレジスタなどの疑似乱数ビット列を高速に出力できるもの（主としてストリーム型暗号）であれば他のものであってもよい。

また、第 6図に示すように、乱数ビット列增幅部 6 0は、所定のタイミングで乱数テーブル 6 2 〜 6 2 _α の順番を入れ替える処理を行う乱数テーブル入れ替え手段 6 7と、その乱数テーブル入れ替え手段 6 7が乱数テーブルの順番入れ替え処理を行うために使用する順番入れ替え用乱数を発生させる入れ替え用乱数発生手段 6 8を備えている。

乱数テーブル入れ替え手段 6 7は、入れ替え用乱数発生手段 6 8により発生させた入れ替え用乱数を、乱数テーブルのテーブル番号として、その発生させた順番で各乱数テーブル 6 2 i〜6 2 _{α 0}に順次付与し、 ·その付与した乱数をもとに乱数テーブルの順番を入れ替える処理を行い、乱数テーブル部 6 1内の増幅乱数ビット列の順番をテーブル単位で変更する。

入れ替え用乱数発生手段 6 8は、任意の秘密鍵 Κ 0をもとに乱数テーブル入れ替え用乱数を発生させる処理を行うものであり、乱数ビット列出力部 5 0から Ν iビットを有する α個の選択用乱数ビット列を入力するごとに、 α ]3個の入れ替え用乱数を発生するように構成されている。任意の秘密鍵 Κ 0は、本実施の形態では、上述の増幅乱数ビット列発生手段 6 6に秘密鍵 Κを与えて出力させた増幅乱数ビット列から L kビット分だけ取り出した値を用いている。しかし、これに拘束されるものではなく、例えば、他の手段によって発生させたり、別途にユーザに入力させてもよい。

非線形変換部 8 0は、 α入力 1出力の 1次無相関な非線形関数 f ( x ) を有しており、乱数ビット列増幅部 6 0から出力された α個の増幅乱数ビット列を非線形変換し、 Ν οビットを有する 1個の乱数ビット列を疑似乱数 Ζとして出力するように構成されている。

尚、秘密鍵 Κは、 1 2 8ビット、 2 5 6ビット、 5 1 2ビット、 1 0 2 4ビットの中から選択され、また、選択用乱数ビット列出力手段 5 1の数、各選択用乱数ビット列出力手段 5 1に対応する乱数テーブルの数、及び選択用乱数ビット列のビット数 N iは、互いにかけ算した値が秘密鍵 Kのビット数 L kに等しいという条件の範囲内で選択される。

次に、疑似乱数発生方法について第 7図に基づき説明する。第 7図は、本実施の形態における疑似乱数発生方法を説明するフローチヤ一トである。

まず最初に、乱数ビット列出力部 5 0は、ユーザから L kビットを有する任意の秘密鍵 Kの入力を受けると (ステップ S 1 1 ) 、その秘密鍵 Kを用いて選択用乱数ビット列出力手段 5 1の初期値を設定する（ステップ S 1 2 ) 。例えば、選択用乱数ビット列出力手段 5 1が線形フィードパックシフトレジスタによつて構成されている場合には、その秘密鍵 Kに基づいて各シフトレジスタ内に格納される初期値の設定が行われる。各選択用乱数ビット列出力手段 5 1の初期値を設定すると、次に、乱数テープル初期設定手段 6 5により乱数テーブル部 6 1の初期設定が行われる（ステップ S 1 3 ) 。ここでは、まず、增幅乱数ビット列発生手段 6 6に秘密鍵 Kが与えられ、高速で乱数ビット列が発生される。この増幅乱数ビット列発生手段 2 4により発生された乱数ビット列は、乱数テーブル初期設定手段 6 5によって、 N oビットごとに分割され、増幅乱数ビット列として各乱数テブル 6 2 2 _{α 0}の全ての乱数ビット列格納部 R οに順次格納される。このように、秘密鍵 Κが与えられることによって、乱数テーブル部 6 1の初期設定が予め行われる。

上述のステップ S 1 1〜ステップ S 1 3により選択用乱数ビット列出力手段 5 1と乱数テーブル部 6 1の初期値の設定が行われると、待機状態となる。そして、平文の暗号化装置（従来技術を参照）への入力をトリガとして、乱数ビット列の増幅処理が開始される（ステップ S 1 4〜S 1 6 ) 。まず最初に、各選択用乱数ビット列出力手段 5 1によって、それぞれ N iビットを有する選択用乱数ビット列を乱数テーブルの数である i3個出力させ、乱数ビット列増幅部 6 0内に記憶させる (ステップ S 1 4 ) 。

それから、乱数テーブル順番入れ替え手段 2 6により乱数テーブル 6 2 〜 6 2 _{α 3}の順番入れ替え処理を行う（ステップ S 1 5 ) 。ここでは、まず、入れ替え用乱数発生手段 6 8により個の入れ替え用乱数を発生させ、乱数テーブルの順番入れ替え用のテーブル番号として、各乱数テーブル 6 2 〜6 2 _{α β}に付与する。これらのテーブル番号は、その発生の順番で乱数テーブル 6 2 iから順次付与される。

したがって、各乱数テーブル 6 2 〜 6 2 には、 1〜α ]3までのテーブル番号が順不同に付与される。そして、その付与したテーブル番号をもとに乱数テーブル部 6 1内の增幅乱数ビット列の順番を各乱数テーブル単位で入れ替える処理が行われる。これにより、乱数テーブル'部 6 1の乱数ビット列格納部 R οに格納されている増幅乱数ビット列は、昇順や降順などの予め設定した規則に従って、各乱数テーブル単位で入れ替えられる。

乱数テーブル 6 2ェ〜6 2 _{α β}の順番入れ替える処理が終了すると、増幅乱数ビット列選択手段 6 4により、各乱数テーブル 6 S i S 2 _α 内から該当する増幅乱数ビット列を選択する増幅乱数ビット列選択処理が行われる（ステップ S 1 6 )。増幅乱数ビット列選択手段 6 4は、乱数ビット增幅部 2 0に格納されている各選択用乱数ビット列を用いて、対応する乱数テーブル 6 2 i〜6 2 _{α β}をそれぞれ参照し、各乱数テーブル 6 S S 2 内からそれぞれ該当する増幅乱数ビット列を選択する。

増幅乱数ビット列の選択処理が終了すると、次に、排他的論理和演算処理手段 6 3により排他的論理和演算処理が行われる (ステップ S 1 7 ) 。排他的論理和演算処理手段 6 3は、各乱数テーブル 6 S S 2 _{α 0}から読み出した _α jS個の増幅乱数ビット列を、各選択用乱数ビット列出力手段 5 1単位で排他的論理和演算処理する。これにより、 N oビットを有する α個の新たな増幅乱数ビット列が生成される。

そして、これらの新たに生成された増幅乱数ビット列は、非線形変換部 8 0に出力され、非線形変換が行われる（ステップ S 1 8 ) 。非線形変換部 8 0は、予め設定された非線形関数に基づいて N oビットの α 個の増幅乱数ビット列を非線形変換し、 Ν οビットを有する 1個の乱数ビット列.を疑似乱数として出力する。非線形変換部 8 0から疑似乱数を出力すると、再びステップ S 1 4まで戻り、ステップ S 1 4からステップ S 1 8までの処理を繰り返し行う。そして、平文から暗号文に変換するために必要な分の疑似乱数を発生させる。

上述の疑似乱数発生器 1によると、選択用乱数ビット列出力手段 5 1によって出力した N iビットの選択用乱数ビット列に基づき乱数テーブルを参照することで、 N i ビットよりも大きなビット数を有する N oビットの増幅乱数ビット列を非線形変換部 8 0に供給することができる。したがって、従来はポトルネックとなっていた非線形変換部 8 0よりも上流側のスループットを向上させることができ、非線形変換部 8 0のスループットに近づけることができる。したがって、疑似乱数発生器 1全体のスループットを高速化することができる。

また、選択用乱数ビット列出力部 2 0からの選択用乱数ビット列の入力に応じて、乱数テーブル順番入れ替え処理を行うので、疑似乱数の暗号強度を増大させることができる。特に、本実施の形態では、乱数テーブル 6 2 〜 6 2 _α の組合せパターンを（α ) の階乗個（以下、階乗を「！」で表す）にすることができる。したがって、乱数テーブル部 6 1の内容を既知と仮定したときに成立する攻撃では、（2 ^Λ (α β ΧΝ ί ) ) X (α β) ！の計算量が必要となり、この計算量は、 L kビットの秘密鍵を全数探索する場合の計算量よりも多くなることから、十分な暗号強度を備えていることがわかる。

. また、上述の疑似乱数発生器 1は、一の選択用乱数ビット列出力手段 5 1から '出力した乱数ビット列を用いて複数（j3個）の乱数テーブルを参照し、各乱数テ一プルから選択した乱数ビット列に排他的論理和演算を施す処理を行っている。したがって、乱数テーブル 6 1から読み出した増幅乱数ビット列をそのまま非線形変換部 80に出力した場合のように暗号強度が増幅乱数ビット列発生手段 6 6 そのものに依存するのを防ぎ、暗号強度を更に向上させている。

次に、本実施の形態における具体的な一実施例について説明する。第 8図は、本実施例の疑似乱数発生器 1を概略的に示す概念図、第 9図は、乱数テーブル部 6 1を概略的に示す概念図である。尚、本実施例では、各設定値（パラメータ）を以下のように設定した場合を例に説明する。

選択用乱数ビット列出力手段の数： 8個（α = 8)

各選択用乱数ビット列出力手段に対応した乱数テーブルの数： 2個（ = 2) 乱数テーブルのインデックス部の長さ： 2 ^Λ 8個（N i = 8)

乱数テーブルの乱数ビット列部の長さ： 2 ^Λ 1 6個（Ν ο = 1 6)

秘密鍵の長さ： 1 2 8ビット（L k = 1 2 8 )

非線形変換部 8 0の非線形関数 f (x) ：

f(x) = xl + x5

+ xlx2 + xlx3 + x2x3 + _x2x5 + χ2χ6 + χ3χ6

+ xlx2x3 + xlx2x4 + xlx3x4 + χ2χ3χ4 + xlx2x5

+ χ2χ4χ5 + χ3χ4χ5 + xlx2x6 + χ2χ3χ6 + χ 1x4x6

+ χ4χ5χ6 + 1x2x7 + χ2χ3χ7 + χ 1x4x7 + xlx5x7

+ χ2χ5χ7 + χ4χ5χ7 + xl_x6 7 + χ4χ6χ7 + χ5χ6χ7

+ xlx2x8 + xlx3x8 + χ2χ3χ8 + χ3χ4χ8 + xlx5x8

+ χ3χ5χ8 + χ4χ5χ8 + χ3χ6χ8 + χ4χ6χ8 + χ5χ6χ8 + xlx7x8 + x2x7x8

+ X 1x2x4x5 + lx3x4x5 + x2x3x4x5 + lx2x4x6

+ X 1x3x4x6 + χ2χ3χ4χ6 + x 1x4x5x6 + 2x4x5x6

+ Χύχ4χ5χ6 + lx2x3x7 + xlx2x4x7 + 2x3x4x7

+ xlx2x5x7 + xlx4x5x7 + x2x4x5x7 + χ1χ2χ6χ7

+ X丄 XJXW!J + χ2χ3χ6χ7 + 1x4x6x7 + 2χ4χ6χ7

+ Χύχ4χ6χ7 + xlx5x6x7 + χ2χ5χ6χ7 + ύχοχ6χ7

+ 1x2x4x8 + 1x2x5x8 + xlx3x5x8 + χιχ4χοχ8

+ xlx2x6x8 + χ2χ3χ6χ8 + xlx4x6x8 + χ2χ5χ6χ8

+ x 5x5x6x8 + xlx3x7x8 + xlx4x7x8 + 2χ4χ7χ8

+ 1x2x3x4x5 + χ 1x2x3x4x6 + xlx3x4x5x6 '

+ χ2χ3χ4χ5χ6 + xlx2x4x5x7 + χ2χ3χ4χ5χ7

+ X 1x2x4x6x7 + X1X3X4XDX7 + xlx4x5x6x7

+ x2x4x5x6x7 + χ 1x2x3x4x8 + χ 1x2x3x5x8

+ X 1x2x4x5x8 + χ 1x2x3x6x8 + 1x2x4x6x8

+ xlx3x4x6x8 + χ2χ3χ5χ6χ8 + χ 1x4x5x6x8

+ χ2χ4χ5χ6χ8 + xlx2x3x7x8 + xlx3x4x7x8

+ xlx3x5x7x8 + χ2χ3χ5χ7χ8 + χ3χ4χ5χ7χ8

+ xlx3x6x7x8 + χ3χ4χ6χ7χ8

+ xlx2x3x4x5x8 + χ 1x2x3x4x6x8

+ xlx3x4x5x6x8 + χ2χ3χ4χ5χ6χ8

+ xlx2x3x4x7x8 + xlx2x3x5x7x8

+ xlx2x4x5x7x8 + xlx3x4x5x7x8

+ xlx3x4x6x7x8 + χ2χ3χ4χ6χ7χ8

+ χ 1x2x5x6x7x8 + xlx3x5x6x7x8

本実施例では、各選択用乱数ビット列出力手段 5 1が、ユーザから与えられる秘密鍵 Κに基づいて線形フィードバックシフトレジスタ 5 3の再構成を行い、その再構成後の線形フィ一ドバックシフトレジスタ 5 3 ' を用いて選択用乱数ビット列を出力するように構成されている。

まず最初に、この選択用乱数ビット列出力手段 51の構成及ぴその動作について説明する。選択用乱数ビット列出力手段 51は、第 8図に示すように、初期値設定手段 12、線形フィ一ドバックシフトレジスタ 53、線形フィ一ドバックシフトレジスタ再構成手段 14を有している。

初期値設定手段 12は、ユーザから与えられる秘密鍵 Kに基づいて初期値を設定するものであり、秘密鍵 Kをビット列に変換し、初期値として線形フィードバックシフトレジスタ 53のシフトレジスタ内に割り当てるように構成されている。初期値設定手段 12は、本実施例では、 RC4 S y p p e t r i c S t r e a p C i p h e r (RSA Da t a S e c u r i t y I n c. 製）を用いており、増幅乱数ビット列発生手段 66と共用している。

線形フィ一ドパックシフトレジスタ 53は、従来技術で説明したものと同様に、 1ビットの情報を記憶できる n個のシフトレジスタと、排他的論理和演算回路を有している。そして、本実施の形態では、 1周期分のビット数 mが（2 ^ n) — 1個となるビット列、いわゆる Μ系列を出力可能な構成に予め設定されている。第 1 1図は、本実施の形態における線形フィ一ドバックシフトレジスタ 53の初期多項式を例示するものである。初期多項式は、 Μ系列を出力するように予め設定されている特性多項式であり、 1項目の指数部分がシフトレジスタの個数を示し、 2項目以降の指数部分が排他的論理和演算回路に接続された結線位置を示している。例えば、 1段目の線形フィードパックシフトレジスタ（LFSR1) 53は、 129個のシフトレジスタを有し、 80番目、 8番目、 1番目のシフトレジスタがフィードバックタップによって排他的論理和演算回路に接続されていることを示している。尚、本実施の形態では、シフトレジスタの個数 ηは、全て素数個に設定されている。

線形フィ一ドバックシフトレジスタ再構成手段 14は、線形フィ一ドバックシフトレジスタ 53の構成を秘密鍵 Κによって動的に変更して再構成するものである。具体的には、出力系列が Μ系列のビット列を s個ごとにサンプルした新ビット列は、 Μ系列の 1周期分のビット数 m (= (2 n) — 1) と導出値 sとが互いに素であるとき、すなわち、 1以外の共通の約数を持たないときは、他の構成を有する線形フィ一ドバックシフトレジスタの M系列になり、また、パーレイキヤンプマッセイアルゴリズムによって、少なくとも 2周期分以上のビット数を有するビット列から、そのビット列を出力可能な等価で最小の線形フィードバックシフトレジスタの特性多項式を求めることができることを利用して、線形フィードパックシフトレジスタ 5 3の再構成を行う。

線形フィ一ドバックシフトレジスタ再構成手段 1 4は、初期値設定手段 1 2によって与えられた初期値から導出値 sを算出し、導出値 sと線形フィードバックシフトレジスタ 5 3の 1周期分のビット数 m (= ( 2 ^ η ) 一 1 ) を 2倍した値 2 mとを乗算し、線形フィードバックシフトレジスタ 5 3から出力させるビット列のビット数 2 m sを算出する。

そして、初期値をもとに線形フィ一ドバックシフトレジスタ 5 3から 2 m s個のビット列を出力させ、その 2 m s個のビット列から導出値 sの間隔ごとにビット列を取り出して新ビット列を生成し、その新ビット列を用いてバーレイキャンプマッセイアルゴリズムにより線形フィードバックシフトレジスタ 5 3の構成を変更する。

尚、線形フイードバックシフトレジスタ 5 3から出力させるビット列のビット数は、新ビット列のビット数が 2 m個以上であれば、等価な最小の線形フィードバックシフトレジスタを求めることができるので、 2 m s個以上であればよい。バーレイキャンプマッセイアルゴリズムとは、線形フィ一ドバックシフトレジスタ 5 3のシフトレジスタの個数 n (線形複雑度）の 2倍以上のビット数を有するビット列を入手することで、そのビット列を出力可能な等価な最小の線形フィ一ドバックシフトレジスタを得ることができるというアルゴリズムである。バーレイキャンプマッセイアルゴリズムについては、例えば、文献 1 「喑号理論入門 (第 2版）」、共立出版社、岡本栄司著、 2 0 0 2年 4月 1 0日発行、に詳細に説明されている。

第 1 2図は、線形フィ一ドバックシフトレジスタ 5 3の再構成処理を説明するフローチャートである。まず最初に、初期値設定手段 1 2によって初期値が設定される（ステップ S 4 1 ) 。初期値は、利用者から与えられる L kビットの秘密鍵 Kに基づいて設定される。初期値設定手段 1 2において秘密鍵 Kから初期値が設定されると、その初期値は、線形フィードパックシフトレジスタ 5 3のシフトレジスタ内にセットされる。

次に、所定の演算処理により初期値から線形フィードパックシフトレジスタ 5 3の 1周期分のビット数 mと互いに素である導出値 sを算出する（ステップ S 4 2 ) 。導出値 sは、初期値に対して、例えば MD 5 (Message Digest 5) などのハッシュ関数を施してハッシュ値を求め、そのハッシュ値に最も近似した素数が採用される。導出値 sは、初期値から求めることができ、かつビット数 mと互いに素であればよく、上記の算出方法によって求められるものに限定されない。但

。し、秘匿性を維持するために、上記所定の演算処理は、一方向性を満足しうる演算処理でなければならなレ、。

導出値 sを算出すると、次に、線形フィードバックシフトレジスタ 5 3から出力させるビット列のビット数 2 m sを算出する（ステップ S 4 3 ) 。線形フィードバックシフトレジスタ 5 3から出力させるビット列のビット数 2 m sは、線形フィードバックシフトレジスタ 5 3の 1周期分のビット数 m (= ( 2 ^Λ n ) 一 1 ) を 2倍した値と、導出値 sとを乗算することによって求められる。

そして次に、線形フィードバックシフトレジスタ 5 3から初期値をもとに 2 m s個のビット数を有するビット列を出力させ（ステップ S 4 4 ) 、そのビット列から新ビット列を生成する（ステップ S 4 5 ) 。新ビット列は、 2 m s個のビット列から導出値 sの間隔ごとに取り出したビット列によって構成され、そのビット数は 2 m個となる。

ここで、出力系列が M系列のビット列を s個ごとにサンプルしたビット列は、その M系列の 1周期分のビット数 mと導出値 sとが互いに素であれば、他の構成を有する線形フイードバックシフトレジスタの M系列となることから、この新ビット列も、 M系列となる。

そして、その新ビット列に基づいて線形フィ一ドパックシフトレジスタ 5 3の構成を再構成する（ステップ S 4 6 ) 。線形フィードバックシフトレジスタ 5 3 の再構成は、パーレイキャンプマッセイアルゴリズムを用いて行われる。バーレィキャンプマッセイアルゴリズムによれば、少なくとも 2周期分以上のビット数を有するビット列があれば、かかるビット列を出力可能な等価で最小の線形フィードバックシフトレジスタ 5 3を求めることができるので、 2 m個のビット数を有する新ビット列から新たな線形フィードバックシフトレジスタ 5 3の特性多項式を導出して、再構成を行う。

再構成後の線形フィードパックシフトレジスタ 5 3 ' は、再構成前と同一の次数及び異なる結線の特性多項式を有し、同一の初期値を与えた場合に、再構成前と異なる M系列を出力可能な構成を有する。

線形フィードバックシフトレジスタ再構成手段 1 4による線形フィードバックシフトレジスタ 5 3の再構成が終了すると、再構成された線形フィ一ドバックシフトレジスタ 5 3 ' から初期値をもとに乱数ビット列を発生させる処理が行われる（ステップ S 4 7 ) 。これにより、乱数ビット列出力部 5 0からは再構成前とは異なる M系列の乱数ビット列が出力される。

尚、上記のステップ S 4 6で、新ビット列に基づいて線形フィードバックシフトレジスタ 5 3の構成を再構成する代わりに、新ビット列を出力可能な構成を有する第 2の線形フィードバックシフトレジスタを生成し、ステップ S 4 7で、その第 2の線形フィ一ドバックシフトレジスタによつて初期値をもとに乱数ビット列を発生させてもよい。これによれば、線形フィードバックシフトレジスタ 5 3 を 2つに分けることができ、より秘匿性の向上を図ることができる。

上記の選択用乱数ビット列出力手段 5 1は、線形フィードバックシフトレジスタ 5 3の構成を初期値に基づいて容易かつ動的に変更することができ、変更後も M系列を出力させることができる。したがって、攻撃者は、再構成前の線形フィードバックシフトレジスタ 5 3の構成を取得することができない。これにより、従来、線形フィ一ドバックシフトレジスタ 5 3の構成が既知であることを前提に成り立つていた既存の暗号解読法は、成立しなくなる。したがって、高い暗号強度を得ることができ、情報の秘匿性を保つことができる。

次に、上記の選択用乱数ビット列出力手段 5 1を備えた疑似乱数発生器 1による疑似乱教発生方法について説明する。第 1 0図は、本実施例における疑似乱数発生方法を説明するフローチャートである。

まず最初に、乱数ビット列出力部 5 0は、ユーザから 1 2 8ビット（L k = 1 2 8 ) を有する任意の秘密鍵 Kの入力を受け取ると、その秘密鍵 Kに基づいて再構成前の線形フィードバックシフトレジスタ 5 3の初期値を設定する（ステップ S 2 1 )。

そして、その初期値に基づいて線形フィ一ドパックシフトレジスタ 5 3を再構成し（ステップ S 2 2 ) 、再構成後の線形フィードパックシフトレジスタ 5 3 ' に初期値を設定する（ステップ S 2 3 ) 。この初期値の設定を、'全ての乱数ビット列出力手段 1 1 i〜l 1 ₈について行う。

次に、乱数ビット列増幅部 6 0は、乱数テーブル部 6 1の初期設定を行う（ステツプ S 2 4 ) 。ここでは、まず、増幅乱数ビット列発生手段 6 6に秘密鍵 Kを与え、高速で乱数ビット列を発生させる処理が行われるが、本実施例では、上述のように、増幅乱数ビット列発^手段 6 6と選択用乱数ビット列出力手段 5 1の初期値設定手段 1 2とを共用しているので、別途出力することはせずに、線形フイードバックシフトレジスタ 5 3の初期値として出力した乱数ット列をそのまま用いる。

乱数テーブル初期設定手段 6 5は、その乱数ビット列を 1 6ビット（N o = 1 6 ) 'ごとに分割し、増幅乱数ビット列として各乱数テープル 6 2 〜 6 2 ₆の全ての乱数ビット列格納部 R oに順次格納する。

以上の初期値設定段階が終了すると（ステップ S 2 1〜S 2 4 ) 、待機状態となる。そして、平文の暗号化装置（従来技術を参照）への入力をトリガとして、疑似乱数を発生させる処理（ステップ S 2 5〜S 2 7 ) に移行する。

ここでは、各選択用乱数ビット列出力手段 5 1 〜 1 ₈ごとにそれぞれ選択用乱数ビット列を出力させ、乱数ビット列増幅部 6 0のバッファ内にそれぞれ記憶させる処理が行われる。具体的には、各選択用乱数ビット列出力手段 5 1ェ〜5 1 ₈から 8ビットの選択用乱数ビット列がそれぞれ出力され（ステップ S 2 7 ) 、その数が各選択用乱数ビット列出力手段 1に対して 2個分 ( β = 2 ) であり（ステップ S 2 6で Y e s ) 、各選択用乱数ビット列出力手段 5 1 〜 5 1 ₈にそれぞれ対応する分である場合（ステップ S 2 5で Y e s ) には、必要数の選択乱数ビット列が得られたとして次の乱数ビット列増幅段階に移行する。したがって、ここまでの処理により、バッファ内には 8ビットを有する 1 6個の選択用乱数ビット列が記憶される。次に、秘密鍵 KOに基づき入れ替え用乱数発生手段 68により 16個の入れ替え用乱数を発生させ（ステップ S 28) 、乱数テーブルの順番入れ替え処理が行われる（ステップ S 29) 。ここでは、 16個の乱数が順番入れ替え用のテープル番号として、乱数テーブル 62 i〜62₁₆に付与される。したがって、 1番〜 16番までのテーブル番号が順不同で乱数テーブル 62 i〜62 i ₆に付与される。そして、その付与されたテーブル番号をもとに各乱数テーブル 62i〜62₁₆の順番の入れ替えを行う。ここでは、選択用乱数ビット列出力手段 51 〜 1 _nに対してテーブル番号が 1番〜 16番に順番に並ぶように降順に入れ替える処理が行われる。これにより、乱数テーブル部 61内の増幅乱数ビット列は、その順番が乱数テープノレ単位でランダムに入れ替えられる。

そして次に、各乱数テーブル 6 Si S 2₁₆内から該当する増幅乱数ビット列を選択する処理が行われる（ステップ S 30〜S 32) 。例えば、選択用乱数ビ Vト列 11 から出力されバッファに記憶された 1番目の選択用乱数ビット列を引数として乱数テーブル 62 が参照される（ステップ S 32) 。そして、その引数と等しい値を有するインデックス番号を選択し、そのインデックス番号に対応する乱数ビット列格納部 R oに格納された増幅乱数ビット列を選択する。

例えば、選択用乱数ビット列出力手段 51 から出力され乱数テーブル 62iに対応するものとしてバッファに記憶された選択用乱数ビット列が「000000 11」である場合、これを 8桁の 2進数とみなし、 10進数に変換して引数「3」を得る。この引数「3」を用いて乱数テーブル 62 を参照し、インデックス部 R 0のインデックス番号が「3」の乱数ビット列格納部 Roに格納されている増幅乱数ビット列「0101 10101101 1101 10」を選択する。

そして、乱数テーブル 62 iと乱数テーブル 62₂からそれぞれ増幅乱数ビット列を選択すると（ステップ S 31で Ye s) 、これら 2つの増幅乱数ビット列の排他的論理和演算処理を行い（ステップ S 33) 、 16ビットを有する 1個の新たな増幅乱数ビット列を生成する。

そして、同様の処理を各乱数テーブル 62₃〜62₁₆について行い（ステップ S 30で Y e s ) 、合計で 8個の新たな増幅乱数ビット列を生成すると、非線形変換部 80に出力して、非線形変換段階に移行する。非線形変換部 8 0では、乱数ビット列増幅部 6 0よりこれらの N oビットを有する 8個の増幅乱数ビット列を入力すると、非線形関数 f ( x ) により非線形変換し（ステップ S 3 4 ) 、 1 6ビットを有する 1個の乱数ビット列を得る。そして、上記ステップ S 2 5〜ステップ S 3 4の処理を繰り返し実行して必要数の疑似乱数を得る。

本実施例については、処理速度の高速化及ぴ乱数性が適切に確保されているかについて実験を行っており、その結果、従来と比較して 1 7 0倍も処理速度を向上でき、同時に適切な乱数性も確保されているとの結果を得た。以下に、その実験内容及び実験結果について説明する。

実験に使用したコンピュータは、 C P U： P e n t i u rn (登録商標） 4 ( 1 . 7 GH z ) 、メモリ： 2 5 6 MBである。また、各設定値は、上述の実施例と同 —のものとする。そして、入れ替え用乱数ビット列発生手段 2 8に用いられる秘密鍵 K 0は、 1 6進数表記で以下のものに固定した状態として実験を行った。

K0 = (fle2d3c4b5a69788796a5b4c3d2elfl0)₁₆

第 1 3図は、スループットの計測結果を示す表である。表中の従来型とは、 8 個の線形フィ一ドパックシフトレジスタ 5 3と、非線形変換部 8 0を用いて構成した、第 1 7図に示すような従来の非線形コンパイナ型疑似乱数発生器を示す。本実験結果によれば、第 1 3図に示すように、疑似乱数発生器 1の平均スループットが、線形フィードパックシフトレジスタ 5 3そのものの平均スループットから、非線形変換部 8 0の平均スループットに向上しており、更に、従来型の約 1 7 0倍 (116.4Mbps/sec÷0.680Mbps/sec=171.176...)になっていることがわかる。したがって、このスループット計測結果から、乱数テーブル 6 2を用いたことが疑似乱数発生器 1の高速化に有効であることがわかる。

本実施例における疑似乱数発生器 1のスループットは、次式（1 ) で表される。【数式】

T 1は、 1つの線形フィ一ドパクシフトレジスタ 5 3の平均スループットを示し、 T 2は、 R C 4 (増幅乱数ビット列発生手段 6 6 ) の平均スループットを示す。また、 T 3は、乱数テーブル入れ替え手段 6 7による乱数テーブル入れ替え処理の平均スループットを示し、 Τ 4は、 1つの乱数テーブル 6 2の平均スループットを示す。そして、 Τ 5は、非線形変換部 8 0の平均スループットを示す。上記式（1 ) 力ら乱数テーブル 6 2の計算量が無視できると仮定すると、 N oビット ZN iビットを小さくするほど非線形変換部 8 0のスループットに近づけることができ、高速化を図ることができる。

疑似乱数の暗号強度の検証については、 N I S Tという疑似乱数検定ツールを用いて検定を行った。 N 1 S Tとは、物理乱数及び疑似乱数生成器からの出力データについて乱数性のテストを行うツールであり、 1 6項目からのテストからなる統計のパッケージである。 N I S Tについては、 http：〃 crs nist.gov/rug.に詳しく説明されている。第 1 4図は、本検定に使用した N I S Tのパラメータを示す表である。各種テストを行うことによって出力された p-valueが 0 <p-value< 1を満たす場合に、そのテスト項目をパスしたとみなしている。本実施例による疑似乱数発生器 1の疑似乱数を検定したところ、全てのテスト項目をパスしていることが確認できた。第 1 5図は、今回の実験による N I S Tの検定結果を示す図である。

尚、上述の実施例に示した各設定値は、暗号の安全性を確認するために設定したものであり、これに限定されるものではない。また、本発明は、上述の実施の形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々の変更、組み合わせが可能である。

[発明の効果]

以上説明したように、本発明に係る疑似乱数発生方法によれば、出力系列が M 系列のビット列を s個ごとにサンプルしたビット歹【Jは、その M系列の 1周期分のビット数 m (= ( 2 ^ n ) 一 1 ) と導出値 sが互いに素であるときには、他の構成を有する線形フィードバックシフトレジスタの M系列を構成し、また、バーレィキャンプマッセイアルゴリズムによって、少なくとも 2周期分以上のビット数を有するビット列から線形フィ一ドバックシフトレジスタを求めることができることを利用して、線形フィードバックシフトレジスタの構成を初期値に基づいて動的に変更することができ、変更後の線形フィードバックシフトレジスタから M 系列のビット列を出力させることができる。

したがって、解読者は、疑似乱数発生器から出力される疑似乱数に基づいて再構成前の線形フィードバックシフトレジスタの構成を得ることができず、初期値や秘密鍵も解読することができない。この結果、高い暗号強度を得ることができ、情報の秘匿性を保つことができる。

また、他の発明によれば、秘密鍵に基づいて所定のビット数を有する選択用乱数ビット列を出力させ、その選択用乱数ビット列を用いて乱数テーブルを参照することにより、乱数テーブル内の複数の増幅乱数ビット列の中から該当する增幅乱数ビット列を選択し、非線形変換手段によって非線形変換して疑似乱数として出力させるので、小さなビット列を有する選択用乱数ビット列に基づいて、より大きなビット数を有する増幅乱数ビット列を得ることができる。

[図面の簡単な説明]

[第 1図]

本実施の形態における疑似乱数発生器を説明する図である。

[第 2図]

本実施の形態における線形フィードバックシフトレジスタの初期多項式を例示するものである。

[第 3図]

本実施の形態における疑似乱数発生器の動作を説明するフローチャートである。

[第 4図]

疑似乱数発生器の機能を概略的に示す説明図である。

[第 5図]

乱数テ一ブル部の説明図である。

[第 6図] 乱数ビット列増幅部内に構成される各構成要素を説明する概念図である。

[第 7図]

本実施の形態における疑似乱数発生方法を説明するフローチャートである。

[第 8図]

本実施例における疑似乱数発生器を概略的に示す概念図である。

[第 9図]

乱数テ一ブル部を概略的に示す概念図である。

[第 1 0'図]

本実施例における疑似乱数榮生方法を説明するフローチャートである。

[第 1 1図]

[第 1 2図]

線形フィ一ドバックシフトレジスタの再構成処理を説明するフ口一チヤ一トである。

[第 1 3図]

スループットの計測結果を示す表である。

[第 1 4図]

本検定に使用した N I S Tのパラメータを示す表である。

[第 1 5図]

N I S Tの検定結果を示す図である。

[第 1 6図]

従来の逐次暗号方式を説明する図である。

[第 1 7図]

暗号化装置の疑似乱数発生器を説明する図である。

[第 1 8図]

一般的な線形フィードバックシフトレジスタの構成を簡単に説明する図である。

[符号の説明]

1 疑似乱数発生器疑似乱数生成部

線形フィ一ドパックシフトレジスタ

線形フィ一ドバックシフトレジスタ再構成手段非線形変換部

乱数ビット列出力部

選択用乱数ビット列出力手段

初期値設定手段

線形フィ一ドパックシフトレジスタ

線形フィ一ドバックシフトレジスタ再構成手段乱数ビット列増幅部

乱数テーブル部

〜6 2 _{α β} 乱数テーブル

排他的論理和演算処理手段

増幅乱数ビット列選択手段 .

乱数テ一ブル初期設定手段

増幅乱数ビット列発生手段

乱数テ一ブル順番入れ替え手段

入れ替え用乱数発生手段

非線形変換部

Claims

請求の範囲

1 . n個のシフトレジスタを有し、 1周期分のビット数が（2 ^Λ η ) _ 1個となるビット列を出力可能な線形フィードバックシフトレジスタの初期値を設定する第 1ステップと、

所定の演算処理により前記初期値から前記線形フィ一ドバックシフトレジスタの 1周期分のビット数と互いに素である導出値を求める第 2ステップと、該導出値と前記線形フィードバックシフトレジスタの 1周期分のビット数を 2 倍以上した値とを乗算して、前記第 1線形フィ一ドバックシフトレジスタにより出力させるビット列のビット数を算出する第 3ステップと、

前記算出したビット数分のビット列を前記線形フィ一ドバックシフトレジスタ力ら前記初期値をもとに出力させる第 4ステップと、

該出力したビット列から前記導出値の間隔ごとにビット列を取り出して新ビット列を生成する第 5ステップと、

該新ビット列を出力可能な構成に前記線形フィードバックシフトレジスタの構成を再構成する第 6ステップと、

該再構成した後の線形フィ一ドパックシフトレジスタから前記初期値をもとに疑似乱数を発生させる第 7ステップと、

を有することを特徴とする疑似乱数発生方法。

2 . 前記初期値に対してハッシュ関数を施してハッシュ値を求め、該ハツシュ値に最も近似した素数を導出値として採用することを特徴とする請求項 1に記載の疑似乱数発生方法。

3 . 前記線形フィ一ドパックシフトレジスタの再構成は、パーレイキャンプマッセイアルゴリズムを用いて行われることを特徴とする請求項 1または 2に記載の疑似乱数発生方法。

4 · 前記第 7ステツプで発生させた疑似乱数を非線形変換する第 8ステップを有することを特徴とする請求項 1〜 3のいずれかに記載の疑似乱数発生方法。

5 . n個のシフトレジスタを有し、 1周期分のビット数が（2 ^Λ η ) — 1個となるビット列を出力可能な線形フィードバックシフトレジスタと、

秘密鍵に基づき前記線形フィ一ドバックシフトレジスタの初期値を設定する初期値設定手段と、

所定の演算処理により前記初期値から前記線形フィ一ドバックシフトレジスタの 1周期分のビット数と互いに素である導出値を求める導出値算出手段と、前記線形フィードバックシフトレジスタの 1周期分のビット数を 2倍以上した値と前記導出値とを乗算して、前記第 1線形フィードバックシフトレジスタにより出力させるビット列のビット数を算出するビット数算出手段と、

前記算出したビット数分のビット列を前記線形フィ一ドバックシフトレジスタから前記初期値をもとに出力させるビット列出力手段と、

該出力したビット列から前記導出値の間隔ごとにビット列を取り出して新ビット列を生成する新ビット列生成手段と、

該新ビット列を出力可能な構成に前記線形フィードバックシフトレジスタの構成を再構成する線形フィ一ドバックシフトレジスタ再構成手段と、

該再構成後の線形フィ一ドバックシフトレジスタから前記初期値をもとに疑似乱数を発生させる疑似乱数努生手段と、を有することを特徴とする疑似乱数発生器。

6 . 前記線形フィ一ドバックシフトレジスタ再構成手段の代わりに、新ビット列を出力可能な構成を有する第 2の線形フィードパックシフトレジスタを生成する線形フィードバックシフトレジスタ生成手段を設け、 .

前記疑似乱数発生手段は、前記第 2の線形フィ一ドバックシフトレジスタによつて初期値をもとに疑似乱数を発生させることを特徴とする請求項 5に記載の疑似乱数発生器。

7 . 秘密鍵に基づいて所定ビット数を有する選択用乱数ビット列を出力する選択用乱数ビット列出力手段と、

前記選択用乱数ビット列よりも大きなビット数を有する増幅乱数ビット列を予め複数格納した乱数テーブルと、

前記選択用乱数ビット列出力手段から出力された選択用乱数ビット列を用いて前記乱数テーブルを参照することにより、前記乱数テーブル内の複数の増幅乱数ビット列の中から該当する増幅乱数ビット列を選択可能な増幅乱数ビット列選択手段と、

該増幅乱数ビット列選択手段により選択された増幅乱数ビット列を非線形関数によって非線形変換し疑似乱数として出力する非線形変換手段と、

を有することを特徴とする疑似乱数発生器。

8 . 前記秘密鍵が与えられることにより前記秘密鍵に基づいて前記増幅乱数ビット列を発生させ、前記乱数テーブルに格納して、前記乱数テーブルの初期設定を行う乱数テーブル初期設定手段を有することを特徴とする請求項 7に記載の疑似乱数発生器。

9 . 前記選択用乱数ビット列出力手段は、複数設けられ、

前記乱数テーブルは、前記各選択用乱数ビット列出力手段にそれぞれ対応するように設けられ、

前記増幅乱数ビット列選択手段は、前記各選択用乱数ビット列出力手段から各々出力された前記各選択用乱数ビット列を用いて前記各選択用乱数ビット列出力手段ごとに対応する前記乱数テーブルをそれぞれ参照し、前記各乱数テーブル内からそれぞれ該当する増幅乱数ビット列を選択し、

非線形変換手段は、前記各増幅乱数ビット列選択手段によって前記各乱数テーブルから選択された前記各増幅乱数ビット列を用いて非線形関数により非線形変換し疑似乱数として出力することを特徴とする請求項 7または 8に記載の疑似乱数発生器。

1 0 . 前記各選択用乱数ビット列出力手段ごとにそれぞれ複数の乱数テープルを設け、

前記増幅乱数ビット列選択手段により前記各乱数テーブル内から選択された各増幅乱数ビット列を前記選択用乱数ビット列出力手段ごとに排他的論理和演算して非線形変換手段に出力する排他的論理和演算処理手段を有することを特徴とする請求項 9に記載の疑似乱数発生器。

1 1 . 所定のタイミングで前記各乱数テーブル同士の入れ替えを行う乱数テ一ブル入れ替え手段を有することを特徴とする請求項 9または 1 0に記載の疑似乱数発生器。

1 2 . 前記乱数テーブル入れ替え手段は、

前記各乱数テ一プルを参照するために必要な選択用乱数ビット列を前記選択用乱数ビット列出力手段が出力するごとに、前記各乱数テーブル同士の入れ替えを行うことを特徴とする請求項 1 1に記載の疑似乱数発生器。

1 3 . 前記乱数テーブル入れ替え手段は、

前記各乱数テ一ブルの個数と等しレ、個数の乱数テ一ブル入れ替え用乱数を発生させ、

該乱数テ一ブル入れ替え用乱数を前記乱数テ一ブルのテ一ブル番号として各乱数テーブルに付与し、前記テーブル番号をもとに予め設定された規則に従って前記乱数テーブルの順番を入れ替えることを特徴とする請求項 1 1または 1 2に記載の疑似乱数発生器。

1 4 . コンピュータを、

秘密鍵に基づいて所定ビット数を有する選択用乱数ビット列を出力させる選択用乱数ビット列出力手段と、

該増幅乱数ビット列選択手段により選択された増幅乱数ビット列を非線形関数によって非線形変換し疑似乱数として出力する非線形変換手段として機能させるための疑似乱数発生プログラム。

1 5 . 前記秘密鍵が与えられることにより前記秘密鍵に基づいて前記增幅乱数ビット列を発生させ、前記乱数テーブルに格納して、前記乱数テーブルの初期設定を行う乱数テーブル初期設定手段としてコンピュータを機能させることを特徴とする請求項 1 4に記載の疑似乱数発生プログラム。

1 6 . 前記選択用乱数ビット列出力手段は、複数設けられ、

非線形変換手段は、前記各増幅乱数ビット列選択手段によつて前記各乱数テーブルから選択された前記各増幅乱数ビット列を用いて非線形関数により非線形変換し疑似乱数として出力することを特徴とする請求項 1 4または 1 5に記載の疑似乱数発生プログラム。

1 7 . 前記各選択用乱数ビット列出力手段ごとにそれぞれ複数の乱数テープルを設け、

前記増幅乱数ビット列選択手段により前記各乱数テ一ブル内から選択された各増幅乱数ビット列を前記選択用乱数ビット列出力手段ごとに排他的論理和演算して非線形変換手段に出力する排他的論理和演算処理手段としてコンピュータを機能させることを特徴とする請求項 1 6に記載の疑似乱数発生プログラム。

1 8 . 所定のタイミングで前記各乱数テーブル同士の入れ替えを行う乱数テ一プル入れ替え手段としてコンピュータを機能させることを特徴とする請求項 1 6または 1 7に記載の疑似乱数発生プロダラム。

1 9 . 前記乱数テーブル入れ替え手段は、

前記各乱数テ一ブルを参照するために必要な選択用乱数ビット列を前記選択用乱数ビット列出力手段が出力するごとに、前記各乱数テーブル同士の入れ替えを行うことを特徴とする請求項 1 8に記載の疑似乱数発生プログラム。

2 0 . 前記乱数テーブル入れ替え手段は、

前記各乱数テ一ブルの個数と等しい個数の乱数テーブル入れ替え用乱数を発生させ、

該乱数テーブル入れ替え用乱数を前記乱数テーブルのテーブル番号として各乱数テーブルに付与し、前記テーブル番号をもとに予め篛定された規則に従って前記乱数テーブルの順番を入れ替えることを特徴とする請求項 1 8または 1 9に記載の疑似乱数発生プログラム。