WO2004086673A1 - 乱数生成、暗号化および復号のための装置、方法、プログラム、並びに記録媒体 - Google Patents

Abstract

暗号化のための乱数がＣＡコアによって生成される。ＣＡコアは、１次元２状態３近傍セルオートマトンの構成とされる。セルの各セルに対しては、自分自身と両隣のセルに対する合計３個の入力が供給される。各セルは、論理演算を行い、論理演算結果を出力する。各セルには、レジスタが含まれ、各レジスタがクロックに同期して論理演算結果を順次取り込み、保持する。セルの出力が次のタイムステップの演算のために、セルに対してフィードバックされるが、その場合に、出力を左側へシフトさせてセルにフィードバックするローテーションシフト操作がなされる。多ビットの乱数として出力するために、セルの出力の中の４０ビットが選択される。選択されるセル番号は、等間隔ではなく、選択されるセル番号の間隔が徐々に大きくなるようにされる。

Description

明 細 書

乱数生成、 暗号化および復号のための装置、 方法、 プログラム、 並 びに記録媒体 技術分野

この発明は、 例えばス ト リーム暗号化に適用される乱数生成、 暗号 化および復号のための装置、 方法、 プログラム、 並びに記録媒体に関 する。

背景技術

近年のィンターネッ トゃモバイルコミュニケーショ ンの急速な普及 に伴い、 ディジタル情報の保護の重要性が増大している。 暗号技術と して、 暗号化と復号に同じ秘密鍵を使用する共通鍵方式が知られてお 、 共通鍵方式の中に、 プロック暗号とストリーム暗号とがある。 .罕 1図 Aは、 ブロック暗号を説明するものである。 平文の情報ビッ ト列を所定の長さ （ブロック） に区切り、 ブロック毎に暗号化器 1に よって暗号化する。 暗号化文もブロック毎に区切られている。

一方、 第 1図 Bに示すように、 スト リ一ム暗号の場合では、 暗号化 器 （乱数生成器） 2によって発生した乱数をビッ ト毎に情報ビッ ト列 に対して作用させて暗号化を行う。

スト リ一ム暗号においては、 平文のビッ ト系列を m 1 , m 2 , m 3 ， · · · とし、 乱数のビッ ト系列を r 1 , r 2 , r 3 , . · . とし、 暗号文のビッ ト系列を c 1 , c 2 , c 3 , · · · とすると、 暗号化処 理は、 c i = m i @ r i (©は、 mod. 2の演算、 i = l , 2 , 3， · • - ) となり、 復号処理は、 m i = c i © r i ( +は、 mod. 2の演算 、 i = 1， 2， 3， · · · ） となる。

送信側と受信側とで共通の乱数を生成することが必要とされる。 乱 数列または乱数生成のパターンが知られてしまうと、 容易に解読され てしまう。 したがって、 暗号用として安全な乱数は、 統計的な乱数の 一様性のみならず、 過去の乱数列から将来の乱数列が予測不可能であ ることも必要である。

一般的にスト リ一ム暗号の方がプロック暗号より高速であり、 画像 デ一夕のような大量のデータを暗号化して伝送する場合では、 スト リ ーム暗号の方が適している。 また、 スト リーム暗号の方が回路規模を 小さくできる場合が多い。 このため、 D E S (Data Encryption Stand ard)や A E S (Advanced Encryption Standard)等のブロック暗号が標 準化されているにもかかわらず、 ス ト リーム暗号が使われている。

しかしながら、 現在最も広く使用されているストリーム暗号である RC 4 ((Rivest Cipher) 4 Stream Cipher)は、 weak key の存在、 W E P (Wired Equivalent Privacy protocol)を使うことによる問題点 、 アウ トプッ 卜におけるバイアスの存在など、 その安全性がァカデミ ックな意味で問題視されている。 また、 RC 4は、 ソフトウェア向け にデザインされたものであり、 その暗号化速度には限界がある。 この ことから、 ハードウヱァ向けの安全で高速なスト リ一ム暗号が求めら れていると言える。

一方、 非線形力学系の分野で研究されてきたカオスを用いた暗号化 アルゴリズムが近年盛んに研究されている。 しかしながら、 その多く は、 写像力学系に基づいており、 状態、 時間、 空間が全て離散な力学 系であるセルォ一トマトン （以下、 適宜 C Aと表記する） を用いた暗 号化アルゴリズムは、 広く知られていない。 CAは、 その構成上ハー ドウヱァの埋め込みに適しており、 高速なスト リーム暗号の実現が期 待される。 Stephen Wolframは、 " Adv. Appl. Math. Vol.7 (1986) 123 - 169"、 "Lecture Notes in Computer Science Vol.218 (1986) 429-43 2"等において、 1次元 2状態 3近傍セルォ一トマトンのルール 3 0を 用いたス ト リーム暗号を提案している。

第 2図は、 C Aを用いた暗号化アルゴリズムによる構成を示す。 入 力情報データ （平文） が 1 ビッ 卜のス ト リームとして排他的論理和回 路 （以下、 適宜 E X— O Rゲートと称する） 3に入力される。 C Aコ ァ 4 (乱数生成器） からの 1 ビッ 卜のスト リームであるキ一スト リー ムが E X— 0 Rゲート 3の他方の入力とされ、 E X—〇 Rゲート 3か ら暗号文が出力される。 C Aコア 4に対しては、 初期値としてのシー クレツ トキ一とクロックとが入力され、 乱数が生成される。

1次元 2状態 3近傍セルオートマトンとは、 1次元格子上にセルが 配置され、 各セルは、 状態値として 0か 1 を持つものとし、 次の時刻

(以下、 タイムステップと適宜称する） での各セルの状態値は、 自分 自身の状態値と両隣りの状態値だけに依存する関数 （ルール） で与え られ、 各セルの状態値は、 この関数によって同期的に更新される。 す なわち、 下記の式 （ 1 ) で表される。

ここで、 iおよび tが付加された Sは、 タイムステップ tでの i番 目のセルの状態を表す。

Stephen Wo I f ramは、 ランダム列を生み出すルールを 1次元 2状態 3近傍 C Aの範囲で探索し、 ルール 3 0が最も良い擬似乱数生成器で あることを示した。 このルール 3 0の状態更新ルールは、 下記の式 （ 2 ) で表される。 ； ： ^㊉^㊉ i+，l㊉^ 'ί.+Ι ( 2 ) で、 @は、 mod. 2の加算を表す ₍ 式 （ 2 ) をブ一ル代数で表すと、 以下の式 （ 3 ) で示すものとなる

= S XOR {S OR S_M' ) (3) 第 3図は、 縦軸に時間 （ t ) をと.り、 横軸にセル番号 （ i ) をとつ た図を示す。 第 3図では、 影を付した i番目例えば第 6番目のセル番 号の状態がキーストリームとして使用されることを示している。

Stephen Wolframは、 C Aルール 3 0が生み出すビッ ト列を 7種類 の統計テストにかけてそのランダム性を調べたが、 ビッ ト列のランダ ム性を何個か調べただけで、 擬似乱数生成器としての性能評価として は不十分なものであった。

暗号用の乱数としての評価の試験とし、 一例として、 N I S T(Nat ional Institute of Standards and Technology:米国標準技術研究所 ) が公開している RNG Testingがある （N I S T Special Publica tion (SP) 800-22 A Statistical Test Suite for Random and Pseudo random Number Generators for Cryptographic Appl ications)。 第 4 図は、 N I S Tの 1 6種類のテスト項目を示す。

N I S Tのテストでは、 nビッ トの列に対して p- valueを求める。 p -valueは、 理論上の完全なランダム列生成器がそのビッ ト列よりラン ダム性が低いビッ ト列を出す確率である。 ここでの 「ランダム性が低 い」 とは、 テスト している特性量が平均値より離れていることを意味 する。

求められた p-valueについて、 p- value≥ αの場合を 「サクセス」 と する。 これを mサンプルに対して行い、 そのサクセス率と p- valueの 一様性を評価する。 P- valueがー様で、 かつサクセス率が 1一 αを中 心とする特定の範囲に収まっている場合にテス トを 「パスする」 と言 う。 初期値 （C Aコアに与えられるシークレツ トキ一） に対して多少 テス トの結果が異なるので、 各テス 卜に対して数通りの初期値でテス 卜する。 以下の例では、 η= 1 0⁶、 α = 0 · 0 1、 m= 1 0 0 0を 用いた。 各テス トで用いたパラメータを第 5図に示す。

第 6図は、 R C 4 ( 2 5 6 ビッ トキー） のテス ト結果を示し、 第 7 図は、 C Aルール 3 0のテス ト結果を示す。 各図は、 初期値を異なら せて得られた二つのテス ト結果を示している。 テス ト結果を示すグラ フにおいて、 横軸は、 テス 卜の種類、 縦軸はサクセス率を示し、 上下 の線で囲まれた領域がパス領域である。 また、 CAの場合、 セル番号 を固定して時間方向にビッ ト列をサンプリ ングした。 セル数は、 例え ば 1 0 0 0である。

第 6図から分かるように、 R C 4では、 全てのテス トで p-valueの 一様性は、 パスするが、 7番目のテス ト項目（Non- overlapping Tempi ate Matching Testの一つの templateに対してだけ常にサクセス率が 範囲からはずれている問題がある。 7番目のテス トでは、 1 4 8種類 の temp lateを用いてパターンマッチングし、 各種類に対するサクセス 率が計算される。 また、 初期値によっては、 1 0番目のテス ト項目（L empel Ziv Compression)もはずれている。 このように、 RC 4は、 い くつかのテス トをパスしないという問題がある。

第 7図から分かるように、 C Aルール 3 0では、 初期値によっては 、 3番目のテス ト項目（Runs Test)、 1 5番目のテス ト項目（Random E xcursions) 1 り番目のテス ト項目 (Random Excursions Variant)カ パスしないという問題がある。 それより も深刻なことは、 1 0番目の テス ト項目（Lempel Ziv Compression)の p- valueの一様性が破れてい ることである。 これは、 ビッ ト列の特徴に偏りがあることを意味して おり、 そこからランダム列との区別ができる可能性があり問題である また、 1 タイムステップで 1 ビッ 卜の情報しか使用することができ ないという制約があるので、 セル数 （ゲート数） が増えても暗号化の 処理速度を高速とできないという問題があった。

したがって、 この発明の目的は、 C Aを用いた場合に、 全てのテス トをパスすることができ、 ランダム性に優れ、 また、 暗号化の処理速 度を向上させることが可能な乱数生成、 暗号化および復号のための装 置、 方法、 プログラム、 並びに記録媒体を提供することにある。 発明の開示

請求の範囲 1の発明は、 1次元的に複数のセルが配置され、 各セル が状態値として 0か 1 を持ち、 次の時刻での各セルの状態値は自分自 身の状態値と近傍のセルの状態値だけに依存するルールで与えられ、 各セルの状態値はこのルールによつて更新される 1次元 1状態 K近傍 セルオートマトンによる乱数生成装置において、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 複数 のセルの次の時刻の状態値を更新するために、 現在の時刻の複数のセ ルの出力を入力にフィ一ドバックする経路と、

経路に挿入され、 複数のセルの出力を所定のセル数シフ卜するシフ ト処理手段とを備えた乱数生成装置である。

請求の範囲 6の発明は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時刻での各セルの状態値は自分自身の状態値と近傍のセ ルの状態値だけに依存するルールで与えられ、 各セルの状態値はこの ルールによって更新される 1次元 1状態 K近傍セルォ一トマトンによ る乱数生成方法において、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 複数 のセルの次の時刻の状態値を更新するために、 現在の時刻の複数のセ ルの出力を入力にフィ一ドバックする時に、 複数のセルの出力を所定 のセル数シフ卜する乱数生成方法である。

請求の範囲 1 0の発明は、 コンピュータに対して、 複数のセルの各 セルが状態値として 0か 1 を持ち、 次の時刻での各セルの状態値は自 分自身の状態値と近傍のセルの状態値だけに依存するルールで与えら れ、 各セルの状態値はこのルールによって更新される 1次元 2状態 K 近傍セルオートマトンによる乱数生成方法を実行させるためのプログ ラムにおいて、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 複数 のセルの次の時刻の状態値を更新するために、 現在の時刻の複数のセ ルの出力を入力にフィ一ドバックする時に、 複数のセルの出力を所定 のセル数シフ卜する乱数生成方法を実行させるためのプログラムであ る。

請求の範囲 1 1の発明は、 乱数生成方法を実行させるためのプログ ラムを記録したコンピュータで読み取り可能な記録媒体である。

請求の範囲 1 2の発明は、 平文と乱数との排他的論理和によって暗 号文を生成する暗号化装置において、

乱数は、 1次元的に複数のセルが配置され、 各セルが状態値として 0か 1 を持ち、 次の時刻での各セルの状態値は自分自身の状態値と近 傍のセルの状態値だけに依存するルールで与えられ、 各セルの状態値 はこのルールによって更新される 1次元 1状態 K近傍セルオートマト ンによる乱数生成装置によって生成され、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 複数 のセルの次の時刻の状態値を更新するために、 現在の時刻の複数のセ ルの出力を入力にフィードバックする経路と、 経路に揷入され、 複数のセルの出力を所定のセル数シフ卜するシフ 卜処理手段とを備えたことを特徴とする暗号化装置である。

請求の範囲 1 7の発明は、 平文と乱数との排他的論理和によって暗 号文を生成する暗号化方法において、

乱数は、 複数のセルの各セルが状態値として 0か 1を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによつて 更新される 1次元 2状態 K近傍セルォ一トマトンによる乱数生成方法 によつて生成され、

乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を出力 すると共に、 複数のセルの次の時刻の状態値を更新するために、 現在 の時刻の複数のセルの出力を入力にフィ一ドバックする時に、 複数の セルの出力を所定のセル数シフ 卜することを特徴とする暗号化方法で ある。

請求の範囲 2 1の発明は、 コンピュータに対して、 平文と乱数との 排他的論理和によって暗号文を生成する暗号化方法を実行させるため のプログラムにおいて、

乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによって 更新される 1次元 1状態 K近傍セルォ一トマトンによる乱数生成方法 によつて生成され、

乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を出力 すると共に、 複数のセルの次の時刻の状態値を更新するために、 現在 の時刻の複数のセルの出力を入力にフィードバックする時に、 複数の セルの出力を所定のセル数シフ 卜することを特徴とする暗号化方法を 実行させるためのプログラムである。

請求の範囲 2 2の発明は、 暗号化方法を実行させるためのプログラ ムを記録したコンピュータで読み取り可能な記録媒体である。

請求の範囲 2 3の発明は、 暗号文と乱数との排他的論理和によって 暗号文を復号する復号装置において、

乱数は、 1次元的に複数のセルが配置され、 各セルが状態値として 0か 1 を持ち、 次の時刻での各セルの状態値は自分自身の状態値と近 傍のセルの状態値だけに依存するルールで与えられ、 各セルの状態値 はこのルールによって更新される 1次元 2状態 K近傍セルオートマト ンによる乱数生成装置によって生成され、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 複数 のセルの次の時刻の状態値を更新するために、 現在の時刻の複数のセ ルの出力を入力にフィ一ドバックする経路と、

経路に挿入され、 複数のセルの出力を所定のセル数シフ卜するシフ ト処理手段とを備えたことを特徴とする復号装置である。

請求の範囲 2 6の発明は、 暗号文と乱数との排他的論理和によって 暗号文を復号する復号方法において、

乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによって 更新される 1次元 2状態 K近傍セルオートマトンによる乱数生成方法 によって生成され、

乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を出力 すると共に、 複数のセルの次の時刻の状態値を更新するために、 現在 の時刻の複数のセルの出力を入力にフィードバックする時に、 複数の セルの出力を所定のセル数シフ卜することを特徴とする復号方法であ る。

請求の範囲 2 8の発明は、 コンピュータに対して、 暗号文と乱数と の排他的論理和によって暗号文を復号する復号方法を実行させるため のプログラムにおいて、

乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによって 更新される 1次元 1状態 K近傍セルオートマトンによる乱数生成方法 によつて生成され、

乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を出力 すると共に、 複数のセルの次の時刻の状態値を更新するために、 現在 の時刻の複数のセルの出力を入力にフィ一ドバックする時に、 複数の セルの出力を所定のセル数シフ卜することを特徴とする復号方法を実 行させるためのプログラムである。

請求の範囲 2 9の発明は、 復号方法を実行させるためのプログラム を記録したコンピュータで読み取り可能な記録媒体である。 図面の簡単な説明

第 1図は、 従来のブロック暗号およびスト リーム暗号の概略を説明 するための略線図である。

第 2図は、 従来の C Aを用いた暗号化器の構成を示すブロック図で 'ある。

第 3図は、 従来の C Aを用いた暗号化器におけるキースト リ一ムの 説明に用いる略線図である。

第 4図は、 暗号用の乱数としての評価の統計テス トの一例のテス ト 項目を示す略線図である。 第 5図は、 暗号用の乱数としての評価の統計テス卜の一例のパラメ —夕を示す略線図である。

第 6図は、 従来のスト リーム暗号である R C 4の統計テストの結果 の一例および他の例を示す略線図である。

第 7図は、 従来の C Aを用いた暗号の統計テス トの結果の一例およ び他の例を示す略線図である。

第 8図は、 この発明による暗号化器の基本構成および一実施形態を 示すブロック図である。

第 9図は、 この発明による暗号化器の一実施形態を示すブロック図 である。

第 1 0図は、 この発明による暗号化器の一実施形態におけるキース トリームの説明に用いる略線図である。

第 1 1図は、 ローテーションシフ トを行うこの発明の統計テス トの 結果の一例および他の例を示す略線図である。

第 1 2図は、 この発明の一実施形態の統計テス トの結果の一例およ び他の例を示す略線図である。 発明を実施するための最良の形態

第 8図 Aは、 この発明の基本的構成を示す。 入力情報データ （平文 ) が Mビッ 卜の並列データに変換されて E X—〇Rゲート 1 1に入力 される。 C Aコア 1 2からの Mビッ トの並列データのキーストリーム が E X—〇 Rゲート 1 1の他方の入力とされ、 E X— 0 Rゲート 1 1 から暗号文が出力される。 C Aコア 1 2に対しては、 初期値としての シークレッ トキ一のデ タとクロックとが入力され、 4 0 ビッ ト並列 の乱数データ （キーストリーム） が生成される。 図 8 Bは、 一例とし て、 M = 4 0 とした場合の一実施形態を示す。 C Aコア 1 2は、 前述 の 1次元 2状態 3近傍セルォ一トマ卜ンの構成とされ、 式 （ 2 ) また は式 （ 3 ) で示すようなルール 3 0にしたがって状態更新がなされる ものである。

復号器の構成は、 図示しないが、 上述した暗号化器と同様に構成さ れる。 すなわち、 暗号文が E X— 0 Rゲートに供給され、 キース ト リ ームが E X— 0 Rゲートに供給されることによって復号処理がなされ る。 初期値を共通として、 同期をとることによって暗号化と復号とで 、 共通の鍵が使用される。

第 9図は、 一実施形態 （ 3近傍 C A、 セル数 1 0 0 0 ) における C Aコア 1 2の構成の一例を示す。 S I , S 2 , S 3 , · · · · ， S 999, S 1000は、 それぞれ第 1番目から第 1 0 0 0番目のセルを示す。 各セ ルに対しては、 自分自身と雨隣のセルに対する合計 3個の入力が供給 される。 第 1番目のセル S 1に対する左隣のセルに対する入力として 、 セル S 1000に対する入力が使用され、 第 1000番目のセル S 1000に対 する右隣のセルに対する入力として、 セル S 1に対する入力が使用さ れる。 各セルは、 前述した式 （ 2 ) または式 （ 3 ) で表される論理演 算を行い、 論理演算結果 0 1〜O 1000を出力する。

セル S 1〜 S 1000には、 それぞれレジスタが含まれ、 各レジス夕が クロック （図示しない） に同期して論理演算結果を順次取り込み、 保 持する構成とされている。 あるタイムステップ tにおける論理演算結 果がセル S 1〜 S 1000から出力されると、 各セルにおいて演算された 次のタイムステップ t + 1の論理演算結果がレジスタに取り込まれる ことになる。

セル S 1〜S 1000の出力 0 1〜0 1000が次のタイムステップの演算の ために、 セル S 1〜S 1000に対してフィードバックされるが、 その場 合に、 ローテーショ ンシフ ト部 1 3によってローテーショ ンシフ ト操 作がなされる。 ローテーショ ンシフ ト操作は、 出力〇1〜〇1000を全 体的に図に向かって見て左側ヘシフ トさせてセルにフィ一ドバッ クす るものである。 一例として、 1 1セルのシフ トがなされる。 この場合 では、 最も左端のセル S1に対して、 出力 012が入力され、 左から 1 番目のセル S2に対して、 出力 013が入力される。 以下、 1 1セル分 のシフ トがなされてフィードバッ クされる。 また、 セル S 1の左側に はみ出した出力 01〜〇11は、 右側の 1 1個のセル S 990〜S 1000に対 して入力される。

なお、 ローテ一シヨ ンシフ トの方向は、 図面に向かって見て左側と したが、 反対の右側へローテーショ ンシフ ト しても良い。 また、 口一 テーシヨ ンシフ ト量は、 設定された後に変える必要がないので、 口一 テ一シヨ ンシフ ト部 1 3は、 結線の仕方によって構成できる。 但し、 ローテーショ ンシフ ト量の設定の変更を可能とするために、 スィッチ ング回路によってローテ一シヨ ンシフ ト部 1 3を構成しても良い。 セル S1〜S 1000の出力 Ol〜〇 1000の中の一つの出力を 1 ビッ 卜の キ一ス ト リームして選択して暗号鍵として使用することができる。 一 実施形態では、 多ビッ トのキース ト リ一ムとして出力するために、 セ ル S1〜S 1000の出力 Ol〜〇 1000がサンプリ ング部 1 4に供給される 。 サンプリ ング部 1 4は、 出力〇 1〜 01000の中の Mビッ トをキース ト リームとして選択する。 サンプリ ングされるセル番号は、 等間隔で はなく、 選択されるセル番号の間隔が徐々に大きくなるようにされる 。 例えば N = 1 0 0 0， M = 4 0の場合、 1 , 7 , 1 4 , , 3 1 , 4 1 , 5 2 , 6 4 , · · · , 9 7 6 と間隔が 1ずつ増加するように なされる。

一般に、 n番目 （n > 1 ) のセル番号 a (n) は、 下記の式 （ 4 ) で表したものとなる。 上述した例の場合、 パラメータは、 a ( 1 ) = 1 ， d = 6である。

n-l

fl(«) = fl(l)+2 (d+m~l) (4) なお、 サンプリ ングの方法は、 設定された後に変える必要がないの で、 サンプリング部 1 4は、 有効な出力線を設定するだけで構成でき る。 但し、 サンプリ ングの方法の設定の変更を可能とするために、 ス イツチング回路によってサンプリ ング部 1 4を構成しても良い。 また 、 サンプリングされるセル番号の間隔が徐々に大きくなるようにした が、'徐々に小さくなるようにしても良い。 また、 ランダムにセルの間 隔が変化するものであっても良い。

第 1 0図は、 上述した一実施形態においてサンプリング部 1 4から 出力されるキースト リームを示すものである。 最初のタイムステップ ( t = 1 ) では、 元の C Aから見ると、 セル番号の 1， 7 , 1 4 , 2 2 , 3 1 , . · ' がキ一ストリームとして選択されて出力される。 口 —テ一ションシフト処理がなされるので、 次のタイムステップ （ t = 2 ) では、 元の CAから見ると、 セル番号の 1 2 , 1 8 , 2 5 , 3 3 ， · · · がキ一スト リームとして選択されて出力される。

第 1 1図は、 上述したこの発明の一実施形態において、 ローテーシ ヨンシフ ト部 I 3のみを有し、 サンプリング部 1 4を有しない場合の N I S Tテス 卜の結果を示す。 第 1 2図は、 ローテーショ ンシフ ト部 1 3およびサンプリング部 1 4の両方を有する場合の N I S Tテス ト の結果を示す。

ローテーショ ンシフト数を 1 1 とした場合のテスト結果 （第 1 1図 ) から分かるように、 二つの初期値に対して 1 6種類の全てのテスト をパスすることができる。

また、 セル数が 1 0 0 0で、 サンプリングによって 4 0セルの情報 を抜き出した場合のテスト結果 （第 1 2図） では、 初期値によっては 、 7番目のテス 卜 (Non - overlapping Template Matching Test)の一つ のパターンがパスしていないが、 常にパスしないということではない ので問題はない。

セル数 1 0 0 0の C Aルール 3 0 (ローテ一シヨ ンシフ ト数 1 1セ ル） を F P GA(Field Programraab I e Gate Array：大規模 P L D (Pro gramraable logic Device) に実装した結果、 （ゲート数 = 1 4 6 9 9 、 最大動作周波数- 1 0 5. 8 3 1 MHz, 暗号化 （復号） 速度 = . 2 3 3 Gbps) の結果が得られた。 例えばディジタルビデオデ一夕の リアルタイム暗号化および復号では、 クロックの周波数が 2 7 MHzで あり、 約 1 Gbpsの暗号 （復号） 化速度を達成できた。

上述したこの発明によれば、 先に提案されている R C 4およびルー ル 3 0と比較してランダム性をより向上することができる。 また、 安 全性を損なうことなく、 多ビッ 卜の乱数を取り出すことができるので 、 暗号化の速度を向上することが可能となる。 さらに、 回路構成が単 純であるので、 最大動作周波数を高くすることができる。 すなわち、 大量の情報を高速に処理するハードウ ァを容易に実現できる。

この発明は、 上述した実施形態に限定されるものではなく、 この発 明の要旨を逸脱しない範囲内で種々の変形や応用が可能である。 例え ばこの発明は、 一般的に K個のセルの状態値に依存する 1次元 2状態 K近傍のセルオートマトンを使用できる。 また、 この発明による乱数 生成器は、 スト リーム暗号以外にモンテカルロ法に対しても適用する ことができる。

Claims

請求の範囲

1 . 1次元的に複数のセルが配置され、 各セルが状態値として 0か 1 を持ち、 次の時刻での各セルの状態値は自分自身の状態値と近傍のセ ルの状態値だけに依存するルールで与えられ、 各セルの状態値はこの ルールによって更新される 1次元 2状態 K近傍セルォ一トマ トンによ る乱数生.成装置において、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 上記 複数のセルの次の時刻の状態値を更新するために、 現在の時刻の上記 複数のセルの出力を入力にフィ一ドバックする経路と、

上記経路に挿入され、 上記複数のセルの出力を所定のセル数シフト するシフト処理手段とを備えた乱数生成装置。

2 . 請求の範囲 1 において、

上記 1次元 2状態 K近傍セルオートマトンは、 次の時刻での各セル の状態値は自分自身の状態値と両隣のセルの状態値だけに依存するル ールで与えられ、 各セルの状態値はこのルールによって更新される 1 次元 2状態 3近傍セルオートマトンである乱数生成装置。

3 . 請求の範囲 1において、

さらに、 上記複数のセルの出力の中で、 所定の複数のセルを選択し て並列化して出力するためのサンプリング手段を備えた乱数生成装置

4 . 請求の範囲 3において、

上記所定の複数のセルは、 選択されるセルの互いの間隔が順に大き くなるか、 または順に小さくなる乱数生成装置。

5 . 請求の範囲 1において、

上記フィードバックする経路および上記シフ ト処理手段が集積回路 上に実現されたことを特徴とする乱数生成装置。

6 . 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時刻での 各セルの状態値は自分自身の状態値と近傍のセルの状態値だけに依存 するルールで与えられ、 各セルの状態値はこのルールによって更新さ れる 1次元 2状態 K近傍セルオートマトンによる乱数生成方法におい て、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 上記 複数のセルの次の時刻の状態値を更新するために、 現在の時刻の上記 複数のセルの出力を入力にフィ一ドバックする時に、 上記複数のセル の出力を所定のセル数シフ 卜する乱数生成方法。

7 . 請求の範囲 6において、

上記 1次元 2状態 K近傍セルオートマトンは、 次の時刻での各セル の状態値は自分自身の状態値と雨隣のセルの状態値だけに依存するル —ルで与えられ、 各セルの状態値はこのルールによって更新される 1 次元 2状態 3近傍セルオートマトンである乱数生成方法。

8 . 請求の範囲 6において、

さらに、 上記複数のセルの出力の中で、 所定の複数のセルを選択し て並列化して出力する乱数生成方法。

9 . 請求の範囲 8において、

上記所定の複数のセルは、 選択されるセルの互いの間隔が順に大き くなるか、 または順に小さくなる乱数生成方法。

1 0 . コンピュータに対して、 複数のセルの各セルが状態値として 0 か 1 を持ち、 次の時刻での各セルの状態値は自分自身の状態値と近傍 のセルの状態値だけに依存するルールで与えられ、 各セルの状態値は このルールによって更新される 1次元 2状態 K近傍セルオートマトン による乱数生成方法を実行させるためのプログラムにおいて、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 上記 複数のセルの次の時刻の状態値を更新するために、 現在の時刻の上記 複数のセルの出力を入力にフィ一ドバックする時に、 上記複数のセル の出力を所定のセル数シフ卜する乱数生成方法を実行させるためのプ ログラ厶。

1 1 . コンピュータに対して、 複数のセルの各セルが状態値として 0 か 1 を持ち、 次の時刻での各セルの状態値は自分自身の状態値と近傍 のセルの状態値だけに依存するルールで与えられ、 各セルの状態値は このルールによって更新される 1次元 2状態 K近傍セルオートマトン による乱数生成方法を実行させるためのプログラムを記録したコンピ ユ ータで読み取り可能な記録媒体において、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 上記 複数のセルの次の時刻の状態値を更新するために、 現在の時刻の上記 複数のセルの出力を入力にフィ一ドバックする時に、 上記複数のセル の出力を所定のセル数シフ卜する乱数生成方法を実行させるためのプ ログラムを記録したコンピュータで読み取り可能な記録媒体。

1 2 . 平文と乱数との排他的論理和によって暗号文を生成する暗号化 装置において、

乱数は、 1次元的に複数のセルが配置され、 各セルが状態値として 0か 1 を持ち、 次の時刻での各セルの状態値は自分自身の状態値と近 傍のセルの状態値だけに依存するルールで与えられ、 各セルの状態値 はこのルールによって更新される 1次元 2状態 K近傍セルォ一トマト ンによる乱数生成装置によって生成され、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 上記 複数のセルの次の時刻の状態値を更新するために、 現在の時刻の上記 複数のセルの出力を入力にフィ一ドバックする経路と、

上記経路に揷入され、 上記複数のセルの出力を所定のセル数シフト するシフ ト処理手段とを備えたことを特徴とする暗号化装置。

1 3 . 請求の範囲 1 2において、

上記 1次元 1状態 K近傍セルオートマトンは、 次の時刻での各セル の状態値は自分自身の状態値と両隣のセルの状態値だけに依存するル —ルで与えられ、 各セルの状態値はこのルールによって更新される 1 次元 2状態 3近傍セルオートマ ト ンである暗号化装置。

1 4 . 請求の範囲 1 3において、

さらに、 上記乱数生成装置が上記複数のセルの出力の中で、 所定の 複数のセルを選択して並列化して出力するためのサンプリング手段を 備えた暗号化装置。

1 5 . 請求の範囲 1 3において、

上記所定の複数のセルは、 選択されるセルの互いの間隔が順に大き くなるか、 または順に小さくなる暗号化装置。

1 6 . 請求の範囲 1 3において、

上記フィ一ドバックする経路および上記シフト処理手段が集積回路 上に実現されたことを特徴とする暗号化装置。

1 7 . 平文と乱数との排他的論理和によって暗号文を生成する暗号化 方法において、

乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによつて 更新される 1次元 2状態 K近傍セルォ一トマトンによる乱数生成方法 によって生成され、

上記乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を 出力すると共に、 上記複数のセルの次の時刻の状態値を更新するため に、 現在の時刻の上記複数のセルの出力を入力にフィ一ドバックする 時に、 上記複数のセルの出力を所定のセル数シフ 卜することを特徴と する暗号化方法。

1 8 . 請求の範囲 1 7において、

上記 1次元 1状態 K近傍セルオートマトンは、 次の時刻での各セル の状態値は自分自身の状態値と両隣のセルの状態値だけに依存するル —ルで与えられ、 各セルの状態値はこのルールによって更新される 1 次元 2状態 3近傍セルオートマ卜ンである暗号化方法。

1 9 . 請求の範囲 1 7において、

さらに、 上記乱数生成方法が上記複数のセルの出力の中で、 所定の 複数のセルを選択して並列化して出力する暗号化方法。

2 0 . 請求の範囲 1 7において、

上記所定の複数のセルは、 選択されるセルの互いの間隔が順に大き くなるか、 または順に小さくなる暗号化方法。

2 1 . コンピュータに対して、 平文と乱数との排他的論理和によって 暗号文を生成する暗号化方法を実行させるためのプログラムにおいて 乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによつて 更新される 1次元 2状態 K近傍セルオートマトンによる乱数生成方法 によって生成され、

上記乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を 出力すると共に、 上記複数のセルの次の時刻の状態値を更新するため に、 現在の時刻の上記複数のセルの出力を入力にフィ一ドバックする 時に、 上記複数のセルの出力を所定のセル数シフ卜することを特徴と する暗号化方法を実行させるためのプログラム。

2 2 . コンピュータに対して、 平文と乱数との排他的論理和によって 暗号文を生成する暗号化方法を実行させるためのプログラムを記録し たコンピュータで読み取り可能な記録媒体において、

乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによつて 更新される 1次元 2状態 K近傍セルォ一トマ卜ンによる乱数生成方法 によつて生成され、

上記乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を 出力すると共に、 上記複数のセルの次の時刻の状態値を更新するため に、 現在の時刻の上記複数のセルの出力を入力にフィ一ドバックする 時に、 上記複数のセルの出力を所定のセル数シフ 卜することを特徴と する暗号化方法を実行させるためのプログラムを記録したコンピュー 夕で読み取り可能な記録媒体。

2 3 . 暗号文と乱数との排他的論理和によって暗号文を復号する復号 装置において、

乱数は、 I次元的に複数のセルが配置され、 各セルが状態値として 0か 1 を持ち、 次の時刻での各セルの状態値は自分自身の状態値と近 傍のセルの状態値だけに依存するルールで与えられ、 各セルの状態値 はこのルールによって更新される 1次元 2状態 K近傍セルォ一トマト ンによる乱数生成装置によって生成され、

複数のセルの少なく とも一つのセルの出力を出力すると共に、 上記 複数のセルの次の時刻の状態値を更新するために、 現在の時刻の上記 複数のセルの出力を入力にフィ一ドバックする経路と、

上記経路に揷入され、 上記複数のセルの出力を所定のセル数シフト するシフ ト処理手段とを備えたことを特徴とする復号装置。

2 4 . 請求の範囲 2 3において、

上記 1次元 2状態 K近傍セルオートマトンは、 次の時刻での各セル の状態値は自分自身の状態値と両隣のセルの状態値だけに依存するル ールで与えられ、 各セルの状態値はこのルールによって更新される 1 次元 2状態 3近傍セルオー卜マ卜ンである復号装置。

2 5 · 請求の範囲 2 3において、

上記フィ一ドバックする経路および上記シフ ト処理手段が集積回路 上に実現されたことを特徴とする復号装置。

2 6 . 暗号文と乱数との排他的論理和によって暗号文を復号する復号 方法において、

乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによつて 更新される 1次元 2状態 K近傍セルオートマトンによる乱数生成方法 によって生成され、

上記乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を 出力すると共に、 上記複数のセルの次の時刻の状態値を更新するため に、 現在の時刻の上記複数のセルの出力を入力にフィ一ドバックする 時に、 上記複数のセルの出力を所定のセル数シフ 卜することを特徴と する復号方法。

2 7 . 請求の範囲 2 6において、

上記 1次元 2状態 K近傍セルオートマトンは、 次の時刻での各セル の状態値は自分自身の状態値と両隣のセルの状態値だけに依存するル ールで与えられ、 各セルの状態値はこのルールによって更新される 1 次元 2状態 3近傍セルオートマ 卜ンである復号方法。

2 8 . コンピュータに対して、 暗号文と乱数との排他的論理和によつ て暗号文を復号する復号方法を実行させるためのプログラムにおいて 乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのル一ルによって 更新される 1次元 2状態 K近傍セルオートマ卜 ンによる乱数生成方法 によつて生成され、

上記乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を 出力すると共に、 上記複数のセルの次の時刻の状態値を更新するため に、 現在の時刻の上記複数のセルの出力を入力にフィードバックする 時に、 上記複数のセルの出力を所定のセル数シフ 卜することを特徴と する復号方法を実行させるためのプログラム。

2 9 . コンピュータに対して、 コンピュータに対して、 暗号文と乱数 との排他的論理和によって暗号文を復号する復号方法を実行させるた めのプログラムを記録したコンピュータで読み取り可能な記録媒体に おいて、

乱数は、 複数のセルの各セルが状態値として 0か 1 を持ち、 次の時 刻での各セルの状態値は自分自身の状態値と近傍のセルの状態値だけ に依存するルールで与えられ、 各セルの状態値はこのルールによつて 更新される 1次元 2状態 K近傍セルオートマトンによる乱数生成方法 によって生成され、

上記乱数生成方法は、 複数のセルの少なく とも一つのセルの出力を 出力すると共に、 上記複数のセルの次の時刻の状態値を更新するため に、 現在の時刻の上記複数のセルの出力を入力にフィ一ドバックする 時に、 上記複数のセルの出力を所定のセル数シフトすることを特徴と する復号方法を実行させるためのプログラムを記録したコンピュータ で読み取り可能な記録媒体。