WO2005098795A1

WO2005098795A1 - 整数を加算するコンピュータシステム

Info

Publication number: WO2005098795A1
Application number: PCT/JP2005/005136
Authority: WO
Inventors: Yuichi Futa; Motoji Ohmori; Hiroyuki Shizuya; Masahiro Mambo; Masato Yamamichi
Original assignee: Matsushita Electric Industrial Co., Ltd.; Yamamichi, Masami
Priority date: 2004-03-31
Filing date: 2005-03-22
Publication date: 2005-10-20
Also published as: EP1732052A1; EP1732052A4; CN100585670C; US20070192622A1; JPWO2005098795A1; US7434898B2; EP1732052B1; CN1938740A; DE602005025615D1; KR20060134992A

Abstract

　演算の内容を解析しにくくするコンピュータシステムを提供する。　べき乗演算部２６２は、入力データａ、ｂに対し、　ｇa ＝ｇa ｍｏｄ　ｎ，ｇb ＝ｇb ｍｏｄ　ｎを計算する。　次に、乗算部２６４は、ｇa 及びｇb に対し、　ｇab ＝ｇa ×ｇb 　ｍｏｄ　ｎを計算する。　次に、離散対数計算部２６６は、　ｇab　＝ｇci　ｍｏｄ　ｐi （ｉ＝１，２，…，ｋ）となるｃi ｍｏｄ　ｐi −１を求める。　次に、ＣＲＴ部２６７は、中国人剰余定理（ＣＲＴ）により、ｃi ＝ｃ　ｍｏｄ　ｐi −１（ｉ＝１，２，…，ｋ）となるｃを求める。

Description

明細書整数を加算するコンピュータシステム

技術分野

[0001] 本発明は、コンピュータプログラムの解析を困難にする耐タンパ一ソフト技術に関する。

背景技術

[0002] 従来より、コンピュータプログラムに従って動作するプロセッサを備えるコンピュータシステムにおいて、秘密の通信や相手の認証をする際に、暗号プログラム（暗号ソフトウエア）が用いられる。

このとき、鍵や暗号アルゴリズムなどを含む暗号ソフトウェアをコンピュータシステムにそのまま実装すると、実装された暗号ソフトウェアを解析された場合に、簡単に不正な使用がされてしまう。このような問題点を解決するために、特許文献 1は、演算及びデータの領域を変換することにより、元の演算及びデータを推測困難にする技術を開示している。

[0003] 例えば、入力データ a、 bに対し、加算を施して、加算結果 a + bを出力する加算プログラムを想定する。

予め、整数 k、k を保持し、これらを用いて、入力データ a

1 2 、 bを、それぞれ t =k a 1

X a + k , t =k X b + k に変換する。ここで、「X」は、乗算を示す演算子である。

2 b 1 2

[0004] 次に t

a， t に対して、 t =t +t を計算する。

b ab a b

さらに、 t に対して、 c = (t -2k ) /k を計算する。

ab ab 2 1

次に、演算結果 cを出力する。

上記のように処理すると、 ab a b

=k X a + k +k X b + k

1 2 1 2

=k X (a + b) + 2k より、

1 2

(t -2k ) /k = a + bが成り立つ。

ab 2 1

[0005] 従って、 c = a + bとなり、加算プログラムにより aと bの加算結果が得られる。特許文献 1 :米国特許第 6594761号公報

特許文献 2 :日本国特許第 3402441号特許公報

特許文献 3 :日本国特許第 2760799号特許公報

非特許文献 1 :岡本龍明、山本博資、「現代暗号」、産業図書（1997年）

非特許乂献 2 : Hennし ohen, A Course in Computational Algebraic Number

Theory", GTM 138， Springer- Verlag, 1993, pp.19-20

非特許文献 3 : 1. Blake, G. Seroussi and N. Smart, "Elliptic Curves in

Cryptography", CAMBRIDGE UNIVERSITY PRESS, 1999

特許文献 4： N. Kuniniro and K. Koyama, "Two Discrete Log Algorithms for

Super- Anomalous Elliptic Curves", SCIS'99, 1999， pp. 869-874

発明の開示

発明が解決しょうとする課題

[0006] 上記従来例の方式によると、変換後の領域においても通常の加算と同じ加算を行うため、変換後の演算を解析することにより、変換前の演算が加算であることが推測される可能性があるという問題点がある。プログラムにおいて、加算をしている箇所が、解析者により知られた場合に、その前後の部分がさらに集中して解析されると、どのような変換を行っているか知られてしまう恐れがある。ゆえに、可能な限り、変換前の演算を知られなレ、ようにした方がょレ、。

[0007] 本発明は、演算の内容を解析しに《することができるコンピュータシステム、コンビユータブログラム、加算方法及び記録媒体を提供することを目的とする。課題を解決するための手段

[0008] 上記目的を達成するために、本発明は、 2個以上の整数を加算するコンピュータシステムであって、複数のコンピュータ命令が組み合わされて構成されるコンピュータプログラムを記憶してレ、るメモリ部と、前記記憶手段に記憶されてレ、る前記コンピュータプログラムから 1個ずつコンピュータ命令を読み出し、解読し、その解読結果に応じて動作するプロセッサとを備え、前記コンピュータプログラムは、各整数に、群 G上の冪演算を施すことにより、群 Gに属する元を生成する変換命令群と、生成された全ての前記元に対して、前記加算とは異なる群 G上の基本演算を施して、演算値を生成する演算命令群と、群 G又は群 Gに真に含まれる部分群 Sにおいて、前記演算値に対して、前記変換命令群により施される冪演算の逆算を施すことにより、前記整数の加算値を生成する逆変換命令群とを含むことを特徴とする。

発明の効果

[0009] この構成によると、演算に使用する値の隠蔽だけでなぐ演算そのものを隠蔽することができる。

ここで、前記コンピュータシステムは、対象情報を安全かつ確実に扱う情報セキユリティ装置であって、前記コンピュータプログラムは、さらに、対象情報にセキュリティ処理を施すセキュリティ命令群を含み、前記セキュリティ命令群は、加算演算において、前記変換命令群、前記演算命令群及び前記逆変換命令群を用いるとしてもよい。

[0010] この構成によると、セキュリティ処理における加算において、使用する値及び演算を隠蔽することができる。

ここで、前記群 Gは、剰余整数環の乗法群であり、前記変換命令群は、各整数に冪乗を施し、演算命令群は、前記元に対して、乗算を施すとしてもよい。

この構成によると、変換後に施される演算は、乗算であり、加算と異なるので、演算を隠蔽すること力 Sできる。

[0011] ここで、前記群 Gは、 2つの素数 p， qと正整数 mを用いて表される

n = p^m X qに対し、 Z/nZの乗法群であり、前記変換命令群は、各整数に冪乗を施し、演算命令群は、前記元に対して、乗算を施すとしてもよい。

[0012] ここで、前記部分群 Sは、ァノマラス楕円曲線の群であり、前記変換命令群は、各整数に楕円曲線上の乗算を施し、演算命令群は、前記元に対して、楕円曲線上の加算を施すとしてもよい。また、前記群 Gは、二つのァノマラス楕円曲線の群の直積であり、前記変換命令群は、各整数に楕円曲線上の乗算を施し、演算命令群は、前記元に対して、楕円曲線上の加算を施すとしてもよい。

[0013] これらの構成によると、変換後に施される演算は、楕円曲線上の加算であり、整数の加算と異なるので、演算を隠蔽することができる。ここで、さらに、前記逆変換命令群は、複数の冪数と、各冪数による冪乗値又は冪倍値とを対応付けて記憶しており、その対応付けを検索することにより、冪演算の逆算を求めるとしてもよい。

[0014] この構成によると、逆変換命令群による逆算が容易である。

ここで、前記情報セキュリティ装置は、鍵情報に基づいて対象情報を喑号ィ匕し又は復号し、前記セキュリティ命令群は、前記鍵情報に基づいて、対象情報を暗号化し又は復号し、喑号ィ匕又は復号において、鍵情報又は鍵情報力得られる二次鍵情報と、対象情報又は対象情報力得られる二次対象情報との加算演算が含まれ、前記加算演算において、前記変換命令群、前記演算命令群及び前記逆変換命令群を用いて、鍵情報又は鍵情報から得られる二次鍵情報と、対象情報又は対象情報から得られる二次対象情報とに、加算を施すとしてもよい。

[0015] この構成によると、暗号化又は復号における加算において、使用する値及び演算を隠蔽すること力 Sできる。

ここで、前記情報セキュリティ装置は、鍵情報に基づいて対象情報にデジタル署名を施し又は署名検証を施し、前記セキュリティ命令群は、前記鍵情報に基づいて、対象情報にデジタル署名を施し又は署名検証を施し、デジタル署名又は署名検証において、鍵情報又は鍵情報から得られる二次鍵情報と、対象情報又は対象情報から得られる二次対象情報との加算演算が含まれ、前記加算演算において、前記変換命令群、前記演算命令群及び前記逆変換命令群を用いて、鍵情報又は鍵情報から得られる二次鍵情報と、対象情報又は対象情報から得られる二次対象情報とに、加算を施すとしてもよい。

[0016] この構成によると、デジタル署名又は署名検証における加算において、使用する値及び演算を隠蔽することができる。

以上説明したように、本発明の構成によると、演算に使用する値の隠蔽だけでなぐ演算そのものを隠蔽することができ、その価値は大きレ、。

図面の簡単な説明

[0017] [図 1]コンテンツ配信システム 10の構成を示す構成図である。

[図 2]コンテンツサーバ装置 100の構成を示すブロック図である。 [図 3]コンテンツ配信プログラム 131の内容を説明するフローチャートである。

[図 4]コンテンツ暗号プログラム 132の内容を説明するフローチャートである。

園 5]暗号プログラム 133の構成を示す構成図である。

[図 6]喑号制御モジュール 141の内容を説明するフローチャートである。図 7へ続く。

[図 7]喑号制御モジュール 141の内容を説明するフローチャートである。図 6から続く

[図 8]パーソナルコンピュータ 200の構成を示すブロック図である。

[図 9]コンテンツ受信プログラム 231の内容を説明するフローチャートである。

[図 10]コンテンツ復号プログラム 232の内容を説明するフローチャートである。

園 11]復号プログラム 234の構成を示す構成図である。

[図 12]復号制御モジュール 241の内容を説明するフローチャートである。図 13へ続く

[図 13]復号制御モジュール 241の内容を説明するフローチャートである。図 12から続く。

園 14]加算モジュール 243の構成を示す構成図である。

[図 15]加算モジュール 243による加算の動作を示すフローチヤートである。

[図 16]加算モジュール 501の構成を示す構成図である。

[図 17]加算モジュール 501による加算の動作を示すフローチヤートである。

[図 18]加算モジュール 601の構成を示す構成図である。

[図 19]加算モジュール 601による加算の動作を示すフローチヤートである。

発明を実施するための最良の形態

1.コンテンツ配信システム 10

本発明に係る第 1の実施の形態としてのコンテンツ配信システム 10について説明する。

1. 1 コンテンツ配信システム 10の構成

コンテンツ配信システム 10は、図 1に示すように、コンテンツサーバ装置 100、配信サーバ装置 300a、放送装置 300b、 BD製造装置 300c、パーソナルコンピュータ 20 0、デジタル放送受信装置 200a及び BD再生装置 200bから構成されてレ、る。 [0019] コンテンツサーバ装置 100は、映像データ及び音データから構成される映画のコンテンッを記憶しており、配信サーバ装置 300aからの要求に応じて、記憶しているコンテンッを暗号化して暗号化コンテンツを生成し、生成した喑号ィ匕コンテンツを専用回線 21を介して接続されている配信サーバ装置 300aへ送信する。配信サーバ装置 3 00aは、暗号化コンテンツを受信し、インターネット 20を介して接続されているパーソナルコンピュータ 200へ暗号化コンテンツを送信する。パーソナルコンピュータ 200 は、喑号ィ匕コンテンツを受信し、受信した喑号ィ匕コンテンツを復号して復号コンテンツを生成し、生成した復号コンテンツを再生して映像及び音を出力する。

[0020] また、コンテンツサーバ装置 100は、上記と同様に、放送装置 300bからの要求に応じて、暗号化コンテンツを生成し、生成した喑号ィ匕コンテンツを専用回線 22を介して接続されている放送装置 300bへ送信する。放送装置 300bは、暗号化コンテンツを受信し、受信した暗号化コンテンツを放送波に乗せて放送し、デジタル放送受信装置 200aは、放送波を受信し、受信した放送波から前記喑号ィ匕コンテンツを抽出し、抽出した暗号化コンテンツを復号して復号コンテンツを生成し、生成した復号コンテンッを再生して映像及び音を出力する。

[0021] さらに、コンテンツサーバ装置 100は、上記と同様に、 BD製造装置 300cからの要求に応じて、喑号ィ匕コンテンツを生成し、生成した喑号ィ匕コンテンツを専用回線 23を介して接続されている BD製造装置 300cへ送信する。 BD製造装置 300cは、暗号化コンテンツを受信し、受信した暗号化コンテンツを記録媒体 400に書き込む。暗号ィ匕コンテンツが書き込まれた記録媒体 400は、販売されて利用者が購入する。利用者により、記録媒体 400が装着された BD再生装置 200bは、記録媒体 400から前記暗号化コンテンツを読み出し、読み出した暗号化コンテンツを復号して復号コンテンッを生成し、生成した復号コンテンツを再生して映像及び音を出力する。

[0022] 1. 2 コンテンツサーバ装置 100

コンテンツサーバ装置 100は、図 2に示すように、マイクロプロセッサ 101、ハードデイスク部 102、メモリ部 103、入力制御部 104、表示制御部 105及び通信ユニット 106 などから構成されるコンピュータシステムである。入力制御部 104及び表示制御部 10 5は、それぞれ、キーボード 107及びモニタ 108に接続されている。また、通信ュニット 106は、専用回線 21、 22及び 23を介して、それぞれ、配信サーバ装置 300a、放送装置 300b及び BD製造装置 300cに接続されている。

[0023] ハードディスク部 102及びメモリ部 103には、様々なコンピュータプログラムが記憶されており、マイクロプロセッサ 101が、前記コンピュータプログラムに従って動作することにより、コンテンツサーバ装置 100は、その一部の機能を達成する。

(1)ハードディスク部 102

ハードディスク部 102は、図 2に示すように、コンテンツ 120、コンテンツ 121、コンテンッ 122、 · · ·、鍵 123、鍵 124、鍵 125、 · · ·、及び図示していないその他のコンビュータプログラムを記憶している。また、暗号化コンテンツ 126、暗号化コンテンツ 127、暗号化コンテンツ 128、 · · ·を記憶するための領域を備えている。

[0024] コンテンツ 120、コンテンツ 121、コンテンツ 122、…は、それぞれ、鍵 123、鍵 12 4、鍵 125、 · · ·、に対応しており、また、暗号化コンテンツ 126、暗号化コンテンツ 12 7、暗号化コンテンツ 128、 · · ·に対応している。

コンテンツ 120、コンテンツ 121、コンテンツ 122、 · · ·は、それぞれ、映像データ及び音データが高効率に圧縮符号化された圧縮データである。

[0025] 鍵 123、鍵 124、鍵 125、…は、それぞれ、コンテンツ 120、コンテンツ 121、コンテンッ 122、 …に、暗号化アルゴリズムを施して、暗号化コンテンツ 126、暗号化コンテンッ 127、暗号化コンテンツ 128、 · · ·を生成する際に使用される暗号鍵であり、それぞれ、 64ビット長のデータである。ここで、前記暗号化アルゴリズムについては、後述する。

[0026] 暗号化コンテンツ 126、暗号化コンテンツ 127、暗号化コンテンツ 128、 · · ·は、それぞれ、コンテンツ 120、コンテンツ 121、コンテンツ 122、 …に、前記暗号化アルゴリズムが施されて生成された暗号化データである。

(2)メモリ部 103

メモリ部 103は、図 2に示すように、コンテンツ配信プログラム 131、コンテンツ喑号プログラム 132、喑号プログラム 133、送信プログラム 134及び図示していないその他のプログラムを記憶している。これらのプログラムは、それぞれ、機械語形式の複数の命令コードを組み合わせて構成されるコンピュータプログラムである。前記機械語形式は、マイクロプロセッサ 101により解読され実行される形式である。

[0027] 以下において、各コンピュータプログラムの内容を説明する力 S、各コンピュータプログラムの内容の理解を容易にするために、機械語形式の命令コードを用いた表現ではなぐフローチャートにより各コンピュータプログラムの内容を表現し、フローチヤ一トを用いて、各コンピュータプログラムを説明する。

(_a)コンテンツ配信プログラム 131

コンテンツ配信プログラム 131は、図 3に示すように、命令コード群 S101、 S102、 S 103及び S104を含んで構成されており、これらの命令コード群は、コンテンツ配信プログラム 131内において、この順序で並べられている。各命令コード群は、 1個又は複数個の命令コードを含んでレ、る。

[0028] 命令コード群 S101は、コンテンツサーバ装置 100の管理者からコンテンツの指定を受け付け、又はコンテンツの配信先の装置からコンテンツの指定を受け取ることを示す複数の命令コードを含む。

命令コード群 S102は、コンテンツの配信先の装置の指定を受け取ることを示す複数の命令コードを含む。

[0029] 命令コード群 S103は、受け付けた指定又は受け取った指定により示されるコンテンッを指定して、コンテンツ暗号プログラム 132を呼び出し、次に、コンテンツ喑号プログラム 132により生成された暗号化コンテンツを暗号化コンテンツ 126としてハードディスク部 102へ書き込むことを示す複数の命令コードを含む。

命令コード群 S104は、受け取った指定による配信先の装置と、生成されハードディスク部 102に書き込まれた暗号化コンテンッとを指定して、送信プログラム 134を呼び出すことを示す複数の命令コードを含む。命令コード群 S104が実行されることにより、受け取った指定により示される配信先の装置へ、生成された暗号化コンテンツが送信される。

[0030] (b)コンテンツ喑号プログラム 132

コンテンツ日音号プログラム 132fま、図 4ίこ示すよう (こ、命令コード群 Sl l l、 S112、 S 113、 S114、 S115及び S116を含んで構成されており、これらの命令コード群は、コンテンッ喑号プログラム 132内において、この順序で並べられている。各命令コード群は、 1個又は複数個の命令コードを含んでいる。

[0031] 命令コード群 S111は、指定を受け付けたコンテンツ内におけるデータの位置をビットにより示す読出しポイントに、初期値として値「一 64」を代入し、指定を受け付けたコンテンツに対応する鍵をハードディスク部 102から読み出すことを示す複数の命令コードを含む。ここで、値「一 64」を有する読出しポイントは、前記コンテンツ外の位置を示しているが、読出しポイントに初期値として値「-64」を代入するのは、後述する命令コード群 S112の最初の実行において、読出しポイントが、前記コンテンツの先頭の位置を示すようにするためである。後述する命令コード群 S 112の最初の実行において、前記読出しポイントに 64ビットが加算され、読出しポイントは、値「0」を有することになり、この読出しポイントは、前記コンテンツの先頭の位置を示している。

[0032] 命令コード群 S112は、前記読出しポイントに 64ビットをカ卩算し、次に、前記コンテンッにおいて、加算された読出しポイントにより示される位置から 1ブロック分のデータの読出しを試みることを示す複数の命令コードと、読出しポイントにより示される位置が前記コンテンツ内であるならば、当該位置から 1ブロック分のデータを読み出し、読出しポイントにより示される位置が前記コンテンツの外を示すならば、ブロックの読み出しが終了したことを示す終了コードを出力することを示す複数の命令コードとを含む。ここで、 1ブロックは、 64ビット長のデータである。

[0033] 命令コード群 S113は、命令コード群 S112から終了コードが出力された場合には、コンテンツ暗号プログラム 132による処理を終了し、終了コードが出力されていない場合には、次の命令コード群 S 114に制御を移すことを示す複数の命令コードを含む。

命令コード群 S114は、読み出された前記鍵及び読み出された前記 1ブロックを伴つて、喑号プログラム 133を呼び出すことを示す複数の命令コードを含む。

[0034] 命令コード群 S115は、喑号プログラム 133により生成された 1個の暗号化ブロックを、ハードディスク部 102に対して、喑号ィ匕コンテンツ 126の一部として書き込むことを示す複数の命令コードを含む。

命令コード群 S116は、次に、制御を命令コード群 S112へ移すことを示す命令コードを含む。 [0035] (c)暗号プログラム 133

暗号プログラム 133は、図 5に示すように、暗号制御モジュール 141、拡張鍵生成モジュール 142及びローテーションモジユーノレ A143、ローテーションモジュール B1 44、ローテーションモジュール C145及びローテーションモジュール D146から構成されている。

[0036] 各モジュールは、機械語形式の複数の命令コードを組み合わせて構成されるコンピュータプログラムである。前記機械語形式は、マイクロプロセッサ 101により解読され実行される形式である。

(拡張鍵生成モジュール 142)

拡張鍵生成モジュール 142は、呼出し元のプログラムから、 64ビットの鍵 Kを受け取り、受け取った鍵 Kを用いて、 8個の拡張鍵 Kl、 Κ2、 Κ3、 · · ·、 Κ8を生成し、生成した 8個の拡張鍵 Kl、 Κ2、 Κ3、 · · ·、 Κ8を呼出し元のプログラムへ出力する複数の命令コードを含む。

[0037] なお、拡張鍵を生成する方法については、特許文献 3に記載されているため、説明を省略する。

(ローテーションモジュール A143)

ローテーションモジユーノレ A143は、呼出し元のプログラムから 32ビットのデータ X を受け取り、データ Xに対して、 Rot2 (X) +X+ 1を演算し、演算結果を呼出し元のプログラムへ出力する複数の命令コードを含む。

[0038] ここで、 Rot2 (X)は、 32ビットのデータ Xを左へ 2ビット循環シフトすることを示す。

なお、 32ビットのデータ Xを左へ 2ビット循環シフトするとは、データ Xを最上位 2ビット XIと最下位 30ビット X2に分け、 X2を、データ Xの最上位 30ビットにシフトし、 XIをデータ Xの最下位 2ビットにシフトすることを言う。

(ローテーションモジュール B144)

ローテーションモジュール B144は、呼出し元のプログラムから 32ビットのデータ Xを受け取り、データ Xに対して、 Rot4 (X) XOR Xを演算し、演算結果を呼出し元のプログラムへ出力する複数の命令コードを含む。

[0039] ここで、 Rot4 (X)は、データ Xを左へ 4ビット循環シフトすることを示し、 X〇Rは、排他的論理和を示す。なお、 32ビットのデータ Xを左へ 4ビット循環シフトするとは、データ Xを最上位 4ビット XIと最下位 28ビット X2に分け、 X2を、データ Xの最上位 28ビットにシフトし、 XIをデータ Xの最下位 4ビットにシフトすることを言う。

[0040] (ローテーションモジュール C145)

ローテーションモジュール C145は、呼出し元のプログラムから 32ビットのデータ X を受け取り、データ Xに対して、 Rot8 (X) XOR Xを演算し、演算結果を呼出し元のプログラムへ出力する複数の命令コードを含む。

ここで、 Rot8 (X)は、データ Xを左へ 8ビット循環シフトすることを示す。なお、 32ビットのデータ Xを左へ 8ビット循環シフトするとは、データ Xを最上位 8ビット XIと最下位 24ビット X2に分け、 X2を、データ Xの最上位 24ビットにシフトし、 XIをデータの最下位 8ビットにシフトすることを言う。

[0041] (ローテーションモジュール D146)

ローテーションモジュール D146は、呼出し元のプログラムから 32ビットのデータ X 及び 32ビットのデータ Yを受け取り、データ X及びデータ Yに対して、 Rotl6 (X) + ( X AND Y)を演算し、演算結果を呼出し元のプログラムへ出力する複数の命令コードを含む。

[0042] ここで、 Rotl6 (X)は、データ Xを、左へ 16ビット循環シフトすることを示し、 ANDは、論理積を示す。なお、 32ビットのデータ Xを左へ 16ビット循環シフトするとは、データ Xを最上位 16ビット XIと最下位 16ビット X2に分け、 X2を、データ Xの最上位 16ビットにシフトし、 XIをデータ Xの最下位 16ビットにシフトすることを言う。

[0043] (暗号制御モジュール 141)

喑号制御モジュール 141は、図 6及び図 7に示すように、命令コード群 S121—命令コード群 S140を含んで構成されており、これらの命令コード群は、喑号制御モジュール 141内において、この順序で並べられている。各命令コード群は、 1個又は複数個の命令コードを含む。

[0044] 命令コード群 S121は、喑号制御モジュール 141の呼出し元のプログラムから、 1ブロックの平文 M及び鍵 Kを受け取ることを示す複数の命令コードを含む。ここで、 1ブロックは、 64ビット長のデータである。命令コード群 SI 22は、受け取った鍵 Kを伴って、拡張鍵生成モジュール 142を呼び出すことを示す複数の命令コードを含む。命令コード群 S122が実行されると、その結果、 8個の拡張鍵 Kl、 Κ2、 Κ3、 · · ·、 Κ8が生成される。

[0045] 命令コード群 S123は、データ Mlを定義する命令コード及びデータ Μ2を定義する命令コードを含む。データ Mlは、受け取った平文 Mの最上位の 32ビットのデータであり、データ M2は、受け取った平文 Mの最下位の 32ビットのデータである。

命令コード群 S124は、データ Mlとデータ M2とに排他的論理和 XORを施し、その演算結果を変数 TMP1に格納することを示す複数の命令コードを含む。

[0046] TMP1 =M1 XOR M2

命令コード群 S125は、変数 TMP1と拡張鍵 K1とに加算を施し、その演算結果を変数 TMP2に格納することを示す複数の命令コードを含む。

TMP2=TMP1 + K1

命令コード群 S126は、変数 TMP2を伴って、ローテーションモジユーノレ A143を呼び出し、その演算結果を変数 TMP3に格納することを示す複数の命令コードを含む

[0047] TMP3 = Rot2 (TMP2) +TMP2 + 1

命令コード群 S127は、変数 TMP3を伴って、ローテーションモジュール B144を呼び出し、その演算結果を変数 TMP4に格納することを示す複数の命令コードを含む

TMP4 = Rot4 (TMP3) XOR TMP3

命令コード群 S128は、変数 TMP4とデータ Mlとに排他的論理和 XORを施し、その演算結果を変数 TMP5に格納することを示す複数の命令コードを含む。

[0048] TMP5=TMP4 XOR Ml

命令コード群 S129は、変数 TMP5と拡張鍵 K2とに加算を施し、その演算結果を変数 TMP6に格納することを示す複数の命令コードを含む。

TMP6 =TMP5 + K2

命令コード群 S130は、変数 TMP6を伴って、ローテーションモジユーノレ A143を呼び出し、その演算結果を変数 TMP7に格納することを示す複数の命令コードを含む [0049] TMP7 = Rot2 (TMP6) +TMP6 + 1

命令コード群 S131は、変数 TMP7を伴って、ローテーションモジュール C145を呼び出し、その演算結果を変数 TMP8に格納することを示す複数の命令コードを含む

TMP8 = Rot8 (TMP7) XOR TMP7

命令コード群 S132は、変数 TMP8と拡張鍵 K3とに加算を施し、その演算結果を変数 TMP9に格納することを示す複数の命令コードを含む。

[0050] TMP9=TMP8 + K3

命令コード群 S133は、変数 TMP9を伴って、ローテーションモジユーノレ A143を呼び出し、その演算結果を変数 TMP10に格納することを示す複数の命令コードを含む。

TMP10 = Rot2 (TMP9) +TMP9 + 1

命令コード群 S134は、変数 TMP7及び変数 TMP10を伴って、ローテーションモジュール D146を呼び出し、その演算結果を変数 TMP11に格納することを示す複数の命令コードを含む。

[0051] TMPl l =Rotl6 (TMP10) + (TMP10 AND TMP7)

命令コード群 S135は、変数 TMP11と変数 TMP1とに排他的論理和 XORを施し、その演算結果を変数 TMP12に格納することを示す複数の命令コードを含む。

TMP12=TMP11 XOR TMP1

命令コード群 S136は、変数 TMP12と拡張鍵 K4とに加算を施し、その演算結果を変数 TMP13に格納することを示す複数の命令コードを含む。

[0052] TMP13=TMP12 + K4

命令コード群 S 137は、変数 TMP13を伴って、ローテーションモジユーノレ A143を呼び出し、その演算結果を変数 TMP14に格納することを示す複数の命令コードを含む。

TMP 14 = Rot 2 (TMP 13) +TMP13 + 1

命令コード群 S138は、変数 TMP14と変数 TMP4とに排他的論理和 XORを施し、その演算結果を変数 TMP15に格納することを示す複数の命令コードを含む。

[0053] TMP15=TMP14 XOR TMP4

命令コード群 S 139は、変数 TMP 15と変数 TMP 12とに排他的論理和 XORを施し、その演算結果を変数 TMP16に格納することを示す複数の命令コードを含む。

TMP16 =TMP15 XOR TMP 12

命令コード群 S140は、変数 TMP15を最上位 32ビット、変数 TMP16を最下位 32 ビットとする 64ビットの整数を暗号文 Cとして、呼出し元のプログラムへ出力することを示す複数の命令コードを含む。

[0054] (d)送信プログラム 134

送信プログラム 134 (図示していなレ、）は、複数の命令コードが並べられて構成されており、呼出し元のプログラムから、データの指定及び配信先の装置の指定を受け取り、通信ユニット 106を制御して、指示されたデータを指定された配信先の装置へ送信することを示す複数の命令コードを含む。

[0055] 1. 3 パーソナルコンピュータ 200

パーソナルコンピュータ 200は、図 8に示すように、マイクロプロセッサ 201、ハードディスク部 202、メモリ部 203、入力制御部 204、表示制御部 205及び通信ユニット 2 06などから構成されるコンピュータシステムである。入力制御部 204及び表示制御部 205は、それぞれ、キーボード 707及びモニタ 208に接続されている。また、通信ュニット 206は、インターネット 20に接続されている。

[0056] ハードディスク部 202及びメモリ部 203には、様々なコンピュータプログラムが記憶されており、マイクロプロセッサ 201が、各コンピュータプログラムに従って動作することにより、パーソナルコンピュータ 200は、その一部の機能を達成する。

なお、デジタル放送受信装置 200a及び BD再生装置 200bは、パーソナルコンビュータ 200と同様の構成を有しているので、これらの装置についての説明を省略する。

[0057] (1)ハードディスク部 202

ハードディスク部 202は、図 8に示すように、鍵 222を記憶しており、また喑号ィ匕コンテンッ 221を記憶するための領域を備えている。暗号化コンテンツ 221と鍵 222とは、対応している。暗号化コンテンツ 221及び鍵 222は、それぞれ、コンテンツサーバ装置 100のハードディスク部 102に記憶されている喑号ィ匕コンテンツ 126及び鍵 123と同じものである

[0058] (2)メモリ部 203

メモリ部 203は、図 8に示すように、コンテンツ受信プログラム 231、コンテンツ復号プログラム 232、再生プログラム 233、復号プログラム 234及び加算プログラム 235を記憶している。また、メモリ部 203は、復号コンテンツ領域 236を含む。これらのプログラムは、それぞれ、機械語形式の複数の命令コードを組み合わせて構成されるコンビユータブログラムである。前記機械語形式は、マイクロプロセッサ 201により解読され実行される形式である。

[0059] 復号コンテンツ領域 236には、喑号ィ匕コンテンツが復号されて生成された復号コンテンッが一時的に書き込まれる。

以下において、各コンピュータプログラムの内容を説明する力 S、各コンピュータプログラムの内容の理解を容易にするために、機械語形式の命令コードを用いた表現ではなぐフローチャートにより各コンピュータプログラムの内容を表現し、フローチヤ一トを用いて、各コンピュータプログラムを説明する。

[0060] (a)コンテンツ受信プログラム 231

コンテンツ受信プログラム 231 ίま、図 9に示すように、命令コード群 S201、 S202、 S

203及び S204を含んで構成されており、これらの命令コード群は、コンテンツ受信プログラム 231内において、この順序で並べられている。各命令コード群は、 1個又は複数個の命令コードを含んでレ、る。

[0061] 命令コード群 S201は、パーソナルコンピュータ 200の利用者からコンテンツの指定を受け付けることを示す複数の命令コードを含んでいる。

命令コード群 S202は、指定を受け付けた前記コンテンツを識別するコンテンツ識別子を取得し、取得したコンテンツ識別子を、通信ユニット 206及びインターネット 20 を介して、配信サーバ装置 300aへ送信することを示す複数の命令コードを含んでレ、る。

[0062] 命令コード群 S203は、配信サーバ装置 300aから、インターネット 20及び通信ュニット 206を介して、暗号化コンテンツを受信することを示す複数の命令コードを含んでいる。ここで、受信する前記喑号ィ匕コンテンツは、前記コンテンツ識別子により識別されるものである。

命令コード群 S204は、受信した喑号ィ匕コンテンツをハードディスク部 202へ、喑号化コンテンツ 221として書き込むことを示す複数の命令コードを含んでいる。

[0063] (b)コンテンツ復号プログラム 232

コンテンツ復号プログラム 232fま、図 1CHこ示すよう ίこ、命令コード群 S211、 S212、 S213、 S214、 S215、 S216、 S217及び S218を含んで構成されており、これらの命令コード群は、コンテンツ復号プログラム 232内において、この順序で並べられている。各命令コード群は、 1個又は複数個の命令コードを含んでいる。

[0064] 命令コード群 S211は、パーソナルコンピュータ 200の利用者から、ハードディスク部 202に記憶されているいずれかの暗号化コンテンツの指定を受け付けることを示す複数の命令コードを含んでレ、る。

命令コード群 S212は、メモリ部 203に記憶されている再生プログラム 233を呼び出すことを示す複数の命令コードを含んでいる。命令コード群 S212が実行されることにより、その結果、コンテンツ復号プログラム 232と再生プログラム 233とが並行して実行される。

[0065] 命令コード群 S213は、指定を受け付けた喑号ィ匕コンテンツ内におけるデータの位置をビットにより示す読出しポイントに初期値として値「-64」を代入し、次に、指定を受け付けた喑号ィ匕コンテンツに対応する鍵をハードディスク部 202から読み出すことを示す複数の命令コードを含んでいる。

命令コード群 S214は、前記読出しポイントに 64ビットを加算し、次に、前記暗号化コンテンツにおいて、加算された読出しポイントにより示される位置から 1ブロック分のデータの読出しを試みることを示す複数の命令コードと、読出しポイントにより示される位置が前記暗号化コンテンツ内であるならば、当該位置から 1ブロック分のデータを読み出し、読出しポイントにより示される位置が前記喑号ィ匕コンテンツの外を示すならば、ブロックの読み出しが終了したことを示す終了コードを出力することを示す複数の命令コードとを含んでいる。ここで、 1ブロックは、 64ビット長のデータである。 [0066] 命令コード群 S215は、命令コード群 S214から終了コードが出力された場合には、コンテンツ復号プログラム 232による処理を終了し、終了コードが出力されていない場合には、次の命令コード群 S216に制御を移すことを示す複数の命令コードを含んでいる。

命令コード群 S216は、読み出された前記鍵及び読み出された前記 1ブロックを伴つて、復号プログラム 234を呼び出すことを示す複数の命令コードを含んでレ、る。

[0067] 命令コード群 S217は、復号プログラム 234により生成された 1個の復号ブロックを、メモリ部 203の復号コンテンツ領域 236へ書き込むことを示す複数の命令コードを含んでいる。

命令コード群 S218は、次に制御を命令コード群 S214へ移すことを示す命令コードを含んでいる。

[0068] (c)再生プログラム 233

再生プロク、、ラム 233ίま、図 10に示すように、命令コード群 S218、 S219及び S220 を含んで構成されており、これらの命令コード群は、再生プログラム 233は内において、この順序で並べられている。各命令コード群は、 1個又は複数個の命令コードを含んでいる。

[0069] 命令コード群 S218は、メモリ部 203が有する復号コンテンツ領域 236から 1個以上の復号ブロックを読み出すことを示す複数の命令コードを含んでいる。

命令コード群 S219は、読み出した前記復号ブロックから映像データ及び音データを生成し、生成した映像データ及び音データを映像信号及び音信号に変換して、表示制御部 205を介して、モニタ 208へ出力することを示す複数の命令コードを含んでいる。

[0070] 命令コード群 S220は、次に制御を命令コード群 S218へ移すことを示す命令コードを含んでいる。

(d)復号プログラム 234

復号プログラム 234は、図 11に示すように、復号制御モジュール 241、拡張鍵生成モジュール 242、加算モジュール 243、ローテーションモジユーノレ A244、ローテーシヨンモジュール B245、ローテーションモジュール C246及びローテーションモジユール D247から構成されてレ、る。

[0071] 各モジュールは、機械語形式の複数の命令コードを組み合わせて構成されるコンピュータプログラムである。前記機械語形式は、マイクロプロセッサ 201により解読され実行される形式である。

拡張鍵生成モジュール 242、ローテーションモジユーノレ A244、ローテーションモジユール B245、ローテーションモジュール C246及びローテーションモジュール D247 は、それぞれ、図 5に示す拡張鍵生成モジュール 142、ローテーションモジユーノレ A1

43、ローテーションモジュール B144、ローテーションモジュール C145及びローテ一ションモジュール D 146と同じであるので、説明を省略する。

[0072] (復号制御モジュール 241)

復号制御モジュール 241は、図 12及び図 13に示すように、命令コード群 S221 命令コード群 S240を含んで構成されており、これらの命令コード群は、復号制御モジュール 241内において、この順序で並べられている。各命令コード群は、 1個又は複数個の命令コードを含む。

[0073] 命令コード群 S221は、復号制御モジュール 241の呼出し元のプログラムから、 1ブロックの暗号文 M及び鍵 Kを受け取ることを示す複数の命令コードを含む。ここで、 1 ブロックは、 64ビット長のデータである。

命令コード群 S222は、受け取った鍵 Kを伴って、拡張鍵生成モジュール 242を呼び出すことを示す複数の命令コードを含む。命令コード群 S222が実行されると、その結果、 8個の拡張鍵 Kl、 Κ2、 Κ3、 · · ·、 Κ8が生成される。

[0074] 命令コード群 S223は、データ Mlを定義する命令コード及びデータ Μ2を定義する命令コードを含む。データ Mlは、受け取った暗号文 Mの最上位の 32ビットのデータであり、データ M2は、受け取った暗号文 Mの最下位の 32ビットのデータである。命令コード群 S224は、データ Mlとデータ M2とに排他的論理和 XORを施し、その演算結果を変数 TMP1に格納することを示す複数の命令コードを含む。

[0075] TMP1 =M1 XOR M2

命令コード群 S225は、変数 TMP1と拡張鍵 K1とを伴って、加算モジュール 243を呼び出し、その演算結果を変数 TMP2に格納することを示す複数の命令コードを含む。この結果、加算モジュール 243により、 TMP2=TMP1 + K1が算出される。

[0076] 命令コード群 S226は、変数 TMP2を伴って、ローテーションモジユーノレ A244を呼び出し、その演算結果を変数 TMP3に格納することを示す複数の命令コードを含む

TMP3 = Rot2 (TMP2) +TMP2 + 1

命令コード群 S227は、変数 TMP3を伴って、ローテーションモジュール B245を呼び出し、その演算結果を変数 TMP4に格納することを示す複数の命令コードを含む

[0077] TMP4 = Rot4 (TMP3) XOR TMP3

命令コード群 S228は、変数 TMP4とデータ Mlとに排他的論理和 X〇Rを施し、その演算結果を変数 TMP5に格納することを示す複数の命令コードを含む。

TMP5=TMP4 XOR Ml

命令コード群 S229は、変数 TMP5と拡張鍵 K2とを伴って、加算モジュール 243を呼び出し、その演算結果を変数 TMP6に格納することを示す複数の命令コードを含む。この結果、加算モジュール 243により、 TMP6 =TMP5 + K2が算出される。

[0078] 命令コード群 S230は、変数 TMP6を伴って、ローテーションモジユーノレ A244を呼び出し、その演算結果を変数 TMP7に格納することを示す複数の命令コードを含む

TMP7 = Rot2 (TMP6) +TMP6 + 1

命令コード群 S231は、変数 TMP7を伴って、ローテーションモジュール C246を呼び出し、その演算結果を変数 TMP8に格納することを示す複数の命令コードを含む

[0079] TMP8 = Rot8 (TMP7) XOR TMP7

命令コード群 S232は、変数 TMP8と拡張鍵 K3とを伴って、加算モジュール 243を呼び出し、その演算結果を変数 TMP9に格納することを示す複数の命令コードを含む。この結果、加算モジュール 243により、 TMP9=TMP8 + K3が算出される。

[0080] 命令コード群 S233は、変数 TMP9を伴って、ローテーションモジユーノレ A244を呼び出し、その演算結果を変数 TMP10に格納することを示す複数の命令コードを含む。

TMP10 = Rot2 (TMP9) +TMP9 + 1

命令コード群 S234は、変数 TMP7及び変数 TMP10を伴って、ローテーションモジュール D247を呼び出し、その演算結果を変数 TMP11に格納することを示す複数の命令コードを含む。

[0081] TMPl l =Rotl6 (TMP10) + (TMP10 AND TMP7)

命令コード群 S235は、変数 TMP11と変数 TMP1とに排他的論理和 XORを施し、その演算結果を変数 TMP12に格納することを示す複数の命令コードを含む。

TMP12=TMP11 XOR TMP1

命令コード群 S236は、変数 TMP12と拡張鍵 K4とを伴って、加算モジュール 243 を呼び出し、その演算結果を変数 TMP13に格納することを示す複数の命令コードを含む。この結果、加算モジュール 243により、 TMP13=TMP12 + K4が算出される。

[0082] 命令コード群 S237は、変数 TMP13を伴って、ローテーションモジユーノレ A244を呼び出し、その演算結果を変数 TMP14に格納することを示す複数の命令コードを含む。

TMP 14 = Rot 2 (TMP 13) +TMP13 + 1

命令コード群 S238は、変数 TMP14と変数 TMP4とに排他的論理和 XORを施し、その演算結果を変数 TMP15に格納することを示す複数の命令コードを含む。

[0083] TMP15=TMP14 XOR TMP4

命令コード群 S 239は、変数 TMP 15と変数 TMP 12とに排他的論理和 XORを施し、その演算結果を変数 TMP16に格納することを示す複数の命令コードを含む。

TMP16 =TMP15 XOR TMP 12

命令コード群 S240は、変数 TMP15を最上位 32ビット、変数 TMP16を最下位 32 ビットとする 64ビットの整数を復号文 Cとして、呼出し元のプログラムへ出力することを示す複数の命令コードを含む。

[0084] (加算モジュール 243)

加算モジュール 243は、入力データ a、 bに対し、データ a + bを演算し、データ a + b を出力するコンピュータプログラムであり、図 14に示すように、変換部 251、主要演算部 252及び逆変換部 253から構成されており、変換部 251は、ノメタ格納部 261及びべき乗演算部 262を含み、主要演算部 252は、パラメタ格納部 263及び乗算部 2 64を含み、逆変換部 253は、パラメタ格納部 265、離散対数計算部 266及び CRT ( Chinese Remainder Theorem)部 267を' sむ。

[0085] (i)各種パラメータ及び記号の定義、並びに入力データの条件

ここで、加算モジュール 243で使用する各種パラメータ及び記号の定義、並びに入力データの条件について説明する。

p (i=l， 2,…， k)を、それぞれ異なる素数とする。例えば、 p

(i=l， 2，…， k)は、 p =3、p =5、p =7、p = 13、 ···などのように、それぞれ

1 2 3 4

小さい素数である。また、例えば、 k=17である。また、それらの積 p Xp X… Xp

1 2 k を nとする。ここで、 Xは乗算を示す。 nは、例えば、 64ビット程度で表現できる数である。例えば、 k=17のとき、 n=p Xp Χ···Χρ >2⁶⁴となる。

1 2 k

[0086] p (i=l, 2, ···, k)は、逆変換部 253により保持され、 nは、変換部 251及び主要演算部 252により保持されている。

加算モジュール 243では、 mod nの整数から構成される剰余整数環 Z/nZの乗法群の演算を用いる。 gは、その乗法群に属する予め与えられた数であり、 p (i=l， 2, ···, k)に対して原始元とする。

[0087] 原始元とは、 mを 1, 2, …と動かしたとき、初めて g^m = 1 mod p となる mの値、 p— 1であるような gである。

L = LCM(p —1, p —1, ···, p — 1)とする。ここで、 LCM(p —1, p —1, ···, p

1 2 k 1 2 k

— 1)は、 p — 1, p — 1,…， p _1の最小公倍数（Least Common Multiple)を示す。

1 2 k

[0088] 入力データ a、 bは、それぞれ、 L/2より小さレ、非負整数とする。

(ii)変換部 251の構成

変換部 251は、パラメタ格納部 261及びべき乗演算部 262を含む。

パラメタ格納部 261は、 nと gとを格納してレ、る。

べき乗演算部 262は、入力データ a、 bを受け取り、受け取った入力データ a、 bに対し、 g =g^a mod n,及び

a

g =g^b mod nを計算し、得られた g 及び g を主要演算部 252へ出力する。 b a b

[0089] (iii )主要演算部 252の構成

主要演算部 252は、パラメタ格納部 263及び乗算部 264を含む。

パラメタ格納部 263は、 nを格納している。

乗算部 264は、べき乗演算部 262から g 及び g を受け取り、受け取った g 及び g

a b a b に対し、

g =g Xg mod nを計算し、得られた g を逆変換部 253へ出力する。 ab a b ab

[0090] (iv)逆変換部 253の構成

逆変換部 253は、パラメタ格納部 265、離散対数計算部 266及び CRT部 267を含む。

パラメタ格納部 265は、 p 、ρ 、 ···、ρ を格納している。

1 2 k

離散対数計算部 266は、乗算部 264から g を受け取り、

ab

受け取った g について、 g mod p に対する g mod p (i=l, 2,…，の離散

ab i ab i

対数 _Cimod p.-l(i=l, 2, ···, k)を計算する。

[0091] つまり、 g =g^ci mod p (i=l, 2,…， k)となる c mod p— l(i=l, 2,…， k)

ab i i i

を求める。次に、得られた mod p.-l(i=l, 2, ···, k)を CRT部 267へ出力する離散対数計算部 266による ci mod pi— 1の計算方法については、様々なものがあるが、以下にその一例を示す。

[0092] wを 1, 2, 3,…と順番に動力して、 g^w =g mod p となる wを求める。その wを c

ab i i とする。なお、各に関し、 g¹， g² ,…，

g^(pi— ²⁾ mod piを計算した結果をテーブルとして保持し、そのテーブルの値から、 g

ab mod p と一致する g^wを探す、としてもよレ、。

CRT部 267は、離散対数計算部 266から c mod p— l(i=l, 2,…， k)を受け取

i i

り、中国人剰余定理（CRT)により、受け取った c mod p— l(i=l, 2，…， k)から、

i i

g mod nの g mod nに対する離散対数 c mod Lを求める。つまり、中国人剰 ab

余定理により、 c =c mod p _l(i=l， 2,…， k)となる cを求める。

i i [0093] 離散対数 _Ci mod p.-l(i=l, 2,…，から、中国人剰余定理を用いて、 c mod L (ここで、 L=LCM(p -1, p -1, ···, p _1) )を求めるには、次に示すように

1 2 k

する。

ここで、式が複雑になるのを避けるために、 m =p _1とおく。

u =m X(m— ¹ mod (m /GCD(m m ))) X (c— c )+c を計算する。

2 1 1 2 1, 2 2 1 1

[0094] ここで、 GCD(a,b,c， · · は、 a,b，c, · · ·の最大公約数 (Greatest Common Divisor)を示す。

次に、

u =(m X m ) X ((m Xm )— ¹ mod (m /GCD(m

1，m

2，m ))) X (c - u )+u

3 1 2 1 2 3 3 3 2 2

を計算し、

u =(m Xm X m ) X ((m Xm X m ) ¹ mod (m / GCD(m

1 2 3 1 2 3 4 1，m

2，m ))

4 3，m )

4

X(c u)+u を計算し、

4 3 3

以下順に、同様に、 U

5，U ,' "

6 ，U を計算し、

k-1

u =(m Xm Xm X · · · Xm ) X ((m X m X m · · · X m )

k 1 2 3 k-1 1 2 3 k-1

mod (m /GCD(m ,m ,m ,m · · · ,m ))) X (c - u )+u を計算する。

k 1 2 3 4 k-1 k k-1 k-1

[0095] 次に、 c=u とする。こうして、 cが得られる。

k

なお、 CRT咅 B267よる（i=l, 2, · · · , k)力ら，

c mod _;_1=^を満たす c mod Lを計算する方法については、非特許文献 2 に詳しく述べられている。

次に、 CRT部 267は、得られた cを加算モジュール 243の呼び出し元のプログラムへ出力する。

[0096] (V)加算モジュール 243による加算の動作

加算モジュール 243による加算の動作について、図 15に示すフローチャートを用いて説明する。

べき乗演算部 262は、加算モジュール 243の呼び出し元のプログラムから入力デ一タ&、 bを受け取り（ステップ S301)、受け取った入力データ a、 bに対し、 g =g^a mo d n, g =g^b mod nを計算する（ステップ S302— S303)。

[0097] 次に、乗算部 264は、 g 及び g に対し、 g =g Xg mod nを計算する (ステツ a ab a b プ S304)。

次に、離散対数計算部 266は、 g =g^ci mod p (i= l , 2, · · · , k)となる c mod

ab i i p -1を求め（ステップ S305)、 CRT部 267は、中国人剰余定理（CRT)により、 c = c mod p _l (i= l , 2,…， k)となる cを求め（ステップ S306)、次に、得られた c を加算モジュール 243の呼び出し元のプログラムへ出力する（ステップ S307)。

[0098] (vi)加算モジュール 243による加算の動作の検証

以下で、加算モジュール 243が、入力データ a、 bに対し、データ a + bを出力していることを検証する。

変換部 251において、入力データ a、 bに対し、 g =g^a mod n，

g =g^b mod nを計算し、主要演算部 252において、

b

g =g X g mod nを計算する。このとき、 g =g^(a+b) mod nを満たすことは明らか ab a b ab

である。

逆変換部 253では、 gと g から g =g^ci mod p (i= l , 2, · · · , k)を満たす cを計算

ab ab i i し、その結果を用いて、 c = c mod p _1を満たす c mod Lを計算する。このとき、

i i

Cは g = g

ab

mod nを満たす。なぜなら、 a + b = c mod Lより、 g(^a+b— = 1 mod nとなるためである。したがって、 g(^a+b) mod n=g^c mod nを満たすため、 a + b = c mod ( (pi -1) X (p2— 1) X〜X (pk_l) )を満たす。 a< L/2, bく L/2より a + bく Lであるので、加算モジュール 243は、入力データ aと入力データ bとの加算結果であるデータ a + bを出力していることになる。

[0099] 1. 4 第 1の実施の形態の効果

加算モジュール 243は、加算を行う値を変換している。変換部 251及び逆変換部 2 53が解析困難な場合であっても、解析者は g ， g , g の値を知り、 g ， g から g を

a b ab a o ab 計算する処理を知る可能性がある。このような場合であっても、変換後の値 g , g か

a b ら変換前の値 a, bを推測することは困難である。さらに、加算モジュール 243は、主要演算部 252において、乗算を行っており、この乗算という演算力、ら加算モジュール 243が加算を実現していることを推測することは困難である。したがって、加算を行う入力の値の隠蔽だけではなぐ加算という演算自体も隠蔽できることになり、第 1の実施の形態は有効である。

[0100] 復号制御モジュール 241は、鍵と他のデータとの加算において、加算モジュール 2 43を利用している。そのため、加算の対象となる値、すわなち、鍵の値を推測することが困難になる。また、解析者が暗号アルゴリズムを知っている場合においても、鍵加算部分が、鍵との「加算」を行っていると推測しにくい。そのため、解析者が、暗号アルゴリズムの特徴である鍵加算部分をプログラム内から探し出す攻撃をした場合でも、鍵加算部分を探し出すことが困難なため、攻撃も困難となる。このように、解析者の攻撃が困難になり、本実施の形態は有効である。

[0101] 2.変形例（1)

第 1の実施の形態における加算モジュール 243の代わりに、加算モジュール 501を採用するとしてもよい。ここでは、加算モジュール 501について説明する。

2. 1 加算モジュール 501の構成

カロ算モジユーノレ 501は、加算モジュール 243と同様に、入力データ a、 bに対し、データ a + bを演算し、データ a + bを出力するコンピュータプログラムであり、図 16に示すように、変換部 511、主要演算部 512及び逆変換部 513から構成されており、変換部 511は、ノメタ格納部 521、乱数発生部 522及びべき乗演算部 523を含み、主要演算部 512は、パラメタ格納部 524及び乗算部 525を含み、逆変換部 513は、パラメタ格納部 526、離散対数計算部 527及び還元部 528を含む。

[0102] 2. 2 各種パラメータ及び記号の定義、並びに入力データの条件

ここで、加算モジュール 501で使用する各種パラメータ及び記号の定義、並びに入力データの条件について説明する。

p, qを素数とし、 n = p² X qとする。 p, qは、逆変換部 513により保持され、 nは、それぞれ、変換部 511及び主要演算部 512により保持される。

[0103] 加算モジュール 501では、 mod nの整数から構成される剰余整数環 ZZnZの乗法群の演算を用いる。 gは、その乗法群に属する予め与えられた数であり _§ ^ϋ mod p²の位数が pである数とする。また、

g =g⁽ mod p と定義する。

入力データ a、 bは、 p/2より小さい非負整数とする。 [0104] 2. 3 変換部 511の構成

変換部 511は、パラメタ格納部 521、乱数発生部 522及びべき乗演算部 523から構成されている。

パラメタ格納部 521は、 nと gとを記憶してレ、る。

乱数発生部 522は、 n以下の乱数 Rl , R2を生成する。

[0105] べき乗演算部 523は、入力データ a、 bに対し、乱数発生部 522により生成された乱数 Rl , R2を用いて、

g =g +n X Rl) mod η、

a

g =g" (b + n X R2) mod nを計算する。

b

なお、本明細書において、記号「」は、べき乗を示す演算子である。例えば、 a"b = a^bである。本明細書において、表現上の都合により、 a b及び

a^bの両方の表記を使い分けている。

[0106] 次に、べき乗演算部 523は、計算結果 g ， g を主要演算部 512へ出力する。

a b

2. 4 主要演算部 512の構成

主要演算部 512は、パラメタ格納部 524及び乗算部 525から構成されている。パラメタ格納部 524は、 nを記憶している。

乗算部 525は、べき乗演算部 523から計算結果 g ， g を受け取り、受け取った g

a b a

, g に対し、

b

g =g X g mod _nを計算し、計算結果 g を逆変換部 513へ出力する。

ab a b ab

[0107] 2. 5 逆変換部 513の構成

逆変換部 513は、パラメタ格納部 526、離散対数計算部 527及び還元部 528から構成されている。

パラメタ格納部 526は、 pを格納している。

離散対数計算部 527は、乗算部 525から計算結果 g を受け取り、受け取った g に

ab ab 対し、パラメタ格納部 526に格納されている pを用いて、

c =g ^(ρ— ^ϋ mod p²を計算し、次に、 c を還元部 528へ出力する。

p ab p

[0108] 還元部 528は、離散対数計算部 527から c を受け取り、

受け取った c を用いて、 mod p²における g に対する c の離散対数 cを計算し、計算して得られた cを、呼び出し元のプログラムへ出力する。

還元部 528における cの計算方法については、特許文献 2に詳しく述べられている。具体的には、以下のように行う。

[0109] c に対し、 c=(c _l)/(g -1) mod pとして cを求める。

P P P

2. 6 加算モジュール 501による加算の動作

加算モジュール 501による加算の動作について、図 17に示すフローチャートを用いて説明する。

べき乗演算部 523は、呼び出し元のプログラムから入力データ a、 bを受け取り（ステップ S311)、乱数発生部 522は、 n以下の乱数 Rl， R2を生成し（ステップ S312)、べき乗演算部 523は、

g =g +nXRl)mod n、

a

g =g"(b + nXR2)mod nを計算する（ステップ S313— S314)。

b

[0110] なお、本明細書において、記号「」は、べき乗を示す演算子であり、例えば、 a"b = a^bである。本明細書では、場合によって、「 b」及び「a^b」の両方の表記を使い分けている。

次に、乗算部 525は、 g =g Xg mod nを計算する（ステップ S315)。

ab a

[0111] 次に、離散対数計算部 527は、 c =g ^(p_1) mod p²を計算し (ステップ S316)、 p ab

還元部 528は、 c=(c -l)/(g -1) mod pとして cを求め（ステップ S317)、次

P P

に、 c( = a + b)を呼び出し元のプログラムへ出力する（ステップ S318)。

[0112] 2. 7 加算モジュール 501による加算の動作の検証

以下において、加算モジュール 501が、入力データ a、 bに対し、 a + bを出力していることを検証する。

変換部 511において、 a, bに対し、

g =g (a + nXRl)mod n、

a

g =g"(b+nXR2)mod nを計算し、

b

主要演算部 512において、 g =g Xg mod nを計算する。このとき、 g =g"(a ab a b ab

+ b + nX (R1+R2)) mod nを満たすことは明らかである。逆変換部 513では、まず、 c =g ^{( _1)} =g ' (a + b + n X (R1 +R2) ) mod p²となり、

g ^P = 1 mod p より、

g = 1 mod p²であるため、

c =g mod p²となる。

[0113] 逆変換部 513では、さらに、 mod p²における g に対する c の離散対数 cを求める

。すなわち、

c =g mod p 力 S成りつ。したがって、

c = a + b mod pであり、 aく pZ2， bく p/2より、 a + bく pであるため、カロ算モジュ一ノレ 501は、入力データ aと bの加算結果 a + bを出力していることになる。

[0114] 2. 8 加算モジュール 501による効果

カロ算モジユーノレ 501は、第 1の実施の形態 1の加算モジュール 243と同様に、加算を行う値を変換しており、変換部 511及び逆変換部 513が解析困難な場合に、変換後の値から変換前の値を推測することは困難である。さらに、加算モジュール 501は、主要演算部 512において、乗算を行っており、この乗算という演算力ら加算モジュール 501が加算を実現していることを推測することは困難である。したがって、加算を行う入力の値の隠蔽だけではなぐ加算という演算自体も隠蔽できることになり、この発明は有効である。

[0115] 2. 9 その他（1)

加算モジュール 501では、剰余整数環 Z/nZの乗法群における冪乗演算を変換部 511で行い、その乗法群の部分群である剰余整数環 Z/p² Zの乗法群における離散対数問題を逆変換部 513で解いている。ここで、もし、解析者が p， qは分からないが、変換部 511で冪乗演算を行っていることを解析できた場合を考える。このケースは、すなわち、逆変換部 513のみが解析者により解析困難である場合である。この場合においても、 nの大きさが素因数分解が困難なぐらい、例えば、 1024ビットぐらレ、であれば、 nの素因数分解結果である p, qを得ることが困難になる。また、 p, qが得られなければ、剰余整数環 Z/nZの乗法群における離散対数問題を解くことが困難になる。一般に乗法群の大きさ（元の数）が 1024ビットの数のように大きい場合は、それ上の離散対数問題も困難になる。加算モジュール 501では、 pが既知の場合は逆変換部 513における逆変換の方法によって、 Z/p² Zの乗法群における離散対数問題を容易に解けるようになる。加算モジュール 501における変換はこのように、 pが既知であれば逆変換が容易である力既知でなければ困難であることを利用している点が、カロ算モジユーノレ 2431と異なる。

[0116] 2. 10 その他（2)

カロ算モジユーノレ 501は、次のように構成してもよい。

p, qを素数とし、 n = p^m X qとする。 mは、正整数である。また、カロ算モジユーノレ 501 では、 mod nの整数力構成される剰余整数環 ZZnZの乗法群の演算を用いる。 g は、その乗法群に属する予め与えられた数であり g^(P—¹〉 mod p^mの位数力 ¾である数とする。また、 g =g^(P— ^ϋ mod p^mと定義する。

P

[0117] 離散対数計算部 527は、乗算部 525から計算結果 g を受け取り、受け取った g に ab ab 対し、パラメタ格納部 526に格納されている pを用いて、

c =g ^(p_1) mod p^mを計算し、次に、 c を還元部 528へ出力する。

p ab p

還元部 528は、離散対数計算部 527から c を受け取り、

受け取った c を用いて、 mod p^mにおける g に対する c の離散対数 cを計算し、計

P P P

算して得られた cを、呼び出し元のプログラムへ出力する。

[0118] 3·変形例（2)

第 1の実施の形態における加算モジュール 243の代わりに、加算モジュール 601を採用するとしてもよい。ここでは、加算モジュール 601について説明する。加算モジュール 601は、楕円曲線上のスカラ倍演算を利用している。楕円曲線については、非特許文献 3に詳しく説明されている。

[0119] 3. 1 加算モジュール 601の構成

加算モジュール 601は、加算モジュール 243と同様に、入力データ a、 bに対し、データ a + bを演算し、データ a + bを出力するコンピュータプログラムであり、図 18に示すように、変換部 611、主要演算部 612及び逆変換部 613から構成されており、変換部 611は、ノメタ格納部 621及びスカラ倍演算部 622を含み、主要演算部 612は、パラメタ格納部 623及び楕円曲線加算部 624を含み、逆変換部 613は、パラメタ格納部 625、還元部 626及び離散対数計算部 627を含む。 [0120] 3. 2 各種パラメータ及び記号の定義、並びに入力データの条件

ここで、加算モジュール 601で使用する各種パラメータ及び記号の定義、並びに入力データの条件について説明する。

p、 qを素数とし、 n = pXqとする。 p、 qは、逆変換部 613により保持され、 nは、それぞれ、変換部 611及び主要演算部 612により保持されてレ、る。

[0121] 楕円曲線 Eの方程式を

y =x³ +AXx + Bとする。ここで、 A、 Bは、楕円曲線 Eのパラメータである。 G=(x , y ) mod nを楕円曲線 E上の点とする。すなわち、

g g

y ² =x ^u +AXx +B mod nを満たす。

g g g

A、 B、 Gは、変換部 611、主要演算部 612、逆変換部 613により保持される。

[0122] 楕円曲線 Eの方程式をもつ体 GF(p)上の楕円曲線の点から構成される群を E(GF

(p) )と表現する。同様に、楕円曲線 Eの方程式をもつ体 GF(q)上の楕円曲線の点力構成される群を E (GF (q) )と表現する。

Z/nZ上の楕円曲線の群を

E(GF(p) E(GF(q)

直積 E(GF(p)) XE(GF(q))で表す。なお、 Z/nZは体ではなく、環であるため、数学的には楕円曲線とは呼べないが、ここでは便宜上、その直積 Z/nZ上の楕円曲線の群とよぶ。

[0123] £(0? ））上の点0 =(x , y ) mod pと、

P g g

E(GF(q))上の点 G = (x , y ) mod qとに対応する Z/nZ上の楕円曲線 E (G q gq gQ

F(p)) XE(GF(q))の

^,G= (x ， y ) mod ηίこつレヽて、

g

x ¾r

g

x mod p = x 及び

g g

x mod q = x を満たす数と定義し、

g gq

y を

g

y mod p = y 及び

g gP

x mod q = x を満たす数と定義する。 [0124] この定義より、

E(GF(p)) XE(GF(q))上の点 G=(x , y ) mod nに対応する E (GF (p) )上の点 G を

G = (x ， y ) mod pとし、

£(0 ））上の点0 を G =(x , y )とすることで、

E (GF (p) ) , E (GF (q) )を E (GF (p) ) X E (GF (q) )の部分群とみなす。

[0125] 加算部 601においては、上記楕円曲線 Eは、 mod pでの楕円曲線の位数、すなわち、点の個数が、 pであるとする。このような体 GF(p)上の楕円曲線をァノマラス（ Anomalous)楕円曲線とよ。

さらに、 mod qでの楕円曲線の位数が qである、すなわち、 GF(q)上でもァノマラス楕円曲線であるとする。

[0126] このとき、 Z/nZ上の楕円曲線を、スーパーァノマラス（Super-Anomalous)楕円曲線とよぶ。スーパーァノマラス楕円曲線については非特許文献 4に詳しく説明されている。

このとき、 Z/nZ上の楕円曲線の群は E(GF(p)) XE(GF(q))であるので、楕円曲線の位数は、

n( = pXq)となる。

[0127] 入力データ a、 bは、 p/2より小さい非負整数とする。

3.3 変換部 611の構成

変換部 611は、パラメタ格納部 621及びスカラ倍演算部 622から構成されている。パラメタ格納部 621は、 n、 A、 B、 Gを記憶している。

[0128] スカラ倍演算部 622は、呼び出し元のプログラムから、入力データ a、 bを受け取り、受け取った入力データ a、 bに対し、パラメータ格納部 621に格納されている n、 A、 B 、Gを用いて、

G =a*G mod n 及び

G =b*G mod nを計算する。

[0129] ここで、 a*Gは、 Gを a回、楕円曲線の加算により足し合わせて得られる点である。

また、 a*G mod nは、 a * Gの各座標に、 mod nを施したものである。スカラ倍演算部 622は、計算結果 G ， G を主要演算部 612へ出力する。

a b

3. 4 主要演算部 612の構成

主要演算部 612は、パラメタ格納部 623及び楕円曲線加算部 624から構成されている。

[0130] パラメタ格納部 623は、 n、 A、 Bを記憶している。

楕円曲線加算部 624は、スカラ倍演算部 622から計算結果 G , G を受け取り、パ

a b

ラメタ格納部 623に記憶されている n、A、 Bを用いて、 G 及び G に対して、楕円曲

a b

線加算を実行して、

G =G +G mod n

ab a b

を計算し、その計算結果 G を逆変換部 613へ出力する。

ab

[0131] 3. 5 逆変換部 613の構成

逆変換部 613は、パラメタ格納部 625、還元部 626及び離散対数計算部 627から構成されている。

パラメタ格納部 625は、 p, A, B, G mod pを記憶している。

還元部 626は、楕円曲線加算部 624から計算結果 G を受け取り、受け取った G

ab ab に対し、パラメタ格納部 625に格納されている pを用いて、

G =G mod p を計算し、計算結果を離散対数計算部 627へ出力する。

abp ab

[0132] 離散対数計算部 627は、 G mod pに対する G の離散対数 c mod pを計算す

abp

る。つまり、 G =c * G mod pの cを求める。次に、 cを呼び出し元のプログラムへ

abp

出力する。

ここで、楕円離散対数計算部 627における cは、ァノマラス楕円曲線上の離散対数問題の解である。ァノマラス楕円曲線上の離散対数問題を解く方法については、非特許文献 3の 88 91ページに詳しく説明されている。計算方法はこの文献に記載されているため、ここでは説明を省略する。

[0133] 3. 6 加算モジュール 601の動作

加算モジュール 601の動作について、図 19に示すフローチャートを用いて説明する。

スカラ倍演算部 622は、呼び出し元のプログラムから、入力データ a、 bを受け取り（ステップ S321)、受け取った入力データ a、 bに対し、パラメータ格納部 621に格納されている n、 A、 B、 Gを用いて、

G = a ^ G mod n 及び

a

G =b * G mod nを計算する（ステップ S322— S323)。

b

[0134] 次に、楕円曲線加算部 624は、

G =G + G mod nを計算する（ステップ S324)。

ab a b

次に、還元部 626は、

G =G mod p を計算し（ステップ S325)、

abp ab

離散対数計算部 627は、 G mod pに対する G の離散対数 cを計算し (ステップ

abp

S326)、次に、 cを呼び出し元のプログラムへ出力する（ステップ S327)。

[0135] 3. 7 加算モジュール 601の動作検証

以下において、加算モジュール 601が、入力データ a, bに対し、 a + bを計算して出力していることを検証する。

変換部 611において、 a, bに対し、

G = a ^ G mod n,

a

G =b * G mod nを計算し、

b

主要演算部 612において、

Gab = Ga + Gb mod nを計算する。

[0136] このとき、 Gab = (a + b) * G mod nを満たすことは明らかである。

逆変換部 613において、まず、

G =Gab mod pを計算し、

abp

G mod pに対する G の離散対数 cを求める。

abp

すなわち、 G = c * G mod pが成り立つ。

abp

[0137] 従って、 c = a + b mod pであり、 aく p,2, bく pZ2より、

a + bく pであるため、加算モジュール 601は、入力データ aと bとの加算結果 a + bを出力していることになる。

3. 8 加算モジュール 601の効果

カロ算モジユーノレ 601は、カロ算モジユーノレ 243及び、カロ算モジユーノレ 501と同様に、加算を行う値を変換しており、変換部 611及び逆変換部 613が解析困難な場合に、変換後の値力変換前の値を推測することは困難である。

[0138] さらに、カ卩算モジュール 601は、主要演算部 612において、楕円曲線加算を行っており、この楕円曲線加算という演算から加算モジュール 601が整数の加算を実現してレ、ることを推測することは困難である。

従って、整数の加算を行う入力の値の隠蔽だけではなぐ整数の加算という演算自体も隠蔽できることになり、加算モジュール 601は、有効である。

[0139] 3. 9 その他

加算モジュール 601では、 ZZnZ上の楕円曲線の群 E (GF (p) ) X E (GF (q) )のスカラ倍演算を変換部で行い、その部分群である E (GF (p) )における離散対数問題を逆変換部で解いている。

ここで、もし、解析者が p， qは分からないが、変換部で冪乗演算を行っていることを解析できた場合を考える。このケースは、すなわち、逆変換部のみが解析者により解析困難である場合である。

[0140] この場合においても、 nの大きさが素因数分解が困難なぐらい、例えば、 1024ビットぐらいであれば、 nの素因数分解結果である p, qを得ることが困難になる。また、 p, q が得られなければ、 Z/nZ上の楕円曲線の群 E (GF (p) ) X E (GF (q) )における離散対数問題を解くことが困難になる。

一般に群の大きさ（元の数）が 1024ビットの数のように大きい場合は、それ上の離散対数問題も困難になる。加算モジュール 601では、 pが既知の場合は逆変換モジユールにおける逆変換の方法によって、楕円曲線の群 E (GF (p) )における離散対数問題を容易に解けるようになる。加算モジュール 601における変換はこのように、 pが既知であれば逆変換が容易である力 S、既知でなければ困難であることを利用している点が、第 1の実施の形態と異なる。

[0141] 4.その他の変形例

なお、本発明を上記の実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。 (1)加算モジュール 243、 501及び 601におレ、て、 2個の非負整数 a及び bの加算を行うとしている力各加算モジュールは、 3個、又はそれ以上の個数の非負整数の加算を行うとしてもよい。この場合に、各加算モジュールの変換部は、それぞれの非負整数を変換し、加算モジュール 243及び 501の主要演算部は、それぞれの変換結果に対して乗算を施し、加算モジュール 601の主要演算部は、それぞれの変換結果に対して、楕円曲線加算を施す。

[0142] (2)復号制御モジュール 241において、鍵加算部分のみに加算モジュール 243、 5 01又は 601を使用するとしている力他の加算部分において、各加算モジュールを使用するとしてもよい。

(3)第 1の実施の形態では、各加算モジュールを復号制御モジュール 241に適用するとしている力上記の喑号制御モジュール 141や、他の喑号プログラム、復号プログラム、デジタル署名を生成する署名生成プログラムに適用するとしてもよい。このように、加算による演算が出現する情報処理演算であれば、どのようなものであっても適用することができる。

[0143] (4)加算モジュール 243、 501及び 601におレ、て、剰余整数環の乗法群、楕円曲線上の群を利用した力その他の群を利用するとしてもよい。

また、加算モジュール 243及び 501においては、冪乗演算を行って、整数を変換し、加算モジュール 601においては、楕円曲線のスカラ倍演算を行って、整数を変換するとしている力 S、その他の群の冪演算を行うことにより変換するとしてもよい。

[0144] ここで、冪演算とは、群の基本演算、すなわち、剰余整数環では乗算を、また楕円曲線上の群では楕円曲線加算を、整数回行った結果を求める演算である。

したがって、剰余整数環の乗法群の冪演算は冪乗演算、楕円曲線上の群の冪演算は楕円曲線のスカラ倍演算である。

加算モジュール 501では、剰余整数環 ZZnZの乗法群の「部分群」である、剰余整数環 ZZP² Zの乗法群において離散対数問題を解いている。その他の群を使用する場合は、加算モジュール 501と同様に逆変換部でその他の群の「部分群」において離散対数問題を解くとしてもよい。

[0145] (5)加算モジュール 243において、 gは、 mod p (i= l, 2,…， k)において原始元としたが、原始元でなくてもよい。

その場合は、 g^mi = 1 mod p (m >0)となる m に対し、

i i i

L=m X m X · · · X m とする。

1 2 k

(6)上記の各装置は、具体的には、マイクロプロセッサ、 ROM、 RAM,ハードディスクユニット、ディスプレイユニット、キーボード、マウスなど力も構成されるコンピュータシステムである。前記 RAM又は前記ハードディスクユニットには、コンピュータプログラムが記憶されている。ここで、コンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。つまり、前記マイクロプロセッサは、前記コンピュータプログラムに含まれる各命令を 1個ずつ読み出し、読み出した命令を解読し、解読結果に従って動作する。

[0146] (7)上記の各装置を構成する構成要素の一部又は全部は、 1個のシステム LSI (

Large Scale Integration :大規模集積回路）から構成されているとしてもよレ、。システム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSIであり、具体的には、マイクロプロセッサ、 R〇M、 RAMなどを含んで構成されるコンピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムに従って動作することにより、システムし SIは、その機能を達成する。

[0147] (8)上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能な I Cカード又は単体のモジュールから構成されているとしてもよい。前記 ICカード又は前記モジュールは、マイクロプロセッサ、 ROM、 RAM,など力構成されるコンビュータシステムである。前記 ICカード又は前記モジュールは、上記の超多機能 LSIを含むとしてもよレ、。マイクロプロセッサ力コンピュータプログラムに従って動作することにより、前記 ICカード又は前記モジュールは、その機能を達成する。この ICカード又はこのモジュールは、耐タンパ性を有するとしてもよレ、。

[0148] (9)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD-RO M、 MO、 DVD、 DVD-ROM, DVD-RAM, BD (Blu-ray Disc)、半導体メモリなど、に記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラム又は前記デジタル信号であるとしてもよい。

[0149] また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしてもよい。

[0150] また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい

(10)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

(11)以上説明したように、本発明によると、演算に使用する値の隠蔽だけでなぐ演算そのものを隠蔽することができる。したがって、本技術を用いた難読化ソフトゥェァを ICカード等の機器に組み込むことは有用である。

産業上の利用可能性

[0151] 本発明を構成する各装置、各方法及び各コンピュータプログラムは、情報を安全かつ確実に扱う必要があるあらゆる産業において、経営的に、また継続的及び反復的に使用することができる。また、本発明を構成する各装置、各方法及び各コンビユータプログラムは、電器機器製造産業において、経営的に、また継続的及び反復的に、製造し、販売することができる。

Claims

請求の範囲

[1] 2個以上の整数を加算するコンピュータシステムであって、

複数のコンピュータ命令が組み合わされて構成されるコンピュータプログラムを記憶しているメモリ部と、

前記記憶手段に記憶されている前記コンピュータプログラムから 1個ずつコンビユータ命令を読み出し、解読し、その解読結果に応じて動作するプロセッサとを備え、前記コンピュータプログラムは、

各整数に、群 G上の冪演算を施すことにより、群 Gに属する元を生成する変換命令群と、

生成された全ての前記元に対して、前記加算とは異なる群 G上の基本演算を施して、演算値を生成する演算命令群と、

群 G又は群 Gに真に含まれる部分群 Sにおいて、前記演算値に対して、前記変換命令群により施される冪演算の逆算を施すことにより、前記整数の加算値を生成する逆変換命令群とを含む

ことを特徴とするコンピュータシステム。

[2] 前記コンピュータシステムは、対象情報を安全かつ確実に扱う情報セキュリティ装置であって、

前記コンピュータプログラムは、さらに、対象情報にセキュリティ処理を施すセキユリティ命令群を含み、

前記セキュリティ命令群は、加算演算において、前記変換命令群、前記演算命令群及び前記逆変換命令群を用いる

ことを特徴とする請求項 1に記載のコンピュータシステム。

[3] 前記群 Gは、剰余整数環の乗法群であり、

前記変換命令群は、各整数に冪乗を施し、

演算命令群は、前記元に対して、乗算を施す

ことを特徴とする請求項 2に記載のコンピュータシステム。

[4] 前記群 Gは、複数個の相異なる素数 p ， ρ , · · · , p (k> l)の積 η=ρ Χ ρ Χ · ' ·

1 2 k 1 2

X p に対し、 Z/nZの乗法群であり、 Xは、乗算を示す演算子であり、 Zは、整数環であり、 Z/nZは、 mを法とし整数と合同である値から構成される剰余整数環である

ことを特徴とする請求項 3に記載のコンピュータシステム。

[5] 前記逆変換命令群は、前記素数 p , p ,…， p を用いた Z/p Z、 Z/p Z、 · · -、

1 2 k 1 2

Z/p Zの乗法群における離散対数問題を解く命令を含む

k

ことを特徴とする請求項 4に記載のコンピュータシステム。

[6] 前記逆変換命令群は、前記素数 p , p ,…， p を用いた ZZp Z, Z/p Z,…，

1 2 k 1 2

Z/p Zの乗法群における離散対数問題の解に対し、中国人の剰余定理を用いる κ

命令を含む

ことを特徴とする請求項 5に記載のコンピュータシステム。

[7] 前記群 Gは、 2つの素数 p, qと正整数 mを用いて表される n = p^m X qに対し、 ZZn Zの乗法群であり、

前記変換命令群は、各整数に冪乗を施し、

演算命令群は、前記元に対して、乗算を施す

[8] 前記部分群 Sは、 Z/p^m Zの乗法群である

ことを特徴とする請求項 7に記載のコンピュータシステム。

[9] 前記正整数 mは、 2である

[10] 前記部分群 Sは、ァノマラス楕円曲線の群であり、

前記変換命令群は、各整数に楕円曲線上の乗算を施し、

演算命令群は、前記元に対して、楕円曲線上の加算を施す

[11] 前記群 Gは、二つのァノマラス楕円曲線の群の直積であり、

前記変換命令群は、各整数に楕円曲線上の乗算を施し、

演算命令群は、前記元に対して、楕円曲線上の加算を施す

[12] さらに、前記逆変換命令群は、複数の冪数と、各冪数による冪乗値又は冪倍値とを対応付けて記憶しており、その対応付けを検索することにより、冪演算の逆算を求める

[13] さらに、前記逆変換命令群は、前記群 Gに属する元を前記部分群 Sに属する元に還元する還元部を備える

[14] 前記情報セキュリティ装置は、鍵情報に基づいて対象情報を暗号化し又は復号し、前記セキュリティ命令群は、前記鍵情報に基づいて、対象情報を暗号化し又は復号し、暗号化又は復号において、鍵情報又は鍵情報から得られる二次鍵情報と、対象情報又は対象情報力得られる二次対象情報との加算演算が含まれ、

前記加算演算において、前記変換命令群、前記演算命令群及び前記逆変換命令群を用いて、鍵情報又は鍵情報から得られる二次鍵情報と、対象情報又は対象情報力得られる二次対象情報とに、加算を施す

[15] 前記暗号化又は復号は、共通鍵方式の暗号化又は復号アルゴリズムである

ことを特徴とする請求項 14に記載のコンピュータシステム。

[16] 前記情報セキュリティ装置は、鍵情報に基づいて対象情報にデジタル署名を施し又は署名検証を施し、

前記セキュリティ命令群は、前記鍵情報に基づいて、対象情報にデジタル署名を施し又は署名検証を施し、デジタル署名又は署名検証において、鍵情報又は鍵情報から得られる二次鍵情報と、対象情報又は対象情報から得られる二次対象情報との加算演算が含まれ、

[17] 前記コンピュータシステムは、前記メモリ部と前記プロセッサとが高密度に集積された集積回路を含む ICカードであることを特徴とする請求項 2に記載のコンピュータシステム。

[18] メモリ部とプロセッサとを備えるコンピュータシステムにおいて用いられ、 2個以上の整数を加算する加算方法であって、

各整数に、群 G上の冪演算を施すことにより、群 Gに属する元を生成する変換ステップと、

生成された全ての前記元に対して、前記加算とは異なる群 G上の基本演算を施して、演算値を生成する演算ステップと、

群 G又は群 Gに真に含まれる部分群 Sにおいて、前記演算値に対して、前記変換命令群により施される冪演算の逆算を施すことにより、前記整数の加算値を生成する逆変換ステップとを含む

ことを特徴とする加算方法。

[19] 2個以上の整数を加算するコンピュータプログラムであって、

ことを特徴とするコンピュータプログラム。

[20] 前記コンピュータプログラムは、コンピュータ読み取り可能な記録媒体に記録されている

ことを特徴とする請求項 19に記載のコンピュータプログラム。

[21] 前記コンピュータプログラムは、搬送波に乗せられて送信される

[22] 2個以上の整数を加算するコンピュータプログラムを記録してレ、るコンピュータ読み取り可能な記録媒体であって、

前記コンピュータプログラムは、各整数に、群 G上の冪演算を施すことにより、群 Gに属する元を生成する変換命令群と、

ことを特徴とする記録媒体。