WO2006025416A1

WO2006025416A1 - 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム

Info

Publication number: WO2006025416A1
Application number: PCT/JP2005/015815
Authority: WO
Inventors: Taizo Shirai; Preneel Bart
Original assignee: Sony Corporation
Priority date: 2004-09-03
Filing date: 2005-08-30
Publication date: 2006-03-09
Also published as: ES2391639T3; RU2006114754A; US20120324243A1; US8275127B2; EP2375624A3; US9240885B2; US8767956B2; US7747011B2; JP2006072054A; US20090103714A1; CN1879138A; EP2375625A3; RU2383934C2; US20140247937A1; HK1096758A1; JP4561252B2; ES2860689T3; EP1788542A4; CN100511331C; EP2375624B1

Abstract

　解析困難性を高めた、安全性の高い暗号処理装置および方法を実現する。非線形変換部および線形変換部を有するＳＰＮ型のＦ関数を、複数ラウンド繰り返し実行するＦｅｉｓｔｅｌ型共通鍵ブロック暗号処理において、複数ラウンド各々に対応するＦ関数の線形変換処理を、正方ＭＤＳ（Ｍａｘｉｍｕｍ　Ｄｉｓｔａｎｃｅ　Ｓｅｐａｒａｂｌｅ）行列を適用した線形変換処理とする。少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において設定される正方ＭＤＳ行列の逆行列に含まれる任意のｍ個の列ベクトルが正方ＭＤＳ行列である設定とする。本構成により、共通鍵ブロック暗号における線形攻撃に対する耐性の向上した暗号処理が実現される。

Description

明細書

暗号処理装置、および暗号処理方法、並びにコンピュータ 'プログラム技術分野

[0001] 本発明は、暗号処理装置、および暗号処理方法、並びにコンピュータ 'プログラムに関する。さらに詳細には、暗号解析処理、攻撃処理として知られる線形解析、差分解析に対する耐性を向上させた暗号処理装置、および暗号処理方法、並びにコンビユータ.プログラムに関する。背景技術

[0002] 昨今、ネットワーク通信、電子商取引の発展に伴い、通信におけるセキュリティ確保が重要な問題となっている。セキュリティ確保の 1つの方法が暗号技術であり、現在、様々な暗号ィ匕手法を用いた通信が実際に行なわれている。

[0003] 例えば ICカード等の小型の装置中に暗号処理モジュールを埋め込み、 ICカードと、データ読み取り書き込み装置としてのリーダライタとの間でデータ送受信を行ない、認証処理、あるいは送受信データの暗号化、復号を行なうシステムが実用化されている。

[0004] 暗号処理アルゴリズムには様々なものがあるが、大きく分類すると、暗号化鍵と復号鍵を異なる鍵、例えば公開鍵と秘密鍵として設定する公開鍵暗号方式と、暗号化鍵と復号鍵を共通の鍵として設定する共通鍵暗号方式とに分類される。

[0005] 共通鍵暗号方式にも様々なアルゴリズムがある力その 1つに共通鍵をベースとして複数の鍵を生成して、生成した複数の鍵を用いてブロック単位（64ビット， 128ビットなど）のデータ変換処理を繰り返し実行する方式がある。このような鍵生成方式とデータ変換処理を適用したアルゴリズムの代表的なものが共通鍵ブロック暗号方式である。

[0006] 代表的な共通鍵ブロック暗号のアルゴリズムとしては、例えば米国標準暗号としての DES (Data Encryption Standard)アルゴリズムがあり、様々な分野において広く用いられている。

[0007] DESに代表される共通鍵ブロック暗号のアルゴリズムは、主として、入力データの変換を実行するラウンド関数部と、ラウンド関数 (F関数)部の各ラウンドで適用する鍵を生成する鍵スケジュール部とに分けることができる。ラウンド関数部の各ラウンドで適用するラウンド鍵 (副鍵）は、 1つのマスター鍵 (主鍵）に基づいて、鍵スケジュール部に入力されて生成され、各ラウンド関数部で適用される。

[0008] しかし、このような共通鍵暗号処理においては、暗号解析による鍵の漏洩が問題となっている。暗号解析または攻撃手法の代表的な手法として、ある差分を持つ入力データ（平文）とその出力データ（暗号文)を多数解析することにより各ラウンド関数における適用鍵を解析する差分解析 (差分解読法または差分攻撃とも呼ばれる)や、平文と対応暗号文に基づく解析を行う線形解析 (線形解読法または線形攻撃とも呼ばれる）が知られている。

[0009] 暗号解析による鍵の解析が容易であると!/、うことは、その暗号処理の安全性が低!ヽということになる。従来の DESアルゴリズムにおいては、ラウンド関数 (F関数)部の線形変換部において適用する処理 (変換行列）が、各段のラウンドにおいて等しいものであったため解析が行、やすく、結果として鍵の解析の容易性を招、て、ると、う問題がある。

発明の開示

発明が解決しょうとする課題

[0010] 本発明は、上記問題点に鑑みてなされたものであり、線形解析や差分解析に対する耐性の高ヽ共通鍵ブロック暗号アルゴリズムを実現する暗号処理装置、および暗号処理方法、並びにコンピュータ 'プログラムを提供することを目的とする。

課題を解決するための手段

[0011] 本発明の第 1の側面は、

Feistel型共通鍵ブロック暗号処理を実行する暗号処理装置であり、

非線形変換部および線形変換部を有する SPN型の F関数を、複数ラウンド繰り返し実行する構成を有し、

前記複数ラウンド各々に対応する F関数の線形変換部は、 m個の非線形変換部各々の出力する nビット、総計 mnビットの入力に対する線形変換処理を、正方 MDS (

Maximum Distance Separable)行列を適用した線形変換処理として実行する構成であり、

少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々においては、異なる正方 MDS行列： La, Lbが適用され、かつ該正方 MDS行列の逆行列： La^{_ 1}, L b^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立であることを特徴とする暗号処理装置にある。

[0012] さらに、本発明の暗号処理装置の一実施態様において、さらに、前記逆行列: La^{_ 1} , Lb^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が正方 MDS行列であることを特徴とする。

[0013] さらに、本発明の暗号処理装置の一実施態様において、前記 Feistel型共通鍵ブロック暗号処理のアルゴリズムは、ラウンド数 2rの暗号処理アルゴリズムであり、前記 F関数の線形変換部は、 r個の全ての偶数ラウンドおよび r個の全ての奇数ラウンドにおいて 2≤ q < rの q種類の異なる正方 MDS行列を順次繰り返し適用した線形変換処理を実行する構成であることを特徴とする。

[0014] さらに、本発明の暗号処理装置の一実施態様において、前記 F関数の線形変換部において適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である正方 MDS行列であることを特徴とする。

[0015] さらに、本発明の暗号処理装置の一実施態様において、前記 F関数の線形変換部において適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列も正方 MDS行列となる正方 MDS行列であることを特徴とする。

[0016] さらに、本発明の暗号処理装置の一実施態様において、前記 F関数の線形変換部において適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する要素を全て含む正方 MDS行列 Mから選択された行ベクトルによって構成される行列 M'から抽出された列ベクトルによって構成される行列によって構成されていることを特徴とする。

[0017] さらに、本発明の第 2の側面は、

Feistel型共通鍵ブロック暗号処理を実行する暗号処理方法であり、非線形変換処理および線形変換処理を実行する SPN型の F関数を、複数ラウンド繰り返し実行し、

前記複数ラウンド各々に対応する F関数の線形変換処理は、 m個の非線形変換部各々の出力する nビット、総計 mnビットの入力に対する線形変換処理を、正方 MDS (Maximum Distance Separable)行列を適用した線形変換処理として実行し、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々においては、異なる正方 MDS行列： La, Lbが適用され、かつ該正方 MDS行列の逆行列： La^{_ 1}, L b^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である正方 MDS行列による線形変換処理を実行することを特徴とする暗号処理方法にある。

[0018] さらに、本発明の暗号処理方法の一実施態様において、さらに、前記逆行列: La^{_ 1} , Lb^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が正方 MDS行列である正方 MDS行列による線形変換処理を実行することを特徴とする。

[0019] さらに、本発明の暗号処理方法の一実施態様において、前記 Feistel型共通鍵ブロック暗号処理のアルゴリズムは、ラウンド数 2rの暗号処理アルゴリズムであり、前記 F関数の線形変換処理は、 r個の全ての偶数ラウンドおよび r個の全ての奇数ラウンドにお、て 2≤ q< rの q種類の異なる正方 MDS行列を順次繰り返し適用した線形変換処理を実行することを特徴とする。

[0020] さらに、本発明の暗号処理方法の一実施態様において、前記 F関数の線形変換処理において適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である正方 MDS行列であることを特徴とする。

[0021] さらに、本発明の暗号処理方法の一実施態様において、前記 F関数の線形変換処理において適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列も正方 MDS行列となる正方 MDS行列であることを特徴とする。

[0022] さらに、本発明の暗号処理方法の一実施態様において、前記 F関数の線形変換処理において適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する要素を全て含む正方 MDS行列 M力選択された行ベクトルによって構成される行列 M'から抽出された列ベクトルによって構成される行列によって構成されていることを特徴とする。

[0023] さらに、本発明の第 3の側面は、

Feistel型共通鍵ブロック暗号処理を実行するコンピュータ 'プログラムであり、非線形変換処理および線形変換処理を実行する SPN型の F関数を、複数ラウンド繰り返し実行するステップを有し、

前記複数ラウンド各々に対応する F関数の線形変換処理は、 m個の非線形変換部各々の出力する nビット、総計 mnビットの入力に対する線形変換処理を、正方 MDS (Maximum Distance Separable)行列を適用した線形変換処理として実行する線形変換ステップであり、

前記線形変換ステップにお、て、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々では、異なる正方 MDS行列： La, Lbが適用され、かつ該正方 M DS行列の逆行列: La^_1, Lb^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である正方 MDS行列による線形変換処理を実行することを特徴とするコンピュータ 'プログラムにある。

[0024] なお、本発明のコンピュータ 'プログラムは、例えば、様々なプログラム 'コードを実行可能なコンピュータ ·システムに対して、コンピュータ可読な形式で提供する記憶媒体、通信媒体、例えば、 CDや FD、 MOなどの記録媒体、あるいは、ネットワークなどの通信媒体によって提供可能なコンピュータ 'プログラムである。このようなプロダラムをコンピュータ可読な形式で提供することにより、コンピュータ 'システム上でプログラムに応じた処理が実現される。

[0025] 本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

発明の効果 [0026] 本発明の構成によれば、非線形変換部および線形変換部を有する SPN型の F関数を、複数ラウンド繰り返し実行する Feistel型共通鍵ブロック暗号処理において、複数ラウンド各々に対応する F関数の線形変換処理を、正方 MDS (Maximum Dist ance Separable)行列を適用した線形変換処理として実行するとともに、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々にお、て異なる正方 MDS 行列： La, Lbを適用し、かつ該正方 MDS行列の逆行列： La^_1, Lb^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である力、あるいは正方 MDS行列を構成する性質とした正方 MDS行列による線形変換処理を実行する構成としたので、共通鍵ブロック暗号における線形攻撃に対する耐性が向上し、暗号鍵等の解析困難性が高まることとなり、安全性の高い暗号処理が実現される。

[0027] さらに、本発明の構成によれば、非線形変換部および線形変換部を有する SPN型の F関数を、複数ラウンド繰り返し実行する Feistel型共通鍵ブロック暗号処理にぉヽて、複数ラウンド各々に対応する F関数の線形変換処理を、正方 MDS (Maximum Distance Separable)行列を適用した線形変換処理として実行するとともに、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方 MDS行列を適用する構成とし、これらの正方 MDS行列自身が、線形独立性を示す力または正方 MDS行列を構成する構成としたので、アクティブ Sボックスの寄与による同時差分キャンセルの発生しないことが保証され、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号ィ匕関数全体でのアクティブ Sボックスの最少数を大きくすることが可能となる。本構成により、線形攻撃、差分攻撃の双方に対して耐性が向上し、より安全性の高い暗号処理が実現される。

図面の簡単な説明

[0028] [図 l]Feistel構造を持つ代表的な共通鍵ブロック暗号の構成を示す図である。

[図 2]ラウンド関数部として設定される F関数の構成について説明する図である。

[図 3]線形変換部にぉ、て、線形変換処理に適用する正方行列の例を示す図である

[図 4]m= 8, n= 8の 128bitブロック暗号における 3段の同時差分キャンセルの様子を説明する図である。

圆 5]F関数の線形変換部において、正方行列による線形変換が実行されて、 F関数出力差分 AYiを生成する具体例を説明する図である。

[図 6]m= 8, n= 8の 128bitブロック暗号における 5段の同時差分キャンセルの様子を説明する図である。

圆 7]共通鍵ブロック暗号における任意段の同時差分キャンセルの定義を説明する図である。

[図 8]正方 MDS行列の一例を示す図である。

[図 9]本発明に係る共通鍵ブロック暗号処理アルゴリズムにおける各ラウンドの F関数の線形変換行列としての正方 MDS行列設定例を説明する図である。

[図 10]本発明に係る共通鍵ブロック暗号処理アルゴリズムにおける各ラウンドの F関数の線形変換行列としての正方 MDS行列設定処理シーケンスを説明するフロー図である。

[図 11]各ラウンドの F関数に設定する線形変換行列である正方 MDS行列の生成手法として、差分攻撃に対する耐性向上を実現する正方 MDS行列生成処理例 alを説明するフロー図である。

[図 12]各ラウンドの F関数に設定する線形変換行列である正方 MDS行列の生成手法として、差分攻撃に対する耐性向上を実現する正方 MDS行列生成処理例 a2を説明するフロー図である。

[図 13]各ラウンドの F関数に設定する線形変換行列である正方 MDS行列の生成手法として、差分攻撃に対する耐性向上を実現する正方 MDS行列生成処理例 a3を説明するフロー図である。

[図 14]各ラウンドの F関数に設定する線形変換行列である正方 MDS行列の生成処理例 a3の具体的手法を説明する図である。

[図 15]各ラウンドの F関数に設定する線形変換行列である正方 MDS行列の生成手法として、線形攻撃に対する耐性向上を実現する正方 MDS行列生成処理例 b 1を説明するフロー図である。

[図 16]各ラウンドの F関数に設定する線形変換行列である正方 MDS行列の生成手法として、線形攻撃に対する耐性向上を実現する正方 MDS行列生成処理例 b2を説明するフロー図である。

[図 17]各ラウンドの F関数に設定する線形変換行列である正方 MDS行列の生成手法として、差分攻撃および線形攻撃に対する耐性向上を実現する正方 MDS行列生成処理例を説明するフロー図である。

[図 18]本発明に力かる暗号処理を実行する暗号処理装置としての ICモジュールの構成例を示す図である。

発明を実施するための最良の形態

[0029] 以下、本発明の暗号処理装置、および暗号処理方法、並びにコンピュータ 'プログラムの詳細について説明する。なお、説明は、以下の項目順に行う。

1.共通鍵ブロック暗号アルゴリズムにおける差分解析処理

2.共通鍵ブロック暗号アルゴリズムにおける線形解析処理

3.本発明に基づく暗号処理アルゴリズム

(3— a)差分攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例

(3— b)線形攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例

(3— c)差分攻撃および線形攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例

[0030] [1.共通鍵ブロック暗号アルゴリズムにおける差分解析処理]

まず、 DES (Data Encryption Standard)暗号処理に代表される共通鍵ブロック暗号アルゴリズムにおける差分解析処理の概要にっ、て、一般ィ匕した共通鍵ブロック暗号モデルを用いて説明する。

[0031] 共通鍵ブロック暗号のアルゴリズムは、主として、入力データの変換を実行するラウンド関数部と、ラウンド関数部の各ラウンドで適用する鍵を生成する鍵スケジュール部とに分けることができる。ラウンド関数部の各ラウンドで適用する鍵 (副鍵）は、 1つのマスター鍵 (主鍵）に基づいて、鍵スケジュール部に入力されて生成され、各ラウンド関数部で適用される。この共通鍵暗号方式の代表的な方式に米国連邦標準暗号方式としての DES (Data Encryption Standard)がある。

[0032] Feistel構造と呼ばれる代表的な共通鍵ブロック暗号の構造について、図 1を参照して説明する。

[0033] Feistel構造は、変換関数の単純な繰り返しにより、平文を暗号文に変換する構造を持つ。平文の長さを 2mnビットとする。ただし、 m, nは共に整数である。初めに、 2 mnビットの平文を、 mnビットの 2つの入力データ P (Plain- Left) 101, P (Plain-Right

L R

)102に分割し、これを入力値とする。

[0034] Feistel構造はラウンド関数とよばれる基本構造の繰り返しで表現され、各ラウンドに含まれるデータ変換関数は F関数 120と呼ばれる。図 1の構成では、 F関数 (ラウンド関数） 120が r段繰り返された構成例を示して、る。

[0035] 例えば第 1番目のラウンドでは、 mnビットの入力データ Xと、鍵生成部（図示せず）力も入力される mnビットのラウンド鍵 K 103が F関数 120に入力され、 F関数 120におけるデータ変換処理の後に mnビットのデータ Yを出力する。出力はもう片方の前段からの入力データ (第 1段の場合は入力データ P )と排他的論理和部 104におい

し

て、排他的論理和演算がなされ、 mnビットの演算結果が次のラウンド関数へと出力される。この処理、すなわち F関数を定められたラウンド数 (r)だけ繰り返し適用して暗号化処理が完了し、暗号文の分割データ C (Cipher- Left)、 C (Cipher- Right)が出

L R

力される。以上の構成より、 Feistel構造の復号処理はラウンド鍵を挿入する順序を逆にするだけでよぐ逆関数を構成する必要がないことが導かれる。

[0036] 各ラウンドの関数として設定される F関数 120の構成について、図 2を参照して説明する。図 2 (a)は、 1つのラウンドにおける F関数 120に対する入力および出力を示す図であり、図 2 (b)は、 F関数 120の構成の詳細を示す図である。 F関数 120は、図 2 ( b)に示すように、非線形変換層と線形変換層を接続したいわゆる SPN型の構成を有する。

[0037] SPN型の F関数 120は、図 2 (b)に示すように、非線形変換処理を実行する複数の Sボックス（S— box) 121を有する。ラウンド関数部の前段力もの mnビットの入力値 X は、鍵スケジュール部力も入力されるラウンド鍵 Kと排他的論理和が実行され、その出力が nビットずつ非線形変換処理を実行する複数 (m個）の Sボックス 121に入力される。各 sボックスでは、例えば変換テーブルを適用した非線形変換処理が実行される。

[0038] Sボックス 121からの出力データである mnビットの出力値 Zは、線形変換処理を実行する線形変換部 122に入力されて、例えばビット位置の入れ替え処理などの線形変換処理が実行され、 mnビットの出力値 Yを出力する。この出力値 Yが前段力もの入力データと排他的論理和され、次のラウンドの F関数の入力値とされる。

[0039] 図 2に示す F関数 120は、入出力ビット長が mX n (m, n:整数)ビットであり、非線形変換層は nビットの入出力を持つ非線形変換層としての Sボックス 121は、 m個並列にならんだ構成を有し、線形変換層としての線形変換部 122は n次の既約多項式で定義される 2の拡大体 GF (2ⁿ)上の元を要素として持つ m次の正方行列に基づく線形変換処理を実行する。

[0040] 線形変換部 122における線形変換処理に適用する正方行列の例を図 3に示す。

図 3に示す正方行列 125は、 n=8, m=8の場合の例である。非線形変換部（Sボッタス 121)力も出力された m個の nビットデータ Z[l] , Z[2] , Z[m]に対してあらかじめ定められた正方行列 125を適用した演算により線形変換が施され、 F関数 (ラウンド関数）出力としての、 Y[l] , Υ[2] , Y[m]が決定される。ただし、このとき各データの行列の要素に対する線形演算はあら力じめ定められた 2の拡大体 GF (2ⁿ) 上で行われる。

[0041] これまでの Feistel型暗号では、すべての段の F関数に同じ線形変換層を用いているため、差分の伝播時に同時に複数の差分がキャンセルしてしまうという性質が存在した。背景技術の欄において説明したように、暗号解析手法の代表的な手法として、ある差分を持つ入力データ (平文）とその出力データ（暗号文)を多数解析することにより各ラウンド関数における適用鍵を解析する差分解析 (あるいは差分解読法)が知られており、従来の DES暗号アルゴリズム等の共通鍵ブロック暗号においては、 F関数 120部の線形変換部 122において適用する処理 (変換行列）を、各段のラウンドにおいて等しいものに設定しているため、差分解析が行いやすぐ結果として鍵の解析の容易性を招いている。

[0042] 差分の伝播時に、同時に複数の差分がキャンセルする例について、図 4を参照して説明する。なお、本明細書においては、差分を表す場合には Δ (デルタ)記号をつけて表す。

[0043] 図 4は m=8, n=8の 128bitブロック暗号における 3段の同時差分キャンセルの様子を説明する図である。ただし、図中では 64bitのデータをバイト単位で区切ってベタトルとして表現し、それぞれの要素を 16進数で表記するものとする。

[0044] 3段構成を持つ F関数での同時差分キャンセルは、例えば以下のデータ状態 1〜4 の設定メカニズムに基づいて発生する。以下に説明するメカニズムの発生するデータ状態は、多数の差分入力データを設定することで発生させることができるデータ状態であり、いわゆる差分解析における鍵 (ラウンド鍵)の解析において発生し得る。

[0045] (状態 1)

iラウンドへの入力差分の左半分は、すべてゼロである入力差分（AXi— 1 = (00, 00, 00, 00, 00, 00, 00, 00) )であり、右半分の入力差分力 Sただ、ひとつの S— box への入力を除いてゼロである入力差分（AXi= (34, 00, 00, 00, 00, 00, 00, 00 ) )であるとする。このデータ状態は、多数の差分入力データを設定することで、 iラウンドにおいて、このようなデータ状態を得ることができるということである。

[0046] なお、 ΔΧί= (34, 00, 00, 00, 00, 00, 00, 00)の 8つの各要素は、 F関数中に構成される m個（m=8)の Sボックス各々に対する入力差分に対応する。差分（34) が第 1Sボックス（図 4中の（S1) )に入力され、（00)が、第 2〜8Sボックスに対する入力差分である。

[0047] なおゼロ（00)の入力差分を持つ Sボックスの出力差分はゼロ（00)であり、差分データに関する限り、ゼロ（00)の入力差分を持つ Sボックスは、何の作用も行なっていないものであり、アクティブでないすなわち非アクティブ Sボックスと呼ばれる。一方、非ゼロの入力差分（図 4の例では差分： 34)を持つ Sボックスは、非ゼロの入力差分に対応した非線形変換結果を出力差分として発生させるので、アクティブ Sボックス (Ac tive S— box)と呼ばれる。

[0048] 図 4の例では、非ゼロの入力差分（34)を入力する 1つのアクティブ Sボックス（S1) の出力差分 (b7)を発生させており、その他の非アクティブ Sボックス S2〜S8はゼロの入力差分 (00)に基づいて出力差分 (00)を発生させ、線形変換部の差分入力としている。

[0049] (状態 2)

iラウンドへの非ゼロの入力差分（図 4の例では差分： 34)を持つ Sボックス（以下、ァクティブ Sボックス (Active S-box)と呼ぶ)力もの出力差分は線形変換層で拡散されたのち F関数力出力（出力値 = AYi)され、そのまま次のラウンドへの入力差分 AXi+ lとなる。

[0050] 図 4の例における線形変換は、各ラウンドの F関数において共通する例えば図 5に示すある特定の正方行列 125による線形変換が実行され iラウンドの F関数出力差分としての AYi= (98, c4, b4, d3, ac, 72, Of, 32)を出力する。図 5に示す線形変換構成力ら理解されるように、出力差分 AYi= (98, c4, b4, d3, ac, 72, Of, 32) は、 1つのアクティブ Sボックス（SI)力もの出力要素 Z[l] =b7にのみ依存した値として決定される。

[0051] この iラウンドの F関数出力差分としての AYi= (98, c4, b4, d3, ac, 72, Of, 32) は、図 4に示す排他的論理和部 131において、すべてゼロである入力差分（Δ Xi— 1 = (00, 00, 00, 00, 00, 00, 00, 00)と他的餘理禾口（XOR)演算力 s実行され、演算結果が、次のラウンド (i+ 1)への入力差分 Δ Xi+ 1となる。

[0052] iラウンドの F関数出力差分としての AYi= (98, c4, b4, d3, ac, 72, Of, 32)と、すべてゼロである入力差分 AXi— 1 = (00, 00, 00, 00, 00, 00, 00, 00)との排他的論理和 (XOR)結果は、 AYiであるので、次のラウンド (i+ 1)への入力差分 ΔΧ ί+ 1 = ΔΥί= (98, c4, b4, d3, ac, 72, Of, 32)となる。

[0053] (状態 3)

i+ 1ラウンドの F関数からの出力差分 AYi+ lが、 iラウンドでの Active S— boxの位置にのみ非ゼロ値をもつ。このデータ状態は、多数の差分入力データを設定することで、このようなデータ状態を得ることができると!/、うことである。

[0054] すなわち、 AYi+ l = (ad, 00, 00, 00, 00, 00, 00, 00)であり、 iラウンドと同様、非ゼロの差分値（図 4の例では差分： 34)を持つ S— boxの位置（第 1Sボックス（S1 ) )にのみ非ゼロ値をもつ。なお、明ら力に ad≠00である。

[0055] (状態 4) i+ 2ラウンドのアクティブ Sボックス (Active S— box) (SI)の出力差分が iラウンドでのアクティブ Sボックス (Active S -box) (SI)の出力差分と一致した場合、すなわち、図 4に示すように i+ 2ラウンドのアクティブ Sボックス（（S1)の出力差分が b7となり、 iラウンドでのアクティブ Sボックス（S1)の出力差分 (b7)と一致する。このデータ状態は、多数の差分入力データを設定することで、このようなデータ状態を得ることができるということである。

[0056] このデータ状態が発生すると、 i+ 2ラウンドの F関数の出力差分 AYi+ 2= (98, c 4, b4, d3, ac, 72, Of, 32)力 2つ前のラウンドである iラウンドの F関数の出力差分 AYi= (98, c4, b4, d3, ac, 72, Of, 32)と一致することになる。

[0057] この結果、排他的論理和部 133では、

ΔΧί+ 1 = ΔΥί= (98, c4, b4, d3, ac, 72, Of, 32)と、

ΔΥί+ 2= (98, c4, b4, d3, ac, 72, Of, 32)と、

の同一の値同士の排他的論理和演算が実行されることになり、排他的論理和演算結果としてオール 0の値を出力する。

[0058] その結果、次の段 (ラウンド i+ 3)への出力差分の前段 (i+ 2ラウンド)力の左の入力差分 AXi+ 3= (00, 00, 00, 00, 00, 00, 00, 00)となる。

[0059] このラウンド i+ 3への左入力 ΔΧί+ 3= (00, 00, 00, 00, 00, 00, 00, 00)は、ラウンド iへの左入力 AXi— 1 = (00, 00, 00, 00, 00, 00, 00, 00)と同様オールゼロであり、ラウンド i+ 3以降のラウンドにおいても、ラウンド i〜i+ 2と同様の処理が繰り返される可能性がある。

[0060] この結果、ラウンド数の伸びに対してアクティブ Sボックスの数が増大せず、差分攻撃に対する強度がそれほど伸びないという問題を発生させる。

[0061] 共通鍵ブロック暗号において、差分攻撃に対する強度指標のひとつとして、暗号ィ匕関数全体でのアクティブ Sボックスの最少数が知られて!/、る。アクティブ Sボックス数の最少数が大きいほど差分攻撃に対する耐性が高いと判断される。

[0062] 前述したように、差分解析 (差分攻撃）にお、ては、ある差分を持つ入力データ (平文）とその出力データ（暗号文)を多数設定してこの対応を解析することにより各ラウンド関数における適用鍵を解析する手法であり、この差分解析において、アクティブ sボックスの数を少なくできれば、解析が容易となり、解析プロセス数を削減できる。

[0063] 上述の図 4を参照した例では、第 1の Sボックス（S1)のみがアクティブ Sボックスであるパターンの発生状態を提示した力その他の Sボックス（S2〜S8)についても、差分解析の入力データの設定によって、各 Sボックスのみをアクティブ Sボックスとした設定が可能であり、このような差分解析プロセスを実行することにより、各 Sボックスの非線形変換処理の解析、さらに F関数に対して入力されるラウンド鍵の解析が可能となる。

[0064] このような差分解析に対する耐性を向上させるためには、アクティブ Sボックスの数が常に多い状態を維持すること、すなわち、アクティブ Sボックスの最少数が多いことが必要である。

[0065] 図 4を参照して説明した例において、右力も左へ入力を行なう F関数、すなわち、第 iラウンドと第 i+ 2ラウンドのみをアクティブ Sボックス算出処理対象ラウンドとしてみた場合、アクティブ Sボックス数はわず力 2であり、左力も右へ入力を行なう F関数、すなわち、第 i+ 1ラウンドではアクティブ Sボックス数が 8であるものの、同時差分キャンセルにより第 i+ 3ラウンドでのアクティブ Sボックス数が 0となってしまうため、差分解析による各 Sボックスの非線形変換処理の解析処理が容易となる。

[0066] 図 4に示す共通鍵ブロック暗号アルゴリズムは、各ラウンドにおける線形変換部において適用する線形変換行列が等しいものであり、この構成に起因して、特に右から左へ入力を行う F関数におけるわず力 2つのアクティブ Sボックスにより同時差分キャンセルの発生可能性を引き起こしている。従って、ラウンド数の伸びに対してアクティブ Sボックスの最少数が十分に増大せず、差分攻撃に対する強度がそれほど伸びないという問題がある。

[0067] 次に、同様に、同じ線形変換行列をすベての段 (ラウンド)の F関数に用いる構成において、 5ラウンドにまたがる同時差分キャンセルの発生メカニズムについて、図 6を参照して説明する。

[0068] 図 6は m=8, n=8の 128bitブロック暗号における 5段の同時差分キャンセルの様子を説明する図である。ただし、図中では 64bitのデータをバイト単位で区切ってベタトルとして表現し、それぞれの要素を 16進数で表記するものとする。 [0069] 5段構成を持つ F関数での同時差分キャンセルは、例えば以下のデータ状態 1〜7 の設定メカニズムに基づいて発生する。以下に説明するメカニズムの発生するデータ状態は、多数の差分入力データを設定することで発生させることができるデータ状態であり、いわゆる差分解析における鍵 (ラウンド鍵)の解析において発生し得る。

[0070] (状態 1)

[0071] なお、 ΔΧί= (34, 00, 00, 00, 00, 00, 00, 00)の 8つの各要素は、 F関数中に構成される m個（m= 8)の Sボックス各々に対する入力差分に対応する。（34)が第 1 Sボックス（図 6中の（S1) )に入力され、（00)が、第 2〜8Sボックスに対する入力差分である。

[0072] なお前述したように、ゼロ（00)の入力差分を持つ Sボックスの出力差分はゼロ（00) であり、差分データに関する限り、ゼロ（00)の入力差分を持つ Sボックスは、何の作用も行なってヽな、ものであり、アクティブでな!/、すなわち非アクティブ Sボックスと呼ばれる。一方、非ゼロの入力差分（図 6の例では差分： 34)を持つ Sボックス（S1)のみが、非ゼロの入力差分に対応した非線形変換結果を出力差分として発生させるので、アクティブ Sボックス（Active S— box)である。

[0073] 図 6の例では、非ゼロの入力差分（34)を入力する 1つのアクティブ Sボックス（S1) の出力差分 (b7)を発生させており、その他の非アクティブ Sボックス S2〜S8はゼロの入力差分 (00)に基づいて出力差分 (00)を発生させ、線形変換部の差分入力としている。

[0074] (状態 2)

iラウンドへの非ゼロの入力差分（図 4の例では差分： 34)を持つ Sボックス（以下、ァクティブ Sボックス (Active S-box)と呼ぶ)力もの出力差分は線形変換層で拡散されたのち F関数力出力（出力値 = AYi)され、そのまま次のラウンドへの入力差分 AXi+lとなる。

[0075] 図 6の例において、各ラウンドに共通の例えば図 5に示すある特定の正方行列 125 による線形変換が実行され iラウンドの F関数出力差分としての AYi= (98, c4, b4, d3, ac, 72, Of, 32)を出力する。

[0076] iラウンドの F関数出力差分としての AYi= (98, c4, b4, d3, ac, 72, Of, 32)は、図 6に示す排他的論理和部 141において、すべてゼロである入力差分（AXi— 1= ( 00, 00, 00, 00, 00, 00, 00, 00)と他的餘理禾口（XOR)演算力 s実行され、演算結果が、次のラウンド (i+ 1)への入力差分 ΔΧΪ+ 1となる。

[0077] iラウンドの F関数出力差分としての AYi= (98, c4, b4, d3, ac, 72, Of, 32)と、すべてゼロである入力差分（AXi— 1=(00, 00, 00, 00, 00, 00, 00, 00)との排他的論理和 (XOR)結果は、 AYiであるので、次のラウンド (i+1)への入力差分 ΔΧ ί+1=ΔΥί=(98, c4, b4, d3, ac, 72, Of, 32)となる。

[0078] (状態 3)

i+1ラウンドの F関数からの出力差分 AYi+lが、 iラウンドでの Active S— boxの位置にのみ非ゼロ値をもつ。このデータ状態は、多数の差分入力データを設定することで、このようなデータ状態を得ることができると!/、うことである。

[0079] すなわち、 ΔΥί+1=(34, 00, 00, 00, 00, 00, 00, 00)であり、 iラウンドと同様、非ゼロの差分値（図 6の例では差分： 34)を持つ S— boxの位置（第 1Sボックス（S1 ))にのみ非ゼロ値をもつ。

[0080] (状態 4)

i+2ラウンドの F関数に対する入力 ίま、 ΔΧί=(34, 00, 00, 00, 00, 00, 00, 00 )と、 AYi+l=(34, 00, 00, 00, 00, 00, 00, 00)との他的餘理禾ロ咅 142における排他的論理和結果、すなわち、同一データ同士の排他的論理和であり、オールゼロの入力、 ΔΧί+2=(00, 00, 00, 00, 00, 00, 00, 00)となり、その結果、 i+2 ラウンドの F関数からの出力差分も、オールゼロの出力差分、 AYi+2=(00, 00, 0 0, 00, 00, 00, 00, 00)となる。

[0081] (状態 5)

i+3ラウンドの F関数に対する入力は、 ΔΧί+1=(98, c4, b4, d3, ac, 72, Of, 32)と、オールゼロの i+ 2ラウンドの F関数出力差分 AYi+ 2= (00, 00, 00, 00, 0 0, 00, 00, 00)との排他的論理和部 143における排他的論理和結果であり、 i+ 3ラゥンドの F関数に対する入力 ΔΧί+ 3= ΔΧί+ 1 = (98, c4, b4, d3, ac, 72, Of, 3 2)となる。

[0082] (状態 6)

i+ 3ラウンドの F関数出力差分力 ΔΥί+ 3= (43, 00, 00, 00, 00, 00, 00, 00 )となり、才ーノレゼロの AXi+ 2= (00, 00, 00, 00, 00, 00, 00, 00)との他的！^ 理和部 144における排他的論理和の結果としての AXi+4= ΔΥί+ 3= (43, 00, 00, 00, 00, 00, 00, 00)力ラウンドの F関数入力差分となる。

[0083] (状態 7)

i+4ラウンドのアクティブ Sボックス（Active S— box) (SI)の出力差分が iラウンドでのアクティブ Sボックス (Active S -box) (SI)の出力差分と一致した場合、すなわち、図 6に示すように i+4ラウンドのアクティブ Sボックス（（S1)の出力差分が b7となり、 iラウンドでのアクティブ Sボックス（S1)の出力差分 (b7)と一致する。このデータ状態は、多数の差分入力データを設定することで、このようなデータ状態を得ることができるということである。

[0084] このデータ状態が発生すると、 i+4ラウンドの F関数の出力差分 AYi+4= (98, c 4, b4, d3, ac, 72, Of, 32)力 2つ前のラウンドである i+ 2ラウンドの他的餘理禾ロ咅の出力差分 AXi+ 3= (98, c4, b4, d3, ac, 72, Of, 32)と一致することになる。

[0085] この結果、排他的論理和部 145では、

ΔΧί+ 3= (98, c4, b4, d3, ac, 72, Of, 32)と、

ΔΥί+4= (98, c4, b4, d3, ac, 72, Of, 32)と、

[0086] その結果、次の段（ラウンド i+ 5)への入力差分は、 AXi+ 5= (00, 00, 00, 00,

00, 00, 00, 00)として設定される。

[0087] このラウンド i+ 5への左入力 ΔΧί+ 5= (00, 00, 00, 00, 00, 00, 00, 00)は、ラウンド iへの左入力 AXi— 1 = (00, 00, 00, 00, 00, 00, 00, 00)と同様オールゼロであり、ラウンド i+ 5以降のラウンドにおいても、ラウンド i〜i+4と同様の処理が繰り返される可能性がある。

[0088] この結果、ラウンド数の伸びに対してアクティブ Sボックスの数が増大せず、差分攻撃に対する強度がそれほど伸びないという問題を発生させる。

[0089] 前述したように、差分解析 (差分攻撃）にお!、ては、ある差分を持つ入力データ (平文）とその出力データ（暗号文)を多数設定してこの対応を解析することにより各ラウンド関数における適用鍵を解析する手法であり、この差分解析において、アクティブ Sボックスの数を少なくできれば、解析が容易となり、解析プロセス数を削減できる。

[0090] 上述の図 6を参照した例において、右力左へ入力を行なう F関数、すなわち、第 i ラウンドと第 i+ 2ラウンド、第 i+ 4ラウンドのみをアクティブ Sボックス算出処理対象ラゥンドとしてみた場合、アクティブ Sボックス数は、第 iラウンド = 1、第 i+ 2ラウンド =0 、第 i+4ラウンド = 1の合計わず力 2であり、左力も右へ入力を行なう F関数、すなわち第 i+ 1ラウンドおよび第 i+ 3ラウンドではアクティブ Sボックス数が 8であるものの、同時差分キャンセルにより第 i+ 5ラウンドでのアクティブ Sボックス数が 0となってしまうため、差分解析による各 Sボックスの非線形変換処理の解析、および、 F関数に対する入力ラウンド鍵の解析処理が比較的、容易となる。

[0091] 図 6を参照した例では、第 1の Sボックス（S1)のみがアクティブ Sボックスであるパターンの発生状態を提示した力その他の Sボックス（S2〜S8)についても、差分解析の入力データの設定によって、各 Sボックスのみをアクティブ Sボックスとした設定が可能であり、このような差分解析プロセスを実行することにより、各 Sボックスの非線形変換処理の解析、さらに F関数に対して入力されるラウンド鍵の解析が可能となる。

[0092] 図 4および図 6を参照して、 3および 5ラウンドの場合の同時差分キャンセルの発生例を説明したが、任意のラウンド数に一般ィ匕して同時差分キャンセルを定義すると以下のように定義することができる。図 7を参照して、任意のラウンド数における同時差分キャンセルの定義について説明する。なお、図 7は、フェイステル (Feistel)構造の共通鍵ブロック暗号を実行するフェイステル (Feistel)構造の 1つおきのラウンド (i, i + 2, i+4, · · · , i+ 2j)を示している。 [0093] 「定義」

フェイステル (Feistel)構造のラウンド iでの入力差分の半分 (PLまたは PR)が 0 (図 7【こお!/、て、 ΔΧί= (00, 00, 00, 00, 00, 00, 00, 00) )であり、そこ【こ i+ 2jラウンド (j = 0, 1, 2,…；)の F関数の出力差分が排他的論理和部で演算されていく過程において、あるラウンド i+ 2kにおいて、排他的論理和の結果が 0 (図 7において、 AXi + 2j + l = (00, 00, 00, 00, 00, 00, 00, 00) )〖こなった場合を"同時差分キャンセル"と呼ぶ。

[0094] その時、 i, i+ 2, i+4, . . , i+ 2kラウンドの F関数の中に存在するアクティブ Sボッタス（Active S— box)のことを〃同時差分キャンセルを発生させたアクティブ Sボックス"と呼ぶものとし、ベクトル Aの非ゼロの要素数をハミングウェイト hw(A)と定義すると、同時差分キャンセルを発生させるアクティブ Sボックスの数 aは、以下の式として表せる。

[数 1]

i=0

[0095] 前述の 3ラウンド、 5ラウンドでの例ではともに同時差分キャンセルを発生させたァクティブ Sボックス数は 2、すなわち a = 2である。

[0096] 前述したように、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつが暗号ィ匕関数全体でのアクティブ Sボックスの最少数であり、アクティブ Sボックス数の最少数が大きいほど差分攻撃に対する耐性が高いと判断される。

[0097] しかし、 DESアルゴリズムのように同じ線形変換行列をすベての段の F関数に用いる構成では、図 4、図 6を参照して説明したように、わず力 2つのアクティブ Sボックスにより同時差分キャンセルが発生してしまう可能性があった。そのような性質があるためラウンド数の伸びに対してアクティブ Sボックスの最少数が十分に増大せず、差分攻撃に対する強度がそれほど伸びないという問題があった。

[0098] [2.共通鍵ブロック暗号アルゴリズムにおける線形解析処理]

差分解析処理は、上述したように、解析の実行者が一定の差分を持つ入力データ (平文)を容易し、その対応する出力データ（暗号文)を解析することが必要となる。線形解析処理は、一定の差分を持つ入力データ（平文)を準備する必要はなぐ所定量以上の入力データ (平文）と対応する出力データ（暗号文）とに基づ!/、て解析を行

[0099] 前述したように、共通鍵ブロック暗号アルゴリズムでは非線形変換部としての Sボッタスを有し、入力データ（平文）と対応する出力データ（暗号文）との線形関係はない力線形解析では、この Sボックスの入出力を線形近似し、多数の入力データ（平文）と対応する出力データ (暗号文)の構成ビット値の線形関係を解析し、候補となる鍵を絞り込むことによって解析を行う。線形解析においては、特定の差分を持つ入力データを準備することが必要ではなぐ多数の平文と対応暗号文を容易することで、解祈が可能となる。

[0100] [3.本発明に基づく暗号処理アルゴリズム]

以下、本発明の暗号処理アルゴリズムについて説明する。本発明の暗号処理アルゴリズムは、上述した線形解析、差分解析等の攻撃に対する耐性を向上させた構成、すなわち、鍵解析の困難性を高め、安全性を向上させた構成を持つ。

[0101] 本発明に係る暗号処理アルゴリズムの 1つの特徴は、従来の DESアルゴリズムの如く各ラウンドの F関数に構成される線形変換部に共通の処理 (変換行列）を適用した構成とせず、複数の異なる正方 MDS (Maximum Distance Separable)行列を設定した構成としたことである。具体的には、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々におヽて異なる正方 MDS行列を適用した線形変換処理を実行する構成を持つ。

[0102] 本発明に係る暗号処理アルゴリズムは、正方 MDS (Maximum Distance Sepa rable)行列の性質を利用し、少な、アクティブ Sボックスに基づく同時差分キャンセルが起こらない、または起こりにくい構造を実現し、アクティブ Sボックスの最小数を増大させ、差分攻撃に対してより強い共通鍵ブロック暗号処理を実現する。あるいは、既知平文攻撃として行なわれる線形解析についての困難性も高めた構成を持つ。

[0103] 本発明の暗号処理アルゴリズムは、図 1、 2を参照して説明した SPN型の F関数を有する Feistel構造と呼ばれる代表的な共通鍵ブロック暗号の構造、すなわち、非線形変換部および線形変換部を有する SPN型の F関数の複数ラウンドに渡る単純な繰り返しにより、平文を暗号文に変換する、あるいは暗号文を平文変換する構造を適用している。

[0104] 例えば、平文の長さを 2mnビット（ただし、 m, nは共に整数）として、 2mnビットの平文を、 mnビットの 2つのデータ PL (Plain- Left) , PR(Plain- Right)に分割し、これを入力値として、各ラウンドにおいて、 F関数を実行させるものであり、 F関数は、図 2を参照して説明したように、 Sボックスカゝらなる非線形変換部と、線形変換部を接続した SP N型を持つ F関数である。

[0105] 本発明の構成においては、 F関数中の線形変換部において適用する線形変換処理のための行列として、複数の異なる正方 MDS (Maximum Distance Separabl e)行列力選択された行列を各ラウンドの F関数の線形変換部において適用する行列として設定する。具体的には、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方 MDS行列を適用する。

[0106] 正方 MDS行列について説明する。正方 MDS行列とは以下の（a) , (b)の性質を満たす行列をいう。

(a)正方行列である

(b)行列に含まれるすべての部分行列（submatrix)の行列式（determinant)が 0 でない、すなわち、 det (submatrix)≠0

[0107] 上記 (a) , (b)の条件を満足する行列を正方 MDS行列と呼ぶ。

共通鍵ブロック暗号の各ラウンドで実行する F関数に対する入出力ビット長が m X n (m, n:整数)ビットであり、 F関数内に構成される非線形変換部が nビットの入出力を持つ m個の Sボックスにより構成され、線形変換部が n次の既約多項式で定義される 2の拡大体 GF (2ⁿ)上の元を要素として持つ m次の正方行列に基づく線形変換処理を実行する場合の、正方 MDS行列の一例を図 8に示す。図 8に示す正方 MDS行列の例は、 n=8, m= 8の正方 MDS行列の例である。

[0108] 上記（a) , (b)を満足する正方 MDS行列は、ベクトル Aの非ゼロの要素数をハミングウェイト hw(A)とし、 Mを m次の正方 MDS行列とし、 xを正方 MDS行列 Mへの入力ベクトルとした場合、以下の不等式 (式 1)を満たすことになる。

hw(x) +hw(Mx)≥m+ l (式 1)

[0109] 上記式 (式 1)は、正方 MDS行列（M)によって線形変換される入力データ Xの非ゼ口の要素数 hw(x)と、正方 MDS行列（M)によって線形変換された出力データ Mx の非ゼロの要素数 hw(Mx)の総数が、正方 MDS行列の次数 mより大となるということを意味している。

[0110] なお、正方 MDS行列という名は正方 MDS— code (Maximum Distance Sepa rable Code)の生成行列の標準形の右半分が上記条件を満足して!/、ることから名づけているものである。

[0111] 1つの行列をすベての F関数に組み込むという従来の構成でも線形変換行列に正方 MDS行列を用いることで、正方 MDS行列でな、行列を用いる場合に比べてァクティブ Sボックス数の最少数を比較的高水準に保持することができるということは知られている。

[0112] 本発明では、各ラウンドの F関数には正方 MDS行列の条件を満たす行列を利用し、さらにラウンドごとに異なる行列を設定する方法を提案する。具体的には、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々にお、て異なる正方 MD S行列を適用する。

[0113] 以下に、段数 (ラウンド数）が 2r(rは整数）の Feistel型共通鍵ブロック暗号において、差分攻撃に対する耐性をより高めた複数の構成例について説明する。

[0114] なお、以下の説明において、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の j段目の F関数における線形変換部で適用する線形変換行列を MLTj として表すものとする。

[0115] 本発明の構成では、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成における各段の F関数中の線形変換部にお、て適用する線形変換処理のための行列として、複数の異なる正方 MDS (Maximum Distance Separable)行列から選択された行列を各ラウンドの F関数の線形変換部において適用する行列として設定する。具体的には、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方 MDS行列を適用する。

[0116] 具体的には、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成に対応して、 r以下の q個の正方 MDS行列: LI, L2, · · , Lqを生成し、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成における奇数段目の F関数中の線形変換部にぉ、て適用する線形変換処理のための行列として、上位段の F関数から順に LI, L2, · · , Lq, LI, L2"として、 q個の正方 MDS行列を繰り返し設定する。さらに、偶数段の F関数については、下位段の F関数力も順に、 LI, L2, · · , Lq, L1, L2' ·として、 q個の正方 MDS行列を繰り返し設定する。

[0117] 本設定を適用した構成例を図 9に示す。図 9は、段数 (ラウンド数)が 2r= 12、すなわち r = 6の Feistel型共通鍵ブロック暗号処理構成とした場合、 q = 3、すなわち、 12 段のラウンド数を持つ Feistel型共通鍵ブロック暗号処理構成において 3種類の異なる正方 MDS行列を配置した構成例として、各ラウンドの F関数部の線形変換部に設定する正方 MDS行列（LI, L2, L3)を示している。

[0118] 図 9の構成は、 2mnビットの平文を、 mnビットの 2つのデータ PL (Plain-Left) , PR( Plain-Right)に分割し、これを入力値として、各ラウンドにおいて、 F関数を実行させる構成であり、第 1ラウンドの F関数 401およびその他のラウンドの F関数も、すべて図 2 を参照して説明したように、 Sボックス力なる非線形変換部と、線形変換部を接続した SPN型を持つ F関数である。

[0119] 図 9の設定例は r=6, q= 3であり、各 F関数内に示す記号 Lnは正方 MDS行列 40 2を示している。すなわち、 LI, L2, L3は、それぞれ異なる 3種類の正方 MDS行列を示し、各 F関数の線形変部にお、て線形変換処理に適用する正方 MDS行列を示している。

[0120] 線形変換行列 MLTjの設定処理シーケンスについて、図 10を参照して説明する。

[0121] [ステップ S21] ラウンド数 2rの半数 rに対して r以下の数 q、すなわち、

q≤rとなる数 qを選択する。ただし、 qは 2以上の整数である。

[ステップ S22]

q個の GF (2ⁿ)上の m次正方 MDS行列 LI, L2, Lqを生成する。 q個の GF (2ⁿ )上の m次正方 MDS行列 LI, L2, Lqの生成処理手法についての詳細は、後段で説明する。

[0122] ステップ S22において、 q個の GF (2ⁿ)上の m次正方 MDS行列 LI, L2, Lqが生成した後、次に、以下の正方 MDS行列設定処理を実行する。

[ステップ S23]

2i- l (l≤i≤r)段目の線形変換行列 MLT にしを設定する。

2i- l (i- lmodq) + l

[ステップ S 24]

2i ( 1≤ i≤ r)段目の線形変換行列に MLT2に MLT を設定する。

i 2r-2i + l

[0123] 例えば、図 9に示す構成例、すなわち、 12段 (r=6)であり q= 3とした場合は、

MLT1 = LI, MLT2 = L3

MLT3 = L2, MLT4 = L2

MLT5 = L3, MLT6 = LI

MLT7 = LI, MLT8 = L3

MLT9 = L2, MLTIO: =L2

MLT11 = L3, MLT12 =L1

の設定となる。

[0124] このように、本発明の暗号処理装置においては、段数 (ラウンド数）が 2rの Feistel 型共通鍵ブロック暗号処理構成に対応して、 r以下の q個の正方 MDS行列： LI, L2 , · · , Lqを生成し、奇数段目については上位段の F関数力も順に LI, L2, · · , Lq, LI, L2"として、 q個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数から順に、 LI, L2, · · , Lq, LI, L2' ·として、 q個の正方 MDS 行列を繰り返し設定する構成としてヽる。

[0125] 次に、図 10の処理フローにおけるステップ S22の q個の GF (2ⁿ)上の m次正方 MD S行列 LI, L2, Lqの生成処理および F関数への設定構成の詳細について説明する。なお、説明は以下の項目に沿って行なう。

[0126] [ (3— a)差分攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例]

まず、差分攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例として、 3つの処理例 al, a2, a3について説明する。

[0127] (処理例 al)

差分攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例の第 1の例について説明する。まず、図 11に示すフローチャートを参照して正方 MDS行列の生成処理につ、て説明する。

[0128] [ステップ S 101]

入力：必要な正方 MDSの個数 q,拡大次数: n,行列のサイズ: mとして、

GF (2ⁿ)上で、 q個の m次正方 MDS行列 LI, L2, Lqをランダムに生成する。なお、図 11に示すフローでは、 MDSの個数 q = 6,拡大次数： n=8,行列のサイズ: m = 8の場合の処理例として示してある。

[0129] [ステップ S 102]

q個の m次正方 MDS行列 LI, L2, Lqに含まれる qm個の列の任意の m個を取り出したときに、線形独立になっているかどうかをチェックする。チェックに通過したらステップ S103に進む、そうでない場合はステップ S101にもどる。

[ステップ S 103]

q個の m次正方 MDS行列 LI, L2, Lqを、ラウンド数 2rの Feistel型共通鍵ブロック暗号に適用する正方 MDS行列として出力する。

[0130] 以上のプロセスによって、 q個の m次正方 MDS行列 LI, L2, Lqが生成される。なお、 q≤rである。

[0131] このようにして生成した q個の m次正方 MDS行列 LI, L2, Lqを、先に、図 10を参照して説明した、 [ステップ S23]、 [ステップ S24]の処理に従って、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として設定する。すなわち、奇数段目については上位段から順に LI, L2, · · , Lq, LI, L2' ·として q個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数から順に、 LI, L2, · · , Lq, L1, L2' ·として、 q個の正方 MDS行列を繰り返し設定する。

[0132] このように、偶数ラウンドの正方 MDS行列と奇数ラウンドの正方 MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。

[0133] 本構成により、

(a)各 F関数の線形変換行列は正方 MDSであること、

(b)暗号ィ匕関数内の奇数ラウンド内の少なくとも連続する q個の F関数に含まれる線形変換行列の任意の m個の列ベクトルが独立であること、

(c)偶数ラウンド内の少なくとも連続する q個の F関数に含まれる線形変換行列の任意の m個の列ベクトルが独立であること、

これら (a)〜（c)が保証されるため、複数段のラウンド数を持つ Feistel型共通鍵ブロック暗号処理構成において、連続する 2q—lラウンドにおいて、 m個以下のァクテイブ Sボックスの寄与による同時差分キャンセルは発生しないことが保証される。よつて暗号ィ匕関数全体のアクティブ Sボックス数の最小値が増大する。

[0134] このように、本処理例によって、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号ィ匕関数全体でのアクティブ Sボックスの最少数を大きくすることが可能となり、結果として、差分解析 (差分攻撃)を行なった場合のアクティブ S ボックスの数が増大し、解析の困難性が高まることになる。従って鍵の解析の困難な安全性の高！ヽ暗号処理が実現される。

[0135] (処理例 a2)

差分攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例の第 2の例について説明する。図 12のフローチャートを参照して正方 MDS行列の生成処理につ!、て説明する。

[0136] [ステップ S 201]

入力：必要な MDSの個数 q,拡大次数: n,行列のサイズ: mとして、

GF (2ⁿ)上で、 q個の m次正方 MDS行列 LI, L2, Lqをランダムに生成する。なお、図 12に示すフローでは、 MDSの個数 q = 6,拡大次数： n=8,行列のサイズ: m = 8の場合の処理例として示してある。

[0137] [ステップ S202]

q個の m次正方 MDS行列 LI, L2, Lqに含まれる qm個の列の任意の m個を取り出したときに、正方 MDS行列になっているかどうかをチェックする。チェックに通過したらステップ S203に進む、そうでない場合はステップ S201にもどる。

なお、正方 MDS行列とは、前述したように以下の性質を満たす行列をいう。

(a)正方行列である

[ステップ S203]

[0138] 以上のプロセスによって、 q個の m次正方 MDS行列 LI, L2, Lqが生成される。なお、 q≤rである。

[0139] 前述の処理例 alにおける正方 MDS行列生成処理においては、図 11の処理シーケンスにおいて説明したように、ステップ S102において、 q個の m次正方 MDS行列 LI, L2, Lqに含まれる qm個の列の任意の m個を取り出したときの線形独立性を判定したが、この処理例 a2における正方 MDS行列生成処理においては、 q個の m 次正方 MDS行列 LI, L2, Lqに含まれる qm個の列の任意の m個を取り出したとき正方 MDS行列になっているかどうかをチェックする。すなわち、より厳しいチェック力 S実行されること〖こなる。

[0140] この図 12に示す処理シーケンスに従った正方 MDS行列生成処理によって生成された q個の m次正方 MDS行列 LI, L2, Lqが、先に説明した処理例 alと同様、先に、図 10を参照して説明した、 [ステップ S23]、 [ステップ S 24]の処理に従って、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として設定される。すなわち、奇数段目については上位段から順に LI, L2, · · , Lq, LI, L2' ·として q個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数力順に、 LI, L 2, · · , Lq, LI, L2"として、 q個の正方 MDS行列を繰り返し設定する。

[0141] このように、偶数ラウンドの正方 MDS行列と奇数ラウンドの正方 MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。

[0142] 本構成により、

(a)各 F関数の線形変換行列は正方 MDSであること、

(b)暗号ィ匕関数内の奇数ラウンド内の少なくとも連続する q個の F関数に含まれる線形変換行列の任意の m個の列ベクトルが正方 MDS行列であること、

(c)偶数ラウンド内の少なくとも連続する q個の F関数に含まれる線形変換行列の任意の m個の列ベクトルが正方 MDS行列であること、

これら (a)〜（c)が保証されるため、複数段のラウンド数を持つ Feistel型共通鍵ブロック暗号処理構成において、連続する 2q—lラウンドにおいて、 m個以下のァクテイブ Sボックスの寄与による同時差分キャンセルは発生しないことが保証される。さらに、

(d)正方 MDSの性質から、 a個（a≤m)のアクティブ Sボックスの寄与によって得られる差分値における非ゼロの要素数は m+ 1— a個以上になることが保証される。よつて暗号ィ匕関数全体のアクティブ Sボックス数の最小値が増大する。

[0143] このように、本処理例によって、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号ィ匕関数全体でのアクティブ Sボックスの最少数を大きくすることが可能となり、結果として、差分解析 (差分攻撃)を行なった場合のアクティブ S ボックスの数が増大し、解析の困難性が高まることになる。従って鍵の解析の困難な安全性の高！ヽ暗号処理が実現される。 [0144] (処理例 a3)

差分攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例の第 3の例について説明する。図 13のフローチャートを参照して正方 MDS行列の生成処理につ!、て説明する。

[0145] [ステップ S301]

GF (2ⁿ)上で、 1個の qm次正方 MDS行列 Mを生成する。なお、図 13に示すフローでは、 MDSの個数 q=6,拡大次数: n=8,行列のサイズ: m= 8の場合の処理例として示してある。

[0146] [ステップ S302]

1個の qm次正方 MDS行列 Mから m本の行を任意に選択抽出し、 m行， qm列の行列 M'を構成する。

[ステップ S303]

m行， qm列の行列 M'に含まれる qm本の列ベクトルを重複することなく m本の列べクトルカゝらなる q個のグループに任意に分割し、それぞれのグループに含まれる列べタトルから m次の正方行列 LI, L2, Lqを、ラウンド数 2rの Feistel型共通鍵ブロック暗号に適用する正方 MDS行列として出力する。

[0147] 以上のプロセスによって、 q個の m次正方 MDS行列 LI, L2, Lqが生成される。なお、 q≤rである。

[0148] 処理例 a3における正方 MDS行列生成手法 3について、図 14を参照して、より具体的に説明する。

[ステップ S 301]

GF (2ⁿ)上で、 1個の qm次正方 MDS行列 Mを生成する。図 14に示すように、 qm X qmの正方 MDS行列 Mを生成する。なお、このステップ S301において生成する行列 Mの次数は qm次より大き!/、ものでもよ!/、。

[ステップ S302]

図 14に示すように、 qm次正方 MDS行列 Mから m本の行を任意に選択抽出し、 m 行， qm列の行列 M'を構成する。なお、図に示す例では、連続する m本の行を選択抽出した例として示してある力 m次正方 MDS行列 Mを構成する任意の離間した行を m本選択抽出して、 m行， qm列の行列 M'を構成してもよい。

[ステップ S303]

m行， qm列の行列 M'に含まれる qm本の列ベクトルを重複することなく m本の列べクトルカゝらなる X個のグループに任意に分割し、それぞれのグループに含まれる列べタトルから m次の正方行列 LI, L2, Lxを生成する。

[0149] 図 13、図 14を参照して説明した処理シーケンスに従った正方 MDS行列生成処理によって生成された q個の m次正方 MDS行列 LI, L2, Lq力先に説明した処理例 al、 a2と同様、先に、図 10を参照して説明した、 [ステップ S23]、 [ステップ S24 ]の処理に従って、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として設定される。すなわち、奇数段目については上位段力も順に LI, L2, · · , Lq, LI, L2"として q 個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数から順に、 LI, L2, · · , Lq, LI, L2 "として、 q個の正方 MDS行列を繰り返し設定する。

[0150] このように、偶数ラウンドの正方 MDS行列と奇数ラウンドの正方 MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。

[0151] 本構成により、

(a)各 F関数の線形変換行列は正方 MDSであること、

これら (a)〜（c)が保証されるため、複数段のラウンド数を持つ Feistel型共通鍵ブロック暗号処理構成において、連続する 2q—lラウンドにおいて、 m個以下のァクテイブ Sボックスの寄与による同時差分キャンセルは発生しないことが保証される。さらに、 (d)正方 MDSの性質から、 a個（a≤m)のアクティブ Sボックスの寄与によって得られる差分値における非ゼロの要素数は m+ 1— a個以上になることが保証される。よつて暗号ィ匕関数全体のアクティブ Sボックス数の最小値が増大する。

[0152] なお、処理例 a3が特に効果を発揮するのは、 m, r,が大きくなり、前述した処理例 a 1, a2の行列決定処理方式に力かる時間的コストが莫大となり、現実的な時間内に行列を決定することが困難である場合である。そのような場合でも本処理例 a3の正方 M DS行列生成手法ならば比較的短時間での行列生成処理が可能となる。

[0153] これは、処理例 a3においては、大きな m, rに対しても現実的な時間で十分に処理可能な方式、例えばリードソロモン (Reed— Solomon)符号の生成行列の生成法を適用することが可能となるからである。

[0154] この処理例 a3においても、上述したように、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号ィ匕関数全体でのアクティブ Sボックスの最少数を大きくすることが可能となり、結果として、差分解析 (差分攻撃)を行なった場合のァクティブ Sボックスの数が増大し、解析の困難性が高まることになる。従って鍵の解析の困難な安全性の高い暗号処理が実現される。

[0155] [ (3— b)線形攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例]

次に、線形攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例として、 2つの処理例 bl, b2について説明する。

[0156] (処理例 bl)

線形攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例の第 1の例について、説明する。図 15に示すフローチャートを参照して正方 MD S行列の生成処理にっ、て説明する。

[0157] [ステップ S401]

入力：必要な正方 MDSの個数 q,拡大次数: n,行列のサイズ: mとして、 GF (2ⁿ)上で、 q個の m次正方 MDS行列 Ml, M2, Mqをランダムに生成する。なお、図 14に示すフローでは、正方 MDSの個数 q = 6,拡大次数: n=8,行列のサイズ： m= 8の場合の処理例として示してある。 [0158] [ステップ S402]

q個の m次正方 MDS行列 Ml, M2, Mqの逆行列 Ml—¹, M2"¹, Mq^{_ 1}を算出し、隣り合う 2つの逆行列に含まれる 2mの行ベクトル力任意の m本の行べタトルを取り出したときに、線形独立になっているかどうかをチェックする。図 15中、は、行ベクトルの転置ベクトルを示すものである。チェックに通過したらステップ S403に進む、そうでない場合はステップ S401にもどる。ただし、 Ml ¹と Mq^_1は、隣り合う行列とする。

[ステップ S403]

[0159] 以上のプロセスによって、 q個の m次正方 MDS行列 LI, L2, Lqが生成される。なお、 q≤rである。

[0160] このようにして生成した q個の m次正方 MDS行列 LI, L2, Lqを、先に、図 10を参照して説明した、 [ステップ S23]、 [ステップ S24]の処理に従って、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として設定する。すなわち、奇数段目については上位段から順に LI, L2, · · , Lq, LI, L2' ·として q個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数から順に、 LI, L2, · · , Lq, L1, L2' ·として、 q個の正方 MDS行列を繰り返し設定する。

[0161] このように、偶数ラウンドの正方 MDS行列と奇数ラウンドの正方 MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。

[0162] 本構成により、

(a)各 F関数の線形変換行列は正方 MDSであること、

(b)暗号ィ匕関数内の奇数ラウンド内に連続して含まれる線形変換行列、および偶数ラウンド内に連続して含まれる線形変換行列の逆行列の任意の m個の列ベクトルは独立であること、

が保証される。このこと〖こより、線形攻撃における線形近似による解析困難性を高めることが可能となり、解析の困難性、すなわち鍵の解析の困難な安全性の高い暗号処理が実現される。

[0163] (処理例 b2)

線形攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例の第 2の例について、説明する。図 16に示すフローチャートを参照して正方 MD S行列の生成処理にっ、て説明する。

[0164] [ステップ S 501]

GF (2ⁿ)上で、 q個の m次正方 MDS行列 Ml, M2, Mqをランダムに生成する。なお、図 16に示すフローでは、正方 MDSの個数 q = 6,拡大次数: n=8,行列のサイズ： m= 8の場合の処理例として示してある。

[0165] [ステップ S502]

q個の m次正方 MDS行列 Ml, M2, Mqの逆行列 Ml—¹, M2"¹, Mq^{_ 1}を算出し、隣り合う 2つの逆行列に含まれる 2mの行ベクトル力任意の m本の行べタトルを取り出したときに、正方 MDS行列になっているかどうかをチェックする。図 16中、は、行ベクトルの転置ベクトルを示すものである。チェックに通過したらステップ S5 03に進む、そうでない場合はステップ S401にもどる。ただし、 Ml—¹と Mq^_1は、隣り合う行列とする。

(a)正方行列である

[0166] [ステップ S503]

[0167] 以上のプロセスによって、 q個の m次正方 MDS行列 LI, L2, Lqが生成される

。なお、 q≤rである。

[0168] 前述の処理例 blにおける正方 MDS行列生成処理においては、図 15の処理シーケンスにおいて説明したように、ステップ S402において、 q個の m次正方 MDS行列の Ml, M2, Mqの逆行列 Ml— ¹, M2"¹, Mq^_1に含まれる qm個の列の任意の m個を取り出したときの線形独立性を判定した力この処理例 b2における正方 MDS行列生成処理においては、 q個の m次正方 MDS行列の Ml, M2, Mqの逆行列 Ml— ¹, M2"¹, Mq^_1に含まれる qm個の列の任意の m個を取り出したとき正方 MDS行列になっているかどうかをチェックする。すなわち、より厳しいチェックが実行されること〖こなる。

[0169] この図 16に示す処理シーケンスに従った正方 MDS行列生成処理によって生成された q個の m次正方 MDS行列 LI, L2, Lqが、先に説明した処理例 blと同様、先に、図 10を参照して説明した、 [ステップ S23]、 [ステップ S 24]の処理に従って、段数 (ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として設定される。すなわち、奇数段目については上位段から順に LI, L2, · · , Lq, LI, L2' ·として q個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数力順に、 LI, L 2, · · , Lq, LI, L2"として、 q個の正方 MDS行列を繰り返し設定する。

[0170] このように、偶数ラウンドの正方 MDS行列と奇数ラウンドの正方 MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。

[0171] 本構成により、

(a)各 F関数の線形変換行列は正方 MDSであること、

(b)暗号ィ匕関数内の奇数ラウンド内に連続して含まれる線形変換行列、および偶数ラウンド内に連続して含まれる線形変換行列の逆行列の任意の m個の列ベクトルが正方 MDS行列となること、

[0172] [ (3— c)差分攻撃および線形攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例] 次に、差分攻撃および線形攻撃に対する耐性向上を実現した正方 MDS行列の生成および F関数への設定例について説明する。

[0173] 差分攻撃に対する耐性を持つ暗号処理アルゴリズムは、先に、図 10〜図 13を参照して説明した処理、すなわち、 F関数の線形処理部における線形変換に適用する正方 MDS行列を前述の処理例 al (図 11)〜a3 (図 13)の!、ずれかの処理を適用して設定することで実現される。また、線形攻撃に対する耐性を持つ暗号処理アルゴリズムは、先に、図 10、および図 14、図 15を参照して説明した処理、すなわち、 F関数の線形処理部における線形変換に適用する正方 MDS行列を前述の処理例 b 1 (図 14 )、 b2 (図 15)の、ずれかの処理を適用して設定することで実現される。

[0174] 差分攻撃および線形攻撃に対する耐性向上を実現した正方 MDS行列は、

処理例 al (図 11)〜a3 (図 13)の!、ずれかの処理と、

処理例 bl (図 14)、 b2 (図 15)のいずれかの処理とを、

併せて実行して生成した正方 MDS行列を、図 10において説明した [ステップ S23 ]、 [ステップ S24]の処理に従って、段数（ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として設定することで実現される。

[0175] すなわち、

処理例 alと処理例 bl、

処理例 alと処理例 b2、

処理例 a2と処理例 bl、

処理例 a2と処理例 b2、

処理例 a3と処理例 bl、

処理例 a3と処理例 b2、

のいずれかの組み合わせによって、 q個の正方 MDS行列を生成し、 2rの Feistel 型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として設定する。奇数段目については上位段力順に LI, L2, · · , Lq , LI, L2 "として q個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数から順に、 LI, L2, · · , Lq, LI, L2' ·として、 q個の正方 MDS 行列を繰り返し設定する。この設定により、差分攻撃および線形攻撃に対する耐性向上を実現した暗号処理が可能となる。

[0176] 図 17を参照して、差分攻撃および線形攻撃に対する耐性向上を実現した暗号処理を実現するための正方 MDS行列の生成処理の一例について説明する。この処理は、前述した処理例 a2と、処理例 b2との組み合わせである。

[0177] [ステップ S601]

入力：必要な正方 MDSの個数 q,拡大次数: n,行列のサイズ: mとして、 GF (2ⁿ)上で、 q個の m次正方 MDS行列 Ml, M2, Mqをランダムに生成する。なお、図 17に示すフローでは、正方 MDSの個数 q = 6,拡大次数: n=8,行列のサイズ： m= 8の場合の処理例として示してある。

[0178] [ステップ S602]

q個の m次正方 MDS行列 Ml, M2, Mqに含まれる qm個の列の任意の m個を取り出したときに、正方 MDS行列になっているかどうかをチェックする。チェックに通過したらステップ S603に進む、そうでない場合はステップ S601にもどる。

(a)正方行列である

[0179] [ステップ S603]

q個の m次正方 MDS行列 Ml, M2, Mqの逆行列 Ml—¹, M2"¹, Mq^{_ 1}を算出し、隣り合う 2つの逆行列に含まれる 2mの行ベクトル力任意の m本の行べタトルを取り出したときに、正方 MDS行列になっているかどうかをチェックする。図 17中、は、行ベクトルの転置ベクトルを示すものである。チェックに通過したらステップ S6 04に進む、そうでない場合はステップ S601にもどる。ただし、 Ml—¹と Mq^_1は、隣り合う行列とする。

[0180] [ステップ S604]

q個の m次正方 MDS行列 LI, L2, Lqを、ラウンド数 2rの Feistel型共通鍵ブロック暗号に適用する正方 MDS行列として出力する。 [0181] 以上のプロセスによって、 q個の m次正方 MDS行列 LI, L2, Lqが生成される。なお、 q≤rである。

[0182] この図 17に示す処理シーケンスに従った正方 MDS行列生成処理によって生成された q個の m次正方 MDS行列 LI, L2, Lqが、先に、図 10を参照して説明した、 [ステップ S23]、 [ステップ S 24]の処理に従って、段数（ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として設定される。すなわち、奇数段目については上位段カゝら順に LI, L 2, · · , Lq, LI, L2 "として q個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数から j噴に、 LI, L2, · · , Lq, LI, L2 "として、 q個の正方 MDS行列を繰り返し設定する。

[0183] このように、偶数ラウンドの正方 MDS行列と奇数ラウンドの正方 MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。

[0184] 本構成により、

(a)各 F関数の線形変換行列は正方 MDSであること、

さらに、

(e)暗号ィ匕関数内の奇数ラウンド内に連続して含まれる線形変換行列、および偶数ラウンド内に連続して含まれる線形変換行列の逆行列の任意の m個の列ベクトルが正方 MDS行列となることが保証される。このことにより、線形攻撃における線形近似による解析困難性を高めることが可能となり、解析の困難性、すなわち鍵の解析の困難な安全性の高!ヽ暗号処理が実現される。

[0185] このように、本処理例によって、差分攻撃および線形攻撃の双方の解析の困難性が向上し、鍵の解析の困難な安全性の高い暗号処理が実現される。なお、図 17に示した例は、前述したように、先に説明した処理例 a2と処理例 b2の組み合わせによる正方 MDS行列の生成例である力その他、処理例 alと処理例 bl、処理例 alと処理例 b2、処理例 a2と処理例 bl、処理例 a3と処理例 bl、処理例 a3と処理例 b2とを組み合わせて q個の正方 MDS行列の生成を行い、段数（ラウンド数）が 2rの Feistel型共通鍵ブロック暗号処理構成の各段の F関数部の線形変換部の線形変換処理に適用する行列として、奇数段目については上位段力順に LI, L2, · · , Lq, LI, L2- 'として q個の正方 MDS行列を繰り返し設定し、偶数段の F関数については、下位段の F関数から順に、 LI, L2, · · , Lq, LI, L2"として、 q個の正方 MDS行列を繰り返し設定することによつても、差分攻撃および線形攻撃の双方の解析の困難性が高ぐ鍵の解析の困難な安全性の高い暗号処理が実現可能である。

[0186] これまでの説明では、分かりやすさを優先して線形変換行列を GF (2ⁿ)上で定義される m X mの行列として、 mnビットから mnビットへのデータ変換演算としてきたが、差分解析および線形解析に対する同様な効果が GF (2)上で定義される mn X mnの行列を用いた場合でも有効である。実際、任意の GF (2ⁿ)上の行列は同じ変換を表す GF (2)上の行列に一対一で対応させることができる。よって GF (2)上の行列はより一般的な表現を表しているといえる。 GF (2)上では行と列の本数が mn本ずつと、 GF (2ⁿ)の場合と比べて n倍となる。このため GF (2ⁿ)上の行列の 1行目は、 GF (2) 上の行列の 1から n行目に対応し、 1列目は 1から n列目に対応している。つまり i行目は (i- 1) + 1行目から (i- 1) +n行目に対応し、冽目は (i- 1) + 1列目から (i- 1) +n列目に対応している。よって、 GF (2ⁿ)上の行や列を取り出してくる操作には、 GF (2)上で定義される行列を用いる場合は、対応する n行分もしくは n列分を取り出すと V、う操作を対応させればよ!ヽ。 GF (2ⁿ)上の m本の行や列を取り出す操作は、 GF (2 )上では n本の行や列を m回取り出すことになり、結果として mn X mnの行列を得ることができる。以上の対応付けにより、 GF (2)上で定義される行列に容易に拡張することがでさる。

[0187] 最後に、暗号処理を実行する暗号処理装置としての ICモジュール 600の構成例を図 18に示す。上述の処理は、例えば PC、 ICカード、リーダライタ、その他、様々な情報処理装置において実行可能であり、図 18に示す ICモジュール 600は、これら様々な機器に構成することが可能である。

[0188] 図 18に示す CPU(Central processing Unit)601は、暗号処理の開始や、終了、データの送受信の制御、各構成部間のデータ転送制御、その他の各種プログラムを実行するプロセッサである。メモリ 602は、 CPU601が実行するプログラム、あるいは演算パラメータとしての固定データを格納する ROM (Read-Only-Memory)、 CPU601 の処理にお!、て実行されるプログラム、およびプログラム処理にお!、て適宜変化するパラメータの格納エリア、ワーク領域として使用される RAM (Random Access Memory )等力もなる。また、メモリ 602は暗号処理に必要な鍵データ等の格納領域として使用可能である。データ等の格納領域は、耐タンパ構造を持つメモリとして構成されることが好ましい。

[0189] 暗号処理部 603は、例えば上述した Feistel型共通鍵ブロック暗号処理アルゴリズムに従った暗号処理、復号処理等を実行する。なお、ここでは、暗号処理手段を個別モジュールとした例を示した力このような独立した暗号処理モジュールを設けず、例えば暗号処理プログラムを ROMに格納し、 CPU601が ROM格納プログラムを読み出して実行するように構成してもよ!/ヽ。

[0190] 乱数発生器 604は、暗号処理に必要となる鍵の生成などにおいて必要となる乱数の発生処理を実行する。

[0191] 送受信部 605は、外部とのデータ通信を実行するデータ通信処理部であり、例えばリーダライタ等、 ICモジュールとのデータ通信を実行し、 ICモジュール内で生成した暗号文の出力、あるいは外部のリーダライタ等の機器力ものデータ入力などを実行する。

[0192] 以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。

[0193] なお、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させる力、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。

[0194] 例えば、プログラムは記録媒体としてのハードディスクや ROM (Read Only Memory )に予め記録しておくことができる。あるいは、プログラムはフレキシブルディスク、 CD -ROM(Compact Disc Read Only Memory), MO(Magneto optical)ディスク， DVD( Digital Versatile Disc),磁気ディスク、半導体メモリなどのリムーバブル記録媒体に、一時的あるいは永続的に格納 (記録)しておくことができる。このようなリムーバブル記録媒体は、 V、わゆるパッケージソフトウェアとして提供することができる。

[0195] なお、プログラムは、上述したようなリムーバブル記録媒体力もコンピュータにインストールする他、ダウンロードサイトから、コンピュータに無線転送したり、 LAN(Local A rea Network),インターネットといったネットワークを介して、コンピュータに有線で転送し、コンピュータでは、そのようにして転送されてくるプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。

[0196] なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

産業上の利用可能性

[0197] 上述したように、本発明の構成によれば、非線形変換部および線形変換部を有する SPN型の F関数を、複数ラウンド繰り返し実行する Feistel型共通鍵ブロック暗号処理において、複数ラウンド各々に対応する F関数の線形変換処理を、正方 MDS (M aximum Distance Separable)行列を適用した線形変換処理として実行するとともに、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方 MDS行列： La, Lbを適用し、かつ該正方 MDS行列の逆行列： La^_1, Lb" ¹を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である力、あるいは正方 MDS行列を構成する性質とした正方 MDS行列による線形変換処理を実行する構成としたので、共通鍵ブロック暗号における線形攻撃に対する耐性が向上し、暗号鍵等の解析困難性が高まることとなり、安全性の高い暗号処理が実現される。従って、鍵解析困難性を高め、安全性の要求される暗号処理実行装置において適用可能である。

さらに、本発明の構成によれば、非線形変換部および線形変換部を有する SPN型の F関数を、複数ラウンド繰り返し実行する Feistel型共通鍵ブロック暗号処理にぉヽて、複数ラウンド各々に対応する F関数の線形変換処理を、正方 MDS (Maximum

Distance Separable)行列を適用した線形変換処理として実行するとともに、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方 MDS行列を適用する構成とし、これらの正方 MDS行列自身が、線形独立性を示す力または正方 MDS行列を構成する構成としたので、アクティブ Sボックスの寄与による同時差分キャンセルの発生しないことが保証され、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号ィ匕関数全体でのアクティブ Sボックスの最少数を大きくすることが可能となる。本構成により、線形攻撃、差分攻撃の双方に対して耐性が向上し、より安全性の高い暗号処理が実現される。従って、鍵解析困難性を高め、安全性の要求される暗号処理実行装置において適用可能である。

Claims

請求の範囲

[1] Feistel型共通鍵ブロック暗号処理を実行する暗号処理装置であり、

少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々においては、異なる正方 MDS行列： La, Lbが適用され、かつ該正方 MDS行列の逆行列： La^{_ 1}, L b^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立であることを特徴とする暗号処理装置。

[2] 前記暗号処理装置において、さらに、

前記逆行列: La^_1, Lb^_1を構成する列ベクトルから任意に選択した m個の列べタトルによって構成する行列が正方 MDS行列であることを特徴とする請求項 1に記載の暗号処理装置。

[3] 前記 Feistel型共通鍵ブロック暗号処理のアルゴリズムは、ラウンド数 2rの暗号処理アルゴリズムであり、

前記 F関数の線形変換部は、

r個の全ての偶数ラウンドおよび r個の全ての奇数ラウンドにおいて 2≤q<rの q種類の異なる正方 MDS行列を順次繰り返し適用した線形変換処理を実行する構成であることを特徴とする請求項 1に記載の暗号処理装置。

[4] 前記 F関数の線形変換部にぉ、て適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する列ベクトルから任意に選択した m個の列べタトルによって構成する行列が線形独立である正方 MDS行列であることを特徴とする請求項 1に記載の暗号処理装置。

[5] 前記 F関数の線形変換部にぉ、て適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する列ベクトルから任意に選択した m個の列べタトルによって構成する行列も正方 MDS行列となる正方 MDS行列であることを特徴とする請求項 1に記載の暗号処理装置。

[6] 前記 F関数の線形変換部にぉ、て適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する要素を全て含む正方 MDS行列 M力選択された行ベクトルによって構成される行列 M'から抽出された列ベクトルによって構成される行列によって構成されてヽることを特徴とする請求項 1に記載の暗号処理装置。

[7] Feistel型共通鍵ブロック暗号処理を実行する暗号処理方法であり、

非線形変換処理および線形変換処理を実行する SPN型の F関数を、複数ラウンド繰り返し実行し、

前記複数ラウンド各々に対応する F関数の線形変換処理は、 m個の非線形変換部各々の出力する nビット、総計 mnビットの入力に対する線形変換処理を、正方 MDS (Maximum Distance Separable)行列を適用した線形変換処理として実行し、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々においては、異なる正方 MDS行列： La, Lbが適用され、かつ該正方 MDS行列の逆行列： La^{_ 1}, L b^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である正方 MDS行列による線形変換処理を実行することを特徴とする暗号処理方法。

[8] 前記暗号処理方法において、さらに、

前記逆行列: La^_1, Lb^_1を構成する列ベクトルから任意に選択した m個の列べタトルによって構成する行列が正方 MDS行列である正方 MDS行列による線形変換処理を実行することを特徴とする請求項 7に記載の暗号処理方法。

[9] 前記 Feistel型共通鍵ブロック暗号処理のアルゴリズムは、ラウンド数 2rの暗号処理アルゴリズムであり、

前記 F関数の線形変換処理は、

r個の全ての偶数ラウンドおよび r個の全ての奇数ラウンドにおいて 2≤q<rの q種類の異なる正方 MDS行列を順次繰り返し適用した線形変換処理を実行することを特徴とする請求項 7に記載の暗号処理方法。

[10] 前記 F関数の線形変換処理にぉ、て適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である正方 MDS行列であることを特徴とする請求項 7に記載の暗号処理方法。

[11] 前記 F関数の線形変換処理において適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列も正方 MDS行列となる正方 MDS行列であることを特徴とする請求項 7に記載の暗号処理方法。

[12] 前記 F関数の線形変換処理において適用する異なる複数の正方 MDS行列の各々は、該複数の正方 MDS行列を構成する要素を全て含む正方 MDS行列 Mから選択された行ベクトルによって構成される行列 M'から抽出された列ベクトルによって構成される行列によって構成されていることを特徴とする請求項 7に記載の暗号処理方法。

[13] Feistel型共通鍵ブロック暗号処理を実行するコンピュータ 'プログラムであり、非線形変換処理および線形変換処理を実行する SPN型の F関数を、複数ラウンド繰り返し実行するステップを有し、

前記線形変換ステップにお、て、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々では、異なる正方 MDS行列： La, Lbが適用され、かつ該正方 M DS行列の逆行列: La^_1, Lb^_1を構成する列ベクトルから任意に選択した m個の列ベクトルによって構成する行列が線形独立である正方 MDS行列による線形変換処理を実行することを特徴とするコンピュータ ·プログラム。