WO2006064763A1

WO2006064763A1 - 共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号化プログラム

Info

Publication number: WO2006064763A1
Application number: PCT/JP2005/022773
Authority: WO
Inventors: Kazuhiko Minematsu
Original assignee: Nec Corporation
Priority date: 2004-12-17
Filing date: 2005-12-12
Publication date: 2006-06-22
Also published as: US20080253561A1; JP4793268B2; JPWO2006064763A1

Abstract

　安全なブロック暗号を提供する共通鍵ブロック暗号化装置を提供する。平文をＰＡブロックとＰＢブロックとに分割し、ハッシュ関数により圧縮したＰＢブロックと、ＰＡブロックと、を加算し単位ブロック中間文を生成する第１のフェイステル型ハッシュ手段（１０２）と、単位ブロック中間文を暗号化し単位ブロック中間暗号文を生成する単位ブロック暗号化手段（１０３）と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成手段（１０４）と、中間乱数とＰＢブロックとを加算し加算結果を出力する加算手段（１０５）と、ハッシュ関数により圧縮した加算結果と、単位ブロック中間暗号文と、を基に生成した第２の加算結果と、加算結果と、を合わせた結果を出力する第２のフェイステル型ハッシュ手段（１０６）と、出力結果を暗号文として出力する暗号文出力手段（１０７）と、を有する。

Description

明細書

共通鍵ブロック暗号ィヒ装置、共通鍵ブロック暗号化方法及び共通鍵プロック暗号ィ匕プログラム

技術分野

[0001] 本発明は、共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号ィ匕プログラムに関し、特に、安全性の高い暗号処理と、高速な暗号処理と、の組み合せを用いて、大きなブロックサイズに対するブロック暗号を行う共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号化プログラムに関するものである。

背景技術

[0002] 近年、ブロック暗号やハッシュ関数などの暗号処理を暗号部品とし、新たな暗号を構成するアプローチが数多く知られて、る。

[0003] 例えば、ファイル暗号では、暗号化データのセクタ単位での処理を容易とするために、標準的なブロックサイズ（128bitなど）のブロック暗号を用いて、セクタのサイズに対応した、より大きなブロックサイズ (512bitなど）のブロック暗号を構成する研究が行われている。

[0004] 通常、このような暗号部品の組み合せは、該暗号部品の選択平文攻撃（Chosen PI ain text Attack;CPA)への安全性力該暗号部品により新たに構成される暗号の十分な安全性を確保するために必要とされてきた。なお、新たに構成される暗号の十分な安全性とは、新たに構成される暗号がブロック暗号の場合には、選択平文攻撃への安全性、もしくは、選択平文 Z暗号文攻撃への安全性を示し、新たに構成される暗号がストリーム暗号の場合には、（初期ベクトルを攻撃者が選択できるというモデルのもとでの)選択平文攻撃への安全性を示して!/ヽる。

[0005] なお、選択平文攻撃に安全な暗号部品のみを用いた方法の場合には、新たに構成される暗号のスループット（単位時間当たりの処理量）力暗号部品のスループットを上回ることはできない。

[0006] これに対し、選択平文攻撃に安全な暗号部品のみを用いるのではなぐ選択平文攻撃に安全な暗号部品と既知平文攻撃 (Known Plain text Attack;KPA)に安全な暗号部品とを組み合わせる方法がある (例えば、特許文献 1、非特許文献 1参照)。

[0007] なお、上記特許文献 1、上記非特許文献 1は、ブロック暗号の出力を、ノ、ッシュ関数やストリーム暗号で拡大することによりストリーム暗号を構成するものである。なお、上記特許文献 1には、選択平文攻撃に安全なブロック暗号と、既知平文攻撃に安全なハッシュ関数やストリーム暗号と、を用いれば、新たに構成されるストリーム暗号は安全である旨が開示されて、る。

[0008] 既知平文攻撃は、選択平文攻撃より弱いクラスの攻撃である。既知平文攻撃に安全な暗号部品は、安全性への要求が弱いため、選択平文攻撃に安全な暗号部品よりも高速に動作することが期待できる。さらに、上記特許文献 1の手法において、選択平文攻撃に安全なブロック暗号と、既知平文攻撃に安全なハッシュ関数やストリーム暗号と、を用いれば、新たに構成される暗号のスループットを、既知平文攻撃に安全な暗号部品のスループットとほぼ同等にすることが可能となる。

[0009] なお、選択平文攻撃に対して安全な暗号部品を Pl、既知平文攻撃に対して安全な暗号部品を P2とする。

[0010] また、選択平文攻撃に対して安全な暗号部品 P1の鍵を K1とし、既知平文攻撃に対して安全な暗号部品 P2の互いに独立な t個の鍵 (tは、任意の正の整数)をそれぞれ K2_l, K2_2, ...,K2_tとする。

[0011] また、暗号 Pi (iは 1または 2)で鍵 Kを用いて平文 mを暗号ィ匕するとき、 mの暗号文を Pi[k] (m)で表すとする。

[0012] この条件にて上記特許文献 1の方式におけるストリーム暗号では、 1ブロック分の鍵ストリーム Gは、以下の（式 1)にて表されることになる。

[0013] G= (P2[K2_l](Y),P2[K2_2](Y),...,P2[K2_t](Y)) · · · (式 1)

但し、 Yは、初期入力が c、鍵が K1のとき PIの出力 Pl[Kl](c)を表す。

[0014] また、上記 (式 1)の代わりに、非特許文献 2に開示されている方式を適用することも可能である。これは以下の（式 1 ' )にて表されることになる。

[0015] G_{ 1, 1 }〇(G— [2,2]〇(G— [3,4 "G— [(1,2飞(1- 1)])...)(Υ) · · · (式 1')

[0016] ただし、 dは log_[2](t)— 1以上の最小の正整数であり、 1= 1,2,...,(1にっぃて0 ]は、 P2の 2つの鍵を用いた 1ブロック入力 2ブロック出力であり、 G_[i](X)=(P2[K2_2i-l](X), P2[K2— 2i](X》と!、う処理を行う。

[0017] G_[i,2"Xi-l)]は、 2飞卜1)ブロック入力 2 0ブロック出力であり、全ての入力ブロックへ G — [i]を適用し、それぞれの結果を連結して出力する処理である。全体の出力は、各 G_[ i,2~(i-l)]の出力を連結する。なお、図 8に P2の鍵を 4つ使用した場合を示す。また、〇は関数の合成を表す演算子であり、ある 2つの関数 Fと Gとについて、 FOGは、 F 〇G(X)=G(F(X》という合成関数を表す。ここでは、（式 1)と同様に（式 1')の Yを P1[K1 ](c)としたモードを、擬似ランダムツリーモード（Pseudorandom Tree mode,PRTモードと略す)と呼ぶ。

[0018] P1の出力 Yを t倍にしていることから、以後は tを拡大率と呼ぶ。なお、初期入力じの生成方法はいくつか考えられる力例えば、初期値を 1とし、 1ブロック分の鍵ストリーム生成の度に、カウントアップする変数を cとする方法がある。

[0019] 上記特許文献 1の方式は、 1ブロック分の入力に対して tブロック分の出力を行う暗号処理に関するものである力同様の処理は P1のみを用いて行うことも可能である。これは非特許文献 3に開示されている修正カウンターモード、もしくは、修正 OFB(Ou tput Feed Back)モードを使えばよいことになる。なお、 P1を用いた修正カウンターモードを (式 2)に示し、 P1を用いた修正 OFBモードを (式 3)に示す。

[0020] (式 2)

入力 Xについて、（Pl(Pl(x)+c— l),Pl(Pl(x)+c— 2),...,Pl(Pl(x)+c— t》)、を出力。但し、 c_l,...,c_tは、 t個のそれぞれ互いに異なる定数とする。

[0021] (式 3)

入力 Xについて、 (Pl(Pl(x)),Pl(Pl(x)+y_l),...,Pl(Pl(x)+y_t-l),を出力。

但し、 y— l=Pl(Pl(x)),y— 2=Pl(Pl(x)+y— l),...,y— t- l=Pl(Pl(x)+y— t- 2)を満たすものとする

[0022] なお、修正カウンターモードや修正 OFBモードは PIのみの暗号部品を用いて、 P2 という追加の暗号部品を必要としないため簡素化を図れることになるが、その代わりに、修正カウンターモードや修正 OFBモードのスループットは、 P1の暗号部品のスループットよりも高速にはならないことになる。 [0023] なお、本発明より先に出願された他の技術文献として、入力データの暗号化段階を少なくとも 2つの段階で構成し、各暗号ィ匕段階で所定バイト長のブロック単位で暗号分ブロック連鎖モードを用いて暗号ィ匕し、かつ最初の暗号化段階では入力データに依存しない固定の初期化ベクトルを用い、次の暗号ィヒ段階以降では前の暗号ィ匕手段における 1つのブロックの暗号結果を初期化ベクトルとして用い、大きなデータをブロック化して暗号ィ匕する際に、元のデータが推測されるのを困難にすることを可能とするブロック暗号方法及び複合方法がある（例えば、特許文献 2参照)。

[0024] また、平文 Mを r (rは 2以上の整数)個の分割平文に分割し、 r個の分割平文のうちの n個（n<r)の分割平文を n個の暗号文に暗号ィ匕し、残りの (r—n)個の分割平文と前記 n個の暗号文とを出力暗号文として出力し、高速で簡易な暗号系を構成できるものがある (例えば、特許文献 3参照)。

[0025] また、ハッシュ関数にっ、て開示されたものがある（例えば、非特許文献 4参照)。

[0026] また、 AES (Advanced Encryption Standard)などの選択平文 Z暗号文攻撃に安全なブロック暗号につ!ヽて開示されたものがある（例えば、非特許文献 5参照)。

[0027] また、ストリーム暗号 SEALについて開示されたものがある（例えば、非特許文献 6 参照)。

特許文献 1 :米国特許第 6104811号明細書

特許文献 2 :特開 2002— 108205号公報

特許文献 3：特開 2002— 175008号公報

非特許文献 1 :アイエロ、ラャゴパラン、アンドベンカテサン、ハイスピードスードランダムナンバージェネレーションウイズスモーノレメモリー、 1999年 3月、ファストソフトウェアェンクリプシヨン、シックスインターナショナノレワークショップ、エフエスィー 99 、レクチャーノーッインコンピュータサイエンスボリューム 1636 (W. Aiello, R. Raj agopalan and V. Venkatesan, High— Speed Pseudorandom Number Generation With S mall Memory, Fast Software Encryption, 6th International Workshop, FSE'99, Lectu re Notes in Computer Science; Vol. 1636, Mar. 1999)

非特許文献 2 :ィバンダンガード、アンドジエスパーブースニールセン、 2002年 8 月、「エタスパンディングスードランダムファンクションズ；ォヮ：フロムノウン一プレインテキストセキュリティトウチョーズンープレインテキストセキュリティ」、 200 2年、アドバンシズインクリプトロジー、クリフ。ト' 02、レクチャーノーッインコンビュ ~~グサイエンスボリュ ~~ム 2442 (Ivan Damgard and Jusper Buus Nielsen, Expandin g Pseudorandom Functions; or: From Known-Plaintext Security to Chosen-Plaintext Security, Advances in Cryptology- CRYPTO'02, LNCS 2442, 2002.)

非特許文献 3 :アンリギルバート、ザセキュリティーォブ "ワンブロックトゥーメ-一"モーズォブオペレーション、 2003年 2月、ファストソフトウェアェンタリプション、テンスインターナショナノレワークショップ、エフエスィー 03、レクチャーノーッィンコンピュータサイエンスボリューム 2887 (H. Gilbert, The Security of "One-Bloc k— to— Many Modes of Operation, Fast Software Encryption, 10th International Wor kshop, FSE '03, Lecture Notes in Computer Science; Vol. 2887, Feb. 2003) 非特許文献 4 :シャイハレビアンドユーゴクラウジック、ェムェムェイチ：ソフトゥエアメッセージォゥセンティケイシヨンインザギガビットパーセコンドレーッ、 1997年 2月、ファストソフトウェアェンクリプシヨン、フォースインターナショナルヮークショップ、エフエスィー 97、レクチャーノーッインコンピュータサイエンスボリュ ~~ム 1267 (S. Haievi and H. Krawczyk, MMH:¾oftware Message Authentication in t he Gbit/ second rates, Fast Software Encryption, 4th International Workshop, FSE 97, Lecture Notes in Computer Science; Vol. 1267, Feb. 1997)

非特許文献 5 :デーモンアンドライマン、エーィーエスプロポーザル：ラインデール、エーィーエスサブミッション、 1998. (J. Daemen, V. Rijmen, "AES Proposal: Rij ndael", AES submission, 1998.)

非特許文献 6 :フィル口ガウエイアンドダンカツパースミス、ァソフトウェア一ォプティマイズドェンクリプシヨンアルゴリズム、 1993年 2月、ファストソフトウェアェンタリプシヨン、ファーストインターナショナノレワークショップ、エフエスィー 97、レクチャ一ノーッインコンピュータサイエンスボリューム 809 (P. Rogaway and D. Coppers mith, A Software-Optimized Encryption Algorithm, Fast Software Encryption, 1st In ternatioanl Workshop, FSE '93, Lecture Notes in Computer science; Vol. 809, Feb. 1993.) 発明の開示

発明が解決しょうとする課題

[0028] なお、上記特許文献 1には、ブロック暗号の出力を、ノ、ッシュ関数やストリーム暗号で拡大することによりストリーム暗号を構成することについては開示されている力選択平文攻撃に安全な暗号部品と、既知平文攻撃に安全な暗号部品と、を組み合せた安全なブロック暗号の構築方法にっ、ては何ら考慮されたものではな、。

[0029] また、上記特許文献 1に記載されて!ヽる方式では、拡大率を大きく設定したときの実装面の負担が大きくなる虞がある。その理由は、上記特許文献 1に記載されている方式は、拡大率に応じて線形に鍵が長くなるからである。このような場合、適当な鍵スケジユーリングを採用し、短い秘密鍵を拡大して力も使うことになる力これは鍵スケジユーリングによる事前処理の計算量増加を意味することになる。また、暗号化の際に必要とするメモリ量も増加することになる。

[0030] 本発明は上記事情に鑑みてなされたものであり、選択平文攻撃に安全な暗号部品と、既知平文攻撃に安全な暗号部品と、を組み合わせるか、もしくは、選択平文 Z暗号文攻撃に安全な暗号部品と、既知平文攻撃に安全な暗号部品と、を組み合わせ、安全なブロック暗号を提供する共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号ィ匕プログラムを提供することを目的とするものである。課題を解決するための手段

[0031] かかる目的を達成するために、本発明は以下の特徴を有することとする。

[0032] 本発明にカゝかる共通鍵ブロック暗号ィ匕装置は、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、第 2のブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、第 1のブロックと、を出力する第 1のフェイステル型ハッシュ手段と、単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成する単位ブロック暗号化手段と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成手段と、中間乱数と、第 1のブロックと、を加算し、加算結果を出力する加算手段と、加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、単位ブロック中間暗号文と、を加算し、第 2の加算結果を生成し、該生成した第 2の加算結果と、加算結果と、を合わせた出力結果を出力する第 2のフェイステル型ハツシュ手段と、出力結果を暗号文として出力する暗号文出力手段と、を有することを特徴とするちのである。

[0033] また、本発明にかかる共通鍵ブロック暗号ィ匕装置は、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、第 2のブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、第 1のブロックと、を出力する第 1のフエイステル型ハッシュ手段と、単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成する単位ブロック暗号ィ匕手段と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成手段と、中間乱数と、第 1のブロックと、を加算し、加算結果を出力する加算手段と、加算結果と、単位ブロック中間暗号文と、を連結し暗号文として出力する暗号文出力手段と、を有することを特徴とするものである。

[0034] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードに対し、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするちのである。

[0035] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきッリーモードと PRTモードと ERTモードとの組み合わせによるモードに対し、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0036] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、ブロック暗号による修正カウンターモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0037] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、ブロック暗号による修正 OFBモードに、単位プロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0038] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードの最初の暗号化処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数を生成することを特徴とするものである。

[0039] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきッリーモードと PRTモードと ERTモードとの組み合わせによるモードの最初の暗号化処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数を生成することを特徴とするものである。

[0040] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、ブロック暗号による修正カウンターモードの最初の暗号化処理を省ヽたモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0041] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、ブロック暗号による修正 OFBモードの最初の暗号ィ匕処理を省いたモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0042] また、本発明にカゝかる共通鍵ブロック暗号ィ匕装置にぉ、て、単位ブロック暗号化手段は、ブロック暗号を用いて単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成し、疑似乱数生成手段は、初期ベクトルを付加的な入力として受け付けるストリーム暗号へ、単位ブロック中間暗号文を初期ベクトルとして入力し、中間乱数を生成することを特徴とするものである。

[0043] また、本発明に力かる共通鍵ブロック暗号ィ匕方法は、情報処理装置にお!、て行う共通鍵ブロック暗号ィ匕方法であって、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、第 2のブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、第 1のブロックと、を出力する第 1のフェイステル型ハッシュ工程と、単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成する単位ブロック暗号ィ匕工程と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成工程と、中間乱数と、第 1のブロックと、を加算し、加算結果を出力する加算工程と、加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、単位ブロック中間暗号文と、を加算し、第 2の加算結果を生成し、該生成した第 2の加算結果と、加算結果と、を出力する第 2のフェイステル型ハッシュ工程と、第 2の加算結果と、加算結果と、を基に暗号文として出力する暗号文出力工程と、を、情報処理装置が行うことを特徴とするものである。

[0044] また、本発明に力かる共通鍵ブロック暗号ィ匕方法は、情報処理装置にお!、て行う共通鍵ブロック暗号ィ匕方法であって、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、第 2のブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、第 1のブロックと、を出力する第 1のフェイステル型ハッシュ工程と、単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成する単位ブロック暗号ィ匕工程と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成工程と、中間乱数と、第 1のブロックと、を加算し、加算結果を出力する加算工程と、加算結果と、単位ブロック中間暗号文と、を連結し暗号文として出力する暗号文出力工程と、を、情報処理装置が行うことを特徴とするものである。

[0045] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードに対し、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするちのである。

[0046] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきッリーモードと PRTモードと ERTモードとの組み合わせによるモードに対し、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0047] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、ブロック暗号による修正カウンターモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0048] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、ブロック暗号による修正 OFBモードに、単位プロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0049] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードの最初の暗号化処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数を生成することを特徴とするものである。

[0050] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきッリーモードと PRTモードと ERTモードとの組み合わせによるモードの最初の暗号化処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数を生成することを特徴とするものである。

[0051] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、ブロック暗号による修正カウンターモードの最初の暗号化処理を省ヽたモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0052] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、ブロック暗号による修正 OFBモードの最初の暗号ィ匕処理を省いたモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0053] また、本発明に力かる共通鍵ブロック暗号ィ匕方法にぉ、て、単位ブロック暗号ィ匕ェ程は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成工程は、初期ベクトルを付加的な入力として受け付けるストリーム暗号へ、単位ブロック中間暗号文を初期ベクトルとして入力し、中間乱数を生成することを特徴とするものである。

[0054] また、本発明に力かる共通鍵ブロック暗号ィ匕プログラムは、情報処理装置にお!、て実行させる共通鍵ブロック暗号化プログラムであって、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、第 2のブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、第 1のブロックと、を出力する第 1のフエイステル型ハッシュ処理と、単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する単位ブロック暗号ィ匕処理と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成処理と、中間乱数と、第 1のブロックと、を加算し、加算結果を出力する加算処理と、加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、単位ブロック中間暗号文と、を加算し、第 2の加算結果を生成し、該生成した第 2 の加算結果と、加算結果と、を出力する第 2のフェイステル型ハッシュ処理と、第 2の加算結果と、加算結果と、を基に暗号文として出力する暗号文出力処理と、を、情報処理装置において実行させることを特徴とするものである。

[0055] また、本発明に力かる共通鍵ブロック暗号ィ匕プログラムは、情報処理装置にお!、て実行させる共通鍵ブロック暗号化プログラムであって、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、第 2のブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、第 1のブロックと、を出力する第 1のフエイステル型ハッシュ処理と、単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する単位ブロック暗号ィ匕処理と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成処理と、中間乱数と、第 1のブロックと、を加算し、加算結果を出力する加算処理と、加算結果と、単位ブロック中間暗号文と、を連結し暗号文として出力する暗号文出力処理と、を、情報処理装置において実行させることを特徴とするものである。

[0056] また、本発明に力かる共通鍵ブロック暗号化プログラムにお!/、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードに対し、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0057] また、本発明に力かる共通鍵ブロック暗号ィ匕プログラムにお、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきツリーモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードに対し、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0058] また、本発明に力かる共通鍵ブロック暗号化プログラムにお!/、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、ブロック暗号による修正カウンターモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0059] また、本発明に力かる共通鍵ブロック暗号化プログラムにお!/、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、ブロック暗号による修正 OFBモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0060] また、本発明に力かる共通鍵ブロック暗号化プログラムにお!/、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードの最初の暗号化処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数を生成することを特徴とするものである。

[0061] また、本発明に力かる共通鍵ブロック暗号化プログラムにお!/、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードの最初の暗号化処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数を生成することを特徴とするものである。

[0062] また、本発明に力かる共通鍵ブロック暗号化プログラムにお!/、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、ブロック暗号による修正カウンターモードの最初の暗号化処理を省いたモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0063] また、本発明に力かる共通鍵ブロック暗号化プログラムにお!/、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、ブロック暗号による修正 OFBモードの最初の暗号化処理を省ヽたモードに、単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数を生成することを特徴とするものである。

[0064] また、本発明に力かる共通鍵ブロック暗号化プログラムにお!/、て、単位ブロック暗号化処理は、ブロック暗号を用いて単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、疑似乱数生成処理は、初期ベクトルを付加的な入力として受け付けるストリーム暗号へ、単位ブロック中間暗号文を初期ベクトルとして入力し、中間乱数を生成することを特徴とするものである。

発明の効果

[0065] 本発明にかかる共通鍵ブロック暗号化装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号ィ匕プログラムは、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、第 2のブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、第 1のブロックと、を出力する。そして、単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する。そして、単位ブロック中間暗号文を基に中間乱数を生成し、該生成した中間乱数と、第 1のブロックと、を加算し、加算結果を出力する。そして、その加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、単位ブロック中間暗号文と、を加算し、第 2の加算結果を生成し、該生成した第 2の加算結果と、加算結果と、を出力する。そして、第 2の加算結果と、加算結果と、を基に暗号文として出力することになる。これにより、選択平文 Z暗号文攻撃に安全にすることが可能となる。

[0066] また、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、第 2のプロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、第 1 のブロックと、を出力する。そして、単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する。そして、単位ブロック中間暗号文を基に中間乱数を生成し、該生成した中間乱数と、第 1のブロックと、を加算し、加算結果を出力する。そして、その加算結果と、単位ブロック中間暗号文と、を連結し暗号文として出力することになる。これにより、選択平文攻撃に安全にすることが可能となる。

図面の簡単な説明

[0067] [図 1]第 1の実施形態における共通鍵ブロック暗号化装置の構成を示すブロック図である。

[図 2]第 1の実施形態における共通鍵ブロック暗号ィ匕装置の処理動作を示すフロチャートである。

[図 3]第 2の実施形態における共通鍵ブロック暗号ィ匕装置の構成を示すブロック図である。

[図 4]第 2の実施形態における共通鍵ブロック暗号ィ匕装置の処理動作を示すフロチャートである。

[図 5]第 3の実施形態における共通鍵ブロック暗号化装置の具備する疑似乱数生成手段（104)における順序つきツリーモードの処理動作を示すフロチャートである。

[図 6]t= 3、r= 3とした場合の疑似乱数生成手段（104)の構成を示すブロック図である。

[図 7]P2の鍵を 4つ使う場合の ERTモードの構成を示すブロック図である。

[図 8]P2の鍵を 4つ使う場合の PRTモードの構成を示すブロック図である。

符号の説明

[0068] 101、 201 平文入力手段

102、 202 第 1のフェイステル型ハッシュ手段

103、 203 単位ブロック暗号化手段 104、 204 擬似乱数生成手段

105、 205 カロ算手段

106 第 2のフェイステル型ハッシュ手段

107、 206 暗号文出力手段

発明を実施するための最良の形態

[0069] まず、図 1、図 3を参照しながら、本実施形態における共通鍵ブロック暗号化装置について説明する。

[0070] 本実施形態における第 1の共通鍵ブロック暗号化装置は、図 1に示すように、暗号化される平文を入力する平文入力手段（101)と、平文を、 PAブロックと、 PBブロックと、に分割し、該分割した PBブロックをハッシュ関数により圧縮し、該圧縮した PBプロックと、 PAブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、 PBブロックと、を出力する第 1のフェイステル (Feistel)型ハッシュ手段（102 )と、単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成する単位ブロック暗号化手段（103)と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成手段（104)と、中間乱数と、 PBブロックと、を加算し、加算結果を出力する加算手段（105)と、加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、単位ブロック中間暗号文と、を加算し、第 2の加算結果を生成し、該生成した第 2の加算結果と、加算結果と、を合わせた出力結果を出力する第 2のフェイステル型ハツシュ手段（106)と、出力結果を暗号文として出力する暗号文出力手段（107)と、を有することを特徴とするものである。これにより、選択平文 Z暗号文攻撃に安全な暗号部品と、既知平文攻撃に安全な暗号部品と、を組み合わせ、安全なブロック暗号を提供することが可能となる。また、第 2の共通鍵ブロック暗号化装置は、図 3に示すように、暗号化される平文を入力する平文入力手段（201)と、平文を、 PAブロックと、 P Bブロックと、に分割し、該分割した PBブロックをハッシュ関数により圧縮し、該圧縮した PBブロックと、 PAブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、 PBブロックと、を出力する第 1のフェイステル型ハッシュ手段（2 02)と、単位ブロック中間文を暗号ィ匕し、単位ブロック中間暗号文を生成する単位ブロック暗号ィ匕手段 (203)と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成手段 (204)と、中間乱数と、第 1のブロックと、を加算し、加算結果を出力する加算手段 (205)と、加算結果と、単位ブロック中間暗号文と、を連結し暗号文として出力する暗号文出力手段（206)と、を有することを特徴とするものである。これにより、選択平文攻撃に安全な暗号部品と、既知平文攻撃に安全な暗号部品と、を組み合わせ、安全なブロック暗号を提供することが可能となる。なお、ブロック暗号に求められる安全性とは、選択平文攻撃への安全性か、選択平文攻撃と選択暗号文攻撃とを組み合わせた選択平文 Z暗号文攻撃への安全性であり、どちらが必要かは利用目的により異なるが、第 1の共通鍵ブロック暗号化装置は、単位ブロック暗号化手段（103)が選択平文 Z暗号文攻撃に安全で、疑似乱数生成手段（104)が選択平文攻撃に安全であれば、選択平文 Z暗号文攻撃に安全にすることが可能となる。また、第 2の共通鍵ブロック暗号化装置は、選択平文攻撃に安全にすることが可能となる。以下、添付図面を参照しながら、本実施形態における共通鍵ブロック暗号化装置について詳細に説明する。

[0071] (第 1の実施形態）

まず、図 1を参照しながら、第 1の実施形態における共通鍵ブロック暗号化装置の構成について説明する。なお、図 1は、第 1の実施形態における共通鍵ブロック暗号化装置の構成を示すブロック図である。

[0072] 第 1の実施形態における共通鍵ブロック暗号化装置は、平文入力手段（101)と、第 1のフェイステル型ハッシュ手段（102)と、単位ブロック暗号化手段（103)と、擬似乱数生成手段（104)と、加算手段（105)と、第 2のフェイステル型ハッシュ手段（106

)と、暗号文出力手段（107)と、を有して構成される。

[0073] なお、本実施形態における共通鍵ブロック暗号化装置は、 CPUとメモリとディスクとにより実現することは可能である。共通鍵ブロック暗号化装置の各手段は、上記各手段を実行するためのプログラムをディスクに格納し、該格納したプログラムを CPUが実行することで実現することになる。

[0074] 次に、共通鍵ブロック暗号化装置を構成する各手段について説明する。

[0075] <平文入力手段 101 >

平文入力手段（101)は、暗号ィ匕される対象となる平文を入力するものである。例えば、キーボードなどの文字入力装置により実現されることになる。

[0076] <第 1のフェイステル型ハッシュ手段 102 >

第 1のフェイステル型ハッシュ手段（102)は、平文入力手段（101)から入力された平文を P Aブロックと、 PBブロックと、に分割し、該分割した PBブロックをハッシュ関数により圧縮し、該圧縮した PBブロックと、 PAブロックと、を加算することになる。そして、第 1のフェイステル型ハッシュ手段（102)は、ノ、ッシュ関数により圧縮した PBブロックと、ハッシュ関数により圧縮していない PAブロックとの和と、ハッシュ関数により圧縮する前の PBブロックと、を連結して出力することになる。

[0077] 例えば、平文入力手段（101)から入力された平文を、二つのブロック（PA, PB)で表し、ハッシュ関数を H (x)と表した場合、第 1のフェイステル型ハッシュ手段（102) は、平文入力手段（101)から入力された平文の一部（PB)をハッシュ関数 H (x)により圧縮し、該圧縮した一部の平文 H (PB)と、平文入力手段（101)から入力された他の部分の平文（PA)と、の和（PA+H (PB) )と、ハッシュ関数 H (X)により圧縮する前の平文 (PB)と、を連結して外部に出力することになる。これにより、第 1のフェイステル型ハッシュ手段（102)は、（PA+H (PB) , PB)の出力文を外部に出力することになる。なお、第 1のフェイステル型ハッシュ手段（102)力出力する PA + H (PB)を単位ブロック中間文と称す。また、 +記号は加算を表し、 PA、 PBとも 2のべき乗の空間の要素ならば、 +は、排他的論理和処理と一致することになる。但し、ハッシュ関数 Hは、 almost universal XORであることが必要となる。これは、ノヽッシュ関数 H への異なる 2つの入力について、それぞれに対するハッシュ関数 Hの出力の和がほぼ一様に分布することを意味する。このようなハッシュ関数 Hは、一般にュ-バーサルハッシュ関数と呼ばれ、例えば、非特許文献 4に開示されている Multimodular Hash Functionを用いることで実現することが可能となる。

[0078] <単位ブロック暗号化手段 103 >

単位ブロック暗号化手段（103)は、第 1のフェイステル型ハッシュ手段（102)から入力された単位ブロック中間文の暗号文である単位ブロック中間暗号文を生成することになる。なお、単位ブロック中間暗号文は、非特許文献 5に開示されている AES ( Advanced Encryption Standard)などの選択平文 Z暗号文攻撃に安全なブロック喑号により生成することが可能である。

[0079] <疑似乱数生成手段 104 >

擬似乱数生成手段（104)は、単位ブロック暗号ィ匕手段（103)から出力される単位ブロック中間暗号文を基に、中間乱数を生成することになる。

[0080] 第 1の実施形態における擬似乱数生成手段（104)は、選択平文攻撃に安全であることが求められる。すなわち、攻撃者が任意に単位ブロック中間暗号文を選択し、該選択した単位ブロック中間暗号文を基に、中間乱数を生成した際に、該生成した中間乱数と、真の乱数と、の判別が困難となればよい。なお、第 1の実施形態における疑似乱数生成手段（104)は、上記特許文献 1に開示された手法を使用し、選択平文攻撃に安全な暗号処理と、既知平文攻撃に安全な暗号処理と、を組み合わせることで中間乱数を生成することが可能となる。選択平文 Z暗号文攻撃に安全ならば、選択平文攻撃に安全なので、単位ブロック暗号化手段（103)で用いるブロック暗号を選択平文攻撃に安全な暗号部品として上記特許文献 1に開示された手法において適用することが可能となる。

[0081] <加算手段 105 >

加算手段（105)は、疑似乱数生成手段（104)において生成された中間乱数と、第 1のフェイステル型ハッシュ手段（102)から出力される平文の一部（PBブロック）と、の加算処理を行い、該加算処理を行った加算値を出力することになる。

[0082] <第 2のフェイステル型ハッシュ手段 106 >

第 2のフェイステル型ハッシュ手段（106)は、加算手段（105)から出力された加算値をハッシュ関数に入力し、ハッシュ値を求め、該求めたハッシュ値と、単位ブロック暗号ィ匕手段（103)から出力される単位ブロック中間暗号文と、を加算し、その加算結果と、加算手段（105)から出力された加算値と、を連結して出力結果を出力することになる。なお、第 2のフェイステル型ハッシュ手段（106)は、第 1のフェイステル型ハツシュ手段（102)と同様に実現することは可能である。

[0083] <暗号文出力手段 107 >

暗号文出力手段（107)は、第 2のフェイステル型ハッシュ手段（102)力入力された出力結果を暗号文として出力するものである。この暗号文出力手段（107)は、コンピュータディスプレイやプリンタなどで実現することが可能である。

[0084] (共通鍵ブロック暗号化装置における動作の説明）

次に、図 2を参照しながら、図 1に示す第 1の実施形態における共通鍵ブロック暗号化装置の処理動作につ!、て説明する。

[0085] まず、平文入力手段（101)は、暗号化される平文 (PAブロック、 PBブロック）を第 1 のフェイステル型ハッシュ手段（102)に入力することになる（ステップ Al)。

[0086] 第 1のフェイステル型ハッシュ手段（102)は、平文入力手段（101)から入力された平文（PAブロック、 PBブロック）を P Aブロックと、 PBブロックと、に分割し、該分割した PBブロックをノヽッシュ関数により圧縮し、該圧縮した PBブロック（H (PB) )と、 PAブロック (PA)と、を加算し (PA+H (PB) )、単位ブロック中間文を作成することになる (ステツプ A2)。そして、第 1のフェイステル型ハッシュ手段（102)は、単位ブロック中間文と、ノ、ッシュ関数により圧縮する前の PBブロックと、を連結して出力することになる。なお、第 1のフェイステル型ハッシュ手段（102)は、単位ブロック中間文を、単位ブロック暗号化手段（103)に出力し、ノ、ッシュ関数により圧縮する前の PBブロックを、加算手段（105)に出力することになる。

[0087] 次に、単位ブロック暗号化手段（103)は、第 1のフェイステル型ハッシュ手段（102) カゝら入力された単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成し、該生成した単位ブロック中間暗号文を、疑似乱数生成手段（104)と、第 2のフェイステル型ハッシュ手段（106)と、に出力することになる (ステップ A3)。

[0088] 疑似乱数生成手段（104)は、単位ブロック暗号化手段（103)力入力された単位ブロック中間暗号文を基に中間乱数を生成し、該生成した中間乱数を加算手段（10 5)に出力する (ステップ A4)。

[0089] 加算手段（105)は、疑似乱数生成手段（104)から入力された中間乱数と、第 1のフェイステル型ハッシュ手段（102)力入力された PBブロックと、の加算処理を行い、該加算処理を行った加算値を第 2のフェイステル型ハッシュ手段（102)に出力することになる（ステップ A5)。

[0090] 第 2のフェイステル型ハッシュ手段（106)は、加算手段（105)から入力された中間乱数と、 PBブロックと、の加算値を、ハッシュ関数に代入し、加算値のハッシュ値 H2 の計算を行う（ステップ A6)。

[0091] 次に、第 2のフェイステル型ハッシュ手段（106)は、上記計算したハッシュ値 H2と、単位ブロック暗号化手段（103)力入力された単位ブロック中間暗号文と、の加算処理を行い、暗号文を生成し (ステップ A7)、該生成した暗号文を暗号文出力手段（10 7)に出力することになる。暗号文出力手段（107)は、第 2のフェイステル型ハッシュ手段（106)から入力された暗号文を出力することになる (ステップ A8)。

[0092] このように、第 1の実施形態における共通鍵ブロック暗号化装置は、暗号化される平文を入力し、該入力された平文を PAブロックと、 PBブロックと、に分割し、該分割した PBブロックをハッシュ関数により圧縮し、該圧縮した PBブロック（H (PB) )と、 PA ブロック (PA)と、を加算し、単位ブロック中間文を生成することになる（PA + H (PB) ) oそして、上記処理により生成した単位ブロック中間文 (PA+H (PB)に暗号化を施し、単位ブロック中間暗号文を生成し、該生成した単位ブロック中間暗号文を基に中間乱数を生成することになる。次に、上記生成した中間乱数と、 PBブロックと、を加算し、加算結果を算出することになる。そして、その算出した加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、単位ブロック中間暗号文と、を加算した第 2の加算結果を算出し、その算出した第 2の加算結果と、加算結果と、を基に暗号文を出力すること〖こなる。

[0093] これにより、本実施形態における共通鍵ブロック暗号化装置は、選択平文 Z暗号文攻撃に安全な暗号部品と、既知平文攻撃に安全な暗号部品と、を組み合わせ、高速で安全なブロック暗号を大き、ブロックサイズに対して実現することが可能となる。本実施形態における共通鍵ブロック暗号化装置は、 1ブロックの暗号化につき選択平文 Z暗号文攻撃に安全な暗号部品の呼び出し回数は、ブロックサイズに関わらず 2 回で済むことになるため、大きいブロックサイズでは暗号ィ匕のスループットは、既知平文攻撃に安全な暗号部品のスループットにほぼ一致することになる。既知平文攻撃は、選択平文 Z暗号文攻撃よりも弱いクラスの攻撃であるため、既知平文攻撃に安全な暗号部品は一般に選択平文 Z暗号文攻撃に安全な暗号部品よりも高速に動作することになる。従って、選択平文 Z暗号文攻撃に安全な暗号部品のみを用いた暗号運用モードよりも高速なブロック暗号を構築できることが可能となる。 [0094] なお、上記実施形態は、第 1のフェイステル型ハッシュ手段（102)力平文入力手段（101)力も入力された平文を、 PAブロックと、 PBブロックと、に分割することとした力平文入力手段（101)において平文を、 PAブロックと、 PBブロックと、に分割し、該分割した PAブロックと、 PBブロックと、を第 1のフェイステル型ハッシュ手段（102) に出力することも可能である。

[0095] (第 2の実施形態）

次に、第 2の実施形態について説明する。

第 2の実施形態における共通鍵ブロック暗号化装置は、暗号化される平文を入力する平文入力手段（201)と、平文を、 PAブロックと、 PBブロックと、に分割し、該分割した PBブロックをハッシュ関数により圧縮し、該圧縮した PBブロックと PAブロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、 PBブロックと、を出力する第 1のフェイステル型ハッシュ手段（202)と、単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する単位ブロック暗号化手段（203)と、単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成手段 (204)と、中間乱数と、 PBブロックと、を加算し、加算結果を出力する加算手段 (205)と、加算結果と、単位ブロック中間暗号文と、を連結し暗号文として出力する暗号文出力手段（20 6)と、を有することを特徴とするものである。以下、図 3、図 4を参照しながら、第 2の実施形態における共通鍵ブロック暗号化装置について説明する。

[0096] まず、図 3を参照しながら、第 2の実施形態における共通鍵ブロック暗号化装置の構成について説明する。なお、図 3は、第 2の実施形態における共通鍵ブロック暗号化装置の構成を示すブロック図である。

[0097] 第 2の実施形態における共通鍵ブロック暗号化装置は、平文入力手段（201)と、第 1のフェイステル型ハッシュ手段（202)と、単位ブロック暗号化手段（203)と、擬似乱数生成手段 (204)と、加算手段 (205)と、暗号文出力手段 (206)と、を有して構成される。

[0098] なお、第 2の実施形態における共通鍵ブロック暗号化装置は、第 1の実施形態と同様に、 CPUとメモリとディスクとにより実現することは可能である。共通鍵ブロック暗号化装置の各手段は、上記各手段を実行するためのプログラムをディスクに格納し、該格納したプログラムを CPUが実行することで実現することになる。

[0099] 次に、第 2の実施形態における共通鍵ブロック暗号化装置を構成する各手段について説明する。なお、第 2の実施形態における共通鍵ブロック暗号化装置を構成する平文入力手段（201)と、第 1のフェイステル型ハッシュ手段（202)と、単位ブロック暗号化手段（203)と、加算手段（205)と、は、第 1の実施形態における共通鍵ブロック暗号化装置を構成する各手段（101、 102、 103、 105、）と同様の機能にて構成される。ただし、単位ブロック暗号化手段（203)は、選択平文攻撃に安全であれば十分である。

[0100] <疑似乱数生成手段 204 >

第 2の実施形態における擬似乱数生成手段（204)は、単位ブロック中間暗号文を基に、中間乱数を生成するものであり、第 2の実施形態における擬似乱数生成手段（

204)は、既知平文攻撃に安全であることが求められる。

[0101] 即ち、第 2の実施形態における疑似乱数生成手段（204)は、ランダムな単位ブロック中間暗号文を基に、中間乱数を生成した際に、該生成した中間乱数と、真の乱数と、の判別が困難となれば十分であり、単位ブロック中間暗号文を攻撃者が任意に選択できるもとでの安全性 (選択平文攻撃への安全性）は必要としなヽ。

[0102] <暗号文出力手段 206 >

暗号文出力手段 (206)は、加算手段（105)から出力された値と、単位ブロック暗号化手段（103)から出力される単位ブロック中間暗号文と、を連結し、暗号文として出力すること〖こなる。

[0103] (共通鍵ブロック暗号ィ匕装置における動作の説明）

次に、図 4を参照しながら、第 2の実施形態における共通鍵ブロック暗号化装置の処理動作につ!、て説明する。

[0104] まず、平文入力手段（201)は、暗号化される平文 (PAブロック、 PBブロック）を第 1 のフェイステル型ハッシュ手段（202)に入力することになる（ステップ Bl)。

[0105] 次に、第 1のフェイステル型ハッシュ手段（202)は、平文入力手段（201)から入力された平文（PAブロック、 PBブロック）を P Aブロックと、 PBブロックと、に分割し、該分割した PBブロックをハッシュ関数により圧縮し、該圧縮した PBブロック (H (PB) )と、 P Aブロック（PA)と、を加算し (PA + H (PB) )、単位ブロック中間文を作成し、該作成した単位ブロック中間文を単位ブロック暗号ィ匕手段（203)に出力することになる (ステップ B2)。また、第 1のフェイステル型ハッシュ手段（202)は、平文入力手段（201) 力も入力された平文 (PBブロック）を加算手段（205)に出力することになる。

[0106] 次に、単位ブロック暗号化手段（203)は、第 1のフェイステル型ハッシュ手段（202) カゝら入力された単位ブロック中間文を暗号化し、単位ブロック中間暗号文を作成し、該作成した単位ブロック中間暗号文を出力することになる (ステップ B3)。

[0107] 次に、擬似乱数生成手段（204)は、単位ブロック暗号化手段（203)から入力された単位ブロック中間暗号文を基に中間乱数を作成し、該作成した中間乱数を加算手段（205)に出力することになる (ステップ B4)。

[0108] 次に、加算手段 (205)は、疑似乱数生成手段 (204)から入力された中間乱数と、第 1のフェイステル型ハッシュ手段（202)力入力された平文の PBブロックと、の加算処理を行い、加算結果を暗号文出力手段（206)に出力することになる (ステップ B 5)。

[0109] 暗号文出力手段（206)は、単位ブロック暗号化手段（203)から入力された単位ブロック中間暗号文と、加算手段 (205)から入力された加算結果と、を連結し暗号文として出力することになる (ステップ B6)。

[0110] このように、第 2の実施形態におけるブロック暗号化装置は、暗号化される平文を入力し、該入力された平文を PAブロックと、 PBブロックと、に分割し、該分割した PBブロックをノヽッシュ関数により圧縮し、該圧縮した PBブロック（H (PB) )と、 PAブロック（ PA)と、を加算し、単位ブロック中間文を生成することになる（PA+H (PB) )。そして、上記処理により生成した単位ブロック中間文 (PA+H (PB)に暗号化を施し、単位ブロック中間暗号文を生成し、該生成した単位ブロック中間暗号文を基に中間乱数を生成することになる。次に、上記生成した中間乱数と、 PBブロックと、を加算し、加算結果を算出することになる。そして、その算出した加算結果と、単位ブロック中間暗号文と、を連結し暗号文として出力することになる。

[0111] これにより、本実施形態における共通鍵ブロック暗号化装置は、選択平文攻撃に安全な暗号部品と、既知平文攻撃に安全な暗号部品と、を組み合せ、高速で安全なブロック暗号を大き、ブロックサイズに対して実現することが可能となる。本実施形態における共通鍵ブロック暗号化装置は、 1ブロックの暗号化につき選択平文攻撃に安全な暗号部品の呼び出し回数は、ブロックサイズに関わらず 1回で済むことになるため、大きいブロックサイズでは暗号ィ匕のスループットは、既知平文攻撃に安全な暗号部品のスループットにほぼ一致することになる。既知平文攻撃は、選択平文攻撃よりも弱いクラスの攻撃であるため、既知平文攻撃に安全な暗号部品は一般に選択平文攻撃に安全な暗号部品よりも高速に動作することになる。従って、選択平文攻撃に安全な暗号部品のみを用いた暗号運用モードよりも高速なブロック暗号を構築できることが可能となる。

[0112] なお、上記実施形態は、第 1のフェイステル型ハッシュ手段（202)力平文入力手段（201)力も入力された平文を、 PAブロックと、 PBブロックと、に分割することとした力平文入力手段（201)において平文を、 PAブロックと、 PBブロックと、に分割し、該分割した PAブロックと、 PBブロックと、を第 1のフェイステル型ハッシュ手段（202) に出力することも可能である。

[0113] (第 3の実施形態）

次に、第 3の実施形態について説明する。

[0114] 第 3の実施形態における共通鍵ブロック暗号化装置は、第 1の実施形態における共通鍵ブロック暗号ィ匕装置において、単位ブロック暗号ィ匕手段（103)力ブロック暗号を用ヽて単位ブロック中間平文を単位ブロック中間暗号文に変換し、擬似乱数生成手段（104)が、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードに単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数とすることを特徴とするものである。以下、第 3 の実施形態における共通鍵ブロック暗号化装置について説明する。なお、第 3の実施形態における共通鍵ブロック暗号化装置は、図 1に示す第 1の実施形態における共通鍵ブロック暗号ィ匕装置と同様の手段にて構成されることになる。

[0115] 次に、図 5を参照しながら、第 3の実施形態における共通鍵ブロック暗号化装置の疑似乱数生成手段（104)における処理動作について説明する。なお、図 5は、本実施形態における擬似乱数生成手段（104)の処理動作を示すフロチャートを示す。 [0116] なお、ブロック暗号を PIとし、このブロック暗号 P1の段数を削減したり、内部関数の一部を簡素化したりすることで得られる簡略ィ匕バージョンの簡易ブロック暗号を P2とする。例えば、ブロック暗号 P1を非特許文献 5に開示されている AESとし、簡易プロック暗号 P2を AESの 7段バージョンとすることで本実施形態における共通鍵ブロック暗号ィ匕装置を実現することが可能となる。

[0117] 第 3の実施形態における擬似乱数生成手段（104)は、まず、ブロック暗号 P1の鍵と、 t (tは、任意の正の整数)個の簡易ブロック暗号 P2の鍵と、を生成する (ステップ C D o次に、疑似乱数生成手段（104)は、単位ブロック暗号ィ匕手段（103)から入力された単位ブロック中間暗号文をブロック暗号 P1により暗号化する（ステップ C2)。

[0118] 次に、疑似乱数生成手段（104)は、上記ステップ C2において暗号ィ匕した単位プロック中間暗号文を更に異なる t個の鍵による簡易ブロック暗号 P2の、高々 r(rは、 t以下の正の整数）回のあらゆるカスケードの集合 Dを作成し (ステップ C3)、該作成した集合 Dの各要素に対し、上記ステップ C2において暗号ィ匕した単位ブロック中間暗号文を入力し、出力結果を算出することになる (ステップ C4)。

[0119] このとき、集合 Dの要素のうち、語頭が等しい 2つのカスケードについては、一方の出力結果を利用して他方の出力結果を算出することになる。そして、最後に、それらの要素の出力結果を連結することになる (ステップ C5)。なお、上述したブロック暗号 P1と、簡易ブロック暗号 P2と、のモードを、順序付きツリーモードと呼ぶ。

[0120] なお、図 6は、 t= 3、 r= 3とした場合の擬似乱数生成手段（104)のブロック図である。 rを 1とした場合、上述した (式 1)の方式と一致することになる。順序付きツリーモードの出力ブロック数を nとすると、（式 1)の方式 (即ち、 r= lの時)では、鍵の長さは nの線形オーダになるのに対して、 r=tとすれば、鍵の長さは nのログオーダになる。なお、 rを増加させることで、鍵の数あたりの生成できる出力結果の長さが増えることになるが、暗号の安全性がその分低下することになる。

[0121] このように、第 3の実施形態における共通鍵ブロック暗号化装置は、単位ブロック暗号化手段（103) 1S ブロック暗号を用いて単位ブロック中間平文を単位ブロック中間暗号文に変換し、擬似乱数生成手段（104)が、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードに単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して中間乱数とすることで、鍵の長さは順序付きツリーモードの出力ブロック数のログオーダまで短くできるため、鍵スケジューリングの時間を削減し、暗号文を出力するまでのオーバーヘッドの時間を短縮することが可能となる。

[0122] 即ち、ブロック暗号の鍵は、通常マスター鍵を用いた鍵スケジューリングにより生成されることになるが、この鍵が短いということは、それを生成するためのマスター鍵を用いた鍵スケジューリングの時間も短縮することが可能となるためである。

[0123] (第 4の実施形態）

次に、第 4の実施形態について説明する。

第 4の実施形態における共通鍵ブロック暗号化装置は、第 3の実施形態における共通鍵ブロック暗号化装置の具備する擬似乱数生成手段（104)が、上述した (式 1 ' ) に記載の PRTモード、もしくは ERTモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードを基に、中間乱数の生成を行うことを特徴とするちのである。

[0124] ここで、 ERTモードとは、上述した（式 1')に記載の PRTモードを以下の（式 1")のように拡張して得られるモードである。

[0125] (...(G— [1,1]AG— [2,3])AG— [3,9 "G— [(1,3飞(1- 1)])(Υ) · · · (式 1")

ただし、 Υは単位ブロック中間暗号文であり、△は 2つの関数 Fと Gとについて、 G(x) = (F(x), G(x, F(x)》という合成を行う演算子である。

[0126] ここで、 Gの入力幅は Fの出力幅と全体の入力 Xの幅との和である。上記（式 1")において Yが P1による暗号文である場合を拡張 PRT (Extended PRT, ERT)モードと呼ぶ。 ERTモードは、 PRTモードよりも鍵長が少なくて済むという特徴がある。具体的には、拡大率が大きい場合、 ERTモードは PRTモードの鍵長の約 60%の鍵長を必要とする。なお、図 7に、 P2の鍵を 4つ使用した場合の ERTモードの例を示す。

[0127] また、疑似乱数生成手段（104)は、 PRTと ERTと順序付きツリーモードとの、ずれかを組み合わせて使用することも可能である。例えば、 i=l,2,…について G_[i]を 2つの鍵による順序付きツリーモードとすると、これは 1ブロック入力 4ブロック出力となり、これを ERTモードと組み合わせると以下の（式 2")のようになる。 [0128] (...(G— [1,1]AG— [2,5])AG— [3,25 "G— [c d- 1)])(Υ) · · · (式 2")

[0129] この組み合わせによるモードは、拡大率が大き!/、場合、 PRTモードの鍵長の約 30 %の鍵長を必要とする。順序付きツリーモードは鍵長の点では PRTモードや ERTモードを上回る最良のモードである力大きい拡大率のときにプログラムサイズが大きくなるなど、実装上の不利が生じる。し力しこのような組み合わせにより、上記 (式 1")に記載の基本的な ERTモードよりもさらに鍵長の点で効率の良いモードを、プログラムの極端な複雑ィ匕を避けつつ実現することが可能である。この他にも様々な組み合わせのパターンが考えられ、それぞれのパターンにより、必要とする鍵長や実装の容易性は変化することになる。

[0130] (第 5の実施形態）

次に、第 5の実施形態について説明する。

第 5の実施形態における共通鍵ブロック暗号化装置は、第 1の実施形態における共通鍵ブロック暗号化装置の具備する擬似乱数生成手段（104) i 単一のブロック暗号による上記 (式 2)の修正カウンターモードを基に、中間乱数の生成を行うことを特徴とするちのである。

[0131] このように、疑似乱数生成手段（104)が、単一のブロック暗号による上記 (式 2)の修正カウンターモードを基に、中間乱数の生成を行うことで、鍵の簡素化を図ることが可能となる。

[0132] (第 6の実施形態）

次に、第 6の実施形態について説明する。

第 6の実施形態における共通鍵ブロック暗号化装置は、第 1の実施形態における共通鍵ブロック暗号化装置の具備する擬似乱数生成手段（104) i 単一のブロック暗号による上記 (式 3)の修正 OFBモードを基に、中間乱数の生成を行うことを特徴とするものである。

[0133] このように、擬似乱数生成手段（104)が、単一のブロック暗号による上記 (式 3)の修正 OFBモードを基に、中間乱数の生成を行うことで、鍵の簡素化を図ることが可能となる。

[0134] (第 7の実施形態）次に、第 7の実施形態について説明する。

第 7の実施形態における共通鍵ブロック暗号化装置は、第 2の実施形態における共通鍵ブロック暗号化装置の具備する単位ブロック暗号化手段（203) ブロック暗号を用ヽて単位ブロック中間平文を単位ブロック中間暗号文に変換し、擬似乱数生成手段（204)が、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードの最初の暗号ィ匕処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数とすることを特徴とするものである。以下、第 7の実施形態における共通鍵ブロック暗号化装置について説明する。

[0135] 第 7の実施形態における共通鍵ブロック暗号化装置は、第 2の実施形態における共通鍵ブロック暗号ィ匕装置の具備する擬似乱数生成手段 (204)が、単位ブロック中間暗号文を、図 5に示す順序付きツリーモードからブロック暗号 P1による暗号化（図 5ステツプ C2)を省略したモードに入力し、中間乱数の生成を行うことを特徴とするものである。

[0136] このように、第 7の実施形態における共通鍵ブロック暗号化装置は、単位ブロック暗号化手段（203) 1S ブロック暗号を用いて単位ブロック中間平文を単位ブロック中間暗号文に変換し、擬似乱数生成手段（204)が、ブロック暗号と、ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードの最初の暗号ィ匕処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数を生成することで、鍵の長さは順序付きツリーモードの出力ブロック数のログオーダまで短くできるため、鍵スケジューリングの時間を削減し、暗号文を出力するまでのオーバーヘッドの時間を短縮することが可能となる。

[0137] 即ち、ブロック暗号の鍵は、通常マスター鍵を用いた鍵スケジューリングにより生成されることになるが、この鍵が短いということは、それを生成するためのマスター鍵を用いた鍵スケジューリングの時間も短縮することが可能となるためである。

[0138] (第 8の実施形態）

次に、第 8の実施形態について説明する。

第 8の実施形態における共通鍵ブロック暗号化装置は、第 7の実施形態における共通鍵ブロック暗号化装置の具備する擬似乱数生成手段（204)が、ブロック暗号と、ブロック暗号を簡略ィ匕して得られる簡易ブロック暗号と、による上述した (式 1 ' )に記載の PRTモード、もしくは上述した (式 1")に記載の ERTモード、もしくは、上述した (式 2")に記載されたモードのように、順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードから、最初のブロック暗号 P1による暗号化処理を省略したモードに、単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して中間乱数とすることを特徴とするものである。

[0139] (第 9の実施形態）

次に、第 9の実施形態について説明する。

第 9の実施形態における共通鍵ブロック暗号化装置は、第 2の実施形態における共通鍵ブロック暗号化装置の具備する擬似乱数生成手段（204) i 単一のブロック暗号による上記（式 2)の修正カウンターモードの、入力に対して最初に行われる暗号化のみを省略したモードを用いて、中間乱数の生成を行うことを特徴とするものである。

[0140] このように、擬似乱数生成手段（204)力単一のブロック暗号による上記 (式 2)の修正カウンターモードの、入力に対して最初に行われる暗号ィ匕のみを省略したモードを用いて、中間乱数の生成を行うことで、鍵の簡素化を図ることが可能となる。

[0141] (第 10の実施形態）

次に、第 10の実施形態について説明する。

第 10の実施形態における共通鍵ブロック暗号化装置は、第 2の実施形態における共通鍵ブロック暗号化装置の具備する擬似乱数生成手段（204)が、単一のブロック暗号による上記（式 3)の修正 OFBモードの、入力に対して最初に行われる暗号化のみを省略したモードを用いて、中間乱数の生成を行うことを特徴とするものである。

[0142] このように、擬似乱数生成手段（204)力単一のブロック暗号による上記 (式 3)の修正 OFBモードの、入力に対して最初に行われる暗号ィ匕のみを省略したモードを用いて、中間乱数の生成を行うことで、鍵の簡素化を図ることが可能となる。

[0143] (第 11の実施形態）

次に、第 11の実施形態について説明する。第 11の実施形態における共通鍵ブロック暗号化装置は、第 1、第 2の実施形態における共通鍵ブロック暗号化装置の具備する擬似乱数生成手段（104、 204)が、初期ベクトルと呼ばれる付カ卩的な値を鍵ストリーム生成のための入力として受け入れるストリーム暗号を用いて、単位ブロック中間暗号文を入力として生成した鍵ストリームを中間乱数として出力することを特徴とするものである。

[0144] このようなストリーム暗号は、例えば、非特許文献 6に開示されているストリーム暗号 SEALにより実現することが可能となる。また、ブロック暗号で単位ブロック中間暗号文を暗号化し、該暗号ィ匕した結果を、初期ベクトルを入力として受け付けるストリーム暗号に入力することでも実現することは可能となる。

[0145] このように、第 1と第 2の実施形態の共通鍵ブロック暗号化装置において、単位プロック暗号化手段（103、 203)力ブロック暗号を用いて単位ブロック中間平文を単位ブロック中間暗号文に変換し、擬似乱数生成手段（104、 204)が、初期ベクトルを付加的な入力として受け付けるストリーム暗号に、該単位ブロック中間暗号文を初期べタトルとして入力して得られる鍵ストリームを中間乱数として生成することで、鍵の簡素化を図ることが可能となる。

[0146] なお、上述する実施形態は、本発明の好適な実施形態であり、上記実施形態のみに本発明の範囲を限定するものではなぐ本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。例えば、上記各実施形態の共通鍵ブロック暗号ィ匕装置における処理動作は、コンピュータプログラムにより実行することも可能であり、また、上記のプログラムは、光記録媒体、磁気記録媒体、光磁気記録媒体、または半導体等の記録媒体に記録し、その記録媒体力プログラムを情報処理装置に読み込ませることで、上述した処理動作を情報処理装置にぉ、て実行させることも可能である。また、所定のネットワークを介して接続されている外部機器からプログラムを情報処理装置に読み込ませることで、上述した処理動作を情報処理装置において実行させることも可能である。

産業上の利用可能性

[0147] 本発明にカゝかる共通鍵ブロック暗号ィ匕装置、共通鍵ブロック暗号化方法及び共通鍵ブロック暗号ィ匕プログラムは、 2者間で暗号ィ匕通信を行うシステムや、映画や音楽などのコンテンツを安全に配信するシステム、また、コンピュータサーバ上のデータを安全に運用するためのファイル暗号ィ匕の用途に適用可能である。

Claims

請求の範囲

[1] 暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1 のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、前記第 2のプロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、前記第 1のブロックと、を出力する第 1のフェイステル型ハッシュ手段と、

前記単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する単位プロック暗号化手段と、

前記単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成手段と、前記中間乱数と、前記第 1のブロックと、を加算し、加算結果を出力する加算手段と、前記加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、前記単位ブロック中間暗号文と、を加算し、第 2の加算結果を生成し、該生成した第 2の加算結果と、前記加算結果と、を合わせた出力結果を出力する第 2のフェイステル型ハツシュ手段と、

前記出力結果を暗号文として出力する暗号文出力手段と、

を有することを特徴とする共通鍵ブロック暗号ィ匕装置。

[2] 暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1 のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、前記第 2のプロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、前記第 1のブロックと、を出力する第 1のフェイステル型ハッシュ手段と、

前記単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成手段と、前記中間乱数と、前記第 1のブロックと、を加算し、加算結果を出力する加算手段と

、前記加算結果と、前記単位ブロック中間暗号文と、を連結し暗号文として出力する暗号文出力手段と、

を有することを特徴とする共通鍵ブロック暗号ィ匕装置。

[3] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、前記疑似乱数生成手段は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードに対し、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 1記載の共通鍵ブロック暗号化装置。

[4] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成手段は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードに対し、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 1記載の共通鍵ブロック暗号化装置。

[5] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成手段は、前記ブロック暗号による修正カウンターモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 1記載の共通鍵ブロック暗号化装置。

[6] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成手段は、前記ブロック暗号による修正 OFBモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 1記載の共通鍵ブロック暗号化装置。

[7] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成手段は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードの最初の暗号化処理を省略したモードに、前記単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して前記中間乱数を生成することを特徴とする請求項 2記載の共通鍵ブロック暗号化装置。

[8] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成手段は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードの最初の暗号化処理を省略したモードに、前記単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して前記中間乱数を生成することを特徴とする請求項 2記載の共通鍵ブロック暗号化装置。

[9] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成手段は、前記ブロック暗号による修正カウンターモードの最初の暗号化処理を省いたモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 2記載の共通鍵ブロック暗号化装置。

[10] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成手段は、前記ブロック暗号による修正 OFBモードの最初の暗号化処理を省いたモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 2記載の共通鍵ブロック暗号化装置。

[11] 前記単位ブロック暗号化手段は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成手段は、初期ベクトルを付加的な入力として受け付けるストリーム暗号へ、前記単位ブロック中間暗号文を初期ベクトルとして入力し、前記中間乱数を生成することを特徴とする請求項 1または 2記載の共通鍵ブロック暗号ィ匕装置。

[12] 情報処理装置にお!、て行う共通鍵ブロック暗号ィ匕方法であって、

暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1 のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、前記第 2のプロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、前記第 1のブロックと、を出力する第 1のフェイステル型ハッシュ工程と、

前記単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する単位プロック暗号化工程と、

前記単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成工程と、前記中間乱数と、前記第 1のブロックと、を加算し、加算結果を出力する加算工程と

、前記加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、前記単位ブロック中間暗号文と、を加算し、第 2の加算結果を生成し、該生成した第 2の加算結果と、前記加算結果と、を出力する第 2のフェイステル型ハッシュ工程と、

前記第 2の加算結果と、前記加算結果と、を基に暗号文として出力する暗号文出力工程と、

を、前記情報処理装置が行うことを特徴とする共通鍵ブロック暗号ィ匕方法。

[13] 情報処理装置にお!、て行う共通鍵ブロック暗号ィ匕方法であって、

前記単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成工程と、前記中間乱数と、前記第 1のブロックと、を加算し、加算結果を出力する加算工程と、前記加算結果と、前記単位ブロック中間暗号文と、を連結し暗号文として出力する暗号文出力工程と、

[14] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成工程は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードに対し、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 12記載の共通鍵ブロック暗号ィ匕方法。

[15] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成工程は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードに対し、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 12記載の共通鍵ブロック暗号ィ匕方法。

[16] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成工程は、前記ブロック暗号による修正カウンターモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 12記載の共通鍵ブロック暗号ィ匕方法。

[17] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成工程は、前記ブロック暗号による修正 OFBモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 12記載の共通鍵ブロック暗号ィ匕方法。

[18] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成工程は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードの最初の暗号化処理を省略したモードに、前記単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して前記中間乱数を生成することを特徴とする請求項 13記載の共通鍵ブロック暗号化方法。

[19] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、前記疑似乱数生成工程は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードの最初の暗号化処理を省略したモードに、前記単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して前記中間乱数を生成することを特徴とする請求項 13記載の共通鍵ブロック暗号化方法。

[20] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成工程は、前記ブロック暗号による修正カウンターモードの最初の暗号化処理を省いたモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 13 記載の共通鍵ブロック暗号化方法。

[21] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成工程は、前記ブロック暗号による修正 OFBモードの最初の暗号化処理を省いたモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 13記載の共通鍵ブロック暗号化方法。

[22] 前記単位ブロック暗号化工程は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成工程は、初期ベクトルを付加的な入力として受け付けるストリーム暗号へ、前記単位ブロック中間暗号文を初期ベクトルとして入力し、前記中間乱数を生成することを特徴とする請求項 12または 13記載の共通鍵ブロック暗号ィ匕方法。

[23] 情報処理装置にお!、て実行させる共通鍵ブロック暗号ィ匕プログラムであって、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1 のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、前記第 2のプロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、前記第 1のブロックと、を出力する第 1のフェイステル型ハッシュ処理と、前記単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する単位プロック暗号化処理と、

前記単位ブロック中間暗号文を基に中間乱数を生成する擬似乱数生成処理と、前記中間乱数と、前記第 1のブロックと、を加算し、加算結果を出力する加算処理と

、前記加算結果をハッシュ関数により圧縮し、該圧縮した加算結果と、前記単位ブロック中間暗号文と、を加算し、第 2の加算結果を生成し、該生成した第 2の加算結果と、前記加算結果と、を出力する第 2のフェイステル型ハッシュ処理と、

前記第 2の加算結果と、前記加算結果と、を基に暗号文として出力する暗号文出力処理と、

を、前記情報処理装置にぉ、て実行させることを特徴とする共通鍵ブロック暗号ィ匕プログラム。

[24] 情報処理装置にお!、て実行させる共通鍵ブロック暗号ィ匕プログラムであって、暗号化される平文を、第 1のブロックと、第 2のブロックと、に分割し、該分割した第 1 のブロックをハッシュ関数により圧縮し、該圧縮した第 1のブロックと、前記第 2のプロックと、を加算し単位ブロック中間文を生成し、該生成した単位ブロック中間文と、前記第 1のブロックと、を出力する第 1のフェイステル型ハッシュ処理と、

前記単位ブロック中間文を暗号化し、単位ブロック中間暗号文を生成する単位プロック暗号化処理と、

、前記加算結果と、前記単位ブロック中間暗号文と、を連結し暗号文として出力する暗号文出力処理と、

[25] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードに対し、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 23記載の共通鍵ブロック暗号ィ匕プログラム。

[26] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきツリーモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードに対し、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 23記載の共通鍵ブロック暗号化プログラム。

[27] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、前記ブロック暗号による修正カウンターモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 23記載の共通鍵ブロック暗号ィ匕プログラム。

[28] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、前記ブロック暗号による修正 OFBモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 23記載の共通鍵ブロック暗号ィ匕プログラム。

[29] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による順序つきツリーモードの最初の暗号化処理を省略したモードに、前記単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して前記中間乱数を生成することを特徴とする請求項 24記載の共通鍵ブロック暗号化プログラム。

[30] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、前記ブロック暗号と、前記ブロック暗号を簡略化して得られる簡易ブロック暗号と、による PRTモード、もしくは ERTモード、もしくは順序つきツリーモードと PRTモードと ERTモードとの組み合わせによるモードの最初の暗号化処理を省略したモードに、前記単位ブロック中間暗号文を入力することで得られる複数の暗号文を連結して前記中間乱数を生成することを特徴とする請求項 24記載の共通鍵ブロック暗号ィ匕プログラム。

[31] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、前記ブロック暗号による修正カウンターモードの最初の暗号化処理を省いたモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 24 記載の共通鍵ブロック暗号ィ匕プログラム。

[32] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、前記ブロック暗号による修正 OFBモードの最初の暗号化処理を省いたモードに、前記単位ブロック中間暗号文を入力して得られる複数ブロックの暗号文を連結して前記中間乱数を生成することを特徴とする請求項 24記載の共通鍵ブロック暗号化プログラム。

[33] 前記単位ブロック暗号化処理は、ブロック暗号を用いて前記単位ブロック中間文を暗号化し、前記単位ブロック中間暗号文を生成し、

前記疑似乱数生成処理は、初期ベクトルを付加的な入力として受け付けるストリーム暗号へ、前記単位ブロック中間暗号文を初期ベクトルとして入力し、前記中間乱数を生成することを特徴とする請求項 23または 24記載の共通鍵ブロック暗号ィ匕プログラム。

[34] 平分入力手段から平文を受けて 2分割するか、又は、前記平分入力手段側で前記平文を 2分割してなる、第 1及び第 2のブロックに関して、前記第 1のブロックをハツシュ関数に入力し第 1のハッシュ値を計算する手段と、前記第 1のハッシュ値と前記第 2 のブロックとを加算し加算結果を単位ブロック中間文として出力する手段と、を含む第 1のフェイステル型ハッシュ手段と、

前記第 1のフェイステル型ハッシュ手段から出力される前記単位ブロック中間文を受けて暗号ィ匕し、前記暗号化した単位ブロック中間文を単位ブロック中間暗号文として出力する単位ブロック暗号ィ匕手段と、

前記単位ブロック暗号化手段から出力される前記単位ブロック中間暗号文を受け、前記単位ブロック中間暗号文に基づき、中間乱数を生成して出力する擬似乱数生成手段と、

前記擬似乱数生成手段から出力される前記中間乱数と、前記第 1のフェイステル型ハッシュ手段のハッシュ関数に入力する前の前記第 1のブロックとを受け、前記中間乱数と前記第 1のブロックとを加算し加算結果を出力する加算手段と、

前記加算手段から出力される、前記中間乱数と前記第 1のブロックとの加算結果を受け前記加算結果をハッシュ関数に入力し第 2のハッシュ値を計算する手段と、前記第 2のノ、ッシュ値と前記単位ブロック暗号ィ匕手段から出力される前記単位ブロック中間暗号文と受けこれらを加算し加算結果を出力する手段と、前記第 2のハッシュ値と前記単位ブロック中間暗号文との加算結果と、前記加算手段から出力される、前記中間乱数と前記第 1のブロックとの加算結果とを加算し加算結果を暗号文として出力する手段と、を含む第 2のフェイステル型ハッシュ手段と、

前記第 2のフェイステル型ハッシュ手段から出力された暗号文を出力する暗号文出力手段と、

を含む、ことを特徴とする共通鍵ブロック暗号ィ匕装置。

平分入力手段から平文を受けて 2分割するか、又は、前記平分入力手段側で前記平文を 2分割してなる、第 1及び第 2のブロックに関して、前記第 1のブロックをハツシュ関数に入力し第 1のハッシュ値を計算する手段と、前記第 1のハッシュ値と前記第 2 のブロックとを加算し加算結果を単位ブロック中間文として出力する手段と、を含む第 1のフェイステル型ハッシュ手段と、

前記加算手段から出力される、前記中間乱数と前記第 1のブロックとの加算結果と

、前記単位ブロック暗号ィヒ手段から出力される前記単位ブロック中間暗号文とを受け、これらを連結したものを暗号文として出力する暗号文出力手段と、

を含む、ことを特徴とする共通鍵ブロック暗号ィ匕装置。