WO2007029330A1

WO2007029330A1 - 擬似乱数生成装置

Info

Publication number: WO2007029330A1
Application number: PCT/JP2005/016586
Authority: WO
Inventors: Mitsuru Matsui
Original assignee: Mitsubishi Denki Kabushiki Kaisha
Priority date: 2005-09-09
Filing date: 2005-09-09
Publication date: 2007-03-15
Also published as: JP4718455B2; GB2444567B; GB2444567A; CN101040306A; US20070266067A1; GB0708028D0; JPWO2007029330A1; CN101040306B; US8443020B2

Abstract

　擬乱数生成装置１００は、以下の動作で擬似乱数を生成する。Ｃ．２において第２内部メモリに設定されたＢ４１からＳ１［Ｂ４１］を決定し、Ｂ４０からＳ２［Ｂ４０］を決定する。そして、Ｓ１［Ｉ］とＳ１［Ｂ４１］とＳ２［Ｂ４０］とからＲ［Ｊ］を生成する。Ｃ．３において、Ｓ１［Ｂ４１］とＳ２［Ｂ４０］とに基づいて、Ｓ１［Ｉ］を新たに生成する。Ｃ．４において、Ｓ２（Ｉ）から新たにＢ４を更新する。以上では、Ｒ［Ｊ］とＳ２（Ｉ）との関連が遮断され、Ｒ［Ｊ］からＳ２（Ｉ）を推測することが困難となり安全性が向上する。また、Ｓ１［Ｉ］、Ｓ１［Ｂ４１］、Ｓ２［Ｂ４０］等は４バイトであり、処理速度が高速である。

Description

明細書

擬似乱数生成装置技術分野

[0001] この発明は、擬似乱数を生成する擬似乱数生成装置及び擬似乱数生成方法及び擬似乱数生成プログラムに関する。

背景技術

[0002] ソフトウェア向きストリーム暗号の代表的な従来技術として RC4が挙げられる。この R C4のァノレゴリズムは公式には公開されていない。し力し、現在では RC4の解析を行なった文献が多数存在し、方式の詳細も公開されている (例えば、非特許文献 1)。

[0003] 図 24は、 RC4のアルゴリズムを示している。このアルゴリズムは、「A.初期化」と、「 B.鍵スケジュール」と、「C.ストリーム生成」と力も成る。図 24の例えば鍵スケジユーノレにおける「％256」は、 256で除した余りを示す。

また、

r_Swap (S [l] , S [B])」

は、 S [I]と S [B]との入れ替えを意味する。

また、図 25は、図 24に示した「 A初期化」、「B鍵スケジュール」、「Cストリーム」のそれぞれを図式ィ匕したものである。

図 24、図 25に示す様に、このアルゴリズムは、

「A.初期化」として内部テーブルを生成し、

「： B.鍵スケジュール」として生成した内部テーブルのデータを swapし、

「C.ストリーム生成」として内部テーブルを使用して擬似乱数を生成する。

[0004] 従来技術では、ストリーム生成を 1バイト単位で行なっているため、処理速度が高速とはいい難ぐ高速ィ匕の要請がある。また、従来技術では一つの内部テーブルから擬似乱数を生成しており、解読攻撃に対する更なる安全性の要請もある。

非特許文献 1 :出典： Applied Cryptography, Bruce Schneier著， John Wi ley & Sons, ISBN 0—471— 11709— 9

発明の開示発明が解決しょうとする課題

[0005] 本発明は、ストリーム暗号方式において動作の高速な擬似乱数生成装置及び擬似乱数生成方法及び擬似乱数生成プログラムの提供を目的とする。また、従来のストリーム暗号方式にお!、て、より安全性の高、擬似乱数生成装置及び擬似乱数生成方法及び擬似乱数生成プログラムの提供を目的とする。

課題を解決するための手段

[0006] 本発明の擬似乱数生成装置は、

複数バイトからなるワード単位で、擬似乱数を生成する擬似乱数生成装置において、

鍵情報を記憶する鍵メモリと、

複数のワードからなり、アドレス 1 (1は、 0以上の整数）を用いて、ワード S1 [I]をァクセスする第 1メモリ S1と、

第 1メモリ S1と同一数の複数のワード力も構成されるメモリであって、アドレス Iを用いて、

ワード S2[I]をアクセスする第 2メモリ S2と、

第 1メモリ S1と第 2メモリ S2との各ワードにそれぞれワード値を設定するとともに、第 1内部メモリと第 2内部メモリとに初期値を設定する初期化部と、

鍵メモリが記憶する鍵情報を用いて、第 1メモリ S1と第 2メモリ S2とに設定されたヮードの値に対して鍵スケジューリングをして第 1メモリ S1と第 2メモリ S2とに記憶する鍵スケジュール部と、

鍵スケジュール部により鍵スケジュールされた第 1メモリ S1と第 2メモリ S2とに記憶されたワードを交互に用いて擬似乱数を生成するストリーム生成部と

を備えたことを特徴とする。

[0007] 前記ストリーム生成部は、

第 1メモリ S1のワードの値から、第 1メモリ S1のアドレスを生成し、生成されたァドレスの第 1メモリ S1のワードの値力も擬似乱数を生成する第 1乱数生成部と、

第 2メモリ S2のワードの値から、第 2メモリ S2のアドレスを生成し、生成されたァドレスの第 2メモリ S2のワードの値力も擬似乱数を生成する第 2乱数生成部と、を備えたことを特徴とする。

[0008] 本発明の擬似乱数生成装置は、

数バイトからなるワード単位で、擬似乱数を生成する擬似乱数生成装置において、鍵スケジュールされた値を記憶する複数のワードからなり、アドレス 1 (1は、 0以上の整数)を用いて、ワード S1 [I]をアクセスする第 1メモリ S1と、

第 1メモリ S1と同一数の複数のワードから構成されるメモリであって、鍵スケジユールされた値を記憶する複数のワード力なり、アドレス Iを用いて、ワード S2[I]をァクセスする第 2メモリ S2と、

第 1メモリ S1と第 2メモリ S2とに記憶されたワードを交互に用いて擬似乱数を生成するストリーム生成部と

を備えたことを特徴とする。

[0009] 本発明の擬似乱数生成装置は、

n(l≤n≤N、 Nは 1以上の整数)バイトからなるワード単位で、擬似乱数を生成する擬似乱数生成装置において、

生成すべき乱数のストリーム長 Lを記憶するストリーム長メモリと、

固定値を記憶する固定値メモリと、

鍵情報を記憶する鍵メモリと、

初期値を入力して記憶する初期値メモリと、

256ワード力も構成されるメモリであって、アドレス 1 (1は、 0〜255の整数）を用いて、ワード S1 [I]をアクセスする第 1メモリ S1と、

第 1メモリ S1と同一数の複数のワード力も構成されるメモリであって、アドレス Iを用いて、ワード S2[I]をアクセスする第 2メモリ S2と、

アドレス Iとなる値を記憶する第 1内部メモリと、

ワード単位の値を記憶する第 2内部メモリと、

鍵メモリが記憶する鍵情報と初期値メモリが記憶する初期値とを用いて第 1内部メモリの値 Iを更新し、第 1内部メモリの値をアドレス Iとして、第 1メモリ S1の先頭ワードから最後のワードまでの各ワードの n番目のバイトの値と第 1メモリ S1のアドレス Iのワード S1 [I]の n番目のバイトの値とをスワップし、さらに、第 1内部メモリの値をアドレス Iとして、第 2メモリ S2の先頭ワードから最後のワードまでの各ワードの n番目のバイトの値と第 2メモリ S2のアドレス Iのワード S2[I]の n番目のバイトの値とをスワップして、第 1 から第 N番目のバイトまでスワップを繰り返し、第 1メモリ S1と第 2メモリ S2とに記憶されたワードに対して鍵スケジューリングをする鍵スケジュール部と、

を備えたことを特徴とする。

本発明の擬似乱数生成装置は、

固定値を記憶する固定値メモリと、

鍵情報を記憶する鍵メモリと、

初期値を入力して記憶する初期値メモリと、

アドレス Iとなる値を記憶する第 1内部メモリと、

ワード単位の値を記憶する第 2内部メモリと、

固定値メモリに記憶された固定値を用いて、第 1メモリ S1と第 2メモリ S2との各ヮードにそれぞれワード値を設定するとともに、第 1内部メモリと第 2内部メモリとに初期値を設定する初期化部と、

鍵メモリが記憶する鍵情報と初期値メモリが記憶する初期値とを用いて第 1内部メモリの値 Iを更新し、第 1内部メモリの値をアドレス Iとして、第 1メモリ S1の先頭ワードから最後のワードまでの各ワードの n番目のバイトの値と第 1メモリ S1のアドレス Iのワード S1 [I]の n番目のバイトの値とをスワップし、さらに、第 1内部メモリの値をアドレス Iとして、第 2メモリ S2の先頭ワードから最後のワードまでの各ワードの n番目のバイトの値と第 2メモリ S2のアドレス Iのワード S2 [I]の n番目のバイトの値とをスワップして、第 1 から第 N番目のバイトまでスワップを繰り返し、第 1メモリ S1と第 2メモリ S2とに記憶されたワードに対して鍵スケジューリングをする鍵スケジュール部と、

第 2内部メモリに記憶されたワードの下位 2バイトの値力アドレス 12、 13の値を生成し、

第 1メモリ S1の先頭ワード力最後のワードまでの各ワード SI [II]の値と

第 1メモリ S1のアドレス 12のワード S1 [12]の値と

第 2メモリ S2のアドレス 13のワード S2 [13]の値と

を用いて擬似乱数 R1を生成してバッファメモリに出力する第 1乱数生成部と、第 1メモリ S1のアドレス 12のワード S1 [12]の値と

第 2メモリ S2のアドレス 13のワード S2 [13]の値と

を演算してシフトし、シフトした値を用いて第 1メモリ S1のアドレス IIのワード SI [II] の値を書き換える第 1状態変更部と、

第 2内部メモリに記憶されたワードの上位と下位の値を入れ替える第 1入れ替え部と第 2内部メモリに記憶されたワードの下位 2バイトの値力アドレス 14、 15とする値を生成し、

第 2メモリ S2の先頭ワード力最後のワードまでの各ワード S2 [II]の値と

第 2メモリ S2のアドレス 14のワード S2 [14]の値と

第 1メモリ S1のアドレス 15のワード S1 [15]の値と

を用いて擬似乱数 R2を生成して出力する第 2乱数生成部と、

第 2メモリ S2のアドレス 14のワード S2 [14]の値と

第 1メモリ S1のアドレス 15のワード S1 [15]の値と

を演算してシフトし、シフトした値を用いて、第 2メモリ S2のアドレス IIのワード S2 [II] の値を書き換える第 2状態変更部と、

第 2内部メモリに記憶されたワードの上位と下位の値を入れ替える第 2入れ替え部とストリーム長メモリに記憶したストリーム長になるまで、第 1乱数生成部と第 1状態変更部と第 1入れ替え部の動作と、第 2乱数生成部と第 2状態変更部と第 2入れ替え部の動作とを繰り返すループ部と、

第 1乱数生成部力出力される擬似乱数 R1と第 2乱数生成部から出力される擬似乱数 R2とを入力して一時的に保持して擬似乱数ストリームとして出力するバッファメモリと、

ノッファメモリに出力した擬似乱数のストリーム長力、所定の再スケジュール長になつた場合に、鍵スケジュール部を動作させる再スケジュール部と

を備えたことを特徴とする。

[0011] 本発明の擬似乱数生成方法は、

鍵情報を記憶する鍵メモリと、複数のワードからなり、アドレス 1 (1は、 0以上の整数）を用いて、ワード S1 [I]をアクセスする第 1メモリ S1と、第 1メモリ S1と同一数の複数のワード力も構成されるメモリであって、アドレス Iを用いて、ワード S2[I]をアクセスする第 2メモリ S2とを備えるとともに複数バイトからなるワード単位で、擬似乱数を生成するコンピュータである擬似乱数生成装置が行う擬似乱数生成方法において、初期化部が、第 1メモリ S1と第 2メモリ S2との各ワードにそれぞれワード値を設定するとともに、第 1内部メモリと第 2内部メモリとに初期値を設定し、

鍵スケジュール部力鍵メモリが記憶する鍵情報を用いて、第 1メモリ S1と第 2メモリ S2とに設定されたワードの値に対して鍵スケジューリングをして第 1メモリ S1と第 2メモリ S2とに記憶し、

ストリーム生成部力鍵スケジュールされた第 1メモリ S1と第 2メモリ S2とに記憶されたワードを交互に用いて擬似乱数を生成する

ことを特徴とする。

[0012] 本発明の擬似乱数生成プログラムは、

鍵情報を記憶する鍵メモリと、複数のワードからなり、アドレス 1 (1は、 0以上の整数）を用いて、ワード S1 [I]をアクセスする第 1メモリ S1と、第 1メモリ S1と同一数の複数のワード力も構成されるメモリであって、アドレス Iを用いて、ワード S2[I]をアクセスする第 2メモリ S2とを備えるとともに複数バイトからなるワード単位で、擬似乱数を生成するコンピュータである擬似乱数生成装置に以下の（1)〜（3)の処理を実行させることを特徴とする。

(1)第 1メモリ SIと第 2メモリ S2との各ワードにそれぞれワード値を設定するとともに、第 1内部メモリと第 2内部メモリとに初期値を設定する処理

(2)鍵メモリが記憶する鍵情報を用いて、第 1メモリ S1と第 2メモリ S2とに設定されたワードの値に対して鍵スケジューリングをして第 1メモリ S1と第 2メモリ S2とに記憶する処理

(3)鍵スケジュールされた第 1メモリ S1と第 2メモリ S2とに記憶されたワードを交互に用いて擬似乱数を生成する処理

発明の効果

[0013] 本発明により、ストリーム暗号方式に対して、動作が高速で、かつ安全性の高い擬似乱数を生成することができる。

発明を実施するための最良の形態

[0014] 実施の形態 1.

図 1〜図 23を用いて実施の形態 1を説明する。実施の形態 1は、 2つの内部テープルを用いて擬似乱数を生成する擬似乱数生成装置及び擬似乱数生成方法及び擬似乱数生成プログラムに関する。

[0015] 図 1は、実施の形態 1における擬似乱数生成装置 100のブロック図である。擬似乱数生成装置 100は、各種メモリを備える記憶部 110と、初期化部 120と、鍵スケジュール部 130と、ストリーム生成部 140とを備える。

[0016] 記憶部 110は、

(1)生成すべき乱数のストリーム長 Lを記憶するストリーム長メモリ 111、

(2)固定値 (後述する INI1 [0]等)を記憶する固定値メモリ 112、

(3)鍵情報 (後述する K [0]等)を記憶する鍵メモリ 113、

(4)初期値 (後述する 0x01、 0x12345678)を入力して記憶する初期値メモリ 114、なお、ここで、初期値である 0x01、 0χ12345678ίま一 f列【こすぎず、これらの値【こ限定するものではない。 0x01については、 1バイトの値であればどのような値でもよぐまた、 0x12345678については、 4バイトの値であればどのような値でもよい。

(5) 256ワードから構成されるメモリであって、アドレス 1 (1は、 0〜255の整数）を用いて、ワード S 1 [I]をアクセスする第 1メモリ S 1 ( 115)、

(6)第 1メモリ S1 (115)と同一数の複数のワードから構成されるメモリであって、ァドレス Iを用いて、ワード S2 [I]をアクセスする第 2メモリ S2 (116)、

(7)アドレス Iとなる値を記憶する第 1内部メモリ 117 (後述の B1)、

(8)ワード単位の値を記憶する第 2内部メモリ 118 (後述の < B4>)

等のメモリを備える。これらのメモリは、キャッシュメモリや、フラッシュメモリや、ランダムアクセスメモリや、固定ディスクや、光ディスクにより実現することができる。

[0017] 初期化部 120は、固定値メモリ 112に記憶された固定値を用いて、第 1メモリ Sl (l 15)と第 2メモリ S2 (116)との各ワードにそれぞれワード値を設定するとともに、第 1 内部メモリ 117と第 2内部メモリ 118とに初期値を設定する。初期化部 120の動作の詳細は、図 5〜図 8の説明で後述する。

[0018] 鍵スケジュール部 130は、鍵メモリ 113が記憶する鍵情報を用いて、第 1メモリ S1 ( 115)と第 2メモリ S2 (116)とに設定されたワードの値に対して鍵スケジューリングをして第 1メモリ S 1 ( 115)と第 2メモリ S2 ( 116)とに記憶する。鍵スケジュール部 130の動作の詳細は、図 9〜図 15の説明で後述する。

[0019] ストリーム生成部 140は、第 1メモリ S1 (115)と第 2メモリ S2 (116)とに記憶されたヮードを用いて擬似乱数を生成する。ストリーム生成部 140は、第 1乱数生成部 141、第 1状態変更部 142、第 1入れ替え部 143、第 2乱数生成部 144、第 2状態変更部 1 45、第 2入れ替え部 146、ループ部 147、ノッファメモリ 148、再スケジュール部 149 とを備える。これら各構成要素の動作の詳細は、図 16〜図 21の説明で後述する。

[0020] 図 2は、実施の形態 1における擬似乱数生成装置 100の外観を示す図である。図 2 において、擬似乱数生成装置 100は、システムユニット 830、液晶表示装置 813、キ一ボード 814、マウス 815、コンパクトディスク装置（CDD) 818、プリンタ 819を備え、これらはケーブルで接続されている。また擬似乱数生成装置 100は、インターネット 8 40に接続されており、擬似乱数による暗号を用いて Webサーバ 850と通信可能である。

[0021] 図 3は、実施の形態 1における擬似乱数生成装置 100のハードウェア構成図である。図 3において、擬似乱数生成装置 100は、プログラムを実行する CPU (Central P rocessing Unit) 810を備えている。 CPU810は、ノス 825を介して ROM811、 R AM812、液晶表示装置 813、キーボード 814、マウス 815、通信ボード 816、 FDD ( Flexible Disk Drive) 817、 CDD818、プリンタ 819、磁気ディスク装置 820と接続されている。 RAM812は、揮発性メモリの一例である。 RAM812は、例えばバッファメモリ 148の一例である。 ROM811、 FDD817、 CDD818、磁気ディスク装置 8 20は不揮発性メモリの一例である。これらは、記憶部 110の一例である。

[0022] 擬似乱数生成装置 100は、通信ボード 816を介してインターネット 840に接続されている。また、通信ボード 816、キーボード 814、 FDD817などは、データ入力部の一例である。また、例えば、通信ボード 816、液晶表示装置 813、磁気ディスク装置 8 20などは、出力部の一例である。

[0023] 磁気ディスク装置 820には、オペレーティングシステム（OS) 821、ウィンドウシステム 822、プログラム群 823が記憶されている。また、磁気ディスク装置 820のメモリ領域 824には、図 1で示した記憶部 110の各種メモリが対応する。プログラム群 823は、 CPU810, OS821、ウィンドウシステム 822により実行される。

[0024] 上記プログラム群 823には、図 1で「〜部」として説明した機能を実行するプログラムが記憶されている。例えば、上記プログラム群 823には、図 1の初期化部 120、鍵スケジュール部 130及びストリーム生成部 140の機能を実行するプログラムが記憶されている。プログラムは、 CPU810により読み出され実行される。

[0025] また、図 1で「〜部」として説明したものは、 CPU810により実行され、あるいは処理されるものであり、 ROM811に記憶されたファームウェアで実現されて、ても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウエアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。

[0026] また、以下に述べる実施の形態を実施するプログラムは、また、磁気ディスク装置 8 20、 FD (Flexible Disk)、光ディスク、 CD (コンパクトディスク）、 MD (ミニディスク）、DVD (Digital Versatile Disk)等のその他の記録媒体による記録装置を用いて記憶されても構わない。

[0027] 次に、図 4〜図 23を用いて擬似乱数生成装置 100の擬似乱数生成方法の動作を説明する。擬似乱数生成装置 100の動作は、「A.初期化」と、「B.鍵スケジュール」と、「C.ストリーム生成」とから成る。これら動作の説明の前に、まず、図 4を用いて以下で使用する記号を説明する。

(1)暗号化鍵 K (鍵情報の一例）：

暗号ィ匕鍵 Kは、鍵メモリ 113が記憶する。暗号ィ匕鍵 Kの長さを「Keylen」（バイト）とする。 1バイト単位で、 K[0]〜K[Keylen— 1]と記載する。

(2)初期値 IV (鍵情報の一例）：

初期値 IVは、鍵メモリ 113が記憶する。初期値 IVの長さを「Ivlen」（バイト）とする。 1 バイト単位で、 IV[0]〜IV[Ivlen—l]と記載する。

(3)内部テーブル S1 (第 1メモリ S1 (115) )：

内部テーブル S1は第 1メモリ S1 (115)が記憶するワードにより実現される。以下では、第 1メモリ S1 (115)を内部テーブル S1と同じ意味で使用する場合がある。内部テ一ブル S1は、 4ノイト X 256エントリ = 1024ノイトである。 4バイト単位でく S1 [0] > 〜く Sl [255] >と記載できる。なおく S 1 [0] >の「 < >」の記載は、 S 1 [0]が 1ヮード (4バイト）であることを示すものとする。なお、 1ワードは 4バイトに限るものではなぐ 2バイト、 6バイト、 8バイトなどでもよい。

(4)内部テーブル S2 (第 2メモリ S2 (116) )：

内部テーブル S2も内部テーブル S1同様に、 4ノイト X 256エントリ = 1024バイトである。内部テーブル S2は、第 2メモリ S2 (116)により実現される。以下では、内部テ一ブル S1と同様に、第 2メモリ S2 (116)を内部テーブル S2と同じ意味で使用する場合がある。 4バイト単位で < S2[0] >〜< S2[255] >と記載する。

(5)乱数のストリーム長：

生成すべき乱数のストリーム長を「4 X Strlenjと記載する。 4バイト単位で <R[0] > 〜く R[Strlen— 1] >と記載できる。このストリーム長はストリーム長メモリ 111が記憶している。

(6)第 2内部メモリ 118 :

第 2内部メモリ 118は、 4バイトの値を記憶する。第 2内部メモリ 118をく B4>と示す場合がある。 (7)第 1内部メモリ 117 :

第 1内部メモリ 117は、 1バイトの値を記憶する。第 1内部メモリ 117を「B1」と示す場合がある。

[0029] 以下に示す計算式、代入式において、右辺の変数は、 CPU80がメモリ（記憶部 11 0)から値を読み出すことを意味しており、左辺の変数は、 CPU80がメモリ（記憶部 1 10)へ値を書き込むことを表している。また、「記憶する」、「更新する」、「生成する」、「〜となる。」、「設定する」、「入れ替える」という動作も、 CPU80がメモリ（記憶部 110 )へ値を書き込むことを表して!/、る。

[0030] (A.初期化：（S101) )

次に、図 5〜図 8を用いて初期化について説明する。「初期ィ匕」は、内部テーブル S 1と内部テーブル S2とを生成する処理である。この「初期化」は、後述の図 22における S101に対応する。図 5は、初期化を行なう場合のプログラムを示す。また、図 6は、図 5の A. 1〜A. 4をフローチャート化した図である。なお、 A. 5〜A. 8は、 A. 1〜A . 4と同様であるので省略した。図 7は、内部テーブル S1 (第 1メモリ S1 (115) )、及び内部テーブル S2 (第 2メモリ S2 (116) )を初期化する様子を示す図である。図 8は、具体的な数値により図 7の状態を説明するための図である。

[0031] (1)初期化部 120は、図 6の A. 1〜A. 4において、固定値メモリ 112に記憶された固定値く INI1 [0] >等を用いて、第 1メモリ Sl (115)の各ワードにワード値を設定する。同様に初期化部 120は、 A. 5〜A. 8において、固定値メモリ 112に記憶された固定値く INI2 [0] >等を用いて、第 2メモリ S2 (116)の各ワードにワード値を設定する。図 7は、初期化部 120がワード値を第 1メモリ S1 (115)と第 2メモリ S2 (116)とに設定した状態を示している。図 7は、初期化部 120が、固定値メモリ 112が記憶する4バィトの固定値<1^11 [0] >〜<1^[1 [255] >にょり第1メモリ31 (115)にヮード値を設定し、また、固定値メモリ 112が記憶する 4バイトの固定値く INI2[0] >〜く INI2[255] >により第 2メモリ S2 (116)にワード値を設定した状態を示している。 <1 Nil [0] >等は前記のように 4バイトの固定値であり、より具体的には、一例として、図 8に示すような値が設定される。

(2)また、初期化部 120は、第 1内部メモリ 117である「B1」と、第 2内部メモリ 118であるく B4>とに初期値を設定する。この初期値は、初期値メモリ 114に記憶されているものである。図 5の A. 9、A. 10では、一例として、初期化部 120が初期値として「B 1」に「0x01」を設定し、 < B4>に「0x12345678」を設定した場合を示した。

[0032] (B.鍵スケジュール：（S 102) )

次に、図 9〜図 15を用いて、鍵スケジュール部 130の実行する鍵スケジュールについて説明する。この「鍵スケジュール」は、後述の図 22〖こおける S 102〖こ対応する。「鍵スケジュール」とは、鍵情報を用いて内部テーブルの中身を混ぜる処理をいう。本実施の形態では、「鍵スケジュール」の一例として、暗号化鍵 Kと初期値 IVとを鍵情報として用いることにより、初期化で生成した内部テーブル S1と内部テーブル S2との中身を混ぜる場合を説明する。

図 9は、鍵スケジュール部 130が実行するプログラムを示している。

図 10は、図 9のうち B. 1〜： B. 10をフローチャートィ匕した図である。

図 11は、図 9のうち B. 11〜B. 20をフローチャート化した図である。

[0033] また、図 12は鍵スケジュールの概要を説明する図である。図 12を説明する。図 12 は内部テーブル S1を示している。一組の「丸、三角、四角、バッ」は、 4バイトのワードを表している。また、「丸」、「三角」、「四角」、「バッ」は、それぞれ 1バイトを表す。一組の「丸、三角、四角、バッ」のうち、例えば、

「丸」を 0バイト目、

「三角」を 1バイト目、

「四角」を 2バイト目、

「バッ」を 3バイト目

と呼ぶこととする。

本鍵スケジュールでは、鍵スケジュール部 130が次の処理を実行する。

(1)まず 0バイト目（J = 0)である「丸」の全部（0〜255)について、置換を行なう。 0バイト目の「丸」を「丸 0」とし、アドレス B1の 0バイト目の「丸」を所定の「丸」とする。スヮップ（swap)の対象となる所定の「丸」は、 B. 3、B. 5、 B. 6等による「B1」の値で決まる即ち、「丸 0」と所定の「丸」とを swapし（B. 4)、 (2)次に、「丸 1」と所定の「丸」とを swapし (B. 4)、

(3)次に、「丸 2」と所定の「丸」とを swapする（B. 4)。

(4)以下、順次これを「丸 255」まで実行する。 swapの対象となる所定の「丸」は、 B. 3、 B. 5、 B. 6等による「B1」の値で決まる。

(5)そして、「丸」を示す J = 0について、「丸 255」（1 = 255)まで終了すると、次に、 J = 1の場合、つまり、 1バイト目である「三角」の全部について同様の処理を実行する。以下同様に、「四角」 Ci = 2)、「バッ」 Ci = 3)についても実行する。

(6)鍵スケジュール部 130は、内部テーブル S2についても、内部テーブル S1と同様の処理を実行する（B. 11〜B. 20)。

[0034] 図 13は、図 9の B. 3〜B. 6を図式化したものである。次に図 13について説明する。前記のように、鍵スケジュールは、鍵スケジュール部 130が行なう処理である。

(1) B. 3において、暗号ィ匕鍵 K (鍵情報の一例）をもとに第 1内部メモリ 117である「B 1」にアドレスを設定する。

(2) B. 4において、設定されたアドレス「B1」から S1 [B1]が決まる。ここで、 S1 [B1] は、前記で述べたように 4バイトであるく S1 [B1] >のうち Jバイト目（J = 0, 1, 2, 3のいずれか）を示す。 B. 4において、 S1 [B1]と S1 [I]とを入れ替える（swapする）。なお Iは 0〜255の整数である。

(3) B. 5において、初期値 IV (鍵情報の一例）をもとに、「B1」（第 1内部メモリ 117) にアドレスを設定する。

(4) B. 6において、 B. 5で設定された「B1」力 S2[B1]が決まり、 S2[B1]と S2[I] とを元に、第 1内部メモリ 117である「B1」にアドレスを設定する。

[0035] 図 14、図 15は、具体的な数値を用いて図 12を説明する図である。図 14は B. 1〜 B. 6の過程の具体的な状態を説明する図である。図 15は B. 7→B. 8→B. 3→B. 6 の過程の具体的な状態を説明するための図である。以下では、図 14、図 15を用いて B鍵スケジュールを具体的に説明する。

[0036] 以下は、鍵スケジュール部 130の動作である。

(1) B. 1において、 J = 0とする。すなわち、内部テーブル Sl、内部テーブル S2の 0 バイト目についての処理である。 (2) B.2において、 1 = 0とする。

(3) B.3において、 Bl = 3となる。詳細は次の様である。

鍵スケジュール部 130は、

Bl= (Bl+K[l%Keylen])%256

を設定する。この場合、図 14に示す様に

B1 = 1(A.9による）、

1 = 0、

Keylen=16(仮定した）、

K[0]=2(仮定した）

とする。よって、

Bl= (Bl+K[l%Keylen])%256

= (1+K[0%16])%256

= (1+Κ[0])%256

= (1 + 2)%256

=3

となる。

よって、 Β1 = 3となる。

(4) Β.4において、鍵スケジユーノレ部 130は、 SI [0] と Sl[3] とを入れ替える（スヮ

0 0

ップする）。

詳細は次の様である。

鍵スケジュール部 130は、 Swap(Sl[I] , S1[B1] )を実行する。本設例では、 I = 0、J = 0、 Bl = 3(前記 B.3による）より、

Swap(Sl[l] , S1[B1] )

= Swap(Sl[0] , SI [3] )

ο ο

である。

よって、鍵スケジュール部 130は、 SI [0] と SI [3] とを入れ替える。

0 0

(5) B.5において、鍵スケジュール部 130は、 B1 =4を設定する。

詳細は次の様である。 () xor8 =

(()％)^xor3 + 5256 =

(〔//O0 BlBl +IVIVlen26 = 0

13〇 =12

となる。よって、 Bl = 12である。

次に図 15を用いて、 B.7→B.8→B.3→B.6の過程を具体的に説明する。

(1) B.7において、 1=1+1となる。

よって、 1 = 0+1 = 1となる。

(2)また、 1=1であるので、 B.8において B.3へ進む。

(3) B.3において、鍵スケジュール部 130は、 Bl = 14を設定する。

詳細は次の様である。

鍵スケジュール部 130は、

Bl= (Bl+K[l%Keylen])%256

により、あらたに Blを設定する。

この場合、

B 1 = 12 (前記 B .6による）、 1=1、 Keylen = 16である。

また、 K[l]=2と仮定する。

よって、

Bl= (Bl+K[l%Keylen])%256

= (12+K[1%16])%256

= (12+Κ[1])%256

= (12 + 2)%256

=14

となる。よって、 Β1 = 14となる。

(4) Β.4において、鍵スケジュール部 130は、 SI [1] と Sl[14] とを入れ替える。

0 0

詳細は次の様である。

鍵スケジュール部 130は、 Swap(Sl[I] , S1[B1] )を実行する。本設例では、 I=1、J = 0、 Bl = 14(前記 B.3による）より、

Swap(Sl[l] , S1[B1] )

= Swap(Sl[l] , Sl[14] )

ο ο

である。よって、鍵スケジュール部 130は、 SI [1] と SI [14] とを入れ替える。

0 0

(5) B.5において、鍵スケジュール部 130は、 Bl = 17を設定する。詳細は次の様である。

鍵スケジュール部 130は、

Bl= (Bl+IV[l%Ivlen])%256

により Blを設定する。

この場合、

1=14(前記8.3による）、 1=1、 Ivlen=16である。

また、 IV[1]=3と仮定する。

よって、

Bl= (Bl+IV[l%Ivlen])%256

= (14+IV[1%16])%256

= (14+IV[1])%256

= (14 + 3)% 256

=17

となる。よって、 Bl = 17である。

(6) B.6において、鍵スケジュール部 130は、 Bl = 25を設定する。詳細は次の様である。

鍵スケジュール部 130は、

Bl = Blxor((S2[l] +S2[B1] ) %256)

により、あらたに B1を設定する。

この場合、

1=17(前記8.5による）、 1=1、 J = 0である。

また、

S2[l] =7、S2[17] =1

o o

と仮定する。

よって、

Bl = Blxor((S2[l] +S2[B1] ) %256) = 17xor((S2[l] +S2[17] )%256)

o o

= 17xor((7+l)%256)

= 17xor8

=25

となる。よって、 Bl = 25である。

(7)このようにして、

内部テーブル SIにおいて、 B. 1〜B. 10を実行することにより、

内部テーブル S 1にお!/、て、

j = ₀(0ノィ卜目）【こつ、て、

S1[0] と所定の相手とが入れ替えられ、

0

Sl[l] と所定の相手とが入れ替えられ、

0

Sl[255] と所定の相手とが入れ替えられる。

0

同に

J= 1(1バイト目）について、

S1[0] と所定の相手とが入れ替えられ、

Sl[l] と所定の相手とが入れ替えられ、

Sl[255] と所定の相手とが入れ替えられる。

J = 2 (2バイト目）、 J = 3 (3バイト目）の場合につヽても同様である。

以上のように、鍵スケジュール部 130により、鍵スケジュールが実行される。

[0038] なお、図 9に示す様に、内部テーブル S1に対する鍵スケジュールのアルゴリズム（B . 1〜： B. 10)と、内部テーブル S2に対する鍵スケジュールのアルゴリズム（B.11〜： B .20)のアルゴリズムとは同じであるため兼用することができる。これによりプログラムサイズは、両者を作成する場合に比べて半分になる。

[0039] (C.ストリーム生成（S103))

次に、図 16〜図 21を用いて、ストリーム生成部 140の実行する擬似乱数の生成を説明する。ストリーム生成は、内部テーブル S1と内部テーブル S2との役割を交互に変えながら、乱数列を生成する処理である。

図 16は、ストリーム生成部 140の各構成要素が実行するプログラムを示している。図 17は、図 16をフローチャートィ匕した図である。

図 18は、 C.2〜C.4を図式化したものである。

[0040] 図 18を簡単に説明する。擬似乱数生成装置 100は、次の動作を実行する。

(1) C.2において、第 2内部メモリ 118に設定された B4力もく S1[B4 ]>を決定し、 B4力、らく S2[B4 ]>を決定する。そして、く S1[I]>とく S1[B4 ]>とく S2[B4

0 0 1

] >とからく RQ[] >を生成する。ここで、 B4は、 4バイトの値であるく B4>の下位 1

0 0

バイト目の値を示す。 B4は、 4バイトの値であるく B4>の下位 2バイト目の値を示す。後述する図 19の第 2内部メモリ 118を例に取れば、 B4 =78 であり、 B4 =56

0 (16) 1 (1 である。なお以下の説明には、く B4>に 16進数で記憶されている数値を使用する

6)

ため「78 」等と記載し、添え字（16)により「78」が 16進数であることを示す。添え

(16)

字のない値は、 10進数であることを示す。

(2) C.3において、 <S1[B4 ]>と <S2[B4 ]>とに基づいて、 <S1[I]>を新た

1 0

に生成する。

(3) C.4において、 <S2(I)>力新たに B4を更新する。

(4)以上において、 <RQ[]>は、 <S1[B4 ]>, <S1[I]>, <S2[B4 ]>から生

1 0 成される力次の内部状態を決定するのは、この 3つの値と <B4>の他に <S2[I] >がある（C.4)。このく S2[I]>の値は、く RQ[]>には直接的には影響を与えない。すなわちく RQi] >力らく S2[I] >の値を推測することは不可能であり安全性が高まる。このため、攻撃者は生成されたく RQ[] >力く S2[I] >を推測することが困難となり安全性が向上する。

[0041] 図 19、図 20は、具体的な数値を用いて図 18を説明するための図である。以下では、図 19、図 20を参照して具体的な数値を用いて擬似乱数の生成を説明する。

[0042] まず、図 19を参照して C.1〜C.4の過程を説明する。

[0043] (1)C.1において、 1 = 0、 J=0とする。

また、初期化部 120が、第 2内部メモリ 118に

<B4> =0x12345678 を設定しているものとする。

(2)C.2において、第 1乱数生成部 141が、く R[0] > = 7を生成する。

詳細は次の様である。

第 1乱数生成部 141は、

<RQi]> = <Sl[l]>xor<Sl[B4 ]>xor<S2[B4 ]>

1 0

を実行して、乱数く RQi] >を生成する。

この場合、

J = 0、 1 = 0、 B4 =56 、B4 =78 である。

1 (16) 0 (16)

また、図 19に示す様に

く Sl[0]> = 2、く Sl[56 ]> =1、く S2[78 ]>=4

(16) (16)

と仮定する。

この場合、

<R[0]> = <Sl[0]>xor<Sl[56 ]>xor<S2[78 ]>

(16) (16)

= 2xorlxor4

=7

となる。よって、

く R[0]> = 7となる。

(3)C.3において、第 1状態変更部 142が、く S1[B4 ]>と、く S2[B4 ]>とを演

1 0 算してシフトし、シフトした値を用いてく S1[I] >の値を書き換える。

すなわち、第 1状態変更部 142は、

<Sl[l]> = (<Sl[l]>+ROTL((<Sl[B4 ]>xor<S2[B4 ]>), 1))%2³：

1 0

を実行する。

ここで、 ROTL(x, s)は、 32ビットデータ Xを左に sビット回転シフトすることを示す。例えば、 ROTL(5, 1)であれば、 10進数の「5」は、 2進数表記で

「00···0101 」

(2)

である。

よって、

ROTL(5, 1) =「00····1010 」となり、 10進数表記で、 10である。

よって、

ROTL(5, 1)=10

である。

今 I = 0であるので、左辺は < S 1 [0] >である。また、右辺の < S 1 [0] >等は、 C.2 のく R[0] >の右辺の値と同じである。よって、右辺の各値は、

く Sl[0]> = 2、く Sl[56 ]> =1、く S2[78 ]>=4

(16) (16)

である。

よって、

<S1[0]> = (<S1[0]>+ROTL((<S1[56 ]>xor<S2[78 ]>), 1))

(16) (16)

%2³²

= (2+ROTL((lxor4), 1))%2³²

= (2+ROTL(5, 1))%2³²

=(2+10)%2³²

=12

となる。

よって、く Sl[0]> = 12となる。

図 19に示す様に、く S1[0]>は、 2→12に書き換えられる。

(4)C.4において、第 1入れ替え部 143が、第 2内部メモリ 118であるく B4>に記憶されたワードの上位と下位の値を入れ替える。

すなわち、第 1入れ替え部 143は、

<B4>=ROTL(((<B4> + <S2[l]>)%2³²), 16)

を実行する。

ここで、

右辺のく B4> =0x12345678、

また、 1 = 0である。

また、

<S2[0]> = 1と仮定する。。^r w¾,

〔〔S2122sl316 <〉<〉

〔〕0046

, ( ( ()/ J)0:ROTL0X123678 + 1216 = 0

, ( ( (〔〕 )/ J)0:ROTL B + S20216 <〉 <〉 = 0 ，(((〔)/))OB:ROTLB4 +s2216 < v<v < V=o この場合、

<R[0] > = <S2[0] >xor<S2[12 ]>xor<Sl[34 ]>

(16) (16)

= lxor2xorlb

=19

となる。よって、

<R[1]> = 19となる。

(8) C.8において、第 2状態変更部 145が、

<S2[B4 ]>と、 <S1[B4 ]>とを演算してシフトし、シフトした値を用いてく S2[I]

1 0

>の値を書き換える。

すなわち、第 2状態変更部 145は、

<S2[l]> = (<S2[l]>+ROTL((<S2[B4 ]>xor<Sl[B4 ]>), 1))%2³²

1 0

を実行する。

ここで、

右辺の <S2[I] >等は、 C.7のく RQ[] >の右辺の値と同じである。よって、右辺の各値は、

<S2[0]> = 1

<S2[12 ]> = 2、

(16)

<S1[34 ]> =16

(16)

である。よって、

<S2[0]> = (<S2[0]>+ROTL((<S2[12 ]>xor<Sl[34 ]>), 1))

(16) (16)

%2³²

= (l+ROTL((2xorl6), 1))%2³²

=37

となる。

よって、 <S2[0]> = 37となる。

図 20に示す様に、 <S2[0]>は、 1→37に書き換えられる。

(9) C.9において、第 2入れ替え部 146が、第 2内部メモリ 118であるく B4>に記憶されたワードの上位と下位の値を入れ替える。すなわち、第 2入れ替え部 146は、

<B4>=ROTL (((<B4> + <S1[I]>) %2³²) , 16)

を実行する。

ここで、

<B4> =0x56791234,

1 = 0、

及びく S 1 [0] > = 12 (C.3で書き換えられて、る）である。

よって、

<B4>=ROTL(((<B4> + <S2[l]>)%2³²), 16)

=ROTL (((く B4> + < SI [0] >) %2³²) , 16)

=ROTL ( ( (0x56791234+12〉） %2³²) , 16)

=ROTL( (0x56791246), 16)

=0x12465679

となる。

(10)ループ部 147は、ストリーム長メモリ 111に記憶したストリーム長になるまで、第 1 乱数生成部 141と第 1状態変更部 142と第 1入れ替え部 143の動作と、第 2乱数生成部 144と第 2状態変更部 145と第 2入れ替え部 146の動作とを繰り返す。

(11)バッファメモリ 148は、第 1乱数生成部 141から出力される擬似乱数 R1と第 2乱数生成部 144から出力される擬似乱数 R2とを入力して一時的に保持して擬似乱数ストリームとして出力する。

( 12)再スケジュール部 149は、ノッファメモリ 148に出力した擬似乱数のストリーム長力所定の再スケジュール長になった場合に、鍵スケジュール部 130を動作させ、鍵スケジュールをやり直す (C.11)。ここで、所定の「再スケジュール長」とは、例えば

「内部テーブルのワード数 Xワードのバイト数 Xメモリの数 X第 2内部メモリが一巡するシフト回数（32回、 C.4及び C.9による））」を用いる。

ここで、

(a)「内部テーブルのワード数」とは、内部テーブル S1あるいは内部テーブル S2のヮード数をいい本実施の形態 1の場合は、 256である。

(b)「ワードのバイト数」とは、内部テ一部の 1ワードのバイト数であり、 4である。

(c)「メモリの数」とは、第 1メモリ S1と第 2メモリ S2との 2つである。

(d)「第 2内部メモリ 118がー巡するシフト回数」とは、 C. 4あるいは C. 9においてメモリ< 4>がー巡するシフト回数を意味し、 32回である。

(a)〜（d)によれば、「再スケジュール長」は、一例として、

「再スケジュール長」 = 256 X 4 X 2 X 32

= 65536ノイト（16384ワード）

= 64KBとなる。

図 17のフローチャートで説明すれば、 C. 11において、再スケジュール部 149は、擬似乱数列の長さ (Jの値）が所定の「再スケジュール長」である Strlenになったかどうかを判断する。再スケジュール部 149は、「再スケジュール長」になったと判断した場合には、図 10の（A)に進み、鍵スケジュール部 130を動作させ鍵スケジュールをやり直す。

(13)擬似乱数生成装置 100は、ストリーム生成部 140の生成した擬似乱数ストリーム R[0]、 R[l] · · ·と平文とを XOR (排他的論理和)して、暗号文を作成する。

[0047] 以上のストリーム生成では、内部テーブル S1と内部テーブル S2と力「乱数生成」と「アドレス生成」との役割を交代しながら、順次、擬似乱数 Rを生成していく。これに対し、従来の RC4は、一つのテーブルで行なっていた。

[0048] なお、以上の擬似乱数生成装置 100による擬似乱数の生成方法では、内部テープル S1と内部テーブル S 2との 2つを使用することにより、擬似乱数を生成した。しかし、これは一例であり、 3つの内部テーブルに基づき擬似乱数を生成してもよいし、 4つの内部テーブルに基づき擬似乱数を生成してもよ、。 V、くつの内部テーブルを用いても構わない。

[0049] 擬似乱数生成装置 100の初期化部 120、鍵スケジュール部 130、ストリーム生成部 140の一連の動作は互いに関連しており、これらの一連の動作を擬似乱数生成方法として把握することができる。

[0050] 図 22は、擬似乱数生成装置 100の初期化部 120等の動作を擬似乱数生成方法として把握した場合のフローチャートを示す。

(1) S101は、初期化部が、第 1メモリ S1と第 2メモリ S2との各ワードにそれぞれワード値を設定するとともに、第 1内部メモリと第 2内部メモリとに初期値を設定するステップである。

(2) S102は、鍵スケジュール部力鍵メモリが記憶する鍵情報を用いて、第 1メモリ S 1と第 2メモリ S2とに設定されたワードの値に対して鍵スケジュールをして第 1メモリ S1 と第 2メモリ S2とに記憶するステップである。

(3) S103は、ストリーム生成部力鍵スケジュール部により鍵スケジュールされた第 1 メモリ S1と第 2メモリ S2とに記憶されたワードを交互に用いて擬似乱数を生成するステツプである。

[0051] また、擬似乱数生成装置 100における初期化部 120、鍵スケジュール部 130、ストリーム生成部 140の一連の動作は、一連の処理に置き換えることにより、プログラムの実施形態として把握することができる。

[0052] 図 23は、擬似乱数生成装置 100の初期化部 120等の動作を、コンピュータである擬似乱数生成装置 100に実行させるための一連の処理力もなる擬似乱数生成プログラムとして把握した場合のフローチャートを示す。

(1) S201は、第 1メモリ S1と第 2メモリ S2との各ワードにそれぞれワード値を設定するとともに、第 1内部メモリと第 2内部メモリとに初期値を設定する処理である。

(2) S202は、鍵メモリが記憶する鍵情報を用いて、第 1メモリ S1と第 2メモリ S2とに設定されたワードの値に対して鍵スケジュールをして第 1メモリ S1と第 2メモリ S2とに記憶する処理である

(3) S203は、鍵スケジュールされた第 1メモリ S1と第 2メモリ S2とに記憶されたワードを交互に用いて擬似乱数を生成する処理である。

[0053] なお、図 16に示す C. 2では、内部テーブル S1のワード値く S1 [I] >、及びく Sl [ B4 ] >の他、内部テーブル S2のワード値く S2[B4 ] >を用いた。また、 C. 7では、

1 0

内部テーブル S2のワード値く S2[I] >、及びく S2[B4 ] >の他、内部テーブル S1 のワード値く S1 [B4 ] >を用いた。これは一つの例である。擬似乱数生成装置 100

0

のストリーム生成部 140は、鍵スケジュール部 130により鍵スケジュールされた内部テ一ブル S 1(第 1メモリ Sl(115))と内部テーブル S 2 (第 2メモリ S 2 ( 116) )とに記憶されたワードを交互に用いて擬似乱数を生成しても構わない。

その場合、

C.2において

<RQi]> = <Sl[l]>xor<Sl[B4 ]> (式 1)

を実行し、

C.7において

<RQi]> = <S2[l]>xor<S2[B4 ]> (式 2)

を実行する。

この場合、図 18 (上記（式 1)に対応）において、く RQ[]>とく S2[B4 ]>との関係

0

が遮断されるため、攻撃者は生成された RQi]の値力内部状態を予想することが困難となるため安全性が向上する。

図 21を用いて、上記（式 1)、（式 2)を用いた場合の、ストリーム生成部 140の別の動作例を説明する。

(1)ストリーム生成部 140の第 1乱数生成部 141は、第 1メモリ Sl(115)の値から、第 1メモリ S1 (115)のアドレスを生成し、生成されたアドレスの第 1メモリ S1 (115)のヮ一ドの値力擬似乱数を生成する (C.9及び上記 (式 1)とした C.2)。すなわち、図 2 1に示す様に、第 1乱数生成部 141は、 C.9において、第 1メモリ Sl(115)の値 S1[I ]から、 C.2で <S1[B4 ]>のアドレスとなるべき <B4>を生成する（ST1)。

そして、 C.9において第 1乱数生成部 141は、生成されたアドレス B4の第 1メモリ S1 (115)のヮード値<31^4 ]>を特定し丁2)、上記の（式1)にょり、特定したヮード値く S 1 [B4 ] >とく S 1 [I] >とから擬似乱数く R >を生成する (ST3)。

(2)図 21に示す様に、次に ST4において、役割が内部テーブル S1 (第 1メモリ SI (1 15) )から内部テーブル S2 (第 2メモリ S2 (116) )に移る。ストリーム生成部 140の第 2 乱数生成部 144は、第 2メモリ S2 (116)の値から、第 2メモリ S2 (116)のアドレスを生成し、生成されたアドレスの第 2メモリ S2 (116)のワードの値力も擬似乱数を生成する（C.4及び上記 (式 2)とした C.7)。すなわち、第 2乱数生成部 144は、 C.4において、第 2メモリ S2(116)の値 S2[I]力ら、 C.7でく S2[B4 ]>のアドレスとなるべき < B4>を生成する（ST5)。そして、 C. 7において第 1乱数生成部 141は、生成されたアドレス B4の第 2メモリ S2 (116)のワード値く S2[B4 ] >を特定し（ST6)、上記の（式 2)により、特定したワード値く S2[B4 ] >とく S2[I] >とから擬似乱数く R' > を生成する（ST7)。

(3)以上（1)、（2)のように第 1乱数生成部 141と第 2乱数生成部 144とは、第 1メモリ Sl (115)と第 2メモリ S2 (116)とに記憶されたワードを交互に用いて擬似乱数 R、R '等を生成する。

[0055] 前述した擬似乱数生成装置及び擬似乱数生成方法及び擬似乱数生成プログラムは、ストリーム型の暗号の発生装置である力テキスト（平文）の暗号装置としても使えるし、暗号文の復号装置としても用いることができる。

[0056] また、前述した擬似乱数生成装置及び擬似乱数生成方法は、図 3あるいは図 23に示したように、コンピュータで動作させるプログラム (ソフトウェア）として実現できる。プログラムで実現した場合は、そのプログラムを内蔵した半導体チップや ICチップとしても実現することができ、どのような電子機器にも用いることができる。

[0057] 例えば、前述した擬似乱数生成装置及び擬似乱数生成方法及び擬似乱数生成プログラムの好適な適用例としては、ワープロ文章の暗号または復号、 Eメールテキストの暗号または復号、インターネットやローカルエリアネットワークの通信データの暗号または復号、携帯電話と基地局との通信データの暗号または復号、 ICタグや ICカードのデータの暗号または復号などが考えられる。

[0058] 特に、メモリ容量に限りのある小型機器 (携帯電話、 ICタグ、 ICカード)の通信データの暗号または復号に適して、る。

[0059] 本実施の形態 1の擬似乱数生成装置は、第 1メモリ S1と第 2メモリ S2とに対して鍵スケジュールを行なう鍵スケジュール部と、鍵スケジュールされた第 1メモリ S1と第 2メモリ S2とに記憶されたワードを交互に用いて擬似乱数を生成するストリーム生成部とを備えたので、解読攻撃に対する安全性を向上することができる。また、ストリーム生成部は、ワード単位を対象として擬似乱数を生成するので、処理の高速化を実現することがでさる。

[0060] 本実施の形態 1の擬似乱数生成装置は、第 1乱数生成部が第 1メモリ S1を用いて擬似乱数を生成し、第 2乱数生成部が第 2メモリ S2を用いて擬似乱数を生成するとともに、第 1乱数生成部と第 2乱数生成部とが交互に擬似乱数を生成する。よって、解読攻撃に対する安全性を向上することができる。

[0061] 本実施の形態 1の擬似乱数生成装置は、鍵スケジュール部が、ワード単位で構成された複数の内部テーブル (第 1メモリ S1及び第 2メモリ S2)に対して鍵スケジュールを実施する。よって、非常に大きな空間での置換が可能となり、解読攻撃に対する安全性を向上することができる。

[0062] 本実施の形態 1の擬似乱数生成装置は、ストリーム生成部が 2つの内部テーブルに基づき乱数を生成するので、解読攻撃に対する安全性を向上することができる。

[0063] 従来技術ではバイト単位の処理であつたのに対して、実施の形態 1の擬似乱数生成装置 100は、ストリーム生成部 140が、ワード単位 (4バイト)で擬似乱数を生成するので、高速ィ匕を実現することができる。

[0064] また、バイト単位の処理では、一つの内部テーブルに実現される要素は 0〜255までの 256通りであつたのに対して、実施の形態 1の擬似乱数生成装置 100は、鍵スケジュール部 130力ワードを対象として処理することで、 0〜2³²— 1までの 2³²通りと、非常に大きな空間での置換を可能とし、安全性を向上することができる。

[0065] 従来技術では一つの内部テーブルで置換を繰り返すものであつたのに対して、実施の形態 1の擬似乱数生成装置 100は、鍵スケジュール部 130が、内部テーブル S 1と内部テーブル S2とを交互に作用させて置換を繰り返すので、非常に長、ランダム性 (周期性)を実現することができる。また、ストリーム生成部 140が、内部テーブル S 1と内部テーブル S 2とを交互に作用させて置換を繰り返すので、非常に長いランダム性 (周期性)を実現することができる。

[0066] 従来技術では 1回の鍵スケジュールを実行した後に、次に鍵が変更されるまでは擬似乱数生成の処理を連続実行するため、一定以上の処理を実行すると同じ乱数列が生成されてしまう。これに対して実施の形態 1の擬似乱数生成装置 100は、擬似乱数の生成処理を一通り最後まで実施した後に、再スケジュール部 149が鍵スケジュール部 130を動作させて、擬似乱数の生成に利用する内部テーブル Sl、内部テーブル S2を更新することにより同じ乱数列の生成を防ぎ、安全性を向上する。 [0067] 従来例は本実施の形態 1の擬似乱数生成装置 100の動作に比べて動作が簡単であるため、高速に動作するように一見見える。しかし、実際にプログラミングした場合、本実施の形態 1は格段に高速である。これは、本実施の形態 1では C. 1〜C. 11のストリーム生成力バイト単位でおこなわれていることに起因している（従来例では 1バト単位)。

[0068] 一方、一般に、テーブル参照型の暗号の安全性 (解読困難性)を高めるためには、得られたストリーム RQ[]からテーブルの内部状態をできるだけ推測しに《する必要力 Sある。高速性と安全性を両立させるため、本実施の形態 1の擬似乱数生成装置 10 0では速度を大きく低下させな、範囲で次のような新たな工夫を行なって、る。

(1)従来例では内部テーブルが 1つであるのに対して、本実施の形態 1の擬似乱数生成装置 100では同じサイズの内部テーブルを 2つ持つ。このため、その内部状態を推測するのは困難であると考えられる。具体的には、従来例では、 256バイトのテ一ブルの 1状態から 1バイトを生成するのに対し、本実施の形態 1の擬似乱数生成装置 100では、 2048バイトのテーブルの 1状態力も 4バイトの乱数 RQ[]を生成する。即ち擬似乱数生成装置 100では、ストリーム 1バイトあたりのエントロピーが従来例の倍あることになる。

(2)従来例の「Cストリーム生成」では、 RQ[]は S [B]と S [I]から生成され、し力も、この 2つの値と Bが次の内部状態を決定する。これに対して本実施の形態 1の擬似乱数生成装置 100は、例えば図 18において、 RQ[]は S1 [B4 ] , S1 [I] , S2[B4 ]から生

1 0 成される力次の内部状態を決定するのは、この 3つの値と B4の他に S2[I]がある。この S 2 [I]の値は R Q[]には直接的には影響を与えな、。すなわち R Q[]から S 2 [I]の値を推測することは不可能であり安全性が高まる。

(3)本実施の形態 1の擬似乱数生成装置 100では、内部テーブル S1と内部テープル S2と力その役割を変えながら交互に内部状態を変えていく。内部テーブル S1と内部テーブル S2との役割を変えた部分は、例えば図 16の「C. 2〜C. 5」と、「C. 7 〜C. 10」とが対応する。この 2つの部分は、内部テーブル S1と内部テーブル S2とが入れ替わつただけなので、これらの内部テーブルの先頭アドレスへのポインタを入れ替えてやりさえすればプログラムを共用することができ、プログラムサイズ削減に役立つ。

(4)従来例では鍵スケジュールは最初に一回だけ行!、、その後は決して行われなかつた。これに対して、本実施の形態 1の擬似乱数生成装置 100では、 64KBごとに鍵スケジュールをやり直す処理を行っている。鍵スケジュールは内部テーブル Sl、 S2 の内部状態を完全に変えてしまうので、これによつて解読者による内部状態の再現はほぼ不可能になってしまう。鍵スケジュールを頻繁に行うと処理速度の低下となる力 64KB程度であれば、その処理速度低下は問題にならない。

(5)ちなみに、 64KBの根拠は以下の通りである。内部テーブル S1と内部テーブル S 2とがすベて書き換えられるためには、 Iが 0から 255まで動く必要がある。それまでにストリーム Rは、 256 X 4バイト X 2 = 2KB生成される。さらに内部に 1ビットの回転シフト命令が存在するが、この回転は 32回行うと元に戻る。したがって、 2KB X 32回 =6 4KBでデータの変換が一巡するとみなすことができ、鍵スケジュールを行うにはよいタイミングである。

図面の簡単な説明

[図 1]実施の形態 1における擬似乱数生成装置 100の構成図である。

[図 2]実施の形態 1における擬似乱数生成装置 100の外観の一例を示す。

[図 3]実施の形態 1における擬似乱数生成装置 100のハードウェア構成を示す。

[図 4]実施の形態 1における擬似乱数生成装置 100の動作説明に使用する記号の説明である。

[図 5]初期化部 120が初期化を実行する場合のプログラムである。

[図 6]図 5のフローチャートである。

[図 7]初期化部 120が第 1メモリ Sl (115)、第 2メモリ S2 (116)にワード値を設定する様子を示す図である。

[図 8]初期化部 120が第 1メモリ Sl (115)、第 2メモリ S2 (116)にワード値を設定した場合の具体例を示す図である。

[図 9]鍵スケジュール部 130が鍵スケジュールを行う場合のプログラムである。

[図 10]図 9の B. 1〜： B. 10のフローチャートである。

[図 11]図 9の B. 11〜： B. 20のフローチャートである。 [図 12]鍵スケジュールの概要を説明する図である。

[図 13]図 10の B. 3〜： B. 6の図式化である。

[図 14]図 13を具体的な数値で説明する図である。

[図 15]図 13を具体的な数値で説明する図である。

[図 16]ストリーム生成部 140がストリーム生成を行う場合のプログラムである。

[図 17]図 16のフローチャートである。

[図 18]図 16の C. 2〜C. 4を図式化したものである。

[図 19]図 18を具体的な数値で説明する図である。

[図 20]図 18を具体的な数値で説明する図である。

[図 21]ストリーム生成部 140の別の動作例を示す図である。

[図 22]擬似乱数生成方法のステップを示す図である。

[図 23]擬似乱数生成プログラムの処理工程を示す図である。

[図 24]従来技術を説明する図である。

[図 25]従来技術を説明する図である。

符号の説明

100 擬似乱数生成装置、 110 記憶部、 111 ストリーム長メモリ、 112 固定値メモリ、 113 鍵メモリ、 114 初期値メモリ、 115 第 1メモリ Sl、 116 第 2メモリ S2、 1 17 第 1内部メモリ、 118 第 2内部メモリ、 120 初期化部、 130 鍵スケジュール部、 140 ストリーム生成部、 141 第 1乱数生成部、 142 第 1状態変更部、 143 第 1 入れ替え部、 144 第 2乱数生成部、 145 第 2状態変更部、 146 第 2入れ替え部、 147 ノレープ咅、 148 ノッファメモリ、 149 再スケジユーノレ咅、 810 CPU, 811 ROM, 812 RAM, 813 液晶表示装置、 814 キーボード、 815 マウス、 816 通信ボード、 817 FDD, 818 CDD、 819 プリンタ、 820 磁気ディスク装置、 82 1 OS、 822 ウィンドウシステム、 823 プログラム群、 824 メモリ領域、 825 ノス、 830 システムユニット、 840 インターネット、 850 Webサーバ。

Claims

請求の範囲

[1] 複数バイトからなるワード単位で、擬似乱数を生成する擬似乱数生成装置において、

鍵情報を記憶する鍵メモリと、

ワード S2[I]をアクセスする第 2メモリ S2と、

を備えたことを特徴とする擬似乱数生成装置。

[2] 前記ストリーム生成部は、

第 2メモリ S2のワードの値から、第 2メモリ S2のアドレスを生成し、生成されたァドレスの第 2メモリ S2のワードの値力も擬似乱数を生成する第 2乱数生成部と、を備えたことを特徴とする請求項 1記載の擬似乱数生成装置。

[3] 数バイトからなるワード単位で、擬似乱数を生成する擬似乱数生成装置において、鍵スケジュールされた値を記憶する複数のワードからなり、アドレス 1 (1は、 0以上の整数)を用いて、ワード S1 [I]をアクセスする第 1メモリ S1と、

を備えたことを特徴とする擬似乱数生成装置。

[4] n(l≤n≤N、 Nは 1以上の整数)バイトからなるワード単位で、擬似乱数を生成する擬似乱数生成装置において、

固定値を記憶する固定値メモリと、

鍵情報を記憶する鍵メモリと、

初期値を入力して記憶する初期値メモリと、

アドレス Iとなる値を記憶する第 1内部メモリと、

ワード単位の値を記憶する第 2内部メモリと、

を備えたことを特徴とする擬似乱数生成装置。

[5] n(l≤n≤N、 Nは 1以上の整数)バイトからなるワード単位で、擬似乱数を生成する擬似乱数生成装置において、

固定値を記憶する固定値メモリと、

鍵情報を記憶する鍵メモリと、

初期値を入力して記憶する初期値メモリと、

アドレス Iとなる値を記憶する第 1内部メモリと、

ワード単位の値を記憶する第 2内部メモリと、

第 1メモリ S1のアドレス 12のワード S1 [12]の値と

第 2メモリ S2のアドレス 13のワード S2 [13]の値と

を用いて擬似乱数 R1を生成してバッファメモリに出力する第 1乱数生成部と、第 1メモリ SIのアドレス 12のワード SI [12]の値と

第 2メモリ S2のアドレス 13のワード S2 [13]の値と

第 2メモリ S2のアドレス 14のワード S2 [14]の値と

第 1メモリ S1のアドレス 15のワード S1 [15]の値と

第 2メモリ S2のアドレス 14のワード S2 [14]の値と

第 1メモリ S1のアドレス 15のワード S1 [15]の値と

を備えたことを特徴とする擬似乱数生成装置。

鍵情報を記憶する鍵メモリと、複数のワードからなり、アドレス 1 (1は、 0以上の整数）を用いて、ワード SI [I]をアクセスする第 1メモリ SIと、第 1メモリ S1と同一数の複数のワード力も構成されるメモリであって、アドレス Iを用いて、ワード S2[I]をアクセスする第 2メモリ S2とを備えるとともに複数バイトからなるワード単位で、擬似乱数を生成するコンピュータである擬似乱数生成装置が行う擬似乱数生成方法において、初期化部が、第 1メモリ S1と第 2メモリ S2との各ワードにそれぞれワード値を設定するとともに、第 1内部メモリと第 2内部メモリとに初期値を設定し、

ことを特徴とする擬似乱数生成方法。

鍵情報を記憶する鍵メモリと、複数のワードからなり、アドレス 1 (1は、 0以上の整数）を用いて、ワード S1 [I]をアクセスする第 1メモリ S1と、第 1メモリ S1と同一数の複数のワード力も構成されるメモリであって、アドレス Iを用いて、ワード S2[I]をアクセスする第 2メモリ S2とを備えるとともに複数バイトからなるワード単位で、擬似乱数を生成するコンピュータである擬似乱数生成装置に以下の処理を実行させる擬似乱数生成プログラム

(1)第 1メモリ S1と第 2メモリ S2との各ワードにそれぞれワード値を設定するとともに、第 1内部メモリと第 2内部メモリとに初期値を設定する処理