WO2007052477A1

WO2007052477A1 - メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体

Info

Publication number: WO2007052477A1
Application number: PCT/JP2006/320826
Authority: WO
Inventors: Kazuhiko Minematsu
Original assignee: Nec Corporation
Priority date: 2005-11-04
Filing date: 2006-10-19
Publication date: 2007-05-10
Also published as: JP4735644B2; US8589688B2; KR20080058462A; EP1944907A1; JPWO2007052477A1; EP1944907A4; CA2627136A1; US20090138710A1

Abstract

　ブロック暗号とその一部の部品を組合せて、既存のブロック暗号の認証モードより高速で、理論的安全性を有し、事前処理や使用メモリ量の点で効率のよい、メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体を提供する。　メッセージを入力する入力手段１００、メッセージをパディングしてその長さを常にブロック長の定数にしてパディング済みメッセージとして出力するパディング手段１０１、パディング済みメッセージをブロック暗号の部品を基に作った小さい入出力幅のハッシュ関数をメッセージ分だけ並べた処理を繰り返し、１ブロックのハッシュ値を出力する修正木ハッシュ手段１０２、ハッシュ値を暗号化してタグとする調整値付暗号化手段１０３、及び、タグとメッセージとを連結して出力する出力手段１０４を備えたメッセージ認証装置とする。

Description

明細書

メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体

技術分野

[0001] 本発明は、ブロック暗号と、ブロック暗号の一部の処理との組合せにより構築された

、汎用的で高速な、メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体に関する。

背景技術

[0002] メッセージ認証とは、メッセージに対して秘密鍵を知るものだけが計算できるタグを付与することであり、メッセージが正当であることを保証する技術である。例えば、メッセージ認証を用いれば、秘密鍵を共有した 2者の通信において、通信の間に行われた、第 3者による改ざんを検知することが可能となる。

[0003] 具体的には、送信者カ^ツセージとタグを受信者に送ったとき、受信者側では受け取ったメッセージ力もタグを計算し、受信したタグとの一致をみることで、メッセージが正当な送信者力も送られたものかどうかを判断することができる。なお、通常のメッセージ認証方式ではタグの生成方法さえ決まれば受信者側の認証方法は一意に定まるため、タグの生成方法だけを記述すれば十分である。

[0004] メッセージ認証の方法として、ブロック暗号を用いた方式が数多く知られて、る。これらはブロック暗号のメッセージ認証モードとも呼ばれ、古典的な CBC— MACモードをはじめとして、 CBC— MACを改良した EMAC、 XCBC、 OMACなどが知られて、る。 CBC— MACは可変長ブロックメッセージを受け入れた場合には安全でなく、また、メッセージがブロック長の倍数でない場合の処理が定められていないという欠点が知られている。

[0005] また、 EMAC、 XCBC、 OMACなどの改良されたモードは、 CBC— MACとほぼ同等の処理量であり、任意の長さ（ビット）のメッセージについて安全である。 CBC- MACを含めたこれらのモードにっ、ては、例えば非特許文献 1に記載されて、る。

[0006] ここで、例として、 OMACのブロック図を図 1に示す。図 1に示すように、これらのモードはシンプルである力タグの生成にぉ、ておよそメッセージのブロック数だけブロック暗号を動作させる必要がある。そのため、その速度は常にブロック暗号の速度を超えることはない。

[0007] 一方、ブロック暗号だけを用いるのではなぐユニバーサルハッシュ関数と呼ばれる鍵つきの関数を組み合わせてメッセージ認証を実現する方法もよく知られて、る。これはユニバーサルハッシュ関数の提案者の名前を取って、 Carter—Wegman認証方式とも呼ばれる。実装環境に応じて最適化されたユニバーサルハッシュ関数は現在よく使われるブロック暗号よりも数倍高速に動作することが報告されてヽる。このようなユニバーサルハッシュ関数は、例えば非特許文献 2に記載されて、る。

[0008] また、小さな入出力幅のユニバーサルハッシュ関数を用いて、入力幅を任意に拡大する（出力幅はそのまま)方法力 ^、くつか知られている。その一つの方式が非特許文献 3に記載されている修正木ハッシュである。この修正木ハッシュを、 2ブロック入力、 1ブロック出力のユニバーサルハッシュ関数 Hを用、る場合で以下に説明する。入力 Xが mブロック（X= (XI、 Χ2· · ·Χπι))であるとし、 Hi (但し、 i=l、 2· · をそれぞれ独立な鍵を用いる Ηの実現とする。 Ηによる修正木ハッシュを ΜΤΗとすると、以下に示す式（1)で表される。

[0009] MT =G[H](G[H ](·· 'G[H ] (X) ···))···式（1)

H(X) S S-l 1

入力が偶数ブロック数の場合：

G[H](X)=H(X, X) ||H(X, X) ··· ||Η(Χ , X )

i i 1 2 i 3 4 II i m-1 m

入力が奇数ブロック数の場合：

G[H](X)=H(X, X) ||H(X, X)

i 1 2 i 3 4 II ··· ||Η(Χ , Χ ) || X

i i m-2 m-1 m

但し、 s=log(m) (対数の底は 2)以上の最小の整数

[0010] MTは、ブロック長の整数倍の長さの任意のメッセージを受け入れ、その出力は常

H

に 1ブロックの長さになる。

式（1)が示すように、 mブロック平文を処理するのに修正木ハッシュは高々 log (m) +1個の Hの鍵を用意すればよい。非特許文献 3では、修正木ハッシュを非特許文献 2に記載の MMHハッシュを用いて実現して、る。

[0011] Carter—Wegman認証方式では、タグ生成の速度はユニバーサルハッシュ関数の速度にほぼ一致するため、一般的に CBC— MACなどのブロック暗号のみの認証モードよりも高速である。しかし、どのような計算機環境でも実装可能で、かつ高速であるユニバーサルハッシュ関数は知られていないため、ユニバーサルハッシュ関数が高速に実装可能な環境でないと使用できないことと、二つの部品を実装するためプログラムのサイズが一般に大きくなることが問題となる。

[0012] これらの問題を解決する一つのアプローチ力ブロック暗号とその部品とを組み合わせることである。非特許文献 4において、そのような組合せによるメッセージ認証方式が提案されている。これはブロック暗号の一部の段関数を CBC— MACのように反復処理させることで、ブロック暗号の速度よりも高速なタグ生成処理を実現して、る。

[0013] しかし、この方式には非特許文献 1に記載のブロック暗号認証モードや、ュ-バーサルハッシュ関数とブロック暗号を組み合わせる方式が持つ理論的な安全性の保証力 Sないという大きな欠点がある。ここでの理論的安全性とは、認証方式の安全性が常にブロック暗号そのものの安全性に帰着できると!、う性質を指す。詳、定義などは非特許文献 1に記載されている。理論的安全性を持たない認証方式の場合、使用しているブロック暗号がどんなに強いものであろうとタグの偽造が容易にできてしまう可能性がある。

[0014] また、特許文献 1には、メッセージ認証にぉ、て、 XCBCにおける安全性を損なうことなく処理コストを削減する技術が開示されている。本技術は、デジタルデータのデータ長がブロック長の倍数である場合は、最終ブロックに鍵 K1及び別の鍵 K2のヽずれか一方の鍵と排他的論理輪をとつて暗号ィ匕を行、、デジタルデータのデータ長がブロック長の倍数でない場合は、最終ブロックの末尾に 1を付カ卩し、さらにブロック長に収まるよう 0を付カ卩したデータを上記鍵 K1及び別の鍵 K2のいずれか一方の鍵とは異なる別の鍵 K2及び鍵 K1のいずれか一方の鍵との排他的論理和をとつて暗号化を行うものである。

特許文献 1：特開 2003 - 333036号公報

非特許文献 1：岩田哲、ブロック暗号利用モードの安全性に関する調査、独立行政法人情報処理推進機構 (IPA)暗号技術関連の調査報告、 2003年

特許文献 2 : S. Halevi and H. Krawczyk, MMH: Software Message Authentication i n the Gbit/second rates, Fast Software Encryption, 4th International Workshop, FS E '97, Lecture Notes in Computer Science; Vol. 1267, Feb. 1997

非特言午文献 3 : Martin Boesgaard, Ove Scavenius, Thomas Pedersen, Thomas Christe nsen, Erik Zenner, Badger - A Fast and Provably Secure MAC, Applied Cryptograp hy and Network Security (ACNS) 2005

非特許文献 4 :J. Daemen and V. Rijmen, A New MAC Construction ALRED and a S pecific Instance ALPHA-MAC Fast Software Encryption, International Workshop, FSE 2005, Lecture Notes in Computer science; Vol. 3557, Feb. 2005

発明の開示

発明が解決しょうとする課題

[0015] し力し、 CBC— MACなどの現在知られている安全なブロック暗号の認証モードでは、すべての入力されたメッセージの各ブロック毎にブロック暗号を適用するため、ブロック暗号そのものの速度を超えた速度は達成できないという問題点があった。

[0016] また、あらゆる環境で高速に動作するユニバーサルハッシュ関数は知られていないということ、及び、ブロック暗号とユニバーサルハッシュ関数の両方を実装するためにプログラムサイズが大きくなるという理由から、ブロック暗号モードよりも高速な Carter Wegman認証は、実装できる環境が限定されるという問題があった。

[0017] 本発明は、上記のような問題点に鑑み、ブロック暗号とその一部の部品を組み合わせて、既存のブロック暗号の認証モードより高速で、理論的安全性を有し、事前処理や使用するメモリ量の点でも効率のよい、メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体を提供することを目的とする。

課題を解決するための手段

[0018] 請求項 1に記載の発明は、メッセージを入力する入力手段と、前記メッセージをパデイングしてその長さを常にブロック長の定数にしてパディング済みメッセージとして出力するパディング手段と、前記パディング済みメッセージを、ブロック暗号の部品を基に作った小さい入出力幅のハッシュ関数をメッセージ分だけ並べた処理を繰り返すことで、 1ブロックのハッシュ値を出力する修正木ハッシュ手段と、前記ハッシュ値を暗号化してタグとする調整値付暗号化手段と、前記タグと前記メッセージとを連結して出力する出力手段とを備えたメッセージ認証装置としたことを特徴とする。

[0019] 請求項 2に記載の発明は、メッセージを入力する入力手段と、前記メッセージをパデイングしてその長さを常にブロック長の定数にしてパディング済みメッセージとして出力するパディング手段と、ブロック暗号と該ブロック暗号の一部分力導出される置換処理とを、前記パディング済みメッセージを 1ブロックずつ足しながら連鎖させて 1 ブロックのハッシュ値へ圧縮する交替型連鎖手段と、前記ハッシュ値を暗号化してタグとする調整値付暗号化手段と、前記タグと前記メッセージとを連結して出力する出力手段とを備えたメッセージ認証装置としたことを特徴とする。

[0020] 請求項 3に記載の発明は、メッセージを入力する入力手段と、前記メッセージをパデイングしてその長さを常にブロック長の定数にしてパディング済みメッセージとして出力するパディング手段と、前記パディング済みメッセージを、請求項 2記載の交替型連鎖手段の一部の処理を請求項 1記載の修正木ハッシュ手段で置き換えた構造により圧縮して 1ブロック分のハッシュ値を出力する修正木連鎖ハッシュ手段と、前記ハッシュ値を暗号化してタグとする調整値付暗号化手段と、前記タグと前記メッセ一ジとを連結して出力する出力手段とを備えたメッセージ認証装置としたことを特徴とする。

[0021] 請求項 4に記載の発明は、前記修正木ハッシュ手段が、 AESの段関数の 4回以上の繰り返しを用いて構成され、前記調整値付暗号化手段が、 AESを用いて構成される請求項 1記載のメッセージ認証装置としたことを特徴とする。

[0022] 請求項 5に記載の発明は、前記交替型連鎖手段が、 AESと AESの段関数の 4回以上の繰り返しとを組み合わせて構成され、前記調整値付暗号化手段が、 AESを用いて構成される請求項 2記載のメッセージ認証装置としたことを特徴とする。

[0023] 請求項 6に記載の発明は、前記修正木連鎖ハッシュ手段が、 AESと AESの段関数の 4回以上の繰り返しとを組み合わせて構成され、前記調整値付暗号化手段が、 AE Sを用いて構成される請求項 3記載のメッセージ認証装置としたことを特徴とする。

[0024] 請求項 7に記載の発明は、ブロック暗号と、該ブロック暗号の段関数を利用した置換処理とを用いる請求項 1から 3のいずれ力 1項に記載のメッセージ認証装置としたことを特徴とする。 [0025] 請求項 8に記載の発明は、入力手段が、メッセージを入力する第 1のステップと、パデイング手段力前記入力されたメッセージをパデイングしてその長さを常にブロック長の定数にしてパディング済みメッセージとして出力する第 2のステップと、修正木ハッシュ手段が、前記出力されたパディング済みメッセージを、ブロック暗号の部品を基に作った小さい入出力幅のハッシュ関数をメッセージ分だけ並べた処理を繰り返すことで、 1ブロックのノ、ッシュ値を出力する第 3のステップと、調整値付暗号化手段が、前記出力されたハッシュ値を暗号ィ匕してタグとする第 4のステップと、出力手段が、前記暗号ィ匕されたタグと前記メッセージとを連結して出力する第 5のステップとを有するメッセージ認証方法としたことを特徴とする。

[0026] 請求項 9に記載の発明は、入力手段が、メッセージを入力する第 1のステップと、パデイング手段力前記入力されたメッセージをパデイングしてその長さを常にブロック長の定数にしてパディング済みメッセージとして出力する第 2のステップと、交替型連鎖手段が、ブロック暗号と該ブロック暗号の一部分から導出される置換処理とを、前記出力されたパディング済みメッセージを 1ブロックずつ足しながら連鎖させて 1プロックのノ、ッシュ値へ圧縮する第 3のステップと、調整値付暗号化手段が、前記ハツシュ値を暗号ィ匕してタグとする第 4のステップと、出力手段が、前記暗号化されたタグと前記メッセージとを連結して出力する第 5のステップとを有するメッセージ認証方法としたことを特徴とする。

[0027] 請求項 10に記載の発明は、入力手段が、メッセージを入力する第 1のステップと、パディング手段が、前記入力されたメッセージをパデイングしてその長さを常にブロック長の定数にしてパディング済みメッセージとして出力する第 2のステップと、修正木連鎖ハッシュ手段が、前記出力されたパディング済みメッセージを、請求項 2記載の交替型連鎖手段の一部の処理を請求項 1記載の修正木ハッシュ手段で置き換えた構造により圧縮して 1ブロック分のハッシュ値を出力する第 3のステップと、調整値付暗号化手段が、前記ハッシュ値を暗号化してタグとする第 4のステップと、出力手段力前記暗号ィ匕されたタグと前記メッセージとを連結して出力する第 5のステップとを有するメッセージ認証方法としたことを特徴とする。

[0028] 請求項 11に記載の発明は、前記修正木ハッシュ手段が、 AESの段関数の 4回以上の繰り返しを用いて構成され、前記調整値付暗号化手段が、 AESを用いて構成される請求項 8記載のメッセージ認証方法としたことを特徴とする。

[0029] 請求項 12に記載の発明は、前記交替型連鎖手段が、 AESと AESの段関数の 4回以上の繰り返しとを組み合わせて構成され、前記調整値付暗号化手段が、 AESを用いて構成される請求項 9記載のメッセージ認証方法としたことを特徴とする。

[0030] 請求項 13に記載の発明は、前記修正木連鎖ハッシュ手段が、 AESと AESの段関数の 4回以上の繰り返しとを組み合わせて構成され、前記調整値付暗号化手段が、 AESを用いて構成される請求項 10記載のメッセージ認証方法としたことを特徴とする。

[0031] 請求項 14に記載の発明は、ブロック暗号と、該ブロック暗号の段関数を利用した置換処理とを用いる請求項 8から 10のいずれか 1項に記載のメッセージ認証方法としたことを特徴とする。

[0032] 請求項 15に記載の発明は、請求項 8から 10のいずれか 1項に記載のメッセージ認証方法を、コンピュータに実行させるためのメッセージ認証プログラムとしたことを特徴とする。

[0033] 請求項 16に記載の発明は、請求項 15記載のメッセージ認証プログラムを記録した記録媒体としたことを特徴とする。

発明の効果

[0034] 本発明によれば、ブロック暗号とその一部の部品を組み合わせて、既存のブロック暗号の認証モードより高速で、理論的安全性を有し、事前処理や使用するメモリ量の点でも効率のよい、メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体を実現することができる。

発明を実施するための最良の形態

[0035] 本発明を実施するための最良の形態は、メッセージを入力する入力手段と、メッセージをパデイングしてその長さを常にブロック長の定数にしてパディング済みメッセ一ジとして出力するパディング手段と、パディング済みメッセージをブロック暗号の部品を基に作った小さい入出力幅のノ、ッシュ関数をメッセージ分だけ並べた処理を繰り返すことで、 1ブロックのハッシュ値を出力する修正木ハッシュ手段と、ハッシュ値を喑号化してタグとする調整値付暗号化手段と、タグとメッセージとを連結して出力する出力手段とを備えたメッセージ認証装置とする。

[0036] 以下に、本発明の好適な実施形態を添付図面に基づいて詳細に説明する。尚、以下に述べる実施形態は本発明の好適な具体例であるから、技術的に好ま、種々の限定が付されているが、本発明の範囲は、以下の説明において特に本発明を限定する旨の記載がない限り、これらの実施形態に限られるものではない。

[0037] (実施形態 1)

まず、本実施形態のメッセージ認証装置の構成及び各部の機能にっヽて添付図面を用いて以下に説明する。図 2は、本実施形態のメッセージ認証装置の構成を示すブロック図である。図 2に示すように、本実施形態のメッセージ認証装置 10は、入力手段 100、パディング手段 101、修正木ハッシュ手段 102、調整値付暗号化手段 103、及び、出力手段 104を備えている。なお、本実施形態のメッセージ認証装置 1 0は、コンピュータが一般的に備えている、 CPU (処理装置）、メモリ（主記憶装置）、及び、ディスク (補助記憶装置)等を用いることにより実現することが可能である。

[0038] 図 3は、一般的なコンピュータの構成を示したブロック図である。図 3に示すように、一般的なコンピュータは、キーボード、マウス等の入力装置 1、処理装置（CPU) 2、記憶装置 3、ディスプレイやプリンタ等の出力装置 4を備えている。処理装置 (CPU) 2は、制御装置 5、演算装置 6を備えており、計算などの処理を行う中心となる部分である。記憶装置 3は、主記憶装置 7 (メインメモリ）、補助記憶装置 8を備えており、データを一時的又は Z及び永久的に記憶する。

[0039] 図 2に示す本実施形態のメッセージ認証装置 10の備える各手段は、メッセージ認証に必要なプログラムをコンピュータのディスク（図 3に示す補助記憶装置 8)に格納しておき、このプログラムを CPU (図 3に示す処理装置 2)上で動作させることにより実現することができる。図 2に示す入力手段 100は、タグを付与する対象となる平文 (メッセージ)を入力する手段である。これは例えばキーボードなどの文字入力装置（図 3 に示す入力装置 1)により実現される。

[0040] パディング手段 101は、メッセージ長を常にブロックの倍数に変換する手段である。

ブロック長は用いるブロック暗号の入力幅によって決まる。もし 1ブロックが _nビットで、平文長を nで割った余りが（n— t)の場合、最初が 1で残りがすべて 0の tビットを平文に付加することで長さをブロックの倍数にする。既にブロックの倍数である平文については何も処理しない。

[0041] この方式に限らず、パデイングの仕方は、メッセージ長がブロック長の倍数でな！、、異なる長さのメッセージ同士でパデイングした結果が常に異なり、メッセージ長がプロック長の倍数であるメッセージにつヽては何もしなヽと、う条件さえ守られるならばどのようなパディング方法でもよい。パディング手段 101は、パディングされたメッセージと、パディング手段 101においてパデイングが行われたかどうか、すなわち元のメッセージ長が nの倍数だったかどうかを示すインジケータを d (1ならば nの倍数、 2ならばそうでない）として出力する。

[0042] 修正木ハッシュ手段 102は、パディング手段 101が出力するパディングされたメッセージを、ブロック暗号の部品を基に作った小さ!/、入出力幅のハッシュ関数をメッセ一ジ分だけ並べた処理を繰り返すことで 1ブロックに圧縮する手段である。 1ブロックを n ビットとし、 nビットブロック暗号を Eとする。また、 nビットの決定的置換を fとする。

[0043] 修正木ハッシュ手段 102の処理は、以下に示す式（2)から成り立つている。この処理は 2nビット入力、 nビット出力の鍵付き関数である。鍵はブロック暗号 Eの鍵である

X= (X , X )について、 D (X) =X +f (E (i) +X ) · · '式（2)

1 2 i 2 1

但し、 i= 2 n)— 1以下の非負整数、式 (2)において加算はビット毎の排他的論理和を表す。

[0044] ここで、式（2)で示される nビット関数 fの最大差分確率 DP (f)につ、て説明する。 n ビット関数 fの最大差分確率 DP (f)とは、 aは 0以外の nビット値、 bは任意の nビット値としたときの Pr (f (X) -f (X+a) =b)の最小値を指す。ただし、確率は Xを一様にランダムな nビット値としたもとで計算される。また、加算も減算も排他的論理和を表す。

[0045] 式（2)で示される nビット関数 fは、上記最大差分確率 DP (f)が十分小さい、つまり 2 — n)に十分近いことが要求される。 nビット置換の場合、最大差分確率は、理論的に 2 ー n+ 1)まで小さくできることが知られている力 nが大きい場合に最大差分確率が十分小さ、置換を作ることは現実には容易ではな、。 [0046] し力し、決定的置換のかわりに鍵つきの置換 ( 、くつかの置換の集合力ランダムな鍵がひとつの置換を指定する。）を用いることも可能である。このときは、以下に説明する平均最大差分確率 EDP (f )が小さいことが求められる。

Κρ

[0047] ηビット鍵付き関数 f (ただし Kが鍵を表す。）の平均最大差分確率 EDP (f )とは

Kp Ρ Κρ

、 aは 0以外の ηビット値、 bは任意の ηビット値としたときの Pr (f (X)— f (X+a) =b

Kp Kp

)の最小値を指す。ただし、確率は Xを一様にランダムな nビット値とし、さらに鍵をランダムとしたもとで計算される。また、加算も減算も排他的論理和を表す。

[0048] ブロック暗号を差分攻撃から守るときには、ブロック暗号の上記平均最大差分確率力 S小さ、ことが必要であるため、平均最大差分確率の小さ、鍵付き置換はブロック暗号の部品となっていることが多い。例えばブロック暗号 AESの場合については 4段の段関数が平均最大差分確率の小さい鍵付き置換となることが「S. Park, S. H. Sung, S . Lee, and J. Lim, Improving the Upper Bound on the Maximum Differential and the Maximum Linear Hull Probability for SPN Structure and AES, International Worksho p, FSE 2003, Lecture Notes in Computer Science; Vol. 2887, Feb. 2003」に記載されている。

[0049] 修正木ハッシュ手段 102は、非特許文献 3の修正木ハッシュを式 (2)に示す D_;を用いて実行することが可能である。すなわち、式（1)に従い、 mブロック入力 X= (X , X

1

• · ·Χ )について、 MT =G[D ] (G[D— 1] ( · · -G[D ] (X) · · ·) ) (但し、 s = log

2 m D(X) S S 1

(m) (対数の底は 2)以上の最小の整数）を求め、 1ブロックの MT を出力する。この

D(X)

MT を修正木ハッシュ値と呼ぶ。

D(X)

[0050] Ε (1)、Ε (2)、 · ' ·、Ε (5)は、 MT を求めるのに用いられ、ハッシュ鍵と呼ばれる。

D(X)

Kを鍵とした鍵付き置換 f を fの代わりとして用いる場合、式（2)において各 D、 D、

P Kp 1 2

• · ·の鍵 Kはそれぞれ同一である力もしくはそれぞれ異なる独立な値であるかのい

P

ずれでもよいが、ランダムに生成されている必要がある。鍵 Kはブロック暗号 Eの鍵と

P

合わせてメッセージ認証装置の秘密鍵とする力、もしくは、ノ、ッシュ鍵が E (l)、 E (2) ゝ…、 E (s)である場合に、 E (s+ 1)、 E (s + 1)…を必要なだけ連結して Kとしても

P

よい。

[0051] 各 D、 D、 · · 'では、ハッシュ鍵 Ε (1)、 Ε (2)、 · · ·を必要とするが、これはあらかじめ生成しておいてもよい。非特許文献 3においては、異なる長さのメッセージ間でのノ、ッシュ値の衝突を防ぐために、修正木ハッシュ値に長さ情報を付加することが提案されているが、長さ情報を付加しなくとも、異なる長さの入力間での衝突確率は小さいため、非特許文献 3に記載の修正木ハッシュを利用して、修正木ハッシュ手段 102 を実現する場合、長さ情報を付加しなくてよい。

[0052] また、修正木ハッシュを変形して用いることも可能である。例えば、式（1)を変形した、以下に示す式（3)を用いることができる。

MT =G[H](G[H ]('"G[H](X) ···))···式（3)

H(X) S S-l 1

入力が偶数ブロック数の場合：

G[H ] (X) =H (X , X )

1 i 1 2 II H (X , X )

i 3 4 II · · · II H (X , X )

i m-1 m

入力が奇数ブロック数の場合：

G[H ] (X) =H (X , X ) II H (X , x ) II · · · II Η (X , X ) || Η (X , 000· ·0)

1 i 1 2 i 3 4 i m-2 m-1 i m 但し、 s=log(m) (対数の底は 2)以上の最小の整数、 000· ·0は全てゼロの系列 [0053] これは非特許文献 3に記載されている、基本的な木ハッシュの構成である。ただし、この木ハッシュを用いる場合は、異なる長さのメッセージ間でのハッシュ値の衝突を防ぐため、もとのメッセージの長さ情報を最後に連結して、出力としなければならない

[0054] 調整値付暗号化手段 103は、修正木ハッシュ手段 102の出力である修正木ハツシュ値を暗号ィ匕する手段である。暗号ィ匕は、以下に示す式 (4)にしたがって行われる。 ΤΒ[Ε] (X, d)=E((L*u)+Y)'.'式（4)

d

nビッ卜の uと uを、互!ヽに異なる、 1力 0でな!/ヽ任意の定数とする。

1 2

任意の nビット値 a, bについて a*bを有限体 GF(2' (n))上の積とする。

ブロック暗号 Eについて、 L=E(0)とする（但し、 d=lもしくは 2)。

[0055] 調整値付暗号ィ匕手段 103は、修正木ハッシュ手段 102の出力を Yとすると、 TB[E ] (Y, d)を出力する。ここで dは、パディング手段 101が出力するパデイングの有無、すなわちメッセージ長が nの倍数だつたかを示すインジケータである。 dが 1ならばメッセージ長が nの倍数、 2ならばそうでないとする。 L=E(0)、もしくは L*uと L*uは

1 2 事前に計算してメモリに保持してぉ、てもよ、。 [0056] インジケータ dにより暗号化の処理内容が変わることから、 L * uと L * uのことを調

1 2 整値と呼ぶ。有限体上の積 *は、 Uと Uが定数であるため、ビットシフトと条件付の定

1 2

数との排他的論理和という、ごく簡単な演算で実行できる。例えば、 u = 2、と u =4と

1 2 した場合の計算が、「Tetsu Iwata, Kaoru Kurosawa, OMAC: One-Key CBC MAC, F ast Software Encryption, International Workshop, FSE 2003, Lecture Notes in Com puter Science; Vol. 2887, Feb. 2003」に記載されている。

[0057] 出力手段 104は、調整値付暗号ィ匕手段 103が出力したされた暗号文をタグとし、入力手段 100に入力されたメッセージと連結してコンピュータディスプレイやプリンタなどへ出力する手段である。例として、 mブロック入力でのメッセージ認証装置 10の動作例を図 4示す。図 4は、メッセージがちょうど mブロック分の長さだったとし、入力手段 100、パディング手段 101、及び、出力手段 104は省略してある。図 1おいて、 E はブロック暗号、 fはある決定的置換もしくは鍵つき置換である。鍵が Kでメッセージが Xの時の暗号化を E とすれば、ハッシュ鍵は E , E , · · · , E に相当する。

K(X) K(l) K(2) K(d)

[0058] 次に、本実施形態のメッセージ認証装置 10の動作について図 5を用いて以下に詳細に説明する。図 5は、本実施形態のメッセージ認証装置 10の動作について説明するためのフローチャートである。図 5に示すように、まず、修正木ハッシュ手段 102と調整値付暗号ィ匕手段 103が用いるハッシュ鍵と調整値をあら力じめ生成されているかを調べる（ステップ 101)。もしすでに生成されているのであればステップ 103へ進み、まだであればハッシュ鍵と調整値を生成する (ステップ 102)。

[0059] 次にメッセージを入力し (ステップ 103)、パディングを実行する（ステップ 104)。ノデイングされたメッセージに対して修正木ハッシュを実行し (ステップ 105)、修正木ハッシュの出力に対して調整値付暗号化を適用してタグとする (ステップ 106)。最後にタグとメッセージを連結し、出力する (ステップ 107)。

[0060] (実施形態 2)

まず、本実施形態のメッセージ認証装置の構成及び各部の機能にっヽて添付図面を用いて以下に説明する。図 6は、本実施形態のメッセージ認証装置の構成を示すブロック図である。図 6に示すように、本実施形態のメッセージ認証装置 20は、入力手段 200、パディング手段 201、交替型連鎖手段 202、調整値付暗号化手段 203 、及び、出力手段 204を備えている。なお、本実施形態のメッセージ認証装置 20は、コンピュータが一般的に備えている、 CPU (処理装置）、メモリ（主記憶装置）、及び、ディスク (補助記憶装置)等を用いることにより実現することが可能である。

[0061] 図 3は、一般的なコンピュータの構成を示したブロック図である。図 3に示すように、一般的なコンピュータは、キーボード、マウス等の入力装置 1、処理装置（CPU) 2、記憶装置 3、ディスプレイやプリンタ等の出力装置 4を備えている。処理装置 (CPU) 2は、制御装置 5、演算装置 6を備えており、計算などの処理を行う中心となる部分である。記憶装置 3は、主記憶装置 7 (メインメモリ）、補助記憶装置 8を備えており、データを一時的又は Z及び永久的に記憶する。

[0062] 図 6に示す本実施形態のメッセージ認証装置 20の備える各手段は、メッセージ認証に必要なプログラムをコンピュータのディスク（図 3に示す補助記憶装置 8)に格納しておき、このプログラムを CPU (図 3に示す処理装置 2)上で動作させることにより実現することができる。図 6に示す入力手段 200は、タグを付与する対象となる平文 (メッセージ)を入力する手段である。これは例えばキーボードなどの文字入力装置（図 3 に示す入力装置 1)により実現される。

[0063] パディング手段 201は、メッセージ長を常にブロックの倍数に変換する手段である。

[0064] この方式に限らず、パデイングの仕方は、メッセージ長がブロック長の倍数でな！、、異なる長さのメッセージ同士でパデイングした結果が常に異なり、メッセージ長がプロック長の倍数であるメッセージにつヽては何もしなヽと、う条件さえ守られるならばどのようなパディング方法でもよい。パディング手段 201は、パディングされたメッセージと、パディング手段 201においてパデイングが行われたかどうか、すなわち元のメッセージ長が nの倍数だったかどうかを示すインジケータを d (1ならば nの倍数、 2ならばそうでない）として出力する。

[0065] 交替型連鎖手段 202は、 nビットブロック暗号 Eと、 Eの一部分力導出される nビット置換 fとを、メッセージを一ブロックずつ足しながら連鎖させてパディング手段 201の出力を 1ブロックへ圧縮する手段である。交替型連鎖手段 202の処理は、以下に示す式（5)から成り立つている。 tをある非負の整数として、この処理は n(t+3)ビット入力、 nビット出力の鍵付き関数である。鍵はブロック暗号 Eの鍵と補助鍵 KAux , KA

1 ux , · · ·, KAuxである。 tが 0であっても、つまり補助鍵がなしでもよい。

2 t

[0066] <処理 ACBC>

ACBC(X) = (S )+X ···式（5)

t+1 t+3

X=(X, X, ···, X )について、 S =f(E(X)+X)

1 2 t+3 1 1 2

l<i<t+2について、 S=f((S ) + (KAux )+X )

i i-1 i-1 i+1

[0067] 交替型連鎖手段 202は、上記式（5)に記載の処理 ACBCを連鎖する。すなわち最初の（t+3)入力ブロックを Xとすると、 Xへ ACBCを適用し式（5)に従い ACBC(X) を求め、 ACBC(X)と次の（t+ 2)入力ブロックとを連結して、再度 ACBCへ入力する。この処理を繰り返し、最後の入力ブロックを足した時点でただちに停止し、その結果を出力する。最後の入力ブロックに対応する補助鍵は足してもよいし、足さなくてもよい。

[0068] 補助鍵はブロック暗号の鍵と独立な鍵でもよいが、後述の調整値付暗号化手段 20 3を用いた処理にしたがって生成してもよ、。実施形態 1における修正木ハッシュ手段 102の場合と同様、式（5)の ACBCで用いる最大差分確率の小さい置換であることが必要である。さらに、以下に説明する nビット関数 fの最大自己差分確率 SDP (f)が小さいことも必要となる。

[0069] nビット関数 fの最大自己差分確率 SDP (f)とは、 aは任意の nビット値としたときの Pr

(X-f(X) =a)の最小値を指す。但し、確率は、 Xを一様にランダムな nビット値としたもとで計算される。また、加算も減算も排他的論理和を表す。

[0070] また、実施形態 1における修正木ハッシュ手段 102の場合と同様に、 ACBCにおいて、 Kを鍵とする鍵付きの置換 f を fの代わりに使うことが可能である。この場合、 Kp

Κρ

は一度設定した後はずつと変更しないか、もしくは t+1個、つまり補助鍵の数 +1個

、の独立でランダムな値を用意し、メッセージブロックを処理するたびに周期的に変更させてもよい。但し、鍵付きの置換 f を用いる場合、 f の平均最大差分確率と、以下に説明する平均最大自己差分確率 ESDP (f )の両方が小さいことが必要となる。

Κρ

[0071] ηビット鍵付き関数 f (但し、 Kが鍵を表す。 )の平均最大自己差分確率 ESDP (f

Kp ρ Κρ

)とは、 aは任意の ηビット値としたときの Pr (X— f (X) =a)の最小値を指す。但し、確

Kp

率は、 Xを一様にランダムな nビット値とし、さらに鍵 Kpをランダムとしたもとで計算される。また、加算も減算も排他的論理和を表す。

[0072] ブロック暗号の段関数において、鍵を中間変数へ排他的論理和することは一般的である。このような構造の場合、段関数の平均最大自己差分確率は最小となることが容易に示せる。例えば、 AESの段関数では、何段であれ平均最大自己差分確率が最小値 2" (- 128)となる。交替型連鎖手段 202の出力を交替型連鎖ハッシュ値と呼ぶことにする。

[0073] 調整値付暗号ィ匕手段 203は、以下に示す処理 Aにした力^、、交替型連鎖ハッシュ値を暗号ィ匕する。

<処理 A>

nビットの uと uを、互いに異なる、 1か 0でない任意の定数とする。任意の nビット値

1 2

a, bについて a * bを有限体 GF (2' (n) )上の積とする。ブロック暗号 Eについて、 Lをブロック暗号の鍵と独立でランダムな nビット値とする。 Lはブロック暗号の鍵と合わせてメッセージ認証装置の鍵となる。 d力^), 1, 2のどれかをとるとし、 TTB[E, L] (Y, d )を、 d = 0なら E (L+Y)と、 d= 1なら E ( (L * u ) + Y)と、 d= 2なら E ( (L * u ) + Y)

1 2 と、する。

[0074] 調整値付暗号ィ匕手段 203は、パディング手段 201が出力するパデイングの有無のインジケータを dとして、交替型連鎖手段 202の出力を TTB[E, L]に基づき暗号ィ匕する。交替型連鎖手段 202の出力を Yとすれば、調整値付暗号化手段 202の出力は、 dが 1なら E ( (L * u ) +Y)、 dが 2なら E ( (L * u ) + Y)である。 L * uと L * uのこ

1 2 1 2 とを調整値と呼ぶ。実施形態 1における調整値付暗号ィ匕手段 103同様、 uと uの値

1 2 をそれぞれ 2と 4とした場合の計算方法は、「Tetsu Iwata, Kaoru Kurosawa, OMAC: One-Key CBC MAC、 Fast Software Encryption, International Workshop, FSE 2003, Lecture Notes in Computer Science; Vol. 2887, Feb. 2003」に記載されている。

[0075] 交替型連鎖手段 202における補助鍵が t個ある場合、 E (L + 0) , E (L+ 1) , · · · , E (L + t- 1)を補助鍵 KAux , · · · , KAuxとしてもよ!/ヽ。また、上記処理 Aにおける

1 t

dの値による場合分けの処理は、任意に入れ替えてもよい。例えば、パデイングの有無のインジケータが dで交替型連鎖手段 202の出力が Yのとき、 d= 1で E (L+Y)を、 d=2-CE(L*u + Y)を出カとし、補助鍵がt個ぁる場合、E((L*u)+0), E((L

1 2

*u)+l), ···, E((L*u)+t— 1)を補助鍵としてもよい。

2 2

[0076] 出力手段 204は、実施形態 1におけるメッセージ認証装置 10の出力手段 104と同様である。例として、ある長さのメッセージに対するメッセージ認証装置 20の動作例を図 7に示す。メッセージ長がちょうどブロック長の整数倍だったとし、入力手段 200、パディング手段 201、及び、出力手段 204は省略してある。補助鍵がない場合と 1個の場合を例として記載している。図 7において Eはブロック暗号、 fはある決定的置換もしくは鍵つき置換を示す。

[0077] 次に、本実施形態のメッセージ認証装置 20の動作について図 8を用いて以下に詳細に説明する。図 8は、本実施形態のメッセージ認証装置 20の動作について説明するためのフローチャートである。図 8に示すように、まず、交替型連鎖手段 202と調整値付暗号ィ匕手段 203が用いる補助鍵と調整値をあらかじめ生成されているかを調べる（ステップ 201)。もしすでに生成されているのであればステップ 203へ進み、まだであれば補助鍵と調整値を生成する (ステップ 202)。

[0078] 次にメッセージを入力し (ステップ 203)、パディングを実行する（ステップ 204)。ノデイングされたメッセージに対して交替型連鎖手段 202を実行し (ステップ 205)、交替型連鎖手段 202の出力交替型連鎖ハッシュ値に対して調整値付暗号化を適用してタグとする (ステップ 206)。最後にタグとメッセージを連結し、出力する (ステップ 20 7)。

[0079] (実施形態 3)

まず、本実施形態のメッセージ認証装置の構成及び各部の機能にっヽて添付図面を用いて以下に説明する。図 9は、本実施形態のメッセージ認証装置の構成を示すブロック図である。図 9に示すように、本実施形態のメッセージ認証装置 30は、入力手段 300、パディング手段 301、修正木連鎖ハッシュ手段 302、調整値付暗号ィ匕手段 303、及び、出力手段 304を備えている。なお、本実施形態のメッセージ認証装置 30は、コンピュータが一般的に備えている、 CPU (処理装置）、メモリ（主記憶装置 )、及び、ディスク (補助記憶装置)等を用いることにより実現することが可能である。

[0080] 図 3は、一般的なコンピュータの構成を示したブロック図である。図 3に示すように、一般的なコンピュータは、キーボード、マウス等の入力装置 1、処理装置（CPU) 2、記憶装置 3、ディスプレイやプリンタ等の出力装置 4を備えている。処理装置 (CPU) 2は、制御装置 5、演算装置 6を備えており、計算などの処理を行う中心となる部分である。記憶装置 3は、主記憶装置 7 (メインメモリ）、補助記憶装置 8を備えており、データを一時的又は Z及び永久的に記憶する。

[0081] 図 9に示す本実施形態のメッセージ認証装置 30の備える各手段は、メッセージ認証に必要なプログラムをコンピュータのディスク（図 3に示す補助記憶装置 8)に格納しておき、このプログラムを CPU (図 3に示す処理装置 2)上で動作させることにより実現することができる。図 9に示す入力手段 300及びパディング手段 301は、実施形態 1のメッセージ認証装置 10の各手段と同様である。調整値付暗号ィ匕手段 303は、実施形態 2のメッセージ認証装置 20の調整値付暗号ィ匕手段 203と同様である。

[0082] 修正木連鎖ハッシュ手段 302の処理は、実施形態 1の交替型連鎖手段 102における一部の処理を、実施形態 2の修正木ハッシュ手段 202で置き換えたものである。まず 1以上の整数 tを定める。 t個のハッシュ鍵 (R , R , . . . , R )を用いるものとする。

1 2 t

この場合、パディング手段 301の出力に対し、最初の 1ブロック目をブロック暗号 Eで暗号化し Yを得る。次の 2' (t+ 1)ブロック分の入力を、（R , R , . . . , R , Y )をノヽ

0 1 2 t O ッシュ鍵とした修正木ハッシュを適用する。但し、 Yは、最後の 2ブロックを 1ブロック

0

へ圧縮する処理に用いられるものとする。

[0083] この修正木ハッシュの出力をブロック暗号で暗号化し、 Yを得る。次の 2" (t+ 1)ブ

1

ロック分の入力を、今度は（R , R , . . . , R , Y )をノヽッシュ鍵とした修正木ハッシュ

1 2 t 1

で圧縮する。この処理を繰り返す。最後の修正木ハッシュの出力が修正木連鎖ハツシュ手段 302の出力となる。但し、最後の修正木ハッシュへの入力が 2' (t+ 1)ブロックより短い場合は、その出力は以下に従う。上記の処理を s回繰り返したとして、ハツシュ鍵を (R , R , . . . , R , Y )とする。

1 2 t S

[0084] 最後の修正木ハッシュへの入力が 1ブロックのみの Xである場合、（Y ) +xを出力する。 2ブロック以上の入力の場合、修正木ハッシュにおいて常に最後の 2ブロックを

1ブロックへ圧縮する処理で γを用いるものとする。つまり修正木ハッシュが式（1)の s

処理を繰り返して入力を短くしていき、 2ブロック (z , z )を得たとき、 f (z +Y ) +Zが

1 2 1 S 2 出力となる。

[0085] 修正木ハッシュをある決定的置換 fで実現する場合、 fは最大差分確率と最大自己差分確率が小さいことが求められる。また、 Kpを鍵としたもし鍵付きの置換 f で実現

Κρ する場合には、 f は平均最大差分確率と平均最大自己差分確率が小さいことが求

Kp

められる。 t個のハッシュ鍵 (R , R , . . . , R )はブロック暗号 Eの鍵と独立でもよいし

1 2 t

、実施形態 2における補助鍵と同様に E (L + 0) , E (L+ 1) , . . . , E (L + t—l)をそれぞれ R , . . . , Rとしてもよい。修正木連鎖ハッシュ手段 302の出力を修正木連鎖

1 t

ノ、ッシュ値と呼ぶことにする。

[0086] 調整値付暗号ィ匕手段 303は、実施形態 2の調整値付暗号ィ匕手段 203と同様である。出力手段 304は、実施形態 1の出力手段 104と同様である。例として、ある長さのメッセージに対するメッセージ認証装置 30の動作例を図 10に示す。メッセージ長がちようどブロック長の整数倍だったとし、入力手段 300、パディング手段 301、及び、出力手段 304は省略してある。図 10において E, f, g , . . . g は、図 4及び図 7と同様

Rl Rt

である。

[0087] 次に、本実施形態のメッセージ認証装置 30の動作について図 11を用いて以下に詳細に説明する。図 11は、本実施形態のメッセージ認証装置 30の動作について説明するためのフローチャートである。図 11に示すように、まず、修正木連鎖ハッシュ手段 302と調整値付暗号ィ匕手段 303が用いるノ、ッシュ鍵と調整値をあら力じめ生成されているかを調べる（ステップ 301)。もしすでに生成されているのであればステップ 3 01へ進み、まだであればハッシュ鍵と調整値を生成する (ステップ 302)。

[0088] 次にメッセージを入力し (ステップ 303)、パディングを実行する（ステップ 304)。ノデイングされたメッセージに対して修正木連鎖ハッシュ手段 302を実行し (ステップ 3 05)、修正木連鎖ハッシュ手段 302の出力に対して調整値付暗号ィ匕を適用してタグとする (ステップ 306)。最後にタグとメッセージを連結し、出力する (ステップ 307)。

[0089] 本発明によれば、第 1の効果は、 CBC— MACなどのブロック暗号の認証モードよりも高速処理なことである。その理由は、ブロック暗号の段関数など、一部分の処理を取り出してメッセージの処理に用いる力もである。わずかな事前処理の時間を除けば、任意のメッセージ長にお、て CBC— MACの処理量よりも少な!/、処理量で実行可能である。メッセージが 1ブロックのときは CBC— MACとほぼ同等となる力これは明らかに必要不可欠な処理である。

[0090] 例として「J. Daemen and V. Rijmen, AES Proposal: Rijndael, AES submission, 1998 .Jに記載のブロック暗号 AESと、 AESの段関数の 4回の繰り返し (4段 AES)とを用いた場合、 AESの CBC— MACよりも約 1. 3から約 2. 5倍高速となる。高速化の度合いは実施の形態によって異なり、どの実施の形態が望ましいかは使用可能な動的メモリの量や、許容される事前処理の時間などで決まる。

[0091] 本発明によれば、第 2の効果は、 CBC— MACなどのブロック暗号の認証モードとほぼ同等のプログラムサイズとなることである。その理由は、ブロック暗号とその一部分のみを用いるためである。その他に必要な演算は排他的論理和などの極めて単純な関数のみである。

[0092] 本発明によれば、第 3の効果は、本発明を既知のブロック暗号に適用したとき、 CB C MACなどのブロック暗号の認証モードと同等の理論的安全性を有するように構成できることである。その理由は、本発明で用いるブロック暗号の一部分が差分攻撃に理論的安全性を持つ、すなわち平均最大差分確率が十分小さい場合には、本発明は非特許文献 1に記載の理論的安全性の意味で安全な認証方式となるからである。

[0093] ここで、ブロック暗号の段関数の数回の繰り返しが小さい平均最大差分確率を持つことは、十分な安全性を持つブロック暗号の必須条件と言えるため、近年提案されたブロック暗号の多くがこの性質を持つように設計されて!、ることに注意された、。例えば AESでは、 4段 AESが十分小さい平均最大差分確率を持つことが「S. Park, S. H. Sung, b. Lee, and J. Lim, Improving the Upper Bound on the Maximum Differential and the Maximum Linear Hull Probability for SPN Structure and AES, International Workshop, FSE 2003, Lecture Notes in Computer Science; Vol. 2887, Feb. 2003」に記載されている。 [0094] 本発明の実施の形態によっては、使用するブロック暗号の一部分に、平均最大差分確率だけでなぐ平均最大自己差分確率と呼ばれる値が十分小さいことも要求されるが、これは弱い追加条件である。実際、 AESを含めた多くのブロック暗号で、段関数が繰り返し回数に関わらず理論的に最小の平均最大自己差分確率をとることが示せる。

[0095] 本発明は、無線もしくは有線のデータ通信における改ざんを防ぐといった用途や、ストレージ上のデータの改ざん防止といった用途に適用することができる。

図面の簡単な説明

[0096] [図 l]OMACを示したブロック図である。

[図 2]第 1の実施形態におけるメッセージ認証装置の構成を示すブロック図である。

[図 3]—般的なコンピュータの構成を示したブロック図である。

[図 4]第 1の実施形態のメッセージ認証装置における、 mブロック入力での動作例を示した図である。

[図 5]第 1の実施形態のメッセージ認証装置の動作について説明するためのフローチヤートである。

[図 6]第 2の実施形態におけるメッセージ認証装置の構成を示すブロック図である。

[図 7]第 2の実施形態のメッセージ認証装置における、ある長さのメッセージに対する動作例を示した図である。

[図 8]第 2の実施形態のメッセージ認証装置の動作について説明するためのフローチヤートである。

[図 9]第 3の実施形態におけるメッセージ認証装置の構成を示すブロック図である。

[図 10]第 3の実施形態のメッセージ認証装置における、ある長さのメッセージに対する動作例を示した図である。

[図 11]第 3の実施形態のメッセージ認証装置の動作について説明するためのフローチャートである。

符号の説明

[0097] 1 入力装置

2 処理装置（CPU) 記憶装置

出力装置

制御装置

演算装置

主記憶装置

補助記憶装置

、 20、 30 メッセージ認証装置0、 200、 300 入力手段

1、 201、 301 パディング手段2 修正木ハッシュ手段

3、 203、 303 調整値付暗号化手段、 204、 304 出力手段

2 交替型連鎖手段

2 修正木連鎖ハッシュ手段

Claims

請求の範囲

[1] メッセージを入力する入力手段と、

前記メッセージをパデイングしてその長さを常にブロック長の定数にしてパディング済みメッセージとして出力するパディング手段と、

前記パディング済みメッセージを、ブロック暗号の部品を基に作った小さ!/、入出力幅のハッシュ関数をメッセージ分だけ並べた処理を繰り返すことで、 1ブロックのハツシュ値を出力する修正木ハッシュ手段と、

前記ハッシュ値を暗号ィ匕してタグとする調整値付暗号ィ匕手段と、

前記タグと前記メッセージとを連結して出力する出力手段と、

を備えたことを特徴とするメッセージ認証装置。

[2] メッセージを入力する入力手段と、

ブロック暗号と該ブロック暗号の一部分力も導出される置換処理とを、前記パディング済みメッセージを 1ブロックずつ足しながら連鎖させて 1ブロックのハッシュ値へ圧縮する交替型連鎖手段と、

を備えたことを特徴とするメッセージ認証装置。

[3] メッセージを入力する入力手段と、

前記パディング済みメッセージを、請求項 2記載の交替型連鎖手段の一部の処理を請求項 1記載の修正木ハッシュ手段で置き換えた構造により圧縮して 1ブロック分のノ、ッシュ値を出力する修正木連鎖ハッシュ手段と、

を備えたことを特徴とするメッセージ認証装置。

[4] 前記修正木ハッシュ手段が、 AESの段関数の 4回以上の繰り返しを用いて構成され、前記調整値付暗号化手段が、 AESを用いて構成されることを特徴とする請求項

1記載のメッセージ認証装置。

[5] 前記交替型連鎖手段が、 AESと AESの段関数の 4回以上の繰り返しとを組み合わせて構成され、前記調整値付暗号化手段が、 AESを用いて構成されることを特徴とする請求項 2記載のメッセージ認証装置。

[6] 前記修正木連鎖ハッシュ手段が、 AESと AESの段関数の 4回以上の繰り返しとを組み合わせて構成され、前記調整値付暗号化手段が、 AESを用いて構成されることを特徴とする請求項 3記載のメッセージ認証装置。

[7] ブロック暗号と、該ブロック暗号の段関数を利用した置換処理とを用いることを特徴とする請求項 1から 3のいずれか 1項に記載のメッセージ認証装置。

[8] 入力手段が、メッセージを入力する第 1のステップと、

パディング手段力前記入力されたメッセージをパデイングしてその長さを常にプロック長の定数にしてパディング済みメッセージとして出力する第 2のステップと、修正木ハッシュ手段が、前記出力されたパディング済みメッセージを、ブロック暗号の部品を基に作った小さい入出力幅のハッシュ関数をメッセージ分だけ並べた処理を繰り返すことで、 1ブロックのハッシュ値を出力する第 3のステップと、

調整値付暗号ィ匕手段が、前記出力されたハッシュ値を暗号ィ匕してタグとする第 4のステップと、

出力手段が、前記暗号ィ匕されたタグと前記メッセージとを連結して出力する第 5のステツプと、

を有することを特徴とするメッセージ認証方法。

[9] 入力手段が、メッセージを入力する第 1のステップと、

パディング手段力前記入力されたメッセージをパデイングしてその長さを常にプロック長の定数にしてパディング済みメッセージとして出力する第 2のステップと、交替型連鎖手段が、ブロック暗号と該ブロック暗号の一部分力導出される置換処理とを、前記出力されたパディング済みメッセージを 1ブロックずつ足しながら連鎖させて 1ブロックのハッシュ値へ圧縮する第 3のステップと、調整値付暗号ィ匕手段が、前記ハッシュ値を暗号ィ匕してタグとする第 4のステップと、出力手段が、前記暗号ィ匕されたタグと前記メッセージとを連結して出力する第 5のステツプと、

を有することを特徴とするメッセージ認証方法。

[10] 入力手段が、メッセージを入力する第 1のステップと、

パディング手段力前記入力されたメッセージをパデイングしてその長さを常にプロック長の定数にしてパディング済みメッセージとして出力する第 2のステップと、修正木連鎖ハッシュ手段が、前記出力されたパディング済みメッセージを、請求項 2記載の交替型連鎖手段の一部の処理を請求項 1記載の修正木ハッシュ手段で置き換えた構造により圧縮して 1ブロック分のハッシュ値を出力する第 3のステップと、調整値付暗号ィ匕手段が、前記ハッシュ値を暗号ィ匕してタグとする第 4のステップと、出力手段が、前記暗号ィ匕されたタグと前記メッセージとを連結して出力する第 5のステツプと、

を有することを特徴とするメッセージ認証方法。

[11] 前記修正木ハッシュ手段が、 AESの段関数の 4回以上の繰り返しを用いて構成され、前記調整値付暗号化手段が、 AESを用いて構成されることを特徴とする請求項

8記載のメッセージ認証方法。

[12] 前記交替型連鎖手段が、 AESと AESの段関数の 4回以上の繰り返しとを組み合わせて構成され、前記調整値付暗号化手段が、 AESを用いて構成されることを特徴とする請求項 9記載のメッセージ認証方法。

[13] 前記修正木連鎖ハッシュ手段が、 AESと AESの段関数の 4回以上の繰り返しとを組み合わせて構成され、前記調整値付暗号化手段が、 AESを用いて構成されることを特徴とする請求項 10記載のメッセージ認証方法。

[14] ブロック暗号と、該ブロック暗号の段関数を利用した置換処理とを用いることを特徴とする請求項 8から 10のいずれか 1項に記載のメッセージ認証方法。

[15] 請求項 8から 10のいずれ力 1項に記載のメッセージ認証方法を、コンピュータに実行させるためのメッセージ認証プログラム。

[16] 請求項 15記載のメッセージ認証プログラムを記録した記録媒体。