WO2007083528A1 - 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム - Google Patents

Abstract

低コストかつメモリ記憶データの削減を可能としたＦｅｉｓｔｅｌ型共通鍵ブロック暗号処理構成を実現する。非線形変換部および線形変換部を有するＳＰ型のＦ関数を、複数ラウンド繰り返し実行するＦｅｉｓｔｅｌ型共通鍵ブロック暗号処理において、各ラウンドにおけるＦ関数において実行する非線形変換処理または線形変換処理の少なくともいずれかの変換処理を、前記Ｆｅｉｓｔｅｌ型共通鍵ブロック暗号アルゴリズム以外の暗号アルゴリズムまたはハッシュ関数、例えばＡＥＳやＷｈｉｒｌｐｏｏｌなどにおいて適用される変換処理と同一の変換処理として実行する構成とした。本構成により、部品の共通化による設計コストの削減やメモリ記憶データの削減が可能となる。

Description

明 細 書

暗号処理装置、および暗号処理方法、並びにコンピュータ 'プログラム 技術分野

[0001] 本発明は、暗号処理装置、および暗号処理方法、並びにコンピュータ 'プログラム に関する。さらに詳細には、 Feistel型共通鍵ブロック暗号処理を実行する暗号処理 装置、および暗号処理方法、並びにコンピュータ 'プログラムに関する。

背景技術

[0002] 昨今、ネットワーク通信、電子商取引の発展に伴い、通信におけるセキュリティ確保 が重要な問題となっている。セキュリティ確保の 1つの方法が暗号技術であり、現在、 様々な暗号ィ匕手法を用いた通信が実際に行なわれている。

[0003] 例えば ICカード等の小型の装置中に暗号処理モジュールを埋め込み、 ICカードと 、データ読み取り書き込み装置としてのリーダライタとの間でデータ送受信を行ない、 認証処理、あるいは送受信データの暗号化、復号を行なうシステムが実用化されて いる。

[0004] 暗号処理アルゴリズムには様々なものがあるが、大きく分類すると、暗号化鍵と復号 鍵を異なる鍵、例えば公開鍵と秘密鍵として設定する公開鍵暗号方式と、暗号化鍵 と復号鍵を共通の鍵として設定する共通鍵暗号方式とに分類される。

[0005] 共通鍵暗号方式にも様々なアルゴリズムがある力 その 1つに共通鍵をベースとし て複数の鍵を生成して、生成した複数の鍵を用いてブロック単位（64ビット， 128ビッ トなど）のデータ変換処理を繰り返し実行する方式がある。このような鍵生成方式とデ ータ変換処理を適用したアルゴリズムの代表的なものが共通鍵ブロック暗号方式で ある。

[0006] 代表的な共通鍵ブロック暗号のアルゴリズムとしては、共通鍵ブロック暗号のァルゴ リズム中で行なわれるデータ変換には非線形変換や線形変換が含まれる。従って、 共通鍵ブロック暗号などの暗号要素技術を設計する際に、非線形変換を行う関数や 線形変換部に利用するための行列を決定しなくてはならない。

[0007] 例えば、 ICカードにおいて暗号処理演算を実行させる場合、暗号処理アルゴリズム を実行させるハードウェアを内蔵させ、ハードウェア内のメモリにプログラム（ソフトゥェ ァ）などのデータを記録することが必要となる。

[0008] 昨今、 ICカードや携帯電話などの情報処理端末に様々なデータ処理機能を備えさ せることで、ユーザが多数のカードを保持する必要性を排除し、利便性を高めようと する動きがある。しかし、この場合、それぞれの機関の運用システムにおいて採用す る暗号アルゴリズムに対応させることが必要となる。 ICカードや携帯端末などにおい て、複数の異なる暗号アルゴリズムを実行可能な構成とするためには、各ァルゴリズ ムに対応するハードウェアを備え、かつ各アルゴリズムに対応するソフトウェアを組み 込むことが必要となり、コスト高を招くと!、う問題がある。

発明の開示

発明が解決しょうとする課題

[0009] 本発明は、上記問題点に鑑みてなされたものであり、 Feistel型共通鍵ブロック暗 号処理を実行する構成にお!、て、他の暗号アルゴリズムやハッシュ関数などにお!ヽ て適用可能なデータ変換と共通のデータ変換を実行する構成として、部品の共通化 による設計コストの削減やメモリ記憶データの削減を可能とした暗号処理装置、およ び暗号処理方法、並びにコンピュータ 'プログラムを提供することを目的とする。

[0010] さらに、具体的には、本発明は、非線形変換や線形変換を実行するために必要と なる少なくとも一部のハードウェアや、ソフトウェアを、異なるアルゴリズムである暗号 処理やハッシュ関数において共通に利用可能とすることで、ハードウェアの実装コス トを低下させ、またソフトウェア実装においても部品の共有ィ匕による、コードサイズの 縮小を可能とした暗号処理装置、および暗号処理方法、並びにコンピュータ 'プログ ラムを提供することを目的とする。

課題を解決するための手段

[0011] 本発明の第 1の側面は、

暗号処理装置であり、

非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関 数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理部 を有し、 前記暗号処理部は、

各ラウンドにおける F関数において実行する非線形変換処理または線形変換処理 の少なくとも ヽずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム 以外の暗号アルゴリズムまたはハッシュ関数において適用される変換処理と同一の 変換処理として実行する構成であることを特徴とする暗号処理装置にある。

[0012] さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理部は、各ラ ゥンドの線形変換処理に、少なくとも 2以上の異なる複数の行列を選択的に適用する 構成であり、選択適用する行列の少なくとも 1つは前記 Feistel型共通鍵ブロック暗号 アルゴリズム以外の暗号アルゴリズムまたはハッシュ関数において適用される行列で あることを特徴とする。

[0013] さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理部は、各ラ ゥンドの線形変換処理に、 2つの異なる行列 M , Mを選択的に適用する構成であり

0 1

、各行列 M ， Mの配置は、

0 1

(a)奇数ラウンドに M , Mの順に配置、

0 1

(b)偶数ラウンドの最終段から M , Mの順に配置、

0 1

上記 (a) , (b)の条件を満足するように 2つの異なる行列 M , Mを適用する構成で

0 1

あることを特徴とする。

[0014] さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理部は、各ラ ゥンドの線形変換処理に、 3つの異なる行列 M , M , Mを選択的に適用する構成

0 1 2

であり、各行列 M , M , Mの配置は、

0 1 2

(a)奇数ラウンドに M , M , Mの順に配置、

0 1 2

(b)偶数ラウンドの最終段から M , M , Mの順に配置、

0 1 2

上記 (a) , (b)の条件を満足するように 3つの異なる行列 M , M , Mを適用する構

0 1 2

成であることを特徴とする。

[0015] さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理部は、 64ビ ット Feistel型共通鍵ブロック暗号処理を実行する構成であり、各ラウンドの線形変換 処理に選択適用する行列の少なくとも 1つは AES暗号アルゴリズムにお 、て適用さ れる行列であることを特徴とする。 [0016] さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理部は、 AE

S暗号処理と、 64ビット Feistel型共通鍵ブロック暗号処理との両アルゴリズムを選択 的に実行する構成を有することを特徴とする。

[0017] さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理部は、 128 ビット Feistel型共通鍵ブロック暗号処理を実行する構成であり、各ラウンドの線形変 換処理に選択適用する行列の少なくとも 1つは Whirlpooレ、ッシュ関数において適 用される行列であることを特徴とする。

[0018] さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理部は、 Whi rlpoolハッシュ関数と、 128ビット Feistel型共通鍵ブロック暗号処理との両ァルゴリズ ムを選択的に実行する構成を有することを特徴とする。

[0019] さらに、本発明の第 2の側面は、

暗号処理方法であり、

非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関 数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理ス テツプを有し、

前記暗号処理ステップは、

各ラウンドにおける F関数において実行する非線形変換処理または線形変換処理 の少なくとも ヽずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム 以外の暗号アルゴリズムまたはハッシュ関数において適用される変換処理と同一の 変換処理として実行することを特徴とする暗号処理方法にある。

[0020] さらに、本発明の暗号処理方法の一実施態様において、前記暗号処理ステップは 、各ラウンドの線形変換処理に、少なくとも 2以上の異なる複数の行列を選択的に適 用し、選択適用する行列の少なくとも 1つは前記 Feistel型共通鍵ブロック暗号アル ゴリズム以外の暗号アルゴリズムまたはハッシュ関数において適用される行列である ことを特徴とする。

[0021] さらに、本発明の暗号処理方法の一実施態様において、前記暗号処理ステップは 、各ラウンドの線形変換処理に、 2つの異なる行列 M , Mを選択的に適用する処理

0 1

を実行するステップであり、各行列 M , Mの適用順は、 (a)奇数ラウンドに M , Mの順に適用、

0 1

(b)偶数ラウンドの最終段から M , Mの順に適用、

0 1

上記 (a) , (b)の条件を満足するように 2つの異なる行列 M , Mを適用することを

0 1

特徴とする。

[0022] さらに、本発明の暗号処理方法の一実施態様において、前記暗号処理ステップは 、各ラウンドの線形変換処理に、 3つの異なる行列 M , M , Mを選択的に適用する

0 1 2

処理を実行するステップであり、各行列 M , M , Mの適用順は、

0 1 2

(a)奇数ラウンドに M , M , Mの順に適用、

0 1 2

(b)偶数ラウンドの最終段から M , M , Mの順に適用、

0 1 2

上記 (a) , (b)の条件を満足するように 3つの異なる行列 M , M , Mを適用するこ

0 1 2

とを特徴とする。

[0023] さらに、本発明の暗号処理方法の一実施態様において、前記暗号処理ステップは 、 64ビット Feistel型共通鍵ブロック暗号処理を実行するステップであり、各ラウンドの 線形変換処理に選択適用する行列の少なくとも 1つは AES暗号アルゴリズムにおい て利用される行列を適用することを特徴とする。

[0024] さらに、本発明の暗号処理方法の一実施態様において、前記暗号処理ステップは 、 128ビット Feistel型共通鍵ブロック暗号処理を実行するステップであり、各ラウンド の線形変換処理に選択適用する行列の少なくとも 1つは Whirlpooレ、ッシュ関数に ぉ 、て適用される行列であることを特徴とする。

[0025] さらに、本発明の第 3の側面は、

暗号処理装置において暗号処理を実行させるコンピュータ 'プログラムであり、 暗号処理部にぉ 、て実行させるステップとして、非線形変換処理および線形変換 処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel 型共通鍵ブロック暗号処理を実行させる暗号処理ステップを有し、

前記暗号処理ステップは、

各ラウンドにおける F関数において実行する非線形変換処理または線形変換処理 の少なくとも 、ずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム 以外の暗号アルゴリズムまたはハッシュ関数において適用される変換処理と同一の 変換処理として実行させるステップであることを特徴とするコンピュータ 'プログラムに ある。

[0026] なお、本発明のコンピュータ 'プログラムは、例えば、様々なプログラム 'コードを実 行可能なコンピュータ ·システムに対して、コンピュータ可読な形式で提供する記憶 媒体、通信媒体、例えば、 CDや FD、 MOなどの記録媒体、あるいは、ネットワークな どの通信媒体によって提供可能なコンピュータ 'プログラムである。このようなプロダラ ムをコンピュータ可読な形式で提供することにより、コンピュータ 'システム上でプログ ラムに応じた処理が実現される。

[0027] 本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図 面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書において システムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内に あるものには限らない。

発明の効果

[0028] 本発明の構成によれば、非線形変換部および線形変換部を有する SP型の F関数 を、複数ラウンド繰り返し実行する Feistel型共通鍵ブロック暗号処理において、各ラ ゥンドにおける F関数において実行する非線形変換処理または線形変換処理の少な くとも 、ずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム以外 の暗号アルゴリズムまたはハッシュ関数、例えば AESや Whirlpoolなどにお!、て適 用される変換処理と同一の変換処理として実行する構成としたので、部品の共通化 による設計コストの削減やメモリ記憶データの削減が可能となる。すなわち、非線形 変換や線形変換を実行するために必要となる少なくとも一部のハードウェアや、ソフト ウェアを、異なるアルゴリズムである暗号処理やハッシュ関数にぉ 、て共通に利用可 能とすることで、ハードウェアの実装コストを低下させ、またソフトウェア実装において も部品の共有ィ匕によるコードサイズの縮小が可能となる。

図面の簡単な説明

[0029] [図 l]Feistel構造を持つ代表的な共通鍵ブロック暗号の構成を示す図である。

[図 2]ラウンド関数部として設定される F関数の構成について説明する図である。

[図 3] 2つの異なる線形変換行列を利用した Feistel型暗号アルゴリズムについて説 明する図である。

[図 4] 3つの異なる線形変換行列を利用した Feistel型暗号アルゴリズムについて説 明する図である。

[図 5]本発明に係る暗号処理を実行する暗号処理装置としての ICモジュールの構成 例を示す図である。

発明を実施するための最良の形態

[0030] 以下、本発明の暗号処理装置、および暗号処理方法、並びにコンピュータ 'プログ ラムの詳細について説明する。説明は、以下の項目に従って行なう。

1. SP型 F関数を持つ Feistel構造

2.線形変換層（P層）における最適拡散変換

3.様々な暗号アルゴリズムおよびハッシュ関数におけるデータ変換の態様

4. SP型 F関数を持つ Feistel型暗号におけるデータ変換処理に、他の喑号ァルゴ リズムまたはハッシュ関数に適用されるデータ変換処理構成を適用した構成

(4. 1) AES部品共有型 64ビット Feistel型暗号

(4. 2) Whirlpool部品共有型 128ビット Feistel型暗号

5.暗号処理装置の構成例

[0031] [1. SP型 F関数を持つ Feistel構造]

まず、 SP型 F関数を持つ Feistel構造について説明する。共通鍵ブロック暗号のデ ザインとして、平文データの変換方法に基本となる変換関数をある特別な順序で配 置する Feistel構造と呼ばれる構造が用いられることが多 、。 Feistel構造はラウンド 関数と呼ばれる変換関数の単純な繰り返しにより、平文を暗号文に変換する構造を 持つ。

[0032] 図 1を参照して、 Feistel構造について説明する。暗号ィ匕対象として入力される平文 の長さを 2mnビットとする。ただし、 m, nは共に整数である。初めに、 2mnビットの平 文を、 mnビットの 2つの入力データ P (Plain-Left) 101, P (Plain- Right) 102に分割

L R

し、これを入力値とする。

[0033] Feistel構造はラウンド関数とよばれる基本構造の繰り返しで表現され、各ラウンド に含まれるデータ変換関数は F関数 120と呼ばれる。図 1の構成では、 F関数 (ラウン ド関数） 120が r段繰り返された構成例を示して 、る。

[0034] 例えば第 1番目のラウンドでは、 mnビットの入力データ Xと、鍵生成部（図示せず） 力も入力される mnビットのラウンド鍵 K 103が F関数 120に入力され、 F関数 120に おけるデータ変換処理の後に mnビットのデータ Yを出力する。出力はもう片方の前 段からの入力データ (第 1段の場合は入力データ P )と排他的論理和部 104におい

し

て、排他的論理和演算がなされ、 mnビットの演算結果が次のラウンド関数へと出力さ れる。この処理、すなわち F関数を定められたラウンド数 (r)だけ繰り返し適用して暗 号化処理が完了し、暗号文の分割データ C (Cipher- Left)、 C (Cipher- Right)が出

L R

力される。以上の構成より、 Feistel構造の復号処理はラウンド鍵を挿入する順序を 逆にするだけでよぐ逆関数を構成する必要がないことが導かれる。

[0035] 各ラウンドの関数として設定される F関数 120の構成について、図 2を参照して説明 する。図 2 (a)は、 1つのラウンドにおける F関数 120に対する入力および出力を示す 図であり、図 2 (b)は、 F関数 120の構成の詳細を示す図である。 F関数 120は、図 2 ( b)に示すように、非線形変換層（S層）と線形変換層（P層）を接続した!/、わゆる SP型 の構成を有する。

[0036] 図 2に示す F関数 120は、入出力ビット長が mX n (m, n:整数)ビットの設定を持つ 関数である。 SP型 F関数内部では初めに鍵データ Kとデータ Xとの排他的論理和が 実行され、次に非線形変換層（S層）が適用され、続いて線形変換層（P層）が適用さ れる。

[0037] 具体的には非線形変換層（S層）は、 Sボックス (S-box) 121と呼ばれる nビット入 力 nビット出力の非線形変換テーブルが m個並んだものであり、 mnビットのデータは nビットずつ分割されてそれぞれ対応する Sボックス（S— box) 121に入力されデータ が変換される。各 Sボックスでは、例えば変換テーブルを適用した非線形変換処理が 実行される。

[0038] 線形変換層（P層）は線形変換部 122によって構成され、線形変換部 122は、 Sボッ タス 121からの出力データである mnビットの出力値 Zを入力し、この入力に対して線 形変換を施し mnビットの結果を出力する。線形変換部 122は、入力ビット位置の入 れ替え処理などの線形変換処理を実行して、 mnビットの出力値 Yを出力する。この 出力値 Yが前段力 の入力データと排他的論理和され、次のラウンドの F関数の入力 値とされる。

[0039] なお、以下に説明する本実施例の構成では、線形変換層（Ρ層）としての線形変換 部 122にお ヽて実行する線形変換は GF (2)上で定義される mn X mnの行列を適用 して行なわれる線形変換であると定義し、また、第 iラウンド目に含まれる行列を Mと 呼ぶものとする。

[0040] [2.線形変換層（P層）における最適拡散変換]

上述した F関数内の線形変換層（P層）としての線形変換部 122において実行され る線形変換の特殊な例として最適拡散変換（Optimal Diffusion Mappings)を 以下のように定義する。

[0041] n X aビットデータ力 n X bビットデータへの線形変換を行う写像、

Θ : {0, 1广→{0, i }^nb

に対して分岐数 B ( Θ )を次のように定義する。

B ( 0 ) =min {hw ( a ) +hw ( Θ ( ) ) }

α≠0 η η

ただし、 min {X }は、 α≠0を満たすすべての X のうちの最小値を表すものと

a≠0 a a

し、 hw (Y)はビット列 Yを nビットごとに区切って表したときに、 nビットのデータすベ てが 0ではない（非ゼロ）要素の数を返す関数とする。このとき、 B ( 0 )が b + 1である ような写像 Θを最適拡散変換と定義する。また便宜的に行列 Mの分岐数を B (M)と 表すものとする。

[0042] [3.様々な暗号アルゴリズムおよびハッシュ関数におけるデータ変換の態様] 次に、様々な暗号アルゴリズムおよびハッシュ関数におけるデータ変換の態様につ いて説明する。先に説明した非線形変換や線形変換処理は、多くの暗号ァルゴリズ ムゃ縮約関数としてのハッシュ関数などにおいて利用されるデータ変換である。

[0043] 様々な暗号アルゴリズムおよびハッシュ関数では、このようなデータ変換を行うため 、非線形変換層（S層）として、 nビット入力 nビット出力の非線形変換テーブル力もな る Sボックス（S— box)が利用され、線形変換層（P層）としては、入力ビット位置の入 れ替え処理などの線形変換処理を実行する線形変換行列が利用される。

[0044] このように、様々な暗号アルゴリズムおよびハッシュ関数におけるデータ変換は、非 線形変換や線形変換処理を行なうと ヽぅ共通性を有するため、共通鍵ブロック暗号 やハッシュ関数の一部、ストリーム暗号などでは、データ変換を行なうための同じよう な部品が使われることがある。例えば、非線形変換を実現するために 8ビット入出力 の置換表が使われるケースや、線形変換として GF (2⁸)上の 4x4や 8x8の行列が使 われることがある。以下、米国標準暗号 AES (Advanced Encryption Standard ；) )と、 ISOにおいて標準化されているハッシュ関数 Whirlpoolにおいて利用される非 線形変換と、線形変換の概要について説明する。

[0045] (l)AES暗号

米国標準暗号 AESは 128ビットブロック暗号であり、データ変換手続きの中に以下 のような非線形演算と線形演算を行う部分が存在する。

[非線形変換]

[数 1] ァ。 y₂ = s^AES (x₂)

[0046] 上記式は AESにおける非線形変換の一部を示して 、る。上記式にお!、て、 (X

)は、 AESアルゴリズムにおいて適用される非線形変換を実行する Sボックスによる k

処理関数を示しており、 1バイトデータ ）を入力として、 1バイトデータ (y )の出力に

k k

非線形変換処理を行なう関数を示している。複数の Sボックスの適用によって、入力 4 バイトデータ: X〜xを出力 4バイトデータ: y〜yに非線形変換する処理を実行する

[0047] [線形変換]

[数 2]

[0048] 上記式は AESにおける線形変換の一部を示して 、る。上記式は、入力ビット位置 の入れ替え処理などの線形変換処理を実行する線形変換行列を利用した式である 。ただし、行列の要素は有限体 GF (2⁸)の要素を表し、既約多項式は t⁸+t⁴+t³+t + 1で表されるものである。ここで用いられている行列は分岐数が 5となる最適拡散変 換である。 AES暗号アルゴリズムにおける線形変換には、上記した 4 X 4の行列が適 用される。

[0049] (2) Whirlpool

次に、 ISOにおいて標準化されているハッシュ関数 Whirlpoolにおいて利用される 非線形変換と、線形変換の概要について説明する。ハッシュ関数 Whirlpoolは 512 bitの出力を持つハッシュ関数であり、データ変換手続きの中に以下のような演算を 行う部分が存在する。

[0050] [非線形変換]

[数 3]

= S ,）

y₂-s^w(x₂)

y₄ = s^w(x₄)

5 = ) y₁ = s^w(x₁)

[0051] 上記式はハッシュ関数 Whirlpoolの非線形変換を示して 、る。上記式にぉ 、て、 S w(x )は、ノ、ッシュ関数 Whirlpoolにおいて適用される非線形変換を実行する Sボッ k

クスによる処理関数を示しており、 1バイトデータ (X

k )を入力として、 1バイトデータ (y k

)の出力に非線形変換処理を行なう関数を示して 、る。複数の sボックスの適用によ つて、入力 8バイトデータ: X〜xを出力 8バイトデータ: y〜yに非線形変換する処

0 7 0 7

理を実行する。

[0052] [線形変換]

[数 4]

[0053] 上記式はハッシュ関数 Whirlpoolの線形変換を示している。上記式は、入力ビット 位置の入れ替え処理などの線形変換処理を実行する線形変換行列を利用した式で ある。ただし、行列の要素は有限体 GF (2⁸)の要素を表し、既約多項式は t⁸+t⁴+t³ +t²+ 1で表されるものである。ここで用いられている行列は分岐数が 9となる最適拡 散変換である。ノ、ッシュ関数 Whirlpoolアルゴリズムにおける線形変換には、上記し た 8 X 8の行列が適用される。

[0054] [4. SP型 F関数を持つ Feistel型暗号におけるデータ変換処理に、他の喑号ァ ルゴリズムまたはハッシュ関数に適用されるデータ変換処理構成を適用した構成] 上述したように、 AES暗号や、ノ、ッシュ関数 Whirlpoolでも、入力値から出力値を 得るためのデータ変換処理において非線形変換、線形変換が実行され、それぞれ の変換処理に適用されるデータ、すなわち、非線形変換に適用する変換テーブル（ 置換表)や、線形変換に適用する線形変換行列は予め規定されたデータが利用され る。

[0055] 以下では、 SP型 F関数を持つ Feistel型暗号におけるデータ変換処理において実 行される非線形変換処理や変換処理において、 AES暗号や、ハッシュ関数 Whirlp oolにお 、て利用されて 、る非線形変換に適用する変換テーブル (置換表)や、線形 変換に適用する線形変換行列を適用した構成について説明する。

[0056] 本発明に係る暗号処理装置は、非線形変換処理および線形変換処理を含むデー タ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵ブロック 暗号処理を実行する暗号処理部を有し、暗号処理部において、各ラウンドにおける F 関数において実行する非線形変換処理または線形変換処理の少なくともいずれか の変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム以外の暗号アルゴリ ズムまたはハッシュ関数において適用される変換処理と同一の変換処理として実行 する構成を有する。

[0057] SP型 F関数を持つ Feistel型暗号は、先に [1. SP型 F関数を持つ Feistel構造]の 項目において説明したアルゴリズムであり、そのアルゴリズムは、 AES暗号や、ハツシ ュ関数 Whirlpoolのアルゴリズムとは異なって!/、る。 SP型 F関数を持つ Feistel型喑 号は、先に図 1、図 2を参照して説明したように、各ラウンドにおいて、 F関数を実行す る構成を有し、各ラウンドにおける F関数において Sボックスを適用した非線形変換と 、線形変換行列を適用した線形変換処理を実行する構成を持つ。

[0058] 共通鍵ブロック暗号の 1つのデザインである SP型 F関数を持つ Feistel型暗号は、 F関数の構成を変更することで、様々な入出力ビット構成に対応可能である。例えば 入出力ビットを 64ビットとした 64ビットブロック暗号、ある!/、は、入出力ビットを 128ビッ トとした 128ビットブロック暗号などである。

[0059] SP型 F関数を持つ Feistel型暗号を設計する場合、 F関数において適用する非線 形変換処理や線形変換処理構成は、処理ビット数に対応した構成とすることが必要 となる。

[0060] ここで、例えば、入出力ビットを 64ビットとした 64ビットブロック暗号を実行する SP型 F関数を持つ Feistel型暗号においては、前述した AESアルゴリズムにおいて適用さ れる非線形変換および線形変換処理構成が適用可能となる。すなわち、 AESァルゴ リズムで適用されている非線形変換用の変換テーブル (置換表)や線形変換に適用 する線形変換行列が適用可能である。

[0061] また、入出力ビットを 128ビットとした 128ビットブロック暗号を実行する SP型 F関数 を持つ Feistel型暗号にお!、ては、前述したハッシュ関数 Whirlpoolにお!/、て適用さ れる非線形変換および線形変換処理構成が適用可能となる。すなわち、ハッシュ関 数 Whirlpoolで適用されて 、る非線形変換用の変換テーブル (置換表)や線形変換 に適用する線形変換行列が適用可能となる。

[0062] SP型 F関数を持つ Feistel型暗号にぉ 、て、各ラウンドにお 、て適用する線形変 換行列を異なる行列として設定すると、例えば差分解析などの攻撃に対する耐性を 高めることができる。すなわち、暗号強度を高めることが可能となる。なお、各ラウンド において適用する線形変換行列を異なる行列として設定することで SP型 F関数を持 つ Feistel型暗号の暗号強度を高めた構成の詳細については、本発明と同一の出願 人に係る先の特許出願：特願 2005— 313842に説明されて 、る。

[0063] 従来型の Feistel型暗号では、すべての段の F関数に同じ線形変換層を用いてい るため、差分の伝播時に同時に複数の差分がキャンセルしてしまうという性質が存在 した。暗号解析手法の代表的な手法として、ある差分を持つ入力データ (平文)とそ の出力データ（暗号文)を多数解析することにより各ラウンド関数における適用鍵を解 析する差分解析 (あるいは差分解読法)が知られており、従来の DES暗号ァルゴリズ ム等の共通鍵ブロック暗号においては、 F関数の線形変換部において適用する処理 (変換行列）を、各段のラウンドにおいて等しいものに設定しているため、差分解析が 行いやすぐ結果として鍵の解析の容易性を招いている。

[0064] 各ラウンドの F関数に適用する線形変換行列を特定のシーケンスに従った異なる行 列とすることで、差分の伝播時に同時に複数の差分がキャンセルしてしまうという性質 を排除することが可能となり、差分解析などの攻撃に対する耐性を高めることができる

[0065] 各ラウンドにおいて適用する線形変換行列を異なる行列として設定する場合、例え ば暗号処理を実行する ICカードなどの情報処理装置に複数の異なる線形変換行列 データを保持することが必要となる。 Feistel型暗号にぉ 、て複数の行列を選択する 際には、いくつかの選択基準があるが、例えば各行列を決定する際に、新たに 2つや 3つの行列全てを自ら決定せずに、そのうちのひとつを AESの行列や Whirlpoolの 行列をそのまま利用することで、設計の効率化が図られる。

[0066] 具体的には、 64ビット Feistel型暗号において利用する行列の 1つとして AESに適 用されて 、る行列を利用する構成や、 128ビット Feistel型暗号にぉ 、て利用する行 列の 1つとして Whirlpoolに適用されている行列を利用する構成である。 [0067] 先に説明したように、 ICカードや携帯端末では、様々なデータ処理を 1つの装置で 実行可能とするため、様々な暗号アルゴリズムやハッシュ関数を実行可能な構成とす ることが求められている。このような要請に対して、例えば、 AESと Feistel型暗号の 2 つの異なるアルゴリズムを実行可能な構成とする場合、それぞれのアルゴリズムに適 用する非線形変換テーブルや線形変換行列を保持することが必要となる。また、 Wh irlpoolと Feistel型暗号の 2つの異なるアルゴリズムを実行可能な構成とする場合、 それぞれのアルゴリズムに適用する非線形変換テーブルや線形変換行列を保持す ることが必要となる。

[0068] このような複数のアルゴリズムに適用する変換用のデータを保持させるためには、 I Cカードなどの装置の限られたメモリ空間をこれらの複数のアルゴリズムに利用される 複数のテーブルや行列を格納するために費やされることになる。また、 Feistel型暗 号に適用するための例えば線形変換行列は、一定の暗号強度を保持するために、 任意の行列を利用することは好ましくなく暗号強度を低下させないための性質を持つ 行列であることが必要となる。

[0069] Feistel型暗号に適用するための例えば線形変換行列の制約は、例えば、前述し た本発明と同一の出願人に係る先の特許出願:特願 2005— 313842に説明されて いる。例えば適用可能な 1つの制約条件の例を以下に示す。

[0070] (制約条件 A)

F関数を持つ r段カゝらなる Feistel型共通鍵ブロック暗号処理構成における r段各々 に対応する F関数の線形変換部は下記条件を満足する行列 Mを適用する。

nX aビットデータ力 n X bビットデータへの線形変換を行う写像 0 : {0, 1广→{0, l }^nbに対して、分岐数 Β ( θ )を、

分岐数 B ( 6 ) =min {hw ( a ) +hw ( θ ( α ) ) } ,

α≠0 η η

ただし、 min {X }は、 α≠0を満たすすべての X のうちの最小値、

a≠0 a a

hw (Y)はビット列 Yを nビットごとに区切って表したときに nビットのデータすべてが 0ではな ヽ（非ゼロ）要素の数を返す関数、

とし、分岐数 Β ( Θ )が b + 1である写像 Θを最適拡散変換と定義し、

さらに、行列 Mの分岐数を B (M)と表したとき、 BD =min{B (M ) | l≤i≤r} ,

BD =min{B (M | M ) | l≤i≤r—2}，

2 i i + 2

ただし、 A I Bは行列 A, Bの連結により得られる行列、

とした場合において、

BD , BDのすべてが 3以上になるような行列 Mを適用する。

1 2 i

なお、 3以上という条件により、 Mと M が必ず異なる行列ではなくてはならない。

i i+2

[0071] 例えば、上述の (制約条件 A)が、差分攻撃などの攻撃に対する耐性を持っために 、Feistel型暗号に適用する線形変換行列の条件として適用可能である。

[0072] AESや、 Whirlpoolにお 、て利用されて ヽる例えば線形変換行列は、暗号強度を 保つ指標の 1つである分岐数が一定の条件を満たしており、これらを Feistel型暗号 に適用することで、一定の暗号強度の保持が保証される。従って、上述した複数の異 なる線形変換行列を適用する Feistel型暗号における複数の行列の一部に、 AESや 、 Whirlpoolにおいて利用されている線形変換行列を適用することで、 ICカードゃ携 帯端末などの暗号処理装置におけるメモリの有効利用が可能となり、また Feistel型 暗号の設計の効率化も図られることになる。すなわち、設計時に決定すべき行列の 数を少なくすることができ、設計者が探索すべき候補数が少なくなり絞込みのための 時間が削減される。

[0073] 以下、 SP型 F関数を持つ Feistel型暗号にぉ 、て、各ラウンドにお 、て適用する線 形変換行列を異なる行列として設定し、差分解析などの攻撃に対する耐性を高めた Feistel型暗号にお!、て、その一部の線形変換行列に AESまたは Whirpoolの行列 を適用した構成例について説明する。以下に説明する実施例では、 2つまたは 3つ の異なる線形変換行列を用いる Feistel暗号において、それら行列のうちの 1つに A ESまたは Whirlpoolの行列を採用する例を説明する。

[0074] (4. 1)AES部品共有型 64ビット Feistel型暗号

まず、 AESと部品共有した 64ビットブロック暗号の構成について説明する。前述し たように、 Feistel型暗号の各ラウンドの F関数に適用する線形変換行列を適用する ことで、差分の伝播時に同時に複数の差分がキャンセルしてしまうという性質を排除 することが可能となり、差分解析などの攻撃に対する耐性を高めることができる。以下 、非線形変換層（S層）と線形変換層（P層）を F関数に有する SP型の 64ビット Feiste 1型暗号構成にぉ 、て、 2つの異なる線形変換行列と 3つの異なる線形変換行列を適 用し、その一部を AES暗号アルゴリズムにお 、て適用されて 、る線形変換行列を利 用した構成例について説明する。

[0075] (4. 1. 1) 2つの異なる線形変換行列を適用した構成例

まず、 2つの異なる線形変換行列を利用した Feistel型暗号であり、 64ビットブロック 暗号を実行する構成例について説明する。図 3を参照して、 2つの異なる線形変換 行列を利用した Feistel型暗号アルゴリズムについて説明する。

[0076] 本アルゴリズムの構成では、複数段（ラウンド）を持つ Feistel型共通鍵ブロック暗号 処理構成における各段の F関数中の線形変換部にお!/、て適用する線形変換処理の ための行列として、 2つの異なる行列 M , Mを利用する。具体的には、図 3に示すよ

0 1

うに、

(a)奇数段に M , Mの順に配置

0 1

(b)偶数段の最終段から M , Mの順に配置

0 1

上記 (a) , (b)の条件を満足するように 2つの異なる行列 M , Mを適用する構成と

0 1

する。

[0077] 条件 (a)は、（a)奇数段に M , Mの順に配置する条件であり、図 3に示すように、ラ

0 1

ゥンド 1, 3, 5,…の順に、行列 M , Mを順に配置する。条件 (b)は、（a)偶数段の

0 1

最終段から M , Mの順に配置する条件であり、図 3に示すように、ラウンド 12, 10,

0 1

8, · · ·の順に、行列 M , Mを順に配置する。

0 1

[0078] ここで、行列 M , Mの各々は、各ラウンドにおける F関数において実行される線形

0 1

変換行列であり、 4 X 4の行列を示している。この 2つの行列 M , Mは異なる行列で

0 1

あり、その 1つの行列、例えば、行列 Mは、前述の AESアルゴリズムにおいて利用さ

0

れている 4 X 4の行列を利用する。行列 Mは、 Feistel暗号アルゴリズムの制約条件 を満足する行列とする。

[0079] 具体的な行列の組み合わせ例を以下に示す。例えば、 M , Mの 2つの行列全体

0 1

の任意の 4本の行を取り出してきても分岐数が 5であり、さらに ~ 'Μ ^_1の 2つの

0 1 行列の任意の 4本の行を取り出してきても分岐数が 5であるような条件を満たす行列 としては以下の行列の組み合わせがある。なお、 tMは Mの転置行列， M^{_ 1}は Mの逆 行列を表す。

[数 5]

[0080] 上記行列 Μ , Μのうち、行列 Μは、先に説明した AESアルゴリズムにおいて利用

0 1 0

されている 4 X 4の行列であり、行列 Μは、 Feistel暗号アルゴリズムの制約条件を満 足する行列力も選択された行列である。上記の 2つの異なる行列 M , M

0 1を適用して

Feistel暗号アルゴリズムの各ラウンドにおける F関数の線形変換を実行する。なお、 各行列の要素は有限体 GF (2⁸)の要素を表し、既約多項式は t⁸ + t⁴ + t³ + t+ 1で表 される。

[0081] (4. 1. 2) 3つの異なる線形変換行列を適用した構成例

次に、 3つの異なる線形変換行列を利用した Feistel型暗号であり、 64ビットブロッ ク暗号を実行する構成例について説明する。図 4を参照して、 3つの異なる線形変換 行列を利用した Feistel型暗号アルゴリズムについて説明する。

[0082] 本アルゴリズムの構成では、複数段（ラウンド）を持つ Feistel型共通鍵ブロック暗号 処理構成における各段の F関数中の線形変換部にお!/、て適用する線形変換処理の ための行列として、 3つの異なる行列 M , M , Mを利用する。具体的には、図 4に

0 1 2

示すように、

(a)奇数段に M , M , Mの順に配置

0 1 2

(b)偶数段の最終段から M , M , Mの順に配置

0 1 2

上記 (a) , (b)の条件を満足するように 3つの異なる行列 M , M , Mを適用する構

0 1 2

成とする。 [0083] 条件 (a)は、（a)奇数段に M , M , Mの順に配置する条件であり、図 4に示すよう

0 1 2

に、ラウンド 1, 3, 5, ···の順に、行列 M , M , Mを順に配置する。条件 (b)は、 (a

0 1 2

)偶数段の最終段から M , M , Mの順に配置する条件であり、図 4に示すように、ラ

0 1 2

ゥンド 12， 10， 8， ···の順に、行列 M , M , Mを順に配置する。

0 1 2

[0084] ここで、行列 M , M , Mの各々は、各ラウンドにおける F関数において実行される

0 1 2

線形変換行列であり、 4X4の行列を示している。この 3つの行列 M , M , Mは異な

0 1 2 る行列であり、その 1つの行列、例えば、行列 Mは、前述の AESアルゴリズムにおい

0

て利用されている 4X4の行列を利用する。行列 M， Mは、 Feistel喑号ァルゴリズ

1 2

ムの制約条件を満足する行列とする。

[0085] 具体的な行列の組み合わせ例を以下に示す。例えば、 M , M , Mの 3つの行列

0 1 2

全体の任意の 4本の行を取り出してきても分岐数が 5であり、さらに tM ^_1, *M ^_1の 2

0 1 つの行列、 *M ^_1, *M ^_1の 2つの行列、 *M ^_1, *M ^_1の 2つの行列の任意の 4本の

1 2 2 0

行を取り出してきても分岐数が 5であるような条件を満たす行列としては以下の行列 の組み合わせがある。

[数 6]

[0086] 上記行列 M , M , Mのうち、行列 Mは、先に説明した AESアルゴリズムにおいて

0 1 2 0

利用されている 4X4の行列であり、行列 M , Mは、 Feistel暗号アルゴリズムの制

1 2

約条件を満足する行列から選択された行列である。上記の 3つの異なる行列 M , M

0 1

, Mを適用して Feistel暗号アルゴリズムの各ラウンドにおける F関数の線形変換を

2

実行する。なお、各行列の要素は有限体 GF(2⁸)の要素を表し、既約多項式は t⁸+t 4+t³+t+lで表される。 [0087] (4. 2)Whirlpool部品共有型 128ビット Feistel型暗号

次に、 ISO標準化ハッシュ関数である Whirlpoolと部品共有した 128ビットブロック 暗号の構成について説明する。前述したように、 Feistel型暗号の各ラウンドの F関数 に適用する線形変換行列を適用することで、差分の伝播時に同時に複数の差分が キャンセルしてしまうという性質を排除することが可能となり、差分解析などの攻撃に 対する耐性を高めることができる。以下、非線形変換層（S層）と線形変換層（P層）を F関数に有する SP型の 128ビット Feistel型暗号構成において、 2つの異なる線形変 換行列と 3つの異なる線形変換行列を適用し、その一部を Whirlpool暗号ァルゴリズ ムにお 、て適用されて 、る線形変換行列を利用した構成例につ 、て説明する。

[0088] (4. 2. 1) 2つの異なる線形変換行列を適用した構成例

まず、 2つの異なる線形変換行列を利用した Feistel型暗号であり、 128ビットブロッ ク暗号を実行する構成例について説明する。 2つの異なる線形変換行列を利用した Feistel型暗号は、先に図 3を参照して説明したように、複数段 (ラウンド)を持つ Feis tel型共通鍵ブロック暗号処理構成における各段の F関数中の線形変換部において 適用する線形変換処理のための行列として 2つの異なる線形変換行列 M , Mを利

0 1 用する構成である。具体的には、図 3に示すように、

(a)奇数段に M , Mの順に配置

0 1

(b)偶数段の最終段から M , Mの順に配置

0 1

上記 (a) , (b)の条件を満足するように 2つの異なる行列 M , Mを適用する構成と

0 1

する。

[0089] 条件 (a)は、（a)奇数段に M , Mの順に配置する条件であり、図 3に示すように、ラ

0 1

ゥンド 1, 3, 5,…の順に、行列 M , Mを順に配置する。条件 (b)は、（a)偶数段の

0 1

最終段から M , Mの順に配置する条件であり、図 3に示すように、ラウンド 12, 10,

0 1

8, · · ·の順に、行列 M , Mを順に配置する。

0 1

[0090] ここで、行列 M , Mの各々は、各ラウンドにおける F関数において実行される線形

0 1

変換行列であり、 8 X 8の行列を示している。この 2つの行列 M， Mは異なる行列で

0 1

あり、その 1つの行列、例えば、行列 Mは、前述の Whirlpoolアルゴリズムにおいて

0

利用されている 8 X 8の行列を利用する。行列 Mは、 Feistel暗号アルゴリズムの制 約条件を満足する行列とする。

[0091] 具体的な行列の組み合わせ例を以下に示す。例えば、 M , Mの 2つの行列全体

0 1

の任意の 8本の行を取り出してきても分岐数が 8以上であり、さらに ~ ^_1の 2

0 1 つの行列の任意の 8本の行を取り出してきても分岐数が 8以上であるような条件を満 たす行列としては以下の行列の組み合わせがある。

[数 7]

[0092] 上記行列 Μ , Μのうち、行列 Μは、先に説明した Whirlpoolアルゴリズムにおい

0 1 0

て利用されている 8 X 8の行列であり、行列 Mは、 Feistel暗号アルゴリズムの制約条 件を満足する行列から選択された行列である。上記の 2つの異なる行列 M , M

0 1を適 用して Feistel暗号アルゴリズムの各ラウンドにおける F関数の線形変換を実行する。 なお、各行列の要素は有限体 GF (2⁸)の要素を表し、既約多項式は t⁸ + t⁴ + t³ + t² + 1で表される。

[0093] (4. 2. 2) 3つの異なる線形変換行列を適用した構成例

次に、 3つの異なる線形変換行列を利用した Feistel型暗号であり、 128ビットブロッ ク暗号を実行する構成例について説明する。 3つの異なる線形変換行列を利用した Feistel型暗号は、先に図 4を参照して説明したように、複数段 (ラウンド)を持つ Feis tel型共通鍵ブロック暗号処理構成における各段の F関数中の線形変換部において 適用する線形変換処理のための行列として、 3つの異なる行列 M , M , Mを利用

0 1 2 する。具体的には、図 4に示すように、 (a)奇数段に M , M , Mの順に配置

0 1 2

(b)偶数段の最終段から M , M , Mの順に配置

0 1 2

上記 (a), (b)の条件を満足するように 3つの異なる行列 M , M , Mを適用する構

0 1 2

成とする。

[0094] 条件（a)は、（a)奇数段に M , M , Mの順に配置する条件であり、図 4に示すよう

0 1 2

に、ラウンド 1, 3, 5, ···の順に、行列 M , M , Mを順に配置する。条件 (b)は、 (a

0 1 2

)偶数段の最終段から M , M , Mの順に配置する条件であり、図 4に示すように、ラ

0 1 2

ゥンド 12， 10， 8， ···の順に、行列 M , M , Mを順に配置する。

0 1 2

[0095] ここで、行列 M , M , Mの各々は、各ラウンドにおける F関数において実行される

0 1 2

線形変換行列であり、 8X8の行列を示している。この 3つの行列 M , M , Mは異な

0 1 2 る行列であり、その 1つの行列、例えば、行列 Mは、前述の Whirlpoolアルゴリズム

0

において利用されている 8X8の行列を利用する。行列 M， Mは、 Feistel暗号アル

1 2

ゴリズムの制約条件を満足する行列とする。

[0096] 具体的な行列の組み合わせ例を以下に示す。例えば、 M , M , Mの 3つの行列

0 1 2

全体の任意の 8本の行を取り出してきても分岐数が 8以上であり、さらに tM ^_1, *M "

0 1

¹の 2つの行列、 ~ 'Μ ^_1の 2つの行列、 ~ 'Μ ^_1の 2つの行列の任意の 8

1 2 2 0

本の行を取り出してきても分岐数が 8以上であるような条件を満たす行列としては以 下の行列の組み合わせがある。

[数 8]

1 9 2 5 8 1 4 1 6 8 9 6 9 5 1

1 1 9 2 5 8 1 4 1 1 6 8 9 6 9 5

4 1 1 9 2 5 8 1 5 1 1 6 8 9 6 9

1 4 1 1 9 2 5 8 9 5 1 1 6 8 9 6

M，

8 1 4 1 1 9 2 5 6 9 5 1 1 6 8 9

5 8 1 4 1 1 9 2 9 6 9 5 1 1 6 8

2 5 8 1 4 1 1 9 8 9 6 9 5 1 1 6

9 2 5 8 1 4 1 1ノ 6 8 9 6 9 5 1 1

M，

[0097] 上記行列 M , M , Mのうち、行列 Mは、先に説明した Whirlpoolアルゴリズムに

0 1 2 0

おいて利用されている 8 X 8の行列であり、行列 M ， Mは、 Feistel暗号アルゴリズム

1 2

の制約条件を満足する行列から選択された行列である。上記の 3つの異なる行列 M

0

, M , Mを適用して Feistel暗号アルゴリズムの各ラウンドにおける F関数の線形変

1 2

換を実行する。なお、各行列の要素は有限体 GF (2⁸)の要素を表し、既約多項式は t

⁸+t⁴+t³+t²+ 1で表される。

[0098] なお、上述した処理例では、 Feistel型共通鍵ブロック暗号処理を実行する構成に ぉ 、て、各ラウンドの F関数中の線形変換処理に適用する線形変換行列の AESまた は Whirlpoolとの共通化構成を説明した力 非線形変換に適用する変換テーブルに っ 、ても、例えば 64ビット Feistel型共通鍵ブロック暗号処理における非線形変換処 理にお 、ては、 AESアルゴリズムにお 、て適用する非線形変換テーブルを利用する ことが可能であり、例えば 128ビット Feistel型共通鍵ブロック暗号処理における非線 形変換処理にぉ ヽては、 Whirlpoolアルゴリズムにお 、て適用する非線形変換テー ブルを利用することが可能である。

[0099] すなわち、本発明の暗号処理装置は、非線形変換処理および線形変換処理を含 むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵 ブロック暗号処理を実行する暗号処理部を有し、暗号処理部において、各ラウンドに おける F関数にぉ ヽて実行する非線形変換処理または線形変換処理の少なくとも!/ヽ ずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム以外の暗号ァ ルゴリズムまたはハッシュ関数において適用される変換処理と同一の変換処理として 実行する構成を有する。この構成により、部品の共通化による設計コストの削減ゃメ モリ記憶データの削減が可能となる。すなわち、非線形変換や線形変換を実行する ために必要となる少なくとも一部のハードウェアや、ソフトウェアを、異なるァルゴリズ ムである暗号処理やハッシュ関数において共通に利用可能とすることで、ハードゥエ ァの実装コストを低下させ、またソフトウェア実装においても部品の共有ィ匕によるコー ドサイズの縮小が可能となる。

[0100] [5.暗号処理装置の構成例]

最後に、暗号処理を実行する暗号処理装置としての ICモジュール 300の構成例を 図 5に示す。上述の処理は、例えば PC、 ICカード、リーダライタ、その他、様々な情 報処理装置において実行可能であり、図 5に示す ICモジュール 300は、これら様々 な機器に構成することが可能である。

[0101] 図 5に示す CPU(Central processing Unit)301は、暗号処理の開始や、終了、デー タの送受信の制御、各構成部間のデータ転送制御、その他の各種プログラムを実行 するプロセッサである。メモリ 302は、 CPU301が実行するプログラム、あるいは演算 パラメータなどの固定データを格納する ROM (Read-Only-Memory)、 CPU301の 処理にお 、て実行されるプログラム、およびプログラム処理にぉ 、て適宜変化するパ ラメータの格納エリア、ワーク領域として使用される RAM (Random Access Memory) 等力もなる。また、メモリ 302は暗号処理に必要な鍵データや、暗号処理において適 用する変換テーブル (置換表)や変換行列に適用するデータ等の格納領域として使 用可能である。なおデータ格納領域は、耐タンパ構造を持つメモリとして構成される ことが好ましい。

[0102] 暗号処理部 303は、例えば上述した Feistel型共通鍵ブロック暗号処理アルゴリズ ムに従った暗号処理、復号処理、さらに、 AESアルゴリズムや、 Whirlpoolなどの喑 号処理やハッシュ関数等を実行する。なお、ここでは、暗号処理手段を個別モジユー ルとした例を示した力 このような独立した暗号処理モジュールを設けず、例えば暗 号処理プログラムを ROMに格納し、 CPU301が ROM格納プログラムを読み出して 実行するように構成してもよ 、。

[0103] 乱数発生器 304は、暗号処理に必要となる鍵の生成などにおいて必要となる乱数 の発生処理を実行する。

[0104] 送受信部 305は、外部とのデータ通信を実行するデータ通信処理部であり、例え ばリーダライタ等、 ICモジュールとのデータ通信を実行し、 ICモジュール内で生成し た暗号文の出力、あるいは外部のリーダライタ等の機器力ものデータ入力などを実行 する。

[0105] この ICモジュール 300にお!/、て、例えば AESアルゴリズムと、複数の異なる行列（ 線形変換行列）を適用した Feistel型共通鍵ブロック暗号処理アルゴリズムの 2つの 異なるアルゴリズムを実行可能な構成とする場合、 Feistel型共通鍵ブロック暗号処 理アルゴリズムの適用行列の一部を AESアルゴリズムの適用行列と共通化すること で、メモリ 302に記録すべき変換行列用データを削減することができる。

[0106] また、同様に、ノ、ッシュ関数 Whirlpoolと、複数の異なる行列 (線形変換行列）を適 用した Feistel型共通鍵ブロック暗号処理アルゴリズムの 2つの異なるアルゴリズムを 実行可能な構成とする場合、 Feistel型共通鍵ブロック暗号処理アルゴリズムの適用 行列の一部をハッシュ関数 Whirlpoolの適用行列と共通化することで、メモリ 302に 記録すべき変換行列用データを削減することができる。

[0107] 以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、 本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ること は自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的 に解釈されるべきではない。本発明の要旨を判断するためには、特許請求の範囲の 欄を参酌すべきである。

[0108] なお、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、 あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理 を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに 組み込まれたコンピュータ内のメモリにインストールして実行させる力、あるいは、各 種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させること が可能である。

[0109] 例えば、プログラムは記録媒体としてのハードディスクや ROM (Read Only Memory )に予め記録しておくことができる。あるいは、プログラムはフレキシブルディスク、 CD -ROM(Compact Disc Read Only Memory), MO(Magneto optical)ディスク， DVD( Digital Versatile Disc),磁気ディスク、半導体メモリなどのリムーバブル記録媒体に、 一時的あるいは永続的に格納 (記録)しておくことができる。このようなリムーバブル記 録媒体は、 V、わゆるパッケージソフトウェアとして提供することができる。

[0110] なお、プログラムは、上述したようなリムーバブル記録媒体力 コンピュータにインス トールする他、ダウンロードサイトから、コンピュータに無線転送したり、 LAN(Local A rea Network),インターネットといったネットワークを介して、コンピュータに有線で転 送し、コンピュータでは、そのようにして転送されてくるプログラムを受信し、内蔵する ハードディスク等の記録媒体にインストールすることができる。

[0111] なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみ ならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個 別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的 集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

産業上の利用可能性

[0112] 上述したように、本発明の構成によれば、非線形変換部および線形変換部を有す る SP型の F関数を、複数ラウンド繰り返し実行する Feistel型共通鍵ブロック暗号処 理において、各ラウンドにおける F関数において実行する非線形変換処理または線 形変換処理の少なくとも!/、ずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号 アルゴリズム以外の暗号アルゴリズムまたはハッシュ関数、例えば AESや Whirlpool などにおいて適用される変換処理と同一の変換処理として実行する構成としたので、 部品の共通化による設計コストの削減やメモリ記憶データの削減が可能となる。すな わち、非線形変換や線形変換を実行するために必要となる少なくとも一部のハードウ エアや、ソフトウェアを、異なるアルゴリズムである暗号処理やハッシュ関数において 共通に利用可能とすることで、ハードウェアの実装コストを低下させ、またソフトウェア 実装においても部品の共有ィ匕によるコードサイズの縮小が可能となる。

Claims

請求の範囲

[1] 暗号処理装置であり、

非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関 数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理部 を有し、

前記暗号処理部は、

各ラウンドにおける F関数において実行する非線形変換処理または線形変換処理 の少なくとも 、ずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム 以外の暗号アルゴリズムまたはハッシュ関数において適用される変換処理と同一の 変換処理として実行する構成であることを特徴とする暗号処理装置。

[2] 前記暗号処理部は、

各ラウンドの線形変換処理に、少なくとも 2以上の異なる複数の行列を選択的に適 用する構成であり、選択適用する行列の少なくとも 1つは前記 Feistel型共通鍵プロ ック暗号アルゴリズム以外の暗号アルゴリズムまたはハッシュ関数において適用され る行列であることを特徴とする請求項 1に記載の暗号処理装置。

[3] 前記暗号処理部は、

各ラウンドの線形変換処理に、 2つの異なる行列 M , Mを選択的に適用する構成

0 1

であり、各行列 M， Mの配置は、

0 1

(a)奇数ラウンドに M , Mの順に配置、

0 1

(b)偶数ラウンドの最終段から M , Mの順に配置、

0 1

上記 (a) , (b)の条件を満足するように 2つの異なる行列 M , Mを適用する構成で

0 1

あることを特徴とする請求項 2に記載の暗号処理装置。

[4] 前記暗号処理部は、

各ラウンドの線形変換処理に、 3つの異なる行列 M , M , Mを選択的に適用する

0 1 2

構成であり、各行列 M , M , Mの配置は、

0 1 2

(a)奇数ラウンドに M , M , Mの順に配置、

0 1 2

(b)偶数ラウンドの最終段から M , M , Mの順に配置、

0 1 2

上記 (a) , (b)の条件を満足するように 3つの異なる行列 M , M , Mを適用する構 成であることを特徴とする請求項 2に記載の暗号処理装置。

[5] 前記暗号処理部は、

64ビット Feistel型共通鍵ブロック暗号処理を実行する構成であり、

各ラウンドの線形変換処理に選択適用する行列の少なくとも 1つは AES暗号アル ゴリズムにおいて適用される行列であることを特徴とする請求項 1〜4いずれかに記 載の暗号処理装置。

[6] 前記暗号処理部は、

AES暗号処理と、 64ビット Feistel型共通鍵ブロック暗号処理との両アルゴリズムを 選択的に実行する構成を有することを特徴とする請求項 5に記載の暗号処理装置。

[7] 前記暗号処理部は、

128ビット Feistel型共通鍵ブロック暗号処理を実行する構成であり、

各ラウンドの線形変換処理に選択適用する行列の少なくとも 1つは Whirlpooレ、ッ シュ関数において適用される行列であることを特徴とする請求項 1〜4いずれかに記 載の暗号処理装置。

[8] 前記暗号処理部は、

Whirlpoolハッシュ関数と、 128ビット Feistel型共通鍵ブロック暗号処理との両ァ ルゴリズムを選択的に実行する構成を有することを特徴とする請求項 7に記載の暗号 処理装置。

[9] 暗号処理方法であり、

非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関 数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理ス テツプを有し、

前記暗号処理ステップは、

各ラウンドにおける F関数において実行する非線形変換処理または線形変換処理 の少なくとも 、ずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム 以外の暗号アルゴリズムまたはハッシュ関数において適用される変換処理と同一の 変換処理として実行することを特徴とする暗号処理方法。

[10] 前記暗号処理ステップは、 各ラウンドの線形変換処理に、少なくとも 2以上の異なる複数の行列を選択的に適 用し、選択適用する行列の少なくとも 1つは前記 Feistel型共通鍵ブロック暗号アル ゴリズム以外の暗号アルゴリズムまたはハッシュ関数において適用される行列である ことを特徴とする請求項 9に記載の暗号処理方法。

[11] 前記暗号処理ステップは、

各ラウンドの線形変換処理に、 2つの異なる行列 M , Mを選択的に適用する処理

0 1

を実行するステップであり、各行列 M , Mの適用順は、

0 1

(a)奇数ラウンドに M , Mの順に適用、

0 1

(b)偶数ラウンドの最終段から M , Mの順に適用、

0 1

上記 (a) , (b)の条件を満足するように 2つの異なる行列 M , Mを適用することを

0 1

特徴とする請求項 10に記載の暗号処理方法。

[12] 前記暗号処理ステップは、

各ラウンドの線形変換処理に、 3つの異なる行列 M , M , Mを選択的に適用する

0 1 2

処理を実行するステップであり、各行列 M , M , Mの

0 1 2 適用順は、

(a)奇数ラウンドに M , M , Mの順に適用、

0 1 2

(b)偶数ラウンドの最終段から M , M , Mの順に適用、

0 1 2

上記 (a) , (b)の条件を満足するように 3つの異なる行列 M , M , Mを適用するこ

0 1 2

とを特徴とする請求項 10に記載の暗号処理方法。

[13] 前記暗号処理ステップは、

64ビット Feistel型共通鍵ブロック暗号処理を実行するステップであり、 各ラウンドの線形変換処理に選択適用する行列の少なくとも 1つは AES暗号アル ゴリズムにおいて利用される行列を適用することを特徴とする請求項 9〜 12いずれか に記載の暗号処理方法。

[14] 前記暗号処理ステップは、

128ビット Feistel型共通鍵ブロック暗号処理を実行するステップであり、 各ラウンドの線形変換処理に選択適用する行列の少なくとも 1つは Whirlpooレ、ッ シュ関数において適用される行列であることを特徴とする請求項 9〜 12いずれかに 記載の暗号処理方法。 暗号処理装置において暗号処理を実行させるコンピュータ 'プログラムであり、 暗号処理部にぉ 、て実行させるステップとして、非線形変換処理および線形変換 処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel 型共通鍵ブロック暗号処理を実行させる暗号処理ステップを有し、

前記暗号処理ステップは、

各ラウンドにおける F関数において実行する非線形変換処理または線形変換処理 の少なくとも 、ずれかの変換処理を、前記 Feistel型共通鍵ブロック暗号アルゴリズム 以外の暗号アルゴリズムまたはハッシュ関数において適用される変換処理と同一の 変換処理として実行させるステップであることを特徴とするコンピュータ ·プログラム。