WO2007086243A1

WO2007086243A1 - 暗号処理装置、暗号処理装置製造装置、および方法、並びにコンピュータ・プログラム

Info

Publication number: WO2007086243A1
Application number: PCT/JP2007/050010
Authority: WO
Inventors: Kyoji Shibutani; Taizo Shirai
Original assignee: Sony Corporation
Priority date: 2006-01-24
Filing date: 2007-01-04
Publication date: 2007-08-02
Also published as: EP1978496A4; US20090010425A1; CN101375323A; CN101375323B; EP1978496A1; JP2007199156A

Abstract

インボリューション性、安全性を維持し、ラウンド数の変更を容易に行なうことができるＦｅｉｓｔｅｌ型共通鍵ブロック暗号処理構成を実現する。非線形変換部および線形変換部を有するＳＰ型Ｆ関数を持つＦｅｉｓｔｅｌ型暗号処理構成において、インボリーション性および、予め設定されたＦ関数配列条件であるＯＤＭ－ＭＲまたはＳＤＭ－ＭＲを満足する行列配列を持つｎラウンドの基本ユニットを構成し、このユニットに対してＦ関数の配列条件を満足するＦ関数を選択して追加、あるいは基本ユニットを複数接続することでインボリーション性および、ＯＤＭ－ＭＲ、またはＳＤＭ－ＭＲを満足する配列を持つラウンド数を増加させたＦｅｉｓｔｅｌ暗号構成を構築する。

Description

明細書

暗号処理装置、暗号処理装置製造装置、および方法、並びにコンビユータ ·プログラム技術分野

[0001] 本発明は、暗号処理装置、暗号処理装置製造装置、および方法、並びにコンビュータ 'プログラムに関する。さらに詳細には、 Feistel型共通鍵ブロック暗号処理を実行する暗号処理装置、暗号処理装置製造装置、および方法、並びにコンピュータ- プログラムに関する。背景技術

[0002] 昨今、ネットワーク通信、電子商取引の発展に伴い、通信におけるセキュリティ確保が重要な問題となっている。セキュリティ確保の 1つの方法が暗号技術であり、現在、様々な暗号ィ匕手法を用いた通信が実際に行なわれている。

[0003] 例えば ICカード等の小型の装置中に暗号処理モジュールを埋め込み、 ICカードと、データ読み取り書き込み装置としてのリーダライタとの間でデータ送受信を行ない、認証処理、あるいは送受信データの暗号化、復号を行なうシステムが実用化されている。

[0004] 暗号処理アルゴリズムには様々なものがあるが、大きく分類すると、暗号化鍵と復号鍵を異なる鍵、例えば公開鍵と秘密鍵として設定する公開鍵暗号方式と、暗号化鍵と復号鍵を共通の鍵として設定する共通鍵暗号方式とに分類される。

[0005] 共通鍵暗号方式にも様々なアルゴリズムがある力その 1つに共通鍵をベースとして複数の鍵を生成して、生成した複数の鍵を用いてブロック単位（64ビット， 128ビットなど）のデータ変換処理を繰り返し実行する方式がある。このような鍵生成方式とデータ変換処理を適用したアルゴリズムの代表的なものが共通鍵ブロック暗号方式である。

[0006] 共通鍵ブロック暗号方式の 1つのデザインとして、暗号化処理対象として入力される平文データに対して、基本となる変換関数を繰り返し実行させる Feistel構造と呼ばれる構造が用いられることが多、。 Feistel構造はラウンド関数と呼ばれる基本となる処理単位の繰り返しで構成される。ラウンド関数の繰り返し数、すなわちラウンド数 (または段数)をいくつにするかは、特に固定的なものではなぐ設計時に決定される。

[0007] ラウンド数を多く設定すれば、処理時間が長くなるが、様々な攻撃、すなわち差分解析などの暗号解析に対する強度を高め、安全性を強固にすることが可能となる。従って、処理時間優先とする場合と、安全性優先とする場合など、利用目的に応じたラウンド数の設定を行うことが好まし、。

発明の開示

発明が解決しょうとする課題

[0008] 本発明は、共通鍵ブロック暗号方式の 1つのデザインである Feistel構造を持つ Fei stel型共通鍵ブロック暗号処理を実行する構成にぉヽて、ラウンド数の変更を容易に行なうことを可能とし、また、差分攻撃などの攻撃に対する耐性の高い構成を維持したまま、様々なラウンド数の設定での暗号処理を可能とする暗号処理装置、暗号処理装置製造装置、および方法、並びにコンピュータ 'プログラムを提供することを目的とする。

課題を解決するための手段

[0009] 本発明の第 1の側面は、

暗号処理装置であり、

非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理部であり、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことを可能としたインポリューション性を備え、かつ、複数の異なる F関数を予め設定された F関数配列条件を満足する配列とした暗号処理基本ユニットを有する暗号処理部と、

前記暗号処理部に構成された暗号処理基本ユニットの利用回数設定情報に基づいて、前記暗号処理基本ユニットを 1回または複数回繰り返し利用する暗号処理演算の実行制御を行う制御部と、

を有することを特徴とする暗号処理装置にある。

[0010] さらに、本発明の暗号処理装置の一実施態様において、前記 F関数配列条件は、前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 3つの異なる線形変換行列 M , M , Mを適用した 3種類の F関数 F , F

0 1 2 0 1

, Fを含む構成である場合において、奇数ラウンドを先頭力も順次選択した場合、 3

2

連続部分に 3種類の F関数 F , F , Fを含み、偶数ラウンドを最終ラウンドから選択し

0 1 2

た場合、 3連続部分に 3種類の F関数 F , F , Fを含むという配列条件であることを特

0 1 2

徴とする。

[0011] さらに、本発明の暗号処理装置の一実施態様において、前記 F関数配列条件は、前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 2つの異なる線形変換行列 M , Mを適用した 2種類の F関数 F , Fを含

0 1 0 1 む構成である場合において、奇数ラウンドを先頭ラウンドから順次選択した場合、 2連続部分に 2種類の F関数 F , Fを含み、偶数ラウンドを最終ラウンドから選択した場

0 1

合、 2連続部分に 2種類の F関数 F , Fを含むという配列条件であることを特徴とする

0 1

[0012] さらに、本発明の第 2の側面は、

暗号処理装置製造装置であり、

非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理部であり、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことを可能としたインポリューション性を備え、かつ、複数の異なる F関数を予め設定された F関数配列条件を満足する配列とした暗号処理基本ユニットを生成する暗号処理基本ユニット生成部と、

前記暗号処理基本ユニットを適用し、暗号処理装置に設定する暗号処理部のラウンド数に基づ!ヽて、前記 F関数配列条件を満足する F関数を選択し追加する処理を実行するラウンド数変更部と、

を有することを特徴とする暗号処理装置製造装置にある。

[0013] さらに、本発明の暗号処理装置製造装置の一実施態様において、前記 F関数配列条件は、前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 3つの異なる線形変換行列 M , M , Mを適用した 3種類の F 関数 F , F , Fを含む構成である場合において、奇数ラウンドを先頭力も順次選択し

0 1 2

た場合、 3連続部分に 3種類の F関数 F , F , Fを含み、偶数ラウンドを最終ラウンド

0 1 2

から選択した場合、 3連続部分に 3種類の F関数 F , F , Fを含むという配列条件で

0 1 2

あることを特徴とする。

[0014] さらに、本発明の暗号処理装置製造装置の一実施態様において、前記 F関数配列条件は、前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 2つの異なる線形変換行列 M , Mを適用した 2種類の F関数 F

0 1

, Fを含む構成である場合において、奇数ラウンドを先頭ラウンドから順次選択した

0 1

場合、 2連続部分に 2種類の F関数 F , Fを含み、偶数ラウンドを最終ラウンドから選

0 1

択した場合、 2連続部分に 2種類の F関数 F , Fを含むという配列条件であることを

0 1

特徴とする。

[0015] さらに、本発明の暗号処理装置製造装置の一実施態様において、前記ラウンド数変更部は、前記暗号処理基本ユニットを構成する先頭ラウンドの前、および最終ラウンドの後に、順次 1つずつ、前記 F関数配列条件を満足する F関数を選択し追加する処理を実行する構成であることを特徴とする。

[0016] さらに、本発明の暗号処理装置製造装置の一実施態様において、前記ラウンド数変更部は、前記暗号処理基本ユニットを複数ユニット接続して、 F関数追加処理を実行する構成であることを特徴とする。

[0017] さらに、本発明の第 3の側面は、

暗号処理方法であり、

非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理ステツプであり、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことを可能としたインポリューション性を備え、かつ、複数の異なる F関数を予め設定された F関数配列条件を満足する配列とした暗号処理基本ュニットを利用した暗号処理を実行する暗号処理ステップと、

前記暗号処理部に構成された暗号処理基本ユニットの利用回数設定情報に基づいて、前記暗号処理基本ユニットを 1回または複数回繰り返し利用する暗号処理演算の実行制御を行う制御ステップと、

を有することを特徴とする暗号処理方法にある。

[0018] さらに、本発明の暗号処理方法の一実施態様において、前記 F関数配列条件は、前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 3つの異なる線形変換行列 M , M , Mを適用した 3種類の F関数 F , F

0 1 2 0 1

2

0 1 2

徴とする。

[0019] さらに、本発明の暗号処理方法の一実施態様において、前記 F関数配列条件は、前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 2つの異なる線形変換行列 M , Mを適用した 2種類の F関数 F , Fを含

0 1

[0020] さらに、本発明の第 4の側面は、

暗号処理装置製造方法であり、

非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理部であり、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことを可能としたインポリューション性を備え、かつ、複数の異なる F関数を予め設定された F関数配列条件を満足する配列とした暗号処理基本ユニットを生成する暗号処理基本ユニット生成ステップと、

前記暗号処理基本ユニットを適用し、暗号処理装置に設定する暗号処理部のラウンド数に基づ!ヽて、前記 F関数配列条件を満足する F関数を選択し追加する処理を実行するラウンド数変更ステップと、

を有することを特徴とする暗号処理装置製造方法にある。 [0021] さらに、本発明の暗号処理装置製造方法の一実施態様において、前記 F関数配列条件は、前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 3つの異なる線形変換行列 M , M , Mを適用した 3種類の F

0 1 2

関数 F , F , Fを含む構成である場合において、奇数ラウンドを先頭力も順次選択し

0 1 2

あることを特徴とする。

[0022] さらに、本発明の暗号処理装置製造方法の一実施態様において、前記 F関数配列条件は、前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 2つの異なる線形変換行列 M , Mを適用した 2種類の F関数 F

0 1

特徴とする。

[0023] さらに、本発明の暗号処理装置製造方法の一実施態様において、前記ラウンド数変更ステップは、前記暗号処理基本ユニットを構成する先頭ラウンドの前、および最終ラウンドの後に、順次 1つずつ、前記 F関数配列条件を満足する F関数を選択し追加する処理を実行するステップであることを特徴とする。

[0024] さらに、本発明の暗号処理装置製造方法の一実施態様において、前記ラウンド数変更ステップは、前記暗号処理基本ユニットを複数ユニット接続して、 F関数追加処理を実行するステップであることを特徴とする。

[0025] さらに、本発明の第 5の側面は、

暗号処理装置において暗号処理を実行させるコンピュータ 'プログラムであり、暗号処理部にお！ゝて、非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理ステップであり、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことを可能としたインポリューション性を備え、かつ、複数の異なる F関数を予め設定された F関数配列条件を満足する配列とした暗号処理基本ユニットを利用した暗号処理を実行する暗号処理ステップと、制御部にぉ、て、前記暗号処理部に構成された暗号処理基本ユニットの利用回数設定情報に基づいて、前記暗号処理基本ユニットを 1回または複数回繰り返し利用する暗号処理演算の実行制御を行う制御ステップと、

を実行させることを特徴とするコンピュータ 'プログラムにある。

[0026] なお、本発明のコンピュータ 'プログラムは、例えば、様々なプログラム 'コードを実行可能なコンピュータ ·システムに対して、コンピュータ可読な形式で提供する記憶媒体、通信媒体、例えば、 CDや FD、 MOなどの記録媒体、あるいは、ネットワークなどの通信媒体によって提供可能なコンピュータ 'プログラムである。このようなプロダラムをコンピュータ可読な形式で提供することにより、コンピュータ 'システム上でプログラムに応じた処理が実現される。

[0027] 本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

発明の効果

[0028] 本発明の構成によれば、非線形変換部および線形変換部を有する SP型の F関数を複数ラウンド繰り返し実行する Feistel型共通鍵ブロック暗号処理構成において、予め設定されたインボリーシヨン性および、予め設定された F関数の配列条件としての ODM— MR、または、 SDM— MRを満足させる行列配列を持つ nラウンド構成の Feistel暗号構成を暗号処理基本ユニットとして構成し、この暗号処理基本ユニットに対して、 F関数の配列条件を満足するという条件設定の下に選択した F関数を追カロする処理や、あるいは、暗号処理基本ユニットを複数接続する処理によって、インボリーシヨン性および、 ODM— MR、または、 SDM— MRを満足する配列を持つラウンド数を増カロさせた Feistel暗号構成を構築することができる。

図面の簡単な説明

[0029] [図 l]Feistel構造を持つ代表的な共通鍵ブロック暗号の構成を示す図である。

[図 2]ラウンド関数部として設定される F関数の構成について説明する図である。 [図 3]Feistel型暗号処理におけるインポリューション性を説明する図である。

[図 4] 2つの異なる線形変換行列を利用した Feistel型暗号アルゴリズムについて説明する図である。

[図 5] 3つの異なる線形変換行列を利用した Feistel型暗号アルゴリズムについて説明する図である。

[図 6]3種類の F関数部を持つ 6ラウンド構成の Feistel型暗号アルゴリズムについて説明する図である。

[図 7]3種類の F関数部を持つ 8ラウンド構成の Feistel型暗号アルゴリズムについて説明する図である。

[図 8]3種類の F関数部を持つ Feistel型暗号処理基本ユニットに対するラウンド数追加処理について説明する図である。

[図 9]3種類の F関数部を持つ Feistel型暗号処理基本ユニットに対するラウンド数追加処理について説明する図である。

[図 10]3種類の F関数部を持つ Feistel型暗号処理基本ユニットを複数利用するラウンド数追加処理について説明する図である。

[図 11]2種類の F関数部を持つ Feistel型暗号処理基本ユニットを複数利用するラウンド数追加処理について説明する図である。

[図 12]3種類の F関数部を持つ Feistel型暗号処理基本ユニットを利用した暗号処理装置の制御処理について説明する図である。

[図 13]2種類の F関数部を持つ Feistel型暗号処理基本ユニットを利用した暗号処理装置の制御処理について説明する図である。

[図 14]本発明に係る暗号処理を実行する暗号処理装置としての ICモジュールの構成例を示す図である。

圆 15]本発明に係る暗号処理装置製造装置の構成例を示す図である。

発明を実施するための最良の形態

以下、本発明の暗号処理装置、暗号処理装置製造装置、および方法、並びにコンピュータ 'プログラムの詳細について説明する。説明は、以下の項目に従って行なう。

1. SP型 F関数を持つ Feistel構造 2.最適拡散変換および準最適拡散変換について

3.インポリューション性について

4.複数の異なる変換行列を利用する SP型 F関数を持つ Feistel型暗号構成

5.複数の異なる変換行列を利用する SP型 F関数を持つ Feistel型暗号にぉ、て、ラウンド数の変更を容易にした構成

6.暗号処理装置の構成例

7.暗号処理装置製造装置の構成例

[0031] [1. SP型 F関数を持つ Feistel構造]

まず、 SP型 F関数を持つ Feistel構造について説明する。共通鍵ブロック暗号のデザインとして、平文データの変換方法に基本となる変換関数をある特別な順序で配置する Feistel構造と呼ばれる構造が用いられることが多、。 Feistel構造はラウンド関数と呼ばれる変換関数の単純な繰り返しにより、平文を暗号文に変換する構造を持つ。

[0032] 図 1を参照して、 Feistel構造について説明する。暗号ィ匕対象として入力される平文の長さを 2mnビットとする。ただし、 m, nは共に整数である。初めに、 2mnビットの平文を、 mnビットの 2つの入力データ P (Plain-Left) 101, P (Plain- Right) 102に分割

L R

し、これを入力値とする。

[0033] Feistel構造はラウンド関数とよばれる基本構造の繰り返しで表現され、各ラウンドに含まれるデータ変換関数は F関数 120と呼ばれる。図 1の構成では、 F関数 (ラウンド関数） 120が r段繰り返された構成例を示して、る。

[0034] 例えば第 1番目のラウンドでは、 mnビットの入力データ Xと、鍵生成部（図示せず）力も入力される mnビットのラウンド鍵 K 103が F関数 120に入力され、 F関数 120におけるデータ変換処理の後に mnビットのデータ Yを出力する。出力はもう片方の前段からの入力データ (第 1段の場合は入力データ P )と排他的論理和部 104におい

し

て、排他的論理和演算がなされ、 mnビットの演算結果が次のラウンド関数へと出力される。この処理、すなわち F関数を定められたラウンド数 (r)だけ繰り返し適用して暗号化処理が完了し、暗号文の分割データ C (Cipher- Left)、 C (Cipher- Right)が出

L R

力される。以上の構成より、 Feistel構造の復号処理はラウンド鍵を挿入する順序を逆にするだけでよぐ逆関数を構成する必要がないことが導かれる。

[0035] 各ラウンドの関数として設定される F関数 120の構成について、図 2を参照して説明する。図 2 (a)は、 1つのラウンドにおける F関数 120に対する入力および出力を示す図であり、図 2 (b)は、 F関数 120の構成の詳細を示す図である。 F関数 120は、図 2 ( b)に示すように、非線形変換層（S層）と線形変換層（P層）を接続した!/、わゆる SP型の構成を有する。

[0036] 図 2に示す F関数 120は、入出力ビット長が mX n (m, n:整数)ビットの設定を持つ関数である。 SP型 F関数内部では初めに鍵データ Kとデータ Xとの排他的論理和が実行され、次に非線形変換層（S層）が適用され、続いて線形変換層（P層）が適用される。

[0037] 具体的には非線形変換層（S層）は、 Sボックス (S-box) 121と呼ばれる nビット入力 nビット出力の非線形変換テーブルが m個並んだものであり、 mnビットのデータは nビットずつ分割されてそれぞれ対応する Sボックス（S— box) 121に入力されデータが変換される。各 Sボックスでは、例えば変換テーブルを適用した非線形変換処理が実行される。

[0038] 線形変換層（P層）は線形変換部 122によって構成され、線形変換部 122は、 Sボッタス 121からの出力データである mnビットの出力値 Zを入力し、この入力に対して線形変換を施し mnビットの結果を出力する。線形変換部 122は、入力ビット位置の入れ替え処理などの線形変換処理を実行して、 mnビットの出力値 Yを出力する。この出力値 Yが前段力の入力データと排他的論理和され、次のラウンドの F関数の入力値とされる。

[0039] なお、以下に説明する本実施例の構成では、線形変換層（P層）としての線形変換部 122におヽて実行する線形変換は GF (2)上で定義される mnX mnの行列を適用して行なわれる線形変換であると定義し、また、第 iラウンド目に含まれる行列を Mと呼ぶものとする。

[0040] [2.最適拡散変換および準最適拡散変換について]

上述の SP型 F関数を持つ Feistel型暗号にぉ、て、 F関数の線形変換層にお、て実行する線形変換に適用する線形変換行列は、暗号強度を低下させることがな、ように、ある条件を満足する行列を適用することが好ましい。この条件について説明する。

[0041] 線形変換の特殊な例として最適拡散変換（ODM: Optimal Diffusion Mappin gs)を以下のように定義する。

n X aビットデータ力 n X bビットデータへの線形変換を行う写像、

Θ :{0, 1广→{0, l}^nb

に対して分岐数 B ( Θ )を次のように定義する。

B(0)=min {hw (a)+hw (Θ ( ))}

α≠0 η η

ただし、 min {X }は、 α≠0を満たすすべての X のうちの最小値を表すものと

a≠0 a a

し、 hw (Y)はビット列 Yを nビットごとに区切って表したときに、 nビットのデータすベてが 0ではなヽ (非ゼロ）要素の数を返す関数とする。

このとき、分岐数 B( 0 )が b +1であるような写像 Θを最適拡散変換 (ODM:Optim al Diffusion Mappings)と定義する。また便宜的に行列 Mの分岐数を B(M)と表すものとする。

さらに、分岐数 Β( Θ )が b +1未満であるような写像 Θを準最適拡散変換 (SDM:S ub Optimal Diffusion Mappings)と疋'義する。

[0042] 上述の SP型 F関数を持つ Feistel型暗号にぉ、て、 F関数の線形変換層にお、て実行する線形変換に適用する線形変換行列を決定する場合、上述の最適拡散変換 (ODM)、すなわち分岐数 B( 0 )が b + 1であるような写像 Θ、および準最適拡散変換 (SDM)、すなわち、分岐数 B( 0 )が b + 1未満であるような写像 Θを実行する設定となって!/、る力否かを検討して行列を決定することが好ま、。具体的な行列決定処理については、後述する。

[0043] [3.インポリューション性について]

上述の SP型 F関数を持つ Feistel型暗号を実行する暗号ィ匕関数 Eを、以下のように定義する。

E(P

L I I P , κ , K , ···, K)

R 1 2 r

上記暗号ィ匕関数 Eに示す P , Pは暗号処理の対象として入力する平文を示し、

L R I

Iは連結、 κ , κ , · · ·, κは、各ラウンドにおいて使用するラウンド鍵を示す。 [0044] このような関数 Eで示される暗号処理において、その復号関数 Dは、以下のように示すことができる。

D(C | | C , κ , K , ···, K)

L R 1 2 r

= E(C , κ )

L I I c , κ, ···, κ

R r 2 1

上記復号関数 Dに示す C , Cは、復号処理対象として入力する暗号文を示し、

L R I

Iは連結、 κ , · · ·κ , κは、各ラウンドにおいて使用するラウンド鍵を示す。

r 2 1

[0045] このように Feistel構造共通鍵ブロック暗号では、通常、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことができるという特徴を有する。すなわち、暗号処理と、復号処理とに個別の回路を設定することなぐ同じ回路を適用して、その処理順を逆に設定するのみで暗号処理と復号処理との双方を実行することができる。 Feistel構造共通鍵ブロック暗号が持つこの性質をインポリューシヨン性と定義する。

[0046] 図を参照して、 Feistel構造共通鍵ブロック暗号が持つインポリューション性について説明する。図 1に示す Feistel構造を暗号化処理に適用する Feistel構造とする。この場合、暗号ィ匕関数 Eを実行する。すなわち、

E(P I I P , κ , K , ···, K)

L R 1 2 r

を実行する。 P , P

L Rは図 1に示すように暗号処理の対象として入力する平文を示し

、 κ , K , · · ·, Kは、図 1に示すように、各ラウンドにおいて使用するラウンド鍵を示

1 2 r

す。

[0047] 一方、図 1に示す Feistel構造による暗号ィ匕処理結果としての暗号文 C , Cを復号

L R

するための Feistel構造は、図 3に示す構成となる。図 3に示す Feistel構造は、復号関数 D、すなわち、

D(C I I C , K , K , ···, K)

L R 1 2 r

= E(C I I c , κ, ···, κ , κ )

L R r 2 1

を実行する。 C , Cは、図 3に示すように、復号処理対象として入力する暗号文で

L R

あり、 K , · · ·Κ , Kは、図 3に示すように、各ラウンドにおいて使用するラウンド鍵を r 2 1

示す。

[0048] このように、 Feistel構造共通鍵ブロック暗号では、暗号処理と、復号処理とに個別の回路を設定することなぐ同じ回路を適用して、その処理順を逆に設定するのみで暗号処理と復号処理との双方を実行することができる。これをインポリューション性と定義する。

[0049] [4.複数の異なる変換行列を利用する SP型 F関数を持つ Feistel型暗号構成]

SP型 F関数を持つ Feistel型暗号にぉ、て、各ラウンドにお、て適用する線形変換行列を異なる行列として設定すると、例えば差分解析などの攻撃に対する耐性を高めることができる。すなわち、暗号強度を高めることが可能となる。なお、各ラウンドにおいて適用する線形変換行列を異なる行列として設定することで SP型 F関数を持つ Feistel型暗号の暗号強度を高めた構成の詳細については、本発明と同一の出願人に係る先の特許出願：特願 2005— 313842に説明されて、る。

[0050] 従来型の Feistel型暗号では、すべてのラウンド (段）の F関数に同じ線形変換層を用いて、るため、差分の伝播時に同時に複数の差分がキャンセルしてしまうと!、う性質が存在した。暗号解析手法の代表的な手法として、ある差分を持つ入力データ（平文）とその出力データ（暗号文)を多数解析することにより各ラウンド関数における適用鍵を解析する差分解析 (あるいは差分解読法)が知られており、従来の DES暗号アルゴリズム等の共通鍵ブロック暗号にぉ、ては、 F関数の線形変換部にぉ、て適用する処理 (変換行列）を、各段のラウンドにお!/、て等 U、ものに設定して、るため、差分解析が行いやすぐ結果として鍵の解析の容易性を招いている。

[0051] 各ラウンドの F関数に適用する線形変換行列を特定のシーケンスに従った異なる行列とすることで、差分の伝播時に同時に複数の差分がキャンセルしてしまうという性質を排除することが可能となり、差分解析などの攻撃に対する耐性を高めることができる

[0052] 具体的な例について、図 4、図 5を参照して説明する。図 4の例は、複数段 (ラウンド )を持つ Feistel型共通鍵ブロック暗号処理構成における各段の F関数中の線形変換部において適用する線形変換処理のための行列として、 2つの異なる行列 M , M

0 を利用した例である。

[0053] 具体的には、図 4に示すように、

(a)奇数段に M , Mの順に配置 (b)偶数段の最終段から M , Μの順に配置

0 1

上記 (a), (b)の条件を満足するように 2つの異なる行列 M , Mを適用する構成と

0 1

する。なお、 M , Mの順番は逆でもよい。すなわち、奇数段に連続して同一の行列

0 1

が連続することなぐ偶数段を最終段力みたときにも連続して同一の行列が連続することのないことが差分解析などの攻撃に対する耐性を高めることができる条件となる

[0054] 条件 (a)は、（a)奇数段に M , Mの順に配置する条件であり、図 4に示すように、ラ

0 1

ゥンド 1, 3, 5,…の順に、行列 M , Mを順に配置する。条件 (b)は、（a)偶数段の

0 1

最終段から M , Mの順に配置する条件であり、図 4に示すように、ラウンド 12, 10,

0 1

8, · · ·の順に、行列 M , Mを順に配置する。ここで、行列 M , Mの各々は、各ラウ

0 1 0 1

ンドにおける F関数において実行される 2つの異なる線形変換行列である。

[0055] 図 4に示す例は、 2つの異なる線形変換行列を利用した例であり、この構成においても、差分攻撃に対する耐性を高めることが可能であるが、さらに、 3つの異なる行列 M , M , Mを利用した構成も可能である。図 5は、複数段 (ラウンド）を持つ Feistel

0 1 2

型共通鍵ブロック暗号処理構成における各段の F関数中の線形変換部において適用する線形変換処理のための行列として、 3つの異なる行列 M , M , M

0 1 2を利用した例である。

[0056] 図 5に示すように、

(a)奇数段に M , M , Mの順に配置

0 1 2

(b)偶数段の最終段から M , M , Mの順に配置

0 1 2

上記 (a), (b)の条件を満足するように 3つの異なる行列 M , M , Mを適用する構

0 1 2

成とする。なお、 M , M , Mの順番は異なっていてもよい。すなわち、奇数段の 3連

0 1 2

続部分に必ず、 M , M , Mの異なる 3つの行列が含まれ、偶数段を最終段からみ

0 1 2

たときにも 3連続部分に必ず、 M , M , Mの異なる 3つの行列が含まれることが差分

0 1 2

解析などの攻撃に対する耐性を高めることができる条件となる。

[0057] 条件 (a)は、（a)奇数段に M , M , Mの順に配置する条件であり、図 5に示すよう

0 1 2

に、ラウンド 1, 3, 5, ···の順に、行列 M , M , Mを順に配置する。条件 (b)は、 (a

0 1 2

)偶数段の最終段から M , M , Mの順に配置する条件であり、図 5に示すように、ラゥンド 12, 10, 8, · · ·の順に、行列 M , M , Mを順に配置する。ここで、行列 M ,

0 1 2 0

M , Mの各々は、各ラウンドにおける F関数において実行される線形変換行列であ

1 2

る。

[0058] 図 4、図 5を参照して説明したように、異なる行列を特定の順に配置して F関数を実行させる構成とすることで、差分解析などの攻撃に対する耐性を高めたより高い安全性を有する Feistel型暗号が実現される。なお、この構成および処理の詳細については、本発明と同一の出願人に係る先の特許出願:特願 2005— 313842に説明されている。

[0059] さらに、図 4、図 5を参照して説明したような複数の異なる線形変換行列を設定する Feistel型暗号にぉ、て適用する線形変換行列は、一定の暗号強度を保持するために、特定の性質を持つ行列を利用することが好ましい。この線形変換行列の評価、設定の際に、最適拡散変換、準最適拡散変換という評価基準を用いることができる。

[0060] 最適拡散変換、準最適拡散変換の定義について説明する。図 5を参照して説明した 3つの異なる行列を M , M , Mとした場合に {M I I M I I M }, ΓΜ ^_1 I

0 1 2 0 1 2 0 に

Μ {*Μ ^_1 I に M {*M ^_1 I に M ^_1}という 4つの行列全てが最適拡散

1 0 2 1 2

変換（Optimal Diffusion Mappings)であるとき， M , M , Mは ODM— MR(

0 1 2

Optimal Diffusion Mappings across Multiple Rounds)構造を持つ？ T列であると定義する。ただし， I Iは連結， tMは Mの転置行列， M^_1は Mの逆行列を表す。

[0061] また、図 5を参照して説明した 3つの異なる行列を M , M , Mとした場合に {M |

0 1 2 0

I M I I M }, ΓΜ ^_1 I に Μ ΓΜ ^_1 I に M ΓΜ ^_1 I に Μ ^_1}という

1 2 0 1 0 2 1 2

4つの行列 4つの行列のうちどれかひとつでも準最適拡散変換（Sub optimal Diff usion Mappings)である場合、 M , M , Mは SDM— MR(Sub optimal Diff

0 1 2

usion Mappings across Multiple Rounds)構造を持つ行歹 ljであると定義する [0062] なお、 3つの異なる行列を M , M , Mとした場合に、 ODM— MR、または、 SDM

0 1 2

MRを満足させるためには、 3つの異なる行列を M , M , Mの配列順は、先に図

0 1 2

5を参照して説明した配列順、すなわち、 (a)奇数段に M , M , Mの順に配置

0 1 2

(b)偶数段の最終段から M , M , Mの順に配置

0 1 2

上記 (a) , (b)の条件を満足するように 3つの異なる行列 M , M , Mを配列するこ

0 1 2

とが条件となる。なお、先に説明したように、 M , M , Mの順番は異なっていてもよ

0 1 2

い。すなわち、奇数段の 3連続部分に必ず、 M , M , Mの異なる 3つの行列が含ま

0 1 2

れ、偶数段を最終段力みたときにも 3連続部分に必ず、 M , M , Mの異なる 3つ

0 1 2

の行列が含まれることが ODM— MR、または、 SDM— MRを満足させる行列配列となり、差分解析などの攻撃に対する耐性を高めることができる条件となる。

[0063] また、 2つの異なる行列を M , Mとした場合に、 ODM— MR、または、 SDM— M

0 1

Rを満足させるためには、 2つの異なる行列を M , Mの配列順は、先に図 4を参照し

0 1

て説明した配列順、すなわち、

(a)奇数段に M , Mの順に配置

0 1

(b)偶数段の最終段から M , Mの順に配置

0 1

上記 (a) , (b)の条件を満足するように 2つの異なる行列 M , Mを配列することが

0 1

条件となる。なお、先に説明したように、 M , Mの

0 1 順番は逆でもよい。すなわち、奇数段に連続して同一の行列が連続することなぐ偶数段を最終段力みたときにも連続して同一の行列が連続することのないことが ODM— MR、または、 SDM— MRを満足させる行列配列となり、差分解析などの攻撃に対する耐性を高めることができる条件となる。

[0064] このように、複数の異なる行列を利用する Feistel型暗号構成にぉ、て、各ラウンドにお、て適用する線形変換行列の設定を ODM— MR構造、ある!/、は SDM— MR 構造とすることで、安全性の高、暗号処理を実現することができる。

[0065] [5.複数の異なる変換行列を利用する SP型 F関数を持つ Feistel型暗号において、ラウンド数の変更を容易にした構成]

次に、複数の異なる変換行列を利用する SP型 F関数を持つ Feistel型暗号にぉヽて、ラウンド数の変更を容易にした構成にっ、て説明する。

[0066] 共通鍵ブロック暗号において、その処理ラウンド数 (段数）は速度、安全性との間にトレードオフがあるため、柔軟に増減できることが望ましい。一般的にラウンド数 (段数 )が増加すれば安全性は高くなるが速度は落ち、段数が減少すれば安全性は低くなるが速度が上がるという関係がある。従って、処理速度優先とする場合、あるいは安全性優先とする場合など、その用途に応じて柔軟に処理ラウンド数を変更可能とする構成とすることが望まれる。

[0067] また、 Feistel型暗号を適用した暗号処理に適用する秘密鍵のサイズに応じて、処理ラウンド数を変更するという要請もある。例えば、暗号処理に適用する秘密鍵のサィズを変更する場合において、十分な安全性を確保するためには、秘密鍵のサイズに合わせて処理ラウンド数を適切に変更することが好ましい。例えば、 AES暗号アルゴリズムを実行する場合、適用する秘密鍵のサイズが 128ビットのときは 10段、 192ビットのときは 12段、 256ビットのときは 14段と秘密鍵のサイズと共に処理ラウンド数を変化させ、秘密鍵のサイズ分の鍵構成ビットデータを有効に利用することのできるラゥンド数を設定することが要請される。

[0068] 上述した ODM— MR構造や SDM— MR構造を持つ行列を線形変換に適用した SP型 F関数を持つ Feistel構造共通鍵ブロック暗号を構築する場合にも、前述のィンポリューション性を維持することが望まし、が、異なる線形変換行列を含む異なる F 関数を配置する際には、先に、図 4、図 5を参照して説明した制約の下に配置しなければならない。

[0069] なお、以下の説明にお、ては、線形変換行列 Mを用いた F関数を F、線形変換行

0 0

列 Mを用いた F関数を F、線形変換行列 Mを用いた F関数を Fと記載することにす

1 1 2 2

る。

[0070] 3つの異なる行列 M , M , Mを利用した F関数 F , F , Fを利用した場合は、先

0 1 2 0 1 2

に図 5を参照して説明したように、

(a)奇数ラウンドを上力選択した場合、 F , F , F , F , F , · · ·の順に配置

0 1 2 0 1

(b)偶数ラウンドを下力選択した場合、 F , F , F , F , F , · · ·の順に配置

0 1 2 0 1

上記 (a) , (b)の条件を満足するように 3つの異なる行列 M , M , Mを適用した F

0 1 2

関数 F , F , Fを配置する構成とすることが必要となる。なお、先に説明したように、

0 1 2

F , F , Fの順番は異なっていてもよい。すなわち、奇数段の 3連続部分に必ず異な

0 1 2

る 3つの行列 M , M , Mを利用した F関数、 F , F , Fが含まれ、偶数段を最終段力みたときにも 3連続部分に必ず、 M , M , Mの異なる 3つの行列を適用した異

0 1 2

なる 3つの F関数、 F ， F ， Fが含まれることが ODM— MR、または、 SDM— MRを

0 1 2

満足させる行列配列となり、差分解析などの攻撃に対する耐性を高めることができる条件となる。

[0071] 同様に、 2つの異なる行列 M , Mを利用した F関数 F , Fを利用した場合は、先

0 1 0 1

に図 4を参照して説明したように、

0 1 0 1 0

上記 (a) , (b)の条件を満足するように 2つの異なる行列 M , Mを適用した F関数 F

0 1

, Fを配置する構成とすることが必要となる。なお、先に説明したように、 F , Fの順

0 1 0 1 番は逆でもよい。すなわち、奇数段に連続して同一の行列が連続することがないように、異なる 2つの F関数、 F , Fが連続して含まれ、偶数段を最終段からみたときにも

0 1

連続して同一の行列が連続することがないように、異なる 2つの F関数、 F , F

0 1が連続して含まれることが ODM— MR、または、 SDM— MRを満足させる行列配列となり、差分解析などの攻撃に対する耐性を高めることができる条件となる。

[0072] さらに、異なる複数の行列を利用した F関数を適用した Feistel型暗号において、ィンポリューション性、すなわち、先に説明したように、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことができるというインボリユーシヨン性を維持するためには、 Feistel型暗号の各ラウンドの F関数の上からの配置順と、下力の配置順が同一であることが必要となる。

[0073] このように、 Feistel型暗号においては、

インポリューション性の維持と、う条件と、

さらに、複数の異なる線形変換行列を利用した異なる F関数を適用する Feistel型暗号構成とする場合には、その配列についても、上述したような ODM— MR、または、 SDM— MRを満足させる行列配列とするという条件が、差分解析などの暗号攻撃に対する耐性を維持するためには必要となる。

[0074] 複数の異なる線形変換行列を利用した異なる F関数を適用する Feistel型暗号構成では、このような条件を満足させることが必要であり、暗号処理構成を設計する場合は、予めラウンド数を決定し、決定した固定ラウンド数に応じて複数の異なる線形変換行列を持つ異なる F関数の配置を決定すると、うことが行なわれる。この結果、固定したラウンド数においては、インポリューション性、および、 ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させる設計を行なうことができる力これらのラウンド数の変更に容易に対応しにくいという問題があった。

[0075] 例えば、 6ラウンド（6段)構成として、 3つの異なる行列を使用した ODM— MR構造 Feistel暗号を想定した場合、配置する F関数の順序は、図 6に示すような設定とすることが必要である。すなわち、図 6に示すように、

上から、

[F→F→F→F→F→F ]

0 2 1 1 2 0

の設定とすることになる。

[0076] また、 8段構成の ODM— MR構造 Feistel暗号の場合、配置する F関数の順序は、図 7に示すような設定とすることが必要である。すなわち、図 7に示すように、上から [F→F→F→F→F→F→F→F ]

0 0 1 2 2 1 0 0

の設定とすることになる。

[0077] このように、各ラウンド数に対応して個別にインポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列と、う 2つの条件を満足させる設計を行なうことができる力 6段構成を 8段構成に変更するといつたことは容易ではない。すなわち、図 6、図 7に示すように、 6段構成、 8段構成の ODM— MR構造 Feistel暗号は、 F 関数の順序が大きく異なるため、再利用できる箇所が非常に少ない。例えば、図 6に示すような、 6段構成の ODM— MR構造 Feistel暗号をすでに実装しているハードウエアが製造済みであったとする。ここで、図 7に示すような 8段構成の ODM— MR構造 Feistel暗号を使用したいといった要請があった場合、図 6に示す 6段構成の OD M— MR構造 Feistel暗号のハードウェアはほとんど利用することはできず、新たに、図 7に示す 8段構成の ODM— MR構造 Feistel暗号のハードウェアを作成することが必要となるという問題がある。あるいは、処理プログラムとしてのソフトウェアの変更を行なうと!、つた処理が必要となる。

[0078] 以下、このような処理負担を軽減させる構成例について説明する。すなわち、 OD M— MR構造または、 SDM— MR構造を持つ Feistel暗号処理構成において、処理ラウンド数の増加や減少などのラウンド数の変更を効率的に実行可能とした構成について説明する。

[0079] (処理例 1) Feistel暗号処理基本ユニットに F関数を追加する処理例

まず、予め設定された Feistel暗号処理基本ユニット、すなわち、インポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた構成を持つ Feistel暗号処理基本ユニットに対して、 F関数を追加することで、ラウンド数を増加させる処理構成について説明する。

[0080] 一例として、インポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列とヽぅ 2つの条件を満足させた構成を持つ 6段構成の ODM - MR構造 Fei stel暗号を基本とする暗号処理基本ユニットとする。ここでは、 3つの異なる線形変換行列を持つ異なる F関数 F , F , F力も構成される Feistel暗号処理基本ユニットと

0 1 2

する。この基本暗号処理基本ユニットは、先に図 6を参照して説明したように、 F関数の配置は、上から、

[F→F→F→F→F→F ]

0 2 1 1 2 0

となり、インポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた構成を持つ。

[0081] この 6段構成の ODM— MR構造 Feistel暗号を 8ラウンド（段）構成に変更する処理について説明する。 6段を 8段に変更する場合、図 8に示すように、 [F→F→F→F

0 2 1

→F→F ]という配列を持つ 6段構成の暗号処理基本ユニット 201の上下にそれぞ

1 2 0

れ [F ]という F関数を追加する。

0

[0082] この F関数 [F ]の追加によって、図 8に示すように、 Feistel暗号構成は、 8ラウンド（

0

段)構成に変更され、 F関数の配置順は、上から、

[F→F→F→F→F→F→F→F ]

0 0 2 1 1 2 0 0

という設定となる。

この 8段構成の場合、 F関数の配置順は、奇数段を上から選択した場合、 [F→F→F→F ]

0 2 1 0

となり、偶数段を下力たどって選択した場合、 [F→F→F→F ]

0 2 1 0

となっている。

[0083] この 8段構成の Feistel暗号構成は、各ラウンドの F関数の上力もの配置順と、下からの配置順が同一であり、従って、インポリューション性が満足される。さらに、奇数段の 3連続部分に必ず異なる 3つの行列 M , M , Mを利用した F関数、 F , F , Fが

0 1 2 0 1 2 含まれ、偶数段を最終段からみたときにも 3連続部分に必ず、 M , M , Mの異なる

0 1 2

3つの行列を適用した異なる 3つの F関数、 F， F， Fが含まれるので、 ODM— MR

0 1 2

、または、 SDM— MRを満足させる行列配列となる。

[0084] この場合の F関数の選択条件は、

奇数段の 3連続部分に必ず異なる 3つの行列 M , M , Mを利用した F関数、 F ,

0 1 2 0

F , Fが含まれ、かつ、偶数段を最終段力みたときにも 3連続部分に必ず、 M , M

1 2 0

, Mの異なる 3つの行列を適用した異なる 3つの F関数、 F , F , Fが含まれる設定

1 2 0 1 2

となる F関数を選択することである。

[0085] この選択条件に基づいて追加する F関数を選択すると、図 8に示す 6段から 8段へのラウンド数追加処理においては、追加する F関数は、 F関数 [F ]となり、 6段構成の

0

ODM— MR構造 Feistel暗号を、インボリーシヨン性および、 ODM— MR、または、 SDM— MRを満足させる行列配列を持つ 8ラウンド (段)構成の Feistel暗号に変更することができる。

[0086] さらに、この図 8に示すインボリーシヨン性および、 ODM— MR、または、 SDM— M Rを満足させる行列配列を持つ 8ラウンド (段)構成の Feistel暗号構成を 10段に変更する場合の処理例について、図 9を参照して説明する。 8段を 10段に変更する場合、図 9に示すように、 [F→F→F→F→F→F→F→F ]という配列を持つ 8段

0 0 2 1 1 2 0 0

構成の暗号処理基本ユニット 202の上下にそれぞれ [F ]という F関数を追加する。

2

[0087] この F関数 [F ]の追加によって、図 9に示すように、 Feistel暗号構成は、 10ラウン

2

ド (段)構成に変更され、 F関数の配置順は、上から、

[F→F→F→F→F→F→F→F→F→F ]

2 0 0 2 1 1 2 0 0 2

という設定となる。

この 10段構成の場合、 F関数の配置順は、奇数段を上から選択した場合、 [F→F→F→F→F ]

2 0 1 2 0

となり、偶数段を下力たどって選択した場合、

[F→F→F→F→F ]

2 0 1 2 0

となっている。

[0088] この 10段構成の Feistel暗号構成は、各ラウンドの F関数の上力もの配置順と、下からの配置順が同一であり、従って、インポリューション性が満足される。さらに、奇数段の 3連続部分に必ず異なる 3つの行列 M , M , Mを利用した F関数、 F , F , F

0 1 2 0 1 2 が含まれ、偶数段を最終段からみたときにも 3連続部分に必ず、 M , M , Mの異な

0 1 2 る 3つの行列を適用した異なる 3つの F関数、 F， F， Fが含まれるので、 ODM— M

0 1 2

R、または、 SDM— MRを満足させる行列配列となる。

[0089] この場合の F関数の選択条件も、 6段から 8段への変更と同様であり、奇数段の 3連続部分に必ず異なる 3つの行列 M , M , Mを利用した F関数、 F , F , Fが含まれ

0 1 2 0 1 2

、かつ、偶数段を最終段からみたときにも 3連続部分に必ず、 M , M , Mの異なる 3

0 1 2 つの行列を適用した異なる 3つの F関数、 F , F , Fが含まれる設定となる F関数を

0 1 2

選択することである。

[0090] この選択条件に基づいて追加する F関数を選択すると、図 9に示す 8段から 10段へのラウンド数追加処理においては、追加する F関数は、 F関数 [F ]となり、 8段構成の

2

ODM— MR構造 Feistel暗号を、インボリーシヨン性および、 ODM— MR、または、 SDM— MRを満足させる行列配列を持つ 10ラウンド（段)構成の Feistel暗号に変更することができる。

[0091] このように、予め設定されたインボリーシヨン性および、 ODM— MR、または、 SDM — MRを満足させる行列配列を持つ nラウンド (段)構成の Feistel暗号構成を、 n+2 ラウンド (段)構成の Feistel暗号構成とする場合、奇数段の 3連続部分に必ず異なる 3つの行列 M , M , Mを利用した F関数、 F , F , Fが含まれ、かつ、偶数段を最

0 1 2 0 1 2

終段からみたときにも 3連続部分に必ず、 M , M , Mの異なる 3つの行列を適用し

0 1 2

た異なる 3つの F関数、 F , F , Fが含まれる設定となる F関数を選択して、上下に追

0 1 2

加することで、インボリーシヨン性および、 ODM— MR、または、 SDM— MRを満足させる行列配列を持つ n+ 2ラウンド (段)構成の Feistel暗号構成を構築することができる。

[0092] このような条件を満足するように F関数の追加処理、すなわち、予め設定されたインボリーシヨン性および、 ODM— MR、または、 SDM— MRを満足させる行列配列を持つ nラウンド (段)構成の Feistel暗号構成ユニットに対して、最上段と最下段のそれぞれに適切な F関数を付加する処理を行なうことで、付加した関数以外の部分は変更する以前の関数をそのまま再利用することが可能であり， 2段ごとに効率よく段数の増減が行える.

[0093] 以上のような処理によって、 ODM— MRまたは SDM— MR構造 Feistel暗号のィンポリューション性を維持したまま、効率よくその処理ラウンド数を 2段ごとに増減することが可能になる。また、上下に追加設定した F関数は、順次、上下から 1つずつ取り除いても、インボリーシヨン性および、 ODM— MR、または、 SDM— MRを満足させる行列配列を持つ nラウンド (段)構成の Feistel暗号構成ユニットが残り、ラウンドの増加のみならず、当初の暗号処理基本ユニットレベルまでのラウンド数削減にも対応可能である。

[0094] なお、上述した処理例では、 3つの異なる線形変換行列を持つ 3つの F関数 F , F

0 1

, Fが含まれる構成例について説明したが、 2つの異なる線形変換行列を持つ 2つ

2

の F関数 F , Fが含まれる構成においても同様の処理によって、ラウンド数の増加が

0 1

実現できる。

[0095] 2つの異なる線形変換行列を持つ 2つの F関数 F , Fが含まれる Feistel暗号構成

0 1

について、ラウンド数の増加を行なう場合の条件は、以下のようになる。予め設定されたインボリーシヨン性および、 ODM— MR、または、 SDM— MRを満足させる行列配列を持つ nラウンド (段)構成の Feistel暗号構成を、 n+ 2ラウンド (段)構成の Feistel 暗号構成とする場合、奇数段の 2連続部分に必ず異なる 2つの行列 M , Mを利用

0 1 した F関数、 F , Fが含まれ、かつ、偶数段を最終段からみたときにも 2連続部分に

0 1

必ず、 M， Mの異なる 2つの行列を適用した異なる 2つの F関数、 F， Fが含まれる

0 1 0 1 設定となる F関数を選択して、上下に追加することで、インボリーシヨン性および、 OD M— MR、または、 SDM— MRを満足させる行列配列を持つ n+ 2ラウンド (段)構成の Feistel暗号構成を構築することができる。 [0096] (処理例 2) Feistel暗号処理基本ユニットを複数利用する処理例

上述した処理例では、基本となる Feistel暗号処理基本ユニットの上下に、それぞれ 1つずつの F関数を追加することで、 2ラウンド増加した Feistel暗号処理構成を構築する例を説明した。次に、基本となる Feistel暗号処理基本ユニットを複数、組み合わせることで、ラウンド数の変更を行なう処理例にっ、て説明する。

[0097] 図 10を参照して、基本となる Feistel暗号処理基本ユニットを複数、組み合わせることで、ラウンド数の変更を行なう処理例について説明する。図 10に示す Feistel暗号処理基本ユニット 231, 232のそれぞれは、 F関数の配置力上から、

[F→F→F→F→F→F ]

0 2 1 1 2 0

となり、インポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた構成を持つ 6段構成の Feistel暗号処理基本ュ- ットである。

[0098] 図 10に示す構成は、この 2つの 6段 Feistel暗号処理基本ユニット 231, 232を用いて、 12段構成の Feistel暗号処理構成を設定したものである。図 10に示す 12段構成の Feistel暗号構成は、 F関数の配置力上から、

[F→F→F→F→F→F→F→F→F→F→F→F ]

0 2 1 1 2 0 0 2 1 1 2 0

となる。

この 12段構成の場合、 F関数の配置順は、奇数段を上から選択した場合、 [F→F→F→F→F→F ]

0 1 2 0 1 2

となり、偶数段を下力たどって選択した場合、

[F→F→F→F→F→F ]

0 1 2 0 1 2

となっている。

[0099] この 12段構成の Feistel暗号構成は、各ラウンドの F関数の上力もの配置順と、下からの配置順が同一であり、従って、インポリューション性が満足される。さらに、奇数段の 3連続部分に必ず異なる 3つの行列 M , M , Mを利用した F関数、 F , F , F

0 1 2

R、または、 SDM— MRを満足させる行列配列となる。 [0100] 図 10には、 6段のユニットを 2つ接続して 12段構成の Feistel暗号構成を生成した例を示したが、さらに 6段のユニットを 3つ、 4つ · ·と、多数接続することで、同様に 18 段， 24段の Feistel暗号構成、すなわち、 ODM— MR構造でかつインポリューション性も保たれた Feistel暗号構成を構成することが可能となる。

[0101] このように、インポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた構成を持つ n段の Feistel暗号処理基本ュ- ットを複数個（k)組み合わせることによって、 kX n段のインポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた Feis tel暗号処理構成を構築することができる。

[0102] 同様に 2つの異なる行列 M , Mを用いた ODM— MRまたは SDM— MR構造 Fei

0 1

stel暗号処理構成を暗号処理基本ユニットとして、これを複数、組み合わせることで、ラウンド数の変更を行なう処理例にっ、て説明する。図 11に示す Feistel暗号処理基本ユニット 251, 252, 253のそれぞれは、 F関数の配置力上から、

[F→F→F→F ]

0 1 1 0

となり、インポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた構成を持つ 4段構成の Feistel暗号処理基本ュ- ットである。

[0103] 図 11に示す構成は、この 3つの 4段 Feistel暗号処理基本ユニット 251, 252, 253 を用いて、 12段構成の Feistel暗号処理構成を設定したものである。図 11に示す 12 段構成の Feistel暗号構成は、 F関数の配置力上から、

[F→F→F→F→F→F→F→F→F→F→F→F ]

0 1 1 0 0 1 1 0 0 1 1 0

となる。

0 1 0 1 0 1

となり、偶数段を下力たどって選択した場合、

[F→F→F→F→F→F ]

0 1 0 1 0 1

となっている。

[0104] この 12段構成の Feistel暗号構成は、各ラウンドの F関数の上力もの配置順と、下からの配置順が同一であり、従って、インポリューション性が満足される。さらに、奇数段の 2連続部分に必ず異なる 2つの行列 M , Mを利用した F関数、 F , Fが含まれ

0 1 0 1

、偶数段を最終段からみたときにも 2連続部分に必ず、 M , Mの異なる 2つの行列

0 1

を適用した異なる 2つの F関数、 F が含まれるので、 ODM— MR、または、 SDM

0， F

1

MRを満足させる行列配列となる。

[0105] 図 11には、 4段のユニットを 3つ接続して 12段構成の Feistel暗号構成を生成した例を示したが、さらに 4段のユニットを 4つ， 5つ · ·と、多数接続することで、同様に 16 段， 20段の Feistel暗号構成、すなわち、 ODM— MR構造でかつインポリューション性も保たれた Feistel暗号構成を構成することが可能となる。

[0106] このように、インポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた構成を持つ n段の Feistel暗号処理基本ュ- ットを複数個（k)組み合わせることによって、 kX n段のインポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた Feis tel暗号処理構成を構築することができる。

[0107] 例えば、 ICカードなどの暗号処理を実行する情報処理装置における実装処理においては、例えば図 10を参照して説明した 6段構成 ODM— MR構造 Feistel暗号処理基本ユニットを 1つだけをノ、一ドウエアで実装しておき、使用する回数を選択可能とした処理プログラムを設定して、用途に応じて使用回数を変更するような処理プログラムを実行させる構成とすることで、様々なデータ処理に応じて選択されたラウンド数の暗号処理を実行させることができ、処理ラウンド数の増減を可能とした装置を低コストで実現できる。

[0108] 具体的な例について、図 12を参照して説明する。図 12には、暗号処理を実行する。 6段構成の Feistel暗号処理基本ユニット 270と、スィッチ 271〜274を示してある。なお、スィッチ 271〜274は、ハードウェアとして設定する構成としてもソフトウェア上でスィッチと同様の処理を実行する制御を行う構成としてもょヽ。

[0109] 図 12に示す 6段構成の Feistel暗号処理基本ユニット 270は、先に図 6、図 10を参照して説明したと同様、 F関数の配置が、上から、

[F→F→F→F→F→F ] となり、インポリューション性と ODM— MR、または、 SDM— MRを満足させる行列配列という 2つの条件を満足させた構成を持つ 6段構成の Feistel暗号処理基本ュ- ットである。

[0110] 図示しない制御部の制御によって、スィッチ 271〜274が制御される。初期データの入力時には、スィッチ 271, 272は [a]側に設定され、例えば平文データ P , Pが

L R

入力され、 6段構成の Feistel暗号処理基本ユニット 270において 6ラウンドの Feiste 1暗号処理が実行される。処理結果は、スィッチ 273, 274が [c]側に設定されている場合、出力される。

[0111] 6ラウンドの Feistel暗号処理を実行する場合は、スィッチ 273, 274が [c]側に設定され、結果が出力される。例えば 12ラウンドの暗号処理を実行する設定の場合、制御部の制御によって、スィッチ 273, 274は [d]側に設定され、スィッチ 271, 272 は [b]側に設定される。その結果、 6段構成の Feistel暗号処理基本ユニット 270において実行された 6ラウンドの処理結果は、再度、 6段構成の Feistel暗号処理基本ユニット 270の最上段に入力されて、さらに + 6ラウンドの F関数による暗号処理が実行される。

[0112] 暗号処理が 12ラウンドの処理設定である場合は、その後、スィッチ 273, 274が [c] 側に設定され、出力される。さらに 18、 24· ·ラウンドの F関数処理を実行する場合は、スィッチ 273, 274が [d]に設定されて、予定の処理ラウンドの終了後に、スィッチ 2 73, 274が [c]側に設定され、出力されることになる。このように、 1つの基本となる暗号処理基本ユニット、すなわち、インポリューション性と ODM— MR、または、 SDM — MRを満足させる行列配列という 2つの条件を満足させた構成を持つ n段構成の F eistel暗号処理基本ユニットを ICカードなどの暗号処理装置内に構成し、このュ-ットを利用した処理の繰り返し回数を CPUなどの制御部の実行するプログラムによって選択可能な構成とすることで、それぞれのデータ処理に応じた最適なラウンド数の暗号処理演算を実行することが可能となる。

[0113] 図 13は、 2種類の行列を利用した構成例を示している。 4段構成の Feistel暗号処理基本ユニット 280と、スィッチ 281〜2874を示してある。図 13に示す 3段構成の Fe istel暗号処理基本ユニット 280は、先に図 11を参照して説明したと同様、 F関数の配置が、上から、

[F→F→F→F ]

0 1 1 0

[0114] 図示しない制御部の制御によって、スィッチ 281〜284が制御される。初期データの入力時には、スィッチ 281, 282は [a]側に設定され、例えば平文データ P , Pが

L R

入力され、 4段構成の Feistel暗号処理基本ユニット 280においておラウンドの Feist el暗号処理が実行される。処理結果は、スィッチ 283, 284が [c]側に設定されている場合、出力される。

[0115] 4ラウンドの Feistel暗号処理を実行する場合は、スィッチ 283, 284が [c]側に設定され、結果が出力される。例えば 8ラウンドの暗号処理を実行する設定の場合、制御部の制御によって、スィッチ 283, 284は [d]側に設定され、スィッチ 281, 282は [ b]側に設定される。その結果、 4段構成の Feistel暗号処理基本ユニット 280において実行された 4ラウンドの処理結果は、再度、 4段構成の Feistel暗号処理基本ュ-ット 280の最上段に入力されて、さらに +4ラウンドの F関数による暗号処理が実行される。

[0116] 暗号処理が 8ラウンドの処理設定である場合は、その後、スィッチ 283, 284が [c] 側に設定され、出力される。さらに 12、 16 · ·ラウンドの F関数処理を実行する場合は、スィッチ 283, 284が [d]に設定されて、予定の処理ラウンドの終了後に、スィッチ 2 83, 284が [c]側に設定され、出力されることになる。このように、 1つの基本となる暗号処理基本ユニット、すなわち、インポリューション性と ODM— MR、または、 SDM — MRを満足させる行列配列という 2つの条件を満足させた構成を持つ n段構成の F eistel暗号処理基本ユニットを ICカードなどの暗号処理装置内に構成し、このュ-ットを利用した処理の繰り返し回数を CPUなどの制御部の実行するプログラムによって選択可能な構成とすることで、それぞれのデータ処理に応じた最適なラウンド数の暗号処理演算を実行することが可能となる。

[0117] [6.暗号処理装置の構成例] 次に、暗号処理を実行する暗号処理装置としての ICモジュール 300の構成例について、図 14を参照して説明する。暗号処理は、例えば PC、 ICカード、リーダライタ、その他、様々な情報処理装置において実行可能であり、図 14に示す ICモジュール 3 00は、暗号処理装置の一例を示すものである。

[0118] 図 14に示す CPU(Central processing Unit)301は、暗号処理の開始や、終了、データの送受信の制御、各構成部間のデータ転送制御、その他の各種プログラムを実行するプロセッサである。メモリ 302は、 CPU301が実行するプログラム、あるいは演算パラメータなどの固定データを格納する ROM (Read-Only-Memory)、 CPU301 の処理にお!、て実行されるプログラム、およびプログラム処理にお!、て適宜変化するパラメータの格納エリア、ワーク領域として使用される RAM (Random Access Memory )等力もなる。また、メモリ 302は暗号処理に必要な鍵データや、暗号処理において適用する変換テーブル (置換表)や変換行列に適用するデータ等の格納領域として使用可能である。なおデータ格納領域は、耐タンパ構造を持つメモリとして構成されることが好ましい。

[0119] 暗号処理部 303は、例えば上述した Feistel型共通鍵ブロック暗号処理アルゴリズムに従った暗号処理、復号処理を実行する。なお、ここでは、暗号処理手段を個別モジュールとした例を示した力このような独立した暗号処理モジュールを設けず、例えば暗号処理プログラムを ROMに格納し、 CPU301が ROM格納プログラムを読み出して実行するように構成してもよヽ。

[0120] 乱数発生器 304は、暗号処理に必要となる鍵の生成などにおいて必要となる乱数の発生処理を実行する。

[0121] 送受信部 305は、外部とのデータ通信を実行するデータ通信処理部であり、例えばリーダライタ等、 ICモジュールとのデータ通信を実行し、 ICモジュール内で生成した暗号文の出力、あるいは外部のリーダライタ等の機器力ものデータ入力などを実行する。

[0122] この ICモジュール 300において、暗号処理部 303は、例えば、図 12や図 13に示す暗号処理基本ユニット、すなわちインポリューション性と ODM— MR、または、 SDM — MRを満足させる行列配列という 2つの条件を満足させた構成を持つ n段構成の F eistel暗号処理基本ユニットとし、制御部としての CPU3— 1の実行するプログラムに従って、処理ラウンド数が決定され、決定されたラウンド数の Feistel暗号処理を実行する構成とすることがでさる。

[0123] [7.暗号処理装置製造装置の構成例]

次に、例えば上述した暗号処理装置を製造する製造装置の構成例について、図 1 5を参照して説明する。暗号処理装置を製造する製造装置は、図 15に示すように、暗号処理基本ユニット生成部 501と、ラウンド数変更部 502を有する。

[0124] 暗号処理基本ユニット生成部 501は、先に図 1、図 2参照して説明した非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理部であり、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことを可能としたインポリューション性を備え、かつ、複数の異なる F関数を予め設定された F関数配列条件を満足する配列とした暗号処理基本ユニットを生成する。暗号処理基本ユニットは、たとえば、図 12、図 13を参照して説明した暗号処理基本ュ-ットである。

[0125] ラウンド数変更部 502は、暗号処理基本ユニットを適用し、暗号処理装置に設定する暗号処理部のラウンド数に基づ、て、前記 F関数配列条件を満足する F関数を選択し追加する処理を実行し、暗号処理装置 510を製造する。

[0126] ラウンド数変更部 502は、例えば、図 8、図 9を参照して説明したように、暗号処理基本ユニットを構成する先頭ラウンドの前、および最終ラウンドの後に、順次 1つずつ、前記 F関数配列条件を満足する F関数を選択し追加する処理を実行する。あるいは、図 10、図 11を参照して説明したように、暗号処理基本ユニットを複数ユニット接続して、 F関数追加処理を実行する。

[0127] なお、上述の F関数配列条件とは、 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 3つの異なる線形変換行列 M , M , M

0 1 2 を適用した 3種類の F関数 F , F , Fを含む構成である場合において、奇数ラウンド

0 1 2

を先頭力順次選択した場合、 3連続部分に 3種類の F関数 F , F , Fを含み、偶数

0 1 2

ラウンドを最終ラウンドから選択した場合、 3連続部分に 3種類の F関数 F , F , Fを含むという配列条件である。

[0128] また、 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 2つの異なる線形変換行列 M , Mを適用した 2種類の F関数 F , F

0 1 0 1 を含む構成である場合における F関数配列条件は、奇数ラウンドを先頭ラウンドから順次選択した場合、 2連続部分に 2種類の F関数 F , Fを含み、偶数ラウンドを最終

0 1

ラウンドから選択した場合、 2連続部分に 2種類の F関数 F , Fを含むという配列条件

0 1

である。

[0129] 以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。

[0130] なお、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させる力、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。

[0131] 例えば、プログラムは記録媒体としてのハードディスクや ROM (Read Only Memory )に予め記録しておくことができる。あるいは、プログラムはフレキシブルディスク、 CD -ROM(Compact Disc Read Only Memory), MO(Magneto optical)ディスク， DVD( Digital Versatile Disc),磁気ディスク、半導体メモリなどのリムーバブル記録媒体に、一時的あるいは永続的に格納 (記録)しておくことができる。このようなリムーバブル記録媒体は、 V、わゆるパッケージソフトウェアとして提供することができる。

[0132] なお、プログラムは、上述したようなリムーバブル記録媒体力もコンピュータにインストールする他、ダウンロードサイトから、コンピュータに無線転送したり、 LAN(Local A rea Network),インターネットといったネットワークを介して、コンピュータに有線で転送し、コンピュータでは、そのようにして転送されてくるプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。

[0133] なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

産業上の利用可能性

[0134] 上述したように、本発明の構成によれば、非線形変換部および線形変換部を有する SP型の F関数を複数ラウンド繰り返し実行する Feistel型共通鍵ブロック暗号処理構成において、予め設定されたインボリーシヨン性および、予め設定された F関数の配列条件としての ODM— MR、または、 SDM— MRを満足させる行列配列を持つ n ラウンド構成の Feistel暗号構成を暗号処理基本ユニットとして構成し、この暗号処理基本ユニットに対して、 F関数の配列条件を満足するという条件設定の下に選択した F関数を追加する処理や、あるいは、暗号処理基本ユニットを複数接続する処理によつて、インボリーシヨン性および、 ODM— MR、または、 SDM— MRを満足する配列を持つラウンド数を増加させた Feistel暗号構成を構築することができる。

Claims

請求の範囲

[1] 暗号処理装置であり、

を有することを特徴とする暗号処理装置。

[2] 前記 F関数配列条件は、

前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 3つの異なる線形変換行列 M , M , Mを適用した 3種類の F関数 F ,

0 1 2 0

F , Fを含む構成である場合において、

1 2

奇数ラウンドを先頭力順次選択した場合、 3連続部分に 3種類の F関数 F , F , F

0 1

2を含み、偶数ラウンドを最終ラウンドから選択した場合、 3連続部分に 3種類の F関数

F , F , Fを含むという配列条件であることを特徴とする請求項 1に記載の暗号処理

0 1 2

装置。

[3] 前記 F関数配列条件は、

前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 2つの異なる線形変換行列 M , Mを適用した 2種類の F関数 F , Fを

0 1 0 1 含む構成である場合にぉ、て、

奇数ラウンドを先頭ラウンドから順次選択した場合、 2連続部分に 2種類の F関数 F

0

, Fを含み、偶数ラウンドを最終ラウンドから選択した場合、 2連続部分に 2種類の F 関数 F , Fを含むという配列条件であることを特徴とする請求項 1に記載の暗号処理

0 1

装置。

[4] 暗号処理装置製造装置であり、

を有することを特徴とする暗号処理装置製造装置。

[5] 前記 F関数配列条件は、

0 1 2 0

F , Fを含む構成である場合において、

1 2

0 1

F , F , Fを含むという配列条件であることを特徴とする請求項 4に記載の暗号処理

0 1 2

装置製造装置。

[6] 前記 F関数配列条件は、

0 1 0 1 含む構成である場合にぉ、て、

0

, Fを含み、偶数ラウンドを最終ラウンドから選択した場合、 2連続部分に 2種類の F 関数 F , Fを含むという配列条件であることを特徴とする請求項 4に記載の暗号処理

0 1

装置製造装置。

[7] 前記ラウンド数変更部は、前記暗号処理基本ユニットを構成する先頭ラウンドの前、および最終ラウンドの後に、順次 1つずつ、前記 F関数配列条件を満足する F関数を選択し追加する処理を実行する構成であることを特徴とする請求項 4に記載の暗号処理装置製造装置。

[8] 前記ラウンド数変更部は、

前記暗号処理基本ユニットを複数ユニット接続して、 F関数追加処理を実行する構成であることを特徴とする請求項 4に記載の暗号処理装置製造装置。

[9] 暗号処理方法であり、

を有することを特徴とする暗号処理方法。

[10] 前記 F関数配列条件は、

0 1 2 0

F , Fを含む構成である場合において、

1 2

0 1

F , F , Fを含むという配列条件であることを特徴とする請求項 9に記載の暗号処理

0 1 2

方法。

[11] 前記 F関数配列条件は、

前記 Feistel型共通鍵ブロック暗号処理を実行する暗号処理部に含まれる各ラウンドの F関数が 2つの異なる線形変換行列 M , Mを適用した 2種類の F関数 F , Fを含む構成である場合にぉ、て、

0

, Fを含み、偶数ラウンドを最終ラウンドから選択した場合、 2連続部分に 2種類の F 関数 F , Fを含むという配列条件であることを特徴とする請求項 9に記載の暗号処理

0 1

方法。

[12] 暗号処理装置製造方法であり、

を有することを特徴とする暗号処理装置製造方法。

[13] 前記 F関数配列条件は、

0 1 2 0

F , Fを含む構成である場合において、

1 2

0 1

F , F , Fを含むという配列条件であることを特徴とする請求項 12に記載の暗号処

0 1 2

理装置製造方法。

[14] 前記 F関数配列条件は、

0 1 0 1 含む構成である場合にぉ、て、奇数ラウンドを先頭ラウンドから順次選択した場合、 2連続部分に 2種類の F関数 F

0

, Fを含み、偶数ラウンドを最終ラウンドから選択した場合、 2連続部分に 2種類の F 関数 F , Fを含むという配列条件であることを特徴とする請求項 12に記載の暗号処

0 1

理装置製造方法。

[15] 前記ラウンド数変更ステップは、

前記暗号処理基本ユニットを構成する先頭ラウンドの前、および最終ラウンドの後に、順次 1つずつ、前記 F関数配列条件を満足する F関数を選択し追加する処理を実行するステップであることを特徴とする請求項 12に記載の暗号処理装置製造方法

[16] 前記ラウンド数変更ステップは、

前記暗号処理基本ユニットを複数ユニット接続して、 F関数追加処理を実行するステツプであることを特徴とする請求項 12に記載の暗号処理装置製造方法。

[17] 暗号処理装置において暗号処理を実行させるコンピュータ 'プログラムであり、暗号処理部にお！ゝて、非線形変換処理および線形変換処理を含むデータ変換処理を実行する SP型 F関数を複数ラウンド繰り返す Feistel型共通鍵ブロック暗号処理を実行する暗号処理ステップであり、使用するラウンド鍵の使用順序を逆にするだけで暗号ィ匕関数と復号関数を同じ回路で行うことを可能としたインポリューション性を備え、かつ、複数の異なる F関数を予め設定された F関数配列条件を満足する配列とした暗号処理基本ユニットを利用した暗号処理を実行する暗号処理ステップと、制御部にぉ、て、前記暗号処理部に構成された暗号処理基本ユニットの利用回数設定情報に基づいて、前記暗号処理基本ユニットを 1回または複数回繰り返し利用する暗号処理演算の実行制御を行う制御ステップと、

を実行させることを特徴とするコンピュータ ·プログラム。