WO2007126049A1

WO2007126049A1 - プログラム難読化システム、プログラム難読化装置及びプログラム難読化方法

Info

Publication number: WO2007126049A1
Application number: PCT/JP2007/059158
Authority: WO
Inventors: Yuichi Futa; Taichi Sato; Rieko Asai; Motoji Ohmori; Masahiro Mambo
Original assignee: Panasonic Corporation
Priority date: 2006-04-28
Filing date: 2007-04-27
Publication date: 2007-11-08
Also published as: KR20080113277A; US8479018B2; JP4938766B2; CN101432755A; US20090228717A1; CN101432755B; JPWO2007126049A1

Abstract

　プログラム解析の困難性をさらに強化する難読化装置を提供する。難読化装置は、乗算及び２乗算の処理に対して、同じ個数の引数を入力とするテーブルを生成し、さらに、それらの引数に出力が依存するようにテーブルの出力値を設定する。より具体的には、２乗算の処理に対して、乗算でのみ必要な引数を使った追加処理を付け加えた上でテーブル化することにより、引数の数を乗算と揃える。さらに、この場合、出力が全ての引数に依存するため、実際には処理されないダミーの引数を追加する場合と異なり、追加した引数があるか否かが分からないようになる。

Description

明細書

プログラム難読化システム、プログラム難読ィ匕装置及びプログラム難読ィ匕方法

技術分野

[0001] 本発明は、情報セキュリティ技術としてのコンピュータプログラムの難読ィ匕技術に関する。

背景技術

[0002] 近年、情報通信技術の普及に伴、、情報セキュリティ技術の重要性が一段と増してきている。このような情報セキュリティ技術の一つとして、暗号技術が、コンピュータプログラムである暗号用ソフトウェアとして具現ィ匕され、秘密の通信、プライバシーの保護、通信相手の確認等のために用いられる。

情報処理装置や通信装置などのコンピュータシステムに暗号用ソフトウェアを実装する場合、秘密鍵や暗号アルゴリズムに何らの加工を施すことなくこれらをそのまま実装するなら、不正な利用者によりプログラム実行時にこれらを解析 (プログラム解析と呼ぶ）されたとき、簡単に秘密鍵が漏洩してしまう。そのため、プログラム解析を困難にする耐タンパ一ソフト技術が要望されている。耐タンパ一ソフト技術の一例として、特許文献 1におヽて、暗号ィ匕などの処理をランダム変換を含めてテーブルィ匕することで、プログラムを難読ィ匕する方法が記載されて、る。

[0003] 特許文献 1に記載されている従来の難読化方法の処理を図 39に示す。

従来のこの難読ィ匕方法では、共通鍵暗号の暗号用プログラムや復号用プログラムなどの難読ィ匕前の通常プログラム 9000に対して、難読化の処理 (ステップ S 9001〜 S9002)を施して、難読ィ匕プログラム 9002を生成し、出力する。この難読化方法の詳細について、以下に説明する。

[0004] 従来の難読化方法では、最初に、通常プログラム 9000を構成する複数のプロダラム命令を、共通鍵暗号における鍵 key〜key を用いる処理 l〜n (nは自然数）に分

1 n

けて、処理 l〜nを含む処理分割プログラム 9001を生成する（ステップ S9001)。次に、処理 1の直後に、出力値変換 π と出力値逆変換 π ¹とを挿入し、処理 2の直後に、出力値変換 π と出力値逆変換 π ¹とを挿入し、処理 3の直後に、出力値

2 2

変換 π と出力値逆変換 π ¹とを挿入し、…、処理 iの直後に、出力値変換 π と出

3 2 i 力値逆変換 π ¹とを挿入し、 · · ·、処理 n—lの直後に、出力値変換 π と出力値逆

i n-1

変換 π ¹とを挿入する。ここで、 π ¹は、変換 π の逆変換を示す。 (1= 1, 2、 3、 · · n-1 i i

•、n - 1)

次に、処理 1及び出力値変換 π をテーブルィ匕してテーブル RTを生成し、出力値

1 1

逆変換 π ¹、処理 2及び出力値変換 π をテーブルィ匕してテーブル RTを生成し、

1 2 2

出力値逆変換 π ¹、処理 3及び出力値変換 π をテーブルィ匕してテーブル RTを生

2 3 3 成し、…、出力値逆変換 π ¹、処理 i+ 1及び出力値変換 π をテーブルィ匕してテ

+1

一ブル RT を生成し、 · · ·、最後に、出力値逆変換 π ¹及び処理 ηをテーブルィ匕

i+1 n-1

してテーブル RT を生成する。こうして、テーブル RT、 RT、 · · ·

n 1 2 、 RTを含む難読

n

化プログラム 9002が生成される（ステップ S9002)。

[0005] このとき、鍵 key〜key がそれぞれ予め与えられた定数であれば、それをも含めてテーブルィ匕可能である。

特許文献 1に記載の技術では、各テーブル RT

1、…、 RT は、各処理 1

n-1 、 · · ·、！! の出力値を出力値変換 π

1、 · · ·、 π により変換する。このように各テーブルへの

n-1

入力値や各テーブル力もの出力値は変換された値となっているため、各テーブルの入力値及び出力値を用いても、各テーブル中で行われている演算を解析しに《なり

、プログラム解析は困難となる。また、テーブル RTにおいて施される出力値変換 π は、テーブル RTに続くテーブル RT にお、て施される出力値変換 π ¹により逆変

i i+1 ί

換されるのでプログラムの実行結果は難読ィ匕前の通常プログラムと同じものとなる。

[0006] 図 40は、従来の難読ィ匕方法で生成されるテーブルの一例を示している。この図に示すように、集合 9011に含まれる各入力値 inについて、処理 1により、中間値 a を

1 計算し (ステップ S 9003)、それぞれの中間値 a に対し、ランダムな全単射変換であ

1

る出力値変換 π を設定し、出力値変換 π による変換後の値 π (a )を計算し (ス

1 1 1 1

テツプ S9004)、入力値 inと変換後の値 π (a )を対応づけるテーブル RT 9014を

1 1 1 作成する（ステップ S 9005)。

[0007] このように、特許文献 1に記載されて、る従来の難読ィ匕方法は、プログラムを難読化するという一定の目的を達成しているが、さらに、プログラム解析の困難性を強化する難読化技術が要望されてヽる。

特許文献 1：国際公開第 WO02Z46890号パンフレット

非特許文献 1 :岡本龍明、山本博資、「現代暗号」、産業図書 (1997年）

非特干文献 2 : H.Cohen, A Course in Computational Algebraic Number Tneory ,G f

M 138,Springer-Verlag,1996,p9

発明の開示

発明が解決しょうとする課題

[0008] 本発明は、上記要望に対応するため、プログラム解析の困難性がさらに強化されたプログラム難読システム、プログラム難読ィ匕装置、プログラム難読化方法、プログラム難読ィ匕プログラム、プログラム難読ィ匕プログラムを記憶して、る記録媒体を提供することを目的とする。

課題を解決するための手段

[0009] 上記目的を達成するために、本発明は、鍵情報を用いて対象情報を安全又は確実に扱うセキュリティ演算を含む情報セキュリティプログラムを難読ィ匕するプログラム難読化装置であって、前記セキュリティ演算と等価となるように、複数入力が必要な第 1 基本演算と、前記複数入力の一部のみ必要とする第 2基本演算とを含む複数の基本演算が鍵情報により定まる順序で配置されている前記情報セキュリティプログラムを取得する取得手段と、前記情報セキュリティプログラムに含まれる各第 2基本演算について、当該第 2基本演算の前後に、当該第 2基本演算において必要とされない入力に依存する入力依存変換とその逆変換である入力依存逆変換を配置する変換手段と、各第 2基本演算について、直前に配置された前記入力依存変換、当該第 2基本演算及び直後に配置された前記入力依存逆変換からなる一組の演算と等価の演算結果を得るテーブルを生成し、当該テーブルを参照する参照命令を生成するテーブル生成手段と、生成された前記テーブル及び前記参照命令を含む難読化プログラムを出力する出力手段とを備えることを特徴とする。

発明の効果 [0010] この構成によると、複数入力が必要な第 1基本演算及び前記複数入力の一部のみ必要とする第 2基本演算のうち、第 2基本演算について、当該第 2基本演算の前後に、当該第 2基本演算において必要とされない入力に依存する入力依存変換とその逆変換である入力依存逆変換を配置して、第 1基本演算及び第 2基本演算の入力の数の差を少なくし、入力数の違いによる攻撃に対抗して、プログラム解析の困難性をより高めることがでさる。

[0011] ここで、前記変換手段は、さらに、前記情報セキュリティプログラムに含まれる各第 1 基本演算について、当該第 1基本演算の前後のいずれか、又は両方に、当該第 1基本演算において必要な入力に依存する入力依存変換とその逆変換である入力依存逆変換を配置するとしてもよ、。

この構成〖こよると、第 1基本演算についても、当該第 1基本演算の前後のいずれか、又は両方に、当該第 2基本演算において必要とされない入力に依存する入力依存変換とその逆変換である入力依存逆変換を配置するので、プログラム解析の困難性をより高めることができる。

[0012] ここで、前記変換手段において、前記入力依存変換は減算であり、前記入力依存逆変換は加算であるとしてもょ、。

この構成によると、入力値に依存する減算と加算とを配置するので、演算結果は、配置しな!ヽ場合と等価となる。

ここで、前記変換手段は、さらに、前記情報セキュリティプログラムの先頭に配置された基本演算を除くその他の基本演算のそれぞれにつ!、て、当該基本演算の直前に、当該基本演算の直前の基本演算の演算結果に第 1の変換を施す第 1変換演算と、前記第 1変換演算の演算結果に、第 1の変換の逆変換である第 2の変換を施す第 2変換演算とを配置し、前記テーブル生成手段は、さらに、前記情報セキュリティプログラムの先頭に配置された基本演算とその直後に配置された第 1変換演算とからなる一組の演算と等価の演算結果を得るテーブルを生成し、当該テーブルを参照する参照命令を生成し、中間に配置された各基本演算について、直前に配置された前記減算、当該基本演算及び直後に配置された前記加算に加えて、第 2変換演算及び第 1変換演算からなる一組の演算と等価の演算結果を得る前記テーブルを生成し、当該テーブルを参照する前記参照命令を生成し、さらに、前記情報セキュリティプログラムの末尾に配置された基本演算とその直前に配置された第 2変換演算とからなる一組の演算と等価の演算結果を得るテーブルを生成し、当該テーブルを参照する参照命令を生成し、前記出力手段は、生成された前記テーブル及び前記参照命令を含む前記難読ィ匕プログラムを出力するとしてもよい。

[0013] この構成によると、基本演算の前後に第 1変換演算と、その逆変換である第 2変換演算が配置されるので、プログラム解析の困難性をより高めることができる。なお、第 1変換演算と、その逆変換である第 2変換演算が配置されるので、演算結果は、配置しない場合と等価である。

ここで、前記変換手段は、前記基本演算、前記減算、前記加算、前記第 1変換演算及び前記第 2変換演算を、桁毎に分解して、複数の桁演算を生成し、生成した前記桁演算を配置し、前記テーブル生成手段は、前記情報セキュリティプログラムの先頭に配置された基本演算とその直後に配置された第 1変換演算とからなる一組の演算と等価の演算結果が得られるように、生成した前記桁演算と等価の演算結果が得られる桁演算テーブルを生成し、当該桁演算テーブルを参照する桁演算参照命令を生成し、中間に配置された各基本演算について、直前に配置された前記減算、当該基本演算及び直後に配置された前記加算、第 2変換演算及び第 1変換演算からなる一組の演算と等価の演算結果が得られるように、生成した前記桁演算と等価の演算結果が得られる桁演算テーブルを生成し、当該桁演算テーブルを参照する桁演算参照命令を生成し、前記情報セキュリティプログラムの末尾に配置された基本演算とその直前に配置された第 2変換演算とからなる一組の演算と等価の演算結果が得られるように、生成した前記桁演算と等価の演算結果が得られる桁演算テーブルを生成し、当該桁演算テーブルを参照する桁演算参照命令を生成し、前記出力手段は、生成された前記桁演算テーブル及び前記桁演算参照命令を含む前記難読化プログラムを出力するとしてもよい。

[0014] この構成〖こよると、各演算を桁毎に分解するので、生成されるテーブルの総量をより少なくすることができる。

ここで、前記テーブル生成手段は、桁演算テーブルの生成に際して、所定数個の共通化されたテーブルから、 1個のテーブルを選択するとしてもよヽ。

この構成〖こよると、前記テーブル生成手段は、所定数個の共通化されたテーブルから選択するので、保持するテーブルの総量をより少なくすることができる。

[0015] ここで、前記セキュリティ演算は、法 nの元で、鍵情報である秘密鍵 dを用いる対象情報 Cに対するべき乗剰余演算 Cⁿ mod nであり、鍵情報により定まる順序で配置された入力数の異なる前記複数の基本演算は、べき乗剰余演算 Cⁿ mod nと等価になるように、バイナリ法により、前記基本演算として、乗算剰余演算と 2乗剰余演算と力秘密鍵 dの各ビット値に基づいて、配置されたものであり、前記変換手段は、中間に配置された乗算剰余演算又は 2乗剰余演算の直前及び直後に、当該乗算剰余演算又は 2乗剰余演算への 1個の入力値に依存する減算及び加算を配置し、前記テーブル生成手段は、中間に配置された各乗算剰余演算又は 2乗剰余演算について、直前に配置された前記減算、当該乗算剰余演算又は 2乗剰余演算及び直後に配置された前記加算力なる一組の演算と等価の演算結果を得るテーブルを生成するとしてちょい。

[0016] この構成〖こよると、前記セキュリティ演算は、法 nの元で、鍵情報である秘密鍵 dを用いる対象情報 Cに対するべき乗剰余演算 Cⁿ mod nであるので、安全性がある程度確立された RSA暗号技術を用いることができる。

ここで、前記セキュリティ演算は、法 nの元で、鍵情報である秘密鍵 dを用いる対象情報 Cに対するべき乗剰余演算 Cⁿ mod nであり、鍵情報により定まる順序で配置された入力数の異なる前記複数の基本演算は、べき乗剰余演算 Cⁿ mod nと等価になるように、バイナリ法により、前記基本演算として、乗算剰余演算と 2乗剰余演算と力秘密鍵 dの各ビット値に基づいて、配置されたものであり、前記変換手段は、中間に配置された各乗算剰余演算を分解して、乗算演算及び剰余演算を配置し、配置された乗算演算の直前及び直後に、当該乗算演算への 1個の入力値に依存する減算及び加算を配置し、中間に配置された各 2乗算剰余演算を分解して、 2乗算演算及び剰余演算を配置し、配置された 2乗算演算の直前及び直後に、当該 2乗算演算への 1個の入力値に依存する減算及び加算を配置し、前記テーブル生成手段は、中間に配置された各乗算演算又は各 2乗演算について、直前に配置された前記減算、当該乗算演算又は 2乗演算及び直後に配置された前記加算からなる一 ffi^の演算と等価の演算結果を得るテーブルを生成するとしてもよ!/、。

[0017] この構成によると、べき乗剰余演算 Cⁿ mod nにおける乗算剰余演算及び 2乗算剰余演算がそれぞれ分解されて、乗算演算及び剰余演算、並びに 2乗算演算及び剰余演算が配置され、乗算演算の直前及び直後に、前記減算及び加算が配置され、 2 乗算演算の直前及び直後に、前記減算及び加算が配置されるので、プログラム解析の困難性をより高めることができる。なお、入力値に依存する減算と加算とを配置するので、演算結果は、配置しない場合と等価である。

図面の簡単な説明

[0018] [図 1]実施の形態 1における通常プログラム 5001から難読ィ匕プログラム 5002への変換を示す図である。

[図 2]実施の形態 1における乗算の難読ィ匕及び 2乗算の難読ィ匕を示す図である。

[図 3]実施の形態 2における難読ィ匕システム 1の構成を示すブロック図である。

[図 4]難読ィ匕システム 1による第 1の難読ィ匕の方法の考え方を示す図である。

[図 5]変換乗算剰余処理の構成を示す図である。図 5 (a)は、 i= lの場合を示し、図 5

(b)は、 2≤i≤k— 1の場合を示し、図 5 (c)は、 i=kの場合を示している。

[図 6]図 6 (a)は、 2≤i≤k—lの場合の入力値変換及び出力値変換が挿入された変換乗算剰余処理の構成を示し、図 6 (b)は、 2≤i≤k— 1の場合の分割後の乗算剰余処理の構成を示す。

[図 7]図 7 (a)は、 i=kの場合の入力値変換が挿入された変換乗算剰余処理の構成を示し、図 7 (b)は、 i=kの場合の分割後の乗算剰余処理の構成を示す。

[図 8]2≤i≤k— 1の場合の桁毎に分割された変換乗算処理の構成を示す。図 8 (a) は、分割前の変換乗算処理を示し、図 8 (b)は、分割後の変換乗算処理を示す。

[図 9]i=kの場合の桁毎に分割された変換乗算処理の構成を示す。

[図 10]桁毎に分割される場合における各加算処理の構成を示す。

[図 11]分割された変換剰余処理の構成を示す。

[図 12]各桁に対してさらに分割された場合の乗算処理の構成を示す。

[図 13]共通化されるテーブルのパターンを示す。 [図 14]RT について分割された乗算処理 1002の構成を示す図である。

1

[図 15]RT について分割された乗算処理 1002の構成を示す図である。図面上にお

1

いて、入力値変換及び出力値変換を明らかにしている。

[図 16]RT (2≤i≤k- l)について分割された乗算処理 1004の構成を示す図である。

[図 17]RT (2≤i≤k- l)について分割された乗算処理 1004の構成を示す図である。図面上において、入力値変換及び出力値変換を明らかにしている。

[図 18]RT について分割された乗算処理 1009の構成を示す図である。

k

[図 19]RTについて分割された乗算処理 1009の構成を示す図である。図面上にお k

いて、入力値変換及び出力値変換を明らかにしている。

[図 20]分割された剰余処理 1005の構成を示す。図 21へ続く。

[図 21]分割された剰余処理 1005の構成を示す。図 22へ続く。

[図 22]分割された剰余処理 1005の構成を示す。図 23へ続く。

[図 23]分割された剰余処理 1005の構成を示す。図 22から続く。

[図 24]RT (2≤i≤k—l)について図 17に示す RM の詳細を示す。

i 1

[図 25]RT (2≤i≤k—l)について図 17に示す RM のテーブルの具体例を示す。

i 1

[図 26]図 26 (a)、図 26 (b)、図 26 (c)及び図 26 (d)は、それぞれ、 RT. (2≤i≤k— 1 ) について図 17に示す RM における変換 j8、変換 φ— ¹、変換 g及び変換 γ の具体

1 3 例としてのテーブルを示す。

[図 27]RT について図 19に示す RM の詳細を示す。

k 1

[図 28]RT について図 19に示す RM のテーブルの具体例を示す。

k 1

[図 29]図 29 (a)、図 29 (b)、図 29 (c)及び図 29 (d)は、それぞれ、 RT について図 1 k

9に示す RM における変換 |8、変換 φ— ¹、変換 g及び変換 γ の具体例としてのテー

1 3

ブルを示す。

[図 30]RT について図 15に示す RA の詳細を示す。

1 1

[図 31]RT について図 15に示す RA のテーブルの具体例を示す。

1 1

[図 32]図 32 (a)、図 32 (b)及び図 32 (c)は、それぞれ、 RT について図 15に示す R

1

A における変換 j8、変換 γ 及び変換 j8 ^_1の具体例としてのテーブルを示す。圆 33]難読ィ匕装置 100の構成を示す図である。

[図 34]暗号処理装置 300の構成を示す図である。

[図 35]難読ィ匕装置 100による難読ィ匕処理時の動作を示すフローチャートである。

[図 36]暗号処理装置 300による復号ィ匕処理の動作を示すフローチャートである。

[図 37]暗号処理装置 300による署名生成処理の動作を示すフローチャートである。

[図 38]難読ィ匕装置 100によるテーブルィ匕の動作を示すフローチャートである。

圆 39]従来の難読化方法の処理の手順を示す図である。

[図 40]従来の難読ィ匕方法のテーブルィ匕の一例を示す図である。

[図 41]RT について図 15に示す RM の詳細を示す。

1 1

[図 42]図 42 (a)、図 42 (b)及び図 42 (c)は、それぞれ、 RT について図 15に示す R

1

M における変換 j8、変換 g及び変換 γ の具体例としてのテーブルを示す。

1 3

[図 43]RT について図 15に示す RM のテーブルの具体例を示す。

1 1

符号の説明

1 難読化システム

100 難読化装置

101 入力部

102 乗算配置情報生成部

103 分割処理配置情報生成部

104 変換生成部

105 テーブル生成部

106 読出情報配置部

107 プログラム生成部

108 媒体記録部

200 媒体

300 暗号処理装置

301 入力部

302 出力部

303 データメモリ 304 プログラムメモリ

305 CPU

306 媒体読込部

発明を実施するための最良の形態

[0020] 1.実施の形態 1

本発明に係る 1の実施の形態としての難読ィ匕方法にっ、て説明する。

ここでは、難読ィ匕の対象となるプログラムとして、共通鍵暗号ではなぐ公開鍵暗号の復号化プログラムを使う場合について説明し、具体的には、公開鍵暗号の例として RSA暗号の復号ィ匕プログラムを難読ィ匕する難読ィ匕方法について、説明する。なお、 RSA暗号については、非特許文献 1の 110〜113ページに記載されているので、詳細の説明を省略する。

[0021] RSA暗号の復号ィ匕では、正整数である秘密鍵 dを用いて、暗号文 Cの復号文である Mを計算する。

M = C"d mod n

このような演算をセキュリティ演算と呼ぶこともある。

ここで、 nは、素数 pと素数 qの積であり、本明細書において、「Χ"Υ」は、 Xの Υ乗を示し、「X mod Y」は、 Xを Yで割ったときの余りを示している。

[0022] C'd mod nの計算は乗算と 2乗算の繰返しによって実現でき、 RSA暗号をコンビユータシステムなどに実装する場合に、この性質を利用することが多い。このとき、乗算と 2乗算が適用される順番は、秘密鍵の値に依存するので、これを解析することで、攻撃者が秘密鍵を知ることができる。

RSA暗号の復号ィ匕プログラムである難読ィ匕前の通常プログラム 5001は、図 1に示すように、 2乗算 S5011、乗算 S5012、 · · ·、乗算 S5013を含んで!/、る。このとき、乗算と 2乗算が適用される順番は、秘密鍵 dの値に依存する。ここで、秘密鍵 dは、 nビット長であり、一例として、秘密鍵 dは、「01 · · · 1」である。

[0023] X =C X C mod n

1

X =X X C mod n X =X X C mod n

n n-1

こうして、復号文 M=X ( = C"d mod n)が得られる。

[0024] ここで、説明の便宜のために、

X =C X C mod n

1

X =X X C mod n

2 1

X =X X C mod n

n n-1

をそれぞれ、演算 1 (S5011)、演算 2 (S5012)、 · · ·、演算 n (S5013)と呼ぶこととする。

[0025] この難読ィ匕方法は、演算 KS5011)の直後に、出力値変換 π S5031と出力値逆

1

変換 π i sSOSSとを挿人し、演算 2 (S5012)の直後に、出力値変換 π S5033と

1 2

出力値逆変換 π ¹とを挿入し、演算 3の直後に、出力値変換 π と出力値逆変換 π

2 3 3

— ¹とを挿入し、 · · ·、演算 iの直後に、出力値変換 π と出力値逆変換 π ¹とを挿入し、 …、演算 (η— 1)の直後に、出力値変換 π と出力値逆変換 π — 5034とを揷

n-1 n~l

入する。ここで、 π ¹は、変換 π の逆変換を示す。 (1= 1, 2、 3、 · · ·、 η— 1) 次に、この難読化方法は、演算 XI (S5011)及び出力値変換 π S5031をテープ

1

ノレイ匕してテープノレ RT 5021を生成し、出力値逆変換 π — ¹ S5032、演算 X2 (S501

1 1

2)及び出力値変換 π S5033をテーブル化してテーブル RT 5022を生成し、出力

2 2

値逆変換 π 演算 Χ3及び出力値変換 π をテーブルィ匕してテーブル RTを生成

2 3 3 し、 · · ·、出力値逆変換 π ¹、演算 Xi+ 1及び出力値変換 π をテーブルィ匕してテ

+1

一ブル RT を生成し、 · · ·、最後に、出力値逆変換 π — ¹ S 5034及び演算 X

i+l n-1

n (S5013)をテーブル化してテーブル RT 5023を生成する。こうして、テーブル RT 5021、 RT 5022、 · · ·、： RT 5023を含む難読ィ匕プ Pグラム 5002力 S生成される（ス

1 2 n

テツプ S5001)。

[0026] このように、この難読化方法では、最初と最後の演算を除く途中の演算の前後に、出力値変換及び出力値逆変換をセットで挿入する。次に、最初の演算と出力値変換をテーブルィ匕する。次に、途中の各演算について、出力値逆変換と当該演算と出力値逆変換をテーブルィ匕する。さらに、最後の演算について、出力値逆変換と当該演算とをテーブルィ匕する。これにより、演算途中の中間値が変換されるので、演算内容を隠すことができる。

[0027] し力しながら、乗算と 2乗算との繰り返しによってべき乗演算をして RSA暗号を実現する場合、乗算と 2乗算とでは、使用される入力値が異なる。すなわち、図 2 (a)に示すように、乗算では、第 1の入力値 inlに第 2の入力値 in2をかける演算を行うのに対し、図 2 (b)に示すように、 2乗算では、第 1の入力値 inlのみを用いて、第 1の入力値 inlの 2乗算を行う。

[0028] このため、乗算のテーブルの出力は inlおよび in2の両方に依存し、 2乗算のテーブルの出力は inlのみに依存している。

この性質を利用すると、攻撃者は、テーブルの入出力に着目することで、各テープルで乗算と 2乗算のどちらが行われているのかを区別することができる。すなわち、 2 乗算のテーブルには入力値 in2が不要であるので、入力値 in2が入力されていないテーブルは 2乗算のテーブルであり、入力値 in2が入力されているテーブルが乗算のテーブルであると推測することができる。また、仮に、 2乗算のテーブルを (実際の処理に使用しな、が)入力値 in2を入力するように構成したとしても、 2乗算のテーブルの出力値は入力値 in2に依存しないので、この性質力もテーブルが 2乗算を行っているの力乗算を行っているのかを推測される可能性がある。

[0029] このため、乗算と 2乗算の順序を推測される可能性があり、その結果、秘密鍵の値が知られてしまう可能性がある。

2.実施の形態 2

次に示す実施の形態 2は、実施の形態 1による問題点を解決し、乗算と 2乗算の入力数が異なることによる攻撃を防ぐことを目的とする。

[0030] 本発明に力かる実施の形態 2としての難読ィ匕システム 1につ、て説明する。

2. 1 難読ィ匕システム 1の概要

実施の形態 2における難読ィ匕システム 1の構成を図 3に示す。難読ィ匕システム 1は、秘密鍵 dを入力値として受け付け難読ィ匕プログラムを生成し、生成した難読化プログラムを出力する難読ィ匕装置 100と、出力された難読ィ匕プログラムを記録する媒体 200 と、媒体 200から難読ィ匕プログラムを読み出し、読み出した難読ィ匕プログラムを実行し、暗号文から復号文を生成し、又はメッセージから署名データを生成する暗号処理装置 300とから構成される。

[0031] 難読ィ匕システム 1において、難読ィ匕装置 100は、秘密鍵 dと、 RSA暗号の復号化や署名生成で使用する対象データ Xとに対し、 X"d mod nを計算する難読化プログラムを生成し、生成した難読化プログラムを媒体 200に記録する。暗号処理装置 300 は、媒体 200に記録された難読ィ匕プログラムを読み出し、暗号処理装置 300が備える CPUが読み出した難読ィ匕プログラムに従って動作することにより、暗号文から復号文を生成し、又はメッセージ力も署名データを生成する。

[0032] 2. 2 RSA暗号方法及び RSA署名方法

ここでは、 RSA暗号方法及び RSA署名方法について説明する。 RSA暗号方法や RSA署名方法を用いることにより、情報を安全又は確実に扱うことができる。

(l)RSA暗号方法

(a)鍵の生成

RSA暗号方法では、次に示すようにして、公開鍵及び秘密鍵を計算する。

[0033] (i)ランダムに大きヽ素数 p, qを選択し、その積 n = p X qを計算する。 p, qの大きさは、例えば、 512ビットであり、 nの大きさは、例えば、 1024ビットである。

(ii) (p— 1)及び (q— 1)の最小公倍数 L = LCM (p— 1, q— 1)を計算する。

[0034] (iii) Lと互いに素 (Lとの最大公約数が 1)で Lより小さ、自然数 eをランダムに選ぶ。

l≤e≤L—l、 GCD (e, L) = l

ここで、 GCD (e, L)は、 eと Lの最大公約数を示している。

(iv) e X d= 1 mod Lを満たす dを計算する。 GCD (e, L) = 1の場合、このような d は必ず存在することが数学的に知られている。このようにして、得られた整数 e及び整数 nが公開鍵である。また、整数 dが秘密鍵である。

[0035] (b)暗号文の生成

公開鍵である整数 e及び整数 nを用いて、平文 mに以下の暗号演算を施して暗号文 cを計算する。ただし、平文 mは整数 nよりも小さいものとする。

c=m e mod n

(c)復号文の生成秘密鍵である整数 dを用いて、暗号文 cに復号演算を施して復号文 m'を計算する。

[0036] m' =c"d mod n

なお、

m =c a mod n

= (m e ) d mod n

=m" (e X d mod L) mod n

=m 1 mod n

=m mod n

であり、 m<nであるので、 m mod n=mであることから、復号文 m'は、平文 mと一致する。

[0037] なお、 RSA暗号方法については、非特許文献 1の 110〜113ページに詳しく説明されている。

(2)RSA署名方法

(a)鍵の生成

鍵の生成方法については、 RSA暗号方法と同様である。

[0038] (b)署名生成

メッセージデータ Dに対して、以下のように署名データ Sを計算する。

最初に、ハッシュ関数 Hashを用いて、メッセージデータ Dのハッシュ値 h=Hash ( D)を計算する。

次に、秘密鍵である整数 dを用いて、ノ、ッシュ値 hを d乗して、署名データ Sを計算する。

[0039] S=h"d mod n

すなわち、ノ、ッシュ値 hを平文として、 RSA暗号によって暗号ィ匕した値が署名データ Sである。

(c)署名検証

署名データ Sがメッセージデータ Dの正し、署名であるかは、以下のように検証される。

[0040] メッセージデータ Dと署名データ Sとを受信し、 Hash (D)を計算し、 S'e mod n( 署名データ Sを RSA暗号によって復号した値に相当する）を計算する。次に、 Hash (D)と S'e mod nとが等しいか否かを確認する。等しい場合は、署名データ Sが正しい署名であるとして、受理する。等しくない場合は、署名データ Sが正しくない署名であるとして、拒否する。

[0041] なお、 RSA署名については、非特許文献 1の 175〜176ページに詳しく説明されている。

2. 3 難読ィ匕装置 100で実行する難読ィ匕について

(1)バイナリ法によるべき乗演算

難読化装置 100による難読化の対象となる難読化前の通常プログラムは、対象データ Xに対し、べき乗値 X"d mod nを計算する命令を含む。このようなべき乗剰余算を、セキュリティ演算と呼ぶこともある。

[0042] この通常プログラムは、このべき乗演算として、バイナリ法によるべき乗演算を用いる。ここで、バイナリ法によるべき乗演算とは、 X"d mod nのような式（一般にべき剰余と言われる）の値を、乗算と 2乗算の繰り返しにより計算する方法である。バイナリ法の詳細につヽては、非特許文献 2に記載されて、る。

(2)難読ィ匕装置 100による難読ィ匕処理の方法 (第 1の難読ィ匕の方法）難読化装置 100による難読化処理の方法 (第 1の難読化の方法）について、図 4を用いて、説明する。図 4には、難読ィ匕処理の考え方を記している。

[0043] この難読化処理の方法 (第 1の難読化の方法)では、図 4に示すように、難読化前の通常プログラム 400を、中間プログラム 420に変換し (ステップ S401)、さらに、難読化プログラム 440に変換する（ステップ S402)。

ここで、通常プログラム 400、中間プログラム 420及び難読化プログラム 440の演算結果は、それぞれ同じである。このような性質を等価と呼ぶこともある。

[0044] (通常プログラム 400の内容）

図 4に示す難読ィ匕前の通常プログラム 400は、バイナリ法によるべき乗剰余演算を行う命令ブロック 401を含み、命令ブロック 401は、命令 411、 412及び 413を含む。このような通常プログラム 400を情報セキュリティプログラムと呼ぶこともある。

[0045] 通常プログラム 400において、変数 Xには、べき乗剰余演算の対象データである値が格納され、変数 lenには、秘密鍵 dの総ビット長が格納され、変数 Yには、演算途中の結果値が格納される。また、変数 iは、秘密鍵 dのうち、着目しているビット位置を示している。ここで、秘密鍵 dのビットは最下位ビットを 0ビット目とし、下位から順に数えるちのとする。

[0046] 命令 411では、変数 Xの値が変数 Yに代入される。

命令 412では、変数 lenに、秘密鍵 dの総ビット長が格納される。

命令 413では、変数 iに、最初に (len— 1)の値を格納し、変数「1」ずつ減らしながら、変数 i≥0を満たす間、次に示す命令 414及び命令 415を繰り返す。

[0047] 命令 414では、法 nにおいて変数 Yの 2乗算を行いその結果を変数 Yに格納する。

命令 415では、秘密鍵 dにおいて変数 iの値が示すビットを見て、そのビットの値が「 1」の場合には、さらに、法 nにおいて変数 Yと変数 Xの乗算を行いその結果を変数 Y に格納する。

こうして、命令ブロック 401による演算が完了すると、変数 Yには、法 nにおいて変数 Xを d乗して得られる値が格納される。

[0048] Y=X"d mod n

このように、ノイナリ法によるべき乗においては、秘密鍵 dの各ビットを見て、当該ビットの値が「0」の場合には 2乗算のみを行い、「1」の場合には 2乗算及び乗算を行う。そのため、もしも、 2乗算のみが行われている力又は 2乗算及び乗算が行われているかが分力るなら、秘密鍵 dを復元することができる。従って、難読化処理では、秘密鍵 dの各ビットに対応する処理において、 2乗算及び乗算のどちらが行われているのか区別が付かな、ようにする必要がある。

[0049] (通常プログラム 400から中間プログラム 420への変換）

図 4に示すステップ S401における通常プログラム 400から中間プログラム 420への変換について説明する。

難読ィ匕装置 100による難読ィ匕処理の方法では、中間プログラム 420内において、最初に、変数 Xの値を変数 Yに代入する初期ィ匕命令 422「Y=X;」を生成する。

[0050] 次に、通常プログラム 400内の命令ブロック 401から、秘密鍵 dの値による分岐命令である if文及びループ命令である for文を取り除き、中間プログラム 420内において、秘密鍵 dの最下位ビットから最上位ビットに向けて、ビット毎に、当該ビットの値が「0」であるなら、 2乗算剰余命令「Y=YXY mod n；」を生成する。当該ビットの値が「1 」であるなら、 2乗算剰余命令「Y=YXY mod n；」及び乗算剰余命令「Y=YXX mod n；」生成する。

[0051] こうして、初期化命令 422と、 1個以上の 2乗算剰余命令と、 1個以上の 2乗算剰余命令及び乗算剰余命令力もなる組命令とから構成される乗算配置情報 421が生成される。ここで、 2乗算剰余命令及び乗算剰余命令を基本剰余演算又は単に基本演算と呼ぶこともある。また、 2乗算剰余命令及び乗算剰余命令をそれぞれ、第 2基本演算及び第 1基本演算と呼ぶこともある。ここで、第 1基本演算である乗算剰余命令は、複数入力を必要とし、第 2基本演算である 2乗算剰余命令は、前記複数入力の一部のみを必要とする。

[0052] 乗算配置情報 421内において、初期ィ匕命令 422は、先頭に配置され、続いて、 1 個以上の 2乗算剰余命令と、 1個以上の 2乗算剰余命令及び乗算剰余命令の組命令とが、秘密鍵 dの値に応じて配置される。乗算配置情報 421内におけるこれら命令の配置の順序は、初期化命令 422、 2乗算剰余命令及び乗算剰余命令の実行順序を規定している。

一例として、図 4の中間プログラム 420は、秘密鍵 dが「101 · · ·01」である場合の様子を示す。乗算配置情報 421は、初期化命令 422、組命令 423、 2乗算剰余命令 42 4、組命令 425、 · · ·、 2乗算剰余命令 426及び組命令 427から構成され、この順序で配置されている。

[0053] ここで、乗算剰余は乗算をした後、剰余（mod)演算を行う演算、 2乗算剰余は 2乗算をした後、剰余演算を行う演算を示す。

(中間プログラム 420から難読ィ匕プログラム 440への変換）

図 4に示すステップ S402における中間プログラム 420から難読化プログラム 440への変換について説明する。

[0054] 難読ィ匕装置 100による難読ィ匕処理の方法では、中間プログラム 420内の乗算配置情報 421に含まれる全ての 2乗算剰余命令及び全ての乗算剰余命令を、中間値 Yを変換した変数 Z及び対象データ Xを入力とし、変数 Zを出力とする 2入力 1出力の処理テーブル (RT 、 · · ·、 RT )を参照する命令に変換する。ここで、 RTは、 i番目の

1 k i

2乗算剰余命令又は乗算剰余命令をテーブルィ匕したものである。

[0055] なお、初期ィ匕命令 422は、変数 Xの値を変数 Zに代入する初期ィ匕命令 442に変換される。

こうして、一例として図 4に示すように、初期化命令 442、テーブル参照命令 443、 4

44、 445、 446、 447、 · · ·、 448及び 449を含む命令ブロック 441力生成される。命令ブロック 441には、前記命令がこの順序で配置される。

[0056] これらの命令をこの順序に従って実行することにより、べき乗剰余演算が行われてべき乗値が算出される。

(3)難読ィ匕装置 100による難読ィ匕処理の方法 (第 2の難読ィ匕の方法）

難読化装置 100による難読化処理の方法 (第 2の難読化の方法）について説明する。

(i)演算命令の展開

この難読化処理の方法 (第 2の難読化の方法)では、図 4に示すように、難読化前の通常プログラム 400を、中間プログラム 420に変換する（ステップ S401)。ここまでは、第 1の難読ィ匕の方法と同一である。

[0057] ここで、中間プログラム 420の乗算配置情報 421内の 2乗算剰余命令及び乗算剰余命令を演算命令と呼び、乗算配置情報 421内には、 k個の演算命令が配置されているものとする。つまり、乗算配置情報 421内の 2乗算剰余命令の数と、乗算配置情報 421内の乗算剰余命令の数の合計は、 k個である。

(ii)出力値変換及び入力値変換の挿入

次に、この難読化処理の方法 (第 2の難読化の方法)では、中間プログラム 420の乗算配置情報 421内の全ての演算命令のうち、最後に配置された演算命令を除いて、最初と途中に配置された i番目の演算命令 (i= l、 2、 3、 " '、1^ 1)にっぃて、当該演算命令の直後に、出力値変換 Π及び入力値変換を、この順序で挿入する。

[0058] ここで、出力値変換 Πは、前段の演算命令の出力である中間値 Ζと対象データ Xとを用いる変換である。また、入力値変換 Π ¹は、対応する出力値変換 Πの出力である中間値 zと対象データ Xとを用いる変換である。さらに、入力値変換は、出力値変換 πの逆変換と同じ変換である。

このように、演算命令の後に、変換とその逆変換を挿入することにより、変換の影響を相殺することができ、これらの変換及び逆変換を挿入しない場合と同一の演算結果が得られる。

[0059] i= lの場合、 2≤i≤k— 1の場合、及び i=kの場合のそれぞれについて、出力値変換 Π及び入力値変換 Π—¹の挿入の一例を、図 5 (a)、（b)及び (c)に示す。

図 5 (a)に示すように、 i= 1の場合、 1番目の演算命令 461の直後に出力値変換 Π

1

462が挿入されている。

また、図 5 (b)に示すように、 2≤i≤k— 1の場合、 i番目の演算命令 472の直後に出力値変換 Π 473が挿入されている。また、潘目の演算命令 472の直前に入力値変換 Π ¹471が挿入されている。

i-l

[0060] さらに、図 5 (c)に示すように、 i=kの場合、 k番目の演算命令 482の直前に入力値変換 Π ¹481が挿入されている。

k-l

(iii)テープノレィ匕

さらに、この難読化処理の方法 (第 2の難読化の方法)では、図 5 (a)に示すように、 i = 1の場合、 1番目の演算命令 461及び出力値変換 Π 462をまとめて、 1個のテー

1

ブル RT 460とし、テーブル RT 460を参照する命令を生成する。

1 1

[0061] また、図 5 (b)に示すように、 2≤i≤k—lの場合、入力値変換 Π ^_14

i-l

71、演算命令 472及び出力値変換 Π 473をまとめて、 1個のテーブル RT 470とし、テーブル RT 470を参照する命令を生成する。

さらに、図 5 (c)に示すように、 i=kの場合、入力値変換 Π ¹481及び演算命令 48

k-l

2をまとめて、 1個のテーブル RT 480とし、 RT 480を参照する命令を生成する。

k k

[0062] (4)難読ィ匕装置 100による難読ィ匕処理の方法 (第 3の難読ィ匕の方法）

難読化装置 100による難読化処理の方法 (第 3の難読化の方法）について説明する。

(i)演算命令の展開

この難読化処理の方法 (第 3の難読化の方法)では、第 1の難読化の方法及び第 2 の難読ィ匕の方法と同様に、図 4のステップ S401に示すように、難読化前の通常プログラム 400を、中間プログラム 420に変換する。

[0063] (ii)出力値変換及び入力値変換の挿入

次に、この難読化処理の方法 (第 3の難読化の方法)では、第 2の難読化の方法と同様にして、中間プログラム 420の乗算配置情報 421内に出力値変換及び入力値変換の挿入を行う。ここまでは、第 2方法と同じである。

第 3の難読ィ匕の方法では、さらに、次のようにする。

[0064] i= lの場合、出力値変換 Π を変換 π とし、出力値変換 Π として変換 π を

1 1 1 1 挿入する。

また、 i = kの場合、入力値変換 Π ¹を変換 π ¹と、入力値変換 Π ¹として

k-1 k-1 k-1 変換 π ¹を挿入する。

k-1

さらに、2≤^1^—1の場合、図6 (&)に示すょぅに、入カ値変換 Π ^_1471^

i-1

変換 π ¹471a及び入力依存値減算 471bとし、入力値変換 Π ¹471として、変換 i-1 i-1 π ¹471a及び入力依存値減算 471bを挿入する。また、出力値変換 Π 473を、入 i-1 i 力依存値加算 473a及び変換 π 473bとし、出力値変換 Π 473として、入力依存値加算 473a及び変換 π 473bを挿入する。

[0065] ここで、変換 π ¹は、変換 π の逆変換であり、変換 π ¹及び変換 π は、それぞれ

、Ζと同じビットサイズをもつ数から同じビットサイズの数への全単射変換である。また、入力依存値減算は、対象データ Xに変換 fを施した f (X)を減算する演算であり、入力依存値加算は、対象データ Xに変換 fを施した f (X)を加算する演算である。ここで、入力依存値加算は、入力依存値減算の逆変換である。

[0066] なお、図 6 (a)では、乗算について示している力 2乗算においても同様に入力値変換及び出力値変換を配置する。

(iii)テープノレィ匕

さらに、この難読化処理の方法 (第 3の難読化の方法)では、第 2の難読化の方法と同様に、上記のように変換を配置した後に、 RTをテーブル化し、各テーブルを参照する命令を配置する。

[0067] テーブルィ匕することにより、一連の計算過程を、テーブル力も値を引く処理に変換できるので、外部からは何らかのテーブルを用いて、ることしか分力もな、ようにすることができる。これにより、計算過程を追っていくことによる不正解析を防止することができる。

(第 3の難読化の方法のまとめ）

以上説明したように、第 3方法では、乗算剰余処理及び 2乗算剰余処理を、入力依存加算や入力依存減算を含む入力値変換及び出力値変換を配置した変換後乗算剰余処理及び変換後 2乗算剰余処理に変換してテーブル化することにより、乗算と 2 乗算に対応するテーブルの入力が両方とも、中間値 Zと対象データ Xを用いることとなる。この結果、各テーブルの出力は、中間値 Zと対象データ Xとに依存して変化することとなる。

[0068] これにより、テーブルの入力を監視したとしても、それぞれのテーブルで乗算と 2乗算のいずれの処理が行われているのかを追跡することが困難になる。また、上記の変換で得られるテーブル RTでは、どちらのテーブルの出力も中間値 Zと対象データ Xとの両方に依存するようになる。これにより、テーブルの出力を監視したとしても、それぞれのテーブルで乗算と 2乗算の、ずれの処理が行われて、るのかを解析することを困難にすることができる。

[0069] (5)難読化装置 100による難読化処理の方法 (第 4の難読化の方法処理の分割

(その 1) )

上記にお!、て、変換後乗算剰余処理及び変換後 2乗算剰余処理をテーブル化するとしたが、中間値 Z及び対象データ Xを、例えば、 1024ビットの整数とすると、一つのテーブルサイズが 2^2Q48 X (テーブルの出カノくイトサイズ)バイトとなり、非常に大きく実装が困難になる。

[0070] そこで、本実施の形態の第 4の難読化の方法では、変換後乗算剰余処理及び変換後 2乗算剰余処理を小さな値 (例えば、 4ビットや 8ビットの整数)を入力とする処理（分割処理と呼ぶ）に分割した上でテーブルィ匕する。

難読化装置 100による難読化処理の方法 (第 4の難読化の方法）について説明する。

難読化処理の方法 (第 4の難読化の方法)では、第 3の難読化の方法と同様に、演算命令の展開を行う。ここまでは、第 3の難読ィ匕の方法と同じである。

[0071] 第 4の難読ィ匕の方法では、さらに、次のようにする。

各演算命令を分割する。つまり、乗算剰余演算を、乗算及び剰余演算に分割し、 2 乗算剰余演算を、 2乗算及び剰余演算に分割する。

i= lの場合、最初の乗算又は 2乗算の直後に変換 π を挿入する。

1

また、 2≤i≤k— 1の場合、乗算剰余演算を分割する場合を例として説明する。図 6 (b)に示すように、乗算剰余演算を分割して、乗算 512と剰余演算 515とが得られているものとする。次に、乗算 512の直前に、入力値変換 Π ¹511を挿入する。ここ

i-1

で、入力値変換 Π ^11は、変換 π —¹511a及び入力依存値減算 511b

i-1 i-1

力も構成されている。また、乗算 512の直後に、出力値変換 A513を挿入する。ここで、出力値変換 A513は、入力依存値加算 513a及び変換《513bから構成されている。また、剰余演算 515の直前に、変換 ο ¹ 514を挿入し、剰余演算 515の直後に、変換 π _; 516を挿入する。ここで、変換 α— ¹は、変換 αの逆変換である。

[0072] さらに、 i=kの場合、最後の乗算又は 2乗算の直前に入力値変換 Π ¹を挿入す

k-1

る。乗算剰余演算を分割する場合を例として説明すると、図 7 (b)に示すように、最後の乗算 813の直前に、入力値変換 Π ^_1812を挿入する。ここで、入力値変換 Π — ¹

k-1 k-1

812は、変換 π — i 2a及び入力依存値減算 812bから構成される。最後の剰余演

k-1

算 821は、単独で、つまり、変換などが挿入されることなぐ存在する。

[0073] なお、 2乗算剰余演算を分割する場合も同様である。

以上説明したように、第 4の難読化の方法によると、乗算処理側の変換 a 513bが剰余演算処理側の変換 α^_1514により相殺されるので、分割処理全体でみると変換前と同じ処理が行われることが分かる。

以下、入力値変換 Π ¹511、乗算 512及び出力値変換 A513を含めた処理を変

i-1

換乗算処理と呼び、変換 α— ^14、剰余演算 515及び変換 π 516を含めた処理を変換剰余処理と呼ぶ。

[0074] 第 4の難読化の方法では、さらに、変換乗算処理及び変換剰余処理をそれぞれ、中間値 Ζと対象データ Xの桁ごとの処理に分割する。

例えば、 Ζ及び Xを 4ビットごとの桁に分割する。ここで、 Z = Z +Z X2⁴ +Z Χ2⁸ +···とし、

0 1 2

X=X +X X2⁴ +X Χ2⁸ +···とすると、

0 1 2

Zは、最下位桁から、それぞれ 4ビット毎の Z 、 Z 、 Z 、…に分割され、 Xは、最下

0 1 2

位桁から、それぞれ 4ビット毎の X 、X 、X ···に分割される。

0 1 2

[0075] また、ここで、変換 π 、変換 α及び変換 fは、それぞれ、桁ごとの変換を合わせると分割前の変換に戻せるような変換であるとする。

すなわち、変換 π は、 4ビットの数力も 4ビットの数へ変換する全単射変換 φ を用いて、

π (Χ) = φ (X ) + (X ) Χ2⁴ + (X ) Χ2⁸ +…と表せるような変換とす i i 0 i 1 i 2

る。

[0076] 同様に、変換 f(X) =g(X ) +g(X ) X2⁴ +g(X ) Χ2⁸ +···と表せ、

0 1 2

a (X) = j3 (X ) + j3 (X ) X2⁴ + J3 (X ) X 2⁸ + · ··と表せるものとする。また、

0 1 2

それぞれの逆変換にっ、ても同様に表せるものとする。

これらの変換の具体例としては、所定の値とのビット毎の論理積や論理和、排他的論理和などの論理演算による変換等が挙げられる。ただし、安全性を高めるためには、これらの変換は、論理積や論理和、排他的論理和などの論理演算などとするよりも、ランダムな置換である方が望ましい。

[0077] 続いて、分割処理の例を、図 8を用いて説明する。図 8は、 2≤i≤k— 1の場合における変換乗算処理の分割の様子を示したものであり、図 8 (a)は、分割前の変換乗算処理を示し、図 8(b)は、分割後の変換乗算処理を示している。

図 8 (a)に示す変換乗算処理 501を分割すると、図 8 (b)に示す変換乗算処理 520 が得られる。図 8では、各桁の処理を分割し、それぞれの加算処理後の値を出力とするよう変換している。これは、大きな数の乗算が、小さな数の乗算結果の和であることを利用している。

[0078] ここで、各桁の変換テーブル RM 、 ' . '、RM は以下のようにして求められる。

0 k

まず、分割前の変換乗算処理の全体を式で表すと、図 6(b)に示すように、 α (((π — ^Ζ)— f(X)) XX) +f(X))となる。

i-1

ここで、 X、 Z、さらに各変換について、上述した分割後の式を代入して展開し、 2⁴、 2^s · · ·がかけられている値や式ごとにまとめる。

[0079] これにより、 0桁目の変換に相当する式は、式 531になり、 2⁴でまとめられる式が 1 桁目の変換に相当する式 532になり、 2⁸でまとめられる式が 2桁目の変換に相当する式 533になる。こうして、 4ビット毎にまとめ、 4ビットを 1桁としている。以下、同様にして最上位桁までの各桁の変換に相当する式が求められる。これらの式では、簡略のためにインデックス iを省略して！/、る。

[0080] それぞれの桁の式を元に、その式中で用いられる中間値 Z及び対象データ Xをそれぞれ分割した Z 、Ζ 、Ζ · ' ·、Χ 、Χ 、Χ · · ·等を入力とし、それぞれの桁の式

0 1 2 0 1 2

に相当する変換を行うテーブルが RM 521、 RM 522、 RM 523、 · · ·となる。

0 1 2

ここで、それぞれの桁については、下位桁からの桁上がりを反映する必要があるので、 1桁目以上の桁の値を算出するには、各変換テーブル RMによる演算に加え、図 10に示す加算処理 1 (551)を行う必要がある。さらに、加算処理 1 (551)を行った結果、更なる桁上がりが発生する可能性があるので、 2桁目以降の値を算出するためには図 10に示す加算処理 2 (552)を行う必要がある。なお、加算処理 1 (551)及び加算処理 2 (551)では、図 10のように入力依存値減算や入力依存値加算を含め、入力に施されている変換を取り除く逆変換を入力値変換として追加し、さらに、出力値変換にも次の段の RT (厳密には、 RTを変換して得られる RM)において相殺されるような出力値変換を追加する必要がある。なお、本実施の形態では、加算処理も同様にテーブルィ匕することにより、加算処理に対する解析も困難にしている。

[0081] 以上のことをまとめたのが図 8である。ここで、それぞれの桁の RM 521、 RM 522

0 1 及び RM 523【こネ目当する式 531、 532及び 533を示して!/ヽる。

2

RM 521の出力の下位 4ビットは、当該変換乗算処理 520の 0桁めの出力値となり

0

、RM 521の上位 4ビットは、加算処理 1 (541)へ出力される。 RM 522の出力の下

0 1 位 4ビットは、加算処理 1 (541)へ出力され、 RM 522の出力の上位 4ビットは、加算

1

処理 1 (542)へ出力される。 RM 523の出力の下位 4ビットは、加算処理 1 (542)へ

2

出力され、 RM 523の出力の上位 4ビットは、図示していない加算処理 1へ出力

2

される。

[0082] 加算処理 1 (541)の出力の下位 4ビットは、当該変換乗算処理 520の 1桁めの出力値となり、加算処理 1 (541)の出力の上位 4ビットは、加算処理 2 (543)へ出力される。加算処理 1 (542)の出力の下位 4ビットは、加算処理 2 (543)へ出力され、加算処理 1 (542)の出力の上位 4ビットは、図示していない加算処理 2へ出力される。

[0083] さらに、分割処理の例を、図 9を用いて説明する。図 9は、 i=kの場合における変換乗算処理の分割の様子を示したものであり、変換乗算処理 841を分割すると、変換乗算処理 851が得られる。図 8と同様に、図 9では、各桁の処理を分割し、それぞれの加算処理後の値を出力とするよう変換している。これは、大きな数の乗算が、小さな数の乗算結果の和であることを利用して、る。

[0084] RM 861の出力の下位 4ビットは、当該変換乗算処理 851の 0桁めの出力値となり

0

、RM 861の上位 4ビットは、加算処理 1 (871)へ出力される。 RM 862の出力の下

0 1 位 4ビットは、加算処理 1 (871)へ出力され、 RM 862の出力の上位 4ビットは、加算

1

処理 1 (872)へ出力される。 RM 863の出力の下位 4ビットは、加算処理 1 (872)へ

2

出力され、 RM 863の出力の上位 4ビットは、図示していない加算処理 1へ出力

2

される。

[0085] 加算処理 1 (871)の出力の下位 4ビットは、当該変換乗算処理 851の 1桁めの出力値となり、加算処理 1 (871)の出力の上位 4ビットは、加算処理 2 (873)へ出力される。加算処理 1 (872)の出力の下位 4ビットは、加算処理 2 (873)へ出力され、加算処理 1 (872)の出力の上位 4ビットは、図示していない加算処理 2へ出力される。

[0086] 以上説明したように、処理を各桁に分割することで、入力のビットサイズの和（上記例では、 1024+ 1024 = 2048ビット）が小さくなるため、テーブル化したときのテーブルサイズを削減できる。

例えば、 100桁目、すなわち、 RM では、入力が 4ビットの整数 202個分であり、

100

入力のビットサイズの和が 202 X 4 = 808ビットとなる。そのため、 100桁目のテープルサイズは、 2匪 X (テーブルの出カノくイトサイズ)バイトとなる。分割前では一つのテ一ブルサイズが 2^2Q48 X (テーブルの出力バイトサイズ)バイトであるため、テープノレサィズが削減できている。

[0087] 上記では、変換乗算処理について示した力変換剰余処理についても、同様の代入及び展開の処理により、図 11のように分割することができる。なお、図 11の中の π は、変換乗算剰余処理 RT_;内の π_;を示している力簡単のため、インデックス iを省略している。

以下、図 11を用いて分割処理について、説明する。

[0088] 変換剰余処理を示す式における入力 Zに、

Z +Z X2⁴ +Z Χ2⁸ +···+Ζ X2^4(b— D + Z X2^4b+---+Z X 2·— ^ϋを代

0 1 2 b-1 b 2b-l 入する。ここで、 bは整数 nのビットサイズを 4で割ったものであり、本実施の形態における整数 nの桁数を表す。 nのビットサイズを 1024としたときは、 b = 256となる。

[0089] なお、上記の式では、変換剰余処理の入力 Zの桁数を 2 Xb— 1桁としている力これは以下の理由による。変換剰余処理の入力 Zは、変換乗算処理の結果である。この変換乗算処理では、前段のテーブルの出力結果と対象データ Xとの演算が行われる。ここで、前段のテーブルの出力結果は前段のテーブルにおいて mod nがかけられているために b—1桁以下の桁数を持ち、また、対象データ Xは RSA暗号では n 以下の値である必要があるので、こちらも b— 1桁以下の桁数を持つ。 b—l桁同士の乗算は、 2 Xb— 2桁の演算結果を取り、さらに 1桁の桁上がりが発生することがあるので、それも加えて変換後剰余処理の入力は最大 2 Xb- 1桁となる。

[0090] ここで、

mod n

= ((Z +Z X2⁴ +... +Z X2^4(b_1))

0 1 b-1

+ (Z X2^4b mod n)

b

+ (Z X2^4(b+1)) mod n)

b+l

+ · · ·

+ (Z X2^4(2W) mod n)) mod n

2b-l

となることを利用して、

Z X2^4b mod nの演算を示す処理、

b

Z X 2^4(b+1) mod nの演算を示す処理、

b+l

•••、Z X 2^4(2b_1) mod nを示す処理に分割し、それぞれをテーブル化して、これ

2b+l

らのテーブルの出力を、加算テーブルを用いて、加算することで、剰余演算を行う。

[0091] 図 11では、 i≥bに対する Z X2⁴ⁱ mod nを示す処理を RDと表現している。なお、図 11において、分割された各処理 RD_;の間に加算" + "を入れている力この加算は、変換後乗算処理の分割の際に使用した加算と同じように、それぞれの桁に分割し、分割した後の加算処理には、それぞれ入力値変換及び出力値変換を追加するような処理を示す。

[0092] (6)難読化装置 100による難読化処理の方法 (第 5の難読化の方法処理の分割

(その 2) )

第 4の難読ィ匕の方法で説明したように、処理を分割した場合、 0桁目（最下位の桁）や 1桁目であれば、入力（4ビットの整数の個数）が少ないため、テーブルサイズはあまり大きくない。しかし、桁が増えるほど、テーブルサイズが大きくなつてしまう。

[0093] 例えば、 100桁目では、入力が 4ビットの整数 202個分であり、入力のビットサイズの和力 202 X 4 = 808ビットとなる。そのため、 100桁目のテーブルサイズは、 2匪 X ( テーブルの出力バイトサイズ)バイトとなり、非常に大き!/、。

そこで、第 5の難読ィ匕の方法では、各桁に対しても、処理をさらに分割する。図 12 には、 2桁目の処理のさらなる分割を示している。 2桁目の分割前の処理 601では、 R M 602の入力を Z 、 Z 、 Z 、 X 、 X及び X としている力さらなる分割後の処理

2 0 1 2 0 1 2

611では、処理 601を Z 、 Z 、 X及び X の 4入力とする処理 621と、 Z 及び X の 2

0 2 0 2 1 1 入力とする処理 622とに分割する。

[0094] 他の桁の処理に対しても、同様に 4入力のテーブルと 2入力のテーブルに分割するここで、処理 621は、インデックスの値の加算結果が桁数と同じものになるパターンである Zの各桁 (例えば、 2桁目を分割する場合、 0 + 2 = 2であるので、 Z , Z となる

0 2

)と、これと同じインデックスを持つ Xの各桁 (X , X )とを 4個の入力とするテーブル

0 2

である。

[0095] さらに、桁数が偶数である場合には、処理 622は、桁数の半分のインデックスを持つ Zの桁 (桁数が 2であるとき、 Z 。 1 + 1 = 2であるから。）と、これと同じインデックス

1

を持つ Xの桁 (X )とを 2個の入力とするテーブルである。このような桁は、変換の内

1

容自体は 4入力の場合と同様になるのである力 4入力中の入力値に互いに同一になる入力値が含まれるため、 2入力にまとめることができる。他の桁に対しても、これと同様の方法でテーブル分割する。例えば、 5桁目のテブルは、以下の入力を持つテーブルに分割する。

RM (5, 0) :Z , Z , X , X

― 0 5 0 5

RM (5, 1) :Z , Z , X , X

― 1 4 1 4

RM (5, 2) :Z , Z , X , X

― 2 3 2 3

また、 8桁目のテーブルは、以下の入力を持つテーブルに分割する。

RM— (8, 0) ： z z

0 8 X 0 X ί

RM— (8, 1) ： z z

1 7 X 1 X

RM— (8, 2) ： z z

2 6 X 2 X

RM— (8, 3) ： z z

3 5 X 3 X

RM (8, 4) ： z X

なお、 RMに付されたインデックス (Χ、 Υ)は、はじめのもの Xが何桁目であるかを示し、二つ目のもの Υが入力のインデックスの最小値を示している。

[0098] 上記のように、処理を分割し、分割した処理をテーブル化することで、一つのテープルサイズが、 2¹⁶ Χ (テーブルの出力バイトサイズ)バイトとなり、テーブル削減できる。なお、 2乗算においても同様の分割が可能である。分割の仕方は乗算とほぼ同様なので省略する。

(7)分割したテーブルの共通化

上記のようにテーブルを分割すると、図 13に示すように、テーブルの処理に共通点があり、この共通点を用いて、複数のテーブルの共通化ができる。図 13においては、 RMの分割テーブルの共通化 657と RSの分割テーブルの共通化 658について示している。ここで、 RSは、 2乗算を示す処理である。

[0099] 図 13に示す RMの分割テーブルの共通化 657において、枠で囲んだ二つのテーブル、例えば、テーブル 661及びテーブル 662は、それぞれ、入力に対し、同じ処理をしている。テープノレ 661及びテープノレ 662は、インデックスが、 2 X i, i (i≠0)のテ一ブルである。インデックスが、 2 X i, i (i≠0)のテーブルは、共通化することができ、複数のテーブルに代えて、同一の 1個のテーブルを使用することが可能となる。

[0100] また、テーブル 663及びテーブル 664は、それぞれ、入力に対し、同じ処理をしている。テープノレ 663及びテープノレ 664は、インデックスが、 i, 0 (i≠0)のテープノレである。これらのテーブルにつ、ても共通化が可能である。

さらに、テーブル 665及びテーブル 656は、それぞれ、入力に対し、同じ処理をして!、る。これらのテーブルにつ!/、ても共通化が可能である。

[0101] このように、各テーブルは、インデックスの組合せに依存して、次の 4個のケースに分類できる。

(ケース a)インデックスが 0, 0のテーブル

(ケース b)インデックス力 2 X i, i (i≠0)のテーブル

(ケース c)インデックスが、 i, 0 (i≠0)

(ケース d)その他のインデックスを持つテーブル

ここで、インデックスが、 i, 0 (i≠0)のテーブルと、その他のインデックスを持つテーブルとは、出力に g (X )が加算される力否かのみが異なる。また、インデックスが 0, 0 のテーブルと、インデックスが 2 X i, i (i≠0)のテーブルとは、これと同様に g (X. ) (ィンデッタスが 0, 0の場合は g (X ) )が加算されるか否かのみが異なる。すなわち、ィ

0

ンデッタスの二つ目が 0のテーブルは、他のものと異なり、 g (X )もしくは g (X )が出

i 0 力に加算されている。

[0102] このように、ケース a、ケース b、ケース c及びケース dのそれぞれに属する複数のテ一ブルについては、テーブルの入力値が異なるだけで、入力値と出力値との対応関係は、同じである。従って、各ケースに属する複数のテーブルをそれぞれ用いることなぐケース毎にテーブルを共通化し、 1個の共通化したテーブルを用いるようにすることができる。

[0103] こうして、分割された乗算処理において、多数のテーブルを用いることに代えて、 4 個のテーブルのみを使用することが可能となる。入力される X及び Zのイツデッタスに応じて、 4個のテーブル力適切なテーブルを 1個選択すればょ、。

また、図 13に示す RSの分割テーブルの共通化 658においても、上記と同様に、枠で囲んだ二つのテーブル、例えば、テーブル 681及びテーブル 682は、それぞれ、入力に対し、同じ処理をしている。テーブル 681及びテーブル 682は、インデックス力 2 X i, i (i≠0)のテーブルである。インデックスが、 2 X i, i (i≠0)のテープノレは、共通化することができ、複数のテーブルに代えて、同一の 1個のテーブルを使用することが可能となる。

[0104] また、テーブル 683及びテーブル 684は、それぞれ、入力に対し、同じ処理をしている。テープノレ 683及びテープノレ 684は、インデックスが、 i, 0 (i≠0)のテープノレである。これらのテーブルにつ、ても共通化が可能である。

さらに、テーブル 685及びテーブル 686は、それぞれ、入力に対し、同じ処理をしている。

[0105] 図 13に示す RSの分割テーブルの共通化 658においても、上記と同様に、各テーブルは、インデックスの組合せに依存して、上記の 4個のケースに分類できる。

こうして、分割された 2乗算処理においても、多数のテーブルを用いることに代えて、 4個のテーブルのみを使用することが可能となる。

(8)難読ィ匕装置 100による難読ィ匕の実行

以上で示したように、入力値変換や出力値変換、処理の分割、分割した処理をテーブルイ匕したときの共通化を施すことにより、難読ィ匕装置 100は、難読化を実行する

[0106] 以下では、図 4の乗算剰余と 2乗算剰余の配置情報を乗算配置情報と呼ぶ。また、図 5〜13において説明した入力値変換や出力値変換、処理の分割の結果、得られる処理やテーブルの配置が定まる。この処理やテーブルの配置を示す情報を、以下では、分割処理配置情報と呼ぶ。

難読ィ匕装置 100は、まず、乗算配置情報を生成し、次に分割処理配置情報を生成する。その後、分割処理配置情報で使用する入力値変換や出力値変換を決定し、それに基づ、てテーブルを生成する。

[0107] テーブルは、例えば、入力値に、その入力値が入力された場合に変換後の処理で算出される値をそれぞれ計算し、対応付けることにより生成される。具体的な実現方法としては多次元の配列などが考えられる。さらに、分割処理配置情報に基づいて、テーブルの読出命令の順序を示す読出命令順序情報を生成する。その後、生成した読出命令順序情報と生成したテーブルとを合わせることで、難読ィ匕プログラムが完成する。 [0108] なお、難読ィ匕装置 100により生成される難読ィ匕プログラムは、上記読出命令順序情報とテーブル以外の命令やデータを含んでもよい。また、予め、分割処理配置情報は難読ィ匕装置 100に予め与えられるとしてもよ、。

(9)乗算処理の分割の具体例

乗算処理の分割の具体例について図 14〜図 19を用いて説明する。

[0109] (a)RT の分割

1

秘密鍵 dの 1桁目にあたる変換である RT の分割について、 RT が乗算処理であ

1 1

る場合を例に説明する。図 14は、 RT について分割された乗算処理 1002の構成を

1

示す図である。

この RT は、秘密鍵 dの 1桁目にあたる変換であるので、入力値依存減算や変換 π

1

1は含まれない。この例では、 ηのビットサイズを 6ビットとし、この 6ビットのデータを 2 桁に分割している。ここで、各桁は、 3ビットからなる。また、中間値 Ζ, Xはそれぞれ、 Ζ = Ζ +Ζ Χ 2³ ,

0 1

Χ=Χ +Χ Χ 2³となる。

0 1

[0110] すなわち、 Ζ 、Ζ 、Χ 、Χ はそれぞれ、 Ζ, Xを 3ビットずつに分割した値である。

0 1 0 1

このとき、乗算処理が上述の方法に基づいて、各桁に分割され、乗算処理 1002は、図 14に示すように、 RM 1121、 RM 1122、 RM 1123、カロ算処理 RA 1124、 R

0 1 2 1

A 1125、 RA 1126、 RA 1127、 RA 1128、 RA 1129、 RA 1130及び

2 3 1 2 2 4

RA 1131を含む。

5

[0111] ここで、 RM 1121は、 RT の 0桁目の計算であり、 Z , X を入力とする分割後の

0 1 0 0

乗算処理であり、 RM 1122は、 RT の 1桁目の計算であり、 Z , Z , X , X を入

1 1 0 1 0 1 力とする分割後の乗算処理であり、 RM 1123は、 RT の 2桁目計算であり、 Z , X

2 2 1 1 を入力とする分割後の乗算処理である。

RM , RM , RM のそれぞれ出力を加算処理 RA , RA , . . . , RA によって

0 1 2 1 2 5 加算して得られる結果が、 Zと Xの乗算結果の変換後の値である。

[0112] 本実施の形態では、上述したように RM , RM , RM , RA , RA , . . . ,

0 1 2 1 2

RAもそれぞれテーブルィ匕することで解析が困難になるようにする。なお、 RA , R

5 1

A , . . . , RA は、図 10に示す加算処理 1や加算処理 2と同様、それぞれに入力値変換及び出力値変換が含まれて!/ヽる。

ここで、 RM 1121, RM 1122及び RM 1123を示すボックス内部に" [0, 56]，，

0 1 2

、 " [0, 105] "及び" [0, 105] "の記述がある力これらは、これらの処理における出力値の、これらの処理内の出力値変換前の値力それぞれ、「0」から「56」の範囲、「 0」から「105」の範囲及び「0」から「49」の範囲の値であることを示す。

[0113] また、 RM 1121, RM 1122, RM 1123, RA 1124, RA 1125, RA 1126

0 1 2 1 2 3 は、複数個の出力（RM については、 3桁の出力であるため、中位部分も存在し、 3

1

個の出力を有し、その他については、 2個の出力を有する）を有する。ここで、 RM 1

1

122以外については、図面に向かって左側の出力が出力値変換前の出力の上位部分を示し、右側の出力が出力値変換前の出力の下位部分を示す。 RM 1122につ

1

いては、 3桁の出力であるため、中位部分も存在する。

[0114] 例えば、 RM 1121については、出力値が「0」から「56」の範囲であり、その出力値

0

の上位 3ビットは、 RA 1124に入力され、下位 3ビットは乗算処理 1002の出力とさ

1

れている。 RM 1121の上位部分及び下位部分の" [0, 7] "についても、それぞれの

0

出力値変換前の値が 0から 7の範囲の値であることを示す。また、乗算処理 1002は、最終出力値として、図 14の最下部に記載されている各 3ビットの出力値 1142a、 114 2b、 1142c, 1142d及び 1142eを出力する。この f列で ίま、乗算処理 1002ίま、 6ビットの Ζ及び Xを入力し、 15ビットの値を出力している。

[0115] 図 15では、図 14の乗算処理 1002を構成する RM 1121, RM 1122, RM 112

0 1 2

3, RA 1124, RA 1125, · · · , RA 1131のそれぞれ【こつ!/ヽて、図面上【こお!/ヽて

1 2 5

、入力値変換及び出力値変換を明らかにしている。

例えば、 RA 1124は、上位側の入力値の直後に入力値変換 j8— ^を含み、

1

下位側の入力値の直後に入力値変換 β 4124aを含み、入力値変換 β 4124bの出力値と入力値変換 ι8— 4124aの出力値とを加算する加算 1124cを含み、加算 11 24cの上位側の出力値の直後に出力値変換 γ 1124eを含み、加算 11

1

24cの下位側の出力値の直後に出力値変換 |8 1124dを含む。

[0116] また、 RM 1121は、上位側の入力値及び下位側の入力値に対する乗算 1121a

0

を含み、乗算 1121aの上位側の出力値の直後に、出力値変換 |8 1121cを含み、乗算 1121aの下位側の出力値の直後に、出力値変換 |8 1121bを含む。

(b)RT (2≤i≤k— 1)の分割

続いて、 RT (2≤i≤k- l)について分割された乗算処理の構成について説明する。これらの変換には、前段の出力値変換等の逆変換が含まれているので、 RT と

1 は内容が多少異なっている。図 16は、 RT (2≤i≤k— 1)について分割された乗算処理 1004の構成を示す図である。この例においても、 nのビットサイズを 6ビットとし、 6ビットのデータを 2桁に分割している。各桁は、 3ビットからなる。

[0117] このとき、乗算処理が各桁において分割され、 RT に対する乗算処理のときと同様

1

【こ、乗算処理 1004ίま、図 16【こ示すよう【こ、 RM 1181、 RM 1182、 RM 11

0 1 2

83、カロ算処理 RA 1184、 RA 1185, RA 1186、 RA 1187、 RA 1188、 RA

6 7 8 1 7 2

1189、 RA 1190及び RA 1191を含む。

9 10

ここで、 RM 1181は、 Ζ , X を入力とする分割後の乗算処理であり、 RM 1182

0 0 0 1 は、 Ζ ， Ζ ， Χ ，Χ を入力とする分割後の乗算処理であり、 RM 1183は、 Z , X

0 1 0 1 2 1 1 を入力とする分割後の乗算処理である。

[0118] さらに、 RM , RM , RM の出力を加算処理 RA , RA , . . . , RA によってカロ

0 1 2 1 2 10 算した結果力 ¾と Xの乗算結果の変換後の値である。ここで、 RM , RM , RM , R

0 1 2

A , RA , · · · , RA をテーブル化する。

1 2 10

ここで、 RM , RM , RM に "[ー7, 56] "などの記述がある力これはこの処理の

0 1 2

出力が— 7から 56の範囲の値であることを示す。ここで、 RT に対する乗算処理と異

1

なり、負の値が範囲に含まれることに注意する。負の出力は、前段の入力値依存カロ算を相殺するための、入力依存値減算が行われるために発生する。ここで、 RM , R

0

M ， RM ， RA ， RA ， · · ·， RA は、負の値の範囲として含む上位部分と、正の

1 2 1 2 10

値を範囲とする下位部分の 2個の出力を有する。図面に向力つて左側の出力が出力値変換前の出力の上位部分を示し、右側の出力が出力値変換前の出力の下位部分となる（RM は、 0〜105までの 106種類の値を取り、 2進数標記では 7ビット必要

1

となるため、 1桁を 3ビットとした場合には 3桁となり、正の値を範囲とする中位部分も存在する)。

[0119] 例えば、 RM については、出力 outに対し、下位部分 = out mod 8,

上位部分 = (out- (下位部分)） Z8である。

また、 RM— 1については、出力 outに対し、

下位部分 = out mod 8,

中位部分 = (out—(下位部分)） Z8 mod 8,

上位部分 = (out—下位部分—中位部分 X 8) Z64である。

[0120] なお、出力の上位部分や下位部分などに対する値の範囲は、出力値変換前の値であり、出力値変換後はこの範囲の値となるとは限らない。例えば、 RM の出力の上

0

位部分は、出力値変換前は [ 1, 7]であるが、出力値変換後は、扱いやすいように [0, 8]などとする。この例では、乗算処理において、 6ビットの Z及び Xを入力し、 16 ビットの値 (最上位桁は符号の情報を含む)を出力して!/ヽる。

[0121] 図 17では、図 16に示す RM 1181, RM 1182, RM 1183, · · · , RA 1187,

0 1 2 1

RA 1189, · · · , RA 1191について、それぞれに含まれる入力値変換及び出力値

2 10

変換を明らかにしている。例えば、 RA 1184

6 は、上位側の入力値の直後に入力値変換 j8— lSAbを、上位側の入力値の直後に γ ^_11184a^出力値の上位部分の

5

直前に出力値変換 0 1184d

7 を、出力値の下位部分の直後に出力値変換 β 1184cを含むことを示している。

[0122] なお、各入力値変換と出力値変換は、図中で直接繋がっている箇所同士で打ち消しあう変換であれば、どのような変換でも構わな、。

(c)RT の分割

k

次に、 RT について分割された乗算処理の構成について説明する。

k

図 18は、 RT について分割された乗算処理 1009の構成を示す図である。

k

[0123] 乗算処通 1009は、図 18に示すように、 RM 1331、 RM 1332、 RM 1333、カロ

0 1 2 算処理 RA 1334、 RA 1335、 RA 1336、 RA 1337、 RA 1338、 RA 1339、

17 7 8 14 7 15

RA 1340及び RA 1341を含む。

9 18

ここで、 RM 1331は、 Z , X を入力とする分割後の乗算処理であり、 RM 1332

0 0 0 1 は、 Z ， Z ， X ，X を入力とする分割後の乗算処理であり、 RM 1333は、 Z , X

0 1 0 1 2 1 1 を入力とする分割後の乗算処理である。 [0124] さらに、 RM , RM , RM の出力を加算処理 RA , RA , . . . ,によって加算し

0 1 2 17 7

た結果力 ¾と Xの乗算結果の変換後の値である。

図 19では、図 18の乗算処理 1009を構成する RM 1331、 RM 1332、 RM 133

0 1 2

3、RA 1334、 RA 1335、 RA 1336、 RA 1337、 RA 1338、 RA 1339、 RA

17 7 8 14 7 15 9

1340及び RA 1341のそれぞれについて、図面上において、入力値変換及

18

び出力値変換を明らかにしている。

[0125] なお、図 19に示す RM 1331、 RA 1334、 RA 1337、 RA 1339及び RA 13

0 17 14 15 18

41〖こは、それぞれ、変換 Eが含まれている。ここで、変換 Eは、何もしないことを示す。

(d)RT についての RM に対応するテープノレの具体例

1 1

RT についての図 15に示す RM 1122に対応するテーブルの具体例を図 41〜

1 1

図 43に示している。

[0126] 図 41は、 RT について図 15に示す RM 1122の詳細を示す。 RM は、 4個

1 1 1 の入力値 inl、 in2、 in3及び in4から構成される入力値群（inl、 in2、 in3、 in4)に対して、図 43に示すテーブル 1421を用いた変換を施して、 3個の出力値 outl、 out2 及び out3から構成される出力値群（out 1、 out2、 out3)を出力する。

[0127] ここで、 inl =Z 、 in2=Z 、in3=X及び in4=X とすると、 RT は、

0 1 0 1 1

val = Z XX +Z XX

0 1 1 0

g (X ) XX - g (X ) XX +g (X )を算出し、

0 1 1 0 1

outl = γ [val - (val mod 8) (((va卜 (val mod 8)))mod8) X 8))/64]、

3

out2= β [((val - (val mod 8》8)mod8]、

out3= j8 [val mod 8] を算出する。

[0128] テーブル 1421は、図 43に示すように、複数の入力値群（inl、 in2、 in3、 in4)と、前記複数の入力値群にそれぞれ対応する複数の出力値群 (outl、 out2、 out3)とから構成されている。

なお、図 43では、演算過程の理解を容易にするために、複数の入力値群 (inl、 in 2、 in3、 in4)及び複数の出力値群（outl、 out2、 out3)以外に、演算途中の中間値についても、記載している力上述した通り、テーブル 1421は、複数の入力値群 (i nl、 in2、 in3、 in4)及び複数の出力値群（outl、 out2、 out3)のみから構成されているので、注意を要する。

[0129] 図 42 (a)、図 42 (b)及び図 42 (c)は、それぞれ、 RT について図 15に示す RM

1 1 における変換 j8、変換 g及び変換 γ の具体例としてのテーブル 1422、 1423、 142

3

4を示す。

(e)RT (2≤i≤k— 1)についての RM に対応するテーブルの具体例

i 1

RT (2≤i≤k—l)についての図 17に示す RM 1182に対応するテーブルの具体 i 1

例を図 24〜図 26に示している。

[0130] 図 24は、 RT (2≤i≤k—l)について図 17に示す RM 1182の詳細を示す。 RM

i 1 1 は、 4個の入力値 inl、 in2、 in3及び in4から構成される入力値群（inl、 in2、 in3、 i n4)に対して、図 25に示すテーブル 1360を用いた変換を施して、 3個の出力値 out

1、 out2及び out3から構成される出力値群（outl、 out2、 out3)を出力する。

[0131] ここで、 inl =Z 、 in2=Z 、in3=X及び in4=X とすると、 RT (2≤i≤k— 1)

0 1 0 1 i

は、

val= ^_1 (Ζ ) X (X ) + ^_1 (Ζ ) X (X )

0 1 1 0

g (X ) XX - g (X ) XX +g (X )を算出し、

0 1 1 0 1

outl = Ύ [val - (val mod 8) (((va卜 (val mod 8))/8)mod8) X 8))/64]、

3

out2= β [((val - (val mod 8》/8)mod8]、

out3= j8 [val mod 8] を算出する。

[0132] テーブル 1360は、図 25に示すように、複数の入力値群（inl、 in2、 in3、 in4)と、前記複数の入力値群にそれぞれ対応する複数の出力値群 (out 1、 out2、 out3)とから構成されている。

なお、図 25では、演算過程の理解を容易にするために、複数の入力値群 (inl、 in

2、 in3、 in4)及び複数の出力値群（out 1、 out2、 out3)以外に、演算途中の中間値についても、記載している力上述した通り、テーブル 1360は、複数の入力値群 (i nl、 in2、 in3、 in4)及び複数の出力値群（outl、 out2、 out3)のみから構成されているので、注意を要する。

[0133] 図 26 (a)、図 26 (b)、図 26 (c)及び図 26 (d)は、それぞれ、 RT について図 17に

1

示す RM における変換 |8、変換 φ— ¹、変換 g及び変換 γ の具体例としてのテープルを示す。

なお、図 25において、 outlの出力値変換前の値は、—2から 2の範囲の 5種類であるが、 γ を施すことにより、 0から 7の範囲の値 (8種類）に変換している。こうするこ

3

とで、攻撃者が変換後の値それぞれの発生確率を調べて、変換前の値を推測することを困難にしている。例えば、最も発生確率が高い値力変換前の 0であると推測することでテーブルの処理の内容を解析する攻撃を防ぐ。なお、このとき、 1に対応する γ (— 1)力 SOと 1の 2値となっている力全体の RM のテーブルの出力 outlの値

3 1

が可能な限り一様となるように、 γ を設定する。すなわち、出力 outlの値は 0から

3

7で分布する力このそれぞれの値が同じ発生確率となるように γ を設定する。図 2

3

6では、 γ への入力として 1， 0， 1の発生確率が高いため、これをそれぞれ 2値へ

3

変換している。また、後述する図 31の outlにおける γ も同様に多値へ変換するよう

1

にしている。

[0134] (f)RT についての RM に対応するテーブルの具体例

k 1

RT についての図 19に示す RM 1332に対応するテーブルの具体例を図 27〜 k 1

図 29に示している。

図 27は、 RT について図 19に示す RM 1332の詳細を示す。 RM は、 4個 k 1 1 の入力値 inl、 in2、 in3及び in4から構成される入力値群（inl、 in2、 in3、 in4)に対して、図 28に示すテーブル 1390を用いた変換を施して、 3個の出力値 outl、 out2 及び out3から構成される出力値群（outl、 out2、 out3)を出力する。

[0135] ここで、 inl =Z 、 in2=Z 、in3=X及び in4=X とすると、 RT は、

0 1 0 1 k

val= ^_1 (Ζ ) X (X ) + ^_1 (Ζ ) X (X )

0 1 1 0

-g (X ) χχ - g (X ) XX

0 1 1 0を算出し、

outl = Ύ [val - (val mod 8) (((va卜 (val mod 8)))mod8) X 8))/64]、

3

out2= β [((val - (val mod 8)))mod8]、

out3= j8 [val mod 8] を算出する。

[0136] テーブル 1390は、図 28に示すように、複数の入力値群（inl、 in2、 in3、 in4)と、前記複数の入力値群にそれぞれ対応する複数の出力値群 (outl、 out2、 out3)とから構成されている。なお、図 28では、演算過程の理解を容易にするために、複数の入力値群 (inl、 in 2、 in3、 in4)及び複数の出力値群（out 1、 out2、 out3)以外に、演算途中の中間値についても、記載している力上述した通り、テーブル 1390は、複数の入力値群 (i nl、 in2、 in3、 in4)及び複数の出力値群（outl、 out2、 out3)のみから構成されているので、注意を要する。

[0137] 図 29 (a)、図 29 (b)、図 29 (c)及び図 29 (d)は、それぞれ、 RT について図 19に k

示す RM における変換 |8、変換 φ— ¹、変換 g及び変換 γ の具体例としてのテープ

1 3

ル 1391、 1392、 1393、 1394を示す。

(g)RT についての RA に対応するテーブルの具体例

1 1

RT についての図 15に示す RA 1124に対応するテーブルの具体例を図 30〜図

1 1

32【こ示して!/ヽる。

[0138] 図 30は、 RT について図 15に示す RA 1124の詳細を示す。 RA は、 2個

1 1 1 の入力値 inl及び in2から構成される入力値群 (inl、 in2)に対して、図 31に示すテ一ブル 1410を用いた変換を施して、 2個の出力値 outl及び out2から構成される出力値群 (outl、 out2)を出力する。

RT は、

1

outl = γ [( β ^_1(inl)+ β ^_1(in2)-out2)/8],

out2= β [ β ^_1(inl)+ β ^_1(in2) mod8]を算出する。

[0139] テーブル 1410は、図 31に示すように、複数の入力値群（inl、 in2)と、前記複数の入力値群にそれぞれ対応する複数の出力値群 (outl、 out2)とから構成されているなお、図 31では、演算過程の理解を容易にするために、複数の入力値群 (inl、 in 2)及び複数の出力値群 (outl、 out2)以外に、演算途中の中間値についても、記載している力上述した通り、テーブル 1410は、複数の入力値群 (inl、 in2)及び複数の出力値群 (outl、 out2)のみ構成されているので、注意を要する。

[0140] 図 32 (a)、図 32 (b)及び図 29 (c)は、それぞれ、 RT について図 15に示す RA に

1 1 おける変換 j8、変換 τ 及び変換 j8 ^_1の具体例としてのテーブル 1411、 1412、 141

1

3を示す。 (10)剰余処理の分割の具体例

剰余処理の分割の具体例について図 20〜23を用いて説明する。

[0141] 分割された剰余処理 1005は、図 20〜23に示すように、剰余算 RD 1201、 RD 1

0 1

206、 RD 1212、 RD 1218、カロ算 RA 1202、 RA 1203、 RA 1204、 RA 120

2 3 1 1 2 12

5、 RA 1207、 RA 1208、 RA 1209、 RA 1210、 RA 1211、 RA 1213、 RA

1 1 2 12 4 1 1

1214、 RA 1215、 RA 1216、 RA 1217、 RA 1219、 RA 1220、 RA 1221

2 13 4 1 1 2 及び RA 1222から構成されている。

4

[0142] ここで、乗 [J余算 RD 1201、 RD 1206、 RD 1212、 RD 1218は、乗 [J余算を行う

0 1 2 3

ためのテーブルである。これらのテーブルは、演算対象である対象値と、対象値に対する剰余値とを対応付けて構成する組を複数個記憶しており、ある対象値が入力として指定されると、その対象値に対応する剰余値が当該テーブルカゝら引かれて出力される。なお、剰余算 RD 1201、 RD 1206、 RD 1212、 RD 1218は、上記

0 1 2 3

の剰余算の前後において、変換を施す。

[0143] また、 RA 、 RA 、 RA 、 · · ·は、桁ごとの加算や桁上がりを反映するための加算

1 2 12

を行う加算処理のテーブルである。これらのテーブルも、演算対象である 2個の対象値と、前記 2個の対象値の加算値とを対応付けて構成する組を複数個記憶しており、ある 2個の対象値が入力として指定されると、その対象値に対応する加算値が当該テ一ブルから引かれて出力される。なお、 RA 、 RA 、 RA 、 · · · «、上記の加算の前

1 2 12

後において、変換を施す。

[0144] この例では、剰余処理 1005は、整数 nを法としたときの、

Z = Z +Z X 2³ +Z X 2⁶ +Z X 2⁹ +Z X 2¹²の剰余を計算している。

0 1 2 3 4

(a)剰余処理 1005のうち、図 20に示す演算では、

(Z +Z X 2³ ) + (Z X 2⁶ mod n)を計算している。

0 1 2

すなわち、図 20に示す演算では、剰余処理 1005の剰余算 RD 1201、加算 RA

0 1

1203、 RA 1202、は、それぞれ、 3個の 3ビットの入力値 Z 、 Z 、 Z の入力を受け

1 2 1 0

付ける。

[0145] 剰余算 RD 1201は、その演算結果の上位 3ビット及び下位 3ビットをそれぞれ、加

0

算 RA 1203、 RA 1202へ出力する。加算 RA 1203は、その演算結果の上位 1ビット及び下位 3ビットをそれぞれ、加算 RA 1205及び RA 1204へ出力する。加算 R

12 2

A 1202は、その演算結果の上位 1ビット及び下位 3ビットをそれぞれ、加算 RA 12

1 2

04及び RA 1207へ出力する。加算 RA 1204は、その演算結果の上位 1ビット及

1 2

び下位 3ビットをそれぞれ、加算 RA 1205及び RA 1208へ出力する。カロ算 RA 1

12 1 12

205は、その演算結果の 1ビットを、加算 RA 1211へ出力する。

4

[0146] (b)剰余処理 1005のうち、図 21に示す演算では、 1個の入力値 Z が入力され、入

3

力値 Z 及び図 20における 3個の最終の演算結果を用いて、（Z X 2⁹ mod n)を

3 3

加算している。

剰余算 RD 1206は、 1個の 3ビットの入力値 Z の入力を受け付け、その演算結果

1 3

の上位 3ビット及び下位 3ビットをそれぞれ、加算 RA 1208、 RA 1207へ出力する

1 1

[0147] 加算 RA 1208は、その演算結果の上位 1ビット及び下位 3ビットをそれぞれ、加算

1

RA 1210及び RA 1209へ出力する。カロ算 RA 1207は、その演算結果の上位 1

12 2 1

ビット及び下位 3ビットをそれぞれ、加算 RA 1209及び RA 1213へ出力する。加算

2 1

RA 1209は、その演算結果の上位 1ビット及び下位 3ビットをそれぞれ、加算 RA 1

2 12

210及び RA 1214へ出力する。加算 RA 1210は、その演算結果の 1ビットを、

1 12

加算 RA 1211へ出力する。加算 RA 1211は、その演算結果の 1ビットを、カロ

4 4

算 RA 1216へ出力する。

13

[0148] (c)さらに、剰余処理 1005のうち、図 22に示す演算では、 1個の入力値 Z が入力

4 され、入力値 Z 及び図 21における 3個の最終の演算結果を用いて、（Z X 2¹² mo

4 4 d n)をカ卩算している。

剰余算 RD 1212は、 1個の 4ビットの入力値 Z の入力を受け付け、その演算結果

2 4

の上位 3ビット及び下位 3ビットをそれぞれ、加算 RA 1214、 RA 1213へ出力する

1 1

[0149] 加算 RA 1214は、その演算結果の上位 1ビット及び下位 3ビットをそれぞれ、加算

1

RA 1217及び RA 1215へ出力する。加算 RA 1213は、その演算結果の上位 1

4 2 1

ビット及び下位 3ビットをそれぞれ、加算 RA 1215及び RA 1219へ出力する。加算

2 1

RA 1215は、その演算結果の上位 1ビット及び下位 3ビットをそれぞれ、加算 RA 1 217及び RA 1220へ出力する。加算 RA 1217は、その演算結果の 1ビットを、

1 4

加算 RA 1216へ出力する。加算 RA 1216は、その演算結果の 2ビットを、剰

13 13

余算 RD 1218へ出力する。

3

[0150] (d)剰余処理 1005のうち、図 22における最終の計算結果は、 3桁となるため、次に

、さらなる剰余処理が必要になる。

剰余処理 1005のうち、図 23に示す演算は、その剰余処理を行う。図 23に示す演算の計算結果も 3桁となる場合があり、その場合には、さらなる剰余処理が必要となり

、図 23と同様の処理を繰り返す。その結果、 2桁の値となれば、剰余演算結果 (の出力値変換後)の値とする。

[0151] 剰余処理 1005のうち、図 23に示す演算では、剰余算 RD 1218は、その演算結

3

果の上位 3ビット及び下位 3ビットをそれぞれ、加算 RA 1220、 RA 1219へ出力す

1 1

る。加算 RA 1220は、その演算結果の上位 1ビット及び下位 3ビットをそれぞれ、加

1

算 RA 1222及び RA 1221へ出力する。加算 RA 1219は、その演算結果の上位

4 2 1

1ビットを加算 RA 1221へ出力し、その演算結果の下位 3ビットを最終出力とする。

2

加算 RA 1221は、その演算結果の上位 1ビットをカ卩算 RA 1222へ出力し、その演

2 4

算結果の下位 3ビットを最終出力とする。加算 RA 1222は、その演算結果の 1ビット

4

を最終出力とする。

[0152] (e)なお、上記数値例では、 nが 6ビットの値であり、小さ、ため、乗算処理を各桁までの分割としている力ビットサイズが大きくなつた場合は、各桁の処理を「処理の分割（その 2)」のようにさらに分割してもよい。

2. 4 難読化システム 1の構成及び動作

ここでは、難読ィヒシステム 1を構成する難読化装置 100及び暗号処理装置 300の構成及び動作について説明する。

[0153] (1)難読化装置 100の構成

図 33は、難読化装置 100の構成を示す図である。

難読ィ匕装置 100は、図 33に示すように、秘密鍵 dの入力を受け付ける入力部 101と、秘密鍵 dから乗算処理及び 2乗算処理の処理の順番を示す乗算配置情報を生成する乗算配置情報生成部 102と、乗算処理及び 2乗算処理を分割した処理と、それに対して追加する 1つ以上の入力値変換と 1つ以上の出力値変換の配置情報である分割処理配置情報を生成する分割処理配置情報生成部 103と、入力値変換及び出力値変換を示す関数を生成する変換生成部 104と、分割処理配置情報、入力値変換及び出力値変換を用いて、テーブルを生成するテーブル生成部 105と、乗算配置情報と分割処理配置情報を用いて、テーブルを読み出す命令の配置を示す読出命令順序情報を生成する読出情報配置部 106と、テーブルと読出命令順序情報を用いて、難読化プログラムを生成するプログラム生成部 107と、難読化プログラムを媒体に記録する媒体記録部 108とを備える。

[0154] 入力部 101は、秘密鍵 dを入力として受け付ける。

乗算配置情報生成部 102は、秘密鍵 dから乗算剰余処理及び 2乗算剰余処理の処理の順番を示す乗算配置情報を生成する。これは、図 4のステップ S401に示す処理に対応する。図 4の場合、乗算配置情報 421は、 {2乗算剰余、乗算剰余、 2乗算剰余、 2乗算剰余、乗算剰余 }のような順番を示す情報となる。

[0155] 分割処理配置情報生成部 103は、予め与えられた配置方法に従い、乗算剰余処理と 2乗算剰余処理を分割した処理とそれに対して追加する 1つ以上の入力値変換と 1つ以上の出力値変換の配置情報である、分割処理配置情報を生成する。なお、ここで生成する情報は、各処理や変換の配置情報のみであり、処理や変換に対応する関数は生成しない。

変換生成部 104は、分割処理配置情報を参照して、配置した入力値変換と出力値変換に対する関数を生成する。入力値変換及び出力値変換に対する関数の生成方法については、先の「2. 3 難読ィ匕装置 100で実行する難読ィ匕について」で述べたとおりである。

[0156] テーブル生成部 105は、分割処理配置情報、入力値変換及び出力値変換を用いて、テーブルを生成する。テーブルの生成方法については、先の「2. 3 難読化装置 100で実行する難読化にっ、て」で述べたとおりである。

読出情報配置部 106は、乗算配置情報と分割処理配置情報を用いて、テーブルを読み出す命令を順番に配置した読出命令順序情報を生成する。具体的には、分割処理配置情報を用いて、変換後乗算剰余処理内及び変換後 2乗算剰余処理内の各処理に対応するテーブル読出命令を順番に配置することでテーブル読出命令群を生成し、それらの変換後乗算剰余処理内及び変換後 2乗算剰余処理内に対応するテーブル読出命令群を、乗算配置情報を用いて配置することで、テーブル読出命令を配置する。

[0157] プログラム生成部 107は、上記読出命令順序情報とテーブルを合わせた難読ィ匕プログラムを生成する。

媒体記録部 108は、難読化プログラムを媒体 200に記録する。

(2)暗号処理装置 300の構成

図 34は暗号処理装置 300の構成を示す図である。

[0158] 暗号処理装置 300は、図 34に示すように、暗号化データまたはメッセージデータを入力する入力部 301と、復号ィ匕データまたは署名データを出力する出力部 302と、データメモリ 303と、プログラムメモリ 304と、 CPU305と、媒体 200から難読化プログラムを読込む媒体読込部 306とを備える。

入力部 301は、後述する復号化処理時に暗号化データ、署名生成処理時にメッセージデータを入力として受け付ける。

[0159] 出力部 302は、後述する復号化処理時に復号化データ、署名生成処理時に署名データを出力する。

データメモリ 303は、入力である復号ィ匕データやメッセージデータ、難読化プロダラムを実行する際の中間値データを記憶する。

プログラムメモリ 304は、難読ィ匕プログラムを記憶する。

[0160] CPU305は、難読ィ匕プログラムに記述されている命令を実行する。

媒体読込部 306は、媒体 200から難読化プログラムを読込み、プログラムメモリ 304 に格納する。

(3) 難読ィ匕システム 1の動作

難読ィ匕システム 1の動作は、難読ィ匕装置 100において難読ィ匕プログラムを生成し、媒体 200に記録する「難読化処理時」の動作と、暗号処理装置 300にお、て媒体 20 0に記録されてヽる難読化プログラムを実行して復号化処理を行う「復号化処理時」と署名生成処理を行う「署名生成処理時」の動作カゝらなる。 [0161] 以下において、それぞれの動作について説明する。

(a)難読化装置 100による難読化処理時の動作

難読ィ匕装置 100による難読ィ匕処理時の動作について、図 35に示すフローチャートを用いて説明する。

難読ィ匕装置 100の入力部 101は、秘密鍵 dを受け付け (ステップ S1101)、乗算配置情報生成部 102は、乗算配置情報を生成し (ステップ S1102)、分割処理配置情報生成部 103は、分割処理配置情報を生成し (ステップ S 1103)、変換生成部 104 は、入力値変換と出力値変換に対する関数を生成し (ステップ S1104)、テーブル生成部 105は、テーブルを生成し (ステップ S1105)、読出情報配置部 106は、読出命令順序情報を生成し (ステップ S 1106)、プログラム生成部は、難読化プログラムを生成し (ステップ S1107)、難読ィ匕装置 100の媒体記録部 108は、難読化プログラムを媒体 200に記録する (ステップ S1108)。こうして、難読化処理が終了する。

[0162] (b)暗号処理装置 300による復号化処理の動作

暗号処理装置 300による復号化処理の動作について、図 36に示すフローチャートを用いて説明する。

暗号処理装置 300の入力部 301は、入力である暗号ィ匕データを受け付け、対象データ Xとしてデータメモリに格納し (ステップ S1201)、媒体読込部 306は、媒体 200 力も難読ィ匕プログラムを読み込み、プログラムメモリ 304に格納し (ステップ S 1202)、 CPU305は、プログラムメモリ 304に格納されている難読化プログラムにしたがって、データメモリ 303を使用し、対象データ Xのべき乗値： Td mod nを計算し、データメモリ 303に格納し (ステップ S1203)、出力部 302は、データメモリ 303に格納されて V、る値 (対象データのべき乗値)を復号ィ匕データとして出力する (ステップ S 1204)。こうして、復号化処理の動作が終了する。

[0163] (c)暗号処理装置 300による署名生成処理の動作

暗号処理装置 300による署名生成処理の動作につ!、て、図 37に示すフローチヤートを用いて説明する。

暗号処理装置 300の入力部 301は、入力であるメッセージデータを受け付け、対象データ Xとしてデータメモリに格納し (ステップ S1301)、媒体読込部 306は、媒体 20 0から難読ィ匕プログラムを読み込み、プログラムメモリ 304に格納し (ステップ SI 302) 、 CPU305は、プログラムメモリ 304に格納されている難読化プログラムにしたがって、データメモリ 303を使用し、対象データ Xのべき乗値： Td mod nを計算し、データメモリ 303に格納し (ステップ S 1303)、出力部 302は、データメモリ 303に格納されて、る値 (対象データのべき乗値)を署名データとして出力する (ステップ S 1304)。こうして、署名生成処理の動作が終了する。

[0164] (d)難読ィ匕装置 100によるテーブルィ匕の動作

難読ィ匕装置 100によるテーブルィ匕の動作について、図 38に示すフローチャートを用いて説明する。なお、ここでは、図 15に示す乗算処理 1002のテーブル化を一例として説明している力他のテーブルィ匕の例についても同様に実現できるので、その説明は省略する。

[0165] 難読化装置 100のテーブル生成部 105は、図 15に示すテーブルの配置のうち、 R M 1121、 RM 1122、 RM 1123、 RA 1124、 RA 1125、 RA 1126、 RA 11

0 1 2 1 2 3 1

27、 RA 1128、 RA 1129、 RA 1130及び RA 1131の接続関係のみを予め記

2 2 4 5

憶している。ここで、この接続関係は、上述したようにして、設計者が作成し、データ化したものである。

[0166] テーブル生成部 105は、当初は、これらの接続関係のみを記憶しているのであって、RM 1121、 RM 1122、 RM 1123、 RA 1124、 RA 1125、 RA 1126、 RA

0 1 2 1 2 3 1

1127、 RA 1128、 RA 1129、 RA 1130及び RA 1131の内容【こつ!ヽて ίま、記

2 2 4 5

憶されていない。

難読ィ匕装置 100によるテーブルィ匕の手順においては、上記の接続関係に従って、 RM 1121、 RM 1122、 RM 1123、 RA 1124、 RA 1125、 RA 1126、 RA

0 1 2 1 2 3 1

1127、 RA 1128、 RA 1129、 RA 1130及び RA 1131の内容を決定していく。

2 2 4 5

[0167] また、テーブル生成部 105は、予め、 40種類の異なる乗算パターンテーブルを記憶している。これらの乗算パターンテーブルは、ここでは、 2個の入力値を 2個の出力値に変換する 2入力 2出力のテーブルであり、各入力値は、 3ビット長であり、各出力値も、 3ビット長である。

テープノレ生成咅 105ίま、図 38に示すステップ S1401〜S1404にお!/ヽて、図 15に示す RM 1121、 RM 1122及び RM 1123【こつ!/ヽて、それぞれ、上記の 40種類

0 1 2

の乗算パターンテーブルから 1個の乗算パターンテーブルをランダムに選択し (ステップ S 1402)、これらの RM 1121、 RM 1122及び RM 1123【こ選択した乗算ノタ

0 1 2

ーンテーブルを割り当てる（ステップ S1403)。ここで、上記の 40種類の乗算パターンテーブルから 1個の乗算パターンテーブルをランダムに選択する際に、異なる RM について同じ乗算パターンテーブルが選択されないようにするため、一度選択した乗算パターンテーブルを次の選択では選択しな、ように、選択対象から除外する。

[0168] 次に、テーブル生成部 105は、図 38に示すステップ S1405〜S1410において、乗算処理 1002の先頭の入力値力も最終の出力値へ至る各経路について、以下を繰り返す。

ここで、乗算処理 1002の先頭の入力値力も最終の出力値へ至る経路の一例は、入力値 1141a力も、 RM 1121の乗算 1121a、変換 1121bを介して、出力値 1142

0

aへ至る経路であり、また、別の経路の一例は、入力値 1141b力ら、 RM 1121の乗

0 算 1121a、変換 1121c、 RA 1124の変換 1124a、カロ算 1124c、変換 1124d

1

を介して、出力値 1142bへ至る経路である。

[0169] このように、前記経路とは、 3ビットの入力値を開始点として、 1個の RM及び少なくとも 1個の RAを介して、 3ビットの出力値へ至る経路である。

各経路上には、変換を配置するべき位置が予め特定されている。テーブル生成部 105は、各経路上における変換を配置するべき位置を予め記憶している。変換を配置するべき位置とは、図 15において、例えば、 RM 1121において、変換 1121b及

0

び変換 1121cが配置されている位置であり、また、 RA 1124において、変換 1

1

124a,変換 1124b、変換 1124d及び変換 1124eが配置されている位置である。

[0170] テーブル生成部 105は、各経路の先頭から、順に変換が配置される位置を 1個ずつ選択していく。

選択した位置の次が、最終出力値であるなら (ステップ S 1406で YES)、テーブル生成部 105は、 1個の変換を選択し、選択した変換を当該位置に配置し (ステップ S1 409)、この経路における処理を終了する。

[0171] 選択した位置の次が、最終出力値でないなら (ステップ S 1406で NO)、テーブル生成部 105は、 1個の変換を選択し、選択した変換を当該位置に配置する。ここで、同一経路において、前に変換を選択した場合には、前に選択した変換とは別の変換を選択する（ステップ S1407)。次に、次の位置において、ステップ S1407において配置した変換の逆変換を配置し (ステップ S1408)、次に、ステップ S1406へ戻って処理を繰り返す。

[0172] 2. 5 実施の形態 2の効果

実施の形態 2では、乗算及び 2乗算の処理を分割した処理に対して、同じ個数の引数を入力とするテーブルを生成し、さらに、それらの引数に出力が依存するようにテ一ブルの出力値を設定することで、乗算と 2乗算の処理を入力数の違いによる攻撃者の攻撃を防ぐことが可能となる。これを以下で詳しく説明する。

[0173] 乗算は 2入力 1出力であり、 2乗算は 1入力 1出力の演算であるため、これの違いにより攻撃者に攻撃される可能性がある。これに対し、実施の形態 2では、上記でも述ベたように通常の RSA暗号等の処理では、乗算処理の入力に含まれるが、 2乗算処理の入力に含まれなかった入力を含む入力値変換及び出力値変換を、乗算処理及び 2乗算処理の前後に配置し、これらを含むようなテーブルを生成して、る。

[0174] これにより、乗算処理に対応するテーブルと、 2乗算処理に対応するテーブルとにおいて、入力数の違いがなくなるので、攻撃者が入力を解析し、乗算と 2乗算を区別する攻撃を防ぐことが可能となる。

さらに、入力値変換または出力値変換により、 2乗算処理に元々含まれない入力の値を各テーブルの出力に反映することができるため、攻撃者が出力を解析し、入力力 Sダミーであると気づくことによる乗算と ₂乗算を区別する攻撃を防ぐことが可能となる

[0175] 実施の形態 2では、上述したように、乗算及び 2乗算におけるそれぞれの入力値及び出力値は非常に大きい数（1024ビット程度)であるため、乗算及び 2乗算の処理を各桁の処理に分割して、る。

この場合においても、乗算についても 2乗算についても、各桁の処理を 4入力 1出力と 2入力 1出力のテーブルとに分割することで、上記のような入力値変換及び出力値変換を配置しやす、ような構成を取ってヽる。 [0176] このようにすることで、乗算及び 2乗算の処理を各桁に分割した処理に対して、乗算及び 2乗算のどちらでも同じ個数の引数を入力とし、それぞれの入力が出力に影響するようなテーブルを生成することができるので、テーブルの分割の仕方から乗算である力 2乗算であるかを区別することができない。すなわち、そのテーブルを解析し乗算処理であるか 2乗算処理であるかを区別する攻撃を防ぐことが可能となる。したがつて、乗算と 2乗算の処理を攻撃者により区別しに《なり、本発明は有効である。

[0177] また、乗算処理や 2乗算処理を各桁の処理のテーブルに分割することで、一つの乗算処理または 2乗算処理で必要とするテーブルサイズが、 2²⁰⁴⁸ X (テーブルの出力ノイトサイズ)バイト程度であったもの力各桁の処理を 4入力 1出力と 2入力 1出力のテーブルに分割することで、（256 X 256) Z2 X 2¹⁶ X (テーブルの出力バイトサイズ） = 2³¹ X (テーブルの出カノくイトサイズ)程度に削減できる。

[0178] さら〖こ、同一の変換を示すテーブルを共通化することで、分割後のテーブルとして、 4入力 1出力のテーブルが 2個、 2入力 1出力のテーブルが 2個となり、その結果、一つの乗算処理または 2乗算処理で必要とするテーブルサイズ力 2 X 2¹⁶ X (テーブルの出力バイトサイズ） + 2 X 2⁸ X (テーブルの出力バイトサイズ） = 131, 584 X (テーブルの出力バイトサイズ)程度に削減できる。このように、テーブルの分割 ·共通化をすることで、テーブルサイズの削減が可能となる。

[0179] 以上のように、乗算と 2乗算の処理を入力数の違いによる攻撃者の攻撃を防ぐことが可能となり、また、使用するテーブルサイズが削減できるため、本発明により計算機上で実装可能な RSA暗号のソースコード難読ィヒされたプログラムを生成可能である

2. 6 安全性についての検討

実施の形態 2にっき、全単射写像の総当り攻撃に対する安全性について検討する。ここで、全単射写像の総当り攻撃とは、すべての取り得る全単射写像のノリエーションカも正しい全単射写像を当てる攻撃である。具体的には、全単射写像それぞれに対してテーブルを生成し、実際にプログラムに含まれるテーブルと比較することで、正しい全単射写像であるかを判定する。正しい全単射写像の場合は、テーブルの値がすべて一致する。 [0180] (1)乗算テーブル又は 2乗算テーブルが攻撃される場合

乗算テーブル又は 2乗算テーブルが攻撃される場合には、各テーブルには、上述の g、 φの全単射写像が含まれており、両方のテーブルに対して、各テーブルに相応する正、写像を用いる攻撃が行われな、と、テーブルに対する攻撃は成功しな!ヽ実施の形態 2において上述したように、各桁を 4ビットで分割する場合、 g、 φそれぞれの全単射写像のノリエーシヨンは 16！ = 2⁴⁴通りあるため、総当りを行うためには、 16！ = 2⁴⁴の計算量が必要である。攻撃者は、 g、 φの全単射写像の両方を当てる必要があるため、攻撃に要する計算量は、（2⁴⁴) 2 = 2⁸⁸となる。

[0181] (2)加算テーブルが攻撃される場合

加算テーブルが攻撃される場合には、加算テーブルには、少なくとも、 2種類 φが含まれているので、攻撃に要する計算量は、 (2⁴⁴) ² = 2⁸⁸である。

次に、実施の形態 2にっき、桁毎の分割前のテーブルが乗算テーブルか 2乗算テ一ブルであるかの総当り攻撃に対する安全性について、検討すると、乗算テーブル及び 2乗算テーブルは、 80種類存在し、それぞれが乗算テーブルか 2乗算テーブルである可能性があるため、総当り攻撃の計算量は、 2^8Qとなる。

[0182] 攻撃に対する安全性を向上させるためには、各桁を 4ビットで分割するとともに、 2 種類の関数に依存して、テーブルを生成することが有効である。

3.その他の変形例

上記に説明した各実施の形態は、本発明の実施の一例であり、本発明はこの実施の形態に何ら限定されるものではなぐその主旨を逸脱しない範囲において種々なる態様で実施し得るものである。例えば、以下のような場合も本発明に含まれる。

[0183] (1)実施の形態 2では、テーブル化の対象処理を RSA暗号における乗算剰余処理及び 2乗算剰余処理とし、これらの入力を統一した力これに限らない。

入力する数が異なる処理をテーブルィ匕するとしてもよい。例えば、楕円曲線暗号の楕円加算（2つの点の座標を入力）と楕円 2倍算（1つの点の座標を入力）の処理をテーブルイ匕対象としてもよい。なお、楕円曲線暗号の場合でも、楕円加算と楕円 2倍加算が区別されると不正解析の手が力りとなるため、本発明のように区別がつかないようにすることで攻撃を防ぐ手法は有効である。

[0184] なお、本発明が、暗号ィ匕に関連する処理のみではなぐ入力数が異なる処理を含み、それぞれの処理を区別されると不正解析の手力 Sかりとなつてしまうようなプロダラムであれば、どのようなプログラムについても適用可能であり、かつ有効であることは言うまでもない。

また、実施の形態 2では、入力値が対象データ Xのみである 2乗算の処理と、入力値が対象データ Xおよび中間値 Yである乗算の処理とについて、入力値の数をそろえる変換を行ったが、これに限られるものではない。本発明の手法を適用すれば、入力値が X、 Yである第 1の処理と入力値が Y、 Ζである第 2の処理との組など、一方の入力値の集合が他方の入力値の集合を完全に包含していない場合であっても、難読ィ匕を行うことができる。この場合には、第 1の処理については入力値 Ζに依存する処理 (実施の形態 2における入力依存加算や減算に相当）を加えた上でテーブルィ匕し、第 2の処理につヽては入力値 Xに依存する処理を加えた上でテーブル化すればよい。

[0185] (2)実施の形態 2では、難読ィ匕プログラムを使用して、 RSA暗号方式の復号化処理ゃ RSA署名方式の署名生成時処理を実行して!/ヽるが、秘密鍵をべき値としたべき乗演算処理を含むものであれば何でもよい。例えば、 RSA— PSS署名方式の署名方式であってもよいし、 RSA—OAEP暗号方式の復号化処理であってもよいし、 RS Α— ΚΕΜ方式の復号化処理であってもよい。また、 ElGamal暗号方式の復号化処理であってもよい。

[0186] (3)暗号処理装置にお!、て、媒体力も読み込んだ難読ィ匕プログラムをプログラムメモリに格納するとしている力これを何回かに分けて、読込みながら、プログラムメモリに格納し、その度に CPUにて実行するとしてもよい。

(4)署名生成時の処理において、入力であるメッセージを対象データとして、対象データのべき乗値を計算している力メッセージ _mを用いて X=Hash (m)とし、対象データ Xのべき乗値を計算するとしてもよ、。

[0187] ここで、 Hashはハッシュ関数を示し、 Hash (m)はメッセージ mのハッシュ値を示す

。使用するハッシュ関数は、例えば、 SHA— 1、 SHA— 224、 SHA— 256、 SHA— 384、 SHA— 512、 MD5、 WHIRLPOOLゝ RIPEMD128、 RIPEMD160である

(5)実施の形態 2において、難読ィ匕プログラムは媒体に記録して配布するとしている力これを通信路を用いて送信するとしてもよい。

[0188] (6)実施の形態 2において、入力値変換に入力依存減算、出力値変換に入力依存減算を含ませていたが、これに限られるものではない。例えば、入力依存減算と入力依存加算配置を逆にしてもよい。また、減算や加算に限られるものではなぐ乗算と除算の組等としてもよい。すなわち、対象データ Xに依存する変換が行われるのであれば、どのような変換の組でも構わない。ただし、上述したやり方でテーブルの分割によりテーブルサイズを抑える場合には、加算と減算の組とすることが望ま U、。

[0189] また、各乗算剰余演算及び各 2乗算剰余演算の直前及び直後に、当該演算への 1 個の入力値に依存する減算及び加算を配置するとしてもよい。

また、各乗算剰余演算及び各 2乗算剰余演算をそれぞれ分解して、乗算演算及び剰余演算、 2乗算演算及び剰余演算が生成された場合に、各乗算演算及び各 2乗算演算の直前及び直後に、当該演算への 1個の入力値に依存する減算及び加算を酉己置するとしてもよ、。

[0190] (7)実施の形態 2においては乗算の処理にも 2乗算の処理にも入力依存加算および入力依存減算を追加した上で、テーブルィ匕を行っていた力これに限られるものではない。すなわち、本発明では、少なくとも 2乗算の処理について対象データ Xに依存する変換 (入力依存加算）が含まれれば、各テーブルの入出力値の関係を解析しても乗算のテーブルと 2乗算のテーブルとを区別することが難しくなるので、そのようにしてもよい。

[0191] (8)従来技術にお!、て、 RSA暗号をバイナリ法を用いて復号ィ匕する場合、処理をランダムなテーブルに変換する従来方法を応用した方法では、乗算と 2乗算とで入力数が異なるため、これを利用して攻撃者が解析可能となるという課題がある。より具体的には、各テーブルへの入力数から、そのテーブルが乗算を行うか 2乗算を行うのかを区別することができるという問題点がある。

[0192] 本発明では、乗算及び 2乗算の処理に対して、同じ個数の引数を入力とするテーブルを生成し、さらに、それらの引数に出力が依存するようにテーブルの出力値を設定する。より具体的には、 2乗算の処理に対して、乗算でのみ必要な引数を使った追加処理を付けカ卩えた上でテーブルィ匕することにより、引数の数を乗算と揃える。さらに、この場合、出力が全ての引数に依存するため、実際には処理されないダミーの引数を追加する場合と異なり、追加した引数がある力否かが分力もな、ようになる。

[0193] (9)本発明は、乗算と 2乗算の入力数を異なることによる攻撃を防ぐソースコード難読化システム、装置および方法を提供する。

上記に説明したように、本発明は、 1つ以上の数からなる第一の処理入力情報から、 1以上の数力なる第一の処理出力情報を算出する第一の処理を入力とし、第一のテーブルを出力する難読ィ匕装置であって、 1以上の数からなる第一の変換入力情報を、 1以上の数力なる第一の変換出力情報に変換する第一の変換手段と、 1以上の数力もなる第一のテーブル入力情報と 1以上の数力もなる第一のテーブル出力情報の対応を示す前記第一のテーブルを生成する第一のテーブル生成手段とを有し、前記第一のテーブル入力情報は、前記第一の処理入力情報または第一の変換入力情報に含まれる数と、 1以上の数力なる追加入力情報に含まれる数力なり、前記第一のテーブル出力情報は、前記第一の処理出力情報または第一の変換出力情報を含む。

[0194] ここで、前記難読化装置は、さらに、 1以上の数力もなる第二の変換入力情報を、 1 以上の数力なる第二の変換出力情報に変換する第二の変換手段を有し、前記第一のテーブル入力情報は、前記第一の変換入力情報に含まれる数と、前記追加入力情報に含まれる数からなり、前記第一の処理入力情報は、前記変換出力情報の少なくとも 1つの数を含み、前記第二の変換入力情報は、前記第一の処理出力情報の少なくとも 1つの数を含み、前記第一のテーブル出力情報は、前記第二の変換出力情報を含むとしてもよい。

[0195] ここで、前記第一の変換手段による変換は、前記第一のテーブル入力情報に基づく変換であるとしてもよい。

ここで、前記難読化装置は、前記第一の処理に加え、 1以上の数からなる第二の処理入力情報から、 1以上の数からなる第二の処理出力情報を算出する第二の処理を入力とし、前記第二の処理入力情報のうち、前記第一の処理入力情報に含まれない数を前記追加入力情報とする追加入力情報決定手段を有するとしてもよい。

[0196] ここで、前記第二の処理は、第一の数と第二の数からなる前記第二の処理入力情報から、前記第一の数と前記第二の数の積からなる前記第二の処理出力情報を算出する処理であり、前記第一の処理は、前記第一の数からなる前記第一の処理入力情報から、前記第一の数の 2乗からなる前記第一の処理出力情報を算出する処理であるとしてもよ、。

ここで、前記難読化装置は、前記第一の処理と前記第二の処理に加え、 1以上の数、または、少なくとも 1つの第二の中間値情報の数を含む第三の処理入力情報から、 1以上の数力なる第三の処理出力情報を算出する第三の処理を入力とし、前記第一のテーブルおよび第二のテーブルを出力する難読化装置であって、 1以上の数力なる第三の変換入力情報を、 1以上の数力もなる第三の変換出力情報に変換する第三の変換手段と、 1以上の数からなる第二のテーブル入力情報と 1以上の数からなる第二のテーブル出力情報の対応を示す前記第二のテーブルを生成する第二のテーブル生成手段と、 1以上の数力なる第三の変換入力情報を、 1以上の数からなる第三の変換出力情報に変換する第三の変換手段とを有し、前記第二のテーブル入力情報は、少なくとも 1つの前記第一のテーブル出力情報を含み、前記第三の変換入力情報は、少なくとも 1つの前記第一のテーブル出力情報を含み、前記第二のテーブル出力情報は、前記第三の処理出力情報を含むとしてもよい。

[0197] ここで、前記難読化装置は、前記第一の処理、前記第二の処理、前記第三の処理に加え、 1以上の数力なる第四の処理入力情報から、 1以上の数力なる第四の処理出力情報を算出する第四の処理を入力とし、前記第二のテーブル入力情報は、少なくとも 1つの前記第一のテーブル出力情報に含まれる数と、第二の追加入力情報を含み、前記第四の処理入力情報のうち、前記第三の処理入力情報に含まれない数を前記第二の追加入力情報とする第二の追加入力情報決定手段を有するとしてもよい。

[0198] ここで、前記難読化装置はさらに、前記第一の変換手段および前記第三の変換手段による変換は、前記第一の処理入力情報に含まれる数のうち、前記第三の処理入力情報に含まれる数に基づく変換であるとしてもよい。

ここで、前記難読化装置は、 1以上の数力もなる第四の変換入力情報を、 1以上の数力なる第四の変換出力情報に変換する第四の変換手段を有し、前記第四の変換入力情報は、前記第三の処理出力情報の少なくとも 1つの数を含み、前記第二のテーブル出力情報は、前記第三の処理出力情報を含む替わりに、前記第四の処理出力情報を含むとしてもよい。

[0199] ここで、前記難読化装置は、 1つ以上の数からなる第五の処理入力情報から、 1以上の数力なる第五の処理出力情報を算出する第五の処理を入力とし、前記第五の処理を 4つの数からなる処理入力情報から、 1つの数力なる処理出力情報を算出する 1以上の 4入力 1出力処理と、 2つの数力なる処理入力情報から、 1つの数からなる処理出力情報を算出する 1以上 2入力 1出力処理に分割する処理分割手段を有し、前記 4入力 1出力処理と前記 2入力 1出力処理の少なくとも 1つを前記第一の処理とし、前記 4入力 1出力処理と前記 2入力 1出力処理の少なくとも 1つを前記第三の処理としてもよい。

[0200] また、本発明は、 1つ以上の数力なる第一の処理入力情報から、 1以上の数からなる第一の処理出力情報を算出する第一の処理を入力とし、第一のテーブルを出力する難読化方法であって、 1以上の数力なる第一の変換入力情報を、 1以上の数力なる第一の変換出力情報に変換する第一の変換ステップと、 1以上の数力もなる第一のテーブル入力情報と 1以上の数力もなる第一のテーブル出力情報の対応を示す前記第一のテーブルを生成する第一のテーブル生成ステップとを有し、前記第一のテーブル入力情報は、前記第一の処理入力情報または第一の変換入力情報に含まれる数と、 1以上の数力なる追加入力情報に含まれる数力なり、前記第一のテーブル出力情報は、前記第一の処理出力情報または第一の変換出力情報を含むとしてちよい。

[0201] ここで、前記難読化方法は、さらに、 1以上の数力もなる第二の変換入力情報を、 1 以上の数力なる第二の変換出力情報に変換する第二の変換ステップを有し、前記第一のテーブル入力情報は、前記第一の変換入力情報に含まれる数と、前記追カロ入力情報に含まれる数からなり、前記第一の処理入力情報は、前記変換出力情報の少なくとも 1つの数を含み、前記第二の変換入力情報は、前記第一の処理出力情報の少なくとも 1つの数を含み、前記第一のテーブル出力情報は、前記第二の変換出力情報を含むとしてもよい。

[0202] ここで、前記第一の変換ステップによる変換は、前記第一のテーブル入力情報に基づく変換であるとしてもょ、。

ここで、前記難読化方法は、前記第一の処理に加え、 1以上の数からなる第二の処理入力情報から、 1以上の数からなる第二の処理出力情報を算出する第二の処理を入力とし、前記第二の処理入力情報のうち、前記第一の処理入力情報に含まれない数を前記追加入力情報とする追加入力情報決定ステップを有するとしてもよい。

[0203] ここで、前記第二の処理は、第一の数と第二の数からなる前記第二の処理入力情報から、前記第一の数と前記第二の数の積からなる前記第二の処理出力情報を算出する処理であり、前記第一の処理は、前記第一の数からなる前記第一の処理入力情報から、前記第一の数の 2乗からなる前記第一の処理出力情報を算出する処理であるとしてもよ、。

ここで、前記難読化方法は、前記第一の処理と前記第二の処理に加え、 1以上の数、または、少なくとも 1つの第二の中間値情報の数を含む第三の処理入力情報から、 1以上の数力なる第三の処理出力情報を算出する第三の処理を入力とし、前記第一のテーブルおよび第二のテーブルを出力する難読化方法であって、 1以上の数力なる第三の変換入力情報を、 1以上の数力もなる第三の変換出力情報に変換する第三の変換ステップと、 1以上の数からなる第二のテーブル入力情報と 1以上の数力なる第二のテーブル出力情報の対応を示す前記第二のテーブルを生成する第二のテーブル生成ステップと、 1以上の数力もなる第三の変換入力情報を、 1以上の数力なる第三の変換出力情報に変換する第三の変換ステップとを有し、前記第二のテーブル入力情報は、少なくとも 1つの前記第一のテーブル出力情報を含み、前記第三の変換入力情報は、少なくとも 1つの前記第一のテーブル出力情報を含み、前記第二のテーブル出力情報は、前記第三の処理出力情報を含むとしてもよい。

[0204] ここで、前記難読化方法は、前記第一の処理、前記第二の処理、前記第三の処理に加え、 1以上の数力なる第四の処理入力情報から、 1以上の数力なる第四の処理出力情報を算出する第四の処理を入力とし、前記第二のテーブル入力情報は、少なくとも 1つの前記第一のテーブル出力情報に含まれる数と、第二の追加入力情報を含み、前記第四の処理入力情報のうち、前記第三の処理入力情報に含まれない数を前記第二の追加入力情報とする第二の追加入力情報決定ステップを有するとしてちよい。

[0205] ここで、前記難読化方法にお!、て、前記第一の変換ステップおよび前記第三の変換ステップによる変換は、前記第一の処理入力情報に含まれる数のうち、前記第三の処理入力情報に含まれる数に基づく変換であるとしてもよい。

ここで、前記難読化方法は、 1以上の数力もなる第四の変換入力情報を、 1以上の数力なる第四の変換出力情報に変換する第四の変換ステップを有し、前記第四の変換入力情報は、前記第三の処理出力情報の少なくとも 1つの数を含み、前記第二のテーブル出力情報は、前記第三の処理出力情報を含む替わりに、前記第四の処理出力情報を含むとしてもよい。

[0206] ここで、前記難読化方法は、 1つ以上の数からなる第五の処理入力情報から、 1以上の数力なる第五の処理出力情報を算出する第五の処理を入力とし、前記第五の処理を 4つの数からなる処理入力情報から、 1つの数力なる処理出力情報を算出する 1以上の 4入力 1出力処理と、 2つの数力なる処理入力情報から、 1つの数からなる処理出力情報を算出する 1以上 2入力 1出力処理に分割する処理分割ステップを有し、前記 4入力 1出力処理と前記 2入力 1出力処理の少なくとも 1つを前記第一の処理とし、前記 4入力 1出力処理と前記 2入力 1出力処理の少なくとも 1つを前記第三の処理としてもよい。

[0207] また、本発明は、前記難読化装置と、プログラムと、前記プログラムを実行する情報処理装置から構成される情報処理システムであって、前記プログラムは、前記第一のテーブルを用いて、前記第一のテーブル入力情報から前記第一のテーブル出力情報を算出する処理を含む。

また、本発明は、前記難読化装置と、プログラムと、前記プログラムを実行する情報処理装置力構成される情報処理システムにおけるプログラムであって、前記第一のテーブルを用いて、前記第一のテーブル入力情報から前記第一のテーブル出力情報を算出する処理を含む。

[0208] ここで、前記第一の処理は、復号処理の一部であるとしてもよ!、。

ここで、前記第一の処理は、署名生成処理の一部であるとしてもよい。また、本発明は、前記プログラムを録した記録媒体である。

また、本発明は、前記難読化装置と、プログラムと、前記プログラムを実行する情報処理装置力構成される情報処理システムにおける情報処理装置であって、前記プログラムは、前記第一のテーブルを用いて、前記第一のテープノレ入力情報から前記第一のテーブル出力情報を算出する処理を含む。

[0209] また、本発明は、 1つ以上の数力なる第一の処理入力情報から、 1以上の数からなる第一の処理出力情報を算出する第一の処理を入力とし、第一のテーブルを出力する難読ィ匕装置の集積回路であって、 1以上の数力もなる第一の変換入力情報を、 1以上の数力なる第一の変換出力情報に変換する第一の変換手段と、 1以上の数力もなる第一のテーブル入力情報と 1以上の数力もなる第一のテーブル出力情報の対応を示す前記第一のテーブルを生成する第一のテーブル生成手段とを有し、前記第一のテーブル入力情報は、前記第一の処理入力情報または第一の変換入力情報に含まれる数と、 1以上の数力なる追加入力情報に含まれる数力なり、前記第一のテーブル出力情報は、前記第一の処理出力情報または第一の変換出力情報を含む。

[0210] また、本発明は、前記第一の処理を含む情報処理を行う情報処理装置の集積回路であって、前記第一のテーブルを保持するテーブル保持手段と、前記第一のテープル入力情報を入力とし、前記第一のテーブル出力情報を出力する出力値算出手段とを有する。

また、前記難読化装置は、前記第一のテーブルの代わりに、プログラムを出力し、前記難読化装置は、さらに、前記第一のテーブルと、 1以上のプログラム命令力なるプログラム命令群力なる前記プログラムを生成するプログラム生成手段を有し、前記プログラム命令群は、前記第一のテーブル入力情報を入力とし、対応する前記第一のテーブル出力情報を出力する処理を含むとしてもよい。

[0211] また、本発明は、 1つ以上の入力値の集合である第 1の入力値群を用いた処理を行う第 1の処理と、前記第 1の処理よりも多くの入力値が含まれる集合である第 2の入力値群を用いた処理を行う第 2の処理とを含むプログラムを難読化して難読化プログラムを生成する難読ィ匕装置であって、前記プログラムを受け付ける入力手段と、前記第 2の入力値群と前記第 2の処理結果とを対応付けた第 2テーブルと、前記第 1の入力値群および追加入力値群と変換後の第 1の処理の処理結果とを対応付けた第 1テ一ブルとを生成するテーブル生成手段と、前記プログラムにおける前記第 1の処理を、前記第 1の入力値群を用いて前記第 1テーブルから前記処理結果を取り出す処理に置き換え、かつ、前記第 2の処理を、前記第 2の入力値群を用いて前記第 2テープルカ前記処理結果を取り出す処理に置き換えて前記難読ィヒプログラムを生成するプログラム生成手段とを備え、前記追加入力値群は、前記第 2の入力値群のうち前記第 1の入力値群に含まれない入力値の集合であり、前記変換後の第 1の処理は、前記第 1の処理に前記追加入力値群を用いる処理を追加した処理である。

[0212] これらの構成によると、乗算と 2乗算の入力数が異なることによる攻撃を防ぐことができ、その価値は大きい。

(10)上記の各装置は、具体的には、マイクロプロセッサ、 ROM、 RAM、ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAMまたはハードディスクユニットには、コンピュータプロダラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムにしたがつて動作することにより、各装置は、その機能を達成する。ここでコンピュータプロダラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

[0213] (11)上記の各装置を構成する構成要素の一部または全部は、 1個のシステム LSI

(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSI であり、具体的には、マイクロプロセッサ、 ROM、 RAMなどを含んで構成されるコンピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムにしたがって動作することにより、システム LSIは、その機能を達成する。 [0214] また、上記の各装置を構成する構成要素の各部は、個別に 1チップィ匕されていても良!、し、一部又は全てを含むように 1チップィ匕されてもょ、。

また、ここでは、システム LSIとした力集積度の違いにより、 IC、 LSI,スーパー LS I、ウルトラ LSIと呼称されることもある。また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセッサで実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field Programmable Gate Array)や、 LSI内部の回路セルの接続や設定を再構成可能なリコンフィギユラブル'プロセッサーを利用しても良い。

[0215] さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行ってもよい。バイオ技術の適応等が可能性としてありえる。

(12)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能な ICカードまたは単体のモジュール力も構成されて、るとしてもよ、。前記 ICカードまたは前記モジュールは、マイクロプロセッサ、 ROM, RAMなどから構成されるコンピュータシステムである。前記 ICカードまたは前記モジュールは、上記の超多機能 L SIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記 ICカードまたは前記モジュールは、その機能を達成する。この ICカードまたはこのモジュールは、耐タンパ性を有するとしてもよ!/、。

[0216] (13)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力もなるデジタル信号であるとしてもよい。

(14)また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 C D—ROMゝ MO、 DVDゝ DVD— ROMゝ DVD— RAMゝ BD (Blu—ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよ、。

[0217] (15)また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

(16)また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであつて、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

[0218] (17)また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送すること〖こより、独立した他のコンピュータシステムにより実施するとしてちよい。

(18)本発明は、上記の実施の形態及び変形例の組合せであってもよい。産業上の利用可能性

[0219] これらの構成によると、乗算と 2乗算の入力数が異なることによる攻撃を防ぐことができる。

本発明を構成する各装置は、情報を暗号ィ匕して復号ィ匕することにより第三者に知られないように情報を秘密に扱い、情報にデジタル署名を施し、署名検証を施すことにより情報の改ざんや他人によるなりすましなどを防止するなど、情報を安全にまた確実に扱う必要があるあらゆる産業において、経営的に、継続的及び反復的に使用することができる。また、本発明を構成する各装置は、電器機器製造産業において、経営的に、また継続的及び反復的に、製造し、販売することができる。

Claims

請求の範囲

[1] 鍵情報を用いて対象情報を安全又は確実に扱うセキュリティ演算を含む情報セキユリティプログラムを難読ィ匕するプログラム難読ィ匕装置であって、

前記セキュリティ演算と等価となるように、複数入力が必要な第 1基本演算と、前記複数入力の一部のみ必要とする第 2基本演算とを含む複数の基本演算が鍵情報により定まる順序で配置されている前記情報セキュリティプログラムを取得する取得手段と、

前記情報セキュリティプログラムに含まれる各第 2基本演算について、当該第 2基本演算の前後に、当該第 2基本演算にお、て必要とされな、入力に依存する入力依存変換とその逆変換である入力依存逆変換を配置する変換手段と、

各第 2基本演算について、直前に配置された前記入力依存変換、当該第 2基本演算及び直後に配置された前記入力依存逆変換からなる一組の演算と等価の演算結果を得るテーブルを生成し、当該テーブルを参照する参照命令を生成するテーブル生成手段と、

生成された前記テーブル及び前記参照命令を含む難読ィヒプログラムを出力する出力手段と

を備えることを特徴とするプログラム難読ィ匕装置。

[2] 前記変換手段は、さらに、前記情報セキュリティプログラムに含まれる各第 1基本演算について、当該第 1基本演算の前後のいずれか、又は両方に、当該第 1基本演算にお!/、て必要な入力に依存する入力依存変換とその逆変換である入力依存逆変換を配置する

ことを特徴とする請求項 1に記載のプログラム難読化装置。

[3] 前記変換手段において、前記入力依存変換は減算であり、前記入力依存逆変換は加算である

ことを特徴とする請求項 2に記載のプログラム難読化装置。

[4] 前記変換手段は、さらに、前記情報セキュリティプログラムの先頭に配置された基本演算を除くその他の基本演算のそれぞれについて、当該基本演算の直前に、当該基本演算の直前の基本演算の演算結果に第 1の変換を施す第 1変換演算と、前記第 1変換演算の演算結果に、第 1の変換の逆変換である第 2の変換を施す第 2変換演算とを配置し、

前記テーブル生成手段は、

さらに、前記情報セキュリティプログラムの先頭に配置された基本演算とその直後に配置された第 1変換演算とからなる一組の演算と等価の演算結果を得るテーブルを生成し、当該テーブルを参照する参照命令を生成し、

中間に配置された各基本演算について、直前に配置された前記減算、当該基本演算及び直後に配置された前記加算に加えて、第 2変換演算及び第 1変換演算からなる一組の演算と等価の演算結果を得る前記テーブルを生成し、当該テーブルを参照する前記参照命令を生成し、

さらに、前記情報セキュリティプログラムの末尾に配置された基本演算とその直前に配置された第 2変換演算とからなる一組の演算と等価の演算結果を得るテーブルを生成し、当該テーブルを参照する参照命令を生成し、

前記出力手段は、生成された前記テーブル及び前記参照命令を含む前記難読ィ匕プログラムを出力する

ことを特徴とする請求項 3に記載のプログラム難読化装置。

前記変換手段は、前記基本演算、前記減算、前記加算、前記第 1変換演算及び前記第 2変換演算を、桁毎に分解して、複数の桁演算を生成し、生成した前記桁演算を配置し、

前記テーブル生成手段は、

前記情報セキュリティプログラムの先頭に配置された基本演算とその直後に配置された第 1変換演算とからなる一組の演算と等価の演算結果が得られるように、生成した前記桁演算と等価の演算結果が得られる桁演算テーブルを生成し、当該桁演算テーブルを参照する桁演算参照命令を生成し、

中間に配置された各基本演算について、直前に配置された前記減算、当該基本演算及び直後に配置された前記加算、第 2変換演算及び第 1変換演算からなる一組の演算と等価の演算結果が得られるように、生成した前記桁演算と等価の演算結果が得られる桁演算テーブルを生成し、当該桁演算テーブルを参照する桁演算参照命令を生成し、

前記情報セキュリティプログラムの末尾に配置された基本演算とその直前に配置された第 2変換演算とからなる一組の演算と等価の演算結果が得られるように、生成した前記桁演算と等価の演算結果が得られる桁演算テーブルを生成し、当該桁演算テーブルを参照する桁演算参照命令を生成し、

前記出力手段は、生成された前記桁演算テーブル及び前記桁演算参照命令を含む前記難読ィ匕プログラムを出力する

ことを特徴とする請求項 4に記載のプログラム難読ィ匕装置。

[6] 前記テーブル生成手段は、桁演算テーブルの生成に際して、所定数個の共通化されたテーブルから、 1個のテーブルを選択する

ことを特徴とする請求項 5に記載のプログラム難読化装置。

[7] 前記セキュリティ演算は、法 nの元で、鍵情報である秘密鍵 dを用いる対象情報こ対するべき乗剰余演算 Cⁿ mod nであり、

鍵情報により定まる順序で配置された入力数の異なる前記複数の基本演算は、ベき乗剰余演算 Cⁿ mod nと等価になるように、バイナリ法により、前記基本演算として、乗算剰余演算と 2乗剰余演算とが、秘密鍵 dの各ビット値に基づいて、配置されたものであり、

前記変換手段は、中間に配置された乗算剰余演算又は 2乗剰余演算の直前及び直後に、当該乗算剰余演算又は 2乗剰余演算への 1個の入力値に依存する減算及び加算を配置し、

前記テーブル生成手段は、中間に配置された各乗算剰余演算又は 2乗剰余演算について、直前に配置された前記減算、当該乗算剰余演算又は 2乗剰余演算及び直後に配置された前記加算からなる一組の演算と等価の演算結果を得るテーブルを生成する

[8] 前記情報セキュリティプログラムは、べき乗剰余演算 Cⁿ mod nを用いて、前記対象情報に、秘密通信、デジタル署名又は署名検証を施すためのコンピュータプログラムであることを特徴とする請求項 7に記載のプログラム難読化装置。

[9] 前記セキュリティ演算は、法 nの元で、鍵情報である秘密鍵 dを用いる対象情報こ対するべき乗剰余演算 Cⁿ mod nであり、

前記変換手段は、中間に配置された各乗算剰余演算を分解して、乗算演算及び剰余演算を配置し、配置された乗算演算の直前及び直後に、当該乗算演算への 1 個の入力値に依存する減算及び加算を配置し、中間に配置された各 2乗算剰余演算を分解して、 2乗算演算及び剰余演算を配置し、配置された 2乗算演算の直前及び直後に、当該 2乗算演算への 1個の入力値に依存する減算及び加算を配置し、前記テーブル生成手段は、中間に配置された各乗算演算又は各 2乗演算について、直前に配置された前記減算、当該乗算演算又は 2乗演算及び直後に配置された前記加算力なる一組の演算と等価の演算結果を得るテーブルを生成することを特徴とする請求項 3に記載のプログラム難読化装置。

[10] 前記取得手段、前記変換手段、前記テーブル生成手段及び前記出力手段は、集積回路を構成する

[11] プログラム難読ィ匕装置及びプログラム実行装置力構成される難読ィ匕システムであつて、

鍵情報を用いて対象情報を安全又は確実に扱うセキュリティ演算を含む情報セキユリティプログラムを難読ィ匕する前記プログラム難読ィ匕装置は、

を備え、

前記プログラム実行装置は、

前記難読化プログラムを取得する手段と、

取得した前記難読ィ匕プログラムに含まれている参照命令に従って、当該難読化プログラムに含まれて、るテーブルを参照することにより、鍵情報を用、て対象情報を安全又は確実に扱う

ことを特徴とするプログラム難読ィ匕システム。

鍵情報を用いて対象情報を安全又は確実に扱うセキュリティ演算を含む情報セキユリティプログラムを難読ィ匕するプログラム難読ィ匕装置において用いられるプログラム難読化方法であって、

前記セキュリティ演算と等価となるように、複数入力が必要な第 1基本演算と、前記複数入力の一部のみ必要とする第 2基本演算とを含む複数の基本演算が鍵情報により定まる順序で配置されている前記情報セキュリティプログラムを取得する取得ステップと、

前記情報セキュリティプログラムに含まれる各第 2基本演算について、当該第 2基本演算の前後に、当該第 2基本演算にお、て必要とされな、入力に依存する入力依存変換とその逆変換である入力依存逆変換を配置する変換ステップと、

各第 2基本演算について、直前に配置された前記入力依存変換、当該第 2基本演算及び直後に配置された前記入力依存逆変換からなる一組の演算と等価の演算結果を得るテーブルを生成し、当該テーブルを参照する参照命令を生成するテーブル生成ステップと、

生成された前記テーブル及び前記参照命令を含む難読ィヒプログラムを出力する出力ステップと

を含むことを特徴とするプログラム難読化方法。

[13] 鍵情報を用いて対象情報を安全又は確実に扱うセキュリティ演算を含む情報セキユリティプログラムを難読ィ匕するプログラム難読ィ匕装置において用いられるプログラム難読ィ匕のためのコンピュータプログラムを記録しているコンピュータ読み取り可能な記録媒体であって、

前記コンピュータプログラムは、コンピュータに、

生成された前記テーブル及び前記参照命令を含む難読ィヒプログラムを出力する出力ステップとを実行させる

ことを特徴とする記録媒体。

[14] 鍵情報を用いて対象情報を安全又は確実に扱うセキュリティ演算を含む情報セキユリティプログラムを難読ィ匕するプログラム難読ィ匕装置において用いられるプログラム難読化のためのコンピュータプログラムであって、

前記コンピュータプログラムは、コンピュータに、

ことを特徴とするコンピュータプログラム。