WO2008013083A1

WO2008013083A1 - Générateur de nombres pseudo-aléatoires, dispositif de cryptage de flux et programme

Info

Publication number: WO2008013083A1
Application number: PCT/JP2007/064148
Authority: WO
Inventors: Toru Hisakado
Original assignee: Nec Corporation
Priority date: 2006-07-25
Filing date: 2007-07-18
Publication date: 2008-01-31
Also published as: US20090327382A1; JPWO2008013083A1; JP5136416B2; EP2056275A1; EP2056275A4

Description

明細書

擬似乱数生成装置、ストリーム暗号処理装置及びプログラム

技術分野

[0001] (関連出願)本願は、先の日本特許出願 2006— 201796号（2006年 7月 25日出願）の優先権を主張するものであり、前記先の出願の全記載内容は、本書に引用をもって繰込み記載されて、るものとみなされる。

本発明は、擬似乱数生成装置、ストリーム暗号処理装置及びプログラムに関し、特に、複数個の線形フィードバックレジスタ（以下、「LFSR」ともいう。）を用い、その内部状態により LFSRの動作制御を行って擬似乱数を生成する所謂クロック制御型の擬似乱数生成装置、ストリーム暗号処理装置及びプログラムに関する。

背景技術

[0002] 情報の電子データ化が進む中で、情報の保護、秘匿な通信を実現する暗号は欠かせな!/ヽ技術となって!/ヽる。暗号はその方式から共通鍵暗号と公開鍵暗号に大きく分けられる。前者の共通鍵暗号は、暗号化と復号化において、同一な共通の鍵を使用する暗号方式であり、鍵は秘密に保管される。もう一方の公開鍵暗号は、暗号化と復号ィ匕において異なる鍵をもたせ、どちらか一方の鍵を公開することができる。一般に共通鍵暗号は高速なため、大容量のデータ通信に用いられ、公開鍵暗号は低速だが鍵の管理が容易なため、共通鍵暗号の鍵配送や署名、認証に用いられる。

[0003] 共通鍵暗号は、その構造力もブロック暗号とストリーム暗号に分けることができる。ブロック暗号は、ブロック単位に分割されたデータに対して転置や演算等により暗号ィ匕を行う方式に対し、ストリーム暗号は、擬似乱数生成器より出力される擬似乱数を用いて所定の出力単位 (例： 1〜数 bit)毎に順次暗号ィ匕を行う。ストリーム暗号のうち、

LSFRを非連続的に動作させるクロック制御方式の代表的なアルゴリズムとして A5Z 1が挙げられる。

[0004] A5Z1は、 3個の LFSRを構成要素とする動作制御型のアルゴリズムである。一般に LFSRは擬似乱数の発生器として用いられるが、数学的に容易に解析可能なため、そのまま暗号に使用することはできない。そこで、 A5/1では、複数の LFSRを組み合わせ、さらに LFSRの動作を非連続的に制御させることで、ある時刻での内部状態の推測を困難にし、暗号としての強度を持たせている。このような複数の LFSRとそのクロック制御を行う動作制御部を備えたストリーム暗号は A5Z1以外にも多数提案されている。

[0005] 図 13に、 N個の LFSRと動作制御部を搭載したクロック制御型の擬似乱数生成装置を用いるストリーム暗号方式の構成図を示す。擬似乱数生成器 4は、 LFSR801〜 80Nと、各 LFSRの動作を制御する動作制御部 9と、 N個の LFSRから出力を決定する出力処理部 10とを備えて構成される。 LFSR801〜80Nはそれぞれビット幅ゃ遷移関数の異なる LFSRであり、それぞれの内部状態を基に動作制御部 9が各 LFSR のシフト動作を制御する。各 LFSRのシフト制御が終了後、各 LFSRの出力が出力処理部にて処理され、擬似乱数生成器 4の出力として出力される。擬似乱数生成器 4 力も出力された擬似乱数は、喑復号ィ匕処理部 7において、平文 5又は暗号文 6との暗号ィ匕又は復号ィ匕に用いられる。

[0006] ところで、暗号の安全性を高めるには、鍵等の秘密情報が容易に推測できなヽようにする必要がある。鍵の全数探索や数学的に解読を行う線形解読や差分解読等といった暗号解析方法が知られているが、現実的な時間での解析は不可能な状況といえる。

[0007] その一方で、暗号機能付きの ICカードや携帯端末のように、攻撃者が処理時間や消費電力を精密に測定できるとの仮定の下で、これらの情報から秘密情報の取得を試みるサイドチャネル攻撃とその対策が大きな研究テーマとなっている。

[0008] 上記サイドチャネル攻撃の具体的な攻撃方法としては、処理時間に注目したタイミング攻撃 (非特許文献 1参照)や消費電力に注目した電力解析攻撃等が知られて！/ヽる。

[0009] 電力解析攻撃には、単純電力解析 (SPA: Simple Power Analysis)と電力差分解析 (DPA: Differential Power Analysis)がある（非特許文献 2参照）。また、同文献には、既知のブロック暗号である DESに対する DPAについて、具体的な攻撃方法が記載されている。

[0010] 更に、特許文献 1には、上記ブロック暗号の電力解析攻撃に対する脆弱性への対処と、処理アルゴリズムの複雑化を回避すベぐ平文データが入力される正規のラウンド関数部とは別に、ダミー演算を実行するダミーのラウンド関数部を持たせ、電力解析を困難にして攻撃耐性を高めた共通鍵ブロック暗号ィ匕装置が開示されている。特許文献 1：特開 2006 - 54568号公報

非特干文献 1： Paul Kocher fimmg Attacks on Implementations of D iffie-Hellman, RSA, DSS, and Other Systems", Crypto' 96, pp. 104- 113, 1996.

非特許文献 2 : P. Kocher, J. Jaffe, B. Jun, "Introduction to Differe ntial Power Analysis and Related Attacks , 1998

発明の開示

発明が解決しょうとする課題

[0011] なお、上記特許文献 1及び非特許文献 1、 2の全開示内容はその引用をもって本書に繰込み記載する。

本発明者は、上記 A5Z1に代表されるクロック制御型の擬似乱数生成器を用いるストリーム暗号方式に対して非常に効果的な攻撃方法を発見した。はじめに、この攻撃方法について説明する。

[0012] 説明の簡略のため、図 14に示す 3個の LFSRにより構成された A5Z1アルゴリズムと同様にクロック制御にて動作するストリーム暗号システムの解析を試みる場合を考える。通常の解析は、出力結果を元に内部状態の探索を行うが、本攻撃方法によれば、動作制御部より決定された LFSRの動作する個数 (以下、「m_OVe数」という）が判断可能であるとき、上記内部状態の探索数を削減することが可能となる。

[0013] ここで、各 LFSR831〜833は任意のビット長でよい。また、動作制御部 9は、各 LF SRの任意のビットのレジスタ値に対し多数決を行、、多数派の LFSRを動作する。上記動作制御部 9におけるクロック制御の際に参照される任意のレジスタ（図 14の C 1〜C 3)を Clocking tapと呼ぶ。図 15は、 Clocking tapの値と、動作する LFSR の関係を表した表である。ここでは、 LFSRの個数は 3個であるため、多数決によって動作対象となる LFSRの数 (move数）は 2個もしくは 3個となる。

[0014] 各 LFSR831〜833の内部状態の探索には、 Clocking tapをノードとし、時刻 t— 1と時刻 tの move数力枝の数が決まる木探索を用いる。木探索は深さ優先探索を採用し、ある程度の深さになると出力との矛盾チェックを行い、矛盾が確認できた場合はその枝の探索をやめ、次の枝の探索を行う。探索はすべての LFSRの内部状態が決定するまで行われる。

[0015] 図 16は、時刻 t—1の move数が 3であるとわ力つた場合に決定される枝の数（内部状態の組み合わせ）の関係を示している（以下、図 16、図 17において、 move [t]欄の（X→) Yは、ある時刻の move数 Xと、次時刻の move数 Yを示している。；)。例えば、時刻 tの move数が 2の時、次時刻 t+ 1の LFSRの動作は、時刻 tの Clocking tap の状態に大きく依存する。図 17は、時刻 tにおいて、 LFSR831、 LFSR832のみ力 S 動作し、 R3の Clocking tap値が 1である場合（即ち、図 16の C1 = 0、 C2 = 0、 C3 = 1のケース)に決定される枝の数の関係を示している。以上のように、通常では 3個の LFSRの内部状態の探索では枝の数は 8本であるところ、時刻 t— 1及び時刻 tの mo ve数を用いれば、最大で 6本、最小で 1本と大幅に枝数を削減することができる。

[0016] ここで、上記 move数の判別方法について説明する。図 18は、クロック制御方式にて LFSRを動作し擬似乱数を生成するコンピュータプログラムにおける処理の流れを表したフローチャートである。図 18を参照すると、各 LFSRの動作はプログラムに従つて順次実行される。そのため、 move数が 2の時と move数が 3の時とでは処理量に違いが生じ、その違いは、一回（一出力単位）の出力生成処理に掛かる処理時間の違いとなって現れる。従って、ソフトウェア実装の場合は、上記処理時間の違いを電力波形から判別し、 move数を判断することができる。

[0017] 一方、 A5Z1アルゴリズムにて動作する擬似乱数生成器力 LSIや FPGA等のハ一ドウエアで構成されている場合、すべての処理はほぼ同時に実行される。しかしながら、この場合も、 move数の違いにより、同時に動作する LFSRの個数が変わることから、一回（一出力単位)の出力生成処理に掛カる消費電力量に違いが生じる。従つて、ハードウェア実装の場合も、上記消費電力量の大きさを利用して move数を判断することができる。

[0018] 以上のように、図 13に例示した N個の LFSRにより構成され、その内部状態より各 L FSRの動作を制御するクロック制御型の擬似乱数生成器にて生成された擬似乱数を用いるストリーム暗号方式は、上記 move数を用いた攻撃方法により、暗号解析の困難性が低減してしまうという問題点がある。

[0019] 本発明は、上記クロック制御型の擬似乱数生成器の脆弱性に鑑みてなされたものであって、上記本発明者が提案する攻撃方法に対し耐性を持った擬似乱数生成装置、ストリーム暗号処理装置及びプログラムを提供することを目的とする。

課題を解決するための手段

[0020] 本発明の第 1の視点によれば、 N個の LFSRを有し、前記各 LFSRの内部状態により前記各 LFSRの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置であって、前記 LFSRの動作数に関係なぐ一出力単位の生成処理時間を均一化する手段を備えることを特徴とする擬似乱数生成装置、該装置力出力される擬似乱数を用いて喑復号処理を行うストリーム暗号処理装置及びこれらを実現するプログラムが提供される。

[0021] 本発明の第 2の視点によれば、 N個の LFSRを有し、前記各 LFSRの内部状態により前記各 LFSRの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置であって、少なくとも 1回の LFSRの動作に必要とされる処理時間より大きい変動幅で、一出力単位の生成処理時間を変動させる手段を備えることを特徴とする擬似乱数生成装置、該装置から出力される擬似乱数を用いて喑復号処理を行うストリーム暗号処理装置及びこれらを実現するプログラムが提供される。

[0022] 本発明の第 3の視点によれば、 N個の LFSRを有し、前記各 LFSRの内部状態により前記各 LFSRの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置において、一出力単位の生成処理に消費される電力を一定ィ匕する手段を備えることを特徴とする擬似乱数生成装置及び該装置力出力される擬似乱数を用いて喑復号処理を行うストリーム暗号処理装置及びこれを実現するためのプログラムが提供される。

[0023] 本発明の第 4の視点によれば、 N個の LFSRを有し、前記各 LFSRの内部状態により前記各 LFSRの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置において、少なくとも 1回の LFSRの動作に必要とされる消費電力より大きい変動幅で、一出力単位の生成処理に消費される電力を変動させる手段を備えることを特徴とする擬似乱数生成装置及び該装置から出力される擬似乱数を用いて暗復号処理を行うストリーム暗号処理装置及びこれを実現するためのプログラムが提供される。

発明の効果

[0024] 本発明によれば、一出力単位の生成に要する LFSRの動作数を隠蔽することが可能となるため、本発明者が提案する攻撃方法に対する耐性が向上された暗号システムを得ることが可能となる。

図面の簡単な説明

[0025] [図 1]本発明を適用可能な喑復号処理装置の概略構成を表した図である。

[図 2]本発明の第 1の実施形態に係るストリーム暗号方式の構成図である。

[図 3]本発明の第 1の実施形態に係る擬似乱数生成器の動作を表したフローチャートである。

[図 4]本発明の第 2の実施形態に係るストリーム暗号方式の構成図である。

[図 5]本発明の第 2の実施形態に係る擬似乱数生成器の動作を表したフローチャートである。

[図 6]本発明の第 3の実施形態に係るストリーム暗号方式の構成図である。

[図 7]本発明の第 3の実施形態に係る擬似乱数生成器の動作を表したフローチャートである。

[図 8]本発明の第 4の実施形態に係るストリーム暗号方式の構成図である。

[図 9]本発明の第 5の実施形態に係るストリーム暗号方式の構成図である。

[図 10]本発明の第 6の実施形態に係るストリーム暗号方式の構成図である。

[図 11]本発明の変形実施形態を説明するためのフローチャートである。

[図 12]本発明の変形実施形態を説明するための構成図である。

[図 13]N個の LFSRと動作制御部を搭載したクロック制御型の擬似乱数生成器を用

V、るストリーム暗号方式の構成図である。

[図 14]本発明者が提案するストリーム暗号システムの攻撃方法を説明するための図である。

[図 15]A5Zlアルゴリズムにおける Clocking tapの値と、動作する LFSRの関係を表した表である。

[図 16]時刻 t—1の move数が 3であるとわ力つた場合に決定される枝の数（内部状態の組み合わせ)の関係を示した表である。

[図 17]時刻 tにおいて、 LFSR831、 LFSR832のみが動作し、 R3の Clocking tap 値が 1である場合に決定される枝の数の関係を示した表である。

[図 18]クロック制御方式にて LFSRを動作し擬似乱数を生成するコンピュータプログラムにおける処理の流れを表したフローチャートである。

符号の説明

1 演算処理装置

2 入出力装置

3 記憶装置

4 擬似乱数生成器 (擬似乱数生成装置）

5 平文

6 暗号文

7 喑復号化処理部

9 動作制御部

10 出力処理部

11 ランダム遅延処理手段

12 ノイズ発生源

31 データ格納部

32 プログラム格納部

311 秘密鍵

321 暗号プログラム（ストリーム暗号処理プログラム）

801〜80N、 831〜833 LFSR

811〜81N 遅延処理手段 Zダミーの LFSR

820 遅延処理手段

821〜82M ダミーの LFSR

Cl、 C2、 C3 Clocking tap 発明を実施するための最良の形態

[0027] 続いて、本発明を実施するための最良の形態について、図面を参照して詳細に説明する。図 1は、本発明を適用可能なストリーム喑復号処理装置の概略構成を表した図である。図 1を参照すると、ストリーム喑復号処理装置は、プログラム制御により後記する演算処理を実行する演算処理装置 1と、外部機器と暗号文やデータのやり取りを行うための入出力装置 2と、データ格納部 31及びプログラム格納部 32を有する記憶装置 3と、を備えて構成されている。

[0028] 記憶装置 3のデータ格納部 31は、プログラム実行上で必要な様々なパラメータが格納される場所であり、暗号の秘密鍵 311はここに格納される。プログラム格納部 32 は、喑復号処理装置で必要な様々なプログラムが格納される場所であり、後記する各実施形態の処理手段を実現する暗号プログラム (ストリーム暗号処理プログラム） 3 21はここ〖こ格糸内される。

[0029] 上記喑復号処理装置は、後記するようなソフトウェア又はハードウェアを搭載することにより、パーソナルコンピュータ（PC)、携帯端末、 ICカード、リーダライタ等、種々の情報処理装置にて実現可能である。例えば、パーソナルコンピュータ（PC)にて暗復号処理装置が実現される場合、図示しな!ヽ磁気ディスク等の補助記憶装置に格納されている暗号プログラム 321を記憶装置 3に読み出すことより、演算処理装置 1にて実行可能となる。

[0030] [第 1の実施例]

続いて、擬似乱数の生成過程における一回（一出力単位)の出力生成処理に要する処理時間を均一化することにより、一出力あたりの LFSRの動作数 (move数)を隠蔽するようにした本発明の第 1の実施例について説明する。

[0031] 図 2は、本発明の第 1の実施例に係るストリーム暗号方式の構成図である。擬似乱数生成器（擬似乱数生成装置） 4は、 N個の LFSR801〜80Nと、 LFSR801〜80N と同数の N個の遅延処理手段 811〜81Nと、これらを制御する動作制御部 9と、 N個の LFSRから出力を決定する出力処理部 10とから構成される。

[0032] 遅延処理手段 811〜81Nは、動作制御部 9よりシフト処理の選択が行われなかつた LFSR801〜80Nについてそのシフト処理と同程度の処理時間を費やす遅延処理を実行する手段である。

[0033] B音復号ィ匕処理部 7は、擬似乱数生成器 4力も出力された擬似乱数を用いて平文 5 又は暗号文 6との暗号化又は復号化を実行する手段である。

[0034] 従って、図 13に示した従来構成との相違点は、 N個の LFSRと同数の N個の遅延処理手段 811〜81Nが追加されて!、る点である。

[0035] 続いて、上記構成よりなる擬似乱数生成器 4の動作について説明する。図 3は、本実施例に係る擬似乱数生成器 4の動作を表したフローチャートである。

[0036] まず、暗号プログラム 321が、他のプログラムからの呼び出しによって起動されると（ステップ A1)、まず、擬似乱数を生成するための準備として初期化を行う (ステップ A

2)。この初期設定では秘密鍵等のパラメータにより内部のデータ攪拌等が行われる

[0037] ステップ A2の初期化が完了すると、動作制御部 9は、所定の選択基準に従って、 L

FSR_1 (図 2の 801)の動作判定を行う（ステップ A3)。

[0038] ここで、 LFSR_1 (図 2の 801)の動作が選択されると、 LFSR_1 (801)について

、任意のビットのシフト処理が行われる（ステップ A4)。

[0039] 一方、 LFSR— 1 (図 2の 801)の動作が選択されな力つた場合、動作制御部 9は、遅延処理手段（811)を動作させ、 LFSR— 1 (図 2の 801)のシフト処理と同程度の処理時間の遅延処理を実施する (ステップ A10)。

[0040] 同様に、 LFSR— 2〜N (図 2の 802〜80N)について、上記動作判定と判定結果に伴う各処理が行われる（ステップ A5、ステップ A6、ステップ Al l)。

[0041] そして、すべての LFSRに対する処理が終了した後、その内部状態を基に、所定の出力単位の擬似乱数生成処理が行われる (ステップ A7)。

[0042] ステップ A3からステップ A7までの一連の処理は繰り返し実行され、指定長の擬似乱数が生成できた時点で終了する (ステップ A8、 A9)。

[0043] 以上のように、本実施例によれば、動作制御部 9にてシフト処理が選択されなかつた場合も同程度の遅延処理が必ず行われるため、一回の動作の処理時間は、すべての LFSRがシフト動作した際の処理時間と同一となり、均一化 (一定化)される。このため、外部からの処理時間の測定による秘密鍵導出を困難にすることができる。 [0044] また、遅延処理手段 811〜8 INとして、 LFSR801〜80Nと同じサイズの LFSRを用い、動作制御部 9より、そのシフト制御を行うことにより、上記遅延処理を実現することが可能である。また、その他、各 LFSR801〜80Nのシフト処理時間と等しくなる処理であれば、 Wait処理等の遅延処理を実行する手段等も採用可能である。

[0045] 特に、前者の LFSRと同じサイズのダミーの LFSRによるシフト処理を実行する場合は、処理時間だけでなく演算処理装置 1にて実行される命令も等しくなるため、消費電力波形から内部状態を導出する電力解析に対しても強くなるという利点も実現される。

[0046] [第 2の実施例]

続いて、上記第 1の実施例とは別の方法にて、擬似乱数の生成過程における一回

(一出力単位)の出力生成処理に要する処理時間を均一化し、 LFSRの動作数 (mo ve数)を隠蔽するようにした本発明の第 2の実施例について説明する。

[0047] 図 4は、本発明の第 2の実施例に係るストリーム暗号方式の構成図である。擬似乱数生成器 (擬似乱数生成装置) 4は、 N個の LFSR801〜80Nと、遅延処理手段 82

0と、これらを制御する動作制御部 9と、 N個の LFSRから出力を決定する出力処理部 10とを備えて構成される。

[0048] 遅延処理手段 820は、動作制御部 9よりシフト処理の選択が行われなかった LFSR

801〜80Nについてそのシフト処理と同程度の処理時間を費やす遅延処理を実行する手段である。

[0049] 従って、上記第 1の実施例との相違点は、 N個の LFSRと同数の N個の遅延処理手段 811〜81Nに代えて、遅延処理手段 820を備えている点である。

[0050] 続いて、上記構成よりなる擬似乱数生成器 4の動作について説明する。図 5は、本実施例に係る擬似乱数生成器 4の動作を表したフローチャートである。

[0051] 図 5のステップ A1— A6、 A8及び A9で示される本実施例の動作は、第 1の実施例の各ステップ Al—A6、 A8及び A9と同様であるが、本実施例では、動作制御部 9は、各 LFSRの動作判定にぉ、てシフト処理が選択された LFSRの個数をカウンタ等により記憶しておく。

[0052] そして、すべての LFSR動作判定とそれに伴うシフト処理が完了したあと、動作制御部 9は、カウンタに記憶された数が、予め規定したシフト処理回数 (例えば、 LFSRの個数と等ゝか、比較を行う（ステップ A12；遅延処理動作判定)。

[0053] 前記比較の結果、カウンタに記憶された数が、予め規定したシフト処理回数より少ない場合、動作制御部 9は、カウンタに記憶された数をインクリメントしながら、遅延処理手段 820による遅延処理を実施する (ステップ A13)。

[0054] 上記ステップ A12、ステップ A13の処理は、カウンタに記憶された数が前記予め規定したシフト処理回数と等しくなるまで繰り返される。

[0055] 本実施例においても、ステップ A3からステップ A7 (ステップ A12、 A13を含む）までの一連の処理は繰り返し実行され、指定長の擬似乱数が生成できた時点で終了する（ステップ A8、 A9)。

[0056] 以上のように、本実施例においても、動作制御部 9にてシフト処理が選択されなかつた場合も同程度の遅延処理が必ず行われるため、一回の動作の処理時間が均一ィ匕 (一定化)される。このため、外部力の処理時間の測定による秘密鍵導出を困難にすることができる。

[0057] もちろん、各 LFSR801〜80Nのビット幅がそれぞれ異なる場合は、動作制御部 9 に、当該ビット幅情報を遅延処理手段 820に送信し、動作選択されな力た LFSRと同程度の遅延が生じるよう動作させ、一回の動作の全体の処理時間を均一化（一定ィ匕)することが望ましい。

[0058] また、本実施例においても、遅延処理手段 820として LFSRを用い、動作制御部 9 より、そのシフト制御を行うことにより、上記遅延処理を実現することが可能である。また、その他、各 LFSR801〜80Nのシフト処理時間と等しくなる処理であれば、 Wait 処理等の遅延処理を実行する手段等も採用可能である。

[0059] また、上記遅延処理として LFSRによる偽のシフト処理を実行する場合は、処理時間だけでなく演算処理装置 1にて実行される命令も等しくなるため、消費電力波形から内部状態を導出する電力解析に対しても強くなるという利点も実現される。

[0060] [第 3の実施例]

続いて、擬似乱数の生成過程における一回（一出力単位)の出力生成処理に要する処理時間を変動させ、 LFSRの動作数 (move数)を隠蔽するようにした本発明の第 3の実施例について説明する。

[0061] 図 6は、本発明の第 3の実施例に係るストリーム暗号方式の構成図である。擬似乱数生成器 (擬似乱数生成装置) 4は、 N個の LFSR801〜80Nと、ランダム遅延処理手段 11と、これらを制御する動作制御部 9と、 N個の LFSRから出力を決定する出力処理部 10とを備えて構成される。

[0062] ランダム遅延処理手段 11は、 N個の LFSR801〜80Nの内部状態や挙動とは独立して、ランダムな遅延処理を実行する手段である。この種の遅延処理は、例えば、処理時間が異なる複数の演算をランダムに選択して実行する処理によって実現できる。なお、前記した LFSRの動作数 (move数)を隠蔽するという目的力もも明らかなとおり、この遅延処理によって達成される 1回当たりの変動幅は、少なくとも 1回の LFS Rの動作 (シフト処理）に必要とされる処理時間より大きいものとする。

[0063] 続いて、上記構成よりなる擬似乱数生成器 4の動作について説明する。図 7は、本実施例に係る擬似乱数生成器 4の動作を表したフローチャートである。

[0064] 図 7のステップ A1— A6、 A7— A9で示される本実施例の動作は、第 1の実施例の各ステップ A1— A6、 A7— A9と同様であるので省略する。

[0065] ステップ A6が終了した時点で、動作制御部 9は、ランダム遅延処理手段 11を動作させる（ステップ A14)。

[0066] 以上のように、本実施例では、擬似乱数生成の一回の動作の処理時間を不均一にすることができ、外部からの処理時間の測定による秘密鍵導出を困難にすることができる。

[0067] なお、上記した実施例では、すべてのシフト処理が完了した後に、 1回のランダム遅延処理を行うものとして説明したが、擬似乱数の一出力単位の生成に要する時間を不均一にし、隠蔽することが目的であるため、ランダム遅延処理の実行タイミングや回数は、特に限定されるものではない。即ち、図 7のステップ A1— A6の任意の位置に、任意の回数挿入することができる。

[0068] なお、上記した実施例では、ランダム遅延処理による処理の変動幅は少なくとも 1回の LFSRの動作 (シフト処理）に必要とされる処理時間よりも大きいものとして説明した力より大きな時間の変動を持った方が、実際の処理時間の導出を困難にすることができることはもちろんである。

[0069] [第 4の実施例]

続いて、擬似乱数の生成過程における一回（一出力単位)の出力生成処理に要する消費電力を均一化（一定化)することにより、一出力あたりの LFSRの動作数 (mov e数)を隠蔽するようにした本発明の第 4の実施例について説明する。

[0070] 図 8は、本発明の第 4の実施例に係るストリーム暗号方式の構成図である。擬似乱数生成器（擬似乱数生成装置） 4は、 N個の LFSR801〜80Nと、 LFSR801〜80N と同数の N個のダミーの LFSR811〜81Nと、これらを制御する動作制御部 9と、 N個の LFSRから出力を決定する出力処理部 10とから構成される。

[0071] B音復号ィ匕処理部 7は、擬似乱数生成器 4力も出力された擬似乱数を用いて平文 5 又は暗号文 6との暗号化又は復号化を実行する手段である。

[0072] LFSR801〜80Nは、動作制御部 9の動作選択に基づいてシフト動作し、秘密鍵等の予め与えられた秘密の情報に対してシフト処理を繰り返しながら攪拌を行い、攪拌後のデータを保持する。

[0073] ダミーの LFSR811〜81Nは、 LFSR801〜80Nと同一ビット幅で同一の遷移関数にて動作する LFSR群であり、動作制御部 9の制御により、 LFSR801〜80Nと排他的に、即ち、対応する LFSRが停止状態にあるときにシフト動作する。

[0074] 以上のように、本実施例によれば、擬似乱数生成の一回の動作に要する消費電力を均一にすることができ、仮に外部より消費電力を測定しても、 LFSRの動作数 (mov e数)の推定は困難となる。従って、電力解析による秘密鍵導出を困難にすることができる。

[0075] なお、上記した実施例では、消費電力の均一性を高めるため、ダミーの LFSR811 〜81Nは LFSR801〜80Nと同一ビット幅で同一の遷移関数にて動作するものとして説明したが、上記電力解析攻撃に対する耐性を保持できる範囲で、適宜設計的な変更をカ卩えることは可能である。例えば、 LFSRに限らず、同程度の電力消費を行うシフトレジスタを採用することや、任意のビット幅、遷移関数を持つ LFSRを採用することも可能である。

[0076] [第 5の実施例] 続いて、上記第 4の実施例とは別の構成にて、擬似乱数の生成過程における一回 (一出力単位)の出力生成処理に要する消費電力を均一化し、 LFSRの動作数 (mo ve数)を隠蔽するようにした本発明の第 5の実施例について説明する。

[0077] 図 9は、本発明の第 5の実施例に係るストリーム暗号方式の構成図である。擬似乱数生成器 (擬似乱数生成装置) 4は、 N個の LFSR801〜80Nと、擬似乱数生成ァルゴリズムにて停止する LFSRと同数の M個のダミーの LFSR821〜82Mと、これらを制御する動作制御部 9と、 N個の LFSRから出力を決定する出力処理部 10とから構成される。

[0078] 従って、上記第 4の実施例との相違点は、 N個のダミーの LFSRを用意するのではなぐ N個より少ない M個のダミーの LFSR821〜82Mで済むことである。上記ダミーの LFSRの個数 Mは、例えば、動作する LFSRが多数決で決せられる場合、 LFSR 総数の半数未満に抑えることができる。

[0079] LFSR801〜80Nは、動作制御部 9の動作選択に基づいてシフト動作し、秘密鍵等の予め与えられた秘密の情報に対してシフト処理を繰り返しながら攪拌を行い、攪拌後のデータを保持する。

[0080] ダミーの LFSR821〜82Mは、動作制御部 9の制御により、 LFSR801〜80Nが動作選択されなかった場合に、シフト動作する。

[0081] 以上のように、シフト処理が行われなかった LFSRと同等に、ダミーの LFSRを動作させることとなり、擬似乱数生成の一回の動作に要する消費電力を均一にすることができる。従って、本実施例もまた、 LFSRの動作数 (move数)の推定は困難であり、電力解析による秘密鍵の導出も困難化される。

[0082] なお、消費電力の均一性を高めるという観点からは、 LFSR801〜80Nと同一ビット幅で同一の遷移関数にて動作するダミーの LFSR821〜81Mが用意され、選択動作されることが望ましいといえる。また、ダミーの LFSR821〜81Mとしては、 LFSR に限らず、同程度の電力消費を行うシフトレジスタを採用することも可能である。

[0083] [第 6の実施例]

続いて、擬似乱数の生成過程における一回（一出力単位)の出力生成処理に要する消費電力を変動させ、 LFSRの動作数 (move数)を隠蔽するようにした本発明の第 6の実施例について説明する。

[0084] 図 10は、本発明の第 6の実施例に係るストリーム暗号方式の構成図である。擬似乱数生成器 (擬似乱数生成装置） 4は、 N個の LFSR801〜80Nと、 N個の LFSR801

〜80Nを制御する動作制御部 9と、ノイズ発生源 12と、 N個の LFSRから出力を決定する出力処理部 10とを備えて構成される。

[0085] LFSR801〜80Nは、動作制御部 9の動作選択に基づいてシフト動作し、秘密鍵等の予め与えられた秘密の情報に対してシフト処理を繰り返しながら攪拌を行い、攪拌後のデータを保持する。

[0086] ノイズ発生源 12は、 N個の LFSR801〜80Nの内部状態や挙動とは独立して（依存することなく）動作し、少なくとも 1つの LFSRのシフト処理において消費される電力よりも大きな電力の変動をもつランダムなノイズ発生源装置である。

[0087] 以上のように、本実施例では、擬似乱数生成の一回の動作の消費電力を不均一にすることができ、外部からの消費電力の測定による秘密鍵導出を困難にすることができる。

[0088] なお、上記した実施例では、ノイズ発生源 12が生ずる電力の変動幅は少なくとも 1 回の LFSRの動作 (シフト処理）に必要とされる消費電力よりも大きいものとして説明したが、より大きな電力量の変動を持った方が、実際の LFSRの消費電力の導出を困難にすることができることはもちろんである。

[0089] 以上本発明の好適な実施形態について説明したが、 LFSRの真の動作数を隠蔽することにより本発明者提案の攻撃方法を無効化するという本発明の要旨を逸脱しな!、範囲で、本発明に各種の変形をカ卩えることが可能であることは、うまでもな!/、。

[0090] 例えば、図 11に示すように、各 LFSRの動作と排他的に遅延処理手段を動作させ、一回あたりの処理時間を均一化する（上記第 1の実施例に相当）とともに、ランダム遅延処理手段を動作させ、より解析しに《することも可能である。

[0091] また、例えば、図 12に示すように、各 LFSRの動作と排他的に動作するダミーの LF SRを用意し、一回あたりの消費電力を均一化する（上記第 4の実施例に相当）とともに、ノイズ発生源 12を動作させる構成も採用可能である。

[0092] その他、本発明の全開示 (請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更 *調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。

産業上の利用可能性

[0093] 本発明は、暗号システムを必要とするあらゆる分野に適用可能である力上記本発明の特徴に鑑みれば、耐タンパ一性を必要とするデバイスやそのプログラムに好適に適用可能である。

[0094] 本発明の全開示 (請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更 '調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。

Claims

請求の範囲

[1] N個の線形フィードバックシフトレジスタを有し、前記各線形フィードバックシフトレジスタの内部状態により前記各線形フィードバックシフトレジスタの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置であって、

前記線形フィードバックシフトレジスタの動作数に関係なぐ一出力単位の生成処理時間を均一化する手段を備えることを特徴とする擬似乱数生成装置。

[2] 前記線形フィードバックシフトレジスタの動作処理と同程度の処理時間を費やす遅延処理を実行する遅延処理手段を備え、

前記遅延処理手段を繰り返し動作させることにより、前記一出力単位の生成処理時間を、すべての線形フィードバックシフトレジスタが動作した際の生成処理時間に保持すること、

を特徴とする請求項 1に記載の擬似乱数生成装置。

[3] 前記線形フィードバックシフトレジスタの動作処理と同程度の処理時間を費やす遅延処理を実行する遅延処理手段を備え、

前記各線形フィードバックシフトレジスタの動作と排他的に前記遅延処理手段を動作させることにより、前記一出力単位の生成処理時間を、すべての線形フィードバックシフトレジスタが動作した際の生成処理時間に保持すること、

を特徴とする請求項 1に記載の擬似乱数生成装置。

[4] 前記遅延処理手段として、前記 N個の線形フィードバックシフトレジスタと同数 '同サイズのダミー線形フィードバックシフトレジスタを備えること、

を特徴とする請求項 3に記載の擬似乱数生成装置。

[5] 更に、前記均一化された一出力単位の生成処理時間を変動させる手段を備えることを特徴とする請求項 1乃至 4いずれか一に記載の擬似乱数生成装置。

[6] N個の線形フィードバックシフトレジスタを有し、前記各線形フィードバックシフトレジスタの内部状態により前記各線形フィードバックシフトレジスタの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置であって、

少なくとも 1回の線形フィードバックシフトレジスタの動作に必要とされる処理時間より大きい変動幅で、一出力単位の生成処理時間を変動させる手段を備えることを特徴とする擬似乱数生成装置。

[7] 入力パラメータに依存せずにランダムな処理時間を費やす遅延処理を実行するランダム遅延処理手段を備え、

前記ランダム遅延処理手段を動作させることにより、前記一出力単位の生成処理時間を変動させること、

を特徴とする請求項 6に記載の擬似乱数生成装置。

[8] N個の線形フィードバックシフトレジスタを有し、前記各線形フィードバックシフトレジスタの内部状態により前記各線形フィードバックシフトレジスタの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置であって、

一出力単位の生成処理に消費される電力を一定ィ匕する手段を備えることを特徴とする擬似乱数生成装置。

[9] 前記線形フィードバックシフトレジスタと同程度の電力を消費するダミー回路を備え前記ダミー回路を繰り返し動作させることにより、一出力単位の生成処理に消費される電力を、すべての線形フィードバックシフトレジスタが動作した際の消費電力に保持すること、

を特徴とする請求項 8に記載の擬似乱数生成装置。

[10] 前記線形フィードバックシフトレジスタと同程度の電力を消費するダミー回路を備え前記各線形フィードバックシフトレジスタの動作と排他的に前記ダミー回路を動作させることにより、一出力単位の生成処理に消費される電力を、すべての線形フィードバックシフトレジスタが動作した際の消費電力に保持すること、

を特徴とする請求項 8に記載の擬似乱数生成装置。

[11] 前記ダミー回路として、前記 N個の線形フィードバックシフトレジスタと同数 '同サイズのダミー線形フィードバックシフトレジスタを備えること、

を特徴とする請求項 10に記載の擬似乱数生成装置。

[12] 更に、前記一定化された一出力単位の生成処理に消費される電力を変動させる手段を備えることを特徴とする請求項 8乃至 11いずれか一に記載の擬似乱数生成装置。

[13] N個の線形フィードバックシフトレジスタを有し、前記各線形フィードバックシフトレジスタの内部状態により前記各線形フィードバックシフトレジスタの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置であって、

少なくとも 1回の線形フィードバックシフトレジスタの動作に必要とされる消費電力より大きい変動幅で、一出力単位の生成処理に消費される電力を変動させる手段を備えることを特徴とする擬似乱数生成装置。

[14] 入カノラメータに依存せずにランダムに動作するノイズ発生源を備え、

前記ノイズ発生源の動作により、前記一出力単位の生成処理に消費される電力を変動させること、

を特徴とする請求項 13に記載の擬似乱数生成装置。

[15] 請求項 1乃至 14いずれか一に記載の擬似乱数生成装置を備えたストリーム暗号処理装置。

[16] N個の線形フィードバックシフトレジスタを有し、前記各線形フィードバックシフトレジスタの内部状態により前記各線形フィードバックシフトレジスタの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置に実装するプログラムであつて、

前記線形フィードバックシフトレジスタの動作数に関係なぐ一出力単位の生成処理時間を均一化する機能を実現させるためのプログラム。

[17] 前記擬似乱数生成装置に内蔵されたコンピュータに、前記線形フィードバックシフトレジスタの動作処理と、同程度の処理時間を費やす遅延処理を繰り返し実行させることにより、前記一出力単位の生成処理時間を、すべての線形フィードバックシフトレジスタが動作した際の生成処理時間に保持すること、

を特徴とする請求項 16に記載のプログラム。

[18] 前記擬似乱数生成装置に内蔵されたコンピュータに、前記各線形フィードバックシフトレジスタの動作と排他的に、前記線形フィードバックシフトレジスタの動作処理と同程度の処理時間を費やす遅延処理を実行させることにより、前記一出力単位の生成処理時間を、すべての線形フィードバックシフトレジスタが動作した際の生成処理時間に保持すること、

を特徴とする請求項 16に記載のプログラム。

[19] 前記 N個の線形フィードバックシフトレジスタと同数 ·同サイズのダミー線形フィードノックシフトレジスタを、前記各線形フィードバックシフトレジスタの動作と排他的に動作させることにより、前記一出力単位の生成処理時間を均一化すること、

を特徴とする請求項 18に記載のプログラム。

[20] 更に、前記均一化された一出力単位の生成処理時間を変動させる機能を実現させることを特徴とする請求項 16乃至 19いずれか一に記載のプログラム。

[21] N個の線形フィードバックシフトレジスタを有し、前記各線形フィードバックシフトレジスタの内部状態により前記各線形フィードバックシフトレジスタの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置に実装するプログラムであつて、

少なくとも 1回の線形フィードバックシフトレジスタの動作に必要とされる処理時間より大きい変動幅で、一出力単位の生成処理時間を変動させる機能を実現させるためのプログラム。

[22] 入力パラメータに依存せずにランダムな処理時間を費やす遅延処理を実行することにより、前記一出力単位の生成処理時間を変動させること、

を特徴とする請求項 21に記載のプログラム。

[23] 請求項 16乃至 22いずれか一に記載のプログラムを含み、更に、

前記プログラムによって生成された擬似乱数を用いて暗号ストリームを喑復号する処理を、コンピュータに実行させるためのストリーム暗号処理プログラム。

[24] N個の線形フィードバックシフトレジスタを有し、前記各線形フィードバックシフトレジスタの内部状態により前記各線形フィードバックシフトレジスタの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置に実装するプログラムであつて、

一出力単位の生成処理に消費される電力を一定ィ匕する機能を実現させるためのプログラム。

[25] N個の線形フィードバックシフトレジスタを有し、前記各線形フィードバックシフトレジスタの内部状態により前記各線形フィードバックシフトレジスタの動作制御を行って擬似乱数を生成するクロック制御型の擬似乱数生成装置に実装するプログラムであつて、

少なくとも 1回の線形フィードバックシフトレジスタの動作に必要とされる消費電力より大きい変動幅で、一出力単位の生成処理に消費される電力を変動させる機能を実現させるためのプログラム。