WO2011036747A1

WO2011036747A1 - 演算装置

Info

Publication number: WO2011036747A1
Application number: PCT/JP2009/066538
Authority: WO
Inventors: 雄一駒野; 清水　秀夫; 池田　華恵; 建司大熊; 新保　淳; 川村　信一
Original assignee: Toshiba Corp
Current assignee: Toshiba Corp
Priority date: 2009-09-24
Filing date: 2009-09-24
Publication date: 2011-03-31
Anticipated expiration: 2012-03-24

Abstract

　電力解析に対する安全性を向上させる。入力値を受付ける入力部１０１ａと、Ｌ個（Ｌは１以上の整数）の予め定められたＭ行Ｎ列（Ｍ、Ｎは２以上の整数）の行列であって、行列の各行に含まれる要素それぞれの個数の和が、各行間で相互に等しい行列に含まれる行ベクトルのうち、入力値に対応するＬ個の行ベクトルそれぞれと、Ｌ個の行列ごとに予め定められたＮ行の第１列ベクトルとの内積に相当する値を算出し、算出した値に基づいて入力値に対する出力値を演算する演算部１０６と、出力値を出力する出力部１０１ｂとを備える。

Description

演算装置

　本発明は、演算装置に関する。

　ＡＥＳ（Ａｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）に代表される秘密鍵ブロック暗号は、通信内容の秘匿などを目的として広範に用いられている。

　近年、暗号回路の動作時の消費電力を観測することで、暗号回路内部で用いられている秘密鍵を推測する電力解析（Ｐｏｗｅｒ　Ａｎａｌｙｓｉｓ）とよばれる攻撃手法が脅威となっている。電力解析では、攻撃者は平文（暗号装置への入力）と暗号文（暗号装置の出力）に基づき、暗号回路内部で用いられている鍵を予測して対応する中間データを計算する。その後、予測した中間データと暗号回路の消費電力との統計処理を行い、鍵の予測が正しいか否かを判定する。統計処理において、単一の消費電力波形を用いる手法は単純電力解析（Ｓｉｍｐｌｅ　Ｐｏｗｅｒ　Ａｎａｌｙｓｉｓ）とよばれ、複数の平文に対応する複数の消費電力波形を用いる手法は差分電力解析（Ｄｉｆｆｅｒｅｎｔｉａｌ　Ｐｏｗｅｒ　Ａｎａｌｙｓｉｓ）とよばれる。

　電力解析に対しては、暗号回路内部で発生させた乱数（ランダムマスク）を利用する、ランダムマスク法が有効な対策である。ランダムマスク法は、ランダムマスクで中間データと消費電力を撹乱し、攻撃者が予測する中間データと消費電力の関連を消すことで、解析を困難とする。

　一方、秘密鍵ブロック暗号は、安全性を高めるために、処理の内部に非線形演算処理が用いられる。例えば、ＡＥＳではＳｕｂＢｙｔｅとよばれる、８ビット入出力の非線形演算が用いられる。ＡＥＳのＳｕｂＢｙｔｅは、有限体ＧＦ（以下、単にＧＦという）の逆元計算（元の定義ではＧＦ（２＾８）の逆元計算だが、回路規模を削減する目的で合成体を用いる場合にはＧＦ（２＾４）やＧＦ（２＾２）の逆元計算）とアフィン変換で計算される。ＳｕｂＢｙｔｅは、それ自体を８ビットの入出力テーブルとして実装されるほか、有限体の逆元計算の部分をテーブルとして実装されることもある。

　非線形演算では、本来の演算の入出力と整合するように、ランダムマスクによるデータの撹乱（マスク処理）とデータの補正（アンマスク処理）を行うことが困難であり、電力解析対策を施すには、特別な処理が必要となる。Ｃｏｒｏｎらは、フーリエ変換を利用して、非線形演算を行う空間とは異なる空間のテーブルを用意し、後にアンマスク処理が容易に行えるようなランダムマスク法を提案している（例えば非特許文献１参照）。

Jean-Sebastien　Coron、Christophe　Giraud、Emmanuel　Prouff、Matthieu　Rivain、"Attack　and　Improvement　of　a　Secure　S-box　Caluculation　Based　on　the　Fourier　Transform"，Cryptographic　Hardware　and　Embedded　Systems，CHES　2008,pp.1-14，Lecture　Notes　in　Computer　Science　5154,Springer-Verlag

　しかしながら、Ｃｏｒｏｎらの対策を用いる場合には、空間の変換を表現する行列で、各行が含む要素それぞれの個数が偏る。そのため、要素に応じて処理される演算の特徴に着目することにより、ランダムマスクの影響にかかわらず、非線形演算回路に特定の入力が与えられたか否かを判別できる可能性がある。このため、非線形演算回路に与えられた特定の入力および対応する平文から、秘密鍵を特定できるという問題が生じうる。

　本発明は、上記に鑑みてなされたものであって、電力解析に対する安全性を向上させることができる演算装置を提供することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明は、入力値を受付ける入力部と、Ｌ個（Ｌは１以上の整数）の予め定められたＭ行Ｎ列（Ｍ、Ｎは２以上の整数）の行列であって、前記行列の各行に含まれる要素それぞれの個数の和が、各行間で相互に等しい前記行列に含まれる行ベクトルのうち、前記入力値に対応するＬ個の行ベクトルそれぞれと、Ｌ個の前記行列ごとに予め定められたＮ行の第１列ベクトルとの内積に相当するＬ個の値の線形和である出力値を演算する演算部と、前記出力値を出力する出力部と、を備えることを特徴とする。

　本発明によれば、電力解析に対する安全性を向上させることができるという効果を奏する。

第１の実施の形態の演算装置の機能構成を示すブロック図。演算処理のフローチャート。機能構成をハードウェア実装した構成図。ハードウェア構成の場合の演算処理のフローチャート。第２の実施の形態の演算装置の機能構成を示すブロック図。第３の実施の形態の演算装置の機能構成を示すブロック図。第４の実施の形態の演算装置の機能構成を示すブロック図。機能構成をソフトウェア実装した場合の演算装置のハードウェア構成図。

　以下に添付図面を参照して、この発明にかかる演算装置の好適な実施の形態を詳細に説明する。

　（第１の実施の形態）
　第１の実施の形態にかかる演算装置は、Ｃｏｒｏｎらの方法で用いる行列と比較して、列方向に冗長度を持たせた行列を用いることにより、行列の各行の要素それぞれの個数が同一となるようにする。なお、以下では、電力解析に対して安全となる、ＧＦ（２＾２）の逆元計算（非線形演算）を行う演算装置を例に説明する。本実施の形態の方法は、ＧＦ（２＾４）などの他の有限体での逆元計算や、一般の入出力テーブルでのデータ参照にも適用できる。

　最初に、Ｃｏｒｏｎらの方法による問題点の詳細について説明する。

　ＧＦ（２＾２）の定義多項式ｘ＾２＋ｘ＋１の根をαとするとき、０、１、２＝α、３＝α＋１の逆元はそれぞれ０＾｛－１｝＝０、１＾｛－１｝＝１、２＾｛－１｝＝３、３＾｛－１｝＝２となる。フーリエ変換を用いるＧＦ（２＾２）の逆元計算は、以下の（１）式の行列計算に基づいて実行される。

　例えば、２＾｛－１｝を計算する場合には、入力値２に対して、第３行の行ベクトル（１　１　－１　－１）と列ベクトル（６　０　－４　－２）＾Ｔの内積計算を行い、２＾２で除した３を出力する。

　この行列計算は、一般には以下の（２）式で計算される。

　Ｃｏｒｏｎらの方法では、２ビットのランダムマスクＲ_１が処理されたＺ～＝Ｚ（＋）Ｒ_１が与えられたとき（（＋）は排他的論理和を表す）、Ｚを露呈することなくＦ（Ｚ）を以下の（３）式で表される手順で計算する。

　Ｒ_２は１ビットのランダムマスク、Ｒ_３とＲ_４は２ビットのランダムマスクである。ｉ・Ｚ～とｉ・Ｒ_１は、ベクトル同士の内積計算を表す。

　このとき、（１）式の行列計算の４行４列の行列成分（行列の要素の値）の１と－１は、それぞれ（３）式の（－１）＾｛Ｒ_２＋ｉ・Ｚ～＋ｉ・Ｒ_１｝の＋１と－１に対応している。Σの計算として、行列成分が１のときにはランダムマスクＲ_１とＲ_２の値に拠らずＦ＾（ｉ）の値がそれまでの計算結果（初期値は２＾２Ｒ_３＋Ｒ_４）に加算される。また、行列成分が－１のときにはランダムマスクＲ_１とＲ_２の値に拠らずＦ＾（ｉ）の値がそれまでの計算結果から減算される。

　Ｃｏｒｏｎらの方法では、４行４列の行列の第１行がすべて１であり、入力値が０の場合に限り、加算が４回実行される。行列のその他の行はすべて＋１と－１を２個ずつ含むため、入力値が０ではないときには、加算と減算が２回ずつ実行される。したがって、演算に着目し、加算が４回実行される平文を探すことができれば、平文に基づいて非線形演算の入力値を０とする秘密鍵を特定することができる。例えば、加算と減算とに要する消費電力に着目すると、消費電力の違いから加算が４回の平文を探すことが可能である。

　そこで、第１の実施の形態では、上述のように行列の列方向に冗長度をもたせて行列の各行の要素それぞれの個数が等しくなるようにする。これにより、行列のすべての行に対して、当該行に対応する行ベクトルを用いた非線形演算内での加算および減算の個数を均一化することができる。

　例えば、各行の１と－１の個数がそれぞれ４と２となるように、列ベクトル（－１　１　１　１）を２列追加した４行６列の行列を利用して、ＧＦ（２＾２）の逆元計算を以下の（４）式の行列計算で実行する。

　このとき、列ベクトルは変数ｓとｔを含む一般解で表される。例えばｓ＝２、ｔ＝４とした列ベクトル（３　３　－１　１　２　４）＾Ｔを用いることができる。なお、上記行列は一例であり、各行の要素それぞれの個数が同一であるＭ行Ｎ列（Ｍ、Ｎは４以上の整数、Ｍ＜Ｎ）の行列であればあらゆる行列を用いることができる。

　行列計算を以下の（５）式で表すとき、Ｇ（ｉ，Ｚ）は、ｉ＝（ｉ_２　ｉ_１　ｉ_０）（ビット表現）とＺ（２ビット）とから、Ｇ（ｉ，Ｚ）＝（（Ｚ＝＝０）＆ｉ_２）｜（（ｉ_２（＋）１）＆（ｉ_１　ｉ_０）・Ｚ）などにより計算する。

　なお、ＧＦ（２＾ｋ）の逆元計算の場合は、（５）式の２＾２を２＾ｋ、ｉの範囲を０～Ｎ－１とすればよい。

　ランダムマスクを用いる場合には、Ｃｏｒｏｎらの方法と同様に、Ｚ～＝Ｚ（＋）Ｒ_１を入力として、以下の（６）式の計算を実行する。

　ここで、Ｇ～（ｉ，Ｚ～，Ｒ_１，Ｒ_２）は、Ｚ～＝（ｚ～_１　ｚ～_２）（ビット表現）とＲ_１＝（Ｒ_１，１　Ｒ_１，０）（ビット表現）とした場合、Ｇ～（ｉ，Ｚ～，Ｒ_１，Ｒ_２）＝Ｒ_２（＋）（（ｉ_２（＋）１）＆（（ｉ_１　ｉ_０）・Ｚ～（＋）（ｉ_１　ｉ_０）・Ｒ_１））（＋）（ｉ_２＆（Ｚ～＝＝Ｒ_１））で計算される。

　Σの加算および減算による中間結果を適切に秘匿するために、２ビットのランダムマスクＲ_５を利用して、以下の（７）式を計算するように構成してもよい。

　このような方法により、行列の各行の１と－１の個数が均一化されるため、演算の種類に着目した電力解析に対して安全となる。なお、Σの添え字ｉの順番をランダムに変更して演算順序もランダム化することにより、電力解析に対する耐性をさらに高めることも可能である。

　次に、第１の実施の形態にかかる演算装置の構成例について説明する。図１は、第１の実施の形態にかかる演算装置１００の機能構成の一例を示すブロック図である。図１に示すように、演算装置１００は、入出力部１０１と、変数記憶部１０２と、中間結果記憶部１０３と、生成部１０４と、判定部１０５と、演算部１０６とを備えている。

　入出力部１０１は、入力部１０１ａと、出力部１０１ｂとを備えている。入力部１０１ａは、逆元演算（非線形演算）の入力値を受付ける。出力部１０１ｂは、入力値に対して演算された結果である出力値の出力を行う。

　変数記憶部１０２は、非線形演算に用いる列ベクトルや制御に必要な各種データを記憶する。中間結果記憶部１０３は、非線形演算の過程で出力される中間結果を記憶する。

　なお、変数記憶部１０２および中間結果記憶部１０３は、ＨＤＤ（Hard　Disk　Drive）、光ディスク、メモリカード、ＲＡＭ（Random　Access　Memory）などの一般的に利用されているあらゆる記憶媒体により構成することができる。

　生成部１０４は、非線形演算で利用する乱数を生成する。判定部１０５は、入力値と乱数の値に応じて、非線形演算内の所定の演算で加算または減算のいずれを行うかを判定する。演算部１０６は、ビット演算、論理演算、および四則演算などを行うことにより、上記（４）式に相当する逆元演算を実行し、入力値に対応する出力値（逆元）を演算する。演算部１０６による逆元演算の詳細については後述する。

　次に、このように構成された第１の実施の形態にかかる演算装置１００による演算処理について図２を用いて説明する。図２は、第１の実施の形態における演算処理の全体の流れを示すフローチャートである。

　まず、入力部１０１ａが、Ｚ～（２ビット）とＲ_１（２ビット）とを入力値として受け付ける（ステップＳ１０１）。その後、生成部１０４が、乱数Ｒ_２（１ビット）、Ｒ_３（２ビット）、およびＲ_４（２ビット）を生成する（ステップＳ１０２）。次に、演算部１０６が、２＾２Ｒ_３＋Ｒ_４を計算し、中間結果記憶部１０３に記憶する（ステップＳ１０３）。

　次に、上記行列の各列（または上記列ベクトルの各行）に対応するｉ＝０，１，・・・，５について、以下の処理が実行される（ステップＳ１０４～ステップＳ１０６）。なお、このときのｉの順番は昇順、降順、ランダムのいずれでもよい。

　まず、判定部１０５が、ｉ、Ｚ～、Ｒ_１、Ｒ_２を入力として、（－１）＾｛Ｇ～（ｉ、Ｚ～、Ｒ_１、Ｒ_２）｝が＋１になるか－１になるかを判定する（ステップＳ１０４）。

　＋１の場合には（ステップＳ１０４：ＹＥＳ）、演算部１０６が、変数記憶部１０２に記憶されているＦ＾（ｉ）を、中間結果記憶部１０３に記憶されている中間結果に２＾２を法として加算する（ステップＳ１０５）。－１の場合には（ステップＳ１０４：ＮＯ）、変数記憶部１０２に記憶されているＦ＾（ｉ）を、中間結果記憶部１０３に記憶されている中間結果から２＾２を法として減算する（ステップＳ１０６）。

　次に、判定部１０５が、すべての列（ｉ）を処理したか否かを判定し（ステップＳ１０７）、処理していない場合（ステップＳ１０７：ＮＯ）、次の未処理の列（ｉ）について処理を繰り返す（ステップＳ１０４）。

　すべてのｉについて計算を行ったら（ステップＳ１０７：ＹＥＳ）、演算部１０６が、中間結果記憶部１０３に記憶されているこれまでの演算結果の下位２ビットを切り捨てる（ステップＳ１０８）。次に、出力部１０１ｂが、得られた結果である出力値Ｃと、Ｒ_２と、Ｒ_３とを出力する（ステップＳ１０９）。

　上述の方法では、行列と列ベクトルは予め定められているものとしている。すなわち、行列に相当する演算を実現するために判定部１０５が用いる関数Ｇは予め定められているものとしている。また、列ベクトルは変数記憶部１０２に記憶されているものとしている。これに対し、非線形演算を計算するたびに、行列および列ベクトルの表現を変更するように構成してもよい。すなわち演算ごとに、判定部１０５が用いる関数Ｇを変更するとともに、新たな関数Ｇに応じた列ベクトルを変数記憶部１０２に記憶して、非線形演算を行うことも可能である。

　次に、図１のような機能構成をハードウェアにより実装する場合の構成例について図３を用いて説明する。図３は、図１の機能構成をハードウェア実装したハードウェア構成の一例を示すブロック図である。

　図３に示すように、演算装置１００は、入力部１０１ａと、生成部１０４ａ、１０４ｂ、１０４ｃと、左シフト部１１１と、加算部１１２と、加減算部１１３ａ～１１３ｆと、右シフト部１１４と、出力部１０１ｂとを備えている。

　生成部１０４ａ、１０４ｂ、１０４ｃは、図１の生成部１０４に相当する。左シフト部１１１、加算部１１２、加減算部１１３ａ～１１３ｆの機能の一部、および、右シフト部１１４が、図１の演算部１０６に相当する。加減算部１１３ａ～１１３ｆの機能の一部が、図１の判定部１０５に相当する。なお、加減算部１１３ａ～１１３ｆに入力されるＦ＾（ｉ）は、図３では省略されている変数記憶部１０２に記憶されている。

　入力部１０１ａは、逆元演算（非線形演算）の入力値を受付ける。生成部１０４ａ～１０４ｃは、非線形演算で利用する乱数を生成する。生成部１０４ａ～１０４ｃは同一の装置により実現されてもよい。左シフト部１１１は、入力されたデータを２ビット左シフトする。加算部１１２は、入力された２つの値を２＾２を法として加算する。加減算部１１３ａ～１１３ｆは、入力に基づいて、２＾２での加算または減算を行う。なお、図３では、上記（４）式の行列の列数（＝６）に対応して６個の加減算部１１３ａ～１１３ｆを備える例が示されている。加減算部１１３の個数はこれに限られず、行列の列数に応じて任意の個数を取りうる。右シフト部１１４は、入力された値を２ビット右シフトする。出力部１０１ｂは、入力値に対して演算された結果である出力値を含むデータを出力する。

　次に、図３のようなハードウェア構成の場合の演算処理について説明する。図４は、図３のハードウェア構成の場合の演算処理の全体の流れを示すフローチャートである。

　まず、入力部１０１ａが、Ｚ～（２ビット）とＲ_１（２ビット）を入力値として受け付ける（ステップＳ２０１）。その後、生成部１０４ａ、１０４ｂ、および１０４ｃが、それぞれ乱数Ｒ_２（１ビット）、Ｒ_３（２ビット）、Ｒ_４（２ビット）を生成する（ステップＳ２０２）。次に、左シフト部１１１がＲ_３を２ビット左シフトし、加算部１１２がＲ４と２＾２を法として加算することにより、２＾２Ｒ_３＋Ｒ_４を計算する（ステップＳ２０３）。

　次に、上記行列の各列（または上記列ベクトルの各行）に対応するｉ＝０，１，・・・，５について、以下の処理が実行される（ステップＳ２０４～ステップＳ２０６）。なお、このときのｉの順番は昇順、降順、ランダムのいずれでもよい。

　まず、加減算部１１３ａが、ｉ、Ｚ～、Ｒ_１、Ｒ_２を入力として、（－１）＾｛Ｇ～（ｉ、Ｚ～、Ｒ_１、Ｒ_２）｝が＋１になるか－１になるかを判定する（ステップＳ２０４）。＋１の場合には（ステップＳ２０４：ＹＥＳ）、加減算部１１３ａは、Ｆ＾（ｉ）を、それまでの計算結果に２＾２を法として加算する（ステップＳ２０５）。－１の場合には（ステップＳ２０４：ＮＯ）、加減算部１１３ａは、Ｆ＾（ｉ）を、それまでの計算結果に２＾２を法として減算する（ステップＳ２０６）。

　次に、ステップＳ２０４～ステップＳ２０６までの処理が、加減算部１１３ｂ～加減算部１１３ｆにより順次実行される。すなわち、最後に処理を実行する加減算部１１３ｂの処理が終了していない場合には（ステップＳ２０７：ＮＯ）、次の加減算部にそれまでの計算結果が入力され、処理が繰り返される（ステップＳ２０４）。なお、図４では、説明の便宜上、ステップＳ２０７で最後の加減算部の処理が終了したかが判定されることが記載されているが、実際にはこのような判定処理が実行される必要はない。加減算部１１３ｆによる処理が終了すると（ステップＳ２０７：ＹＥＳ）、右シフト部１１４が、下位２ビットを切り捨てる（ステップＳ２０８）。次に、出力部１０１ｂが、得られた結果である出力値Ｃと、Ｒ_２と、Ｒ_３とを出力する（ステップＳ２０９）。

　このように、第１の実施の形態にかかる演算装置では、空間の変換を表現する行列の各行が含む要素の数を揃えることにより、例えば非線形演算により実行される加算および減算それぞれの実行回数が、すべての入力値に対して一定となる。このため、要素に応じて処理される演算の特徴に着目したとしても、非線形演算回路に与えられた入力を特定することを不可能とする。したがって、電力解析に対する安全性を向上させることができる。また、ランダムマスクを利用して演算中のデータを撹乱するため、電力解析に対してより安全な演算装置を実現できる。

　（第２の実施の形態）
　第１の実施の形態では、行列の列方向に列を追加することにより行列の各行の要素それぞれの個数が均一となるようにしていた。第２の実施の形態にかかる演算装置は、行列の列方向を圧縮し、行列の各行の要素それぞれの個数が均一となるようにする。このとき、演算を適切に行うための補正項（列ベクトル）が必要となる。

　図５は、第２の実施の形態にかかる演算装置２００の機能構成の一例を示すブロック図である。図５に示すように、演算装置２００は、入出力部１０１と、変数記憶部２０２と、中間結果記憶部１０３と、生成部１０４と、判定部１０５と、演算部２０６とを備えている。

　第２の実施の形態では、変数記憶部２０２に記憶する情報、および、演算部２０６の機能が第１の実施の形態と異なっている。その他の構成および機能は、第１の実施の形態にかかる演算装置１００の機能構成を表すブロック図である図１と同様であるので、同一符号を付し、ここでの説明は省略する。

　変数記憶部２０２は、第１の実施の形態の変数記憶部１０２と同様に、非線形演算に用いる列ベクトルや制御に必要な各種データを記憶する。変数記憶部２０２は、例えば、行列との内積を求める列ベクトルの形式、および、上述の補正項となる列ベクトルをさらに記憶する点が、第１の実施の形態の変数記憶部１０２と異なる。

　演算部２０６は、上記（４）式と異なる式に相当する逆元演算を実行し、入力値に対応する出力値（逆元）を演算する点が、第１の実施の形態の演算部１０６と異なる。演算部２０６は、例えば、各行の１と－１の個数がそれぞれ１である行列を用いて表される以下の（８）式によりＧＦ（２＾２）の逆元計算を行う。

　なお、上記行列は一例であり、各行の要素それぞれの個数が同一であるＭ行Ｎ列（Ｍ、Ｎは２以上の整数、Ｍ＞Ｎ）の行列であればあらゆる行列を用いることができる。

　行列計算を、以下の（９）式で表すとき、Ｇ（ｉ，Ｚ）は、ｉ（１ビット）とＺ＝（ｚ_１ｚ_０）（ビット表現）とから、Ｇ（ｉ，Ｚ）＝ｉ（＋）１（＋）ｚ_０などにより計算する。Ｈ（Ｚ）は、補正項の列ベクトル（１０４１）＾Ｔを表す。

　ランダムマスクを用いる場合には、Ｃｏｒｏｎらの方法と同様に、Ｚ～＝Ｚ（＋）Ｒ_１を入力として、以下の（１０）式の計算を実行する。

　ここで、Ｇ～（ｉ，Ｚ～，Ｒ_１，Ｒ_２）は、Ｚ～＝（ｚ～_１ｚ～_２）（ビット表現）とＲ_１＝（Ｒ_１，１Ｒ_１，０）（ビット表現）とした場合、Ｇ～（ｉ，Ｚ～，Ｒ_１，Ｒ_２）＝Ｒ_２（＋）ｉ（＋）１（＋）ｚ～_０（＋）Ｒ_１，０で計算される。Ｈ～（Ｚ～，Ｒ_１）は、（－１）＾｛Ｒ_２｝Ｈ（Ｚ～（＋）Ｒ_１）で計算することができる。

　なお、電力解析耐性を高めるために、Ｈ～（Ｚ～，Ｒ_１）の演算自体を、第１の実施の形態、後述する第３の実施の形態および第４の実施の形態で実行することも可能である。また、第１の実施の形態と同様に、Σの添え字ｉの順番をランダムに変更し、演算順序もランダム化することにより、電力解析に対する耐性をさらに高めることも可能である。

　第２の実施の形態による演算処理の全体の流れは第１の実施の形態の演算処理を表す図２と同様であるため、説明を省略する。なお、上記（８）式を用いる場合、第２の実施の形態の演算処理は、行列の列数に応じた繰り返し処理（ステップＳ１０４～ステップＳ１０７）の回数が第１の実施の形態と異なるのみである。すなわち、第１の実施の形態では、行列の列数（＝６）に対応して６回処理を繰り返したのに対し、第２の実施の形態では、（８）式の行列の列数（＝２）に対応して２回だけ処理を繰り返す点が異なる。

　このように、第２の実施の形態にかかる演算装置では、列方向を圧縮することにより行列の各行の１と－１の個数を均一化する。このため、演算の種類に着目した電力解析に対して安全となる。

　（第３の実施の形態）
　第３の実施の形態では、行列の行方向を圧縮し、行列の各行の要素それぞれの個数が均一となるようにする。このとき、入力値に対する出力範囲が狭まるため、各行に複数の出力値を割り当てて、計算後に入力値に対応する必要な要素（出力値）を取り出す。

　図６は、第３の実施の形態にかかる演算装置３００の機能構成の一例を示すブロック図である。図６に示すように、演算装置３００は、入出力部１０１と、変数記憶部３０２と、中間結果記憶部１０３と、生成部１０４と、判定部１０５と、演算部３０６とを備えている。

　第３の実施の形態では、変数記憶部３０２に記憶する情報、および、演算部３０６の機能が第１の実施の形態と異なっている。その他の構成および機能は、第１の実施の形態にかかる演算装置１００の機能構成を表すブロック図である図１と同様であるので、同一符号を付し、ここでの説明は省略する。

　変数記憶部３０２は、第１の実施の形態の変数記憶部１０２と同様に、非線形演算に用いる列ベクトルや制御に必要な各種データを記憶する。変数記憶部３０２は、例えば、行列との内積を求める列ベクトルの形式が、第１の実施の形態の変数記憶部１０２と異なる。

　演算部３０６は、上記（４）式と異なる式に相当する逆元演算を実行し、入力値に対応する出力値（逆元）を演算する点が、第１の実施の形態の演算部１０６と異なる。演算部３０６は、例えば、各行の１と－１の個数がそれぞれ２である行列を用いて表される以下の（１１）式によりＧＦ（２＾２）の逆元計算を行う。

　このとき、列ベクトルは変数ｓとｔを含む一般解で表される。例えばｓ＝３、ｔ＝４とした列ベクトル（３３　４　３　３０）＾Ｔを用いることができる。なお、上記行列は一例であり、各行の要素それぞれの個数が同一であるＭ行Ｎ列（Ｍ、Ｎは２以上の整数、Ｍ＜Ｎ）の行列であればあらゆる行列を用いることができる。

　行列計算を、以下の（１２）式で表すとき、Ｇ（ｉ，Ｚ）は、ｉ（２ビット）とＺ＝（ｚ_１　ｚ_０）（ビット表現）とから、Ｇ（ｉ，Ｚ）＝ｉ・（１　ｚ_１）などにより計算する。

　なお、Ｆ（｛Ｚ，Ｚ（＋）１｝）は、複数の入力値が１つの行に対応することを表している（｛｝を集合を表わす意味で用いる）。例えば、Ｚ＝０の場合、０と１との排他的論理和（０（＋）１）が１であるため、Ｆ（Ｚ，Ｚ（＋）１）は、Ｆ（｛０，１｝）を意味する。これは、例えば逆元演算の結果であるベクトルの１行目に対応する。そして、例えば、Ｚ＝１の場合、１と１との排他的論理和（１（＋）１）が０であるため、Ｆ（｛Ｚ，Ｚ（＋）１｝）は、Ｆ（｛１，０｝）＝Ｆ（｛０，１｝）を意味する。この場合も、逆元演算の結果であるベクトルの１行目に対応するものとしている。すなわち、２つの入力値であるＺ＝０，１が、演算結果のベクトルの１行目に対応している。

　ランダムマスクを用いる場合には、Ｃｏｒｏｎらの方法と同様に、Ｚ～＝Ｚ（＋）Ｒ_１を入力として、以下の（１３）式の計算を実行する。

　ここで、Ｇ～（ｉ，Ｚ～，Ｒ_１，Ｒ_２）は、Ｚ～＝（ｚ～_１　ｚ～_０）（ビット表現）とＲ_１＝（Ｒ_１，１　Ｒ_１，０）（ビット表現）とした場合、Ｇ～（ｉ，Ｚ～，Ｒ_１，Ｒ_２）＝Ｒ_２（＋）ｉ・（１　ｚ～_１）（＋）ｉ・（０　Ｒ_１，１）で計算される。

　（－１）＾｛Ｒ_２｝Ｆ（｛Ｚ，Ｚ（＋）１｝）＋Ｒ_３を計算した後、算術的に加算されているランダムマスクＲ_２とＲ_３を、排他的論理和により演算されるランダムマスクＲ_５＝（Ｒ_５，３　Ｒ_５，２　Ｒ_５，１　Ｒ_５，０）（４ビット）に置き換える（例えば、Louis　Goubin、“A　Sound　Method　for　Switching　between　Boolean　and　Arithmetic　Masking”，Cryptographic　Hardware　and　Embedded　Systems，CHES　2001,pp.3-15,Lecture　Notes　in　Computer　Science　2162，Springer-Verlagを参照）。

　まず、Ｆ（｛Ｚ，Ｚ（＋）１｝）（＋）Ｒ_５をＣとおく。ｚ～_０（＋）Ｒ_１，０が１のときには、Ｃの下位２ビットをＦ（Ｚ）（＋）（Ｒ_５，１　Ｒ_５，０）として出力する。ｚ～_０（＋）Ｒ_１，０が０のときには、Ｃの上位２ビットをＦ（Ｚ）（＋）（Ｒ_５，３　Ｒ_５，２）として出力する。このようにして、複数の出力値を含む計算結果から、入力値に対応する必要な出力値を取り出すことができる。

　このように、第３の実施の形態では、演算により得られた結果Ｃから、入力値に応じて上位２ビットまたは下位２ビットを取り出して出力値とする点が、第１の実施の形態と異なる。その他の演算処理の流れは第１の実施の形態の演算処理を表す図２と同様であるため、説明を省略する。

　以上のように、第３の実施の形態にかかる演算装置では、行方向を圧縮することにより行列の各行の１と－１の個数を均一化する。このため、演算の種類に着目した電力解析に対して安全となる。

　（第４の実施の形態）
　第１～第３の実施の形態では、１つの行列を用いた非線形演算について説明した。第４の実施の形態では、複数の行列計算を組み合わせることにより、演算の数を均一とする。

　図７は、第４の実施の形態にかかる演算装置４００の機能構成の一例を示すブロック図である。図７に示すように、演算装置４００は、入出力部１０１と、変数記憶部４０２と、中間結果記憶部１０３と、生成部１０４と、判定部１０５と、演算部４０６とを備えている。

　第４の実施の形態では、変数記憶部４０２に記憶する情報、および、演算部４０６の機能が第１の実施の形態と異なっている。その他の構成および機能は、第１の実施の形態にかかる演算装置１００の機能構成を表すブロック図である図１と同様であるので、同一符号を付し、ここでの説明は省略する。

　変数記憶部４０２は、第１の実施の形態の変数記憶部１０２と同様に、非線形演算に用いる列ベクトルや制御に必要な各種データを記憶する。変数記憶部３０２は、例えば、複数の行列計算に用いる複数の列ベクトルを保存する点が、第１の実施の形態の変数記憶部１０２と異なる。

　演算部４０６は、上記（４）式と異なる式に相当する逆元演算を実行し、入力値に対応する出力値（逆元）を演算する点が、第１の実施の形態の演算部１０６と異なる。演算部４０６による逆元演算は、一般には、以下の（１４）式で記述される行列計算に基づく。

　Ａ、Ｂ、・・・はＬ個（Ｌは１以上の整数）のＭ行Ｎ列（Ｍ、Ｎは２以上の整数）の行列、ａ、ｂ、・・・はＬ個の行列ごとに予め定められた定数値（スカラー値）、ｘ、ｙ、・・・はＬ個の行列ごとに予め定められたＮ行の列ベクトルを表す。このように、演算部４０６は、Ｌ個の行列に含まれる行ベクトルのうち、入力値に対応する行のＬ個の行ベクトルそれぞれと、Ｌ個の行列ごとに予め定められたＮ行の列ベクトルとの内積に相当するＬ個の値の線形和を演算する。Ａ、Ｂ、・・・は、上述した各実施の形態で説明する形式の行列に加え、４行４列の行列をそのまま用いることも可能である。

　例えば、１ビットのデータｓと、４行４列の２つの行列とを用いて、以下の（１５）式のように逆元演算を実行することができる。（１５）式では、２つの行列の各行の１の個数の和、および－１の個数の和は、それぞれ４個となる。

　（ａ／２＾２）Ａｘ、（ｂ／２＾２）Ｂｙ、・・・のような上記（１４）式の各項の計算を、Ｃｏｒｏｎらの方法または上記各実施の形態の方法で計算することにより、電力解析に対して安全性をもたせつつ、暗号回路の非線形演算を実行できる。

　なお、上記行列は一例であり、Ｌ個の行列の各行の要素それぞれの個数の和が同一となるＭ行Ｎ列の行列であればあらゆる行列を用いることができる。

　次に、第１～第４の実施の形態にかかる演算装置の機能構成をソフトウェアにより実装する場合の、演算装置のハードウェア構成例について図８を用いて説明する。図８は、第１～第４の実施の形態にかかる演算装置のハードウェア構成例を示す説明図である。

　第１～第４の実施の形態にかかる演算装置は、ＣＰＵ（Central　Processing　Unit）５１などの制御装置と、ＲＯＭ（Read　Only　Memory）５２やＲＡＭ５３などの記憶装置と、ネットワークに接続して通信を行う通信Ｉ／Ｆ５４と、各部を接続するバス６１を備えている。

　第１～第４の実施の形態にかかる演算装置で実行される演算プログラムは、ＲＯＭ５２等に予め組み込まれて提供される。

　第１～第４の実施の形態にかかる演算装置で実行される演算プログラムは、インストール可能な形式又は実行可能な形式のファイルでＣＤ－ＲＯＭ（Compact　Disk　Read　Only　Memory）、フレキシブルディスク（ＦＤ）、ＣＤ－Ｒ（Compact　Disk　Recordable）、ＤＶＤ（Digital　Versatile　Disk）等のコンピュータで読み取り可能な記録媒体に記録されたコンピュータプログラムプロダクトとして提供されるように構成してもよい。

　さらに、第１～第４の実施の形態にかかる演算装置で実行される演算プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、第１～第４の実施の形態にかかる演算装置で実行される演算プログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。

　第１～第４の実施の形態にかかる演算装置で実行される演算プログラムは、コンピュータを上述した演算装置の各部（入出力部、生成部、判定部、演算部）として機能させうる。このコンピュータは、ＣＰＵ５１がコンピュータ読取可能な記憶媒体から演算プログラムを主記憶装置上に読み出して実行することができる。

　なお、本発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施の形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施の形態にわたる構成要素を適宜組み合わせても良い。

　５１　ＣＰＵ
　５２　ＲＯＭ
　５３　ＲＡＭ
　５４　通信Ｉ／Ｆ
　６１　バス
　１００、２００、３００、４００　演算装置
　１０１　入出力部
　１０１ａ　入力部
　１０１ｂ　出力部
　１０２、２０２、３０２、４０２　変数記憶部
　１０３　中間結果記憶部
　１０４　生成部
　１０５　判定部
　１０６、２０６、３０６、４０６　演算部

Claims

　入力値を受付ける入力部と、
　Ｌ個（Ｌは１以上の整数）の予め定められたＭ行Ｎ列（Ｍ、Ｎは２以上の整数）の行列であって、前記行列の各行に含まれる要素それぞれの個数の和が、各行間で相互に等しい前記行列に含まれる行ベクトルのうち、前記入力値に対応するＬ個の行ベクトルそれぞれと、Ｌ個の前記行列ごとに予め定められたＮ行の第１列ベクトルとの内積に相当するＬ個の値の線形和である出力値を演算する演算部と、
　前記出力値を出力する出力部と、
　を備えることを特徴とする演算装置。
　前記演算部は、１個のＭ＜Ｎを満たすＭ行Ｎ列の前記行列に含まれる行ベクトルのうち、前記入力値に対応する行ベクトルとＮ行の前記第１列ベクトルとの内積に相当する前記出力値を演算すること、
　を特徴とする請求項１に記載の演算装置。
　前記演算部は、１個のＭ＞Ｎを満たすＭ行Ｎ列の前記行列に含まれる行ベクトルのうち、前記入力値に対応する行ベクトルとＮ行の前記第１列ベクトルとの内積に相当する前記出力値を演算すること、
　を特徴とする請求項１に記載の演算装置。
　前記演算部は、１個のＭ＞Ｎを満たすＭ行Ｎ列の前記行列に含まれる行ベクトルのうち、前記入力値に対応する行ベクトルとＮ行の前記第１列ベクトルとの内積に相当する値値に、予め定められたＮ行の第２列ベクトルの要素のうち、前記入力値に対応する要素の値を加算した前記出力値を演算すること、
　を特徴とする請求項１に記載の演算装置。
　前記演算部は、１個のＭ＜Ｎを満たすＭ行Ｎ列の前記行列に含まれる行ベクトルのうち、前記入力値に対応する行ベクトルとＮ行の前記第１列ベクトルとの内積に相当する前記出力値を演算し、
　前記出力部は、前記出力値を表すビット列のうち、前記入力値に対応する一部のビット列で表される前記出力値を出力すること、
　を特徴とする請求項１に記載の演算装置。
　前記演算部は、Ｌ個のＭ行Ｎ列の前記行列に含まれる行ベクトルのうち、前記入力値に対応するＬ個の行ベクトルそれぞれと前記第１列ベクトルとの内積に相当する値を算出し、算出した値にＬ個の前記行列ごとに予め定められた定数値を乗じて算出されるＬ個の値の線形和である前記出力値を演算すること、
　を特徴とする請求項１に記載の演算装置。