WO2012070478A1 - 暗号処理装置 - Google Patents

Abstract

　暗号処理装置１０の演算回路Ｃ１～Ｃｍは、ｎ段の処理Ｐ１～Ｐｎを実行することにより、同じ暗号処理を実行する。クロック制御部１１は、演算回路Ｃ１～Ｃｍの中から１個の演算回路を選択し、選択した演算回路に暗号処理の１段の処理を実行させるためのクロック信号ＳＣＬＫを供給する。演算回路Ｃ１～Ｃｍは、クロック制御部１１による制御に従い、秘匿データＫを用いた暗号処理と無効データＤ２～Ｄｍを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行する。これにより、電力解析のために必要なデータの取得を困難にし、電力解析に対する耐性を向上させる。

Description

暗号処理装置

　本発明は、暗号処理装置に関し、より詳細には、電力解析に対する耐性を向上させた暗号処理装置に関する。

　情報通信技術の進歩に伴い、暗号技術が様々な分野で利用されている。暗号技術では、秘密状態に保持された鍵（以下、秘密鍵という）を用いて、入力データに対して予め定められた暗号処理を実行する暗号処理装置が用いられる。暗号処理装置は、秘密鍵を半導体集積回路やＩＣカードの内部に保持することがある。

　半導体集積回路やＩＣカードは、多くの場合、ＣＭＯＳ回路で構成される。ＣＭＯＳ回路では、出力が変化したときに電流が流れるので、出力変化の態様に応じて消費電流波形に差が生じる。例えば、回路内の１６ビット信号の値が００００ｈ（１６進表記）からＦＦＦＦｈに変化する場合と、００００ｈから１１１１ｈに変化する場合とを考える。前者の場合には信号は１６ビット変化するのに対して、後者の場合には信号は４ビットしか変化しない。このため、これら２つの場合で消費電流波形に差が生じる。

　この性質を用いて回路の消費電流波形を観測することにより、回路内の信号の値や回路内で実行されている処理の内容を推測して、秘密鍵を推測する方法（電力解析と呼ばれる）が考案されている。具体的には、２個の消費電流波形を比較して解析する差分電力解析（Differential Power Analysis ：ＤＰＡ）などが知られている。例えばＤＥＳ（Data Encryption Standard）方式については、暗号処理の内容が公開されている。このため、暗号処理の開始タイミングを特定できれば、差分電力解析によって秘密鍵を比較的容易に推測することができる。

　本願発明に関連して、特許文献１には、ラウンド演算用データを格納する第１レジスタと、第１レジスタに入力するデータと分周信号との排他的論理和を格納する第２レジスタと、２個のレジスタに格納されたデータが全ビット一致または全ビット不一致か否かを判定する判定部とを備えた暗号処理装置が記載されている。

日本国特開２００７－３２３０１９号公報

　特許文献１に記載された暗号処理装置によれば、第２レジスタを設けることにより、差分電力解析に対する耐性をある程度向上させることができる。しかしながら、暗号処理の実行期間を容易に特定できるので、差分電力解析に必要なデータを容易に取得することができる。このため、差分電力解析によって秘密鍵を推測される可能性がある。

　それ故に、本発明は、従来とは異なる方法で電力解析に対する耐性を向上させた暗号処理装置を提供することを目的とする。

　本発明の第１の局面は、暗号処理を複数の処理に分割して実行する暗号処理装置であって、
　それぞれが複数の処理を段階的に実行することにより、同じ暗号処理を実行する複数の演算回路と、
　前記複数の演算回路の中から１個の演算回路を選択し、選択した演算回路に暗号処理の１段の処理を実行させるためのクロック信号を供給するクロック制御部とを備え、
　前記複数の演算回路は、前記クロック制御部による制御に従い、秘匿データを用いた暗号処理と無効データを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行することを特徴とする。

　本発明の第２の局面は、本発明の第１の局面において、
　前記複数の演算回路は、同じ回路構成を有し、同じ暗号処理を互いに独立に実行し、
　前記複数の演算回路の中に、前記秘匿データを用いた暗号処理を実行する演算回路と、前記無効データを用いた暗号処理を実行する演算回路とが含まれていることを特徴とする。

　本発明の第３の局面は、本発明の第２の局面において、
　前記複数の演算回路に対して、前記秘匿データおよび前記無効データのいずれを供給するかを切り替える入力選択部と、
　前記複数の演算回路で求めた結果の中から、前記秘匿データを用いた暗号処理の結果を選択する出力選択部とをさらに備える。

　本発明の第４の局面は、本発明の第２の局面において、
　前記クロック制御部は、前記複数の演算回路に対して、異なる周波数を有する複数のクロック信号の中から選択したクロック信号を供給することを特徴とする。

　本発明の第５の局面は、本発明の第２の局面において、
　前記クロック制御部は、前記複数の演算回路に対して同じクロック信号を供給することを特徴とする。

　本発明の第６の局面は、本発明の第２の局面において、
　前記クロック制御部は、前記クロック信号を供給する演算回路を動作中にランダムに選択することを特徴とする。

　本発明の第７の局面は、本発明の第２の局面において、
　前記クロック制御部は、前記クロック信号を供給する演算回路を予め定めた順序で選択することを特徴とする。

　本発明の第８の局面は、本発明の第２の局面において、
　前記複数の演算回路のうち１個の演算回路は前記秘匿データを用いた暗号処理を実行し、残余の演算回路は前記無効データを用いた暗号処理を実行することを特徴とする。

　本発明の第９の局面は、本発明の第１の局面において、
　前記複数の演算回路の中に、異なる回路構成を有する演算回路が含まれており、
　前記秘匿データを用いた暗号処理と前記無効データを用いた暗号処理とについて、各段の処理をいずれの演算回路で実行するかを選択する演算回路選択部をさらに備える。

　本発明の第１０の局面は、本発明の第９の局面において、
　前記演算回路選択部は、各段の処理を実行する演算回路を動作中にランダムに選択することを特徴とする。

　本発明の第１１の局面は、本発明の第９の局面において、
　前記クロック制御部は、前記複数の演算回路に対して、異なる周波数を有する複数のクロック信号の中から選択したクロック信号を供給することを特徴とする。

　本発明の第１２の局面は、本発明の第９の局面において、
　前記クロック制御部は、前記複数の演算回路に対して同じクロック信号を供給することを特徴とする。

　本発明の第１３の局面は、本発明の第９の局面において、
　前記複数の演算回路で求めた結果の中から、前記秘匿データを用いた暗号処理の結果を選択する出力選択部をさらに備える。

　本発明の第１４の局面は、暗号処理を複数の処理に分割して実行する暗号処理方法であって、
　それぞれが複数の処理を段階的に実行することにより、同じ暗号処理を実行する複数の演算回路の中から１個の演算回路を選択し、選択した演算回路に暗号処理の１段の処理を実行させるためのクロック信号を供給するステップと、
　供給されたクロック信号に基づき、前記複数の演算回路を用いて、秘匿データを用いた暗号処理と無効データを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行するステップとを備える。

　本発明の第１または第１４の局面によれば、複数の演算回路を用いて、秘匿データを用いた暗号処理と無効データを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行することにより、消費電力を増加させることなく、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　本発明の第２の局面によれば、同じ回路構成を有する複数の演算回路を用いることにより、演算回路の設計を工夫しなくても、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　本発明の第３の局面によれば、入力選択部と出力選択部を用いて、秘匿データを用いた暗号処理を実行する演算回路と無効データを用いた暗号処理を実行する演算回路とを切り替えることにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。

　本発明の第４または第１１の局面によれば、演算回路に供給するクロック信号を切り替えることにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。また、低い周波数を有するクロック信号を用いることにより、同じ周波数を有するクロック信号だけを用いる場合よりも、消費電流を削減することができる。

　本発明の第５または第１２の局面によれば、複数の演算回路に対して同じクロック信号を供給することにより、クロック制御部の構成を簡単にすることができる。

　本発明の第６の局面によれば、クロック信号を供給する演算回路を動作中にランダムに選択することにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。

　本発明の第７の局面によれば、クロック信号を供給する演算回路を予め定めた順序で選択することにより、クロック制御部の構成を簡単にすることができる。

　本発明の第８の局面によれば、１個の演算回路で秘匿データを用いた暗号処理を実行し、残余の演算回路で無効データを用いた暗号処理を実行した場合に、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　本発明の第９の局面によれば、異なる回路構成を有する複数の演算回路を用い、暗号処理の各段の処理を複数の演算回路のいずれで実行するかを選択することにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。

　本発明の第１０の局面によれば、各段の処理を実行する演算回路を動作中にランダムに選択することにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。

　本発明の第１３の局面によれば、演算回路選択部において各段の処理を実行する演算回路を切り替えた場合でも、出力選択部を用いて秘匿データを用いた暗号処理の結果を出力することができる。

本発明の第１の実施形態に係る暗号処理装置の構成を示すブロック図である。 ＤＥＳ方式の暗号処理を示す図である。 図１に示す装置のｍ＝２の場合の構成を示すブロック図である。 １個の演算回路を連続して動作させたときの消費電流波形を示す図である。 図３に示す装置の一方の演算回路の消費電流波形を示す図である。 図３に示す装置の他方の演算回路の消費電流波形を示す図である。 図３に示す装置の消費電流波形を示す図である。 本発明の第２の実施形態に係る暗号処理装置の構成を示すブロック図である。 本発明の第３の実施形態に係る暗号処理装置の構成を示すブロック図である。 図７に示す装置のｍ＝２の場合の構成を示すブロック図である。 図８に示す装置の一方の演算回路の消費電流波形を示す図である。 図８に示す装置の他方の演算回路の消費電流波形を示す図である。 図８に示す装置の消費電流波形を示す図である。 本発明の第４の実施形態に係る暗号処理装置の構成を示すブロック図である。

　以下、図面を参照して、本発明の第１～第４の実施形態に係る暗号処理装置について説明する。以下の説明では、ｍ、ｎおよびｑは２以上の整数であるとする。第２～第４の実施形態の構成要素のうち、先に説明した実施形態の構成要素と同じものについては、同一の参照符号を付して説明を省略する。

　（第１の実施形態）
　図１は、本発明の第１の実施形態に係る暗号処理装置の構成を示すブロック図である。図１に示す暗号処理装置１０は、ｍ個の演算回路Ｃ１～Ｃｍ、および、クロック制御部１１を備えている。暗号処理装置１０は、外部から入力された入力データＸに対して所定の暗号処理を実行し、得られた結果を出力データＹとして出力する。

　図１において、入力データＸは、暗号処理の対象となるデータである。秘匿データＫは、暗号処理で用いられる本物の鍵（秘密鍵）である。無効データＤ２～Ｄｍは、秘匿データＫと同じ形式を有し、秘匿データＫとは異なる値を有する偽物の鍵（ダミー鍵）である。入力データＸは、すべての演算回路Ｃ１～Ｃｍに入力される。秘匿データＫは、演算回路Ｃ１に入力される。無効データＤ２～Ｄｍは、それぞれ、演算回路Ｃ２～Ｃｍに入力される。秘匿データＫと無効データＤ２～Ｄｍは、暗号処理装置１０の内部で秘密状態に保持される。

　演算回路Ｃ１～Ｃｍは、同じ回路構成を有し、同じ暗号処理を互いに独立に実行する。演算回路Ｃ１は、秘匿データＫを用いて入力データＸに対する暗号処理を実行する。演算回路Ｃ２～Ｃｍは、それぞれ、無効データＤ２～Ｄｍを用いて入力データＸに対する暗号処理を実行する。暗号処理装置１０からは、演算回路Ｃ１で求めた結果が出力データＹとして出力される。演算回路Ｃ２～Ｃｍで求めた結果は、利用されずに破棄される。

　演算回路Ｃ１～Ｃｍは、暗号処理をｎ段の処理Ｐ１～Ｐｎに分割し、処理Ｐ１～Ｐｎを段階的に実行する。演算回路Ｃ１～Ｃｍにおける処理Ｐ１～Ｐｎの実行は、クロック制御部１１によって制御される。クロック制御部１１には、１個のクロック信号ＳＣＬＫが供給される。クロック制御部１１は、クロック信号ＳＣＬＫに基づき、演算回路Ｃ１～Ｃｍに対してそれぞれクロック信号ＣＬＫ１～ＣＬＫｍを出力する。クロック制御部１１は、演算回路Ｃ１～Ｃｍの中から１個の演算回路を選択し、選択した演算回路にクロック信号ＳＣＬＫを１サイクル出力する。クロック制御部１１は、この動作を繰り返し行う。演算回路Ｃ１～Ｃｍは、クロック信号ＳＣＬＫの供給を受けたときに、暗号処理に含まれる１段の処理を実行する。以下、演算回路Ｃｉによる処理Ｐｊの実行をＣｉＰｊと表す。

　クロック制御部１１における演算回路の選択方法には、各種の方法がある。例えば、クロック制御部１１は、処理Ｐｊ（ｊは１以上ｎ以下の整数）をまだ実行していない演算回路Ｃ１～Ｃｍの中から、クロック信号ＳＣＬＫを供給する演算回路を動作中にランダムに選択してもよい。この場合、クロック制御部１１は、乱数発生器を有し、乱数発生器で発生させた乱数に基づき、クロック信号ＳＣＬＫを供給する演算回路を選択する。

　あるいは、クロック制御部１１は、演算回路Ｃ１～Ｃｍの中から、クロック信号ＳＣＬＫを供給する演算回路を予め定めた順序で選択してもよい。例えば、クロック制御部１１は、演算回路Ｃ１～Ｃｍを昇順に選択する動作をｎ回繰り返してもよい。この場合、処理の実行順序は、Ｃ１Ｐ１→Ｃ２Ｐ１→…→ＣｍＰ１→Ｃ１Ｐ２→Ｃ２Ｐ２→…→ＣｍＰ２→…→Ｃ１Ｐｎ→Ｃ２Ｐｎ→…→ＣｍＰｎとなる。また、クロック制御部１１は、演算回路Ｃ１～Ｃｍを昇順に選択する動作と、演算回路Ｃ１～Ｃｍを降順に選択する動作とを交互に繰り返してもよい。

　このようにクロック制御部１１は、演算回路Ｃ１～Ｃｍの中から１個の演算回路を選択し、選択した演算回路に暗号処理の１段の処理を実行させるためのクロック信号ＳＣＬＫを供給する。演算回路Ｃ１～Ｃｍは、クロック制御部１１による制御に従い、秘匿データＫを用いた暗号処理と無効データＤ２～Ｄｍを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行する。演算回路Ｃ１～Ｃｍは暗号処理を互いに独立に実行するので、クロック制御部１１がいかなる順序で演算回路Ｃ１～Ｃｍを選択しても、演算回路Ｃ１～Ｃｍをそれぞれ単独で動作させたときと同じ結果が得られる。

　ここで、演算回路Ｃ１～Ｃｍの具体例を説明する。図２は、ＤＥＳ方式の暗号処理を示す図である。図２に示すように、ＤＥＳ方式の暗号処理では、初期置換処理、第１～第１６ラウンド処理、および、逆置換処理が順に実行される。これに対応して、暗号処理装置１０は、ＤＥＳ方式の暗号処理を例えば１８段の処理に分割して実行する。演算回路Ｃ１～Ｃｍは、処理Ｐ１として初期置換処理を行い、処理Ｐ２～Ｐ１７として第１～第１６ラウンド処理をそれぞれ行い、処理Ｐ１８として逆置換処理を行う。

　暗号処理装置１０は、複数のラウンド処理を１段の処理として実行するなどして、ＤＥＳ方式の暗号処理を１７段以下の処理に分割して実行してもよい。あるいは、暗号処理装置１０は、１個のラウンド処理を複数段の処理として実行するなどして、ＤＥＳ方式の暗号処理を１９段以上の処理に分割して実行してもよい。一般に、演算回路Ｃ１～Ｃｍは、暗号処理をｎ段（ｎは２以上の整数）の処理に分割して実行すればよい。

　以下、本実施形態に係る暗号処理装置の具体例として、２個の演算回路にクロック信号を交互に供給する暗号処理装置について説明する。図３に示す暗号処理装置１５は、２個の演算回路Ｃ１、Ｃ２、および、クロック制御部１６を備えている。演算回路Ｃ１は、秘匿データＫを用いて入力データＸに対する暗号処理を実行する。演算回路Ｃ２は、無効データＤ２を用いて入力データＸに対する暗号処理を実行する。暗号処理装置１５からは、演算回路Ｃ１で求めた結果が出力データＹとして出力される。

　クロック制御部１６は、演算回路Ｃ１、Ｃ２の中から１個の演算回路を交互に選択し、選択した演算回路にクロック信号ＳＣＬＫを供給する。暗号処理装置１５における処理の実行順序は、Ｃ１Ｐ１→Ｃ２Ｐ１→Ｃ１Ｐ２→Ｃ２Ｐ２→…→Ｃ１Ｐｎ→Ｃ２Ｐｎとなる。演算回路Ｃ１、Ｃ２は暗号処理を互いに独立に実行するので、上記の順序で処理を実行しても、演算回路Ｃ１、Ｃ２をそれぞれ単独で動作させたときと同じ結果が得られる。

　図４は、演算回路Ｃ１だけを連続して動作させたときの消費電流波形を示す図である。図４に示すように、演算回路Ｃ１内の信号はクロック信号ＳＣＬＫの立ち上がりで変化し、演算回路Ｃ１の消費電流はクロック信号ＳＣＬＫの立ち上がりで最大となる。演算回路Ｃ１だけを連続して動作させる暗号処理装置には、図４に示す消費電流波形に対して電力解析を行えば、秘匿データＫを推測することができるという問題がある。

　この問題を解決する方法として、演算回路Ｃ１、Ｃ２を並列に動作させる方法（第１の方法）が考えられる。第１の方法を採用した場合、暗号処理装置の消費電流波形は、演算回路Ｃ１の消費電流波形（図４）に演算回路Ｃ２の消費電流波形（図４と同様の波形）を加算したものになる。このため、演算回路Ｃ１だけを動作させた場合よりも、電力解析は困難になる。しかしながら、電力解析の計算量を増やせば、演算回路Ｃ２の消費電流分を無効化して、演算回路Ｃ１の消費電流波形を求めることができる。このため、第１の方法では電力解析に対する耐性は十分ではない。

　別の方法として、秘匿データＫを用いて暗号処理を実行したときと比べて、演算回路内の信号が逆方向に変化するようなデータを無効データＤ２として用いる方法（第２の方法）が考えられる。第２の方法を採用した場合にも、電力解析は困難になる。しかしながら、暗号処理の開始タイミングや終了タイミングを容易に特定できるので、電力解析に必要なデータを比較的容易に取得することができる。このため、第２の方法でも電力解析に対する耐性は十分ではない。

　図５Ａ～図５Ｃは、暗号処理装置１５の消費電流波形を示す図である。図５Ａは演算回路Ｃ１の消費電流波形を示す図であり、図５Ｂは演算回路Ｃ２の消費電流波形を示す図である。演算回路Ｃ１の消費電流（図５Ａ）は、クロック信号ＣＬＫ１の立ち上がりを含むサイクルでは０以上となり、それ以外のサイクルではほぼ０となる。演算回路Ｃ２の消費電流（図５Ｂ）は、クロック信号ＣＬＫ２の立ち上がりを含むサイクルでは０以上となり、それ以外のサイクルではほぼ０となる。クロック信号ＣＬＫ１、ＣＬＫ２は、交互に立ち上がり、同じサイクルで一緒に立ち上がることはない。暗号処理装置１５の消費電流波形は、図５Ａおよび図５Ｂに示す２つの波形を加算して、図５Ｃに示すようになる。

　上述したように、暗号処理装置１５における処理の実行順序は、Ｃ１Ｐ１→Ｃ２Ｐ１→Ｃ１Ｐ２→Ｃ２Ｐ２→…→Ｃ１Ｐｎ→Ｃ２Ｐｎである。このため、図５Ｃに示す消費電流波形にも、秘匿データＫを用いて暗号処理の１段の処理を実行したときの消費電流波形（点状模様を付していない長方形内の波形）と、無効データＤ２を用いて暗号処理の１段の処理を実行したときの消費電流波形（点状模様を付した長方形内の波形）とが交互に現れる。したがって、図５Ｃに示す消費電流波形に基づき、暗号処理の実行期間を特定することは相当困難になる。よって、暗号処理装置１５によれば、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　また、クロック制御部１６は、演算回路Ｃ１、Ｃ２のうちで選択しなかった演算回路にはクロック信号ＳＣＬＫを供給しない。このため、演算回路Ｃ１、Ｃ２は同時に動作せず、暗号処理装置１５の外部で観測される消費電流は、演算回路１個分になる。したがって、演算回路を２個備えても、演算回路を１個備える場合と比べて消費電力は増加しない。

　図１に示す暗号処理装置１０は、図３に示す暗号処理装置１５と同様の効果を奏する。暗号処理装置１０によれば、複数の演算回路Ｃ１～Ｃｍを用いて、秘匿データＫを用いた暗号処理と無効データＤ２～Ｄｍを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行することにより、消費電力を増加させることなく、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　以上に示すように、本実施形態に係る暗号処理装置１０は、それぞれが複数の処理Ｐ１～Ｐｎを段階的に実行することにより、同じ暗号処理を実行する複数の演算回路Ｃ１～Ｃｍと、複数の演算回路Ｃ１～Ｃｍの中から１個の演算回路を選択し、選択した演算回路に暗号処理の１段の処理を実行させるためのクロック信号ＳＣＬＫを供給するクロック制御部１１とを備え、複数の演算回路Ｃ１～Ｃｍは、クロック制御部１１による制御に従い、秘匿データＫを用いた暗号処理と無効データＤ２～Ｄｍを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行する。このような暗号処理装置１０によれば、消費電力を増加させることなく、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　また、複数の演算回路Ｃ１～Ｃｍは、同じ回路構成を有し、同じ暗号処理を互いに独立に実行し、複数の演算回路Ｃ１～Ｃｍの中に、秘匿データＫを用いた暗号処理を実行する演算回路と、無効データＤ２～Ｄｍを用いた暗号処理を実行する演算回路とが含まれている。このように同じ回路構成を有する複数の演算回路Ｃ１～Ｃｍを用いることにより、演算回路の設計を工夫しなくても、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。また、複数の演算回路Ｃ１～Ｃｍのうち１個の演算回路Ｃ１は秘匿データＫを用いた暗号処理を実行し、残余の演算回路Ｃ２～Ｃｍはそれぞれ無効データＤ２～Ｄｍを用いた暗号処理を実行する。このような場合に、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　また、クロック制御部１１は、複数の演算回路Ｃ１～Ｃｍに対して同じクロック信号ＳＣＬＫを供給する。これにより、クロック制御部１１の構成を簡単にすることができる。また、クロック制御部１１は、クロック信号ＳＣＬＫを供給する演算回路を動作中にランダムに選択する。これにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。あるいは、クロック制御部１１は、クロック信号ＳＣＬＫを供給する演算回路を予め定めた順序で選択する。これにより、クロック制御部１１の構成を簡単にすることができる。

　（第２の実施形態）
　図６は、本発明の第２の実施形態に係る暗号処理装置の構成を示すブロック図である。図６に示す暗号処理装置２０は、第１の実施形態に係る暗号処理装置１０（図１）に入力選択部２２と出力選択部２３を追加したものである。

　入力選択部２２には、秘匿データＫと無効データＤ２～Ｄｍが入力される。入力選択部２２は、秘匿データＫと無効データＤ２～Ｄｍを動作中にランダムに並べ替えて、選択データＪ１～Ｊｍとして演算回路Ｃ１～Ｃｍにそれぞれ出力する。このように入力選択部２２は、演算回路Ｃ１～Ｃｍに対して、秘匿データＫおよび無効データＤ２～Ｄｍのいずれを供給するかを切り替える。

　クロック制御部１１と演算回路Ｃ１～Ｃｍは、第１の実施形態と同じ構成を有し、第１の実施形態と同様に動作する。演算回路Ｃ１～Ｃｍは、それぞれ、選択データＪ１～Ｊｍを用いて入力データＸに対する暗号処理を実行する。演算回路Ｃ１～Ｃｍは処理Ｐ１～Ｐｎを段階的に実行し、演算回路Ｃ１～Ｃｍにおける処理Ｐ１～Ｐｎの実行はクロック制御部１１によって制御される。出力選択部２３は、演算回路Ｃ１～Ｃｍで求めた結果の中から、秘匿データＫを用いた暗号処理の結果を選択して出力データＹとして出力する。

　以上に示すように、本実施形態に係る暗号処理装置２０は、複数の演算回路Ｃ１～Ｃｍに対して、秘匿データＫおよび無効データＤ２～Ｄｍのいずれを供給するかを切り替える入力選択部２２と、複数の演算回路Ｃ１～Ｃｍで求めた結果の中から、秘匿データＫを用いた暗号処理の結果を選択する出力選択部２３とをさらに備えている。

　したがって、本実施形態に係る暗号処理装置２０によれば、第１の実施形態と同様に、消費電力を増加させることなく、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。これに加えて、入力選択部２２と出力選択部２３を用いて、秘匿データＫを用いた暗号処理を実行する演算回路と無効データＤ２～Ｄｍを用いた暗号処理を実行する演算回路とを切り替えることにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。

　（第３の実施形態）
　図７は、本発明の第３の実施形態に係る暗号処理装置の構成を示すブロック図である。図７に示す暗号処理装置３０は、第１の実施形態に係る暗号処理装置（図１）において、クロック制御部１１をクロック制御部３１に置換したものである。

　クロック制御部３１には、異なる周波数を有するｑ個のクロック信号ＳＣＬＫ１～ＳＣＬＫｑが供給される。クロック制御部３１は、クロック信号ＳＣＬＫ１～ＳＣＬＫｑに基づき、演算回路Ｃ１～Ｃｍに対してそれぞれクロック信号ＣＬＫ１～ＣＬＫｍを出力する。クロック制御部３１における演算回路の選択方法は、第１の実施形態に係るクロック制御部１１と同じである。例えば、クロック制御部３１は、演算回路Ｃ１～Ｃｍの中から、クロック信号ＳＣＬＫ１～ＳＣＬＫｑを供給する演算回路を動作中にランダムに選択してもよく、クロック信号ＳＣＬＫ１～ＳＣＬＫｑを供給する演算回路を予め定めた順序で選択してもよい。

　クロック信号ＳＣＬＫ１～ＳＣＬＫｑのうちでいずれのクロック信号を出力するかは、演算回路Ｃ１～Ｃｍごとに予め決定されている。クロック制御部３１は、演算回路Ｃ１～Ｃｍの中から１個の演算回路を選択し、選択した演算回路に当該演算回路に対応したクロック信号（クロック信号ＳＣＬＫ１～ＳＣＬＫｑのうちのいずれか）を出力する。このようにクロック制御部３１は、演算回路Ｃ１～Ｃｍに対して、異なる周波数を有するｑ個のクロック信号ＳＣＬＫ１～ＳＣＬＫｑの中から選択したクロック信号を供給する。

　演算回路Ｃ１～Ｃｍは、第１の実施形態と同じ構成を有し、第１の実施形態と同様に動作する。演算回路Ｃ１は、秘匿データＫを用いて入力データＸに対する暗号処理を実行する。演算回路Ｃ２～Ｃｍは、それぞれ、無効データＤ２～Ｄｍを用いて入力データＸに対する暗号処理を実行する。演算回路Ｃ１～Ｃｍは処理Ｐ１～Ｐｎを段階的に実行し、演算回路Ｃ１～Ｃｍにおける処理Ｐ１～Ｐｎの実行はクロック制御部３１によって制御される。ただし、本実施形態では、クロック制御部３１から出力されるクロック信号ＣＬＫ１～ＣＬＫｍの中に、異なる周波数を有するものが含まれる。

　以下、本実施形態に係る暗号処理装置の具体例として、２個の演算回路に互いに異なる周波数を有する２個のクロック信号を交互に供給する暗号処理装置について説明する。図８に示す暗号処理装置３５は、２個の演算回路Ｃ１、Ｃ２、および、クロック制御部３６を備えている。演算回路Ｃ１は、秘匿データＫを用いて入力データＸに対する暗号処理を実行する。演算回路Ｃ２は、無効データＤ２を用いて入力データＸに対する暗号処理を実行する。暗号処理装置３５からは、演算回路Ｃ１で求めた結果が出力データＹとして出力される。

　クロック制御部３６には、異なる周波数を有する２個のクロック信号ＳＣＬＫ１、ＳＣＬＫ２が供給される。クロック制御部３６は、演算回路Ｃ１、Ｃ２の中から１個の演算回路を交互に選択する。クロック制御部３６は、演算回路Ｃ１を選択したときには、演算回路Ｃ１に対してクロック信号ＳＣＬＫ１を出力し、演算回路Ｃ２を選択したときには、演算回路Ｃ２に対してクロック信号ＳＣＬＫ２を出力する。暗号処理装置３５における処理の実行順序は、第１の実施形態に係る暗号処理装置１５と同様に、Ｃ１Ｐ１→Ｃ２Ｐ１→Ｃ１Ｐ２→Ｃ２Ｐ２→…→Ｃ１Ｐｎ→Ｃ２Ｐｎとなる。演算回路Ｃ１、Ｃ２は暗号処理を互いに独立に実行するので、異なる周波数を有する２個のクロック信号を用いて上記の順序で処理を実行しても、演算回路Ｃ１、Ｃ２をそれぞれ単独で動作させたときと同じ結果が得られる。

　図９Ａ～図９Ｃは、暗号処理装置３５の消費電流波形を示す図である。図９Ａは演算回路Ｃ１の消費電流波形を示す図であり、図９Ｂは演算回路Ｃ２の消費電流波形を示す図である。演算回路Ｃ１、Ｃ２の消費電流は、第１の実施形態に係る暗号処理装置１５の場合と同様に変化する。ただし、クロック信号ＳＣＬＫ１の周波数は、クロック信号ＳＣＬＫ２の周波数よりも高い。暗号処理装置３５の消費電流波形は、図９Ａおよび図９Ｂに示す２つの波形を加算して、図９Ｃに示すようになる。

　暗号処理装置３５によれば、第１の実施形態に係る暗号処理装置１５と同様に、消費電力を増加させることなく、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　これに加えて、暗号処理装置３５では、演算回路Ｃ１、Ｃ２は、それぞれ、互いに異なる周波数を有する２個のクロック信号ＳＣＬＫ１、ＳＣＬＫ２に基づき動作する。このため、演算回路Ｃ１、Ｃ２が同じ回路構成を有していても、演算回路Ｃ１が動作したときの消費電流波形と演算回路Ｃ２が動作したときの消費電流波形には差が生じる。また、これら２個の消費電流波形では消費電流が変化するタイミングが異なるので、図９Ｃに示す消費電流波形に基づき暗号処理の実行期間を特定することは相当困難になる。したがって、暗号処理装置３５によれば、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。

　また、クロック信号ＳＣＬＫ２の周波数をクロック信号ＳＣＬＫ１の周波数よりも低くすることにより、同じ周波数を有するクロック信号を２個用いるよりも、暗号処理装置３５の消費電流を削減することができる。

　図７に示す暗号処理装置３０は、図８に示す暗号処理装置３５と同様の効果を奏する。暗号処理装置３０によれば、第１の実施形態に係る暗号処理装置１０と同様に、消費電力を増加させることなく、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。これに加えて、演算回路に供給するクロック信号を切り替えることにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。また、低い周波数を有するクロック信号を用いることにより、同じ周波数を有するクロック信号だけを用いる場合よりも、暗号処理装置３０の消費電流を削減することができる。

　以上に示すように、本実施形態に係る暗号処理装置３０では、クロック制御部３１は、複数の演算回路Ｃ１～Ｃｍに対して、異なる周波数を有する複数のクロック信号ＳＣＬＫ１～ＳＣＬＫｍの中から選択したクロック信号を供給する。このように演算回路に与えるクロック信号を切り替えることにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。また、低い周波数を有するクロック信号を用いることにより、同じ周波数を有するクロック信号だけを用いる場合よりも、消費電流を削減することができる。

　（第４の実施形態）
　図１０は、本発明の第４の実施形態に係る暗号処理装置の構成を示すブロック図である。図１０に示す暗号処理装置４５は、２個の演算回路Ｃ１、Ｃ２、クロック制御部４６、出力選択部４８、および、演算回路選択部４９を備えている。

　第１の実施形態に係る暗号処理装置１５と同様に、演算回路Ｃ１、Ｃ２は、暗号処理をｎ段の処理Ｐ１～Ｐｎに分割し、処理Ｐ１～Ｐｎを段階的に実行する。ただし、暗号処理装置４５に含まれる演算回路Ｃ１、Ｃ２は、互いに異なる回路構成を有する。例えば、桁上げ先見加算器と順次桁上げ加算器は、異なる回路構成を有する。そこで、例えば演算回路Ｃ１には桁上げ先見加算器を用い、演算回路Ｃ２には順次桁上げ加算器を用いる。演算回路Ｃ１、Ｃ２は、すべての段の処理について異なる回路構成を有していてもよく、一部の段の処理について異なる回路構成を有していてもよい。

　クロック制御部４６には、異なる周波数を有する２個のクロック信号ＳＣＬＫ１、ＳＣＬＫ２が供給される。クロック制御部４６は、クロック信号ＳＣＬＫ１、ＳＣＬＫ２に基づき、演算回路Ｃ１、Ｃ２に対してそれぞれクロック信号ＣＬＫ１、ＣＬＫ２を出力する。クロック制御部４６は、演算回路Ｃ１、Ｃ２の中から１個の演算回路を選択し、演算回路Ｃ１を選択したときには、演算回路Ｃ１に対してクロック信号ＳＣＬＫ１を出力し、演算回路Ｃ２を選択したときには、演算回路Ｃ２に対してクロック信号ＳＣＬＫ２を出力する。

　演算回路選択部４９は、秘匿データＫを用いた暗号処理と無効データＤ２を用いた暗号処理について、各段の処理をいずれの演算回路で実行するかを切り替える選択処理を行う。より詳細には、演算回路選択部４９は、ｎ回の選択処理Ｓ１～Ｓｎを行う。選択処理Ｓ１には、入力データＸ、秘匿データＫおよび無効データＤ２が入力される。選択処理Ｓｊ（ｊは２以上ｎ以下の整数）には、演算回路Ｃ１、Ｃ２による処理Ｐｊ－１の実行結果が入力される。

　演算回路選択部４９は、選択処理Ｓｊ（ｊは１以上ｎ以下の整数）において、秘匿データＫを用いた暗号処理の処理Ｐｊを演算回路Ｃ１で実行するか、演算回路Ｃ２で実行するかを動作中にランダムに選択する。演算回路選択部４９は、乱数発生器を有し、乱数発生器で発生させた乱数に基づき、秘匿データＫを用いた暗号処理の処理Ｐｊを実行する演算回路を選択する。

　演算回路選択部４９は、演算回路Ｃ１を選択した場合には、選択処理Ｓｊに入力されたデータのうち、秘匿データＫを用いた暗号処理の処理Ｐｊを実行するために必要なデータを演算回路Ｃ１に対して出力し、無効データＤ２を用いた暗号処理の処理Ｐｊを実行するために必要なデータを演算回路Ｃ２に対して出力する。クロック制御部４６は、演算回路Ｃ１、Ｃ２を例えば昇順に選択し、先に演算回路Ｃ１に対してクロック信号ＳＣＬＫ１を１サイクル出力し、次に演算回路Ｃ２に対してクロック信号ＳＣＬＫ２を１サイクル出力する。この場合、演算回路Ｃ１は秘匿データＫを用いた暗号処理の処理Ｐｊを実行し、演算回路Ｃ２は無効データＤ２を用いた暗号処理の処理Ｐｊを実行する。

　演算回路選択部４９は、演算回路Ｃ２を選択した場合には、演算回路Ｃ１を選択した場合と逆のデータを演算回路Ｃ１、Ｃ２に対して出力する。クロック制御部４６は、演算回路Ｃ１、Ｃ２を例えば昇順に選択し、先に演算回路Ｃ１に対してクロック信号ＳＣＬＫ１を１サイクル出力し、次に演算回路Ｃ２に対してクロック信号ＳＣＬＫ２を１サイクル出力する。この場合、演算回路Ｃ１は無効データＤ２を用いた暗号処理の処理Ｐｊを実行し、演算回路Ｃ２は秘匿データＫを用いた暗号処理の処理Ｐｊを実行する。

　出力選択部４８には、演算回路Ｃ１、Ｃ２による処理Ｐｎの実行結果が入力される。処理Ｐｎの実行結果には、秘匿データＫを用いた暗号処理の結果と、無効データＤ２を用いた暗号処理の結果とが含まれる。出力選択部４８は、前者を選択して出力データＹとして出力する。演算回路Ｃ１、Ｃ２は、互いに異なる回路構成を有するが、どちらも同じ暗号処理を同じｎ段の処理Ｐ１～Ｐｎに分割して実行する。したがって、演算回路選択部４９がいずれの演算回路を選択しても、演算回路Ｃ１、Ｃ２をそれぞれ単独で動作させたときと同じ結果が得られる。

　暗号処理装置４５に含まれる演算回路Ｃ１、Ｃ２は、互いに異なる回路構成を有する。このため、演算回路Ｃ１で１段の処理を実行したときの消費電流波形と演算回路Ｃ２で１段の処理を実行したときの消費電流波形には差が生じる。したがって、暗号処理装置４５によれば、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性を向上させることができる。

　なお、以上の説明では、演算回路選択部４９はｎ回の選択処理Ｓ１～Ｓｎを行うこととしたが、演算回路選択部４９はより少ない回数の選択処理を行ってもよい。一般に、演算回路選択部は、少なくとも１回の選択処理を行えばよい。

　暗号処理装置４５と同様の方法で、ｍ個の演算回路と、暗号処理の各段の処理をｍ個の演算回路のいずれで実行するかを選択する演算回路選択部とを備えた暗号処理装置（図示せず）を構成することができる。この暗号処理装置は、暗号処理装置４５と同様の効果を奏する。すなわち、この暗号処理装置によれば、第１の実施形態に係る暗号処理装置１０と同様に、消費電力を増加させることなく、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。これに加えて、暗号処理の各段の処理をｍ個の演算回路のいずれで実行するかを選択することにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。

　以上に示すように、本実施形態に係る暗号処理装置４５では、複数の演算回路Ｃ１、Ｃ２の中に異なる構成を有する演算回路が含まれている。また、暗号処理装置４５は、秘匿データＫを用いた暗号処理と無効データＤ２を用いた暗号処理とについて、各段の処理をいずれの演算回路で実行するかを選択する演算回路選択部４９を備えている。したがって、本実施形態に係る暗号処理装置４５によれば、異なる回路構成を有する複数の演算回路Ｃ１、Ｃ２を用い、暗号処理の各段の処理を複数の演算回路のいずれで実行するかを選択することにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。

　また、演算回路選択部４９は、各段の処理を実行する演算回路を動作中にランダムに選択する。これにより、電力解析に必要なデータの取得をさらに困難にし、電力解析に対する耐性をさらに向上させることができる。また、暗号処理装置４５は、複数の演算回路Ｃ１、Ｃ２で求めた結果の中から、秘匿データＫを用いた暗号処理の結果を選択する出力選択部４８を備えている。これにより、演算回路選択部４９において各段の処理を実行する演算回路を切り替えた場合でも、出力選択部４８を用いて秘匿データＫを用いた暗号処理の結果を出力することができる。

　なお、本発明の実施形態に係る暗号処理装置については、各種の変形例を構成することができる。例えば、演算回路の個数ｍおよび処理の個数ｎは、２以上であれば任意でよい。また、複数のクロック信号を用いる場合のクロック信号の個数ｑも、２以上であれば任意でよい。また、暗号処理装置は、先の入力データＸに対する暗号処理を完了してから、次の入力データＸに対する暗号処理を開始してもよく、あるいは、入力データＸに対する暗号処理をパイプライン処理で実行してもよい。また、暗号処理装置は、ＤＥＳ方式の暗号処理のように、ラウンド処理を含む暗号処理を実行してもよく、あるいは、ラウンド処理を含まない暗号処理を実行してもよい。

　また、第１～第４の実施形態に係る暗号処理装置の特徴をその性質に反しない限りに任意に組み合わせて、各種の暗号処理装置を構成することができる。例えば、第２の実施形態に係る暗号処理装置２０にクロック制御部１１に代えて、第３の実施形態に係るクロック制御部３１を設けてもよい。これにより、演算回路に供給するデータとクロック信号の両方を切り替える暗号処理装置を構成することができる。また、第４の実施形態に係る暗号処理装置４５において、クロック制御部に１個のクロック信号を供給してもよい。これにより、複数の演算回路に対して同じクロック信号を供給する暗号処理装置を構成することができる。

　以上に示すように、本発明の暗号処理装置によれば、複数の演算回路を用いて、秘匿データを用いた暗号処理と無効データを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行することにより、電力解析に必要なデータの取得を困難にし、電力解析に対する耐性を向上させることができる。

　本発明の暗号処理装置は、電力解析に対する耐性が高いという特徴を有するので、暗号処理を行う各種の情報処理装置で利用することができる。

　１０、１５、２０、３０、３５、４５…暗号処理装置
　１１、１６、３１、３６、４６…クロック制御部
　２２…入力選択部
　２３、４８…出力選択部
　４９…演算回路選択部
　Ｃ１～Ｃｍ…演算回路
　Ｋ…秘匿データ
　Ｄ２～Ｄｍ…無効データ
　Ｘ…入力データ
　Ｙ…出力データ

Claims (14)

1. 　暗号処理を複数の処理に分割して実行する暗号処理装置であって、
   　それぞれが複数の処理を段階的に実行することにより、同じ暗号処理を実行する複数の演算回路と、
   　前記複数の演算回路の中から１個の演算回路を選択し、選択した演算回路に暗号処理の１段の処理を実行させるためのクロック信号を供給するクロック制御部とを備え、
   　前記複数の演算回路は、前記クロック制御部による制御に従い、秘匿データを用いた暗号処理と無効データを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行することを特徴とする、暗号処理装置。
2. 　前記複数の演算回路は、同じ回路構成を有し、同じ暗号処理を互いに独立に実行し、
   　前記複数の演算回路の中に、前記秘匿データを用いた暗号処理を実行する演算回路と、前記無効データを用いた暗号処理を実行する演算回路とが含まれていることを特徴とする、請求項１に記載の暗号処理装置。
3. 　前記複数の演算回路に対して、前記秘匿データおよび前記無効データのいずれを供給するかを切り替える入力選択部と、
   　前記複数の演算回路で求めた結果の中から、前記秘匿データを用いた暗号処理の結果を選択する出力選択部とをさらに備えた、請求項２に記載の暗号処理装置。
4. 　前記クロック制御部は、前記複数の演算回路に対して、異なる周波数を有する複数のクロック信号の中から選択したクロック信号を供給することを特徴とする、請求項２に記載の暗号処理装置。
5. 　前記クロック制御部は、前記複数の演算回路に対して同じクロック信号を供給することを特徴とする、請求項２に記載の暗号処理装置。
6. 　前記クロック制御部は、前記クロック信号を供給する演算回路を動作中にランダムに選択することを特徴とする、請求項２に記載の暗号処理装置。
7. 　前記クロック制御部は、前記クロック信号を供給する演算回路を予め定めた順序で選択することを特徴とする、請求項２に記載の暗号処理装置。
8. 　前記複数の演算回路のうち１個の演算回路は前記秘匿データを用いた暗号処理を実行し、残余の演算回路は前記無効データを用いた暗号処理を実行することを特徴とする、請求項２に記載の暗号処理装置。
9. 　前記複数の演算回路の中に、異なる回路構成を有する演算回路が含まれており、
   　前記秘匿データを用いた暗号処理と前記無効データを用いた暗号処理とについて、各段の処理をいずれの演算回路で実行するかを選択する演算回路選択部をさらに備えた、請求項１に記載の暗号処理装置。
10. 　前記演算回路選択部は、各段の処理を実行する演算回路を動作中にランダムに選択することを特徴とする、請求項９に記載の暗号処理装置。
11. 　前記クロック制御部は、前記複数の演算回路に対して、異なる周波数を有する複数のクロック信号の中から選択したクロック信号を供給することを特徴とする、請求項９に記載の暗号処理装置。
12. 　前記クロック制御部は、前記複数の演算回路に対して同じクロック信号を供給することを特徴とする、請求項９に記載の暗号処理装置。
13. 　前記複数の演算回路で求めた結果の中から、前記秘匿データを用いた暗号処理の結果を選択する出力選択部をさらに備えた、請求項９に記載の暗号処理装置。
14. 　暗号処理を複数の処理に分割して実行する暗号処理方法であって、
    　それぞれが複数の処理を段階的に実行することにより、同じ暗号処理を実行する複数の演算回路の中から１個の演算回路を選択し、選択した演算回路に暗号処理の１段の処理を実行させるためのクロック信号を供給するステップと、
    　供給されたクロック信号に基づき、前記複数の演算回路を用いて、秘匿データを用いた暗号処理と無効データを用いた暗号処理とを１段の処理を切り替え単位として時分割で実行するステップとを備えた、暗号処理方法。

Images