WO2012132620A1 - 暗号処理装置、および暗号処理方法、並びにプログラム - Google Patents
暗号処理装置、および暗号処理方法、並びにプログラム Download PDFInfo
- Publication number
- WO2012132620A1 WO2012132620A1 PCT/JP2012/053930 JP2012053930W WO2012132620A1 WO 2012132620 A1 WO2012132620 A1 WO 2012132620A1 JP 2012053930 W JP2012053930 W JP 2012053930W WO 2012132620 A1 WO2012132620 A1 WO 2012132620A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data
- input
- round
- function
- cryptographic processing
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Definitions
- the present disclosure relates to a cryptographic processing device, a cryptographic processing method, and a program. More specifically, the present invention relates to a cryptographic processing apparatus, a cryptographic processing method, and a program that execute common key encryption.
- common key block cipher There are various cryptographic processing algorithms, but one of the basic techniques is called common key block cipher.
- the encryption key and the decryption key are common.
- a plurality of keys are generated from the common key, and the data conversion process is repeatedly executed in a certain block unit, for example, a block data unit such as 64 bits, 128 bits, 256 bits.
- DES Data Encryption Standard
- AES Advanced Encryption Standard
- CLEFIA proposed by Sony Corporation in 2007 is one of the common key block ciphers.
- Such a common key block cipher algorithm mainly includes an encryption processing unit having a round function execution unit that repeatedly executes conversion of input data, and a key schedule unit that generates a round key to be applied in each round of the round function unit. It is comprised by.
- the key schedule unit first generates an extended key with an increased number of bits based on a master key (primary key) that is a secret key, and applies it to each round function unit of the cryptographic processing unit based on the generated extended key. Generate a round key (subkey).
- Non-Patent Document 1 Non-Patent Document 2
- Non-Patent Document 2 for example, as documents describing encryption processing using the Feistel structure.
- diffusion characteristics One of the indexes for evaluating the security of block ciphers is called diffusion characteristics. This characteristic can be thought of as a characteristic that propagates (spreads) changes in input data to output data, and secure block ciphers are required to convey the effect of such changes in input data to the output data as quickly as possible. .
- the present disclosure has been made in view of the above-described situation, for example, and an object thereof is to provide a highly secure cryptographic processing apparatus, a cryptographic processing method, and a program with improved diffusion characteristics.
- the data processing target data has a cryptographic processing unit that inputs and divides the configuration bits of the data into a plurality of lines and repeatedly executes a data conversion process that applies a round function to the data of each line,
- the cryptographic processing unit In this configuration, n / d-bit data obtained by dividing n-bit data as input data by a division number d is input to each line, and an operation including data conversion processing to which the round function is applied is repeatedly executed as a round operation.
- n / d-bit data of the line having the output data of the round operation is re-divided into d / 2 pieces, and the re-divided data is recombined to obtain d n / d-bit data different from the output data of the previous round operation.
- the encryption processing apparatus executes processing for setting as input data for the next round operation.
- the round function includes an operation to which a round key is applied, a non-linear transformation process, an F function including a linear transformation process, and another line for an output or input of the F function.
- the cryptographic processing unit includes: (1) The F function input side data series is always distributed to the exclusive OR side data series of the next round function. (2) The exclusive OR side data series is always distributed to the F function input side data series of the next round function. (3) Each d / 2 divided data series is distributed without duplication to d / 2 next round function data series. The calculation result of the previous round calculation is set as the input of the next round calculation by the processing satisfying the distribution conditions (1) to (3).
- the cryptographic processing unit has a generalized Feistel structure in which the division number d of input data is four or more.
- the cryptographic processing unit re-divides the n / d bit data of each of the d lines having round operation output data into d / 2, and d X (n / d) subdivision data is generated, and d / 2 subdivision data selected from d different lines corresponding to the number of divisions d are recombined to output the previous round operation
- a process of reconfiguring d n / d bit data different from the data and setting it as input data for the next round operation is executed.
- the cryptographic processing unit includes a diffusion state in which all output bits satisfy the following two conditions, that is, the output bits as relational expressions of the input bits. If written, (Condition 1) All input bits are included in the relational expression. (Condition 2) All input bits have passed the round function at least once. A full diffusion state satisfying the above two conditions is realized. It is a configuration.
- the cryptographic processing unit realizes the full diffusion state by a round operation of four rounds.
- the connection configuration for determining the input / output relationship between the output data of the previous round operation of the cryptographic processing unit and the re-partitioned data of the next round operation is (D / 2) 2n / d-bit data sets that are combination data of d ⁇ (n / d) sub-division data generated by sub-division processing of n / d-bit data of lines having output data It is a connection configuration selected from the connection configuration in units.
- the cryptographic processing unit has an invocation property that can be applied to both encryption processing and decryption processing.
- the reconstruction processing of the repartitioned data of each round operation of the cipher processing unit is performed according to a predetermined rule for the repartitioned data of the preceding round function input side sequence.
- the data is distributed to the next exclusive OR side sequence, and the re-division data of the previous exclusive OR side sequence is distributed to the next round function input side sequence according to a predetermined rule.
- the cryptographic processing unit includes an encryption process that converts plaintext as input data into ciphertext, or a decryption process that converts ciphertext as input data into plaintext. Execute.
- the second aspect of the present disclosure is: A cryptographic processing method executed in the cryptographic processing device,
- the cryptographic processing unit executes the cryptographic processing step in which the constituent bits of the data to be processed are divided and input into a plurality of lines, and the data conversion processing that repeatedly applies the round function to the data of each line is executed.
- the cryptographic processing step includes N / d-bit data obtained by dividing n-bit data as input data by a division number d is input to each line, and an operation including a data conversion process to which the round function is applied is repeatedly executed as a round operation.
- n / d-bit data of the line having the output data of the round operation is re-divided into d / 2 pieces, and the re-divided data is recombined to obtain d n / d-bit data different from the output data of the previous round operation.
- the encryption processing method executes the process of setting as input data for the next round operation.
- the third aspect of the present disclosure is: A program for executing cryptographic processing in the cryptographic processing device, Inputs the constituent bits of the data to be processed into the encryption processing unit divided into multiple lines, and executes the encryption processing step to repeatedly execute the data conversion processing applying the round function to the data of each line
- N / d-bit data obtained by dividing n-bit data as input data by a division number d is input to each line, and an operation including a data conversion process to which the round function is applied is repeatedly executed as a round operation.
- n / d-bit data of the line having the output data of the round operation is re-divided into d / 2 pieces, and the re-divided data is recombined to obtain d n / d-bit data different from the output data of the previous round operation. Is reconfigured to execute processing for setting as input data for the next round operation.
- the program of the present disclosure is a program provided by, for example, a storage medium to an information processing apparatus or a computer system that can execute various program codes. By executing such a program by the program execution unit on the information processing apparatus or the computer system, processing according to the program is realized.
- system is a logical set configuration of a plurality of devices, and is not limited to one in which the devices of each configuration are in the same casing.
- the data processing target data is divided into a plurality of lines and input, and an encryption processing unit that repeatedly executes a data conversion process that applies a round function to the data of each line is provided.
- the encryption processing unit n / d-bit data obtained by dividing n-bit data as input data by a division number d is input to each line, and an operation including a data conversion process using a round function is repeated as a round operation. Execute.
- n bit common key block encryption algorithm corresponding to the key length of k bits. It is a figure explaining the decoding algorithm corresponding to the n bit common key block cipher algorithm corresponding to the key length of k bit shown in FIG. It is a figure explaining the relationship between a key schedule part and a data encryption part. It is a figure explaining the structural example of a data encryption part. It is a figure explaining the example of the round function of a SPN structure. It is a figure explaining an example of the round function of a Feistel structure. It is a figure explaining an example of an extended Feistel structure. It is a figure explaining an example of an extended Feistel structure. It is a figure explaining the structural example of a nonlinear transformation part.
- FIG. 1 An example of a path that becomes a full diffusion state in a configuration in which the number of rounds of the full diffusion (full diffusion) is reduced from the conventional configuration when the division number d is 6 or more by changing the wiring between rounds.
- the common key block cipher (hereinafter referred to as block cipher) refers to the one defined below.
- the block cipher takes as input plaintext P and key K and outputs ciphertext C.
- the bit length of plaintext and ciphertext is called the block size and is written here by n.
- n can take an arbitrary integer value, it is usually a predetermined value for each block cipher algorithm.
- a block cipher with a block length of n is sometimes called an n-bit block cipher.
- the bit length of the key is represented by k.
- the key can take any integer value.
- Plaintext P n bits
- Ciphertext C n bits
- K k bits
- FIG. 1 shows a diagram of an n-bit common key block cipher algorithm E corresponding to a key length of k bits.
- the decryption algorithm D corresponding to the encryption algorithm E can be defined as the inverse function E ⁇ 1 of the encryption algorithm E, receives the ciphertext C and the key K as input, and outputs the plaintext P.
- FIG. 2 shows a diagram of a decryption algorithm D corresponding to the encryption algorithm E shown in FIG.
- Block ciphers can be considered in two parts.
- K ′ bit length k ′
- K ′ expanded from the plaintext P and the key schedule part.
- the round function receives two pieces of data as input, performs processing internally, and outputs one piece of data.
- One of the input data is n-bit data being encrypted, and the output of the round function in a certain round is supplied as the input of the next round.
- a part of the extended key data output from the key schedule is used, and this key data is called a round key.
- the total number of round functions is called the total number of rounds, and is a value determined in advance for each cryptographic algorithm.
- the total number of rounds is represented by R.
- Round function Depending on the block cipher algorithm, the round function can take various forms. Round functions can be classified according to the structure adopted by the cryptographic algorithm. Here, as typical structures, an SPN structure, a Feistel structure, and an extended Feistel structure are exemplified.
- (A) SPN structure round function A configuration in which exclusive OR operation with a round key, nonlinear transformation, linear transformation processing, etc. are applied to all n-bit input data. The order of each operation is not particularly determined.
- FIG. 5 shows an example of a round function having an SPN structure.
- (A) Feistel structure The n-bit input data is divided into two n / 2-bit data.
- a function (F function) having one of the data and the round key as inputs is applied, and the output is exclusively ORed with the other data. After that, the left and right data are exchanged as output data.
- F function function having one of the data and the round key as inputs
- the output is exclusively ORed with the other data.
- the left and right data are exchanged as output data.
- There are various types of internal structure of the F function but basically, it is realized by a combination of exclusive OR operation, non-linear operation, and linear transformation with round key data as in the SPN structure.
- FIG. 6 shows an example of the round function of the Feistel structure.
- the extended Feistel structure is an extended Feistel structure in which the number of data divisions is 2 and is divided into 3 or more. If the number of divisions is d, various extended Feistel structures can be defined by d. Since the input / output size of the F function is relatively small, it is said that it is suitable for small packaging.
- Nonlinear transformation processing unit tends to increase the cost in mounting as the size of input data increases. In order to avoid this, it is often the case that the target data is divided into a plurality of units and nonlinear transformation is performed on each of the units. For example, the input size is set to ms bits, and these are divided into m pieces of data of s bits, and nonlinear conversion having s bits input / output is performed on each of them. These non-linear transformations in s bits are called S-boxes. An example is shown in FIG.
- the linear transformation processing unit can be defined as a matrix due to its nature.
- the matrix elements can be expressed in various ways, such as GF (2 8 ) body elements and GF (2) elements.
- FIG. 10 shows an example of a linear transformation processing unit having ms bit input / output and defined by an m ⁇ m matrix defined on GF (2 s ).
- Diffusion Characteristic As described briefly above, one of the indexes for evaluating the security of block ciphers is called a diffusion (diffusion) characteristic. This characteristic can be thought of as a characteristic that propagates (spreads) changes in input data to output data, and secure block ciphers are required to convey the effect of such changes in input data to the output data as quickly as possible. .
- the fact that all output bits are in a diffusion state is defined as a “full diffusion state”.
- the minimum number of rounds (the number of repetitions) necessary to satisfy the full diffusion state is defined as “the number of full diffusion rounds”.
- FIG. 11 shows a configuration example of a block cipher round function having a Feistel structure
- FIG. 12 shows a structure in which the round function is repeated three rounds.
- the n / 2-bit data X i + 1 2 , X i + 2 2 , and X i + 3 2 on the right side of the output (right side of the (i + 1) th, i + 2, and i + 3 inputs) are the i-th round inputs X i 1 and X i 2 and the round key RK i 1, respectively.
- RK i 2 and RK i 3 can be expressed as follows.
- F (K, X) represents data obtained by converting the data X by the F function using the parameter K
- (+) represents an exclusive OR for each bit.
- X i + 1 1 is expressed using the input data X i 1 and X i 2 , but since X i 2 does not pass through the F function, it is not in a diffusion state.
- X i + 2 1 is expressed using the input data X i 1 and X i 2 , and since these input data are given as inputs of the F function, it can be said that they are in a diffusion state.
- X i + 3 1 said to have become diffuse (Diffusion) state.
- X i + 1 2 is represented only by X i 1 , and X i + 2 2 is not in a diffusion state because X i 2 does not pass through the F function.
- X i + 3 2 has a diffusion order to satisfy the condition (Diffusion) state.
- the diffusion characteristic is also used as an index for directly evaluating the security against attacks such as impossible differential attacks and saturation attacks. The smaller the number of full diffusion rounds, the higher the diffusion characteristics.
- FIGS. show a generalized Feistel structure that uses two F-functions in one stage on a 4-line.
- FIG. 15 shows that the n-bit input X i of the i -th round is divided into four each of n / 4-bit and changed to only a part of the fourth n / 4-bit data (denoted as X i 4 ). This shows the influence of the effect.
- a thick dotted line represents data that propagates in a state in which an input change does not pass through the F function
- a thick line represents data that propagates in a state in which an input change passes through the F function at least once.
- each output bit of the F function is affected by all input bits of the F function.
- Non-Patent Document 3 T. Suzuki, K. Minematsu, “Improving the Generalized Feistel”, FSE 2010, LNCS 6147, pp. 19-39, 2010.
- FIG. 17 shows an example of a path having a full diffusion state of the same configuration.
- Non-Patent Document 3 in order to solve such a problem, when the division number d is 6 or more by changing the wiring between rounds for each of the data divided into d pieces per n / d bits, the conventional configuration is changed. A configuration method that can reduce the number of full diffusion rounds is proposed.
- Non-Patent Document 4 (Suzaki, Kakuo, Kubo, Kawamata, “Proposal of Structure Combining Diffusion Layer with Generalized Feistel Structure”, SCIS 2008, 2008), each of the data divided into d pieces per n / d bits A configuration has been proposed in which diffusion characteristics are improved by performing a linear operation. However, in the case of this configuration, mounting means for linear calculation is required, which increases the mounting cost.
- n-bit input data is divided into d every n / d bits, and F-function processing and exclusive OR processing are respectively performed (see FIG. 20: Step 1).
- the data series input to the F function is the F function input side data series
- a data series that is exclusive ORed is an exclusive OR side data series, Call it.
- each of the n / d bit data transferred in each series (each line) is further subdivided into d / 2 pieces (the division at this time may not be divided equally).
- Data subdivided into d / 2 in each series (each line) is distributed according to the following rule (FIG. 20: step 2).
- the F function input side data series is always distributed to the exclusive OR side data series of the next round function.
- the exclusive OR side data series is always assigned to the F function input side data series of the next round function.
- Each d / 2 divided data series is distributed without duplication to d / 2 next round function data series.
- the two divided data of the i-th round output corresponding to the i-th round input X i 1 are Y i 1L and Y i 1R , respectively.
- the corresponding divided data for X i 2 , X i 3 , and X i 4 are also represented.
- the size of these divided data is n / 8 bits when equally divided.
- the data re-division processing for each line does not necessarily need to be equally divided.
- d 4 64-bit unit data, which is the number of divisions, is reconfigured by a combination of 20 bits and 44 bits divided on different lines, and each division is performed. Type in the line.
- FIG. 22 shows an example in which (Y i + 1 2L , Y i + 1 2R ) is in the diffusion state.
- Y i + 1 4L and Y i + 1 4R are also input to all F functions of the (i + 2) -th round.
- Y i + 2 2L and Y i + 2 2R are the result of exclusive ORing with the outputs.
- Y i + 2 4L , Y i + 2 4R that is, X i + 4 1 , X i + 4 3 are also in a diffusion state.
- the constituent bits of the data to be processed are input divided into a plurality of lines, and the data conversion process in which the round function is applied to the data of each line is repeatedly executed.
- the encryption processing unit repeatedly executes the following round operation with data re-division and reconstruction.
- the encryption processing unit inputs n / d bit data obtained by dividing n bit data as input data by a division number d to each line, and performs an operation including a data conversion process using a round function as a round operation. Run repeatedly.
- the n / d bit data of the line having the output data of the round operation is subdivided into d / 2 pieces, and the subdivision data is recombined to be different from the output data of the previous round operation.
- a process of reconfiguring d pieces of n / d bit data and setting it as input data for the next round operation is executed.
- the F function input side data series is always distributed to the exclusive OR side data series of the next round function.
- the exclusive OR side data series is always assigned to the F function input side data series of the next round function.
- Each d / 2 divided data series is distributed without duplication to d / 2 next round function data series.
- the cryptographic processing unit generates d ⁇ (n / d) subdivision data by subdividing the n / d bit data of each of the d lines having the output data of the round operation into d / 2. Then, d / 2 re-divided data selected from d different lines according to the number of divisions d are recombined, and d n / d-bit data different from the output data of the previous round operation is regenerated. Configure and execute processing to be set as input data for the next round operation.
- the minimum number of rounds (the number of repetitions) required to satisfy the above-described full diffusion state that is, the “full diffusion round number” is set to 4. It becomes possible.
- each line for transferring data obtained by dividing input n bits into d that is, (d / 2) F function input side data series lines, and (d / 2) lines.
- d 6
- n / d-bit data (n / 6-bit data) transferred in each line is divided into two, that is, divided into d / 12 bits and transferred between rounds.
- the number of divisions for realizing full diffusion is not limited to (d / 2) for each line.
- FIG. 27 shows a configuration in which different divisions are performed on the F function input side data series and the exclusive OR side data series.
- FIG. 28 shows a configuration example in which the extended key (round key) insertion position is changed in the configuration example shown in FIG. In FIG. 21, an extended key (round key) is inserted and applied to each F function.
- the extended key (round key) is inserted into the exclusive OR operation part of the F function output and the exclusive OR side data series. Even in such a configuration, the number of full diffusion rounds can be reduced by the transfer configuration based on the above-described data re-division processing between the respective rounds.
- n / d-bit data obtained by dividing n-bit data as input data by a division number d is input to each line, and an operation including data conversion processing to which a round function is applied is repeatedly executed as a round operation.
- the n / d bit data of each line having the round operation output data is further subdivided into d / 2 pieces, and this subdivision data is combined to obtain d n / d bits different from the output data of the previous round operation.
- data is reconstructed and processing is performed as input data for the next round operation.
- n-bit input data is divided into d pieces per n / d bits according to the division number d.
- Each of the operations including the data conversion process to which the round function is applied is repeatedly executed as a round operation.
- the n / d bit sequence of each of the d lines is further subdivided into d / 2.
- the jth data is represented as Y i [j] (where j is 1 or more and d) 2/2 or less of an integer).
- the j-th data is represented as X i + 1 [j] (however, , j is 1 or d 2/2 an integer).
- s is an integer of 0 or more and (d ⁇ 1) or less
- t is an integer of 1 or more and d / 2 or less.
- YY i [1] Y i [1]
- YY i [2] Y i [2]
- YY i [d / 2] Y i [d / 2]
- X i [j] is the j-th data of the data obtained by dividing the input data of the i-th stage into d pieces every n / d bits
- s is an integer of 0 or more and (d-1) or less
- t is an integer of 1 or more and d / 2 or less.
- the distribution pattern increases, and it takes time to evaluate. That is, in the method described in the item [3], any distribution pattern that satisfies the following conditions (1) to (3) may be used.
- the F function input side data series is always distributed to the exclusive OR side data series of the next round function.
- the exclusive OR side data series is always assigned to the F function input side data series of the next round function.
- Each d / 2 divided data series is distributed without duplication to d / 2 next round function data series.
- j (d / 2) of j-th data X i + 1 [j] of data obtained by dividing the input data of the (i + 1) -th stage into d / 2 pieces obtained by dividing the input data in n / d bits. )
- Each intermediate variable in FIG. 30 is defined as follows.
- the intermediate variables are the following three types of data.
- YY i [t]: j-th data Y i of the i-th stage d / output data divided two to [j] (but, j is 1 or d 2/2 an integer) of the, j (D / 2) s + t (where s is 0 or more and (d-1) or less, t is an integer of 1 or more and d / 2 or less) that are sequentially connected.
- XX i + 1 [t]: j (of the jth data X i + 1 [j] of the data obtained by dividing the input data of the (i + 1) th stage into d / 2 pieces per n / d bits.
- the intermediate variables XX i + 1 [t]: XX i + 1 [1], XX i + 1 [2], and XX i + 1 [3] corresponding to the input data before the i + 1-th stage are set as follows.
- XX i + 1 [1] X i + 1 [1]
- XX i + 1 [2] X i + 1 [2]
- XX i + 1 [3] X i + 1 [3]
- ZZ i + 1 [t] corresponding to the input data after the i + 1 stage shift are set as follows: ZZ i + 1 [1], ZZ i + 1 [2], and ZZ i + 1 [3].
- ZZ i + 1 [1] X i + 1 [4]
- ZZ i + 1 [2] X i + 1 [11]
- ZZ i + 1 [3] X i + 1 [18]
- the setting of the cryptographic processing unit of the cryptographic processing apparatus is the round operation.
- (D / 2) 2n / d-bit data which is a combination data of d ⁇ (n / d) sub-division data generated by sub-division processing of n / d-bit data of a line having a plurality of output data It is selected from the connection configuration in units of sets.
- the data distribution method determined as described above is the condition described in item [3] above, that is, (1)
- the F function input side data series is always distributed to the exclusive OR side data series of the next round function.
- the exclusive OR side data series is always assigned to the F function input side data series of the next round function.
- Distribute (3) The data series divided into d / 2 pieces is distributed without duplication to the data series of the next round function at d / 2 locations.
- the encryption function and the decryption function should use exactly the same function only by appropriately changing the order of the extended keys (round keys) inserted into the F function. Is possible.
- the property that enables the encryption function and the decryption function to be realized with the same configuration except for the insertion of an extended key (round key) is called involution property.
- the encryption function and the decryption function can be shared by appropriately changing the order of the extended keys (round keys), and it is not necessary to prepare a separate decryption function. Therefore, it can be said that a cipher having involution property can generally be implemented at a lower implementation cost than a cipher having no involution property.
- using the same function for the encryption function and the decryption function has the advantage that the verification cost can be halved (verification can be verified with either the encryption function or the decryption function), and the code size can be halved. is there.
- the encryption function and the decryption function are completely different by simply changing the order of the extended keys (round keys) inserted into the F function.
- the same function can be used, and a structure having involution properties can be easily configured.
- the d-line generalized Feistel structure does not have involution property regardless of the number of configuration rounds.
- FIG. 34 shows the above item [3.
- Example of Configuration with Improved Diffusion Characteristics According to the Present Disclosure] A method of 4-line structure that can obtain high diffusion characteristics by data re-division and re-synthesis processing between round operations described in the above] FIG. In this method, the involution property is satisfied only when the number of configuration rounds is 1 + 3n (where n is an integer of 0 or more).
- the number of configuration rounds has a large relationship with safety and mounting performance. If the structure has involution characteristics regardless of the number of rounds, the number of rounds can be set more flexibly, and the safety and mounting performance can be changed flexibly. It becomes possible.
- a configuration method for inter-round permutation that can obtain higher diffusion characteristics without increasing the mounting cost and satisfies the involution property regardless of the number of configuration rounds will be described.
- the method described below is based on the above item [3.
- the configuration that can obtain the high diffusion characteristics described in the above example is a system that further provides involution.
- Step 1 First, in a d-line generalized Feistel structure with a division number d as in a normal configuration, n-bit input data is divided into n pieces every n / d bits according to the division number d, and each n / d bit is divided. Are input to each division line, and F function processing and exclusive OR processing are performed, respectively. At this time, a data series input to the F function is referred to as an F function input side data series, and a data series that is exclusively ORed is referred to as an exclusive OR side data series.
- the leftmost F function input side data series among the F function input side data series is represented by L (0), for example, L (1),..., L ((d / 2) ⁇ 1) in order from the left side.
- the exclusive OR side data series is expressed as R (0),..., R ((d / 2) ⁇ 1) in order from the left side, for example.
- Step 2 the n / d bit data, which is the transfer data of each series (line), is further subdivided into d / 2 pieces. This subdivision may not be equally divided.
- the subdivided data is expressed as L (i) j and R (i) j for the F function input side data series and the exclusive OR side data series, respectively.
- i is an identifier (number) of each series (line)
- j is an identifier (number) for each subdivision data of one series (line), It is.
- the leftmost data obtained by re-dividing the leftmost F function input data sequence into d / 2 pieces is L (0) 0, and L (0) 1 ,..., L (0) d / 2 ⁇ 1 in this order.
- L (1) data is distributed.
- L (1) 0 is distributed to R (1) 0 of the next round function
- L (1) 1 is distributed to R (2) 1 of the next round function
- Rule (2-4) The same processing is repeated for the exclusive OR side data series. That is, R (i) j is distributed to L (((d / 2) + ij) mod d / 2) j of the next round function. However, i and j are each 0 or more and (d / 2) -1 or less.
- Step 3 After such distribution, the data divided into d / 2 pieces are combined into one data. The above processing is repeated as many times as necessary according to the number of times the round operation is executed.
- the data re-divided into d / 2 pieces in each series (line) is rounded according to the rules (2-1) to (2-4) shown in step 2 above. For redistribution. Due to this data re-division and re-distribution configuration, these methods have involution regardless of the number of configuration rounds.
- FIG. 38 and FIG. 39 show a configuration method different from the above configuration example, but a method having involution property regardless of the number of configuration rounds. Note that the method shown in FIG. 21 described in the previous item [3] is an example of a configuration having an involution property if the number of configuration rounds is an odd number.
- the reconfiguration processing of the repartitioned data of each round operation of the encryption processing unit is performed by substituting the subdivision data of the previous round function input side sequence into the exclusive OR side sequence of the next step according to the previously determined rule. And the re-divided data of the preceding exclusive OR side sequence is distributed to the next round function input side sequence according to the above-mentioned predetermined rule.
- the cryptographic processing apparatus that performs cryptographic processing according to the above-described embodiments can be mounted on various information processing apparatuses that perform cryptographic processing. Specifically, PC, TV, recorder, player, communication device, RFID, smart card, sensor network device, dent / battery authentication module, health, medical device, self-supporting network device, etc., for example, data processing and communication processing It can be used in various crises that execute cryptographic processing associated with.
- FIG. 40 shows a configuration example of the IC module 700 as an example of an apparatus that executes the encryption processing of the present disclosure.
- the above-described processing can be executed in, for example, various information processing apparatuses such as a PC, an IC card, a reader / writer, and the IC module 700 shown in FIG. 40 can be configured in these various devices.
- a CPU (Central processing Unit) 701 shown in FIG. 40 is a processor that executes encryption processing start and end, data transmission / reception control, data transfer control between each component, and other various programs.
- a memory 702 includes a ROM (Read-Only-Memory) that stores programs executed by the CPU 701 or fixed data such as calculation parameters, a program executed in the processing of the CPU 701, and a parameter storage area that changes as appropriate in the program processing, It consists of RAM (Random Access Memory) used as a work area.
- the memory 702 can be used as a storage area for key data necessary for encryption processing, data to be applied to a conversion table (substitution table) or conversion matrix applied in the encryption processing, and the like.
- the data storage area is preferably configured as a memory having a tamper resistant structure.
- the cryptographic processing unit 703 executes cryptographic processing and decryption processing according to the cryptographic processing configuration described above, that is, for example, a generalized Feistel structure or a common key block cryptographic processing algorithm to which the Feistel structure is applied.
- the cryptographic processing means is an individual module, but such an independent cryptographic processing module is not provided, for example, a cryptographic processing program is stored in the ROM, and the CPU 701 reads and executes the ROM stored program. You may comprise.
- the random number generator 704 executes random number generation processing necessary for generating a key necessary for encryption processing.
- the transmission / reception unit 705 is a data communication processing unit that performs data communication with the outside.
- the data transmission / reception unit 705 performs data communication with an IC module such as a reader / writer, and outputs ciphertext generated in the IC module or an external reader. Data input from devices such as writers is executed.
- the encryption processing apparatus described in the above-described embodiment is not only applicable to encryption processing for encrypting plaintext as input data, but also for decryption processing for restoring ciphertext as input data to plaintext. Applicable.
- the configurations described in the above-described embodiments can be applied to both the encryption process and the decryption process.
- the technology disclosed in this specification can take the following configurations.
- An encryption processing unit that repeatedly inputs a data conversion process that applies a round function to data of each line, inputs the constituent bits of data to be processed into data into a plurality of lines, The cryptographic processing unit
- n / d-bit data obtained by dividing n-bit data as input data by a division number d is input to each line, and an operation including data conversion processing to which the round function is applied is repeatedly executed as a round operation.
- n / d-bit data of the line having the output data of the round operation is re-divided into d / 2 pieces, and the re-divided data is recombined to obtain d n / d-bit data different from the output data of the previous round operation.
- the round function includes an operation of applying a round key, a non-linear transformation process, an F function including a linear transformation process, and an exclusive OR operation with data of another line for the output or input of the F function.
- the encryption processing unit (1) The F function input side data series is always distributed to the exclusive OR side data series of the next round function.
- the exclusive OR side data series is always distributed to the F function input side data series of the next round function.
- Each d / 2 divided data series is distributed without duplication to d / 2 next round function data series.
- the cryptographic processing apparatus according to any one of (1) to (3), wherein the cryptographic processing unit has a generalized Feistel structure in which a division number d of input data is four or more.
- the encryption processing unit subdivides the n / d bit data of each of the d lines having the output data of the round operation into d / 2, and d ⁇ (n / d) subdivision data And d / 2 re-divided data selected from d different lines according to the number of divisions d are combined again, and d n / d-bit data different from the output data of the previous round operation
- the cryptographic processing device according to any one of (1) to (4), wherein the processing is executed to set the input data for the next round operation.
- the encryption processing unit describes a diffusion state in which all output bits satisfy the following two conditions, that is, when the output bits are described as a relational expression of input bits. (Condition 1) All input bits are included in the relational expression. (Condition 2) All input bits have passed the round function at least once. A full diffusion state satisfying the above two conditions is realized.
- the cryptographic processing device according to any one of (1) to (5), which is configured.
- the cryptographic processing device according to any one of (1) to (6), wherein the cryptographic processing unit realizes the full diffusion state by a round operation of four rounds.
- connection configuration for determining the input / output relationship between the output data of the previous round operation and the re-partitioned data of the next round operation of the encryption processing unit is n / d bit data of a line having the output data of the round operation Selected from a connection configuration in units of (d / 2) 2n / d-bit data sets, which is a combination data of d ⁇ (n / d) re-divided data generated by the re-division processing
- the cryptographic processing device according to any one of (1) to (7), which is configured.
- the cryptographic processing device according to any one of (1) to (8), wherein the cryptographic processing unit has an involution property applicable to both of an encryption process and a decryption process.
- the repartition data of the previous round function input side sequence is distributed to the next exclusive OR side sequence according to a predetermined rule
- the encryption process according to any one of (1) to (9), wherein the subdivision data of the preceding exclusive OR side sequence is distributed to the next round function input side sequence according to a predetermined rule.
- the encryption processing unit executes encryption processing for converting plaintext as input data into ciphertext or decryption processing for converting ciphertext as input data into plaintext (1) to (10) The cryptographic processing device according to any one of the above.
- the configuration of the present disclosure includes a method of processing executed in the above-described apparatus and system and a program for executing the processing.
- the series of processes described in the specification can be executed by hardware, software, or a combined configuration of both.
- the program recording the processing sequence is installed in a memory in a computer incorporated in dedicated hardware and executed, or the program is executed on a general-purpose computer capable of executing various processing. It can be installed and run.
- the program can be recorded in advance on a recording medium.
- the program can be received via a network such as a LAN (Local Area Network) or the Internet and installed on a recording medium such as a built-in hard disk.
- system is a logical set configuration of a plurality of devices, and the devices of each configuration are not limited to being in the same casing.
- the data processing target data is divided into a plurality of lines and input, and an encryption processing unit that repeatedly executes a data conversion process that applies a round function to the data of each line is provided.
- the encryption processing unit n / d-bit data obtained by dividing n-bit data as input data by a division number d is input to each line, and an operation including a data conversion process using a round function is repeated as a round operation. Execute.
- IC module 701 CPU (Central processing Unit) 702 Memory 703 Encryption processing unit 704 Random number generation unit 705 Transmission / reception unit
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
- Compression, Expansion, Code Conversion, And Decoders (AREA)
- Facsimile Transmission Control (AREA)
Abstract
Description
データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
前記暗号処理部は、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する構成であり、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理装置にある。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する、
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する、
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する、
上記(1)~(3)の分配条件を満たす処理によって前段のラウンド演算の演算結果を次段のラウンド演算の入力として設定する。
(条件1)全入力ビットが関係式に含まれる
(条件2)全入力ビットが少なくとも1度は前記ラウンド関数を通過している
上記2つの条件を満足する全拡散(full diffusion)状態を実現する構成である。
暗号処理装置において実行する暗号処理方法であり、
暗号処理部が、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行し、
前記暗号処理ステップは、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行し、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理方法にある。
暗号処理装置において暗号処理を実行させるプログラムであり、
暗号処理部に、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行させ、
前記暗号処理ステップにおいて、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行させ、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行させるプログラムにある。
具体的には、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、暗号処理部において、入力データであるnビットデータを分割数dで分割したn/dビットデータを各ラインに入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に分割し、該分割データを組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして処理を実行する。この構成によって、拡散(diffusion)特性を向上させた安全性の高い暗号処理が実現される。
1.共通鍵ブロック暗号の概要
2.拡散(diffusion)特性の概要について
(2-1)拡散(diffusion)特性についての説明
(2-2)拡散(diffusion)特性を考慮したこれまでの構成例について
3.本開示に従った拡散(diffusion)特性を向上させた構成例について
4.より効率的なデータ分配法を持つ構成例について
5.インボリューション(involution)性を備えた構成例について
6.暗号処理装置の構成例について
7.本開示の構成のまとめ
まず、共通鍵ブロック暗号の概要について説明する。
(1-1.共通鍵ブロック暗号)
ここでは共通鍵ブロック暗号(以下ではブロック暗号)としては以下に定義するものを指すものとする。
ブロック暗号は入力として平文Pと鍵Kを取り、暗号文Cを出力する。平文と暗号文のビット長をブロックサイズと呼びここではnで著す。nは任意の整数値を取りうるが、通常、ブロック暗号アルゴリズムごとに、あらかじめひとつに決められている値である。ブロック長がnのブロック暗号のことをnビットブロック暗号と呼ぶこともある。
平文P:nビット
暗号文C:nビット
鍵K:kビット
暗号化アルゴリズムEに対応する復号アルゴリズムDは暗号化アルゴリズムEの逆関数E-1と定義でき、入力として暗号文Cと鍵Kを受け取り,平文Pを出力する。図2に図1に示した暗号アルゴリズムEに対応する復号アルゴリズムDの図を示す。
ブロック暗号は2つの部分に分けて考えることができる。ひとつは鍵Kを入力とし、
ある定められたステップによりビット長を拡大してできた拡大鍵K'(ビット長k')を出力する「鍵スケジュール部」と、もうひとつは平文Pと鍵スケジュール部から拡大された鍵K'を受け取ってデータの変換を行い暗号文Cを出力する「データ暗号化部」である。
2つの部分の関係は図3に示される。
以下の実施例において用いるデータ暗号化部はラウンド関数という処理単位に分割できるものとする。ラウンド関数は入力としての2つのデータを受け取り、内部で処理を施したのち、1つのデータを出力する。入力データの一方は暗号化途中のnビットデータであり、あるラウンドにおけるラウンド関数の出力が次のラウンドの入力として供給される構成となる。もう1つの入力データは鍵スケジュールから出力された拡大鍵の一部のデータが用いられ、この鍵データのことをラウンド鍵と呼ぶものとする。またラウンド関数の総数は総ラウンド数と呼ばれ、暗号アルゴリズムごとにあらかじめ定められている値である。ここでは総ラウンド数をRで表す。
ブロック暗号アルゴリズムによってラウンド関数はさまざまな形態をとりうる。ラウンド関数はその暗号アルゴリズムが採用する構造(structure)によって分類できる。代表的な構造としてここではSPN構造、Feistel構造、拡張Feistel構造を例示する。
nビットの入力データすべてに対して、ラウンド鍵との排他的論理和演算、非線形変換、線形変換処理などが適用される構成。各演算の順番は特に決まっていない。図5にSPN構造のラウンド関数の例を示す。
nビットの入力データはn/2ビットの2つのデータに分割される。うち片方のデータとラウンド鍵を入力として持つ関数(F関数)が適用され、出力がもう片方のデータに排他的論理和される。そののちデータの左右を入れ替えたものを出力データとする。F関数の内部構成にもさまざまなタイプのものがあるが、基本的にはSPN構造同様にラウンド鍵データとの排他的論理和演算、非線形演算、線形変換の組み合わせで実現される。図6にFeistel構造のラウンド関数の一例を示す。
拡張Feistel構造はFeistel構造ではデータ分割数が2であったものを,3以上に分割する形に拡張したものである。分割数をdとすると、dによってさまざまな拡張Feistel構造を定義することができる。F関数の入出力のサイズが相対的に小さくなるため、小型実装に向いているとされる。図7にd=4でかつ、ひとつのラウンド内に2つのF関数が並列に適用される場合の拡張Feistel構造の一例を示す。また,図8にd=8でかつ,ひとつのラウンド内に1つのF関数が適用される場合の拡張Feistel構造の一例を示す。
非線形変換処理部は、入力されるデータのサイズが大きくなると実装上のコストが高くなる傾向がある。それを回避するために対象データを複数の単位に分割し、それぞれに対して非線形変換を施す構成がとられることが多い。例えば入力サイズをmsビットとして、それらをsビットずつのm個のデータに分割して、それぞれに対してsビット入出力を持つ非線形変換を行う構成である。それらのsビット単位の非線形変換をS-boxと呼ぶものとする。図9に例を示す。
線形変換処理部はその性質上、行列として定義することが可能である。行列の要素はGF(28)の体の要素やGF(2)の要素など、一般的にはさまざまな表現ができる。図10にmsビット入出力をもち、GF(2s)の上で定義されるm×mの行列により定義される線形変換処理部の例を示す。
本開示の暗号処理の説明の前に拡散(diffusion)特性の概要について説明する。
先に簡単に説明したように、ブロック暗号の安全性を評価する指標のひとつとしてdiffusion(拡散)特性と呼ばれるものがある。この特性は入力データの変化を出力データに波及させる(拡散させる)特性と考えることができ、安全なブロック暗号にはこのような入力データの変化の影響をできるだけ速く出力データに伝えることが求められる。
ある出力ビットを入力ビットの関係式として記述して以下の条件を満たす場合,その出力ビットは「diffusion状態」になっていると定義する。
(条件1)全入力ビットが関係式に含まれる。
(条件2)全入力ビットが少なくとも1度はラウンド関数(F関数)を通過している。
全出力ビットが拡散(diffusion)状態になっていることを「全拡散(full diffusion)状態」と定義する。
この全拡散(full diffusion)状態を満たすために最低限必要なラウンド数(繰り返し数)を「全拡散(full diffusion)ラウンド数」と定義する。
Xi+2 1=F(RKi+1 1,Xi+1 1)(+)Xi+1 2=F(RKi+1 1,F(RKi 1,Xi 1)(+)Xi 2)(+)Xi 1
Xi+3 1=F(RKi+2 1,Xi+2 1)(+)Xi+2 2=F(RKi+2 1,F(RKi+1 1,Xi+1 1)(+)Xi+1 2)(+)Xi+2 2
=F(RKi+2 1,F(RKi+1 1,F(RKi 1,Xi 1)(+)Xi 2 )(+)Xi 1)(+)F(RKi 1,Xi 1)(+)Xi 2
Xi+2 2=Xi+1 1=F(RKi 1,Xi 1)(+)Xi 2
Xi+3 2=Xi+2 1=F(RKi+1 1,Xi+1 1)(+)Xi+1 2=F(RKi+1 1,F(RKi 1,Xi 1)(+)Xi 2 )(+)Xi 1
F(K,X)はデータXをパラメータKを用いてF関数で変換したデータを表し、
(+)はビット毎の排他的論理和を表す。
図15に第iラウンド目のn-bit入力Xiをn/4-bitずつ4つに分割し、その4番目のn/4-bitデータ(Xi 4と表記)の一部のみに変化を与えた場合のその影響の波及を示す。
次に、これまでに提案されている拡散(diffusion)特性を考慮した処理構成についての概要を説明する。
この構成で達成している全拡散(full diffusion)ラウンド数はd=6,8,10,12,14,16の場合にそれぞれ5,6,7,8,8,8ラウンドとなっており、通常の構成のd+1ラウンドより良い拡散(diffusion)特性が得られていることが分かる。しかしながら、この構成ではd=4の場合には効果がなく、またこれ以上全拡散(full diffusion)ラウンド数を削減することはできない。
以上のような問題を鑑み、本開示では、一般化Feistel構造において,実装コストを増大させずにより高い拡散(diffusion)特性を得られるような構成法を提案する。
F関数に入力されるデータ系列をF関数入力側データ系列,
排他的論理和されるデータ系列を排他的論理和側データ系列、
と呼ぶ。
その後、各系列(各ライン)において転送されるn/dビットデータ各々について、さらにd/2個に再分割する(この際の分割は等分割でなくても良い)。
各系列(各ライン)各々でd/2個に再分割されたデータを次のルールにしたがって分配する(図20:ステップ2)。
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
これを必要回数繰り返す。
このように構成した場合、データの分割数dによらず全拡散(full diffusion)ラウンド数4を実現することが可能になる。
(1)第iラウンドのあらゆる入力データの変化は第i+1ラウンド目の少なくとも1つのF関数に影響を与える。
(2)第i+1ラウンド目の排他的論理和側データ系列のうち少なくとも1つはdiffusion状態となっている。
(3)第i+1ラウンド目の排他的論理和側データ系列で拡散(diffusion)状態となっているデータはさらにd/2個に分割され,第i+2ラウンド目のd/2個の全F関数に影響を与える。そのため第i+2ラウンド目の全ての排他的論理和側データ系列は拡散(diffusion)状態になる。
(4)第i+2ラウンド目の排他的論理和側データ系列は第i+3ラウンド目のF関数入力側データ系列となるため、第i+3ラウンド目のF関数入力側データ系列は全て拡散(diffusion)状態となる。また、これら拡散(diffusion)状態であるデータは第i+3ラウンド目の全てのF関数に入力されるため,その出力と排他的論理和される排他的論理和側データ系列も全て拡散(diffusion)状態となる。
第iラウンド入力Xi 1に対応する第iラウンド出力の2分割データをそれぞれYi 1L,Yi 1Rとし,同様にXi 2,Xi 3,Xi 4についても対応する各分割データをYi 2L,Yi 2R,Yi 3L,Yi 3R,Yi 4L,Yi 4Rとする。これら分割データのサイズは等分割した際はn/8ビットとなる。
各ラインのビット数は、n/d=256/4=64ビットとなり、この再分割データは等分割すれば32ビットとなり、2つの32ビットデータが生成される。
しかし、等分割することは必須ではなく、64ビットのデータから生成する再分割データを20ビットと44ビット等、任意の組み合わせに分割してもよい。
ただし、次のラウンド演算部に入力する際には、異なるラインにおいて分割された20ビットと44ビットとの組み合わせによって分割数であるd=4個の64ビット単位のデータを再構成して各分割ラインに入力する。
このラウンド演算の繰り返し処理に際して、ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
(条件1)全入力ビットが関係式に含まれる。
(条件2)全入力ビットが少なくとも1度はラウンド関数(F関数)を通過している。
さらに、全出力ビットが拡散(diffusion)状態になっている場合が「全拡散(full diffusion)状態」である。
これは、全拡散(full diffusion)を実現するための最小ラウンド数=4を実現するための設定である。
図25に分割数d:d=6の場合に各ラインで転送されるn/dビットデータ(n/6ビットデータ)を2分割、すなわちd/12ビットに分割してラウンド間の転送を行う構成例を示す。
入力nビットの分割数:dと、
各ライン各々の分割数:pと、
全拡散(full diffusion)を実現するためのラウント数、
これらの対応関係を示す図を図26に示す。
適切にデータ系列を分配すれば、全拡散(full diffusion)ラウンド数は、以下の式で算出できる。
ラウンド数=3+[logp(d/2)]
ただし、[x]はx以上の最小の整数とする。
図27に示す構成は、
分割数d:d=6の場合に、
(d/2)=3本のF関数入力側データ系列ラインについては、2分割、
(d/2)=3本の排他的論理和側系列ラインについては、3分割した例である。
このような構成としても、適切にデータ系列を分配すれば、全拡散(full diffusion)ラウンド数は4とすることが可能である。
図21においては、拡大鍵(ラウンド鍵)を各F関数に挿入して適用している。
これに対して、図28に示す構成では、拡大鍵(ラウンド鍵)をF関数出力と排他的論理和側データ系列との排他的論理和演算な部に挿入している。
このような構成においても、前述の各ラウント間のデータの再分割処理による転送構成によって、全拡散(full diffusion)ラウンド数の削減が実現される。
上記の項目[3.本開示に従った拡散(diffusion)特性を向上させた構成例について]では、一般化Feistel構造において,実装コストを増大させずにより高い拡散(diffusion)特性を得られるような構成法について説明した。
まず、図29を参照して本実施例の基本的な構成例について説明する。
本構成では、まず前述した上記項目[3]において説明した実施例と同様、d-lineの一般化Feistel構造において、nビット入力データを分割数dに従って、n/dビット毎のd個に分割し、それぞれ、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。
i段目のラウンド演算後の、各ライン(系列)各々のd/2個に分割された出力データのデータ中、j番目のデータをYi[j]と表す(ただし、jは1以上d2/2以下の整数)。
ただしsは0以上(d-1)以下、tは1以上d/2以下の整数である。
YYi[1]=Yi[1]||Yi[1×d/2+1]||Yi[2×d/2+1]||…||Yi[(d-1)×d/2+1]、
YYi[2]=Yi[2]||Yi[1×d/2+2]||Yi[2×d/2+2]||…||Yi[(d-1)×d/2+2]、
…
YYi[d/2]=Yi[d/2]||Yi[1×d/2+d/2]||Yi[2×d/2+d/2]||…||Yi[(d-1)×d/2+d/2]
となる。
ただし、
Xi[j]は、i段目の入力データをn/dビット毎d個に分割したものをそれぞれd/2個に分割したデータのj番目のデータ、
sは0以上(d-1)以下、tは1以上d/2以下の整数である。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
ZZi+1[t]
とする。
ZZi+1[1]=XXi+1[1]<<<1となるので、
ZZi+1[1]=XXi+1[1]<<<1
=(Xi+1[1]||Xi+1[1×d/2+1]||Xi+1[2×d/2+1]||・・・||Xi+1[(d-1)×d/2+1])<<<1
=Xi+1[1×d/2+1]||Xi+1[2×d/2+1]||…||Xi+1[(d-1)×d/2+1]||Xi+1[1]
となる。
入力データの分割数d:d=6とした場合を図30に例示する。
図30での各中間変数は以下のように定義される。
YYi[t]:i段目のd/2個に分割された出力データのうちj番目のデータYi[j](ただし、jは1以上d2/2以下の整数)のうち、j=(d/2)s+t(ただし、sは0以上(d-1)以下、tは1以上d/2以下の整数)を満たすものを順に連結したデータ。
XXi+1[t]:i+1段目の入力データをn/dビット毎d個に分割したものをそれぞれd/2個に分割したデータのj番目のデータXi+1[j]のうち、j=(d/2)s+t(ただし、sは0以上(d-1)以下、tは1以上d/2以下の整数)を満たすものを順に連結したデータ。
ZZi+1[t]:XXi+1[t]のデータ系列を2t-1データ分だけ左に巡回シフトさせたデータ系列。
これらの中間変数である。
tは1以上d/2以下の整数であり、t=1,2,3の各値が設定され、
中間変数として、
i段目出力データ対応の中間変数YYi[t]:YYi[1]、YYi[2]、YYi[3]、
i+1段目のシフト前入力データ対応の中間変数XXi+1[t]:XXi+1[1]、XXi+1[2]、XXi+1[3]
i+1段目のシフト後入力データ対応の中間変数ZZi+1[t]: ZZi+1[1]、ZZi+1[2]、ZZi+1[3]
これらが以下のように算出される。
YYi[1]=Yi[1]||Yi[4]||Yi[7]||Yi[10]||Yi[13]||Yi[16]、
YYi[2]=Yi[2]||Yi[5]||Yi[8]||Yi[11]||Yi[14]||Yi[17]、
YYi[3]=Yi[3]||Yi[6]||Yi[9]||Yi[12]||Yi[15]||Yi[18]、
XXi+1[1]=Xi+1[1]||Xi+1[4]||Xi+1[7]||Xi+1[10]||Xi+1[13]||Xi+1[16]、
XXi+1[2]=Xi+1[2]||Xi+1[5]||Xi+1[8]||Xi+1[11]||Xi+1[14]||Xi+1[17]、
XXi+1[3]=Xi+1[3]||Xi+1[6]||Xi+1[9]||Xi+1[12]||Xi+1[15]||Xi+1[18]、
ZZi+1[1]=Xi+1[4]||Xi+1[7]||Xi+1[10]||Xi+1[13]||Xi+1[16]||Xi+1[1]、
ZZi+1[2]=Xi+1[11]||Xi+1[14]||Xi+1[17]|| Xi+1[2]||Xi+1[5]||Xi+1[8]、
ZZi+1[3]=Xi+1[18]||Xi+1[3]||Xi+1[6]||Xi+1[9]||Xi+1[12]||Xi+1[15]。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する
この条件(1)~(3)を満足する。
したがって、拡散(diffusion)特性の改善が可能となる。
通常のFeistel構造における暗号化関数は図32のように表現することができる。また、通常のFeistel構造における復号関数は図33のように表現することができる。
また、暗号化関数と復号関数で同じ関数を用いられることは、検証コストが半減できる(検証は暗号化関数、復号関数のどちらかで検証できればよい)、コードサイズが半減できる、などのメリットもある。
先に説明した図14に示すような4-line一般化Feistel構造では、処理ラウンド数が奇数であれば、インボリューション性を持つことが知られている。例えば3ラウンドで構成された4-line一般化Feistel構造はインボリューション性を持つ(5ラウンド構成も同様)。しかしながら処理ラウンド数が偶数の場合は、インボリューション性を持たない。
1、もしくは、
(d/2)+1
である場合のみインボリューション性を持つ。
1、もしくは、
(d/2)+1=(4/2)+1=3
である場合のみインボリューション性を持つ。
具体的には、
構成ラウンド数=1,3,5,7,9・・・、
つまり構成ラウンド数が奇数である場合のみインボリューション性を持つ。
1、もしくは、
(d/2)+1=(6/2)+1=4
である場合のみインボリューション性を持つ。
具体的には、
構成ラウンド数=1,4,7,10,13・・・、
構成ラウンド数がこれらの数である場合のみインボリューション性を持つ。
この方式では、構成ラウンド数が1+3n(ただしnは0以上の整数)の場合のみインボリューション性を満たす。
以下において説明する方式は、前記の項目[3.本開示に従った拡散(diffusion)特性を向上させた構成例について]において説明した高い拡散(diffusion)特性を得られる構成に、さらにインボリューション性を持たせる方式となる。
(ステップ1)
まず通常の構成と同様に分割数dのd-lineの一般化Feistel構造において、nビット入力データを分割数dに応じて、n/dビット毎、d個に分割し、各n/dビットを各分割ラインに入力して、それぞれF関数処理、排他的論理和処理を行う。
このとき、F関数に入力されるデータ系列をF関数入力側データ系列、排他的論理和されるデータ系列を排他的論理和側データ系列と呼ぶ。
同様に排他的論理和側データ系列を例えば左側から順にR(0)、…、R((d/2)-1)と表す。
その後、各系列(ライン)の転送データであるn/dビットデータをさらにd/2個に再分割する。この再分割は、等分割でなくてもよい。
この再分割されたデータを、F関数入力側データ系列、排他的論理和側データ系列各々について、それぞれL(i)j、R(i)jと表現する。
iは、各系列(ライン)の識別子(番号)、
jは、1つの系列(ライン)の再分割データ各々識別子(番号)、
である。
例えば、最も左側のF関数入力データ系列をd/2個に再分割した最も左側のデータをL(0)0とし、順にL(0)1、…、L(0)d/2-1と表現する。
ル-ル(2-1)
最も左側のF関数入力データ系列、すなわちi=0のL(0)のデータを分配する。
L(0)0を次のラウンド関数のR(0)0に分配、
L(0)1を次のラウンド関数のR(1)1に分配、
同様にi=(d/2)-1までL(0)iをR(i)iに分配する。
すなわち、
L(0)0=R(0)0,
L(0)1=R(1)1,
L(0)2=R(2)2,
・・・
となる。
次にL(1)のデータを分配する。
L(1)0を次のラウンド関数のR(1)0に分配、
L(1)1を次のラウンド関数のR(2)1に分配、
同様にi=(d/2)-1までL(1)iをR((i+1)mod d/2)iに分配する。
以下、L((d/2)-1)のデータまで、上記2と同様の処理を繰り返す。つまり、L(i)jを次のラウンドのR((i+j)mod d/2)jに分配する(ただし、i、jはそれぞれ0以上(d/2)-1以下)。
排他的論理和側データ系列についても同様の処理を繰り返す。つまり、R(i)jを次のラウンド関数のL(((d/2)+i-j)mod d/2)jに分配する。ただし、i、jはそれぞれ0以上(d/2)-1以下である。
このように分配した後、各d/2個に分割されたデータをそれぞれ1つのデータに結合する。
以上の処理を、ラウント演算の実行回数に応じて必要回数繰り返す。
図37に6-line(d=6)の場合に上記処理を実行する構成の一構成例を示す。
これら、図36、図37に示す構成では、各系列(ライン)においてd/2個に再分割されたデータを上記ステップ2に示すルール(2-1)~(2-4)に従って月のラウンドに対して再分配する構成を有する。このデータの再分割と再分配構成によって、これらの方式は構成ラウンド数に関わらずインボリューション性を持つ。
最後に、上述した実施例に従った暗号処理を実行する暗号処理装置の実相例について説明する。
上述した実施例に従った暗号処理を実行する暗号処理装置は、暗号処理を実行する様々な情報処理装置に搭載可能である。具体的には、PC、TV、レコーダ、プレーヤ、通信機器、さらに、RFID、スマートカード、センサネットワーク機器、デンチ/バッテリー認証モジュール、健康、医療機器、自立型ネットワーク機器等、例えばデータ処理や通信処理に伴う暗号処理を実行する様々な危機において利用可能である。
暗号化処理、復号処理、双方の処理において、上述した実施例において説明した構成を適用することが可能である。
以上、特定の実施例を参照しながら、本開示の実施例について詳解してきた。しかしながら、本開示の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本開示の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。
(1) データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
前記暗号処理部は、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する構成であり、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理装置。
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する、
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する、
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する、
上記(1)~(3)の分配条件を満たす処理によって前段のラウンド演算の演算結果を次段のラウンド演算の入力として設定する前記(1)または(2)に記載の暗号処理装置。
(5)前記暗号処理部は、ラウンド演算の出力データを有するd個のライン各々のn/dビットデータをd/2個に再分割して、d×(n/d)個の再分割データを生成し、分割数dに応じたd本のラインの異なるラインから選択したd/2個の再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する前記(1)~(4)いずれかに記載の暗号処理装置。
(条件1)全入力ビットが関係式に含まれる
(条件2)全入力ビットが少なくとも1度は前記ラウンド関数を通過している
上記2つの条件を満足する全拡散(full diffusion)状態を実現する構成である前記(1)~(5)いずれかに記載の暗号処理装置。
(7)前記暗号処理部は、前記全拡散(full diffusion)状態を4ラウンドのラウンド演算によって実現する前記(1)~(6)いずれかに記載の暗号処理装置。
(10)前記暗号処理部の各ラウンド演算の再分割データの再構成処理は、前段のラウンド関数入力側系列の再分割データを、予め決定した規則に従って次段の排他的論理和側系列に分配し、前段の排他的論理和側系列の再分割データを、予め決定した規則に従って次段のラウンド関数入力側系列に分配する構成である前記(1)~(9)いずれかに記載の暗号処理装置。
(11)前記暗号処理部は、入力データとしての平文を暗号文に変換する暗号化処理、または、入力データとしての暗号文を平文に変換する復号処理を実行する前記(1)~(10)いずれかに記載の暗号処理装置。
具体的には、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、暗号処理部において、入力データであるnビットデータを分割数dで分割したn/dビットデータを各ラインに入力して、ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する。ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に分割し、該分割データを組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして処理を実行する。この構成によって、拡散(diffusion)特性を向上させた安全性の高い暗号処理が実現される。
701 CPU(Central processing Unit)
702 メモリ
703 暗号処理部
704 乱数生成部
705 送受信部
Claims (13)
- データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理部を有し、
前記暗号処理部は、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行する構成であり、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理装置。 - 前記ラウンド関数は、
ラウンド鍵を適用した演算と、非線形変換処理と、線形変換処理を含むF関数、およびF関数の出力または入力に対する他ラインのデータとの排他的論理和演算を含む請求項1に記載の暗号処理装置。 - 前記暗号処理部は、
(1)F関数入力側データ系列は必ず次のラウンド関数の排他的論理和側データ系列に分配する、
(2)排他的論理和側データ系列は必ず次のラウンド関数のF関数入力側データ系列に分配する、
(3)各d/2個に分割されたデータ系列はd/2箇所の次のラウンド関数のデータ系列にそれぞれ重複なく分配する、
上記(1)~(3)の分配条件を満たす処理によって前段のラウンド演算の演算結果を次段のラウンド演算の入力として設定する請求項2に記載の暗号処理装置。 - 前記暗号処理部は、
入力データの分割数dを4以上とした一般化Feistel構造を有する請求項1に記載の暗号処理装置。 - 前記暗号処理部は、
ラウンド演算の出力データを有するd個のライン各々のn/dビットデータをd/2個に再分割して、d×(n/d)個の再分割データを生成し、分割数dに応じたd本のラインの異なるラインから選択したd/2個の再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する請求項1に記載の暗号処理装置。 - 前記暗号処理部は、
全出力ビットが以下に示す2つの条件を満足する拡散(diffusion)状態、すなわち、出力ビットを入力ビットの関係式として記述した場合に、
(条件1)全入力ビットが関係式に含まれる
(条件2)全入力ビットが少なくとも1度は前記ラウンド関数を通過している
上記2つの条件を満足する全拡散(full diffusion)状態を実現する構成である請求項1に記載の暗号処理装置。 - 前記暗号処理部は、
前記全拡散(full diffusion)状態を4ラウンドのラウンド演算によって実現する請求項6に記載の暗号処理装置。 - 前記暗号処理部の前段のラウンド演算の出力データと次段のラウンド演算の再分割データの入出力関係を決定する接続構成は、
ラウンド演算の出力データを有するラインのn/dビットデータの再分割処理によって生成されるd×(n/d)個の再分割データの組み合わせデータである(d/2)個の2n/dビットのデータセットを単位とした接続構成から選択される接続構成である請求項1に記載の暗号処理装置。 - 前記暗号処理部は、
暗号化処理と復号処理の双方に適用可能なインボリーション性を有する請求項1に記載の暗号処理装置。 - 前記暗号処理部の各ラウンド演算の再分割データの再構成処理は、
前段のラウンド関数入力側系列の再分割データを、予め決定した規則に従って次段の排他的論理和側系列に分配し、
前段の排他的論理和側系列の再分割データを、予め決定した規則に従って次段のラウンド関数入力側系列に分配する構成である請求項9に記載の暗号処理装置。 - 前記暗号処理部は、
入力データとしての平文を暗号文に変換する暗号化処理、または、
入力データとしての暗号文を平文に変換する復号処理を実行する請求項1に記載の暗号処理装置。 - 暗号処理装置において実行する暗号処理方法であり、
暗号処理部が、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行し、
前記暗号処理ステップは、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行し、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行する暗号処理方法。 - 暗号処理装置において暗号処理を実行させるプログラムであり、
暗号処理部に、データ処理対象となるデータの構成ビットを複数のラインに分割して入力し、各ラインのデータに対してラウンド関数を適用したデータ変換処理を繰り返して実行する暗号処理ステップを実行させ、
前記暗号処理ステップにおいて、
入力データであるnビットデータを分割数dで分割したn/dビットデータを前記各ラインに入力して、前記ラウンド関数を適用したデータ変換処理を含む演算をラウンド演算として繰り返し実行させ、
ラウンド演算の出力データを有するラインのn/dビットデータをd/2個に再分割し、該再分割データを再度組み合わせて、前段のラウンド演算の出力データと異なるd個のn/dビットデータを再構成して、次段のラウンド演算の入力データとして設定する処理を実行させるプログラム。
Priority Applications (9)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020137024805A KR101770874B1 (ko) | 2011-03-28 | 2012-02-20 | 암호 처리 장치, 암호 처리 방법, 컴퓨터로 판독가능한 기록 매체, 및 정보 처리 장치 |
EP12763711.4A EP2693681A4 (en) | 2011-03-28 | 2012-02-20 | ENCRYPTION PROCESSING DEVICE, ENCRYPTION PROCESSING METHOD AND PROGRAM THEREFOR |
AU2012235129A AU2012235129B2 (en) | 2011-03-28 | 2012-02-20 | Encryption processing device, encryption processing method, and programme |
US14/005,663 US8983062B2 (en) | 2011-03-28 | 2012-02-20 | Encryption processing device, encryption processing method, and programme |
CA2827761A CA2827761C (en) | 2011-03-28 | 2012-02-20 | Cryptographic processing device, cryptographic processing method, and program |
RU2013142989/08A RU2598327C2 (ru) | 2011-03-28 | 2012-02-20 | Утройство для криптографической обработки данных, способ криптографической обработки данных и программа |
SG2013070586A SG193544A1 (en) | 2011-03-28 | 2012-02-20 | Cyrptographic processing device, cryptographic processing method, and program |
CN201280014164.9A CN103444124B (zh) | 2011-03-28 | 2012-02-20 | 加密处理装置、加密处理方法 |
BR112013024250A BR112013024250A2 (pt) | 2011-03-28 | 2012-02-20 | método e dispositivo de processamento criptográfico, programa, e, dispositivo de processamento de informação. |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011-069182 | 2011-03-28 | ||
JP2011069182 | 2011-03-28 | ||
JP2011-207702 | 2011-09-22 | ||
JP2011207702A JP5682525B2 (ja) | 2011-03-28 | 2011-09-22 | 暗号処理装置、および暗号処理方法、並びにプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2012132620A1 true WO2012132620A1 (ja) | 2012-10-04 |
Family
ID=46930381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2012/053930 WO2012132620A1 (ja) | 2011-03-28 | 2012-02-20 | 暗号処理装置、および暗号処理方法、並びにプログラム |
Country Status (13)
Country | Link |
---|---|
US (1) | US8983062B2 (ja) |
EP (1) | EP2693681A4 (ja) |
JP (1) | JP5682525B2 (ja) |
KR (1) | KR101770874B1 (ja) |
CN (1) | CN103444124B (ja) |
AU (1) | AU2012235129B2 (ja) |
BR (1) | BR112013024250A2 (ja) |
CA (1) | CA2827761C (ja) |
MY (1) | MY163144A (ja) |
RU (1) | RU2598327C2 (ja) |
SG (1) | SG193544A1 (ja) |
TW (1) | TWI552121B (ja) |
WO (1) | WO2012132620A1 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4561252B2 (ja) | 2004-09-03 | 2010-10-13 | ソニー株式会社 | 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム |
CN103259656B (zh) * | 2012-11-07 | 2016-08-31 | 鹤山世达光电科技有限公司 | 作品传输方法和系统 |
JP2015191106A (ja) | 2014-03-28 | 2015-11-02 | ソニー株式会社 | 暗号処理装置、および暗号処理方法、並びにプログラム |
WO2015146431A1 (ja) | 2014-03-28 | 2015-10-01 | ソニー株式会社 | 暗号処理装置、および暗号処理方法、並びにプログラム |
JP6292107B2 (ja) * | 2014-12-01 | 2018-03-14 | ソニー株式会社 | 暗号処理装置、および暗号処理方法、並びにプログラム |
CN106027236B (zh) * | 2016-05-20 | 2019-01-15 | 武汉天喻信息产业股份有限公司 | 一种抗侧信道分析的大数相减方法 |
US10797722B2 (en) | 2016-06-10 | 2020-10-06 | The Boeing Company | System and method for providing hardware based fast and secure expansion and compression functions |
US11412075B2 (en) | 2020-08-31 | 2022-08-09 | Micron Technology, Inc. | Multiple protocol header processing |
US11539623B2 (en) | 2020-08-31 | 2022-12-27 | Micron Technology, Inc. | Single field for encoding multiple elements |
US11418455B2 (en) | 2020-08-31 | 2022-08-16 | Micron Technology, Inc. | Transparent packet splitting and recombining |
US11360920B2 (en) | 2020-08-31 | 2022-06-14 | Micron Technology, Inc. | Mapping high-speed, point-to-point interface channels to packet virtual channels |
US11296995B2 (en) | 2020-08-31 | 2022-04-05 | Micron Technology, Inc. | Reduced sized encoding of packet length field |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06118872A (ja) * | 1992-10-09 | 1994-04-28 | Matsushita Electric Ind Co Ltd | データ撹乱装置 |
WO1999066669A2 (en) * | 1998-06-15 | 1999-12-23 | Rsa Security, Inc. | Block ciphers with integer multiplication, data-dependent and fixed number of rotations in each round |
WO2009075337A1 (ja) * | 2007-12-13 | 2009-06-18 | Nec Corporation | 暗号化方法及び復号化方法、装置並びにプログラム |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5351299A (en) | 1992-06-05 | 1994-09-27 | Matsushita Electric Industrial Co., Ltd. | Apparatus and method for data encryption with block selection keys and data encryption keys |
EP1661295B1 (en) * | 2003-09-05 | 2013-03-27 | Telecom Italia S.p.A. | Secret-key-controlled reversible circuit and corresponding method of data processing |
JP2007192893A (ja) | 2006-01-17 | 2007-08-02 | Sony Corp | 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム |
JP2007199156A (ja) | 2006-01-24 | 2007-08-09 | Sony Corp | 暗号処理装置、暗号処理装置製造装置、および方法、並びにコンピュータ・プログラム |
JP4882598B2 (ja) * | 2006-07-28 | 2012-02-22 | ソニー株式会社 | 暗号処理装置、暗号処理アルゴリズム構築方法、および暗号処理方法、並びにコンピュータ・プログラム |
JP2008058830A (ja) * | 2006-09-01 | 2008-03-13 | Sony Corp | データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム |
JP4967544B2 (ja) * | 2006-09-01 | 2012-07-04 | ソニー株式会社 | 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム |
JP5532560B2 (ja) * | 2008-08-25 | 2014-06-25 | ソニー株式会社 | データ変換装置、およびデータ変換方法、並びにプログラム |
JP5617845B2 (ja) * | 2009-10-27 | 2014-11-05 | 日本電気株式会社 | 暗号化装置、暗号化方法及びプログラム |
-
2011
- 2011-09-22 JP JP2011207702A patent/JP5682525B2/ja not_active Expired - Fee Related
-
2012
- 2012-02-20 MY MYPI2013003197A patent/MY163144A/en unknown
- 2012-02-20 BR BR112013024250A patent/BR112013024250A2/pt not_active Application Discontinuation
- 2012-02-20 CA CA2827761A patent/CA2827761C/en active Active
- 2012-02-20 US US14/005,663 patent/US8983062B2/en not_active Expired - Fee Related
- 2012-02-20 SG SG2013070586A patent/SG193544A1/en unknown
- 2012-02-20 WO PCT/JP2012/053930 patent/WO2012132620A1/ja active Application Filing
- 2012-02-20 AU AU2012235129A patent/AU2012235129B2/en not_active Ceased
- 2012-02-20 CN CN201280014164.9A patent/CN103444124B/zh active Active
- 2012-02-20 EP EP12763711.4A patent/EP2693681A4/en not_active Ceased
- 2012-02-20 RU RU2013142989/08A patent/RU2598327C2/ru active
- 2012-02-20 KR KR1020137024805A patent/KR101770874B1/ko active IP Right Grant
- 2012-02-22 TW TW101105911A patent/TWI552121B/zh not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06118872A (ja) * | 1992-10-09 | 1994-04-28 | Matsushita Electric Ind Co Ltd | データ撹乱装置 |
WO1999066669A2 (en) * | 1998-06-15 | 1999-12-23 | Rsa Security, Inc. | Block ciphers with integer multiplication, data-dependent and fixed number of rotations in each round |
WO2009075337A1 (ja) * | 2007-12-13 | 2009-06-18 | Nec Corporation | 暗号化方法及び復号化方法、装置並びにプログラム |
Non-Patent Citations (7)
Title |
---|
K. NYBERG: "ASIACRYPT 96", 1996, SPRINGERVERLAG, article "Generalized Feistel networks", pages: 91 - 104 |
See also references of EP2693681A4 * |
SHIBUTANI, K. ET AL.: "Piccolo: An Ultra- Lightweight Blockcipher", LECTURE NOTES IN COMPUTER SCIENCE, vol. 6917, 27 September 2011 (2011-09-27), pages 342 - 357, XP019166866 * |
SUZAKI, T. ET AL.: "Improving the Generalized Feistel", LECTURE NOTES IN COMPUTER SCIENCE, vol. 6147, 27 June 2010 (2010-06-27), pages 19 - 39, XP047267269 * |
SUZAKI; TSUNOO; KUBO; KAWABATA: "Proposal of a structure having diffusion layer incorporated into a generalized Feistel structure", SCIS2008, 2008 |
T. SUZAKI; K. MINEMATSU: "Improving the Generalized Feistel", FSE 2010, 2010, pages 19 - 39, XP047267269, DOI: doi:10.1007/978-3-642-13858-4_2 |
YULIANG ZHENG; TSUTOMU MATSUMOTO; HIDEKI IMAI: "CRYPTO", 1989, article "On the Construction of Block Ciphers Provably Secure and Not Relying on Any Unproved Hypotheses", pages: 461 - 480 |
Also Published As
Publication number | Publication date |
---|---|
TW201239831A (en) | 2012-10-01 |
CN103444124B (zh) | 2016-03-16 |
CA2827761A1 (en) | 2012-10-04 |
RU2598327C2 (ru) | 2016-09-20 |
JP2012215813A (ja) | 2012-11-08 |
MY163144A (en) | 2017-08-15 |
KR101770874B1 (ko) | 2017-08-23 |
EP2693681A4 (en) | 2014-11-05 |
EP2693681A1 (en) | 2014-02-05 |
KR20140006961A (ko) | 2014-01-16 |
US8983062B2 (en) | 2015-03-17 |
RU2013142989A (ru) | 2015-03-27 |
AU2012235129A1 (en) | 2013-09-05 |
CN103444124A (zh) | 2013-12-11 |
JP5682525B2 (ja) | 2015-03-11 |
CA2827761C (en) | 2019-01-08 |
US20140010364A1 (en) | 2014-01-09 |
BR112013024250A2 (pt) | 2018-06-19 |
SG193544A1 (en) | 2013-10-30 |
TWI552121B (zh) | 2016-10-01 |
AU2012235129B2 (en) | 2015-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5682525B2 (ja) | 暗号処理装置、および暗号処理方法、並びにプログラム | |
US8731188B2 (en) | Cryptographic processing apparatus and cryptographic processing method, and computer program | |
KR101364192B1 (ko) | 암호처리장치, 암호처리 알고리즘 구축방법 및 암호처리방법과 컴퓨터·프로그램 | |
JP4961909B2 (ja) | 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム | |
US8396210B2 (en) | Cryptographic processing apparatus and cryptographic processing method, and computer program | |
TWI447683B (zh) | Information processing device | |
JP5682527B2 (ja) | 暗号処理装置、および暗号処理方法、並びにプログラム | |
JP5682526B2 (ja) | データ処理装置、およびデータ処理方法、並びにプログラム | |
WO2009087972A1 (ja) | データ送信装置、データ受信装置、これらの方法、記録媒体、そのデータ通信システム | |
JP2008058830A (ja) | データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム | |
JP5680016B2 (ja) | 復号処理装置、情報処理装置、および復号処理方法、並びにコンピュータ・プログラム | |
Murtaza et al. | Fortification of aes with dynamic mix-column transformation | |
JP5772934B2 (ja) | データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム | |
KR102157219B1 (ko) | 경량 블록 암호화에 대한 고차 부채널 공격에 대응하는 방법 및 이를 이용한 장치 | |
JP6292107B2 (ja) | 暗号処理装置、および暗号処理方法、並びにプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WWE | Wipo information: entry into national phase |
Ref document number: 201280014164.9 Country of ref document: CN |
|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 12763711 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2827761 Country of ref document: CA |
|
REEP | Request for entry into the european phase |
Ref document number: 2012763711 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2012763711 Country of ref document: EP |
|
ENP | Entry into the national phase |
Ref document number: 2012235129 Country of ref document: AU Date of ref document: 20120220 Kind code of ref document: A |
|
ENP | Entry into the national phase |
Ref document number: 20137024805 Country of ref document: KR Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 14005663 Country of ref document: US |
|
ENP | Entry into the national phase |
Ref document number: 2013142989 Country of ref document: RU Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
REG | Reference to national code |
Ref country code: BR Ref legal event code: B01A Ref document number: 112013024250 Country of ref document: BR |
|
ENP | Entry into the national phase |
Ref document number: 112013024250 Country of ref document: BR Kind code of ref document: A2 Effective date: 20130920 |